JP6311196B2 - 証明書取得方法およびデバイス - Google Patents
証明書取得方法およびデバイス Download PDFInfo
- Publication number
- JP6311196B2 JP6311196B2 JP2017510713A JP2017510713A JP6311196B2 JP 6311196 B2 JP6311196 B2 JP 6311196B2 JP 2017510713 A JP2017510713 A JP 2017510713A JP 2017510713 A JP2017510713 A JP 2017510713A JP 6311196 B2 JP6311196 B2 JP 6311196B2
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- vnfc instance
- newly installed
- instance
- master
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title description 110
- 230000004044 response Effects 0.000 claims description 49
- OOXMVRVXLWBJKF-DUXPYHPUSA-N n-[3-[(e)-2-(5-nitrofuran-2-yl)ethenyl]-1,2,4-oxadiazol-5-yl]acetamide Chemical compound O1C(NC(=O)C)=NC(\C=C\C=2OC(=CC=2)[N+]([O-])=O)=N1 OOXMVRVXLWBJKF-DUXPYHPUSA-N 0.000 claims description 47
- 238000009434 installation Methods 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000006870 function Effects 0.000 description 75
- 230000008569 process Effects 0.000 description 26
- 238000012790 confirmation Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 18
- 238000004891 communication Methods 0.000 description 14
- 238000007726 management method Methods 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 230000001960 triggered effect Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 238000005259 measurement Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000036632 reaction speed Effects 0.000 description 4
- 238000013468 resource allocation Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000011900 installation process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Description
新規インストールされた仮想化ネットワーク機能コンポーネントVNFCインスタンスによって送信される証明書発給申請表現メッセージを受信するように構成された受信モジュールであって、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含む、受信モジュールと、
新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために、受信モジュールによって受信された証明書発給申請表現メッセージに従って認証機関に証明書要求メッセージを送信するように構成された送信モジュールであって、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、送信モジュールと、
認証機関によって発行された証明書を取得するように構成された取得モジュールであって、証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を使用することによって認証機関によって発行される、取得モジュールとを備える。
受信モジュールは、取得モジュールが認証機関によって発行された証明書を取得する前に、認証機関によって送信された証明書応答メッセージを受信するようにさらに構成され、
認証モジュールは、受信モジュールによって受信された証明書応答メッセージについて認証を実行するように構成される。
取得モジュールは、認証モジュールが、証明書応答メッセージが認証されていると決定したときに、新規インストールされたVNFCインスタンスに認証機関によって発行され、証明書応答メッセージに含まれる証明書を取得するように特に構成され、新規インストールされたVNFCインスタンスの証明書は、マスターVNFCによって送信された証明書発給申請要求メッセージがマスターVNFCインスタンスの証明書に従って認証された後に、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用され、証明書要求メッセージに含まれる公開鍵に署名することによって認証機関によって取得される。
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
マスターVNFCインスタンスによって送信された証明書要求メッセージを受信するように構成された受信モジュールであって、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、受信モジュールと、
受信モジュールによって受信されたマスターVNFCインスタンスの証明書に従って証明書要求メッセージについて認証を実行し、認証が成功したときに、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによってこれから発行されるべき証明書を取得するように構成された証明書発行モジュールと、
マスターVNFCインスタンスに、証明書発行モジュールによって発行されるこれから発行されるべき証明書を送信するように構成された送信モジュールとを備える。
マスター仮想化ネットワーク機能コンポーネントVNFCインスタンスに証明書発給申請表現メッセージを送信するように構成された送信モジュールであって、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含み、証明書発給申請表現メッセージは、証明書要求メッセージを認証機関に送信することをマスターVNFCインスタンスに要求するために使用され、証明書要求メッセージは、新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために使用され、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、送信モジュールと、
認証機関によって発行され、マスターVNFCインスタンスによって送信された証明書を受信するように構成された受信モジュールであって、証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによって認証機関によって取得される、受信モジュールとを備える。
証明書発給申請表現メッセージがマスターVNFCに送信される前に、受信モジュールによって受信された証明書発給申請情報に従って、証明書発給申請のエージェントとして使用されるマスターVNFCインスタンスへのネットワーク接続を確立するように構成された確立モジュールをさらに備え、ネットワーク接続は、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上のVNFの内側のネットワーク接続である。
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
VNFインスタンス化を用いてトリガーするか、またはVNFスケールアウトを用いてトリガーすることを含む。
新規インストールされた仮想ネットワーク機能VNFCインスタンスによって送信される証明書発給申請表現メッセージを受信するように構成された信号受信機であって、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含む、信号受信機と、
新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために、証明書発給申請表現メッセージに従って認証機関に証明書要求メッセージを送信するように構成された信号送信機であって、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、信号送信機と、
認証機関によって発行された証明書を取得するように構成されたプロセッサであって、証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を使用することによって認証機関によって発行される、プロセッサとを備える。
プロセッサは、受信された証明書応答メッセージについて認証を実行するようにさらに構成される。
プロセッサは、証明書応答メッセージが認証されたときに、新規インストールされたVNFCインスタンスに認証機関によって発行され、証明書応答メッセージに含まれる証明書を取得するように特に構成され、新規インストールされたVNFCインスタンスの証明書は、マスターVNFCによって送信された証明書発給申請要求メッセージがマスターVNFCインスタンスの証明書に従って認証された後に、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用され、証明書要求メッセージに含まれる公開鍵に署名することによって認証機関によって取得される。
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
マスターVNFCインスタンスによって送信された証明書要求メッセージを受信するように構成された信号受信機であって、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、信号受信機と、
マスターVNFCインスタンスの証明書に従って証明書要求メッセージについて認証を実行し、認証が成功したときに、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによってこれから発行されるべき証明書を取得するように構成されたプロセッサと、
これから発行されるべき証明書をマスターVNFCインスタンスに送信するように構成された信号送信機とを備える。
マスター仮想化ネットワーク機能コンポーネントVNFCインスタンスに証明書発給申請表現メッセージを送信するように構成された信号送信機であって、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含み、証明書発給申請表現メッセージは、証明書要求メッセージを認証機関に送信することをマスターVNFCインスタンスに要求するために使用され、証明書要求メッセージは、新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために使用され、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、信号送信機と、
認証機関によって発行され、マスターVNFCインスタンスによって送信された証明書を受信するように構成された信号受信機であって、証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによって認証機関によって取得される、信号受信機とを備える。
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
VNFインスタンス化を用いてトリガーするか、または
VNFスケールアウトを用いてトリガーすることを含む。
マスター仮想化ネットワーク機能コンポーネントVNFCインスタンスによって、新規インストールされたVNFCインスタンスによって送信される証明書発給申請表現メッセージを受信することであって、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含む、受信することと、
新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために、マスターVNFCインスタンスによって、証明書発給申請表現メッセージに従って認証機関に証明書要求メッセージを送信することであって、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、送信することと、
マスターVNFCインスタンスによって、認証機関によって発行された証明書を取得することであって、証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を使用することによって認証機関によって発行される、取得することとを含む。
マスターVNFCインスタンスによって、認証機関によって送信された証明書応答メッセージを受信することと、受信された証明書応答メッセージに関する認証を実行することとをさらに含む。
認証機関によって発行された証明書を取得することは、
証明書応答メッセージが認証されたときに、マスターVNFCインスタンスによって、新規インストールされたVNFCインスタンスに認証機関によって発行され、証明書応答メッセージに含まれる証明書を取得すること含み、新規インストールされたVNFCインスタンスの証明書は、マスターVNFCによって送信された証明書発給申請要求メッセージがマスターVNFCインスタンスの証明書に従って認証された後に、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用され、証明書要求メッセージに含まれる公開鍵に署名することによって認証機関によって取得される。
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
マスターVNFCによって、内部ネットワークを用いて新規インストールされたVNFCインスタンスに、認証機関によって新規インストールされたVNFCインスタンスに発行された取得済み証明書を送信することをさらに含む。
認証機関によって、マスターVNFCインスタンスによって送信された証明書要求メッセージを受信することであって、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、受信することと、
認証機関によって、マスターVNFCインスタンスの証明書に従って証明書要求メッセージについて認証を実行し、認証が成功したときに、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによってこれから発行されるべき証明書を取得することと、
認証機関によって、これから発行されるべき証明書をマスターVNFCインスタンスに送信することとを含む。
認証機関によって、マスターVNFCインスタンスの証明書を使用することによって証明書要求メッセージの署名について認証を実行することと、発行済みルートCA証明書または発行済み中間証明書を使用することによってマスターVNFCインスタンスの受信済み証明書について認証を実行することとを含む。
認証機関によって、証明書を発給申請するために使用される、証明書要求メッセージに含まれる、公開鍵を使用することによって、証明書要求メッセージに含まれるPOP情報について認証を実行することをさらに含む。
新規インストールされた仮想化ネットワーク機能コンポーネントVNFCインスタンスによって、証明書発給申請表現メッセージをマスターVNFCインスタンスに送信することであって、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含み、証明書発給申請表現メッセージは、証明書要求メッセージを認証機関に送信することをマスターVNFCインスタンスに要求するために使用され、証明書要求メッセージは、新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために使用され、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、送信することと、
新規インストールされたVNFCインスタンスによって、認証機関によって発行され、マスターVNFCインスタンスによって送信された証明書を受信することであって、証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによって認証機関によって取得される、受信することとを含む。
新規インストールされたVNFCインスタンスによって、NFVOまたはVNFMによって送信された証明書発給申請情報を受信することであって、証明書発給申請情報は、証明書発給申請のエージェントとして使用されるマスターVNFCインスタンスに関する情報を含む、受信することをさらに含む。
新規インストールされたVNFCインスタンスによって、証明書発給申請情報に従って、証明書発給申請のエージェントとして使用されるマスターVNFCインスタンスへのネットワーク接続を確立することをさらに含み、ネットワーク接続は、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上のVNFの内側のネットワーク接続である。
インストール時に、新規インストールされたVNFCインスタンスによって、ネットワーク機能仮想化インフラストラクチャNFVIによって注入される証明書発給申請情報を受信することを含む。
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
VNFインスタンス化を用いてトリガーするか、または
VNFスケールアウトを用いてトリガーすることを含む。
図1に示されているように、図1は、本発明の第1実施形態による証明書取得方法の概略フローチャートである。方法は、次のように説明され得る。本発明のこの実施形態は、新規インストールされたVNFCインスタンスに対する証明書を発給申請する必要があるエージェントVNFCインスタンスによって実行され、エージェントVNFCインスタンスはマスターVNFCインスタンスとも称される、ものとしてよいか、または新規インストールされたVNFCインスタンスに関連付けられているVNFCインスタンス内にあり、証明書をすでに取得している別のVNFコンポーネントであってよい。
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIが、新規インストールされたVNFCインスタンスをインスタンス化するときに、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で決定され得ることに留意されたい。
認証機関によって送信された証明書応答メッセージを受信することと、受信された証明書応答メッセージに関する認証を実行することとをさらに含む。
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIが、新規インストールされたVNFCインスタンスをインスタンス化するときに、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
ネットワーク機能仮想化インフラストラクチャNFVIに、認証機関によって新規インストールされたVNFCインスタンスに発行された取得済み証明書を送信し、それにより、NFVIは、新規インストールされたVNFCインスタンスに、インストールのため、認証機関によって発行された証明書を新規インストールされたVNFCインスタンスに送信する、ことをさらに含む。
図2に示されているように、図2は、本発明の第2実施形態による証明書取得方法の概略フローチャートである。方法は、次のように説明され得る。本発明のこの実施形態は、CAによって実行され得るか、または発行済み証明書を持つ別のデバイス、たとえば、RAもしくはEMSによって実行され得る。
