特許6299047 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ 華為技術有限公司の特許一覧

特許6299047証明取得方法及び装置

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4
5
6
7
8
9
10
11
12
13

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6299047

(24)【登録日】2018年3月9日

(45)【発行日】2018年3月28日

(54)【発明の名称】証明取得方法及び装置

(51)【国際特許分類】

H04L 9/32 20060101AFI20180319BHJP

H04L 12/70 20130101ALI20180319BHJP

H04L 12/66 20060101ALI20180319BHJP

【ＦＩ】

H04L9/00 675D

H04L9/00 675B

H04L12/70 D

H04L12/66 B

【請求項の数】16

【全頁数】33

(21)【出願番号】特願2017-510714(P2017-510714)

(86)(22)【出願日】2014年5月8日

(65)【公表番号】特表2017-516434(P2017-516434A)

(43)【公表日】2017年6月15日

(86)【国際出願番号】CN2014077075

(87)【国際公開番号】WO2015168914

(87)【国際公開日】20151112

【審査請求日】2016年12月19日

(73)【特許権者】

【識別番号】503433420

【氏名又は名称】華為技術有限公司

【氏名又は名称原語表記】ＨＵＡＷＥＩＴＥＣＨＮＯＬＯＧＩＥＳＣＯ．，ＬＴＤ．

(74)【代理人】

【識別番号】100146835

【弁理士】

【氏名又は名称】佐伯義文

(74)【代理人】

【識別番号】100140534

【弁理士】

【氏名又は名称】木内敬二

(72)【発明者】

【氏名】熊 ▲鶯▼

(72)【発明者】

【氏名】王江▲勝▼

(72)【発明者】

【氏名】▲馮▼ 成燕

【審査官】青木重徳

(56)【参考文献】

【文献】特開２００５−８６４４５（ＪＰ，Ａ）

【文献】特開２０１４−８２５８４（ＪＰ，Ａ）

【文献】特表２０１１−５０３９７７（ＪＰ，Ａ）

【文献】中国特許出願公開第１０３０３６８５４（ＣＮ，Ａ）

【文献】中国特許出願公開第１０３４７５４８５（ＣＮ，Ａ）

【文献】ＮＴＴコミュニケーションズの次世代クラウドコンピューティング構想 “Ｓｅｔｔｅｎ”の全貌，ＢＵＳＩＮＥＳＳＣＯＭＭＵＮＩＣＡＴＩＯＮ第４６巻第１号，日本，株式会社ビジネスコミュニケーション社，２００９年１月１日，第４６巻，ｐｐ．２８−４１

【文献】堀越功，通信の未来を変えるＮＦＶのインパクト，日経コミュニケーション，日本，日経ＢＰ社，２０１４年４月１日，第６０３号，ｐｐ．３２−３３

【文献】坂井博，クラウドネットワーキング技術の動向，電子情報通信学会２０１４年総合大会講演論文集通信１ PROCEEDINGS OF THE 2014 IEICE GENERAL CONFERENCE，日本，一般社団法人電子情報通信学会，２０１４年３月４日，ＴＫ−６−１，ｐｐ．ＳＳＳ−３０〜ＳＳＳ−３３

【文献】 NFV/SDN Impacts to 3GPP[online]， 3GPP TSG-SA#63 SP-140120，インターネット＜URL:http://www.3gpp.org/ftp/tsg_sa/TSG_SA/TSGS_63/Docs/SP-140120.zip＞，２０１４年３月７日，ｐｐ．１−２１

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０４Ｌ９／３２

Ｈ０４Ｌ１２／６６

Ｈ０４Ｌ１２／７０

(57)【特許請求の範囲】

【請求項1】

VNFインスタンスによって送信される証明申請代理メッセージを受信するように構成された受信モジュールであって、前記証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、前記認証情報が、前記VNFインスタンスと仮想ネットワーク機能VNFマネージャVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される、受信モジュールと、
前記VNFインスタンスを認証するために前記受信モジュールによって受信された前記認証情報を使用し、前記認証が成功する場合、証明申請メッセージを認証局CAへ送信するように構成された送信モジュールであって、前記証明申請メッセージが、証明申請のために使用される前記証明申請情報を備える、送信モジュールと
を備える証明取得装置であって、
前記受信モジュールが、前記CAによって発行された証明を受信するように更に構成され、
前記送信モジュールが、前記受信モジュールによって受信された前記証明を前記VNFインスタンスへ送信するように更に構成され、前記証明が、証明申請のために使用され、前記証明申請メッセージの中に含まれる前記証明申請情報に従って前記CAによって、生成される、証明取得装置。

【請求項2】

前記認証情報が、一時的証明であり、前記一時的証明が、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合に前記VNFMから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及び前記VNFが作動する仮想機械VMを通って、前記VNFインスタンスへ伝送される、請求項1に記載の装置。

【請求項3】

前記送信モジュールが、
受信された一時的証明を、前記NFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合に前記VNFMから申請される前記一時的証明と比較し、
前記受信された一時的証明が、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に前記VNFMから申請される前記一時的証明と同じであることが決定される場合、前記VNFインスタンス上の前記認証が成功することを決定し、又は
前記受信された一時的証明が、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に前記VNFMから申請される前記一時的証明と異なることが決定される場合、前記VNFインスタンス上の前記認証が失敗することを決定するように特に構成される、請求項2に記載の装置。

【請求項4】

前記認証情報が、既知共有鍵PSKであり、前記PSKが、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合に生成され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及び前記VNFが作動する仮想機械VMを通って、前記VNFインスタンスへ伝送される請求項1に記載の装置。

【請求項5】

前記受信モジュールが、前記PSKを前記VNFインスタンスへ送信し、且つ前記VNFインスタンスによって送信された前記証明申請代理メッセージを受信するように特に構成され、前記証明申請代理メッセージが、局所的に投入されたPSKが前記VNFMによって送信された前記受信されたPSKと同じ、又は関連することを前記VNFインスタンスが決定する場合に前記VNFMへ送信される、請求項4に記載の装置。

【請求項6】

VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを受信するように構成された受信モジュールであって、前記証明申請代理メッセージが、証明申請を要求するVNFインスタンス、及び証明申請のための前記VNFインスタンスによって使用される証明申請情報を備える、受信モジュールと、
証明申請メッセージを認証局CAへ送信するように構成された送信モジュールであって、前記証明申請メッセージが、前記受信モジュールによって受信され、証明申請のために前記VNFインスタンスによって使用される前記証明申請情報を備える、送信モジュールと
を備える証明取得装置であって、
前記受信モジュールが、前記CAによって発行された証明を受信するように更に構成され、
前記送信モジュールが、前記受信モジュールによって受信された前記証明を前記VIMへ送信するように更に構成され、前記証明が、証明申請のために前記VNFインスタンスによって使用され、前記証明申請メッセージの中に含まれる前記証明申請情報に従って前記CAによって生成される、証明取得装置。

【請求項7】

前記証明申請代理メッセージが、前記受信された証明申請情報に従って前記VIMによって生成され、前記証明申請情報が、初期化パラメータに従って前記VNFインスタンスによって取得され、前記VNFインスタンスによってVMへ送信され、次いで、前記VMによって前記VIMまでの安全チャンネルを通って前記VIMへ送信される、請求項6に記載の装置。

【請求項8】

前記初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化することを決定する場合に取得される、請求項7に記載の装置。

【請求項9】

VNFインスタンスによって送信される証明申請代理メッセージを仮想ネットワーク機能マネージャVNFMによって受信するステップであって、前記証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、前記認証情報が、前記VNFインスタンスと前記VNFMとの間の証明代理申請のためのチャンネルを確立するために使用される、受信するステップと、
前記VNFMによって、前記VNFインスタンスを認証するために前記認証情報を使用するステップ、及び、認証が成功する場合、証明申請メッセージを認証局CAへ送信するステップであって、前記証明申請メッセージが、証明申請のために使用される前記証明申請情報を備える、ステップと、
前記VNFMによって、前記CAによって発行された証明を受信するステップ、及び、前記証明を前記VNFインスタンスへ送信するステップであって、前記証明が、証明申請のために使用され、前記証明申請メッセージの中に含まれる前記証明申請情報に従って前記CAによって、生成される、ステップと
を含む、証明取得方法。

【請求項10】

【請求項11】

前記VNFMによって、前記VNFインスタンスを認証するために前記認証情報を使用するステップが、
受信された一時的証明を、前記NFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合に前記VNFMから申請される前記一時的証明と、前記VNFMによって、比較するステップと、
前記受信された一時的証明が、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に前記VNFMから申請される前記一時的証明と同じであることを前記VNFMが決定する場合、前記VNFインスタンス上の前記認証が成功することを決定するステップ、又は
前記受信された一時的証明が、前記NFVOが前記VNFインスタンスをインスタンス化する前記必要性を決定する場合に前記VNFMから申請される前記一時的証明と異なることを前記VNFMが決定する場合、前記VNFインスタンス上の前記認証が失敗することを決定するステップと
を含む、請求項10に記載の方法。

【請求項12】

前記認証情報が、既知共有鍵PSKであり、前記PSKが、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化する必要性を決定する場合に生成され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、前記VNFインスタンスへ伝送される、請求項9に記載の方法。

【請求項13】

VNFインスタンスによって送信された前記証明申請代理メッセージを、仮想ネットワーク機能VNFマネージャVNFMによって前記受信するステップが、
前記VNFMによって、前記PSKを前記VNFインスタンスへ送信するステップ、及び前記VNFインスタンスによって送信された前記証明申請代理メッセージを受信するステップを含み、
局所的に投入されたPSKが前記VNFMによって送信された前記受信されたPSKと同じ、又は関連することを前記VNFインスタンスが決定する場合に、前記証明申請代理メッセージが前記VNFMへ送信される、請求項12に記載の方法。

【請求項14】

VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを仮想ネットワーク機能マネージャVNFMによって受信するステップであって、前記証明申請代理メッセージが、証明申請を要求するVNFインスタンス、及び証明申請のための前記VNFインスタンスによって使用される証明申請情報を備える、ステップと、
証明申請メッセージを認証局CAへ前記VNFMによって送信するステップであって、前記証明申請メッセージが、証明申請のために前記VNFインスタンスによって使用される前記証明申請情報を備える、ステップと、
前記CAによって発行された証明を前記VNFMによって受信するステップ、
及び前記証明を前記VIMへ送信するステップであって、前記証明が、証明申請のために前記VNFインスタンスによって使用され、前記証明申請メッセージの中に含まれる前記証明申請情報に従って前記CAによって生成される、ステップと
を含む、証明取得方法。

【請求項15】

【請求項16】

前記初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、ネットワーク機能仮想オーケストレータNFVOが前記VNFインスタンスをインスタンス化することを決定する場合に取得される、請求項15に記載の方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、仮想ネットワーク進展の分野に関し、特に証明取得方法及び装置に関する。

【背景技術】

【0002】

ネットワーク機能仮想化（Network Function Virtualization、NFV）は、「従来のネットワークを仮想化する」目的のために設立された標準化機構であり、仮想化環境内でネットワーク展開のための一連の標準を進展してきた。NFV機構によって進展された標準は、ネットワーク仮想、柔軟な進展などを実施することができる。

【0003】

NFV機構によって発展された仮想ネットワークは、エレメント管理システム（Element Management System、EMS）、NFVオーケストレータ（NFV Orchestra、NFVO）、仮想ネットワーク機能（Virtual Network Function、VNF）インスタンス、VNFマネージャ（VNF Manager、VNFM）、NFVインフラストラクチャ（Network Function Virtual Infrastructure、NFVI）、及びVNFフレームワーク内の仮想インフラストラクチャマネージャ（Virtual Infrastructure Manager、VIM）を含む。

【0004】

従来のネットワークマネージャであるEMSは、ネットワークエレメントとしてVNFインスタンスを管理するように構成され、VNFインスタンスはインスタンス化によって取得され、NFVOはVNFを編成するように構成され、VNFインスタンスは、ネットワーク機能を作動する仮想ネットワークエレメントであり、VNFMはVNFを管理するように構成され、NFVIは仮想計算リソース、仮想ストレージリソース、仮想ネットワークリソースなどを含み、VIMは、NFVO及びVNFMの命令に従ってNFVIを管理するように構成される。

【0005】

EMS又はVNFMは、VNFへ管理チャンネルを確立することによってVNFを管理する。悪意のあるユーザがネットワークを攻撃することを防止するために、管理チャンネルがEMS又はVNFMと、VNFとの間に確立される場合、両方の当事者が認証される必要がある。一般的に、認証は、トランスポート層セキュリティ技術を使用することによって実施される（すなわち、証明を使用することによって）。すなわち、証明が、両方の当事者上に認証操作を実施するための認証の証明として使用される。

【0006】

しかし、従来のネットワークでは、証明を取得する方法が、限定しないが、以下の2つの方法を含む。

【0007】

第1の方法：

【0008】

ハードウェアに拘束される初期証明が、手動あるいはハードウェア又はソフトウェアの初期設定でインポートされ、次いで、所望の証明が、初期証明及び証明管理プロトコルを使用することによって取得される。

【0009】

しかし、NFV標準では、VNFはVM上で自動的に生成され、第1の方法で証明を取得することができないので、EMS又はVNFMと、VNFとの間に確立される管理チャンネルの不十分なセキュリティにつながる。

【0010】

第2の方法：

【0011】

ネットワークエレメントが生成される場合、ネットワークエレメントの販売業者は、ネットワークエレメント内で販売業者証明書を設定する。したがって、ネットワークエレメントが初期に構成される場合、ネットワークエレメントが、オペレータによって発行される証明のために、オペレータの公開鍵システム（Public Key Infrastructure、PKI）に申請するための証明管理プロトコルを使用する。証明を申請するプロセスにおいて、ネットワークエレメントが、その本人確認として販売業者証明を使用し、その結果、PKIはネットワークエレメントを信用し、オペレータ証明を発行する。

【0012】

しかし、仮想環境では、VNFは動的に生成され、したがって、第2の方法で証明を申請することができないので、それがEMS又はVNFMと、VNFとの間に確立される管理チャンネルの不十分なセキュリティにつながる。

【発明の概要】

【課題を解決するための手段】

【0013】

このことを考慮して、本発明の実施形態は、EMS又はVNFMと、VNFとの間に確立される管理チャンネルの不十分なセキュリティという問題を解決するための証明取得方法及び装置を提供する。

【0014】

本発明の第1の態様によって、
VNFインスタンスによって送信される証明申請代理メッセージを受信するように構成された受信モジュールであって、証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、認証情報が、VNFインスタンスと仮想ネットワーク機能VNFマネージャVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される、受信モジュールと、
VNFインスタンスを認証するために受信モジュールによって受信された認証情報使用し、認証が成功する場合、証明申請メッセージを認証局CAへ送信するように構成された送信モジュールであって、証明申請メッセージが、証明申請のために使用される証明申請情報を備える、送信モジュールと
を備える証明取得装置であって、
受信モジュールが、CAによって発行された証明を受信するように更に構成され、
送信モジュールが、受信モジュールによって受信された証明をVNFインスタンスへ送信するように更に構成され、証明が、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって、生成される、証明取得装置が提供される。

【0015】

本発明の第1の態様の可能な実施方法に関連して、第1の可能な実施方法では、認証情報が、一時的証明であり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、VNFMから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。

【0016】

本発明の第1の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、送信モジュールが、
受信された一時的証明を、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と比較し、
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と同じであることが決定される場合、VNFインスタンス上の認証が成功することを決定し、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることが決定される場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。

【0017】

本発明の第1の態様の可能な実施方法に関連して、第3の可能な実施方法では、認証情報が、既知共有鍵PSKであり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、PSKが、生成され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスに伝送される。

【0018】

本発明の第1の態様の第3の可能な実施方法に関連して、第4の可能な実施方法では、受信モジュールが、PSKをVNFインスタンスに送信し、VNFインスタンスによって送信された証明申請代理メッセージを受信するように特に構成され、証明申請代理メッセージが、局所的に投入されたPSKがVNFMによって送信された受信されたPSKと同じ、又は関連することをVNFインスタンスが決定する場合にVNFMへ送信される。

【0019】

本発明の第1の態様の第4の可能な実施方法に関連して、第5の可能な実施方法では、送信モジュールが、受信されたPSKを、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと比較し、受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと同じである、又は関連することが決定される場合、VNFインスタンス上の認証が成功することを決定し、又は受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと異なる、又は関連しないことが決定される場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。

【0020】

本発明の第1の態様の可能な実施方法に関連して、又は本発明の第1の態様の第1の可能な実施方法に関連して、又は本発明の第1の態様の第2の可能な実施方法に関連して、又は本発明の第1の態様の第3の可能な実施方法に関連して、又は本発明の第1の態様の第4の可能な実施方法に関連して、又は本発明の第1の態様の第5の可能な実施方法に関連して、第6の可能な実施方法では、装置が、証明がVNFインスタンスへ送信される場合に、VNFインスタンスへ管理チャンネルを確立するために証明を使用するように構成されるチャンネル確立モジュールを更に備える。

【0021】

本発明の第2の態様により、
VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを受信するように構成された受信モジュールであって、証明申請代理メッセージが、証明申請を要求するVNFインスタンス、及び証明申請のためのVNFインスタンスによって使用される証明申請情報を備える、受信モジュールと、
証明申請メッセージを認証局CAへ送信するように構成された送信モジュールであって、証明申請メッセージが、受信モジュールによって受信され、証明申請のためにVNFインスタンスによって使用される証明申請情報を備える、送信モジュールと
を備える証明取得装置であって、
受信モジュールが、CAによって発行された証明を受信するように更に構成され、
送信モジュールが、受信モジュールによって受信された証明をVIMへ送信するように更に構成され、証明が、証明申請のためにVNFインスタンスによって使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される、証明取得装置が提供される。

【0022】

本発明の第2の態様の可能な実施方法に関連して、第1の可能な実施方法では、証明申請代理メッセージが、受信された証明申請情報に従ってVIMによって生成され、証明申請情報が、初期化パラメータに従ってVNFインスタンスによって取得され、VNFインスタンスによってVMへ送信され、次いで、VMによってVIMまでの安全チャンネルを通ってVIMへ送信される。

【0023】

本発明の第2の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化することを決定する場合に取得される。

【0024】

本発明の第3の態様により、
仮想ネットワーク機能VNFインスタンスによって送信される証明申請メッセージを受信するように構成された受信モジュールであって、証明申請メッセージが、一時的証明及び証明申請のために使用される証明申請情報を備え、一時的証明が、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にCAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通ってVNFインスタンスへ伝送される、受信モジュールと、
VNFインスタンスを認証するために受信モジュールによって受信される一時的証明を使用し、認証が成功する場合に、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってVNFインスタンスへ証明を発行するように構成された発行モジュールと
を備える、証明取得装置が提供される。

【0025】

本発明の第4の態様により、
仮想機械VMによって送信される証明申請メッセージを受信するように構成された受信モジュールであって、証明申請メッセージが、証明申請のために使用される公開鍵を備える、受信モジュールと、
証明申請代理メッセージを認証局CAへ送信するように構成された送信モジュールであって、証明申請代理メッセージが、受信モジュールによって受信され、証明申請のためにVMによって使用される公開鍵を備える、送信モジュールと
を備える証明取得装置であって、
受信モジュールが、CAによって発行された証明を受信するように更に構成され、
送信モジュールが、受信モジュールによって受信された証明をVMへ送信するように更に構成され、証明申請のためにVMによって使用され、証明申請代理メッセージの中に含まれる公開鍵に従って署名することによって、証明が、CAによって取得される、証明取得装置が提供される。

【0026】

本発明の第4の態様の可能な実施方法に関連して、第1の可能な実施方法では、送信モジュールが、証明申請代理メッセージを、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMへ送信するように特に構成され、その結果、VIMが、証明申請代理メッセージを認証局CAへ転送する。

【0027】

本発明の第4の態様の可能な実施方法に関連して、又は本発明の第4の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、装置が、
VMが証明を受信する場合に、VMとVMマネージャとの間に管理チャンネルを確立するように構成されたチャンネル確立モジュールを更に備える。

【0028】

本発明の第4の態様の可能な実施方法に関連して、又は本発明の第4の態様の第1の可能な実施方法に関連して、又は本発明の第4の態様の第2の可能な実施方法に関連して、第3の可能な実施方法では、公開鍵が、初期化パラメータに従ってVMによって生成され、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMがVMを生成するように命令を受信する場合に、取得され、命令が、ネットワーク機能仮想オーケストレータNFVOによって送信される。

【0029】

本発明の第5の態様により、
VNFインスタンスによって送信される証明申請代理メッセージを受信するように構成された信号受信機であって、証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、認証情報が、VNFインスタンスと仮想ネットワーク機能VNFマネージャVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される、信号受信機と、
VNFインスタンスを認証するために認証情報使用し、認証が成功する場合、証明申請メッセージを認証局CAへ送信するように構成された信号送信機であって、証明申請メッセージが、証明申請のために使用される証明申請情報を備える、信号送信機と
を備える証明取得装置であって、
信号受信機が、CAによって発行された証明を受信するように更に構成され、
信号送信機が、証明をVNFインスタンスへ送信するように更に構成され、証明が、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって、生成される、証明取得装置が提供される。

【0030】

本発明の第5の態様の可能な実施方法に関連して、第1の可能な実施方法では、認証情報が、一時的証明であり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、VNFMから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。

【0031】

本発明の第5の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、信号送信機が、
受信された一時的証明を、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と比較し、
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と同じであることをVNFMが決定する場合、VNFインスタンス上の認証が成功することを決定し、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることをVNFMが決定する場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。

【0032】

本発明の第5の態様の可能な実施方法に関連して、第3の可能な実施方法では、認証情報が、既知共有鍵PSKであり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、PSKが、生成され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。

【0033】

本発明の第5の態様の第3の可能な実施方法に関連して、第4の可能な実施方法では、信号受信機が、PSKをVNFインスタンスに送信し、VNFインスタンスによって送信された証明申請代理メッセージを受信するように特に構成され、証明申請代理メッセージが、局所的に投入されたPSKが受信されたPSKと同じ、又は関連することをVNFインスタンスが決定する場合にVNFMへ送信される。

【0034】

本発明の第5の態様の第4の可能な実施方法に関連して、第5の可能な実施方法では、信号送信機が、受信されたPSKを、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと比較し、受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと同じである、又は関連することが決定される場合、VNFインスタンス上の認証が成功することを決定し、又は受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと異なる、又は関連しないことが決定される場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。

【0035】

本発明の第5の態様の可能な実施方法に関連して、又は本発明の第5の態様の第1の可能な実施方法に関連して、又は本発明の第5の態様の第2の可能な実施方法に関連して、又は本発明の第5の態様の第3の可能な実施方法に関連して、又は本発明の第5の態様の第4の可能な実施方法に関連して、又は本発明の第5の態様の第5の可能な実施方法に関連して、第6の可能な実施方法では、装置が、証明がVNFインスタンスへ送信される場合に、VNFインスタンスへ管理チャンネルを確立するために証明を使用するように構成されるプロセッサを更に備える。

【0036】

本発明の第6の態様により、
VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを受信するように構成された信号受信機であって、証明申請代理メッセージが、証明申請を要求するVNFインスタンス、及び証明申請のためのVNFインスタンスによって使用される証明申請情報を備える、信号受信機と、
証明申請メッセージを認証局CAへ送信するように構成された信号送信機であって、証明申請メッセージが、証明申請のためにVNFインスタンスによって使用される証明申請情報を備える、信号送信機と
を備える証明取得装置であって、
信号受信機が、CAによって発行された証明を受信するように更に構成され、
信号送信機が、証明をVIMへ送信するように更に構成され、証明が、証明申請のためにVNFインスタンスによって使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される、証明取得装置が提供される。

【0037】

本発明の第6の態様の可能な実施方法に関連して、第1の可能な実施方法では、証明申請代理メッセージが、受信された証明申請情報に従ってVIMによって生成され、証明申請情報が、初期化パラメータに従ってVNFインスタンスによって取得され、VNFインスタンスによってVMへ送信され、次いで、VMによってVIMまでの安全チャンネルを通ってVIMへ送信される。

【0038】

本発明の第6の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化することを決定する場合に取得される。

【0039】

本発明の第7の態様により、
仮想ネットワーク機能VNFインスタンスによって送信される証明申請メッセージを受信するように構成された信号受信機であって、証明申請メッセージが、一時的証明及び証明申請のために使用される証明申請情報を備え、一時的証明が、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にCAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通ってVNFインスタンスへ伝送される、信号受信機と、
VNFインスタンスを認証するために一時的証明を使用し、認証が成功する場合に、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってVNFインスタンスへ証明を発行するように構成されたプロセッサと
を備える、証明取得装置が提供される。

【0040】

本発明の第8の態様により、
仮想機械VMによって送信される証明申請メッセージを受信するように構成された信号受信機であって、証明申請メッセージが、証明申請のために使用される公開鍵を備える、信号受信機と、
証明申請代理メッセージを認証局CAへ送信するように構成された信号送信機であって、証明申請代理メッセージが、証明申請のためにVMによって使用される公開鍵を備える、信号送信機と
を備える証明取得装置であって、
信号受信機が、CAによって発行された証明を受信するように更に構成され、
信号送信機が、証明をVMへ送信するように更に構成され、証明申請のためにVMによって使用され、証明申請代理メッセージの中に含まれる公開鍵に従って署名することによってCAによって、証明が、取得される、証明取得装置が提供される。

【0041】

本発明の第8の態様の可能な実施方法に関連して、第1の可能な実施方法では、信号送信機が、証明申請代理メッセージを、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMへ送信するように更に構成され、その結果、VIMが、証明申請代理メッセージを認証局CAへ転送する。

【0042】

本発明の第8の態様の可能な実施方法に関連して、又は本発明の第8の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、装置が、
VMが証明を受信する場合に、VMとVMマネージャとの間に管理チャンネルを確立するように構成されたプロセッサを更に備える。

【0043】

本発明の第8の態様の可能な実施方法に関連して、又は本発明の第8の態様の第1の可能な実施方法に関連して、又は本発明の第8の態様の第2の可能な実施方法に関連して、第3の可能な実施方法では、公開鍵が、初期化パラメータに従ってVMによって生成され、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMがVMを生成するように命令を受信する場合に、取得され、命令が、ネットワーク機能仮想オーケストレータNFVOによって送信される。

【0044】

本発明の第9の態様により、
VNFインスタンスによって送信される証明申請代理メッセージを仮想ネットワーク機能マネージャVNFMによって受信するステップであって、証明申請代理メッセージが、認証情報及び証明申請に使用される証明申請情報を備え、認証情報が、VNFインスタンスとVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される、ステップと、
VNFMによって、VNFインスタンスを認証するために認証情報を使用するステップ、及び、認証が成功する場合、証明申請メッセージを認証局CAへ送信するステップであって、証明申請メッセージが、証明申請のために使用される証明申請情報を備える、ステップと、
VNFMによって、CAによって発行された証明を受信するステップ、及び、証明をVNFインスタンスへ送信するステップであって、証明が、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される、ステップと
を含む、証明取得方法が提供される。

【0045】

本発明の第9の態様の可能な実施方法に関連して、第1の可能な実施方法では、認証情報が、一時的証明であり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、VNFMから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。

【0046】

本発明の第9の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、VNFMによって、VNFインスタンスを認証するために認証情報を使用するステップが、
受信された一時的証明を、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と、VNFMによって、比較するステップと、
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と同じであることをVNFMが決定する場合、VNFインスタンス上の認証が成功することを決定するステップ、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることをVNFMが決定する場合、VNFインスタンス上の認証が失敗することを決定するステップと
を含む。

【0047】

本発明の第9の態様の可能な実施方法に関連して、第3の可能な実施方法では、認証情報が、既知共有鍵PSKであり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、PSKが、生成され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。

【0048】

本発明の第9の態様の第3の可能な実施方法に関連して、第4の可能な実施方法では、仮想ネットワーク機能VNFマネージャVNFMによって、VNFインスタンスによって送信される証明申請代理メッセージを受信するステップが、
VNFMによって、PSKをVNFインスタンスに送信するステップ、及びVNFインスタンスによって送信された証明申請代理メッセージを受信するステップを含み、証明申請代理メッセージが、局所的に投入されたPSKがVNFMによって送信された受信されたPSKと同じ、又は関連することをVNFインスタンスが決定する場合にVNFMへ送信される。

【0049】

本発明の第9の態様の第4の可能な実施方法に関連して、第5の可能な実施方法では、VNFMによって、VNFインスタンスを認証するために認証情報を使用するステップが、
受信されたPSKを、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと、VNFMによって、比較するステップと、
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと同じである、又は関連することをVNFMが決定する場合、VNFインスタンス上の認証が成功することを決定するステップ、又は
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと異なる、又は関連しないことをVNFMが決定する場合、VNFインスタンス上の認証が失敗することを決定するステップと
を含む。

【0050】

本発明の第9の態様の可能な実施方法に関連して、又は本発明の第9の態様の第1の可能な実施方法に関連して、又は本発明の第9の態様の第2の可能な実施方法に関連して、又は本発明の第9の態様の第3の可能な実施方法に関連して、又は本発明の第9の態様の第4の可能な実施方法に関連して、又は本発明の第9の態様の第5の可能な実施方法に関連して、第6の可能な実施方法では、方法が、
証明をVNFインスタンスへ送信する場合に、VNFインスタンスへ管理チャンネルを確立するために証明をVNFMによって使用するステップを更に含む。

【0051】

本発明の第10の態様により、
VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを仮想ネットワーク機能マネージャVNFMによって受信するステップであって、証明申請代理メッセージが、証明申請を要求するVNFインスタンス、及び証明申請のためのVNFインスタンスによって使用される証明申請情報を備える、ステップと、
証明申請メッセージを認証局CAへVNFMによって送信するステップであって、証明申請メッセージが、証明申請のためにVNFインスタンスによって使用される証明申請情報を備える、ステップと、
CAによって発行された証明をVNFMによって受信するステップ、及び証明をVIMへ送信するステップであって、証明申請のためにVNFインスタンスによって使用され、証明申請メッセージの中に含まれる証明申請情報に従って、証明が、CAによって生成される、ステップと
を含む、証明取得方法が提供される。

【0052】

本発明の第10の態様の可能な実施方法に関連して、第1の可能な実施方法では、証明申請代理メッセージが、受信された証明申請情報に従ってVIMによって生成され、証明申請情報が、初期化パラメータに従ってVNFインスタンスによって取得され、VNFインスタンスによってVMへ送信され、次いで、VMによってVIMまでの安全チャンネルを通ってVIMへ送信される。

【0053】

本発明の第10の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化することを決定する場合に取得される。

【0054】

本発明の第11の態様により、
仮想ネットワーク機能VNFインスタンスによって送信される証明申請メッセージを認証局CAによって受信するステップであって、証明申請メッセージが、一時的証明及び証明申請のために使用される証明申請情報を備え、一時的証明が、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にCAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通ってVNFインスタンスへ伝送される、ステップと、
VNFインスタンスを認証するためにCAによって一時的証明を使用するステップ、及び認証が成功する場合に、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってVNFインスタンスへ証明を発行するステップと
を含む、証明取得方法が提供される。

【0055】

本発明の第12の態様により、
仮想機械VMによって送信される証明申請メッセージをネットワーク機能仮想インフラストラクチャNFVIによって受信するステップであって、証明申請メッセージが、証明申請のために使用される公開鍵を備える、ステップと、
証明申請代理メッセージを認証局CAへNFVIによって送信するステップであって、証明申請代理メッセージが、証明申請のためにVMによって使用される公開鍵を備える、ステップと、
CAによって発行された証明をNFVIによって受信するステップ、及び証明をVMへ送信するステップであって、証明申請のためにVMによって使用され、証明申請代理メッセージの中に含まれる公開鍵に従って署名することによって、証明が、CAによって取得される、ステップと
を含む、証明取得方法が提供される。

【0056】

本発明の第12の態様の可能な実施方法に関連して、第1の可能な実施方法では、NFVIによって証明申請代理メッセージを認証局CAへ送信するステップが、
仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMへ証明申請代理メッセージをNFVIによって送信するステップであって、その結果、VIMが、証明申請代理メッセージを認証局CAへ転送する、ステップを含む。

【0057】

本発明の第12の態様の可能な実施方法に関連して、又は本発明の第12の態様の第1の可能な実施方法に関連して、第2の可能な実施方法では、方法が、
VMが証明を受信する場合に、VMとVMマネージャとの間に管理チャンネルを確立するステップを更に含む。

【0058】

本発明の第12の態様の可能な実施方法に関連して、又は本発明の第12の態様の第1の可能な実施方法に関連して、又は本発明の第12の態様の第2の可能な実施方法に関連して、第3の可能な実施方法では、公開鍵が、初期化パラメータに従ってVMによって生成され、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMがVMを生成するように命令を受信する場合に、取得され、命令が、ネットワーク機能仮想オーケストレータNFVOによって送信される。

【0059】

本発明の実施形態では、VNFMが、VNFインスタンスによって送信された証明申請代理メッセージを受信し、証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、認証情報が、VNFインスタンスとVNFMとの間の証明代理申請のためのチャンネルを確立するために使用され、VNFMが、VNFインスタンスを認証するために認証情報を使用し、認証が成功する場合、証明申請メッセージをCAへ送信し、証明申請メッセージが、証明申請のために使用される証明申請情報を備え、VNFMが、CAによって発行された証明を受信し、証明をVNFインスタンスへ送信する。このようにして、VNFMと認証局との間の信頼されるリンクを通って、インスタンス化されたVNFインスタンスが、認証局によって発行される証明を申請し、それによって、VNFインスタンスによって申請された証明の適法性を効果的に保証し、認証局によって発行された証明を使用することによって、VNFインスタンスとVNFMとの間に確立される管理チャンネルのセキュリティを保証する。

【0060】

本発明の実施形態における技術的解決策をより明確に説明するために、以下に、実施形態を説明するために必要な添付の図面について簡潔に紹介する。明らかに、以下の説明の中で添付の図面は本発明の単なるいくつかの実施形態を示しており、当業者はこれら添付の図面から難なく他の図面を更に導出することができる。

【図面の簡単な説明】

【0061】

【図1】本発明の実施形態1による証明取得方法の概略流れ図である。

【図2】本発明の実施形態2による証明取得方法の概略流れ図である。

【図3】本発明の実施形態3による証明取得方法の概略流れ図である。

【図4】本発明の実施形態4による証明取得方法の概略流れ図である。

【図5】証明取得方法の概略流れ図である。

【図6】本発明の実施形態5による証明取得装置の概略構造図である。

【図7】本発明の実施形態6による証明取得装置の概略構造図である。

【図8】本発明の実施形態7による証明取得装置の概略構造図である。

【図9】本発明の実施形態8による証明取得装置の概略構造図である。

【図10】本発明の実施形態9による証明取得装置の概略構造図である。

【図11】本発明の実施形態10による証明取得装置の概略構造図である。

【図12】本発明の実施形態11による証明取得装置の概略構造図である。

【図13】本発明の実施形態12による証明取得装置の概略構造図である。

【発明を実施するための形態】

【0062】

本発明の目的を達成するために、本発明の実施形態が、証明取得方法及び装置を提供する。VNFMが、VNFインスタンスによって送信された証明申請代理メッセージを受信し、証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、認証情報が、VNFインスタンスとVNFMとの間の証明代理申請のためのチャンネルを確立するために使用され、VNFMが、VNFインスタンスを認証するために認証情報を使用し、認証が成功する場合、証明申請メッセージをCAへ送信し、証明申請メッセージが、証明申請のために使用される証明申請情報を備え、VNFMが、CAによって発行された証明を受信し、及び、証明をVNFインスタンスへ送信する。このようにして、VNFMと認証局との間の信頼されるリンクを通って、インスタンス化されたVNFインスタンスが、認証局によって発行される証明を申請し、それによって、VNFインスタンスによって申請された証明の適法性を効果的に保証し、認証局によって発行された証明を使用することによって、VNFインスタンスとVNFMとの間に確立される管理チャンネルのセキュリティを保証する。

【0063】

VNFインスタンスがインスタンス化される後、インスタンス化されたVNFインスタンスが、新しい仮想ネットワークエレメントに属し、インスタンス化されたVNFインスタンスと仮想ネットワーク内の別のネットワークエレメントとの間に信頼されるリンクが全く確立されず、仮想ネットワークエレメント及び認証局（Certificate Authority、CA）が互いの信頼されないネットワークエレメントであるということに留意すべきである。したがって、証明が、CAから直接申請されることができない。本発明の実施形態では、証明申請代理によって、VNFインスタンスが、法的証明を取得することができる。

【0064】

以下に、本明細書中の添付の図面に関連して詳細に本発明の実施形態を説明する。

【0065】

実施形態1
本発明の実施形態1による証明取得方法の概略流れ図である、図1に示すように、方法が以下のように説明され得る。

【0066】

ステップ101：仮想ネットワーク機能VNFマネージャVNFMが、VNFインスタンスによって送信された証明申請代理メッセージを受信する。

【0067】

証明申請代理メッセージは、認証情報、及び証明申請のために使用される証明申請情報を含み、認証情報が、VNFインスタンスとVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される。

【0068】

証明申請情報が、証明フォーマット、ドメイン名、認証局情報などを含むことに留意すべきである。

【0069】

ステップ101では、仮想ネットワーク内で、VNFがインスタンス化される後、インスタンス化されたVNFインスタンスと他の仮想ネットワークエレメントとの間に通信のセキュリティを保証するために、インスタンス化されたVNFインスタンスのための証明を申請することが必要である。

【0070】

特に、VNFインスタンスをインスタンス化する命令を受信する場合、NFVOは、VNFインスタンスとVNFMとの間の証明代理申請のためのチャンネルを確立するために、続いて使用される認証情報を決定し、VNFインスタンスをインスタンス化する命令の中に決定された認証情報を加え、命令をVIMへ送信する。VIMは、VNFをインスタンス化する命令をNFVIへ送信し、NFVIが、VMをVNFインスタンスへ割り当てて、VNFインスタンス化を実施するように要求する。

【0071】

VMをVNFインスタンスへ割り当て、VNFインスタンス化を実施する場合、NFVIが、VNFをインスタンス化する命令の中で実行される、決定された認証情報をVNFインスタンスの中に投入する。

【0072】

任意選択で、認証情報の形態が、限定しないが、以下の形態を含む。

【0073】

シナリオ1：

【0074】

認証情報が、一時的証明である。

【0075】

ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、VNFMから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。

【0076】

ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、VNFMから申請される一時的証明が、特別な方法でVNFMによって生成されることに留意すべきである。VNFMによって生成される一時的証明が、VNFMによってのみ信頼され、仮想ネットワーク内の他のネットワークエレメントは一時的証明を信頼しない。

【0077】

任意選択で、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、CAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFへ伝送される。

【0078】

ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、CAから一時的証明を申請するための前提条件：

【0079】

CAが一時的証明を特別な方法で（例えば、一時的証明を署名するための特定の公開鍵又は秘密鍵を使用することによって）取得し、一時的証明が、CAによってのみ信頼されるが、一方、他のネットワークエレメントは一時的証明を信頼しない。

【0080】

一時的証明が、VNFOと、VIMと、NFVIとの間に伝送される場合、一時的証明に相当する秘密鍵もやはり、伝送され得る。しかし、複数のネットワークエレメント間に秘密鍵を伝送することには、セキュリティリスクが存在する。したがって、この実施形態では、VNFOと、VIMと、NFVIとの間の通信のセキュリティは、証明申請のために使用される秘密鍵の漏洩を防止するために保証される必要がある。加えて、繰り返し使用されるプロセスで悪意のあるネットワークエレメントによって一時的証明が取得されるというリスクを防止するために、一時的証明は、この実施形態では、1度だけ使用されることが可能であり、それによって、仮想ネットワーク内のネットワークエレメント間の通信のセキュリティを更に保証する。

【0081】

シナリオ2：

【0082】

認証情報が、既知共有鍵PSKである。

【0083】

ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、PSKが、生成され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。

【0084】

既知共有鍵がNFVOによって生成され、VNFMへ送信され、その結果、VNFインスタンスとVNFMとの間に初期通信が、PSKを使用することによって実施されるということに留意すべきである。

【0085】

既知共有鍵が2つの端末のために予め構成され、通信の2つの端末が、既知共有鍵を使用することによって、通信を確立するということに留意すべきである。既知共有鍵は、対称的鍵であることができ、すなわち通信の両方の端末によって保持される鍵が同じであり、又は既知共有鍵は、非対称的鍵であることができ、すなわち通信の両方の端末によって保持される鍵が、例えば公開鍵−秘密鍵の対などのように異なる。

【0086】

申請される証明の適法性を保証するために、VNFインスタンスは証明申請代理を使用することによって証明を申請する。

【0087】

この場合、VNFインスタンスは、決定された認証情報、及び証明申請のために使用される証明申請情報を使用することによって証明を申請することができる。

【0088】

VNFインスタンスは、証明申請代理メッセージをVNFMへ送信し、証明申請代理メッセージは、認証情報、及び証明申請のために使用される証明申請情報を含む。

【0089】

VNFインスタンスによって受信された認証情報が既知共有鍵（PSK）であると仮定すると、証明申請代理VNFMの識別の適法性を保証するために、VNFインスタンスは、証明申請代理情報をVNFMへ送信する前に、VNFMを認証するための既知共有鍵を使用する必要があるということに留意すべきである。

【0090】

詳細には、VNFMは局所的に記憶された既知共有鍵（PSK）をVNFインスタンスへ送信し、VNFインスタンスによって送信された証明申請代理メッセージを受信し、証明申請代理メッセージが、局所的に投入されたPSKがVNFMによって送信された受信されたPSKと同じ、又は関連することをVNFインスタンスが決定する場合にVNFMへ送信される。

【0091】

ステップ102：VNFMが、VNFインスタンスを認証するために認証情報を使用し、認証が成功する場合、証明申請メッセージを認証局CAへ送信する。

【0092】

証明申請メッセージは、証明申請のために使用される証明申請情報を含む。

【0093】

ステップ102では、VNFMによって、VNFインスタンスを認証するために認証情報を使用する方法が、限定しないが、以下を含む。

【0094】

認証情報が、ステップ101でシナリオ1の中に説明される一時的証明であると仮定すると、証明申請代理メッセージの中に含まれる一時的証明を受信する場合、VNFMは、受信された一時的証明を、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と比較し、
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する前必要性を決定する場合にVNFMから申請される一時的証明と同じであることをVNFMが決定する場合、VNFインスタンス上の認証が成功することが決定され、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることをVNFMが決定する場合、VNFインスタンス上の認証が失敗することが決定される。

【0095】

認証情報が、ステップ101でシナリオ2の中に説明される既知共有鍵であると仮定すると、証明申請代理メッセージの中に含まれるPSKを受信する場合、VNFMは、受信されたPSKを、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと比較し、
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと同じである、又は関連することをVNFMが決定する場合、VNFインスタンス上の認証が成功することが決定され、又は
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと異なる、又は関連しないことをVNFMが決定する場合、VNFインスタンス上の認証が失敗することが決定される。

【0096】

ステップ103：VNFMが、CAによって発行された証明を受信し、証明をVNFインスタンスへ送信する。

【0097】

証明は、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される。

【0098】

ステップ103では、CAによって発行された証明を受信する場合、VNFMが、一時的証明又は既知共有鍵が無効であることを決定し、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に、一時的証明がVNFM又はCAから申請され、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に、既知共有鍵が生成される。このことは、CAによって発行された証明が受信される場合、一時的証明又は既知共有鍵が、VNFMによってもはや信頼されないことを意味する。

【0099】

本発明のこの実施形態では、方法が、証明をVNFインスタンスへ送信する場合に、VNFインスタンスへ管理チャンネルを確立するために証明をVNFMによって使用するステップを更に備える。

【0100】

本発明の実施形態1の解決策によって、VNFMが、VNFインスタンスによって送信された証明申請代理メッセージを受信し、証明申請代理メッセージが、認証情報及び証明申請のために使用される証明申請情報を備え、認証情報が、VNFインスタンスとVNFMとの間の証明代理申請のためのチャンネルを確立するために使用され、VNFMが、VNFインスタンスを認証するために認証情報を使用し、認証が成功する場合、証明申請メッセージをCAへ送信し、証明申請メッセージが、証明申請のために使用される証明申請情報を備え、VNFMが、CAによって発行された証明を受信し、証明をVNFインスタンスへ送信する。このようにして、VNFMと認証局との間の信頼されるリンクを通って、インスタンス化されたVNFインスタンスが、認証局によって発行される証明を申請し、それによって、VNFインスタンスによって申請された証明の適法性を効果的に保証し、認証局によって発行された証明を使用することによって、VNFインスタンスとVNFMとの間に確立される管理チャンネルのセキュリティを保証する。

【0101】

実施形態2
本発明の実施形態2による証明取得方法の概略流れ図である、図2に示すように、方法が以下のように説明され得る。

【0102】

本発明の実施形態2を実施するための前提条件は、NFVO、VIM及びNFVIは互いに協働して、VMを生成し、VN上でVNFインスタンスを始動し、作動することである。

【0103】

安全な信頼されるリンクが、VMとVIMとの間に確立されるということに留意すべきである。

【0104】

VMとVIMとの間に確立された安全な信頼されるリンクが、次の実施形態4の中で詳述され、ここでは説明されない。

【0105】

ステップ201：仮想ネットワーク機能VNFマネージャVNFMが、VNFフレームワーク内の仮想インフラストラクチャVIMによって送信された証明申請代理メッセージを受信する。

【0106】

証明申請代理メッセージは、証明申請、及び証明申請のためのVNFインスタンスによって使用される証明申請情報を要求するVNFインスタンスを含む。

【0107】

証明申請情報が、証明フォーマット、ドメイン名、認証局などを含むことに留意すべきである。

【0108】

ステップ201では、仮想ネットワーク内で、VNFがインスタンス化される後、インスタンス化されたVNFインスタンスと他の仮想ネットワークエレメントとの間に通信のセキュリティを保証するために、インスタンス化されたVNFインスタンスのための証明を申請することが必要である。

【0109】

詳細には、VNFインスタンスをインスタンス化する命令を受信する場合、NFVOは、VNFをインスタンス化する命令をVIMへ送信する。VIMは、VNFをインスタンス化する命令をNFVIへ送信し、NFVIが、VMをVNFインスタンスへ割り当てて、VNFインスタンス化を実施するように要求する。

【0110】

VNFをインスタンス化する命令は、VNFインスタンスの初期化パラメータを含む。

【0111】

VMをVNFインスタンスへ割り当て、VNFインスタンス化を実施する場合、NFVIが、VNFインスタンスの初期化パラメータをVNFインスタンスの中に投入し、初期化パラメータは、VNFをインスタンス化する命令の中に含まれる。

【0112】

申請される証明の適法性を保証するために、VNFインスタンスは証明申請代理を使用することによって証明を申請する。

【0113】

この場合、VNFインスタンスは、初期化パラメータに従って証明申請情報を取得する。

【0114】

初期化パラメータは、CA情報及び証明管理ドメインのドメイン名を含む。

【0115】

加えて、VNFインスタンスは、初期化パラメータに従って公開鍵−秘密鍵の対を生成する。

【0116】

秘密鍵は、VNFインスタンス内に局所的に記憶され、公開鍵は、証明申請情報の中で搬送され、VNFインスタンスが作動するVMへ送信される。

【0117】

VNFインスタンスがVM上で作動するので、信頼されるリンクがVNFインスタンスとVMとの間に確立されることが決定されるということに留意すべきである。

【0118】

安全な信頼されるリンクがVMとVIMとの間に確立されるので、VNFインスタンスによって送信される証明申請メッセージを受信する場合、VMが、VIMへ安全なチャンネルを使用することによって、証明申請代理メッセージをVIMへ送信する。

【0119】

証明申請代理メッセージは、証明申請のために使用される証明申請情報を含む。

【0120】

証明申請メッセージを受信する場合、VIMは、証明申請代理メッセージをVNFMへ転送し、VNFMが、証明申請代理として役立ち、認証局CAへ証明を申請する。

【0121】

VNFMが、事前に、認証局CAへ信頼される安全な伝送チャンネルを確立するということに留意すべきである。

【0122】

ステップ202：VNFMが、認証局CAへ証明申請メッセージを送信する。

【0123】

証明申請メッセージは、証明申請のために使用される証明申請情報を含む。

【0124】

ステップ203：VNFMが、CAによって発行された証明を受信し、証明をVIMへ送信する。

【0125】

証明は、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される。

【0126】

ステップ203では、VNFMが、CAによって発行された証明を受信し、証明をVIMへ送信する後、VIMがVMへの伝送チャンネルを使用して、VMへ証明を送信し、次いでVMがVNFインスタンスへ証明を送信し、その結果、VNFインスタンスが、局所的に記憶された秘密鍵を使用することによって受信された証明を認証し、認証が成功する場合、VNFMへの管理チャンネルを確立するために証明を使用する。

【0127】

本発明の実施形態2の解決策により、VMとVIMとの間の信頼される安全な伝送チャンネルを通って、インスタンス化されたVNFインスタンスが証明申請代理情報をVNFMへ送信し、次いで、VNFMと認証局との間の信頼されるリンクを通って、認証局によって発行される証明を申請し、それによって、VNFインスタンスによって申請された証明の適法性を効果的に保証し、認証局によって発行された証明を使用することによって、VNFインスタンスとVNFMとの間に確立される管理チャンネルのセキュリティを更に保証する。

【0128】

実施形態3
本発明の実施形態3による証明取得方法の概略流れ図である、図3に示すように、方法が以下のように説明され得る。

【0129】

本発明の実施形態3を実施するための前提条件は、VNFインスタンスをインスタンス化することを決定する場合、NFVOが、一時的証明を認証局CAへ申請し、一時的証明が法的証明を申請するためにVNFインスタンスによって使用される。

【0130】

NFVOが、VNFインスタンスをインスタンス化することを決定するプロセスで、信頼される伝送チャンネルが、NFVOと、VIMと、NFVIとの間に確立され、その結果、VNFインスタンスをインスタンス化するプロセスが攻撃に対して保護され、伝送される一時的証明が漏洩に対して保護されるということに留意すべきである。

【0131】

ステップ301：認証局CAが、仮想ネットワーク機能VNFインスタンスによって送信された証明申請メッセージを受信する。

【0132】

証明申請メッセージは、一時的証明及び証明申請のために使用される証明申請情報を含み、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、CAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。

【0133】

証明申請情報が、証明フォーマット、ドメイン名、認証局などを含むことに留意すべきである。

【0134】

ステップ301では、仮想ネットワーク内で、VNFがインスタンス化される後、インスタンス化されたVNFインスタンスと他の仮想ネットワークエレメントとの間に通信のセキュリティを保証するために、インスタンス化されたVNFインスタンスのための証明を申請することが必要である。

【0135】

【0136】

VNFをインスタンス化する命令は、VNFインスタンスの初期化パラメータを含む。

【0137】

【0138】

この場合、VNFインスタンスは、初期化パラメータに従って証明申請情報を取得する。

【0139】

初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化することを決定する場合に生成され、NFVIがVMをVNFインスタンスへ割り当て、VNFインスタンス化を終了する場合に投入される。

【0140】

初期化パラメータに従って、VNFインスタンスは、証明申請のために使用される公開鍵−秘密鍵の対を生成する。

【0141】

秘密鍵は、VNFインスタンスの中で局所的に記憶される。

【0142】

公開鍵は、証明申請情報の中に搬送され、認証局CAへ送信される。

【0143】

投入された認証局CAに従って、VNFインスタンスは、一時的証明及び証明申請のために使用される証明申請情報を搬送するために証明申請メッセージを使用し、証明申請メッセージをCAへ送信するということに留意すべきである。

【0144】

ステップ302：CAが、VNFインスタンスを認証するために一時的証明を使用し、認証が成功する場合、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従って、VNFインスタンスへ証明を発行する。

【0145】

ステップ302では、証明申請メッセージを受信する場合、CAが、証明申請メッセージの中に含まれる一時的証明を使用することによって、VNFインスタンスを認証し、認証が成功する場合、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従って、VNFインスタンスへ証明を発行する。

【0146】

本発明のこの実施形態では、方法が、VNFインスタンスが証明を取得する後、受信された証明を認証するための局所的に記憶された秘密鍵を使用するステップと、認証が成功する場合、VNFMへ管理チャンネルを確立するために証明を使用するステップとを更に含む。

【0147】

本発明の実施形態3の解決策により、NFVOがVNFインスタンスをインスタンス化することを決定する場合に申請される一時的証明を使用することによって、インスタンス化されたVNFインスタンスが、インスタンス化されたVNFインスタンスとCAとの間に証明申請のための信頼されるチャンネルを確立し、それによって、VNFインスタンスによって申請された証明の適法性を効果的に保証し、認証局によって発行された証明を使用することによって、VNFインスタンスとVNFMとの間に確立される管理チャンネルのセキュリティを更に保証する。

【0148】

実施形態4
本発明の実施形態4による証明取得方法の概略流れ図である、図4に示すように、方法が以下のように説明され得る。

【0149】

本発明の実施形態4は、VMと、VMM又はVIMとの間に管理チャンネルを確立するための方法を詳細に説明する。

【0150】

ステップ401：ネットワーク機能仮想インフラストラクチャNFVIが、仮想機械VMによって送信された証明申請メッセージを受信する。

【0151】

証明申請メッセージは、証明申請のために使用される証明申請情報を含む。

【0152】

証明申請情報が、証明フォーマット、ドメイン名、認証局などを含むことに留意すべきである。

【0153】

ステップ401では、仮想ネットワーク内で、VNFがインスタンス化される後、インスタンス化されたVNFインスタンスと他の仮想ネットワークエレメントとの間に通信のセキュリティを保証するために、インスタンス化されたVNFインスタンスのための証明を申請することが必要である。

【0154】

VNFインスタンスがインスタンス化される必要がある場合、VFNインスタンスが作動する仮想リソースVMが割り当てられるので、VMが割り当てられる後、VMとVMMとの間の管理チャンネルが確立される必要があり、それによってVMの適法性を保証し、したがって、VNFインスタンスの適法性を向上させる。

【0155】

【0156】

NFVIが、VNFをインスタンス化する命令に従って、VMをVNFインスタンスへ割り当てる。

【0157】

VIMが、NFVIへ仮想リソースを割り当てる要求についての情報を送信し、仮想リソースを割り当てる要求についての情報は、証明申請などのための初期化パラメータを含む。

【0158】

VNFをインスタンス化する命令に従って、VMをVNFインスタンスへ割り当てる後、NFVIが、証明申請のための初期化パラメータをVMの中に投入する。

【0159】

開始される場合、VMは、初期化パラメータに従って公開鍵−秘密鍵の対を生成する。

【0160】

初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を含み、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMがVMを生成するように命令を受信する場合に、取得され、命令が、ネットワーク機能仮想オーケストレータNFVOによって送信される。

【0161】

秘密鍵は、VM内に局所的に記憶され、公開鍵は、証明申請のために使用され、証明申請情報の中で搬送される。

【0162】

この場合、VMが証明申請メッセージをNFVIへ送信する。

【0163】

ステップ402：NFVIが、認証局CAへ証明申請代理メッセージを送信する。

【0164】

証明申請代理メッセージは、証明申請のためにVMによって使用される証明申請情報を含む。

【0165】

ステップ402では、NFVIによって、証明申請代理メッセージを認証局CAへ送信する方法が、限定しないが、以下を含む。

【0166】

第1の方法：

【0167】

信頼される伝送チャンネルが、予めNFVIと認証局CAとの間に事前に確立され、この場合、NFVIが、証明申請代理メッセージを認証局CAへ直接送信する。

【0168】

第2の方法：

【0169】

信頼される伝送チャンネルが、事前にVIMと認証局CAとの間に確立される。

【0170】

NFVIが、証明申請代理メッセージを、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMへ送信し、その結果、VIMが、証明申請代理メッセージを認証局CAへ転送する。

【0171】

図5は、証明取得方法の概略流れ図である。

【0172】

詳細には、NFVIがVMによって送信された証明申請メッセージを受信し、証明申請代理メッセージを生成し、証明申請代理メッセージをVIMへ送信し、VIMは、証明申請代理メッセージを認証局CAへ転送する。

【0173】

ステップ403：NFVIが、CAによって発行された証明を受信し、証明をVMへ送信する。

【0174】

証明は、証明申請のためにVMによって使用され、証明申請代理メッセージの中に含まれる証明申請情報に従ってCAによって生成される。

【0175】

ステップ403では、方法が、VMが証明を受信する場合、受信された証明を局所的に記憶された秘密鍵を使用することによって認証するステップ、及び認証が成功する場合、VMとVMマネージャ（VMM）との間に管理チャンネルを確立するステップを更に含む。

【0176】

本発明の実施形態4の中の解決策により、証明申請代理によって、VMが、法的証明を申請し、VMM又はVIMへ信頼される伝送チャンネルを確立し、それによって、信頼される伝送チャンネルが、認証局によって発行される証明を使用することによって、VNFインスタンスとVNFMとの間に確立されることを保証するための基礎を構築し、VNFインスタンスとVNFMとの間の管理チャンネルのセキュリティを効果的に向上させる。

【0177】

実施形態5
本発明の実施形態5による証明取得装置の概略構造図である、図6に示すように、装置が、受信モジュール61及び送信モジュール62を含む。

【0178】

受信モジュール61は、VNFインスタンスによって送信される証明申請代理メッセージを受信するように構成され、証明申請代理メッセージは、認証情報、及び証明申請のために使用される証明申請情報を含み、認証情報が、VNFインスタンスと仮想ネットワーク機能VNFマネージャVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される。

【0179】

送信モジュール62は、VNFインスタンスを認証するために、受信モジュール61によって受信された認証情報を使用し、認証が成功する場合、証明申請メッセージを認証局CAへ送信するように構成され、証明申請メッセージが、証明申請のために使用される証明申請情報を含み、受信モジュール61が、CAによって発行される証明を受信するように更に構成され、送信モジュール62が、受信モジュール61によって受信された証明をVNFインスタンスへ送信するように更に構成され、証明が、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される。

【0180】

任意選択で、認証情報が、一時的証明であり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、VNFMから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。

【0181】

送信モジュール62が、
受信された一時的証明を、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と比較し、
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と同じであることが決定される場合、VNFインスタンス上の認証が成功することを決定し、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることが決定される場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。

【0182】

任意選択で、認証情報が、既知共有鍵PSKであり、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、PSKが、生成され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。

【0183】

受信モジュール61が、PSKをVNFインスタンスへ送信し、且つVNFインスタンスによって送信された証明申請代理メッセージを受信するように特に構成され、証明申請代理メッセージが、局所的に投入されたPSKがVNFMによって送信された受信されたPSKと同じ、又は関連することをVNFインスタンスが決定する場合にVNFMへ送信される。

【0184】

送信モジュール62が、
受信されたPSKを、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと比較し、
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと同じである、又は関連することが決定される場合、VNFインスタンス上の認証が成功することを決定し、又は
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと異なる、又は関連しないことが決定される場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。

【0185】

任意選択で、装置が、チャンネル確立モジュール63を更に備え、
チャンネル確立モジュール63は、証明がVNFインスタンスへ送信される場合に、VNFインスタンスへ管理チャンネルを確立するために証明を使用するように構成される。

【0186】

本発明のこの実施形態による装置が、仮想システム内の仮想ネットワーク機能VNFマネージャVNFMであることができ、VNFインスタンスの代理によって証明を申請する機能を含み、本明細書で限定されないハードウェア又はソフトウェアの形態の中で実施され得るということに留意すべきである。

【0187】

実施形態6
本発明の実施形態6による証明取得装置の概略構造図である、図7に示すように、装置が、受信モジュール71及び送信モジュール72を含む。

【0188】

受信モジュール71が、VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを受信するように構成され、証明申請代理メッセージが、証明申請を要求するVNFインスタンス、及び証明申請のためのVNFインスタンスによって使用される証明申請情報を備え、
送信モジュール72が、証明申請メッセージを認証局CAへ送信するように構成され、証明申請メッセージが、受信モジュール71によって受信され、証明申請のためにVNFインスタンスによって使用される証明申請情報を備え、
受信モジュール71が、CAによって発行された証明を受信するように更に構成され、
送信モジュール72が、受信モジュール71によって受信された証明をVIMへ送信するように更に構成され、証明が、証明申請のためにVNFインスタンスによって使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される。

【0189】

任意選択で、証明申請代理メッセージが、受信された証明申請情報に従ってVIMによって生成され、証明申請情報が、初期化パラメータに従ってVNFインスタンスによって取得され、VNFインスタンスによってVMへ送信され、次いで、VMによってVIMまでの安全チャンネルを通ってVIMへ送信される。

【0190】

任意選択で、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を含み、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化することを決定する場合に取得される。

【0191】

【0192】

実施形態7
本発明のこの実施形態による証明取得装置の概略構造図である、図8に示すように、装置が、受信モジュール81及び発行モジュール82を含み、
受信モジュール81が、仮想ネットワーク機能VNFインスタンスによって送信される証明申請メッセージを受信するように構成され、証明申請メッセージが、一時的証明及び証明申請のために使用される証明申請情報を備え、一時的証明が、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にCAから申請され、VNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通ってVNFインスタンスへ伝送され、
発行モジュール82が、VNFインスタンスを認証するために受信モジュール81によって受信される一時的証明を使用し、認証が成功する場合に、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってVNFインスタンスへ証明を発行するように構成される。

【0193】

本発明のこの実施形態による装置が、認証局であることができ、CA、又は本明細書で限定されない証明を認証することができる別の装置であることができ、装置は、本明細書で限定されないハードウェア又はソフトウェアの形態の中で実施され得るということに留意すべきである。

【0194】

実施形態8
本発明の実施形態8による証明取得装置の概略構造図である、図9に示すように、装置が、受信モジュール91及び送信モジュール92を含み、
受信モジュール91が、仮想機械VMによって送信される証明申請メッセージを受信するように構成され、証明申請メッセージが、証明申請のために使用される公開鍵を備え、
送信モジュール92が、証明申請代理メッセージを認証局CAへ送信するように構成され、証明申請代理メッセージが、受信モジュール91によって受信され、証明申請のためにVMによって使用される公開鍵を備え、
受信モジュール91が、CAによって発行された証明を受信するように更に構成され、
送信モジュール92が、受信モジュールによって受信された証明をVMへ送信するように更に構成され、証明申請のためにVMによって使用され、証明申請代理メッセージの中に含まれる公開鍵に従って署名することによって、証明が、CAによって取得される。

【0195】

任意選択で、送信モジュール92が、証明申請代理メッセージを、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMへ送信するように特に構成され、その結果、VIMが、証明申請代理メッセージを認証局CAへ転送する。

【0196】

任意選択で、装置が、チャンネル確立モジュール93を更に備え、
チャンネル確立モジュール93は、VMが証明を受信する場合に、VMとVMマネージャとの間に管理チャンネルを確立するように構成される。

【0197】

任意選択で、公開鍵が、初期化パラメータに従ってVMによって生成され、初期化パラメータが、CA情報及び証明管理ドメインのドメイン名を備え、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMがVMを生成するように命令を受信する場合に、取得され、命令が、ネットワーク機能仮想オーケストレータNFVOによって送信される。

【0198】

本発明のこの実施形態による装置が、ネットワーク機能仮想インフラストラクチャNFVIであることができ、VMの代理によって証明を申請する機能を含み、本明細書で限定されないハードウェア又はソフトウェアの形態の中で実施され得るということに留意すべきである。

【0199】

実施形態9
本発明の実施形態9による証明取得装置の概略構造図である、図10に示すように、装置が、信号受信機1011及び信号送信機1012を含み、信号受信機1011及び信号送信機1012が、通信バス1013を通って通信する。

【0200】

信号受信機1011は、VNFインスタンスによって送信される証明申請代理メッセージを受信するように構成され、証明申請代理メッセージは、認証情報、及び証明申請のために使用される証明申請情報を含み、認証情報が、VNFインスタンスと仮想ネットワーク機能VNFマネージャVNFMとの間の証明代理申請のためのチャンネルを確立するために使用される。

【0201】

信号送信機1012が、VNFインスタンスを認証するために認証情報を使用し、認証が成功する場合、証明申請メッセージを認証局CAへ送信し、証明申請メッセージは、証明申請のために使用される証明申請情報を含む。

【0202】

信号受信機1011は、CAによって発行される証明を受信するように更に構成される。

【0203】

信号送信機1012は、VNFインスタンスへ証明を送信するように更に構成され、証明は、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される。

【0204】

【0205】

信号送信機1012が、受信された一時的証明を、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と比較し、
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と同じであることをVNFMが決定する場合、VNFインスタンス上の認証が成功することを決定し、又は
受信された一時的証明が、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合にVNFMから申請される一時的証明と異なることをVNFMが決定する場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。

【0206】

【0207】

信号受信機1011が、PSKをVNFインスタンスへ送信し、且つVNFインスタンスによって送信された証明申請代理メッセージを受信するように特に構成され、証明申請代理メッセージが、局所的に投入されたPSKが受信されたPSKと同じ、又は関連することをVNFインスタンスが決定する場合にVNFMへ送信される。

【0208】

信号送信機1012が、受信されたPSKを、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと比較し、
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと同じである、又は関連することが決定される場合、VNFインスタンス上の前記認証が成功することを決定し、又は
受信されたPSKが、NFVOがVNFインスタンスをインスタンス化する必要性を決定する場合に発行されるPSKと異なる、又は関連しないことが決定される場合、VNFインスタンス上の認証が失敗することを決定するように特に構成される。

【0209】

任意選択で、装置が、プロセッサ1014を更に備え、
プロセッサ1014は、証明がVNFインスタンスへ送信される場合に、VNFインスタンスへ管理チャンネルを確立するために証明を使用するように構成される。

【0210】

プロセッサ1014は、汎用の中央処理装置（CPU）、マイクロプロセッサ、特定用途向け集積回路（application−specific integrated circuit、ASIC）、又は本発明の中の解決策のプログラムの実行を制御するために使用される1つ又は複数の集積回路であることができる。

【0211】

通信バス1013が、前述の構成要素間で情報を伝送するためのパスを含むことができる。

【0212】

【0213】

実施形態10
本発明の実施形態10による証明取得装置の概略構造図である、図11に示すように、装置が、信号受信機1111及び信号送信機1112を含み、信号受信機1111及び信号送信機1112が、通信バス1113を通って接続される。

【0214】

信号受信機1111は、VNFフレームワーク内の仮想インフラストラクチャマネージャVIMによって送信される証明申請代理メッセージを受信するように構成され、証明申請代理メッセージが、証明申請、及び証明申請のためにVNFによって使用される証明申請情報を要求するVNFインスタンスを含む。

【0215】

信号送信機1112が、証明申請メッセージを認証局CAへ送信するように構成され、証明申請メッセージは、証明申請のためにVNFインスタンスによって使用される証明申請情報を含む。

【0216】

信号受信機1111は、CAによって発行される証明を受信するように更に構成される。

【0217】

信号送信機1112は、VIMへ証明を送信するように更に構成され、証明は、証明申請のためにVNFインスタンスによって使用され、証明申請メッセージの中に含まれる証明申請情報に従ってCAによって生成される。

【0218】

【0219】

【0220】

【0221】

実施形態11
本発明の実施形態11による証明取得装置の概略構造図である、図12に示すように、装置が、信号受信機1211及びプロセッサ1212を含み、信号受信機1211及びプロセッサ1212が、通信バス1213を通って接続される。

【0222】

信号受信機1211は、仮想ネットワーク機能VNFインスタンスによって送信された証明申請メッセージを受信するように構成され、証明申請メッセージは、一時的証明及び証明申請のために使用される証明申請情報を含み、ネットワーク機能仮想オーケストレータNFVOがVNFインスタンスをインスタンス化する必要性を決定する場合、一時的証明が、CAから申請されVNFフレームワーク内の仮想インフラストラクチャマネージャVIM、NFVインフラストラクチャNFVI、及びVNFが作動する仮想機械VMを通って、VNFインスタンスへ伝送される。

【0223】

プロセッサ1212が、VNFインスタンスを認証するために一時的証明を使用し、認証が成功する場合、証明申請のために使用され、証明申請メッセージの中に含まれる証明申請情報に従って、VNFインスタンスへ証明を発行するように構成される。

【0224】

プロセッサ1212は、汎用の中央処理装置（CPU）、マイクロプロセッサ、特定用途向け集積回路（application−specific integrated circuit、ASIC）、又は本発明の中の解決策のプログラムの実行を制御するために使用される1つ又は複数の集積回路であることができる。

【0225】

通信バス1213が、前述の構成要素間で情報を伝送するためのパスを含むことができる。

【0226】

【0227】

実施形態12
本発明の実施形態12による証明取得装置の概略構造図である、図13に示すように、装置が、信号受信機1311及び信号送信機1312を含み、信号受信機1311及び信号送信機1312が、通信バス1313を通って接続される。

【0228】

信号受信機1311は、仮想機械VMによって送信された証明申請メッセージを受信するように構成され、証明申請メッセージは、証明申請のために使用される公開鍵を含む。

【0229】

信号送信機1312が、証明申請代理メッセージを認証局CAへ送信するように構成され、証明申請代理メッセージは、証明申請のためにVMによって使用される公開鍵を含む。

【0230】

信号受信機1311は、CAによって発行される証明を受信するように更に構成される。

【0231】

信号送信機1312は、VMへ証明を送信するように更に構成され、証明は、証明申請のためにVMによって使用され、証明申請代理メッセージの中に含まれる公開鍵に従ってCAによって取得される。

【0232】

任意選択で、信号送信機1312が、証明申請代理メッセージを、仮想ネットワーク機能フレームワーク内の仮想インフラストラクチャマネージャVIMへ送信するように特に構成され、その結果、VIMが、証明申請代理メッセージを認証局CAへ転送する。

【0233】

任意選択で、装置が、プロセッサ1314を更に備え、
プロセッサ1314は、VMが証明を受信する場合に、VMとVMマネージャとの間に管理チャンネルを確立するように構成される。

【0234】

【0235】

プロセッサ1314は、汎用の中央処理装置（CPU）、マイクロプロセッサ、特定用途向け集積回路（application−specific integrated circuit、ASIC）、又は本発明の中の解決策のプログラムの実行を制御するために使用される1つ又は複数の集積回路であることができる。

【0236】

通信バス1313が、前述の構成要素間で情報を伝送するためのパスを含むことができる。

【0237】

【0238】

本発明の実施形態が、方法、機器（装置）又はコンピュータプログラム製品として提供され得ることを当業者は理解すべきである。したがって、本発明は、ハードウェア専用の実施形態、ソフトウェア専用の実施形態、又はソフトウェア及びハードウェアの組合せを用いる実施形態の形態を使用することができる。更に、本発明は、コンピュータ使用可能なプログラムコードを含む、1つ又は複数のコンピュータ使用可能な記憶媒体（限定しないが、ディスクメモリ、CD−ROM、光学メモリなどを含む）上で実施されるコンピュータプログラム製品の形態を使用することができる。

【0239】

本発明は、本発明の実施形態による方法、機器（装置）及びコンピュータプログラム製品の流れ図、及び／又はブロック図を参照して説明される。コンピュータプログラム命令が、流れ図及び／又はブロック図の中の各プロセス及び／又は各ブロック、並びに流れ図及び／又はブロック図の中のプロセス及び／又はブロックの組合せを実施するために使用され得るということを理解すべきである。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、埋め込みプロセッサ、又は機械を生成するための任意の他のプログラム可能なデータ処理装置のために提供されることが可能であり、その結果、コンピュータ、又は任意の他のプログラム可能なデータ処理装置によって実行される命令が、流れ図の中の1つ又は複数のプロセス、及び／又はブロック図の中の1つ又は複数のブロックの中の特定の機能を実施するための機器を生成する。

【0240】

これらのコンピュータプログラム命令は、コンピュータ、又は任意の他のプログラム可能なデータ処理装置に特定の方法で機能するように命令することができるコンピュータ読み取り可能なメモリの中に更に記憶されることができ、その結果、コンピュータ読み取り可能なメモリの中に記憶される命令が、命令機器を含むアーチファクトを生成する。命令機器は、流れ図の中の1つ又は複数のプロセス、及び／又はブロック図の中の1つ又は複数のブロックの中の特定の機能を実施する。

【0241】

これらのコンピュータプログラム命令は、コンピュータ又は他のプログラム可能なデータ処理装置にロードされることも更に可能であり、その結果、一連の操作及びステップが、コンピュータ又は他のプログラム可能な装置上で実施され、それによって、コンピュータ実施処理を生成する。したがって、コンピュータ又は他のプログラム可能な装置上で実行される命令が、流れ図の中の1つ又は複数のプロセス、及び／又はブロック図の中の1つ又は複数のブロックの中の特定の機能を実施するためのステップを提供する。

【0242】

本発明のいくつかの好適な実施形態が説明されたが、当業者は、一旦基本的発明の概念を習得すると、これらの実施形態に対する変形形態及び修正形態を作製することができる。したがって、以下の特許請求の範囲は、好適な実施形態、並びに本発明の範囲内にあるすべての変形形態及び修正形態を包含するものと解釈されるように意図される。

【0243】

明らかに、当業者は、本発明の精神及び範囲から逸脱せずに、本発明に対する様々な修正形態及び変形形態を作製することができる。本発明は、以下の特許請求の範囲及びそれらの均等な技術によって定義される保護範囲内にあるならば、これらの修正形態及び変形形態を包含するように意図される。

【符号の説明】

【0244】

61,71,81,91 受信モジュール
62,72,92 送信モジュール
63,93 チャンネル確立モジュール
82 発行モジュール
1011,1111,1211,1311 信号受信機
1012,1112,1312 信号送信機
1013,1113 通信バス
1014,1212,1314 プロセッサ
1213,1313 通信バス

【図1】