KR20170046713A - 공개 키 인프라스트럭처에서의 트러스트 앵커 업데이트 - Google Patents

공개 키 인프라스트럭처에서의 트러스트 앵커 업데이트 Download PDF

Info

Publication number
KR20170046713A
KR20170046713A KR1020177007772A KR20177007772A KR20170046713A KR 20170046713 A KR20170046713 A KR 20170046713A KR 1020177007772 A KR1020177007772 A KR 1020177007772A KR 20177007772 A KR20177007772 A KR 20177007772A KR 20170046713 A KR20170046713 A KR 20170046713A
Authority
KR
South Korea
Prior art keywords
certificate
trust anchor
old
new
during
Prior art date
Application number
KR1020177007772A
Other languages
English (en)
Inventor
위르겐 옵슈뢰프
센카 쿠마르
마틴 카를 페이로
미첼 스지만스키
기안기아코모 구그릴미니
후아 리
Original Assignee
노키아 솔루션스 앤드 네트웍스 오와이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 솔루션스 앤드 네트웍스 오와이 filed Critical 노키아 솔루션스 앤드 네트웍스 오와이
Publication of KR20170046713A publication Critical patent/KR20170046713A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

공개 키 인프라스트럭처에서 트러스트 앵커 업데이트를 위한 조치들이 제공된다. 이러한 조치들은 예시적으로, 엔드 엔티티들 사이의 보안 연결들을 위한 인증서들에 기초하여 인증을 활용하는 네트워크에서, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하는 것 ―상기 트러스트 앵커 인증서들 각각은 인증서들의 체인의 루트 포인트임―, 이동전 기간 동안, 상기 구 트러스트 앵커 인증서를 유효한 것으로서 제공하는 것, 이동 기간 동안, 상기 구 트러스트 앵커 인증서 및 상기 신 트러스트 앵커 인증서를 동시적으로 유효한 것으로 제공하는 것, 그리고 이동후 기간 동안, 상기 신 트러스트 앵커 인증서를 유효한 것으로 제공하는 것을 포함한다.

Description

공개 키 인프라스트럭처에서의 트러스트 앵커 업데이트{TRUST ANCHOR UPDATE IN A PUBLIC KEY INFRASTRUCTURE}
본 발명은 공개 키 인프라스트럭처에서의 트러스트 앵커 업데이트에 관한 것이다. 보다 구체적으로, 본 발명은 예시적으로, 공개 키 인프라스트럭처에서 트러스트 앵커 업데이트를 실현하기 위한 (방법들, 장치들 및 컴퓨터 프로그램 제품들을 포함하는) 조치들에 관한 것이다.
본 명세서는 일반적으로, PKI(public key infrastructure)로도 알려진 모바일 네트워크들에서의 인증서 기반 인증 프레임워크에 관한 것이다. 다른 사용 케이스들 중에서도, PKI 프레임워크들은 IPsec(internet protocol security) 및 TLS(Transport Layer Security)/SSL(Secure Sockets Layer) 연결들의 인증에 사용된다. 네트워크 엘리먼트(NE)들이 보안 TLS 또는 IPsec 연결들을 서로 확립할 수 있게 하기 위해서, EE(End Entity) 인증서들 및 관련 TA(trust anchor) 인증서들이 NE들에 설치될 것이 요구된다. 대규모 네트워크들에서, CMP(certificate management protocol)를 이용함으로써 인증서 관리가 자동화될 수 있다.
도 1은 엔드 엔티티(A)와 엔드 엔티티(B) 사이에 보안 연결이 확립되는 일반적인 네트워크 배치를 도시하는 개략도이다.
엔드 엔티티들 둘 모두에는 공통 트러스트 앵커가 제공되며, 각각의 엔드 엔티티는 공통 트러스트 앵커의 인증서와 관련된 개인 키로 각각 서명된 인증서를 갖는다.
네트워크들에서 PKI 롤 아웃(roll out)의 자동화를 위해 CMP를 이용하는 것으로 알려져 있다. PKI에서 가장 중요한 엘리먼트들 중 하나는 엔드 엔티티들에 존재하는 그리고 엔드 엔티티들에 의해 사용되는 트러스트 앵커들이다. 이러한 트러스트 앵커들은 일반적으로, 임의의 인증서 기반 트러스트 체인의 맨 위에 있는 자체 서명된 인증서들이다. 이러한 트러스트 앵커들은 마지막으로, 보안 엔터티들이 보안 연결들(TLS/IPSec)의 셋업을 진행할지 아니면 셋업 프로세스를 중단할지 여부에 대해 엔드 엔티티들을 안내한다.
이러한 트러스트 앵커들도 또한 인증서들이다. 따라서, 이들은 유한한 수명 시간을 가지며 만료될 것으로 결정된다.
이러한 트러스트 앵커들은 인증 요청들에 대한 피어들을 인증하기 위한 트러스트의 루트이기 때문에, 일단 이러한 트러스트 앵커들이 만료되면, 엔드 엔티티들은 다른 노드들과의 보안 네트워크 연결들을 확립할 수 없다. 특히 모바일 네트워크들의 측면에서, 이는, 지리적으로 널리 분산되어 있는 수백 개의 노드들이 그들의 의도된 기능을 제공하는 데 필요한 네트워크 연결을 상실했음을 의미할 수 있다.
엔드 엔티티에 대한 트러스트 앵커의 전달이, CMP 프로토콜의 IR(initial request) 메시지를 이용한 PKI로의 초기 부트스트래핑의 일부로서 (3GPP(3rd Generation Partnership Project)) 지정된다. 그러나, RFC4210, 챕터 5.3.13(CA에 의한 CMP 아나운스먼트)에 정의된 것과 같은 어떠한 트러스트 앵커 업데이트도 제공되지 않는다.
TA 인증서들은 제한된 수명을 가지며, 제한된 수명 이후에는 만료되어 더 이상 유효하지 않다. 이는, TA 인증서들을 정기적으로 새로운 것으로 교환할 필요가 있게 한다. TA 인증서들의 수명은 통상적으로, TA가 발행하는 EE 인증서들의 유효성을 제한하기 때문에, 신(new) TA는 결국 EE들에 배치될 신 EE 인증서들에도 또한 서명할 것이다.
현재의 관행은 운영자들로부터의 수동 개입을 포함하며, PKI 롤 아웃의 완전 자동화 목적을 부분적으로 무산시킨다. 이러한 곤란함은, 대형 PKI 네트워크에서 모든 엔드 엔티티들을 동시에 신 트러스트 앵커로 이동시키는 것이 현실적이지 않다는 사실에 의해 더욱 복잡해진다. 이는, 피어들이 보안 연결에 의해 연결되도록 의도되는 EE들 간에 심각한 상호운용성 문제들을 생성할 수 있다.
도 2는 일반적인 네트워크 배치에서의 연결 손실 위험을 도시하는 개략도이다. 특히, 도 2의 네트워크 배치에서, 엔드 엔티티 (피어) A와 엔드 엔티티 (피어) B 사이에 보안 연결이 끊어졌다.
즉, 피어 A에 이미 신 트러스트 앵커 및 그에 따라 신 트러스트 앵커의 인증서와 관련된 개인 키로 서명된 신 엔드 엔티티 인증서(EEA의 인증서)가 함께 제공되었고, 피어 B에는 여전히 구 트러스트 앵커가 제공되어 있고, 그의 엔드 엔티티 인증서(EEB의 인증서)는 구 트러스트 앵커의 인증서와 관련된 개인 키로 서명된다.
특히, 신 EE 인증서를 갖는 신 TA가 피어 A에 설치되는 경우, 보안 연결은,
- 피어 A가 신 인증서들의 설치에 의해 트리거링되는 보안 연결을 자동으로 재확립할 경우, 또는
- 피어 A 또는 피어 B가 인증으로 교체(rekey)를 실행할 경우
끊어질 수 있다.
이 경우, 보안 연결이 확립될 수 없는데, 피어 B가 아직 신 TA를 소유하고 사용하지 않았기 때문이다.
구 TA와 신 TA 간의 이동은, 각각 구 및 신 트러스트 앵커와, 구 및 신 PKI 계층들 내의 특정 관련 하위 CA들을 교차-인증함으로써 완료될 수 있다. 그러나, 교차-인증이 항상 바람직한 것은 아니며, 몇 가지 단점들이 수반될 수 있다.
구체적으로, 도 12는 교차-인증을 이용한 트러스트 앵커 업데이트의 타이밍들을 도시하는 개략도이다.
도 13은 교차-인증을 이용한 연결 확립(TA 업데이트)을 도시하는 개략도이다.
그에 따라서, 구 TA와 신 TA 간의 이동은, 각각 구 및 신 트러스트 앵커와, 구 및 신 PKI 계층들 내의 특정 관련 하위 CA들을 교차-인증함으로써 완료된다.
도 13에 도시된 바와 같이, 신 TA(즉, EEA)를 아직 수신하지 않은 EE 및 신 TA(즉, EEB)를 이미 수신한 EE 사이의 보안 연결은 다음과 같이 확립될 수 있다.
EEA는 구 TA에 의해 서명된 EEA 인증서를 보유하며, EEB는 신 CA2에 의해 서명된 구 TA와 신 TA 및 EEB의 인증서 둘 모두를 보유한다. 또한, 두 개의 교차 인증서들이 EEB에 전달되었다. 즉, 구 TA가 신 TA를 서명했던 xCert X1과 신 TA가 구 TA를 서명했던 xCert X2가 있다.
이 경우, EEB가 구 TA를 통해 그의 피어를 인증할 수 있는 동안 EEA가 EEA의 트러스트 체인을 EEB로 전달할 경우, 또는 EEB가 EEB의 인증서, CA2 인증서, 및 교차-인증서 X1을 EEA로 전달할 경우, 보안 연결이 확립될 수 있다. 그런다음, EEA는 X1을 통해 그의 구 TA에 대한 트러스트 체인을 구축할 수 있다.
교차-인증서들과 관련하여, 모든 프로토콜들이 트러스트 체인(예를 들어, IKEv1)의 전달을 지원하는 것은 아니며, 일부 PKI 구성들은 인증을 위한 교차-인증서(예를 들어,AKI(authority key identifier) 참조)의 사용을 허용하지 않는다는 점을 주목한다.
그러나, 교차-인증이 수행되지 않은 경우, 신 TA를 아직 구비하지 않은 EE들은, 그들의 인증 경로가 신 TA에서 종료하는 인증서들을 검증할 수 없다. 이는, 보안 연결에 의해 연결된 EE들 간의 상호운용성 문제들로 이어질 것이다(도 2를 또한 참조한다).
트러스트 앵커(인증서)를 업데이트하기 위해서, 상기 언급된 바와 같이, 트러스트 앵커 업데이트에 대한 3GPP 사용 케이스에서 현재 일반적으로 사용되는 것과 동일한 것을 수동으로 설치하는 것이 알려져 있다. 이러한 접근법은, 모든 관련 노드들 상의 신 트러스트 앵커의 수동 오프라인 설치와 관련된다.
이러한 접근법에 따르면, 신 구현은 필요하지 않다.
그러나, 이러한 접근법은 수동 개입이 필요하며, 각각의 개별 노드의 상황이 모니터링될 필요가 있기 때문에 유지보수가 곤란하다. 특히, EE의 리스트가 이용가능해야 한다.
이외에도, 이러한 접근법(즉, 수동 설치) 시스템에 따르면, 일부 사용자가 악의적으로 또는 우발적으로 페이크(fake) TA를 설치할 수 있기 때문에, 시스템 보안이 또한 감소될 수 있다.
또한, CA(certificate authority)들과 관련되는 키 업데이트가 알려져 있다. 즉, RFC4210, 챕터 5.3.13, "CA 키 업데이트 아나운스먼트 콘텐츠"에 따르면, CA가 그 자체 키 쌍을 업데이트할 경우, 이 이벤트를 아나운싱하기 위해 다음 데이터 구조가 사용될 수 있다.
CAKeyUpdAnnContent::= SEQUENCE {
oldWithNew Certificate,
newWithOld Certificate,
newWithNew Certificate
}
도 3은 CMP 아나운스먼트를 지원하는 일반적인 네트워크 배치를 도시하는 개략도이다. 특히, 도 3의 네트워크 배치에서, 엔드 엔티티 및 CA가 연결된다.
아나운스먼트를 CA로부터 EE로 통신하기 위해서, RFC6712, 섹션 3.7에 상세히 기재된 바와 같은 메커니즘들이 이용될 수 있다. 이는, 아나운스먼트를 CA로부터 EE로 푸시함으로써 완료된다.
이러한 접근법에 따르면, EE는, 신 TA가 이용가능할 경우 자동으로 통지를 받고, 모든 엔드 엔티티들은 거의 동시에 신 TA를 받는다. 또한, 수동 개입이 필요하지 않다.
그러나, 이 접근법에 따르면, CA는 모든 EE들의 리스트를 유지할 필요가 있는데, 이것이 곤란하다. 특히 모바일 네트워크들에서, EE 인터넷 프로토콜(IP) 어드레스들이 동적으로 변경될 수 있다. 또한, 엔드 엔티티들에 의한 상기 언급된 메시지의 지원은 3GPP에 따라 필요하지 않으므로, 대응하는 아나운스먼트가 인식되지 않을 수 있다. 실제로, CMP 아나운스먼트들에 대해 이용가능한 CMP 서버 또는 클라이언트 구현들에 의한 광범위한 지원은 없다. 또한, CMP 아나운스먼트의 경우, 롤(role)들(서버, 클라이언트)은 HTTP 프로토콜에서의 롤들의 통상의 분포로부터 벗어날 수 있다.
트러스트 앵커의 업데이트를 위한 추가적인 가능한 접근법은 EE 폴링일 수 있다. 이러한 접근법에 따르면, 최종 엔티티는, 나중에 PKI 관리 동작들에 필요로 될 상세들을 요청하는 PKI에 일반적인 메시지를 전송한다. RA(Registration Authority)/CA는 일반적인 응답으로 응답한다. RA가 응답을 발생시킬 경우, 이는, 이전에 CA로부터 수신된 것과 동등한 메시지를 단순히 포워딩할 것이며, 따라서, PKIMessage의 extraCerts 필드들에 인증서들을 추가할 수 있다. 엔드 엔티티로부터 컨퍼메이션(confirmation) 메시지가 필요하지 않다.
도 4는 EE 폴링을 지원하는 일반적인 네트워크 배치를 도시하는 개략도이다. 특히, 도 4의 네트워크 배치에서, 엔드 엔티티 및 CA가 연결되고 상기 언급된 바와 같이 일반적인 메시지들을 교환한다.
이러한 접근법에 따르면, 수동적인 개입이 필요하지 않다.
그러나, 이러한 폴링은, 많은 EE가 주기적인 폴링을 실행함으로 인해 네트워크 부하 문제들을 발생시킬 수 있다. 이외에도, 이러한 개념의 구현은 알려져 있지 않다.
따라서, 트러스트 앵커를 자동으로 업데이트하기 위한 실현가능한 접근법을 발견해야 한다는 문제가 발생한다. 특히, 운영자들의 수동 개입의 필요성이 방지되고 유지보수 및/또는 관리가 단순화되어야 한다. 이렇게 하여, 제안된 기술들의 폭 넓은 지원이 절실히 요구되고 있지만, 네트워크 부하는 절약되어야 한다.
따라서, 일반적으로, 공개 키 기반스트럭처에서 트러스트 앵커 업데이트를 제공할 필요가 있다.
본 발명의 다양한 예시적인 실시예들은 상기 이슈들 및/또는 문제들 및 단점들의 적어도 일부를 해결하는 것을 목표로 한다.
본 발명의 예시적인 실시예들의 다양한 양상들이 첨부된 청구범위들에 제시된다.
본 발명의 예시적인 양상에 따르면, 엔드 엔티티들 사이의 보안 연결들을 위한 인증서들에 기초하여 인증을 활용하는 네트워크에서, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법이 제공되며, 상기 트러스트 앵커 인증서들 각각은 인증서들의 체인의 루트 포인트이고, 상기 방법은 이동전 기간 동안, 상기 구 트러스트 앵커 인증서만을 유효한 것으로서 제공하는 단계, 이동 기간 동안, 상기 구 트러스트 앵커 인증서 및 상기 신 트러스트 앵커 인증서를 동시적으로 유효한 것으로 제공하는 단계, 및 이동후 기간 동안, 상기 신 트러스트 앵커 인증서만을 유효한 것으로 제공하는 단계를 포함한다.
본 발명의 예시적인 양상에 따르면, 엔드 엔티티들 사이의 보안 연결들을 위한 인증서들에 기초하여 인증을 활용하는 네트워크에서, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로 업데이트하기 위한 방법이 제공되며, 상기 트러스트 앵커 인증서들 각각은 인증서들의 체인의 루트 포인트이고, 상기 방법은 보안 연결을 컨덕팅하는 단계를 포함하며, 이동 기간 동안, 상기 구 트러스트 앵커 인증서 및 상기 신 트러스트 앵커 인증서는 상기 컨덕팅을 위해 동시적으로 유효하다.
본 발명의 예시적인 양상에 따르면, 엔드 엔티티들 사이의 보안 연결들을 위한 인증서들에 기초하여 인증을 활용하는 네트워크에서, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 장치가 제공되며, 상기 트러스트 앵커 인증서들 각각은 인증서들의 체인의 루트 포인트이고, 상기 장치는 이동전 기간 동안, 상기 구 트러스트 앵커 인증서만을 유효한 것으로서 제공하고, 이동 기간 동안, 상기 구 트러스트 앵커 인증서 및 상기 신 트러스트 앵커 인증서를 동시적으로 유효한 것으로 제공하고, 그리고 이동후 기간 동안, 상기 신 트러스트 앵커 인증서만을 유효한 것으로 제공하도록 구성된 제공 수단을 포함한다.
본 발명의 예시적인 양상에 따르면, 엔드 엔티티들 사이의 보안 연결들을 위한 인증서들에 기초하여 인증을 활용하는 네트워크에서, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로 업데이트하기 위한 장치가 제공되며, 상기 트러스트 앵커 인증서들 각각은 인증서들의 체인의 루트 포인트이고, 상기 장치는 보안 연결을 컨덕팅하도록 구성된 컨덕팅 수단을 포함하며, 이동 기간 동안, 상기 구 트러스트 앵커 인증서 및 상기 신 트러스트 앵커 인증서는 상기 컨덕팅을 위해 동시적으로 유효하다.
본 발명의 예시적인 양상에 따르면, 프로그램이 컴퓨터(예를 들어, 본 발명의 상기 언급된 장치-관련 예시적 양상들 중 임의의 것에 따른 장치의 컴퓨터) 상에서 실행될 경우, 컴퓨터로 하여금 본 발명의 상기 언급된 방법-관련 예시적 양상들 중 임의의 것에 따른 방법을 실행하게 하도록 구성되는 컴퓨터-실행가능 컴퓨터 프로그램 코드를 포함하는 컴퓨터 프로그램 제품이 제공된다.
이러한 컴퓨터 프로그램 제품은, 컴퓨터-실행가능 컴퓨터 프로그램 코드가 저장되어있는 (유형의) 컴퓨터-판독가능 (저장) 매체 등을 포함할 수 있고 (또는 구현할 수 있고), 그리고/또는 프로그램은 컴퓨터의 내부 메모리로 또는 그의 프로세서로 직접 로딩가능할 수 있다.
상기 양상들 중 임의의 양상은 효율적인 자동 트러스트 앵커 업데이트를 가능하게 함으로써, 종래 기술과 관련하여 식별된 문제점들 및 단점들 중 적어도 일부를 해결한다.
특히, 본 발명의 예시적인 실시예들에 따르면, 수동 상호작용이 필요하지 않도록 자동화된 TA 업데이트 절차가 제공된다. 예시적인 실시예들에 따른 기술들은, EE들이 신 TA들을 폴링하지 않기 때문에 네트워크 부하를 방지한다. 또한, CA는 EE들을 파악할 필요가 없다. 또한, EE의 리스트가 이용가능할 필요가 없다. 본 발명의 예시적인 실시예에 따른 "CA Key Update Announcement Content"의 사용은, 신 TA가 전달되는 EE를 트리거한다, 즉, 본 발명의 일부 실시예들에 따르면, 알고리즘이 신 TA가 caPubs 또는 extraCerts 필드에 전달되는지 여부를 추론할 필요가 없다. 본 발명의 예시적인 실시예들은 모든 EE에서 사용되고 구현되는 잘 알려진 IR 및 KUR(key update request) 절차들을 사용하고 확장한다.
본 발명의 예시적인 실시예로서, 공개 키 인프라스트럭처에서 트러스트 앵커 업데이트가 제공된다. 보다 구체적으로, 본 발명의 예시적인 실시예들에 의해, 공개 키 인프라스트럭처에서 트러스트 앵커 업데이트를 실현하기 위한 조치들 및 메커니즘들이 제공된다.
따라서, 개선은 공개 키 인프라스트럭처에서 트러스트 앵커 업데이트를 가능하게 하는/실현하는 방법들, 장치들 및 컴퓨터 프로그램 제품들에 의해 달성된다.
다음에서, 본 발명은, 첨부된 도면들을 참조하여 비제한적인 예들을 통해 더욱 상세하게 설명될 것이다.
도 1은 엔드 엔티티들 사이에 보안 연결이 확립되는 일반적인 네트워크 배치를 도시하는 개략도이다.
도 2는 엔드 엔티티들 사이에 보안 연결이 끊어진 일반적인 네트워크 배치를 도시하는 개략도이다.
도 3은 인증서 관리 프로토콜 아나운스먼트를 지원하는 일반적인 네트워크 배치를 도시하는 개략도이다.
도 4는 엔드 엔티티 폴링을 지원하는 일반적인 네트워크 배치를 도시하는 개략도이다.
도 5는 본 발명의 예시적인 실시예들에 따른 장치를 도시하는 블록도이다.
도 6은 본 발명의 예시적인 실시예들에 따른 장치를 도시하는 블록도이다.
도 7은 본 발명의 예시적인 실시예들에 따른 장치를 도시하는 블록도이다.
도 8은 본 발명의 예시적인 실시예들에 따른 장치를 도시하는 블록도이다.
도 9는 본 발명의 예시적인 실시예들에 따른 절차의 개략도이다.
도 10은 본 발명의 예시적인 실시예들에 따른 절차의 개략도이다.
도 11은 본 발명의 예시적인 실시예들에 따른 트러스트 앵커 업데이트의 타이밍들을 도시하는 개략도이다.
도 12는 교차-인증을 이용한 트러스트 앵커 업데이트의 타이밍들을 도시하는 개략도이다.
도 13은 교차-인증을 이용하여 연결 확립을 도시하는 개략도이다.
도 14는 본 발명의 예시적인 실시예들에 따른 장치들을 대안적으로 도시하는 블록도이다.
본 발명은, 특정 비제한적인 예들 및 본 발명의 실시예들을 생각할 수 있는 것으로 현재 간주되는 것에 대하여 본원에 설명된다. 당업자는, 본 발명이 이들 예들로 제한되는 것은 아니며 보다 광범위하게 적용될 수 있음을 인식할 것이다.
본 발명 및 그 실시예들에 대한 다음의 설명은 특정한 예시적인 네트워크 구성들 및 배치들에 대한 비제한적인 예들로서 사용되는 사양들을 주로 언급한다는 것을 주목해야 한다. 즉, 본 발명 및 그 실시예들은 특정한 예시적인 네트워크 구성들 및 배치들에 대한 비제한적인 예들로서 사용되는 3GPP 사양들과 관련하여 주로 설명된다. 이와 같이, 본원에 주어진 예시적인 실시예들의 설명은 구체적으로, 그에 직접적으로 관련되는 용어를 언급한다. 이러한 용어는 제시된 비제한적인 예들의 맥락에서만 사용되고, 본질적으로 어떤 식으로든 본 발명을 제한하지 않는다. 오히려, 본원에 설명된 특징들과 부합하는 한 임의의 다른 통신 또는 통신 관련 시스템 배치 등도 활용될 수 있다.
이하, 본 발명의 다양한 실시예들 및 구현예들 및 그 양상들 또는 실시예들이 여러 변형예들 및/또는 대안들을 이용하여 설명된다. 특정 요구들 및 제약들에 따라, 기재된 모든 변형들 및/또는 대안들이 단독으로 또는 (다양한 변형예들 및/또는 대안들의 개별 피처들의 조합들을 또한 포함하는) 임의의 생각할 수 있는 조합으로 제공될 수 있다는 것을 전반적으로 주목한다.
본 발명의 예시적인 실시예들에 따르면, 일반적으로, 공개 키 인프라스트럭처에서 트러스트 앵커 업데이트(의 가능/실현)를 위한 조치들 및 메커니즘들이 제공된다.
본 발명의 예시적인 실시예들에 따르면, 인증서 관리 프로토콜을 활용하는 PKI들에서의 트러스트 앵커 업데이트의 문제가 해결된다. 특히, 본 발명의 예시적인 실시예들에 따르면, 기존의 CMP 메시지들이 완전한 PKI를 신 트러스트 앵커로 끊김없이 이동시키는데 사용된다.
즉, 본 발명의 예시적인 실시예들에 따르면, 이는 CA에서의 TA 라이프사이클 관리를 위해 제공되며, EE에 추가적인 트러스트 앵커를 전달하기 위해서 기존 CMP 메시지들의 사용을 확장하는 것이 제안된다.
배경 기술과 관련하여 언급된 문제점들을 극복하기 위해, 본 발명의 예시적인 실시예들에 따르면, 구 TA로부터 신 TA로의 네트워크 이동은 단계별 절차를 이용하여 완료된다.
즉, 언급된 단계별 절차의 상이한 페이즈들을 자동으로 트리거링할 수 있게 하기 위해서, 본 발명에 따른 TA 라이프 사이클 관리가 제안된다. TA 라이프사이클에 대한 관리는, CA가 EE 인증서의 수명을 언급된 단계별 절차의 페이즈들과 자동으로 상관시키는 것을 의미한다.
CA 오퍼레이터는 페이즈들의의 시각 및 날짜를 구성해야 한다. 이는, CA로 하여금 스케줄링된 트러스트 앵커 업데이트를 자율적으로 실행할 수 있게 한다.
도 5는 본 발명의 예시적인 실시예들에 따른 장치를 도시하는 블록도이다. 이 장치는, 제공 수단(51)을 포함하는 인증 기관(50)일 수 있다(이는, 엔드 엔티티들 사이에서 보안 연결들을 위한 인증서들에 기초하여 인증을 활용하는 네트워크에서, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 것일 수 있으며, 상기 트러스트 앵커 인증서들 각각은 인증서들의 체인의 루트 포인트임). 제공 수단(51)은, 이동전 기간 동안, 상기 구 트러스트 앵커 인증서만 유효하고 상기 신 트러스트 앵커 인증서는 유효하지 않은 것으로 제공한다. 제공 수단(51)은 추가로, 이동 기간 동안, 상기 구 트러스트 앵커 인증서 및 상기 신 트러스트 앵커 인증서를 동시적으로 유효한 것으로서 제공한다. 이외에도, 상기 제공 수단(51)은, 이동후 기간 동안, 상기 신 트러스트 앵커 인증서만 유효한 것으로 제공한다(한편, 상기 구 트러스트 앵커는 만료됨).
도 6은 본 발명의 예시적인 실시예들에 따른 장치를 도시하는 블록도이다. 특히, 도 6은 도 5에 도시된 장치의 변형을 도시한다. 따라서,도 6에 따른 장치는 추가로, 서로 독립적으로, 발생 수단(61), 송신 수단(62), 생성 수단(63), 및 제거 수단(64)을 포함할 수 있다.
도 9는 본 발명의 예시적인 실시예들에 따른 절차의 개략도이다. 도 5(또는 도 6)에 따른 장치는 도 9의 방법을 수행할 수 있지만, 이 방법으로 제한되지는 않는다. 도 9의 방법은 도 5(또는 도 6)의 장치에 의해 수행될 수 있지만, 이 장치에 의해 수행되는 것으로 제한되지는 않는다.
도 9에 도시된 바와 같이, 본 발명의 예시적인 실시예들에 따른 (엔드 엔티티들 사이의 보안 연결들을 위한 인증서들에 기초하여 인증을 활용하는 네트워크에서, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 ―상기 트러스트 앵커 인증서들 각각은 인증서들의 체인의 루트 포인트임―) 절차는, 이동전 기간 동안, 상기 구 트러스트 앵커 인증서만이 유효한 것으로 제공하는 동작(S91), 이동 기간 동안, 상기 구 트러스트 앵커 인증서 및 상기 신 트러스트 앵커 인증서를 동시적으로 유효한 것으로 제공하는 동작(S92), 및 이동후 기간 동안, (상기 구 트러스트 앵커가 만료되는 동안) 상기 신 트러스트 앵커 인증서만 유효한 것으로 제공하는 동작(S93)을 포함한다.
도 9에 도시된 절차의 변형예에 따르면, (상기 이동전 기간 동안 제공, (S91)) 제공 동작의 예시적인 상세들이 본질적으로 그와 같이 서로 독립적으로 주어진다.
본 발명의 예시적인 실시예들에 따른 이러한 예시적인 제공 동작(S91)은 상기 구 트러스트 앵커 인증서와 관련된 개인 키로 서명된 제 1 인증 기관 인증서를 생성하는 동작, 상기 제 1 인증 기관 인증서와 관련된 개인 키로 서명된 제 1 엔드 엔티티 인증서를 생성하는 동작 ― 상기 제 1 엔드 엔티티 인증서는 상기 이동 기간 내에 만료하도록 셋업됨―, 상기 구 트러스트 앵커 인증서, 상기 제 1 인증 기관 인증서 및 상기 제 1 엔드 엔티티 인증서를 송신하는 동작을 포함할 수 있다.
도 9에 도시된 절차의 변형예에 따르면, (상기 이동 기간동안 제공, (S92)) 제공 동작의 예시적인 상세들이 본질적으로 그와 같이 서로 독립적으로 주어진다.
본 발명의 예시적인 실시예들에 따른 이러한 예시적인 제공 동작(S92)은 상기 신 트러스트 앵커 인증서를 생성하는 동작, 및 상기 신 트러스트 앵커 인증서와 관련된 개인 키로 서명된 제 2 인증 기관 인증서를 생성하는 동작을 포함할 수 있다.
도 9에 도시된 절차의 변형예에 따르면, (상기 이동 기간 동안 제공, (S92)) 제공 동작의 예시적인 상세들이 본질적으로 그와 같이 서로 독립적으로 주어진다.
본 발명의 예시적인 실시예들에 따른 그러한 예시적인 제공 동작(S92)은 상기 구 트러스트 앵커 인증서를 상기 신 트러스트 앵커 인증서로 서명함으로써 제 1 교차-인증서를 생성하는 동작, 및 상기 신 트러스트 앵커 인증서를 상기 구 트러스트 앵커 인증서로 서명함으로써 제 2 교차-인증서를 생성하는 동작을 포함할 수 있다.
특히, 신 트러스트 앵커가, 보호되지 않은 필드인 언급된 extraCerts 필드를 이용하여 전달될 경우, 교차-인증서들은 구 트러스트 앵커와 신 트러스트 앵커 간의 트러스트 관계를 확립하는데 사용될 수 있다.
도 9에 도시된 절차의 변형예에 따르면, 상기 이동 기간은 배치 페이즈 및 변경 페이즈를 포함하며, 상기 제 1 엔드 엔티티 인증서는 상기 배치 페이즈 내에 만료되도록 셋업된다. 도 9에 도시된 절차의 그러한 변형예에 따르면, (상기 이동 기간 동안 제공, (S92)) 제공 동작의 예시적인 상세들이 본질적으로 그와 같이 서로 독립적으로 주어진다. 본 발명의 예시적인 실시예들에 따른 그러한 예시적인 제공 동작(S92)은 상기 배치 페이즈 동안, 상기 제 1 인증 기관 인증서와 관련된 개인 키로 서명된 제 2 엔드 엔티티 인증서를 발생시키는 동작 ―상기 제 2 엔드 엔티티 증명서는 상기 변경 페이즈 내에서 만료되도록 셋업됨―, 및 상기 배치 페이즈 동안, 상기 신 트러스트 앵커 인증서 및 상기 제 2 엔드 엔티티 인증서를 송신하는 동작을 포함할 수 있다.
도 9에 도시된 절차의 변형예에 따르면, (상기 이동 기간 동안 제공, (S92)) 제공 동작의 예시적인 상세들이 본질적으로 그와 같이 서로 독립적으로 주어진다.
본 발명의 예시적인 실시예들에 따른 그러한 예시적인 제공 동작(S92)은 상기 변경 페이즈 동안, 상기 제 2 인증 기관 인증서와 관련된, 개인 키로 서명된 제 3 엔드 엔티티 인증서를 발생시키는 동작, 및 상기 변경 페이즈 동안, 상기 제 2 인증 기관 인증서 및 상기 제 3 엔드 엔티티 인증서를 송신하는 동작을 포함할 수 있다.
도 9에 도시된 절차의 변형예에 따르면, (상기 이동후 기간 동안 제공하는(S93)) 제공 동작의 예시적인 상세들이 본질적으로 그와 같이 서로 독립적으로 주어진다.
본 발명의 예시적인 실시예들에 따른 그러한 예시적인 제공 동작(S93)은 상기 구 트러스트 앵커 인증서를 제거하는 동작을 포함할 수 있다.
도 7은 본 발명의 예시적인 실시예들에 따른 장치를 도시하는 블록도이다. 이 장치는, 컨덕팅 수단(71)을 포함하는 엔드 엔티티(70)일 수 있다(이는, 엔드 엔티티들 사이에서 보안 연결들을 위한 인증서들에 기초하여 인증을 활용하는 네트워크에서, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로 업데이트하기 위한 것일 수 있으며, 상기 트러스트 앵커 인증서들 각각은 인증서들의 체인의 루트 포인트임). 컨덕팅 수단(71)은 보안 연결을 컨덕팅하며, 이동 기간 동안, 상기 구 트러스트 앵커 인증서 및 상기 신 트러스트 앵커 인증서는 상기 컨덕팅을 위해 동시적으로 유효하다.
도 8은 본 발명의 예시적인 실시예들에 따른 장치를 도시하는 블록도이다. 특히, 도 8은 도 7에 도시된 장치의 변형을 도시한다. 따라서, 도 8에 따른 장치는, 서로 독립적으로, 수신 수단(81), 활용 수단(82), 및 제거 수단(83)을 더 포함할 수 있다.
도 10은 본 발명의 예시적인 실시예들에 따른 절차의 개략도이다. 도 7(또는 도 8)에 따른 장치는 도 10의 방법을 수행할 수 있지만, 이 방법으로 제한되지는 않는다. 도 10의 방법은 도 7(또는 도 8)의 장치에 의해 수행될 수 있지만, 이 장치에 의해 수행되는 것으로 제한되지는 않는다.
도 10에 도시된 바와 같이, 본 발명의 예시적인 실시예들에 따른 (엔드 엔티티들 사이의 보안 연결들을 위한 인증서들에 기초하여 인증을 활용하는 네트워크에서, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 위한 ―상기 트러스트 앵커 인증서들 각각은 인증서들의 체인의 루트 포인트임―) 절차는 보안 연결을 컨덕팅하는 동작(S101)을 포함하며, 이동 기간 동안, 상기 구 트러스트 앵커 인증서 및 상기 신 트러스트 앵커 인증서는 상기 컨덕팅을 위해 동시적으로 유효하다.
도 10에 도시된 절차의 변형예에 따르면, 본질적으로 그와 같이 서로 독립적인 예시적인 추가 동작들이 주어진다. 이러한 변형예에 따르면, 본 발명의 예시적인 실시예들에 따른 예시적인 방법은 이동전 기간 동안, 상기 구 트러스트 앵커 인증서와 관련된 개인 키로 서명된 제 1 인증 기관 인증서와 관련된 개인 키로 서명된 제 1 엔드 엔티티 인증서를 수신하는 동작 ―상기 제 1 엔드 엔티티 인증서는 상기 이동 기간 내에 만료되도록 셋업됨―, 및 상기 이동전 기간 동안 상기 보안 연결의 확립 및/또는 재확립을 위해 상기 제 1 엔드 엔티티 인증서를 활용하는 동작을 포함할 수 있다.
도 10에 도시된 절차의 변형예에 따르면, 상기 이동 기간은 배치 페이즈 및 변경 페이즈를 포함하며, 상기 제 1 엔드 엔티티 인증서는 상기 배치 페이즈 내에 만료되도록 셋업된다. 도 10에 도시된 절차의 이러한 변형예에 따르면, 본질적으로 그와 같이 서로 독립적인 예시적인 추가 동작들이 주어진다. 이러한 변형예에 따르면, 본 발명의 예시적인 실시예들에 따른 예시적인 방법은 상기 배치 단계 동안, 상기 신 트러스트 앵커 인증서, 및 상기 제 1 인증 기관 인증서와 관련된 개인 키로 서명된 제 2 엔드 엔티티 인증서를 수신하는 동작 ―상기 제 2 엔드 엔티티 인증서는 변경 페이즈 내에 만료되도록 셋업됨―, 및 상기 배치 페이즈 동안, 상기 보안 연결의 확립 및/또는 재확립을 위해 상기 제 2 엔드 엔티티 인증서를 활용하는 동작을 포함할 수 있다.
도 10에 도시된 절차의 변형예에 따르면, 본질적으로 그와 같이 서로 독립적인 예시적인 추가 동작들이 주어진다. 이러한 변형예에 따르면, 본 발명의 예시적인 실시예들에 따른 예시적인 방법은 상기 변경 페이즈 동안, 상기 신 트러스트 앵커 인증서와 관련된 개인 키로 서명된 제 2 인증 기관 인증서 및 상기 제 2 인증 기관 인증서와 관련된 개인 키로 서명된 제 3 인증 기관 인증서를 수신하는 동작, 및 상기 변경 페이즈 동안, 상기 보안 연결의 확립 및/또는 재확립을 위해 상기 제 3 엔드 엔티티 인증서를 활용하는 동작을 포함할 수 있다.
도 10에 도시된 절차의 변형예에 따르면, 본질적으로 그와 같이 서로 독립적인 예시적인 추가 동작들이 주어진다. 이러한 변형에 따르면, 본 발명의 예시적인 실시예들에 따른 예시적인 방법은 이동후 기간 동안 상기 구 트러스트 앵커 인증서를 제거하는 동작을 포함할 수 있다.
상기 언급된 내용은 도 11을 참조하여 다시 설명된다.
도 11은 본 발명의 예시적인 실시예들에 따른 트러스트 앵커 업데이트의 타이밍들을 도시하는 개략도이다. 특히,도 11에서, CA 및 EE에 대한 본 발명의 예시적인 실시예들에 따른 관리된 TA 라이프사이클의 페이즈들이 도시된다.
도 11은, 만료되는 (구) 트러스트 앵커로부터 신 트러스트 앵커로 이동할 (CA 및 EE)에 대한 페이즈들을 설명한다.
페이즈 1에서, 트러스트 앵커 인증서("TA1") 및 서명 CA 인증서("CA1")가 CA와 모든 EE들에 설치된다. CA1이 EE 인증서("EE1")를 이슈했다. TA는 시각 t=t4에서 만료될 것이므로, "구 TA"로 지칭된다. EE1의 인증서 수명은, 이것이(EE1) 페이즈 3에서 만료하도록, 서명 CA CA1에 의해 선택된다는 것을 주목한다.
페이즈 2에서, 신 TA 인증서("TA2") 및 선택적으로 2개의 교차 인증서들이 생성된다. 이 TA는 구 TA를 대체할 것이므로, "신 TA"로 지칭된다. 신 TA가 아직 EE들에 배치되지 않았다는 것을 주목한다. CA1의 인증서 수명이 구 TA의 수명과 결부되고 따라서 이 또한 만료될 것이기 때문에, 신 CA2 인증서가 또한 생성된다.
신 트러스트 앵커 TA2를 모든 EE들에 배치시키기 위해 페이즈 3이 이용된다. 페이즈 1에서 설명된 바와 같이, EE의 인증서가 페이즈 3에서 만료하고 따라서 EE는 CMP 키 업데이트 요청에 의해 자신의 인증서를 갱신하거나 또는 교체한다, 즉, EE는 CMP 키 업데이트를 자동으로 수행한다. CA1은, 이것이 페이즈 4에서 다시 만료되도록, 신 EE 인증서의 수명을 선택한다. 신 TA 인증서(TA2), 선택적으로 2개의 교차-인증서들, 및 신 EE의 인증서("EE2")는 CMP KUP(key update response) 메시지를 이용하여 전달된다. 특히, 신 TA 인증서(TA2)가 추가 트러스트 앵커로서 EE에 설치된다. CA가 여전히 구 TA의 개인 키를 이용하여 EE 인증서들을 이슈한다는 것을 주목한다. 페이즈 3의 종료 시, 모든 EE에 신 TA가 배치되게 한다.
페이즈 4에서, EE의 인증서가 만료된다. 따라서, EE는 CMP 키 업데이트를 다시 수행한다. 이 페이즈에서, 모든 EE들에는, 신 TA2의 개인 키에 의해 서명된 EE 인증서들이 배치된다. 페이즈 4의 종료 시, 모든 EE들이 신 인증서를 설치한다. EE가 CMP 키 업데이트를 수행할 경우, EE는 EE의 인증서와 관련된 개인 키로 CMP 메시지를 서명한다. 이 인증서는 CA1의 인증서와 관련된 개인 키에 의해 서명되었다. CA가 여전히 CA1과 트러스트 관계를 갖는 경우에만, CA는 CMP 키 업데이트를 수락할 것이다.
오퍼레이터는, 구 TA 인증서와 신 TA 인증서 간의 트러스트 관계를 유지할 책임이 있다.
모든 EE들에서 이 단계를 동시에 수행하는 것이 실제로 가능하지 않다. 그럼에도 불구하고, 페이즈 4의 EE들이 아직 페이즈 3에 있는 EE들과 연결될 수 있기 때문에 상호운용성 위험이 없다. 사실, 페이즈 3의 EE들은 구 TA에 의해 페이즈 4에서 EE들을 인증할 수 있고, 페이즈 4의 EE는 신 TA를 이용함으로써 페이즈 3에서 EE들을 인증할 수 있다.
페이즈 5에서, 구 TA는, 이것이 만료되고 그리고/또는 CA로부터 그리고 모든 EE들로부터 삭제될 때 이용되지 않게 된다.
본 발명의 예시적인 실시예들에 따르면, 페이즈 1은 이동전 기간에 대응할 수 있고, 페이즈들 2 내지 4는 이동 기간에 대응할 수 있고, 단계 5는 이동후 기간에 대응할 수 있다는 것을 주목한다. 이동 기간에서, 페이즈 3은 배치 페이즈에 대응할 수 있고, 페이즈 4는 변경 페이즈에 대응할 수 있다.
EE의 최초 등록 동안, 본 발명의 예시적인 실시예들에 따르면, 트러스트 앵커는 다음과 같이 전달될 수 있다.
CMP 초기화 요청 및 응답을 이용하여 최초 등록을 수행하는 EE는 페이즈에 따라 다음 동작들을 수행할 수 있다.
페이즈 1에서, EE는, CMP 초기화 응답으로, 구 TA의 인증서, 서명 CA의 인증서 및 EE의 인증서를 수신한다. 구 TA는 caPubs 또는 extraCerts 필드를 이용하여 전달될 수 있다. EE1의 인증서 수명은, 이것이 페이즈 3에서 만료하도록, 서명 CA CA1에 의해 선택되었다는 것을 주목한다.
페이즈 2에서, EE는 CMP 초기화 응답에서 구 TA의 인증서, 서명 CA의 인증서 및 EE의 인증서를 수신한다. 구 TA는 caPubs 또는 extraCerts 필드를 이용하여 전달될 수 있다. EE1의 인증서 수명은, 이것이 페이즈 3에서 만료하도록, 서명 CA CA1에 의해 선택되었다는 것(즉, 페이즈 1과 동일함)을 주목한다.
페이즈 3에서, 최초 등록을 수행하는 EE는 구 TA 및 신 TA 둘 모두를 수신해야 한다. 이는, EE가, 아직 신 TA를 리트리빙하지 않은 EE에 대해 보안 연결을 확립할 필요가 있을 수 있기 때문이다. EE1의 인증서 수명은, 이것이 페이즈 4에서 만료하도록, 서명 CA CA1에 의해 선택되었다는 것을 주목한다.
페이즈 4에서, 최초 등록을 실행하는 EE는, 페이즈 3에서 여전히 EE에 대한 보안 연결을 보장하기 위해서 구 TA 및 신 TA 둘 모두를 수신해야 한다. 이는, 다른 모든 EE가 이미 신 TA를 수신했지만, 반드시 대응하는 신 CA의 인증서 및 EE의 인증서(즉, EE들은 여전히 페이즈 3에 있음)를 수신한 것이 아니기 때문이다. 즉, 페이즈 3의 EE들은 구 EE 인증서(구 TA 인증서와 관련된 개인 키로 서명되는 구 CA 인증서와 관련된 개인 키로 서명됨)를 이용하여 인증한다.
페이즈 5에서, 최초 등록을 수행하는 EE는 신 TA만을 수신해야 한다. 이는, 다른 모든 EE가 이미 신 TA를 수신했기 때문이다.
예시적인 실시예들에 따르면, 기존 CMP 메시지들은 트러스트 앵커를 EE로 전달하기 위해 사용될 수 있다.
즉, 도 9에 도시된 절차의 변형예에 따르면, 본 발명의 예시적인 실시예들에 따라, 상기 신 트러스트 앵커 인증서가 키 응답 메시지의 caPubs 필드에서 그리고/또는 키 응답 메시지 내의 인증서 관리 프로토콜 메시지의 공개 키 인프라스트럭처 헤더의 generalInfo 필드에서, 그리고 /또는 키 응답 메시지 내의 extraCerts 필드에서 송신될 수 있다.
그에 따라, 도 10에 도시된 절차의 변형예에 따르면, 본 발명의 예시적인 실시예들에 따르면, 상기 신 트러스트 앵커 인증서가 키 응답 메시지의 caPubs 필드에서 그리고/또는 키 응답 메시지 내의 인증서 관리 프로토콜 메시지의 공개 키 인프라스트럭처 헤더의 generalInfo 필드에서, 그리고/또는 키 응답 메시지 내의 extraCerts 필드에서 수신될 수 있다.
즉, 본 발명의 예시적인 실시예들에 따르면, 트러스트 앵커를 효율적인 방법으로 EE로 전달하기 위해서, 기존 CMP 메시지들의 이용이 확장된다.
EE의 (자신의) 엔드 엔티티 인증서가 곧 만료될 경우 EE는 이미 신 인증서를 요청한다. 그 경우, EE는 KUR(Key Update Request) 메시지를 CMP 서버로 전송한다. 서버는 관련 트러스트 체인과 함께, 신 인증서를 반송하는 KUP 메시지를 이용하여 응답한다.
오퍼레이터들은 일반적으로, 현재 TA 인증서가 만료되려고 하기 전에 신 TA 인증서를 발생시켜 원활한 이동을 가능하게 하는데, 즉, 구 TA 인증서와 신 TA 인증서의 수명이 중첩된다.
본 발명의 예시적인 실시예들에 따르면, KUP 메시지는, 신 PKI로의 이동을 위해 EE에 의해 사용될 신 TA를 반송하는데 활용될 수 있다.
즉, 본 발명의 예시적인 실시예들에 따라, TA 인증서는 caPubs 필드 내의 KUP 메시지에 의해 반송될 수 있다. 지금까지 RFC 4210은 이 필드가 최초 등록 동안에만 사용되는 것으로 설명되었지만, 다른 목적의 사용을 명시적으로 배제하지 않는다. 사용된 caPubs 필드가 메시지에 대해 생성된 CMP 서버의 PKIProtection에 의해 보호되므로, EE는 그들의 존재를 CMP 서버에 의한 트리거로서 해석하여, 수신된 TA를 트러스트할 수 있다.
또한, 본 발명의 또 다른 예시적인 실시예들에 따르면, TA 인증서는 ASN.1(abstract syntax notation number 1) "CA Key Update Announcement Content"(CAKeyUpdAnnContent) 시퀀스 및 그와 연관된 OID(object identifier)를CMP 메시지 PKIHeader의 generalInfo 필드에 있는 ASN.1 InfoTypeAndValue 시퀀스 내에 추가함으로써 KUP 메시지에 의해 반송될 수 있다. 이 CAKeyUpdAnnContent 및 연관된 OID가 RFC 4210에 이미 지정되어 있었지만, 이것이 이러한 방법으로 전송할 수 있는 것으로 예상되는 것은 아니었다. CAKeyUpdAnnContent 시퀀스를 이용하는 것은 또한 신 TA 및 구 TA의 상호 교차-인증이 필요하다.
또한, 본 발명의 또 다른 예시적인 실시예들에 따르면, TA 인증서는 트러스트 앵커들을 위해 사용될 이미 존재하는 또는 특정의 독점적인 ASN.1 필드 및 연관된 OID를 재사용함으로써 KUP 메시지에 의해 반송될 수 있고 이것을 generalInfo 필드에 배치시킬 수 있다. 이것은, 예를 들어, TA들이 교차-인증을 받을 필요가 없게 할 수 있다. 이미 존재하는 필드들의 예는 RFC 5914의 OID 1.2.840.113549.1.9.16.1.34로 지정된 바와 같이 TrustAnchorList일 것이다. 사용된 필드(들)가 메시지에 대해 생성된 CMP 서버의 PKIProtection에 의해 보호되므로, EE는 CMP 서버에 의한 트리거로서 그들의 존재를 해석하여 수신된 TA를 트러스트할 수 있다.
또한, 본 발명의 또 다른 예시적인 실시예들에 따라, TA 인증서는 extraCerts의 사용에 의해 KUP 메시지에 의해 반송될 수 있다. 이는, 신 TA를 활용할 것을 EE에게 통지하기 위해서, 트러스트할 수 있는 트리거를 필요로 한다.
보안 상의 이유로, 인증서-기반 메시지 보호의 경우, 명의도용(impersonation) 및 그에 따른 트러스트 앵커의 사기성 인젝션을 방지하기 위해서, EE는 그의 인증서에 의해 CMP 서버를 모호하지 않게 식별하는 수단을 반드시 구비해야 한다는 것을 주목한다. 이는, 예를 들어, CMP 서버 고유 서브젝트 명칭 또는 그의 관련 부분, CMP 서버 인증서에 임베딩된 정책 OID들 등을 아는 EE에 의해 완료될 수 있다.
상기 식별된 문제점들을 해결하기 위한 본 발명의 바람직한 실시예들에 따르면, 자동 TA 라이프사이클 관리가 CA에서 구현되고, CMP 초기화 시의 ASN.1 "CAKeyUpdAnnContent"(CA Key Update Announcement Content) 시퀀스 및 키 업데이트 시퀀스들의 추가를 통해 신 TA가 전달된다.
상술된 절차들 및 기능들은, 아래에 설명되는 바와 같이, 각각의 기능 엘리먼트들, 프로세서들 등에 의해 구현될 수 있다.
네트워크 엔티티의 앞의 예시적인 설명에서, 본 발명의 원리들을 이해하는 것과 관련되는 유닛들만이 기능 블록들을 이용하여 설명되었다. 네트워크 엔티티는 그의 각각의 동작에 필요한 추가 유닛들을 포함할 수 있다. 그러나, 이들 유닛들에 대한 설명이 본 명세서에서 생략된다. 디바이스들의 기능 블록들의 어레인지먼트는 본 발명을 제한하는 것으로 해석되지 않으며, 기능들은 하나의 블록에 의해 수행되거나 또는 서브-블록들로 추가로 분할될 수 있다.
앞의 설명에서, 장치, 즉 네트워크 엔티티(또는 일부 다른 수단)가 일부 기능을 수행하도록 구성된 것으로 언급되는 경우, 이는, 각각의 장치의 메모리에 저장된 컴퓨터 프로그램 코드와 잠재적으로 협력하는 (즉, 적어도 하나의) 프로세서 또는 대응하는 회로는, 장치로 하여금, 적어도 그와 같이 언급된 기능을 수행하게 하도록 구성된다는 것을 언급하는 설명과 등가인 것으로 해석될 것이다. 또한, 이러한 기능은, 각각의 기능을 수행하기 위한 구체적으로 구성된 회로 또는 수단에 의해 등가적으로 구현가능한 것으로 해석되어야 한다(즉, 표현 "하도록 구성된 유닛"은 "하기 위한 수단"과 같은 표현과 동등한 것으로 해석됨).
도 14에서, 본 발명의 예시적인 실시예들에 따른 장치들의 대안적인 예시가 도시된다. 도 14에 나타내어진 바와 같이, 본 발명의 예시적인 실시예들에 따르면, 장치(인증 기관)(50')(인증 기관(50)에 대응함)는 버스(144) 등에 의해 연결되는 프로세서(141), 메모리(142) 및 인터페이스(143)를 포함한다. 추가로, 본 발명의 예시적인 실시예들에 따르면, 장치(엔드 엔티티)(70')(엔드 엔티티(70)에 대응함)는 버스(148) 등에 의해 연결되는 프로세서(145), 메모리(146) 및 인터페이스(147)를 포함하며, 장치들은 각각 링크(149)를 통해 연결될 수 있다.
프로세서(141/145) 및/또는 인터페이스(143/147)는 또한, 각각 (하드와이어 또는 무선) 링크를 통한 통신을 용이하게 하기 위해서 모뎀 등을 포함할 수 있다. 인터페이스(143/147)는 링크된 또는 연결된 디바이스(들)와 (하드와이어 또는 무선) 통신들을 위한 하나 또는 그 초과의 안테나들 또는 통신 수단에 각각 결합된 적합한 트랜시버를 포함할 수 있다. 인터페이스(143/147)는 일반적으로, 적어도 하나의 다른 장치, 즉 그 인터페이스와 통신하도록 구성된다.
메모리(142/146)는, 각각의 프로세서에 의해 실행될 경우, 각각의 전자 디바이스 또는 장치로 하여금 본 발명의 예시적인 실시예들에 따라 동작할 수 있게 하는 프로그램 명령들 또는 컴퓨터 프로그램 코드를 포함하는 것으로 가정되는 각각의 프로그램들을 저장할 수 있다.
일반적으로, 각각의 디바이스들/장치들(및/또는 그 일부들)는 각각의 동작들을 수행하기 위한 그리고/또는 각각의 기능들을 나타내기 위한 수단을 나타낼 수 있고, 그리고/또는 각각의 디바이스들(및/또는 그 일부들)은 각각의 동작들을 수행하기 위한 그리고/또는 각각의 기능들을 나타내기 위한 기능들을 구비할 수 있다.
후속하는 설명에서, 프로세서(또는 일부 다른 수단)가 일부 기능을 실행하도록 구성되는 것으로 언급되는 경우, 이는, 각각의 장치의 메모리에 저장된 컴퓨터 프로그램 코드와 잠재적으로 협력하는 적어도 하나의 프로세서가, 장치로 하여금, 적어도 그와 같이 언급된 기능을 수행하게 하도록 구성된다는 것을 언급하는 설명과 등가인 것으로 해석될 것이다. 또한, 이러한 기능은, 각각의 기능을 수행하기 위한 구체적으로 구성된 수단에 의해 등가적으로 구현가능한 것으로 해석되어야 한다(즉, 표현 "[장치로 하여금] xx하는 것을 수행하게 하도록 구성되는 프로세서"는 "xx하기 위한 수단"과 같은 표현과 동등한 것으로 해석됨).
본 발명의 예시적인 실시예들에 따르면, 인증 기관(50)을 나타내는 장치는 적어도 하나의 프로세서(141), 컴퓨터 프로그램 코드를 포함하는 적어도 하나의 메모리(142) 및 적어도 다른 장치와 통신하기 위해 구성된 적어도 하나의 인터페이스(143)를 포함한다. 프로세서(즉, 적어도 하나의 메모리(142) 및 컴퓨터 프로그램 코드를 갖는, 적어도 하나의 프로세서(141))는 엔드 엔티티들 사이의 보안 연결들을 위한 인증서들에 기초하여 인증을 활용하는 네트워크에서, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하는 것을 수행하고 ―상기 트러스트 앵커 인증서들 각각은 인증서들의 체인의 루트 포인트임―, 이동전 기간 동안, 상기 구 트러스트 앵커 인증서를 유효한 것으로서 제공하는 것을 수행하고(따라서, 장치는 제공하기 위한 대응하는 수단을 포함함), 이동 기간 동안, 상기 구 트러스트 앵커 인증서 및 상기 신 트러스트 앵커 인증서를 동시적으로 유효한 것으로 제공하는 것을 수행하고, 그리고 이동후 기간 동안, 상기 신 트러스트 앵커 인증서를 유효한 것으로 제공하는 것을 수행하도록 구성된다.
본 발명의 예시적인 실시예들에 따르면, 엔드 엔티티(70)를 나타내는 장치는 적어도 하나의 프로세서(145), 컴퓨터 프로그램 코드를 포함하는 적어도 하나의 메모리(146) 및 적어도 다른 장치와 통신하기 위해 구성된 적어도 하나의 인터페이스(147)를 포함한다. 프로세서(즉, 적어도 하나의 메모리(146) 및 컴퓨터 프로그램 코드를 갖는, 적어도 하나의 프로세서(145))는 엔드 엔티티들 사이의 보안 연결들을 위한 인증서들에 기초하여 인증을 활용하는 네트워크에서, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 수행하도록 구성되며, 상기 트러스트 앵커 인증서들 각각은 인증서들의 체인의 루트 포인트이며, 보안 연결을 컨덕팅하며, 이동 기간 동안, 상기 구 트러스트 앵커 인증서 및 상기 신 트러스트 앵커 인증서는 상기 컨덕팅을 위해 동시적으로 유효하다(따라서, 장치는 컨덕팅하기 위한 대응하는 수단을 포함함).
개별 장치들의 조작성/기능성에 관한 더욱 상세한 설명을 위해, 상기 설명을, 각각 도 5 내지 도 13 중 어느 하나와 함께 참조한다.
상기 본원에 기술된 바와 같은 본 발명의 목적을 위해서, 다음을 주목한다.
― (디바이스들, 장치들 및/또는 그의 모듈들의 예들로서, 또는 장치들 및/또는 그에 대한 모듈들을 포함하는 엔티티들의 예들로서) 소프트웨어 코드 부분들로서 구현되고 네트워크 서버 또는 네트워크 엔티티의 프로세서를 사용하여 실행될 가능성이 높은 방법 단계들은 소프트웨어 코드 독립식이고, 방법 단계들에 의해 정의된 기능성이 유지되는 한, 임의의 알려진 또는 추후 개발되는 프로그래밍 언어를 이용하여 지정될 수 있다;
- 일반적으로, 임의의 방법 단계는 구현된 기능성의 견지에서 실시예들 및 그의 변형의 사상을 변경하지 않고 하드웨어에 의해 또는 소프트웨어로서 구현되기에 적합하다;
- 위에서 정의된 장치들 또는 그 임의의 모듈(들)(예를 들어, 위에서 설명된 실시예들에 따른 장치들의 기능들을 실행하는 디바이스들)에서 하드웨어 컴포넌트들로서 구현될 가능성이 높은 방법 단계들 및/또는 디바이스들, 유닛들 또는 수단들은 하드웨어 독립식이고, 예를 들어 ASIC(Application Specific IC(Integrated Circuit)) 컴포넌트들, FPGA(Field-programmable Gate Arrays) 컴포넌트들, CPLD(Complex Programmable Logic Device) 컴포넌트들 또는 DSP(Digital Signal Processor) 컴포넌트들을 이용하는, MOS(Metal Oxide Semiconductor), CMOS(Complementary MOS), BiMOS(Bipolar MOS), BiCMOS(Bipolar CMOS), ECL(Emitter Coupled Logic), TTL(Transistor-Transistor Logic) 등과 같은 임의의 알려진 또는 추후 개발되는 하드웨어 기술 또는 이들의 임의의 혼합들을 이용하여 구현될 수 있다;
-디바이스들, 유닛들 또는 수단(예를 들어, 상기에 정의된 네트워크 엔티티 또는 네트워크 레지스터, 또는 이들의 개별 유닛들/수단들 중 임의의 것)은 개별 디바이스들, 유닛들 또는 수단들로서 구현될 수 있지만, 이는, 디바이스, 유닛 또는 수단의 기능이 보존되어 있는 한, 시스템 전반에 걸쳐 분산된 방식으로 이들이 구현되는 것을 배제하지 않는다;
-사용자 장비 및 네트워크 엔티티/네트워크 레지스터와 같은 장치는 그러한 칩 또는 칩셋을 포함하는 반도체 칩, 칩셋, 또는 (하드웨어) 모듈에 의해 표현될 수 있다; 이는, 그러나, 하드웨어 구현 대신에, 장치 또는 모듈의 기능이 프로세서 상에서의 실행(execution/run)을 위한 실행가능한 소프트웨어 코드 부분들을 포함하는 컴퓨터 프로그램 또는 컴퓨터 프로그램 제품과 같이 (소프트웨어) 모듈에서 소프트웨어로서 구현되는 가능성을 배제하지 않는다;
-디바이스는, 예를 들어, 동일한 디바이스 하우징 내에 있지만, 기능적으로 서로 협력하든, 또는 기능적으로 서로 독립적이든, 2 이상의 장치의 조립체로서 또는 장치로서 간주될 수 있다.
일반적으로, 위에서 설명된 양상들에 따른 각각의 기능 블록들 또는 엘리먼트들은, 그것이 각각의 부분들의 설명된 기능들만을 실행하도록 적응된다면, 각각 하드웨어 및/또는 소프트웨어의 임의의 알려진 수단에 의해 구현될 수 있다는 것을 주목한다. 언급된 방법 단계들은 개별 기능 블록들에서 또는 개별 디바이스들에 의해 실현될 수 있거나, 방법 단계들 중 하나 또는 그 초과의 것이 단일 기능 블록에서 또는 단일 디바이스에 의해 실현될 수 있다.
-일반적으로, 임의의 방법 단계는 본 발명의 사상을 변경하지 않고 하드웨어에 의해 또는 소프트웨어로서 구현되기에 적합하다. 디바이스들 및 수단들은 개별 디바이스들로서 구현될 수 있지만, 디바이스의 기능성이 유지되는 한, 이들은 시스템 전체에 걸쳐 분산된 방식으로 구현되는 것을 배제하지 않는다. 그러한 및 유사한 원리들은 당업자에게 알려진 것으로 간주될 것이다.
본 상세한 설명의 의미에서의 소프트웨어는, 각각의 기능들을 실행하기 위한 코드 수단 또는 부분들 또는 컴퓨터 프로그램 또는 컴퓨터 프로그램 제품을 포함하는 소프트웨어 코드뿐만 아니라, 잠재적으로 그 프로세싱 동안, 각각의 데이터 구조 또는 코드 수단/부분들이 저장되어 있는 유형의 매체, 이를 테면, 컴퓨터-판독가능(저장) 매체에 수록되거나 또는 신호로 또는 칩에서 구현되는 소프트웨어(또는 컴퓨터 프로그램 또는 컴퓨터 프로그램 제품)를 포함한다.
본 발명은 또한, 방법 및 구조적 배열의 상술된 개념들이 적용가능한 한, 상술된 방법 단계들 및 동작들의 임의의 가능한 조합, 및 상술된 노드들, 장치들, 모듈들 또는 엘리먼트들의 임의의 가능한 조합을 포함한다.
상기를 고려하여, 공개 키 인프라스트럭처에서 트러스트 앵커 업데이트를 위한 조치들이 제공된다. 이러한 조치들은 예시적으로, 엔드 엔티티들 사이의 보안 연결들을 위한 인증서들에 기초하여 인증을 활용하는 네트워크에서, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하는 것 ―상기 트러스트 앵커 인증서들 각각은 인증서들의 체인의 루트 포인트임―, 이동전 기간 동안, 상기 구 트러스트 앵커 인증서(만)를 유효한 것으로 제공하는 것, 이동 기간 동안, 상기 구 트러스트 앵커 인증서 및 상기 신 트러스트 앵커 인증서를 동시적으로 유효한 것으로 제공하는 것, 그리고 이동후 기간 동안, 상기 신 트러스트 앵커 인증서(만)를 유효한 것으로 제공하는 것을 포함한다.
본 발명이 첨부된 도면들에 따른 예들를 참조하여 상술되었지만, 본 발명은 이에 제한되지 않는다는 것을 이해한다. 오히려, 본 발명은, 본원에 개시된 본 발명의 사상의 범위를 벗어나지 않고 많은 방식들로 변형될 수 있음이 당업자에게 명백하다.
두문자어들 및 약어들 목록
3GPP 3rd Generation Partnership Project(제 3 세대 파트너쉽 프로젝트)
AKI authority key identifier(기관 키 식별자)
ASN.1 abstract syntax notation number 1(추상적 구문 표기법 넘버 1)
CA certificate authority(인증 기관)
CMP certificate management protocol(인증서 관리 프로토콜)
EE end entity(엔드 엔티티)
HTTP hypertext transfer protocol(하이퍼텍스트 트랜스퍼 프로토콜)
IP internet protocol(인터넷 프로토콜)
IPsec internet protocol security(인터넷 프로토콜 보안)
IR initial request(최초 요청)
KUP key update response(키 업데이트 응답)
KUR key update request(키 업데이트 요청)
NE network element(네트워크 엘리먼트)
OID object identifier(오브젝트 식별자)
PKI public key infrastructure(공개 키 인프라스트럭처)
RA registration authority(등록 기관)
SSL secure sockets layer(보안 소켓 레이어)
TA trust anchor(트러스트 앵커)
TLS transport layer security(트랜스포트 레이어 보안)

Claims (32)

  1. 엔드 엔티티들 사이에서 보안 연결들을 위한 인증서들에 기초하여 인증을 활용하는 네트워크에서, 구(old) 트러스트 앵커 인증서로부터 신(new) 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법으로서,
    상기 트러스트 앵커 인증서들 각각은 인증서들의 체인의 루트 포인트이고,
    상기 방법은,
    이동전 기간 동안, 상기 구 트러스트 앵커 인증서만을 유효한 것으로서 제공하는 단계,
    이동 기간 동안, 상기 구 트러스트 앵커 인증서 및 상기 신 트러스트 앵커 인증서를 동시적으로 유효한 것으로서 제공하는 단계, 및
    이동후 기간 동안, 상기 신 트러스트 앵커 인증서만을 유효한 것으로서 제공하는 단계를 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법.
  2. 제 1 항에 있어서,
    상기 이동전 기간 동안 제공하는 단계와 관련하여, 상기 방법은,
    상기 구 트러스트 앵커 인증서와 관련된 개인 키로 서명된 제 1 인증 기관 인증서를 발생시키는 단계,
    상기 제 1 인증 기관 인증서와 관련된 개인 키로 서명된 제 1 엔드 엔티티 인증서를 발생시키는 단계 ―상기 제 1 엔드 엔티티 인증서는 상기 이동 기간 내에 만료되도록 셋업됨―, 및
    상기 구 트러스트 앵커 인증서, 상기 제 1 인증 기관 인증서, 및 상기 제 1 엔드 엔티티 인증서를 송신하는 단계를 더 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법.
  3. 제 2 항에 있어서,
    상기 이동 기간 동안 제공하는 단계와 관련하여, 상기 방법은,
    상기 신 트러스트 앵커 인증서를 생성하는 단계를 더 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법.
  4. 제 3 항에 있어서,
    상기 이동 기간 동안 제공하는 단계와 관련하여, 상기 방법은,
    상기 신 트러스트 앵커 인증서와 관련된 개인 키로 서명된 제 2 인증 기관 인증서를 발생시키는 단계를 더 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법.
  5. 제 3 항 또는 제 4 항에 있어서,
    상기 이동 기간 동안 제공하는 단계와 관련하여, 상기 방법은,
    상기 구 트러스트 앵커 인증서를 상기 신 트러스트 앵커 인증서로 서명함으로써 제 1 교차-인증서를 생성하는 단계, 및
    상기 신 트러스트 앵커 인증서를 상기 구 트러스트 앵커 인증서로 서명함으로써 제 2 교차-인증서를 생성하는 단계를 더 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법.
  6. 제 3 항 또는 제 4 항에 있어서,
    상기 이동 기간은 배치 페이즈 및 변경 페이즈를 포함하며,
    상기 제 1 엔드 엔티티 인증서는 상기 배치 페이즈 내에 만료되도록 셋업되고,
    상기 이동 기간 동안 제공하는 단계와 관련하여, 상기 방법은,
    상기 배치 페이즈 동안,
    상기 제 1 인증 기관 인증서와 관련된 개인 키로 서명된 제 2 엔드 엔티티 인증서를 발생시키는 단계 ―상기 제 2 엔드 엔티티 인증서는 상기 변경 페이즈 내에 만료되도록 셋업됨―, 및
    상기 신 트러스트 앵커 인증서 및 상기 제 2 엔드 엔티티 인증서를 송신하는 단계를 더 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법.
  7. 제 6 항에 있어서,
    상기 이동 기간 동안 제공하는 단계와 관련하여, 상기 방법은,
    상기 변경 페이즈 동안,
    상기 제 2 인증 기관 인증서와 관련된 개인 키로 서명된 제 3 엔드 엔티티 인증서를 발생시키는 단계, 및
    상기 제 2 인증 기관 인증서 및 상기 제 3 엔드 엔티티 인증서를 송신하는 단계를 더 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법.
  8. 제 1 항 내지 제 7 항 중 어느 한 항에 있어서,
    상기 이동후 기간 동안 제공하는 단계와 관련하여, 상기 방법은,
    상기 구 트러스트 앵커 인증서를 제거하는 단계를 더 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법.
  9. 제 6 항 내지 제 8 항 중 어느 한 항에 있어서,
    상기 신 트러스트 앵커 인증서가
    키 응답 메시지의 caPubs 필드에서, 그리고/또는
    최초 요청 응답 메시지의 caPubs 필드에서, 그리고/또는
    키 응답 메시지 내의 인증서 관리 프로토콜 메시지의 공개 키 인프라스트럭처 헤더의 generalInfo 필드에서, 그리고/또는
    최초 요청 응답 메시지 내의 인증서 관리 프로토콜 메시지의 공개 키 인프라스트럭처 헤더의 generalInfo 필드에서, 그리고/또는
    키 응답 메시지의 extraCerts 필드에서, 그리고/또는
    최초 요청 응답 메시지의 extraCerts 필드에서
    송신되는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법.
  10. 엔드 엔티티들 사이에서 보안 연결들을 위한 인증서들에 기초하여 인증을 활용하는 네트워크에서, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로 업데이트하기 위한 방법으로서,
    상기 트러스트 앵커 인증서들 각각은 인증서들의 체인의 루트 포인트이고,
    상기 방법은,
    보안 연결을 컨덕팅하는 단계를 포함하고,
    이동 기간 동안, 상기 구 트러스트 앵커 인증서, 및 상기 신 트러스트 앵커 인증서가 상기 컨덕팅하는 단계를 위해 동시적으로 유효한, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법.
  11. 제 10 항에 있어서,
    이동전 기간 동안, 상기 구 트러스트 앵커 인증서와 관련된 개인 키로 서명된 제 1 인증 기관 인증서와 관련된 개인 키로 서명된 제 1 엔드 엔티티 인증서를 수신하는 단계 ―상기 제 1 엔드 엔티티 인증서는 상기 이동 기간 내에 만료되도록 셋업됨―, 및
    상기 이동전 기간 동안 상기 보안 연결의 확립 및/또는 재확립을 위해 상기 제 1 엔드 엔티티 인증서를 활용하는 단계를 더 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법.
  12. 제 11 항에 있어서,
    상기 이동 기간은 배치 페이즈 및 변경 페이즈를 포함하며,
    상기 제 1 엔드 엔티티 인증서는 상기 배치 페이즈 내에 만료되도록 셋업되고,
    상기 방법은,
    상기 배치 페이즈 동안, 상기 신 트러스트 앵커 인증서, 및 상기 제 1 인증 기관 인증서와 관련된 개인 키로 서명된 제 2 엔드 엔티티 인증서를 수신하는 단계 ―상기 제 2 엔드 엔티티 인증서는 상기 변경 페이즈 내에 만료되도록 셋업됨―, 및
    상기 배치 페이즈 동안 상기 보안 연결의 확립 및/또는 재확립을 위해 상기 제 2 엔드 엔티티 인증서를 활용하는 단계를 더 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법.
  13. 제 12 항에 있어서,
    상기 변경 페이즈 동안, 상기 신 트러스트 앵커 인증서와 관련된 개인 키로 서명된 제 2 인증 기관 인증서, 및 상기 제 2 인증 기관 인증서와 관련된 개인 키로 서명된 제 3 엔드 엔티티 인증서를 수신하는 단계, 및
    상기 변경 페이즈 동안 상기 보안 연결의 확립 및/또는 재확립을 위해 상기 제 3 엔드 엔티티 인증서를 활용하는 단계를 더 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법.
  14. 제 10 항 내지 제 13 항 중 어느 한 항에 있어서,
    이동후 기간 동안 상기 구 트러스트 앵커 인증서를 제거하는 단계를 더 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법.
  15. 제 12 항 내지 제 14 항 중 어느 한 항에 있어서,
    상기 신 트러스트 앵커 인증서는
    키 응답 메시지의 caPubs 필드에서, 그리고/또는
    최초 요청 응답 메시지의 caPubs 필드에서, 그리고/또는
    키 응답 메시지 내의 인증서 관리 프로토콜 메시지의 공개 키 인프라스트럭처 헤더의 generalInfo 필드에서, 그리고/또는
    최초 요청 응답 메시지 내의 인증서 관리 프로토콜 메시지의 공개 키 인프라스트럭처 헤더의 generalInfo 필드에서, 그리고/또는
    키 응답 메시지의 extraCerts 필드에서, 그리고/또는
    최초 요청 응답 메시지의 extraCerts 필드에서
    수신되는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 방법.
  16. 엔드 엔티티들 사이에서 보안 연결들을 위한 인증서들에 기초하여 인증을 활용하는 네트워크에서, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 장치로서,
    상기 트러스트 앵커 인증서들 각각은 인증서들의 체인의 루트 포인트이고,
    상기 장치는,
    이동전 기간 동안, 상기 구 트러스트 앵커 인증서만을 유효한 것으로서 제공하고,
    이동 기간 동안, 상기 구 트러스트 앵커 인증서 및 상기 신 트러스트 앵커 인증서를 동시적으로 유효한 것으로서 제공하고, 그리고
    이동후 기간 동안, 상기 신 트러스트 앵커 인증서만을 유효한 것으로서 제공하도록 구성되는 제공 수단을 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 장치.
  17. 제 16 항에 있어서,
    상기 이동전 기간 동안, 상기 구 트러스트 앵커 인증서와 관련된 개인 키로 서명된 제 1 인증 기관 인증서를 발생시키고, 그리고
    상기 이동전 기간 동안, 상기 제 1 인증 기관 인증서와 관련된 개인 키로 서명된 제 1 엔드 엔티티 인증서를 발생시키도록 구성된 발생 수단 ―상기 제 1 엔드 엔티티 인증서는 상기 이동 기간 내에 만료되도록 셋업됨―, 및
    상기 이동전 기간 동안, 상기 구 트러스트 앵커 인증서, 상기 제 1 인증 기관 인증서, 및 상기 제 1 엔드 엔티티 인증서를 송신하도록 구성된 송신 수단을 더 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 장치.
  18. 제 17 항에 있어서,
    상기 이동 기간 동안, 상기 신 트러스트 앵커 인증서를 생성하도록 구성된 생성 수단을 더 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 장치.
  19. 제 18 항에 있어서,
    상기 발생 수단은, 상기 이동 기간 동안, 상기 신 트러스트 앵커 인증서와 관련된 개인 키로 서명된 제 2 인증 기관 인증서를 발생시키도록 추가로 구성되는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 장치.
  20. 제 18 항 또는 제 19 항에 있어서,
    상기 생성 수단은,
    상기 이동 기간 동안, 상기 구 트러스트 앵커 인증서를 상기 신 트러스트 앵커 인증서로 서명함으로써 제 1 교차-인증서를 생성하고, 그리고
    상기 이동 기간 동안, 상기 신 트러스트 앵커 인증서를 상기 구 트러스트 앵커 인증서로 서명함으로써 제 2 교차-인증서를 생성하도록 추가로 구성되는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 장치.
  21. 제 18 항 또는 제 19 항에 있어서,
    상기 이동 기간은 배치 페이즈 및 변경 페이즈를 포함하며,
    상기 제 1 엔드 엔티티 인증서는 상기 배치 페이즈 내에 만료되도록 셋업되고,
    상기 발생 수단은, 상기 배치 페이즈 동안, 상기 제 1 인증 기관 인증서와 관련된 개인 키로 서명된 제 2 엔드 엔티티 인증서를 발생시키도록 추가로 구성되고 ―상기 제 2 엔드 엔티티 인증서는 상기 변경 페이즈 내에 만료되도록 셋업됨―, 그리고
    상기 송신 수단은, 상기 배치 페이즈 동안, 상기 신 트러스트 앵커 인증서 및 상기 제 2 엔드 엔티티 인증서를 송신하도록 추가로 구성되는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 장치.
  22. 제 21 항에 있어서,
    상기 발생 수단은, 상기 변경 페이즈 동안, 상기 제 2 인증 기관 인증서와 관련된 개인 키로 서명된 제 3 엔드 엔티티 인증서를 발생시키도록 추가로 구성되고, 그리고
    상기 송신 수단은, 상기 변경 페이즈 동안, 상기 제 2 인증 기관 인증서 및 상기 제 3 엔드 엔티티 인증서를 송신하도록 추가로 구성되는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 장치.
  23. 제 16 항 내지 제 22 항에 있어서,
    상기 이동후 기간 동안, 상기 구 트러스트 앵커 인증서를 제거하도록 구성된 제거 수단을 더 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 장치.
  24. 제 21 항 내지 제 23 항 중 어느 한 항에 있어서,
    상기 장치는 셀룰러 시스템의 인증 기관으로서 또는 인증 기관에서 동작가능하고, 그리고/또는
    상기 장치는 LTE 및 LTE-A 셀룰러 시스템 중 적어도 하나에서 동작가능하고, 그리고/또는
    상기 신 트러스트 앵커 인증서는
    키 응답 메시지의 caPubs 필드에서, 그리고/또는
    최초 요청 응답 메시지의 caPubs 필드에서, 그리고/또는
    키 응답 메시지 내의 인증서 관리 프로토콜 메시지의 공개 키 인프라스트럭처 헤더의 generalInfo 필드에서, 그리고/또는
    최초 요청 응답 메시지 내의 인증서 관리 프로토콜 메시지의 공개 키 인프라스트럭처 헤더의 generalInfo 필드에서, 그리고/또는
    키 응답 메시지의 extraCerts 필드에서, 그리고/또는
    최초 요청 응답 메시지의 extraCerts 필드에서
    송신되는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로의 업데이트를 관리하기 위한 장치.
  25. 엔드 엔티티들 사이에서 보안 연결들을 위한 인증서들에 기초하여 인증을 활용하는 네트워크에서, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로 업데이트하기 위한 장치로서,
    상기 트러스트 앵커 인증서들 각각은 인증서들의 체인의 루트 포인트이고,
    상기 장치는,
    안전 연결을 컨덕팅하도록 구성된 컨덕팅 수단을 포함하고,
    이동 기간 동안, 상기 구 트러스트 앵커 인증서 및 상기 신 트러스트 앵커 인증서가 상기 컨덕팅하는 것을 위해 동시적으로 유효한, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로 업데이트하기 위한 장치.
  26. 제 25 항에 있어서,
    이동전 기간 동안, 상기 구 트러스트 앵커 인증서와 관련된 개인 키로 서명되는 제 1 인증 기관 인증서와 관련된 개인 키로 서명되는 제 1 엔드 엔티티 인증서를 수신하도록 구성된 수신 수단 ―상기 제 1 엔드 엔티티 인증서는 상기 이동 기간 내에 만료되도록 셋업됨―, 및
    상기 이동전 기간 동안 상기 보안 연결의 확립 및/또는 재확립을 위해 상기 제 1 엔드 엔티티 인증서를 활용하도록 구성된 활용 수단을 더 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로 업데이트하기 위한 장치.
  27. 제 26 항에 있어서,
    상기 이동 기간은 배치 페이즈 및 변경 페이즈를 포함하며,
    상기 제 1 엔드 엔티티 인증서는 상기 배치 페이즈 내에 만료되도록 셋업되고,
    상기 수신 수단은, 상기 배치 페이즈 동안, 상기 신 트러스트 앵커 인증서 및 상기 제 1 인증 기관 인증서와 관련된 개인 키로 서명된 제 2 엔드 엔티티 인증서를 수신하도록 추가로 구성되고, 상기 제 2 엔드 엔티티 인증서는 상기 변경 페이즈 내에 만료되도록 셋업되고, 그리고
    상기 활용 수단은, 상기 배치 페이즈 동안 상기 보안 연결의 확립 및/또는 재확립을 위해 상기 제 2 엔드 엔티티 인증서를 활용하도록 추가로 구성되는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로 업데이트하기 위한 장치.
  28. 제 27 항에 있어서,
    상기 수신 수단은, 상기 변경 페이즈 동안, 상기 신 트러스트 앵커 인증서와 관련된 개인 키로 서명된 제 2 인증 기관 인증서, 및 상기 제 2 인증 기관 인증서와 관련된 개인 키로 서명된 제 3 엔드 엔티티 인증서를 수신하도록 추가로 구성되고, 그리고
    상기 활용 수단은, 상기 변경 페이즈 동안 상기 보안 연결의 확립 및/또는 재확립을 위해 상기 제 3 엔드 엔티티 인증서를 활용하도록 추가로 구성되는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로 업데이트하기 위한 장치.
  29. 제 25 항 내지 제 28 항 중 어느 한 항에 있어서,
    이동후 기간 동안 상기 구 트러스트 앵커 인증서를 제거하도록 구성된 제거 수단을 더 포함하는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로 업데이트하기 위한 장치.
  30. 제 27 항 내지 제 29 항 중 어느 한 항에 있어서,
    상기 장치는 셀룰러 시스템의 엔드 엔티티로서 또는 엔드 엔티티에서 동작가능하고, 그리고/또는
    상기 장치는 LTE 및 LTE-A 셀룰러 시스템 중 적어도 하나에서 동작가능하고, 그리고/또는
    상기 신 트러스트 앵커 인증서는
    키 응답 메시지의 caPubs 필드에서, 그리고/또는
    최초 요청 응답 메시지의 caPubs 필드에서, 그리고/또는
    키 응답 메시지 내의 인증서 관리 프로토콜 메시지의 공개 키 인프라스트럭처 헤더의 generalInfo 필드에서, 그리고/또는
    최초 요청 응답 메시지 내의 인증서 관리 프로토콜 메시지의 공개 키 인프라스트럭처 헤더의 generalInfo 필드에서, 그리고/또는
    키 응답 메시지의 extraCerts 필드에서, 그리고/또는
    최초 요청 응답 메시지의 extraCerts 필드에서
    수신되는, 구 트러스트 앵커 인증서로부터 신 트러스트 앵커 인증서로 업데이트하기 위한 장치.
  31. 컴퓨터-실행가능 컴퓨터 프로그램 코드를 포함하는 컴퓨터 프로그램 제품으로서,
    상기 컴퓨터-실행가능 프로그램 코드는, 프로그램이 컴퓨터에서 실행되는 경우, 상기 컴퓨터로 하여금 제 1 항 내지 제 9 항 중 어느 한 항 또는 제 10 항 내지 제 15 항 중 어느 한 항에 따른 방법을 실행하게 하도록 구성되는, 컴퓨터-실행가능 컴퓨터 프로그램 코드를 포함하는 컴퓨터 프로그램 제품.
  32. 제 31 항에 있어서,
    상기 컴퓨터 프로그램 제품은, 상기 컴퓨터-실행가능 컴퓨터 프로그램 코드가 저장되는 컴퓨터-판독가능 매체를 포함하고, 그리고/또는
    상기 프로그램은 상기 프로세서의 내부 메모리로 직접 로딩가능한, 컴퓨터-실행가능 컴퓨터 프로그램 코드를 포함하는 컴퓨터 프로그램 제품.
KR1020177007772A 2014-08-22 2014-08-22 공개 키 인프라스트럭처에서의 트러스트 앵커 업데이트 KR20170046713A (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2014/067920 WO2016026536A1 (en) 2014-08-22 2014-08-22 Trust anchor update in a public key infrastructure

Publications (1)

Publication Number Publication Date
KR20170046713A true KR20170046713A (ko) 2017-05-02

Family

ID=51492923

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177007772A KR20170046713A (ko) 2014-08-22 2014-08-22 공개 키 인프라스트럭처에서의 트러스트 앵커 업데이트

Country Status (5)

Country Link
US (1) US20170250827A1 (ko)
EP (1) EP3183837A1 (ko)
KR (1) KR20170046713A (ko)
CN (1) CN107078908A (ko)
WO (1) WO2016026536A1 (ko)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10735208B2 (en) 2015-03-02 2020-08-04 Nokia Solutions And Networks Oy Future certificate revocation using CRL
WO2017010925A1 (en) * 2015-07-15 2017-01-19 Telefonaktiebolaget Lm Ericsson (Publ) Enabling setting up a secure peer-to-peer connection
US10305887B2 (en) * 2015-12-16 2019-05-28 Trilliant Networks Inc. Method and system for hand held terminal security
GB2577434B (en) * 2017-06-30 2021-12-08 Motorola Solutions Inc Lifecycle management method and apparatus for trusted certificates and trust chains
US10616242B2 (en) * 2017-10-10 2020-04-07 Blackberry Limited Forward and backward NIAP migration of certificate stores
US11615060B2 (en) * 2018-04-12 2023-03-28 ISARA Corporation Constructing a multiple entity root of trust
US11218329B2 (en) * 2019-02-20 2022-01-04 Arris Enterprises Llc Certificate generation with fallback certificates
US11722477B2 (en) * 2020-01-21 2023-08-08 Forcepoint Llc Automated renewal of certificates across a distributed computing security system
US10958450B1 (en) 2020-10-15 2021-03-23 ISARA Corporation Constructing a multiple-entity root certificate data block chain
US11816219B2 (en) 2021-06-01 2023-11-14 Cisco Technology, Inc. Binding a trust anchor and an ASIC
US11784807B2 (en) 2021-06-01 2023-10-10 Cisco Technology, Inc. Binding an ASIC to a trust anchor
WO2024055302A1 (en) * 2022-09-16 2024-03-21 Nokia Shanghai Bell Co., Ltd. Method and apparatus for mitigating a risk of service un-availability during ca migaration
CN116827544B (zh) * 2023-08-31 2023-11-07 北京云驰未来科技有限公司 一种用于更换车载obu信任根的方法及系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6816900B1 (en) * 2000-01-04 2004-11-09 Microsoft Corporation Updating trusted root certificates on a client computer
US7707406B2 (en) * 2002-11-08 2010-04-27 General Instrument Corporation Certificate renewal in a certificate authority infrastructure
TW200423677A (en) * 2003-04-01 2004-11-01 Matsushita Electric Ind Co Ltd Communication apparatus and authentication apparatus
CA2511366A1 (en) * 2005-06-30 2005-10-16 Thierry Moreau Trust anchor key cryptogram and cryptoperiod management method
US8505103B2 (en) * 2009-09-09 2013-08-06 Fujitsu Limited Hardware trust anchor
CN102026192B (zh) * 2009-09-21 2014-05-28 中兴通讯股份有限公司南京分公司 一种移动回程网证书分发方法及系统
US20130061281A1 (en) * 2011-09-02 2013-03-07 Barracuda Networks, Inc. System and Web Security Agent Method for Certificate Authority Reputation Enforcement
CN102710605A (zh) * 2012-05-08 2012-10-03 重庆大学 一种云制造环境下的信息安全管控方法

Also Published As

Publication number Publication date
WO2016026536A1 (en) 2016-02-25
US20170250827A1 (en) 2017-08-31
EP3183837A1 (en) 2017-06-28
CN107078908A (zh) 2017-08-18

Similar Documents

Publication Publication Date Title
KR20170046713A (ko) 공개 키 인프라스트럭처에서의 트러스트 앵커 업데이트
US10990376B2 (en) Local over the air update of an embedded system
RU2611020C2 (ru) Способ и система для установления туннеля по протоколам для обеспечения защиты данных
CN107534556B (zh) 使用crl的未来证书撤销
JP6491745B2 (ja) 仮想ネットワーク機能プールと制御エンティティとの間におけるインターフェース・エレメントのための方法、およびシステム
KR101532968B1 (ko) 무선 네트워크에서 디지털 인증서들을 관리하기 위한 플렉시블 시스템 및 방법
US20180063714A1 (en) Zero-touch onboarding in a network
CN112449315B (zh) 一种网络切片的管理方法及相关装置
GB2558205A (en) Enabling communications between devices
KR102363180B1 (ko) 제1 통신 장치, 제1 통신 장치에 의해 수행되는 방법, User Equipment(UE) 및 User Equipment(UE)에 의해 수행되는 방법
EP2115931A2 (en) AUTOMATED METHOD FOR SECURELY ESTABLISHING SIMPLE NETWORK MANAGEMENT PROTOCOL VERSION 3 (SNMPv3) AUTHENTICATION AND PRIVACY KEYS
US9485217B2 (en) Method for configuring network nodes of a telecommunications network, telecommunications network, program and computer program product
CN112997447A (zh) 用于无线设备的基于时间戳的接入处理
CN104796922A (zh) Cse的触发管理方法及装置、cse、承载网网元
JP6453351B2 (ja) 通信ネットワークにおけるネットワーク要素の認証
CN106797560B (zh) 用于配置安全参数的方法、服务器、基站和通信系统
CN114097261A (zh) 网络切片特定凭证的动态分配
KR102070275B1 (ko) 장치의 원격 관리
KR101602186B1 (ko) 푸시 서버 클라우드 및 이를 이용한 통신 서비스 제공 방법
CN110061833B (zh) 一种身份位置的绑定更新方法及装置
CN114666070A (zh) 一种权限认证方法、权限信息的处理方法及装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application