認証機関によって、マスターVNFCインスタンスの証明書を使用することによって証明書要求メッセージの署名について認証を実行することと、発行済みルートCA証明書または発行済み中間証明書を使用することによってマスターVNFCインスタンスの受信済み証明書について認証を実行することとを含む。
証明書を発給申請するために使用される、証明書要求メッセージに含まれる、公開鍵を使用することによって、証明書要求メッセージに含まれるPOP情報について認証を実行することをさらに含む。
図3に示されているように、図3は、本発明の第3実施形態による証明書取得方法の概略フローチャートである。方法は、次のように説明され得る。本発明のこの実施形態は、新規インストールされたVNFCインスタンスによって実行される。
新規インストールされたVNFCインスタンスによって、NFVOまたはVNFMによって送信された証明書発給申請情報を受信することをさらに含む。
第1のタイプ:NFVオーケストレータNFVOが、マスターVNFCおよび新規作成されたVNFCインスタンスのロケーション情報に従って証明書発給申請ポリシー情報を決定する。
第2のタイプ:VNFMは、マスターVNFCおよび新規作成されたVNFCインスタンスのロケーション情報に従って証明書発給申請ポリシー情報を決定し、新規作成されたVNFCインスタンスのロケーション情報は、NFVOによってVNFMに送信される。
NFVOが新規VNFCインスタンスをインストールするために使用される動作命令を受信したときに、NFVOによって動作命令認証要求情報をVNFMに送信するというような特定の方式を使用することによって決定する。
VNFM(VNF Manager、VNFマネージャ)が新規VNFCインスタンスをインストールするために使用される動作命令を受信したときに、VNFMによって、動作命令認証要求情報をNFVOに送信するというような特定の方式を使用することによって決定する。
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIが、新規インストールされたVNFCインスタンスをインスタンス化するときに、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で決定され得ることに留意されたい。
新規インストールされたVNFCインスタンスのインストールがVNFインスタンス化によってトリガーされると決定すること、または
新規インストールされたVNFCインスタンスのインストールがVNFスケールアウトによってトリガーされると決定することをさらに含むことに留意されたい。
図4Aおよび図4Bに示されているように、図4Aおよび図4Bは、本発明の第4実施形態による証明書取得方法の概略フローチャートである。方法は、次のように説明され得る。
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIが、新規インストールされたVNFCインスタンスをインスタンス化するときに、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で決定され得ることに留意されたい。
本発明の第5実施形態は、証明書取得方法を提供する。本発明の第5実施形態によって提供される証明書取得方法および第4実施形態によって提供される証明書取得方法は、基本的には同じであるが、相違点もある。最大の相違点は、証明書発給申請ポリシーを決定するための方式が異なることである。
図5に示されているように、図5は、本発明の第6実施形態による証明書取得デバイスの概略構造図である。デバイスは、受信モジュール51と、送信モジュール52と、および取得モジュール53とを備える。
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
図6に示されているように、図6は、本発明の第7実施形態による証明書取得デバイスの概略構造図である。デバイスは、受信モジュール61と、証明書発行モジュール62と、送信モジュール63とを備える。
図7に示されているように、図7は、本発明の第8実施形態による証明書取得デバイスの概略構造図である。デバイスは、送信モジュール71と受信モジュール72とを備える。
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
VNFインスタンス化を用いてトリガーするか、またはVNFスケールアウトを用いてトリガーすることを含む。
図8に示されているように、図8は、本発明の第9実施形態による証明書取得デバイスの概略構造図である。デバイスは、信号受信機81と、信号送信機82と、プロセッサ83とを備え、信号受信機81、信号送信機82、およびプロセッサ83は、通信バス84を使用することによって接続される。
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
図9に示されているように、図9は、本発明の第10実施形態による証明書取得デバイスの概略構造図である。デバイスは、信号受信機91と、プロセッサ92と、信号送信機93とを備え、信号受信機91、プロセッサ92、および信号送信機93は、通信バス94を使用することによって接続される。
図10に示されているように、図10は、本発明の第10実施形態による証明書取得デバイスの概略構造図である。デバイスは、信号送信機1001と、信号受信機1002とを備え、信号送信機1001および信号受信機1002は、通信バス1003を使用することによって接続される。
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
VNFインスタンス化を用いてトリガーするか、または
VNFスケールアウトを用いてトリガーすることを含む。
52 送信モジュール
53 取得モジュール
54 認証モジュール
61 受信モジュール
62 証明書発行モジュール
63 送信モジュール
71 送信モジュール
72 受信モジュール
73 確立モジュール
81 信号受信機
82 信号送信機
83 プロセッサ
84 通信バス
91 信号受信機
92 プロセッサ
93 信号送信機
94 通信バス
1001 信号送信機
1002 信号受信機
1003 通信バス
1004 プロセッサ
Claims (15)
- 証明書取得デバイスであって、
新規インストールされた仮想化ネットワーク機能コンポーネント(VNFC)インスタンスによって送信される証明書発給申請表現メッセージを受信するように構成された受信モジュールであって、前記証明書発給申請表現メッセージは、証明書を発給申請するために前記新規インストールされたVNFCインスタンスによって使用される公開鍵を含む、受信モジュールと、
前記新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために、前記受信モジュールによって受信された前記証明書発給申請表現メッセージに従って前記認証機関に証明書要求メッセージを送信するように構成された送信モジュールであって、前記証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために前記新規インストールされたVNFCインスタンスによって使用される前記公開鍵とを含む、送信モジュールと、
前記認証機関によって発行された前記証明書を取得するように構成された取得モジュールであって、前記証明書は、証明書を発給申請するために前記新規インストールされたVNFCインスタンスによって使用される前記公開鍵を使用することによって前記認証機関によって発行される、取得モジュールと
を備えるデバイス。 - 認証モジュールをさらに備え、
前記受信モジュールは、前記取得モジュールが前記認証機関によって発行された前記証明書を取得する前に、前記認証機関によって送信された証明書応答メッセージを受信するようにさらに構成され、
前記認証モジュールは、前記受信モジュールによって受信された前記証明書応答メッセージについて認証を実行するように構成される、請求項1に記載のデバイス。 - 前記証明書応答メッセージは、前記認証機関によって発行される前記証明書を含み、
前記取得モジュールは、前記認証モジュールが、前記証明書応答メッセージが認証されていると決定したときに、前記新規インストールされたVNFCインスタンスに前記認証機関によって発行され、前記証明書応答メッセージに含まれる前記証明書を取得するように特に構成され、前記新規インストールされたVNFCインスタンスの前記証明書は、前記マスターVNFCによって送信された証明書発給申請要求メッセージが前記マスターVNFCインスタンスの前記証明書に従って認証された後に、証明書を発給申請するために前記新規インストールされたVNFCインスタンスによって使用され、前記証明書要求メッセージに含まれる前記公開鍵に署名することによって前記認証機関によって取得される、請求項2に記載のデバイス。 - 前記証明書発給申請表現メッセージおよび前記証明書要求メッセージは、秘密鍵所有証明(POP)情報をさらに含む、請求項1から3のいずれか一項に記載のデバイス。
- 前記POP情報は、秘密-公開鍵ペア中の秘密鍵を使用して秘密鍵所有証明署名鍵フィールドに署名することによって新規インストールされたVNFCインスタンスによって取得される、請求項4に記載のデバイス。
- 前記新規インストールされたVNFCインスタンスによって使用される前記秘密-公開鍵ペアは、
前記新規インストールされたVNFCインスタンスによって、前記秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャ(NFVI)によって、前記秘密-公開鍵ペアを生成し、前記秘密-公開鍵ペアを前記新規インストールされたVNFCインスタンス内に注入する
という方式で取得される、請求項1から5のいずれか一項に記載のデバイス。 - 証明書取得デバイスであって、
マスター仮想化ネットワーク機能コンポーネント(VNFC)インスタンスによって送信された証明書要求メッセージを受信するように構成された受信モジュールであって、前記証明書要求メッセージは、前記マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、受信モジュールと、
前記受信モジュールによって受信された前記マスターVNFCインスタンスの前記証明書に従って前記証明書要求メッセージについて認証を実行し、前記認証が成功したときに、証明書を発給申請するために前記新規インストールされたVNFCインスタンスによって使用される前記公開鍵に署名することによってこれから発行されるべき証明書を取得するように構成された証明書発行モジュールと、
前記マスターVNFCインスタンスに、前記証明書発行モジュールによって発行される前記これから発行されるべき証明書を送信するように構成された送信モジュールと
を備えるデバイス。 - 前記証明書発行モジュールは、前記マスターVNFCインスタンスの前記証明書を使用することによって前記証明書要求メッセージの署名について認証を実行し、発行済みルートCA証明書または発行済み中間証明書を使用することによって前記マスターVNFCインスタンスの受信済み前記証明書について認証を実行するように特に構成される、請求項7に記載のデバイス。
- 前記証明書要求メッセージは、秘密鍵所有証明(POP)情報をさらに含む、請求項7または8に記載のデバイス。
- 前記証明書発行モジュールは、証明書を発給申請するために使用される、前記証明書要求メッセージに含まれる前記公開鍵を使用することによって、前記証明書要求メッセージに含まれる前記POP情報について認証を実行するようにさらに構成される、請求項9に記載のデバイス。
- 証明書取得デバイスであって、
マスター仮想化ネットワーク機能コンポーネント(VNFC)インスタンスに証明書発給申請表現メッセージを送信するように構成された送信モジュールであって、前記証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含み、前記証明書発給申請表現メッセージは、証明書要求メッセージを認証機関に送信することを前記マスターVNFCインスタンスに要求するために使用され、前記証明書要求メッセージは、前記新規インストールされたVNFCインスタンスに証明書を発行することを前記認証機関に要求するために使用され、前記証明書要求メッセージは、前記マスターVNFCインスタンスの証明書と、証明書を発給申請するために前記新規インストールされたVNFCインスタンスによって使用される前記公開鍵とを含む、送信モジュールと、
前記認証機関によって発行され、前記マスターVNFCインスタンスによって送信された証明書を受信するように構成された受信モジュールであって、前記証明書は、証明書を発給申請するために前記新規インストールされたVNFCインスタンスによって使用される前記公開鍵に署名することによって前記認証機関によって取得される、受信モジュールと
を備えるデバイス。 - 前記受信モジュールは、前記証明書発給申請表現メッセージが前記マスターVNFCに送信される前に、NFVOまたはVNFMによって送信された証明書発給申請情報を受信するようにさらに構成され、前記証明書発給申請情報は、証明書発給申請のエージェントとして使用される前記マスターVNFCインスタンスに関する情報を含む、請求項11に記載のデバイス。
- 前記証明書発給申請表現メッセージが前記マスターVNFCに送信される前に、前記受信モジュールによって受信された前記証明書発給申請情報に従って、証明書発給申請のエージェントとして使用される前記マスターVNFCインスタンスへのネットワーク接続を確立するように構成された確立モジュールをさらに備え、前記ネットワーク接続は、同じネットワーク機能仮想化インフラストラクチャ(NFVI)プラットフォーム上のVNFの内側のネットワーク接続である、請求項12に記載のデバイス。
- 前記受信モジュールは、インストール時に、ネットワーク機能仮想化インフラストラクチャ(NFVI)によって注入される前記証明書発給申請情報を受信するように特に構成される、請求項12または13に記載のデバイス。
- 証明書発給申請のエージェントとして使用される前記マスターVNFCに関する前記情報は、インターネットプロトコル(IP)アドレス、媒体アクセス制御(MAC)識別子、および前記マスターVNFCインスタンスのアドレスである仮想ネットワーク情報センター(NIC)アドレスを含む、請求項12から14のいずれか一項に記載のデバイス。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2014/077074 WO2015168913A1 (zh) | 2014-05-08 | 2014-05-08 | 一种证书获取方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017521971A JP2017521971A (ja) | 2017-08-03 |
JP6311196B2 true JP6311196B2 (ja) | 2018-04-18 |
Family
ID=54391999
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017510713A Active JP6311196B2 (ja) | 2014-05-08 | 2014-05-08 | 証明書取得方法およびデバイス |
Country Status (7)
Country | Link |
---|---|
US (1) | US10367647B2 (ja) |
EP (1) | EP3133768B1 (ja) |
JP (1) | JP6311196B2 (ja) |
CN (1) | CN105264818B (ja) |
BR (1) | BR112016026037B1 (ja) |
RU (1) | RU2646317C1 (ja) |
WO (1) | WO2015168913A1 (ja) |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10491594B2 (en) * | 2014-08-22 | 2019-11-26 | Nokia Technologies Oy | Security and trust framework for virtualized networks |
CN104580208B (zh) | 2015-01-04 | 2018-11-30 | 华为技术有限公司 | 一种身份认证方法及装置 |
US9578008B2 (en) * | 2015-05-11 | 2017-02-21 | Intel Corporation | Technologies for secure bootstrapping of virtual network functions |
WO2017066931A1 (zh) | 2015-10-21 | 2017-04-27 | 华为技术有限公司 | 网络功能虚拟化架构中证书的管理方法及装置 |
CN107135192B (zh) * | 2016-02-26 | 2020-04-21 | 中国移动通信集团公司 | 部署vnf的资源授权方法、vnfm和nfvo |
WO2017175073A1 (en) | 2016-04-05 | 2017-10-12 | Vchain Technology Limited | Method and system for managing personal information within independent computer systems and digital networks |
WO2017197560A1 (en) | 2016-05-16 | 2017-11-23 | Nokia Technologies Oy | Virtualized network security |
CN106302394B (zh) * | 2016-07-26 | 2019-08-30 | 京信通信系统(中国)有限公司 | 安全通道建立方法和系统 |
WO2018040095A1 (zh) * | 2016-09-05 | 2018-03-08 | 华为技术有限公司 | 一种生成安全凭证的方法和设备 |
EP3510722B1 (en) * | 2016-09-08 | 2021-07-21 | Nec Corporation | Network function virtualization system and verifying method |
US10318723B1 (en) * | 2016-11-29 | 2019-06-11 | Sprint Communications Company L.P. | Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications |
CN110121857B (zh) * | 2016-12-30 | 2021-02-09 | 华为技术有限公司 | 一种凭据分发的方法和设备 |
US10298553B2 (en) | 2017-03-31 | 2019-05-21 | Sprint Communications Company L.P. | Hardware trusted data communications over system-on-chip (SOC) architectures |
CN109286494B (zh) * | 2017-07-20 | 2020-10-23 | 华为技术有限公司 | 一种虚拟网络功能vnf的初始化凭据生成方法及设备 |
CN107302544B (zh) * | 2017-08-15 | 2019-09-13 | 迈普通信技术股份有限公司 | 证书申请方法、无线接入控制设备及无线接入点设备 |
CN109756356B (zh) * | 2017-11-07 | 2021-09-21 | 华为技术有限公司 | 设备升级方法及装置 |
CN109905252B (zh) * | 2017-12-07 | 2022-06-07 | 华为技术有限公司 | 建立虚拟网络功能实例的方法和装置 |
US10728243B2 (en) * | 2018-01-17 | 2020-07-28 | Vmware, Inc. | Automating establishment of initial mutual trust during deployment of a virtual appliance in a managed virtual data center environment |
US10764160B1 (en) | 2018-04-24 | 2020-09-01 | Amdocs Development Limited | System, method, and computer program for utilizing an open and global/private blockchain system for virtual network function (VNF) certification and consumption processes |
ES2899236T3 (es) | 2018-05-15 | 2022-03-10 | Ericsson Telefon Ab L M | Optimización de la señalización en análisis del 3GPP |
US11218329B2 (en) | 2019-02-20 | 2022-01-04 | Arris Enterprises Llc | Certificate generation with fallback certificates |
CN111010410B (zh) * | 2020-03-09 | 2020-06-16 | 南京红阵网络安全技术研究院有限公司 | 一种基于证书身份认证的拟态防御系统及证书签发方法 |
CN113765668A (zh) * | 2020-06-03 | 2021-12-07 | 广州汽车集团股份有限公司 | 一种车辆数字证书在线安装方法及车辆数字证书管理装置 |
WO2022003953A1 (ja) | 2020-07-03 | 2022-01-06 | 日本電信電話株式会社 | ネットワーク仮想化システム、仮想リソース管理装置、仮想リソース管理方法およびプログラム |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
NO313480B1 (no) * | 2001-01-24 | 2002-10-07 | Telenor Asa | Fremgangsmåte for å åpne hele eller deler av et smartkort |
JP2005086445A (ja) * | 2003-09-08 | 2005-03-31 | Nooza:Kk | ネットワーク構築方法、ネットワーク構築装置、およびネットワーク構築プログラム |
JP2005149337A (ja) * | 2003-11-19 | 2005-06-09 | Nippon Telegr & Teleph Corp <Ntt> | ゲートウエイ装置 |
CN1961526A (zh) * | 2004-05-28 | 2007-05-09 | 松下电器产业株式会社 | 母子卡认证系统 |
JP2006246272A (ja) * | 2005-03-07 | 2006-09-14 | Fuji Xerox Co Ltd | 証明書取得システム |
US8281387B2 (en) * | 2006-06-30 | 2012-10-02 | Intel Corporation | Method and apparatus for supporting a virtual private network architecture on a partitioned platform |
CN100454876C (zh) * | 2007-02-06 | 2009-01-21 | 西安西电捷通无线网络通信有限公司 | 无线局域网wapi安全机制中证书的申请方法 |
CN101039182B (zh) * | 2007-03-07 | 2010-08-11 | 广东南方信息安全产业基地有限公司 | 基于标识的公钥密码认证系统及标识证书发放方法 |
ATE451780T1 (de) * | 2007-09-28 | 2009-12-15 | Zimory Gmbh | Verfahren und system zur automatischen remote- bereitstellung eines servers über virtuelle geräteanwendungen |
US8347355B2 (en) * | 2008-01-17 | 2013-01-01 | Aerohive Networks, Inc. | Networking as a service: delivering network services using remote appliances controlled via a hosted, multi-tenant management system |
CN101272252A (zh) * | 2008-04-09 | 2008-09-24 | 西安西电捷通无线网络通信有限公司 | 一种证书的分配与管理方法 |
US8458763B2 (en) * | 2008-07-01 | 2013-06-04 | International Business Machines Corporation | Method of automating and personalizing systems to satisfy security requirements in an end-to-end service landscape |
EP2489168B1 (en) * | 2009-10-15 | 2015-03-11 | InterDigital Patent Holdings, Inc. | Registration and credential roll-out for accessing a subscription-based service |
US8364954B2 (en) * | 2009-12-16 | 2013-01-29 | Symantec Corporation | Method and system for provisioning multiple digital certificates |
US9100171B1 (en) * | 2009-12-17 | 2015-08-04 | Secure Forward, LLC | Computer-implemented forum for enabling secure exchange of information |
WO2013097117A1 (zh) | 2011-12-28 | 2013-07-04 | 华为技术有限公司 | 虚拟机全盘加密下预启动时的密钥传输方法和设备 |
WO2013097209A1 (zh) | 2011-12-31 | 2013-07-04 | 华为技术有限公司 | 一种加密方法、解密方法和相关装置及系统 |
TW201807961A (zh) * | 2012-09-27 | 2018-03-01 | 內數位專利控股公司 | 在噓擬網路中端對端架構、api框架、發現及存取 |
WO2014057369A1 (en) * | 2012-10-12 | 2014-04-17 | Koninklijke Philips N.V. | Secure data handling by a virtual machine |
JP2014082584A (ja) * | 2012-10-15 | 2014-05-08 | Nippon Registry Authentication Inc | 認証基盤システム |
JP6114832B2 (ja) | 2012-11-22 | 2017-04-12 | 華為技術有限公司Huawei Technologies Co.,Ltd. | 仮想マシンのための管理制御方法、装置及びシステム |
CN103888429B (zh) | 2012-12-21 | 2017-11-03 | 华为技术有限公司 | 虚拟机启动方法、相关设备和系统 |
CN103023920B (zh) | 2012-12-27 | 2016-04-13 | 华为技术有限公司 | 虚拟机安全保护方法及装置 |
CN103475485B (zh) * | 2013-09-16 | 2017-03-22 | 浙江汇信科技有限公司 | 基于数字证书互联互通的身份认证支撑平台及认证方法 |
CN104639516B (zh) | 2013-11-13 | 2018-02-06 | 华为技术有限公司 | 身份认证方法、设备及系统 |
CN105122738B (zh) | 2014-03-26 | 2018-06-15 | 华为技术有限公司 | 基于网络功能虚拟化的证书配置方法、装置和系统 |
JP6299047B2 (ja) | 2014-05-08 | 2018-03-28 | 華為技術有限公司Huawei Technologies Co.,Ltd. | 証明取得方法及び装置 |
-
2014
- 2014-05-08 WO PCT/CN2014/077074 patent/WO2015168913A1/zh active Application Filing
- 2014-05-08 JP JP2017510713A patent/JP6311196B2/ja active Active
- 2014-05-08 BR BR112016026037-6A patent/BR112016026037B1/pt active IP Right Grant
- 2014-05-08 RU RU2016147696A patent/RU2646317C1/ru active
- 2014-05-08 EP EP14891512.7A patent/EP3133768B1/en active Active
- 2014-05-08 CN CN201480028386.5A patent/CN105264818B/zh active Active
-
2016
- 2016-11-08 US US15/345,829 patent/US10367647B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
RU2646317C1 (ru) | 2018-03-02 |
BR112016026037A2 (ja) | 2017-08-15 |
US10367647B2 (en) | 2019-07-30 |
EP3133768B1 (en) | 2019-07-31 |
JP2017521971A (ja) | 2017-08-03 |
EP3133768A4 (en) | 2017-02-22 |
CN105264818A (zh) | 2016-01-20 |
BR112016026037B1 (pt) | 2023-04-04 |
WO2015168913A1 (zh) | 2015-11-12 |
US20170054565A1 (en) | 2017-02-23 |
EP3133768A1 (en) | 2017-02-22 |
CN105264818B (zh) | 2018-10-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6311196B2 (ja) | 証明書取得方法およびデバイス | |
US10225246B2 (en) | Certificate acquiring method and device | |
US11381396B2 (en) | System, apparatus and method for migrating a device having a platform group | |
US10205719B2 (en) | Network function virtualization-based certificate configuration method, apparatus, and system | |
US20210168136A1 (en) | Fast Smart Card Login | |
US10122703B2 (en) | Federated full domain logon | |
US20200136836A1 (en) | Authorization with a preloaded certificate | |
US10887095B2 (en) | Allocating security parameter index values using time-based one-time passwords | |
CN110121857B (zh) | 一种凭据分发的方法和设备 | |
US20230171241A1 (en) | Security profile management for multi-cloud agent registration with multi-tenant, multi-cell service | |
WO2021028052A1 (en) | Method and apparatus for cloud-based console service in a cloud network | |
CN111164568A (zh) | 经由受信代理共享安全连接上下文 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180220 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180301 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6311196 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |