JP2023506661A - 証明書申請方法およびデバイス - Google Patents

証明書申請方法およびデバイス Download PDF

Info

Publication number
JP2023506661A
JP2023506661A JP2022537783A JP2022537783A JP2023506661A JP 2023506661 A JP2023506661 A JP 2023506661A JP 2022537783 A JP2022537783 A JP 2022537783A JP 2022537783 A JP2022537783 A JP 2022537783A JP 2023506661 A JP2023506661 A JP 2023506661A
Authority
JP
Japan
Prior art keywords
certificate
terminal device
function entity
target
interface adaptation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2022537783A
Other languages
English (en)
Other versions
JP7497438B2 (ja
Inventor
▲凱▼ 潘
民 李
▲ジン▼ ▲陳▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2023506661A publication Critical patent/JP2023506661A/ja
Application granted granted Critical
Publication of JP7497438B2 publication Critical patent/JP7497438B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Figure 2023506661000001
本出願の実施形態は、証明書申請方法およびデバイスを提供する。本方法では、インターフェース適応機能エンティティは、少なくとも1つの証明書管理機能エンティティのインターフェースに適応することができ、その結果、端末デバイスは、インターフェース適応機能エンティティを使用することにより、異なる証明書管理機能エンティティからの証明書を申請することができる。この解決策では、インターフェース適応機能エンティティは、証明書管理機能エンティティの実装または展開を端末デバイスから遮蔽することができ、その結果、端末デバイスは上位層で証明書管理機能エンティティを認識しない可能性がある。したがって、端末デバイスは、証明書管理機能エンティティと対話するためのインターフェースをローカルに設定する必要はない。この方法は、端末デバイスが異なる証明書管理機能エンティティと対話できることを確保することに基づいて、証明書管理機能エンティティと対話するための端末デバイス内のインターフェースの数を減らすことができる。

Description

関連出願の相互参照
本出願は、参照によりその全体が本明細書に組み入れられる、2019年12月18日付で中国国家知識産権局に出願された、「証明書申請方法およびデバイス」という名称の中国特許出願第201911308628.7号の優先権を主張するものである。
本出願は通信技術の分野に関し、特に、証明書申請方法およびデバイスに関する。
通信システムにおけるデータ伝送のセキュリティは、多くのシナリオにおいて非常に重要なものである。現在、通信システムは、通常、受信デバイスによって受信されたメッセージが真正で信頼性があり、攻撃者によって改ざん/偽造されないことを確保するために、暗号化アルゴリズムを証明書メカニズムと組み合わせる方法でデータ送信のセキュリティを実装する。
この方法で、端末デバイスAは、証明書管理機能エンティティから証明書を申請し、次いで、署名処理後に取得されたメッセージおよび証明書を端末デバイスBに送信する必要がある。このようにして、端末デバイスBは、署名および証明書検証に成功した後、メッセージが真正で、信頼性があり、セキュアであると決定することができる。証明書管理機能エンティティは、公開鍵インフラストラクチャ(public key infrastructure、PKI)または証明書管理(証明書認可または証明書発行)機関(Certificate Authority、CA)であり得るが、これらに限定されない。
端末デバイスと証明書管理機能エンティティの間の相互作用のプロセスは、対応するインターフェースを通して実施される必要があることは周知である。しかしながら、サービスが異なるため、証明書管理機能エンティティのために、多くの潜在的な構築機関、例えば、公共セキュリティ省、交通省、および車車間・路車間(vehicle to everything、V2X)通信システムの別の従来のPKIベンダがある。採用されるインターフェース解決策は、機関がそれぞれ証明書管理機能エンティティを展開するときに異なる。したがって、端末デバイスが異なる証明書管理機能エンティティと対話し、相互作用できることを確保するために、複数のインターフェースが端末デバイス内に設定される必要がある。これにより、端末デバイスの空き記憶空間が減少し、開発コストが増加し、端末デバイスの開発期間が延長される。
本出願は、端末デバイスが異なる証明書管理機能エンティティと対話できることを確保することに基づいて、証明書管理機能エンティティと対話するための端末デバイス内のインターフェースの数を減らすための証明書申請方法およびデバイスを提供する。
第1の態様によれば、本出願の一実施形態は、図2に示された証明書管理アーキテクチャに適用される、証明書申請方法を提供する。証明書管理アーキテクチャは、端末デバイスと、少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースを伴い設定されたインターフェース適応機能エンティティと、証明書管理機能エンティティとを含む。本方法は、端末デバイスが、証明書申請パラメータをインターフェース適応機能エンティティに送信することを含む。端末デバイスは、インターフェース適応機能エンティティから証明書を受信し、証明書は、端末デバイスのターゲット証明書管理機能エンティティによって構成される。
この方法では、インターフェース適応機能エンティティは、端末デバイスによって送信された証明書申請パラメータに基づいて、端末デバイスのターゲット証明書管理機能エンティティからの証明書を申請することができる。インターフェース適応機能エンティティは、証明書管理機能エンティティの実装または展開を端末デバイスから遮蔽することができ、その結果、端末デバイスは上位層で証明書管理機能エンティティを認識しない可能性がある。したがって、端末デバイスは、証明書管理機能エンティティと対話するためのインターフェースをローカルに設定する必要はない。この方法は、端末デバイスが異なる証明書管理機能エンティティと対話できることを確保することに基づいて、証明書管理機能エンティティと対話するための端末デバイス内のインターフェースの数を減らすことができる。
可能な設計では、端末デバイスが証明書申請パラメータをインターフェース適応機能エンティティに送信した後、および端末デバイスがインターフェース適応機能エンティティから証明書を受信する前に、端末デバイスは、インターフェース適応機能エンティティから証明書要求メッセージを受信し、証明書要求メッセージは、証明書申請パラメータを含む。次いで、端末デバイスは、証明書要求メッセージに対して署名処理を実行し、署名処理後に取得された証明書要求メッセージをインターフェース適応機能エンティティに送信し、その結果、インターフェース適応機能エンティティは、署名処理後に取得された証明書要求メッセージをターゲット証明書管理機能エンティティに転送する。
この設計では、端末デバイスは、証明書要求メッセージに対して署名処理を実行することができる。このようにして、証明書要求メッセージがターゲット証明書管理機能エンティティに伝送された後、ターゲット証明書管理機能エンティティは、署名に基づいて、証明書要求メッセージが端末デバイスによって送信されたものであり、真正かつ有効であることを証明することができる。
可能な設計では、端末デバイスは、以下の方法でインターフェース適応機能エンティティから証明書を受信することができる、すなわち、端末デバイスは、インターフェース適応機能エンティティから証明書応答メッセージを受信し、証明書応答メッセージは、ターゲット証明書管理機能エンティティからインターフェース適応機能エンティティによって受信され、証明書応答メッセージは証明書を含む。この設計では、端末デバイスは証明書を正常に受信することができる。任意選択で、証明書応答メッセージは、ターゲット証明書管理機能エンティティが証明書応答メッセージに対して署名処理を実行した後に送信されてもよい。このようにして、端末デバイスは、署名に基づいて、証明書応答メッセージがターゲット証明書管理機能エンティティによって送信されたものであり、真正かつ有効であることを証明することができる。
可能な設計では、端末デバイスがインターフェース適応機能エンティティから証明書を受信する前に、端末デバイスは、ターゲット証明書管理機能エンティティに関する情報をインターフェース適応機能エンティティに送信する。
この設計では、端末デバイスは、端末デバイスのために証明書を構成するターゲット証明書管理機能エンティティを事前にインターフェース適応機能エンティティに通知することができる。
可能な設計では、端末デバイスがターゲット証明書管理機能エンティティに関する情報をインターフェース適応機能エンティティに送信した後、端末デバイスは、インターフェース適応機能エンティティから通知メッセージを受信し、通知メッセージは、ターゲット証明書管理機能エンティティと対話するためのターゲットインターフェースがインターフェース適応機能エンティティに設定されていることを端末デバイスに通知するために使用される。
この設計では、インターフェース適応機能エンティティは、ローカルに設定されたターゲットインターフェースがあることを端末デバイスに通知することができ、ターゲットインターフェースは、端末デバイスの証明書を申請するために使用することができ、または証明書申請パラメータを送信するように端末デバイスに通知することができる。
可能な設計では、通知メッセージは、ターゲット証明書管理機能エンティティのルート証明書を含む。このシナリオでは、端末デバイスがインターフェース適応機能エンティティから証明書応答メッセージを受信した後、端末デバイスは、ターゲット証明書管理機能エンティティのルート証明書に基づいて、証明書応答メッセージに含まれる証明書を検証する。例えば、端末デバイスは、ターゲット証明書管理機能エンティティのルート証明書を使用して証明書を復号し、次いで、復号後に取得された情報が端末デバイスの公開鍵を含むかどうかを決定する。情報が端末デバイスの公開鍵を含む場合、証明書検証が成功したと決定され、端末デバイスは、証明書を使用してセキュアなデータ通信を実行することができるか、または情報が端末デバイスの公開鍵を含まない場合、証明書検証が失敗したと決定され、端末デバイスは証明書を使用することができない。
この設計では、証明書を受信した後、端末デバイスは、受信した証明書のセキュリティを検証するために、受信したルート証明書に基づいて受信した証明書を検証することができる。
可能な設計では、端末デバイスがターゲット証明書管理機能エンティティに関する情報をインターフェース適応機能エンティティに送信する前に、端末デバイスは、少なくとも1つの証明書管理機能エンティティに関する情報をインターフェース適応機能エンティティから受信し、少なくとも1つの証明書管理機能エンティティに関する情報は、ターゲット証明書管理機能エンティティに関する情報を含み、少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースは、インターフェース適応機能エンティティに設定される。端末デバイスは、少なくとも1つの証明書管理機能エンティティからターゲット証明書管理機能エンティティを選択する。
この設計では、インターフェース適応機能エンティティは、インターフェース適応機能エンティティが対話することができる少なくとも1つの証明書管理機能エンティティを端末デバイスに通知することができ、その結果、端末デバイスは、少なくとも1つの証明書管理機能エンティティから、証明書が申請されるターゲット証明書管理機能エンティティを選択することができる。
可能な設計では、端末デバイスが証明書申請パラメータをインターフェース適応機能エンティティに送信する前に、端末デバイスは、端末デバイスとインターフェース適応機能エンティティの間にトランスポート層セキュリティチャネルを確立する。
この設計では、端末デバイスおよびインターフェース適応機能エンティティは、通信セキュリティを確保するために、トランスポート層セキュリティチャネルを通して通信対話を実行することができる。
可能な設計では、証明書は登録証明書または匿名証明書である。
第2の態様によれば、本出願の一実施形態は、図2に示された証明書管理アーキテクチャに適用される、証明書申請方法を提供する。証明書管理アーキテクチャは、端末デバイスと、少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースを伴い設定されたインターフェース適応機能エンティティと、証明書管理機能エンティティとを含む。本方法は、インターフェース適応機能エンティティが端末デバイスの証明書申請パラメータを受信することを含む。次いで、インターフェース適応機能エンティティは、端末デバイスのための証明書を構成するターゲット証明書管理機能エンティティを決定し、ターゲット証明書管理機能エンティティに証明書申請パラメータを送信し、その結果、ターゲット証明書管理機能エンティティは、証明書申請パラメータに基づいて端末デバイスのための証明書を構成する。最後に、インターフェース適応機能エンティティは、ターゲットインターフェースを通してターゲット証明書管理機能エンティティから証明書を受信し、証明書を端末デバイスに送信する。
この方法では、インターフェース適応機能エンティティは、端末デバイスによって送信された証明書申請パラメータに基づいて、端末デバイスのターゲット証明書管理機能エンティティからの証明書を申請することができる。インターフェース適応機能エンティティは、証明書管理機能エンティティの実装または展開を端末デバイスから遮蔽することができ、その結果、端末デバイスは上位層で証明書管理機能エンティティを認識しない可能性がある。したがって、端末デバイスは、証明書管理機能エンティティと対話するためのインターフェースをローカルに設定する必要はない。この方法は、端末デバイスが異なる証明書管理機能エンティティと対話できることを確保することに基づいて、証明書管理機能エンティティと対話するための端末デバイス内のインターフェースの数を減らすことができる。
可能な設計では、ターゲット証明書管理機能エンティティと対話するためのターゲットインターフェースは、インターフェース適応機能エンティティに設定される。このシナリオでは、インターフェース適応機能エンティティは、ターゲットインターフェースを通してターゲット証明書管理機能エンティティに証明書申請パラメータを送信する。インターフェース適応機能エンティティは、ターゲットインターフェースを通してターゲット証明書管理機能エンティティから証明書を受信する。
可能な設計では、インターフェース適応機能エンティティは、以下のステップでターゲットインターフェースを通してターゲット証明書管理機能エンティティに証明書申請パラメータを送信する。
インターフェース適応機能エンティティは、ターゲットインターフェースに基づいて、証明書申請パラメータを含む証明書要求メッセージを生成し、証明書要求メッセージを端末デバイスに送信する。インターフェース適応機能エンティティは、端末デバイスから署名処理後に取得された証明書要求メッセージを受信し、ターゲットインターフェースを通してターゲット証明書管理機能エンティティに署名処理後に取得された証明書要求メッセージを送信する。
この設計では、インターフェース適応機能エンティティは、最初に、生成された証明書要求メッセージを署名処理のために端末デバイスに送信し、次いで、署名処理後に取得された証明書要求メッセージをターゲット管理機能エンティティに送信することができる。このようにして、証明書要求メッセージがターゲット証明書管理機能エンティティに伝送された後、ターゲット証明書管理機能エンティティは、署名に基づいて、証明書要求メッセージが端末デバイスによって送信されたものであり、真正かつ有効であることを検証することができる。
可能な設計では、インターフェース適応機能エンティティは、ターゲット証明書管理機能エンティティから証明書応答メッセージを受信し、証明書応答メッセージを端末デバイスに送信し、証明書応答メッセージは、端末デバイスのためにターゲット証明書管理機能エンティティによって構成された証明書を含む。この設計では、インターフェース適応機能エンティティは、ターゲット証明書管理機能エンティティから証明書を受信することができる。任意選択で、証明書応答メッセージは、ターゲット証明書管理機能エンティティが証明書応答メッセージに対して署名処理を実行した後に送信されてもよい。このようにして、端末デバイスが署名処理後に取得された証明書応答メッセージを受信した後、端末デバイスは、署名に基づいて、証明書応答メッセージがターゲット証明書管理機能エンティティによって送信されたものであり、真正かつ有効であることを証明することができる。
可能な設計では、インターフェース適応機能エンティティは、以下の方法で、端末デバイスのための証明書を構成するターゲット証明書管理機能エンティティを決定することができる。
方法1:インターフェース適応機能エンティティは、端末デバイスからターゲット証明書管理機能エンティティに関する情報を受信し、ターゲット証明書管理機能エンティティに関する情報に基づいてターゲット証明書管理機能エンティティを決定する。
方法2:インターフェース適応機能エンティティは、端末デバイスの識別子を決定し、端末デバイスの識別子と証明書管理機能エンティティに関する情報の間のローカルに記憶された対応関係に基づいて、端末デバイスの識別子に対応するターゲット証明書管理機能エンティティに関する情報を決定し、インターフェース適応機能エンティティは、ターゲット証明書管理機能エンティティに関する情報に基づいてターゲット証明書管理機能エンティティを決定する。
この設計では、インターフェース適応機能エンティティは、ターゲット証明書管理機能エンティティを決定することができる。
可能な設計では、インターフェース適応機能エンティティが端末デバイスからターゲット証明書管理機能エンティティに関する情報を受信した後、インターフェース適応機能エンティティは、ターゲット証明書管理機能エンティティと対話するためのローカルに設定されたターゲットインターフェースがあると決定し、端末デバイスに通知メッセージを送信し、通知メッセージは、ターゲット証明書管理機能エンティティと対話するためのターゲットインターフェースがインターフェース適応機能エンティティに設定されていることを端末デバイスに通知するために使用される。
この設計では、インターフェース適応機能エンティティは、ローカルに設定されたターゲットインターフェースがあることを端末デバイスに通知することができ、ターゲットインターフェースは、端末デバイスの証明書を申請するために使用することができ、または証明書申請パラメータを送信するように端末デバイスに通知することができる。
可能な設計では、通知メッセージは、ターゲット証明書管理機能エンティティのルート証明書を含む。このようにして、端末デバイスが証明書を受信した後、端末デバイスは、証明書のセキュリティを検証するために、ルート証明書に基づいて受信した証明書を検証することができる。
可能な設計では、インターフェース適応機能エンティティが端末デバイスからターゲット証明書管理機能エンティティに関する情報を受信する前に、インターフェース適応機能エンティティは、少なくとも1つの証明書管理機能エンティティに関する情報を端末デバイスに送信し、少なくとも1つの証明書管理機能エンティティは、ターゲット証明書管理機能エンティティを含み、少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースは、インターフェース適応機能エンティティに設定される。
この設計では、インターフェース適応機能エンティティは、インターフェース適応機能エンティティが対話することができる少なくとも1つの証明書管理機能エンティティを端末デバイスに通知することができ、その結果、端末デバイスは、少なくとも1つの証明書管理機能エンティティから、証明書が申請されるターゲット証明書管理機能エンティティを選択することができる。
可能な設計では、インターフェース適応機能エンティティが端末デバイスの証明書申請パラメータを受信する前に、インターフェース適応機能エンティティは、インターフェース適応機能エンティティと端末デバイスの間にトランスポート層セキュリティチャネルを確立する。この設計では、端末デバイスおよびインターフェース適応機能エンティティは、通信セキュリティを確保するために、トランスポート層セキュリティチャネルを通して通信対話を実行することができる。
可能な設計では、インターフェース適応機能エンティティがターゲット証明書管理機能エンティティに証明書申請パラメータを送信する前に、インターフェース適応機能エンティティは、インターフェース適応機能エンティティとターゲット証明書管理機能エンティティの間にトランスポート層セキュリティチャネルを確立する。この設計では、インターフェース適応機能エンティティおよびターゲット証明書管理機能エンティティは、通信セキュリティを確保するために、トランスポート層セキュリティチャネルを通して通信対話を実行することができる。
可能な設計では、証明書は登録証明書または匿名証明書である。
第3の態様によれば、本出願の一実施形態は、図2に示された証明書管理アーキテクチャに適用される、証明書申請方法を提供する。証明書管理アーキテクチャは、端末デバイスと、少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースを伴い設定されたインターフェース適応機能エンティティと、証明書管理機能エンティティとを含む。本方法は、ターゲット証明書管理機能エンティティが、インターフェース適応機能エンティティから端末デバイスの証明書申請パラメータを受信することを含む。次いで、ターゲット証明書管理機能エンティティは、証明書申請パラメータに基づいて端末デバイスのための証明書を構成する。最後に、ターゲット証明書管理機能エンティティは、証明書をインターフェース適応機能エンティティに送信する。
この方法では、インターフェース適応機能エンティティは、端末デバイスによって送信された証明書申請パラメータに基づいて、端末デバイスのターゲット証明書管理機能エンティティからの証明書を申請することができる。インターフェース適応機能エンティティは、証明書管理機能エンティティの実装または展開を端末デバイスから遮蔽することができ、その結果、端末デバイスは上位層で証明書管理機能エンティティを認識しない可能性がある。したがって、端末デバイスは、証明書管理機能エンティティと対話するためのインターフェースをローカルに設定する必要はない。この方法は、端末デバイスが異なる証明書管理機能エンティティと対話できることを確保することに基づいて、証明書管理機能エンティティと対話するための端末デバイス内のインターフェースの数を減らすことができる。
可能な設計では、ターゲット証明書管理機能エンティティは、以下の方法で端末デバイスの証明書申請パラメータをインターフェース適応機能エンティティから受信することができる、すなわち、ターゲット証明書管理機能エンティティは、端末デバイスが署名処理を実行する証明書要求メッセージをインターフェース適応機能エンティティから受信し、証明書要求メッセージは証明書申請パラメータを含む。このシナリオでは、ターゲット証明書管理機能エンティティが端末デバイスのための証明書を構成する前に、ターゲット証明書管理機能エンティティは、署名処理後に取得された証明書要求メッセージに対して署名検証を実行する必要があり、検証は成功する。この設計では、ターゲット証明書管理機能エンティティは、署名検証を通じて、証明書要求メッセージが端末デバイスによって送信されたものであり、真正かつ有効であることを決定できる。
可能な設計では、ターゲット証明書管理機能エンティティは、証明書応答メッセージをインターフェース適応機能エンティティに送信し、証明書応答メッセージは証明書を含む。この設計では、ターゲット証明書管理機能エンティティは、インターフェース適応機能エンティティを使用して最終的に証明書を端末デバイスに送信することができる。任意選択で、証明書応答メッセージは、ターゲット証明書管理機能エンティティが証明書応答メッセージに対して署名処理を実行した後に送信されてもよい。このようにして、端末デバイスが署名処理後に取得された証明書応答メッセージを受信した後、端末デバイスは、署名に基づいて、証明書応答メッセージがターゲット証明書管理機能エンティティによって送信されたものであり、真正かつ有効であることを証明することができる。
可能な設計では、ターゲット証明書管理機能エンティティがインターフェース適応機能エンティティから端末デバイスの証明書申請パラメータを受信する前に、ターゲット証明書管理機能エンティティは、ターゲット証明書管理機能エンティティとインターフェース適応機能エンティティの間にトランスポート層セキュリティチャネルを確立する。この設計では、インターフェース適応機能エンティティおよびターゲット証明書管理機能エンティティは、通信セキュリティを確保するために、トランスポート層セキュリティチャネルを通して通信対話を実行することができる。
可能な設計では、証明書は登録証明書または匿名証明書である。
第4の態様によれば、本出願の一実施形態は、前述の態様のいずれか1つのステップを実行するように構成されたユニットを含む、通信装置を提供する。
第5の態様によれば、本出願の一実施形態は、少なくとも1つの処理要素および少なくとも1つの記憶要素を含む、端末デバイスを提供する。少なくとも1つの記憶要素は、プログラムおよびデータを記憶するように構成され、少なくとも1つの処理要素は、本出願の第1の態様で提供された方法を実行するように構成される。
第6の態様によれば、本出願の一実施形態は、少なくとも1つの処理要素および少なくとも1つの記憶要素を含む、通信デバイスを提供する。少なくとも1つの記憶要素は、プログラムおよびデータを記憶するように構成され、少なくとも1つの処理要素は、本出願の第2の態様または第3の態様で提供される方法を実行するように構成される。
第7の態様によれば、本出願の一実施形態は、端末デバイスと、インターフェース適応機能エンティティと、証明書管理機能エンティティとを含む、通信システムを提供する。端末デバイスは、本出願の第1の態様で提供される方法を実行する機能を有する。インターフェース適応機能エンティティは、本出願の第2の態様で提供される方法を実行する機能を有する。証明書管理機能エンティティは、本出願の第3の態様で提供される方法を実行する機能を有する。
第8の態様によると、本出願の一実施形態は、コンピュータプログラムをさらに提供する。コンピュータプログラムがコンピュータで実行されると、コンピュータは前述の態様のいずれか1つで方法を実行することが可能にされる。
第9の態様によれば、本出願の一実施形態は、コンピュータ可読記憶媒体をさらに提供する。コンピュータ記憶媒体はコンピュータプログラムを記憶し、コンピュータプログラムがコンピュータによって実行されると、コンピュータは前述の態様のいずれか1つで方法を実行することが可能にされる。
第10の態様によれば、本出願の一実施形態はチップをさらに提供する。チップは、前述の態様のいずれか1つで方法を実行するために、メモリに記憶されたコンピュータプログラムを読み取るように構成される。
第11の態様によれば、本出願の一実施形態はチップシステムをさらに提供する。チップシステムは、前述の態様のいずれか1つで提供される方法を実施する際にコンピュータ装置をサポートするように構成される、プロセッサを含む。可能な設計では、チップシステムはメモリをさらに含み、メモリは、コンピュータ装置に使用されるプログラムおよびデータを記憶するように構成される。チップシステムはチップを含んでもよいし、またはチップと別の個別デバイスとを含んでもよい。
従来技術における証明書申請手順およびデータ伝送プロセスを示す図である。 従来技術における証明書申請手順およびデータ伝送プロセスを示す図である。 本出願の一実施形態による証明書管理アーキテクチャの概略図である。 本出願の一実施形態による証明書申請方法のフローチャートである。 本出願の一実施形態による証明書申請方法の一事例のフローチャートである。 本出願の一実施形態による証明書申請方法の一事例のフローチャートである。 本出願の一実施形態による証明書申請方法の一事例のフローチャートである。 本出願の一実施形態による証明書申請方法の一事例のフローチャートである。 本出願の一実施形態による通信装置の構造の図である。 本出願の一実施形態による端末デバイスの構造の図である。 本出願の一実施形態による通信デバイスの構造の図である。
本出願は、端末デバイスが異なる証明書管理機能エンティティと対話できることを確保することに基づいて、証明書管理機能エンティティと対話するための端末デバイス内のインターフェースの数を減らすための証明書申請方法およびデバイスを提供する。方法およびデバイスは同じ発明概念に基づく。本方法の問題解決原理はデバイスの問題解決原理と同様であるため、本方法およびデバイスの実装形態には相互参照され得、繰り返しの説明は提供されない。
本出願の実施形態で提供される解決策では、インターフェース適応機能エンティティは、端末デバイスの証明書を構成する証明書管理機能エンティティと対話することができる。端末デバイスが証明書を申請する必要があるとき、端末デバイスは、端末デバイスの証明書申請パラメータをインターフェース適応機能エンティティに送信することができ、その結果、インターフェース適応機能エンティティは、証明書申請パラメータに基づいて端末デバイスのために証明書管理機能エンティティから証明書を申請し、証明書が正常に申請された後に証明書を端末デバイスに送信することができる。解決策では、インターフェース適応機能エンティティは、証明書管理機能エンティティの実装または展開を端末デバイスから遮蔽することができ、その結果、端末デバイスは上位層で証明書管理機能エンティティを認識しない可能性がある。したがって、端末デバイスは、証明書管理機能エンティティと対話するためのインターフェースをローカルに設定する必要はない。この方法は、端末デバイスが異なる証明書管理機能エンティティと対話できることを確保することに基づいて、証明書管理機能エンティティと対話するための端末デバイス内のインターフェースの数を減らすことができる。
当業者のより適切な理解を助けるために、本出願のいくつかの用語が以下で説明される。
(1)端末デバイス:音声および/またはデータ接続性をユーザに提供するデバイスである。端末デバイスは、ユーザ機器(user equipment、UE)、モバイルステーション(mobile station、MS)、モバイル端末(mobile terminal、MT)などと称されてもよい。
例えば、端末デバイスは、ハンドヘルドデバイスまたは無線接続機能を有する車載デバイスであってもよい。現在、端末デバイスのいくつかの例は、以下の通りである、すなわち、車両のインターネットにおける携帯電話(mobile phone)、タブレットコンピュータ、ノートブックコンピュータ、パームトップコンピュータ、モバイルインターネットデバイス(mobile internet device、MID)、スマート販売端末(point of sale、POS)、ウェアラブルデバイス、仮想現実(virtual reality、VR)デバイス、拡張現実(augmented reality、AR)デバイス、産業制御(industrial control)での無線端末、自動運転(self driving)での無線端末、遠隔医療手術(remote medical surgery)での無線端末、スマートグリッド(smart grid)での無線端末、輸送安全(transportation safety)での無線端末、スマートシティ(スマートシティ)における無線端末、スマートホーム(smart city)での無線端末、様々なインテリジェント機器(スマート水道メータ、スマートメータ、およびスマートガスメータ)、スマート自動車、オンボードユニット(on board unit、OBU)、路側ユニット(road side unit、RSU)、路側機(路側機、RSE)などである。
(2)証明書管理機能エンティティ:証明書管理機能エンティティは、端末デバイスに対してアイデンティティ認証を実行し、端末デバイスの証明書を構成することができるエンティティである。例えば、証明書管理機能エンティティは、PKIまたはCAであってもよい。
(3)インターフェース適応機能エンティティ:インターフェース適応機能エンティティは、端末デバイスと証明書管理機能エンティティの間の中間層であり、端末デバイスと証明書管理機能エンティティの間のインターフェース適応プラットフォームである。インターフェース適応機能エンティティには、少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースが設定される。したがって、インターフェース適応機能エンティティは、インターフェースを通して対応する証明書管理機能エンティティと対話し、端末デバイスの証明書を申請することができる。
インターフェース適応機能エンティティは、単一の独立したデバイスであってもよく、機能結合デバイスのセットであってもよく、または別の機能を有するデバイスに統合されてもよいことに留意されたい。例えば、インターフェース適応機能エンティティは、サーバまたはネットワークデバイスであってもよい。
(4)鍵ペア:非対称暗号化アルゴリズムには、秘密鍵と公開鍵の2つのタイプの鍵がある。秘密鍵および公開鍵は鍵ペアである。秘密鍵は鍵ペア生成部によって保持されており、公開されることはできない。公開鍵は、鍵ペア生成部によって他のデバイスに公開される。鍵ペアの2つの鍵は各々、送信者および受信者によって伝送されたコンテンツを暗号化および復号するために使用される。
(5)メッセージの署名:メッセージの署名は、メッセージの送信者が伝送されるメッセージのダイジェストを取得した後、送信者によって生成された鍵ペアの秘密鍵を使用してダイジェストを暗号化するときに取得される。
例えば、メッセージの送信者は、事前設定されたハッシュ(hash)アルゴリズムを使用して、伝送されるメッセージからダイジェストを取得することができる。任意選択で、ハッシュアルゴリズムは、セキュアハッシュアルゴリズム(secure hash algorithm、SHA)であってもよい。
(6)署名検証:署名検証は、メッセージの完全性を検証するためにメッセージの受信者によって使用される。具体的な署名検証処理は以下の通りである、すなわち、署名が付加されたメッセージを受信した後、メッセージの受信者は、取得されたメッセージからダイジェスト1を取得する。そして、受信機は、送信者の公開鍵を使用してメッセージの署名を復号し、ダイジェスト2を取得する。最後に、受信機は、ダイジェスト1とダイジェスト2とを比較する。2つのダイジェストが完全に同じである場合、署名検証が成功したと決定され、受信したメッセージが完全であり、真正であり、信頼性があり、改ざんされていないことが示される。2つのダイジェストが異なる場合、署名検証に失敗したと決定され、受信したメッセージが不完全でセキュアでないことが示される。
(7)証明書申請パラメータ:証明書申請パラメータは、証明書を証明書管理機能エンティティに申請する端末デバイスによって送信される。証明書申請パラメータは、端末デバイスの公開鍵を含む。任意選択で、証明書申請パラメータは、端末デバイスの識別子などの他の情報をさらに含んでもよい。
(8)複数:「複数」は、2つまたは3つ以上を意味する。
(9)少なくとも1つ:「少なくとも1つ」は、1つまたは複数を意味する。
(10)および/または:「および/または」は、関連付けられる対象間の関連付け関係を記述し、3つの関係が存在し得ることを表す。例えば、Aおよび/またはBは、Aのみが存在する、AとBの両方が存在する、およびBのみが存在する、の3つの場合を表し得る。文字「/」は、概して、関連するオブジェクト間の「または」関係を示す。
加えて、本出願の説明では、「第1」および「第2」などの用語は、区別および説明のために使用されているにすぎず、相対的な重要性を示すまたは暗示するものとして理解されるべきではないし、または順序を示すまたは暗示するものとして理解されるべきではないことを理解されたい。
以下では、通信システムにおいて暗号化アルゴリズムを証明書メカニズムと組み合わせる方法でデータを伝送するプロセスを説明するために、一例として図1Aおよび図1Bに示されたデータ伝送プロセスを使用する。
従来のデータセキュリティ通信ネットワークは、複数の端末デバイスと証明書管理機能エンティティ(以下の一例ではPKIのCAが使用される)とを含む。デバイスは、図1Aおよび図1Bに破線で示されるように、ネットワークを介して互いに通信する。通信ネットワークに入った後、データ送信を実行する前に、任意の端末デバイスは、PKIのCAから登録証明書を申請し、次いで、申請された登録証明書に基づいて安全なデータ伝送を実行する必要がある。
以下では、端末デバイスAが登録証明書を申請する一例を使用して、従来の証明書申請手順を説明する。
端末デバイスAは、サービスの実行を開始すると、サービスに対応するターゲットCAを決定する。次に、端末デバイスAは、PKIのターゲットCAに証明書要求メッセージを送信し、証明書要求情報は、端末デバイスAの証明書申請パラメータ:端末デバイスAによって生成された鍵ペアAの公開鍵Aを含む(任意選択で、パラメータは、端末デバイスAの識別子(すなわち、アイデンティティ情報)などの他の情報をさらに含むこともできる)。端末デバイスAから証明書要求メッセージを受信した後、PKIのターゲットCAは、端末デバイスAに対してアイデンティティ認証を実行する。端末デバイスAのアイデンティティを認証した後、ターゲットCAは、ターゲットCAの鍵ペアCの秘密鍵Cを使用して公開鍵Aおよび他の関連情報(例えば、端末デバイスAの識別子を含む)を暗号化して、端末デバイスAの登録証明書を生成する。次いで、ターゲットCAは、証明書応答メッセージを使用して端末デバイスAの登録証明書を端末デバイスAに送信して、端末デバイスAの証明書申請/初期登録プロセスを完了する。
例えば、ターゲットCAは、以下の方法で端末デバイスAに対してアイデンティティ認証を実行することができるが、これに限定されない、すなわち、方法1:ターゲットCAは、端末デバイスAの証明書申請パラメータの端末デバイスAの識別子に基づいて端末デバイスAに対してアイデンティティ認証を実行する。方法2:ターゲットCAは、従来のアイデンティティ認証手順を使用して端末デバイスAに対するアイデンティティ認証を完了することができる。例えば、ターゲットCAは、アイデンティティ認証要求メッセージを端末デバイスAに送信する。端末デバイスAからアイデンティティ認証応答メッセージを受信した後、ターゲットCAは、アイデンティティ認証応答メッセージに基づいて端末デバイスAに対するアイデンティティ認証を完了し得る。
端末デバイスAは、ターゲットCAからの登録証明書を申請した後に、ターゲットCAからの匿名証明書をさらに申請してもよいことに留意されたい。端末デバイスAが匿名証明書を申請するプロセスは、登録証明書を申請するプロセスと同様である。違いは、ターゲットCAが、証明書要求メッセージを受信した後に、申請者(端末デバイス)に対してアイデンティティ認証を実行しない場合があることである。
端末デバイスAが端末デバイスBにデータを伝送するプロセスは以下の通りである。
端末デバイスBにデータを送信するとき(暗号文との比較を容易にするために、平文は以下のデータを短くする)、端末デバイスAは、事前設定されたハッシュ(hash)アルゴリズムを使用して平文からダイジェストを取得し、次いで端末デバイスAの鍵ペアAの秘密鍵Aを使用してダイジェストを署名に暗号化する必要がある。加えて、端末デバイスAは、ローカルに記憶されている端末デバイスBの公開鍵Bを使用して平文を暗号文に暗号化する。最後に、端末デバイスAは、端末デバイスAによって申請された暗号文、署名、および証明書を搬送するメッセージを、ネットワークを介して端末デバイスBに送信する。端末デバイスAが、送信されるべき平文に対する署名を決定し、平文が送信のために同じメッセージで暗号化された後に取得された署名および暗号文を含むプロセスは、端末デバイスAが平文に対して署名処理を実行するプロセスと呼ばれる。
端末デバイスAによって送信されたメッセージを受信した後、端末デバイスBは、メッセージの暗号文、署名、および証明書を取得する。次いで、端末デバイスBは、端末デバイスBの鍵ペアBの秘密鍵Bを使用して暗号文を平文に復号し、データの完全性およびデータが改ざんされていないことを確保するために、以下のステップで署名検証を行う。
(1)端末デバイスBは、事前設定されたhashアルゴリズム(端末デバイスAによって使用されるhashアルゴリズムと同じ)を使用して、平文からダイジェスト1を取得する。
(2)端末デバイスBは、取得したCAのルート証明書(すなわち、CAの鍵ペアの公開鍵C)に基づいて、取得した証明書を復号し、端末デバイスAの公開鍵Aを取得する。端末デバイスBは、方法においてCAのルート証明書を取得することができる。例えば、端末デバイスBはCAからCAのルート証明書を要求してもよく、端末デバイスBはCAによって解放されたアプリケーションをインストールするときにCAのルート証明書を取得するか、または端末デバイスBは端末デバイスAによって送信されたメッセージからCAのルート証明書を取得する。
(3)端末デバイスBは、取得した署名を端末デバイスAの公開鍵Aを使用して復号し、署名のダイジェスト2を取得する。
(4)端末デバイスBは、復号を通して取得されたダイジェスト2と、平文から取得されたダイジェスト1とを比較する。2つのダイジェストが完全に同じであるとき、端末デバイスBは、署名検証が成功し、取得された平文は完全であり、改ざんされていないと決定する。2つのダイジェストが異なるとき、端末デバイスBは、署名検証に失敗し、取得された平文が信頼できないと決定する。
上述した従来の証明書申請方法では、端末デバイスは、ターゲットCAと対話するために端末デバイス内に設定されたインターフェースを通してターゲットCAとの通信対話を実施する。異なるサービスは異なるCAに対応することができ、異なるCAは異なる構築機関によって展開され、異なる構築機関は異なる通信技術を使用してCAを展開することができる。したがって、異なるCAは、異なるインターフェースを通して端末デバイスとの対話を実行する。したがって、端末デバイスが依然として従来の証明書申請方法を使用する場合、端末デバイスのサービスが多様に実装されることを確保するために、複数のサービスに対応するCAと対話するためのインターフェースが端末デバイス内に設定される必要がある。これにより、端末デバイスの空き記憶空間が減少し、開発コストが増加し、端末デバイスの開発期間が延長される。
前述の問題を解決するために、本出願は証明書申請方法およびデバイスを提供する。以下では、添付の図面を参照して本出願の実施形態を詳細に説明する。
図2は、本出願の一実施形態における証明書申請方法が適用される証明書管理アーキテクチャを示す。アーキテクチャは、端末デバイス、インターフェース適応機能エンティティ、少なくとも1つの証明書管理機能エンティティなどを含む。以下では、最初に、アーキテクチャの各デバイスの機能について説明する。
端末デバイスは、対応するサービスをユーザに提供するためにサービスを実行するデバイスである。端末デバイスの表現形式は、異なる適用シナリオで異なる。例えば、端末デバイスは、V2X通信シナリオにおける車両、OBU、RSU、RSEなどであってもよい。端末デバイスは、従来の移動通信シナリオにおける携帯電話、タブレットコンピュータなどであってもよい。端末デバイスは、モバイルインターネットデバイス、ウェアラブルデバイス、またはモノのインターネット(internet of things、IoT)通信シナリオにおける業界もしくは家庭内の様々な無線端末であってもよい。
インターフェース適応機能エンティティは、インターフェース適応デバイスとも呼ばれ、端末デバイスと証明書管理機能エンティティの間の中間層であり、端末デバイスと証明書管理機能エンティティの間のインターフェース適応プラットフォームである。インターフェース適応機能エンティティには、少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースが設定される。したがって、インターフェース適応機能エンティティは、端末デバイスのための証明書を申請するために、インターフェース適応機能エンティティ内のインターフェースを通して対応する証明書管理機能エンティティと対話することができる。
インターフェース適応機能エンティティは、独立したデバイスであってもよく、機能結合デバイスのセットであってもよく、または別の機能を有するデバイスに統合されてもよい。例えば、インターフェース適応機能エンティティは、クラウドプラットフォーム上に展開されたサーバであってもよく、従来のサーバまたはネットワークデバイスであってもよい。
いくつかの実装形態では、端末デバイスがインターフェースを通してインターフェース適応機能エンティティと通信対話を行うことができるように、インターフェース適応機能エンティティと対話するための特定のインターフェースは端末デバイスの内部に設定され得る。したがって、端末デバイスは、インターフェース適応機能エンティティのインターフェースとの対話を通じて、複数の証明書管理機能エンティティから証明書を申請することができる。
いくつかの他の実装形態では、端末デバイスは、端末デバイス内に特別なインターフェースを設定することなく、インターフェース適応機能エンティティを用いて機能を実行することができる。
証明書管理機能エンティティは、端末デバイスの証明書管理、例えば、証明書の構成、更新、登録解除、および検証を担当する。具体的には、本出願のこの実施形態では、証明書管理機能エンティティは、端末デバイスに対してアイデンティティ認証を実行し、端末デバイスのための証明書(登録証明書および匿名証明書を含む)を構成することができるエンティティである。例えば、証明書管理機能エンティティは、PKIまたはCAであってもよい。
いくつかの実装形態では、少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースが端末デバイス内にさらに設定され得る。このようにして、端末デバイスが少なくとも1つの証明書管理機能エンティティからの証明書を申請する必要があるとき、端末デバイスは、ローカルインターフェースを通して少なくとも1つの証明書管理機能エンティティとの通信対話を直接実行することができる。端末デバイスが別の証明書管理機能エンティティからの証明書を申請する必要があるとき、インターフェース適応機能エンティティが使用され得る。
本出願で提供されるアーキテクチャでは、端末デバイスまたはインターフェース適応機能エンティティが証明書管理機能エンティティと対話するためのインターフェースは、従来の物理インターフェースではなく、デバイスに記憶された通信構成または通信プロトコルのグループである。インターフェースは、両方の通信当事者が準拠する必要がある規則のセットである。インターフェースは、証明書管理機能エンティティへの接続を確立する方法、両方の通信当事者を認識する方法、ならびに通信対話プロセスにおけるメッセージフォーマット、伝送方法、対話手順などを含み得るが、これらに限定されない。
本出願で提供されるアーキテクチャでは、端末デバイスは、通信対話を実行するために、モバイル通信ネットワーク(アクセスネットワークおよびコアネットワークを含む)を介してインターフェース適応機能エンティティへの通信接続を確立することができることに留意されたい。インターフェース適応機能エンティティは、通信対話を実行するために、従来のIPネットワークを介して各証明書管理機能エンティティとの通信接続を確立することができる。
加えて、図2に示されたアーキテクチャは、複数の通信シナリオ、例えば、第5世代(The 5th Generation、5G)通信システム、将来の第6世代通信システムおよび進化した他の通信システム、ロングタームエボリューション(Long Term Evolution、LTE)通信システム、車車間・路車間(vehicle to everything、V2X)、ロングタームエボリューション-車両のインターネット(LTE-vehicle、LTE-V)、車車間通信(vehicle to vehicle、V2V)、車両のインターネット、マシンタイプ通信(Machine Type Communications、MTC)、モノのインターネット(internet of things、IoT)、ロングタームエボリューション-マシンツーマシン(LTE-machine to machine、LTE-M)、およびマシンツーマシン(machine to machine、M2M)に適用され得る。
本出願の一実施形態は、端末デバイスが異なる証明書管理機能エンティティと対話できることを確保することに基づいて、証明書管理機能エンティティと対話するための端末デバイス内のインターフェースの数を減らすための証明書申請方法を提供する。以下では、図3に示されたフローチャートを参照して、本出願のこの実施形態で提供される証明書申請方法を詳細に説明する。
S301:サービスの実行を開始すると、端末デバイスは、サービスのデータ伝送のセキュリティを確保するために、証明書申請パラメータをインターフェース適応機能エンティティに送信する。これに対応して、インターフェース適応機能エンティティは、端末デバイスから証明書申請パラメータを受信する。証明書申請パラメータは、端末デバイスの公開鍵を含み、端末デバイスのアイデンティティを示すために使用される端末デバイスの識別子をさらに含み得る。本出願のこの実施形態では、端末デバイスによって送信された証明書申請パラメータに関するメッセージは、第1のメッセージと呼ばれる場合がある。
任意選択で、端末デバイスの識別子は、端末デバイスのデバイス識別子、端末デバイスのIPアドレス、または端末デバイスを使用するユーザのユーザ識別子とすることもでき、端末デバイスを一意に識別することができる他の情報とすることもできる。
端末デバイスの公開鍵は、端末デバイスによって生成された鍵ペア内の公開鍵である。端末デバイスの公開鍵は、端末デバイスがデータを伝送する後続のプロセス、および端末デバイスが署名処理を行うメッセージを受信する別のデバイスがメッセージに対して署名認証を行うプロセスで署名を復号するために使用される。
S302:インターフェース適応機能エンティティは、端末デバイスのための証明書を構成するターゲット証明書管理機能エンティティを決定する。
インターフェース適応機能エンティティには、ターゲット証明書管理機能エンティティと対話するためのターゲットインターフェースが設定される。
本出願のこの実施形態では、インターフェース適応機能エンティティは、限定はしないが、以下の実装形態でターゲット証明書管理機能エンティティを決定することができる。
第1の実装形態では、端末デバイスは、ターゲット証明書管理機能エンティティを決定し、ターゲット証明書管理機能エンティティに関する情報をインターフェース適応機能エンティティに送信する。次いで、インターフェース適応機能エンティティは、端末デバイスからターゲット証明書管理機能エンティティに関する情報を取得することができ、ターゲット証明書管理機能エンティティに関する情報に基づいてターゲット証明書管理機能エンティティを決定する。
第1の実装形態では、端末デバイスは、以下の方法でターゲット証明書管理機能エンティティを決定することができるが、これには限定されない。
方法1:端末デバイスは、実行されるように開始されたサービスに基づいて、サービスに対応するターゲット証明書管理機能エンティティを決定することができる。
方法2:インターフェース適応機能エンティティは、少なくとも1つの証明書管理機能エンティティに関する情報を端末デバイスに送信し、少なくとも1つの証明書管理機能エンティティに関する情報は、ターゲット証明書管理機能エンティティに関する情報を含み、少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースは、インターフェース適応機能エンティティに設定される。インターフェース適応機能エンティティから少なくとも1つの証明書管理機能エンティティに関する情報を受信した後、端末デバイスは、少なくとも1つの証明書管理機能エンティティからターゲット証明書管理機能エンティティを選択することができる。本出願のこの実施形態では、インターフェース適応機能エンティティによって送信された少なくとも1つの証明書管理機能エンティティに関する情報に関するメッセージは、第2のメッセージと呼ばれる場合がある。
任意選択で、インターフェース適応機能エンティティが少なくとも1つの証明書管理機能エンティティに関する情報を端末デバイスに送信するとき、インターフェース適応機能エンティティは、少なくとも1つの証明書管理機能エンティティのルート証明書を端末デバイスにさらに送信してもよい。このようにして、インターフェース適応機能エンティティを使用して少なくとも1つの証明書管理機能エンティティのいずれか1つから証明書を申請した後、端末デバイスは、証明書管理機能エンティティのルート証明書に基づいて、申請された証明書を検証することができる。
任意選択で、インターフェース適応機能エンティティは、端末デバイスへの通信接続を確立するプロセスにおいて、または通信接続を確立した後に、第2のメッセージを端末デバイスに送信してもよい。
端末デバイスとインターフェース適応機能エンティティの間の通信接続はトランスポート層セキュリティ(Transport Layer Security、TLS)チャネルであり得る。インターフェース適応機能エンティティが、インターフェース適応機能エンティティと端末デバイスの間にTLSチャネルを確立するプロセスにおいて第2のメッセージを送信する場合、第2のメッセージは、インターフェース適応機能エンティティによって端末デバイスに送信されるserver_helloメッセージ、certificateメッセージ、server_key_exchangeメッセージ、certificate_requestメッセージ、server_hello_doneメッセージ、change_cipher_specメッセージ、またはfinishedメッセージであり得る。
加えて、本出願のこの実施形態では、端末デバイスとインターフェース適応機能エンティティの間の通信対話は、通信接続を通して実施される。
第1の実装形態では、ターゲット証明書管理機能エンティティを決定した後、端末デバイスは、以下の方法でターゲット証明書管理機能エンティティに関する情報をインターフェース適応機能エンティティに送信することができる、すなわち、本出願のこの実施形態では、端末デバイスによって送信されたターゲット証明書管理機能エンティティに関する情報に関するメッセージは、第3のメッセージと呼ばれる場合がある。
方法1:端末デバイスは、S301を実行する前に、第3のメッセージをインターフェース適応機能エンティティに送信することができる。
任意選択で、端末デバイスは、インターフェース適応機能エンティティへの通信接続を確立するプロセスにおいて、または通信接続を確立した後に、ターゲット証明書管理機能エンティティに関する情報をインターフェース適応機能エンティティに送信してもよい。
端末デバイスとインターフェース適応機能エンティティの間の通信接続がTLSチャネルであるとき、端末デバイスが、TLSチャネルを確立するときに第3のメッセージをインターフェース適応機能エンティティに送信するとき、第3のメッセージは、第2のメッセージを受信した後に端末デバイスによって送信される、client_helloメッセージ、certificateメッセージ、client_key_exchangeメッセージ、certificate_verifyメッセージ、change_cipher_specメッセージ、finishedメッセージなどであってもよい。
方法2:端末デバイスは、S301を実行する際に、ターゲット証明書管理機能エンティティに関する情報をインターフェース適応機能エンティティに送信することができる。すなわち、第1のメッセージは第3のメッセージを含むか、または第1のメッセージと第3のメッセージは同じメッセージである。この方法では、第1のメッセージは、証明書申請パラメータを含むだけでなく、ターゲット証明書管理機能エンティティに関する情報も含む。
方法3:端末デバイスは、S301を実行した後に、第3のメッセージをインターフェース適応機能エンティティに送信することができる。
第1の実装形態では、端末デバイスが方法1でターゲット証明書管理機能エンティティを決定すると、端末デバイスによって送信されたターゲット証明書管理機能エンティティに関する情報を受信し、ターゲット証明書管理機能エンティティと対話するためのローカルに設定されたターゲットインターフェースがあると決定した後、インターフェース適応機能エンティティは、端末デバイスに通知メッセージを送信する。通知メッセージは、ターゲット証明書管理機能エンティティと対話するためのターゲットインターフェースがインターフェース適応機能エンティティに設定されていることを端末デバイスに通知するために使用される。
任意選択で、通知メッセージは、ターゲット証明書管理機能エンティティのルート証明書、ターゲット証明書管理機能エンティティのECAの証明書、およびターゲット証明書管理機能エンティティのアドレスなどの情報をさらに含んでもよい。ターゲット証明書管理機能エンティティのルート証明書は、端末デバイスが証明書を受信した後に証明書を検証するために使用され得る。
第2の実装形態では、インターフェース適応機能エンティティは、端末デバイスのための証明書を構成するターゲット証明書管理機能エンティティを独立して決定する。具体的には、インターフェース適応機能エンティティは、端末デバイスの識別子を取得し、端末デバイスの識別子と証明書管理機能エンティティに関する情報の間のローカルに記憶された対応関係に基づいて、端末デバイスの識別子に対応するターゲット証明書管理機能エンティティに関する情報を決定し、次いで、ターゲット証明書管理機能エンティティに関する情報に基づいてターゲット証明書管理機能エンティティを決定することができる。インターフェース適応機能エンティティは、証明書申請パラメータから端末デバイスの識別子を取得してもよいし、証明書申請パラメータを含む第1のメッセージから端末デバイスの識別子を取得してもよい。
S303:インターフェース適応機能エンティティは、ターゲットインターフェースを通してターゲット証明書管理機能エンティティに証明書申請パラメータを送信し、その結果、ターゲット証明書管理機能エンティティは、端末デバイスのための証明書を構成する。ターゲット証明書管理機能エンティティは、インターフェース適応機能エンティティから端末デバイスの証明書申請パラメータを取得する。
本出願のこの実施形態では、インターフェース適応機能エンティティは、複数の実装形態においてS303を実行することができる。
第1の実装形態では、インターフェース適応機能エンティティは、ターゲットインターフェースに基づいて、証明書申請パラメータを含む第4のメッセージを生成し、第4のメッセージをターゲット証明書管理機能エンティティに送信する。
これに対応して、ターゲット証明書管理機能エンティティは、証明書申請パラメータを含む第4のメッセージをインターフェース適応機能エンティティから受信し、第4のメッセージの端末デバイスの証明書申請パラメータを取得することができる。
第1の実装形態では、インターフェース適応機能エンティティは、端末デバイスの証明書申請パラメータをターゲット証明書管理機能エンティティに迅速に伝送することができ、その結果、証明書申請パラメータの伝送遅延が可能な限り低減され得る。
第2の実装形態は、具体的には以下のステップを含む。
A.インターフェース適応機能エンティティは、ターゲットインターフェースに基づいて、証明書申請パラメータを含む第4のメッセージを生成する。
B.インターフェース適応機能エンティティは、第4のメッセージを端末デバイスに送信し、その結果、端末デバイスは、第4のメッセージに対して署名処理を実行して、第4のメッセージが証明書を要求するために端末デバイスによって送信され、別のデバイスによって偽造されていないことを証明する。
C.インターフェース適応機能エンティティから第4のメッセージを受信した後、端末デバイスは、第4のメッセージに対して署名処理を行い、次いで、署名処理後に取得された第4のメッセージをインターフェース適応機能エンティティに送信する。
D.インターフェース適応機能エンティティは、端末デバイスから署名処理後に取得された第4のメッセージを受信し、ターゲットインターフェースを通してターゲット証明書管理機能エンティティに署名処理後に取得された第4のメッセージを送信する。
これに対応して、ターゲット証明書管理機能エンティティは、インターフェース適応機能エンティティからの署名処理後に取得された第4のメッセージを受信し、次いで、署名処理後に取得された第4のメッセージに対して署名検証を実行することができ、検証は成功する。
ターゲット証明書管理機能エンティティが署名検証を実行するプロセスは、例えば、以下の解決策では、端末デバイスが第4のメッセージに対して署名処理を実行するプロセスに基づいて異なる。
解決策1:ステップCで、端末デバイスが第4のメッセージに対して署名処理を実行することは、端末デバイスが、最初に、事前設定されたhashアルゴリズムを使用して第4のメッセージのダイジェストを取得し、次いで、第4のメッセージの署名を取得するために端末デバイスの鍵ペアの秘密鍵を使用してダイジェストを暗号化し、最後に、署名処理後に取得された第4のメッセージを取得するために、第4のメッセージに署名を追加することを含む。
この場合、署名処理後に取得された第4のメッセージを受信した後、ターゲット証明書管理機能エンティティは、第4のメッセージから端末デバイスの公開鍵を取得し、次いで、ダイジェストaを取得するために、端末デバイスの公開鍵を使用して第4のメッセージの署名を復号することができる。次いで、ターゲット証明書管理機能エンティティは、事前設定されたhashアルゴリズム(端末デバイスによって使用されるhashアルゴリズムと同じ)を使用して、第4のメッセージのダイジェストbを取得する。ダイジェストaとダイジェストbとが全く同じであると決定したとき、ターゲット証明書管理機能エンティティは署名検証に成功したと決定する。
解決策2:ステップCで、端末デバイスが第4のメッセージに対して署名処理を実行することは、端末デバイスが、最初に、事前設定されたhashアルゴリズムを使用して第4のメッセージのダイジェストを取得し、次いで、第4のメッセージの署名を取得するために、端末デバイスおよびターゲット証明書管理機能エンティティによってネゴシエートまたは事前設定されたデバイス証明書を使用してダイジェストを暗号化し、最後に、署名処理後に取得された第4のメッセージを取得するために、第4のメッセージに署名を追加することを含む。
この場合、署名処理後に取得された第4のメッセージを受信した後、ターゲット証明書管理機能エンティティは、ダイジェストaを取得するために、デバイス証明書に対応するルート証明書を使用して第4のメッセージの署名を復号することができる。次いで、ターゲット証明書管理機能エンティティは、事前設定されたhashアルゴリズム(端末デバイスによって使用されるhashアルゴリズムと同じ)を使用して、第4のメッセージのダイジェストbを取得する。ダイジェストaとダイジェストbとが全く同じであると決定したとき、ターゲット証明書管理機能エンティティは署名検証に成功したと決定する。
第2の実装形態では、インターフェース適応機能エンティティは、端末デバイスを使用して第4のメッセージに対して署名処理を実行することができ、その結果、第4のメッセージがターゲット証明書管理機能エンティティに伝送された後、ターゲット証明書管理機能エンティティは、署名に基づいて、第4のメッセージが端末デバイスによって送信されたものであり、真正かつ有効であることを証明することができる。
上記の2つの実装形態では、第4のメッセージは、従来の証明書要求メッセージであってもよく、別のメッセージであってもよいことにさらに留意されたい。これは本出願では限定されない。
加えて、前述の2つの実装形態では、ターゲットインターフェースに基づいて生成された第4のメッセージのフォーマットは、ターゲットインターフェースのメッセージフォーマット仕様に準拠する。したがって、インターフェース適応機能エンティティは、その後、ターゲットインターフェースを通してターゲット証明書管理機能エンティティに第4のメッセージを正常に送信することができる。
インターフェース適応機能エンティティは、インターフェース適応機能エンティティとターゲット証明書管理機能エンティティの間の通信接続を通してターゲット証明書管理機能エンティティとの通信対話を実行することに留意されたい。任意選択で、通信接続は、代替的にTLSチャネルであってもよい。これは本出願では限定されない。
S304:ターゲット証明書管理機能エンティティは、証明書申請パラメータに基づいて端末デバイスのための証明書を構成する。
このステップでは、ターゲット証明書管理機能エンティティは、従来の方法を使用して証明書を構成することができる。
例えば、ターゲット証明書管理機能エンティティは、以下のステップを使用して登録証明書を構成することができる、すなわち、ターゲット証明書管理機能エンティティは、最初に端末デバイスに対してアイデンティティ認証を実行する。端末デバイスのアイデンティティを認証した後、ターゲット証明書管理機能エンティティは、ターゲット証明書管理機能エンティティの秘密鍵を使用して端末デバイスの公開鍵を含む情報を暗号化し、証明書を生成する。具体的なアイデンティティ認証プロセスおよび証明書構成プロセスについては、図1Aおよび図1Bの従来の証明書申請プロセスの説明を参照されたく、ここでは詳細は繰り返されない。
加えて、ターゲット証明書管理機能エンティティが匿名証明書を構成するプロセスについては、前述の説明を参照されたい。違いは、ターゲット証明書管理機能エンティティが端末デバイスに対してアイデンティティ認証を実行しない場合があることにある。
S305:ターゲット証明書管理機能エンティティは、証明書をインターフェース適応機能エンティティに送信する。インターフェース適応機能エンティティは、ターゲットインターフェースを通してターゲット証明書管理機能エンティティから証明書を受信する。本出願のこの実施形態では、ターゲット証明書管理機能エンティティによってインターフェース適応機能エンティティに送信された証明書に関するメッセージは、第5のメッセージと呼ばれる場合がある。
一実装形態では、ターゲット証明書管理機能エンティティは、第5のメッセージをインターフェース適応機能エンティティに送信することができる。
別の実装形態では、第5のメッセージがターゲット証明書管理機能エンティティによって送信されることを確保するために、ターゲット証明書管理機能エンティティは、第5のメッセージを送信する前に、第5のメッセージに対して署名処理を最初に実行する。具体的なプロセスは、ターゲット証明書管理機能エンティティが、事前設定されたhashアルゴリズムを使用して第5のメッセージのダイジェストを最初に取得すること、第5のメッセージの署名を取得するために、ターゲット証明書管理機能エンティティの秘密鍵を使用してダイジェストを暗号化すること、および最後に、署名を第5のメッセージに追加して、署名処理後に取得された第5のメッセージを取得することを含む。
第5のメッセージは、従来の証明書応答メッセージであってもよいし、別のメッセージであってもよい。これは本出願では限定されない。
S306:インターフェース適応機能エンティティは、証明書を端末デバイスに送信する。端末デバイスは、インターフェース適応機能エンティティから証明書を受信する。S305の説明から、インターフェース適応機能エンティティによって端末デバイスに送信された証明書に関するメッセージは、第5のメッセージであってもよいし、署名処理後に取得された第5のメッセージであってもよいことが分かり得る。
端末デバイスが署名処理後に取得された第5のメッセージを受信すると、端末デバイスは、ターゲット証明書管理機能エンティティの記憶されたルート証明書(すなわち、公開鍵)に基づいて、署名処理後に取得された第5のメッセージに対する署名検証を実行し得る。署名検証が成功した後、第5のメッセージの証明書を使用してセキュアなデータ通信が実行され得る。具体的な署名検証プロセスについては、前述の説明を参照されたい。本明細書では詳細は重ねて説明されない。
端末デバイスに記憶されたターゲット証明書管理機能エンティティのルート証明書は、ユーザによって入力されてもよいし、インターフェース適応機能エンティティから受信されてもよいことにさらに留意されたい。例えば、端末デバイスによって送信されたターゲット証明書管理機能エンティティに関する情報を受信し、ローカルに設定されたターゲットインターフェースがあると決定した後、インターフェース適応機能エンティティは、端末デバイスに通知メッセージを送信し、ターゲット証明書管理機能エンティティのルート証明書を通知メッセージに含める。別の例では、端末デバイスは、インターフェース適応機能エンティティによって送信された少なくとも1つの証明書管理機能エンティティのルート証明書を受信することができる。別の例では、インターフェース適応機能エンティティは、署名処理後に取得された第5のメッセージを送信する前、送信するとき、または送信した後に、第6のメッセージを端末デバイスに送信することができ、第6のメッセージは、ターゲット証明書管理機能エンティティのルート証明書を搬送する。
加えて、署名検証が成功した後、端末デバイスは、ターゲット証明書管理機能エンティティのルート証明書を使用して、申請された証明書をさらに検証することができる。具体的には、端末デバイスは、ターゲット証明書管理機能エンティティのルート証明書を使用して証明書を復号し、次いで、復号後に取得された情報が端末デバイスの公開鍵を含むかどうかを決定する。情報が端末デバイスの公開鍵を含む場合、証明書検証が成功したと決定され、端末デバイスは、証明書を使用してセキュアなデータ通信を実行することができるか、または情報が端末デバイスの公開鍵を含まない場合、証明書検証が失敗したと決定され、端末デバイスは証明書を使用することができない。
証明書のタイプは、本出願のこの実施形態で提供される証明書申請方法では限定されないことにさらに留意されたい。証明書は、登録証明書であってもよいし、匿名証明書であってもよい。違いは、証明書が匿名証明書であるとき、ターゲット証明書管理機能エンティティは、端末デバイスの証明書を構成するときに端末デバイスのアイデンティティを検証しない場合があることにある。
加えて、本出願のこの実施形態の上記の説明では、証明書管理機能エンティティに関する情報は、証明書管理機能エンティティを識別するために使用され、その結果、端末デバイスまたはインターフェース適応機能エンティティは、対応する証明書管理機能エンティティを決定することができる。例えば、証明書管理機能エンティティに関する情報は、証明書管理機能エンティティを一意に識別する以下の情報、すなわち、証明書管理機能エンティティの識別子、証明書管理機能エンティティによって構成され得る証明書のタイプ情報(例えば、証明書識別子)、証明書管理機能エンティティの構築機関の識別子、または証明書管理機能エンティティのネットワークアドレスの少なくとも1つまたは組み合わせであってもよい。
本出願の一実施形態は、証明書申請方法を提供する。本方法では、インターフェース適応機能エンティティは、少なくとも1つの証明書管理機能エンティティのインターフェースに適応することができ、その結果、端末デバイスは、インターフェース適応機能エンティティを使用することにより、異なる証明書管理機能エンティティからの証明書を申請することができる。この解決策では、インターフェース適応機能エンティティは、証明書管理機能エンティティの実装または展開を端末デバイスから遮蔽することができ、その結果、端末デバイスは上位層で証明書管理機能エンティティを認識しない可能性がある。したがって、端末デバイスは、証明書管理機能エンティティと対話するためのインターフェースをローカルに設定する必要はない。この方法は、端末デバイスが異なる証明書管理機能エンティティと対話できることを確保することに基づいて、証明書管理機能エンティティと対話するための端末デバイス内のインターフェースの数を減らすことができる。
前述の実施形態に基づいて、本出願は、以下の証明書申請事例をさらに提供する。特定の証明書申請事例を参照して、以下で、図3に示された証明書申請方法の手順の一例を説明する。以下の事例では、証明書管理機能エンティティがCAであり、インターフェース適応機能エンティティがインターフェース適応デバイスである一例が説明に使用される。事例1から3は登録証明書を申請する手順であり、事例4は匿名証明書を申請する手順である。以下の事例では、(ターゲット)CAに関する関連情報は、以下の、すなわち、CAの識別子、CAが構成することができる証明書のタイプ情報(例えば、証明書識別子)、またはCAのネットワークアドレスの少なくとも1つまたは組み合わせであってもよいことに留意されたい。
事例1:以下で、図4に示されたフローチャートを参照して、この事例における証明書申請手順を詳細に説明する。
S401:端末デバイスが登録証明書を申請するための要件を有するとき、端末デバイスは、ターゲットCAを決定し、次いで、インターフェース適応デバイスとTLSチャネルを確立し、TLSチャネルを確立するプロセスにおいて、ターゲットCAに関する情報をインターフェース適応デバイスに送信する。
インターフェース適応デバイスのルート証明書は端末デバイスの内部に記憶され、端末デバイスのルート証明書はインターフェース適応デバイスに記憶される。したがって、端末デバイスおよびインターフェース適応デバイスは、端末デバイスおよびインターフェース適応デバイスに記憶されたルート証明書に基づいて、端末デバイスとインターフェース適応デバイスの間にTLSチャネルを確立することができる。
本出願のこの実施形態では、端末デバイスおよびインターフェース適応デバイスは、従来の方法を使用してTLSチャネルを確立することができる。任意選択で、端末デバイスは、確立されたTLSチャネルを通して、ターゲットCAに関する情報をメッセージでインターフェース適応デバイスに送信してもよい。例えば、ターゲットCAに関する情報を搬送するメッセージは、端末デバイスによって送信された、client_helloメッセージ、certificateメッセージ、client_key_exchangeメッセージ、certificate_verifyメッセージ、change_cipher_specメッセージ、finishedメッセージなどであり得る。
加えて、端末デバイスとインターフェース適応デバイスの間のTLSチャネルが確立された後、端末デバイスとインターフェース適応デバイスの間の対話は、伝送セキュリティを確保するために、TLSチャネルを通して伝送されてもよい。
S402:インターフェース適応デバイスは、ターゲットCAに関する情報に基づいてターゲットCAを決定し、ターゲットCAと対話するためのローカルに設定されたターゲットインターフェースがあると決定する。
S403:インターフェース適応デバイスは、CAと対話するためのターゲットインターフェースがインターフェース適応デバイスに設定されていることを端末デバイスに通知するために、端末デバイスに通知メッセージを送信する。通知メッセージは、ターゲットCAのルート証明書をさらに搬送する。
S404:ターゲットCAを決定した後、インターフェース適応デバイスは、ターゲットCAとの通信接続(例えば、TLSチャネル)を確立するかどうかを決定する。インターフェース適応デバイスとターゲットCAの間に確立されたTLSチャネルがないと決定した場合、インターフェース適応デバイスは、TLSチャネルを確立する手順を開始する。インターフェース適応デバイスとターゲットCAの間に確立されたTLSチャネルがあると決定した場合、S404を実行する必要はない。
端末デバイスとインターフェース適応デバイスの間にTLSチャネルを確立することと同様に、インターフェース適応デバイスとターゲットCAの両方が互いにルート証明書を記憶する。したがって、インターフェース適応デバイスおよびターゲットCAは、インターフェース適応デバイスおよびターゲットCAに記憶されたルート証明書に基づいて、インターフェース適応デバイスとターゲットCAの間にTLSチャネルを確立することができる。
加えて、インターフェース適応デバイスとターゲットCAの間にTLSチャネルが確立された後、端末デバイスとインターフェース適応デバイスの間の対話は、伝送セキュリティを確保するために、TLSチャネルを通して伝送されてもよい。
S405:通知メッセージを受信した後、端末デバイスは、証明書申請パラメータをインターフェース適応デバイスに送信する。証明書申請パラメータは、端末デバイスの公開鍵を含み、端末デバイスの識別子などのアイデンティティ情報をさらに含み得る。
S406:インターフェース適応デバイスは、ターゲットインターフェースに基づいて、証明書申請パラメータを含む証明書要求メッセージを生成する。証明書要求メッセージのフォーマットは、ターゲットインターフェースの仕様に準拠している。
S407:インターフェース適応デバイスは、証明書要求メッセージを端末デバイスに送信する。
S408:証明書要求メッセージを受信した後、端末デバイスは、証明書要求メッセージが端末デバイスによって送信されたことを証明するために、証明書要求メッセージに対して署名処理を実行する。具体的な署名処理プロセスについては、図3に示された実施形態のS303で記録された2つの解決策を参照されたい。本明細書では詳細は重ねて説明されない。
S409:端末デバイスは、署名処理後に取得された証明書要求メッセージをインターフェース適応デバイスに送信する。
S410:署名処理後に取得され、端末デバイスによって送信された証明書要求メッセージを受信した後、インターフェース適応デバイスは、ターゲットインターフェースを通してターゲットCAに、署名処理後に取得された証明書要求メッセージを送信する。
S411:署名処理後に取得された証明書要求メッセージを受信した後、ターゲットCAは証明書要求メッセージに対して署名検証を行い、署名検証に成功した後に証明書要求メッセージの証明書申請パラメータに基づいて端末デバイスのための登録証明書を構成する。
ターゲットCAが証明書要求メッセージに対して署名検証を実行するプロセスについては、図3に示された実施形態のS303で記録された2つの解決策を参照されたい。本明細書では詳細は重ねて説明されない。
本出願のこの実施形態では、ターゲットCAが端末デバイスのための登録証明書を構成するプロセスについては、図1Aおよび図1Bの証明書申請プロセスまたは図3に示された実施形態のS304の説明を参照されたい。本明細書では詳細は重ねて説明されない。
S412:ターゲットCAは、登録証明書を含む証明書応答メッセージを生成し、証明書応答メッセージに対して署名処理を実行し、次いで、署名処理後に取得された証明書応答メッセージをインターフェース適応デバイスに送信する。
S413:ターゲットCAから署名処理後に取得された証明書応答メッセージを受信した後、インターフェース適応デバイスは、ターゲットCAのルート証明書を使用して署名処理後に取得された証明書応答メッセージに対して署名検証を実行し、検証に成功した後にターゲットCAのルート証明書を使用して登録証明書をさらに検証することができる。登録証明書が正常に検証されたと決定した後、端末デバイスは、登録証明書を使用してセキュアなデータ通信を実行することができる。
端末デバイスが登録証明書を検証するプロセスについては、図3に示された実施形態のS306の説明を参照されたい。本明細書では詳細は重ねて説明されない。
事例2:以下で、図5に示されたフローチャートを参照して、この事例における証明書申請手順を詳細に説明する。
S501:端末デバイスは、インターフェース適応デバイスとのTLSチャネルを確立する。
インターフェース適応デバイスのルート証明書は端末デバイスの内部に記憶され、端末デバイスのルート証明書はインターフェース適応デバイスに記憶される。したがって、端末デバイスおよびインターフェース適応デバイスは、端末デバイスおよびインターフェース適応デバイスに記憶されたルート証明書に基づいて、端末デバイスとインターフェース適応デバイスの間にTLSチャネルを確立することができる。
加えて、端末デバイスとインターフェース適応デバイスの間のTLSチャネルが確立された後、端末デバイスとインターフェース適応デバイスの間の対話は、伝送セキュリティを確保するために、TLSチャネルを通して伝送されてもよい。
S502:インターフェース適応デバイスは、少なくとも1つのCAに関する情報を端末デバイスに送信し、少なくとも1つのCAと対話するためのインターフェースがインターフェース適応デバイスに設定される。
任意選択で、インターフェース適応デバイスは、登録証明書を続いて検証するために、少なくとも1つのCAのルート証明書を端末デバイスにさらに送信してもよい。
S503:端末デバイスは、インターフェース適応デバイスから少なくとも1つのCAに関する情報を受信し記憶する。端末デバイスが登録証明書を申請するための要件を有するとき、端末デバイスは、少なくとも1つのCAからターゲットCAを決定し、証明書申請パラメータおよびターゲットCAに関する情報をインターフェース適応デバイスに送信する。
S504:証明書申請パラメータおよびターゲットCAに関する情報を受信した後、インターフェース適応デバイスは、ターゲットCAに関する情報に基づいてターゲットCAを決定する。
S505:ターゲットCAを決定した後、インターフェース適応デバイスは、ターゲットCAとの通信接続(例えば、TLSチャネル)を確立するかどうかを決定する。インターフェース適応デバイスとターゲットCAの間に確立されたTLSチャネルがないと決定した場合、インターフェース適応デバイスは、TLSチャネルを確立する手順を開始する。インターフェース適応デバイスとターゲットCAの間に確立されたTLSチャネルがあると決定した場合、S505を実行する必要はない。
端末デバイスとインターフェース適応デバイスの間にTLSチャネルを確立することと同様に、インターフェース適応デバイスとターゲットCAの両方が互いにルート証明書を記憶する。したがって、インターフェース適応デバイスおよびターゲットCAは、インターフェース適応デバイスおよびターゲットCAに記憶されたルート証明書に基づいて、インターフェース適応デバイスとターゲットCAの間にTLSチャネルを確立することができる。
加えて、インターフェース適応デバイスとターゲットCAの間にTLSチャネルが確立された後、端末デバイスとインターフェース適応デバイスの間の対話は、伝送セキュリティを確保するために、TLSチャネルを通して伝送されてもよい。
この事例では、その他のステップS506からS513は、事例1のステップS406からS413と同様である。したがって、これらのステップの具体的なプロセスについては、事例1の関連するステップの具体的な説明を参照されたく、ここでは詳細は繰り返し説明されない。
事例3:以下で、図6に示されたフローチャートを参照して、この事例における証明書申請手順を詳細に説明する。
S601:事例2のS501と同じように、端末デバイスは、インターフェース適応デバイスとのTLSチャネルを確立する。
S602:端末デバイスが登録証明書を申請するための要件を有するとき、端末デバイスは、ターゲットCAを決定し、証明書申請パラメータおよびターゲットCAに関する情報をインターフェース適応デバイスに送信する。
S603:インターフェース適応デバイスは、ターゲットCAに関する情報に基づいてターゲットCAを決定し、ターゲットCAと対話するためのローカルに設定されたターゲットインターフェースがあると決定する。
S604:インターフェース適応デバイスは、CAと対話するためのターゲットインターフェースがインターフェース適応デバイスに設定されていることを端末デバイスに通知するために、端末デバイスに通知メッセージを送信する。通知メッセージは、ターゲットCAのルート証明書をさらに搬送する。
この事例では、その他のステップS605からステップ613は、事例2のステップS505からステップS513と同様であり、ここでは詳細は繰り返し説明されない。
事例4:登録証明書を申請するための手順、すなわち、TLSチャネルが端末デバイスとインターフェース適応デバイスの間に確立され、TLSチャネルがインターフェース適応デバイスとターゲットCAの間に確立された後に、匿名証明書を申請するための手順が実行される。したがって、TLSチャネルを確立するステップは、この事例に含まれない。以下で、図7に示されたフローチャートを参照して、この事例における証明書申請手順を詳細に説明する。
S701:端末デバイスが匿名証明書を申請するための要件を有するとき、端末デバイスは、証明書申請パラメータをインターフェース適応デバイスに送信する。
S702:端末デバイスから証明書申請パラメータを受信した後、インターフェース適応デバイスは、端末デバイスの識別子とCAの間のローカルに記憶された対応関係に基づいて、証明書申請パラメータの端末デバイスの識別子に対応するターゲットCAを決定する。次いで、インターフェース適応デバイスは、ターゲットCAと対話するために設定されたターゲットインターフェースに基づいて、証明書申請パラメータを含む証明書要求メッセージを生成する。
各端末デバイスが登録証明書を申請するとき、インターフェース適応デバイスは、端末デバイスの識別子と端末デバイスのための登録証明書を構成するCAの間の対応関係を確立する。したがって、インターフェース適応デバイスは、任意の端末デバイスが登録証明書を申請した後に匿名証明書を申請するときに、ターゲットCAを迅速に決定することができる。
この事例では、その他のステップS703からステップ709は、事例1のステップS407からステップS413と同様である。したがって、これらのステップの具体的なプロセスについては、事例1の関連するステップの具体的な説明を参照されたく、ここでは詳細は繰り返し説明されない。
同じ技術概念に基づいて、本出願は通信装置をさらに提供する。装置の構造は図8に示されており、装置は通信ユニット801と処理ユニット802とを含む。通信装置800は、図2に示された証明書管理アーキテクチャの端末デバイス、インターフェース適応機能エンティティ、または証明書管理機能エンティティに適用されてもよく、図3から図7に示された証明書申請方法を実施してもよい。以下は、装置800のユニットの機能について説明する。
通信ユニット801は、データを送受信するように構成される。
通信装置800が端末デバイスに適用される場合、通信ユニット801はトランシーバと呼ばれる場合もあり、モバイル通信モジュールおよび/または無線通信モジュールを使用して実装され得る。
移動通信モジュールは、端末デバイスに適用され、2G、3G、4G、および5Gなどの無線通信を含む解決策を提供することができる。モバイル通信モジュールは、少なくとも1つのアンテナ、少なくとも1つのフィルタ、スイッチ、電力増幅器、低雑音増幅器(low noise amplifier、LNA)などを含むことができる。端末デバイスは、モバイル通信モジュールを使用してモバイル通信ネットワークにアクセスし、さらにモバイル通信ネットワークを介して証明書管理アーキテクチャにアクセスすることができる。
無線通信モジュールは、無線ローカルエリアネットワーク(wireless local area networks、WLAN)(例えば、ワイヤレスフィデリティ(wireless fidelity、Wi-Fi)ネットワーク)、ブルートゥース(登録商標)(bluetooth(登録商標)、BT)、グローバル・ナビゲーション・サテライト・システム(global navigation satellite system、GNSS)、周波数変調(frequency modulation、FM)、近距離無線通信(near field communication、NFC)などを含み、端末デバイスに適用される無線通信解決策を提供してもよい。無線通信モジュール160は、少なくとも1つのアンテナと、少なくとも1つの通信処理モジュールの1つまたは複数の構成要素とを含んでもよい。端末デバイスは、無線通信モジュールを使用して無線通信ネットワークにアクセスし、さらに無線通信ネットワークを介して証明書管理アーキテクチャにアクセスすることができる。
通信装置800がインターフェース適応機能エンティティまたは証明書管理機能エンティティに適用されるとき、通信ユニット801は、物理インターフェース、通信モジュール、通信インターフェース、または入出力インターフェースとも呼ばれ得る。インターフェース適応機能エンティティまたは証明書管理機能エンティティは、別のデバイスとの物理的接続を確立するために、通信ユニットを使用してネットワークケーブルまたはケーブルに接続されてもよい。
以下では、通信装置800が端末デバイスに適用されるときの処理ユニット802の機能について説明する。
処理ユニット802は、通信ユニット801を使用して証明書申請パラメータをインターフェース適応機能エンティティに送信し、通信ユニット801を使用してインターフェース適応機能エンティティから証明書を受信するように構成され、証明書は端末デバイスのためのターゲット証明書管理機能エンティティによって構成される。
一実装形態では、処理ユニット802は、通信ユニット801を使用して証明書申請パラメータをインターフェース適応機能エンティティに送信した後で、通信ユニット801を使用してインターフェース適応機能エンティティから証明書を受信する前に、通信ユニット801を使用してインターフェース適応機能エンティティから証明書要求メッセージを受信し、証明書要求メッセージは証明書申請パラメータを含み、証明書要求メッセージに対して署名処理を実行し、インターフェース適応機能エンティティが、署名処理後に取得された証明書要求メッセージをターゲット証明書管理機能エンティティに転送するように、通信ユニット801を使用して、署名処理後に取得された証明書要求メッセージをインターフェース適応機能エンティティに送信するようにさらに構成され、通信ユニット801を使用してインターフェース適応機能エンティティから証明書を受信するとき、処理ユニット802は、通信ユニット801を使用してインターフェース適応機能エンティティから証明書応答メッセージを受信し、証明書応答メッセージが、ターゲット証明書管理機能エンティティからインターフェース適応機能エンティティによって受信され、証明書応答メッセージが証明書を含むように特に構成される。
一実装形態では、処理ユニット802は、通信ユニット801を使用してインターフェース適応機能エンティティから証明書を受信する前に、通信ユニット801を使用してターゲット証明書管理機能エンティティに関する情報をインターフェース適応機能エンティティに送信するようにさらに構成される。
一実装形態では、処理ユニット802は、通信ユニット801を使用してターゲット証明書管理機能エンティティに関する情報をインターフェース適応機能エンティティに送信した後に、通信ユニット801を使用してインターフェース適応機能エンティティから通知メッセージを受信するようにさらに構成され、通知メッセージは、ターゲット証明書管理機能エンティティと対話するためのターゲットインターフェースがインターフェース適応機能エンティティに設定されていることを端末デバイスに通知するために使用される。
一実装形態では、通知メッセージは、ターゲット証明書管理機能エンティティのルート証明書を含み、処理ユニット802は、通信ユニット801を使用してインターフェース適応機能エンティティから証明書応答メッセージを受信した後、ターゲット証明書管理機能エンティティのルート証明書に基づいて証明書応答メッセージに含まれる証明書を検証するようにさらに構成される。
一実装形態では、処理ユニット802は、通信ユニット801を使用してターゲット証明書管理機能エンティティに関する情報をインターフェース適応機能エンティティに送信する前に、通信ユニット801を使用して少なくとも1つの証明書管理機能エンティティに関する情報をインターフェース適応機能エンティティから受信し、少なくとも1つの証明書管理機能エンティティに関する情報はターゲット証明書管理機能エンティティに関する情報を含み、少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースはインターフェース適応機能エンティティに設定され、少なくとも1つの証明書管理機能エンティティからターゲット証明書管理機能エンティティを選択するようにさらに構成される。
以下では、通信装置800がインターフェース適応機能エンティティに適用されるときの処理ユニット802の機能について説明する。
処理ユニット802は、通信ユニット801を使用して端末デバイスから証明書申請パラメータを受信し、端末デバイスのための証明書を構成するターゲット証明書管理機能エンティティを決定し、ターゲット証明書管理機能エンティティが証明書申請パラメータに基づいて端末デバイスのための証明書を構成するように、通信ユニット801を使用してターゲット証明書管理機能エンティティに証明書申請パラメータを送信し、通信ユニット801を使用してターゲット証明書管理機能エンティティから証明書を受信し、通信ユニット801を使用して証明書を端末デバイスに送信するように構成される。
一実装形態では、ターゲット証明書管理機能エンティティと対話するためのターゲットインターフェースが、インターフェース適応機能エンティティに設定され、通信ユニット801を使用してターゲット証明書管理機能エンティティに証明書申請パラメータを送信すると、処理ユニット802は、通信ユニット801およびターゲットインターフェースを使用して証明書申請パラメータをターゲット証明書管理機能エンティティに送信するように特に構成され、通信ユニット801を使用してターゲット証明書管理機能エンティティから証明書を受信すると、処理ユニット802は、通信ユニット801およびターゲットインターフェースを使用してターゲット証明書管理機能エンティティから証明書を受信するように特に構成される。
一実装形態では、通信ユニット801およびターゲットインターフェースを使用してターゲット証明書管理機能エンティティに証明書申請パラメータを送信するとき、処理ユニット802は、ターゲットインターフェースに基づいて証明書申請パラメータを含む証明書要求メッセージを生成し、通信ユニット801を使用して証明書要求メッセージを端末デバイスに送信し、通信ユニット801を使用して端末デバイスから署名処理後に取得された証明書要求メッセージを受信し、通信ユニット801およびターゲットインターフェースを使用してターゲット証明書管理機能エンティティに署名処理後に取得された証明書要求メッセージを送信するように特に構成され、通信ユニット801を使用してターゲット証明書管理機能エンティティから証明書を受信するとき、処理ユニット802は、通信ユニット801を使用してターゲット証明書管理機能エンティティから証明書応答メッセージを受信し、証明書応答メッセージは端末デバイスのためにターゲット証明書管理機能エンティティによって構成された証明書を含むように特に構成され、通信ユニット801を使用して証明書を端末デバイスに送信するとき、処理ユニット802は通信ユニット801を使用して証明書応答メッセージを端末デバイスに送信するように特に構成される。
一実装形態では、端末デバイスのために証明書を構成するターゲット証明書管理機能エンティティを決定するとき、処理ユニット802は、通信ユニット801を使用して端末デバイスからターゲット証明書管理機能エンティティに関する情報を受信し、ターゲット証明書管理機能エンティティに関する情報に基づいてターゲット証明書管理機能エンティティを決定するか、または端末デバイスの識別子を決定し、端末デバイスの識別子と証明書管理機能エンティティに関する情報の間のローカルに記憶された対応関係に基づいて、端末デバイスの識別子に対応するターゲット証明書管理機能エンティティに関する情報を決定し、ターゲット証明書管理機能エンティティに関する情報に基づいてターゲット証明書管理機能エンティティを決定するように特に構成される。
一実装形態では、処理ユニット802は、通信ユニット801を使用して端末デバイスからターゲット証明書管理機能エンティティに関する情報を受信した後、ターゲット証明書管理機能エンティティと対話するためのローカルに設定されたターゲットインターフェースがあると決定し、通信ユニット801を使用して端末デバイスに通知メッセージを送信するようにさらに構成され、通知メッセージは、ターゲット証明書管理機能エンティティと対話するためのターゲットインターフェースがインターフェース適応機能エンティティに設定されていることを端末デバイスに通知するために使用される。
一実装形態では、通知メッセージは、ターゲット証明書管理機能エンティティのルート証明書を含む。
一実装形態では、処理ユニット802は、通信ユニット801を使用してターゲット証明書管理機能エンティティに関する情報を端末デバイスから受信する前に、通信ユニット801を使用して少なくとも1つの証明書管理機能エンティティに関する情報を端末デバイスに送信するようにさらに構成され、少なくとも1つの証明書管理機能エンティティはターゲット証明書管理機能エンティティを含み、少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースがインターフェース適応機能エンティティに設定される。
以下では、通信装置800が証明書管理機能エンティティに適用されるときの処理ユニット802の機能について説明する。
処理ユニット802は、通信ユニット801を使用して、インターフェース適応機能エンティティから端末デバイスの証明書申請パラメータを受信し、証明書申請パラメータに基づいて端末デバイスのための証明書を構成し、通信ユニット801を使用してインターフェース適応機能エンティティに証明書を送信するように構成される。
一実装形態では、通信ユニット801を使用してインターフェース適応機能エンティティから端末デバイスの証明書申請パラメータを受信するとき、処理ユニット802は、通信ユニット801を使用してインターフェース適応機能エンティティから、端末デバイスが署名処理を実行する証明書要求メッセージを受信し、証明書要求メッセージが証明書申請パラメータを含むように特に構成され、処理ユニット802は、証明書申請パラメータに基づいて端末デバイスのための証明書を構成する前に、署名処理後に取得された証明書要求メッセージに対して署名検証を実行し、検証が成功するようにさらに構成され、通信ユニット801を使用して証明書をインターフェース適応機能エンティティに送信するとき、処理ユニット802は、通信ユニット801を使用して証明書応答メッセージをインターフェース適応機能エンティティに送信し、証明書応答メッセージが証明書を含むように特に構成される。
同じ技術概念に基づいて、本出願は端末デバイスをさらに提供する。端末デバイスは、図2に示された証明書管理アーキテクチャに適用されてもよく、図3から図7に示された証明書申請方法における端末デバイスの機能を実装してもよい。図9を参照されたい。端末デバイスは、トランシーバ901と、プロセッサ902と、メモリ903とを含む。トランシーバ901、プロセッサ902、およびメモリ903は互いに接続される。
任意選択で、トランシーバ901、プロセッサ902、およびメモリ903は、バス904を通して互いに接続される。バス904は、ペリフェラルコンポーネントインターコネクト(peripheral component interconnect、PCI)バスまたは拡張業界標準アーキテクチャ(extended industry standard architecture、EISA)バスなどであってもよい。バスは、アドレスバス、データバス、コントロールバスなどに分類されてもよい。表現を容易にするために、図9ではバスを表すために1本の太線のみが使用されているが、これは、1つのバスしかまたは1つのタイプのバスしかないことを意味しない。
トランシーバ901は、別のデバイスとの通信対話を実施するために、データを受信および送信するように構成される。例えば、トランシーバ901は、モバイル通信モジュールおよび/または無線通信モジュールを使用して実装されてもよい。
プロセッサ902は、トランシーバ901を使用して証明書申請パラメータをインターフェース適応機能エンティティに送信し、トランシーバ901を使用してインターフェース適応機能エンティティから証明書を受信するように構成され、証明書は端末デバイス900のターゲット証明書管理機能エンティティによって構成される。
任意選択で、プロセッサ902は、トランシーバ901を使用して証明書申請パラメータをインターフェース適応機能エンティティに送信した後で、トランシーバ901を使用してインターフェース適応機能エンティティから証明書を受信する前に、トランシーバ901を使用してインターフェース適応機能エンティティから証明書要求メッセージを受信し、証明書要求メッセージは証明書申請パラメータを含み、証明書要求メッセージに対して署名処理を実行し、インターフェース適応機能エンティティが、署名処理後に取得された証明書要求メッセージをターゲット証明書管理機能エンティティに転送するように、トランシーバ901を使用して、署名処理後に取得された証明書要求メッセージをインターフェース適応機能エンティティに送信するようにさらに構成され、通信ユニットを使用してインターフェース適応機能エンティティから証明書を受信するとき、プロセッサ902は、トランシーバ901を使用してインターフェース適応機能エンティティから証明書応答メッセージを受信し、証明書応答メッセージがターゲット証明書管理機能エンティティからインターフェース適応機能エンティティによって受信され、証明書応答メッセージが証明書を含むように特に構成される。
任意選択で、プロセッサ902は、トランシーバ901を使用してインターフェース適応機能エンティティから証明書を受信する前に、トランシーバ901を使用してターゲット証明書管理機能エンティティに関する情報をインターフェース適応機能エンティティに送信するようにさらに構成される。
任意選択で、プロセッサ902は、トランシーバ901を使用してターゲット証明書管理機能エンティティに関する情報をインターフェース適応機能エンティティに送信した後に、トランシーバ901を使用してインターフェース適応機能エンティティから通知メッセージを受信するようにさらに構成され、通知メッセージは、ターゲット証明書管理機能エンティティと対話するためのターゲットインターフェースがインターフェース適応機能エンティティに設定されていることを端末デバイスに通知するために使用される。
任意選択で、通知メッセージは、ターゲット証明書管理機能エンティティのルート証明書を含み、プロセッサ902は、トランシーバ901を使用してインターフェース適応機能エンティティから証明書応答メッセージを受信した後、ターゲット証明書管理機能エンティティのルート証明書に基づいて証明書応答メッセージに含まれる証明書を検証するようにさらに構成される。
任意選択で、プロセッサ902は、トランシーバ901を使用してターゲット証明書管理機能エンティティに関する情報をインターフェース適応機能エンティティに送信する前に、トランシーバ901を使用して少なくとも1つの証明書管理機能エンティティに関する情報をインターフェース適応機能エンティティから受信し、少なくとも1つの証明書管理機能エンティティに関する情報はターゲット証明書管理機能エンティティに関する情報を含み、少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースはインターフェース適応機能エンティティに設定され、少なくとも1つの証明書管理機能エンティティからターゲット証明書管理機能エンティティを選択するようにさらに構成される。
メモリ903は、プログラム命令およびデータなどを記憶するように構成される。具体的には、プログラム命令はプログラムコードを含んでもよく、プログラムコードはコンピュータ動作命令を含む。メモリ903は、ランダムアクセスメモリ(random access memory、RAM)を含む場合があるか、または、少なくとも1つの磁気ディスクメモリなどの不揮発性メモリ(non-volatile memory)を含む場合がある。プロセッサ902は、メモリ903に記憶されたプログラム命令を実行するとともに、メモリ903に記憶されたデータを使用することによって前述の機能を実装し、それにより、前述の実施形態で提供された証明書管理方法を実施する。
同じ技術概念に基づいて、本出願は通信デバイスをさらに提供する。通信デバイスは、図2に示された証明書管理アーキテクチャに適用されてもよく、図3から図7に示された証明書申請方法におけるインターフェース適応機能エンティティまたは証明書管理機能エンティティの機能を実装してもよい。図10を参照されたい。通信デバイスは、通信モジュール1001と、プロセッサ1002と、メモリ1003とを含む。トランシーバ1001、プロセッサ1002、およびメモリ1003は互いに接続される。
任意選択で、通信モジュール1001、プロセッサ1002、およびメモリ1003は、バス1004を通して互いに接続される。バス1004は、ペリフェラルコンポーネントインターコネクト(peripheral component interconnect、PCI)バスまたは拡張業界標準アーキテクチャ(extended industry standard architecture、EISA)バスなどであってもよい。バスは、アドレスバス、データバス、コントロールバスなどに分類されてもよい。表現を容易にするために、図10ではバスを表すために1本の太線のみが使用されているが、これは、1つのバスしかまたは1つのタイプのバスしかないことを意味しない。
通信モジュール1001は、別のデバイスとの通信対話を実施するために、データを受信および送信するように構成される。例えば、通信モジュール1001は、物理インターフェースを通して実装されてもよい。
一実装形態では、通信デバイス1000は、インターフェース適応機能エンティティに適用され、プロセッサ1002は、通信モジュール1001を使用して端末デバイスから証明書申請パラメータを受信し、端末デバイスのための証明書を構成するターゲット証明書管理機能エンティティを決定し、ターゲット証明書管理機能エンティティが証明書申請パラメータに基づいて端末デバイスのための証明書を構成するように、通信モジュール1001を使用してターゲット証明書管理機能エンティティに証明書申請パラメータを送信し、通信モジュール1001を使用してターゲット証明書管理機能エンティティから証明書を受信し、通信モジュール1001を使用して証明書を端末デバイスに送信するように特に構成される。
任意選択で、ターゲット証明書管理機能エンティティと対話するためのターゲットインターフェースが、インターフェース適応機能エンティティに設定され、通信モジュール1001を使用してターゲット証明書管理機能エンティティに証明書申請パラメータを送信すると、プロセッサ1002は、通信モジュール1001およびターゲットインターフェースを使用して証明書申請パラメータをターゲット証明書管理機能エンティティに送信するように特に構成され、通信モジュール1001を使用してターゲット証明書管理機能エンティティから証明書を受信すると、プロセッサ1002は、通信モジュール1001およびターゲットインターフェースを使用してターゲット証明書管理機能エンティティから証明書を受信するように特に構成される。
任意選択で、通信モジュール1001およびターゲットインターフェースを使用してターゲット証明書管理機能エンティティに証明書申請パラメータを送信するとき、プロセッサ1002は、ターゲットインターフェースに基づいて証明書申請パラメータを含む証明書要求メッセージを生成し、通信モジュール1001を使用して証明書要求メッセージを端末デバイスに送信し、通信モジュール1001を使用して端末デバイスから署名処理後に取得された証明書要求メッセージを受信し、通信モジュール1001およびターゲットインターフェースを使用してターゲット証明書管理機能エンティティに署名処理後に取得された証明書要求メッセージを送信するように特に構成され、通信モジュール1001を使用してターゲット証明書管理機能エンティティから証明書を受信するとき、プロセッサ1002は、通信モジュール1001を使用してターゲット証明書管理機能エンティティから証明書応答メッセージを受信し、証明書応答メッセージは端末デバイスのためにターゲット証明書管理機能エンティティによって構成された証明書を含むように特に構成され、通信モジュール1001を使用して証明書を端末デバイスに送信するとき、プロセッサ1002は通信モジュール1001を使用して証明書応答メッセージを端末デバイスに送信するように特に構成される。
任意選択で、端末デバイスのために証明書を構成するターゲット証明書管理機能エンティティを決定するとき、プロセッサ1002は、通信モジュール1001を使用して端末デバイスからターゲット証明書管理機能エンティティに関する情報を受信し、ターゲット証明書管理機能エンティティに関する情報に基づいてターゲット証明書管理機能エンティティを決定するか、または端末デバイスの識別子を決定し、端末デバイスの識別子と証明書管理機能エンティティに関する情報の間のローカルに記憶された対応関係に基づいて、端末デバイスの識別子に対応するターゲット証明書管理機能エンティティに関する情報を決定し、ターゲット証明書管理機能エンティティに関する情報に基づいてターゲット証明書管理機能エンティティを決定するように特に構成される。
任意選択で、プロセッサ1002は、通信モジュール1001を使用して端末デバイスからターゲット証明書管理機能エンティティに関する情報を受信した後、ターゲット証明書管理機能エンティティと対話するためのローカルに設定されたターゲットインターフェースがあると決定し、通信モジュール1001を使用して端末デバイスに通知メッセージを送信するようにさらに構成され、通知メッセージは、ターゲット証明書管理機能エンティティと対話するためのターゲットインターフェースがインターフェース適応機能エンティティに設定されていることを端末デバイスに通知するために使用される。
任意選択で、通知メッセージは、ターゲット証明書管理機能エンティティのルート証明書を含む。
任意選択で、プロセッサ1002は、通信モジュール1001を使用してターゲット証明書管理機能エンティティに関する情報を端末デバイスから受信する前に、通信モジュール1001を使用して少なくとも1つの証明書管理機能エンティティに関する情報を端末デバイスに送信するようにさらに構成され、少なくとも1つの証明書管理機能エンティティはターゲット証明書管理機能エンティティを含み、少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースがインターフェース適応機能エンティティに設定される。
別の実装形態では、通信デバイス1000は証明書管理機能エンティティに適用され、プロセッサ1002は、通信モジュール1001を使用して、インターフェース適応機能エンティティから端末デバイスの証明書申請パラメータを受信し、証明書申請パラメータに基づいて端末デバイスのための証明書を構成し、通信モジュール1001を使用してインターフェース適応機能エンティティに証明書を送信するように特に構成される。
任意選択で、通信モジュール1001を使用してインターフェース適応機能エンティティから端末デバイスの証明書申請パラメータを受信するとき、プロセッサ1002は、通信モジュール1001を使用してインターフェース適応機能エンティティから、端末デバイスが署名処理を実行する証明書要求メッセージを受信し、証明書要求メッセージが証明書申請パラメータを含むように特に構成され、プロセッサ1002は、証明書申請パラメータに基づいて端末デバイスのための証明書を構成する前に、署名処理後に取得された証明書要求メッセージに対して署名検証を実行し、検証が成功するようにさらに構成され、通信モジュール1001を使用して証明書をインターフェース適応機能エンティティに送信するとき、プロセッサ1002は、通信モジュール1001を使用して証明書応答メッセージをインターフェース適応機能エンティティに送信し、証明書応答メッセージが証明書を含むように特に構成される。
メモリ1003は、プログラム命令およびデータなどを記憶するように構成される。具体的には、プログラム命令はプログラムコードを含んでもよく、プログラムコードはコンピュータ動作命令を含む。メモリ1003は、ランダムアクセスメモリ(random access memory、RAM)を含む場合があるか、または、少なくとも1つの磁気ディスクメモリなどの不揮発性メモリ(non-volatile memory)を含む場合がある。プロセッサ1002は、メモリ1003に記憶されたプログラム命令を実行するとともに、メモリ1003に記憶されたデータを使用することによって前述の機能を実装し、それにより、前述の実施形態で提供された証明書管理方法を実施する。
本出願の図9および図10におけるメモリは、揮発性メモリもしくは不揮発性メモリであり得るか、または揮発性メモリと不揮発性メモリの両方を含み得ることが理解されよう。不揮発性メモリは、読み出し専用メモリ(Read-Only Memory、ROM)、プログラマブル読み出し専用メモリ(Programmable ROM、PROM)、消去可能プログラマブル読み出し専用メモリ(Erasable PROM、EPROM)、電気的消去可能プログラマブル読み出し専用メモリ(Electrically EPROM、EEPROM)、またはフラッシュメモリであり得る。揮発性メモリは、外部キャッシュとして使用されるランダムアクセスメモリ(Random Access Memory、RAM)であってもよい。限定ではなく例として、多くの形態のRAM、例えば、スタティックランダムアクセスメモリ(Static RAM、SRAM)、ダイナミックランダムアクセスメモリ(Dynamic RAM、DRAM)、同期式ダイナミックランダムアクセスメモリ(Synchronous DRAM、SDRAM)、ダブルデータレート同期式ダイナミックランダムアクセスメモリ(Double Data Rate SDRAM、DDR SDRAM)、拡張同期式ダイナミックランダムアクセスメモリ(Enhanced SDRAM、ESDRAM)、シンクリンクダイナミックランダムアクセスメモリ(Synchlink DRAM、SLDRAM)、およびダイレクトラムバスランダムアクセスメモリ(Direct Rambus RAM、DR RAM)が使用されてもよい。本明細書に記載のシステムおよび方法のメモリは、これらおよび別の適切なタイプの任意のメモリを含むがこれらに限定されないことに留意されたい。
前述の実施形態に基づいて、この出願の一実施形態は、コンピュータプログラムをさらに提供する。コンピュータプログラムがコンピュータ上で実行されると、コンピュータは、図3から図7に示された実施形態で提供される証明書申請方法を実行することが可能にされる。
前述の実施形態に基づいて、この出願の一実施形態はコンピュータ可読記憶媒体をさらに提供する。コンピュータ可読記憶媒体は、コンピュータプログラムを記憶する。コンピュータプログラムがコンピュータによって実行されると、コンピュータは、図3から図7に示された実施形態で提供される証明書申請方法を実行することが可能にされる。記憶媒体は、コンピュータにとってアクセス可能ないずれかの利用可能な媒体であってよい。以下は、一例を提供するが、制限を課すものではなく、コンピュータ可読媒体は、RAM、ROM、EEPROM、CD-ROM、別の光ディスク記憶装置、ディスク記憶媒体、または別の磁気記憶デバイス、またはしかるべきプログラムコードを命令もしくはデータ構造の形式で保持もしくは記憶し得、コンピュータによってアクセスされ得る任意の他の媒体を含み得る。
前述の実施形態に基づいて、本出願の一実施形態は、チップをさらに提供する。チップは、メモリに記憶されたコンピュータプログラムを読み取って、図3から図7に示された実施形態で提供される証明書申請方法を実施するように構成される。
前述の実施形態に基づいて、本出願の一実施形態は、チップシステムを提供する。チップシステムは、図3から図7に示された実施形態における端末デバイス、インターフェース適応機能エンティティ、または証明書管理機能エンティティに関連する機能を実施する際にコンピュータ装置をサポートするように構成されたプロセッサを含む。可能な設計では、チップシステムはメモリをさらに含み、メモリは、コンピュータ装置に使用されるプログラムおよびデータを記憶するように構成される。チップシステムはチップを含んでもよいし、またはチップと別の個別デバイスとを含んでもよい。
結論として、本出願は、証明書申請方法およびデバイスを提供する。解決策では、インターフェース適応機能エンティティは、端末デバイスのための証明書を構成する証明書管理機能エンティティと対話することができる。端末デバイスが証明書を申請する必要があるとき、端末デバイスは、端末デバイスの証明書申請パラメータをインターフェース適応機能エンティティに送信することができ、その結果、インターフェース適応機能エンティティは、証明書申請パラメータに基づいて端末デバイスのために証明書管理機能エンティティから証明書を申請し、証明書が正常に申請された後に証明書を端末デバイスに送信することができる。解決策では、インターフェース適応機能エンティティは、証明書管理機能エンティティの実装または展開を端末デバイスから遮蔽することができ、その結果、端末デバイスは上位層で証明書管理機能エンティティを認識しない可能性がある。したがって、端末デバイスは、証明書管理機能エンティティと対話するためのインターフェースをローカルに設定する必要はない。この方法は、端末デバイスが異なる証明書管理機能エンティティと対話できることを確保することに基づいて、証明書管理機能エンティティと対話するための端末デバイス内のインターフェースの数を減らすことができる。
当業者は、本出願の実施形態が、方法、システム、またはコンピュータプログラム製品として提供されてもよいことを理解するべきである。したがって、本出願は、ハードウェアのみの実施形態、ソフトウェアのみの実施形態、またはソフトウェアとハードウェアの組み合わせを伴う実施形態の形態を使用することができる。加えて、本出願は、コンピュータ使用可能プログラムコードを含む(ディスクメモリ、CD-ROM、光メモリなどを含むが、それらに限定されない)1つまたは複数のコンピュータ使用可能記憶媒体上に実装されたコンピュータプログラム製品の形態を使用することができる。
本出願は、本出願による方法、デバイス(システム)、およびコンピュータプログラム製品のフローチャートおよび/またはブロック図を参照して記載されている。コンピュータプログラム命令は、フローチャートおよび/またはブロック図における各手順および/または各ブロック、ならびにフローチャートおよび/またはブロック図における手順および/またはブロックの組み合わせを実施するために使用され得ることを理解されたい。これらのコンピュータプログラム命令は、機械を生成するために、汎用コンピュータ、専用コンピュータ、組込み型プロセッサ、または別のプログラマブルデータ処理デバイスのプロセッサに提供されてもよく、その結果、コンピュータまたは別のプログラマブルデータ処理デバイスのプロセッサによって実行される命令は、フローチャートの1つもしくは複数の手順内、および/またはブロック図の1つもしくは複数のブロック内の具体的な機能を実装するための装置を生成する。
これらのコンピュータプログラム命令は、代替的に、特定の方法で動作するようにコンピュータまたは別のプログラマブルデータ処理デバイスに示し得るコンピュータ可読メモリに記憶されてもよく、これにより、コンピュータ可読メモリに記憶された命令は、命令装置を含む人工物を生成する。命令装置は、フローチャートの1つまたは複数の手順の、および/またはブロック図の1つまたは複数のブロックの、特定の機能を実施する。
これらのコンピュータプログラム命令は、代替的に、一連の動作およびステップがコンピュータまたは別のプログラマブルデバイス上で実行されるようにコンピュータまたは別のプログラマブルデータ処理デバイスにロードされてもよく、これにより、コンピュータ実施処理が生成される。したがって、コンピュータまたは別のプログラマブルデバイス上で実行される命令は、フローチャート内の1つもしくは複数の手順および/またはブロック図内の1つもしくは複数のブロックにおける特定の機能を実施するためのステップを提供する。
当業者が、本出願の趣旨および範囲から逸脱することなく、本出願に対して様々な修正および変形を行うことができることは明らかである。本出願は、本出願の特許請求の範囲およびその均等な技術によって定義される保護の範囲内にある限り、本出願のこれらの修正および変形を包含することが意図されている。
160 無線通信モジュール
800 通信装置
801 通信ユニット
802 処理ユニット
900 端末デバイス
901 トランシーバ
902 プロセッサ
903 メモリ
904 バス
1000 通信デバイス
1001 通信モジュール
1002 プロセッサ
1003 メモリ
1004 バス

Claims (30)

  1. 証明書申請方法であって、
    端末デバイスによって、証明書申請パラメータをインターフェース適応機能エンティティに送信するステップと、
    前記端末デバイスによって、前記インターフェース適応機能エンティティから証明書を受信するステップであって、前記証明書が前記端末デバイスのターゲット証明書管理機能エンティティによって構成される、ステップと
    を含む証明書申請方法。
  2. 端末デバイスによって、証明書申請パラメータをインターフェース適応機能エンティティに送信する前記ステップの後、および前記端末デバイスによって、前記インターフェース適応機能エンティティから証明書を受信する前記ステップの前に、前記方法が、
    前記端末デバイスによって、前記インターフェース適応機能エンティティから証明書要求メッセージを受信するステップであって、前記証明書要求メッセージが前記証明書申請パラメータを含む、ステップと、
    前記端末デバイスによって、前記証明書要求メッセージに対して署名処理を実行するステップと、
    前記端末デバイスによって、署名処理後に取得された前記証明書要求メッセージを前記インターフェース適応機能エンティティに送信するステップであって、その結果、前記インターフェース適応機能エンティティが、署名処理後に取得された前記証明書要求メッセージを前記ターゲット証明書管理機能エンティティに転送する、ステップと
    をさらに含み、
    前記端末デバイスによって、前記インターフェース適応機能エンティティから証明書を受信する前記ステップが、
    前記端末デバイスによって、前記インターフェース適応機能エンティティから証明書応答メッセージを受信するステップであって、前記証明書応答メッセージが、前記ターゲット証明書管理機能エンティティから前記インターフェース適応機能エンティティによって受信され、前記証明書応答メッセージが前記証明書を含む、ステップ
    を含む、請求項1に記載の方法。
  3. 前記端末デバイスによって、前記インターフェース適応機能エンティティから証明書を受信する前記ステップの前に、前記方法が、
    前記端末デバイスによって、前記ターゲット証明書管理機能エンティティに関する情報を前記インターフェース適応機能エンティティに送信するステップ
    をさらに含む、請求項1または2に記載の方法。
  4. 前記端末デバイスによって、前記ターゲット証明書管理機能エンティティに関する情報を前記インターフェース適応機能エンティティに送信する前記ステップの後に、前記方法が、
    前記端末デバイスによって、前記インターフェース適応機能エンティティからの通知メッセージを受信するステップであって、前記通知メッセージは、前記ターゲット証明書管理機能エンティティと対話するためのターゲットインターフェースが前記インターフェース適応機能エンティティに設定されていることを前記端末デバイスに通知するために使用される、ステップ
    をさらに含む、請求項3に記載の方法。
  5. 前記通知メッセージが、前記ターゲット証明書管理機能エンティティのルート証明書を含み、
    前記端末デバイスによって、前記インターフェース適応機能エンティティから証明書応答メッセージを受信する前記ステップの後に、前記方法が、
    前記端末デバイスによって、前記ターゲット証明書管理機能エンティティの前記ルート証明書に基づいて、前記証明書応答メッセージに含まれる前記証明書を検証するステップ
    をさらに含む、請求項4に記載の方法。
  6. 前記端末デバイスによって、前記ターゲット証明書管理機能エンティティに関する情報を前記インターフェース適応機能エンティティに送信する前記ステップの前に、前記方法が、
    前記端末デバイスによって、前記インターフェース適応機能エンティティから少なくとも1つの証明書管理機能エンティティに関する情報を受信するステップであって、前記少なくとも1つの証明書管理機能エンティティに関する前記情報が、前記ターゲット証明書管理機能エンティティに関する前記情報を含み、前記少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースが、前記インターフェース適応機能エンティティに設定される、ステップと、
    前記端末デバイスによって、前記少なくとも1つの証明書管理機能エンティティから前記ターゲット証明書管理機能エンティティを選択するステップと
    をさらに含む、請求項3に記載の方法。
  7. 証明書申請方法であって、
    インターフェース適応機能エンティティによって、端末デバイスから証明書申請パラメータを受信するステップと、
    前記インターフェース適応機能エンティティによって、前記端末デバイスのための証明書を構成するターゲット証明書管理機能エンティティを決定するステップと、
    前記インターフェース適応機能エンティティによって、前記ターゲット証明書管理機能エンティティに前記証明書申請パラメータを送信するステップであって、その結果、前記ターゲット証明書管理機能エンティティが、前記証明書申請パラメータに基づいて前記端末デバイスのための前記証明書を構成する、ステップと、
    前記インターフェース適応機能エンティティによって、前記ターゲット証明書管理機能エンティティから前記証明書を受信するステップ、および前記証明書を前記端末デバイスに送信するステップと
    を含む証明書申請方法。
  8. 前記ターゲット証明書管理機能エンティティと対話するためのターゲットインターフェースが、前記インターフェース適応機能エンティティに設定され、
    前記インターフェース適応機能エンティティによって、前記証明書申請パラメータを前記ターゲット証明書管理機能エンティティに送信する前記ステップが、
    前記インターフェース適応機能エンティティによって、前記ターゲットインターフェースを通して前記ターゲット証明書管理機能エンティティに前記証明書申請パラメータを送信するステップ
    を含み、
    前記インターフェース適応機能エンティティによって、前記ターゲット証明書管理機能エンティティから前記証明書を受信する前記ステップが、
    前記インターフェース適応機能エンティティによって、前記ターゲットインターフェースを通して前記ターゲット証明書管理機能エンティティから前記証明書を受信するステップ
    を含む、請求項7に記載の方法。
  9. 前記インターフェース適応機能エンティティによって、前記ターゲットインターフェースを通して前記ターゲット証明書管理機能エンティティに前記証明書申請パラメータを送信する前記ステップは、
    前記ターゲットインターフェースに基づいて前記インターフェース適応機能エンティティによって、前記証明書申請パラメータを含む証明書要求メッセージを生成するステップ、および前記証明書要求メッセージを前記端末デバイスに送信するステップと、
    前記インターフェース適応機能エンティティによって、前記端末デバイスから署名処理後に取得された前記証明書要求メッセージを受信するステップ、および前記ターゲットインターフェースを通して前記ターゲット証明書管理機能エンティティに署名処理後に取得された前記証明書要求メッセージを送信するステップと
    を含み、
    前記インターフェース適応機能エンティティによって、前記ターゲット証明書管理機能エンティティから前記証明書を受信する前記ステップが、
    前記インターフェース適応機能エンティティによって、前記ターゲット証明書管理機能エンティティから証明書応答メッセージを受信するステップであって、前記証明書応答メッセージが、前記端末デバイスのために前記ターゲット証明書管理機能エンティティによって構成された前記証明書を含む、ステップ
    を含み、
    前記インターフェース適応機能エンティティによって、前記証明書を前記端末デバイスに送信する前記ステップが、
    前記インターフェース適応機能エンティティによって、前記証明書応答メッセージを前記端末デバイスに送信するステップ
    を含む、請求項7に記載の方法。
  10. 前記インターフェース適応機能エンティティによって、前記端末デバイスのための証明書を構成するターゲット証明書管理機能エンティティを決定する前記ステップが、
    前記インターフェース適応機能エンティティによって、前記端末デバイスから前記ターゲット証明書管理機能エンティティに関する情報を受信するステップ、および前記ターゲット証明書管理機能エンティティに関する前記情報に基づいて前記ターゲット証明書管理機能エンティティを決定するステップ、または
    前記インターフェース適応機能エンティティによって、前記端末デバイスの識別子を決定するステップ、前記端末デバイスの前記識別子と証明書管理機能エンティティに関する情報の間のローカルに記憶された対応関係に基づいて、前記端末デバイスの前記識別子に対応する前記ターゲット証明書管理機能エンティティに関する情報を決定するステップ、および前記インターフェース適応機能エンティティによって、前記ターゲット証明書管理機能エンティティに関する前記情報に基づいて前記ターゲット証明書管理機能エンティティを決定するステップ
    を含む、請求項7から9のいずれか一項に記載の方法。
  11. 前記インターフェース適応機能エンティティによって、前記端末デバイスから前記ターゲット証明書管理機能エンティティに関する情報を受信する前記ステップの後に、前記方法が、
    前記インターフェース適応機能エンティティによって、前記ターゲット証明書管理機能エンティティと対話するためのローカルに設定されたターゲットインターフェースがあると決定するステップ、および前記端末デバイスに通知メッセージを送信するステップであって、前記通知メッセージは、前記ターゲット証明書管理機能エンティティと対話するための前記ターゲットインターフェースが前記インターフェース適応機能エンティティに設定されていることを前記端末デバイスに通知するために使用される、ステップ
    をさらに含む、請求項10に記載の方法。
  12. 前記通知メッセージが、前記ターゲット証明書管理機能エンティティのルート証明書を含む、請求項11に記載の方法。
  13. 前記インターフェース適応機能エンティティによって、前記端末デバイスから前記ターゲット証明書管理機能エンティティに関する情報を受信する前記ステップの前に、前記方法が、
    前記インターフェース適応機能エンティティによって、少なくとも1つの証明書管理機能エンティティに関する情報を前記端末デバイスに送信するステップであって、前記少なくとも1つの証明書管理機能エンティティが前記ターゲット証明書管理機能エンティティを含み、前記少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースが前記インターフェース適応機能エンティティに設定される、ステップ
    をさらに含む、請求項10に記載の方法。
  14. 証明書申請方法であって、
    ターゲット証明書管理機能エンティティによって、インターフェース適応機能エンティティから端末デバイスの証明書申請パラメータを受信するステップと、
    前記ターゲット証明書管理機能エンティティによって、前記証明書申請パラメータに基づいて前記端末デバイスのための証明書を構成するステップと、
    前記ターゲット証明書管理機能エンティティによって、前記証明書を前記インターフェース適応機能エンティティに送信するステップと
    を含む証明書申請方法。
  15. ターゲット証明書管理機能エンティティによって、インターフェース適応機能エンティティから端末デバイスの証明書申請パラメータを受信する前記ステップが、
    前記ターゲット証明書管理機能エンティティによって、前記インターフェース適応機能エンティティから、前記端末デバイスが署名処理を実行する証明書要求メッセージを受信するステップであって、前記証明書要求メッセージが前記証明書申請パラメータを含む、ステップ
    を含み、
    前記ターゲット証明書管理機能エンティティによって、前記証明書申請パラメータに基づいて前記端末デバイスのための証明書を構成する前記ステップの前に、前記方法が、
    前記ターゲット証明書管理機能エンティティによって、署名処理後に取得された前記証明書要求メッセージに対して署名検証を実行するステップであって、前記検証が成功する、ステップ
    をさらに含み、
    前記ターゲット証明書管理機能エンティティによって、前記証明書を前記インターフェース適応機能エンティティに送信する前記ステップが、
    前記ターゲット証明書管理機能エンティティによって、証明書応答メッセージを前記インターフェース適応機能エンティティに送信するステップであって、前記証明書応答メッセージが前記証明書を含む、ステップ
    を含む、請求項14に記載の方法。
  16. 端末デバイスであって、
    データを送受信するように構成された通信ユニットと、
    前記通信ユニットを使用して証明書申請パラメータをインターフェース適応機能エンティティに送信し、前記通信ユニットを使用して前記インターフェース適応機能エンティティから証明書を受信し、前記証明書は前記端末デバイスのためのターゲット証明書管理機能エンティティによって構成される、ように構成される、処理ユニットと
    を備える、端末デバイス。
  17. 前記処理ユニットは、
    前記通信ユニットを使用して前記証明書申請パラメータを前記インターフェース適応機能エンティティに送信した後、および前記通信ユニットを使用して前記インターフェース適応機能エンティティから前記証明書を受信する前に、前記通信ユニットを使用して前記インターフェース適応機能エンティティから証明書要求メッセージを受信し、前記証明書要求メッセージは前記証明書申請パラメータを含み、
    前記証明書要求メッセージに対して署名処理を実行し、
    前記インターフェース適応機能エンティティが、署名処理後に取得された前記証明書要求メッセージを前記ターゲット証明書管理機能エンティティに転送するように、前記通信ユニットを使用して、署名処理後に取得された前記証明書要求メッセージを前記インターフェース適応機能エンティティに送信するようにさらに構成され、
    前記通信ユニットを使用して前記インターフェース適応機能エンティティから前記証明書を受信するとき、前記処理ユニットは、
    前記通信ユニットを使用して前記インターフェース適応機能エンティティから証明書応答メッセージを受信し、前記証明書応答メッセージが、前記ターゲット証明書管理機能エンティティから前記インターフェース適応機能エンティティによって受信され、前記証明書応答メッセージが前記証明書を含む、
    ように特に構成される、請求項16に記載の端末デバイス。
  18. 前記処理ユニットは、
    前記通信ユニットを使用して前記インターフェース適応機能エンティティから前記証明書を受信する前に、前記通信ユニットを使用して前記ターゲット証明書管理機能エンティティに関する情報を前記インターフェース適応機能エンティティに送信するようにさらに構成される、請求項16または17に記載の端末デバイス。
  19. 前記処理ユニットは、
    前記通信ユニットを使用して前記ターゲット証明書管理機能エンティティに関する前記情報を前記インターフェース適応機能エンティティに送信した後に、前記通信ユニットを使用して前記インターフェース適応機能エンティティから通知メッセージを受信し、前記通知メッセージは、前記ターゲット証明書管理機能エンティティと対話するためのターゲットインターフェースが前記インターフェース適応機能エンティティに設定されていることを前記端末デバイスに通知するために使用される
    ようにさらに構成される、請求項18に記載の端末デバイス。
  20. 前記通知メッセージは、前記ターゲット証明書管理機能エンティティのルート証明書を含み、
    前記処理ユニットは、
    前記通信ユニットを使用して前記インターフェース適応機能エンティティから前記証明書応答メッセージを受信した後、前記ターゲット証明書管理機能エンティティの前記ルート証明書に基づいて前記証明書応答メッセージに含まれる前記証明書を検証する
    ようにさらに構成される、請求項19に記載の端末デバイス。
  21. 前記処理ユニットは、
    前記通信ユニットを使用して前記ターゲット証明書管理機能エンティティに関する前記情報を前記インターフェース適応機能エンティティに送信する前に、前記通信ユニットを使用して少なくとも1つの証明書管理機能エンティティに関する情報を前記インターフェース適応機能エンティティから受信し、前記少なくとも1つの証明書管理機能エンティティに関する前記情報は前記ターゲット証明書管理機能エンティティに関する前記情報を含み、前記少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースは前記インターフェース適応機能エンティティに設定され、
    前記少なくとも1つの証明書管理機能エンティティから前記ターゲット証明書管理機能エンティティを選択する
    ようにさらに構成される、請求項18に記載の端末デバイス。
  22. インターフェース適応機能エンティティであって、
    データを送受信するように構成された通信ユニットと、
    前記通信ユニットを使用して端末デバイスから証明書申請パラメータを受信し、前記端末デバイスのための証明書を構成するターゲット証明書管理機能エンティティを決定し、前記ターゲット証明書管理機能エンティティが前記証明書申請パラメータに基づいて前記端末デバイスのための前記証明書を構成するように、前記通信ユニットを使用して前記ターゲット証明書管理機能エンティティに前記証明書申請パラメータを送信し、前記通信ユニットを使用して前記ターゲット証明書管理機能エンティティから前記証明書を受信し、前記通信ユニットを使用して前記証明書を前記端末デバイスに送信するように構成される、処理ユニットと
    を備える、インターフェース適応機能エンティティ。
  23. 前記ターゲット証明書管理機能エンティティと対話するためのターゲットインターフェースが、前記インターフェース適応機能エンティティに設定され、
    前記通信ユニットを使用して前記ターゲット証明書管理機能エンティティに前記証明書申請パラメータを送信すると、前記処理ユニットは、
    前記通信ユニットおよび前記ターゲットインターフェースを使用して前記証明書申請パラメータを前記ターゲット証明書管理機能エンティティに送信するように特に構成され、
    前記通信ユニットを使用して前記ターゲット証明書管理機能エンティティから前記証明書を受信すると、前記処理ユニットは、
    前記通信ユニットおよび前記ターゲットインターフェースを使用して前記ターゲット証明書管理機能エンティティから前記証明書を受信する
    ように特に構成される、請求項22に記載のインターフェース適応機能エンティティ。
  24. 前記通信ユニットおよび前記ターゲットインターフェースを使用して前記ターゲット証明書管理機能エンティティに前記証明書申請パラメータを送信するとき、前記処理ユニットは、
    前記ターゲットインターフェースに基づいて前記証明書申請パラメータを含む証明書要求メッセージを生成し、前記通信ユニットを使用して前記証明書要求メッセージを前記端末デバイスに送信し、前記通信ユニットを使用して前記端末デバイスから署名処理後に取得された前記証明書要求メッセージを受信し、前記通信ユニットおよび前記ターゲットインターフェースを使用して前記ターゲット証明書管理機能エンティティに署名処理後に取得された前記証明書要求メッセージを送信するように特に構成され、
    前記通信ユニットを使用して前記ターゲット証明書管理機能エンティティから前記証明書を受信するとき、前記処理ユニットは、
    前記通信ユニットを使用して前記ターゲット証明書管理機能エンティティから証明書応答メッセージを受信し、前記証明書応答メッセージは前記端末デバイスのために前記ターゲット証明書管理機能エンティティによって構成された前記証明書を含む
    ように特に構成され、
    前記通信ユニットを使用して前記証明書を前記端末デバイスに送信するとき、前記処理ユニットは、
    前記通信ユニットを使用して前記証明書応答メッセージを前記端末デバイスに送信する
    ように特に構成される、請求項22に記載のインターフェース適応機能エンティティ。
  25. 前記端末デバイスのために前記証明書を構成する前記ターゲット証明書管理機能エンティティを決定するとき、前記処理ユニットは、
    前記通信ユニットを使用して前記端末デバイスから前記ターゲット証明書管理機能エンティティに関する情報を受信し、前記ターゲット証明書管理機能エンティティに関する前記情報に基づいて前記ターゲット証明書管理機能エンティティを決定するか、または
    前記端末デバイスの識別子を決定し、前記端末デバイスの前記識別子と証明書管理機能エンティティに関する情報の間のローカルに記憶された対応関係に基づいて、前記端末デバイスの前記識別子に対応する前記ターゲット証明書管理機能エンティティに関する情報を決定し、前記ターゲット証明書管理機能エンティティに関する前記情報に基づいて前記ターゲット証明書管理機能エンティティを決定する
    ように特に構成される、請求項22から24のいずれか一項に記載のインターフェース適応機能エンティティ。
  26. 前記処理ユニットは、前記通信ユニットを使用して前記端末デバイスから前記ターゲット証明書管理機能エンティティに関する前記情報を受信した後、前記ターゲット証明書管理機能エンティティと対話するためのローカルに設定されたターゲットインターフェースがあると決定し、前記通信ユニットを使用して前記端末デバイスに通知メッセージを送信し、前記通知メッセージは、前記ターゲット証明書管理機能エンティティと対話するための前記ターゲットインターフェースが前記インターフェース適応機能エンティティに設定されていることを前記端末デバイスに通知するために使用されるようにさらに構成される、請求項25に記載のインターフェース適応機能エンティティ。
  27. 前記通知メッセージが、前記ターゲット証明書管理機能エンティティのルート証明書を含む、請求項26に記載のインターフェース適応機能エンティティ。
  28. 前記処理ユニットは、
    前記通信ユニットを使用して前記ターゲット証明書管理機能エンティティに関する前記情報を前記端末デバイスから受信する前に、前記通信ユニットを使用して少なくとも1つの証明書管理機能エンティティに関する情報を前記端末デバイスに送信し、前記少なくとも1つの証明書管理機能エンティティは前記ターゲット証明書管理機能エンティティを含み、前記少なくとも1つの証明書管理機能エンティティと対話するためのインターフェースが前記インターフェース適応機能エンティティに設定される
    ようにさらに構成される、請求項25に記載のインターフェース適応機能エンティティ。
  29. 証明書管理機能エンティティであって、
    データを送受信するように構成された通信ユニットと、
    前記通信ユニットを使用してインターフェース適応機能エンティティから端末デバイスの証明書申請パラメータを受信し、前記証明書申請パラメータに基づいて前記端末デバイスの証明書を構成し、前記通信ユニットを使用して前記インターフェース適応機能エンティティに前記証明書を送信するように構成された処理ユニットと
    を含む証明書管理機能エンティティ。
  30. 前記通信ユニットを使用して前記インターフェース適応機能エンティティから前記端末デバイスの前記証明書申請パラメータを受信するとき、前記処理ユニットは、
    前記通信ユニットを使用して前記インターフェース適応機能エンティティから、前記端末デバイスが署名処理を実行する証明書要求メッセージを受信し、前記証明書要求メッセージが前記証明書申請パラメータを含む
    ように特に構成され、
    前記処理ユニットは、
    前記証明書申請パラメータに基づいて前記端末デバイスのための前記証明書を構成する前に、署名処理後に取得された前記証明書要求メッセージに対して署名検証を実行し、前記検証が成功する
    ようにさらに構成され、
    前記通信ユニットを使用して前記証明書を前記インターフェース適応機能エンティティに送信するとき、前記処理ユニットは、
    前記通信ユニットを使用して証明書応答メッセージを前記インターフェース適応機能エンティティに送信し、前記証明書応答メッセージが前記証明書を含む
    ように特に構成される、請求項29に記載の証明書管理機能エンティティ。
JP2022537783A 2019-12-18 2020-11-09 証明書申請方法およびデバイス Active JP7497438B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201911308628.7 2019-12-18
CN201911308628.7A CN112994873B (zh) 2019-12-18 2019-12-18 一种证书申请方法及设备
PCT/CN2020/127562 WO2021120924A1 (zh) 2019-12-18 2020-11-09 一种证书申请方法及设备

Publications (2)

Publication Number Publication Date
JP2023506661A true JP2023506661A (ja) 2023-02-17
JP7497438B2 JP7497438B2 (ja) 2024-06-10

Family

ID=76343825

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022537783A Active JP7497438B2 (ja) 2019-12-18 2020-11-09 証明書申請方法およびデバイス

Country Status (5)

Country Link
US (1) US20220311625A1 (ja)
EP (1) EP4068675A4 (ja)
JP (1) JP7497438B2 (ja)
CN (3) CN116405193A (ja)
WO (1) WO2021120924A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114449521B (zh) * 2021-12-29 2024-01-02 华为技术有限公司 通信方法及通信装置
US12041184B2 (en) * 2022-03-14 2024-07-16 Motorola Solutions, Inc. Device and method for issuing a limited-use electronic certificate
CN115190450B (zh) * 2022-06-28 2023-11-28 中汽数据(天津)有限公司 基于v2x证书建立tls通道的车联网通信方法和系统
CN115694891B (zh) * 2022-09-23 2024-05-14 智己汽车科技有限公司 一种基于中央计算平台的路侧设备通信系统及方法
CN118250057A (zh) * 2024-03-28 2024-06-25 重庆赛力斯凤凰智创科技有限公司 一种证书生成方法、系统、设备及介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH096236A (ja) * 1995-06-26 1997-01-10 Nippon Telegr & Teleph Corp <Ntt> 公開鍵暗号の鍵生成・証明書発行方法及びそのシステム
JP2001320356A (ja) * 2000-02-29 2001-11-16 Sony Corp 公開鍵系暗号を使用したデータ通信システムおよびデータ通信システム構築方法
JP2002014613A (ja) * 2000-06-28 2002-01-18 Baltimore Technologies Japan Co Ltd 証明書発行システム、証明書発行方法及び記録媒体
JP2005157858A (ja) * 2003-11-27 2005-06-16 Canon Inc ネットワークシステムおよびネットワークデバイスおよび電子証明処理方法およびコンピュータが読み取り可能なプログラムを格納した記憶媒体およびプログラム
JP2012065207A (ja) * 2010-09-16 2012-03-29 Ricoh Co Ltd 通信装置及び管理システム
JP2012100188A (ja) * 2010-11-05 2012-05-24 Tokai Rika Co Ltd 認証システム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7613915B2 (en) * 2006-11-09 2009-11-03 BroadOn Communications Corp Method for programming on-chip non-volatile memory in a secure processor, and a device so programmed
US8255685B2 (en) * 2009-03-17 2012-08-28 Research In Motion Limited System and method for validating certificate issuance notification messages
US8966247B2 (en) * 2012-07-03 2015-02-24 International Business Machines Corporation Managing security certificates of storage devices
CN102905260B (zh) * 2012-09-18 2015-04-01 北京天威诚信电子商务服务有限公司 移动终端的数据传输的安全与认证系统
WO2016011588A1 (zh) * 2014-07-21 2016-01-28 宇龙计算机通信科技(深圳)有限公司 移动管理实体、归属服务器、终端、身份认证系统和方法
KR20160038091A (ko) * 2014-09-24 2016-04-07 현대자동차주식회사 V2x 통신을 위한 csr 인증서 발급 방법 및 시스템
US9602290B2 (en) * 2014-10-16 2017-03-21 Infineon Technologies Ag System and method for vehicle messaging using a public key infrastructure
EP3291504B1 (en) * 2016-08-30 2020-03-11 Wacom Co., Ltd. Authentication and secure transmission of data between signature devices and host computers using transport layer security
CN107135081A (zh) * 2017-05-13 2017-09-05 深圳市欧乐在线技术发展有限公司 一种双证书ca系统及其实现方法
CN107612697B (zh) * 2017-10-20 2020-04-14 阿里巴巴集团控股有限公司 数字证书申请方法和装置
CN108848496B (zh) * 2018-06-12 2021-11-09 中国联合网络通信集团有限公司 基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH096236A (ja) * 1995-06-26 1997-01-10 Nippon Telegr & Teleph Corp <Ntt> 公開鍵暗号の鍵生成・証明書発行方法及びそのシステム
JP2001320356A (ja) * 2000-02-29 2001-11-16 Sony Corp 公開鍵系暗号を使用したデータ通信システムおよびデータ通信システム構築方法
JP2002014613A (ja) * 2000-06-28 2002-01-18 Baltimore Technologies Japan Co Ltd 証明書発行システム、証明書発行方法及び記録媒体
JP2005157858A (ja) * 2003-11-27 2005-06-16 Canon Inc ネットワークシステムおよびネットワークデバイスおよび電子証明処理方法およびコンピュータが読み取り可能なプログラムを格納した記憶媒体およびプログラム
JP2012065207A (ja) * 2010-09-16 2012-03-29 Ricoh Co Ltd 通信装置及び管理システム
JP2012100188A (ja) * 2010-11-05 2012-05-24 Tokai Rika Co Ltd 認証システム

Also Published As

Publication number Publication date
EP4068675A1 (en) 2022-10-05
WO2021120924A1 (zh) 2021-06-24
CN116405192A (zh) 2023-07-07
US20220311625A1 (en) 2022-09-29
CN116405193A (zh) 2023-07-07
EP4068675A4 (en) 2023-01-18
CN112994873A (zh) 2021-06-18
CN112994873B (zh) 2023-03-24
JP7497438B2 (ja) 2024-06-10

Similar Documents

Publication Publication Date Title
JP7497438B2 (ja) 証明書申請方法およびデバイス
CN112055952B (zh) 一种车载设备升级方法及相关设备
KR101786177B1 (ko) 보안 블루투스 통신을 수행하는 방법 및 장치
EP3723399A1 (en) Identity verification method and apparatus
JP5818392B2 (ja) 無線通信装置
CA2956590C (en) Apparatus and method for sharing a hardware security module interface in a collaborative network
CN112543927B (zh) 一种设备升级方法及相关设备
WO2019041802A1 (zh) 基于服务化架构的发现方法及装置
US20140075198A1 (en) Fully authenticated content transmission from a provider to a recipient device via an intermediary device
JP2016139882A (ja) 通信装置、lsi、プログラムおよび通信システム
CN112449323B (zh) 一种通信方法、装置和系统
CN105577613A (zh) 一种密钥信息的发送和接收方法、设备及系统
CN112602290B (zh) 一种身份验证方法、装置和可读存储介质
CN113207322B (zh) 通信的方法和通信装置
WO2023279283A1 (zh) 建立车辆安全通信的方法、车辆、终端及系统
CN113079511A (zh) 车辆之间信息共享的方法、设备、车辆和存储介质
JP7187547B2 (ja) Ibcを使用した車外通信の保護
KR20190078154A (ko) 차량용 통합 인증 장치 및 방법
US10050793B2 (en) Reduction of memory requirement for cryptographic keys
CN110417722B (zh) 一种业务数据通信方法、通信设备及存储介质
KR20230041746A (ko) 블루투스 노드 페어링 방법 및 관련 장치
WO2023240587A1 (zh) 一种设备权限配置方法及装置、终端设备
CN113115309B (zh) 车联网的数据处理方法、装置、存储介质和电子设备
CN113783879A (zh) 载具控制方法、系统、载具、设备及介质
CN118473654A (zh) 基于可信执行环境的可信根实现方法及通信系统

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220728

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220728

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230718

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231018

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240415

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240507

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240529

R150 Certificate of patent or registration of utility model

Ref document number: 7497438

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150