JP6311196B2 - 証明書取得方法およびデバイス - Google Patents

証明書取得方法およびデバイス Download PDF

Info

Publication number
JP6311196B2
JP6311196B2 JP2017510713A JP2017510713A JP6311196B2 JP 6311196 B2 JP6311196 B2 JP 6311196B2 JP 2017510713 A JP2017510713 A JP 2017510713A JP 2017510713 A JP2017510713 A JP 2017510713A JP 6311196 B2 JP6311196 B2 JP 6311196B2
Authority
JP
Japan
Prior art keywords
certificate
vnfc instance
newly installed
instance
master
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017510713A
Other languages
English (en)
Other versions
JP2017521971A (ja
Inventor
成燕 ▲馮▼
成燕 ▲馮▼
江▲勝▼ 王
江▲勝▼ 王
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2017521971A publication Critical patent/JP2017521971A/ja
Application granted granted Critical
Publication of JP6311196B2 publication Critical patent/JP6311196B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Description

本発明は、仮想ネットワークデプロイメント(virtual network deployment)の分野に関するものであり、具体的には、証明書取得(certificate acquiring)方法およびデバイスに関するものである。
NFV(Network Function Virtualization、ネットワーク機能仮想化)は、「従来型ネットワーク仮想化」の目的の下に設立された標準化機構であり、仮想化環境内のネットワークデプロイメントの一組の規格を策定するものである。NFV機構によって策定された規格を用いることで、ネットワーク仮想化および柔軟なデプロイメントなどの機能が実装され得る。
VNF(Virtualized Network Function、仮想化ネットワーク機能)が、NFV技術に導入されるにつれ、従来型CTネットワークアーキテクチャおよびネットワークノードアーキテクチャは、比較的大きな変更を被っている。新しい電気通信アーキテクチャでは、従来型物理的電気通信ノードは、仮想デバイス内の仮想ノードに発展し、仮想マシンの形態で存在している。このようにして、複数の従来型物理ノードは、一緒に同じ物理ホストマシン内にデプロイされ、ハードウェアリソースを共有し、さらには他のサードパーティアプリケーションソフトウェアとリソースを共有して、それによって、同じ仮想デバイス内の異なる仮想マシン間の通信のパフォーマンスを高める。
たとえば、従来型のIP(Internetworking Protocol、インターネットワーキングプロトコル)ネットワークは、仮想スイッチと仮想ネットワークアダプタを用いた仮想ネットワークに発展し、仮想ネットワークを用いて異なる仮想マシン間の通信が実行され、それにより、従来型の物理ネットワークデバイスはバイパスされる。
仮想ネットワークは、従来型のネットワークと同じであり、仮想ネットワークの内側において仮想マシン間で実行される通信も仮想マシンと外部ネットワークとの間で実行される通信のいずれも、ネットワークセキュリティのリスクに直面している。たとえば、仮想マシンが互いに攻撃し合うか、またはホストマシンアプリケーションが仮想マシンネットワークへの相互接続を使用することによって攻撃を実行する。したがって、セキュリティ技術(たとえば、IPSec技術またはTLS(Transport Layer Security、トランスポート層セキュリティプロトコル)技術)を使用することによって仮想ネットワーク上の仮想マシン間で安全な接続が確立される。前述のセキュリティ技術において、互いに通信する2つの仮想マシンは、通信ピアエンドによる相互認証を実装するために、X.509に基づく証明書を使用するように構成される必要がある。
仮想化のシナリオでは、VNFは、ソフトウェアのグループであり、必要なときにインスタンス化される。VNFのインスタンス化は、必要な仮想化リソースを決定し、必要な仮想化リソースを1個のVNFソフトウェアに配分し、そのVNFソフトウェアをインストールするプロセスを指す。インスタンス化されたVNFは、従来型のハードウェアエンティティではなく、必ずしも存在するとは限らないが、必要に応じてソフトウェア形態で生成され、動的に存在し、インスタンス化されたVNFがインストールされる物理ロケーションは、固定されない。したがって、従来型のエンティティ証明書構成方法は、仮想ソフトウェア、たとえば、VNFには適用可能でない。
VNFの特徴に従ってVNFに対する証明書を構成するために、現在、証明書構成方式が提供されている、すなわち、VNFインスタンス化プロセスにおいて、事業者がインスタンス化されたVNFに対する初期証明書を構成し、インスタンス化されたVNF上に初期証明書をインストールし、インスタンス化されたVNFは、初期証明書を使用して、認証機関(CA、Certification Authority)から証明書を取得する。
実際のアプリケーションでは、VNFC(Virtualized Network Function Component、仮想化ネットワーク機能コンポーネント)は、VNFの一コンポーネントとして使用され、VNFCがCAによって発行された証明書を取得する仕方は、VNFが証明書を取得する仕方と同じである。すなわち、VNFがインスタンス化されるときに、初期証明書は、各VNFCに対して構成され、初期証明書は、VNFCがインスタンス化された後に正常にインストールされ、次いで、VNFCインスタンスは、初期証明書を使用して、CAに正式な証明書を発給申請する。初期証明書が導入された後、VNFが証明書を取得するプロセスは、比較的複雑であり、初期証明書に関連付けられている秘密鍵は、転送プロセスにおいて漏出のリスクに直面し、VNFが証明書を取得する際のセキュリティを低下させる。
しかしながら、NFVシナリオでは、VNFには、複数の実施形態がある。使用プロセスにおいて、ネットワーク性能を改善するために、新しいVNFCが追加されることが必要になる場合がある。新規追加されたVNFCが外部と通信する必要がある場合、新規追加されたVNFCは、証明書を取得する必要があるが、初期証明書を使用して正式な証明書を取得する前述の方式がいぜんとして使用されている場合、プロセスは扱いにくく、またより複雑なものとなり、さらにシステムの反応速度が低下し、実行率も下がる。
この点に鑑みて、本発明の実施形態は、証明書取得方法およびデバイスを実現し、これらは、システム反応速度を改善し、システム実行効率を高めるためにVNFの新規追加されたVNFCが証明書をどのように取得すべきかという問題を解決するために使用される。
本発明の第1の態様により、証明書取得デバイスが実現され、このデバイスは
新規インストールされた仮想化ネットワーク機能コンポーネントVNFCインスタンスによって送信される証明書発給申請表現メッセージを受信するように構成された受信モジュールであって、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含む、受信モジュールと、
新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために、受信モジュールによって受信された証明書発給申請表現メッセージに従って認証機関に証明書要求メッセージを送信するように構成された送信モジュールであって、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、送信モジュールと、
認証機関によって発行された証明書を取得するように構成された取得モジュールであって、証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を使用することによって認証機関によって発行される、取得モジュールとを備える。
本発明の第1の態様の可能な実装方式に関して、第1の可能な実装方式において、デバイスは、認証モジュールをさらに備え、
受信モジュールは、取得モジュールが認証機関によって発行された証明書を取得する前に、認証機関によって送信された証明書応答メッセージを受信するようにさらに構成され、
認証モジュールは、受信モジュールによって受信された証明書応答メッセージについて認証を実行するように構成される。
本発明の第1の態様の第1の可能な実装方式に関して、第2の可能な実装方式において、証明書応答メッセージは、認証機関によって発行される証明書を含み、
取得モジュールは、認証モジュールが、証明書応答メッセージが認証されていると決定したときに、新規インストールされたVNFCインスタンスに認証機関によって発行され、証明書応答メッセージに含まれる証明書を取得するように特に構成され、新規インストールされたVNFCインスタンスの証明書は、マスターVNFCによって送信された証明書発給申請要求メッセージがマスターVNFCインスタンスの証明書に従って認証された後に、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用され、証明書要求メッセージに含まれる公開鍵に署名することによって認証機関によって取得される。
本発明の第1の態様の可能な実装方式に関して、または本発明の第1の態様の第1の可能な実装方式に関して、または本発明の第1の態様の第2の可能な実装方式に関して、第3の可能な実装方式において、証明書発給申請表現メッセージおよび証明書要求メッセージは、秘密鍵所有証明POP情報をさらに含む。
本発明の第1の態様の第3の可能な実装方式に関して、第4の可能な実装方式において、POP情報は、秘密-公開鍵ペア中の秘密鍵を使用して秘密鍵所有証明署名鍵フィールドに署名することによって新規インストールされたVNFCインスタンスによって取得される。
本発明の第1の態様の可能な実装方式に関して、または本発明の第1の態様の第1の可能な実装方式に関して、または本発明の第1の態様の第2の可能な実装方式に関して、または本発明の第1の態様の第3の可能な実装方式に関して、または本発明の第1の態様の第4の可能な実装方式に関して、第5の可能な実装方式において、新規インストールされたVNFCインスタンスによって使用される秘密-公開鍵ペアは、
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
本発明の第1の態様の可能な実装方式に関して、または本発明の第1の態様の第1の可能な実装方式に関して、または本発明の第1の態様の第2の可能な実装方式に関して、または本発明の第1の態様の第3の可能な実装方式に関して、または本発明の第1の態様の第4の可能な実装方式に関して、または本発明の第1の態様の第5の可能な実装方式に関して、第6の可能な実装方式において、送信モジュールは、取得モジュールが認証機関によって新規インストールされたVNFCインスタンスに発行された証明書を取得した後に、新規インストールされたVNFCインスタンスに、内部ネットワークを用いて、認証機関によって発行された取得済み証明書を新規インストールされたVNFCインスタンスに送信するようにさらに構成される。
本発明の第1の態様の可能な実装方式に関して、または本発明の第1の態様の第1の可能な実装方式に関して、または本発明の第1の態様の第2の可能な実装方式に関して、または本発明の第1の態様の第3の可能な実装方式に関して、または本発明の第1の態様の第4の可能な実装方式に関して、または本発明の第1の態様の第5の可能な実装方式に関して、または本発明の第1の態様の第6の可能な実装方式に関して、第7の可能な実装方式において、マスターVNFCインスタンスおよび新規インストールされたVNFCインスタンスは、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントである。
本発明の第2の態様によれば、証明書取得デバイスが実現され、このデバイスは、
マスターVNFCインスタンスによって送信された証明書要求メッセージを受信するように構成された受信モジュールであって、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、受信モジュールと、
受信モジュールによって受信されたマスターVNFCインスタンスの証明書に従って証明書要求メッセージについて認証を実行し、認証が成功したときに、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによってこれから発行されるべき証明書を取得するように構成された証明書発行モジュールと、
マスターVNFCインスタンスに、証明書発行モジュールによって発行されるこれから発行されるべき証明書を送信するように構成された送信モジュールとを備える。
本発明の第2の態様の可能な実装方式に関して、第1の可能な実装方式において、証明書発行モジュールは、マスターVNFCインスタンスの証明書を使用することによって証明書要求メッセージの署名について認証を実行し、発行済みルートCA証明書または発行済み中間証明書を使用することによってマスターVNFCインスタンスの受信済み証明書について認証を実行するように特に構成される。
本発明の第2の態様の可能な実装方式に関して、または本発明の第2の態様の第1の可能な実装方式に関して、第2の可能な実装方式において、証明書要求メッセージは、秘密鍵所有証明POP情報をさらに含む。
本発明の第2の態様の第2の可能な実装方式に関して、第3の可能な実装方式において、証明書発行モジュールは、証明書を発給申請するために使用される、証明書要求メッセージに含まれる、公開鍵を使用することによって、証明書要求メッセージに含まれるPOP情報について認証を実行するようにさらに構成される。
本発明の第3の態様によれば、証明書取得デバイスが実現され、このデバイスは、
マスター仮想化ネットワーク機能コンポーネントVNFCインスタンスに証明書発給申請表現メッセージを送信するように構成された送信モジュールであって、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含み、証明書発給申請表現メッセージは、証明書要求メッセージを認証機関に送信することをマスターVNFCインスタンスに要求するために使用され、証明書要求メッセージは、新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために使用され、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、送信モジュールと、
認証機関によって発行され、マスターVNFCインスタンスによって送信された証明書を受信するように構成された受信モジュールであって、証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによって認証機関によって取得される、受信モジュールとを備える。
本発明の第3の態様の可能な実装方式に関して、第1の可能な実装方式において、受信モジュールは、証明書発給申請表現メッセージがマスターVNFCに送信される前に、NFVOまたはVNFMによって送信された証明書発給申請情報を受信するようにさらに構成され、証明書発給申請情報は、証明書発給申請のエージェントとして使用されるマスターVNFCインスタンスに関する情報を含む。
本発明の第3の態様の第1の可能な実装方式に関して、第2の可能な実装方式において、デバイスは、
証明書発給申請表現メッセージがマスターVNFCに送信される前に、受信モジュールによって受信された証明書発給申請情報に従って、証明書発給申請のエージェントとして使用されるマスターVNFCインスタンスへのネットワーク接続を確立するように構成された確立モジュールをさらに備え、ネットワーク接続は、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上のVNFの内側のネットワーク接続である。
本発明の第3の態様の第1の可能な実装方式に関して、または本発明の第3の態様の第2の可能な実装方式に関して、第3の態様の第3の可能な実装方式において、受信モジュールは、インストール時に、ネットワーク機能仮想化インフラストラクチャNFVIによって注入される証明書発給申請情報を受信するように特に構成される。
本発明の第3の態様の第1の可能な実装方式に関して、または本発明の第3の態様の第2の可能な実装方式に関して、または本発明の第3の態様の第3の可能な実装方式に関して、第4の可能な実装方式において、証明書発給申請のエージェントとして使用されるマスターVNFCに関する情報は、インターネットプロトコルIPアドレス、媒体アクセス制御MAC識別子、およびマスターVNFCインスタンスのアドレスである仮想ネットワーク情報センターNICアドレスを含む。
本発明の第3の態様の可能な実装方式に関して、または本発明の第3の態様の第1の可能な実装方式に関して、または本発明の第3の態様の第2の可能な実装方式に関して、または本発明の第3の態様の第3の可能な実装方式に関して、または本発明の第3の態様の第4の可能な実装方式に関して、第5の可能な実装方式において、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵は、
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
本発明の第3の態様の可能な実装方式に関して、または本発明の第3の態様の第1の可能な実装方式に関して、または本発明の第3の態様の第2の可能な実装方式に関して、または本発明の第3の態様の第3の可能な実装方式に関して、または本発明の第3の態様の第4の可能な実装方式に関して、または本発明の第3の態様の第5の可能な実装方式に関して、第6の可能な実装方式において、証明書発給申請表現メッセージをマスターVNFCインスタンスに送信するように新規インストールされたVNFCインスタンスをトリガーするための方式は、
VNFインスタンス化を用いてトリガーするか、またはVNFスケールアウトを用いてトリガーすることを含む。
本発明の第4の態様によれば、証明書取得デバイスが実現され、このデバイスは、
新規インストールされた仮想ネットワーク機能VNFCインスタンスによって送信される証明書発給申請表現メッセージを受信するように構成された信号受信機であって、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含む、信号受信機と、
新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために、証明書発給申請表現メッセージに従って認証機関に証明書要求メッセージを送信するように構成された信号送信機であって、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、信号送信機と、
認証機関によって発行された証明書を取得するように構成されたプロセッサであって、証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を使用することによって認証機関によって発行される、プロセッサとを備える。
本発明の第4の態様の可能な実装方式に関して、第1の可能な実装方式において、信号受信機は、認証機関によって発行された証明書が取得される前に、認証機関によって送信された証明書応答メッセージを受信するようにさらに構成され、
プロセッサは、受信された証明書応答メッセージについて認証を実行するようにさらに構成される。
本発明の第4の態様の第1の可能な実装方式に関して、第2の可能な実装方式において、証明書応答メッセージは、認証機関によって発行される証明書を含み、
プロセッサは、証明書応答メッセージが認証されたときに、新規インストールされたVNFCインスタンスに認証機関によって発行され、証明書応答メッセージに含まれる証明書を取得するように特に構成され、新規インストールされたVNFCインスタンスの証明書は、マスターVNFCによって送信された証明書発給申請要求メッセージがマスターVNFCインスタンスの証明書に従って認証された後に、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用され、証明書要求メッセージに含まれる公開鍵に署名することによって認証機関によって取得される。
本発明の第4の態様の可能な実装方式に関して、または本発明の第4の態様の第1の可能な実装方式に関して、または本発明の第4の態様の第2の可能な実装方式に関して、第3の可能な実装方式において、証明書発給申請表現メッセージおよび証明書要求メッセージは、秘密鍵所有証明POP情報をさらに含む。
本発明の第4の態様の第3の可能な実装方式に関して、第4の可能な実装方式において、POP情報は、秘密-公開鍵ペア中の秘密鍵を使用して秘密鍵所有証明署名鍵フィールドに署名することによって新規インストールされたVNFCインスタンスによって取得される。
本発明の第4の態様の可能な実装方式に関して、または本発明の第4の態様の第1の可能な実装方式に関して、または本発明の第4の態様の第2の可能な実装方式に関して、または本発明の第4の態様の第3の可能な実装方式に関して、または本発明の第4の態様の第4の可能な実装方式に関して、第5の可能な実装方式において、新規インストールされたVNFCインスタンスによって使用される秘密-公開鍵ペアは、
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
本発明の第4の態様の可能な実装方式に関して、または本発明の第4の態様の第1の可能な実装方式に関して、または本発明の第4の態様の第2の可能な実装方式に関して、または本発明の第4の態様の第3の可能な実装方式に関して、または本発明の第4の態様の第4の可能な実装方式に関して、または本発明の第4の態様の第5の可能な実装方式に関して、第6の可能な実装方式において、信号送信機は、新規インストールされたVNFCインスタンスに認証機関によって発行された証明書が取得された後に、新規インストールされたVNFCインスタンスに、内部ネットワークを用いて、認証機関によって発行された取得済み証明書を新規インストールされたVNFCインスタンスに送信するようにさらに構成される。
本発明の第4の態様の可能な実装方式に関して、または本発明の第4の態様の第1の可能な実装方式に関して、または本発明の第4の態様の第2の可能な実装方式に関して、または本発明の第4の態様の第3の可能な実装方式に関して、または本発明の第4の態様の第4の可能な実装方式に関して、または本発明の第4の態様の第5の可能な実装方式に関して、または本発明の第4の態様の第6の可能な実装方式に関して、第7の可能な実装方式において、マスターVNFCインスタンスおよび新規インストールされたVNFCインスタンスは、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントである。
本発明の第5の態様によれば、証明書取得デバイスが実現され、このデバイスは、
マスターVNFCインスタンスによって送信された証明書要求メッセージを受信するように構成された信号受信機であって、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、信号受信機と、
マスターVNFCインスタンスの証明書に従って証明書要求メッセージについて認証を実行し、認証が成功したときに、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによってこれから発行されるべき証明書を取得するように構成されたプロセッサと、
これから発行されるべき証明書をマスターVNFCインスタンスに送信するように構成された信号送信機とを備える。
本発明の第5の態様の可能な実装方式に関して、第1の可能な実装方式において、プロセッサは、マスターVNFCインスタンスの証明書を使用することによって証明書要求メッセージの署名について認証を実行し、発行済みルートCA証明書または発行済み中間証明書を使用することによってマスターVNFCインスタンスの受信済み証明書について認証を実行するように特に構成される。
本発明の第5の態様の可能な実装方式に関して、または本発明の第5の態様の第1の可能な実装方式に関して、第2の可能な実装方式において、証明書要求メッセージは、秘密鍵所有証明POP情報をさらに含む。
本発明の第5の態様の第2の可能な実装方式に関して、第3の可能な実装方式において、プロセッサは、認証機関によって、証明書を発給申請するために使用される、証明書要求メッセージに含まれる、公開鍵を使用することによって、証明書要求メッセージに含まれるPOP情報について認証を実行するようにさらに構成される。
本発明の第6の態様によれば、証明書取得デバイスが実現され、このデバイスは、
マスター仮想化ネットワーク機能コンポーネントVNFCインスタンスに証明書発給申請表現メッセージを送信するように構成された信号送信機であって、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含み、証明書発給申請表現メッセージは、証明書要求メッセージを認証機関に送信することをマスターVNFCインスタンスに要求するために使用され、証明書要求メッセージは、新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために使用され、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、信号送信機と、
認証機関によって発行され、マスターVNFCインスタンスによって送信された証明書を受信するように構成された信号受信機であって、証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによって認証機関によって取得される、信号受信機とを備える。
本発明の第6の態様の可能な実装方式に関して、第1の可能な実装方式において、信号受信機は、証明書発給申請表現メッセージがマスターVNFCに送信される前に、NFVOまたはVNFMによって送信された証明書発給申請情報を受信するようにさらに構成され、証明書発給申請情報は、証明書発給申請のエージェントとして使用されるマスターVNFCインスタンスに関する情報を含む。
本発明の第6の態様の第1の可能な実装方式に関して、第2の可能な実装方式において、デバイスは、プロセッサをさらに備え、このプロセッサは、証明書発給申請表現メッセージがマスターVNFCに送信される前に、証明書発給申請情報に従って、証明書発給申請のエージェントとして使用されるマスターVNFCインスタンスへのネットワーク接続を確立するように構成され、ネットワーク接続は、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上のVNFの内側のネットワーク接続である。
本発明の第6の態様の第1の可能な実装方式に関して、または本発明の第6の態様の第2の可能な実装方式に関して、第3の可能な実装方式において、信号受信機は、インストール時に、ネットワーク機能仮想化インフラストラクチャNFVIによって注入される証明書発給申請情報を受信するように特に構成される。
本発明の第6の態様の第1の可能な実装方式に関して、または本発明の第6の態様の第2の可能な実装方式に関して、または本発明の第6の態様の第3の可能な実装方式に関して、第4の可能な実装方式において、証明書発給申請のエージェントとして使用されるマスターVNFCに関する情報は、インターネットプロトコルIPアドレス、媒体アクセス制御MAC識別子、およびマスターVNFCインスタンスのアドレスである仮想ネットワーク情報センターNICアドレスを含む。
本発明の第6の態様の可能な実装方式に関して、または本発明の第6の態様の第1の可能な実装方式に関して、または本発明の第6の態様の第2の可能な実装方式に関して、または本発明の第6の態様の第3の可能な実装方式に関して、または本発明の第6の態様の第4の可能な実装方式に関して、第5の可能な実装方式において、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵は、
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
本発明の第6の態様の可能な実装方式に関して、または本発明の第6の態様の第1の可能な実装方式に関して、または本発明の第6の態様の第2の可能な実装方式に関して、または本発明の第6の態様の第3の可能な実装方式に関して、または本発明の第6の態様の第4の可能な実装方式に関して、または本発明の第6の態様の第5の可能な実装方式に関して、第6の可能な実装方式において、証明書発給申請表現メッセージをマスターVNFCインスタンスに送信するように新規インストールされたVNFCインスタンスをトリガーするための方式は、
VNFインスタンス化を用いてトリガーするか、または
VNFスケールアウトを用いてトリガーすることを含む。
本発明の第7の態様によれば、証明書取得方法が提供され、方法は、
マスター仮想化ネットワーク機能コンポーネントVNFCインスタンスによって、新規インストールされたVNFCインスタンスによって送信される証明書発給申請表現メッセージを受信することであって、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含む、受信することと、
新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために、マスターVNFCインスタンスによって、証明書発給申請表現メッセージに従って認証機関に証明書要求メッセージを送信することであって、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、送信することと、
マスターVNFCインスタンスによって、認証機関によって発行された証明書を取得することであって、証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を使用することによって認証機関によって発行される、取得することとを含む。
本発明の第7の態様の可能な実装方式に関して、第1の可能な実装方式において、マスターVNFCインスタンスによって、認証機関によって発行された証明書を取得する前に、方法は、
マスターVNFCインスタンスによって、認証機関によって送信された証明書応答メッセージを受信することと、受信された証明書応答メッセージに関する認証を実行することとをさらに含む。
本発明の第7の態様の第1の可能な実装方式に関して、第2の可能な実装方式において、証明書応答メッセージは、認証機関によって発行される証明書を含み、
認証機関によって発行された証明書を取得することは、
証明書応答メッセージが認証されたときに、マスターVNFCインスタンスによって、新規インストールされたVNFCインスタンスに認証機関によって発行され、証明書応答メッセージに含まれる証明書を取得すること含み、新規インストールされたVNFCインスタンスの証明書は、マスターVNFCによって送信された証明書発給申請要求メッセージがマスターVNFCインスタンスの証明書に従って認証された後に、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用され、証明書要求メッセージに含まれる公開鍵に署名することによって認証機関によって取得される。
本発明の第7の態様の可能な実装方式に関して、または本発明の第7の態様の第1の可能な実装方式に関して、または本発明の第7の態様の第2の可能な実装方式に関して、第3の可能な実装方式において、証明書発給申請表現メッセージおよび証明書要求メッセージは、秘密鍵所有証明POP情報をさらに含む。
本発明の第7の態様の第3の可能な実装方式に関して、第4の可能な実装方式において、POP情報は、秘密-公開鍵ペア中の秘密鍵を使用して秘密鍵所有証明署名鍵フィールドに署名することによって新規インストールされたVNFCインスタンスによって取得される。
本発明の第7の態様の可能な実装方式に関して、または本発明の第7の態様の第1の可能な実装方式に関して、または本発明の第7の態様の第2の可能な実装方式に関して、または本発明の第7の態様の第3の可能な実装方式に関して、または本発明の第7の態様の第4の可能な実装方式に関して、第5の可能な実装方式において、新規インストールされたVNFCインスタンスによって使用される秘密-公開鍵ペアは、
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
本発明の第7の態様の可能な実装方式に関して、または本発明の第7の態様の第1の可能な実装方式に関して、または本発明の第7の態様の第2の可能な実装方式に関して、または本発明の第7の態様の第3の可能な実装方式に関して、または本発明の第7の態様の第4の可能な実装方式に関して、または本発明の第7の態様の第5の可能な実装方式に関して、第6の可能な実装方式において、マスターVNFCインスタンスによって、認証機関によって新規インストールされたVNFCインスタンスに発行された証明書を取得した後に、方法は、
マスターVNFCによって、内部ネットワークを用いて新規インストールされたVNFCインスタンスに、認証機関によって新規インストールされたVNFCインスタンスに発行された取得済み証明書を送信することをさらに含む。
本発明の第7の態様の可能な実装方式に関して、または本発明の第7の態様の第1の可能な実装方式に関して、または本発明の第7の態様の第2の可能な実装方式に関して、または本発明の第7の態様の第3の可能な実装方式に関して、または本発明の第7の態様の第4の可能な実装方式に関して、または本発明の第7の態様の第5の可能な実装方式に関して、または本発明の第7の態様の第6の可能な実装方式に関して、第7の可能な実装方式において、マスターVNFCインスタンスおよび新規インストールされたVNFCインスタンスは、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントである。
本発明の第8の態様によれば、証明書取得方法が提供され、方法は、
認証機関によって、マスターVNFCインスタンスによって送信された証明書要求メッセージを受信することであって、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、受信することと、
認証機関によって、マスターVNFCインスタンスの証明書に従って証明書要求メッセージについて認証を実行し、認証が成功したときに、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによってこれから発行されるべき証明書を取得することと、
認証機関によって、これから発行されるべき証明書をマスターVNFCインスタンスに送信することとを含む。
本発明の第8の態様の可能な実装方式に関して、第1の可能な実装方式において、認証機関によって、マスターVNFCの証明書に従って証明書要求メッセージについて認証を実行することは、
認証機関によって、マスターVNFCインスタンスの証明書を使用することによって証明書要求メッセージの署名について認証を実行することと、発行済みルートCA証明書または発行済み中間証明書を使用することによってマスターVNFCインスタンスの受信済み証明書について認証を実行することとを含む。
本発明の第8の態様の可能な実装方式に関して、または本発明の第8の態様の第1の可能な実装方式に関して、第2の可能な実装方式において、証明書要求メッセージは、秘密鍵所有証明POP情報をさらに含む。
本発明の第8の態様の第2の可能な実装方式に関して、第3の可能な実装方式において、認証機関によって、マスターVNFCの証明書に従って証明書要求メッセージについて認証を実行することは、
認証機関によって、証明書を発給申請するために使用される、証明書要求メッセージに含まれる、公開鍵を使用することによって、証明書要求メッセージに含まれるPOP情報について認証を実行することをさらに含む。
本発明の第9の態様によれば、証明書取得方法が提供され、方法は、
新規インストールされた仮想化ネットワーク機能コンポーネントVNFCインスタンスによって、証明書発給申請表現メッセージをマスターVNFCインスタンスに送信することであって、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含み、証明書発給申請表現メッセージは、証明書要求メッセージを認証機関に送信することをマスターVNFCインスタンスに要求するために使用され、証明書要求メッセージは、新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために使用され、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、送信することと、
新規インストールされたVNFCインスタンスによって、認証機関によって発行され、マスターVNFCインスタンスによって送信された証明書を受信することであって、証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによって認証機関によって取得される、受信することとを含む。
本発明の第9の態様の可能な実装方式に関して、第1の可能な実装方式において、証明書発給申請表現メッセージをマスターVNFCに送信する前に、方法は、
新規インストールされたVNFCインスタンスによって、NFVOまたはVNFMによって送信された証明書発給申請情報を受信することであって、証明書発給申請情報は、証明書発給申請のエージェントとして使用されるマスターVNFCインスタンスに関する情報を含む、受信することをさらに含む。
本発明の第9の態様の第1の可能な実装方式に関して、第2の可能な実装方式において、新規インストールされたVNFCインスタンスによって、証明書発給申請表現メッセージをマスターVNFCに送信する前に、方法は、
新規インストールされたVNFCインスタンスによって、証明書発給申請情報に従って、証明書発給申請のエージェントとして使用されるマスターVNFCインスタンスへのネットワーク接続を確立することをさらに含み、ネットワーク接続は、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上のVNFの内側のネットワーク接続である。
本発明の第9の態様の第1の可能な実装方式に関して、または本発明の第9の態様の第2の可能な実装方式に関して、第3の可能な実装方式において、新規インストールされたVNFCインスタンスによって、証明書発給申請情報を取得することは、
インストール時に、新規インストールされたVNFCインスタンスによって、ネットワーク機能仮想化インフラストラクチャNFVIによって注入される証明書発給申請情報を受信することを含む。
本発明の第9の態様の第1の可能な実装方式に関して、または本発明の第9の態様の第2の可能な実装方式に関して、または本発明の第9の態様の第3の可能な実装方式に関して、第4の可能な実装方式において、証明書発給申請のエージェントとして使用されるマスターVNFCに関する情報は、インターネットプロトコルIPアドレス、媒体アクセス制御MAC識別子、およびマスターVNFCインスタンスのアドレスである仮想ネットワーク情報センターNICアドレスを含む。
本発明の第9の態様の可能な実装方式に関して、または本発明の第9の態様の第1の可能な実装方式に関して、または本発明の第9の態様の第2の可能な実装方式に関して、または本発明の第9の態様の第3の可能な実装方式に関して、または本発明の第9の態様の第4の可能な実装方式に関して、第5の可能な実装方式において、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵は、
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
本発明の第9の態様の可能な実装方式に関して、または本発明の第9の態様の第1の可能な実装方式に関して、または本発明の第9の態様の第2の可能な実装方式に関して、または本発明の第9の態様の第3の可能な実装方式に関して、または本発明の第9の態様の第4の可能な実装方式に関して、または本発明の第9の態様の第5の可能な実装方式に関して、第6の可能な実装方式において、証明書発給申請表現メッセージをマスターVNFCインスタンスに送信するように新規インストールされたVNFCインスタンスをトリガーするための方式は、
VNFインスタンス化を用いてトリガーするか、または
VNFスケールアウトを用いてトリガーすることを含む。
本発明の実施形態によれば、証明書を取得している別のVNFCインスタンスがNFVIプラットフォーム上に存在しているときに、別のVNFCインスタンスと認証機関との間で別のVNFCインスタンスによって確立された信頼されているチャネルが、新規インストールされたVNFCインスタンスを置き換えて証明書を発給申請するために使用され、それにより、証明書が安全に取得できるだけでなく、プロセスが効果的に簡素化され、システム反応速度が向上し、システム稼働効率が改善される。
本発明の実施形態における技術的解決策をより明確に説明するために、以下において、実施形態の説明に必要な添付図面を簡単に紹介する。当然ながら、以下の説明の添付図面は、本発明のいくつかの実施形態を示しているにすぎず、当業者であれば、創造的労力を費やすことなくこれらの添付図面から他の図面を導き出すことができる。
本発明の第1実施形態による証明書取得方法の概略フローチャートである。 本発明の第2実施形態による証明書取得方法の概略フローチャートである。 本発明の第3実施形態による証明書取得方法の概略フローチャートである。 本発明の第4実施形態による証明書取得方法の概略フローチャートである。 本発明の第4実施形態による証明書取得方法の概略フローチャートである。 本発明の第6実施形態による証明書取得デバイスの概略構造図である。 本発明の第7実施形態による証明書取得デバイスの概略構造図である。 本発明の第8実施形態による証明書取得デバイスの概略構造図である。 本発明の第9実施形態による証明書取得デバイスの概略構造図である。 本発明の第10実施形態による証明書取得デバイスの概略構造図である。 本発明の第11実施形態による証明書取得デバイスの概略構造図である。
本発明の目的を達成するために、本発明の実施形態は、証明書取得方法およびデバイスを実現する。マスターVNFCインスタンスは、新規インストールされたVNFCインスタンスによって送信された証明書発給申請表現メッセージを受信することであって、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含む、受信することを行い、証明書要求メッセージを認証機関に送信することであって、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、送信することを行い、認証機関によって発行された証明書を取得することであって、証明書は、マスターVNFCによって送信された証明書要求メッセージがマスターVNFCインスタンスの証明書に従って認証された後に、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによって認証機関によって取得される、取得することを行う。
このようにして、新規インストールされたVNFCインスタンスは、証明書を取得するためにVNFに対する現在の方式を使用する必要がなく、それにより、新規インストールされたVNFCインスタンスが証明書を取得するときに引き起こされるやっかいな、より複雑なプロセスの問題が効果的に回避され、同じNFVIプラットフォーム上にあり、証明書をすでに取得している別のVNFCインスタンスを用いることによって、別のVNFCインスタンスと認証機関との間で別のVNFCインスタンスによって確立された信頼されているチャネルが、新規インストールされたVNFCインスタンスを置き換えて証明書を発給申請するために使用され、それにより、証明書が安全に取得できるだけでなく、プロセスが効果的に簡素化され、システム反応速度が向上し、システム稼働効率が改善される。
本発明の実施形態において、新規インストールされたVNFCインスタンスのインストールは、VNFCインスタンス化動作命令またはVNFスケールアウト動作命令が受信されたときに開始し、本発明の実施形態において、新規インストールされたVNFCインスタンスが証明書を発給申請する必要があるときに、同じNFVIプラットフォーム上にあり、すでに証明書を取得している別のVNFCインスタンスは証明書を発給申請するためのエージェントとして使用され得ることに留意されたい。
次に、本明細書の添付図面を参照しつつ本発明の実施形態について詳細に説明する。
第1実施形態
図1に示されているように、図1は、本発明の第1実施形態による証明書取得方法の概略フローチャートである。方法は、次のように説明され得る。本発明のこの実施形態は、新規インストールされたVNFCインスタンスに対する証明書を発給申請する必要があるエージェントVNFCインスタンスによって実行され、エージェントVNFCインスタンスはマスターVNFCインスタンスとも称される、ものとしてよいか、または新規インストールされたVNFCインスタンスに関連付けられているVNFCインスタンス内にあり、証明書をすでに取得している別のVNFコンポーネントであってよい。
ステップ101:マスターVNFCインスタンスは、新規インストールされたVNFCインスタンスによって送信された証明書発給申請表現メッセージを受信する。
証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含む。
ステップ101において、VNFM(VNF Manager、VNFマネージャ)が新規VNFCインスタンスをインストールするために使用される動作命令を受信したときに、VNFMは、動作命令認証要求情報をNFVOに送信する。
新規VNFCインスタンスをインストールするために使用される動作命令は、VNFCインスタンス化動作命令、VNFスケールアウト動作命令、または同様のものを含むことに留意されたい。
新規VNFCインスタンスをインストールするために使用される動作命令は、EMS(Element Management System、要素管理システム)を使用することによって手動で、または自動的にトリガーされ得るか、またはVNFから測定データを収集し、スケールアウトが実行される必要があることを見いだしたときにVNFMによって取得され得るが、これは本明細書では限定されない。
動作命令認証要求情報を受信したときに、NFVOは、動作決定を実行し、リソース可用性をチェックし、動作命令確認メッセージをVNFMに送信する。
動作命令確認メッセージは、新規作成されたVNFCインスタンスのロケーション情報、または認証機関情報のうちの少なくとも1つまたは複数を含む。
新規作成されたVNFCインスタンスのロケーション情報は、VNFCインスタンスが配置されるNFVIに関連付けられているVIM情報、たとえば、VIM識別情報またはVIMアドレス情報であってよい。
認証機関情報は、事業者ドメイン内の認証機関の識別子、認証機関のIPアドレス、または同様のものを含み得る。
認証機関は、認証機関(CA、Certificate Authority)、登録機関(RA、Registration Authority)、または要素管理システム(EMS、Element Management System)などの、証明書発行機能を備えるネットワーク要素であってよい。
この場合、VNFMは、マスターVNFCインスタンスのロケーション情報および新規作成されたVNFCインスタンスのロケーション情報に従って新規インストールされたVNFCインスタンスの証明書発給申請ポリシーを決定する。新規作成されたVNFCインスタンスのロケーション情報は、動作命令確認メッセージを使用することによってNFVOによってVNFMに送信される。
新規作成されたVNFCインスタンスのロケーション情報は、VNFCが配置されるNFVIに関連付けられているVIM情報、たとえば、VIM識別情報またはVIMアドレス情報であってよい。
証明書発給申請ポリシーは、新規インストールされたVNFCインスタンスに対する証明書を発給申請するエージェントを決定するために使用される。
特にVNFMは、マスターVNFCインスタンスおよび新規作成されたVNFCインスタンスのロケーション情報に従って、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認する。
特にVNFMは、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスのロケーション情報および/またはVNF識別子情報に従って、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認する。
新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認した後に、VNFMは、新規インストールされたVNFCインスタンスの証明書発給申請ポリシーを決定し、証明書発給申請情報を新規インストールされたVNFCインスタンスに送信する。
証明書発給申請ポリシーは、新規作成されたVNFCインスタンスに対する証明書を発給申請するためにどの方式が使用され、エージェントメカニズムが使用される場合にエージェントとして誰が使用されるかということについて処理する。
証明書発給申請ポリシーは、証明書発給申請情報を含み、証明書発給申請情報は、証明書発給申請表現メッセージまたは証明書発給申請方式指示のうちの1つまたは複数を含む。
証明書発給申請表現メッセージは、証明書発給申請エージェントの識別子情報、たとえば、IP(Internet Protocol、インターネットプロトコル)アドレス、MAC(Media Access Control、媒体アクセス制御)識別子、または仮想NIC(Network Information Center、ネットワーク情報センター)アドレスを含む。
証明書発給申請方式指示は、明示的指示または暗示的指示であってよい。明示的指示は、たとえば、エージェントメカニズムであり、暗示的指示は、指定されたエージェント情報、または同様のものを用いて暗黙のうちに与えられ得る。
証明書発給申請ポリシーは、エージェントVNFCインスタンス、すなわち、新規インストールされたVNFCインスタンスに対する証明書を発給申請するマスターVNFCインスタンスを指示することに留意されたい。
たとえば、VNFM AgentまたはNFVにおいて定義されたMaster VNFCについて、Master VNFCは、VNFインスタンス化プロセスにおいて作成された第1のVNFCであってよく、VNFの内部管理を受け持つように構成され、VNFスケールアウトプロセスにおいて、Master VNFCは、VNFCインスタンスに関連付けられ、同じネットワーク機能仮想化インフラストラクチャ(NFVI、Network Function Virtualization Infrastructure)ハードウェアプラットフォーム上に配置されるVNFCインスタンスとして定義され得る。
VNFMは、リソースをこれからインストールされるべきVNFCに配分することをVIMに要求するために、VM作成メッセージをVIMに送信し、VM作成メッセージは、証明書発給申請情報を含む。
VMはVMを作成するようにNFVIに指令し、証明書発給申請情報をNFVIに送信し、NFVIは、VMを作成し、作成確認メッセージをVIMに送信する。
VMが作成された後、NFVIは安全な方式でNVFCインスタンスを起動し、新規インストールされたVNFCインスタンスを作成されたVM上で実行し、証明書発給申請情報を新規インストールされたVNFCインスタンスに注入する。
新規インストールされたVNFCインスタンスは、証明書発給申請メッセージに含まれる証明書発給申請表現情報に従って、証明書発給申請を実行するためにエージェントとして使用されるマスターVNFCインスタンスを決定し、証明書発給申請表現メッセージをマスターVNFCインスタンスに送信する。
証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含む。
証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵は、
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIが、新規インストールされたVNFCインスタンスをインスタンス化するときに、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で決定され得ることに留意されたい。
それに加えて、証明書発給申請表現メッセージは、証明書表現指示、認証機関情報、または同様のものをさらに含み得る。
ステップ102:マスターVNFCインスタンスは、新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために、証明書発給申請表現メッセージに従って認証機関に証明書要求メッセージを送信する。
証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む。
ステップ102において、マスターVNFCインスタンスは、新規インストールされたVNFCインスタンスを置き換えて証明書を認証機関に登録するために新規インストールされたVNFCインスタンスの証明書発給申請のエージェントとして使用されると仮定される。
証明書発給申請表現メッセージを受信すると、マスターVNFCインスタンスは、証明書発給申請表現メッセージに従って証明書要求メッセージを生成する。
証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む。
それに加えて、マスターVNFCインスタンスは、インストール証明書に対応する公開鍵を使用することによって生成済み証明書要求メッセージに署名する。
マスターVNFCインスタンスは、証明書要求メッセージを認証機関に送信する。
この場合、マスターVNFCインスタンスによって送信された証明書要求メッセージを受信したときに、認証機関は、マスターVNFCインスタンスの証明書を使用することによって受信済み証明書要求メッセージの署名について認証を実行し、ルートCA証明書または中間証明書を使用することによってマスターVNFCインスタンスの証明書について認証を実行する。
中間証明書を使用することによってマスターVNFCインスタンスの証明書について認証が実行されると仮定すると、認証は、ルートCA証明書を使用することによって中間証明書についても実行される必要があることに留意されたい。
認証に成功すると、認証機関は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名し、証明書応答メッセージをマスターVNFCに送信する。
証明書応答メッセージは、新規インストールされたVNFCインスタンスに発行された証明書、および/またはルートCA証明書、または同様のものを含む。
ステップ103:マスターのVNFCインスタンスは、認証機関によって発行された証明書を取得する。
証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に従って認証機関によって発行される。
ステップ103において、認証機関によって発行された証明書が取得される前に、方法は、
認証機関によって送信された証明書応答メッセージを受信することと、受信された証明書応答メッセージに関する認証を実行することとをさらに含む。
特に、認証機関によって送信された証明書応答メッセージを受信したときに、マスターVNFCインスタンスは、マスターVNFCインスタンスの証明書を使用することによって受信済み証明書応答メッセージの署名について認証を実行し、ルートCA証明書または中間証明書を使用することによってCA証明書について認証を実行する。
中間証明書を使用することによってCAインスタンス証明書について認証が実行されると仮定すると、認証は、ルートCA証明書を使用することによって中間証明書についても実行される必要があることに留意されたい。
認証が成功したときに、マスターVNFCインスタンスは、新規インストールされたVNFCインスタンスに認証機関によって発行され、証明書応答メッセージに含まれる証明書を取得する。
新規インストールされたVNFCインスタンスの証明書は、マスターVNFCによって送信された証明書要求メッセージがマスターVNFCインスタンスの証明書に従って認証された後に、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用され、証明書要求メッセージに含まれる公開鍵に署名することによって認証機関によって取得される。
本発明の別の実装において、証明書発給申請表現メッセージおよび証明書要求メッセージは、秘密鍵所有証明(POP、Proof of Possession)情報をさらに含む。
POP情報は、秘密-公開鍵ペア中の秘密鍵を使用して秘密鍵所有証明署名鍵フィールドに署名することによって新規インストールされたVNFCインスタンスによって取得される。
新規インストールされたVNFCインスタンスによって使用される秘密-公開鍵ペアは、
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIが、新規インストールされたVNFCインスタンスをインスタンス化するときに、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
本発明の別の実装において、マスターVNFCインスタンスが、認証機関によって新規インストールされたVNFCインスタンスに発行された証明書を取得した後に、方法は、
ネットワーク機能仮想化インフラストラクチャNFVIに、認証機関によって新規インストールされたVNFCインスタンスに発行された取得済み証明書を送信し、それにより、NFVIは、新規インストールされたVNFCインスタンスに、インストールのため、認証機関によって発行された証明書を新規インストールされたVNFCインスタンスに送信する、ことをさらに含む。
証明書をインストールした後、VNFCは、証明書発給申請完了確認応答をNFVIに送信し、NFVIは、証明書発給申請完了をVIMに送信し、VIMは、VNFMへのリソース配分完了を確認する。
VNFMは、新規インストールされたVNFCインスタンスを構成し、特定のパラメータをデプロイし、NFVOに、動作が完了したことを通知する。NFVOは、VNFCインスタンスをVIMおよびリソースプールにマップし、VNFMは、確認メッセージをEMSに送信し、EMSは、管理可能なデバイスへのVNFCインスタンスの追加または更新を行い、EMSは、新規インストールされたVNFCインスタンス上で発給申請特有のパラメータ構成を実行する。
この実施形態において、マスターVNFCインスタンスと認証機関との間に直接的なインターフェースがない場合、証明書要求/応答メッセージがEMSを用いて転送されるものとしてよい。
この実施形態において、新規インストールされたVNFCインスタンスが発給申請する証明書は、EMSによって発行されることもあり得、この場合、マスターVNFCインスタンスは、新規インストールされたVNFCインスタンスを置き換えて、EMSへの証明書登録を実行する。
本発明の第1実施形態のソリューションによれば、証明書を取得した後に、マスターVNFCインスタンスは、証明書発給申請メッセージを新規インストールされたVNFCインスタンスに転送することができ、新規インストールされたVNFCインスタンスは、証明書を取得するためにVNFに対する現在の方式を使用する必要がなく、それにより、新規インストールされたVNFCインスタンスが証明書を取得するときに引き起こされるやっかいな、より複雑なプロセスの問題が効果的に回避され、同じNFVIプラットフォーム上にあり、証明書をすでに取得している別のVNFCインスタンスを用いることによって、別のVNFCインスタンスと認証機関との間で別のVNFCインスタンスによって確立された信頼されるチャネルが、新規インストールされたVNFCインスタンスを置き換えて証明書を発給申請するために使用され、それにより、証明書が安全に取得できるだけでなく、プロセスが効果的に簡素化され、システム反応速度が向上し、システム稼働効率が改善される。
第2実施形態
図2に示されているように、図2は、本発明の第2実施形態による証明書取得方法の概略フローチャートである。方法は、次のように説明され得る。本発明のこの実施形態は、CAによって実行され得るか、または発行済み証明書を持つ別のデバイス、たとえば、RAもしくはEMSによって実行され得る。
ステップ201:認証機関は、マスターVNFCインスタンスによって送信された証明書要求メッセージを受信する。
証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCによって使用される公開鍵とを含む。
ステップ201において、VNFM AgentまたはNFVにおいて定義されているMaster VNFCに加えて、証明書要求メッセージを送信するマスターVNFCインスタンスは、新規インストールされたVNFCインスタンスに関連付けられているVNFCインスタンス内にあり、証明書をすでに取得している別のVNFコンポーネントであってよく、これは本明細書では限定されない。
ステップ202:認証機関は、マスターVNFCの証明書に従って証明書要求メッセージについて認証を実行し、認証が成功したときに、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによってこれから発行されるべき証明書を取得する。
ステップ202において、認証機関がマスターVNFCの証明書に従って証明書要求メッセージについて認証を実行することは、
認証機関によって、マスターVNFCインスタンスの証明書を使用することによって証明書要求メッセージの署名について認証を実行することと、発行済みルートCA証明書または発行済み中間証明書を使用することによってマスターVNFCインスタンスの受信済み証明書について認証を実行することとを含む。
特に、マスターVNFCインスタンスによって送信された証明書要求メッセージを受信したときに、CAは、マスターVNFCインスタンスの証明書を使用することによって受信済み証明書要求メッセージの署名について認証を実行し、ルートCA証明書または中間証明書を使用することによってマスターVNFCインスタンスの証明書について認証を実行する。
中間証明書を使用することによってマスターVNFCインスタンスの証明書について認証が実行されると仮定すると、認証は、ルートCA証明書を使用することによって中間証明書についても実行される必要があることに留意されたい。
認証に成功すると、CAは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名し、証明書応答メッセージを生成する。
証明書応答メッセージは、新規インストールされたVNFCインスタンスに発行された証明書、ルートCA証明書、または同様のものを含む。
本発明の別の実施形態において、証明書要求メッセージが、POP情報をさらに含む場合、証明書要求メッセージについて認証を実行するための方式は、
証明書を発給申請するために使用される、証明書要求メッセージに含まれる、公開鍵を使用することによって、証明書要求メッセージに含まれるPOP情報について認証を実行することをさらに含む。
ステップ203:認証機関は、これから発行されるべき証明書をマスターVNFCインスタンスに送信する。
ステップ203において、CAは、生成済み証明書応答メッセージをマスターVNFCインスタンスに送信し、証明書応答メッセージは、新規インストールされたVNFCインスタンスに発行された証明書、および/またはルートCA証明書、または同様のものを含む。
本発明の第2実施形態のソリューションによれば、同じNFVIハードウェアプラットフォーム上にあり、証明書をすでに取得している別のVNFCインスタンスを用いることによって、別のVNFCインスタンスと認証機関との間で別のVNFCインスタンスによって確立された信頼されるチャネルが、新規インストールされたVNFCインスタンスを置き換えて証明書を発給申請するために使用され、それにより、証明書が安全に取得できるだけでなく、プロセスが効果的に簡素化され、システム反応速度が向上し、システム稼働効率が改善される。
第3実施形態
図3に示されているように、図3は、本発明の第3実施形態による証明書取得方法の概略フローチャートである。方法は、次のように説明され得る。本発明のこの実施形態は、新規インストールされたVNFCインスタンスによって実行される。
ステップ301:新規インストールされたVNFCインスタンスは、証明書発給申請表現メッセージをマスターVNFCインスタンスに送信する。
証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含み、証明書発給申請表現メッセージは、証明書要求メッセージを認証機関に送信することをマスターVNFCインスタンスに要求するために使用され、証明書要求メッセージは、新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために使用され、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む。
ステップ301において、証明書発給申請表現メッセージがマスターVNFCインスタンスに送信される前に、方法は、
新規インストールされたVNFCインスタンスによって、NFVOまたはVNFMによって送信された証明書発給申請情報を受信することをさらに含む。
証明書発給申請情報は、証明書発給申請のエージェントとして使用されるマスターVNFCインスタンスに関する情報を含む。
特に、インストールプロセスにおいて、新規インストールされたVNFCインスタンスは、NFVIによって注入される証明書発給申請ポリシーメッセージを受信する。
証明書発給申請ポリシーメッセージを決定するための方式は、限定はしないが、次の2タイプを含む。
第1のタイプ:NFVオーケストレータNFVOが、マスターVNFCおよび新規作成されたVNFCインスタンスのロケーション情報に従って証明書発給申請ポリシー情報を決定する。
第2のタイプ:VNFMは、マスターVNFCおよび新規作成されたVNFCインスタンスのロケーション情報に従って証明書発給申請ポリシー情報を決定し、新規作成されたVNFCインスタンスのロケーション情報は、NFVOによってVNFMに送信される。
マスターVNFCおよび新規作成されたVNFCインスタンスのロケーション情報は、VIM識別情報またはVIMアドレス情報などの、マスターVNFCおよび新規作成されたVNFCインスタンスが配置されているNFVIに関連付けられているVIM情報である。
第1のタイプでは、NFVオーケストレータNFVOは、マスターVNFCおよび新規作成されたVNFCインスタンスのロケーション情報に従って証明書発給申請ポリシーを、
NFVOが新規VNFCインスタンスをインストールするために使用される動作命令を受信したときに、NFVOによって動作命令認証要求情報をVNFMに送信するというような特定の方式を使用することによって決定する。
新規VNFCインスタンスをインストールするために使用される動作命令は、VNFCインスタンス化動作命令、VNFスケールアウト動作命令、または同様のものを含むことに留意されたい。
新規VNFCインスタンスをインストールするために使用される動作命令は、EMS(Element Management System、要素管理システム)を使用することによって手動で、または自動的にトリガーされ得るか、またはVNFから測定データを収集し、スケールアウトが実行される必要があることを見いだしたときにNFVOによって取得され得るが、これは本明細書では限定されない。
動作命令認証要求情報を受信したときに、VNFMは、動作命令確認メッセージをNFVOに送信する。
動作命令確認メッセージを受信したときに、NFVOは、動作決定を実行し、リソース可用性をチェックし、リソースプールを選択してリソースを予約する。
NFVOは、マスターVNFCインスタンスおよび新規作成されたVNFCインスタンスのロケーション情報に従って新規インストールされたVNFCインスタンスの証明書発給申請ポリシーを決定し、証明書発給申請ポリシーをVNFMに送信する。
特にNFVOは、マスターVNFCインスタンスおよび新規作成されたVNFCインスタンスのロケーション情報に従って、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認する。
特にNFVOは、新規作成されたVNFCインスタンスおよびマスターVNFCインスタンスのロケーション情報および/またはVNF識別子情報に従って、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認する。
新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認した後に、NFVOは、新規インストールされたVNFCインスタンスの証明書発給申請ポリシーを決定し、証明書発給申請情報を新規インストールされたVNFCインスタンスに送信する。
証明書発給申請ポリシーは、新規作成されたVNFCインスタンスに対する証明書を発給申請するためにどの方式が使用され、エージェントメカニズムが使用される場合にエージェントとして誰が使用されるかということについて処理する。
第2のタイプでは、VNFMは、マスターVNFCおよび新規作成されたVNFCインスタンスのロケーション情報に従って証明書発給申請ポリシーを、
VNFM(VNF Manager、VNFマネージャ)が新規VNFCインスタンスをインストールするために使用される動作命令を受信したときに、VNFMによって、動作命令認証要求情報をNFVOに送信するというような特定の方式を使用することによって決定する。
新規VNFCインスタンスをインストールするために使用される動作命令は、VNFCインスタンス化動作命令、VNFスケールアウト動作命令、または同様のものを含むことに留意されたい。
新規VNFCインスタンスをインストールするために使用される動作命令は、EMS(Element Management System、要素管理システム)を使用することによって手動で、または自動的にトリガーされ得るか、またはVNFから測定データを収集し、スケールアウトが実行される必要があることを見いだしたときにVNFMによって取得され得るが、これは本明細書では限定されない。
動作命令認証要求情報を受信したときに、NFVOは、動作決定を実行し、リソース可用性をチェックし、リソースプールを選択し、リソースを予約し、動作命令確認メッセージをVNFMに送信する。
動作命令確認メッセージは、新規作成されたVNFCインスタンスのロケーション情報、および/またはマスターVNFCインスタンスのロケーション情報、および/または認証機関CA情報を含む。
認証機関情報は、事業者ドメイン内の認証機関の識別子、認証機関のIPアドレス、または同様のものを含み得る。
認証機関は、CA、RA、またはEMSなどの、証明書発行機能を備えるエンティティであってよい。
この場合、VNFMは、マスターVNFCインスタンスおよび新規作成されたVNFCインスタンスのロケーション情報に従って新規インストールされたVNFCインスタンスの証明書発給申請ポリシーを決定し、新規作成されたVNFCインスタンスのロケーション情報は、動作命令確認メッセージを使用することによってNFVOによってVNFMに送信される。
特にVNFMは、マスターVNFCインスタンスおよび新規作成されたVNFCインスタンスのロケーション情報に従って、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認する。
特にVNFMは、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスのロケーション情報および/またはVNF識別子情報に従って、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認する。
新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認した後に、VNFMは、新規インストールされたVNFCインスタンスの証明書発給申請ポリシーを決定し、証明書発給申請情報を新規インストールされたVNFCインスタンスに送信する。
証明書発給申請ポリシーは、新規作成されたVNFCインスタンスに対する証明書を発給申請するためにどの方式が使用され、エージェントメカニズムが使用される場合にエージェントとして誰が使用されるかということについて処理する。
したがって、これからわかるように、証明書発給申請ポリシーを決定するための第1の方式と証明書発給申請ポリシーを決定するための第2の方式との間の相違は、第1の方式では、証明書発給申請ポリシーはNFVOによって決定されることと、および第2の方式では、証明書発給申請ポリシーはVNFMによって決定されることとにある。
証明書発給申請ポリシーは、証明書発給申請情報を含み、証明書発給申請情報は、証明書発給申請表現メッセージまたは証明書発給申請方式指示のうちの1つまたは複数を含む。
証明書発給申請情報は、NFVOまたはVNFMが新規インストールされたVNFCインスタンスの証明書発給申請ポリシーを決定した後に新規インストールされたVNFCインスタンスに送信される。
特に、証明書発給申請情報は、NFVOおよびVNFMが新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認した後に生成される。
特にNFVOまたはVNFMは、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスのロケーション情報および/またはVNF識別子情報に従って、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認する。
証明書発給申請表現メッセージは、証明書発給申請エージェントの識別子情報、たとえば、IP(Internet Protocol、インターネットプロトコル)アドレス、MAC(Medium Access Control、媒体アクセス制御)識別子、または仮想NIC(Network Information Center、ネットワーク情報センター)アドレスを含む。
証明書発給申請方式指示は、明示的指示または暗示的指示であってよい。明示的指示は、たとえば、エージェントメカニズムであり、暗示的指示は、指定されたエージェント情報、または同様のものによって暗黙のうちに与えられ得る。
証明書発給申請ポリシーは、エージェントVNFCインスタンス、すなわち、新規インストールされたVNFCインスタンスに対する証明書を発給申請するマスターVNFCインスタンスを指示することに留意されたい。
たとえば、VNFM AgentまたはNFVにおいて定義されたMaster VNFCについて、Master VNFCは、VNFインスタンス化プロセスにおいて作成された第1のVNFCであり、VNFの内部管理を受け持つように構成され、VNFスケールアウトプロセスにおいて、マスターVNFCインスタンスは、VNFCインスタンスに関連付けられ、同じネットワーク機能仮想化インフラストラクチャ(NFVI、Network Function Virtualization Infrastructure)ハードウェアプラットフォーム上に配置されるVNFCとして定義され得る。
同様に、証明書発給申請ポリシーを決定するための第1の方式について、NFVOが証明書発給申請ポリシーを決定した後に、NFVOは、リソースをこれからインストールされるべきVMに配分することをVIMに要求するために、VM作成メッセージをVIMに送信し、VM作成メッセージは、証明書発給申請情報を含む。
VMはVMを作成するようにNFVIに指令し、証明書発給申請情報をNFVIに送信し、NFVIは、VMを作成し、作成確認メッセージをVIMに送信する。
VMが作成された後、NFVIは安全な方式で新規インストールされたNVFCインスタンスを起動し、新規インストールされたVNFCインスタンスを作成されたVM上で実行し、証明書発給申請情報を新規インストールされたVNFCインスタンスに注入する。
証明書発給申請ポリシーを決定するための第2の方式について、VNFMが証明書発給申請ポリシーを決定した後に、VNFMは、リソースをこれからインストールされるべきVMに配分することをVIMに要求するために、VM作成メッセージをVIMに送信し、VM作成メッセージは、証明書発給申請情報を含む。
VIMはVMを作成するようにNFVIに指令し、証明書発給申請情報をNFVIに送信し、NFVIは、VMを作成し、作成確認メッセージをVIMに送信する。
VMが作成された後、NFVIは安全な方式でNVFCを起動し、新規インストールされたVNFCインスタンスを作成されたVM上で実行し、証明書発給申請情報を新規インストールされたVNFCインスタンスに注入する。
本発明の別の実施形態において、方法は、新規インストールされたVNFCインスタンスによって、証明書発給申請情報に従って、証明書発給申請のエージェントとして使用されるマスターVNFCインスタンスへのネットワーク接続を確立することをさらに含む。
ネットワーク接続は、同じNFVIプラットフォーム上のVNFの内側のネットワーク接続である。
新規インストールされたVNFCインスタンスは、証明書発給申請メッセージに含まれる証明書発給申請表現情報に従って、証明書発給申請を実行するためにエージェントとして使用されるマスターVNFCインスタンスを決定し、証明書発給申請表現メッセージをマスターVNFCインスタンスに送信する。
特に、証明書発給申請のエージェントとして使用されるマスターVNFCに関する情報は、インターネットプロトコルIPアドレス、媒体アクセス制御MAC識別子、およびマスターVNFCインスタンスのアドレスである仮想ネットワーク情報センターNICアドレスを含む。
証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含む。
証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵は、
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIが、新規インストールされたVNFCインスタンスをインスタンス化するときに、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で決定され得ることに留意されたい。
証明書発給申請表現メッセージは、POP情報をさらに含み、POP情報は、秘密-公開鍵ペア中の秘密鍵を使用して秘密鍵所有証明署名鍵フィールドに署名することによって新規インストールされたVNFCインスタンスによって取得される。
それに加えて、証明書発給申請表現メッセージは、証明書表現指示、CA情報、または同様のものをさらに含み得る。
ステップ302:新規インストールされたVNFCインスタンスは、認証機関によって発行され、マスターVNFCインスタンスによって送信された証明書を受信する。
証明書は、マスターVNFCによって送信された証明書要求メッセージがマスターVNFCインスタンスの証明書に従って認証された後に、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによって認証機関によって取得される。
認証機関は、CA、RA、またはEMSなどの、証明書発行機能を備えるエンティティであってよい。
証明書発給申請表現メッセージがマスターVNFCインスタンスに送信される前に、方法は、
新規インストールされたVNFCインスタンスのインストールがVNFインスタンス化によってトリガーされると決定すること、または
新規インストールされたVNFCインスタンスのインストールがVNFスケールアウトによってトリガーされると決定することをさらに含むことに留意されたい。
本発明の第3実施形態のソリューションによれば、同じNFVIプラットフォーム上にあり、証明書をすでに取得している別のVNFCインスタンスを用いることによって、別のVNFCインスタンスと認証機関との間で別のVNFCインスタンスによって確立された信頼されるチャネルが、新規インストールされたVNFCインスタンスを置き換えて証明書を発給申請するために使用され、それにより、証明書が安全に取得できるだけでなく、プロセスが効果的に簡素化され、システム反応速度が向上し、システム稼働効率が改善される。
第4実施形態
図4Aおよび図4Bに示されているように、図4Aおよび図4Bは、本発明の第4実施形態による証明書取得方法の概略フローチャートである。方法は、次のように説明され得る。
ステップ401:VNFMが、新規VNFCインスタンスをインストールするために使用される動作命令を受信する。
新規VNFCインスタンスをインストールするために使用される動作命令は、VNFCインスタンス化動作命令、VNFスケールアウト動作命令、または同様のものを含むことに留意されたい。
新規VNFCインスタンスをインストールするために使用される動作命令は、EMS(Element Management System、要素管理システム)を使用することによって手動で、または自動的にトリガーされ得るか、またはVNFから測定データを収集し、スケールアウトが実行される必要があることを見いだしたときにVNFMによって取得され得るが、これは本明細書では限定されない。
ステップ402:VNFMは、動作命令認証要求情報をNFVOに送信する。
ステップ403:動作命令認証要求情報を受信したときに、NFVOは、動作決定を実行し、リソース可用性をチェックする。
ステップ404:NFVOは、動作命令認証メッセージをVNFMに送信する。
動作命令確認メッセージは、新規作成されたVNFCインスタンスのロケーション情報および/または認証機関情報を含む。
新規作成されたVNFCインスタンスのロケーション情報は、新規作成されたVNFCインスタンスが配置されるNFVIに関連付けられているVIM情報、たとえば、VIM識別情報またはVIMアドレス情報である。
認証機関情報は、事業者ドメイン内の認証機関の識別子、認証機関のIPアドレス、または同様のものを含み得る。認証機関は、CA、RA、またはEMSなどの、証明書発行機能を備えるエンティティであってよい。
ステップ405:VNFMは、マスターVNFCインスタンスのロケーション情報および新規作成されたVNFCインスタンスのロケーション情報に従って新規インストールされたVNFCインスタンスの証明書発給申請ポリシーを決定する。
証明書発給申請ポリシーは、新規インストールされたVNFCインスタンスに対する証明書を発給申請するエージェントを決定するために使用される。
特にVNFMは、マスターVNFCインスタンスおよび新規作成されたVNFCインスタンスのロケーション情報に従って、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認する。
特にVNFMは、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスのロケーション情報および/またはVNF識別子情報に従って、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認する。
新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認した後に、VNFMは、新規インストールされたVNFCインスタンスの証明書発給申請ポリシーを決定し、証明書発給申請情報を新規インストールされたVNFCインスタンスに送信する。
証明書発給申請ポリシーは、新規作成されたVNFCインスタンスに対する証明書を発給申請するためにどの方式が使用され、エージェントメカニズムが使用される場合にエージェントとして誰が使用されるかということについて処理する。
証明書発給申請ポリシーは、証明書発給申請情報を含み、証明書発給申請情報は、証明書発給申請表現メッセージまたは証明書発給申請方式指示のうちの1つまたは複数を含む。
証明書発給申請情報は、VNFMが新規インストールされたVNFCインスタンスの証明書発給申請ポリシーを決定した後に新規インストールされたVNFCインスタンスに送信される。
特に、証明書発給申請情報は、VNFMが新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認した後に生成される。
特にVNFMは、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスのロケーション情報および/またはVNF識別子情報に従って、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認する。
証明書発給申請表現メッセージは、証明書発給申請エージェントの識別子情報、たとえば、IP(Internet Protocol、インターネットプロトコル)アドレス、MAC(Medium Access Control、媒体アクセス制御)識別子、または仮想NIC(Network Information Center、ネットワーク情報センター)アドレスを含む。
証明書発給申請方式指示は、明示的指示または暗示的指示であってよい。明示的指示は、たとえば、エージェントメカニズムであり、暗示的指示は、指定されたエージェント情報、または同様のものによって暗黙のうちに与えられ得る。
証明書発給申請ポリシーは、エージェントVNFCインスタンス、すなわち、新規インストールされたVNFCインスタンスに対する証明書を発給申請するマスターVNFCインスタンスを指示することに留意されたい。
たとえば、VNFM AgentまたはNFVにおいて定義されたMaster VNFCについて、Master VNFCは、VNFインスタンス化プロセスにおいて作成された第1のVNFCであり、VNFの内部管理を受け持つように構成され、VNFスケールアウトプロセスにおいて、マスターVNFCは、VNFCインスタンスに関連付けられ、同じネットワーク機能仮想化インフラストラクチャ(NFVI、Network Function Virtualization Infrastructure)ハードウェアプラットフォーム上に配置されるVNFCインスタンスとして定義され得る。
ステップ406:VNFMは、リソースをこれからインストールされるべきVMに配分することをVIMに要求するために、VM作成メッセージをVIMに送信する。
VM作成メッセージは、証明書発給申請情報を含む。
ステップ407:VMはVMを作成するようにNFVIに指令し、証明書発給申請情報をNFVIに送信する。
ステップ408:NFVIは、VMを作成し、作成確認メッセージをVIMに送信する。
ステップ409:VMが作成された後、NFVIは安全な方式でNVFCインスタンスを起動し、新規インストールされたVNFCインスタンスを作成されたVM上で実行し、証明書発給申請情報を新規インストールされたVNFCインスタンスに注入する。
ステップ410:新規インストールされたVNFCインスタンスは、証明書発給申請情報に従って、証明書発給申請を実行するためにエージェントとして使用されるマスターVNFCインスタンスを決定し、証明書発給申請のエージェントとして使用されるマスターVNFCインスタンスへのネットワーク接続を確立する。
ネットワーク接続は、同じNFVIプラットフォーム上のVNFの内側のネットワーク接続である。
ステップ411:新規インストールされたVNFCインスタンスは、証明書発給申請表現メッセージをマスターVNFCインスタンスに送信する。
証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含む。
証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵は、
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIが、新規インストールされたVNFCインスタンスをインスタンス化するときに、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で決定され得ることに留意されたい。
証明書発給申請表現メッセージは、POP情報をさらに含み、POP情報は、秘密-公開鍵ペア中の秘密鍵を使用して秘密鍵所有証明署名鍵POP Signing Keyフィールドに署名することによって新規インストールされたVNFCインスタンスによって取得される。
それに加えて、証明書発給申請表現メッセージは、証明書表現指示、CA情報、または同様のものをさらに含み得る。
ステップ412:マスターVNFCインスタンスは、証明書発給申請表現メッセージに従って認証機関と情報を交換し、CAによって新規インストールされたVNFCインスタンスに発行された証明書を取得する。
ステップ412の特定の実装方式は、本発明の第1実施形態、本発明の第2実施形態、および本発明の第3実施形態においてマスターVNFCインスタンスが新規インストールされたVNFCインスタンスを置き換えて、認証機関によって新規インストールされたVNFCインスタンスに発行された証明書を取得する方式と同じであり、詳細については本明細書で説明しない。
ステップ413:マスターVNFCは、内部ネットワーク接続を用いて新規インストールされたVNFCインスタンスに、認証機関によって新規インストールされたVNFCインスタンスに発行された取得済み証明書を送信する。
ステップ414:新規インストールされたVNFCインスタンスは、証明書をインストールする。
ステップ415:証明書をインストールした後、VNFCは、証明書発給申請完了確認応答をNFVIに送信する。
ステップ416:NFVIは、証明書発給申請完了をVIMに送信する。
ステップ417:VIMは、VNFMへのリソース配分完了を確認する。
ステップ418:VNFMは、新規インストールされたVNFCインスタンスを構成し、特定のパラメータをデプロイし、NFVOに、動作が完了したことを通知する。
それに加えて、NFVOは、VNFCインスタンスをVIMおよびリソースプールにマップし、VNFMは、確認メッセージをEMSに送信し、EMSは、管理可能なデバイスへのVNFCインスタンスの追加または更新を行い、EMSは、新規インストールされたVNFCインスタンス上で発給申請特有のパラメータ構成を実行する。
この実施形態において、マスターVNFCインスタンスと認証機関CAとの間に直接的なインターフェースがない場合、証明書要求/応答メッセージがEMSを用いて転送されるものとしてよい。
この実施形態において、新規インストールされたVNFCインスタンスが発給申請する証明書は、EMSによって発行されることもあり得、この場合、マスターVNFCインスタンスは、新規インストールされたVNFCインスタンスを置き換えて、EMSへの証明書登録を実行する。
本発明の第4実施形態のソリューションによれば、同じNFVIプラットフォーム上にあり、証明書をすでに取得している別のVNFCインスタンスを用いることによって、別のVNFCインスタンスと認証機関との間で別のVNFCインスタンスによって確立された信頼されるチャネルが、新規インストールされたVNFCインスタンスを置き換えて証明書を発給申請するために使用され、それにより、証明書が安全に取得できるだけでなく、プロセスが効果的に簡素化され、システム反応速度が向上し、システム稼働効率が改善される。
第5実施形態
本発明の第5実施形態は、証明書取得方法を提供する。本発明の第5実施形態によって提供される証明書取得方法および第4実施形態によって提供される証明書取得方法は、基本的には同じであるが、相違点もある。最大の相違点は、証明書発給申請ポリシーを決定するための方式が異なることである。
特に、NFVOが新規VNFCインスタンスをインストールするために使用される動作命令を受信したときに、NFVOは、動作命令認証要求情報をVNFMに送信する。
新規VNFCインスタンスをインストールするために使用される動作命令は、VNFCインスタンス化動作命令、VNFスケールアウト動作命令、または同様のものを含むことに留意されたい。
新規VNFCインスタンスをインストールするために使用される動作命令は、EMS(Element Management System、要素管理システム)を使用することによって手動で、または自動的にトリガーされ得るか、またはVNFから測定データを収集し、スケールアウトが実行される必要があることを見いだしたときにNFVOによって取得され得るが、これは本明細書では限定されない。
動作命令認証要求情報を受信したときに、VNFMは、動作命令確認メッセージをNFVOに送信する。
動作命令確認メッセージを受信したときに、NFVOは、動作決定を実行し、リソース可用性をチェックし、リソースプールを選択してリソースを予約する。NFVOは、マスターVNFCインスタンスおよび新規作成されたVNFCインスタンスのロケーション情報に従って新規インストールされたVNFCインスタンスの証明書申請ポリシーを決定し、証明書申請ポリシーをVNFMに送信する。
証明書発給申請ポリシーは、証明書発給申請情報を含む。
証明書発給申請情報は、NFVOが新規インストールされたVNFCインスタンスの証明書発給申請ポリシーを決定した後に新規インストールされたVNFCインスタンスに送信される。
特に、証明書発給申請情報は、NFVOが新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認した後に生成される。
特にNFVOは、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスのロケーション情報および/またはVNF識別子情報に従って、新規インストールされたVNFCインスタンスおよびマスターVNFCインスタンスが同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントであることを確認する。
第6実施形態
図5に示されているように、図5は、本発明の第6実施形態による証明書取得デバイスの概略構造図である。デバイスは、受信モジュール51と、送信モジュール52と、および取得モジュール53とを備える。
受信モジュール51は、新規インストールされた仮想ネットワーク機能VNFCインスタンスによって送信される証明書発給申請表現メッセージを受信するように構成され、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含む。
送信モジュール52は、受信モジュール51によって受信された証明書発給申請表現メッセージに従って認証機関に証明書要求メッセージを送信し、新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するように構成され、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む。
取得モジュール53は、認証機関によって発行された証明書を取得するように構成され、証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を使用することによって認証機関によって発行される。
適宜、デバイスは、認証モジュール54をさらに備える。
受信モジュール51は、取得モジュールが認証機関によって発行された証明書を取得する前に、認証機関によって送信された証明書応答メッセージを受信するようにさらに構成される。
認証モジュール54は、受信モジュール51によって受信された証明書応答メッセージについて認証を実行するように構成される。
特に、証明書応答メッセージは、認証機関によって発行される証明書を含む。
取得モジュール53は、認証モジュールが、証明書応答メッセージが認証されていると決定したときに、新規インストールされたVNFCインスタンスに認証機関によって発行され、証明書応答メッセージに含まれる証明書を取得するように特に構成され、新規インストールされたVNFCインスタンスの証明書は、マスターVNFCによって送信された証明書発給申請要求メッセージがマスターVNFCインスタンスの証明書に従って認証された後に、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用され、証明書要求メッセージに含まれる公開鍵に署名することによって認証機関によって取得される。
適宜、証明書発給申請表現メッセージおよび証明書要求メッセージは、秘密鍵所有証明POP情報をさらに含む。
適宜、POP情報は、秘密-公開鍵ペア中の秘密鍵を使用して秘密鍵所有証明署名鍵フィールドに署名することによって新規インストールされたVNFCインスタンスによって取得される。
適宜、新規インストールされたVNFCインスタンスによって使用される秘密-公開鍵ペアは、
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
送信モジュール52は、取得モジュールが認証機関によって新規インストールされたVNFCインスタンスに発行された証明書を取得した後に、新規インストールされたVNFCインスタンスに、内部ネットワークを用いて、認証機関によって発行された取得済み証明書を新規インストールされたVNFCインスタンスに送信するようにさらに構成される。
マスターVNFCインスタンスおよび新規インストールされたVNFCインスタンスは、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントである。
本発明のこの実施形態におけるデバイスは、新規インストールされたVNFCインスタンスとともに、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFに属す別のコンポーネント、たとえば、マスターVNFCインスタンスであってよいことに留意されたい。一実装の方式は、ハードウェア方式で実装され得るか、またはソフトウェア方式で実装され得る。
第7実施形態
図6に示されているように、図6は、本発明の第7実施形態による証明書取得デバイスの概略構造図である。デバイスは、受信モジュール61と、証明書発行モジュール62と、送信モジュール63とを備える。
受信モジュール61は、マスターVNFCインスタンスによって送信された証明書要求メッセージを受信するように構成され、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む。
証明書発行モジュール62は、受信モジュールによって受信されたマスターVNFCインスタンスの証明書に従って証明書要求メッセージについて認証を実行し、認証が成功したときに、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによってこれから発行されるべき証明書を取得するように構成される。
送信モジュール63は、マスターVNFCインスタンスに、証明書発行モジュールによって発行されるこれから発行されるべき証明書を送信するように構成される。
特に、証明書発行モジュール62は、マスターVNFCインスタンスの証明書を使用することによって証明書要求メッセージの署名について認証を実行し、発行済みルートCA証明書または発行済み中間証明書を使用することによってマスターVNFCインスタンスの受信済み証明書について認証を実行するように特に構成される。
適宜、証明書要求メッセージは、秘密鍵所有証明POP情報をさらに含む。
証明書発行モジュール62は、証明書を発給申請するために使用される、証明書要求メッセージに含まれる、公開鍵を使用することによって、証明書要求メッセージに含まれるPOP情報について認証を実行するようにさらに構成される。
本発明のこの実施形態におけるデバイスは、認証機関、たとえば、CA、ESA、またはRAなどの、証明書発行機能を有するネットワーク要素デバイスであってよいことに留意されたい。一実装の方式は、ハードウェア方式で実装され得るか、またはソフトウェア方式で実装され得る。
第8実施形態
図7に示されているように、図7は、本発明の第8実施形態による証明書取得デバイスの概略構造図である。デバイスは、送信モジュール71と受信モジュール72とを備える。
送信モジュール71は、マスター仮想化ネットワーク機能コンポーネントVNFCインスタンスに証明書発給申請表現メッセージを送信するように構成され、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含み、証明書発給申請表現メッセージは、証明書要求メッセージを認証機関に送信することをマスターVNFCインスタンスに要求するために使用され、証明書要求メッセージは、新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために使用され、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む。
受信モジュール72は、認証機関によって発行され、マスターVNFCインスタンスによって送信された証明書を受信するように構成され、証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによって認証機関によって取得される。
適宜、受信モジュール71は、証明書発給申請表現メッセージがマスターVNFCに送信される前に、NFVOまたはVNFMによって送信された証明書発給申請情報を受信するようにさらに構成され、証明書発給申請情報は、証明書発給申請のエージェントとして使用されるマスターVNFCインスタンスに関する情報を含む。
適宜、デバイスは、確立モジュール73をさらに備える。
確立モジュール73は、証明書発給申請表現メッセージがマスターVNFCに送信される前に、受信モジュールによって受信された証明書発給申請情報に従って、証明書発給申請のエージェントとして使用されるマスターVNFCインスタンスへのネットワーク接続を確立するように構成され、ネットワーク接続は、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上のVNFの内側のネットワーク接続である。
特に、受信モジュール72は、インストール時に、ネットワーク機能仮想化インフラストラクチャNFVIによって注入される証明書発給申請情報を受信するように特に構成される。
適宜、証明書発給申請のエージェントとして使用されるマスターVNFCに関する情報は、インターネットプロトコルIPアドレス、媒体アクセス制御MAC識別子、およびマスターVNFCインスタンスのアドレスである仮想ネットワーク情報センターNICアドレスを含む。
適宜、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵は、
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
適宜、証明書発給申請表現メッセージをマスターVNFCインスタンスに送信するように新規インストールされたVNFCインスタンスをトリガーするための方式は、
VNFインスタンス化を用いてトリガーするか、またはVNFスケールアウトを用いてトリガーすることを含む。
本発明のこの実施形態におけるデバイスは、証明書を発給申請する必要がある新規インストールされたVNFCインスタンスであり得るか、または証明書を発給申請する必要がある新規インストールされたVNFCインスタンス上に一体化された制御ネットワーク要素であってよいことに留意されたい。一実装の方式は、ハードウェア方式で実装され得るか、またはソフトウェア方式で実装され得るが、これは本明細書では限定されない。
第9実施形態
図8に示されているように、図8は、本発明の第9実施形態による証明書取得デバイスの概略構造図である。デバイスは、信号受信機81と、信号送信機82と、プロセッサ83とを備え、信号受信機81、信号送信機82、およびプロセッサ83は、通信バス84を使用することによって接続される。
信号受信機81は、新規インストールされた仮想ネットワーク機能VNFCインスタンスによって送信される証明書発給申請表現メッセージを受信するように構成され、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含む。
信号送信機82は、新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために、証明書発給申請表現メッセージに従って認証機関に証明書要求メッセージを送信するように構成され、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む。
プロセッサ83は、認証機関によって発行された証明書を取得するように構成され、証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を使用することによって認証機関によって発行される。
適宜、信号受信機81は、認証機関によって発行された証明書が取得される前に、認証機関によって送信された証明書応答メッセージを受信するようにさらに構成される。
プロセッサ83は、受信された証明書応答メッセージについて認証を実行するようにさらに構成される。
特に、証明書応答メッセージは、認証機関によって発行される証明書を含む。
プロセッサ83は、証明書応答メッセージが認証されたときに、証明書応答メッセージに含まれ、新規インストールされたVNFCインスタンスに認証機関によって発行される証明書を取得するように特に構成され、新規インストールされたVNFCインスタンスの証明書は、マスターVNFCによって送信された証明書発給申請要求メッセージがマスターVNFCインスタンスの証明書に従って認証された後に、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用され、証明書要求メッセージに含まれる公開鍵に署名することによって認証機関によって取得される。
適宜、証明書発給申請表現メッセージおよび証明書要求メッセージは、秘密鍵所有証明POP情報をさらに含む。
適宜、POP情報は、秘密-公開鍵ペア中の秘密鍵を使用して秘密鍵所有証明署名鍵フィールドに署名することによって新規インストールされたVNFCインスタンスによって取得される。
適宜、新規インストールされたVNFCインスタンスによって使用される秘密-公開鍵ペアは、
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
適宜、信号送信機82は、新規インストールされたVNFCインスタンスに認証機関によって発行された証明書が取得された後に、新規インストールされたVNFCインスタンスに、内部ネットワークを用いて、認証機関によって発行された取得済み証明書を新規インストールされたVNFCインスタンスに送信するようにさらに構成される。
マスターVNFCインスタンスおよび新規インストールされたVNFCインスタンスは、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFの異なるコンポーネントである。
プロセッサ83は、汎用中央演算処理装置(CPU)、マイクロプロセッサ、特定用途向き集積回路(application-specific integrated circuit、ASIC)、または本発明のソリューションにおいて実行されるべきプログラムを制御するように構成されている1つまたは複数の集積回路であってよい。
通信バス84は、チャネルを備え、前述のコンポーネントの間で情報を送信するものとしてよい。
本発明のこの実施形態におけるデバイスは、新規インストールされたVNFCインスタンスとともに、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上の同じVNFに属す別のコンポーネント、たとえば、マスターVNFCインスタンスであってよいことに留意されたい。一実装の方式は、ハードウェア方式で実装され得るか、またはソフトウェア方式で実装され得る。
第10実施形態
図9に示されているように、図9は、本発明の第10実施形態による証明書取得デバイスの概略構造図である。デバイスは、信号受信機91と、プロセッサ92と、信号送信機93とを備え、信号受信機91、プロセッサ92、および信号送信機93は、通信バス94を使用することによって接続される。
信号受信機91は、マスターVNFCインスタンスによって送信された証明書要求メッセージを受信するように構成され、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む。
プロセッサ92は、マスターVNFCインスタンスの証明書に従って証明書要求メッセージについて認証を実行し、認証が成功したときに、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによってこれから発行されるべき証明書を取得するように構成される。
信号送信機93は、これから発行されるべき証明書をマスターVNFCインスタンスに送信するように構成される。
特に、プロセッサ92は、マスターVNFCインスタンスの証明書を使用することによって証明書要求メッセージの署名について認証を実行し、発行済みルートCA証明書または発行済み中間証明書を使用することによってマスターVNFCインスタンスの受信済み証明書について認証を実行するように特に構成される。
適宜、証明書要求メッセージは、秘密鍵所有証明POP情報をさらに含む。
プロセッサ92は、認証機関によって、証明書を発給申請するために使用される、証明書要求メッセージに含まれる、公開鍵を使用することによって、証明書要求メッセージに含まれるPOP情報について認証を実行するようにさらに構成される。
プロセッサ92は、汎用中央演算処理装置(CPU)、マイクロプロセッサ、特定用途向き集積回路(application-specific integrated circuit、ASIC)、または本発明のソリューションにおいて実行されるべきプログラムを制御するように構成されている1つまたは複数の集積回路であってよい。
通信バス94は、チャネルを備え、前述のコンポーネントの間で情報を送信するものとしてよい。
本発明のこの実施形態におけるデバイスは、認証機関、たとえば、CA、ESA、またはRAなどの、証明書発行機能を有するネットワーク要素デバイスであってよいことに留意されたい。一実装の方式は、ハードウェア方式で実装され得るか、またはソフトウェア方式で実装され得る。
第11実施形態
図10に示されているように、図10は、本発明の第10実施形態による証明書取得デバイスの概略構造図である。デバイスは、信号送信機1001と、信号受信機1002とを備え、信号送信機1001および信号受信機1002は、通信バス1003を使用することによって接続される。
信号送信機1001は、マスター仮想化ネットワーク機能コンポーネントVNFCインスタンスに証明書発給申請表現メッセージを送信するように構成され、証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含み、証明書発給申請表現メッセージは、証明書要求メッセージを認証機関に送信することをマスターVNFCインスタンスに要求するために使用され、証明書要求メッセージは、新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために使用され、証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む。
信号受信機1002は、認証機関によって発行され、マスターVNFCインスタンスによって送信された証明書を取得するように構成され、証明書は、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵に署名することによって認証機関によって取得される。
適宜、信号受信機1002は、証明書発給申請表現メッセージがマスターVNFCに送信される前に、NFVOまたはVNFMによって送信された証明書発給申請情報を受信するようにさらに構成され、証明書発給申請情報は、証明書発給申請のエージェントとして使用されるマスターVNFCインスタンスに関する情報を含む。
適宜、デバイスは、プロセッサ1004をさらに備える。
プロセッサ1004は、証明書発給申請表現メッセージがマスターVNFCに送信される前に、証明書申請情報に従って、証明書申請のエージェントとして使用されるマスターVNFCインスタンスへのネットワーク接続を確立するように構成され、ネットワーク接続は、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上のVNFの内側のネットワーク接続である。
特に、信号受信機1002は、インストール時に、ネットワーク機能仮想化インフラストラクチャNFVIによって注入される証明書発給申請情報を受信するように特に構成される。
適宜、証明書発給申請のエージェントとして使用されるマスターVNFCに関する情報は、インターネットプロトコルIPアドレス、媒体アクセス制御MAC識別子、およびマスターVNFCインスタンスのアドレスである仮想ネットワーク情報センターNICアドレスを含む。
適宜、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵は、
新規インストールされたVNFCインスタンスによって、秘密-公開鍵ペアを生成するか、または
ネットワーク機能仮想化インフラストラクチャNFVIによって、秘密-公開鍵ペアを生成し、秘密-公開鍵ペアを新規インストールされたVNFCインスタンス内に注入する、という方式で取得される。
適宜、証明書発給申請表現メッセージをマスターVNFCインスタンスに送信するように新規インストールされたVNFCインスタンスをトリガーするための方式は、
VNFインスタンス化を用いてトリガーするか、または
VNFスケールアウトを用いてトリガーすることを含む。
プロセッサ1004は、汎用中央演算処理装置(CPU)、マイクロプロセッサ、特定用途向き集積回路(application-specific integrated circuit、ASIC)、または本発明のソリューションにおいて実行されるべきプログラムを制御するように構成されている1つまたは複数の集積回路であってよい。
通信バス1003は、チャネルを備え、前述のコンポーネントの間で情報を送信するものとしてよい。
本発明のこの実施形態におけるデバイスは、証明書を発給申請する必要がある新規インストールされたVNFCインスタンスであり得るか、または証明書を発給申請する必要がある新規インストールされたVNFCインスタンス上に一体化された制御ネットワーク要素であってよいことに留意されたい。一実装の方式は、ハードウェア方式で実装され得るか、またはソフトウェア方式で実装され得るが、これは本明細書では限定されない。
当業者であれば、本発明の実施形態が方法、装置(デバイス)、またはコンピュータプログラム製品として実現され得ることを理解するであろう。したがって、本発明では、ハードウェアのみの実施形態、ソフトウェアのみの実施形態、またはソフトウェアとハードウェアとの組合せによる実施形態の形態を使用し得る。さらに、本出願では、コンピュータ使用可能プログラムコードを含む1つまたは複数のコンピュータ使用可能記憶媒体(限定はしないが、ディスクメモリ、CD-ROM、光メモリ、および同様のものを含む)上に実装されるコンピュータプログラム製品の形態を使用し得る。
本発明は、本出願の実施形態による方法、装置(デバイス)、およびコンピュータプログラム製品のフローチャートおよび/またはブロック図を参照しつつ説明されている。フローチャートおよび/またはブロック図内の各プロセスおよび/または各ブロック、ならびにフローチャートおよび/またはブロック図内のプロセスおよび/またはブロックの組合せを実装するためにコンピュータプログラム命令が使用され得ることが理解されるであろう。これらのコンピュータプログラム命令は、マシンを生成するために汎用コンピュータ、専用コンピュータ、組み込みプロセッサ、または他のプログラム可能データ処理デバイスのプロセッサに対して用意され、これにより、コンピュータまたは他のプログラム可能データ処理デバイスのプロセッサによって実行される命令が、フローチャート内の1つまたは複数のプロセスで、および/またはブロック図内の1つまたは複数のブロックで、特定の機能を実装するための装置を生成することができる。
これらのコンピュータプログラム命令は、マシンを生成するために汎用コンピュータ、専用コンピュータ、組み込みプロセッサ、または他のプログラム可能データ処理デバイスのプロセッサに対して用意され、これにより、コンピュータまたは他のプログラム可能データ処理デバイスのプロセッサによって実行される命令が、フローチャート内の1つまたは複数のプロセスで、および/またはブロック図内の1つまたは複数のブロックで、特定の機能を実装するための装置を生成することができる。
これらのコンピュータプログラム命令は、コンピュータまたは別のプログラム可能データ処理デバイス上にロードされてもよく、これにより、コンピュータまたは他のプログラム可能デバイス上で一連のオペレーションおよびステップが実行され、これにより、コンピュータによって実装される処理を生成する。したがって、コンピュータまたは他のプログラム可能デバイス上で実行される命令は、フローチャート内の1つまたは複数のプロセスで、および/またはブロック図内の1つまたは複数のブロックで、特定の機能を実装するためのステップを提供する。
本出願のいくつかの好ましい実施形態が説明されたけれども、当業者であれば、基本的な発明概念を学習した後にこれらの実施形態に対して変更および修正を加えることができる。したがって、以下の請求項は、好ましい実施形態ならびに本発明の範囲内に入るすべての変更および修正を対象とすることを意図されている。
明らかに、当業者であれば、本発明の精神および範囲から逸脱することなく、本発明に対しさまざまな修正および変更を加えることができる。本発明は、本発明の請求項およびその同等の技術の範囲内にある限りそれらの修正および変更も対象とすることも意図されている。
51 受信モジュール
52 送信モジュール
53 取得モジュール
54 認証モジュール
61 受信モジュール
62 証明書発行モジュール
63 送信モジュール
71 送信モジュール
72 受信モジュール
73 確立モジュール
81 信号受信機
82 信号送信機
83 プロセッサ
84 通信バス
91 信号受信機
92 プロセッサ
93 信号送信機
94 通信バス
1001 信号送信機
1002 信号受信機
1003 通信バス
1004 プロセッサ

Claims (15)

  1. 証明書取得デバイスであって、
    新規インストールされた仮想化ネットワーク機能コンポーネント(VNFCインスタンスによって送信される証明書発給申請表現メッセージを受信するように構成された受信モジュールであって、前記証明書発給申請表現メッセージは、証明書を発給申請するために前記新規インストールされたVNFCインスタンスによって使用される公開鍵を含む、受信モジュールと、
    前記新規インストールされたVNFCインスタンスに証明書を発行することを認証機関に要求するために、前記受信モジュールによって受信された前記証明書発給申請表現メッセージに従って前記認証機関に証明書要求メッセージを送信するように構成された送信モジュールであって、前記証明書要求メッセージは、マスターVNFCインスタンスの証明書と、証明書を発給申請するために前記新規インストールされたVNFCインスタンスによって使用される前記公開鍵とを含む、送信モジュールと、
    前記認証機関によって発行された前記証明書を取得するように構成された取得モジュールであって、前記証明書は、証明書を発給申請するために前記新規インストールされたVNFCインスタンスによって使用される前記公開鍵を使用することによって前記認証機関によって発行される、取得モジュールと
    を備えるデバイス。
  2. 認証モジュールをさらに備え、
    前記受信モジュールは、前記取得モジュールが前記認証機関によって発行された前記証明書を取得する前に、前記認証機関によって送信された証明書応答メッセージを受信するようにさらに構成され、
    前記認証モジュールは、前記受信モジュールによって受信された前記証明書応答メッセージについて認証を実行するように構成される、請求項1に記載のデバイス。
  3. 前記証明書応答メッセージは、前記認証機関によって発行される前記証明書を含み、
    前記取得モジュールは、前記認証モジュールが、前記証明書応答メッセージが認証されていると決定したときに、前記新規インストールされたVNFCインスタンスに前記認証機関によって発行され、前記証明書応答メッセージに含まれる前記証明書を取得するように特に構成され、前記新規インストールされたVNFCインスタンスの前記証明書は、前記マスターVNFCによって送信された証明書発給申請要求メッセージが前記マスターVNFCインスタンスの前記証明書に従って認証された後に、証明書を発給申請するために前記新規インストールされたVNFCインスタンスによって使用され、前記証明書要求メッセージに含まれる前記公開鍵に署名することによって前記認証機関によって取得される、請求項2に記載のデバイス。
  4. 前記証明書発給申請表現メッセージおよび前記証明書要求メッセージは、秘密鍵所有証明POP情報をさらに含む、請求項1から3のいずれか一項に記載のデバイス。
  5. 前記POP情報は、秘密-公開鍵ペア中の秘密鍵を使用して秘密鍵所有証明署名鍵フィールドに署名することによって新規インストールされたVNFCインスタンスによって取得される、請求項4に記載のデバイス。
  6. 前記新規インストールされたVNFCインスタンスによって使用される前記秘密-公開鍵ペアは、
    前記新規インストールされたVNFCインスタンスによって、前記秘密-公開鍵ペアを生成するか、または
    ネットワーク機能仮想化インフラストラクチャNFVIによって、前記秘密-公開鍵ペアを生成し、前記秘密-公開鍵ペアを前記新規インストールされたVNFCインスタンス内に注入する
    という方式で取得される、請求項1から5のいずれか一項に記載のデバイス。
  7. 証明書取得デバイスであって、
    マスター仮想化ネットワーク機能コンポーネント(VNFCインスタンスによって送信された証明書要求メッセージを受信するように構成された受信モジュールであって、前記証明書要求メッセージは、前記マスターVNFCインスタンスの証明書と、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵とを含む、受信モジュールと、
    前記受信モジュールによって受信された前記マスターVNFCインスタンスの前記証明書に従って前記証明書要求メッセージについて認証を実行し、前記認証が成功したときに、証明書を発給申請するために前記新規インストールされたVNFCインスタンスによって使用される前記公開鍵に署名することによってこれから発行されるべき証明書を取得するように構成された証明書発行モジュールと、
    前記マスターVNFCインスタンスに、前記証明書発行モジュールによって発行される前記これから発行されるべき証明書を送信するように構成された送信モジュールと
    を備えるデバイス。
  8. 前記証明書発行モジュールは、前記マスターVNFCインスタンスの前記証明書を使用することによって前記証明書要求メッセージの署名について認証を実行し、発行済みルートCA証明書または発行済み中間証明書を使用することによって前記マスターVNFCインスタンスの受信済み前記証明書について認証を実行するように特に構成される、請求項7に記載のデバイス。
  9. 前記証明書要求メッセージは、秘密鍵所有証明POP情報をさらに含む、請求項7または8に記載のデバイス。
  10. 前記証明書発行モジュールは、証明書を発給申請するために使用される、前記証明書要求メッセージに含まれる前記公開鍵を使用することによって、前記証明書要求メッセージに含まれる前記POP情報について認証を実行するようにさらに構成される、請求項9に記載のデバイス。
  11. 証明書取得デバイスであって、
    マスター仮想化ネットワーク機能コンポーネント(VNFCインスタンスに証明書発給申請表現メッセージを送信するように構成された送信モジュールであって、前記証明書発給申請表現メッセージは、証明書を発給申請するために新規インストールされたVNFCインスタンスによって使用される公開鍵を含み、前記証明書発給申請表現メッセージは、証明書要求メッセージを認証機関に送信することを前記マスターVNFCインスタンスに要求するために使用され、前記証明書要求メッセージは、前記新規インストールされたVNFCインスタンスに証明書を発行することを前記認証機関に要求するために使用され、前記証明書要求メッセージは、前記マスターVNFCインスタンスの証明書と、証明書を発給申請するために前記新規インストールされたVNFCインスタンスによって使用される前記公開鍵とを含む、送信モジュールと、
    前記認証機関によって発行され、前記マスターVNFCインスタンスによって送信された証明書を受信するように構成された受信モジュールであって、前記証明書は、証明書を発給申請するために前記新規インストールされたVNFCインスタンスによって使用される前記公開鍵に署名することによって前記認証機関によって取得される、受信モジュールと
    を備えるデバイス。
  12. 前記受信モジュールは、前記証明書発給申請表現メッセージが前記マスターVNFCに送信される前に、NFVOまたはVNFMによって送信された証明書発給申請情報を受信するようにさらに構成され、前記証明書発給申請情報は、証明書発給申請のエージェントとして使用される前記マスターVNFCインスタンスに関する情報を含む、請求項11に記載のデバイス。
  13. 前記証明書発給申請表現メッセージが前記マスターVNFCに送信される前に、前記受信モジュールによって受信された前記証明書発給申請情報に従って、証明書発給申請のエージェントとして使用される前記マスターVNFCインスタンスへのネットワーク接続を確立するように構成された確立モジュールをさらに備え、前記ネットワーク接続は、同じネットワーク機能仮想化インフラストラクチャNFVIプラットフォーム上のVNFの内側のネットワーク接続である、請求項12に記載のデバイス。
  14. 前記受信モジュールは、インストール時に、ネットワーク機能仮想化インフラストラクチャNFVIによって注入される前記証明書発給申請情報を受信するように特に構成される、請求項12または13に記載のデバイス。
  15. 証明書発給申請のエージェントとして使用される前記マスターVNFCに関する前記情報は、インターネットプロトコルIPアドレス、媒体アクセス制御MAC識別子、および前記マスターVNFCインスタンスのアドレスである仮想ネットワーク情報センターNICアドレスを含む、請求項12から14のいずれか一項に記載のデバイス。
JP2017510713A 2014-05-08 2014-05-08 証明書取得方法およびデバイス Active JP6311196B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2014/077074 WO2015168913A1 (zh) 2014-05-08 2014-05-08 一种证书获取方法和设备

Publications (2)

Publication Number Publication Date
JP2017521971A JP2017521971A (ja) 2017-08-03
JP6311196B2 true JP6311196B2 (ja) 2018-04-18

Family

ID=54391999

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017510713A Active JP6311196B2 (ja) 2014-05-08 2014-05-08 証明書取得方法およびデバイス

Country Status (7)

Country Link
US (1) US10367647B2 (ja)
EP (1) EP3133768B1 (ja)
JP (1) JP6311196B2 (ja)
CN (1) CN105264818B (ja)
BR (1) BR112016026037B1 (ja)
RU (1) RU2646317C1 (ja)
WO (1) WO2015168913A1 (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10491594B2 (en) * 2014-08-22 2019-11-26 Nokia Technologies Oy Security and trust framework for virtualized networks
CN104580208B (zh) 2015-01-04 2018-11-30 华为技术有限公司 一种身份认证方法及装置
US9578008B2 (en) * 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
WO2017066931A1 (zh) 2015-10-21 2017-04-27 华为技术有限公司 网络功能虚拟化架构中证书的管理方法及装置
CN107135192B (zh) * 2016-02-26 2020-04-21 中国移动通信集团公司 部署vnf的资源授权方法、vnfm和nfvo
WO2017175073A1 (en) 2016-04-05 2017-10-12 Vchain Technology Limited Method and system for managing personal information within independent computer systems and digital networks
WO2017197560A1 (en) 2016-05-16 2017-11-23 Nokia Technologies Oy Virtualized network security
CN106302394B (zh) * 2016-07-26 2019-08-30 京信通信系统(中国)有限公司 安全通道建立方法和系统
WO2018040095A1 (zh) * 2016-09-05 2018-03-08 华为技术有限公司 一种生成安全凭证的方法和设备
EP3510722B1 (en) * 2016-09-08 2021-07-21 Nec Corporation Network function virtualization system and verifying method
US10318723B1 (en) * 2016-11-29 2019-06-11 Sprint Communications Company L.P. Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications
CN110121857B (zh) * 2016-12-30 2021-02-09 华为技术有限公司 一种凭据分发的方法和设备
US10298553B2 (en) 2017-03-31 2019-05-21 Sprint Communications Company L.P. Hardware trusted data communications over system-on-chip (SOC) architectures
CN109286494B (zh) * 2017-07-20 2020-10-23 华为技术有限公司 一种虚拟网络功能vnf的初始化凭据生成方法及设备
CN107302544B (zh) * 2017-08-15 2019-09-13 迈普通信技术股份有限公司 证书申请方法、无线接入控制设备及无线接入点设备
CN109756356B (zh) * 2017-11-07 2021-09-21 华为技术有限公司 设备升级方法及装置
CN109905252B (zh) * 2017-12-07 2022-06-07 华为技术有限公司 建立虚拟网络功能实例的方法和装置
US10728243B2 (en) * 2018-01-17 2020-07-28 Vmware, Inc. Automating establishment of initial mutual trust during deployment of a virtual appliance in a managed virtual data center environment
US10764160B1 (en) 2018-04-24 2020-09-01 Amdocs Development Limited System, method, and computer program for utilizing an open and global/private blockchain system for virtual network function (VNF) certification and consumption processes
ES2899236T3 (es) 2018-05-15 2022-03-10 Ericsson Telefon Ab L M Optimización de la señalización en análisis del 3GPP
US11218329B2 (en) 2019-02-20 2022-01-04 Arris Enterprises Llc Certificate generation with fallback certificates
CN111010410B (zh) * 2020-03-09 2020-06-16 南京红阵网络安全技术研究院有限公司 一种基于证书身份认证的拟态防御系统及证书签发方法
CN113765668A (zh) * 2020-06-03 2021-12-07 广州汽车集团股份有限公司 一种车辆数字证书在线安装方法及车辆数字证书管理装置
WO2022003953A1 (ja) 2020-07-03 2022-01-06 日本電信電話株式会社 ネットワーク仮想化システム、仮想リソース管理装置、仮想リソース管理方法およびプログラム

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NO313480B1 (no) * 2001-01-24 2002-10-07 Telenor Asa Fremgangsmåte for å åpne hele eller deler av et smartkort
JP2005086445A (ja) * 2003-09-08 2005-03-31 Nooza:Kk ネットワーク構築方法、ネットワーク構築装置、およびネットワーク構築プログラム
JP2005149337A (ja) * 2003-11-19 2005-06-09 Nippon Telegr & Teleph Corp <Ntt> ゲートウエイ装置
CN1961526A (zh) * 2004-05-28 2007-05-09 松下电器产业株式会社 母子卡认证系统
JP2006246272A (ja) * 2005-03-07 2006-09-14 Fuji Xerox Co Ltd 証明書取得システム
US8281387B2 (en) * 2006-06-30 2012-10-02 Intel Corporation Method and apparatus for supporting a virtual private network architecture on a partitioned platform
CN100454876C (zh) * 2007-02-06 2009-01-21 西安西电捷通无线网络通信有限公司 无线局域网wapi安全机制中证书的申请方法
CN101039182B (zh) * 2007-03-07 2010-08-11 广东南方信息安全产业基地有限公司 基于标识的公钥密码认证系统及标识证书发放方法
ATE451780T1 (de) * 2007-09-28 2009-12-15 Zimory Gmbh Verfahren und system zur automatischen remote- bereitstellung eines servers über virtuelle geräteanwendungen
US8347355B2 (en) * 2008-01-17 2013-01-01 Aerohive Networks, Inc. Networking as a service: delivering network services using remote appliances controlled via a hosted, multi-tenant management system
CN101272252A (zh) * 2008-04-09 2008-09-24 西安西电捷通无线网络通信有限公司 一种证书的分配与管理方法
US8458763B2 (en) * 2008-07-01 2013-06-04 International Business Machines Corporation Method of automating and personalizing systems to satisfy security requirements in an end-to-end service landscape
EP2489168B1 (en) * 2009-10-15 2015-03-11 InterDigital Patent Holdings, Inc. Registration and credential roll-out for accessing a subscription-based service
US8364954B2 (en) * 2009-12-16 2013-01-29 Symantec Corporation Method and system for provisioning multiple digital certificates
US9100171B1 (en) * 2009-12-17 2015-08-04 Secure Forward, LLC Computer-implemented forum for enabling secure exchange of information
WO2013097117A1 (zh) 2011-12-28 2013-07-04 华为技术有限公司 虚拟机全盘加密下预启动时的密钥传输方法和设备
WO2013097209A1 (zh) 2011-12-31 2013-07-04 华为技术有限公司 一种加密方法、解密方法和相关装置及系统
TW201807961A (zh) * 2012-09-27 2018-03-01 內數位專利控股公司 在噓擬網路中端對端架構、api框架、發現及存取
WO2014057369A1 (en) * 2012-10-12 2014-04-17 Koninklijke Philips N.V. Secure data handling by a virtual machine
JP2014082584A (ja) * 2012-10-15 2014-05-08 Nippon Registry Authentication Inc 認証基盤システム
JP6114832B2 (ja) 2012-11-22 2017-04-12 華為技術有限公司Huawei Technologies Co.,Ltd. 仮想マシンのための管理制御方法、装置及びシステム
CN103888429B (zh) 2012-12-21 2017-11-03 华为技术有限公司 虚拟机启动方法、相关设备和系统
CN103023920B (zh) 2012-12-27 2016-04-13 华为技术有限公司 虚拟机安全保护方法及装置
CN103475485B (zh) * 2013-09-16 2017-03-22 浙江汇信科技有限公司 基于数字证书互联互通的身份认证支撑平台及认证方法
CN104639516B (zh) 2013-11-13 2018-02-06 华为技术有限公司 身份认证方法、设备及系统
CN105122738B (zh) 2014-03-26 2018-06-15 华为技术有限公司 基于网络功能虚拟化的证书配置方法、装置和系统
JP6299047B2 (ja) 2014-05-08 2018-03-28 華為技術有限公司Huawei Technologies Co.,Ltd. 証明取得方法及び装置

Also Published As

Publication number Publication date
RU2646317C1 (ru) 2018-03-02
BR112016026037A2 (ja) 2017-08-15
US10367647B2 (en) 2019-07-30
EP3133768B1 (en) 2019-07-31
JP2017521971A (ja) 2017-08-03
EP3133768A4 (en) 2017-02-22
CN105264818A (zh) 2016-01-20
BR112016026037B1 (pt) 2023-04-04
WO2015168913A1 (zh) 2015-11-12
US20170054565A1 (en) 2017-02-23
EP3133768A1 (en) 2017-02-22
CN105264818B (zh) 2018-10-30

Similar Documents

Publication Publication Date Title
JP6311196B2 (ja) 証明書取得方法およびデバイス
US10225246B2 (en) Certificate acquiring method and device
US11381396B2 (en) System, apparatus and method for migrating a device having a platform group
US10205719B2 (en) Network function virtualization-based certificate configuration method, apparatus, and system
US20210168136A1 (en) Fast Smart Card Login
US10122703B2 (en) Federated full domain logon
US20200136836A1 (en) Authorization with a preloaded certificate
US10887095B2 (en) Allocating security parameter index values using time-based one-time passwords
CN110121857B (zh) 一种凭据分发的方法和设备
US20230171241A1 (en) Security profile management for multi-cloud agent registration with multi-tenant, multi-cell service
WO2021028052A1 (en) Method and apparatus for cloud-based console service in a cloud network
CN111164568A (zh) 经由受信代理共享安全连接上下文

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180220

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180301

R150 Certificate of patent or registration of utility model

Ref document number: 6311196

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250