JP2017516434A - 証明取得方法及び装置 - Google Patents
証明取得方法及び装置 Download PDFInfo
- Publication number
- JP2017516434A JP2017516434A JP2017510714A JP2017510714A JP2017516434A JP 2017516434 A JP2017516434 A JP 2017516434A JP 2017510714 A JP2017510714 A JP 2017510714A JP 2017510714 A JP2017510714 A JP 2017510714A JP 2017516434 A JP2017516434 A JP 2017516434A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- vnf instance
- application
- certification
- vnf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 93
- OOXMVRVXLWBJKF-DUXPYHPUSA-N n-[3-[(e)-2-(5-nitrofuran-2-yl)ethenyl]-1,2,4-oxadiazol-5-yl]acetamide Chemical compound O1C(NC(=O)C)=NC(\C=C\C=2OC(=CC=2)[N+]([O-])=O)=N1 OOXMVRVXLWBJKF-DUXPYHPUSA-N 0.000 claims description 118
- 230000005540 biological transmission Effects 0.000 claims description 19
- 238000012546 transfer Methods 0.000 claims description 2
- 230000006870 function Effects 0.000 description 71
- 238000010586 diagram Methods 0.000 description 26
- 238000004891 communication Methods 0.000 description 20
- 230000008569 process Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 6
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000004913 activation Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- ZYXYTGQFPZEUFX-UHFFFAOYSA-N benzpyrimoxan Chemical compound O1C(OCCC1)C=1C(=NC=NC=1)OCC1=CC=C(C=C1)C(F)(F)F ZYXYTGQFPZEUFX-UHFFFAOYSA-N 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Abstract
本発明は、VNFインスタンスによって送信された証明申請代理メッセージをVNFMによって受信するステップであって、証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、認証情報が、VNFインスタンスとVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される、ステップと、VNFMによって、VNFインスタンスを認証するために認証情報を使用するステップ、及び、認証が成功する場合、証明申請メッセージを認証局CAへ送信するステップであって、証明申請メッセージが、証明申請のために使用される証明申請情報を備える、ステップと、VNFMによって、CAによって発行された証明を受信するステップ、及び、証明をVNFインスタンスへ送信するステップとを含む、証明取得方法及び装置を開示する。このようにして、VNFMと認証局との間の信頼されるリンクを通って、インスタンス化されたVNFインスタンスが、認証局によって発行される証明を申請し、それによって、VNFインスタンスによって申請された証明の適法性を効果的に保証し、認証局によって発行された証明を使用することによって、VNFインスタンスとVNFMとの間に確立される管理チャンネルのセキュリティを保証する。
Description
本発明は、仮想ネットワーク進展の分野に関し、特に証明取得方法及び装置に関する。
ネットワーク機能仮想化(Network Function Virtualization、NFV)は、「従来のネットワークを仮想化する」目的のために設立された標準化機構であり、仮想化環境内でネットワーク展開のための一連の標準を進展してきた。NFV機構によって進展された標準は、ネットワーク仮想、柔軟な進展などを実施することができる。
NFV機構によって発展された仮想ネットワークは、エレメント管理システム(Element Management System、EMS)、NFVオーケストレータ(NFV Orchestra、NFVO)、仮想ネットワーク機能(Virtual Network Function、VNF)インスタンス、VNFマネージャ(VNF Manager、VNFM)、NFVインフラストラクチャ(Network Function Virtual Infrastructure、NFVI)、及びVNFフレームワーク内の仮想インフラストラクチャマネージャ(Virtual Infrastructure Manager、VIM)を含む。
従来のネットワークマネージャであるEMSは、ネットワークエレメントとしてVNFインスタンスを管理するように構成され、VNFインスタンスはインスタンス化によって取得され、NFVOはVNFを編成するように構成され、VNFインスタンスは、ネットワーク機能を作動する仮想ネットワークエレメントであり、VNFMはVNFを管理するように構成され、NFVIは仮想計算リソース、仮想ストレージリソース、仮想ネットワークリソースなどを含み、VIMは、NFVO及びVNFMの命令に従ってNFVIを管理するように構成される。
EMS又はVNFMは、VNFへ管理チャンネルを確立することによってVNFを管理する。悪意のあるユーザがネットワークを攻撃することを防止するために、管理チャンネルがEMS又はVNFMと、VNFとの間に確立される場合、両方の当事者が認証される必要がある。一般的に、認証は、トランスポート層セキュリティ技術を使用することによって実施される(すなわち、証明を使用することによって)。すなわち、証明が、両方の当事者上に認証操作を実施するための認証の証明として使用される。
しかし、従来のネットワークでは、証明を取得する方法が、限定しないが、以下の2つの方法を含む。
第1の方法:
ハードウェアに拘束される初期証明が、手動あるいはハードウェア又はソフトウェアの初期設定でインポートされ、次いで、所望の証明が、初期証明及び証明管理プロトコルを使用することによって取得される。
しかし、NFV標準では、VNFはVM上で自動的に生成され、第1の方法で証明を取得することができないので、EMS又はVNFMと、VNFとの間に確立される管理チャンネルの不十分なセキュリティにつながる。
第2の方法:
ネットワークエレメントが生成される場合、ネットワークエレメントの販売業者は、ネットワークエレメント内で販売業者証明書を設定する。したがって、ネットワークエレメントが初期に構成される場合、ネットワークエレメントが、オペレータによって発行される証明のために、オペレータの公開鍵システム(Public Key Infrastructure、PKI)に申請するための証明管理プロトコルを使用する。証明を申請するプロセスにおいて、ネットワークエレメントが、その本人確認として販売業者証明を使用し、その結果、PKIはネットワークエレメントを信用し、オペレータ証明を発行する。
しかし、仮想環境では、VNFは動的に生成され、したがって、第2の方法で証明を申請することができないので、それがEMS又はVNFMと、VNFとの間に確立される管理チャンネルの不十分なセキュリティにつながる。
このことを考慮して、本発明の実施形態は、EMS又はVNFMと、VNFとの間に確立される管理チャンネルの不十分なセキュリティという問題を解決するための証明取得方法及び装置を提供する。
本発明の第1の態様によって、
VNFインスタンスによって送信される証明申請代理メッセージを受信するように構成された受信モジュールであって、証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、認証情報が、VNFインスタンスと仮想ネットワーク機能VNFマネージャVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される、受信モジュールと、
VNFインスタンスを認証するために受信モジュールによって受信された認証情報使用し、認証が成功する場合、証明申請メッセージを認証局CAへ送信するように構成された送信モジュールであって、証明申請メッセージが、証明申請のために使用される証明申請情報を備える、送信モジュールと
を備える証明取得装置であって、
受信モジュールが、CAによって発行された証明を受信するように更に構成され、
送信モジュールが、受信モジュールによって受信された証明をVNFインスタンスへ送信するように更に構成され、証明が、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって、生成される、証明取得装置が提供される。
VNFインスタンスによって送信される証明申請代理メッセージを受信するように構成された受信モジュールであって、証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、認証情報が、VNFインスタンスと仮想ネットワーク機能VNFマネージャVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される、受信モジュールと、
VNFインスタンスを認証するために受信モジュールによって受信された認証情報使用し、認証が成功する場合、証明申請メッセージを認証局CAへ送信するように構成された送信モジュールであって、証明申請メッセージが、証明申請のために使用される証明申請情報を備える、送信モジュールと
を備える証明取得装置であって、
受信モジュールが、CAによって発行された証明を受信するように更に構成され、
送信モジュールが、受信モジュールによって受信された証明をVNFインスタンスへ送信するように更に構成され、証明が、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって、生成される、証明取得装置が提供される。
本発明の第1の態様の可能な実施方法に関連して、第1の可能な実施方法では、認証情報が、一時的証明であり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、VNFMから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。
本発明の第1の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、送信モジュールが、
受信された一時的証明を、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と比較し、
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と同じであることが決定される場合、VNFインスタンス上の認証が成功することを決定し、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることが決定される場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。
受信された一時的証明を、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と比較し、
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と同じであることが決定される場合、VNFインスタンス上の認証が成功することを決定し、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることが決定される場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。
本発明の第1の態様の可能な実施方法に関連して、第3の可能な実施方法では、認証情報が、既知共有鍵PSKであり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、PSKが、生成され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスに伝送される。
本発明の第1の態様の第3の可能な実施方法に関連して、第4の可能な実施方法では、受信モジュールが、PSKをVNFインスタンスに送信し、VNFインスタンスによって送信された証明申請代理メッセージを受信するように特に構成され、証明申請代理メッセージが、局所的に投入されたPSKがVNFMによって送信された受信されたPSKと同じ、又は関連することをVNFインスタンスが決定する場合にVNFMへ送信される。
本発明の第1の態様の第4の可能な実施方法に関連して、第5の可能な実施方法では、送信モジュールが、受信されたPSKを、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと比較し、受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと同じである、又は関連することが決定される場合、VNFインスタンス上の認証が成功することを決定し、又は受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと異なる、又は関連しないことが決定される場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。
本発明の第1の態様の可能な実施方法に関連して、又は本発明の第1の態様の第1の可能な実施方法に関連して、又は本発明の第1の態様の第2の可能な実施方法に関連して、又は本発明の第1の態様の第3の可能な実施方法に関連して、又は本発明の第1の態様の第4の可能な実施方法に関連して、又は本発明の第1の態様の第5の可能な実施方法に関連して、第6の可能な実施方法では、装置が、証明がVNFインスタンスへ送信される場合に、VNFインスタンスへ管理チャンネルを確立するために証明を使用するように構成されるチャンネル確立モジュールを更に備える。
本発明の第2の態様により、
VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを受信するように構成された受信モジュールであって、証明申請代理メッセージが、証明申請を要求するVNFインスタンス、及び証明申請のためのVNFインスタンスによって使用される証明申請情報を備える、受信モジュールと、
証明申請メッセージを認証局CAへ送信するように構成された送信モジュールであって、証明申請メッセージが、受信モジュールによって受信され、証明申請のためにVNFインスタンスによって使用される証明申請情報を備える、送信モジュールと
を備える証明取得装置であって、
受信モジュールが、CAによって発行された証明を受信するように更に構成され、
送信モジュールが、受信モジュールによって受信された証明をVIMへ送信するように更に構成され、証明が、証明申請のためにVNFインスタンスによって使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される、証明取得装置が提供される。
VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを受信するように構成された受信モジュールであって、証明申請代理メッセージが、証明申請を要求するVNFインスタンス、及び証明申請のためのVNFインスタンスによって使用される証明申請情報を備える、受信モジュールと、
証明申請メッセージを認証局CAへ送信するように構成された送信モジュールであって、証明申請メッセージが、受信モジュールによって受信され、証明申請のためにVNFインスタンスによって使用される証明申請情報を備える、送信モジュールと
を備える証明取得装置であって、
受信モジュールが、CAによって発行された証明を受信するように更に構成され、
送信モジュールが、受信モジュールによって受信された証明をVIMへ送信するように更に構成され、証明が、証明申請のためにVNFインスタンスによって使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される、証明取得装置が提供される。
本発明の第2の態様の可能な実施方法に関連して、第1の可能な実施方法では、証明申請代理メッセージが、受信された証明申請情報に従ってVIMによって生成され、証明申請情報が、初期化パラメータに従ってVNFインスタンスによって取得され、VNFインスタンスによってVMへ送信され、次いで、VMによってVIMまでの安全チャンネルを通ってVIMへ送信される。
本発明の第2の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化することを決定する場合に取得される。
本発明の第3の態様により、
仮想ネットワーク機能VNFインスタンスによって送信される証明申請メッセージを受信するように構成された受信モジュールであって、証明申請メッセージが、一時的証明及び証明申請のために使用される証明申請情報を備え、一時的証明が、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にCAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通ってVNFインスタンスへ伝送される、受信モジュールと、
VNFインスタンスを認証するために受信モジュールによって受信される一時的証明を使用し、認証が成功する場合に、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってVNFインスタンスへ証明を発行するように構成された発行モジュールと
を備える、証明取得装置が提供される。
仮想ネットワーク機能VNFインスタンスによって送信される証明申請メッセージを受信するように構成された受信モジュールであって、証明申請メッセージが、一時的証明及び証明申請のために使用される証明申請情報を備え、一時的証明が、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にCAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通ってVNFインスタンスへ伝送される、受信モジュールと、
VNFインスタンスを認証するために受信モジュールによって受信される一時的証明を使用し、認証が成功する場合に、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってVNFインスタンスへ証明を発行するように構成された発行モジュールと
を備える、証明取得装置が提供される。
本発明の第4の態様により、
仮想機械VMによって送信される証明申請メッセージを受信するように構成された受信モジュールであって、証明申請メッセージが、証明申請のために使用される公開鍵を備える、受信モジュールと、
証明申請代理メッセージを認証局CAへ送信するように構成された送信モジュールであって、証明申請代理メッセージが、受信モジュールによって受信され、証明申請のためにVMによって使用される公開鍵を備える、送信モジュールと
を備える証明取得装置であって、
受信モジュールが、CAによって発行された証明を受信するように更に構成され、
送信モジュールが、受信モジュールによって受信された証明をVMへ送信するように更に構成され、証明申請のためにVMによって使用され、証明申請代理メッセージの中に含まれる公開鍵に従って署名することによって、証明が、CAによって取得される、証明取得装置が提供される。
仮想機械VMによって送信される証明申請メッセージを受信するように構成された受信モジュールであって、証明申請メッセージが、証明申請のために使用される公開鍵を備える、受信モジュールと、
証明申請代理メッセージを認証局CAへ送信するように構成された送信モジュールであって、証明申請代理メッセージが、受信モジュールによって受信され、証明申請のためにVMによって使用される公開鍵を備える、送信モジュールと
を備える証明取得装置であって、
受信モジュールが、CAによって発行された証明を受信するように更に構成され、
送信モジュールが、受信モジュールによって受信された証明をVMへ送信するように更に構成され、証明申請のためにVMによって使用され、証明申請代理メッセージの中に含まれる公開鍵に従って署名することによって、証明が、CAによって取得される、証明取得装置が提供される。
本発明の第4の態様の可能な実施方法に関連して、第1の可能な実施方法では、送信モジュールが、証明申請代理メッセージを、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMへ送信するように特に構成され、その結果、VIMが、証明申請代理メッセージを認証局CAへ転送する。
本発明の第4の態様の可能な実施方法に関連して、又は本発明の第4の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、装置が、
VMが証明を受信する場合に、VMとVMマネージャとの間に管理チャンネルを確立するように構成されたチャンネル確立モジュールを更に備える。
VMが証明を受信する場合に、VMとVMマネージャとの間に管理チャンネルを確立するように構成されたチャンネル確立モジュールを更に備える。
本発明の第4の態様の可能な実施方法に関連して、又は本発明の第4の態様の第1の可能な実施方法に関連して、又は本発明の第4の態様の第2の可能な実施方法に関連して、第3の可能な実施方法では、公開鍵が、初期化パラメータに従ってVMによって生成され、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMがVMを生成するように命令を受信する場合に、取得され、命令が、ネットワーク機能仮想オーケストレータNFVOによって送信される。
本発明の第5の態様により、
VNFインスタンスによって送信される証明申請代理メッセージを受信するように構成された信号受信機であって、証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、認証情報が、VNFインスタンスと仮想ネットワーク機能VNFマネージャVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される、信号受信機と、
VNFインスタンスを認証するために認証情報使用し、認証が成功する場合、証明申請メッセージを認証局CAへ送信するように構成された信号送信機であって、証明申請メッセージが、証明申請のために使用される証明申請情報を備える、信号送信機と
を備える証明取得装置であって、
信号受信機が、CAによって発行された証明を受信するように更に構成され、
信号送信機が、証明をVNFインスタンスへ送信するように更に構成され、証明が、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって、生成される、証明取得装置が提供される。
VNFインスタンスによって送信される証明申請代理メッセージを受信するように構成された信号受信機であって、証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、認証情報が、VNFインスタンスと仮想ネットワーク機能VNFマネージャVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される、信号受信機と、
VNFインスタンスを認証するために認証情報使用し、認証が成功する場合、証明申請メッセージを認証局CAへ送信するように構成された信号送信機であって、証明申請メッセージが、証明申請のために使用される証明申請情報を備える、信号送信機と
を備える証明取得装置であって、
信号受信機が、CAによって発行された証明を受信するように更に構成され、
信号送信機が、証明をVNFインスタンスへ送信するように更に構成され、証明が、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって、生成される、証明取得装置が提供される。
本発明の第5の態様の可能な実施方法に関連して、第1の可能な実施方法では、認証情報が、一時的証明であり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、VNFMから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。
本発明の第5の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、信号送信機が、
受信された一時的証明を、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と比較し、
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と同じであることをVNFMが決定する場合、VNFインスタンス上の認証が成功することを決定し、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることをVNFMが決定する場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。
受信された一時的証明を、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と比較し、
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と同じであることをVNFMが決定する場合、VNFインスタンス上の認証が成功することを決定し、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることをVNFMが決定する場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。
本発明の第5の態様の可能な実施方法に関連して、第3の可能な実施方法では、認証情報が、既知共有鍵PSKであり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、PSKが、生成され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。
本発明の第5の態様の第3の可能な実施方法に関連して、第4の可能な実施方法では、信号受信機が、PSKをVNFインスタンスに送信し、VNFインスタンスによって送信された証明申請代理メッセージを受信するように特に構成され、証明申請代理メッセージが、局所的に投入されたPSKが受信されたPSKと同じ、又は関連することをVNFインスタンスが決定する場合にVNFMへ送信される。
本発明の第5の態様の第4の可能な実施方法に関連して、第5の可能な実施方法では、信号送信機が、受信されたPSKを、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと比較し、受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと同じである、又は関連することが決定される場合、VNFインスタンス上の認証が成功することを決定し、又は受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと異なる、又は関連しないことが決定される場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。
本発明の第5の態様の可能な実施方法に関連して、又は本発明の第5の態様の第1の可能な実施方法に関連して、又は本発明の第5の態様の第2の可能な実施方法に関連して、又は本発明の第5の態様の第3の可能な実施方法に関連して、又は本発明の第5の態様の第4の可能な実施方法に関連して、又は本発明の第5の態様の第5の可能な実施方法に関連して、第6の可能な実施方法では、装置が、証明がVNFインスタンスへ送信される場合に、VNFインスタンスへ管理チャンネルを確立するために証明を使用するように構成されるプロセッサを更に備える。
本発明の第6の態様により、
VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを受信するように構成された信号受信機であって、証明申請代理メッセージが、証明申請を要求するVNFインスタンス、及び証明申請のためのVNFインスタンスによって使用される証明申請情報を備える、信号受信機と、
証明申請メッセージを認証局CAへ送信するように構成された信号送信機であって、証明申請メッセージが、証明申請のためにVNFインスタンスによって使用される証明申請情報を備える、信号送信機と
を備える証明取得装置であって、
信号受信機が、CAによって発行された証明を受信するように更に構成され、
信号送信機が、証明をVIMへ送信するように更に構成され、証明が、証明申請のためにVNFインスタンスによって使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される、証明取得装置が提供される。
VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを受信するように構成された信号受信機であって、証明申請代理メッセージが、証明申請を要求するVNFインスタンス、及び証明申請のためのVNFインスタンスによって使用される証明申請情報を備える、信号受信機と、
証明申請メッセージを認証局CAへ送信するように構成された信号送信機であって、証明申請メッセージが、証明申請のためにVNFインスタンスによって使用される証明申請情報を備える、信号送信機と
を備える証明取得装置であって、
信号受信機が、CAによって発行された証明を受信するように更に構成され、
信号送信機が、証明をVIMへ送信するように更に構成され、証明が、証明申請のためにVNFインスタンスによって使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される、証明取得装置が提供される。
本発明の第6の態様の可能な実施方法に関連して、第1の可能な実施方法では、証明申請代理メッセージが、受信された証明申請情報に従ってVIMによって生成され、証明申請情報が、初期化パラメータに従ってVNFインスタンスによって取得され、VNFインスタンスによってVMへ送信され、次いで、VMによってVIMまでの安全チャンネルを通ってVIMへ送信される。
本発明の第6の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化することを決定する場合に取得される。
本発明の第7の態様により、
仮想ネットワーク機能VNFインスタンスによって送信される証明申請メッセージを受信するように構成された信号受信機であって、証明申請メッセージが、一時的証明及び証明申請のために使用される証明申請情報を備え、一時的証明が、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にCAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通ってVNFインスタンスへ伝送される、信号受信機と、
VNFインスタンスを認証するために一時的証明を使用し、認証が成功する場合に、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってVNFインスタンスへ証明を発行するように構成されたプロセッサと
を備える、証明取得装置が提供される。
仮想ネットワーク機能VNFインスタンスによって送信される証明申請メッセージを受信するように構成された信号受信機であって、証明申請メッセージが、一時的証明及び証明申請のために使用される証明申請情報を備え、一時的証明が、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にCAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通ってVNFインスタンスへ伝送される、信号受信機と、
VNFインスタンスを認証するために一時的証明を使用し、認証が成功する場合に、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってVNFインスタンスへ証明を発行するように構成されたプロセッサと
を備える、証明取得装置が提供される。
本発明の第8の態様により、
仮想機械VMによって送信される証明申請メッセージを受信するように構成された信号受信機であって、証明申請メッセージが、証明申請のために使用される公開鍵を備える、信号受信機と、
証明申請代理メッセージを認証局CAへ送信するように構成された信号送信機であって、証明申請代理メッセージが、証明申請のためにVMによって使用される公開鍵を備える、信号送信機と
を備える証明取得装置であって、
信号受信機が、CAによって発行された証明を受信するように更に構成され、
信号送信機が、証明をVMへ送信するように更に構成され、証明申請のためにVMによって使用され、証明申請代理メッセージの中に含まれる公開鍵に従って署名することによってCAによって、証明が、取得される、証明取得装置が提供される。
仮想機械VMによって送信される証明申請メッセージを受信するように構成された信号受信機であって、証明申請メッセージが、証明申請のために使用される公開鍵を備える、信号受信機と、
証明申請代理メッセージを認証局CAへ送信するように構成された信号送信機であって、証明申請代理メッセージが、証明申請のためにVMによって使用される公開鍵を備える、信号送信機と
を備える証明取得装置であって、
信号受信機が、CAによって発行された証明を受信するように更に構成され、
信号送信機が、証明をVMへ送信するように更に構成され、証明申請のためにVMによって使用され、証明申請代理メッセージの中に含まれる公開鍵に従って署名することによってCAによって、証明が、取得される、証明取得装置が提供される。
本発明の第8の態様の可能な実施方法に関連して、第1の可能な実施方法では、信号送信機が、証明申請代理メッセージを、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMへ送信するように更に構成され、その結果、VIMが、証明申請代理メッセージを認証局CAへ転送する。
本発明の第8の態様の可能な実施方法に関連して、又は本発明の第8の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、装置が、
VMが証明を受信する場合に、VMとVMマネージャとの間に管理チャンネルを確立するように構成されたプロセッサを更に備える。
VMが証明を受信する場合に、VMとVMマネージャとの間に管理チャンネルを確立するように構成されたプロセッサを更に備える。
本発明の第8の態様の可能な実施方法に関連して、又は本発明の第8の態様の第1の可能な実施方法に関連して、又は本発明の第8の態様の第2の可能な実施方法に関連して、第3の可能な実施方法では、公開鍵が、初期化パラメータに従ってVMによって生成され、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMがVMを生成するように命令を受信する場合に、取得され、命令が、ネットワーク機能仮想オーケストレータNFVOによって送信される。
本発明の第9の態様により、
VNFインスタンスによって送信される証明申請代理メッセージを仮想ネットワーク機能マネージャVNFMによって受信するステップであって、証明申請代理メッセージが、認証情報及び証明申請に使用される証明申請情報を備え、認証情報が、VNFインスタンスとVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される、ステップと、
VNFMによって、VNFインスタンスを認証するために認証情報を使用するステップ、及び、認証が成功する場合、証明申請メッセージを認証局CAへ送信するステップであって、証明申請メッセージが、証明申請のために使用される証明申請情報を備える、ステップと、
VNFMによって、CAによって発行された証明を受信するステップ、及び、証明をVNFインスタンスへ送信するステップであって、証明が、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される、ステップと
を含む、証明取得方法が提供される。
VNFインスタンスによって送信される証明申請代理メッセージを仮想ネットワーク機能マネージャVNFMによって受信するステップであって、証明申請代理メッセージが、認証情報及び証明申請に使用される証明申請情報を備え、認証情報が、VNFインスタンスとVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される、ステップと、
VNFMによって、VNFインスタンスを認証するために認証情報を使用するステップ、及び、認証が成功する場合、証明申請メッセージを認証局CAへ送信するステップであって、証明申請メッセージが、証明申請のために使用される証明申請情報を備える、ステップと、
VNFMによって、CAによって発行された証明を受信するステップ、及び、証明をVNFインスタンスへ送信するステップであって、証明が、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される、ステップと
を含む、証明取得方法が提供される。
本発明の第9の態様の可能な実施方法に関連して、第1の可能な実施方法では、認証情報が、一時的証明であり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、VNFMから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。
本発明の第9の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、VNFMによって、VNFインスタンスを認証するために認証情報を使用するステップが、
受信された一時的証明を、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と、VNFMによって、比較するステップと、
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と同じであることをVNFMが決定する場合、VNFインスタンス上の認証が成功することを決定するステップ、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることをVNFMが決定する場合、VNFインスタンス上の認証が失敗することを決定するステップと
を含む。
受信された一時的証明を、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と、VNFMによって、比較するステップと、
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と同じであることをVNFMが決定する場合、VNFインスタンス上の認証が成功することを決定するステップ、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることをVNFMが決定する場合、VNFインスタンス上の認証が失敗することを決定するステップと
を含む。
本発明の第9の態様の可能な実施方法に関連して、第3の可能な実施方法では、認証情報が、既知共有鍵PSKであり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、PSKが、生成され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。
本発明の第9の態様の第3の可能な実施方法に関連して、第4の可能な実施方法では、仮想ネットワーク機能VNFマネージャVNFMによって、VNFインスタンスによって送信される証明申請代理メッセージを受信するステップが、
VNFMによって、PSKをVNFインスタンスに送信するステップ、及びVNFインスタンスによって送信された証明申請代理メッセージを受信するステップを含み、証明申請代理メッセージが、局所的に投入されたPSKがVNFMによって送信された受信されたPSKと同じ、又は関連することをVNFインスタンスが決定する場合にVNFMへ送信される。
VNFMによって、PSKをVNFインスタンスに送信するステップ、及びVNFインスタンスによって送信された証明申請代理メッセージを受信するステップを含み、証明申請代理メッセージが、局所的に投入されたPSKがVNFMによって送信された受信されたPSKと同じ、又は関連することをVNFインスタンスが決定する場合にVNFMへ送信される。
本発明の第9の態様の第4の可能な実施方法に関連して、第5の可能な実施方法では、VNFMによって、VNFインスタンスを認証するために認証情報を使用するステップが、
受信されたPSKを、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと、VNFMによって、比較するステップと、
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと同じである、又は関連することをVNFMが決定する場合、VNFインスタンス上の認証が成功することを決定するステップ、又は
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと異なる、又は関連しないことをVNFMが決定する場合、VNFインスタンス上の認証が失敗することを決定するステップと
を含む。
受信されたPSKを、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと、VNFMによって、比較するステップと、
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと同じである、又は関連することをVNFMが決定する場合、VNFインスタンス上の認証が成功することを決定するステップ、又は
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと異なる、又は関連しないことをVNFMが決定する場合、VNFインスタンス上の認証が失敗することを決定するステップと
を含む。
本発明の第9の態様の可能な実施方法に関連して、又は本発明の第9の態様の第1の可能な実施方法に関連して、又は本発明の第9の態様の第2の可能な実施方法に関連して、又は本発明の第9の態様の第3の可能な実施方法に関連して、又は本発明の第9の態様の第4の可能な実施方法に関連して、又は本発明の第9の態様の第5の可能な実施方法に関連して、第6の可能な実施方法では、方法が、
証明をVNFインスタンスへ送信する場合に、VNFインスタンスへ管理チャンネルを確立するために証明をVNFMによって使用するステップを更に含む。
証明をVNFインスタンスへ送信する場合に、VNFインスタンスへ管理チャンネルを確立するために証明をVNFMによって使用するステップを更に含む。
本発明の第10の態様により、
VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを仮想ネットワーク機能マネージャVNFMによって受信するステップであって、証明申請代理メッセージが、証明申請を要求するVNFインスタンス、及び証明申請のためのVNFインスタンスによって使用される証明申請情報を備える、ステップと、
証明申請メッセージを認証局CAへVNFMによって送信するステップであって、証明申請メッセージが、証明申請のためにVNFインスタンスによって使用される証明申請情報を備える、ステップと、
CAによって発行された証明をVNFMによって受信するステップ、及び証明をVIMへ送信するステップであって、証明申請のためにVNFインスタンスによって使用され、証明申請メッセージの中に含まれる証明申請情報に従って、証明が、CAによって生成される、ステップと
を含む、証明取得方法が提供される。
VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを仮想ネットワーク機能マネージャVNFMによって受信するステップであって、証明申請代理メッセージが、証明申請を要求するVNFインスタンス、及び証明申請のためのVNFインスタンスによって使用される証明申請情報を備える、ステップと、
証明申請メッセージを認証局CAへVNFMによって送信するステップであって、証明申請メッセージが、証明申請のためにVNFインスタンスによって使用される証明申請情報を備える、ステップと、
CAによって発行された証明をVNFMによって受信するステップ、及び証明をVIMへ送信するステップであって、証明申請のためにVNFインスタンスによって使用され、証明申請メッセージの中に含まれる証明申請情報に従って、証明が、CAによって生成される、ステップと
を含む、証明取得方法が提供される。
本発明の第10の態様の可能な実施方法に関連して、第1の可能な実施方法では、証明申請代理メッセージが、受信された証明申請情報に従ってVIMによって生成され、証明申請情報が、初期化パラメータに従ってVNFインスタンスによって取得され、VNFインスタンスによってVMへ送信され、次いで、VMによってVIMまでの安全チャンネルを通ってVIMへ送信される。
本発明の第10の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化することを決定する場合に取得される。
本発明の第11の態様により、
仮想ネットワーク機能VNFインスタンスによって送信される証明申請メッセージを認証局CAによって受信するステップであって、証明申請メッセージが、一時的証明及び証明申請のために使用される証明申請情報を備え、一時的証明が、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にCAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通ってVNFインスタンスへ伝送される、ステップと、
VNFインスタンスを認証するためにCAによって一時的証明を使用するステップ、及び認証が成功する場合に、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってVNFインスタンスへ証明を発行するステップと
を含む、証明取得方法が提供される。
仮想ネットワーク機能VNFインスタンスによって送信される証明申請メッセージを認証局CAによって受信するステップであって、証明申請メッセージが、一時的証明及び証明申請のために使用される証明申請情報を備え、一時的証明が、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にCAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通ってVNFインスタンスへ伝送される、ステップと、
VNFインスタンスを認証するためにCAによって一時的証明を使用するステップ、及び認証が成功する場合に、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってVNFインスタンスへ証明を発行するステップと
を含む、証明取得方法が提供される。
本発明の第12の態様により、
仮想機械VMによって送信される証明申請メッセージをネットワーク機能仮想インフラストラクチャNFVIによって受信するステップであって、証明申請メッセージが、証明申請のために使用される公開鍵を備える、ステップと、
証明申請代理メッセージを認証局CAへNFVIによって送信するステップであって、証明申請代理メッセージが、証明申請のためにVMによって使用される公開鍵を備える、ステップと、
CAによって発行された証明をNFVIによって受信するステップ、及び証明をVMへ送信するステップであって、証明申請のためにVMによって使用され、証明申請代理メッセージの中に含まれる公開鍵に従って署名することによって、証明が、CAによって取得される、ステップと
を含む、証明取得方法が提供される。
仮想機械VMによって送信される証明申請メッセージをネットワーク機能仮想インフラストラクチャNFVIによって受信するステップであって、証明申請メッセージが、証明申請のために使用される公開鍵を備える、ステップと、
証明申請代理メッセージを認証局CAへNFVIによって送信するステップであって、証明申請代理メッセージが、証明申請のためにVMによって使用される公開鍵を備える、ステップと、
CAによって発行された証明をNFVIによって受信するステップ、及び証明をVMへ送信するステップであって、証明申請のためにVMによって使用され、証明申請代理メッセージの中に含まれる公開鍵に従って署名することによって、証明が、CAによって取得される、ステップと
を含む、証明取得方法が提供される。
本発明の第12の態様の可能な実施方法に関連して、第1の可能な実施方法では、NFVIによって証明申請代理メッセージを認証局CAへ送信するステップが、
仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMへ証明申請代理メッセージをNFVIによって送信するステップであって、その結果、VIMが、証明申請代理メッセージを認証局CAへ転送する、ステップを含む。
仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMへ証明申請代理メッセージをNFVIによって送信するステップであって、その結果、VIMが、証明申請代理メッセージを認証局CAへ転送する、ステップを含む。
本発明の第12の態様の可能な実施方法に関連して、又は本発明の第12の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、方法が、
VMが証明を受信する場合に、VMとVMマネージャとの間に管理チャンネルを確立するステップを更に含む。
VMが証明を受信する場合に、VMとVMマネージャとの間に管理チャンネルを確立するステップを更に含む。
本発明の第12の態様の可能な実施方法に関連して、又は本発明の第12の態様の第1の可能な実施方法に関連して、又は本発明の第12の態様の第2の可能な実施方法に関連して、第3の可能な実施方法では、公開鍵が、初期化パラメータに従ってVMによって生成され、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMがVMを生成するように命令を受信する場合に、取得され、命令が、ネットワーク機能仮想オーケストレータNFVOによって送信される。
本発明の実施形態では、VNFMが、VNFインスタンスによって送信された証明申請代理メッセージを受信し、証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、認証情報が、VNFインスタンスとVNFMとの間の証明代理申請のためのチャンネルを確立するために使用され、VNFMが、VNFインスタンスを認証するために認証情報を使用し、認証が成功する場合、証明申請メッセージをCAへ送信し、証明申請メッセージが、証明申請のために使用される証明申請情報を備え、VNFMが、CAによって発行された証明を受信し、証明をVNFインスタンスへ送信する。このようにして、VNFMと認証局との間の信頼されるリンクを通って、インスタンス化されたVNFインスタンスが、認証局によって発行される証明を申請し、それによって、VNFインスタンスによって申請された証明の適法性を効果的に保証し、認証局によって発行された証明を使用することによって、VNFインスタンスとVNFMとの間に確立される管理チャンネルのセキュリティを保証する。
本発明の実施形態における技術的解決策をより明確に説明するために、以下に、実施形態を説明するために必要な添付の図面について簡潔に紹介する。明らかに、以下の説明の中で添付の図面は本発明の単なるいくつかの実施形態を示しており、当業者はこれら添付の図面から難なく他の図面を更に導出することができる。
本発明の目的を達成するために、本発明の実施形態が、証明取得方法及び装置を提供する。VNFMが、VNFインスタンスによって送信された証明申請代理メッセージを受信し、証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、認証情報が、VNFインスタンスとVNFMとの間の証明代理申請のためのチャンネルを確立するために使用され、VNFMが、VNFインスタンスを認証するために認証情報を使用し、認証が成功する場合、証明申請メッセージをCAへ送信し、証明申請メッセージが、証明申請のために使用される証明申請情報を備え、VNFMが、CAによって発行された証明を受信し、及び、証明をVNFインスタンスへ送信する。このようにして、VNFMと認証局との間の信頼されるリンクを通って、インスタンス化されたVNFインスタンスが、認証局によって発行される証明を申請し、それによって、VNFインスタンスによって申請された証明の適法性を効果的に保証し、認証局によって発行された証明を使用することによって、VNFインスタンスとVNFMとの間に確立される管理チャンネルのセキュリティを保証する。
VNFインスタンスがインスタンス化される後、インスタンス化されたVNFインスタンスが、新しい仮想ネットワークエレメントに属し、インスタンス化されたVNFインスタンスと仮想ネットワーク内の別のネットワークエレメントとの間に信頼されるリンクが全く確立されず、仮想ネットワークエレメント及び認証局(Certificate Authority、CA)が互いの信頼されないネットワークエレメントであるということに留意すべきである。したがって、証明が、CAから直接申請されることができない。本発明の実施形態では、証明申請代理によって、VNFインスタンスが、法的証明を取得することができる。
以下に、本明細書中の添付の図面に関連して詳細に本発明の実施形態を説明する。
実施形態1
本発明の実施形態1による証明取得方法の概略流れ図である、図1に示すように、方法が以下のように説明され得る。
本発明の実施形態1による証明取得方法の概略流れ図である、図1に示すように、方法が以下のように説明され得る。
ステップ101:仮想ネットワーク機能VNFマネージャVNFMが、VNFインスタンスによって送信された証明申請代理メッセージを受信する。
証明申請代理メッセージは、認証情報、及び証明申請のために使用される証明申請情報を含み、認証情報が、VNFインスタンスとVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される。
証明申請情報が、証明フォーマット、ドメイン名、認証局情報などを含むことに留意すべきである。
ステップ101では、仮想ネットワーク内で、VNFがインスタンス化される後、インスタンス化されたVNFインスタンスと他の仮想ネットワークエレメントとの間に通信のセキュリティを保証するために、インスタンス化されたVNFインスタンスのための証明を申請することが必要である。
特に、VNFインスタンスをインスタンス化する命令を受信する場合、NFVOは、VNFインスタンスとVNFMとの間の証明代理申請のためのチャンネルを確立するために、続いて使用される認証情報を決定し、VNFインスタンスをインスタンス化する命令の中に決定された認証情報を加え、命令をVIMへ送信する。VIMは、VNFをインスタンス化する命令をNFVIへ送信し、NFVIが、VMをVNFインスタンスへ割り当てて、VNFインスタンス化を実施するように要求する。
VMをVNFインスタンスへ割り当て、VNFインスタンス化を実施する場合、NFVIが、VNFをインスタンス化する命令の中で実行される、決定された認証情報をVNFインスタンスの中に投入する。
任意選択で、認証情報の形態が、限定しないが、以下の形態を含む。
シナリオ1:
認証情報が、一時的証明である。
ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、VNFMから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。
ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、VNFMから申請される一時的証明が、特別な方法でVNFMによって生成されることに留意すべきである。VNFMによって生成される一時的証明が、VNFMによってのみ信頼され、仮想ネットワーク内の他のネットワークエレメントは一時的証明を信頼しない。
任意選択で、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、CAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFへ伝送される。
ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、CAから一時的証明を申請するための前提条件:
CAが一時的証明を特別な方法で(例えば、一時的証明を署名するための特定の公開鍵又は秘密鍵を使用することによって)取得し、一時的証明が、CAによってのみ信頼されるが、一方、他のネットワークエレメントは一時的証明を信頼しない。
一時的証明が、VNFOと、VIMと、NFVIとの間に伝送される場合、一時的証明に相当する秘密鍵もやはり、伝送され得る。しかし、複数のネットワークエレメント間に秘密鍵を伝送することには、セキュリティリスクが存在する。したがって、この実施形態では、VNFOと、VIMと、NFVIとの間の通信のセキュリティは、証明申請のために使用される秘密鍵の漏洩を防止するために保証される必要がある。加えて、繰り返し使用されるプロセスで悪意のあるネットワークエレメントによって一時的証明が取得されるというリスクを防止するために、一時的証明は、この実施形態では、1度だけ使用されることが可能であり、それによって、仮想ネットワーク内のネットワークエレメント間の通信のセキュリティを更に保証する。
シナリオ2:
認証情報が、既知共有鍵PSKである。
ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、PSKが、生成され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。
既知共有鍵がNFVOによって生成され、VNFMへ送信され、その結果、VNFインスタンスとVNFMとの間に初期通信が、PSKを使用することによって実施されるということに留意すべきである。
既知共有鍵が2つの端末のために予め構成され、通信の2つの端末が、既知共有鍵を使用することによって、通信を確立するということに留意すべきである。既知共有鍵は、対称的鍵であることができ、すなわち通信の両方の端末によって保持される鍵が同じであり、又は既知共有鍵は、非対称的鍵であることができ、すなわち通信の両方の端末によって保持される鍵が、例えば公開鍵−秘密鍵の対などのように異なる。
申請される証明の適法性を保証するために、VNFインスタンスは証明申請代理を使用することによって証明を申請する。
この場合、VNFインスタンスは、決定された認証情報、及び証明申請のために使用される証明申請情報を使用することによって証明を申請することができる。
VNFインスタンスは、証明申請代理メッセージをVNFMへ送信し、証明申請代理メッセージは、認証情報、及び証明申請のために使用される証明申請情報を含む。
VNFインスタンスによって受信された認証情報が既知共有鍵(PSK)であると仮定すると、証明申請代理VNFMの識別の適法性を保証するために、VNFインスタンスは、証明申請代理情報をVNFMへ送信する前に、VNFMを認証するための既知共有鍵を使用する必要があるということに留意すべきである。
詳細には、VNFMは局所的に記憶された既知共有鍵(PSK)をVNFインスタンスへ送信し、VNFインスタンスによって送信された証明申請代理メッセージを受信し、証明申請代理メッセージが、局所的に投入されたPSKがVNFMによって送信された受信されたPSKと同じ、又は関連することをVNFインスタンスが決定する場合にVNFMへ送信される。
ステップ102:VNFMが、VNFインスタンスを認証するために認証情報を使用し、認証が成功する場合、証明申請メッセージを認証局CAへ送信する。
証明申請メッセージは、証明申請のために使用される証明申請情報を含む。
ステップ102では、VNFMによって、VNFインスタンスを認証するために認証情報を使用する方法が、限定しないが、以下を含む。
認証情報が、ステップ101でシナリオ1の中に説明される一時的証明であると仮定すると、証明申請代理メッセージの中に含まれる一時的証明を受信する場合、VNFMは、受信された一時的証明を、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と比較し、
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する前必要性を決定する場合にVNFMから申請される一時的証明と同じであることをVNFMが決定する場合、VNFインスタンス上の認証が成功することが決定され、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることをVNFMが決定する場合、VNFインスタンス上の認証が失敗することが決定される。
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する前必要性を決定する場合にVNFMから申請される一時的証明と同じであることをVNFMが決定する場合、VNFインスタンス上の認証が成功することが決定され、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることをVNFMが決定する場合、VNFインスタンス上の認証が失敗することが決定される。
認証情報が、ステップ101でシナリオ2の中に説明される既知共有鍵であると仮定すると、証明申請代理メッセージの中に含まれるPSKを受信する場合、VNFMは、受信されたPSKを、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと比較し、
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと同じである、又は関連することをVNFMが決定する場合、VNFインスタンス上の認証が成功することが決定され、又は
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと異なる、又は関連しないことをVNFMが決定する場合、VNFインスタンス上の認証が失敗することが決定される。
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと同じである、又は関連することをVNFMが決定する場合、VNFインスタンス上の認証が成功することが決定され、又は
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと異なる、又は関連しないことをVNFMが決定する場合、VNFインスタンス上の認証が失敗することが決定される。
ステップ103:VNFMが、CAによって発行された証明を受信し、証明をVNFインスタンスへ送信する。
証明は、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される。
ステップ103では、CAによって発行された証明を受信する場合、VNFMが、一時的証明又は既知共有鍵が無効であることを決定し、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に、一時的証明がVNFM又はCAから申請され、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に、既知共有鍵が生成される。このことは、CAによって発行された証明が受信される場合、一時的証明又は既知共有鍵が、VNFMによってもはや信頼されないことを意味する。
本発明のこの実施形態では、方法が、証明をVNFインスタンスへ送信する場合に、VNFインスタンスへ管理チャンネルを確立するために証明をVNFMによって使用するステップを更に備える。
本発明の実施形態1の解決策によって、VNFMが、VNFインスタンスによって送信された証明申請代理メッセージを受信し、証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、認証情報が、VNFインスタンスとVNFMとの間の証明代理申請のためのチャンネルを確立するために使用され、VNFMが、VNFインスタンスを認証するために認証情報を使用し、認証が成功する場合、証明申請メッセージをCAへ送信し、証明申請メッセージが、証明申請のために使用される証明申請情報を備え、VNFMが、CAによって発行された証明を受信し、証明をVNFインスタンスへ送信する。このようにして、VNFMと認証局との間の信頼されるリンクを通って、インスタンス化されたVNFインスタンスが、認証局によって発行される証明を申請し、それによって、VNFインスタンスによって申請された証明の適法性を効果的に保証し、認証局によって発行された証明を使用することによって、VNFインスタンスとVNFMとの間に確立される管理チャンネルのセキュリティを保証する。
実施形態2
本発明の実施形態2による証明取得方法の概略流れ図である、図2に示すように、方法が以下のように説明され得る。
本発明の実施形態2による証明取得方法の概略流れ図である、図2に示すように、方法が以下のように説明され得る。
本発明の実施形態2を実施するための前提条件は、NFVO、VIM及びNFVIは互いに協働して、VMを生成し、VN上でVNFインスタンスを始動し、作動することである。
安全な信頼されるリンクが、VMとVIMとの間に確立されるということに留意すべきである。
VMとVIMとの間に確立された安全な信頼されるリンクが、次の実施形態4の中で詳述され、ここでは説明されない。
ステップ201:仮想ネットワーク機能VNFマネージャVNFMが、VNFフレームワーク内の仮想インフラストラクチャVIMによって送信された証明申請代理メッセージを受信する。
証明申請代理メッセージは、証明申請、及び証明申請のためのVNFインスタンスによって使用される証明申請情報を要求するVNFインスタンスを含む。
証明申請情報が、証明フォーマット、ドメイン名、認証局などを含むことに留意すべきである。
ステップ201では、仮想ネットワーク内で、VNFがインスタンス化される後、インスタンス化されたVNFインスタンスと他の仮想ネットワークエレメントとの間に通信のセキュリティを保証するために、インスタンス化されたVNFインスタンスのための証明を申請することが必要である。
詳細には、VNFインスタンスをインスタンス化する命令を受信する場合、NFVOは、VNFをインスタンス化する命令をVIMへ送信する。VIMは、VNFをインスタンス化する命令をNFVIへ送信し、NFVIが、VMをVNFインスタンスへ割り当てて、VNFインスタンス化を実施するように要求する。
VNFをインスタンス化する命令は、VNFインスタンスの初期化パラメータを含む。
VMをVNFインスタンスへ割り当て、VNFインスタンス化を実施する場合、NFVIが、VNFインスタンスの初期化パラメータをVNFインスタンスの中に投入し、初期化パラメータは、VNFをインスタンス化する命令の中に含まれる。
申請される証明の適法性を保証するために、VNFインスタンスは証明申請代理を使用することによって証明を申請する。
この場合、VNFインスタンスは、初期化パラメータに従って証明申請情報を取得する。
初期化パラメータは、CA情報及び証明管理ドメインのドメイン名を含む。
加えて、VNFインスタンスは、初期化パラメータに従って公開鍵−秘密鍵の対を生成する。
秘密鍵は、VNFインスタンス内に局所的に記憶され、公開鍵は、証明申請情報の中で搬送され、VNFインスタンスが作動するVMへ送信される。
VNFインスタンスがVM上で作動するので、信頼されるリンクがVNFインスタンスとVMとの間に確立されることが決定されるということに留意すべきである。
安全な信頼されるリンクがVMとVIMとの間に確立されるので、VNFインスタンスによって送信される証明申請メッセージを受信する場合、VMが、VIMへ安全なチャンネルを使用することによって、証明申請代理メッセージをVIMへ送信する。
証明申請代理メッセージは、証明申請のために使用される証明申請情報を含む。
証明申請メッセージを受信する場合、VIMは、証明申請代理メッセージをVNFMへ転送し、VNFMが、証明申請代理として役立ち、認証局CAへ証明を申請する。
VNFMが、事前に、認証局CAへ信頼される安全な伝送チャンネルを確立するということに留意すべきである。
ステップ202:VNFMが、認証局CAへ証明申請メッセージを送信する。
証明申請メッセージは、証明申請のために使用される証明申請情報を含む。
ステップ203:VNFMが、CAによって発行された証明を受信し、証明をVIMへ送信する。
証明は、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される。
ステップ203では、VNFMが、CAによって発行された証明を受信し、証明をVIMへ送信する後、VIMがVMへの伝送チャンネルを使用して、VMへ証明を送信し、次いでVMがVNFインスタンスへ証明を送信し、その結果、VNFインスタンスが、局所的に記憶された秘密鍵を使用することによって受信された証明を認証し、認証が成功する場合、VNFMへの管理チャンネルを確立するために証明を使用する。
本発明の実施形態2の解決策により、VMとVIMとの間の信頼される安全な伝送チャンネルを通って、インスタンス化されたVNFインスタンスが証明申請代理情報をVNFMへ送信し、次いで、VNFMと認証局との間の信頼されるリンクを通って、認証局によって発行される証明を申請し、それによって、VNFインスタンスによって申請された証明の適法性を効果的に保証し、認証局によって発行された証明を使用することによって、VNFインスタンスとVNFMとの間に確立される管理チャンネルのセキュリティを更に保証する。
実施形態3
本発明の実施形態3による証明取得方法の概略流れ図である、図3に示すように、方法が以下のように説明され得る。
本発明の実施形態3による証明取得方法の概略流れ図である、図3に示すように、方法が以下のように説明され得る。
本発明の実施形態3を実施するための前提条件は、VNFインスタンスをインスタンス化することを決定する場合、NFVOが、一時的証明を認証局CAへ申請し、一時的証明が法的証明を申請するためにVNFインスタンスによって使用される。
NFVOが、VNFインスタンスをインスタンス化することを決定するプロセスで、信頼される伝送チャンネルが、NFVOと、VIMと、NFVIとの間に確立され、その結果、VNFインスタンスをインスタンス化するプロセスが攻撃に対して保護され、伝送される一時的証明が漏洩に対して保護されるということに留意すべきである。
ステップ301:認証局CAが、仮想ネットワーク機能VNFインスタンスによって送信された証明申請メッセージを受信する。
証明申請メッセージは、一時的証明及び証明申請のために使用される証明申請情報を含み、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、CAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。
証明申請情報が、証明フォーマット、ドメイン名、認証局などを含むことに留意すべきである。
ステップ301では、仮想ネットワーク内で、VNFがインスタンス化される後、インスタンス化されたVNFインスタンスと他の仮想ネットワークエレメントとの間に通信のセキュリティを保証するために、インスタンス化されたVNFインスタンスのための証明を申請することが必要である。
詳細には、VNFインスタンスをインスタンス化する命令を受信する場合、NFVOは、VNFをインスタンス化する命令をVIMへ送信する。VIMは、VNFをインスタンス化する命令をNFVIへ送信し、NFVIが、VMをVNFインスタンスへ割り当てて、VNFインスタンス化を実施するように要求する。
VNFをインスタンス化する命令は、VNFインスタンスの初期化パラメータを含む。
VMをVNFインスタンスへ割り当て、VNFインスタンス化を実施する場合、NFVIが、VNFインスタンスの初期化パラメータをVNFインスタンスの中に投入し、初期化パラメータは、VNFをインスタンス化する命令の中に含まれる。
この場合、VNFインスタンスは、初期化パラメータに従って証明申請情報を取得する。
初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化することを決定する場合に生成され、NFVIがVMをVNFインスタンスへ割り当て、VNFインスタンス化を終了する場合に投入される。
初期化パラメータに従って、VNFインスタンスは、証明申請のために使用される公開鍵−秘密鍵の対を生成する。
秘密鍵は、VNFインスタンスの中で局所的に記憶される。
公開鍵は、証明申請情報の中に搬送され、認証局CAへ送信される。
投入された認証局CAに従って、VNFインスタンスは、一時的証明及び証明申請のために使用される証明申請情報を搬送するために証明申請メッセージを使用し、証明申請メッセージをCAへ送信するということに留意すべきである。
ステップ302:CAが、VNFインスタンスを認証するために一時的証明を使用し、認証が成功する場合、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従って、VNFインスタンスへ証明を発行する。
ステップ302では、証明申請メッセージを受信する場合、CAが、証明申請メッセージの中に含まれる一時的証明を使用することによって、VNFインスタンスを認証し、認証が成功する場合、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従って、VNFインスタンスへ証明を発行する。
本発明のこの実施形態では、方法が、VNFインスタンスが証明を取得する後、受信された証明を認証するための局所的に記憶された秘密鍵を使用するステップと、認証が成功する場合、VNFMへ管理チャンネルを確立するために証明を使用するステップとを更に含む。
本発明の実施形態3の解決策により、NFVOがVNFインスタンスをインスタンス化することを決定する場合に申請される一時的証明を使用することによって、インスタンス化されたVNFインスタンスが、インスタンス化されたVNFインスタンスとCAとの間に証明申請のための信頼されるチャンネルを確立し、それによって、VNFインスタンスによって申請された証明の適法性を効果的に保証し、認証局によって発行された証明を使用することによって、VNFインスタンスとVNFMとの間に確立される管理チャンネルのセキュリティを更に保証する。
実施形態4
本発明の実施形態4による証明取得方法の概略流れ図である、図4に示すように、方法が以下のように説明され得る。
本発明の実施形態4による証明取得方法の概略流れ図である、図4に示すように、方法が以下のように説明され得る。
本発明の実施形態4は、VMと、VMM又はVIMとの間に管理チャンネルを確立するための方法を詳細に説明する。
ステップ401:ネットワーク機能仮想インフラストラクチャNFVIが、仮想機械VMによって送信された証明申請メッセージを受信する。
証明申請メッセージは、証明申請のために使用される証明申請情報を含む。
証明申請情報が、証明フォーマット、ドメイン名、認証局などを含むことに留意すべきである。
ステップ401では、仮想ネットワーク内で、VNFがインスタンス化される後、インスタンス化されたVNFインスタンスと他の仮想ネットワークエレメントとの間に通信のセキュリティを保証するために、インスタンス化されたVNFインスタンスのための証明を申請することが必要である。
VNFインスタンスがインスタンス化される必要がある場合、VFNインスタンスが作動する仮想リソースVMが割り当てられるので、VMが割り当てられる後、VMとVMMとの間の管理チャンネルが確立される必要があり、それによってVMの適法性を保証し、したがって、VNFインスタンスの適法性を向上させる。
詳細には、VNFインスタンスをインスタンス化する命令を受信する場合、NFVOは、VNFをインスタンス化する命令をVIMへ送信する。VIMは、VNFをインスタンス化する命令をNFVIへ送信し、NFVIが、VMをVNFインスタンスへ割り当てて、VNFインスタンス化を実施するように要求する。
NFVIが、VNFをインスタンス化する命令に従って、VMをVNFインスタンスへ割り当てる。
VIMが、NFVIへ仮想リソースを割り当てる要求についての情報を送信し、仮想リソースを割り当てる要求についての情報は、証明申請などのための初期化パラメータを含む。
VNFをインスタンス化する命令に従って、VMをVNFインスタンスへ割り当てる後、NFVIが、証明申請のための初期化パラメータをVMの中に投入する。
開始される場合、VMは、初期化パラメータに従って公開鍵−秘密鍵の対を生成する。
初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を含み、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMがVMを生成するように命令を受信する場合に、取得され、命令が、ネットワーク機能仮想オーケストレータNFVOによって送信される。
秘密鍵は、VM内に局所的に記憶され、公開鍵は、証明申請のために使用され、証明申請情報の中で搬送される。
この場合、VMが証明申請メッセージをNFVIへ送信する。
ステップ402:NFVIが、認証局CAへ証明申請代理メッセージを送信する。
証明申請代理メッセージは、証明申請のためにVMによって使用される証明申請情報を含む。
ステップ402では、NFVIによって、証明申請代理メッセージを認証局CAへ送信する方法が、限定しないが、以下を含む。
第1の方法:
信頼される伝送チャンネルが、予めNFVIと認証局CAとの間に事前に確立され、この場合、NFVIが、証明申請代理メッセージを認証局CAへ直接送信する。
第2の方法:
信頼される伝送チャンネルが、事前にVIMと認証局CAとの間に確立される。
NFVIが、証明申請代理メッセージを、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMへ送信し、その結果、VIMが、証明申請代理メッセージを認証局CAへ転送する。
図5は、証明取得方法の概略流れ図である。
詳細には、NFVIがVMによって送信された証明申請メッセージを受信し、証明申請代理メッセージを生成し、証明申請代理メッセージをVIMへ送信し、VIMは、証明申請代理メッセージを認証局CAへ転送する。
ステップ403:NFVIが、CAによって発行された証明を受信し、証明をVMへ送信する。
証明は、証明申請のためにVMによって使用され、証明申請代理メッセージの中に含まれる証明申請情報に従ってCAによって生成される。
ステップ403では、方法が、VMが証明を受信する場合、受信された証明を局所的に記憶された秘密鍵を使用することによって認証するステップ、及び認証が成功する場合、VMとVMマネージャ(VMM)との間に管理チャンネルを確立するステップを更に含む。
本発明の実施形態4の中の解決策により、証明申請代理によって、VMが、法的証明を申請し、VMM又はVIMへ信頼される伝送チャンネルを確立し、それによって、信頼される伝送チャンネルが、認証局によって発行される証明を使用することによって、VNFインスタンスとVNFMとの間に確立されることを保証するための基礎を構築し、VNFインスタンスとVNFMとの間の管理チャンネルのセキュリティを効果的に向上させる。
実施形態5
本発明の実施形態5による証明取得装置の概略構造図である、図6に示すように、装置が、受信モジュール61及び送信モジュール62を含む。
本発明の実施形態5による証明取得装置の概略構造図である、図6に示すように、装置が、受信モジュール61及び送信モジュール62を含む。
受信モジュール61は、VNFインスタンスによって送信される証明申請代理メッセージを受信するように構成され、証明申請代理メッセージは、認証情報、及び証明申請のために使用される証明申請情報を含み、認証情報が、VNFインスタンスと仮想ネットワーク機能VNFマネージャVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される。
送信モジュール62は、VNFインスタンスを認証するために、受信モジュール61によって受信された認証情報を使用し、認証が成功する場合、証明申請メッセージを認証局CAへ送信するように構成され、証明申請メッセージが、証明申請のために使用される証明申請情報を含み、受信モジュール61が、CAによって発行される証明を受信するように更に構成され、送信モジュール62が、受信モジュール61によって受信された証明をVNFインスタンスへ送信するように更に構成され、証明が、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される。
任意選択で、認証情報が、一時的証明であり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、VNFMから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。
送信モジュール62が、
受信された一時的証明を、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と比較し、
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と同じであることが決定される場合、VNFインスタンス上の認証が成功することを決定し、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることが決定される場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。
受信された一時的証明を、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と比較し、
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と同じであることが決定される場合、VNFインスタンス上の認証が成功することを決定し、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることが決定される場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。
任意選択で、認証情報が、既知共有鍵PSKであり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、PSKが、生成され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。
受信モジュール61が、PSKをVNFインスタンスへ送信し、且つVNFインスタンスによって送信された証明申請代理メッセージを受信するように特に構成され、証明申請代理メッセージが、局所的に投入されたPSKがVNFMによって送信された受信されたPSKと同じ、又は関連することをVNFインスタンスが決定する場合にVNFMへ送信される。
送信モジュール62が、
受信されたPSKを、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと比較し、
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと同じである、又は関連することが決定される場合、VNFインスタンス上の認証が成功することを決定し、又は
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと異なる、又は関連しないことが決定される場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。
受信されたPSKを、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと比較し、
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと同じである、又は関連することが決定される場合、VNFインスタンス上の認証が成功することを決定し、又は
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと異なる、又は関連しないことが決定される場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。
任意選択で、装置が、チャンネル確立モジュール63を更に備え、
チャンネル確立モジュール63は、証明がVNFインスタンスへ送信される場合に、VNFインスタンスへ管理チャンネルを確立するために証明を使用するように構成される。
チャンネル確立モジュール63は、証明がVNFインスタンスへ送信される場合に、VNFインスタンスへ管理チャンネルを確立するために証明を使用するように構成される。
本発明のこの実施形態による装置が、仮想システム内の仮想ネットワーク機能VNFマネージャVNFMであることができ、VNFインスタンスの代理によって証明を申請する機能を含み、本明細書で限定されないハードウェア又はソフトウェアの形態の中で実施され得るということに留意すべきである。
実施形態6
本発明の実施形態6による証明取得装置の概略構造図である、図7に示すように、装置が、受信モジュール71及び送信モジュール72を含む。
本発明の実施形態6による証明取得装置の概略構造図である、図7に示すように、装置が、受信モジュール71及び送信モジュール72を含む。
受信モジュール71が、VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを受信するように構成され、証明申請代理メッセージが、証明申請を要求するVNFインスタンス、及び証明申請のためのVNFインスタンスによって使用される証明申請情報を備え、
送信モジュール72が、証明申請メッセージを認証局CAへ送信するように構成され、証明申請メッセージが、受信モジュール71によって受信され、証明申請のためにVNFインスタンスによって使用される証明申請情報を備え、
受信モジュール71が、CAによって発行された証明を受信するように更に構成され、
送信モジュール72が、受信モジュール71によって受信された証明をVIMへ送信するように更に構成され、証明が、証明申請のためにVNFインスタンスによって使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される。
送信モジュール72が、証明申請メッセージを認証局CAへ送信するように構成され、証明申請メッセージが、受信モジュール71によって受信され、証明申請のためにVNFインスタンスによって使用される証明申請情報を備え、
受信モジュール71が、CAによって発行された証明を受信するように更に構成され、
送信モジュール72が、受信モジュール71によって受信された証明をVIMへ送信するように更に構成され、証明が、証明申請のためにVNFインスタンスによって使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される。
任意選択で、証明申請代理メッセージが、受信された証明申請情報に従ってVIMによって生成され、証明申請情報が、初期化パラメータに従ってVNFインスタンスによって取得され、VNFインスタンスによってVMへ送信され、次いで、VMによってVIMまでの安全チャンネルを通ってVIMへ送信される。
任意選択で、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を含み、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化することを決定する場合に取得される。
本発明のこの実施形態による装置が、仮想システム内の仮想ネットワーク機能VNFマネージャVNFMであることができ、VNFインスタンスの代理によって証明を申請する機能を含み、本明細書で限定されないハードウェア又はソフトウェアの形態の中で実施され得るということに留意すべきである。
実施形態7
本発明のこの実施形態による証明取得装置の概略構造図である、図8に示すように、装置が、受信モジュール81及び発行モジュール82を含み、
受信モジュール81が、仮想ネットワーク機能VNFインスタンスによって送信される証明申請メッセージを受信するように構成され、証明申請メッセージが、一時的証明及び証明申請のために使用される証明申請情報を備え、一時的証明が、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にCAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通ってVNFインスタンスへ伝送され、
発行モジュール82が、VNFインスタンスを認証するために受信モジュール81によって受信される一時的証明を使用し、認証が成功する場合に、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってVNFインスタンスへ証明を発行するように構成される。
本発明のこの実施形態による証明取得装置の概略構造図である、図8に示すように、装置が、受信モジュール81及び発行モジュール82を含み、
受信モジュール81が、仮想ネットワーク機能VNFインスタンスによって送信される証明申請メッセージを受信するように構成され、証明申請メッセージが、一時的証明及び証明申請のために使用される証明申請情報を備え、一時的証明が、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にCAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通ってVNFインスタンスへ伝送され、
発行モジュール82が、VNFインスタンスを認証するために受信モジュール81によって受信される一時的証明を使用し、認証が成功する場合に、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってVNFインスタンスへ証明を発行するように構成される。
本発明のこの実施形態による装置が、認証局であることができ、CA、又は本明細書で限定されない証明を認証することができる別の装置であることができ、装置は、本明細書で限定されないハードウェア又はソフトウェアの形態の中で実施され得るということに留意すべきである。
実施形態8
本発明の実施形態8による証明取得装置の概略構造図である、図9に示すように、装置が、受信モジュール91及び送信モジュール92を含み、
受信モジュール91が、仮想機械VMによって送信される証明申請メッセージを受信するように構成され、証明申請メッセージが、証明申請のために使用される公開鍵を備え、
送信モジュール92が、証明申請代理メッセージを認証局CAへ送信するように構成され、証明申請代理メッセージが、受信モジュール91によって受信され、証明申請のためにVMによって使用される公開鍵を備え、
受信モジュール91が、CAによって発行された証明を受信するように更に構成され、
送信モジュール92が、受信モジュールによって受信された証明をVMへ送信するように更に構成され、証明申請のためにVMによって使用され、証明申請代理メッセージの中に含まれる公開鍵に従って署名することによって、証明が、CAによって取得される。
本発明の実施形態8による証明取得装置の概略構造図である、図9に示すように、装置が、受信モジュール91及び送信モジュール92を含み、
受信モジュール91が、仮想機械VMによって送信される証明申請メッセージを受信するように構成され、証明申請メッセージが、証明申請のために使用される公開鍵を備え、
送信モジュール92が、証明申請代理メッセージを認証局CAへ送信するように構成され、証明申請代理メッセージが、受信モジュール91によって受信され、証明申請のためにVMによって使用される公開鍵を備え、
受信モジュール91が、CAによって発行された証明を受信するように更に構成され、
送信モジュール92が、受信モジュールによって受信された証明をVMへ送信するように更に構成され、証明申請のためにVMによって使用され、証明申請代理メッセージの中に含まれる公開鍵に従って署名することによって、証明が、CAによって取得される。
任意選択で、送信モジュール92が、証明申請代理メッセージを、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMへ送信するように特に構成され、その結果、VIMが、証明申請代理メッセージを認証局CAへ転送する。
任意選択で、装置が、チャンネル確立モジュール93を更に備え、
チャンネル確立モジュール93は、VMが証明を受信する場合に、VMとVMマネージャとの間に管理チャンネルを確立するように構成される。
チャンネル確立モジュール93は、VMが証明を受信する場合に、VMとVMマネージャとの間に管理チャンネルを確立するように構成される。
任意選択で、公開鍵が、初期化パラメータに従ってVMによって生成され、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMがVMを生成するように命令を受信する場合に、取得され、命令が、ネットワーク機能仮想オーケストレータNFVOによって送信される。
本発明のこの実施形態による装置が、ネットワーク機能仮想インフラストラクチャNFVIであることができ、VMの代理によって証明を申請する機能を含み、本明細書で限定されないハードウェア又はソフトウェアの形態の中で実施され得るということに留意すべきである。
実施形態9
本発明の実施形態9による証明取得装置の概略構造図である、図10に示すように、装置が、信号受信機1011及び信号送信機1012を含み、信号受信機1011及び信号送信機1012が、通信バス1013を通って通信する。
本発明の実施形態9による証明取得装置の概略構造図である、図10に示すように、装置が、信号受信機1011及び信号送信機1012を含み、信号受信機1011及び信号送信機1012が、通信バス1013を通って通信する。
信号受信機1011は、VNFインスタンスによって送信される証明申請代理メッセージを受信するように構成され、証明申請代理メッセージは、認証情報、及び証明申請のために使用される証明申請情報を含み、認証情報が、VNFインスタンスと仮想ネットワーク機能VNFマネージャVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される。
信号送信機1012が、VNFインスタンスを認証するために認証情報を使用し、認証が成功する場合、証明申請メッセージを認証局CAへ送信し、証明申請メッセージは、証明申請のために使用される証明申請情報を含む。
信号受信機1011は、CAによって発行される証明を受信するように更に構成される。
信号送信機1012は、VNFインスタンスへ証明を送信するように更に構成され、証明は、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される。
任意選択で、認証情報が、一時的証明であり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、VNFMから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。
信号送信機1012が、受信された一時的証明を、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と比較し、
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と同じであることをVNFMが決定する場合、VNFインスタンス上の認証が成功することを決定し、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることをVNFMが決定する場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と同じであることをVNFMが決定する場合、VNFインスタンス上の認証が成功することを決定し、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることをVNFMが決定する場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。
任意選択で、認証情報が、既知共有鍵PSKであり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、PSKが、生成され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。
信号受信機1011が、PSKをVNFインスタンスへ送信し、且つVNFインスタンスによって送信された証明申請代理メッセージを受信するように特に構成され、証明申請代理メッセージが、局所的に投入されたPSKが受信されたPSKと同じ、又は関連することをVNFインスタンスが決定する場合にVNFMへ送信される。
信号送信機1012が、受信されたPSKを、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと比較し、
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと同じである、又は関連することが決定される場合、VNFインスタンス上の前記認証が成功することを決定し、又は
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと異なる、又は関連しないことが決定される場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと同じである、又は関連することが決定される場合、VNFインスタンス上の前記認証が成功することを決定し、又は
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと異なる、又は関連しないことが決定される場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。
任意選択で、装置が、プロセッサ1014を更に備え、
プロセッサ1014は、証明がVNFインスタンスへ送信される場合に、VNFインスタンスへ管理チャンネルを確立するために証明を使用するように構成される。
プロセッサ1014は、証明がVNFインスタンスへ送信される場合に、VNFインスタンスへ管理チャンネルを確立するために証明を使用するように構成される。
プロセッサ1014は、汎用の中央処理装置(CPU)、マイクロプロセッサ、特定用途向け集積回路(application−specific integrated circuit、ASIC)、又は本発明の中の解決策のプログラムの実行を制御するために使用される1つ又は複数の集積回路であることができる。
通信バス1013が、前述の構成要素間で情報を伝送するためのパスを含むことができる。
本発明のこの実施形態による装置が、仮想システム内の仮想ネットワーク機能VNFマネージャVNFMであることができ、VNFインスタンスの代理によって証明を申請する機能を含み、本明細書で限定されないハードウェア又はソフトウェアの形態の中で実施され得るということに留意すべきである。
実施形態10
本発明の実施形態10による証明取得装置の概略構造図である、図11に示すように、装置が、信号受信機1111及び信号送信機1112を含み、信号受信機1111及び信号送信機1112が、通信バス1113を通って接続される。
本発明の実施形態10による証明取得装置の概略構造図である、図11に示すように、装置が、信号受信機1111及び信号送信機1112を含み、信号受信機1111及び信号送信機1112が、通信バス1113を通って接続される。
信号受信機1111は、VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを受信するように構成され、証明申請代理メッセージが、証明申請、及び証明申請のためにVNFによって使用される証明申請情報を要求するVNFインスタンスを含む。
信号送信機1112が、証明申請メッセージを認証局CAへ送信するように構成され、証明申請メッセージは、証明申請のためにVNFインスタンスによって使用される証明申請情報を含む。
信号受信機1111は、CAによって発行される証明を受信するように更に構成される。
信号送信機1112は、VIMへ証明を送信するように更に構成され、証明は、証明申請のためにVNFインスタンスによって使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される。
任意選択で、証明申請代理メッセージが、受信された証明申請情報に従ってVIMによって生成され、証明申請情報が、初期化パラメータに従ってVNFインスタンスによって取得され、VNFインスタンスによってVMへ送信され、次いで、VMによってVIMまでの安全チャンネルを通ってVIMへ送信される。
任意選択で、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を含み、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化することを決定する場合に取得される。
本発明のこの実施形態による装置が、仮想システム内の仮想ネットワーク機能VNFマネージャVNFMであることができ、VNFインスタンスの代理によって証明を申請する機能を含み、本明細書で限定されないハードウェア又はソフトウェアの形態の中で実施され得るということに留意すべきである。
実施形態11
本発明の実施形態11による証明取得装置の概略構造図である、図12に示すように、装置が、信号受信機1211及びプロセッサ1212を含み、信号受信機1211及びプロセッサ1212が、通信バス1213を通って接続される。
本発明の実施形態11による証明取得装置の概略構造図である、図12に示すように、装置が、信号受信機1211及びプロセッサ1212を含み、信号受信機1211及びプロセッサ1212が、通信バス1213を通って接続される。
信号受信機1211は、仮想ネットワーク機能VNFインスタンスによって送信された証明申請メッセージを受信するように構成され、証明申請メッセージは、一時的証明及び証明申請のために使用される証明申請情報を含み、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、CAから申請されVNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。
プロセッサ1212が、VNFインスタンスを認証するために一時的証明を使用し、認証が成功する場合、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従って、VNFインスタンスへ証明を発行するように構成される。
プロセッサ1212は、汎用の中央処理装置(CPU)、マイクロプロセッサ、特定用途向け集積回路(application−specific integrated circuit、ASIC)、又は本発明の中の解決策のプログラムの実行を制御するために使用される1つ又は複数の集積回路であることができる。
通信バス1213が、前述の構成要素間で情報を伝送するためのパスを含むことができる。
本発明のこの実施形態による装置が、認証局であることができ、CA、又は本明細書で限定されない証明を認証することができる別の装置であることができ、装置は、本明細書で限定されないハードウェア又はソフトウェアの形態の中で実施され得るということに留意すべきである。
実施形態12
本発明の実施形態12による証明取得装置の概略構造図である、図13に示すように、装置が、信号受信機1311及び信号送信機1312を含み、信号受信機1311及び信号送信機1312が、通信バス1313を通って接続される。
本発明の実施形態12による証明取得装置の概略構造図である、図13に示すように、装置が、信号受信機1311及び信号送信機1312を含み、信号受信機1311及び信号送信機1312が、通信バス1313を通って接続される。
信号受信機1311は、仮想機械VMによって送信された証明申請メッセージを受信するように構成され、証明申請メッセージは、証明申請のために使用される公開鍵を含む。
信号送信機1312が、証明申請代理メッセージを認証局CAへ送信するように構成され、証明申請代理メッセージは、証明申請のためにVMによって使用される公開鍵を含む。
信号受信機1311は、CAによって発行される証明を受信するように更に構成される。
信号送信機1312は、VMへ証明を送信するように更に構成され、証明は、証明申請のためにVMによって使用され、証明申請代理メッセージの中に含まれる公開鍵に従ってCAによって取得される。
任意選択で、信号送信機1312が、証明申請代理メッセージを、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMへ送信するように特に構成され、その結果、VIMが、証明申請代理メッセージを認証局CAへ転送する。
任意選択で、装置が、プロセッサ1314を更に備え、
プロセッサ1314は、VMが証明を受信する場合に、VMとVMマネージャとの間に管理チャンネルを確立するように構成される。
プロセッサ1314は、VMが証明を受信する場合に、VMとVMマネージャとの間に管理チャンネルを確立するように構成される。
任意選択で、公開鍵が、初期化パラメータに従ってVMによって生成され、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMがVMを生成するように命令を受信する場合に、取得され、命令が、ネットワーク機能仮想オーケストレータNFVOによって送信される。
プロセッサ1314は、汎用の中央処理装置(CPU)、マイクロプロセッサ、特定用途向け集積回路(application−specific integrated circuit、ASIC)、又は本発明の中の解決策のプログラムの実行を制御するために使用される1つ又は複数の集積回路であることができる。
通信バス1313が、前述の構成要素間で情報を伝送するためのパスを含むことができる。
本発明のこの実施形態による装置が、ネットワーク機能仮想インフラストラクチャNFVIであることができ、VMの代理によって証明を申請する機能を含み、本明細書で限定されないハードウェア又はソフトウェアの形態の中で実施され得るということに留意すべきである。
本発明の実施形態が、方法、機器(装置)又はコンピュータプログラム製品として提供され得ることを当業者は理解すべきである。したがって、本発明は、ハードウェア専用の実施形態、ソフトウェア専用の実施形態、又はソフトウェア及びハードウェアの組合せを用いる実施形態の形態を使用することができる。更に、本発明は、コンピュータ使用可能なプログラムコードを含む、1つ又は複数のコンピュータ使用可能な記憶媒体(限定しないが、ディスクメモリ、CD−ROM、光学メモリなどを含む)上で実施されるコンピュータプログラム製品の形態を使用することができる。
本発明は、本発明の実施形態による方法、機器(装置)及びコンピュータプログラム製品の流れ図、及び/又はブロック図を参照して説明される。コンピュータプログラム命令が、流れ図及び/又はブロック図の中の各プロセス及び/又は各ブロック、並びに流れ図及び/又はブロック図の中のプロセス及び/又はブロックの組合せを実施するために使用され得るということを理解すべきである。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、埋め込みプロセッサ、又は機械を生成するための任意の他のプログラム可能なデータ処理装置のために提供されることが可能であり、その結果、コンピュータ、又は任意の他のプログラム可能なデータ処理装置によって実行される命令が、流れ図の中の1つ又は複数のプロセス、及び/又はブロック図の中の1つ又は複数のブロックの中の特定の機能を実施するための機器を生成する。
これらのコンピュータプログラム命令は、コンピュータ、又は任意の他のプログラム可能なデータ処理装置に特定の方法で機能するように命令することができるコンピュータ読み取り可能なメモリの中に更に記憶されることができ、その結果、コンピュータ読み取り可能なメモリの中に記憶される命令が、命令機器を含むアーチファクトを生成する。命令機器は、流れ図の中の1つ又は複数のプロセス、及び/又はブロック図の中の1つ又は複数のブロックの中の特定の機能を実施する。
これらのコンピュータプログラム命令は、コンピュータ又は他のプログラム可能なデータ処理装置にロードされることも更に可能であり、その結果、一連の操作及びステップが、コンピュータ又は他のプログラム可能な装置上で実施され、それによって、コンピュータ実施処理を生成する。したがって、コンピュータ又は他のプログラム可能な装置上で実行される命令が、流れ図の中の1つ又は複数のプロセス、及び/又はブロック図の中の1つ又は複数のブロックの中の特定の機能を実施するためのステップを提供する。
本発明のいくつかの好適な実施形態が説明されたが、当業者は、一旦基本的発明の概念を習得すると、これらの実施形態に対する変形形態及び修正形態を作製することができる。したがって、以下の特許請求の範囲は、好適な実施形態、並びに本発明の範囲内にあるすべての変形形態及び修正形態を包含するものと解釈されるように意図される。
明らかに、当業者は、本発明の精神及び範囲から逸脱せずに、本発明に対する様々な修正形態及び変形形態を作製することができる。本発明は、以下の特許請求の範囲及びそれらの均等な技術によって定義される保護範囲内にあるならば、これらの修正形態及び変形形態を包含するように意図される。
61,71,81,91 受信モジュール
62,72,92 送信モジュール
63,93 チャンネル確立モジュール
82 発行モジュール
1011,1111,1211,1311 信号受信機
1012,1112,1312 信号送信機
1013,1113 通信バス
1014,1212,1314 プロセッサ
1213,1313 通信バス
62,72,92 送信モジュール
63,93 チャンネル確立モジュール
82 発行モジュール
1011,1111,1211,1311 信号受信機
1012,1112,1312 信号送信機
1013,1113 通信バス
1014,1212,1314 プロセッサ
1213,1313 通信バス
Claims (45)
- VNFインスタンスによって送信される証明申請代理メッセージを受信するように構成された受信モジュールであって、前記証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、前記認証情報が、前記VNFインスタンスと仮想ネットワーク機能VNFマネージャVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される、受信モジュールと、
前記VNFインスタンスを認証するために前記受信モジュールによって受信された前記認証情報を使用し、前記認証が成功する場合、証明申請メッセージを認証局CAへ送信するように構成された送信モジュールであって、前記証明申請メッセージが、証明申請のために使用される前記証明申請情報を備える、送信モジュールと
を備える証明取得装置であって、
前記受信モジュールが、前記CAによって発行された証明を受信するように更に構成され、
前記送信モジュールが、前記受信モジュールによって受信された前記証明を前記VNFインスタンスへ送信するように更に構成され、前記証明が、証明申請のために使用され、前記証明申請メッセージの中に含まれる前記証明申請情報に従って前記CAによって、生成される、証明取得装置。 - 前記認証情報が、一時的証明であり、前記一時的証明が、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合に前記VNFMから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及び前記VNFが作動する仮想機械VMを通って、前記VNFインスタンスへ伝送される、請求項1に記載の装置。
- 前記送信モジュールが、
受信された一時的証明を、前記NFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合に前記VNFMから申請される前記一時的証明と比較し、
前記受信された一時的証明が、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に前記VNFMから申請される前記一時的証明と同じであることが決定される場合、前記VNFインスタンス上の前記認証が成功することを決定し、又は
前記受信された一時的証明が、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に前記VNFMから申請される前記一時的証明と異なることが決定される場合、前記VNFインスタンス上の前記認証が失敗することを決定するように特に構成される、請求項2に記載の装置。 - 前記認証情報が、既知共有鍵PSKであり、前記PSKが、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合に生成され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及び前記VNFが作動する仮想機械VMを通って、前記VNFインスタンスへ伝送される請求項1に記載の装置。
- 前記受信モジュールが、前記PSKを前記VNFインスタンスへ送信し、且つ前記VNFインスタンスによって送信された前記証明申請代理メッセージを受信するように特に構成され、前記証明申請代理メッセージが、局所的に投入されたPSKが前記VNFMによって送信された前記受信されたPSKと同じ、又は関連することを前記VNFインスタンスが決定する場合に前記VNFMへ送信される、請求項4に記載の装置。
- 前記送信モジュールが、前記受信されたPSKを、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に発行されるPSKと比較し、
前記受信されたPSKが、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に発行される前記PSKと同じである、又は関連することが決定される場合、前記VNFインスタンス上の前記認証が成功することを決定し、又は
前記受信されたPSKが、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に発行される前記PSKと異なる、又は関連しないことが決定される場合、前記VNFインスタンス上の前記認証が失敗することを決定するように特に構成される、請求項5に記載の装置。 - 前記装置が、
前記認証が前記VNFインスタンスへ送信される場合に、前記VNFインスタンスへ管理チャンネルを確立するために前記認証を使用するように構成されるチャンネル確立モジュールを更に備える、請求項1から6のいずれか一項に記載の装置。 - VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを受信するように構成された受信モジュールであって、前記証明申請代理メッセージが、証明申請を要求するVNFインスタンス、及び証明申請のための前記VNFインスタンスによって使用される証明申請情報を備える、受信モジュールと、
証明申請メッセージを認証局CAへ送信するように構成された送信モジュールであって、前記証明申請メッセージが、前記受信モジュールによって受信され、証明申請のために前記VNFインスタンスによって使用される前記証明申請情報を備える、送信モジュールと
を備える証明取得装置であって、
前記受信モジュールが、前記CAによって発行された証明を受信するように更に構成され、
前記送信モジュールが、前記受信モジュールによって受信された前記証明を前記VIMへ送信するように更に構成され、前記証明が、証明申請のために前記VNFインスタンスによって使用され、前記証明申請メッセージの中に含まれる前記証明申請情報に従って前記CAによって生成される、証明取得装置。 - 前記証明申請代理メッセージが、前記受信された証明申請情報に従って前記VIMによって生成され、前記証明申請情報が、初期化パラメータに従って前記VNFインスタンスによって取得され、前記VNFインスタンスによってVMへ送信され、次いで、前記VMによって前記VIMまでの安全チャンネルを通って前記VIMへ送信される、請求項8に記載の装置。
- 前記初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化することを決定する場合に取得される、請求項9に記載の装置。
- 仮想ネットワーク機能VNFインスタンスによって送信される証明申請メッセージを受信するように構成された受信モジュールであって、前記証明申請メッセージが、一時的証明及び証明申請のために使用される証明申請情報を備え、前記一時的証明が、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合にCAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及び前記VNFが作動する仮想機械VMを通って前記VNFインスタンスへ伝送される、受信モジュールと、
前記VNFインスタンスを認証するために前記受信モジュールによって受信される前記一時的証明を使用し、前記認証が成功する場合に、証明申請のために使用され、且つ前記証明申請メッセージの中に含まれる前記証明申請情報に従って前記VNFインスタンスへ証明を発行するように構成された発行モジュールと
を備える、証明取得装置。 - 仮想機械VMによって送信される証明申請メッセージを受信するように構成された受信モジュールであって、前記証明申請メッセージが、証明申請のために使用される公開鍵を備える、受信モジュールと、
証明申請代理メッセージを認証局CAへ送信するように構成された送信モジュールであって、前記証明申請代理メッセージが、前記受信モジュールによって受信され、証明申請のために前記VMによって使用される前記公開鍵を備える、送信モジュールと
を備える証明取得装置であって、
前記受信モジュールが、前記CAによって発行された証明を受信するように更に構成され、
前記送信モジュールが、前記受信モジュールによって受信された前記証明を前記VMへ送信するように更に構成され、前記証明が、証明申請のために前記VMによって使用され、前記証明申請代理メッセージの中に含まれる前記公開鍵に従って署名することによって前記CAによって取得される、証明取得装置。 - 前記送信モジュールが、前記証明申請代理メッセージを、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMへ送信するように特に構成され、その結果、前記VIMが、前記証明申請代理メッセージを前記認証局CAへ転送する、請求項12に記載の装置。
- 前記装置が、
前記VMが前記証明を受信する場合に、前記VMとVMマネージャとの間に管理チャンネルを確立するように構成されるチャンネル確立モジュールを更に備える、請求項12又は13に記載の装置。 - 前記公開鍵が、初期化パラメータに従って前記VMによって生成され、前記初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、前記仮想ネットワーク機能フレームワーク内の前記仮想インフラストラクチャマネージャVIMが前記VMを生成するように命令を受信する場合に、取得され、前記命令が、ネットワーク機能仮想オーケストレータNFVOによって送信される、請求項12から14のいずれか一項に記載の装置。
- VNFインスタンスによって送信される証明申請代理メッセージを受信するように構成された信号受信機であって、前記証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、前記認証情報が、前記VNFインスタンスと仮想ネットワーク機能VNFマネージャVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される、信号受信機と、
前記VNFインスタンスを認証するために前記認証情報使用し、認証が成功する場合、証明申請メッセージを認証局CAへ送信するように構成された信号送信機であって、前記証明申請メッセージが、証明申請のために使用される前記証明申請情報を備える、信号送信機と
を備える証明取得装置であって、
前記信号受信機が、前記CAによって発行された証明を受信するように更に構成され、
前記信号送信機が、前記証明を前記VNFインスタンスへ送信するように更に構成され、前記証明が、証明申請のために使用され、前記証明申請メッセージの中に含まれる前記証明申請情報に従って前記CAによって、生成される、証明取得装置。 - 前記認証情報が、一時的証明であり、前記一時的証明が、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合に、前記VNFMから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及び前記VNFが作動する仮想機械VMを通って、前記VNFインスタンスへ伝送される、請求項16に記載の装置。
- 前記信号送信機が、受信された一時的証明を、前記NFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合に前記VNFMから申請される前記一時的証明と比較し、
前記受信された一時的証明が、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に前記VNFMから申請される前記一時的証明と同じであることを前記VNFMが決定する場合、前記VNFインスタンス上の前記認証が成功することを決定し、又は
前記受信された一時的証明が、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に前記VNFMから申請される前記一時的証明と異なることを前記VNFMが決定する場合、前記VNFインスタンス上の前記認証が失敗することを決定するように特に構成される、請求項17に記載の装置。 - 前記認証情報が、既知共有鍵PSKであり、前記PSKが、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合に生成され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及び前記VNFが作動する仮想機械VMを通って、前記VNFインスタンスへ伝送される、請求項16に記載の装置。
- 前記信号受信機が、前記PSKを前記VNFインスタンスへ送信し、且つ前記VNFインスタンスによって送信された前記証明申請代理メッセージを受信するように特に構成され、前記証明申請代理メッセージが、局所的に投入されたPSKが前記受信されたPSKと同じ、又は関連することを前記VNFインスタンスが決定する場合に前記VNFMへ送信される、請求項19に記載の装置。
- 前記信号送信機が、前記受信されたPSKを、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に発行されるPSKと比較し、
前記受信されたPSKが、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に発行される前記PSKと同じである、又は関連することが決定される場合、前記VNFインスタンス上の前記認証が成功することを決定し、又は
前記受信されたPSKが、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に発行される前記PSKと異なる、又は関連しないことが決定される場合、前記VNFインスタンス上の前記認証が失敗することを決定するように特に構成される、請求項20に記載の装置。 - 前記装置が、
前記証明が前記VNFインスタンスへ送信される場合に、前記VNFインスタンスへ管理チャンネルを確立するために前記証明を使用するように構成されるプロセッサを更に備える、請求項16から21のいずれか一項に記載の装置。 - VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを受信するように構成された信号受信機であって、前記証明申請代理メッセージが、証明申請を要求するVNFインスタンス、及び証明申請のための前記VNFインスタンスによって使用される証明申請情報を備える、信号受信機と、
証明申請メッセージを認証局CAへ送信するように構成された信号送信機であって、前記証明申請メッセージが、証明申請のために前記VNFインスタンスによって使用される前記証明申請情報を備える、信号送信機と
を備える証明取得装置であって、
前記信号受信機が、前記CAによって発行された証明を受信するように更に構成され、
前記信号送信機が、前記証明を前記VIMへ送信するように更に構成され、前記証明が、証明申請のために前記VNFインスタンスによって使用され、前記証明申請メッセージの中に含まれる前記証明申請情報に従って前記CAによって生成される、証明取得装置。 - 前記証明申請代理メッセージが、前記受信された証明申請情報に従って前記VIMによって生成され、前記証明申請情報が、初期化パラメータに従って前記VNFインスタンスによって取得され、前記VNFインスタンスによってVMへ送信され、次いで、前記VMによって前記VIMまでの安全チャンネルを通って前記VIMへ送信される、請求項23に記載の装置。
- 前記初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化することを決定する場合に取得される、請求項24に記載の装置。
- 仮想ネットワーク機能VNFインスタンスによって送信される証明申請メッセージを受信するように構成された信号受信機であって、前記証明申請メッセージが、一時的証明及び証明申請のために使用される証明申請情報を備え、前記一時的証明が、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合にCAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及び前記VNFが作動する仮想機械VMを通って前記VNFインスタンスへ伝送される、信号受信機と、
前記VNFインスタンスを認証するために前記一時的証明を使用し、且つ前記認証が成功する場合に、証明申請のために使用され、前記証明申請メッセージの中に含まれる前記証明申請情報に従って前記VNFインスタンスへ証明を発行するように構成されたプロセッサと
を備える、証明取得装置。 - 仮想機械VMによって送信される証明申請メッセージを受信するように構成された信号受信機であって、前記証明申請メッセージが、証明申請のために使用される公開鍵を備える、信号受信機と、
証明申請代理メッセージを認証局CAへ送信するように構成された信号送信機であって、前記証明申請代理メッセージが、証明申請のために前記VMによって使用される前記公開鍵を備える、信号送信機と
を備える証明取得装置であって、
前記信号受信機が、前記CAによって発行された証明を受信するように更に構成され、
前記信号送信機が、前記証明を前記VMへ送信するように更に構成され、証明申請のために前記VMによって使用され、前記証明申請代理メッセージの中に含まれる前記公開鍵に従って署名することによって、前記証明が、前記CAによって取得される、証明取得装置。 - 前記信号送信機が、前記証明申請代理メッセージを、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMへ送信するように特に構成され、その結果、前記VIMが、前記証明申請代理メッセージを前記認証局CAへ転送する、請求項27に記載の装置。
- 前記装置が、
前記VMが前記証明を受信する場合に、前記VMとVMマネージャとの間に管理チャンネルを確立するように構成されるプロセッサを更に備える、請求項27又は28に記載の装置。 - 前記公開鍵が、初期化パラメータに従って前記VMによって生成され、前記初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、前記仮想ネットワーク機能フレームワーク内の前記仮想インフラストラクチャマネージャVIMが前記VMを生成するように命令を受信する場合に、取得され、前記命令が、ネットワーク機能仮想オーケストレータNFVOによって送信される、請求項27から29のいずれか一項に記載の装置。
- VNFインスタンスによって送信される証明申請代理メッセージを仮想ネットワーク機能マネージャVNFMによって受信するステップであって、前記証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、前記認証情報が、前記VNFインスタンスと前記VNFMとの間の証明代理申請のためのチャンネルを確立するために使用される、受信するステップと、
前記VNFMによって、前記VNFインスタンスを認証するために前記認証情報を使用するステップ、及び、認証が成功する場合、証明申請メッセージを認証局CAへ送信するステップであって、前記証明申請メッセージが、証明申請のために使用される前記証明申請情報を備える、ステップと、
前記VNFMによって、前記CAによって発行された証明を受信するステップ、及び、前記証明を前記VNFインスタンスへ送信するステップであって、前記証明が、証明申請のために使用され、前記証明申請メッセージの中に含まれる前記証明申請情報に従って前記CAによって、生成される、ステップと
を含む、証明取得方法。 - 前記認証情報が、一時的証明であり、前記一時的証明が、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合に前記VNFMから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及び前記VNFが作動する仮想機械VMを通って、前記VNFインスタンスへ伝送される、請求項31に記載の方法。
- 前記VNFMによって、前記VNFインスタンスを認証するために前記認証情報を使用するステップが、
受信された一時的証明を、前記NFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合に前記VNFMから申請される前記一時的証明と、前記VNFMによって、比較するステップと、
前記受信された一時的証明が、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に前記VNFMから申請される前記一時的証明と同じであることを前記VNFMが決定する場合、前記VNFインスタンス上の前記認証が成功することを決定するステップ、又は
前記受信された一時的証明が、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に前記VNFMから申請される前記一時的証明と異なることを前記VNFMが決定する場合、前記VNFインスタンス上の前記認証が失敗することを決定するステップと
を含む、請求項32に記載の方法。 - 前記認証情報が、既知共有鍵PSKであり、前記PSKが、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合に生成され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、前記VNFインスタンスへ伝送される、請求項31に記載の方法。
- VNFインスタンスによって送信された前記証明申請代理メッセージを、仮想ネットワーク機能VNFマネージャVNFMによって前記受信するステップが、
前記VNFMによって、前記PSKを前記VNFインスタンスへ送信するステップ、及び前記VNFインスタンスによって送信された前記証明申請代理メッセージを受信するステップを含み、
局所的に投入されたPSKが前記VNFMによって送信された前記受信されたPSKと同じ、又は関連することを前記VNFインスタンスが決定する場合に、前記証明申請代理メッセージが前記VNFMへ送信される、請求項34に記載の方法。 - 前記VNFMによって、前記VNFインスタンスを認証するために前記認証情報を使用するステップが、
前記受信されたPSKを、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に発行されるPSKと、前記VNFMによって、比較するステップと、
前記受信されたPSKが、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に発行される前記PSKと同じである、又は関連することを前記VNFMが決定する場合、前記VNFインスタンス上の前記認証が成功することを決定するステップ、又は
前記受信されたPSKが、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に発行される前記PSKと異なる、又は関連しないことを前記VNFMが決定する場合、前記VNFインスタンス上の前記認証が失敗することを決定するステップと
を含む、請求項35に記載の方法。 - 前記方法が、
前記認証を前記VNFインスタンスへ送信する場合に、前記VNFインスタンスへ管理チャンネルを確立するために前記認証を前記VNFMによって使用するステップを更に備える、請求項31から36のいずれか一項に記載の方法。 - VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを仮想ネットワーク機能マネージャVNFMによって受信するステップであって、前記証明申請代理メッセージが、証明申請を要求するVNFインスタンス、及び証明申請のための前記VNFインスタンスによって使用される証明申請情報を備える、ステップと、
証明申請メッセージを認証局CAへ前記VNFMによって送信するステップであって、前記証明申請メッセージが、証明申請のために前記VNFインスタンスによって使用される前記証明申請情報を備える、ステップと、
前記CAによって発行された証明を前記VNFMによって受信するステップ、
及び前記証明を前記VIMへ送信するステップであって、前記証明が、証明申請のために前記VNFインスタンスによって使用され、前記証明申請メッセージの中に含まれる前記証明申請情報に従って前記CAによって生成される、ステップと
を含む、証明取得方法。 - 前記証明申請代理メッセージが、前記受信された証明申請情報に従って前記VIMによって生成され、前記証明申請情報が、初期化パラメータに従って前記VNFインスタンスによって取得され、前記VNFインスタンスによってVMへ送信され、次いで、前記VMによって前記VIMまでの安全チャンネルを通って前記VIMへ送信される、請求項38に記載の方法。
- 前記初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化することを決定する場合に取得される、請求項39に記載の方法。
- 仮想ネットワーク機能VNFインスタンスによって送信される証明申請メッセージを認証局CAによって受信するステップであって、前記証明申請メッセージが、一時的証明及び証明申請のために使用される証明申請情報を備え、前記一時的証明が、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合にCAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及び前記VNFが作動する仮想機械VMを通って前記VNFインスタンスへ伝送される、ステップと、
前記VNFインスタンスを認証するために前記一時的証明を前記CAによって使用するステップ、及び前記認証が成功する場合に、証明申請のために使用され、且つ前記証明申請メッセージの中に含まれる前記証明申請情報に従って前記VNFインスタンスへ証明を発行するステップと
を備える、証明取得方法。 - 仮想機械VMによって送信される証明申請メッセージをネットワーク機能仮想インフラストラクチャNFVIによって受信するステップであって、前記証明申請メッセージが、証明申請のために使用される公開鍵を備える、ステップと、
証明申請代理メッセージを認証局CAへ前記NFVIによって送信するステップであって、前記証明申請代理メッセージが、証明申請のために前記VMによって使用される前記公開鍵を備える、ステップと、
前記CAによって発行された証明を前記NFVIによって受信するステップ、及び前記証明を前記VMへ送信するステップであって、証明申請のために前記VMによって使用され、前記証明申請代理メッセージの中に含まれる前記公開鍵に従って署名することによって、前記証明が、前記CAによって取得される、ステップと
を含む、証明取得方法。 - 証明申請代理メッセージを認証局CAへ前記NFVIによって前記送信するステップが、
前記証明申請代理メッセージを、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMへ前記NFVIによって送信するステップであって、その結果、前記VIMが、前記証明申請代理メッセージを前記認証局CAへ転送する、ステップを含む、請求項42に記載の方法。 - 前記方法が、
前記VMが前記証明を受信する場合に、前記VMとVMマネージャとの間に管理チャンネルを確立するステップを更に備える、請求項42又は43に記載の証明取得方法。 - 前記公開鍵が、初期化パラメータに従って前記VMによって生成され、前記初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、前記仮想ネットワーク機能フレームワーク内の前記仮想インフラストラクチャマネージャVIMが前記VMを生成するように命令を受信する場合に、取得され、前記命令が、ネットワーク機能仮想オーケストレータNFVOによって送信される、請求項42から44のいずれか一項に記載の方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2014/077075 WO2015168914A1 (zh) | 2014-05-08 | 2014-05-08 | 一种证书获取方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017516434A true JP2017516434A (ja) | 2017-06-15 |
| JP6299047B2 JP6299047B2 (ja) | 2018-03-28 |
Family
ID=54392000
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017510714A Active JP6299047B2 (ja) | 2014-05-08 | 2014-05-08 | 証明取得方法及び装置 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US10225246B2 (ja) |
| EP (1) | EP3133789B1 (ja) |
| JP (1) | JP6299047B2 (ja) |
| KR (1) | KR101942412B1 (ja) |
| CN (2) | CN105284091B (ja) |
| BR (1) | BR112016026035B1 (ja) |
| RU (1) | RU2658172C2 (ja) |
| WO (2) | WO2015168914A1 (ja) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015168913A1 (zh) | 2014-05-08 | 2015-11-12 | 华为技术有限公司 | 一种证书获取方法和设备 |
| JP6299047B2 (ja) * | 2014-05-08 | 2018-03-28 | 華為技術有限公司Huawei Technologies Co.,Ltd. | 証明取得方法及び装置 |
| US9386001B1 (en) | 2015-03-02 | 2016-07-05 | Sprint Communications Company L.P. | Border gateway protocol (BGP) communications over trusted network function virtualization (NFV) hardware |
| US9578008B2 (en) * | 2015-05-11 | 2017-02-21 | Intel Corporation | Technologies for secure bootstrapping of virtual network functions |
| US10069844B2 (en) | 2016-07-21 | 2018-09-04 | Sprint Communications Company L.P. | Virtual network function (VNF) hardware trust in a network function virtualization (NFV) software defined network (SDN) |
| CN106302394B (zh) * | 2016-07-26 | 2019-08-30 | 京信通信系统(中国)有限公司 | 安全通道建立方法和系统 |
| WO2018040095A1 (zh) * | 2016-09-05 | 2018-03-08 | 华为技术有限公司 | 一种生成安全凭证的方法和设备 |
| US10318723B1 (en) * | 2016-11-29 | 2019-06-11 | Sprint Communications Company L.P. | Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications |
| WO2018120182A1 (zh) * | 2016-12-30 | 2018-07-05 | 华为技术有限公司 | 一种秘密信息的分发方法和设备 |
| CN110121857B (zh) * | 2016-12-30 | 2021-02-09 | 华为技术有限公司 | 一种凭据分发的方法和设备 |
| CN108540301B (zh) * | 2017-03-03 | 2021-01-12 | 华为技术有限公司 | 一种预置账户的密码初始化方法及相关设备 |
| CN108809907B (zh) * | 2017-05-04 | 2021-05-11 | 华为技术有限公司 | 一种证书请求消息发送方法、接收方法和装置 |
| CN109286494B (zh) * | 2017-07-20 | 2020-10-23 | 华为技术有限公司 | 一种虚拟网络功能vnf的初始化凭据生成方法及设备 |
| CN107302544B (zh) * | 2017-08-15 | 2019-09-13 | 迈普通信技术股份有限公司 | 证书申请方法、无线接入控制设备及无线接入点设备 |
| CN109905252B (zh) * | 2017-12-07 | 2022-06-07 | 华为技术有限公司 | 建立虚拟网络功能实例的方法和装置 |
| US10762193B2 (en) * | 2018-05-09 | 2020-09-01 | International Business Machines Corporation | Dynamically generating and injecting trusted root certificates |
| WO2019072267A2 (en) | 2018-11-07 | 2019-04-18 | Alibaba Group Holding Limited | COMMUNICATION MANAGEMENT BETWEEN CONSENSUS NODES AND CLIENT NODES |
| US11095460B2 (en) | 2019-07-05 | 2021-08-17 | Advanced New Technologies Co., Ltd. | Certificate application operations |
| CN110445614B (zh) * | 2019-07-05 | 2021-05-25 | 创新先进技术有限公司 | 证书申请方法、装置、终端设备、网关设备和服务器 |
| US20220264301A1 (en) * | 2019-07-17 | 2022-08-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Technique for certificate handling in a core network domain |
| CN110769393B (zh) * | 2019-11-07 | 2021-12-24 | 公安部交通管理科学研究所 | 一种车路协同的身份认证系统及方法 |
| CN110943996B (zh) * | 2019-12-03 | 2022-03-22 | 迈普通信技术股份有限公司 | 一种业务加解密的管理方法、装置及系统 |
| US11522721B2 (en) * | 2020-04-07 | 2022-12-06 | Verizon Patent And Licensing Inc. | System and method for establishing dynamic trust credentials for network functions |
| CN113872765B (zh) * | 2020-06-30 | 2023-02-03 | 华为技术有限公司 | 身份凭据的申请方法、身份认证的方法、设备及装置 |
| US11436127B1 (en) * | 2020-09-10 | 2022-09-06 | Cisco Technology, Inc. | Automated validation and authentication of software modules |
| CN115942314A (zh) * | 2021-08-06 | 2023-04-07 | 华为技术有限公司 | 一种证书管理方法和装置 |
| WO2023213590A1 (en) * | 2022-05-05 | 2023-11-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Security certificate management during network function (nf) lifecycle |
| CN117318970A (zh) * | 2022-06-23 | 2023-12-29 | 中兴通讯股份有限公司 | 安全通道建立方法、系统及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005086445A (ja) * | 2003-09-08 | 2005-03-31 | Nooza:Kk | ネットワーク構築方法、ネットワーク構築装置、およびネットワーク構築プログラム |
| JP2011503977A (ja) * | 2007-11-08 | 2011-01-27 | 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 | 2ウェイのアクセス認証方法 |
| CN103036854A (zh) * | 2011-09-30 | 2013-04-10 | 中国移动通信集团公司 | 业务订购方法及系统、业务权限认证方法、终端设备 |
| CN103475485A (zh) * | 2013-09-16 | 2013-12-25 | 浙江汇信科技有限公司 | 基于数字证书互联互通的身份认证支撑平台及认证方法 |
| JP2014082584A (ja) * | 2012-10-15 | 2014-05-08 | Nippon Registry Authentication Inc | 認証基盤システム |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1379045B1 (en) * | 2002-07-01 | 2007-10-10 | Telefonaktiebolaget LM Ericsson (publ) | Arrangement and method for protecting end user data |
| RU2371757C2 (ru) * | 2003-08-21 | 2009-10-27 | Майкрософт Корпорейшн | Системы и способы моделирования данных в основанной на предметах платформе хранения |
| US7321970B2 (en) * | 2003-12-30 | 2008-01-22 | Nokia Siemens Networks Oy | Method and system for authentication using infrastructureless certificates |
| US7467303B2 (en) * | 2004-03-25 | 2008-12-16 | International Business Machines Corporation | Grid mutual authorization through proxy certificate generation |
| JP2006246272A (ja) * | 2005-03-07 | 2006-09-14 | Fuji Xerox Co Ltd | 証明書取得システム |
| JP4846464B2 (ja) * | 2006-06-21 | 2011-12-28 | 日本電信電話株式会社 | 複数公開鍵の証明書を発行及び検証するシステム、並びに、複数公開鍵の証明書を発行及び検証する方法 |
| US20080066181A1 (en) | 2006-09-07 | 2008-03-13 | Microsoft Corporation | DRM aspects of peer-to-peer digital content distribution |
| US8214635B2 (en) * | 2006-11-28 | 2012-07-03 | Cisco Technology, Inc. | Transparent proxy of encrypted sessions |
| KR100910378B1 (ko) * | 2008-10-06 | 2009-08-04 | 주식회사 오엘콥스 | 암호화된 이미지를 이용한 전자증명서 발급 시스템 및 방법 |
| CN101754203B (zh) * | 2009-12-25 | 2014-04-09 | 宇龙计算机通信科技(深圳)有限公司 | 一种wapi证书获取方法、装置及网络系统 |
| US9065825B2 (en) * | 2010-02-05 | 2015-06-23 | International Business Machines Corporation | Method and system for license management |
| CN102663290A (zh) * | 2012-03-23 | 2012-09-12 | 中国科学院软件研究所 | 一种基于虚拟机的数字版权保护方法 |
| US9210162B2 (en) * | 2012-05-02 | 2015-12-08 | Microsoft Technology Licensing, Llc | Certificate based connection to cloud virtual machine |
| US9208350B2 (en) * | 2013-01-09 | 2015-12-08 | Jason Allen Sabin | Certificate information verification system |
| US20150156193A1 (en) * | 2013-12-02 | 2015-06-04 | Microsoft Corporation | Creating and managing certificates in a role-based certificate store |
| EP2942925B1 (en) * | 2014-05-05 | 2016-08-24 | Advanced Digital Broadcast S.A. | A method and system for providing a private network |
| JP6299047B2 (ja) * | 2014-05-08 | 2018-03-28 | 華為技術有限公司Huawei Technologies Co.,Ltd. | 証明取得方法及び装置 |
| US9961103B2 (en) * | 2014-10-28 | 2018-05-01 | International Business Machines Corporation | Intercepting, decrypting and inspecting traffic over an encrypted channel |
| US9942204B2 (en) * | 2015-01-07 | 2018-04-10 | Anchorfree Inc. | Secure personal server system and method |
| US20160277372A1 (en) * | 2015-03-17 | 2016-09-22 | Riverbed Technology, Inc. | Optimization of a secure connection with enhanced security for private cryptographic keys |
| US9854048B2 (en) * | 2015-06-29 | 2017-12-26 | Sprint Communications Company L.P. | Network function virtualization (NFV) hardware trust in data communication systems |
-
2014
- 2014-05-08 JP JP2017510714A patent/JP6299047B2/ja active Active
- 2014-05-08 EP EP14891493.0A patent/EP3133789B1/en active Active
- 2014-05-08 KR KR1020167034284A patent/KR101942412B1/ko active IP Right Grant
- 2014-05-08 WO PCT/CN2014/077075 patent/WO2015168914A1/zh active Application Filing
- 2014-05-08 BR BR112016026035-0A patent/BR112016026035B1/pt active IP Right Grant
- 2014-05-08 RU RU2016147697A patent/RU2658172C2/ru active
- 2014-05-08 CN CN201480011377.5A patent/CN105284091B/zh active Active
-
2015
- 2015-03-19 WO PCT/CN2015/074598 patent/WO2015169126A1/zh active Application Filing
- 2015-03-19 CN CN201580024220.0A patent/CN106464495B/zh active Active
-
2016
- 2016-11-08 US US15/346,357 patent/US10225246B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005086445A (ja) * | 2003-09-08 | 2005-03-31 | Nooza:Kk | ネットワーク構築方法、ネットワーク構築装置、およびネットワーク構築プログラム |
| JP2011503977A (ja) * | 2007-11-08 | 2011-01-27 | 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 | 2ウェイのアクセス認証方法 |
| CN103036854A (zh) * | 2011-09-30 | 2013-04-10 | 中国移动通信集团公司 | 业务订购方法及系统、业务权限认证方法、终端设备 |
| JP2014082584A (ja) * | 2012-10-15 | 2014-05-08 | Nippon Registry Authentication Inc | 認証基盤システム |
| CN103475485A (zh) * | 2013-09-16 | 2013-12-25 | 浙江汇信科技有限公司 | 基于数字证书互联互通的身份认证支撑平台及认证方法 |
Non-Patent Citations (4)
| Title |
|---|
| "NFV/SDN Impacts to 3GPP[online]", 3GPP TSG-SA#63 SP-140120, JPN6018002107, 7 March 2014 (2014-03-07), pages pp.1−21 * |
| "NTTコミュニケーションズの次世代クラウドコンピューティング構想 "Setten"の全貌", BUSINESS COMMUNICATION 第46巻 第1号, vol. 第46巻, JPN6013029248, 1 January 2009 (2009-01-01), JP, pages pp.28−41 * |
| 坂井 博: "クラウドネットワーキング技術の動向", 電子情報通信学会2014年総合大会講演論文集 通信1 PROCEEDINGS OF THE 2014 IEICE GENERAL CONFEREN, vol. TK−6−1, JPN6018002104, 4 March 2014 (2014-03-04), JP, pages pp.SSS−30〜SSS−33 * |
| 堀越 功: "通信の未来を変えるNFVのインパクト", 日経コミュニケーション, vol. 第603号, JPN6018002101, 1 April 2014 (2014-04-01), JP, pages pp.32−33 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3133789B1 (en) | 2019-01-30 |
| CN105284091A (zh) | 2016-01-27 |
| KR20170002577A (ko) | 2017-01-06 |
| CN106464495B (zh) | 2020-02-21 |
| JP6299047B2 (ja) | 2018-03-28 |
| WO2015169126A1 (zh) | 2015-11-12 |
| US20170054710A1 (en) | 2017-02-23 |
| RU2658172C2 (ru) | 2018-06-19 |
| RU2016147697A (ru) | 2018-06-08 |
| CN105284091B (zh) | 2018-06-15 |
| EP3133789A4 (en) | 2017-04-26 |
| BR112016026035A2 (pt) | 2018-05-15 |
| CN106464495A (zh) | 2017-02-22 |
| RU2016147697A3 (ja) | 2018-06-08 |
| WO2015168914A1 (zh) | 2015-11-12 |
| KR101942412B1 (ko) | 2019-01-25 |
| EP3133789A1 (en) | 2017-02-22 |
| BR112016026035B1 (pt) | 2023-04-18 |
| US10225246B2 (en) | 2019-03-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6299047B2 (ja) | 証明取得方法及び装置 | |
| US10367647B2 (en) | Certificate acquiring method and device | |
| US20170302646A1 (en) | Identity authentication method and apparatus | |
| CN110677240B (zh) | 通过证书签发提供高可用计算服务的方法、装置及介质 | |
| US9680824B1 (en) | Method and system for authentication by intermediaries | |
| CN107465689B (zh) | 云环境下的虚拟可信平台模块的密钥管理系统及方法 | |
| EP3314809B1 (en) | Distributing an authentication key to an application installation | |
| US9032496B2 (en) | Secure single sign-on | |
| CN109936547A (zh) | 身份认证方法、系统及计算设备 | |
| KR20170062529A (ko) | 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온 | |
| US9729515B1 (en) | System and method for managing secure communications for a virtual machine infrastructure | |
| US20200136836A1 (en) | Authorization with a preloaded certificate | |
| EP2811401B1 (en) | Method and apparatus for inputting data | |
| CN110121857B (zh) | 一种凭据分发的方法和设备 | |
| US20220253330A1 (en) | Method for providing certificates implemented by a virtualized computing platform | |
| CN105721403A (zh) | 用于提供无线网络资源的方法、设备及系统 | |
| WO2016003566A1 (en) | Secure integration of hybrid clouds with enterprise networks | |
| CN116032609A (zh) | 量子云桌面的登录方法以及电子设备 | |
| CN116366361A (zh) | 一种数据交互方法和装置 | |
| CN110166468A (zh) | 数据认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180130 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180208 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6299047 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |