本發明實施例提供了一種網絡功能虛擬化(NFV)架構中證書的管理方法、及裝置，該證書的管理方法包括NFV管理和流程編排系統(MANO)確定存儲網元，該存儲網元用于存儲虛擬化的網絡功能組件(VNFC)的證書，該存儲網元不同于該VNFC；該MANO在該存儲網元中創建存儲空間，該存儲空間用于存儲該VNFC的證書；該MANO將該存儲空間的地址發送給該VNFC以便于該VNFC訪問該存儲空間的地址，獲取該VNFC的證書，并直接使用該存儲網元中存儲的該證書與其他網元通信，該VNFC本地不存儲該證書。本發明實施例能夠有效地管理NFV架構中的證書。

技術領域

本發明涉及網絡功能虛擬化領域，特別涉及一種網絡功能虛擬化NFV架構中證書的管理方法及裝置。

背景技術

網絡功能虛擬化(Network Function Virtualization，NFV)通過使用x86等通用性硬件以及虛擬化技術，使網絡設備功能不再依賴于專用硬件，資源可以充分靈活共享，實現新業務的快速開發和部署，并基于實際業務需求進行自動部署、彈性伸縮、故障隔離和自愈等。

歐洲電信標準協會(European Telecommunications Standards Institute，ETSI)于2012年10月成立了NFV產業標準組(Industry Standard Group，ISG)，旨在定義運營商網絡功能虛擬化的需求和相關的技術報告，希望通過借鑒IT的虛擬化技術，在通用的高性能服務器、交換機和存儲中實現部分網絡功能。其所指定的NFV架構和基本流程已經被業界作為標準，在各個電信云化項目中進行了實施。NFV的最終目標是通過基于行業標準的X86服務器、存儲和交換設備，來取代通信網私有專用的網元設備。這需要網絡功能以軟件方式實現，并能在通用的服務器硬件上運行，可以根據需要進行遷移、實例化、部署在網絡的不同位置，并且不需要安裝新設備。NFV基于X86標準的IT設備成本低廉，能夠為運營商節省巨大的投資成本；同時其開放的API接口，能幫助運營商獲得更多、更靈活的網絡能力，從而也改變了網絡的運作。

在NFV架構中，虛擬化的網絡功能(Virtualized Network Function，VNF)的引入使得傳統網絡及傳統網絡節點的架構發生較大變化。其中，傳統網絡節點在新的電信架構下，演變為虛擬節點，以虛擬機的形式存在，這樣使得多個傳統網絡節點共同部署在同一物理宿主機上，共享硬件資源，甚至與其它第三方應用軟件共享資源；另外，為便于虛擬機動態遷移和提升同一虛擬器中虛擬機之間的通信性能，傳統IP網絡通過虛擬交換機、虛擬網絡適配器進而演變為虛擬網絡，虛擬機之間將直接通過虛擬網絡通信，從而繞過了傳統物理網絡設備。但隨著虛擬化的同時，虛擬網絡內部虛擬機之間通信、虛擬機與外部網絡通信也面臨著安全風險，例如，虛擬機之間的相互攻擊，宿主機應用對主機、系統管理程序(Hypervisor)及虛擬機之間的攻擊，宿主機應用利用與虛擬機網絡互通進行攻擊，通過遠程維護管理通道對虛擬機的攻擊，通過網絡邊緣節點進行外部網絡攻擊等。虛擬化面臨的這些通信威脅要求虛擬化通信采用特定的安全技術，例如，因特網協議安全性(InternetProtocol Security，IPSec)、安全傳輸層協議(Transport Layer Security，TLS)等，通過建立安全連接，來保證通信的機密性、完整性。而建立安全連接需要通信實體雙方配置有基于相關協議(例如X.509)的證書。

現有技術中，通常將VNF的證書/驗證材料存儲在一個虛擬化的網絡功能組件(Virtualized Network Function Component，VNFC)中，該VNFC負責對證書/驗證材料進行管理。當該VNFC自身更新或者證書更新時，同屬于一個VNF的其他VNFC需要從該VNFC中重新獲取證書/驗證材料，更新自己的本地存儲。由于VNF和VNFC都是以軟件方式按需動態生成或變化，VNFC就需要頻繁的獲取證書/驗證材料。此外，如果VNFC生命周期結束，VNFC還要對其本地所存儲的證書/驗證材料進行消除處理，過程繁瑣而復雜。

因此，如何有效地管理NFV架構中的證書成為亟待解決的問題。

發明內容