IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 楽天モバイル株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 楽天モバイル株式会社の特許一覧

特表2024-544879非仮想マシンベースのネットワーク要素のための証明書登録システム及び方法
<>
  • 特表-非仮想マシンベースのネットワーク要素のための証明書登録システム及び方法 図1
  • 特表-非仮想マシンベースのネットワーク要素のための証明書登録システム及び方法 図2
  • 特表-非仮想マシンベースのネットワーク要素のための証明書登録システム及び方法 図3
  • 特表-非仮想マシンベースのネットワーク要素のための証明書登録システム及び方法 図4
  • 特表-非仮想マシンベースのネットワーク要素のための証明書登録システム及び方法 図5
  • 特表-非仮想マシンベースのネットワーク要素のための証明書登録システム及び方法 図6
  • 特表-非仮想マシンベースのネットワーク要素のための証明書登録システム及び方法 図7
  • 特表-非仮想マシンベースのネットワーク要素のための証明書登録システム及び方法 図8
  • 特表-非仮想マシンベースのネットワーク要素のための証明書登録システム及び方法 図9
  • 特表-非仮想マシンベースのネットワーク要素のための証明書登録システム及び方法 図10
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-12-05
(54)【発明の名称】非仮想マシンベースのネットワーク要素のための証明書登録システム及び方法
(51)【国際特許分類】
   G06F 21/44 20130101AFI20241128BHJP
   G06F 21/64 20130101ALI20241128BHJP
【FI】
G06F21/44
G06F21/64
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024527254
(86)(22)【出願日】2022-04-13
(85)【翻訳文提出日】2024-05-08
(86)【国際出願番号】 US2022024596
(87)【国際公開番号】W WO2023154070
(87)【国際公開日】2023-08-17
(31)【優先権主張番号】63/309,877
(32)【優先日】2022-02-14
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】319010088
【氏名又は名称】楽天モバイル株式会社
(74)【代理人】
【識別番号】100109380
【弁理士】
【氏名又は名称】小西 恵
(74)【代理人】
【識別番号】100109036
【弁理士】
【氏名又は名称】永岡 重幸
(74)【代理人】
【識別番号】100188879
【弁理士】
【氏名又は名称】渡邉 未央子
(72)【発明者】
【氏名】リベラ,フランチェスカ
(72)【発明者】
【氏名】カレ,リテッシュ クマル
(57)【要約】
モバイル通信ネットワークにおいて証明書の完全自動化登録を実行するためのシステムは、証明書を要求するように構成されたネットワーク要素と、ネットワーク要素を認証し、認証局(CA)情報をネットワーク要素に提供するように構成された、少なくとも1つのサーバと、要求された証明書の事前構成されたポリシーを取得し、事前構成されたポリシーに基づいて証明書を取得し、ネットワーク要素に証明書を発行するように構成された、証明書マネージャと、を含み、ネットワーク要素は、少なくとも1つのサーバに、証明書マネージャに関する情報を取得するための要求を送信することと、少なくとも1つのサーバから、証明書マネージャに関する情報を取得することと、証明書マネージャに関する取得した情報に基づいて、証明書マネージャに、証明書を要求するための証明書署名要求(CSR)を送信することと、証明書マネージャから、証明書マネージャのCAサーバによって生成された要求された証明書を受信することと、を行うように構成される。
【特許請求の範囲】
【請求項1】
モバイル通信ネットワークにおいて証明書の完全自動化登録を実行するためのシステムであって、前記システムは、
証明書を要求するように構成されたネットワーク要素と、
前記ネットワーク要素を認証し、認証局(CA)情報を前記ネットワーク要素に提供するように構成された、少なくとも1つのサーバと、
前記要求された証明書の事前構成されたポリシーを取得し、前記事前構成されたポリシーに基づいて前記証明書を取得し、前記ネットワーク要素に前記証明書を発行するように構成された、証明書マネージャと、
を備え、
前記ネットワーク要素は、
前記少なくとも1つのサーバに、前記証明書マネージャに関する情報を取得するための要求を送信することと、
前記少なくとも1つのサーバから、前記証明書マネージャに関する前記情報を取得することと、
前記証明書マネージャに関する前記取得した情報に基づいて、前記証明書マネージャに、前記証明書を要求するための証明書署名要求(CSR)を送信することと、
前記証明書マネージャから、前記証明書マネージャのCAサーバによって生成された前記要求された証明書を受信することと、
を行うように構成される、
システム。
【請求項2】
前記少なくとも1つのサーバが、動的ホスト構成プロトコル(DHCP)サーバ及び認証サーバを含み、
前記DHCPサーバが、
前記ネットワーク要素によって送信された、前記証明書マネージャに関する情報を取得するための前記要求であって、少なくとも1つのセキュリティパラメータを含む、前記要求を受信することと、
前記ネットワーク要素の認証を実行するために、前記少なくとも1つのセキュリティパラメータを前記認証サーバに送信することと、
前記認証サーバから前記認証の結果を受信することと、
前記ネットワーク要素に、認証の成功を示す前記認証の前記結果に基づいて、前記証明書マネージャに関する前記情報を送信することと、
を行うように構成される、
請求項1に記載のシステム。
【請求項3】
前記少なくとも1つのセキュリティパラメータが、前記ネットワーク要素と前記認証サーバとの両方に予めインストールされたデバイス証明書を含み、
前記認証サーバが、そこに予めインストールされた前記デバイス証明書を使用して、前記少なくとも1つのセキュリティパラメータに含まれる前記デバイス証明書を検証することによって前記認証を実行するように構成される、
請求項2に記載のシステム。
【請求項4】
前記デバイス証明書が、前記ネットワーク要素のベンダのCAによって発行されたベンダ証明書であり、前記認証サーバが、前記モバイル通信ネットワークに含まれるネットワーク要素のベンダの複数のCAによってそれぞれ発行された複数のベンダ証明書を記憶するように構成される、請求項3に記載のシステム。
【請求項5】
前記証明書マネージャが、登録局(RA)サーバ及び前記CAサーバを含み、
前記RAサーバが、
前記ネットワーク要素によって送信された前記CSRを受信し、前記ネットワーク要素を認証することと、
前記CSRに所定のプロファイル識別子(ID)を割り当てることと、
前記CSR及び前記プロファイルIDを前記CAサーバに送信することと、
を行うように構成され、
前記CAサーバが、
前記RAサーバによって送信された前記CSR及び前記プロファイルIDを受信することと、
前記プロファイルIDにマッピングされた事前構成されたポリシーを決定することと、
前記決定された事前構成されたポリシーに従って前記証明書を生成することと
を行うように構成される、
請求項1に記載のシステム。
【請求項6】
前記証明書マネージャに関する前記情報が、前記CAサーバの完全修飾ドメイン名(FQDN)及びポートのうちの少なくとも1つを含む、請求項5に記載のシステム。
【請求項7】
前記CAサーバと通信して、前記CAサーバからの証明書の半自動化登録を実行するように構成された証明書ライフサイクル管理システム(CLMS)をさらに備える、請求項1に記載のシステム。
【請求項8】
別のCSRを生成して前記CLMSに入力し、前記CLMSを介して、前記CAサーバによって生成された別の証明書をダウンロードするように構成された別のネットワーク要素
をさらに備え、
前記CLMSが、
それを介して前記CAサーバが複数のCAサーバの中から選択され、それを介して前記他のCSRが入力される、グラフィカルユーザインタフェース(GUI)を提供することと、
前記他のCSRを前記CAサーバに送信することと、
前記送信された他のCSRに基づいて前記CAサーバによって生成された前記他の証明書を受信することと、
前記他の証明書が前記他のネットワーク要素によってダウンロードされることを可能にすることと、
を行うように構成される、
請求項7に記載のシステム。
【請求項9】
前記CAサーバが、
前記CLMSによって送信された前記他のCSRを受信することと、
前記他のCSRに対応するプロファイルIDを決定することと、
前記プロファイルIDにマッピングされた事前構成されたポリシーを決定することと、
前記決定された事前構成されたポリシーに基づいて前記他の証明書を生成することと、
を行うように構成される、請求項8に記載のシステム。
【請求項10】
前記完全自動化登録が1つ又は複数のネットワーク要素に対して実行できない場合、証明書の前記半自動化登録が、前記完全自動化登録の代替として前記システムによって提供される、請求項1に記載のシステム。
【請求項11】
モバイル通信ネットワークにおいて証明書の完全自動化登録を実行するための方法であって、前記方法は、
ネットワーク要素によって、少なくとも1つのサーバに、証明書マネージャに関する情報を取得するための要求を送信することと、
前記ネットワーク要素によって、前記少なくとも1つのサーバから、前記少なくとも1つのサーバによって認証されている前記ネットワーク要素に基づいて前記証明書マネージャに関する前記情報を取得することと、
前記ネットワーク要素によって、前記証明書マネージャに関する前記取得した情報に基づいて、前記証明書マネージャに、前記証明書を要求するための証明書署名要求(CSR)を送信することと、
前記ネットワーク要素によって、前記証明書マネージャから、前記要求された証明書に対して前記証明書マネージャのCAサーバによって取得された事前構成されたポリシーに基づいて、前記CAサーバによって生成された前記要求された証明書を受信することと、
を含む、方法。
【請求項12】
前記少なくとも1つのサーバのうちのDHCPサーバによって、前記ネットワーク要素によって送信された、前記証明書マネージャに関する情報を取得するための前記要求であって、少なくとも1つのセキュリティパラメータを含む、前記要求を受信することと、
前記DHCPサーバによって、前記ネットワーク要素の認証を実行するために、前記少なくとも1つのセキュリティパラメータを認証サーバに送信することと、
前記DHCPサーバによって、前記認証サーバから前記認証の結果を受信することと、
前記DHCPサーバによって、前記ネットワーク要素に、認証の成功を示す前記認証の前記結果に基づいて、前記証明書マネージャに関する前記情報を送信することと、
をさらに含む、請求項11に記載の方法。
【請求項13】
前記少なくとも1つのセキュリティパラメータが、前記ネットワーク要素と前記認証サーバとの両方に予めインストールされたデバイス証明書を含み、
前記方法が、前記認証サーバによって、そこに予めインストールされた前記デバイス証明書を使用して、前記少なくとも1つのセキュリティパラメータに含まれる前記デバイス証明書を検証することによって前記認証を実行することをさらに含む、
請求項12に記載の方法。
【請求項14】
前記デバイス証明書が、前記ネットワーク要素のベンダのCAによって発行されたベンダ証明書であり、前記認証サーバが、前記モバイル通信ネットワークに含まれるネットワーク要素のベンダの複数のCAによってそれぞれ発行された複数のベンダ証明書を記憶するように構成される、請求項13に記載の方法。
【請求項15】
前記証明書マネージャに含まれる登録局(RA)サーバによって、前記ネットワーク要素によって送信された前記CSRを受信し、前記RAサーバによって、前記ネットワーク要素を認証することと、
前記RAサーバによって、前記CSRに所定のプロファイル識別子(ID)を割り当てることと、
前記RAサーバによって、前記CSR及び前記プロファイルIDを前記CAサーバに送信することと、
前記CAサーバによって、前記RAサーバによって送信された前記CAサーバに基づいて、前記プロファイルIDにマッピングされた事前構成されたポリシーを決定することと、
前記CAサーバによって、前記決定された事前構成されたポリシーに従って前記証明書を生成することと
をさらに含む、請求項11に記載の方法。
【請求項16】
前記証明書マネージャに関する前記情報が、前記CAサーバの完全修飾ドメイン名(FQDN)及びポートのうちの少なくとも1つを含む、請求項15に記載の方法。
【請求項17】
証明書の半自動登録を実行するための証明書ライフサイクル管理システム(CLMS)によって、前記CAサーバと通信することをさらに含む、請求項11に記載の方法。
【請求項18】
前記CLMSによって、それを介して前記CAサーバが複数のCAサーバの中から選択され、それを介して別のCSRが入力される、グラフィカルユーザインタフェース(GUI)を提供することと、
別のネットワーク要素によって、前記他のCSRを生成して前記CLMSに入力することと、
前記CLMSによって、前記他のCSRを前記CAサーバに送信することと、
前記CLMSによって、前記送信された他のCSRに基づいて前記CAサーバによって生成された別の証明書を受信することと、
前記他のネットワーク要素によって、前記CLMSから前記他の証明書をダウンロードすることと、
をさらに含む、請求項17に記載の方法。
【請求項19】
前記CAサーバによって、前記CLMSによって送信された前記他のCSRを受信することと、
前記CAサーバによって、前記他のCSRに対応するプロファイルIDを決定することと、
前記CAサーバによって、前記プロファイルIDにマッピングされた事前構成されたポリシーを決定することと、
前記CAサーバによって、前記決定された事前構成されたポリシーに基づいて前記他の証明書を生成することと、
をさらに含む、請求項18に記載の方法。
【請求項20】
ネットワーク要素の少なくとも1つのプロセッサによって実行可能な命令であり、前記少なくとも1つのプロセッサに、モバイル通信ネットワークにおける証明書の完全自動化登録のための方法を実行させる、命令を記録した非一時的なコンピュータ可読記録媒体であって、前記方法は、
少なくとも1つのサーバに、証明書マネージャに関する情報を取得するための要求を送信することと、
前記少なくとも1つのサーバから、前記少なくとも1つのサーバによって認証されている前記ネットワーク要素に基づいて前記証明書マネージャに関する前記情報を取得することと、
前記証明書マネージャに関する前記取得した情報に基づいて、前記証明書マネージャに、前記証明書を要求するための証明書署名要求(CSR)を送信することと、
前記証明書マネージャから、前記要求された証明書に対して前記証明書マネージャのCAサーバによって取得された事前構成されたポリシーに基づいて、前記CAサーバによって生成された前記要求された証明書を受信することと、
を含む、非一時的なコンピュータ可読記録媒体。
【発明の詳細な説明】
【背景技術】
【0001】
無線アクセスネットワーク(RAN)は、エンドユーザデバイス(又はユーザ機器)をネットワークの他の部分に接続するので、電気通信システムにおける重要な構成要素である。RANは、エンドユーザをコアネットワークに接続する様々なネットワーク要素(network element(NE))の組合せを含む。従来、特定のRANのハードウェア及び/又はソフトウェアはベンダ固有である。
【0002】
複数のベンダがハードウェア及び/又はソフトウェアを電気通信システムに提供することを可能にするために、オープンRAN(O-RAN)技術が登場した。異なるベンダが関与するため、提供されるハードウェア及び/又はソフトウェアのタイプも異なり得る。すなわち、異なるタイプのNEが異なるベンダによって提供されてもよく、特定のサービスに応じて、NEはソフトウェア形態(例えば、仮想マシン(VM)ベース)で仮想化されてもよく、又は物理ハードウェア形態(例えば、非VMベース)であってもよい。したがって、特定のベンダによって提供されるNEをサポートするように設計された従来のネットワークアーキテクチャは、もはや適切ではない。さらに、ネットワークに関与する当事者の数が増加しているため、ベンダ固有のNEを認証及び検証する従来の方法によるネットワーク通信の確保は、マルチベンダ環境ではもはや適切ではない。
【発明の概要】
【発明が解決しようとする課題】
【0003】
上記を考慮して、複数のタイプのNEの展開をサポートするシステムを提供する必要がある。この目的のために、異なるベンダによって提供されるNEを効率的かつ安全に認証し、それによってNE間の安全な接続を提供することができるシステムを提供する必要がある。
【課題を解決するための手段】
【0004】
例示的な実施形態によれば、無線アクセスネットワーク(radio access network(RAN))内の非仮想マシン(virtual machine(VM))ベースのネットワーク要素(NE)が認証局(Certificate Authority(CA))サーバを介して証明書登録を実行することを可能にするシステム及び方法が提供される。
【0005】
例示的な実施形態によれば、RAN内の非VMベースのNEに対する証明書の完全自動化登録(fully automated enrollment)を可能にし、RAN内の非VMベースのNEに対する証明書の半自動化登録(semi-automated enrollment)を可能にするシステム及び方法が提供される。
【0006】
例示的な実施形態によれば、NEを安全に認証し、CAサーバの情報をNEに安全に提供するシステム及び方法が提供される。
【0007】
例示的な実施形態によれば、1つ又は複数のベンダからの異なるタイプのNEが1つのCAサーバからの証明書を登録することを可能にするシステム及び方法が提供される。
【0008】
例示的な実施形態によれば、例えば、完全自動化登録のためのコンポーネントが失敗した場合、又は特定のNEが自動登録をサポートしていない場合、フォールバック証明書登録方法として証明書の半自動化登録を可能にするシステム及び方法が提供される。
【0009】
例示的な実施形態によれば、モバイル通信ネットワークにおいて証明書の完全自動化登録を実行するためのシステムは、証明書を要求するように構成されたネットワーク要素と、ネットワーク要素を認証し、認証局(CA)情報をネットワーク要素に提供するように構成された、少なくとも1つのサーバと、要求された証明書の事前構成されたポリシーを取得し、事前構成されたポリシーに基づいて証明書を取得し、ネットワーク要素に証明書を発行するように構成された、証明書マネージャと、を含み、ネットワーク要素は、少なくとも1つのサーバに、証明書マネージャに関する情報を取得するための要求を送信することと、少なくとも1つのサーバから、証明書マネージャに関する情報を取得することと、証明書マネージャに関する取得した情報に基づいて、証明書マネージャに、証明書を要求するための証明書署名要求(certificate signing request(CSR))を送信することと、証明書マネージャから、証明書マネージャのCAサーバによって生成された要求された証明書を受信することと、を行うように構成される。
【0010】
少なくとも1つのサーバは、動的ホスト構成プロトコル(Dynamic Host Configuration Protocol(DHCP))サーバ及び認証サーバを含み得、DHCPサーバは、ネットワーク要素によって送信された、証明書マネージャに関する情報を取得するための要求であって、少なくとも1つのセキュリティパラメータを含む、要求を受信することと、ネットワーク要素の認証を実行するために、少なくとも1つのセキュリティパラメータを認証サーバに送信することと、認証サーバから認証の結果を受信することと、ネットワーク要素に、認証の成功を示す認証の結果に基づいて、証明書マネージャに関する情報を送信することと、を行うように構成され得る。
【0011】
少なくとも1つのセキュリティパラメータは、ネットワーク要素と認証サーバとの両方に予めインストールされたデバイス証明書を含み得、認証サーバは、そこに予めインストールされたデバイス証明書を使用して、少なくとも1つのセキュリティパラメータに含まれるデバイス証明書を検証することによって認証を実行するように構成され得る。
【0012】
デバイス証明書は、ネットワーク要素のベンダのCAによって発行されたベンダ証明書であってもよく、認証サーバは、モバイル通信ネットワークに含まれるネットワーク要素のベンダの複数のCAによってそれぞれ発行された複数のベンダ証明書を記憶するように構成されてもよい。
【0013】
証明書マネージャは、登録局(Registration Authority(RA))サーバ及びCAサーバを含み得、RAサーバは、ネットワーク要素によって送信されたCSRを受信し、ネットワーク要素を認証することと、CSRに所定のプロファイル識別子(ID)を割り当てることと、CSR及びプロファイルIDをCAサーバに送信することと、を行うように構成され得、CAサーバは、RAサーバによって送信されたCSR及びプロファイルIDを受信することと、プロファイルIDにマッピングされた事前構成されたポリシーを決定することと、決定された事前構成されたポリシーに従って証明書を生成することと、を行うように構成され得る。
【0014】
証明書マネージャに関する情報は、CAサーバの完全修飾ドメイン名(fully qualified domain name(FQDN))及びポートのうちの少なくとも1つを含み得る。
【0015】
システムは、CAサーバと通信して、CAサーバからの証明書の半自動化登録を実行するように構成された証明書ライフサイクル管理システム(Certificate Lifecycle Management System(CLMS))をさらに含み得る。
【0016】
システムは、別のCSRを生成してCLMSに入力し、CLMSを介して、CAサーバによって生成された別の証明書をダウンロードするように構成された別のネットワーク要素をさらに含むことができ、CLMSは、それを介してCAサーバが複数のCAサーバの中から選択され、それを介して他のCSRが入力される、グラフィカルユーザインタフェース(GUI)を提供することと、他のCSRをCAサーバに送信することと、送信された他のCSRに基づいてCAサーバによって生成された他の証明書を受信することと、他の証明書が他のネットワーク要素によってダウンロードされることを可能にすることと、を行うように構成され得る。
【0017】
CAサーバは、CLMSによって送信された他のCSRを受信することと、他のCSRに対応するプロファイルIDを決定することと、プロファイルIDにマッピングされた事前構成されたポリシーを決定することと、決定された事前構成されたポリシーに基づいて他の証明書を生成することと、を行うように構成され得る。
【0018】
完全自動化登録が1つ又は複数のネットワーク要素に対して実行できない場合、証明書の半自動化登録が、完全自動化登録の代替としてシステムによって提供され得る。
【0019】
例示的な実施形態によれば、モバイル通信ネットワークにおいて証明書の完全自動化登録を実行するための方法は、ネットワーク要素によって、少なくとも1つのサーバに、証明書マネージャに関する情報を取得するための要求を送信することと、ネットワーク要素によって、少なくとも1つのサーバから、少なくとも1つのサーバによって認証されているネットワーク要素に基づいて証明書マネージャに関する情報を取得することと、ネットワーク要素によって、証明書マネージャに関する取得した情報に基づいて、証明書マネージャに、証明書を要求するための証明書署名要求(CSR)を送信することと、ネットワーク要素によって、証明書マネージャから、要求された証明書に対して証明書マネージャのCAサーバによって取得された事前構成されたポリシーに基づいて、CAサーバによって生成された要求された証明書を受信することと、を含む。
【0020】
本方法は、少なくとも1つのサーバのうちのDHCPサーバによって、ネットワーク要素によって送信された、証明書マネージャに関する情報を取得するための要求であって、少なくとも1つのセキュリティパラメータを含む、要求を受信することと、DHCPサーバによって、ネットワーク要素の認証を実行するために、少なくとも1つのセキュリティパラメータを認証サーバに送信することと、DHCPサーバによって、認証サーバから認証の結果を受信することと、DHCPサーバによって、ネットワーク要素に、認証の成功を示す認証の結果に基づいて、証明書マネージャに関する情報を送信することと、をさらに含み得る。
【0021】
少なくとも1つのセキュリティパラメータは、ネットワーク要素と認証サーバとの両方に予めインストールされたデバイス証明書を含み得、本方法は、認証サーバによって、そこに予めインストールされたデバイス証明書を使用して、少なくとも1つのセキュリティパラメータに含まれるデバイス証明書を検証することによって、認証を実行することをさらに含むことができる。
【0022】
デバイス証明書は、ネットワーク要素のベンダのCAによって発行されたベンダ証明書であってもよく、認証サーバは、モバイル通信ネットワークに含まれるネットワーク要素のベンダの複数のCAによってそれぞれ発行された複数のベンダ証明書を記憶するように構成されてもよい。
【0023】
本方法は、証明書マネージャに含まれる登録局(RA)サーバによって、ネットワーク要素によって送信されたCSRを受信し、RAサーバによって、ネットワーク要素を認証することと、RAサーバによって、CSRに所定のプロファイル識別子(ID)を割り当てることと、RAサーバによって、CSR及びプロファイルIDをCAサーバに送信することと、CAサーバによって、RAサーバによって送信されたCAサーバに基づいて、プロファイルIDにマッピングされた事前構成されたポリシーを決定することと、CAサーバによって、決定された事前構成されたポリシーに従って証明書を生成することと、をさらに含み得る。
【0024】
証明書マネージャに関する情報は、CAサーバの完全修飾ドメイン名(FQDN)及びポートのうちの少なくとも1つを含み得る。
【0025】
本方法は、証明書の半自動登録を実行するための証明書ライフサイクル管理システム(CLMS)によって、CAサーバと通信することをさらに含み得る。
【0026】
本方法は、CLMSによって、それを介してCAサーバが複数のCAサーバの中から選択され、それを介して別のCSRが入力される、グラフィカルユーザインタフェース(GUI)を提供することと、別のネットワーク要素によって、他のCSRを生成してCLMSに入力することと、CLMSによって、他のCSRをCAサーバに送信することと、CLMSによって、送信された他のCSRに基づいてCAサーバによって生成された別の証明書を受信することと、他のネットワーク要素によって、CLMSから他の証明書をダウンロードすることと、をさらに含み得る。
【0027】
本方法は、CAサーバによって、CLMSによって送信された他のCSRを受信することと、CAサーバによって、他のCSRに対応するプロファイルIDを決定することと、CAサーバによって、プロファイルIDにマッピングされた事前構成されたポリシーを決定することと、CAサーバによって、決定された事前構成されたポリシーに基づいて他の証明書を生成することと、をさらに含み得る。
【0028】
例示的な実施形態によれば、非一時的なコンピュータ可読記録媒体は、ネットワーク要素の少なくとも1つのプロセッサによって実行可能な命令であり、少なくとも1つのプロセッサに、モバイル通信ネットワークにおける証明書の完全自動化登録のための方法を実行させる、命令を記録しており、方法は、少なくとも1つのサーバに、証明書マネージャに関する情報を取得するための要求を送信することと、少なくとも1つのサーバから、少なくとも1つのサーバによって認証されているネットワーク要素に基づいて証明書マネージャに関する情報を取得することと、証明書マネージャに関する取得した情報に基づいて、証明書マネージャに、証明書を要求するための証明書署名要求(CSR)を送信することと、証明書マネージャから、要求された証明書に対して証明書マネージャのCAサーバによって取得された事前構成されたポリシーに基づいて、CAサーバによって生成された要求された証明書を受信することと、を含む。
【図面の簡単な説明】
【0029】
これより、添付の図面を参照しながら本開示の例示的な実施形態の特徴、利点、及び重要性を説明し、図面において、同様の符号は同様の要素を示す。
【0030】
図1】1つ又は複数の実施形態による、モバイル通信ネットワークの非仮想マシン(VM)ベースのネットワーク要素に対して完全自動化証明書登録を実行するためのシステムのブロック図である。
図2】1つ又は複数の実施形態による、モバイル通信ネットワークの非VMベースのネットワーク要素に対して完全自動化証明書登録を実行するための通信フローを含むシステムアーキテクチャの図である。
図3】1つ又は複数の実施形態による、非VMベースのネットワーク要素に対して完全自動化証明書登録を実行するための方法のフローチャートである。
図4】1つ又は複数の実施形態による、非VM NEにCAサーバ識別情報を提供する方法のフローチャートである。
図5】1つ又は複数の実施形態による、証明書を生成する方法のフローチャートである。
図6】1つ又は複数の実施形態による、CAサーバ識別情報を取得するためのメッセージフロー図である。
図7】1つ又は複数の実施形態による、モバイル通信ネットワークの非仮想マシン(VM)ベースのネットワーク要素に対して半自動化証明書登録を実行するためのシステムのブロック図である。
図8】1つ又は複数の実施形態による、モバイル通信ネットワークの非VMベースのネットワーク要素に対して半自動化証明書登録を実行するための通信フローを含むシステムアーキテクチャの図である。
図9】1つ又は複数の実施形態による、非VMベースのネットワーク要素に対して半自動化証明書登録を実行するための方法のフローチャートである。
図10】一実施形態による、1つ又は複数のデバイスの構成要素の図である。
【発明を実施するための形態】
【0031】
例示的な実施形態の以下の詳細な説明は、添付図面を参照する。様々な図面における同じ参照番号は、同じ又は類似の要素を特定し得る。
【0032】
前述の開示は、例示及び説明を提供するが、網羅的であること、又は実装形態を開示した正確な形態に限定すること、を意図しない。上記の開示に照らして変更及び変形が可能であり、又は実装形態の実施から取得され得る。さらに、一実施形態の1つ又は複数の特徴又は構成要素は、別の実施形態(又は別の実施形態の1つ又は複数の特徴)に組み込まれてもよく、又は別の実施形態(又は別の実施形態の1つ又は複数の特徴)と組み合わせられてもよい。加えて、以下に提供される作業のフローチャート及び説明では、1つ又は複数の作業が省略されてもよく、1つ又は複数の作業が追加されてもよく、1つ又は複数の作業が(少なくとも部分的に)同時に実行されてもよく、1つ又は複数の作業の順序が差し替えられてもよいことは理解される。
【0033】
本明細書に記載のシステム及び/又は方法は、ハードウェア、ファームウェア、又はハードウェアとソフトウェアとの組合せの様々な形態で実装されてもよいことは明らかである。これらのシステム及び/又は方法を実装するために使用される実際の専用の制御ハードウェア又はソフトウェアコードは、実装形態を限定するものではない。したがって、システム及び/又は方法の動作及び挙動は、特定のソフトウェアコードを参照することなく本明細書に記載されている。ソフトウェア及びハードウェアは、本明細書の記載に基づいてシステム及び/又は方法を実装するように設計され得ることが理解される。
【0034】
特徴の特定の組合せを、特許請求の範囲に記載し、及び/又は本明細書に開示しているが、これらの組合せは、可能な実装形態の開示を限定することを意図しない。実際、これらの特徴の多くは、特許請求の範囲に具体的に記載してない、及び/又は本明細書に開示していない方法で組み合わされてもよい。以下に列挙する各従属請求項は1つの請求項のみに直接依存し得るが、可能な実装形態の開示は、各従属請求項を請求項セット内の他の全ての請求項と組み合わせて含んでいる。
【0035】
本明細書で使用する要素、動作、又は命令は、そのように明示的に記載されていない限り、重要又は必須であると解釈されるべきではない。また、本明細書で使用される場合、冠詞「1つの(a)」及び「1つの(an)」は、1つ又は複数の項目を含むことが意図され、「1つ又は複数の」と交換可能に使用され得る。1つの項目のみが意図される場合、「1つ」という用語又は同様の用語を使用する。また、本明細書で使用する場合、「有する(has)」、「有する(have)」、「有している(having)」、「含む(include)」、「含んでいる(including)」などの用語は、非限定的な用語であることを意図している。さらに、「~に基づいて」という語句は、特に明記しない限り、「~に少なくとも部分的に基づいて」を意味することを意図している。さらに、「[A]及び[B]のうちの少なくとも1つ」や「[A]又は[B]のうちの少なくとも1つ」などの表現は、Aのみ、Bのみ、又はAとBとの両方を含むと理解されるべきである。
【0036】
本開示の例示的な実施形態は、無線アクセスネットワーク(RAN)におけるネットワーク要素(NE)のゼロトラスト自動化相互認証を提供する。この点に関して、ゼロトラストとは「決して信頼せず、常に検証する」の原理を指し、相互認証とは2つのエンティティを互いに認証してそれらの間にセキュアな接続をセットアップすることを指す。例えば、実施形態によれば、NE(例えば、無線ユニット(RU)、集中ユニット(CU)、分配ユニット(DU)など)が別のNEとの接続を確立しようとするときはいつでも、両方のNEは、認証局(CA)サーバからの証明書を登録し、証明書を使用して互いに認証し、それによって接続を確保する。
【0037】
本開示の例示的な実施形態は、非仮想マシン(VM)ベースのNE(例えば、ハードウェアベースの物理NE)に対して証明書を登録する完全自動化方法、及びそれを実行するためのシステムを提供し、方法は、動的ホスト構成プロトコル(DHCP)サーバ及び認証サーバを使用して、NEを認証し、(NEが証明書署名要求(CSR)を生成し、提供された情報に基づいてCSRをCAサーバに送信することができるように)認証局(CA)サーバの情報を提供することと、Enrollment over Secure Transport(EST)サーバなどの登録局(RA)サーバを使用して、CSRにプロファイル識別子(ID)を割り当て、(NEとCAサーバとの間の接続を確保するために)プロファイルIDと共にCSRをCAサーバに転送することと、CAサーバを使用して、プロファイルIDに基づいてCSRに対応するポリシーをマッピングし、決定されたポリシーに基づいて証明書を生成又は取得することと、を含む。登録は、例示的な実施形態では完全に自動化されているため、ユーザは、証明書を(例えば、証明書の登録、再登録、又は更新時に)登録するために、情報(例えば、CAサーバに関する情報、ポリシー情報、CSRパラメータなど)を手動で提供する必要はなく、それによってネットワークオペレータの負担及び(例えば、ヒューマンエラーによる)情報漏洩のリスクを低減する。
【0038】
本開示の例示的な実施形態は、非VMベースのNEに対して証明書を登録する半自動化方法及びそれを実行するためのシステムを提供し、方法は、証明書ライフサイクル管理システム(CLMS)を使用して、ユーザがグラフィカルユーザインタフェース(GUI)を介して非VMベースのNEのCSRを入力し、そのCSRをCAサーバに登録することを可能にすることと、CAサーバを使用して、ポリシーIDを割り当て、ポリシーIDに基づいてCSRに対応するポリシーをマッピングし、それに基づいて証明書を生成し、それをCLMSに送信することと、を含む。例示的な実施形態によれば、ユーザは、次いで、CLMSを介して非VMベースのNEに証明書をダウンロードすることができる。さらに、例示的な実施形態によれば、ユーザは、CLMSのGUIを使用して、それを介して証明書が登録されるCAサーバを選択することができる。
【0039】
1つ又は複数の例示的な実施形態では、上記の完全自動化方法に加えて、証明書の半自動化登録のためのシステム及び方法を提供することができる。結果として、例示的な実施形態は、証明書の自動登録をサポートしないNEを、証明書の自動登録をサポートするNEと共に展開することを可能にし、それによってネットワークシステムを構成する際のより大きな柔軟性を可能にする(すなわち、ネットワークシステムが同じ又は異なるベンダからのより多くのタイプのNEをサポートすることを可能にする)。加えて、証明書を登録するためのCLMS及び半自動化方法を含むことにより、例示的な実施形態は、自動登録又は自動更新が実行できない状況(例えば、DHCP障害、認証サーバ障害、RAサーバ障害など)でのフォールバック又はバックアップ証明書登録プロセスを提供する。その結果、ネットワーク安定性が改善され、システムコンポーネントの障害の影響が低減される。
【0040】
本開示の例示的な実施形態は、DHCPサーバとは別個の認証サーバを使用してNEを認証する(例えば、含まれるNEのセキュリティパラメータをDHCP要求により検証する)、非VMベースのNEに対して証明書を登録するシステム及び方法を提供する。その結果、1つ又は複数の例示的な実施形態では、DHCPサーバは、認証又は検証プロセスのためのパラメータ(例えば、ベンダの証明書など)を記憶する必要がなく、それによってDHCPサーバの負荷が低減される。さらに、DHCPサーバは認証又は検証パラメータを記憶する必要がないので、1つのDHCPサーバは、異なるベンダ及び/又は異なるタイプ(例えば、O-RU、加入者端末装置(STU)、無線インタフェース装置(RIU)など)からの複数のNEにCA情報を提供することができる。例えば、例示的な実施形態によるO-RANベースの電気通信システムでは、多数のベンダからのNEが含まれてもよい。全てのNEを認証するために、大量の対応する認証情報(例えば、ベンダ証明書など)を予めインストールする必要がある。そのような情報がDHCPサーバに記憶された場合、コストと同様に、DHCPサーバの負荷が増加するであろう(すなわち、より多くのデータ記憶及び処理能力が使用されるであろう)。1つ又は複数の実施形態では、認証を別個の認証サーバにオフロードすることにより、システムのスケーラビリティが改善し、DHCPサーバの負荷が低減される。
【0041】
例示的な実施形態によれば、各CSRにプロファイルIDを割り当て、対応するポリシーをプロファイルIDにマッピングし、ポリシーに基づいて証明書を生成するシステム及び方法が提供される。CAサーバは対応するポリシーに基づいて証明書を生成するため、システムは、1つのCAサーバを使用して、複数のタイプのNE(異なるタイプのNEは異なるポリシーを有する)に対するオペレータ(例えば、電気通信会社又はモバイルネットワークオペレータ)証明書登録をサポートすることができる。1つのCAサーバを使用する(又はCAサーバの数を減らす)ことにより、実装コスト及びネットワーク構築時間が削減され、(CAサーバの数が減ることを考慮して)ネットワーク全体の電力消費が削減される。
【0042】
図1は、1つ又は複数の実施形態による、モバイル通信ネットワークの非VMベースのネットワーク要素に対して完全自動化証明書登録を実行するためのシステムのブロック図である。図1を参照すると、本システムは、ネットワーク要素100と、DHCPサーバ200と、認証サーバ300と、登録局(RA)サーバ400と、認証局(CA)サーバ500とを含む。
【0043】
ネットワーク要素(NE)100は、モバイル通信(すなわち、電気通信)ネットワーク(例えば、第5世代(5G)モバイルネットワーク、ロングタームエボリューション(LTE)ネットワークなど)に含まれる任意のネットワーク要素であってもよい。例えば、NE100は、RU、STU、RIUなどであってもよい。さらに、ネットワークは、オープンRAN(O-RAN)ベースのネットワークであってもよく、NE100は、O-RANベースのNE(例えば、O-RUなど)であってもよい。この目的のために、NE100は、複数のタイプのいずれかであってもよく、また複数のベンダのうちのいずれかからのものであってもよい。以下でさらに詳細に説明するように、NE100は、DHCPサーバ200からCAサーバ500の情報(例えば、アドレスなど)を取得し、証明書署名要求(CSR)を生成し、取得した情報に基づいてCAサーバ500に向けて証明書署名要求を送信し、CSRに基づいてCAサーバ500によって生成された証明書を受信するように構成される。証明書を使用して、NE100は、例えば、別の非VMベースのNE又はVMベースのNE(例えばCU、DUなど)と、ネットワーク内でセキュアな通信を実行することができる。
【0044】
DHCPサーバ200は、NE100にインターネットプロトコル(IP)アドレスを提供し割り当て、NE100にCAサーバ500の情報を提供するように構成されている。ここで、DHCPサーバ200は、認証サーバ300によって検証及び/又は認証されているNE100に基づいて、CAサーバ500のIPアドレス及び情報を提供する。CAサーバ500の情報は、CAサーバ500の識別情報(例えば、完全修飾ドメイン名(FQDN))、CAサーバのアドレス(例えば、IPアドレス)、及びCAサーバ500のセキュリティパラメータ(例えば、CAサーバ500のルート証明書)のうちの少なくとも1つを含み得る。
【0045】
認証サーバ300は、NE100を認証するように構成される。さらに、認証サーバ300は、NE100を認証又は検証するためのセキュリティパラメータを記憶する記憶部を含む。例えば、モバイル通信ネットワーク内のネットワーク要素の複数のベンダのベンダ証明書(又はサードパーティ証明書)が、認証サーバ300に予めインストールされる。この場合、認証サーバ300は、NE100からセキュリティパラメータ(例えば、NEのベンダデバイス証明書、シリアル番号及び/又はノンスなどの署名付きパラメータ、ベンダ識別子など)を受信し、予めインストールされたNEベンダの証明書を使用して、受信したセキュリティパラメータが正しいかどうかをチェックする。ここで、セキュリティパラメータは、NE100によって、DHCP要求(例えば、DHCPv6要求メッセージ)によりDHCPサーバ200に送信されてもよい。加えて、1つ又は複数の例示的な実施形態によれば、NE100によって登録されている証明書(例えば、中間証明書)とは異なる1つ又は複数のオペレータ証明書(例えば、ネットワークオペレータのルートCAからのルート証明書)が、ベンダ証明書に加えて(又はその代わりに)認証サーバ300に予めインストールされてもよい。この場合、認証サーバ300は、NE100から受信したオペレータデバイス証明書(例えば、オペレータのルートCAからNE100に事前に発行されたルート証明書)又はベンダ(又はサードパーティ)デバイス証明書(例えば、NEベンダのCAからNE100に予めインストールされた、又は事前に発行されたデバイス証明書)のいずれかを使用して、NE100を認証することができる。
【0046】
RAサーバ400は、NE100からCSRを受信し、NE100を認証又は検証し、CAサーバ500にCSRを転送するように構成される。例えば、RAサーバ400は、CSRに含まれる又はCSRと共に含まれる情報(例えば、ベンダ証明書、サードパーティ証明書、オペレータルート証明書など)と、RAサーバ400に予めインストールされている情報(例えば、ベンダ証明書、サードパーティ証明書、オペレータルート証明書など)とに基づいて、NE100を検証してもよい。例示的な実施形態によれば、RAサーバ400は、ESTプロトコルに基づいて(すなわち、RFC7030で定義されているように)NE100とCAサーバ500との間のセキュアな接続を確立するESTサーバとすることができる。例えば、NE100は、ベンダ証明書(すなわち、NEベンダのCAによって発行された証明書)を、CSRと共に及び/又はトランスポート層セキュリティ(TLS)証明書要求メッセージに応答して、ESTサーバに送信することができ、ESTサーバは、ベンダ証明書を検証し、それに応じてCSRを許可する。ESTサーバは単なる例であり、1つ又は複数の他の実施形態はこれに限定されないことが理解される。例えば、様々な他の実施形態におけるRAサーバ400は、限定はしないが、単純証明書登録プロトコル(SCEP)、証明書管理プロトコル(CMP)、暗号メッセージ構文を介した証明書管理(CMC)などを含む、証明書プロビジョニングのための異なるセキュリティプロトコルを実装し得る。
【0047】
さらに、例示的な実施形態によれば、RAサーバ400(例えば、ESTサーバ)は、CSRにプロファイルIDを割り当てるか又はマッピングし、CSR(すなわち、正当なCSR)と、(例えば、それと共に)プロファイルIDとをCAサーバ500に転送するように構成される。RAサーバ400は、ネットワーク内の複数のNEと複数のプロファイルIDとの対応関係によって事前に構成されていてもよい。例えば、RAサーバ400は、プロファイルIDのリスト、又はNEデバイスタイプ(例えば、RU、CU、DUなど)、予めインストールされたベンダ証明書、ベンダ識別情報、NEデバイス識別子(例えば、シリアル番号)などのうちの少なくとも1つへのプロファイルIDのマッピングを含むか、又は記憶し得る。例として、RAサーバ400は、各々が対応するプロファイルIDを有する、予めインストールされたベンダ証明書のリストを含み得る。別の例として、RAサーバ400は、各々が事前に割り当てられた対応するプロファイルIDを有する、CAサーバ500に登録されるべきデバイス(NE)又はデバイスタイプのリストを含み得る。ここで、プロファイルIDは、CAサーバ500に登録されるか又はネットワークにインストールされる新しいデバイスがあるときに、ユーザ(例えば、システム管理者)によって手動で割り当てられてもよい。具体的には、証明書を取得するために新しいデバイスがCAサーバ500に登録される場合、ユーザは、そのデバイスのプロファイルIDを割り当て、CAサーバ500においてそのデバイス/プロファイルIDに対応するポリシーを構成することができる(例えば、鍵使用、鍵の有効期間などを定義することができる)。プロファイルIDは、そのNE100に一意に割り当てられてもよいし(例えば、NEシリアル番号)、又は、他のNE(例えば、タイプ、目的、ベンダなどのうちの少なくとも1つが同じである他のNE)に割り当てられた同じプロファイルIDであってもよい。後者の場合、新しいポリシーは、そのプロファイルIDに対して既に設定されているため、NEに対して構成される必要はない。加えて、1つ又は複数の実施形態では、対応するポリシーは、プロファイルIDの範囲(割り当てられたものと割り当てられていないものの両方)に対してCAサーバ500に事前に構成及び設定されてもよく、例えば、特定のタイプのNE(RU又はSTUなど)に対する特定のポリシーは、そのタイプのNEに対応するプロファイルIDの範囲(例えば、RUの場合は6000~6999、STUの場合は7000~7999など)に対して事前構成されてもよい。この場合、一意のプロファイルIDをデバイス(例えば、ネットワークに追加される新しいRU)に割り当てる際に、対応するポリシーは、既に事前構成されており、新たに割り当てられたプロファイルIDを含むプロファイルIDの範囲にマッピングされているため、その時点で構成される必要はない。
【0048】
CAサーバ500は、RAサーバ400からCSRを受信し、CSRに基づく証明書を生成し、その証明書をNE100に(すなわち、RAサーバ400を介して)提供するように構成される。例示的な実施形態によれば、CAサーバ500は、RAサーバ400(例えば、ESTサーバ)からCSR及びプロファイルIDを受信し、プロファイルIDに従ってCSRに対応するポリシー(すなわち、所定の又は事前定義されたポリシー)をマッピングするように構成される。CAサーバは、各々が特定のNE(例えば、NEシリアル番号)、特定のタイプのNE、特定のベンダなどに対応するプロファイルID(すなわち、事前に設定されたプロファイルID)のリストを記憶することができる。例えば、第1のID又はIDの第1のセット(例えば、「6xxx」)は、第1のタイプのNE(例えば、RU)に対応し、第2のID又はIDの第2のセット(例えば、「7xxx」)は、第2のタイプのNE(例えば、STU)に対応する、などである。CAサーバ500はまた、各々がプロファイルID又はNEのタイプに対応する複数のポリシーを記憶することもできる。ポリシーは、ポリシーを定義するための様々なユーザ入力フィールド(例えば、有効期間及び有効期間オプション、鍵使用、失効パラメータなど)を含むグラフィカルユーザインタフェースを介してユーザ(例えば、管理者)によって事前構成されてもよい。次いで、CAサーバ500は、CSRのプロファイルIDに対応するポリシーを決定し、決定されたポリシーに従って証明書を生成することができる。この場合、生成された証明書は、証明書により、NE100が有効期間内に指定された使用を実行することのみが可能になるように、鍵使用、有効期間などを含むことができる。
【0049】
上述したように、ポリシーは、サブジェクト名フォーマット(C、O、CNフィールド)、鍵使用(例えば、デジタル署名、鍵証明書署名、証明書失効リスト署名など)、拡張鍵使用、有効期間、失効情報などのうちの少なくとも1つなど、証明書を構成又は生成するための情報を含む。ポリシーは、NEタイプ(例えば、RUのデフォルト又は標準の有効期間は6ヶ月であってもよく、非RUデバイスのデフォルト又は標準の有効期間は3年であってもよい)に基づいて定義されてもよいが、1つ又は複数の他の実施形態はそれに限定されず、ポリシーは、ユーザの(例えば、管理者の)要望、ニーズなどに従って定義されてもよいことが理解される。例えば、特定のポリシーは、テスト中の又は証明書更新のテスト中のNE(すなわち、NEのプロファイルID)に対して比較的短い有効期間でユーザによって構成されてもよい。
【0050】
図2は、1つ又は複数の実施形態による、モバイル通信ネットワークの非VMベースのネットワーク要素に対して完全自動化証明書登録を実行するための通信フローを含むシステムアーキテクチャの図である。図2を参照すると、システムアーキテクチャは、NE100と中央データセンタ(central data center(CDC))600とを含む。CDC700は、モバイル通信ネットワーク又は電気通信会社のオペレータのデータセンタであってもよく、DHCPサーバ200と、認証サーバ300と、証明書マネージャ(certificate manager(CM))700とを含む。これは単なる例であり、他の実施形態では、様々なデバイスの少なくとも幾つかは、複数の場所又はデータセンタにわたって分散されてもよいことが理解される。CM700は、RAサーバ400(例えば、ESTサーバ)と、CAサーバ500(例えば、モバイルネットワークオペレータのCAサーバ)とを含む。NE100、DHCPサーバ200、認証サーバ300、RAサーバ400、及びCAサーバ500は、図1を参照して上述したものと同じか又は実質的に同様であってよく、以下では、それらについて重複する説明を繰り返さないことがある。
【0051】
図2を参照すると、[1]において、NE100は、要求(例えば、DHCP要求)をDHCPサーバ200に送信する。NE100は、DHCPサーバ200からIPアドレス及びCA情報を取得するために、要求を送信する。要求は、NE100のベンダに関する識別情報、NE100のシリアル番号、NEデバイス証明書、署名付きシリアル番号、署名付きノンスなどのうちの少なくとも1つを含んでもよい。ここで、NEデバイス証明書は、NE100に予めインストールされたNEのベンダデバイス証明書(又はベンダCA証明書)であってもよいし、又は、NE100が既に有しているオペレータ(例えば、モバイルネットワークオペレータ又は電気通信会社)デバイス証明書(又はオペレータCA証明書)(例えば、ルートCA証明書)であってもよい。さらに、ノンスは、DHCPサーバ200からNE100によって事前に受信されていてもよい。
【0052】
[2]において、DHCPサーバ200は、検証及び認証のためにNE100のセキュリティパラメータを認証サーバ300に送信する(又は転送する)。セキュリティパラメータは、受信されたNE100のシリアル番号、受信されたNEデバイス証明書、受信された署名付きシリアル番号、受信された署名付きノンス、ノンス自体などのうちの少なくとも1つを含むことができる。
【0053】
認証サーバ300は、受信したセキュリティパラメータを検証し、認証する。例えば、認証サーバ300は、NEデバイス証明書、署名付きシリアル番号、及び署名付きノンスが正しいことを、予めインストールされた対応するベンダ又はオペレータ証明書、受信したシリアル番号、及び受信したノンスをそれぞれ使用して検証する。[3]において、認証サーバ300は、認証及び検証の結果(例えば、成功応答又は失敗応答)をDHCPサーバ200に送信する。
【0054】
[4]において、認証/検証に成功したことを示す認証及び検証の結果に基づいて、DHCPサーバ200は、NEのIPアドレス及びCAサーバ500の情報(例えば、FQDN/IP、ポート)を含むメッセージ(例えば、DHCP応答メッセージ)を生成し、NE100に送信する。メッセージはまた、ドメインネームシステム(DNS)情報、オペレータCAルート証明書などを含み得る。1つ又は複数の例示的な実施形態では、トップオブラック(TOR)スイッチ又はトランスポートネットワーク機器(TNE)が、DHCPサーバ200とNE100との間の通信経路に含まれ得、それらの間でメッセージを転送し得る。
【0055】
[5]において、NE100は、受信したCAサーバ500の情報に基づいて、CSR及びデバイス証明書(例えば、予めインストールされたベンダ証明書)をCM700に送信する。ここで、NE100によって生成されたCSRは、公開鍵(例えば、要求された証明書に含まれるようにNE100によって生成された公開鍵)、共通名フィールド(例えば、デバイスのホスト名)、組織名フィールド(例えば、モバイルネットワークオペレータの名前)を含み得、含まれる公開鍵に対応する秘密鍵で署名されていてもよい。CSR及びデバイス証明書は、HTTP要求メッセージで送信されてもよい。
【0056】
CSR及びデバイス証明書は、RAサーバ400(例えば、ESTサーバ)によって受信され、RAサーバ400はNE100を検証する。例えば、RAサーバ400は、受信したデバイス証明書と、予めインストールされている対応するデバイス証明書(例えば、ベンダ証明書)とを使用して、NE100を検証確認する。RAサーバ400はまた、上述したように、対応するプロファイルIDをNE100/CSRに割り当てるか又はマッピングし、[6]において、CSRをプロファイルIDと共にCAサーバ500に送信する(又は転送する)。
【0057】
CAサーバ500は、上述したように、RAサーバ400からプロファイルIDと共にCSRを受信し、そのプロファイルIDに基づいてCSRに対するポリシー(例えば、事前に構成されたポリシー)を決定する。CAサーバ500は、CSR及び決定されたポリシーに基づいて証明書を生成する。証明書は、X.509などの事前定義された規格に従ってフォーマットすることができる。[7]において、CAサーバ500は、RAサーバ400に証明書を送信し、RAサーバ400は次いで、[8]において、それをNE100に送信する。RAサーバ400は、証明書(例えば、CA署名付きデバイス証明書)をHTTP応答メッセージでNE100に送信し得る。
【0058】
図3は、1つ又は複数の実施形態による、非VMベースのネットワーク要素に対して完全自動化証明書登録を実行するための方法のフローチャートである。図3の方法は、図1又は図2を参照して上述したNE100によって実行されてもよい。例えば、本方法は、メモリに記憶された命令を実行する少なくとも1つのプロセッサによって実行されてもよい。
【0059】
図3を参照すると、動作S301において、NE100は、CAサーバ識別情報を取得するために、第1のサーバ(例えば、DHCPサーバ200)に要求(例えば、DHCP要求)を送信する。要求は、NE100のベンダに関する識別情報、NE100のシリアル番号、NEデバイス証明書、署名付きシリアル番号、署名付きノンスなどのうちの少なくとも1つを含んでもよい。ここで、NEデバイス証明書は、NE100に予めインストールされたNEのベンダデバイス証明書(又はベンダCA証明書)であってもよいし、NE100が既に有しているオペレータ(例えば、モバイルネットワークオペレータ又は電気通信会社)デバイス証明書(又はオペレータCA証明書)であってもよい。さらに、ノンスは、第1のサーバからNE100によって事前に受信されていてもよい。
【0060】
動作S302において、NE100は、サーバ(例えば、DHCPサーバ200)からCAサーバ識別情報を取得する。例えば、非VM NEがサーバ、又はサーバ(例えば、DHCPサーバ200)に通信可能に接続された許可サーバ300によって認証/検証されることに基づいて、NEデバイス証明書、署名付きシリアル番号、署名付きノンスなどに従って、NE100は、サーバからCAサーバ識別情報(例えば、FQDN/IP、ポート)を受信する。NE100は、サーバからIPアドレス及び追加情報(例えば、DNSなど)を受信してもよい。
【0061】
NE100は、動作S303において、CSRを生成し、CAサーバ500に向けて送信する。ここで、CSRは、様々な実施形態において、動作S301の前、後、又は同時に生成されてもよい。さらに、動作S303において、NE100は、認証されるために、少なくとも1つのセキュリティパラメータ(例えば、ベンダ証明書などのデバイス証明書)と共にCSRを送信することができる。例えば、NE100は、CSR及びセキュリティパラメータをRAサーバ400(例えば、ESTサーバ)に送信することができ、RAサーバ400は、セキュリティパラメータ(及び自身が所有する対応するセキュリティパラメータ)を使用してNE100を認証し、次いで、CAサーバ500にCSRを転送する。
【0062】
CAサーバ500は、CSRに基づいて証明書を生成し、動作S304において、NE100は、生成された証明書を受信する。
【0063】
図4は、1つ又は複数の実施形態による、非VM NEにCAサーバ識別情報を提供する方法のフローチャートである。図4の方法は、図1又は図2を参照して上述したDHCPサーバ200によって実行されてもよく、図3の動作S301に応答して実行されてもよい。例えば、本方法は、メモリに記憶された命令を実行する少なくとも1つのプロセッサによって実行されてもよい。
【0064】
図4を参照すると、動作S401において、サーバ(例えば、DHCPサーバ200)は、NE100からCA情報(例えば、CAサーバ識別情報)を取得するための要求を受信する。要求はまた、IPアドレスを受信するためのものであってもよい。要求は、NE100のベンダに関する識別情報、NE100のシリアル番号、NEデバイス証明書、署名付きシリアル番号、署名付きノンスなどのうちの少なくとも1つを含んでもよい。ノンスは、(例えば、初期メッセージに応答して)サーバによってNE100に事前に送信されてもよい。
【0065】
動作S402において、サーバは、NE100を認証する(例えば、NE100が真正であるかどうかを決定する)。例えば、サーバ(例えば、DHCPサーバ200)は、1つ又は複数のセキュリティパラメータ(例えば、受信したシリアル番号、受信したNEデバイス証明書、受信した署名付きシリアル番号、受信した署名付きノンス、及びノンス)を、別のサーバ(例えば、認証サーバ300)に送信することができ、別のサーバは、1つ又は複数のセキュリティパラメータを(例えば、対応する予めインストールされた証明書を使用して)検証し、検証の結果(例えば、成功又は失敗)をサーバに返す。あるいは、サーバは、NE100自体を直接認証してもよい(すなわち、1つ又は複数のセキュリティパラメータ自体を検証してもよい)。
【0066】
動作S403において、サーバは、認証/検証結果に基づいてCAサーバ識別情報(例えば、FQDN/IP、ポート)をNE100に送信する。サーバはまた、動作S403において、IPアドレス及び追加情報(例えば、DNSなど)をNE100に割り当てて送信することができる。
【0067】
図5は、1つ又は複数の実施形態による、証明書を生成する方法のフローチャートである。図5の方法は、図2を参照して上述したCM700によって実行されてもよく、図3の動作S303に応答して実行されてもよい。例えば、本方法は、メモリに記憶された命令を実行する少なくとも1つのプロセッサによって実行されてもよい。
【0068】
図5を参照すると、動作S501において、第1のサーバ(例えば、RAサーバ400)は、NE100からCSRを受信する。CSRは、公開鍵(例えば、要求された証明書に含まれるようにNE100によって生成された公開鍵)、共通名フィールド(例えば、デバイスのホスト名)、及び組織名フィールド(例えば、モバイルネットワークオペレータの名前)を含み得、含まれる公開鍵に対応する秘密鍵で署名されていてもよい。また、第1のサーバは、動作S501において、NE100からデバイス証明書(例えば、NEのベンダ証明書)を受信してもよい。
【0069】
動作S502において、第1のサーバはNE100を認証する。例えば、第1のサーバは、事前定義されたプロトコル(例えば、ESTプロトコル、SCEP、CMP、CMCプロトコルなど)に従ってNE100を認証することができる。この目的のために、NE100から受信したデバイス証明書に対応する証明書を第1のサーバに予めインストールし、デバイス証明書を検証するために使用することができる。
【0070】
動作S503において、第1のサーバは、CSR100にプロファイルIDをマッピングするか又は割り当てる。例えば、第1のサーバ(例えば、RAサーバ400)は、ネットワーク内の複数のNEと複数のプロファイルIDとの対応関係によって事前に構成されていてもよい。例えば、第1のサーバは、プロファイルIDのリスト、又はNEデバイスタイプ(例えば、RU、CU、DUなど)、予めインストールされたベンダ証明書、ベンダ識別情報、NEデバイス識別子などのうちの少なくとも1つへのプロファイルIDのマッピングを含むか、又は記憶し得る。例として、第1のサーバは、各々が対応するプロファイルIDを有する、予めインストールされたベンダ証明書のリストを含み得る。別の例として、第1のサーバは、各々が事前に割り当てられた対応するプロファイルIDを有する、CAサーバ500に登録されるべきデバイス(NE)又はデバイスタイプのリストを含み得る。
【0071】
動作S504において、第1のサーバは、プロファイルIDをもつCSRを第2のサーバ(すなわち、CAサーバ500)に送信する。
【0072】
動作S505において、第2のサーバは、プロファイルIDに従ってCSRに対応するポリシーを決定するか又はマッピングする。ここで、ポリシーは、第2のサーバに事前構成及び設定されて、証明書を構成するための情報(例えば、サブジェクト名フォーマット(C、O、CNフィールド)、鍵使用、拡張鍵使用、有効期間などのうちの少なくとも1つ)を含む。例えば、動作S505において、第2のサーバは、プロファイルIDに従ってNE100のデバイスタイプを決定することができ、デバイスタイプに基づいて事前構成されたポリシーを決定することができる。
【0073】
動作S506において、第2のサーバは、CSR及び決定されたポリシーに基づいて証明書を生成する。証明書は、X.509などの事前定義された規格に従ってフォーマットすることができ、決定されたポリシーに基づいて値(例えば、有効期間、鍵使用など)を有することができる。
【0074】
動作S507において、第2のサーバ(例えば、CAサーバ500)は、証明書をNE100に向けて送信する。例えば、第2のサーバは証明書を第1のサーバ(例えば、RAサーバ400)に送ってもよく、第1のサーバは次いで、証明書をNE100に転送する(又は別のデバイス、例えば、TORスイッチ又はTNE、に転送し、次いでその別のデバイスは証明書をNE100に送信する)。
【0075】
図3図5の方法は、自動的に、すなわち、証明書登録(又は再登録、更新など)時に手動入力又は人間の介入を必要とせずに実行され得ることが理解される。
【0076】
図6は、一実施形態による、CAサーバ識別情報を取得するためのメッセージフロー図である。図6のメッセージフロー図は、図1を参照して上述したもののような、NE100、DHCPサーバ200、及び認証サーバ300の間で送信されるメッセージを含む。1つ又は複数の他の実施形態は、図6に示すメッセージフロー及びシステムデバイスに限定されないことが理解される。例えば、1つ又は複数の他の実施形態では、デバイスのうちの少なくとも2つの間(例えば、NE100とDHCPサーバ200との間)にTORスイッチ又は他のTNEが含まれてもよい。
【0077】
図6を参照すると、S601において、NE100は、DHCPサーバ200にDHCP要請メッセージを送信する。これに応じて、S602において、DHCPサーバ200は、DHCPアドバタイズメッセージでノンスをNE100に送信する。ここで、ノンスは、例えば、DHCP要請メッセージを受信したことに応答して、DHCPサーバ100によって(例えば、1回の使用のために)生成され得る。NE100は、S603において、ベンダ情報、NEのシリアル番号、NEのデバイス証明書、署名付きシリアル番号、及び署名付きノンスを含むDHCP要求メッセージを生成し、DHCPサーバ200に送信する。ここで、DHCP応答メッセージは、NE100に予めインストールされたNEのベンダデバイス証明書(無効なオペレータデバイス証明書と呼ばれることがある)、又はNE100が既に有しているオペレータ(例えば、モバイルネットワークオペレータ又は電気通信会社)デバイス証明書(又はオペレータCA証明書)(有効なオペレータデバイス証明書と呼ばれることがある)、例えば、オペレータのCAからのルート証明書、のいずれかを含むことができる。DHCPサーバ200は、S604で、検証要求メッセージでセキュリティパラメータ(シリアル番号、デバイス証明書、署名付きシリアル番号、署名付きノンス、及びノンス)を認証サーバ300に送信する。認証サーバ300は、予めインストールされた対応するベンダ又はオペレータCA証明書を使用してデバイス証明書を検証し、署名付きシリアル番号及び署名付きノンスを検証する。この検証に基づいて、認証サーバ300は、S605において、成功又は失敗を示す検証応答メッセージをDHCPサーバ200に送信する。成功を示す検証応答メッセージに基づいて、DHCPサーバ200は、S606において、NE100にDHCP応答を送信する。NE100によって受信されるDHCP応答は、NEのIPアドレス及びCAサーバの情報(例えば、CAサーバのFQDN、ポート、及び/又はIP)を含む。さらに、DHCP応答は、オペレータCAルート証明書、DNS、及び他の詳細などのうちの少なくとも1つなどの追加情報を含むことができる。
【0078】
図7は、1つ又は複数の実施形態による、モバイル通信ネットワークの非仮想マシン(VM)ベースのネットワーク要素に対して半自動化証明書登録を実行するためのシステムのブロック図である。図7を参照すると、システムは、ネットワーク要素(NE)800と、ユーザ端末900と、証明書ライフサイクル管理システム(CLMS)1000と、認証局(CA)サーバ500とを含む。
【0079】
NE800は、モバイル通信(すなわち、電気通信)ネットワーク(例えば、5Gモバイルネットワーク、LTEネットワークなど)に含まれる任意のネットワーク要素であってもよい。例えば、NE800は、RU、STU、RIUなどであってもよい。さらに、ネットワークは、オープンRAN(O-RAN)ベースのネットワークであってもよく、NE800は、O-RANベースのNE(例えば、O-RUなど)であってもよい。この目的のために、NE800は、複数のタイプのいずれかであってもよく、また複数のベンダのうちのいずれかからのものであってもよい。NE800は、CLMS1000に接続し、CSRを生成してCLMS1000にアップロードし、CLMS1000を介して取得したCAサーバ500の証明書(例えば、モバイルネットワーク又は電気通信会社オペレータデバイス証明書)(例えば、アドレスなど)をダウンロードしてインストールするように構成されている。CSRは、証明書登録のためにCLMSによって提供されるグラフィカルユーザインタフェース(GUI)に、ユーザ(例えば、NE800の所有者、システム又はネットワーク管理者など)によって入力され得る。例えば、ユーザは、GUIを介してCSRを登録するためのCAサーバ(例えば、それぞれ、ネットワーク内の異なるタイプのNEの証明書に署名するか又はそれを登録するための複数の中間CAのうちの1つ)を選択することができる。NE800は、図1図6を参照して上述したように、完全自動化証明書登録をサポートしていることもしていないこともある。1つ又は複数の実施形態では、NE800は、図1図6を参照して上述した完全自動化方法によって証明書を取得することができないことがある(例えば、NE800は、完全自動化証明書登録をサポートしないことがある、完全自動化証明書を実行するためのシステムのコンポーネントに障害が発生することがあるなど)。これに代えて又は加えて、システム自体は、完全自動化証明書登録をサポートしなくてもよく、又は本開示の一実施形態による半自動化証明書登録のために特に構成されてもよい。
【0080】
ユーザ端末900は、CLMS1000に接続し、CLMS1000のグラフィカルユーザインタフェースを受信して表示するように構成される。さらに、ユーザ端末900は、ユーザがそれを通してCLMS1000のユーザインタフェースに入力を提供することができる入力デバイス(例えば、キーボード、マウス、タッチスクリーンなどのうちの少なくとも1つ)を含む。具体的には、ユーザ端末900は、ユーザ(例えば、管理者)がネットワーク要素800によってアップロードされたCSRを承認又は拒否することを可能にし、ネットワーク(例えばO-RAN)にわたって展開された証明書のライフサイクルの1つ又は複数の部分を管理するように構成され得る。例えば、ユーザは、ユーザ端末900に表示されたCLMS1000のグラフィカルユーザインタフェースを介して、証明書を手動で失効させること、証明書のパラメータ又はフィールドを変更すること、展開された証明書に関するダッシュボード又は情報を表示することなどができる。ユーザ端末900は、任意のコンピューティングデバイス(例えば、パーソナルコンピュータ、ラップトップコンピュータ、ワークステーション、モバイルデバイスなど)であってもよい。
【0081】
CLMS1000は、ネットワークにおいてCA証明書のライフサイクルを登録及び管理するためのシステム(例えば、1つ又は複数のサーバ又はコンピューティングデバイス)である。上述したように、CLMS1000は、NE800がそれを通してCSRをアップロードすることができる、証明書登録のためのGUIを提供する。例えば、ユーザ(例えば、NE800の所有者、管理者など)は、証明書登録のためのCAサーバをGUIを介して選択することができる。加えて、CLMS1000は、ユーザ(例えば、管理者)がCLMS1000にアップロード又は入力されたCSRを承認又は拒否し、ネットワーク全体に展開された証明書に関するダッシュボード及び情報を表示し、展開された証明書のライフサイクルを管理することを可能にするためのGUIをユーザ端末に提供することができる。加えて、CLMS1000は、特定のポリシー、例えば、電気通信会社又はモバイル通信ネットワークオペレータの承認済み暗号化ポリシーに準拠しているかどうか、任意のCSRをチェックすること、自動証明書更新を実行すること、などができる。
【0082】
CLMS1000は、表現状態転送(REST又はRESTful)APIなどのアプリケーションプログラミングインタフェース(API)を介してCAサーバ500に通信可能に結合又は接続され、NE800によってアップロードされたCSRをCAサーバ500に提出するか又は送信する。さらに、CLMS1000は、証明書をダウンロードする準備ができたときにCAサーバ500から通知を受信し、証明書をダウンロードする準備ができていることをユーザ(例えば、NE800の所有者又は管理者)に通知し、CAサーバ500から証明書を受信し、ユーザが証明書をNE800にダウンロードすることを可能にするように構成され得る。
【0083】
CAサーバ500は、NE800によって生成されたCSRをCLMS1000から受信し、CSRの(例えば、ユーザによって)事前に設定されたプロファイルIDを(例えば、NE800のタイプ又はベンダに基づいて)決定し、図1及び図2を参照して上述したようにプロファイルIDにマッピングされた対応するポリシーを決定し、CSR及びポリシーに従って証明書を生成するように構成される。さらに、CAサーバ500は、ユーザがそれを通してNE800に証明書をダウンロードすることができるCLMS1000に証明書を送信するように構成される。1つ又は複数の実施形態では、CAサーバ500は、証明書をダウンロードする準備ができていることをユーザに通知するために、CLMSに通知を送信するようにさらに構成されてもよい。
【0084】
図8は、1つ又は複数の実施形態による、モバイル通信ネットワークの非VMベースのネットワーク要素に対して半自動化証明書登録を実行するための通信フローを含むシステムアーキテクチャの図である。図8に示すシステムは、CLMS1000に加えて、図1図6を参照して上述した完全自動化登録をサポートするための構成要素を含む。したがって、本実施形態では、システムは、完全自動化証明書登録と、(例えば、NE800に対して完全自動化登録を実行することができないバックアップ又はフォールバック登録として)の半自動化証明書登録との両方をサポートするが、1つ又は複数の他の実施形態はこれに限定されないことが理解される。
【0085】
図8を参照すると、[1]において、NE800は、CSRを生成し、CLMS1000にアップロードする。例えば、認可されたユーザ(例えば、NE800の所有者、システム又はネットワーク管理者など)は、CLMSのGUIを介して複数の利用可能なCAサーバ(例えば、NEデバイスタイプに基づいて証明書を登録するための中間CAサーバなどのCAサーバ)の中からCAサーバ500を選択することができ、NE800は、選択されたCAサーバに登録するためにCSRを生成してCLMS1000にアップロードすることができる。例えば、ユーザ(例えば、システム管理者、管理ユーザなど)は、ユーザ端末を利用して、NE800にリモートでログイン又はアクセスし、NE800からCSRを生成及び提出することができる。これに加えて又は代えて、CSRを生成してCLMS1000に提出するために、(例えば、ユーザがNE800に直接、ユーザがリモートで、又はイベントの発生によって)命令がトリガされて、実行(例えば、自動的に実行)されてもよい。例えば、NE800にインストールされた命令又はスクリプトは、定期的に、又はイベントに応答して(例えば、NE800によって登録された既存の証明書のポリシーで定義された、期限切れまでX日などの更新トリガポイントに基づいて)、CSRを生成及び提出するために自動的に実行することができる。
【0086】
[2]において、CLMS1000は、ユーザ(例えば、管理者)が、それを通して、NE800によってアップロードされたCSRを承認又は拒否することができるGUIをユーザ端末900に提供する。[3]において、ユーザ端末900は、ユーザの入力に基づいてCSRの承認(又は拒否)を提出する。
【0087】
[4]において、CLMS100は、API(例えば、REST API)を介して選択されたCAサーバ500に承認済みCSRを送信する。CAサーバ500は、CSRを受信し、CSRに対して(又はNE800に対して)事前に設定されたプロファイルIDを決定し、上述のように事前に構成された対応するポリシーを決定する。CSR及び決定されたポリシーに基づいて、CAサーバ500は、NE800に対する証明書を生成する。[5]において、CAサーバ500は、APIを介して証明書をCLMS1000に送信する。[6]において、証明書がNE800によってダウンロードされる。
【0088】
図9は、1つ又は複数の実施形態による、非VMベースのネットワーク要素に対して半自動化証明書登録を実行するための方法のフローチャートである。図9の方法は、図8又は図9に示すシステムによって実行されてもよい。
【0089】
図9を参照すると、動作S901において、CSRが生成され、CLMS1000に入力される。例えば、CSRは、CLMS1000のGUIを介して、ユーザ(例えば、NE800の所有者又はシステム管理者)によって入力されてもよい。加えて、ユーザは、CSRが登録される特定のCAサーバを選択又は入力することができる。
【0090】
動作S902において、CSRは、API(例えば、REST API)を介してCLMS1000からCAサーバ500に送信される。例示的な実施形態によれば、CLMS1000は、ユーザ(例えば、システム管理者)による承認及びコンプライアンスチェックの成功(例えば、CSRがネットワークオペレータの所定のポリシーに準拠していることを確認すること)のうちの少なくとも一方を受けて、CAサーバ500にCSRを送信することができる。
【0091】
動作S903において、CAサーバ500は、CSRに(又はNE800に)対応する事前構成又は設定されたプロファイルIDを決定する。ここで、プロファイルIDは、CAサーバ500に登録される新しいデバイスがあるときに、ユーザ(例えば、システム管理者)によって手動で割り当てられてもよい。具体的には、証明書を取得するために新しいデバイスがCAサーバ500に登録される場合、ユーザは、そのデバイスのプロファイルIDを割り当て、CAサーバ500においてそのデバイス/プロファイルIDに対応するポリシーを構成することができる(例えば、鍵使用の有効期間、鍵の有効期間などを定義することができる)。したがって、CAサーバは、各々が特定のNE(例えば、シリアル番号)、特定のタイプのNE、NEのベンダなどに対応するプロファイルID(すなわち、事前に設定されたプロファイルID)のリストを記憶することができる。例えば、第1のID又はIDの第1のセット(例えば、「6xxx」)は、第1のタイプのNE(例えば、RU)に対応し、第2のID又はIDの第2のセット(例えば、「7xxx」)は、第2のタイプのNE(例えば、STU)に対応する、などである。
【0092】
動作S904において、CAサーバ500は、プロファイルIDに従って事前構成されたポリシーを決定する。ポリシーは、サブジェクト名フォーマット(C、O、CNフィールド)、鍵使用、拡張鍵使用、有効期間などのうちの少なくとも1つなど、証明書を構成又は生成するための情報を含む。ポリシーは、NEタイプ(例えば、RUのデフォルト又は標準の有効期間は6ヶ月であってもよく、非RUデバイスのデフォルト又は標準の有効期間は3年であってもよい)に基づいて定義されてもよいが、1つ又は複数の他の実施形態はそれに限定されないことが理解される。CAサーバ500は、例えば、プロファイルIDに従ってNE100のデバイスタイプを、及びデバイスタイプに基づいて事前構成されたポリシーを決定することによって、CSRのプロファイルIDに対応するポリシーを決定することができる。
【0093】
動作S905において、CAサーバ500は、決定されたポリシーに従って証明書を生成する。この場合、生成された証明書は、証明書により、NE800が有効期間内に指定された使用を実行することのみが可能になるように、鍵使用、有効期間などを含むことができる。
【0094】
動作S906において、証明書は、CLMSを介してNE800に送信される。例えば、CAサーバ500は、証明書をダウンロードする準備ができていることをユーザに通知するためにCLMSに通知を送信することができ、ユーザは次いで、CLMSを使用して証明書をダウンロードし、それをNE800にインストールすることができる。
【0095】
上記の例示的な実施形態は、証明書の登録を参照して説明されているが、上記の実施形態のうちの1つ、幾つか、又は全ては、証明書の再登録又は更新にも適用可能であることが理解される。証明書の再登録又は更新は、1つ又は複数の実施形態では、例えば、以下の式に従って決定された、閾値を超える現在のシステム日時に基づいてトリガされ得る。
証明書発行データ+更新閾値証明書有効期間
【0096】
例えば、上記の式を使用すると、証明書の有効期間が100日であり、更新閾値が60%である場合、証明書の更新は、現在のシステム日付が証明書の発行日から60日後に達するか又はそれを超えるときにトリガされる。証明書有効期間及び更新閾値のうちの1つ又は複数は、ユーザ(例えば、システム管理者)によって構成可能であり、証明書ごと、NEごと、NEデバイスタイプごとなどに異なり得ることが理解される。さらに、1つ又は複数の実施形態では、アラーム又は通知(例えば、「オペレータ証明書はX日で期限切れになります」)は、デバイス(例えば、証明書が登録されている対応するNE、NEに接続された別のNE、CLMSなど)によって生成され、アラームがクリアされる(例えば、証明書の更新が成功する際)まで毎日(又は定期的に)更新され得る。
【0097】
図10は、一実施形態による、1つ又は複数のデバイスの構成要素の図である。
【0098】
デバイス1100は、上述のデバイス(例えば、ネットワーク要素100又は800、DHCPサーバ200、認証サーバ300、RAサーバ400、CAサーバ500、ユーザ端末900、CLMS1000など)のいずれかに対応し得る。
【0099】
図10に示すように、デバイス1100は、バス1110と、プロセッサ1120と、メモリ1130と、記憶コンポーネント1140と、通信インタフェース1150とを含み得る。構成要素のうちの1つ若しくは複数が省略されてもよく、及び/又は1つ若しくは複数の追加の構成要素が含まれてもよいことが理解される。
【0100】
バス1110は、デバイス1100の構成要素間の通信を可能にする構成要素を含む。プロセッサ1120は、ハードウェア、ファームウェア、又はハードウェアとソフトウェアとの組合せで実装される。プロセッサ1120は、中央処理装置(CPU)、グラフィック処理装置(GPU)、加速処理装置(APU)、マイクロプロセッサ、マイクロコントローラ、デジタル信号プロセッサ(DSP)、フィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)、又は別のタイプの処理コンポーネントである。プロセッサ1120は、機能を実行するようにプログラムすることができる1つ又は複数のプロセッサを含む。
【0101】
メモリ1130は、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、及び/又はプロセッサ1120が使用するための情報及び/又は命令を記憶する別のタイプの動的又は静的記憶デバイス(例えば、フラッシュメモリ、磁気メモリ、及び/又は光メモリ)を含む。
【0102】
記憶コンポーネント1140は、デバイス1100の動作及び使用に関連する情報及び/又はソフトウェアを記憶する。例えば、記憶コンポーネント1140は、対応するドライブと共に、ハードディスク(例えば、磁気ディスク、光ディスク、光磁気ディスク、及び/又はソリッドステートディスク)、コンパクトディスク(CD)、デジタル多用途ディスク(DVD)、フロッピーディスク、カートリッジ、磁気テープ、及び/又は別のタイプの非一時的コンピュータ可読媒体を含んでもよい。
【0103】
通信インタフェース1150は、デバイス900が有線接続、無線接続、又は有線接続と無線接続との組合せなどを介して他のデバイスと通信することを可能にするトランシーバのような構成要素(例えば、トランシーバ及び/又は別個の受信機及び送信機)を含む。通信インタフェース1150は、デバイス1100が別のデバイスから情報を受信すること、及び/又は別のデバイスに情報を提供することを可能にし得る。例えば、通信インタフェース1150は、イーサネットインタフェース、光インタフェース、同軸インタフェース、赤外線インタフェース、無線周波数(RF)インタフェース、ユニバーサルシリアルバス(USB)インタフェース、Wi-Fiインタフェース、セルラーネットワークインタフェースなどを含んでもよい。
【0104】
デバイス1100は、本明細書に記載した1つ又は複数のプロセスを実行し得る。デバイス1100は、メモリ1130及び/又は記憶構成要素1140などの非一時的コンピュータ可読媒体によって記憶されたソフトウェア命令を実行するプロセッサ1120に基づいて動作を実行し得る。コンピュータ可読媒体は、本明細書では非一時的メモリデバイスとして規定される。メモリデバイスは、単一の物理記憶デバイス内のメモリ空間、又は複数の物理記憶デバイスにわたるメモリ空間を含む。
【0105】
ソフトウェア命令は、別のコンピュータ可読媒体から、又は通信インタフェース1150を介して別のデバイスから、メモリ1130及び/又は記憶構成要素1140に読み込まれてもよい。実行されると、メモリ1130及び/又は記憶構成要素1140に記憶されたソフトウェア命令は、プロセッサ1120に本明細書に記載の1つ又は複数のプロセスを実行させ得る。
【0106】
これに加えて又は代えて、ハードワイヤード回路をソフトウェア命令の代わりに、又はソフトウェア命令と組み合わせて使用して、本明細書に記載の1つ又は複数のプロセスを実行してもよい。したがって、本明細書に記載の実施形態は、ハードウェア回路とソフトウェアとの任意の特定の組合せに限定されない。
【0107】
前述の開示は、例示及び説明を提供するが、網羅的であること、又は実装形態を開示した正確な形態に限定すること、を意図しない。上記の開示に照らして変更及び変形が可能であり、又は実装形態の実施から取得され得る。
【0108】
幾つかの実施形態は、任意の可能な技術的詳細レベルの統合におけるシステム、方法、及び/又はコンピュータ可読媒体に関し得る。さらに、上述した上記の構成要素のうちの1つ又は複数は、コンピュータ可読媒体に記憶される、及び少なくとも1つのプロセッサによって実行可能な、命令として実装されてよい(及び/又は少なくとも1つのプロセッサを含んでよい)。コンピュータ可読媒体は、プロセッサに動作を実行させるためのコンピュータ可読プログラム命令を有するコンピュータ可読非一時的記憶媒体(複数可)を含むことができる。
【0109】
コンピュータ可読記憶媒体は、命令実行デバイスによる使用のための命令を保持及び記憶することができる有形のデバイスとすることができる。コンピュータ可読記憶媒体は、例えば、電子記憶デバイス、磁気記憶デバイス、光記憶デバイス、電磁記憶デバイス、半導体記憶デバイス、又はこれらの任意の適切な組合せであってもよいが、これらに限定されない。コンピュータ可読記憶媒体のより具体的な例の非網羅的なリストには、ポータブルコンピュータディスケット、ハードディスク、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、消去可能プログラマブル読み出し専用メモリ(EPROM又はフラッシュメモリ)、スタティックランダムアクセスメモリ(SRAM)、ポータブルコンパクトディスク読み出し専用メモリ(CD-ROM)、デジタル多用途ディスク(DVD)、メモリスティック、フロッピーディスク、パンチカード又は溝に命令が記録された隆起構造などの機械的に符号化されたデバイス、及び上記の任意の適切な組合せが含まれる。本明細書で使用されるコンピュータ可読記憶媒体は、それ自体が、電波若しくは他の自由に伝搬する電磁波、導波路若しくは他の伝送メディアを通って伝搬する電磁波(例えば、光ファイバケーブルを通過する光パルス)、又はワイヤを通って伝送される電気信号などの一時的な信号であると解釈されるべきではない。
【0110】
本明細書に記載のコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体からそれぞれのコンピューティング/処理デバイスに、又はネットワーク、例えばインターネット、ローカルエリアネットワーク、ワイドエリアネットワーク、及び/若しくは無線ネットワークを介して、外部コンピュータ若しくは外部記憶デバイスに、ダウンロードすることができる。ネットワークは、銅伝送ケーブル、光伝送ファイバ、無線伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイコンピュータ及び/又はエッジサーバを含むことができる。各コンピューティング/処理デバイス内のネットワークアダプタカード又はネットワークインタフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、コンピュータ可読プログラム命令を転送して、それぞれのコンピューティング/処理デバイス内のコンピュータ可読記憶媒体に記憶する。
【0111】
動作を実行するためのコンピュータ可読プログラムコード/命令は、アセンブラ命令、命令セットアーキテクチャ(ISA)命令、機械命令、機械依存命令、マイクロコード、ファームウェア命令、状態設定データ、集積回路の構成データ、又はSmalltalk、C++などのオブジェクト指向プログラミング言語、及び「C」プログラミング言語又は同様のプログラミング言語などの手続き型プログラミング言語を含む、1つ又は複数のプログラミング言語の任意の組合せで記述されたソースコード又はオブジェクトコードのいずれかであり得る。コンピュータ可読プログラム命令は、完全にユーザのコンピュータ上で、部分的にユーザのコンピュータ上で、スタンドアロンソフトウェアパッケージとして、部分的にユーザのコンピュータ上及び部分的にリモートコンピュータ上で、又は完全にリモートコンピュータ若しくはサーバ上で実行することができる。後者のシナリオでは、リモートコンピュータは、ローカルエリアネットワーク(LAN)又はワイドエリアネットワーク(WAN)を含む任意のタイプのネットワークを介してユーザのコンピュータに接続されてもよく、又は(例えば、インターネットサービスプロバイダを使用してインターネットを介して)外部コンピュータに接続されてもよい。幾つかの実施形態では、例えば、プログラマブル論理回路、フィールドプログラマブルゲートアレイ(FPGA)、又はプログラマブルロジックアレイ(PLA)を含む電子回路は、態様又は動作を実行するために、コンピュータ可読プログラム命令の状態情報を利用して電子回路をパーソナライズすることによってコンピュータ可読プログラム命令を実行することができる。
【0112】
これらのコンピュータ可読プログラム命令は、コンピュータ又は他のプログラム可能なデータ処理装置のプロセッサを介して実行する命令が、フローチャート及び/又はブロック図の1つ以上のブロックで指定された機能/動作を実施するための手段を作成するように、機械を製造するために、汎用コンピュータ、専用コンピュータ、又は他のプログラム可能なデータ処理装置のプロセッサに提供されてもよい。これらのコンピュータ可読プログラム命令はまた、コンピュータ、プログラム可能なデータ処理装置、及び/又は他のデバイスに特定の方法で機能するように指示することができるコンピュータ可読記憶媒体に記憶されてもよく、その結果、命令が記憶されたコンピュータ可読記憶媒体は、フローチャート及び/又はブロック図の1つ以上のブロックで指定された機能/動作の態様を実施する命令を含む製品を含む。
【0113】
コンピュータ可読プログラム命令はまた、コンピュータ、他のプログラム可能な装置、又は他のデバイス上で実行する命令がフローチャート及び/又はブロック図の1つ以上のブロックで指定された機能/動作を実施するように、コンピュータ、他のプログラム可能な装置、又は他のデバイス上で一連の動作ステップを実行させてコンピュータ実装プロセスを生成するために、コンピュータ、他のプログラム可能なデータ処理装置、又は他のデバイス上にロードされてもよい。
【0114】
図のフローチャート及びブロック図は、様々な実施形態に係るシステム、方法、及びコンピュータ可読媒体の可能な実装形態のアーキテクチャ、機能、及び動作を示す。これに関して、フローチャート又はブロック図の各ブロックは、指定された論理機能を実装するための1つ又は複数の実行可能な命令を含むモジュール、セグメント、又は命令の一部を表すことができる。方法、コンピュータシステム、及びコンピュータ可読媒体は、図に示されたものよりも追加のブロック、より少ないブロック、異なるブロック、又は異なる配置のブロックを含むことができる。幾つかの代替実装形態では、ブロックに記載された機能は、図に記載された順序とは異なる順序で行われてもよい。例えば、連続して示されている2つのブロックは、実際には、同時に又は実質的に同時に実行されてもよく、又はブロックは、関連する機能に応じて、時には逆の順序で実行されてもよい。また、ブロック図及び/又はフローチャート図の各ブロック、並びにブロック図及び/又はフローチャート図のブロックの組合せは、指定された機能若しくは動作を実行するか、又は専用ハードウェアとコンピュータ命令との組合せを実行する専用ハードウェアベースのシステムによって実装できることにも留意されたい。
【0115】
本明細書に記載のシステム及び/又は方法は、ハードウェア、ファームウェア、又はハードウェアとソフトウェアとの組合せの様々な形態で実装されてもよいことは明らかである。これらのシステム及び/又は方法を実装するために使用される実際の専用の制御ハードウェア又はソフトウェアコードは、実装形態を限定するものではない。したがって、システム及び/又は方法の動作及び挙動は、特定のソフトウェアコードを参照することなく本明細書に記載されており、ソフトウェア及びハードウェアは、本明細書の記載に基づいてシステム及び/又は方法を実装するように設計され得ることが理解される。
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
【国際調査報告】
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.