Способ и устройство для получения сертификата
Патент 2646317
Авторы
Правообладатели
Классы МПК
- H04L11/15 - Передача дискретной информации, например телеграфная связь (пишущие машины B41J; телеграфные системы G08B; оптические телеграфные аппараты G08B,G08C; фототелеграфные системы G08C; шифровальные или дешифровальные устройства как таковые G09C; кодирование, декодирование или преобразование кода вообще H03M; устройства, применяемые как для телеграфной, так и для телефонной связи H04M; избирательные устройства H04Q)
- H04L9/04 - Устройство для секретной или скрытой связи (способы расширения спектра вообще H04B 1/69)
- H04L9/08 - с ключевым распределением
- H04L9/14 - с использованием нескольких ключей или алгоритмов
- H04L9/30 - открытого ключа, т.е. алгоритма шифрования, не преобразуемого вычислительными средствами, и шифровальных ключей пользователей, не требующих секретности
- H04L9/32 - со средствами для установления личности или полномочий пользователя системы (вычислительные системы G06F; безмонетные или подобные автоматы для карт с опознавательным кодом или для кредитных карт G07F 7/08)
- H04L12/28 - отличающиеся конфигурацией сети, например локальные сети (LAN), глобальные сети (WAN)
Способ и устройство для получения сертификата
Иллюстрации
Изобретение относится к устройству и способу получения сертификата при развертывании виртуальных сетей. Технический результат заключается в повышении безопасности сети и эффективности работы устройства получения сертификата. Устройство содержит модуль (51) приема сообщения-представления применения сертификата, отправляемого вновь установленным экземпляром компонента виртуализированной сетевой функции (VNFC), которое содержит открытый ключ, используемый вновь установленным экземпляром VNFC для применения сертификата; модуль (52) отправки сообщения-запроса сертификата в сертифицирующий орган в соответствии с сообщением-представлением применения сертификата на выдачу сертификата вновь установленному экземпляру VNFC, которое содержит сертификат ведущего экземпляра VNFC и открытый ключ, используемый вновь установленным экземпляром VNFC для применения сертификата; и модуль (53) получения сертификата, выдаваемого сертифицирующим органом, путем использования открытого ключа, используемого вновь установленным экземпляром VNFC для применения сертификата. 3 н. и 12 з.п. ф-лы, 11 ил.
Реферат
ОБЛАСТЬ ТЕХНИКИ
Настоящее изобретение относится к области развертывания виртуальных сетей и, в частности, к способу и устройству для получения сертификата.
УРОВЕНЬ ТЕХНИКИ
NFV (Network Function Virtualization, виртуализация сетевых функций) является организацией по стандартизации, созданной с целью «виртуализации обычных сетей», и формулирует совокупность стандартов развертывания сетей в среде виртуализации. С помощью стандартов, формулируемых организацией NFV, могут быть реализованы такие возможности, как виртуализация сетей и гибкое развертывание.
Поскольку в технологию NFV вводится VNF (Virtualized Network Function, виртуализированная сетевая функция), архитектура обычной сети СТ и архитектура сетевого узла претерпевают относительно существенные изменения. В новой архитектуре телекоммуникации обычный физический коммуникационный узел развивается в виртуальный узел в виртуальном устройстве и существует в виде виртуальной машины. Таким образом, множество обычных физических узлов совместно развертывается в обычной физической хост-машине для совместного использования аппаратных ресурсов и даже использования ресурсов совместно с другим прикладным программным средством сторонней фирмы, тем самым повышая эффективность связи между различными виртуальными машинами в одном и том же виртуальном устройстве.
Например, сеть с обычным IP (Internet Protocol, сетевым протоколом) развивается в виртуальную сеть с помощью виртуального коммутатора и виртуального сетевого адаптера, при этом связь осуществляется между различными виртуальными машинами с помощью виртуальной сети таким образом, что обычное физическое сетевое устройство обходится.
Виртуальная сеть - такая же, как и обычная сеть, при этом и связь, осуществляемая между виртуальными машинами в виртуальной сети, и связь, осуществляемая между виртуальной машиной и внешней сетью, сталкиваются с риском нарушения безопасности сети. Например, виртуальные машины атакуют друг друга, либо приложение хост-машины осуществляет атаку с помощью взаимодействия с сетью виртуальной машины. Следовательно, устанавливается защищенное соединение между виртуальными машинами по виртуальной сети путем использования технологии обеспечения защиты (например, технологии IPSec или технологии TLS (Защиты Транспортного Уровня, протокола защиты транспортного уровня)). В вышеуказанной технологии обеспечения защиты две виртуальные машины, которые связываются друг с другом, должны быть конфигурированы с использованием сертификата, основанного на X.509, для реализации взаимной аутентификации стороной однорангового узла связи.
В сценарии виртуализации VNF является группой программных средств и инстанцируется при необходимости. Инстанцирование VNF относится к процессу определения требуемых ресурсов виртуализации, выделения требуемых ресурсов виртуализации одной отдельной части программных средств VNF и установки программных средств VNF. Инстанцированная VNF не является обычной аппаратной сущностью и не всегда существует, а формируется в программном виде в соответствии с необходимостью и существует динамически, при этом физическое местоположение, в котором устанавливается инстанцированная VNF, не является фиксированным. Следовательно, способ конфигурирования сертификата обычной сущности не применим к виртуальным программным средствам, например, VNF.
Для конфигурирования сертификата для VNF в соответствии с одним из признаков VNF способ конфигурирования сертификата обеспечивается в настоящий момент, то есть, в процессе инстанцирования VNF оператор конфигурирует исходный сертификат для инстанцированной VNF и устанавливает исходный сертификат на инстанцированную VNF; инстанцированная VNF использует исходный сертификат для получения сертификата от сертифицирующего органа (СА, Сертифицирующего Органа).
При применении на практике в качестве компонента VNF используется VNFC (Компонент Виртуализированной Сетевой Функции), и способ получения VNFC сертификата, выдаваемого СА, является таким же, как и способ получения VNF сертификата. То есть, когда инстанцируется VNF, исходный сертификат конфигурируется для каждого VNFC, при этом исходный сертификат успешно устанавливается после того, как инстанцирован VNFC; затем экземпляр VNFC использует исходный сертификат, чтобы обратиться за формальным сертификатом к СА. После того, как введен исходный сертификат, процесс получения VNF сертификата является относительно сложным, и закрытый ключ, связанный с исходным сертификатом, сталкивается с риском утечки в процессе передачи, что снижает безопасность получения VNF сертификата.
Однако в сценарии NFV VNF может иметь множество вариантов осуществления. В процессе использования для улучшения производительности сети может понадобиться добавление нового VNFC. Если вновь добавленному VNFC необходимо связываться с внешней средой, вновь добавленному VNFC необходимо получить сертификат, но если все еще применяется вышеуказанный способ использования исходного сертификата для получения формального сертификата, процесс является трудоемким и становится более сложным, и, кроме того, система реагирует менее быстро и работает менее эффективно.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
В свете вышеизложенного, в вариантах осуществления настоящего изобретения предлагаются способ и устройство получения сертификата, которые используются для решения проблемы того, как вновь добавленный VNFC в VNF получает сертификат для повышения скорости реагирования системы и повышения эффективности работы системы.
В соответствии с первым аспектом настоящего изобретения, предлагается устройство получения сертификата, включающее в себя:
модуль приема, выполненный с возможностью приема сообщения-представления применения сертификата, отправляемого вновь установленным экземпляром компонента виртуализированной сетевой функции (VNFC), причем, сообщение-представление применения сертификата включает в себя открытый ключ, используемый вновь установленным экземпляром VNFC для применения сертификата;
модуль отправки, выполненный с возможностью отправки сообщения-запроса сертификата в сертифицирующий орган в соответствии с сообщением-представлением применения сертификата, принимаемым модулем приема, для запроса в сертифицирующий орган на выдачу сертификата вновь установленному экземпляру VNFC, причем, сообщение-запрос сертификата включает в себя сертификат ведущего экземпляра VNFC и открытый ключ, используемый вновь установленным экземпляром VNFC для применения сертификата; и
модуль получения, выполненный с возможностью получения сертификата, выдаваемого сертифицирующим органом, причем, сертификат выдается сертифицирующим органом путем использования открытого ключа, используемого вновь установленным экземпляром VNFC для применения сертификата.
Со ссылкой на возможный способ реализации первого аспекта настоящего изобретения, в первом возможном способе реализации устройство дополнительно включает в себя: модуль аутентификации, причем
модуль приема дополнительно выполнен с возможностью: перед тем, как модуль получения получает сертификат, выдаваемый сертифицирующим органом - приема сообщения-ответа на сертификат, отправляемого сертифицирующим органом; и
модуль аутентификации выполнен с возможностью выполнения аутентификации по сообщению-ответу на сертификат, принимаемому модулем приема.
Со ссылкой на первый возможный способ реализации первого аспекта первого аспекта настоящего изобретения, во втором возможном способе реализации сообщение-ответ на сертификат включает в себя сертификат, выдаваемый сертифицирующим органом; и
модуль получения, в частности, выполнен с возможностью: когда модуль аутентификации определяет, что сообщение-ответ на сертификат аутентифицировано - получения сертификата, который выдан сертифицирующим органом вновь установленному экземпляру VNFC и который включен в сообщение-ответ на сертификат, причем, сертификат вновь установленного экземпляра VNFC получается сертифицирующим органом путем подписания - после того, как сообщение-запрос применения сертификата, отправленное ведущим VNFC, аутентифицировано в соответствии с сертификатом ведущего экземпляра VNFC - открытого ключа, который используется вновь установленным экземпляром VNFC для применения сертификата и который включен в сообщение-запрос сертификата.
Со ссылкой на возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации первого аспекта настоящего изобретения, в третьем возможном способе реализации сообщение-представление применения сертификата и сообщение-ответ на сертификат дополнительно включают в себя информацию о подтверждении правильности (РОР) закрытого ключа.
Со ссылкой на третий возможный способ реализации первого аспекта настоящего изобретения, в четвертом возможном способе реализации информация о РОР получается вновь установленным экземпляром VNFC путем использования закрытого ключа в паре закрытого и открытого ключей для подписания поля ключа подписи подтверждения правильности закрытого ключа.
Со ссылкой на возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на третий возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на четвертый возможный способ реализации первого аспекта настоящего изобретения, в пятом возможном способе реализации пара закрытого и открытого ключей, используемая вновь установленным экземпляром VNFC, получается следующим образом:
формирование вновь установленным экземпляром VNFC пары закрытого и открытого ключей; или
формирование инфраструктурой виртуализации сетевой функции (NFVI) пары закрытого и открытого ключей и введение пары закрытого и открытого ключей во вновь установленный экземпляр VNFC.
Со ссылкой на возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на третий возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на четвертый возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на пятый возможный способ реализации первого аспекта настоящего изобретения, в шестом возможном способе реализации модуль отправки дополнительно выполнен с возможностью: после того, как модуль получения получает сертификат, выдаваемый сертифицирующим органом вновь установленному экземпляру VNFC - отправки во вновь установленный экземпляр VNFC с помощью внутренней сети полученного сертификата, выдаваемого сертифицирующим органом вновь установленному экземпляру VNFC.
Со ссылкой на возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на третий возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на четвертый возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на пятый возможный способ реализации первого аспекта настоящего изобретения, либо со ссылкой на шестой возможный способ реализации первого аспекта настоящего изобретения, в седьмом возможном способе реализации ведущий экземпляр VNFC и вновь установленный экземпляр VNFC являются различными компонентами одной и той же VNF на одной и той же платформе инфраструктуры виртуализации сетевой функции (NFVI).
В соответствии со вторым аспектом настоящего изобретения, предлагается устройство получения сертификата, включающее в себя:
модуль приема, выполненный с возможностью приема сообщения-запроса сертификата, отправляемого ведущим экземпляром VNFC, причем, сообщение-запрос сертификата включает в себя сертификат ведущего экземпляра VNFC и открытый ключ, используемый вновь установленным экземпляром VNFC для применения сертификата;
модуль выдачи сертификата, выполненный с возможностью выполнения аутентификации по сообщению-запросу сертификата в соответствии с сертификатом ведущего экземпляра VNFC, который принимается модулем приема, а в случае успешной аутентификации - получения выдаваемого сертификата путем подписания открытого ключа, используемого вновь установленным экземпляром VNFC для применения сертификата; и
модуль отправки, выполненный с возможностью отправки в ведущий экземпляр VNFC выдаваемого сертификата, выдаваемого модулем выдачи сертификата.
Со ссылкой на возможный способ реализации второго аспекта настоящего изобретения, в первом возможном способе реализации модуль выдачи сертификата, в частности, выполнен с возможностью выполнения аутентификации по подписи сообщения-запроса сертификата путем использования сертификата ведущего экземпляра VNFC и выполнения аутентификации по принятому сертификату ведущего экземпляра VNFC путем использования выданного корневого сертификата СА или выданного промежуточного сертификата.
Со ссылкой на возможный способ реализации второго аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации второго аспекта настоящего изобретения, во втором возможном способе реализации сообщение-запрос сертификата дополнительно включает в себя информацию о подтверждении правильности (РОР) закрытого ключа.
Со ссылкой на второй возможный способ реализации второго аспекта настоящего изобретения, в третьем возможном способе реализации модуль выдачи сертификата дополнительно выполнен с возможностью выполнения аутентификации - путем использования открытого ключа, который используется для применения сертификата и который включен в сообщение-запрос сертификата - по информации о РОР, включенной в сообщение-запрос сертификата.
В соответствии с третьим аспектом настоящего изобретения, предлагается устройство получения сертификата, включающее в себя:
модуль отправки, выполненный с возможностью отправки сообщения-представления применения сертификата в ведущий экземпляр компонента виртуализированной сетевой функции (VNFC), причем, сообщение-представление применения сертификата включает в себя открытый ключ, используемый вновь установленным экземпляром VNFC для применения сертификата, сообщение-представление применения сертификата используется для запроса ведущего экземпляра VNFC на отправку сообщения-запроса сертификата в сертифицирующий орган, сообщение-запрос сертификата используется для запроса сертифицирующего органа на выдачу сертификата вновь установленному экземпляру VNFC, при этом сообщение-запрос сертификата включает в себя сертификат ведущего экземпляра VNFC и открытый ключ, используемый вновь установленным экземпляром VNFC для применения сертификата; и
модуль приема, выполненный с возможностью приема сертификата, который выдается сертифицирующим органом и который отправляется ведущим экземпляром VNFC, причем, сертификат получается сертифицирующим органом путем подписания открытого ключа, используемого вновь установленным экземпляром VNFC для применения сертификата.
Со ссылкой на возможный способ реализации третьего аспекта настоящего изобретения, в первом возможном способе реализации модуль приема дополнительно выполнен с возможностью: перед тем, как сообщение-представление применения сертификата отправлено на ведущий VNFC - приема информации о применении сертификата, отправляемой NFVO или VNFM, причем, информация о применении сертификата включает в себя информацию о ведущем экземпляре VNFC, используемом в качестве агента для применения сертификата.
Со ссылкой на первый возможный способ реализации первого аспекта третьего аспекта настоящего изобретения, во втором возможном способе реализации устройство дополнительно включает в себя:
модуль установления, выполненный с возможностью: перед тем, как сообщение-представление применения сертификата отправлено на ведущий VNFC - установления в соответствии с информацией о применении сертификата, принимаемой модулем приема, сетевого подключения к ведущему экземпляру VNFC, используемому в качестве агента для применения сертификата, причем, указанное сетевое подключение представляет собой сетевое подключение внутри VNF на одной и той же платформе инфраструктуры виртуализации сетевой функции (NFVI).
Со ссылкой на первый возможный способ реализации первого аспекта третьего аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации третьего аспекта настоящего изобретения, в третьем возможном способе реализации модуль приема, в частности, выполнен с возможностью: во время установки - приема информации о применении сертификата, вводимой инфраструктурой виртуализации сетевой функции (NFVI).
Со ссылкой на первый возможный способ реализации первого аспекта третьего аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации третьего аспекта настоящего изобретения, либо со ссылкой на третий возможный способ реализации третьего аспекта настоящего изобретения, в четвертом возможном способе реализации информация о ведущем VNFC, используемом в качестве агента для применения сертификата, включает в себя адрес Интернет-протокола (IP), идентификатор Управления Доступом к Среде (МАС) и адрес виртуального сетевого информационного центра (NIC), которые относятся к ведущему экземпляру VNFC.
Со ссылкой на первый возможный способ реализации первого аспекта третьего аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации третьего аспекта настоящего изобретения, либо со ссылкой на третий возможный способ реализации третьего аспекта настоящего изобретения, либо со ссылкой на четвертый возможный способ реализации третьего аспекта настоящего изобретения, в пятом возможном способе реализации открытый ключ, используемый вновь установленным экземпляром VNFC для применения сертификата, получается следующим образом:
формирование вновь установленным экземпляром VNFC пары закрытого и открытого ключей; или
формирование инфраструктурой виртуализации сетевой функции (NFVI) пары закрытого и открытого ключей и введение пары закрытого и открытого ключей во вновь установленный экземпляр VNFC.
Со ссылкой на возможный способ реализации третьего аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации третьего аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации третьего аспекта настоящего изобретения, либо со ссылкой на третий возможный способ реализации третьего аспекта настоящего изобретения, либо со ссылкой на четвертый возможный способ реализации третьего аспекта настоящего изобретения, либо со ссылкой на пятый возможный способ реализации третьего аспекта настоящего изобретения, в шестом возможном способе реализации способ запуска вновь установленного экземпляра VNFC для отправки сообщения-представления применения сертификата в ведущий экземпляр VNFC включает в себя:
запуск с помощью инстанцирования VNF; либо запуск с помощью горизонтального масштабирования VNF.
В соответствии с четвертым аспектом настоящего изобретения, предлагается устройство получения сертификата, включающее в себя:
приемник сигналов, выполненный с возможностью приема сообщения-представления применения сертификата, отправляемого вновь установленным экземпляром VNFC виртуальной сетевой функции, причем, сообщение-представление применения сертификата включает в себя открытый ключ, используемый вновь установленным экземпляром VNFC для применения сертификата;
передатчик сигналов, выполненный с возможностью отправки сообщения-запроса сертификата в сертифицирующий орган в соответствии с сообщением-представлением применения сертификата для запроса в сертифицирующий орган на выдачу сертификата вновь установленному экземпляру VNFC, причем, сообщение-запрос сертификата включает в себя сертификат ведущего экземпляра VNFC и открытый ключ, используемый вновь установленным экземпляром VNFC для применения сертификата; и
процессор, выполненный с возможностью получения сертификата, выдаваемого сертифицирующим органом, причем, сертификат выдается сертифицирующим органом путем использования открытого ключа, используемого вновь установленным экземпляром VNFC для применения сертификата.
Со ссылкой на возможный способ реализации четвертого аспекта настоящего изобретения, в первом возможном способе реализации приемник сигналов дополнительно выполнен с возможностью: перед тем, как получен сертификат, выдаваемый сертифицирующим органом - приема сообщения-ответа на сертификат, отправляемого сертифицирующим органом; и
процессор дополнительно выполнен с возможностью выполнения аутентификации по принятому сообщению-ответу на сертификат.
Со ссылкой на первый возможный способ реализации первого аспекта четвертого аспекта настоящего изобретения, во втором возможном способе реализации сообщение-ответ на сертификат включает в себя сертификат, выдаваемый сертифицирующим органом; и
процессор, в частности, выполнен с возможностью: когда сообщение-ответ на сертификат аутентифицировано - получения сертификата, который выдан сертифицирующим органом вновь установленному экземпляру VNFC и который включен в сообщение-ответ на сертификат, причем, сертификат вновь установленного экземпляра VNFC получен сертифицирующим органом путем подписания - после того, как сообщение-запрос применения сертификата, отправленное ведущим VNFC, аутентифицировано в соответствии с сертификатом ведущего экземпляра VNFC - открытого ключа, который используется вновь установленным экземпляром VNFC для применения сертификата и который включен в сообщение-запрос сертификата.
Со ссылкой на возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации четвертого аспекта настоящего изобретения, в третьем возможном способе реализации сообщение-представление применения сертификата и сообщение-запрос сертификата дополнительно включают в себя информацию о подтверждении правильности (РОР) закрытого ключа.
Со ссылкой на третий возможный способ реализации четвертого аспекта настоящего изобретения, в четвертом возможном способе реализации информация о РОР получается вновь установленным экземпляром VNFC путем использования закрытого ключа в паре закрытого и открытого ключей для подписания поля ключа подписи подтверждения правильности закрытого ключа.
Со ссылкой на возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на третий возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на четвертый возможный способ реализации четвертого аспекта настоящего изобретения, в пятом возможном способе реализации пара закрытого и открытого ключей, используемая вновь установленным экземпляром VNFC, получается следующим образом:
формирование вновь установленным экземпляром VNFC пары закрытого и открытого ключей; или
формирование инфраструктурой виртуализации сетевой функции (NFVI) пары закрытого и открытого ключей и введение пары закрытого и открытого ключей во вновь установленный экземпляр VNFC.
Со ссылкой на возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на третий возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на четвертый возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на пятый возможный способ реализации четвертого аспекта настоящего изобретения, в шестом возможном способе реализации передатчик сигналов дополнительно выполнен с возможностью: после того, как получен сертификат, выдаваемый сертифицирующим органом вновь установленному экземпляру VNFC - отправки во вновь установленный экземпляр VNFC с помощью внутренней сети полученного сертификата, выдаваемого сертифицирующим органом вновь установленному экземпляру VNFC.
Со ссылкой на возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на третий возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на четвертый возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на пятый возможный способ реализации четвертого аспекта настоящего изобретения, либо со ссылкой на шестой возможный способ реализации четвертого аспекта настоящего изобретения, в седьмом возможном способе реализации ведущий экземпляр VNFC и вновь установленный экземпляр VNFC являются различными компонентами одной и той же VNF на одной и той же платформе инфраструктуры виртуализации сетевой функции (NFVI).
В соответствии с пятым аспектом настоящего изобретения, предлагается устройство получения сертификата, включающее в себя:
приемник сигналов, выполненный с возможностью приема сообщения-запроса сертификата, отправляемого ведущим экземпляром VNFC, причем, сообщение-запрос сертификата включает в себя сертификат ведущего экземпляра VNFC и открытый ключ, используемый вновь установленным экземпляром VNFC для применения сертификата;
процессор, выполненный с возможностью выполнения аутентификации по сообщению-запросу сертификата в соответствии с сертификатом ведущего экземпляра VNFC, а в случае успешной аутентификации - получения выдаваемого сертификата путем подписания открытого ключа, используемого вновь установленным экземпляром VNFC для применения сертификата; и
передатчик сигналов, выполненный с возможностью отправки выдаваемого сертификата в ведущий экземпляр VNFC.
Со ссылкой на возможный способ реализации пятого аспекта настоящего изобретения, в первом возможном способе реализации процессор, в частности, выполнен с возможностью выполнения аутентификации по подписи сообщения-запроса сертификата путем использования сертификата ведущего экземпляра VNFC и выполнения аутентификации по принятому сертификату ведущего экземпляра VNFC путем использования выданного корневого сертификата СА или выданного промежуточного сертификата.
Со ссылкой на возможный способ реализации пятого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации пятого аспекта настоящего изобретения, во втором возможном способе реализации сообщение-запрос сертификата дополнительно включает в себя информацию о подтверждении правильности (РОР) закрытого ключа.
Со ссылкой на второй возможный способ реализации пятого аспекта настоящего изобретения, в третьем возможном способе реализации процессор дополнительно выполнен с возможностью выполнения аутентификации - сертифицирующим органом путем использования открытого ключа, который используется для применения сертификата и который включен в сообщение-запрос сертификата - по информации о РОР, включенной в сообщение-запрос сертификата.
В соответствии с шестым аспектом настоящего изобретения, предлагается устройство получения сертификата, включающее в себя:
передатчик сигналов, выполненный с возможностью отправки сообщения-представления применения сертификата в ведущий экземпляр компонента виртуализированной сетевой функции (VNFC), причем, сообщение-представление применения сертификата включает в себя открытый ключ, используемый вновь установленным экземпляром VNFC для применения сертификата, сообщение-представление применения сертификата используется для запроса ведущего экземпляра VNFC на отправку сообщения-запроса сертификата в сертифицирующий орган, сообщение-запрос сертификата используется для запроса сертифицирующего органа на выдачу сертификата вновь установленному экземпляру VNFC, при этом сообщение-запрос сертификата включает в себя сертификат ведущего экземпляра VNFC и открытый ключ, используемый вновь установленным экземпляром VNFC для применения сертификата; и
приемник сигналов, выполненный с возможностью приема сертификата, который выдан сертифицирующим органом и который отправлен ведущим экземпляром VNFC, причем, сертификат получен сертифицирующим органом путем подписания открытого ключа, используемого вновь установленным экземпляром VNFC для применения сертификата.
Со ссылкой на возможный способ реализации шестого аспекта настоящего изобретения, в первом возможном способе реализации приемник сигналов дополнительно выполнен с возможностью: перед тем, как сообщение-представление применения сертификата отправлено в ведущий VNFC - приема информации о применении сертификата, отправляемой NFVO или VNFM, причем, информация о применении сертификата включает в себя информацию о ведущем экземпляре VNFC, используемом в качестве агента для применения сертификата.
Со ссылкой на первый возможный способ реализации первого аспекта шестого аспекта настоящего изобретения, во втором возможном способе реализации устройство дополнительно включает в себя: процессор, причем процессор выполнен с возможностью: перед тем, как сообщение-представление применения сертификата отправлено на ведущий VNFC - установления в соответствии с информацией о применении сертификата сетевого подключения к ведущему экземпляру VNFC, используемому в качестве агента для применения сертификата, причем, указанное сетевое подключение представляет собой сетевое подключение внутри VNF на одной и той же платформе инфраструктуры виртуализации сетевой функции (NFVI).
Со ссылкой на первый возможный способ реализации первого аспекта шестого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации шестого аспекта настоящего изобретения, в третьем возможном способе реализации приемник сигналов, в частности, выполнен с возможностью: во время установки - приема информации о применении сертификата, вводимой инфраструктурой виртуализации сетевой функции (NFVI).
Со ссылкой на первый возможный способ реализации первого аспекта шестого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации шестого аспекта настоящего изобретения, либо со ссылкой на третий возможный способ реализации шестого аспекта настоящего изобретения, в четвертом возможном способе реализации информация о ведущем VNFC, используемом в качестве агента для применения сертификата, включает в себя адрес Интернет-протокола (IP), идентификатор Управления Доступом к Среде (МАС) и адрес виртуального сетевого информационного центра (NIC), которые относятся к ведущему экземпляру VNFC.
Со ссылкой на возможный способ реализации шестого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации шестого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации шестого аспекта настоящего изобретения, либо со ссылкой на третий возможный способ реализации шестого аспекта настоящего изобретения, либо со ссылкой на четвертый возможный способ реализации шестого аспекта настоящего изобретения, в пятом возможном способе реализации открытый ключ, используемый вновь установленным экземпляром VNFC для применения сертификата, получается следующим образом:
формирование вновь установленным экземпляром VNFC пары закрытого и открытого ключей; или
формирование инфраструктурой виртуализации сетевой функции (NFVI) пары закрытого и открытого ключей и введение пары закрытого и открытого ключей во вновь установленный экземпляр VNFC.
Со ссылкой на возможный способ реализации шестого аспекта настоящего изобретения, либо со ссылкой на первый возможный способ реализации шестого аспекта настоящего изобретения, либо со ссылкой на второй возможный способ реализации шестого аспекта настоящего изобретения, либо со ссылкой на третий возможный способ реализации шестого аспекта настоящего изобретения, либо со ссылкой на четвертый возможный способ реализации шестого аспекта настоящего изобретения, либо со ссылкой на пятый возможный способ реализации шестого аспекта настоящего изобретения, в шестом возможном способе реализации способ запуска вновь установленного экземпляра VNFC для отправки сообщения-представления применения сертификата в ведущий экземпляр VNFC включает в себя:
запуск с помощью инстанцирования VNF; либо
запуск с помощью горизонтального масштабирования VNF.
В соответствии с седьмым аспектом настоящего изобретения, предлагается способ получения сертификата, включающий в себя:
прием - ведущим экземпляром компонента виртуализированной сетевой функции (VNFC) - сообщения-представления применения сертификата, отправляемого вновь установленным экземпляром VNFC, причем, сообщение-представление применения сертификата включает в себя открытый ключ, используемый вновь установленным экземпляром VNFC для применения сертификата;
отправку - ведущим экземпляром VNFC - сообщения-запроса сертификата в сертифицирующий орган в соответствии с сообщением-представлением применения сертификата для запроса в сертифицирующий орган на выдачу сертификата вновь установленному экземпляру VNFC, причем, сообщение-запрос сертификата включает в себя сертификат ведущего экземпляра VNFC и открытый ключ, используемый вновь установленным экземпляром VNFC для применения сертификата; и
получение - ведущим экземпляром VNFC - сертификата, выдаваемого сертифицирующим органом, причем, сертификат выдается сертифицирующим органом путем использования открытого ключа, используемого вновь установленным экземпляром VNFC для применения сертификата.
Со ссылкой на возможный способ реализации седьмого аспекта настоящего изобретения, в первом возможном способе реализации перед получением - ведущим экземпляром VNFC - сертификата, выдаваемого сертифицирующим органом, способ дополнительно включает в себя:
прием - ведущим экземпляром VNFC - сообщения-ответа на сертификат, отправляемого сертифицирующим органом, и выполнение аутентификации по принятому сообщению-ответу на сертификат.
Со ссылкой на первый возможный способ реализации первого аспекта седьмого аспекта настоящего изобретения, во втором возможном способе реализации сообщение-ответ на сертификат включает в себя сертификат, выдаваемый сертифицирующим органом; и
получение сертификата, выдаваемого сертифицирующим органом, включает в себя:
когда сообщение-ответ на сертификат аутентифицировано - получение ведущим экземпляром VNFC сертификата, который выдан сертифицирующим органом вновь установленному экземпляру VNFC и который включен в сообщение-ответ на сертификат, причем, сертификат вновь установленного экземпляра VNFC получен сертифицирующим органом путем подписания - после того, как сообщение-запрос применения сертификата, отправленное ведущим VNFC, аутентифицировано в соответствии с сертификатом ведущего экземпляра VNFC - открытого ключа, который используется вновь установленным экземпляром VNFC для применения сертификата и который включен в сообщение-запрос сертификата.
Со ссылкой на возможный способ реализации седьмого аспекта на