CN108028827A - 网络功能虚拟化架构中证书的管理方法及装置 - Google Patents

网络功能虚拟化架构中证书的管理方法及装置 Download PDF

Info

Publication number
CN108028827A
CN108028827A CN201580030477.7A CN201580030477A CN108028827A CN 108028827 A CN108028827 A CN 108028827A CN 201580030477 A CN201580030477 A CN 201580030477A CN 108028827 A CN108028827 A CN 108028827A
Authority
CN
China
Prior art keywords
vnfc
certificate
network element
mano
storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201580030477.7A
Other languages
English (en)
Other versions
CN108028827B (zh
Inventor
刘文济
王江胜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN108028827A publication Critical patent/CN108028827A/zh
Application granted granted Critical
Publication of CN108028827B publication Critical patent/CN108028827B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供了一种网络功能虚拟化(NFV)架构中证书的管理方法、及装置,该证书的管理方法包括NFV管理和流程编排***(MANO)确定存储网元,该存储网元用于存储虚拟化的网络功能组件(VNFC)的证书,该存储网元不同于该VNFC;该MANO在该存储网元中创建存储空间,该存储空间用于存储该VNFC的证书;该MANO将该存储空间的地址发送给该VNFC以便于该VNFC访问该存储空间的地址,获取该VNFC的证书,并直接使用该存储网元中存储的该证书与其他网元通信,该VNFC本地不存储该证书。本发明实施例能够有效地管理NFV架构中的证书。

Description

网络功能虚拟化架构中证书的管理方法及装置 技术领域
本发明涉及网络功能虚拟化领域,特别涉及一种网络功能虚拟化NFV架构中证书的管理方法及装置。
背景技术
网络功能虚拟化(Network Function Virtualization,NFV)通过使用x86等通用性硬件以及虚拟化技术,使网络设备功能不再依赖于专用硬件,资源可以充分灵活共享,实现新业务的快速开发和部署,并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等。
欧洲电信标准协会(European Telecommunications Standards Institute,ETSI)于2012年10月成立了NFV产业标准组(Industry Standard Group,ISG),旨在定义运营商网络功能虚拟化的需求和相关的技术报告,希望通过借鉴IT的虚拟化技术,在通用的高性能服务器、交换机和存储中实现部分网络功能。其所指定的NFV架构和基本流程已经被业界作为标准,在各个电信云化项目中进行了实施。NFV的最终目标是通过基于行业标准的X86服务器、存储和交换设备,来取代通信网私有专用的网元设备。这需要网络功能以软件方式实现,并能在通用的服务器硬件上运行,可以根据需要进行迁移、实例化、部署在网络的不同位置,并且不需要安装新设备。NFV基于X86标准的IT设备成本低廉,能够为运营商节省巨大的投资成本;同时其开放的API接口,能帮助运营商获得更多、更灵活的网络能力,从而也改变了网络的运作。
在NFV架构中,虚拟化的网络功能(Virtualized Network Function,VNF)的引入使得传统网络及传统网络节点的架构发生较大变化。其中,传统网络节点在新的电信架构下,演变为虚拟节点,以虚拟机的形式存在,这样使得多个传统网络节点共同部署在同一物理宿主机上,共享硬件资源,甚至与其它第三方应用软件共享资源;另外,为便于虚拟机动态迁移和提升同一虚拟器中虚拟机之间的通信性能,传统IP网络通过虚拟交换机、虚拟网络适配器进而演变为虚拟网络,虚拟机之间将直接通过虚拟网络通信,从而绕过了传统物理网络设备。但随着虚拟化的同时,虚拟网络内部虚拟机之间通信、 虚拟机与外部网络通信也面临着安全风险,例如,虚拟机之间的相互攻击,宿主机应用对主机、***管理程序(Hypervisor)及虚拟机之间的攻击,宿主机应用利用与虚拟机网络互通进行攻击,通过远程维护管理通道对虚拟机的攻击,通过网络边缘节点进行外部网络攻击等。虚拟化面临的这些通信威胁要求虚拟化通信采用特定的安全技术,例如,因特网协议安全性(Internet Protocol Security,IPSec)、安全传输层协议(Transport Layer Security,TLS)等,通过建立安全连接,来保证通信的机密性、完整性。而建立安全连接需要通信实体双方配置有基于相关协议(例如X.509)的证书。
现有技术中,通常将VNF的证书/验证材料存储在一个虚拟化的网络功能组件(Virtualized Network Function Component,VNFC)中,该VNFC负责对证书/验证材料进行管理。当该VNFC自身更新或者证书更新时,同属于一个VNF的其他VNFC需要从该VNFC中重新获取证书/验证材料,更新自己的本地存储。由于VNF和VNFC都是以软件方式按需动态生成或变化,VNFC就需要频繁的获取证书/验证材料。此外,如果VNFC生命周期结束,VNFC还要对其本地所存储的证书/验证材料进行消除处理,过程繁琐而复杂。
因此,如何有效地管理NFV架构中的证书成为亟待解决的问题。
发明内容
本发明实施例提供了一种NFV架构中证书的管理方法及装置,该证书的管理方法能够有效地管理NFV架构中的证书。
第一方面,提供了一种网络功能虚拟化NFV架构中证书的管理方法,该方法包括:
NFV管理和流程编排***MANO确定存储网元,该存储网元用于存储虚拟化的网络功能组件VNFC的证书,该存储网元不同于该VNFC;该MANO在该存储网元中创建存储空间,该存储空间用于存储该VNFC的证书;该MANO将该存储空间的地址发送给该VNFC。
换句话说,该MANO在该证书的存储网元中创建存储空间,该存储空间用于存储该证书,以便于该VNFC直接使用该存储网元中存储的该证书与其他网元通信,该VNFC本地不存储该证书。因此,本发明实施例通过将VNFC的证书存储在存储网元中,该VNFC本地不存储该证书,而是直接使 用该存储网元中存储的该证书与其他网元通信,由于VNFC本地不存储证书,进而避免了VNFC本地拷贝存储、更新、删除证书等操作,进而能够实现有效地管理NFV架构中的证书。
结合第一方面,在第一方面的一种实现方式中,该NFV管理和流程编排***MANO确定存储该VNFC的证书的存储网元,包括:
在该VNFC申请证书之前或在申请证书过程中,该MANO确定存储该VNFC的证书的存储网元。
应理解,该VNFC申请证书之前或在申请证书过程中可以表示VNFC实例化过程中或实例化后,也可以是VNFC扩容过程中或扩容后。
其中,VNFC实例化与VNFC申请证书是两个不同的过程,VNFC实例化与申请证书可以同时进行,也可以先VNFC实例化然后再申请证书。
同样的,VNFC扩容与VNFC申请证书是两个不同的过程,VNFC扩容与申请证书可以同时进行,也可以先VNFC扩容然后再申请证书。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,该MANO将该存储空间的地址发送给该VNFC包括:该MANO将该存储空间的地址写入该证书的存储及管理信息中;该MANO将该证书的存储及管理信息发送给该VNFC。
例如,该证书的存储及管理信息为VNFC实例化参数的一部分,用于指示该存储空间的地址。因此,在申请证书后,VNFC可以根据该地址获得该证书,进而与其他网元通信。
例如,该证书的存储及管理信息可以位于虚拟化的网络功能组件描述器VNFCD中,MANO可以将实例化参数信息发送给VIM,以便VIM根据实例化参数创建虚拟机VM,并生成该VNFC。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,该MANO将该证书的存储及管理信息发送给该VNFC包括:
在该VNFC实例化与该VNFC申请证书同时进行的过程中,
或者,在该VNFC扩容与该VNFC申请证书同时进行的过程中,
或者,在该VNFC实例化完成后,该VNFC申请证书过程中,
或者,在该VNFC扩容后,该VNFC申请证的过程中,
该MANO将该证书的存储及管理信息发送给该VNFC。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,该 方法还包括:该MANO获取该VNFC的第一指示信息,该第一指示信息位于该VNFC的实例化请求消息或VNFCD中,该第一指示信息用于指示该存储网元,其中,该MANO确定存储网元,包括:该MANO根据该VNFC的第一指示信息,确定该存储网元。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,该第一指示消息还用于指示该证书的管理网元,该管理网元用于对该证书进行更新或废除管理。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,该方法还包括:该MANO获取创建该VNFC的第二指示消息,该第二指示信息位于该VNFC的实例化请求消息或VNFCD中,该第二指示消息用于指示决策网元,该决策网元用于确定该证书的存储网元其中,该MANO确定存储网元,包括:该MANO根据该决策网元的确定结果,确定该存储网元。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,该决策网元还用于确定该证书的管理网元,该管理网元用于对该证书进行更新或废除管理。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,该NFV管理和流程编排***MANO确定存储该VNFC的证书的存储网元,包括:该MANO根据管理策略确定该存储网元。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,该方法还包括:该MANO根据管理策略确定该证书的管理网元,该管理网元用于对该证书进行更新或废除管理。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,该存储网元为虚拟网络功能编排器NFVO、虚拟网络功能管理器VNFM或虚拟化基础设施管理器VIM,该管理网元为NFVO、NVFM或VIM;或者,该存储网元为虚拟机VM,该管理网元为NFVO、VFVM、VIM或Master VNFC;或者,该存储网元为Master VNFC,该管理网元为Master VNFC。
结合第一方面及其上述实现方式,在第一方面的另一种实现方式中,该VNFC的证书为该VNFC经过证书管理机构CA登记认证后的证书。
第二方面,提供了一种网络功能虚拟化NFV架构中证书的管理方法,该方法包括:虚拟化的网络功能组件VNFC接收NFV管理和流程编排***MANO发送的存储空间的地址,该存储空间用于存储该VNFC的证书,该 存储空间位于存储网元中,该存储网元不同于该VNFC;该VNFC访问该存储空间的地址,获取该VNFC的证书。该VNFC直接使用该证书与其他网元通信,该VNFC本地不存储该证书。因此,本发明实施例通过VNFC直接在存储网元中获取该证书与其他网元通信,该VNFC本地不存储该证书。由于VNFC本地不存储证书,进而避免了VNFC本地拷贝存储、更新、删除证书等操作,进而能够实现了有效地管理NFV架构中的证书。
结合第二方面,在第二方面的一种实现方式中,在虚拟化的网络功能组件VNFC接收MANO发送的存储空间的地址之前,该方法还包括:
该VNFC向证书管理机构CA登记认证,获得该证书,
该VNFC向该存储网元发送该证书,以便该存储网元在该存储空间中存储该证书。
结合第二方面及其上述实现方式,在第二方面的另一种实现方式中,该方法还包括:该VNFC接收管理网元发送的证书无效指示消息,该VNFC根据该无效指示消息,删除该存储空间的地址或设置该存储空间地址无效。
第三方面,提供了一种网络功能虚拟化NFV架构中NFV管理和流程编排***MANO,该MANO能够实现第一方面及其实现方式中的任一实现方式,该MANO中的各个模块的操作和/或功能,分别用于实现的第一方面及其实现方式中的相应方法特征,为了简洁,在此不再赘述。
第四方面,提供了一种网络功能虚拟化NFV架构中虚拟化的网络功能组件VNFC,该VNFC能够实现第二方面及其实现方式中的任一实现方式,该VNFC中的各个模块的操作和/或功能,分别用于实现的第二方面及其实现方式中的相应方法特征,为了简洁,在此不再赘述。
第五方面,提供了一种网络功能虚拟化NFV***,其特征在于,包括:
如第三方面中的NFV管理和流程编排***MANO、如第四方面中的拟化的网络功能组件VNFC、存储网元和管理网元;该存储网元用于存储该VNFC的证书,该存储网元不同于该VNFC;该管理网元用于对该证书进行更新或废除管理。其中,管理网元可以与存储网元相同,也可以不同。
第六方面,提供了一种处理装置,该处理装置应用于NFV***中。该处理装置可以为一个或多个处理器或芯片。在其他可能情况下,该处理装置也可以为NFV***中的实体装置或虚拟装置。该处理装置被配置用于执行上述第一方面、第二方面,及其各种实现方式中的任一种证书的管理方法。
第七方面,提供了一种计算机程序产品,该计算机程序产品包括:计算机程序代码,当该计算机程序代码被NFV***的计算单元、处理单元或处理器运行时,使得该NFV***执行上述第一方面、第二方面,及其各种实现方式中的任一种证书的管理方法。
第八方面,提供了一种计算机可读存储介质,该计算机可读存储介质存储有程序,该程序使得NFV***执行上述第一方面、第二方面,及其各种实现方式中的任一种证书的管理方法。
第九方面,提供了一种程序,使得NFV***执行上述第一方面、第二方面,及其各种实现方式中的任一种证书的管理方法。
基于上述技术方案,本发明实施例通过将VNFC的证书存储在存储网元中,使得该VNFC本地不存储该证书,而是直接使用该存储网元中存储的该证书与其他网元通信,避免了VNFC本地拷贝存储、更新、删除证书等操作,进而实现了有效地管理NFV架构中的证书。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的NFV***的示意性架构图。
图2是根据本发明一个实施例的NFV架构中证书的管理方法示意性流程图。
图3是根据本发明另一实施例的NFV架构中证书的管理方法示意流程图。
图4是根据本发明另一实施例的NFV架构中证书的管理方法示意流程图。
图5是根据本发明一个实施例的NFV架构中MANO的示意框图。
图6是根据本发明一个实施例的NFV架构中VNFC的示意框图。
图7是根据本发明另一实施例的NFV架构MANO的示意框图。
图8是根据本发明另一实施例的NFV架构中VNFC的示意框图。
图9是根据本发明一个实施例的NFV***的示意框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
下面,首先对本发明实施例的网络功能虚拟化NFV应用升级的方法的网络功能虚拟化***进行说明。
图1示出了根据本发明实施例的NFV***的示意性架构图。如图1所示,NFV的参考架构由以下几个主要功能构件组成:
NFV基础设施(NFV Infrastructure,NFVI)110提供支撑NFV的执行所需要的虚拟化资源,包括商业现货供应(Commercial Off The Shelf,COTS)的硬件、必要的加速器组件,以及对底层硬件进行虚拟化和抽象化的软件层。
例如,NFVI110可以包括计算硬件111、存储硬件112、网络硬件113组成的硬件资源层、虚拟化层、以及虚拟计算114(例如,虚拟机)、虚拟存储115和虚拟网络(网络硬件)116组成的虚拟资源层。
虚拟网络功能(Virtual Network Function,VNF)121是能够在NFVI上运行的网络功能(Network Function,NF)的软件实现,可能还附有组件管理***(Element Management System,EMS)122来理解和管理单独的VNF及其特性。VNF相当于网络节点的实体,被期望以摆脱硬件依赖的纯软件来交付。
NFV管理和编排或者称为NFV管理和流程编排***(Management and Orchestration,M&O或者MANO)140包含编排、支撑基础设施虚拟化的物理和/或软件资源的生命周期管理、VNF的生命周期管理。MANO 140聚焦于NFV框架中虚拟化特定的管理任务。MANO 140也与(NFV外部的)运营支撑***(Operation Support System,OSS)/业务支撑***(Business Support System,BSS)130交互,以允许NFV被集成进已存在的涉及全网范围的管理图景。
上述构件通过定义的参考点进行交互,以便不同实体能够清晰地解耦,从而促成一个开放和创新的NFV生态***。VNF 121与NFVI 110之间(以及NFVI 110内部实体之间)的参考点处理资源的抽象和虚拟化,以及VNF 121的主机寄宿,以便VNF121不仅能够在NFVI 110中从一个移动到另一个,而且能够确保选择不同的底层硬件成为可能。MANO 140与VNF 121和NFVI 110之间(以及NFV M&O内部实体之间)的参考点处理NFV***的管理和运作。相关构件的设计方式允许重用现有解决方案(例如云管理***),并且也与NFV***需要连接的现有OSS/BSS环境进行交互。
MANO 140之内进一步定义了以下功能构件:
NFV编排器(NFV Orchestrator,NFVO)143,主要负责NS的生命周期管理,完成网络业务编排功能;以及跨多个VIM的NFVI资源编排,完成资源编排功能。
VNF管理器(VNF Manager,VNFM)142,负责VNF实例的生命周期管理,每个VNF都被假定具有一个关联的VNFM,一个VNFM可以被指派管理单一VNF实例或者管理多个相同或相异类型的VNF实例。其可用能力包括:VNF实例化、VNF配置NFVI资源、VNF实例更新、VNF实例缩放、VNF实例相关NFVI性能度量和事件的收集以及与VNF实例相关事件的关联、VNF实例受助或自动康复、VNF实例终止、VNF实例贯穿其生命周期的完整性管理、为NFVI和EMS之间的配置和事件报告担当全局协调和适配的角色等。
虚拟化基础设施管理器(Virtualized Infrastructure Manager,VIM)141,负责控制和管理NFVI 110的计算、存储和网络资源,通常在一个运营商的基础设施子域内。一个VIM 141可以专门处理某类NFVI资源或者可以管理多种类型的NFVI资源。其可用能力包括:编排NFVI资源的分配/升级/解除分配/回收利用,管理虚拟化资源与计算、存储、网络资源的关联;管理硬件资源(计算、存储、网络)和软件资源(例如管理程序)的目录;收集和转发虚拟化资源的性能度量和事件等。
在上述架构的基础上,可以通过多个NF实现具有特定功能的NS。传统网络实现的端到端NS是完全由物理网络功能(Physical Network Function,PNF)构成的。NFV中实现的端到端NS则一般两端仍为PNF,而中间则全部或部分被替换为VNF。每个NF实现的功能和对外的接口与其是PNF还是VNF无关。VNF和PNF之间链接构成的拓扑关系可以采用VNF转发图(VNF Forwarding Graph,VNFFG)来描述,每个NF的特性由相应的网络功能描述符(Network Function Descriptor,NFD)来描述。
VNF需要基于NFVI提供的虚拟资源(包括虚拟的计算、存储和网络资源)来实现,这些虚拟资源是对相应的物理资源进行虚拟化而来的。PNF则直接是基于物理资源来实现的。不像传统网络中所有控制都集中于软硬件一体化的网络设备上,NFV引入虚拟化实现网络设备的软硬件解耦,使得对业务的控制主要体现在PNF和VNF层面,而对性能的控制则主要体现在NFVI尤其是其中的硬件资源层面。
在本发明实施例中,为了实现网络功能虚拟化NFV应用升级的自动化部署流程,对图1所示NFV***在NFV应用升级过程中的各部件的接口进行了定义。这样,NFVO在执行应用升级过程中调用这些接口就可以实现应用升级的自动化流程。
A1:VNFM接口,提供对VNF管理的能力,包括对VNF的部署和配置。下表所示为VNFM接口中实现具体功能的部分接口和参数。
A2:VIM接口,对于云平台提供的资源进行创建和操作的接口,主要包括创建虚拟机、配置网络和执行脚本接口。同时,VIM接口还可以包括对VLB的特殊配置接口,增加VLB对不同版本VNF的管理。下表所示为VIM接口中实现具体功能的部分接口和参数。
A3:EMS网元管理***对VNF的管理接口,包括VNF的配置管理接口。
A4:VIM对虚拟机的交互接口,例如配置虚拟机(Virtual Machine,VM)、开机、安装软件等。
应理解,以上A1~A4对各部件接口的定义是为了帮助本领域技术人员更好地理解本发明实施例,而非要限制本发明实施例的范围。本领域技术人员根据以上A1~A4的例子,显然可以进行各种等价的修改或变化,这样的修改或变化也落入本发明实施例的范围内。
图2是根据本发明一个实施例的NFV架构中证书的管理方法的示意性流程图。图2的方法适用于NFV***100中,可以由MANO执行。如图2所示的方法200包括:
210,NFV管理和流程编排***MANO确定存储网元,该存储网元用于存储虚拟化的网络功能组件VNFC的证书,该存储网元不同于该VNFC。
220,该MANO在该存储网元中创建存储空间,该存储空间用于存储该VNFC的证书。
230,该MANO将该存储空间的地址发送给该VNFC。
具体而言,在本发明实施中,NFV管理和流程编排***MANO确定存储虚拟化的网络功能组件VNFC的证书的存储网元,该存储网元不同于该VNFC;该MANO在该证书的存储网元中创建存储空间,该存储空间用于存储该证书,该MANO将该存储空间的地址发送给该VNFC,以便于该VNFC直接使用该存储网元中存储的该证书与其他网元通信,该VNFC本地不存储该证书。
因此,本发明实施例通过将VNFC的证书存储在存储网元中,该VNFC本地不存储该证书,而是直接使用该存储网元中存储的该证书与其他网元通信,由于VNFC本地不存储证书,进而避免了VNFC本地拷贝存储、更新、删除证书等操作,进而能够实现有效地管理NFV架构中的证书。
应注意,本发明实施例中的MANO可以包括:NFVO、VNFM和VIM,具体地,本发明实施例中由MANO执行的具体动作可以由NFVO、VNFM和VIM中的任意一个完成,可以根据具体情况的不同由VNFM、NFVO或 VIM来执行,本发明实施例并不对此做限定。
应理解,VNFC直接使用该存储网元中的证书,例如,VNFC可以通过存储空间的地址从存储网元中获得证书,然后使用该证书与其他网元通信。该其他网元可以为该NFV架构中的需要VNFC通信的任一网元,本发明实施例并不对此做限定。
需要说明的是,在NFV架构中,VNF可以由至少一个更低级别的组件(VNFC)来组成,因此,一个VNF可以部署在多个虚拟机VM上,其中,每个VM承载一个VNFC,本发明实施例中的VNFC为部署(安装)在VM的虚拟化的网络功能。
应理解,本发明实施例中的证书是表示被一个实体(例如VNFC)所持有,用于证明此实体身份的凭证能,通过证书的认证能够建立网元间的安全连接,来保证通信的机密性、完整性;例如,本发明实施例中的证书可以是基于X.509的证书,本发明实施例并不对此做限定。
还应理解,本发明实施例中的MANO确定的存储网元只要不同于该VNFC即可,可以是NFV中能够存储该证书的任意网元,本发明实施例并不对此做限定,MANO如何确定存储网元将在下文进行详细描述。
需要说明的是,本发明实施例中的存储网元也可以是该VNFC,当存储网元为该VNFC时,也是可以实施的。当存储网元为该VNFC时,为了与现有技术区别,对应的下文中描述的管理网元可以不是该VNFC,也就是说存储网元和管理网元不同时为该VNFC即可。
可选地,作为另一实施例,在210中,在该VNFC申请证书之前或在申请证书过程中,该MANO确定存储该VNFC的证书的存储网元。
应理解,该VNFC申请证书之前或在申请证书过程中可以表示VNFC实例化过程中或实例化后,也可以是VNFC扩容过程中或扩容后。
其中,VNFC实例化与VNFC申请证书是两个不同的过程,VNFC实例化与申请证书可以同时进行,也可以先VNFC实例化然后再申请证书。
同样的,VNFC扩容与VNFC申请证书是两个不同的过程,VNFC扩容与申请证书可以同时进行,也可以先VNFC扩容然后再申请证书。
具体而言,在NFV架构下,VNF是一组软件,在需要的时候进行实例化。所谓VNF的实例化,即是为一个VNF确定并分配需要的虚拟化资源并安装该VNF实例的过程。一个VNF可以同时存在多个实例。当一个VNF 在实例化过程中或已实例化的VNF需要扩容(scale-out)时,会创建新的VNFC。新创建的VNFC如果有对外通信的需求,则需要配置基于X.509的证书,以和通信对端建立IPsec或TLS安全连接,以保护通信的机密性、完整性。
可选地,作为另一实施例,在230中,该MANO将该存储空间的地址写入该证书的存储及管理信息中;该MANO将该证书的存储及管理信息发送给该VNFC。
例如,该证书的存储及管理信息为VNFC实例化参数的一部分,用于指示该存储空间的地址。
因此,在申请证书后,VNFC可以根据该地址获得该证书,进而与其他网元通信。
例如,该证书的存储及管理信息可以位于虚拟化的网络功能组件描述器VNFCD中,MANO可以将实例化参数信息发送给VIM,以便VIM根据实例化参数创建虚拟机VM,并生成该VNFC。
换句话说,MANO可以将该证书的存储及管理信息与VNFC的实例化参数信息一起发送给VIM,以便VIM生成该VNFC。
进一步地,作为另一实施例,在230中,在该VNFC实例化与该VNFC申请证书同时进行的过程中,或者,在该VNFC扩容与该VNFC申请证书同时进行的过程中,或者,在该VNFC实例化完成后,该VNFC申请证书过程中,或者,在该VNFC扩容后,该VNFC申请证的过程中,该MANO将该证书的存储及管理信息发送给该VNFC。
应理解,本发明实施例可以由VNFM通过Ve-Vnfm接口向VNFC发送该证书的存储及管理信息,本发明实施例并不对具体的消息作限定。
在VNFC与其它网元通信时,可以通过该证书的存储及管理信息中的存储空间的地址获得证书,并与其它网元通信。
应理解,VNFC描述器(VNFC Descriptor,即VNCFD)是描述VNFC虚拟资源需求的一个资源说明,NFV MANO用VNFCD执行VNFC生命周期操作(例如实例化等)。
下面将分情形详细说明MANO如何确定证书的存储网元。
第一种情形,
可选地,作为另一实施例,本发明实施例方法还可以包括:
该MANO获取该VNFC的第一指示信息,该第一指示信息位于该VNFC的实例化请求消息或VNFCD中,该第一指示信息用于指示该存储网元,
其中,在210中,包括:该MANO根据该VNFC的第一指示信息,确定该存储网元。
进一步地,作为另一实施例,该第一指示消息还用于指示该证书的管理网元,该管理网元用于对该证书进行更新或废除管理。
换句话说,MANO根据第一指示信息的指示来确定存储网元,或者,MANO根据第一指示信息的指示来确定存储网元和管理网元。
应理解,第一指示消息可以是运营商或产品供应商预先设定的策略等,该策略可以指定证书的存储网元,或者存储网元和管理网元。
还应理解,管理网元对证书进行的管理可以包括:证书的生命周期相关的管理,例如,证书的更新、废除等,本发明实施例并不限于此。其中,证书需要被更新的情况可以包括:VNF的生命周期、VNFC的生命周期伴随的证书/验证材料应用的变化,基础设施变化(例如虚拟机迁移、切换)伴随的证书/验证材料存储的变化,及证书定时更新等,本发明实施例并不限于此。
第二种情形,
可替代地,作为另一实施例,本发明实施例方法还可以包括:
该MANO获取创建该VNFC的第二指示消息,该第二指示信息位于该VNFC的实例化请求消息或VNFCD中,该第二指示消息用于指示决策网元,该决策网元用于确定该证书的存储网元
其中,在210中,该MANO根据该决策网元的确定结果,确定该存储网元。
进一步地,作为另一实施例,该该决策网元还用于确定该证书的管理网元,该管理网元用于对该证书进行更新或废除管理。
应理解,决策网元可以是NFVO、VNFM或VIM等,本发明实施例并不限于此,例如,决策网元可以是NVFM,存储网元和管理网元可以是NFVO。
应理解,第二指示消息可以是运营商或产品供应商预先设定的策略等,该策略可以指定决策网元,以使决策网元确定存储网元,或存储网元和管理网元。
还应理解,上述描述的证书存储位置的决定者(即决策网元)和证书的 管制者(即管理网元)可以相同亦可以不同。不过在较佳实施例中,可以将两者设为相同的网元,这种情况下实现较为简单。
第三种情形,
可替代地,作为另一实施例,在210中,该MANO根据管理策略确定该存储网元。
进一步地,作为另一实施例,本发明实施例方法还可以包括:该MANO根据管理策略确定该证书的管理网元,该管理网元用于对该证书进行更新或废除管理。
换句话说,MANO根据管理策略来确定存储网元,或者,存储网元和管理网元。
例如,MANO可以根据安全性或者管理的便捷性等考虑,可以由MANO来确定存储网元和管理网元。
可选地,作为另一实施例,该存储网元为NFVO、VNFM或VIM,该管理网元为NFVO、NVFM或VIM;
或者,
该存储网元为虚拟机VM,该管理网元为NFVO、VFVM、VIM或主虚拟化的网络功能组件Master VNFC;
或者,
该存储网元为Master VNFC,该管理网元为Master VNFC。
应理解,当存储网元为VNF中的除该VNFC之外的其他的VNFC时,该存储网元(其他的VNFC)称为Master VNFC。
可选地,作为另一实施例,该VNFC的证书为该VNFC经过证书管理机构CA登记认证后的证书。
具体而言,VNFC经过证书认证后,向该存储网元发送该证书,以便该存储网元存储该证书。
上文中,结合图2详细描述了本发明实施例的证书的管理方法,下面结合图3描述本发明另一实施例的证书的管理方法。
图3是根据本发明另一实施例的NFV架构中证书的管理方法示意流程图。如图3所示的方法可以由VNFC执行,具体地,如图3所示的方法300,包括:
310,虚拟化的网络功能组件VNFC接收NFV管理和流程编排*** MANO发送的存储空间的地址,该存储空间用于存储该VNFC的证书,该存储空间位于存储网元中,该存储网元不同于该VNFC。
320,该VNFC访问该存储空间的地址,获取该VNFC的证书。
具体而言,虚拟化的网络功能组件VNFC接收MANO发送的存储空间的地址,该VNFC访问该存储空间的地址,获取该VNFC的证书,VNFC可以直接使用该证书与其他网元通信,该VNFC本地不存储该证书。
因此,本发明实施例通过VNFC直接在存储网元中获取该证书与其他网元通信,该VNFC本地不存储该证书。由于VNFC本地不存储证书,进而避免了VNFC本地拷贝存储、更新、删除证书等操作,进而能够实现了有效地管理NFV架构中的证书。
可选地,作为另一实施例,在310之前,本发明实施例方法还可以包括:
该VNFC向证书管理机构CA登记认证,获得该证书,
该VNFC向该存储网元发送该证书,以便该存储网元在该存储空间中存储该证书。
具体而言,在该VNFC经过证书认证后,向该存储网元发送该证书,以便该存储网元存储该证书。当该VNFC与其他网元通信时,虚拟化的网络功能组件VNFC根据该VNFC的证书的存储空间的地址从存储网元中获取该证书,该存储网元不同于该VNFC;该VNFC直接使用该证书与其他网元通信,该VNFC本地不存储该证书。由于VNFC本地不存储证书,进而避免了VNFC本地拷贝存储、更新、删除证书等操作,进而能够实现了有效地管理NFV架构中的证书。
可选地,作为另一实施例,在320之后,本发明实施例方法还可以包括:
该VNFC接收管理网元发送的证书无效指示消息,该VNFC根据该无效指示消息,删除该存储空间的地址或设置该存储空间地址无效。
具体而言,当VNFC的证书无效(失效)时,管理网元会向该VNFC发送证书无效指示消息,该VNFC根据该无效指示消息,指示该证书无效,进而,该VNFC删除该存储空间的地址或设置该存储空间地址无效。
上文中,结合图1至图3详细描述了本发明实施例的证书的管理方法,下面结合具体地例子,更加详细地描述本发明实施例的证书的管理方法。
图4是根据本发明另一实施例的NFV架构中证书的管理方法的示意流程图。如图4所示的方法应用于NFV架构中,包括:
401,MANO接收到操作的触发信号。该操作包括VNFC实例化或VNF扩容。该的触发信号包括:MANO收到EMS手动或自动事件触发的请求实例化或扩容的消息,或者MANO收集来自VNF的测量数据并发现需要扩容。该扩充消息包括VNFC的证书的存储及管理信息;
其中,该VNFC的证书的存储及管理信息储于VNFD中,具体包括:证书的存储位置(例如,可以存储在NFVI中的VM中、MANO中或VNF中)以及管理者。
402,MANO进行实例化需要的计算和确定存储资源,其中,包括确定证书存储空间。
其中,证书可以存储在不同的网元中,如果,存储在MANO中,则执行403;如果存储在NFVI中,例如存储在VM中,则执行406;如果证书被要求存储在VNFC中(称为Master VNFC)则执行步骤408,下面分别进行详细描述。
403,可选的,如果证书被要求存储在MANO中,创建证书存储空间,并将空间地址写入证书的存储及管理信息。
404,MANO指示NFVI创建VM。在该过程中,MANO将VNFC的证书的存储及管理信息发送给NFVI。
405,NFVI创建VM,并向MANO发送确认消息。之后执行步骤410。
406,可选的,如果证书被要求存储在NFVI中,创建证书存储空间,并将空间地址写入证书的存储及管理信息。
407,NFVI通过安全启动过程,将VNFC软件安装于VM机上。之后执行步骤410。
408,可选的,如果证书被要求存储在VNFC中(称为Master VNFC,可以和本次安装的VNFC为一个),创建证书存储空间,并将空间地址写入证书的存储及管理信息。证书的存储及管理信息安装于VNFC中。如果新安装的VNFC和Master VNFC为同一个VNFC,则之后执行步骤410,否则,执行409。
409,新安装的VNFC实例通过NFVI,和Master VNFC建立内部网络连接。如果新安装的VNFC和Master VNFC为同一个VNFC,则此步骤省略。
410,新的VNFC实例和CA进行证书登记过程。获得运营商签发的正式证书。
可选的Master VNFC作为代理,代替新的VNFC实例和CA进行证书登记过程。
可选的MANO作为代理,代替新的VNFC实例和CA进行证书登记过程。
411,新的VNFC向MANO或NFVI或Master VNFC发送VNFC证书信息。该VNFC证书信息包括:VNFC证书。
412,MANO或NFVI或Master VNFC存储证书信息。
413,VNFC向NFVI确认证书申请完成。
414,NFVI向MANO确认证书申请完成。
415,MANO向EMS发送确认消息。
416,EMS增加或更新VNFC为可管理的设备。
应理解,图4中仅给出了MANO根据第一指示消息(例如,请求实例化或扩容的消息)指示确定存储网元的具体实施例的情形。本发明实施例中还可以包括其他变形的形式,其他的实施例与图4的区别在于,确定存储网元和管理网元的方式不同,例如,MANO根据第二指示消息的指示来确定存储网元和管理网元,其中第二指示消息用于指示决策网元,决策网元来确定存储网元和管理网元,然后通知MANO该存储网元和管理网元。再例如,MANO不是根据其它消息的指示,而是可以根据自身的管理策略来确定存储网元和管理网元。
需要说明的是上述图4实施例的具体的变形形式与图4的区别在于上面描述的确定存储网元和管理网元的方式不同,其它部分大致相同,为避免重复,此处不再赘述。
换句话说,上文中,图4的例子仅仅是为了帮助本领域技术人员理解本发明实施例,而非要将本发明实施例限于所例示的具体数值或具体场景。本领域技术人员根据所给出的图4的例子,显然可以进行各种等价的修改或变化,这样的修改或变化也落入本发明实施例的范围内。
上文中,结合图1至图4详细描述了本发明实施例的证书的管理方法,下面结合图5至图9描述本发明实施例的证书的管理装置。
图5是根据本发明一个实施例的网络功能虚拟化NFV架构中NFV管理和流程编排***MANO示意框图。应理解,图5所示的MANO500能够实现图2至图4方法实施例中涉及MANO的各个过程,MANO500中的各个 模块的操作和/或功能,分别为了实现图2至图4中的方法实施例中的相应流程,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详述描述。
图5所示MANO500包括:第一确定单元510、创建单元520和发送单元530。
具体地,第一确定单元510用于确定存储网元,该存储网元用于存储虚拟化的网络功能组件VNFC的证书,该存储网元不同于该VNFC;创建单元520用于在该存储网元中创建存储空间,该存储空间用于存储该VNFC的证书;发送单元530用于将该存储空间的地址发送给该VNFC。
以便于该VNFC访问该存储空间的地址,获取该VNFC的证书并直接使用该存储网元中存储的该证书与其他网元通信,该VNFC本地不存储该证书。
因此,本发明实施例通过将VNFC的证书存储在存储网元中,该VNFC本地不存储该证书,而是直接使用该存储网元中存储的该证书与其他网元通信,由于VNFC本地不存储证书,进而避免了VNFC本地拷贝存储、更新、删除证书等操作,进而能够实现有效地管理NFV架构中的证书。
可选地,作为另一实施例,该第一确定单元510具体用于在该VNFC申请证书之前或在申请证书过程中,确定存储该VNFC的证书的存储网元。
可选地,作为另一实施例,该发送单元530具体用于将该存储空间的地址写入该证书的存储及管理信息中,将该证书的存储及管理信息发送给该VNFC。
进一步地,作为另一实施例,该发送单元530具体用于在该VNFC实例化与该VNFC申请证书同时进行的过程中,或者,在该VNFC扩容与该VNFC申请证书同时进行的过程中,或者,在该VNFC实例化完成后,该VNFC申请证书过程中,或者,在该VNFC扩容后,该VNFC申请证的过程中,将该证书的存储及管理信息发送给该VNFC。
可选地,作为另一实施例,该MANO还包括:
第一获取单元,用于获取该VNFC的第一指示信息,该第一指示信息位于该VNFC的实例化请求消息或虚拟化的网络功能组件描述器VNFCD中,该第一指示信息用于指示该存储网元,
该第一确定单元510具体用于根据该VNFC的第一指示信息,确定该存 储网元。
进一步地,作为另一实施例,该第一指示消息还用于指示该证书的管理网元,该管理网元用于对该证书进行更新或废除管理。
可替代地,作为另一实施例,该MANO还包括:
第二获取单元,用于获取创建该VNFC的第二指示消息,该第二指示信息位于该VNFC的实例化请求消息或VNFCD中,该第二指示消息用于指示决策网元,该决策网元用于确定该证书的存储网元,
该第一确定单元510具体用于根据该决策网元的确定结果,确定该存储网元。
进一步地,作为另一实施例,该决策网元还用于确定该证书的管理网元,该管理网元用于对该证书进行更新或废除管理。
可替代地,作为另一实施例,该第一确定单元510具体用于根据管理策略确定该存储网元。
进一步地,作为另一实施例,,该MANO还包括:
第二确定单元,用于根据管理策略确定该证书的管理网元,该管理网元用于对该证书进行更新或废除管理。
可选地,作为另一实施例,该存储网元为虚拟网络功能编排器NFVO、虚拟网络功能管理器VNFM或虚拟化基础设施管理器VIM,该管理网元为NFVO、NVFM或VIM;或者,该存储网元为虚拟机VM,该管理网元为NFVO、VFVM、VIM或主虚拟化的网络功能组件Master VNFC;或者,该存储网元为Master VNFC,该管理网元为Master VNFC。
可选地,作为另一实施例,该VNFC的证书为该VNFC经过证书管理机构CA登记认证后的证书。
图6是根据本发明一个实施例的NFV架构中VNFC的示意框图。应理解,图6所示的VNFC600能够实现图2至图4方法实施例中涉及VNFC的各个过程,VNFC600中的各个模块的操作和/或功能,分别为了实现图2至图4中的方法实施例中的相应流程,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详述描述。
图6所示的VNFC600包括第一接收单元610和获取单元620。
具体地,第一接收单元610用于接收NFV管理和流程编排***MANO发送的存储空间的地址,该存储空间用于存储该VNFC的证书,该存储空间 位于存储网元中,该存储网元不同于该VNFC;获取单元620用于访问该存储空间的地址,获取该VNFC的证书。
在该VNFC获得证书后,可以直接使用该证书与其他网元通信,该VNFC本地不存储该证书。
因此,本发明实施例通过VNFC直接在存储网元中获取该证书与其他网元通信,该VNFC本地不存储该证书。由于VNFC本地不存储证书,进而避免了VNFC本地拷贝存储、更新、删除证书等操作,进而能够实现了有效地管理NFV架构中的证书。
可选地,作为另一实施例,该VNFC600还可以包括:认证单元,具体地,认证单元用于向证书管理机构CA登记认证,获得该证书。
可选地,作为另一实施例,该VNFC600还可以包括:第二接收单元和删除单元。具体地,第二接收单元,用于接收管理网元发送的证书无效指示消息;删除单元,用于根据该无效指示消息,删除该存储空间的地址或设置该存储空间地址无效。
图7是根据本发明另一实施例的网络功能虚拟化NFV架构中NFV管理和流程编排***MANO示意框图。应理解,图7所示的MANO700能够实现图2至图4方法实施例中涉及MANO的各个过程,MANO700的具体功能可参见上述方法实施例中的描述,为避免重复,此处适当省略详述描述。
图7所示MANO700包括:处理器710、存储器720、总线***730和收发器740。其中,处理器710、存储器720和收发器740通过总线***730相连,该存储器720用于存储指令,该处理器710用于执行该存储器720存储的指令确定存储网元,该存储网元用于存储虚拟化的网络功能组件VNFC的证书,该存储网元不同于该VNFC;在该存储网元中创建存储空间,该存储空间用于存储该VNFC的证书;收发器740用于将该存储空间的地址发送给该VNFC。
以便于该VNFC访问该存储空间的地址,获取该VNFC的证书并直接使用该存储网元中存储的该证书与其他网元通信,该VNFC本地不存储该证书。
因此,本发明实施例通过将VNFC的证书存储在存储网元中,该VNFC本地不存储该证书,而是直接使用该存储网元中存储的该证书与其他网元通信,由于VNFC本地不存储证书,进而避免了VNFC本地拷贝存储、更新、 删除证书等操作,进而能够实现有效地管理NFV架构中的证书。
上述本发明实施例揭示的方法可以应用于处理器710中,或者由处理器710实现。处理器710可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器710中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器710可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存取存储器(Random Access Memory,RAM)、闪存、只读存储器(Read-Only Memory,ROM)、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器720,处理器710读取存储器720中的信息,结合其硬件完成上述方法的步骤,该总线***730除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线***730。
可选地,作为另一实施例,处理器710具体用于在该VNFC申请证书之前或在申请证书过程中,确定存储该VNFC的证书的存储网元。
可选地,作为另一实施例,收发器740具体用于将该存储空间的地址写入该证书的存储及管理信息中,将该证书的存储及管理信息发送给该VNFC。
进一步地,作为另一实施例,收发器740具体用于
在该VNFC实例化与该VNFC申请证书同时进行的过程中,
或者,在该VNFC扩容与该VNFC申请证书同时进行的过程中,
或者,在该VNFC实例化完成后,该VNFC申请证书过程中,
或者,在该VNFC扩容后,该VNFC申请证的过程中,
将该证书的存储及管理信息发送给该VNFC。
可选地,作为另一实施例,收发器740还用于获取该VNFC的第一指示信息,该第一指示信息位于该VNFC的实例化请求消息或虚拟化的网络功能组件描述器VNFCD中,该第一指示信息用于指示该存储网元,
处理器710具体用于根据该VNFC的第一指示信息,确定该存储网元。
进一步地,作为另一实施例,该第一指示消息还用于指示该证书的管理网元,该管理网元用于对该证书进行更新或废除管理。
可替代地,作为另一实施例,收发器740还用于获取创建该VNFC的第二指示消息,该第二指示信息位于该VNFC的实例化请求消息或VNFCD中,该第二指示消息用于指示决策网元,该决策网元用于确定该证书的存储网元,
处理器710具体用于根据该决策网元的确定结果,确定该存储网元。
进一步地,作为另一实施例,该决策网元还用于确定该证书的管理网元,该管理网元用于对该证书进行更新或废除管理。
可替代地,作为另一实施例,该处理器710具体用于根据管理策略确定该存储网元。
进一步地,作为另一实施例,该处理器710还用于根据管理策略确定该证书的管理网元,该管理网元用于对该证书进行更新或废除管理。
可选地,作为另一实施例,该存储网元为虚拟网络功能编排器NFVO、虚拟网络功能管理器VNFM或虚拟化基础设施管理器VIM,该管理网元为NFVO、NVFM或VIM;或者,该存储网元为虚拟机VM,该管理网元为NFVO、VFVM、VIM或主虚拟化的网络功能组件Master VNFC;或者,该存储网元为Master VNFC,该管理网元为Master VNFC。
可选地,作为另一实施例,该VNFC的证书为该VNFC经过证书管理机构CA登记认证后的证书。
图8是根据本发明另一实施例的NFV架构中VNFC的示意框图。应理解,图8所示的VNFC800能够实现图2至图4方法实施例中涉及VNFC的各个过程,VNFC800中的各个模块的操作和/或功能,分别为了实现图2至图4中的方法实施例中的相应流程,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详述描述。
如图8所示,VNFC800包括:处理器810、存储器820、总线***830和收发器840。其中,处理器810、存储器820和收发器840通过总线***830相连,该存储器820用于存储指令,该处理器810用于执行该存储器820存储的指令。
收发器840用于接收MANO发送的存储空间的地址,该存储空间用于 存储该VNFC的证书,该存储空间位于存储网元中,该存储网元不同于该VNFC;处理器810用于访问该存储空间的地址,获取该VNFC的证书。
在该VNFC获得证书后,可以直接使用该证书与其他网元通信,该VNFC本地不存储该证书。
因此,本发明实施例通过VNFC直接在存储网元中获取该证书与其他网元通信,该VNFC本地不存储该证书。由于VNFC本地不存储证书,进而避免了VNFC本地拷贝存储、更新、删除证书等操作,进而能够实现了有效地管理NFV架构中的证书。
上述本发明实施例揭示的方法可以应用于处理器810中,或者由处理器810实现。处理器810可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器810中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器810可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存取存储器(Random Access Memory,RAM)、闪存、只读存储器(Read-Only Memory,ROM)、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器820,处理器810读取存储器820中的信息,结合其硬件完成上述方法的步骤,该总线***830除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线***830。
可选地,作为另一实施例,处理器810用于向证书管理机构CA登记认证,获得该证书;收发器840还用于向该存储网元发送该证书,以便该存储网元在该存储空间中存储该证书。
可选地,作为另一实施例,收发器840还用于接收管理网元发送的证书无效指示消息;处理器810还用于根据该无效指示消息,删除该存储空间的地址或设置该存储空间地址无效。
图9是根据本发明一个实施例的网络功能虚拟化NFV***示意框图。图9所示的NFV***900包括NFV管理和流程编排***MANO910、虚拟化的网络功能组件VNFC920、存储网元930和管理网元940。
具体地,MANO910与图5或图7所示的NFV管理和流程编排***MANO相对应、VNFC920与图6或图8所示的虚拟化的网络功能组件VNFC相对应;该存储网元930用于存储该VNFC的证书,该存储网元930不同于该VNFC920;该管理网元940用于对该证书进行更新或废除管理。
应理解,图9所示的NFV***可以实现图1至图4方法实施例中的各个过程,NFV***900中的各个模块的操作和/或功能,分别为了实现图2至图4中的方法实施例中的相应流程,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详述描述。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
另外,本文中术语“***”和“网络”在本文中常被可互换使用。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
应理解,在本发明实施例中,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执 行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可以用硬件实现,或固件实现,或它们的组合方式来实现。当使用软件实现时,可以将上述功能存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于:计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。此外。任何连接可以适当的成为计算机可读介质。例如,如果软件 是使用同轴电缆、光纤光缆、双绞线、数字用户线(DSL)或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或者其他远程源传输的,那么同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线和微波之类的无线技术包括在所属介质的定影中。如本发明所使用的,盘(Disk)和碟(disc)包括压缩光碟(CD)、激光碟、光碟、数字通用光碟(DVD)、软盘和蓝光光碟,其中盘通常磁性的复制数据,而碟则用激光来光学的复制数据。上面的组合也应当包括在计算机可读介质的保护范围之内。
总之,以上所述仅为本发明技术方案的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (31)

  1. 一种网络功能虚拟化NFV架构中证书的管理方法,其特征在于,包括:
    NFV管理和流程编排***MANO确定存储网元,所述存储网元用于存储虚拟化的网络功能组件VNFC的证书,所述存储网元不同于所述VNFC;
    所述MANO在所述存储网元中创建存储空间,所述存储空间用于存储所述VNFC的证书;
    所述MANO将所述存储空间的地址发送给所述VNFC。
  2. 根据权利要求1所述的方法,其特征在于,所述NFV管理和流程编排***MANO确定存储网元,包括:
    在所述VNFC申请证书之前或在申请证书过程中,所述MANO确定存储所述VNFC的证书的存储网元。
  3. 根据权利要求1或2所述的方法,其特征在于,所述MANO将所述存储空间的地址发送给所述VNFC包括:
    所述MANO将所述存储空间的地址写入所述证书的存储及管理信息中;
    所述MANO将所述证书的存储及管理信息发送给所述VNFC。
  4. 根据权利要求3所述的方法,其特征在于,所述MANO将所述证书的存储及管理信息发送给所述VNFC包括:
    在所述VNFC实例化与所述VNFC申请证书同时进行的过程中,
    或者,在所述VNFC扩容与所述VNFC申请证书同时进行的过程中,
    或者,在所述VNFC实例化完成后,所述VNFC申请证书过程中,
    或者,在所述VNFC扩容后,所述VNFC申请证的过程中,
    所述MANO将所述证书的存储及管理信息发送给所述VNFC。
  5. 根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
    所述MANO获取所述VNFC的第一指示信息,所述第一指示信息位于所述VNFC的实例化请求消息或虚拟化的网络功能组件描述器VNFCD中,所述第一指示信息用于指示所述存储网元;
    所述MANO确定存储网元,包括:
    所述MANO根据所述VNFC的第一指示信息,确定所述存储网元。
  6. 根据权利要求5所述的方法,其特征在于,所述第一指示消息还用于指示所述证书的管理网元,所述管理网元用于对所述证书进行更新或废除管理。
  7. 根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
    所述MANO获取所述VNFC的第二指示消息,所述第二指示信息位于所述VNFC的实例化请求消息或VNFCD中,所述第二指示消息用于指示决策网元,所述决策网元用于确定所述证书的存储网元,
    所述MANO确定存储网元,包括:
    所述MANO根据所述决策网元的确定结果,确定所述存储网元。
  8. 根据权利要求7所述的方法,其特征在于,
    所述决策网元还用于确定所述证书的管理网元,所述管理网元用于对所述证书进行更新或废除管理。
  9. 根据权利要求1至4中任一项所述的方法,其特征在于,所述MANO确定存储网元,包括:
    所述MANO根据管理策略,确定所述存储网元。
  10. 根据权利要求9所述的方法,其特征在于,所述方法还包括:
    所述MANO根据管理策略确定所述证书的管理网元,所述管理网元用于对所述证书进行更新或废除管理。
  11. 根据权利要求6、8或10中任一项所述的方法,其特征在于,
    所述存储网元为虚拟网络功能编排器NFVO、虚拟网络功能管理器VNFM或虚拟化基础设施管理器VIM,所述管理网元为NFVO、NVFM或VIM;
    或者,
    所述存储网元为虚拟机VM,所述管理网元为NFVO、VFVM、VIM或主虚拟化的网络功能组件Master VNFC;
    或者,
    所述存储网元为Master VNFC,所述管理网元为Master VNFC。
  12. 根据权利要求1至11中任一项所述的方法,其特征在于,
    所述VNFC的证书为所述VNFC经过证书管理机构CA登记认证后的证书。
  13. 一种网络功能虚拟化NFV架构中证书的管理方法,其特征在于,包括:
    虚拟化的网络功能组件VNFC接收NFV管理和流程编排***MANO发送的存储空间的地址,所述存储空间用于存储所述VNFC的证书,所述存储空间位于存储网元中,所述存储网元不同于所述VNFC;
    所述VNFC访问所述存储空间的地址,获取所述VNFC的证书。
  14. 根据权利要求13所述的方法,其特征在于,在虚拟化的网络功能组件VNFC接收MANO发送的存储空间的地址之前,所述方法还包括:
    所述VNFC向证书管理机构CA登记认证,获得所述证书,
    所述VNFC向所述存储网元发送所述证书,以便所述存储网元在所述存储空间中存储所述证书。
  15. 根据权利要求13或14所述的方法,其特征在于,所述方法还包括:
    所述VNFC接收管理网元发送的证书无效指示消息,
    所述VNFC根据所述无效指示消息,删除所述存储空间的地址或设置所述存储空间地址无效。
  16. 一种网络功能虚拟化NFV架构中NFV管理和流程编排***MANO,其特征在于,包括:
    第一确定单元,用于确定存储网元,所述存储网元用于存储虚拟化的网络功能组件VNFC的证书,所述存储网元不同于所述VNFC;
    创建单元,用于在所述存储网元中创建存储空间,所述存储空间用于存储所述VNFC的证书;
    发送单元,用于将所述存储空间的地址发送给所述VNFC。
  17. 根据权利要求16所述的MANO,其特征在于,
    所述第一确定单元具体用于在所述VNFC申请证书之前或在申请证书过程中,确定存储所述VNFC的证书的存储网元。
  18. 根据权利要求16或17所述的MANO,其特征在于,
    所述发送单元具体用于将所述存储空间的地址写入所述证书的存储及管理信息中,将所述证书的存储及管理信息发送给所述VNFC。
  19. 根据权利要求18所述的MANO,其特征在于,
    所述发送单元具体用于
    在所述VNFC实例化与所述VNFC申请证书同时进行的过程中,
    或者,在所述VNFC扩容与所述VNFC申请证书同时进行的过程中,
    或者,在所述VNFC实例化完成后,所述VNFC申请证书过程中,
    或者,在所述VNFC扩容后,所述VNFC申请证的过程中,
    将所述证书的存储及管理信息发送给所述VNFC。
  20. 根据权利要求16至19中任一项所述的MANO,其特征在于,所述MANO还包括:
    第一获取单元,用于获取所述VNFC的第一指示信息,所述第一指示信息位于所述VNFC的实例化请求消息或虚拟化的网络功能组件描述器VNFCD中,所述第一指示信息用于指示所述存储网元,
    所述第一确定单元具体用于根据所述VNFC的第一指示信息,确定所述存储网元。
  21. 根据权利要求20所述的MANO,其特征在于,
    所述第一指示消息还用于指示所述证书的管理网元,所述管理网元用于对所述证书进行更新或废除管理。
  22. 根据权利要求16至19中任一项所述的MANO,其特征在于,所述MANO还包括:
    第二获取单元,用于获取创建所述VNFC的第二指示消息,所述第二指示信息位于所述VNFC的实例化请求消息或VNFCD中,所述第二指示消息用于指示决策网元,所述决策网元用于确定所述证书的存储网元,
    所述第一确定单元具体用于根据所述决策网元的确定结果,确定所述存储网元。
  23. 根据权利要求22所述的MANO,其特征在于,
    所述决策网元还用于确定所述证书的管理网元,所述管理网元用于对所述证书进行更新或废除管理。
  24. 根据权利要求16至19中任一项所述的MANO,其特征在于,
    所述第一确定单元具体用于根据管理策略确定所述存储网元。
  25. 根据权利要求24所述的MANO,其特征在于,所述MANO还包括:
    第二确定单元,用于根据管理策略确定所述证书的管理网元,所述管理网元用于对所述证书进行更新或废除管理。
  26. 根据权利要求21、23或25中任一项所述的MANO,其特征在于,
    所述存储网元为虚拟网络功能编排器NFVO、虚拟网络功能管理器VNFM或虚拟化基础设施管理器VIM,所述管理网元为NFVO、NVFM或VIM;
    或者,所述存储网元为虚拟机VM,所述管理网元为NFVO、VFVM、VIM或主虚拟化的网络功能组件Master VNFC;
    或者,所述存储网元为Master VNFC,所述管理网元为Master VNFC。
  27. 根据权利要求16至26中任一项所述的MANO,其特征在于,
    所述VNFC的证书为所述VNFC经过证书管理机构CA登记认证后的证书。
  28. 一种网络功能虚拟化NFV架构中虚拟化的网络功能组件VNFC,其特征在于,包括:
    第一接收单元,用于接收NFV管理和流程编排***MANO发送的存储空间的地址,所述存储空间用于存储所述VNFC的证书,所述存储空间位于存储网元中,所述存储网元不同于所述VNFC;
    获取单元,用于访问所述存储空间的地址,获取所述VNFC的证书。
  29. 根据权利要求28所述的VNFC,其特征在于,还包括:
    认证单元,用于向证书管理机构CA登记认证,获得所述证书;
    发送单元,用于向所述存储网元发送所述证书,以便所述存储网元在所述存储空间中存储所述证书。
  30. 根据权利要求28或29所述的VNFC,其特征在于,还包括:
    第二接收单元,用于接收管理网元发送的证书无效指示消息;
    删除单元,用于根据所述无效指示消息,删除所述存储空间的地址或设置所述存储空间地址无效。
  31. 一种网络功能虚拟化NFV***,其特征在于,包括:
    如权利要求16至27中任一项所述的NFV管理和流程编排***MANO、如权利要求28至30中任一项所述的拟化的网络功能组件VNFC、存储网元和管理网元;
    所述存储网元用于存储所述VNFC的证书,所述存储网元不同于所述VNFC;
    所述管理网元用于对所述证书进行更新或废除管理。
CN201580030477.7A 2015-10-21 2015-10-21 网络功能虚拟化架构中证书的管理方法及装置 Active CN108028827B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2015/092386 WO2017066931A1 (zh) 2015-10-21 2015-10-21 网络功能虚拟化架构中证书的管理方法及装置

Publications (2)

Publication Number Publication Date
CN108028827A true CN108028827A (zh) 2018-05-11
CN108028827B CN108028827B (zh) 2020-09-29

Family

ID=58556615

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201580030477.7A Active CN108028827B (zh) 2015-10-21 2015-10-21 网络功能虚拟化架构中证书的管理方法及装置

Country Status (6)

Country Link
US (1) US11070541B2 (zh)
EP (1) EP3355543B1 (zh)
KR (1) KR20180066148A (zh)
CN (1) CN108028827B (zh)
SG (1) SG11201802845YA (zh)
WO (1) WO2017066931A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113746802A (zh) * 2021-08-02 2021-12-03 北京邮电大学 网络功能虚拟化中的方法以及本地状态和远程状态全存储的vnf装置
WO2023246287A1 (zh) * 2022-06-23 2023-12-28 中兴通讯股份有限公司 安全通道建立方法、***及存储介质

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3380940A1 (en) * 2015-11-24 2018-10-03 NEC Laboratories Europe GmbH A method and network for managing and orchestrating virtual network functions and network applications
CN109479065B (zh) * 2016-04-25 2021-04-09 华为技术有限公司 边缘服务器及其操作方法
US10318723B1 (en) * 2016-11-29 2019-06-11 Sprint Communications Company L.P. Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications
JP7208707B2 (ja) * 2017-02-17 2023-01-19 キヤノン株式会社 情報処理装置及びその制御方法とプログラム
CN109756356B (zh) * 2017-11-07 2021-09-21 华为技术有限公司 设备升级方法及装置
CN112688904A (zh) * 2019-10-18 2021-04-20 中兴通讯股份有限公司 一种安全通道建立方法、电子设备及存储介质
US20210377054A1 (en) * 2020-05-26 2021-12-02 Verizon Patent And Licensing Inc. Systems and methods for managing public key infrastructure certificates for components of a network
US11743106B2 (en) 2021-10-08 2023-08-29 Dell Products L.P. Rapid appraisal of NIC status for high-availability servers

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050014394A (ko) * 2003-07-31 2005-02-07 에스케이 텔레콤주식회사 무선 인터넷을 위한 무선 인증서 상태 관리 시스템 및방법과 이를 이용한 무선 인증서 상태 검증 방법
CN1799240A (zh) * 2002-03-20 2006-07-05 捷讯研究有限公司 证书信息存储***和方法
KR100730164B1 (ko) * 2005-11-18 2007-06-19 삼성에스디아이 주식회사 디스플레이 패널의 구동장치
CN103257934A (zh) * 2013-04-12 2013-08-21 广东数字证书认证中心有限公司 数字证书的存储、获取方法和装置
US20140052877A1 (en) * 2012-08-16 2014-02-20 Wenbo Mao Method and apparatus for tenant programmable logical network for multi-tenancy cloud datacenters
KR20140096594A (ko) * 2013-01-28 2014-08-06 이니텍(주) 인증서를 클라우드 저장소 서버가 관리하는 방법
EP2782291A1 (en) * 2013-03-20 2014-09-24 Wolting Holding B.V. Compiler for and method of software defined networking
WO2014176105A1 (en) * 2013-04-22 2014-10-30 Cisco Technology, Inc. App store portal providing point-and-click deployment of third-party virtualized network functions
US20150063166A1 (en) * 2013-08-27 2015-03-05 Futurewei Technologies, Inc. System and Method for Mobile Network Function Virtualization
CN104580208A (zh) * 2015-01-04 2015-04-29 华为技术有限公司 一种身份认证方法及装置
CN104636184A (zh) * 2014-12-29 2015-05-20 上海华为技术有限公司 虚拟机实例的部署方法和装置及设备
US20150254451A1 (en) * 2014-03-04 2015-09-10 Amazon Technologies, Inc. Authentication of virtual machine images using digital certificates
WO2015135611A1 (en) * 2014-03-10 2015-09-17 Nokia Solutions And Networks Oy Notification about virtual machine live migration to vnf manager

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7047415B2 (en) * 1997-09-22 2006-05-16 Dfs Linkages, Inc. System and method for widely witnessed proof of time
JP4915182B2 (ja) 2006-09-12 2012-04-11 コニカミノルタホールディングス株式会社 情報の管理方法及び情報処理装置
US9003201B2 (en) 2008-02-26 2015-04-07 David Pohm Hardware protection for encrypted strings and protection of security parameters
US20090239503A1 (en) * 2008-03-20 2009-09-24 Bernard Smeets System and Method for Securely Issuing Subscription Credentials to Communication Devices
JP4342595B1 (ja) * 2008-05-09 2009-10-14 株式会社東芝 情報処理装置、情報処理システム、および暗号化情報管理方法
US8341625B2 (en) 2008-05-29 2012-12-25 Red Hat, Inc. Systems and methods for identification and management of cloud-based virtual machines
CN101572707B (zh) 2009-05-31 2012-08-08 成都市华为赛门铁克科技有限公司 一种证书状态的验证方法、装置和***
US20120054486A1 (en) * 2010-08-31 2012-03-01 MindTree Limited Securing A Virtual Environment And Virtual Machines
EP2939368A4 (en) * 2012-12-31 2016-01-13 Aastra Technologies Ltd REMOTE VPN SUPPLY OF A TERMINAL POINT
US9237021B2 (en) * 2013-03-15 2016-01-12 Hewlett Packard Enterprise Development Lp Certificate grant list at network device
EP3107246B1 (en) 2014-03-26 2019-05-22 Huawei Technologies Co., Ltd. Network function virtualization-based certificate configuration
JP6311196B2 (ja) 2014-05-08 2018-04-18 華為技術有限公司Huawei Technologies Co.,Ltd. 証明書取得方法およびデバイス
EP3770781B1 (en) * 2014-09-30 2022-06-08 Citrix Systems, Inc. Fast smart card logon and federated full domain logon
CN104980438B (zh) 2015-06-15 2018-07-24 中国科学院信息工程研究所 一种虚拟化环境中数字证书撤销状态检查的方法和***

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1799240A (zh) * 2002-03-20 2006-07-05 捷讯研究有限公司 证书信息存储***和方法
KR20050014394A (ko) * 2003-07-31 2005-02-07 에스케이 텔레콤주식회사 무선 인터넷을 위한 무선 인증서 상태 관리 시스템 및방법과 이를 이용한 무선 인증서 상태 검증 방법
KR100730164B1 (ko) * 2005-11-18 2007-06-19 삼성에스디아이 주식회사 디스플레이 패널의 구동장치
US20140052877A1 (en) * 2012-08-16 2014-02-20 Wenbo Mao Method and apparatus for tenant programmable logical network for multi-tenancy cloud datacenters
KR20140096594A (ko) * 2013-01-28 2014-08-06 이니텍(주) 인증서를 클라우드 저장소 서버가 관리하는 방법
EP2782291A1 (en) * 2013-03-20 2014-09-24 Wolting Holding B.V. Compiler for and method of software defined networking
CN103257934A (zh) * 2013-04-12 2013-08-21 广东数字证书认证中心有限公司 数字证书的存储、获取方法和装置
WO2014176105A1 (en) * 2013-04-22 2014-10-30 Cisco Technology, Inc. App store portal providing point-and-click deployment of third-party virtualized network functions
US20150063166A1 (en) * 2013-08-27 2015-03-05 Futurewei Technologies, Inc. System and Method for Mobile Network Function Virtualization
US20150254451A1 (en) * 2014-03-04 2015-09-10 Amazon Technologies, Inc. Authentication of virtual machine images using digital certificates
WO2015135611A1 (en) * 2014-03-10 2015-09-17 Nokia Solutions And Networks Oy Notification about virtual machine live migration to vnf manager
CN104636184A (zh) * 2014-12-29 2015-05-20 上海华为技术有限公司 虚拟机实例的部署方法和装置及设备
CN104580208A (zh) * 2015-01-04 2015-04-29 华为技术有限公司 一种身份认证方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ETSI: "Network Functions Virtualisation(NFV);Management and Orchestration", 《ETSI GS NFV-MAN 001 V1.1.1(2014.12)》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113746802A (zh) * 2021-08-02 2021-12-03 北京邮电大学 网络功能虚拟化中的方法以及本地状态和远程状态全存储的vnf装置
WO2023246287A1 (zh) * 2022-06-23 2023-12-28 中兴通讯股份有限公司 安全通道建立方法、***及存储介质

Also Published As

Publication number Publication date
SG11201802845YA (en) 2018-05-30
CN108028827B (zh) 2020-09-29
WO2017066931A1 (zh) 2017-04-27
US11070541B2 (en) 2021-07-20
EP3355543A1 (en) 2018-08-01
EP3355543B1 (en) 2019-08-28
KR20180066148A (ko) 2018-06-18
EP3355543A4 (en) 2018-10-24
US20180248867A1 (en) 2018-08-30

Similar Documents

Publication Publication Date Title
CN108028827A (zh) 网络功能虚拟化架构中证书的管理方法及装置
US10205719B2 (en) Network function virtualization-based certificate configuration method, apparatus, and system
US10140112B2 (en) Update management system and update management method
US9672502B2 (en) Network-as-a-service product director
CN111221619B (zh) 一种业务开通和编排的方法、装置及设备
CN104025052B (zh) 使用3gpp mcim的虚拟机迁移方法和电信网络实体
CN107357660A (zh) 一种虚拟资源的分配方法及装置
US9348646B1 (en) Reboot-initiated virtual machine instance migration
US20160285913A1 (en) Creating network isolation between virtual machines
WO2016037479A1 (zh) 虚拟化网络功能vnf优化方法、装置及***
KR20180002771A (ko) 네트워크 서비스 수명 주기 관리 방법 및 디바이스
CN107749807B (zh) 一种面向nfv的网络功能验证方法及验证***
US9894144B2 (en) Application level mirroring in distributed overlay virtual networks
WO2017161562A1 (zh) 网络功能虚拟化环境下应用的管理方法和装置
WO2016150139A1 (zh) 一种建立网络业务实例的方法和装置
KR20180006971A (ko) 하드웨어 가속 방법 및 관련 장치
WO2016155291A1 (zh) 一种虚拟化网络功能伸缩的管理方法及装置
Bastin et al. The InstaGENI initiative: An architecture for distributed systems and advanced programmable networks
US10277422B2 (en) Virtual port support in a logical switch architecture
Martínez et al. Network slicing resource allocation and monitoring over multiple clouds and networks
US10171292B1 (en) Deploying a cloud infrastructure in a remote site
CN114270785A (zh) 设定装置、通信***、设定方法以及程序
CN106302626A (zh) 一种弹性扩容方法、装置及***
WO2018039878A1 (zh) 一种虚拟资源的管理方法、装置及***
US20140047083A1 (en) Administration information generation method, administration information generation program, and administration information generation device

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant