KR20170002577A - 증서 획득 방법 및 장치 - Google Patents

증서 획득 방법 및 장치 Download PDF

Info

Publication number
KR20170002577A
KR20170002577A KR1020167034284A KR20167034284A KR20170002577A KR 20170002577 A KR20170002577 A KR 20170002577A KR 1020167034284 A KR1020167034284 A KR 1020167034284A KR 20167034284 A KR20167034284 A KR 20167034284A KR 20170002577 A KR20170002577 A KR 20170002577A
Authority
KR
South Korea
Prior art keywords
certificate
vnf instance
vnfm
vnf
application
Prior art date
Application number
KR1020167034284A
Other languages
English (en)
Other versions
KR101942412B1 (ko
Inventor
윙 시옹
지앙셩 왕
청얀 펑
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20170002577A publication Critical patent/KR20170002577A/ko
Application granted granted Critical
Publication of KR101942412B1 publication Critical patent/KR101942412B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Abstract

본 발명은 증서 획득 방법 및 장치에 대해 개시하며, VNFM이, VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하는 단계 - 상기 증서 신청 프록시 메시지는 인증 정보 및 증서 신청에 사용되는 증서 신청 정보를 포함하고, 상기 인증 정보는 VNF 인스턴스와 VNFM 간의 증서 프록시-신청을 위한 채널을 구축하는 데 사용됨 - ; 및 상기 VNFM이, 상기 인증 정보를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(CA)에 송신하는 단계; 및 상기 VNFM이 CA에 의해 발행된 증서를 수신하고, 상기 증서를 VNF 인스턴스에 송신하는 단계를 포함하며, 상기 증서는, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성된다. 이 방법에서, VNFM과 증서 인증기관 간의 신뢰의 링크를 통해, 예시된 VNF 인스턴스는 증서 인증기관에 의해 발행된 증서를 신청하고, 이에 의해 VNF 인스턴스에 의해 신청된 증서의 합법성을 효과적으로 보장하고 증서 인증기관에 의해 발행된 증서를 사용함으로써 VNF 인스턴스와 VNFM 간에 구축되는 관리 채널의 보안을 보장한다.

Description

증서 획득 방법 및 장치{CERTIFICATE ACQUISITION METHOD AND DEVICE}
본 발명은 가상 네트워크 전개 분야에 관한 것이며, 특히 증서 인증 방법 및 장치에 관한 것이다.
네트워크 기능 가상화(Network Function Virtualization, NFV)는 "종래의 네트워크의 가상화"를 목적으로 설립된 표준화 기구이고, 가상화된 환경에서 네트워크 전개를 위한 일련의 표준을 개발하였다. NFV 기구에 의해 제정된 표준은 네트워크 가상화, 플렉서블 전개 등을 실현할 수 있다.
NFV에 의해 제정된 가상 네트워크 아키텍처는 요소 관리 시스템(Element Management System, EMS), NFV 오케스트라(NFV Orchestra, NFVO), 가상화된 네트워크 기능(Virtual Network Function, VNF) 인스턴스, VNF 관리자(VNF Manager, NVFM), NFV 인프라스트럭처(Network Function Virtual Infrastructure, NFVI), 및 VNF 프레임워크에서의 가상화된 인프라스트럭처 관리자(Virtual Infrastructure Manager, VIM)를 포함한다.
종래의 네트워크 요소 관리자인 EMS는 VNF 인스턴스를 네트워크 요소로서 관리하도록 구성되어 있고, VNF 인스턴스는 실례에 의해 획득되며, NFVO는 VNF를 조직하고, VNF 인스턴스는 네트워크 기능을 운용하는 가상화된 네트워크 요소이며, VNFM은 VNF를 관리하도록 구성되어 있고, NFVI는 가상화된 컴퓨팅 자원, 가상화된 스토리지 자원, 가상화된 네트워크 자원 등을 포함하며, VIM은 NFVO 및 VNFM의 명령에 따라 NFVI를 관리하도록 구성되어 있다.
EMS 또는 VNFM은 VNF에 대한 관리 채널을 구축함으로써 VNF를 관리한다. 악의적인 사용자가 네트워크를 공격하지 못하도록 하기 위해, 관리 채널이 EMS 또는 VNFM와 VNF 간에 구축될 때 양측이 인증되어야 한다. 일반적으로, 인증은 트랜스포트 계층 보안 기술을 사용하여(즉, 증서를 사용하여) 수행된다. 즉, 증서는 양측 상에서 인증 동작을 수행하는 인증의 증명으로서 사용된다.
그렇지만, 종래의 네트워크에서는 인증을 획득하는 방식이 다음의 2가지 방식을 포함하되 이에 제한되지는 않는다:
제1 방식:
하드웨어에 묶여 있는 초기의 증서는 수동으로 또는 하드웨어나 소프트웨어의 초기 설치 시에 이입되고, 그런 다음 초기의 증서 및 증서 관리 프로토콜을 사용함으로써 소망의 증서가 획득된다.
그렇지만, NVF 표준에서는 VNF가 VM에서 자동으로 생성되고 제1 방식으로 증서를 획득할 수 없으며, 이는 EMS 또는 VNFM과 VNF 사이에 구축된 관리 채널의 보안을 열악하게 한다.
제2 방식:
네트워크 요소가 생성될 때, 네트워크 요소의 공급자는 네트워크 요소에 공급자 증서를 설정한다. 그러므로 네트워크 요소가 초기에 구성될 때, 네트워크 요소는 증서 관리 프로토콜을 사용하여 운영자가 발행하는 증서를 운영자의 공개 키 시스템(Public Key Infrastructure, PKI)에 신청한다. 증서를 신청하는 프로세스에서, 네트워크 요소는 공급자 증서를 그 식별 증명으로서 사용하며, 이에 따라 PKI는 네트워크 요소를 신뢰하고 운영자 증서를 발행한다.
그렇지만, 가상화된 환경에서, VNF는 동적으로 생성되고 이에 따라 제2 방식으로 증서를 신청할 수 없으며, 이는 EMS 또는 VNFM과 VNF 사이에 구축된 관리 채널의 보안을 열악하게 한다.
이를 감안하여, 본 발명의 실시예는 EMS 또는 VNFM과 VNF 사이에 구축된 관리 채널의 열악한 보안의 문제를 해결하기 위해 증서 획득 방법 및 장치를 제공한다.
본 발명의 제1 관점에 따라, 증서 획득 장치가 제공되며, 상기 장치는:
가상화된 네트워크 기능(virtualized network function, VNF) 인스턴스에 의해 송신된 증서 신청 프록시 메시지(certificate application proxy message)를 수신하도록 구성되어 있는 수신 모듈 - 상기 증서 신청 프록시 메시지는 인증 정보 및 증서 신청에 사용되는 증서 신청 정보를 포함하고, 상기 인증 정보는 VNF 인스턴스와 VNF 관리자(VNF manager, VNFM) 간의 증서 프록시-신청을 위한 채널을 구축하는 데 사용됨 - ; 및
상기 수신 모듈에 의해 수신된 인증 정보를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(certificate authority, CA)에 송신하도록 구성되어 있는 송신 모듈
을 포함하며,
상기 수신 모듈은 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있으며,
상기 송신 모듈은 상기 수신 모듈에 의해 수신된 증서를 VNF 인스턴스에 송신하도록 추가로 구성되어 있으며,
상기 증서는, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성된다.
본 발명의 제1 관점의 가능한 실시 방식을 참조해서, 제1 가능한 실시 방식에서, 상기 인증 정보는 임시 증서이며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(network function virtualization orchestrator, NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(virtualized infrastructure manager, VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(virtual machine, VM)을 통해 VNF 인스턴스에 전송된다.
본 발명의 제1 관점의 제1 가능한 실시 방식을 참조해서, 제2 가능한 실시 방식에서, 상기 송신 모듈은 구체적으로, 수신된 임시 증서와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서를 비교하고,
상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 동일한 것으로 결정되면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정하거나; 또는
상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 상이한 것으로 결정되면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정하도록 구성되어 있다.
본 발명의 제1 관점의 가능한 실시 방식을 참조해서, 제3 가능한 실시 방식에서, 상기 인증 정보는 사전 공유 키(pre-shared key, PSK)이며, 상기 PSK는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 생성되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송된다.
본 발명의 제1 관점의 제3 가능한 실시 방식을 참조해서, 제4 가능한 실시 방식에서,
상기 수신 모듈은 구체적으로, PKS를 VNF 인스턴스에 송신하고 상기 VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하도록 구성되어 있으며, 상기 증서 신청 프록시 메시지는, 현장 주입된(locally injected) PSK가 VNFM에 의해 송신되어 수신된 PSK와 동일하거나 관련 있는 것으로 VNF 인스턴스가 결정할 때 VNFM에 송신된다.
본 발명의 제1 관점의 제4 가능한 실시 방식을 참조해서, 제5 가능한 실시 방식에서,
상기 송신 모듈은 구체적으로, 수신된 PSK와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK를 비교하고,
상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 동일하거나 관련 있는 것으로 결정되면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정하거나; 또는
상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 상이하거나 관련 없는 것으로 결정되면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정하도록 구성되어 있다.
본 발명의 제1 관점의 가능한 실시 방식을 참조해서, 또는 본 발명의 제1 관점의 제1 가능한 실시 방식을 참조해서, 또는 본 발명의 제1 관점의 제2 가능한 실시 방식을 참조해서, 또는 본 발명의 제1 관점의 제3 가능한 실시 방식을 참조해서, 본 발명의 제4 관점의 가능한 실시 방식을 참조해서, 또는 본 발명의 제5 관점의 가능한 실시 방식을 참조해서, 제5 가능한 실시 방식에서, 상기 장치는:
증서가 VNF 인스턴스에 송신될 때, 상기 증서를 사용하여 VNF 인스턴스에 대한 관리 채널을 구축하도록 구성되어 있는 채널 구축 모듈
을 더 포함한다.
본 발명의 제2 관점에 따라, 증서 획득 장치가 제공되며, 상기 장치는:
VNF 프레임워크 내의 가상화된 인프라스트럭처 관리자(virtualized infrastructure manager, VIM)에 의해 송신된 증서 신청 프록시 메시지를 수신하도록 구성되어 있는 수신 모듈 - 상기 증서 신청 프록시 메시지는 증서 신청을 요구하는 VNF 인스턴스, 및 증서 신청을 위해 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함함 - ; 및
상기 수신 모듈에 의해 수신되고 증서 신청을 위해 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(CA)에 송신하도록 구성되어 있는 송신 모듈
을 포함하며,
상기 수신 모듈은 상기 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있으며,
상기 송신 모듈은 상기 수신 모듈에 의해 수신된 증서를 VIM에 송신하도록 추가로 구성되어 있으며,
상기 증서는, 증서 신청을 위해 VNF 인스턴스에 의해 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성된다.
본 발명의 제2 관점의 가능한 실시 방식을 참조해서, 제1 가능한 실시 방식에서, 상기 증서 신청 프록시 메시지는 상기 수신된 증서 신청 정보에 따라 VIM에 의해 생성되며, 상기 증서 신청 정보는 초기화 파라미터에 따라 VNF 인스턴스에 의해 획득되고 VNF 인스턴스에 의해 VM에 송신되며 그런 다음 VIM에 대한 보안 채널을 통해 VM에 의해 VIM에 송신된다.
본 발명의 제2 관점의 제1 가능한 실시 방식을 참조해서, 제2 가능한 실시 방식에서, 상기 초기화 파라미터는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시하기로 결정할 때 획득된다.
본 발명의 제3 관점에 따라, 증서 획득 장치가 제공되며, 상기 장치는:
가상화된 네트워크 기능(VNF) 인스턴스에 의해 송신된 증서 신청 메시지를 수신하도록 구성되어 있는 수신 모듈 - 상기 증서 신청 메시지는 임시 증서 및 증서 신청에 사용되는 증서 신청 정보를 포함하며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 CA로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송됨 - 및
상기 수신 모듈에 의해 수신된 임시 증서를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 VNF 인스턴스에 증서를 발행하도록 구성되어 있는 발행 모듈
을 포함한다.
본 발명의 제4 관점에 따라, 증서 획득 장치가 제공되며, 상기 장치는:
가상 머신(VM)에 의해 송신된 증서 신청 메시지를 수신하도록 구성되어 있는 수신 모듈 - 상기 증서 신청 메시지는 증서 신청에 사용되는 공개 키를 포함함 - ; 및
증서 신청 프록시 메시지를 증서 인증기관(CA)에 송신하도록 구성되어 있는 송신 모듈
을 포함하며,
상기 증서 신청 프록시 메시지는, 수신 모듈에 의해 수신되고 증서 신청을 위해 VM에 의해 사용되는 공개 키를 포함하며,
상기 수신 모듈은 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있으며,
상기 송신 모듈은 상기 수신 모듈에 의해 수신된 증서를 VM에 송신하도록 추가로 구성되어 있으며,
상기 증서는, 증서 신청을 위해 VM에 의해 사용되고 증서 신청 프록시 메시지에 포함되어 있는 공개 키에 따라 시그널링에 의해 CA에 의해 획득된다.
본 발명의 제4 관점의 가능한 실시 방식을 참조해서, 제1 가능한 실시 방식에서, 상기 송신 모듈은 구체적으로, 가상 네트워크 함수 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 증서 신청 프록시 메시지를 증서 인증기관(CA)에 포워딩할 수 있도록, 상기 VIM에 상기 증서 신청 프록시 메시지 송신하도록 구성되어 있다.
본 발명의 제4 관점의 가능한 실시 방식을 참조해서, 또는 본 발명의 제4 관점의 제1 가능한 실시 방식을 참조해서, 제2 가능한 실시 방식에서, 상기 장치는:
VM이 상기 증서를 수신하면, 상기 VM과 VM 관리자 간에 관리 채널을 구축하도록 구성되어 있는 채널 구축 모듈
을 더 포함한다.
본 발명의 제4 관점의 가능한 실시 방식을 참조해서, 또는 본 발명의 제4 관점의 제1 가능한 실시 방식을 참조해서, 또는 본 발명의 제4 관점의 제2 가능한 실시 방식을 참조해서, 제3 가능한 실시 방식에서,
상기 공개 키는 초기화 파라미터에 따라 VM에 의해 생성되며, 상기 초기화 메시지는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 가상 네트워크 함수 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 VM을 생성하라는 명령을 수신할 때 취득되며, 상기 명령은 네트워크 기능 가상화 오케스트라(NFVO)에 의해 송신된다.
본 발명의 제5 관점을 참조해서, 증서 획득 장치가 제공되며, 상기 장치는:
VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하도록 구성되어 있는 신호 수신기 - 상기 증서 신청 프록시 메시지는 인증 정보 및 증서 신청에 사용되는 증서 신청 정보를 포함하며, 상기 인증 정보는 VNF 인스턴스와 가상화된 네트워크 기능(virtualized network function, VNF) 관리자(VNFM) 간의 증서 프록시-신청을 위한 채널을 구축하는 데 사용됨 - ; 및
상기 인증 정보를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(CA)에 송신하도록 구성되어 있는 신호 전송기
를 포함하며,
상기 신호 수신기는 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있으며,
상기 신호 전송기는 상기 증서를 VNF 인스턴스에 송신하도록 추가로 구성되어 있으며,
상기 증서는, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성된다.
본 발명의 제5 관점의 가능한 실시 방식을 참조해서, 제1 가능한 실시 방식을 참조해서, 상기 인증 정보는 임시 증서이며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송된다.
본 발명의 제5 관점의 제1 가능한 실시 방식을 참조해서, 제2 가능한 실시 방식을 참조해서, 상기 신호 전송기는 구체적으로, 수신된 임시 증서와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서를 비교하고,
상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 동일한 것으로 VNFM이 결정하면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정하거나; 또는
상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 상이한 것으로 VNFM이 결정하면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정하도록 구성되어 있다.
본 발명의 제5 관점의 가능한 실시 방식을 참조해서, 제3 가능한 실시 방식을 참조해서, 상기 인증 정보는 사전 공유 키(PSK)이며, 상기 PSK는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 생성되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송된다.
본 발명의 제5 관점의 제3 가능한 실시 방식을 참조해서, 제4 가능한 실시 방식을 참조해서, 상기 신호 수신기는 구체적으로, PKS를 VNF 인스턴스에 송신하고 상기 VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하도록 구성되어 있으며, 상기 증서 신청 프록시 메시지는 현장 주입된 PSK가 수신된 PSK와 동일하거나 관련 있는 것으로 VNF 인스턴스가 결정할 때 VNFM에 송신된다.
본 발명의 제5 관점의 제4 가능한 실시 방식을 참조해서, 제5 가능한 실시 방식을 참조해서, 상기 신호 전송기는 구체적으로, 수신된 PSK와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK를 비교하고,
상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 동일하거나 관련 있는 것으로 결정되면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정하거나; 또는
상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 상이하거나 관련 없는 것으로 결정되면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정하도록 구성되어 있다.
본 발명의 제5 관점의 가능한 실시 방식을 참조해서, 본 발명의 제1 가능한 실시 방식을 참조해서, 또는 본 발명의 제5 관점의 제1 가능한 실시 방식을 참조해서, 또는 본 발명의 제5 관점의 제2 가능한 실시 방식을 참조해서, 또는 본 발명의 제5 관점의 제3 가능한 실시 방식을 참조해서, 또는 본 발명의 제5 관점의 제4 가능한 실시 방식을 참조해서, 또는 본 발명의 제5 관점의 제5 가능한 실시 방식을 참조해서, 제6 가능한 실시 방식에서, 상기 장치는:
상기 증서가 VNF 인스턴스에 송신되면, 상기 증서를 사용하여 VNF 인스턴스에 대한 관리 채널을 구축하도록 구성되어 있는 프로세서
를 더 포함한다.
본 발명의 제6 관점에 따라, 증서 획득 장치가 제공되며, 상기 장치는:
VNF 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)에 의해 송신된 증서 신청 프록시 메시지를 수신하도록 구성되어 있는 신호 수신기 - 상기 증서 신청 프록시 메시지는 증서 신청을 요구하는 VNF 인스턴스, 및 증서 신청을 위해 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함함 - ; 및
증서 신청을 위해 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(CA)에 송신하도록 구성되어 있는 신호 전송기
를 포함하며,
상기 신호 수신기는 상기 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있으며,
상기 신호 전송기는 증서를 VIM에 송신하도록 추가로 구성되어 있으며,
상기 증서는, 증서 신청을 위해 VNF 인스턴스에 의해 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성된다.
본 발명의 제6 관점의 가능한 실시 방식을 참조해서, 제1 가능한 실시 방식에서, 상기 증서 신청 프록시 메시지는 상기 수신된 증서 신청 정보에 따라 VIM에 의해 생성되며, 상기 증서 신청 정보는 초기화 파라미터에 따라 VNF 인스턴스에 의해 획득되고 VNF 인스턴스에 의해 VM에 송신되며 그런 다음 VIM에 대한 보안 채널을 통해 VM에 의해 VIM에 송신된다.
본 발명의 제6 관점의 제1 가능한 실시 방식을 참조해서, 제2 가능한 실시 방식에서, 상기 초기화 파라미터는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시하기로 결정할 때 획득된다.
본 발명의 제7 관점에 따라, 증서 획득 장치가 제공되며, 상기 장치는:
가상화된 네트워크 기능(VNF) 인스턴스에 의해 송신된 증서 신청 메시지를 수신하도록 구성되어 있는 신호 수신기 - 상기 증서 신청 메시지는 임시 증서 및 증서 신청에 사용되는 증서 신청 정보를 포함하며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 CA로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송됨 - 및
상기 임시 증서를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 VNF 인스턴스에 증서를 발행하도록 구성되어 있는 프로세서
를 포함한다.
본 발명의 제8 관점에 따라, 증서 획득 장치가 제공되며, 상기 장치는:
가상 머신(VM)에 의해 송신된 증서 신청 메시지를 수신하도록 구성되어 있는 신호 수신기 - 상기 증서 신청 메시지는 증서 신청에 사용되는 공개 키를 포함함 - ; 및
증서 신청 프록시 메시지를 증서 인증기관(CA)에 송신하도록 구성되어 있는 신호 전송기
를 포함하며,
상기 증서 신청 프록시 메시지는 증서 신청을 위해 VM에 의해 사용되는 공개 키를 포함하며,
상기 신호 수신기는 상기 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있으며,
상기 신호 전송기는 상기 증서를 VM에 송신하도록 추가로 구성되어 있으며,
상기 증서는, 증서 신청을 위해 VM에 의해 사용되고 증서 신청 프록시 메시지에 포함되어 있는 공개 키에 따라 시그널링에 의해 CA에 의해 획득된다.
본 발명의 제8 관점의 가능한 실시 방식을 참조해서, 제1 가능한 실시 방식에서, 상기 신호 전송기는 구체적으로, 가상 네트워크 함수 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 증서 신청 프록시 메시지를 증서 인증기관(CA)에 포워딩할 수 있도록, 상기 VIM에 상기 증서 신청 프록시 메시지를 송신하도록 구성되어 있다.
본 발명의 제8 관점의 가능한 실시 방식을 참조해서, 또는 본 발명의 제8 관점의 제1 가능한 실시 방식을 참조해서, 제2 가능한 실시 방식에서, 상기 장치는:
상기 VM이 상기 증서를 수신하면, 상기 VM과 VM 관리자 간에 관리 채널을 구축하도록 구성되어 있는 프로세서
를 더 포함한다.
본 발명의 제8 관점의 가능한 실시 방식을 참조해서, 또는 본 발명의 제8 관점의 제1 가능한 실시 방식을 참조해서, 또는 본 발명의 제8 관점의 제2 가능한 실시 방식을 참조해서, 제3 가능한 실시 방식에서, 상기 공개 키는 초기화 파라미터에 따라 VM에 의해 생성되며, 상기 초기화 메시지는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 가상 네트워크 함수 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 VM을 생성하라는 명령을 수신할 때 취득되며, 상기 명령은 네트워크 기능 가상화 오케스트라(NFVO)에 의해 송신된다.
본 발명의 제9 관점에 따라, 증서 획득 방법이 제공되며, 상기 방법은:
가상화된 네트워크 기능 관리자(VNFM)가, VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하는 단계 - 상기 증서 신청 프록시 메시지는 인증 정보 및 증서 신청에 사용되는 증서 신청 정보를 포함하고, 상기 인증 정보는 VNF 인스턴스와 VNFM 간의 증서 프록시-신청을 위한 채널을 구축하는 데 사용됨 - ; 및
상기 VNFM이, 상기 인증 정보를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(CA)에 송신하는 단계; 및
상기 VNFM이 CA에 의해 발행된 증서를 수신하고, 상기 증서를 VNF 인스턴스에 송신하는 단계
를 포함하며,
상기 증서는, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성된다.
본 발명의 제9 관점의 가능한 실시 방식을 참조해서, 제1 가능한 실시 방식에서, 상기 인증 정보는 임시 증서이며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(virtualized infrastructure manager, VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(virtual machine, VM)을 통해 VNF 인스턴스에 전송된다.
본 발명의 제9 관점의 제1 가능한 실시 방식을 참조해서, 제2 가능한 실시 방식에서, 상기 VNFM이, 상기 인증 정보를 사용하여 VNF 인스턴스를 인증하는 것은:
상기 VNFM이, 수신된 임시 증서와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서를 비교하는 단계; 및
상기 VNFM이, 상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 동일한 것으로 결정하면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정하는 단계; 또는
상기 VNFM이, 상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 상이한 것으로 결정하면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정하는 단계
를 포함한다.
본 발명의 제9 관점의 가능한 실시 방식을 참조해서, 제3 가능한 실시 방식에서, 상기 인증 정보는 사전 공유 키(PSK)이며, 상기 PSK는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 생성되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송된다.
본 발명의 제9 관점의 제3 가능한 실시 방식을 참조해서, 제4 가능한 실시 방식에서, 상기 가상화된 네트워크 기능 관리자(VNFM)가, VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하는 단계는:
상기 VNFM이 PKS를 VNF 인스턴스에 송신하고 상기 VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하는 단계
를 포함하며,
상기 증서 신청 프록시 메시지는, 현장 주입된 PSK가 VNFM에 의해 송신되어 수신된 PSK와 동일하거나 관련 있는 것으로 VNF 인스턴스가 결정할 때 VNFM에 송신된다.
본 발명의 제9 관점의 제4 가능한 실시 방식을 참조해서, 제5 가능한 실시 방식에서, 상기 VNFM이, 상기 인증 정보를 사용하여 VNF 인스턴스를 인증하는 것은:
상기 VNFM이, 상기 수신된 PSK와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK를 비교하는 단계; 및
상기 VNFM이, 상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 동일하거나 관련 있는 것으로 결정하면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정하는 단계; 또는
상기 VNFM이, 상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 상이하거나 관련 없는 것으로 결정하면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정하는 단계
를 포함한다.
본 발명의 제9 관점의 가능한 실시 방식을 참조해서, 또는 본 발명의 제9 관점의 제1 가능한 실시 방식을 참조해서, 또는 본 발명의 제9 관점의 제2 가능한 실시 방식을 참조해서, 또는 본 발명의 제9 관점의 제3 가능한 실시 방식을 참조해서, 또는 본 발명의 제9 관점의 제4 가능한 실시 방식을 참조해서, 또는 본 발명의 제9 관점의 제5 가능한 실시 방식을 참조해서, 제6 가능한 실시 방식에서, 상기 방법은:
상기 VNFM이 상기 증서를 VNF 인스턴스에 송신할 때 상기 증서를 사용하여 VNF 인스턴스에 대한 관리 채널을 구축하는 단계
를 더 포함한다.
본 발명의 제10 관점을 따라, 증서 획득 방법이 제공되며, 상기 방법은:
가상화된 네트워크 기능 관리자(VNFM)가, VNF 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)에 의해 송신된 증서 신청 프록시 메시지를 수신하는 단계 - 상기 증서 신청 프록시 메시지는 증서 신청을 요구하는 VNF 인스턴스, 및 증서 신청을 위해 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함함 - ; 및
상기 VNFM이, 증서 신청을 위해 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(CA)에 송신하는 단계; 및
상기 VNFM이 상기 CA에 의해 발행된 증서를 수신하고, 상기 증서를 VIM에 송신하는 단계
를 포함하며,
상기 증서는, 증서 신청을 위해 VNF 인스턴스에 의해 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성된다.
본 발명의 제10 관점의 가능한 실시 방식을 참조해서, 제1 가능한 실시 방식에서, 상기 증서 신청 프록시 메시지는 상기 수신된 증서 신청 정보에 따라 VIM에 의해 생성되며, 상기 증서 신청 정보는 초기화 파라미터에 따라 VNF 인스턴스에 의해 획득되고 VNF 인스턴스에 의해 VM에 송신되며 그런 다음 VIM에 대한 보안 채널을 통해 VM에 의해 VIM에 송신된다.
본 발명의 제10 관점의 제1 가능한 실시 방식을 참조해서, 제2 가능한 실시 방식에서, 상기 초기화 파라미터는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시하기로 결정할 때 획득된다.
본 발명의 제11 관점에 따라, 증서 획득 방법으로서, 방법은:
증선 인증기관(CA)이, 가상화된 네트워크 기능(VNF) 인스턴스에 의해 송신된 증서 신청 메시지를 수신하는 단계 - 상기 증서 신청 메시지는 임시 증서 및 증서 신청에 사용되는 증서 신청 정보를 포함하며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 CA로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송됨 - 및
상기 CA가, 상기 임시 증서를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 VNF 인스턴스에 증서를 발행하는 단계
를 포함한다.
본 발명의 제12 관점에 따라, 증서 획득 방법으로서, 방법은:
네트워크 기능 가상화 인프라스트럭처(network function virtualization infrastructure, NFVI)가, 가상 머신(VM)에 의해 송신된 증서 신청 메시지를 수신하는 단계 - 상기 증서 신청 메시지는 증서 신청에 사용되는 공개 키를 포함함 - ; 및
상기 NFVI가 증서 신청 프록시 메시지를 증서 인증기관(CA)에 송신하는 단계 - 상기 증서 신청 프록시 메시지는 수신 모듈에 의해 수신되고 증서 신청을 위해 VM에 의해 사용되는 공개 키를 포함함 -; 및
상기 NFVI가 CA에 의해 발행된 증서를 수신하고 상기 증서를 VM에 송신하는 단계
를 포함하며,
상기 증서는, 증서 신청을 위해 VM에 의해 사용되고 증서 신청 프록시 메시지에 포함되어 있는 공개 키에 따라 시그널링에 의해 CA에 의해 획득된다.
본 발명의 제11 관점의 가능한 실시 방식을 참조해서, 제1 가능한 실시 방식에서, 상기 NFVI가 증서 신청 프록시 메시지를 증서 인증기관(CA)에 송신하는 단계는:
가상 네트워크 함수 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 증서 신청 프록시 메시지를 증서 인증기관(CA)에 포워딩할 수 있도록, 상기 NFVI가, 상기 VIM에 상기 증서 신청 프록시 메시지 송신하는 단계
를 포함한다.
본 발명의 제12 관점의 가능한 실시 방식을 참조해서, 또는 본 발명의 제12 관점의 제1 가능한 실시 방식을 참조해서, 제2 가능한 실시 방식에서, 상기 방법은:
상기 VM이 상기 증서를 수신하면, 상기 VM과 VM 관리자 간에 관리 채널을 구축하는 단계
를 더 포함한다.
본 발명의 제12 관점의 가능한 실시 방식을 참조해서, 또는 본 발명의 제12 관점의 제1 가능한 실시 방식을 참조해서, 또는 본 발명의 제12 관점의 제2 가능한 실시 방식을 참조해서, 제3 가능한 실시 방식에서, 상기 공개 키는 초기화 파라미터에 따라 VM에 의해 생성되며, 상기 초기화 메시지는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 가상 네트워크 함수 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 VM을 생성하라는 명령을 수신할 때 취득되며, 상기 명령은 네트워크 기능 가상화 오케스트라(NFVO)에 의해 송신된다.
본 발명의 실시예에서, VNFM은 VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하며, 상기 증서 신청 프록시 메시지는 인증 정보 및 인증 신청에 사용되는 인증 신청 정보를 포함하며, 상기 인증 정보는 VNF 인스턴스와 VNFM 간의 증서 프록시-신청을 위한 채널을 구축하는 데 사용되고, VNFM은 인증 정보를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 CA에 송신하며, 상기 VNFM은 CA에 의해 발행된 증서를 수신하고 상기 증서를 VNF 인스턴스에 송신한다. 이 방법에서, VNFM과 증서 인증기관 간의 신뢰의 링크를 통해, 예시된 VNF 인스턴스는 증서 인증기관에 의해 발행된 증서를 신청하고, 이에 의해 VNF 인스턴스에 의해 신청된 증서의 합법성을 효과적으로 보장하고 증서 인증기관에 의해 발행된 증서를 사용함으로써 VNF 인스턴스와 VNFM 간에 구축되는 관리 채널의 보안을 보장한다.
본 발명의 실시예의 기술적 솔루션을 더 명확하게 설명하기 위해, 이하에서는 본 발명의 실시예를 설명하는 데 필요한 첨부된 도면에 대해 간략하게 설명한다. 당연히, 이하의 실시예의 첨부된 도면은 본 발명의 일부의 실시예에 지나지 않으며, 당업자라면 창조적 노력 없이 첨부된 도면으로부터 다른 도면을 도출해낼 수 있을 것이다.
도 1은 본 발명의 실시예 1에 따른 증서 획득 방법에 대한 개략적인 흐름도이다.
도 2는 본 발명의 실시예 2에 따른 증서 획득 방법에 대한 개략적인 흐름도이다.
도 3은 본 발명의 실시예 3에 따른 증서 획득 방법에 대한 개략적인 흐름도이다.
도 4는 본 발명의 실시예 4에 따른 증서 획득 방법에 대한 개략적인 흐름도이다.
도 5는 증서 획득 방법에 대한 개략적인 흐름도이다.
도 6은 본 발명의 실시예 5에 따른 증서 획득 장치에 대한 개략적인 구조도이다.
도 7은 본 발명의 실시예 6에 따른 증서 획득 장치에 대한 개략적인 구조도이다.
도 8은 본 발명의 실시예 7에 따른 증서 획득 장치에 대한 개략적인 구조도이다.
도 9는 본 발명의 실시예 8에 따른 증서 획득 장치에 대한 개략적인 구조도이다.
도 10은 본 발명의 실시예 9에 따른 증서 획득 장치에 대한 개략적인 구조도이다.
도 11은 본 발명의 실시예 10에 따른 증서 획득 장치에 대한 개략적인 구조도이다.
도 12는 본 발명의 실시예 11에 따른 증서 획득 장치에 대한 개략적인 구조도이다.
도 13은 본 발명의 실시예 12에 따른 증서 획득 장치에 대한 개략적인 구조도이다.
본 발명의 목적을 달성하기 위해, 본 발명의 실시예는 증서 획득 방법 및 장치를 제공한다. VNFM은 VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하며, 상기 증서 신청 프록시 메시지는 인증 정보 및 인증 신청에 사용되는 인증 신청 정보를 포함하며, 상기 인증 정보는 VNF 인스턴스와 VNFM 간의 증서 프록시-신청을 위한 채널을 구축하는 데 사용되고, VNFM은 인증 정보를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 CA에 송신하며, 상기 VNFM은 CA에 의해 발행된 증서를 수신하고 상기 증서를 VNF 인스턴스에 송신한다. 이 방법에서, VNFM과 증서 인증기관 간의 신뢰의 링크를 통해, 예시된 VNF 인스턴스는 증서 인증기관에 의해 발행된 증서를 신청하고, 이에 의해 VNF 인스턴스에 의해 신청된 증서의 합법성을 효과적으로 보장하고 증서 인증기관에 의해 발행된 증서를 사용함으로써 VNF 인스턴스와 VNFM 간에 구축되는 관리 채널의 보안을 보장한다.
VNF 인스턴스가 예시된 후에, 그 예시된 VNF 인스턴스가 새로운 가상 네트워크 요소에 속하고 그 예시된 VNF 인스턴스와 가상 네트워크 내의 다른 네트워크 요소 간에 신뢰의 링크가 구축되지 않았으며, 가상 네트워크 요소와 증서 인증기관(Certificate Authority, CA)은 서로가 신뢰할 수 없는 네트워크 요소이다. 그러므로 증서가 CA로부터 직접적으로 신청될 수 없다. 본 발명의 실시예에서는 증서 신청 프록시에 의해 VNF 인스턴스가 합법적 증서를 획득할 수 있다.
이하에서는 본 명세서의 첨부 도면을 참조하여 본 발명의 실시예에 대해 상세히 설명한다.
실시예 1
도 1에 도시된 바와 같이, 도 1은 본 발명의 실시예 1에 따른 증서 획득 방법에 대한 개략적인 흐름도이며, 방법은 다음과 같이 설명된다.
단계 101: 가상화된 네트워크 기능 관리자(VNFM)는 VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신한다.
상기 증서 신청 프록시 메시지는 인증 정보 및 증서 신청에 사용되는 증서 신청 정보를 포함하고, 상기 인증 정보는 VNF 인스턴스와 VNFM 간의 증서 프록시-신청을 위한 채널을 구축하는 데 사용된다.
상기 증서 신청 정보는 증서 양식, 도메인 명, 증서 인증기관 정보 등을 포함한다는 것에 유의해야 한다.
단계 101에서, 가상 네트워크에서는, VNF가 예시된 후, 예시된 VNF 인스턴스와 다른 가상의 네트워크 요소 간의 통신 보안을 보장하기 위해, 예시된 VNF 인스턴스를 위한 증서를 신청해야 한다.
구체적으로, VNF 인스턴스를 예시하라는 명령을 수신하면, NFVO는 VNF 인스턴스와 VNFM 간의 증서 프록시-신청을 위한 채널을 구축하는 데 후속으로 사용되는 인증 정보를 결정하고, 그 결정된 인증 정보를 VNF를 예시하라는 명령에 부가하며 그 명령을 VIM에 송신한다. VIM은 VNF를 예시하라는 명령을 NFVI에 송신하고, VM을 VNF 인스턴스에 할당하여 VNF 예시를 실행하도록 NFVI에 요구한다.
VM을 VNF 인스턴스에 할당하고 VNF 설치를 실행할 때, NFVI는 VNF를 예시하라는 명령에 반송되는 그 결정된 인증 정보를 VNF 인스턴스에 주입한다.
선택적으로, 인증 정보의 형태는 다음의 형태를 포함하되 이에 제한되지는 않는다.
시나리오 1:
인증 정보는 임시 증서이다.
임시 증서는 네트워크 기능 가상화 오케스트라(network function virtualization orchestrator, NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(virtualized infrastructure manager, VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(virtual machine, VM)을 통해 VNF 인스턴스에 전송된다.
네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서는 특별한 방식으로 VNFM에 의해 생성된다는 것에 유의해야 한다. VNFM에 의해 생성되는 임시 증서는 VNFM에 의해서만 신뢰를 받으며 가상 네트워크 내의 다른 네트워크 요소는 임시 증서를 신뢰하지 않는다.
선택적으로, 임시 증서는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 CA로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송된다.
네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 임시 증서를 CA로부터 신청하는 전제조건은 다음과 같다:
CA는 임시 증서를 특별한 방식(예를 들어, 임시 증서를 서명하기 위한 특정한 공개 키 또는 비밀 키)으로 획득하고, 임시 증서는 CA에 의해서만 신뢰를 받을 뿐 다른 네트워크 요소는 임시 증서를 신뢰하지 않는다.
임시 증서가 VNFO, VIM 및 NFVI 사이에서 전송될 때, 임시 증서에 대응하는 비밀 키도 전송될 수 있다. 그렇지만, 복수의 네트워크 요소 사이에서 비밀 키를 전송할 때는 보안 위험이 존재한다. 그러므로 본 실시예에서는 증서 신청에 사용되는 비밀 키의 누설을 방지하기 위해, VNFO, VIM 및 NFVI 사이의 통신 보안이 보장되어야 한다. 또한, 임시 증서가 반복적인 사용으로 악의적인 네트워크 요소에 의해 획득되는 위험을 방지하기 위해 임시 증서는 본 실시예에서 한 번만 사용될 수 있으며, 이는 가상 네트워크의 네트워크 요소 간의 통신 보안을 더 보장한다.
시나리오 2:
인증 정보는 사전 공유 키(pre-shared key, PSK)이다.
PSK는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 생성되고 VNF 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송된다.
VNF 인스턴스와 VNFM 간의 초기의 통신이 PSK를 사용함으로써 수행될 수 있도록, 사전 공유 키는 NFVO에 의해 생성되고 VNFM에 송신된다는 것에 유의해야 한다.
사전 공유 키는 통신을 수행해야 하는 2 엔드에 대해 미리 구성되고, 통신의 2 엔드는 사전 공유 키를 사용함으로써 통신을 구축한다는 것에 유의해야 한다. 사전 공유 키는 대칭 키일 수 있는데, 즉 통신의 양 엔드에 의해 유지되는 키는 같을 수 있으며, 또는 사전 공유 키는 비대칭 키일 수 있는데, 즉 통신의 양 엔드에 의해 유지되는 키가 다를 수 있으며, 즉 공개-비밀 키 페어이다.
신청되는 증서의 합법성을 보장하기 위해, VNF 인스턴스는 증서 신청 프록시를 사용함으로써 증서를 신청한다.
이 경우, VNF 인스턴스는 그 결정된 인증 정보 및 증서 신청에 사용되는 인증 신청 정보를 사용함으로써 증서를 신청할 수 있다.
VNF 인스턴스는 증서 신청 프록시 메시지를 VNFM에 송신하고, 증서 신청 프록시 메시지는 인증 정보는 인증 정보 및 증서 신청에 사용되는 증서 신청 정보를 포함한다.
VNF 인스턴스에 의해 수신되는 인증 정보가 사전 공유 키(PSK)인 것으로 가정하면, 증서 신청 프록시 VNFM의 식별자의 합법성을 보장하기 위해, VNF 인스턴스는 증서 신청 프록시 메시지를 VNFM에 송신하기 전에 사전 공유 키를 사용하여 VNFM을 인증해야 한다는 것에 유의해야 한다.
구체적으로, VNFM은 현장 저장된(locally stored) 사전 공유 키(PSK)를 VNF 인스턴스에 송신하고, VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하며, 증서 신청 프록시 메시지는 현장 주입된(locally injected) PSK가 VNFM에 의해 송신되어 수신된 PSK와 동일하거나 관련 있는 것으로 VNF 인스턴스가 결정할 때 VNFM에 송신된다.
단계 102: VNFM은 인증 정보를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(CA)에 송신한다.
인증 신청 메시지는 증서 신청에 사용되는 증서 신청 정보를 포함한다.
단계 102에서, VNFM이 인증 정보를 사용하여 VNF 인스턴스를 인증하는 방식은 다음과 같으나 이에 제한되지 않는다:
인증 정보가 단계 101에서 시나리오 1에 설명된 임시 증서인 것으로 가정하고, 증서 신청 프록시 메시지에 포함되어 있는 임시 증서를 수신하면, 상기 VNFM은, 수신된 임시 증서와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서를 비교하고; 그리고
상기 VNFM이, 상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 동일한 것으로 결정하면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정되거나; 또는
상기 VNFM이, 상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 상이한 것으로 결정하면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정된다.
인증 정보가 단계 101에서 시나리오 2에 설명된 임시 증서인 것으로 가정하고, 증서 신청 프록시 메시지에 포함되어 있는 PSK를 수신하면, 상기 VNFM은, 상기 수신된 PSK와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK를 비교하고; 그리고
상기 VNFM이, 상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 동일하거나 관련 있는 것으로 결정하면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정되거나; 또는
상기 VNFM이, 상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 상이하거나 관련 없는 것으로 결정하면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정된다.
단계 103: VNFM은 CA에 의해 발행된 증서를 수신하고 상기 증서를 VNF 인스턴스에 송신한다.
상기 증서는, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성된다.
단계 103에서, CA에 의해 발행된 증서를 수신할 때, VNFM은 임시 증서 또는 사전 공유 키가 무효인 것으로 결정하고, 임시 증서는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되며, 사전 공유 키는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 생성된다. 이것은 CA에 의해 발생된 증서가 수신되면 임시 증서 또는 사전 공유 키는 VNFM에 의해 더 이상 신뢰받지 못한다는 것을 의미한다.
본 발명의 이 실시예에서, 상기 방법은:
상기 VNFM이 상기 증서를 VNF 인스턴스에 송신할 때 상기 증서를 사용하여 VNF 인스턴스에 대한 관리 채널을 구축하는 단계
를 더 포함한다.
본 발명의 실시예 1에 따르면, VNFM은 VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하며, 상기 증서 신청 프록시 메시지는 인증 정보 및 인증 신청에 사용되는 인증 신청 정보를 포함하며, 상기 인증 정보는 VNF 인스턴스와 VNFM 간의 증서 프록시-신청을 위한 채널을 구축하는 데 사용되고, VNFM은 인증 정보를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 CA에 송신하며, 상기 VNFM은 CA에 의해 발행된 증서를 수신하고 상기 증서를 VNF 인스턴스에 송신한다. 이 방법에서, VNFM과 증서 인증기관 간의 신뢰의 링크를 통해, 예시된 VNF 인스턴스는 증서 인증기관에 의해 발행된 증서를 신청하고, 이에 의해 VNF 인스턴스에 의해 신청된 증서의 합법성을 효과적으로 보장하고 증서 인증기관에 의해 발행된 증서를 사용함으로써 VNF 인스턴스와 VNFM 간에 구축되는 관리 채널의 보안을 보장한다.
실시예 2
도 2에 도시된 바와 같이, 도 2는 본 발명의 실시예 2에 따른 증서 획득 방법에 대한 개략적인 흐름도이며, 방법은 다음과 같이 설명될 수 있다:
본 발명의 실시예 2를 실행하는 전제조건은 NFVO, VIM, 및 NFVI가 서로 협동하여 VM을 생성하고 VN 상에서 VNF 인스턴스를 시작하고 운용한다는 것이다.
보안 신뢰 링크가 VM과 VIM 사이에 구축된다는 것에 유의해야 한다.
VM과 VIM 사이에 구축된 보안 신뢰 링크에 대해서는 후속의 실시예 4에서 상세히 설명하고 여기서는 설명하지 않는다.
단계 201: 가상화된 네트워크 기능(VNF) 관리자(VNFM)는 VNF 프레임워크 내의 가상화된 인프라스트럭처(VIM)에 의해 송신된 증서 신청 프록시 메시지를 수신한다.
증서 신청 프록시 메시지는 증서 신청을 요구하는 VNF, 및 증서 신청을 위한 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함한다.
상기 증서 신청 정보는 증서 양식, 도메인 명, 증서 인증기관 정보 등을 포함한다는 것에 유의해야 한다.
단계 201에서, 가상 네트워크에서는, VNF가 예시된 후, 예시된 VNF 인스턴스와 다른 가상의 네트워크 요소 간의 통신 보안을 보장하기 위해, 예시된 VNF 인스턴스를 위한 증서를 신청해야 한다.
구체적으로, VNF 인스턴스를 예시하라는 명령을 수신하면, NFVO는 VNF를 예시하라는 명령을 VIM에 송신한다. VIM은 VNF를 예시하라는 명령을 NFVI에 송신하고, VM을 VNF 인스턴스에 할당하여 VNF 예시를 실행하도록 NFVI에 요구한다.
VNF를 예시하라는 명령은 VNF 인스턴스의 예시화 파라미터를 포함한다.
VM을 VNF 인스턴스에 할당하고 VNF 예시를 실행할 때, NFVI는 VNF 인스턴스의 예시화 파라미터를 VNF 인스턴스에 주입하며, 예시화 파라미터는 VNF를 예시하라는 명령에 포함되어 있다.
신청되는 증서의 합법성을 보장하기 위해, VNF 인스턴스는 증서 신청 프록시를 사용함으로써 증서를 신청한다.
이 경우, VNF 인스턴스는 예시화 파라미터에 따라 인증 신청 정보를 획득한다.
예시화 파라미터는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함한다.
또한, VNF 인스턴스는 예시화 파라미터에 따라 공개-비밀 키 페어를 생성한다.
비밀 키는 VNF 인스턴스에 현장에 저장되어 있으며, 공개 키는 증서 신청 정보에 반송되며 VNF 인스턴스가 운용되는VM에 송신된다.
VNF 인스턴스는 VM 상에서 운용되므로, VNF 인스턴스와 VM 사이에 신뢰의 링크가 구축되는 것으로 결정된다는 것에 유의해야 한다.
보안 신뢰 링크가 VM과 VIM 사이에 구축되므로, VNF 인스턴스에 의해 송신된 증서 신청 메시지를 수신하면, VM은 VIM에 대한 보안 채널을 사용함으로써 증서 신청 프록시 메시지를 VIM에 송신한다.
증서 신청 프록시 메시지는 증서 신청에 사용되는 증서 신청 정보를 포함한다.
증서 신청 프록시 메시지를 수신하면, VIM은 증서 신청 프록시 메시지를 VNFM에 포워딩하고, VNFM은 증서 신청 프록시로서 기능하고 증서를 위한 증서 인증기관(CA)에 신청한다.
VNFM은 미리 증서 인증기관(CA)에 대한 신뢰의 보안 전송 채널을 구축한다는 것에 유의해야 한다.
단계 202: VNFM은 증서 신청 메시지를 증서 인증기관(CA)에 송신한다.
증서 신청 메시지는 증서 신청에 사용되는 증서 신청 정보를 포함한다.
단계 203: VNFM은 CA에 의해 발행된 증서를 수신하고 그 증서를 VIM에 송신한다.
증서는, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성된다.
단계 203에서, VNFM이 CA에 의해 발행된 증서를 수신하고 그 증서를 VIM에 송신한 후, VIM은 VM에 대한 전송 채널을 사용하여 그 증서를 VM에 송신하며, 그런 다음 VM은 VNF 인스턴스에 그 증서를 송신하며, 이에 따라 VNF 인스턴스는 현장 저장되어 있는 비밀 키를 사용함으로써 그 수신된 증서를 인증하며, 인증이 성공되면, 그 증서를 사용하여 VNFM에 대한 관리 채널을 구축한다.
본 발명의 실시예 2에 따르면, VM과 VIM 간의 신뢰 보안 전송 채널을 통해, 예시된 VNF 인스턴스는 증서 신청 프록시 메시지를 VNFM에 송신하며, 그런 다음 VMFM과 증서 인증기관 간의 신뢰의 링크를 통해, 증서 인증기관에 의해 발행된 증서를 신청하며, 이에 의해 VNF 인스턴스에 의해 신청된 증서의 합법성을 효과적으로 보장하고 증서 인증기관에 의해 발행된 증서를 사용함으로써 VNF 인스턴스와 VNFM 간에 구축되는 관리 채널의 보안을 보장한다.
실시예 3
도 3에 도시된 바와 같이, 도 3은 본 발명의 실시예 3에 따른 증서 획득 방법에 대한 개략적인 흐름도이며, 방법은 다음과 같이 설명될 수 있다:
본 발명의 실시예 3을 실행하는 전제조건은 다음과 같다: VNF 인스턴스를 예시하기로 결정하면, NFVO는 증서 인증기관(CA)에 임시 증서를 신청하며, 임시 증서는 VNF 인스턴스가 합법적 증서를 신청하는 데 사용된다.
NFVO가 VNF 인스턴스를 예시하기로 결정하는 프로세스에서, NFVO, VIM, 및 FNVI 사이에 신뢰의 전송 채널이 구축되며, 이에 따라 VNF 인스턴스를 예시하는 프로세스는 공격으로부터 보호되고 전송된 임시 증서는 누설되지 않도록 보호된다는 것에 유의해야 한다.
단계 301: 증서 인증기관(CA)은 가상화된 네트워크 기능(VNF) 인스턴스에 의해 송신된 증서 신청 메시지를 수신한다.
증서 신청 메시지는 임시 증서 및 증서 신청에 사용되는 증서 신청 정보를 포함하며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 CA로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송된다.
상기 증서 신청 정보는 증서 양식, 도메인 명, 증서 인증기관 정보 등을 포함한다는 것에 유의해야 한다.
단계 301에서, 가상 네트워크에서는, VNF가 예시된 후, 예시된 VNF 인스턴스와 다른 가상의 네트워크 요소 간의 통신 보안을 보장하기 위해, 예시된 VNF 인스턴스를 위한 증서를 신청해야 한다.
구체적으로, VNF 인스턴스를 예시하라는 명령을 수신하면, NFVO는 VNF를 예시하라는 명령을 VIM에 송신한다. VIM은 VNF를 예시하라는 명령을 NFVI에 송신하고, VM을 VNF 인스턴스에 할당하여 VNF 예시를 실행하도록 NFVI에 요구한다.
VNF를 예시하라는 명령은 VNF 인스턴스의 예시화 파라미터를 포함한다.
VM을 VNF 인스턴스에 할당하고 VNF 예시를 실행할 때, NFVI는 VNF 인스턴스의 예시화 파라미터를 VNF 인스턴스에 주입하며, 예시화 파라미터는 VNF를 예시하라는 명령에 포함되어 있다.
이 경우, VNF 인스턴스는 예시화 파라미터에 따라 인증 신청 정보를 획득한다.
예시화 파라미터는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시하기로 결정할 때 생성되고, NFVI가 VM을 VNF 인스턴스에 할당하고 VNF 예시를 종료할 때 주입된다.
예시화 파라미터에 따라, VNF 인스턴스는 증서 신청에 사용되는 공개-비밀 키 페어를 생성한다.
비밀 키는 VNF 인스턴스에 현장 저장되어 있다.
비밀 키는 증서 신청 정보에 반송되고 증서 인증기관(CA)에 송신된다.
주입된 증서 인증기관(CA)에 따라, VNF 인스턴스는 증서 신청 메시지를 사용하여, 임시 증서 및 증서 신청에 사용되는 증서 신청 정보를 반송하며, 증서 신청 메시지를 CA에 송신한다는 것에 유의해야 한다.
단계 302: CA는 임시 증서를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 VNF 인스턴스에 증서를 발행한다.
단계 302에서, 증서 신청 메시지를 수신하면, CA는 증서 신청 메시지에 포함되어 있는 임시 증서를 사용함으로써 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 VNF 인스턴스에 증서를 발행한다.
본 발명 실시예에서, 상기 방법은:
VNF가 증서를 획득한 후 현장 저장되어 있는 비밀 키를 사용하여 그 수신된 증서를 인증하고, 인증이 성공되면, 그 증서를 사용하여 VNFM에 대한 관리 채널을 구축하는 단계
를 더 포함한다.
본 발명의 실시예 3에 따르면, NFVO가 VNF 인스턴스를 예시하기로 결정할 때 신청된 임시 증서를 사용함으로써, 예시된 VNF 인스턴스는 예시된 VNF 인스턴스와 CA 간의 증서 신청을 위한 신뢰의 채널을 구축하며, 이에 의해 VNF 인스턴스에 의해 신청된 증서의 합법성을 효과적으로 보장하고 증서 인증기관에 의해 발행된 증서를 사용함으로써 VNF 인스턴스와 VNFM 간에 구축되는 관리 채널의 보안을 보장한다.
실시예 4
도 4에 도시된 바와 같이, 도 4는 본 발명의 실시예 4에 따른 증서 획득 방법에 대한 개략적인 흐름도이며, 상기 방법은 다음과 같이 설명될 수 있다:
본 발명의 실시예 4는 VM과 VMM 또는 VIM 간의 관리 채널을 구축하기 위한 방법에 대해 구체적으로 설명한다.
단계 401: 네트워크 기능 가상화 인프라스트럭처(NFVI)는 가상 머신(VM)에 의해 송신된 증서 신청 메시지를 수신한다.
증서 신청 메시지는 증서 신청에 사용되는 증서 신청 정보를 포함한다.
상기 증서 신청 정보는 증서 양식, 도메인 명, 증서 인증기관 정보 등을 포함한다는 것에 유의해야 한다.
단계 401에서, 가상 네트워크에서는, VNF가 예시된 후, 예시된 VNF 인스턴스와 다른 가상의 네트워크 요소 간의 통신 보안을 보장하기 위해, 예시된 VNF 인스턴스를 위한 증서를 신청해야 한다.
VFN 인스턴스가 운용되는 가상 자원 VM은 VNF 인스턴스가 예시되어야 할 때 할당되기 때문에, VM과 VMM 간의 관리 채널은 VM이 할당된 후에 구축되어야 하고, 이는 VM의 합법성을 보장하고 이에 따라 VNF 인스턴스의 합법성을 강화한다.
구체적으로, VNF 인스턴스를 예시하라는 명령을 수신하면, NFVO는 VNF를 예시하라는 명령을 VIM에 송신한다. VIM은 VNF를 예시하라는 명령을 NFVI에 송신하고, VM을 VNF 인스턴스에 할당하여 VNF 예시를 실행하도록 NFVI에 요구한다.
NFVI는 VNF를 예시하라는 명령에 따라 VNF에 VM을 할당한다.
VIM은 가상 자원을 할당할 것을 요구하는 정보를 NFVI에 송신하며, 가상 자원을 할당할 것을 요구하는 정보는 증서 신청을 위한 예시화 파라미터 등을 포함한다.
VNF를 예시하라는 명령에 따라 VNF 인스턴스에 VM을 할당한 후, NFVI는 증서 신청을 위한 예시화 파라미터를 VM에 주입한다.
시작되면, VM은 예시화 파라미터에 따라 공개-비밀 키 페어를 생성한다.
예시화 파라미터는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고,
가상화 네트워크 기능 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM)가 VM을 생성하라는 명령을 수신할 때 획득되며, 상기 명령은 네트워크 기능 가상화 오케스트라(NFVO)에 의해 송신된다.
비밀 키는 VM에 현장 저장되어 있고, 공개 키는 사전 신청에 사용되고 사전 신청 정보에 반송된다.
이 경우, VM은 사전 신청 메시지를 NVVI에 송신한다.
단계 402: NFVI는 증서 신청 프록시 메시지를 증서 인증기관(CA)에 송신한다.
증서 신청 프록시 메시지는 증서 신청을 위해 VM에 의해 사용되는 증서 신청 정보를 포함한다.
단계 402에서, NFVI가 증서 신청 프록시 메시지를 증서 인증기관(CA)에 송신하는 방식은 다음을 포함하되 이에 제한되지 않는다:
제1 방식:
신뢰의 전송 채널이 NFVI와 증서 인증기관(CA) 간에 미리 구축되며, 이 경우, NFVI는 증서 신청 프록시 메시지를 증서 인증기관(CA)에 직접적으로 송신한다.
제2 방식:
신뢰의 전송 채널은 VIM과 증서 인증기관(CA) 사이에 미리 구축된다.
NFVI는 가상화된 네트워크 기능 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 증서 신청 프록시 메시지를 증서 인증기관(CA)에 포워딩할 수 있도록, VIM에 증서 신청 프록시 메시지를 송신한다.
도 5는 증서 획득 방법에 대한 개략적인 흐름도이다.
구체적으로, NFVI는 VM에 의해 송신된 증서 신청 메시지를 수신하고, 증서 신청 프록시 메시지를 생성하며, 증서 신청 프록시 메시지를 VIM에 송신하며, 이에 따라 VIM은 증서 신청 프록시 메시지를 증서 인증기관(CA)에 포워딩한다.
단계 403: NFVI는 CA에 의해 발행된 증서를 수신하고 그 증서를 VM에 송신한다.
증서는, 증서 신청을 위해 VM에 의해 사용되고 증서 신청 프록시 메시지에 포함되어 있는 증서 신청 정보에 따라 생성된다.
단계 403에서, 방법은:
VM이 증서를 수신하면, 현장 저장되어 있는 비밀 키를 사용함으로써 그 수신된 증서를 인증하고, 인증이 성공되면, VM과 VM 관리자(VMM) 간의 관리 채널을 구축하는 단계
를 더 포함한다.
본 발명의 실시예 4에 따르면, 증서 신청 프록시에 의해, VM은 합법적인 증서를 신청하고, VMM 또는 VIM에 대한 신뢰의 전송 채널을 구축하며, 이에 의해
증서 인증기관에 의해 발행된 증서를 사용함으로써 신뢰의 관리 채널이 BNF 인스턴스와 VNFM 간에 구축되는 것을 보장하는 기초를 닦을 수 있으며, VNF 인스턴스와 VNFM 간의 관리 채널의 보안을 효과적으로 강화한다.
실시예 5
도 6에 도시된 바와 같이, 도 6은 본 발명의 실시예 5에 따른 증서 획득 장치에 대한 개략적인 구조도이며, 장치는 수신 모듈(61) 및 송신 모듈(62)을 포함한다.
수신 모듈(61)은 VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하도록 구성되어 있으며, 상기 증서 신청 프록시 메시지는 인증 정보 및 증서 신청에 사용되는 증서 신청 정보를 포함하고, 상기 인증 정보는 VNF 인스턴스와 가상화된 네트워크 기능(virtualized network function, VNF) 관리자(VNFM) 간의 증서 프록시-신청을 위한 채널을 구축하는 데 사용된다.
송신 모듈(62)은 수신 모듈(61)에 의해 수신된 인증 정보를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(certificate authority, CA)에 송신하도록 구성되어 있으며,
상기 수신 모듈(61)은 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있으며,
상기 송신 모듈(62)은 상기 수신 모듈에 의해 수신된 증서를 VNF 인스턴스에 송신하도록 추가로 구성되어 있으며, 상기 증서는, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성된다.
선택적으로, 인증 정보는 임시 증서이며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(network function virtualization orchestrator, NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(virtualized infrastructure manager, VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(virtual machine, VM)을 통해 VNF 인스턴스에 전송된다.
상기 송신 모듈(62)은 구체적으로, 수신된 임시 증서와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서를 비교하고,
상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 동일한 것으로 결정되면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정하거나; 또는
상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 상이한 것으로 결정되면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정하도록 구성되어 있다.
선택적으로, 인증 정보는 사전 공유 키(pre-shared key, PSK)이며, 상기 PSK는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 생성되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송된다.
수신 모듈(61)은 구체적으로, PKS를 VNF 인스턴스에 송신하고 상기 VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하도록 구성되어 있으며, 상기 증서 신청 프록시 메시지는, 현장 주입된(locally injected) PSK가 VNFM에 의해 송신되어 수신된 PSK와 동일하거나 관련 있는 것으로 VNF 인스턴스가 결정할 때 VNFM에 송신된다.
송신 모듈(62)은 구체적으로, 수신된 PSK와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK를 비교하고,
상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 동일하거나 관련 있는 것으로 결정되면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정하거나; 또는
상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 상이하거나 관련 없는 것으로 결정되면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정하도록 구성되어 있다.
선택적으로, 상기 장치는 채널 구축 모듈(62)을 더 포함하며, 여기서:
채널 구축 모듈(62)은 증서가 VNF 인스턴스에 송신될 때, 상기 증서를 사용하여 VNF 인스턴스에 대한 관리 채널을 구축하도록 구성되어 있다.
본 발명의 이 실시예에 따른 장치는 가상 시스템 내의 가상화된 네트워크 기능(VNF) 관리자(VNFM)일 수 있고, VNF 인스턴스를 위한 프록시에 의해 증서를 신청하는 기능을 가지며, 하드웨어 또는 소프트웨어의 형태로 실현될 수 있으며, 이는 여기서 제한되지 않는다.
실시예 6
도 7에 도시된 바와 같이, 도 7은 본 발명의 실시예 6에 따른 증서 획득 장치에 대한 개략적인 구조도이며, 상기 장치는 수신 모듈(71) 및 송신 모듈(72)을 포함한다.
수신 모듈(71)은 VNF 프레임워크 내의 가상화된 인프라스트럭처 관리자(virtualized infrastructure manager, VIM)에 의해 송신된 증서 신청 프록시 메시지를 수신하도록 구성되어 있으며, 상기 증서 신청 프록시 메시지는 증서 신청을 요구하는 VNF 인스턴스, 및 증서 신청을 위해 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함하며,
송신 모듈(72)은 수신 모듈(71)에 의해 수신되고 증서 신청을 위해 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(CA)에 송신하도록 구성되어 있으며,
수신 모듈(71)은 상기 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있으며,
송신 모듈(72)은 상기 수신 모듈에 의해 수신된 증서를 VIM에 송신하도록 추가로 구성되어 있으며, 상기 증서는, 증서 신청을 위해 VNF 인스턴스에 의해 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성된다.
선택적으로, 증서 신청 프록시 메시지는 상기 수신된 증서 신청 정보에 따라 VIM에 의해 생성되며, 상기 증서 신청 정보는 초기화 파라미터에 따라 VNF 인스턴스에 의해 획득되고 VNF 인스턴스에 의해 VM에 송신되며 그런 다음 VIM에 대한 보안 채널을 통해 VM에 의해 VIM에 송신된다.
선택적으로, 초기화 파라미터는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시하기로 결정할 때 획득된다.
본 발명의 이 실시예에 따른 장치는 가상 시스템 내의 가상화된 네트워크 기능(VNF) 관리자(VNFM)일 수 있고, VNF 인스턴스를 위한 프록시에 의해 증서를 신청하는 기능을 가지며, 하드웨어 또는 소프트웨어의 형태로 실현될 수 있으며, 이는 여기서 제한되지 않는다.
실시예 7
도 8에 도시된 바와 같이, 도 8은 본 발명의 실시예 7에 따른 증서 획득 장치에 대한 개략적인 구조도이며, 상기 장치는 수신 모듈(81) 및 발행 모듈(82)을 포함하며, 여기서:
수신 모듈(81)은 가상화된 네트워크 기능(VNF) 인스턴스에 의해 송신된 증서 신청 메시지를 수신하도록 구성되어 있으며, 상기 증서 신청 메시지는 임시 증서 및 증서 신청에 사용되는 증서 신청 정보를 포함하며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 CA로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송되며,
발행 모듈(82)은 수신 모듈(81)에 의해 수신된 임시 증서를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 VNF 인스턴스에 증서를 발행하도록 구성되어 있다.
본 발명의 이 실시예에 따른 장치는 증서 인증기관일 수 있고, CA 또는 증서를 인증할 수 있는 다른 장치일 수 있다는 것에 유의해야 하며, 이는 여기서 제한되지 않으며, 상기 장치는 하드웨어 또는 소프트웨어의 형태로 실현될 수 있으며, 이는 여기서 제한되지 않는다.
실시예 8
도 9에 도시된 바와 같이, 도 9는 본 발명의 실시예 8에 따른 증서 획득 장치에 대한 개략적인 구조도이며, 상기 장치는 수신 모듈(91) 및 송신 모듈(92)을 포함하며,
수신 모듈(91)은 가상 머신(VM)에 의해 송신된 증서 신청 메시지를 수신하도록 구성되어 있으며, 상기 증서 신청 메시지는 증서 신청에 사용되는 공개 키를 포함하며,
송신 모듈(92)은 증서 신청 프록시 메시지를 증서 인증기관(CA)에 송신하도록 구성되어 있으며,
상기 증서 신청 프록시 메시지는, 수신 모듈에 의해 수신되고 증서 신청을 위해 VM에 의해 사용되는 공개 키를 포함하며,
수신 모듈(91)은 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있으며,
송신 모듈(92)은 상기 수신 모듈에 의해 수신된 증서를 VM에 송신하도록 추가로 구성되어 있으며, 상기 증서는, 증서 신청을 위해 VM에 의해 사용되고 증서 신청 프록시 메시지에 포함되어 있는 공개 키에 따라 시그널링에 의해 CA에 의해 획득된다.
선택적으로, 송신 모듈(92)은 구체적으로, 가상 네트워크 함수 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 증서 신청 프록시 메시지를 증서 인증기관(CA)에 포워딩할 수 있도록, 상기 VIM에 상기 증서 신청 프록시 메시지 송신하도록 구성되어 있다.
선택적으로, 상기 장치는 채널 구축 모듈(93)을 더 포함하며, 여기서:
채널 구축 모듈(92)은 VM이 상기 증서를 수신하면, 상기 VM과 VM 관리자 간에 관리 채널을 구축하도록 구성되어 있다.
선택적으로, 공개 키는 초기화 파라미터에 따라 VM에 의해 생성되며, 상기 초기화 메시지는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 가상 네트워크 함수 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 VM을 생성하라는 명령을 수신할 때 취득되며, 상기 명령은 네트워크 기능 가상화 오케스트라(NFVO)에 의해 송신된다.
본 발명의 이 실시예에 따른 장치는 증서 인증기관일 수 있고, 네트워크 기능 가상화 인프라스트럭처(NFVI)일 수 있고, VM에 대한 프록시에 의한 증서를 신청하는 기능을 가진다는 것에 유의해야 하며, 하드웨어 또는 소프트웨어의 형태로 실현될 수 있으며, 이는 여기서 제한되지 않는다.
실시예 9
도 10에 도시된 바와 같이, 도 10은 본 발명의 실시예 9에 따른 증서 획득 장치에 대한 개략적인 구조도이며, 상기 장치는 신호 수신기(1011) 및 신호 전송기(1012)를 포함하며, 신호 수신기(1011) 및 신호 전송기(1012)는 통신 버스(1013)를 통해 통신한다.
신호 수신기(1011)는 VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하도록 구성되어 있으며, 상기 증서 신청 프록시 메시지는 인증 정보 및 증서 신청에 사용되는 증서 신청 정보를 포함하며, 상기 인증 정보는 VNF 인스턴스와 가상화된 네트워크 기능(virtualized network function, VNF) 관리자(VNFM) 간의 증서 프록시-신청을 위한 채널을 구축하는 데 사용된다.
신호 전송기(1012)는 인증 정보를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(CA)에 송신하도록 구성되어 있으며,
신호 수신기(1011)는 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있다.
신호 전송기(1012)는 상기 증서를 VNF 인스턴스에 송신하도록 추가로 구성되어 있으며, 상기 증서는, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성된다.
선택적으로, 인증 정보는 임시 증서이며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송된다.
신호 전송기(1012)는 구체적으로, 수신된 임시 증서와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서를 비교하고,
상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 동일한 것으로 VNFM이 결정하면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정하거나; 또는
상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 상이한 것으로 VNFM이 결정하면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정하도록 구성되어 있다.
선택적으로, 인증 정보는 사전 공유 키(PSK)이며, 상기 PSK는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 생성되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송된다.
신호 수신기(1011)는 구체적으로, PKS를 VNF 인스턴스에 송신하고 상기 VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하도록 구성되어 있으며, 상기 증서 신청 프록시 메시지는 현장 주입된 PSK가 수신된 PSK와 동일하거나 관련 있는 것으로 VNF 인스턴스가 결정할 때 VNFM에 송신된다.
신호 전송기(1012)는 구체적으로, 수신된 PSK와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK를 비교하고,
상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 동일하거나 관련 있는 것으로 결정되면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정하거나; 또는
상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 상이하거나 관련 없는 것으로 결정되면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정하도록 구성되어 있다.
선택적으로, 상기 장치는 프로세서(1014)를 더 포함하며,
프로세서(1014)는 증서가 VNF 인스턴스에 송신되면, 상기 증서를 사용하여 VNF 인스턴스에 대한 관리 채널을 구축하도록 구성되어 있다.
프로세서(1014)는 범용 중앙처리장치(general-puupose central processing unit, CPU), 마이크로프로세서, 주문형 집적회로(application specific integrated circuit, ASIC), 또는 본 발명의 솔루션의 프로그램의 실행을 제어하는 데 사용되는 하나 이상의 집적회로일 수 있다.
통신 버스(1013)는 전술한 구성요소 간에 정보를 전송하기 위한 경로를 포함할 수 있다.
본 발명의 이 실시예에 따른 장치는 가상 시스템 내의 가상화된 네트워크 기능 관리자(VNFM)일 수 있고, VNF 인스턴스에 대한 프록시에 의한 증서를 신청하는 기능을 가진다는 것에 유의해야 하며, 하드웨어 또는 소프트웨어의 형태로 실현될 수 있으며, 이는 여기서 제한되지 않는다.
실시예 10
도 11에 도시된 바와 같이, 도 11은 본 발명의 실시예 10에 따른 증서 획득 장치에 대한 개략적인 구조도이며, 상기 장치는 수신 수신기(1111) 및 신호 전송기(1112)를 포함하며, 수신 수신기(1111) 및 신호 전송기(1112)는 통신 버스(1113)를 통해 접속된다.
신호 수신기(1111)는 VNF 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)에 의해 송신된 증서 신청 프록시 메시지를 수신하도록 구성되어 있는 - 상기 증서 신청 프록시 메시지는 증서 신청을 요구하는 VNF 인스턴스, 및 증서 신청을 위해 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함한다.
신호 전송기(1112)는 증서 신청을 위해 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(CA)에 송신하도록 구성되어 있다.
신호 수신기(1111)는 상기 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있다.
신호 전송기(1112)는 증서를 VIM에 송신하도록 추가로 구성되어 있으며, 상기 증서는, 증서 신청을 위해 VNF 인스턴스에 의해 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성된다.
선택적으로, 증서 신청 프록시 메시지는 상기 수신된 증서 신청 정보에 따라 VIM에 의해 생성되며, 상기 증서 신청 정보는 초기화 파라미터에 따라 VNF 인스턴스에 의해 획득되고 VNF 인스턴스에 의해 VM에 송신되며 그런 다음 VIM에 대한 보안 채널을 통해 VM에 의해 VIM에 송신된다.
선택적으로, 초기화 파라미터는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시하기로 결정할 때 획득된다.
본 발명의 이 실시예에 따른 장치는 가상 시스템 내의 가상화된 네트워크 기능 관리자(VNFM)일 수 있고, VNF 인스턴스에 대한 프록시에 의한 증서를 신청하는 기능을 가진다는 것에 유의해야 하며, 하드웨어 또는 소프트웨어의 형태로 실현될 수 있으며, 이는 여기서 제한되지 않는다.
실시예 11
도 12에 도시된 바와 같이, 도 12는 본 발명의 실시예 11에 따른 증서 획득 장치에 대한 개략적인 구조도이며, 상기 장치는 신호 수신기(1211) 및 프로세서(1212)를 포함하며, 신호 수신기(1211) 및 프로세서(1212)는 통신 서브(1213)를 통해 접속된다.
신호 수신기(1211)는 가상화된 네트워크 기능(VNF) 인스턴스에 의해 송신된 증서 신청 메시지를 수신하도록 구성되어 있으며, 상기 증서 신청 메시지는 임시 증서 및 증서 신청에 사용되는 증서 신청 정보를 포함하며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 CA로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송된다.
프로세서(1212)는 임시 증서를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 VNF 인스턴스에 증서를 발행하도록 구성되어 있다.
프로세서(1012)는 범용 중앙처리장치(general-puupose central processing unit, CPU), 마이크로프로세서, 주문형 집적회로(application specific integrated circuit, ASIC), 또는 본 발명의 솔루션의 프로그램의 실행을 제어하는 데 사용되는 하나 이상의 집적회로일 수 있다.
통신 버스(1213)는 전술한 구성요소 간에 정보를 전송하기 위한 경로를 포함할 수 있다.
본 발명의 이 실시예에 따른 장치는 CA 또는 증서를 인증할 수 있는 다른 장치일 수 있고, 이것은 여기서 제한되지 않으며, 상기 장치는 하드웨어 또는 소프트웨어의 형태로 실현될 수 있으며, 이는 여기서 제한되지 않는다.
실시예 12
도 13에 도시된 바와 같이, 도 13은 본 발명의 실시예 12에 따른 증서 획득 장치에 대한 개략적인 구조도이며, 상기 장치는 신호 수신기(1311) 및 신호 전 송기(1312)를 포함하며, 신호 수신기(1311) 및 신호 전송기(1312)는 통신 버스(1313)를 통해 접속된다.
신호 수신기(1311)는 가상 머신(VM)에 의해 송신된 증서 신청 메시지를 수신하도록 구성되어 있으며, 상기 증서 신청 메시지는 증서 신청에 사용되는 공개 키를 포함한다.
신호 전송기(1312)는 증서 신청 프록시 메시지를 증서 인증기관(CA)에 송신하도록 구성되어 있으며, 상기 증서 신청 프록시 메시지는 증서 신청을 위해 VM에 의해 사용되는 공개 키를 포함한다.
신호 수신기(1311)는 상기 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있다.
신호 전송기(1312)는 상기 증서를 VM에 송신하도록 추가로 구성되어 있으며, 상기 증서는, 증서 신청을 위해 VM에 의해 사용되고 증서 신청 프록시 메시지에 포함되어 있는 공개 키에 따라 시그널링에 의해 CA에 의해 획득된다.
구체적으로, 신호 전송기(1312)는 구체적으로, 가상 네트워크 함수 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 증서 신청 프록시 메시지를 증서 인증기관(CA)에 포워딩할 수 있도록, 상기 VIM에 상기 증서 신청 프록시 메시지를 송신하도록 구성되어 있다.
프로세서(1314)는 VM이 상기 증서를 수신하면, 상기 VM과 VM 관리자 간에 관리 채널을 구축하도록 구성되어 있다.
선택적으로, 공개 키는 초기화 파라미터에 따라 VM에 의해 생성되며, 상기 초기화 메시지는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 가상 네트워크 함수 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 VM을 생성하라는 명령을 수신할 때 취득되며, 상기 명령은 네트워크 기능 가상화 오케스트라(NFVO)에 의해 송신된다.
프로세서(1314)는 범용 중앙처리장치(general-puupose central processing unit, CPU), 마이크로프로세서, 주문형 집적회로(application specific integrated circuit, ASIC), 또는 본 발명의 솔루션의 프로그램의 실행을 제어하는 데 사용되는 하나 이상의 집적회로일 수 있다.
통신 버스(1313)는 전술한 구성요소 간에 정보를 전송하기 위한 경로를 포함할 수 있다.
본 발명의 이 실시예에 따른 장치는 가상화된 기능 가상화 인프라스트럭처(NFVI)일 수 있고, VM에 대한 프록시에 의한 증서를 신청하는 기능을 가지며, 하드웨어 또는 소프트웨어의 형태로 실현될 수 있다는 것에 유의해야 하며, 이는 여기서 제한되지 않는다.
당업자는 본 발명의 실시예는 방법, 장치(기기), 또는 컴퓨터 프로그램 제품으로서 제공될 수 있다는 것에 유의해야 한다. 그러므로 본 발명은 하드웨어 전용 실시예, 소프트웨어 전용 실시예, 또는 소프트웨어와 하드웨어의 조합의 실시예의 형태를 사용할 수 있다. 게다가, 본 발명은 컴퓨터 사용 가능형 프로그램 코드를 포함하는 하나 이상의 컴퓨터 사용 가능형 저장 매체(디스크 메모리, CD-ROM, 광 메모리 등을 포함하되 이에 제한되지 않는다) 상에서 실현될 수 있는 컴퓨터 프로그램 제품의 형태를 사용할 수 있다.
본 발명은 본 발명의 실시예에 따른 방법, 장치(기기), 및 컴퓨터 프로그램 제품의 흐름도 및/또는 블록도를 참조하여 설명하였다. 컴퓨터 프로그램 명령은 흐름도 및/또는 블록도에서의 각각의 프로세스 및/또는 각각의 블록 및 흐름도 및/또는 블록도에서의 하나의 프로세스 및/또는 하나의 블록의 조합을 실현하는 데 사용될 수 있다는 것에 유의해야 한다.
이러한 컴퓨터 프로그램 명령은 범용 컴퓨터, 전용 컴퓨터, 임베디드 프로세서, 또는 머신을 생산하는 임의의 다른 프로그래머블 데이터 처리 장치의 프로세서를 위해 제공될 수 있으며, 이에 따라 컴퓨터 또는 임의의 다른 프로그래머블 데이터 처리 장치의 프로세서에 의해 실행되는 명령은 흐름도에서의 하나 이상의 프로세스 및/또는 블록도에서의 하나 이상의 블록에서의 특정한 기능을 실행하기 위한 장치를 생성한다.
이러한 컴퓨터 프로그램 명령은 특정한 방식으로 작동하는 컴퓨터 또는 임의의 다른 프로그래머블 데이터 처리 장치에 명령할 수 있는 컴퓨터 판독 가능형 메모리에 저장될 수 있으며, 이에 따라 컴퓨터 판독 가능형 메모리에 저장되어 있는 명령은 명령 장치를 포함하는 인공물을 생성한다. 명령 장치는 흐름도에서의 하나 이상의 프로세스 및/또는 블록도에서의 하나 이상의 블록에서의 특정한 기능을 실행한다.
이러한 컴퓨터 프로그램 명령은 또한 컴퓨터 또는 다른 프로그래머블 데이터 처리 장치에 로딩될 수 있으며, 이에 따라 일련의 동작 및 단계는 컴퓨터 또는 다른 프로그래머블 장치 상에서 수행되며, 이에 의해 컴퓨터가 실행한 프로세싱을 생성한다. 그러므로 컴퓨터 또는 다른 프로그래머블 장치 상에서 실행되는 명령은 흐름도에서의 하나 이상의 프로세스 및/또는 블록도에서의 하나 이상의 블록에서의 특정한 기능을 실행하기 위한 단계를 생성한다.
본 발명의 일부의 바람직한 실시예를 설명하였으나, 당업자라면 기초적인 창조적 개념을 알게 되면 이러한 실시예에 대한 변형 및 수정을 수행할 수 있다. 그러므로 이하의 청구범위는 바람직한 실시예 및 본 발명의 범위 내에 해당되는 모든 변형 및 수정을 망라하는 것으로 의도되어야 한다.
당연히, 당업자는 본 발명의 정신 및 범주를 벗어남이 없이 본 발명에 대한 다양한 수정 및 변형을 수행할 수 있다. 본 발명은 이러한 수정 및 변형이 이하의 청구범위 및 그 등가의 기술에 의해 규정되는 보호 범위 내에 있는 한 이러한 수정 및 변형을 망라하도록 의도된다.

Claims (45)

  1. 증서 획득 장치로서,
    가상화된 네트워크 기능(virtualized network function, VNF) 인스턴스에 의해 송신된 증서 신청 프록시 메시지(certificate application proxy message)를 수신하도록 구성되어 있는 수신 모듈 - 상기 증서 신청 프록시 메시지는 인증 정보 및 증서 신청에 사용되는 증서 신청 정보를 포함하고, 상기 인증 정보는 VNF 인스턴스와 VNF 관리자(VNF manager, VNFM) 간의 증서 프록시-신청을 위한 채널을 구축하는 데 사용됨 - ; 및
    상기 수신 모듈에 의해 수신된 인증 정보를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(certificate authority, CA)에 송신하도록 구성되어 있는 송신 모듈
    을 포함하며,
    상기 수신 모듈은 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있으며,
    상기 송신 모듈은 상기 수신 모듈에 의해 수신된 증서를 VNF 인스턴스에 송신하도록 추가로 구성되어 있으며,
    상기 증서는, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성되는, 증서 획득 장치.
  2. 제1항에 있어서,
    상기 인증 정보는 임시 증서이며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(network function virtualization orchestrator, NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(virtualized infrastructure manager, VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(virtual machine, VM)을 통해 VNF 인스턴스에 전송되는, 증서 획득 장치.
  3. 제2항에 있어서,
    상기 송신 모듈은 구체적으로, 수신된 임시 증서와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서를 비교하고,
    상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 동일한 것으로 결정되면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정하거나; 또는
    상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 상이한 것으로 결정되면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정하도록 구성되어 있는, 증서 획득 장치.
  4. 제1항에 있어서,
    상기 인증 정보는 사전 공유 키(pre-shared key, PSK)이며, 상기 PSK는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 생성되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송되는, 증서 획득 장치.
  5. 제4항에 있어서,
    상기 수신 모듈은 구체적으로, PKS를 VNF 인스턴스에 송신하고 상기 VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하도록 구성되어 있으며, 상기 증서 신청 프록시 메시지는, 현장 주입된(locally injected) PSK가 VNFM에 의해 송신되어 수신된 PSK와 동일하거나 관련 있는 것으로 VNF 인스턴스가 결정할 때 VNFM에 송신되는, 증서 획득 장치.
  6. 제5항에 있어서,
    상기 송신 모듈은 구체적으로, 수신된 PSK와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK를 비교하고,
    상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 동일하거나 관련 있는 것으로 결정되면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정하거나; 또는
    상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 상이하거나 관련 없는 것으로 결정되면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정하도록 구성되어 있는, 증서 획득 장치.
  7. 제1항 내지 제6항 중 어느 한 항에 있어서,
    상기 증서가 VNF 인스턴스에 송신될 때, 상기 증서를 사용하여 VNF 인스턴스에 대한 관리 채널을 구축하도록 구성되어 있는 채널 구축 모듈
    을 더 포함하는 증서 획득 장치.
  8. 증서 획득 장치로서,
    VNF 프레임워크 내의 가상화된 인프라스트럭처 관리자(virtualized infrastructure manager, VIM)에 의해 송신된 증서 신청 프록시 메시지를 수신하도록 구성되어 있는 수신 모듈 - 상기 증서 신청 프록시 메시지는 증서 신청을 요구하는 VNF 인스턴스, 및 증서 신청을 위해 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함함 - ; 및
    상기 수신 모듈에 의해 수신되고 증서 신청을 위해 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(CA)에 송신하도록 구성되어 있는 송신 모듈
    을 포함하며,
    상기 수신 모듈은 상기 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있으며,
    상기 송신 모듈은 상기 수신 모듈에 의해 수신된 증서를 VIM에 송신하도록 추가로 구성되어 있으며,
    상기 증서는, 증서 신청을 위해 VNF 인스턴스에 의해 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성되는, 증서 획득 장치.
  9. 제8항에 있어서,
    상기 증서 신청 프록시 메시지는 상기 수신된 증서 신청 정보에 따라 VIM에 의해 생성되며,
    상기 증서 신청 정보는 초기화 파라미터에 따라 VNF 인스턴스에 의해 획득되고 VNF 인스턴스에 의해 VM에 송신되며 그런 다음 VIM에 대한 보안 채널을 통해 VM에 의해 VIM에 송신되는, 증서 획득 장치.
  10. 제9항에 있어서,
    상기 초기화 파라미터는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시하기로 결정할 때 획득되는, 증서 획득 장치.
  11. 증서 획득 장치로서,
    가상화된 네트워크 기능(VNF) 인스턴스에 의해 송신된 증서 신청 메시지를 수신하도록 구성되어 있는 수신 모듈 - 상기 증서 신청 메시지는 임시 증서 및 증서 신청에 사용되는 증서 신청 정보를 포함하며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 CA로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송됨 - 및
    상기 수신 모듈에 의해 수신된 임시 증서를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 VNF 인스턴스에 증서를 발행하도록 구성되어 있는 발행 모듈
    을 포함하는 증서 획득 장치.
  12. 증서 획득 장치로서,
    가상 머신(VM)에 의해 송신된 증서 신청 메시지를 수신하도록 구성되어 있는 수신 모듈 - 상기 증서 신청 메시지는 증서 신청에 사용되는 공개 키를 포함함 - ; 및
    증서 신청 프록시 메시지를 증서 인증기관(CA)에 송신하도록 구성되어 있는 송신 모듈
    을 포함하며,
    상기 증서 신청 프록시 메시지는, 수신 모듈에 의해 수신되고 증서 신청을 위해 VM에 의해 사용되는 공개 키를 포함하며,
    상기 수신 모듈은 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있으며,
    상기 송신 모듈은 상기 수신 모듈에 의해 수신된 증서를 VM에 송신하도록 추가로 구성되어 있으며,
    상기 증서는, 증서 신청을 위해 VM에 의해 사용되고 증서 신청 프록시 메시지에 포함되어 있는 공개 키에 따라 시그널링에 의해 CA에 의해 획득되는, 증서 획득 장치.
  13. 제12항에 있어서,
    상기 송신 모듈은 구체적으로, 가상 네트워크 함수 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 증서 신청 프록시 메시지를 증서 인증기관(CA)에 포워딩할 수 있도록, 상기 VIM에 상기 증서 신청 프록시 메시지 송신하도록 구성되어 있는, 증서 획득 장치.
  14. 제12항 또는 제13항에 있어서,
    상기 VM이 상기 증서를 수신하면, 상기 VM과 VM 관리자 간에 관리 채널을 구축하도록 구성되어 있는 채널 구축 모듈
    을 더 포함하는 증서 획득 장치.
  15. 제12항 내지 제14항 중 어느 한 항에 있어서,
    상기 공개 키는 초기화 파라미터에 따라 VM에 의해 생성되며, 상기 초기화 메시지는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 가상 네트워크 함수 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 VM을 생성하라는 명령을 수신할 때 취득되며, 상기 명령은 네트워크 기능 가상화 오케스트라(NFVO)에 의해 송신되는, 증서 획득 장치.
  16. 증서 획득 장치로서,
    VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하도록 구성되어 있는 신호 수신기 - 상기 증서 신청 프록시 메시지는 인증 정보 및 증서 신청에 사용되는 증서 신청 정보를 포함하며, 상기 인증 정보는 VNF 인스턴스와 가상화된 네트워크 기능(virtualized network function, VNF) 관리자(VNFM) 간의 증서 프록시-신청을 위한 채널을 구축하는 데 사용됨 - ; 및
    상기 인증 정보를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(CA)에 송신하도록 구성되어 있는 신호 전송기
    를 포함하며,
    상기 신호 수신기는 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있으며,
    상기 신호 전송기는 상기 증서를 VNF 인스턴스에 송신하도록 추가로 구성되어 있으며,
    상기 증서는, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성되는, 증서 획득 장치.
  17. 제16항에 있어서,
    상기 인증 정보는 임시 증서이며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송되는, 증서 획득 장치.
  18. 제17항에 있어서,
    상기 신호 전송기는 구체적으로, 수신된 임시 증서와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서를 비교하고,
    상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 동일한 것으로 VNFM이 결정하면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정하거나; 또는
    상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 상이한 것으로 VNFM이 결정하면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정하도록 구성되어 있는, 증서 획득 장치.
  19. 제16항에 있어서,
    상기 인증 정보는 사전 공유 키(PSK)이며, 상기 PSK는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 생성되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송되는, 증서 획득 장치.
  20. 제19항에 있어서,
    상기 신호 수신기는 구체적으로, PKS를 VNF 인스턴스에 송신하고 상기 VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하도록 구성되어 있으며, 상기 증서 신청 프록시 메시지는 현장 주입된 PSK가 수신된 PSK와 동일하거나 관련 있는 것으로 VNF 인스턴스가 결정할 때 VNFM에 송신되는, 증서 획득 장치.
  21. 제20항에 있어서,
    상기 신호 전송기는 구체적으로, 수신된 PSK와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK를 비교하고,
    상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 동일하거나 관련 있는 것으로 결정되면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정하거나; 또는
    상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 상이하거나 관련 없는 것으로 결정되면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정하도록 구성되어 있는, 증서 획득 장치.
  22. 제16항 내지 제21항 중 어느 한 항에 있어서,
    상기 증서가 VNF 인스턴스에 송신되면, 상기 증서를 사용하여 VNF 인스턴스에 대한 관리 채널을 구축하도록 구성되어 있는 프로세서
    를 더 포함하는 증서 획득 장치.
  23. 증서 획득 장치로서,
    VNF 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)에 의해 송신된 증서 신청 프록시 메시지를 수신하도록 구성되어 있는 신호 수신기 - 상기 증서 신청 프록시 메시지는 증서 신청을 요구하는 VNF 인스턴스, 및 증서 신청을 위해 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함함 - ; 및
    증서 신청을 위해 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(CA)에 송신하도록 구성되어 있는 신호 전송기
    를 포함하며,
    상기 신호 수신기는 상기 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있으며,
    상기 신호 전송기는 증서를 VIM에 송신하도록 추가로 구성되어 있으며,
    상기 증서는, 증서 신청을 위해 VNF 인스턴스에 의해 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성되는, 증서 획득 장치.
  24. 제23항에 있어서,
    상기 증서 신청 프록시 메시지는 상기 수신된 증서 신청 정보에 따라 VIM에 의해 생성되며,
    상기 증서 신청 정보는 초기화 파라미터에 따라 VNF 인스턴스에 의해 획득되고 VNF 인스턴스에 의해 VM에 송신되며 그런 다음 VIM에 대한 보안 채널을 통해 VM에 의해 VIM에 송신되는, 증서 획득 장치.
  25. 제24항에 있어서,
    상기 초기화 파라미터는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시하기로 결정할 때 획득되는, 증서 획득 장치.
  26. 증서 획득 장치로서,
    가상화된 네트워크 기능(VNF) 인스턴스에 의해 송신된 증서 신청 메시지를 수신하도록 구성되어 있는 신호 수신기 - 상기 증서 신청 메시지는 임시 증서 및 증서 신청에 사용되는 증서 신청 정보를 포함하며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 CA로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송됨 - 및
    상기 임시 증서를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 VNF 인스턴스에 증서를 발행하도록 구성되어 있는 프로세서
    를 포함하는 증서 획득 장치.
  27. 증서 획득 장치로서,
    가상 머신(VM)에 의해 송신된 증서 신청 메시지를 수신하도록 구성되어 있는 신호 수신기 - 상기 증서 신청 메시지는 증서 신청에 사용되는 공개 키를 포함함 - ; 및
    증서 신청 프록시 메시지를 증서 인증기관(CA)에 송신하도록 구성되어 있는 신호 전송기
    를 포함하며,
    상기 증서 신청 프록시 메시지는 증서 신청을 위해 VM에 의해 사용되는 공개 키를 포함하며,
    상기 신호 수신기는 상기 CA에 의해 발행된 증서를 수신하도록 추가로 구성되어 있으며,
    상기 신호 전송기는 상기 증서를 VM에 송신하도록 추가로 구성되어 있으며,
    상기 증서는, 증서 신청을 위해 VM에 의해 사용되고 증서 신청 프록시 메시지에 포함되어 있는 공개 키에 따라 시그널링에 의해 CA에 의해 획득되는, 증서 획득 장치.
  28. 제27항에 있어서,
    상기 신호 전송기는 구체적으로, 가상 네트워크 함수 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 증서 신청 프록시 메시지를 증서 인증기관(CA)에 포워딩할 수 있도록, 상기 VIM에 상기 증서 신청 프록시 메시지를 송신하도록 구성되어 있는, 증서 획득 장치.
  29. 제27항 또는 제28항에 있어서,
    상기 VM이 상기 증서를 수신하면, 상기 VM과 VM 관리자 간에 관리 채널을 구축하도록 구성되어 있는 프로세서
    를 더 포함하는 증서 획득 장치.
  30. 제27항 내지 제29항에 있어서,
    상기 공개 키는 초기화 파라미터에 따라 VM에 의해 생성되며, 상기 초기화 메시지는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 가상 네트워크 함수 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 VM을 생성하라는 명령을 수신할 때 취득되며, 상기 명령은 네트워크 기능 가상화 오케스트라(NFVO)에 의해 송신되는, 증서 획득 장치.
  31. 증서 획득 방법으로서,
    가상화된 네트워크 기능 관리자(VNFM)가, VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하는 단계 - 상기 증서 신청 프록시 메시지는 인증 정보 및 증서 신청에 사용되는 증서 신청 정보를 포함하고, 상기 인증 정보는 VNF 인스턴스와 VNFM 간의 증서 프록시-신청을 위한 채널을 구축하는 데 사용됨 - ; 및
    상기 VNFM이, 상기 인증 정보를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(CA)에 송신하는 단계; 및
    상기 VNFM이 CA에 의해 발행된 증서를 수신하고, 상기 증서를 VNF 인스턴스에 송신하는 단계
    를 포함하며,
    상기 증서는, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성되는, 증서 획득 방법.
  32. 제31항에 있어서,
    상기 인증 정보는 임시 증서이며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(virtualized infrastructure manager, VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(virtual machine, VM)을 통해 VNF 인스턴스에 전송되는, 증서 획득 방법.
  33. 제32항에 있어서,
    상기 VNFM이, 상기 인증 정보를 사용하여 VNF 인스턴스를 인증하는 것은,
    상기 VNFM이, 수신된 임시 증서와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서를 비교하는 단계; 및
    상기 VNFM이, 상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 동일한 것으로 결정하면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정하는 단계; 또는
    상기 VNFM이, 상기 수신된 임시 증서가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 VNFM으로부터 신청되는 임시 증서와 상이한 것으로 결정하면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정하는 단계
    를 포함하는, 증서 획득 방법.
  34. 제31항에 있어서,
    상기 인증 정보는 사전 공유 키(PSK)이며, 상기 PSK는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 생성되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송되는, 증서 획득 방법.
  35. 제34항에 있어서,
    상기 가상화된 네트워크 기능 관리자(VNFM)가, VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하는 단계는,
    상기 VNFM이 PKS를 VNF 인스턴스에 송신하고 상기 VNF 인스턴스에 의해 송신된 증서 신청 프록시 메시지를 수신하는 단계
    를 포함하며,
    상기 증서 신청 프록시 메시지는, 현장 주입된 PSK가 VNFM에 의해 송신되어 수신된 PSK와 동일하거나 관련 있는 것으로 VNF 인스턴스가 결정할 때 VNFM에 송신되는, 증서 획득 방법.
  36. 제35항에 있어서,
    상기 VNFM이, 상기 인증 정보를 사용하여 VNF 인스턴스를 인증하는 것은,
    상기 VNFM이, 상기 수신된 PSK와 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK를 비교하는 단계; 및
    상기 VNFM이, 상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 동일하거나 관련 있는 것으로 결정하면, VNF 인스턴스에 대한 인증이 성공인 것으로 결정하는 단계; 또는
    상기 VNFM이, 상기 수신된 PSK가 NFVO가 VNF 인스턴스를 예시할 필요성을 결정할 때 발행되는 PSK와 상이하거나 관련 없는 것으로 결정하면, VNF 인스턴스에 대한 인증이 실패인 것으로 결정하는 단계
    를 포함하는, 증서 획득 방법.
  37. 제31항 내지 제36항 중 어느 한 항에 있어서,
    상기 VNFM이 상기 증서를 VNF 인스턴스에 송신할 때 상기 증서를 사용하여 VNF 인스턴스에 대한 관리 채널을 구축하는 단계
    를 더 포함하는 증서 획득 방법.
  38. 증서 획득 방법으로서,
    가상화된 네트워크 기능 관리자(VNFM)가, VNF 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)에 의해 송신된 증서 신청 프록시 메시지를 수신하는 단계 - 상기 증서 신청 프록시 메시지는 증서 신청을 요구하는 VNF 인스턴스, 및 증서 신청을 위해 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함함 - ; 및
    상기 VNFM이, 증서 신청을 위해 VNF 인스턴스에 의해 사용되는 증서 신청 정보를 포함하는 증서 신청 메시지를 증서 인증기관(CA)에 송신하는 단계; 및
    상기 VNFM이 상기 CA에 의해 발행된 증서를 수신하고, 상기 증서를 VIM에 송신하는 단계
    를 포함하며,
    상기 증서는, 증서 신청을 위해 VNF 인스턴스에 의해 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 CA에 의해 생성되는, 증서 획득 방법.
  39. 제38항에 있어서,
    상기 증서 신청 프록시 메시지는 상기 수신된 증서 신청 정보에 따라 VIM에 의해 생성되며,
    상기 증서 신청 정보는 초기화 파라미터에 따라 VNF 인스턴스에 의해 획득되고 VNF 인스턴스에 의해 VM에 송신되며 그런 다음 VIM에 대한 보안 채널을 통해 VM에 의해 VIM에 송신되는, 증서 획득 방법.
  40. 제39항에 있어서,
    상기 초기화 파라미터는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시하기로 결정할 때 획득되는, 증서 획득 방법.
  41. 증서 획득 방법으로서,
    증선 인증기관(CA)이, 가상화된 네트워크 기능(VNF) 인스턴스에 의해 송신된 증서 신청 메시지를 수신하는 단계 - 상기 증서 신청 메시지는 임시 증서 및 증서 신청에 사용되는 증서 신청 정보를 포함하며, 상기 임시 증서는 네트워크 기능 가상화 오케스트라(NFVO)가 VNF 인스턴스를 예시할 필요성을 결정할 때 CA로부터 신청되고, VNF 프레임워크 내의 가상화 인프라스트럭처 관리자(VIM), NFV 인프라스트럭처(NFVI), 및 VNF가 운용되는 가상 머신(VM)을 통해 VNF 인스턴스에 전송됨 - 및
    상기 CA가, 상기 임시 증서를 사용하여 VNF 인스턴스를 인증하고, 인증이 성공되면, 증서 신청에 사용되고 증서 신청 메시지에 포함되어 있는 증서 신청 정보에 따라 VNF 인스턴스에 증서를 발행하는 단계
    를 포함하는 증서 획득 방법.
  42. 증서 획득 방법으로서,
    네트워크 기능 가상화 인프라스트럭처(network function virtualization infrastructure, NFVI)가, 가상 머신(VM)에 의해 송신된 증서 신청 메시지를 수신하는 단계 - 상기 증서 신청 메시지는 증서 신청에 사용되는 공개 키를 포함함 - ; 및
    상기 NFVI가 증서 신청 프록시 메시지를 증서 인증기관(CA)에 송신하는 단계 - 상기 증서 신청 프록시 메시지는 수신 모듈에 의해 수신되고 증서 신청을 위해 VM에 의해 사용되는 공개 키를 포함함 -; 및
    상기 NFVI가 CA에 의해 발행된 증서를 수신하고 상기 증서를 VM에 송신하는 단계
    를 포함하며,
    상기 증서는, 증서 신청을 위해 VM에 의해 사용되고 증서 신청 프록시 메시지에 포함되어 있는 공개 키에 따라 시그널링에 의해 CA에 의해 획득되는, 증서 획득 방법.
  43. 제42항에 있어서,
    상기 NFVI가 증서 신청 프록시 메시지를 증서 인증기관(CA)에 송신하는 단계는,
    가상 네트워크 함수 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 증서 신청 프록시 메시지를 증서 인증기관(CA)에 포워딩할 수 있도록, 상기 NFVI가, 상기 VIM에 상기 증서 신청 프록시 메시지 송신하는 단계
    를 포함하는, 증서 획득 방법.
  44. 제42항 또는 제43항에 있어서,
    상기 VM이 상기 증서를 수신하면, 상기 VM과 VM 관리자 간에 관리 채널을 구축하는 단계
    를 더 포함하는 증서 획득 방법.
  45. 제42항 내지 제44항 중 어느 한 항에 있어서,
    상기 공개 키는 초기화 파라미터에 따라 VM에 의해 생성되며, 상기 초기화 메시지는 CA 정보 및 증서 관리 도메인의 도메인 명을 포함하고, 가상 네트워크 함수 프레임워크 내의 가상화된 인프라스트럭처 관리자(VIM)가 VM을 생성하라는 명령을 수신할 때 취득되며, 상기 명령은 네트워크 기능 가상화 오케스트라(NFVO)에 의해 송신되는, 증서 획득 방법.
KR1020167034284A 2014-05-08 2014-05-08 증서 획득 방법 및 장치 KR101942412B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2014/077075 WO2015168914A1 (zh) 2014-05-08 2014-05-08 一种证书获取方法和设备

Publications (2)

Publication Number Publication Date
KR20170002577A true KR20170002577A (ko) 2017-01-06
KR101942412B1 KR101942412B1 (ko) 2019-01-25

Family

ID=54392000

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020167034284A KR101942412B1 (ko) 2014-05-08 2014-05-08 증서 획득 방법 및 장치

Country Status (8)

Country Link
US (1) US10225246B2 (ko)
EP (1) EP3133789B1 (ko)
JP (1) JP6299047B2 (ko)
KR (1) KR101942412B1 (ko)
CN (2) CN105284091B (ko)
BR (1) BR112016026035B1 (ko)
RU (1) RU2658172C2 (ko)
WO (2) WO2015168914A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10887114B2 (en) 2018-11-07 2021-01-05 Advanced New Technologies Co., Ltd. Managing communications among consensus nodes and client nodes

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BR112016026035B1 (pt) * 2014-05-08 2023-04-18 Huawei Technologies Co., Ltd Dispositivo e métodos de aquisição de certificado
WO2015168913A1 (zh) 2014-05-08 2015-11-12 华为技术有限公司 一种证书获取方法和设备
US9386001B1 (en) 2015-03-02 2016-07-05 Sprint Communications Company L.P. Border gateway protocol (BGP) communications over trusted network function virtualization (NFV) hardware
US9578008B2 (en) * 2015-05-11 2017-02-21 Intel Corporation Technologies for secure bootstrapping of virtual network functions
US10069844B2 (en) 2016-07-21 2018-09-04 Sprint Communications Company L.P. Virtual network function (VNF) hardware trust in a network function virtualization (NFV) software defined network (SDN)
CN106302394B (zh) * 2016-07-26 2019-08-30 京信通信系统(中国)有限公司 安全通道建立方法和系统
WO2018040095A1 (zh) * 2016-09-05 2018-03-08 华为技术有限公司 一种生成安全凭证的方法和设备
US10318723B1 (en) * 2016-11-29 2019-06-11 Sprint Communications Company L.P. Hardware-trusted network-on-chip (NOC) and system-on-chip (SOC) network function virtualization (NFV) data communications
CN110121857B (zh) * 2016-12-30 2021-02-09 华为技术有限公司 一种凭据分发的方法和设备
EP3550781B1 (en) * 2016-12-30 2021-02-17 Huawei Technologies Co., Ltd. Private information distribution method and device
CN108540301B (zh) * 2017-03-03 2021-01-12 华为技术有限公司 一种预置账户的密码初始化方法及相关设备
CN108809907B (zh) * 2017-05-04 2021-05-11 华为技术有限公司 一种证书请求消息发送方法、接收方法和装置
CN109286494B (zh) * 2017-07-20 2020-10-23 华为技术有限公司 一种虚拟网络功能vnf的初始化凭据生成方法及设备
CN107302544B (zh) * 2017-08-15 2019-09-13 迈普通信技术股份有限公司 证书申请方法、无线接入控制设备及无线接入点设备
CN109905252B (zh) * 2017-12-07 2022-06-07 华为技术有限公司 建立虚拟网络功能实例的方法和装置
US10762193B2 (en) * 2018-05-09 2020-09-01 International Business Machines Corporation Dynamically generating and injecting trusted root certificates
US11095460B2 (en) 2019-07-05 2021-08-17 Advanced New Technologies Co., Ltd. Certificate application operations
CN110445614B (zh) * 2019-07-05 2021-05-25 创新先进技术有限公司 证书申请方法、装置、终端设备、网关设备和服务器
US20220264301A1 (en) * 2019-07-17 2022-08-18 Telefonaktiebolaget Lm Ericsson (Publ) Technique for certificate handling in a core network domain
CN110769393B (zh) * 2019-11-07 2021-12-24 公安部交通管理科学研究所 一种车路协同的身份认证系统及方法
CN110943996B (zh) * 2019-12-03 2022-03-22 迈普通信技术股份有限公司 一种业务加解密的管理方法、装置及系统
US11522721B2 (en) * 2020-04-07 2022-12-06 Verizon Patent And Licensing Inc. System and method for establishing dynamic trust credentials for network functions
CN113872765B (zh) * 2020-06-30 2023-02-03 华为技术有限公司 身份凭据的申请方法、身份认证的方法、设备及装置
CN114024678A (zh) * 2020-07-15 2022-02-08 中国移动通信有限公司研究院 一种信息处理方法及系统、相关装置
US11436127B1 (en) * 2020-09-10 2022-09-06 Cisco Technology, Inc. Automated validation and authentication of software modules
CN115942314A (zh) * 2021-08-06 2023-04-07 华为技术有限公司 一种证书管理方法和装置
WO2023213590A1 (en) * 2022-05-05 2023-11-09 Telefonaktiebolaget Lm Ericsson (Publ) Security certificate management during network function (nf) lifecycle
CN117318970A (zh) * 2022-06-23 2023-12-29 中兴通讯股份有限公司 安全通道建立方法、系统及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050071359A (ko) * 2003-12-30 2005-07-07 노키아 인크 인프라구조없는 인증서를 사용한 인증을 위한 방법 및시스템
CN103036854A (zh) * 2011-09-30 2013-04-10 中国移动通信集团公司 业务订购方法及系统、业务权限认证方法、终端设备

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60222871T2 (de) * 2002-07-01 2008-07-24 Telefonaktiebolaget Lm Ericsson (Publ) Anordnung und Verfahren zum Schutz von Endbenutzerdaten
RU2371757C2 (ru) * 2003-08-21 2009-10-27 Майкрософт Корпорейшн Системы и способы моделирования данных в основанной на предметах платформе хранения
JP2005086445A (ja) * 2003-09-08 2005-03-31 Nooza:Kk ネットワーク構築方法、ネットワーク構築装置、およびネットワーク構築プログラム
US7467303B2 (en) * 2004-03-25 2008-12-16 International Business Machines Corporation Grid mutual authorization through proxy certificate generation
JP2006246272A (ja) 2005-03-07 2006-09-14 Fuji Xerox Co Ltd 証明書取得システム
JP4846464B2 (ja) * 2006-06-21 2011-12-28 日本電信電話株式会社 複数公開鍵の証明書を発行及び検証するシステム、並びに、複数公開鍵の証明書を発行及び検証する方法
US20080066181A1 (en) 2006-09-07 2008-03-13 Microsoft Corporation DRM aspects of peer-to-peer digital content distribution
US8214635B2 (en) * 2006-11-28 2012-07-03 Cisco Technology, Inc. Transparent proxy of encrypted sessions
CN100488099C (zh) * 2007-11-08 2009-05-13 西安西电捷通无线网络通信有限公司 一种双向接入认证方法
KR100910378B1 (ko) * 2008-10-06 2009-08-04 주식회사 오엘콥스 암호화된 이미지를 이용한 전자증명서 발급 시스템 및 방법
CN101754203B (zh) * 2009-12-25 2014-04-09 宇龙计算机通信科技(深圳)有限公司 一种wapi证书获取方法、装置及网络系统
US9065825B2 (en) * 2010-02-05 2015-06-23 International Business Machines Corporation Method and system for license management
CN102663290A (zh) * 2012-03-23 2012-09-12 中国科学院软件研究所 一种基于虚拟机的数字版权保护方法
US9210162B2 (en) * 2012-05-02 2015-12-08 Microsoft Technology Licensing, Llc Certificate based connection to cloud virtual machine
JP2014082584A (ja) * 2012-10-15 2014-05-08 Nippon Registry Authentication Inc 認証基盤システム
US9208350B2 (en) * 2013-01-09 2015-12-08 Jason Allen Sabin Certificate information verification system
CN103475485B (zh) * 2013-09-16 2017-03-22 浙江汇信科技有限公司 基于数字证书互联互通的身份认证支撑平台及认证方法
US20150156193A1 (en) * 2013-12-02 2015-06-04 Microsoft Corporation Creating and managing certificates in a role-based certificate store
EP2942925B1 (en) * 2014-05-05 2016-08-24 Advanced Digital Broadcast S.A. A method and system for providing a private network
BR112016026035B1 (pt) * 2014-05-08 2023-04-18 Huawei Technologies Co., Ltd Dispositivo e métodos de aquisição de certificado
US9961103B2 (en) * 2014-10-28 2018-05-01 International Business Machines Corporation Intercepting, decrypting and inspecting traffic over an encrypted channel
US9769126B2 (en) * 2015-01-07 2017-09-19 AnchorFee Inc. Secure personal server system and method
US20160277372A1 (en) * 2015-03-17 2016-09-22 Riverbed Technology, Inc. Optimization of a secure connection with enhanced security for private cryptographic keys
US9854048B2 (en) * 2015-06-29 2017-12-26 Sprint Communications Company L.P. Network function virtualization (NFV) hardware trust in data communication systems

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050071359A (ko) * 2003-12-30 2005-07-07 노키아 인크 인프라구조없는 인증서를 사용한 인증을 위한 방법 및시스템
CN103036854A (zh) * 2011-09-30 2013-04-10 中国移动通信集团公司 业务订购方法及系统、业务权限认证方法、终端设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ETSI GS NFV 002 v1.1.1(2013-10) NFV; Architecture Framework *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10887114B2 (en) 2018-11-07 2021-01-05 Advanced New Technologies Co., Ltd. Managing communications among consensus nodes and client nodes
US11108571B2 (en) 2018-11-07 2021-08-31 Advanced New Technologies Co., Ltd. Managing communications among consensus nodes and client nodes

Also Published As

Publication number Publication date
JP6299047B2 (ja) 2018-03-28
CN106464495A (zh) 2017-02-22
US10225246B2 (en) 2019-03-05
JP2017516434A (ja) 2017-06-15
KR101942412B1 (ko) 2019-01-25
RU2016147697A (ru) 2018-06-08
RU2016147697A3 (ko) 2018-06-08
CN105284091A (zh) 2016-01-27
BR112016026035A2 (pt) 2018-05-15
CN106464495B (zh) 2020-02-21
EP3133789A1 (en) 2017-02-22
WO2015168914A1 (zh) 2015-11-12
BR112016026035B1 (pt) 2023-04-18
CN105284091B (zh) 2018-06-15
EP3133789B1 (en) 2019-01-30
RU2658172C2 (ru) 2018-06-19
US20170054710A1 (en) 2017-02-23
EP3133789A4 (en) 2017-04-26
WO2015169126A1 (zh) 2015-11-12

Similar Documents

Publication Publication Date Title
KR101942412B1 (ko) 증서 획득 방법 및 장치
JP6311196B2 (ja) 証明書取得方法およびデバイス
US9509692B2 (en) Secured access to resources using a proxy
US20170222981A1 (en) Key distribution in a distributed network environment
WO2019041802A1 (zh) 基于服务化架构的发现方法及装置
CA3117713C (en) Authorization with a preloaded certificate
CN108809907B (zh) 一种证书请求消息发送方法、接收方法和装置
WO2014180431A1 (zh) 一种网管安全认证方法、装置、系统及计算机存储介质
CN116599719A (zh) 一种用户登录认证方法、装置、设备、存储介质
CN115604862A (zh) 视频流传输方法及系统
CN113727059A (zh) 多媒体会议终端入网认证方法、装置、设备及存储介质
CN110121857A (zh) 一种凭据分发的方法和设备
CN105471579A (zh) 一种信任登录方法及装置
CN104717235A (zh) 一种虚拟机资源检测方法
US11283630B2 (en) Server/server certificates exchange flow
CN105721403A (zh) 用于提供无线网络资源的方法、设备及系统
CN116419220A (zh) 认证和/或密钥管理方法、第一设备、终端及通信设备
CN113037782A (zh) 证书获取方法和系统、电子设备、计算机可读存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant