知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2025-01-17
(54)【発明の名称】通信方法および通信装置
(51)【国際特許分類】
H04W 12/069 20210101AFI20250109BHJP
H04L 9/32 20060101ALI20250109BHJP
H04L 9/08 20060101ALI20250109BHJP
【FI】
H04W12/069
H04L9/32 200B
H04L9/08 F
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024539862
(86)(22)【出願日】2022-12-23
(85)【翻訳文提出日】2024-08-09
(86)【国際出願番号】 CN2022141451
(87)【国際公開番号】W WO2023125293
(87)【国際公開日】2023-07-06
(31)【優先権主張番号】202111639208.4
(32)【優先日】2021-12-29
(33)【優先権主張国・地域又は機関】CN
(81)【指定国・地域】
(71)【出願人】
【識別番号】503433420
【氏名又は名称】華為技術有限公司
【氏名又は名称原語表記】HUAWEI TECHNOLOGIES CO.,LTD.
【住所又は居所原語表記】Huawei Administration Building, Bantian, Longgang District, Shenzhen, Guangdong 518129, P.R. China
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133569
【弁理士】
【氏名又は名称】野村 進
(72)【発明者】
【氏名】▲蒋▼ ▲鏗▼
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA21
5K067DD11
5K067EE10
5K067EE16
(57)【要約】
本出願は、通信方法および通信装置を提供する。本方法は、第1のデバイスから第1のメッセージを受信するステップであって、第1のメッセージが証明書要求ファイルを含み、証明書要求ファイルがAAUのデジタル証明書を申請するために使用される、ステップと、第1のメッセージに基づいて認証局CAサーバへ第2のメッセージを送信するステップであって、第2のメッセージが証明書要求ファイルを含む、ステップと、CAサーバからデジタル証明書を受信するステップと、AAUへデジタル証明書を送信するステップとを含む。本出願では、第2のデバイス(例えば、BBU)が第1のデバイス(例えば、AAU)の代理として機能して、CAサーバにデジタル証明書を申請するので、デジタル証明書を更新または管理できる。
【特許請求の範囲】
【請求項1】
通信方法であって、第1のデバイスから第1のメッセージを受信するステップであって、前記第1のメッセージが証明書要求ファイルを含み、前記証明書要求ファイルが前記第1のデバイスのデジタル証明書を申請するために使用される、ステップと、
前記第1のメッセージに基づいて認証局CAサーバへ第2のメッセージを送信するステップであって、前記第2のメッセージが前記証明書要求ファイルを含む、ステップと、
前記CAサーバから前記デジタル証明書を受信するステップと、
前記第1のデバイスへ前記デジタル証明書を送信するステップと
を含む、方法。
【請求項2】
前記第1のメッセージに基づいてCAサーバへ第2のメッセージを送信する前記ステップは、前記第1のデバイスへ第3のメッセージを送信するステップであって、前記第3のメッセージが前記証明書要求ファイルを含む、ステップと、
前記第1のデバイスから前記第3のメッセージに対応する第1の署名データを受信するステップと、
前記CAサーバへ前記第2のメッセージを送信するステップであって、前記第2のメッセージが前記第1の署名データと前記第3のメッセージを含む、ステップと
を含む、請求項1に記載の方法。
【請求項3】
前記CAサーバから前記デジタル証明書を受信する前記ステップは、前記第2のメッセージについて前記CAサーバから第1の応答を受信するステップであって、前記第1の応答が前記デジタル証明書を含む、ステップ
を含む、請求項1または2に記載の方法。
【請求項4】
前記第1の応答は前記第1の応答の署名データを搬送し、前記第1のデバイスへ前記デジタル証明書を送信する前記ステップは、前記第1の応答の前記署名データに基づいて前記第1の応答をチェックしたチェック結果に基づいて前記CAサーバへ第1の確認応答情報を送信するステップと、
前記第1の確認応答情報について前記CAサーバから第2の確認応答情報を受信するステップと、
前記第2の確認応答情報に応答して前記第1のデバイスへ前記デジタル証明書を送信するステップと
を含む、請求項3に記載の方法。
【請求項5】
前記第1の応答の前記署名データに基づいて前記第1の応答をチェックしたチェック結果に基づいて前記CAサーバへ第1の確認応答情報を送信する前記ステップは、前記チェック結果が、前記チェックが成功したことである場合に、前記第1のデバイスへ前記第1の確認応答情報を送信するステップと、
前記第1のデバイスから前記第1の確認応答情報に対応する第2の署名データを受信するステップと、
前記CAサーバへ前記第1の確認応答情報と前記第2の署名データを送信するステップと
を含む、請求項4に記載の方法。
【請求項6】
通信方法であって、第2のデバイスへ第1のメッセージを送信するステップであって、前記第1のメッセージが証明書要求ファイルを含み、前記証明書要求ファイルが第1のデバイスのデジタル証明書を申請するために使用される、ステップと、
前記第2のデバイスから前記デジタル証明書を受信するステップと
を含む、方法。
【請求項7】
前記方法は、前記第2のデバイスから第3のメッセージを受信するステップであって、前記第3のメッセージが前記証明書要求ファイルを含む、ステップと、
前記第2のデバイスへ前記第3のメッセージに対応する第1の署名データを送信するステップと
をさらに含む、請求項6に記載の方法。
【請求項8】
前記方法は、前記第2のデバイスから第1の確認応答情報を受信するステップと、
前記第2のデバイスへ前記第1の確認応答情報に対応する第2の署名データを送信するステップと
をさらに含む、請求項6または7に記載の方法。
【請求項9】
通信装置であって、前記通信装置は、第2のデバイスであり、第1のデバイスから第1のメッセージを受信するように構成されたトランシーバユニットであって、前記第1のメッセージが証明書要求ファイルを含み、前記証明書要求ファイルが前記第1のデバイスのデジタル証明書を申請するために使用される、トランシーバユニットと、
前記第1のメッセージに基づいて、前記トランシーバユニットを通じて認証局CAサーバへ第2のメッセージを送信するように構成された処理ユニットであって、前記第2のメッセージが前記証明書要求ファイルを含む、処理ユニットと
を備え、
前記トランシーバユニットは、前記CAサーバから前記デジタル証明書を受信するように構成され、
前記トランシーバユニットは、前記第1のデバイスへ前記デジタル証明書を送信するように構成された、通信装置。
【請求項10】
前記処理ユニットは、具体的には、前記トランシーバユニットを通じて前記第1のデバイスへ第3のメッセージを送信するように構成され、前記第3のメッセージが前記証明書要求ファイルを含み、
前記処理ユニットは、前記第1のデバイスから前記トランシーバユニットを通じて前記第3のメッセージに対応する第1の署名データを受信し、
前記トランシーバユニットを通じて前記CAサーバへ前記第2のメッセージを送信するように構成され、前記第2のメッセージが前記第1の署名データと前記第3のメッセージを含む、請求項9に記載の装置。
【請求項11】
前記トランシーバユニットは、具体的には、前記第2のメッセージについて前記CAサーバからの第1の応答を受信するように構成され、前記第1の応答が前記デジタル証明書を含む、請求項9または10に記載の装置。
【請求項12】
前記第1の応答は前記第1の応答の署名データを搬送し、前記トランシーバユニットは、具体的には、前記第1の応答の前記署名データに基づいて前記第1の応答をチェックしたチェック結果に基づいて前記CAサーバへ第1の確認応答情報を送信し、
前記第1の確認応答情報について前記CAサーバから第2の確認応答情報を受信し、
前記第2の確認応答情報に応答して前記第1のデバイスへ前記デジタル証明書を送信するように構成された、請求項11に記載の装置。
【請求項13】
前記トランシーバユニットは、具体的には、前記チェック結果が、前記チェックが成功したことである場合に、前記第1のデバイスへ前記第1の確認応答情報を送信し、
前記第1のデバイスから前記第1の確認応答情報に対応する第2の署名データを受信し、
前記CAサーバへ前記第1の確認応答情報と前記第2の署名データを送信するように構成された、請求項12に記載の装置。
【請求項14】
通信装置であって、前記通信装置は、第1のデバイスであり、第2のデバイスへ第1のメッセージを送信するように構成されたトランシーバユニットであって、前記第1のメッセージが証明書要求ファイルを含み、前記証明書要求ファイルが前記第1のデバイスのデジタル証明書を申請するために使用される、トランシーバユニットを備え、
前記トランシーバユニットは、前記第2のデバイスから前記デジタル証明書を受信するように構成された、通信装置。
【請求項15】
前記トランシーバユニットは、前記第2のデバイスから第3のメッセージを受信するように構成され、前記第3のメッセージが前記証明書要求ファイルを含み、前記装置は、
前記トランシーバユニットを通じて前記第2のデバイスへ前記第3のメッセージに対応する第1の署名データを送信するように構成された処理ユニットをさらに備える、請求項14に記載の装置。
【請求項16】
前記トランシーバユニットは、具体的には、前記第2のデバイスから第1の確認応答情報を受信し、
前記第2のデバイスへ前記第1の確認応答情報に対応する第2の署名データを送信するように構成された、請求項14または15に記載の装置。
【請求項17】
プロセッサおよびトランシーバを備える通信装置であって、前記プロセッサおよび前記トランシーバは、前記装置が請求項1から5のいずれか一項に記載の方法を実行することを可能にするために、少なくとも1つのメモリに記憶されたコンピュータプログラムまたは命令を実行するように構成された、通信装置。
【請求項18】
プロセッサおよびトランシーバを備える通信装置であって、前記プロセッサおよび前記トランシーバは、前記装置が請求項6から8のいずれか一項に記載の方法を実行することを可能にするために、少なくとも1つのメモリに記憶されたコンピュータプログラムまたは命令を実行するように構成された、通信装置。
【請求項19】
コンピュータ可読記憶媒体であって、前記記憶媒体はコンピュータプログラムまたは命令を記憶し、前記コンピュータプログラムまたは前記命令がコンピュータによって実行されると、請求項1から5のいずれか一項に記載の方法が実行される、コンピュータ可読記憶媒体。
【請求項20】
コンピュータ可読記憶媒体であって、前記記憶媒体はコンピュータプログラムまたは命令を記憶し、前記コンピュータプログラムまたは前記命令がコンピュータによって実行されると、請求項6から8のいずれか一項に記載の方法が実行される、コンピュータ可読記憶媒体。
【請求項21】
コンピュータプログラム製品であって、前記コンピュータプログラム製品はコンピュータプログラムコードを備え、前記コンピュータプログラムコードがコンピュータにおいて実行されると、請求項1から5のいずれか一項に記載の方法が実行される、コンピュータプログラム製品。
【請求項22】
コンピュータプログラム製品であって、前記コンピュータプログラム製品はコンピュータプログラムコードを備え、前記コンピュータプログラムコードがコンピュータにおいて実行されると、請求項6から8のいずれか一項に記載の方法が実行される、コンピュータプログラム製品。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、2021年12月29日に中国国家知識産権局に出願された、発明の名称を「通信方法および通信装置」とする中国特許出願第202111639208.4号の優先権を主張するものであり、同中国特許出願は、参照によりその全体が本書に組み入れられる。
【0002】
本出願は、通信技術分野に関し、特に、通信方法および通信装置に関する。
【背景技術】
【0003】
デジタル証明書は、認証局(certificate authority、CA)サーバによってデジタル署名され、公開鍵の所有者と公開鍵に関する情報を含むファイルである。CAサーバは、信頼できる公正な第三者機関である。したがって、通信システム内のデバイスにはデジタル証明書が適用され、これにより、デバイスはセキュアな伝送チャネルを確立し、CAサーバによって発行される証明書に基づいて身元認証を実行することができる。新無線(new radio、NR)システムでは、基地局が第1のデバイスと第2のデバイスを含む。例えば、第1のデバイスはアクティブアンテナユニット(active antenna unit、AAU)であり、第2のデバイスはベースバンドユニット(base band unit、BBU)である。AAUとBBUは、改良共通公衆無線インターフェース(enhanced common public radio interface、eCPRI)を通じて互いに通信するので、AAUとBBUは、セキュアなeCPRI通信を実施するためにデジタル証明書を使用する必要がある。しかしながら、AAUとCAサーバの間には直接チャネルがないため、AAUはデジタル証明書の更新や管理を行うことができない。
【発明の概要】
【課題を解決するための手段】
【0004】
本出願は、デジタル証明書を更新または管理するために、通信方法および通信装置を提供する。
【0005】
第1の態様によると、本出願は通信方法を提供する。本方法は第2のデバイスに適用可能であり、本方法は、
第1のデバイスから第1のメッセージを受信するステップであって、第1のメッセージが証明書要求ファイルを含み、証明書要求ファイルが第1のデバイスのデジタル証明書を申請するために使用される、ステップと、
第1のメッセージに基づいて認証局CAサーバへ第2のメッセージを送信するステップであって、第2のメッセージが証明書要求ファイルを含む、ステップと、
CAサーバからデジタル証明書を受信するステップと、
第1のデバイスへデジタル証明書を送信するステップと
を含む。
第1のデバイスから第1のメッセージを受信するステップであって、第1のメッセージが証明書要求ファイルを含み、証明書要求ファイルが第1のデバイスのデジタル証明書を申請するために使用される、ステップと、
第1のメッセージに基づいて認証局CAサーバへ第2のメッセージを送信するステップであって、第2のメッセージが証明書要求ファイルを含む、ステップと、
CAサーバからデジタル証明書を受信するステップと、
第1のデバイスへデジタル証明書を送信するステップと
を含む。
【0006】
本出願では、AAUがCAサーバとの伝送ネットワークを確立する必要はなく、第2のデバイス(例えば、AAU)の代理として第1のデバイス(例えば、BBU)を通じてCAサーバにデジタル証明書を申請するので、デジタル証明書を更新または管理できる。
【0007】
可能な一実装において、第1のメッセージに基づいてCAサーバへ第2のメッセージを送信するステップは、
第1のデバイスへ第3のメッセージを送信するステップであって、第3のメッセージが証明書要求ファイルを含む、ステップと、
第1のデバイスから第3のメッセージに対応する第1の署名データを受信するステップと、
CAサーバへ第2のメッセージを送信するステップであって、第2のメッセージが第1の署名データと第3のメッセージを含む、ステップと
を含む。
第1のデバイスへ第3のメッセージを送信するステップであって、第3のメッセージが証明書要求ファイルを含む、ステップと、
第1のデバイスから第3のメッセージに対応する第1の署名データを受信するステップと、
CAサーバへ第2のメッセージを送信するステップであって、第2のメッセージが第1の署名データと第3のメッセージを含む、ステップと
を含む。
【0008】
本出願では、非同期遠隔署名方式で、具体的には、第2のデバイスが第1のデバイスへ署名されるべきデータ(例えば、第3のメッセージ)を送信し、第1のデバイスによってフィードバックされる署名データ(例えば、第1の署名データ)を受信する方式で、代理プロセスのセキュリティを保証でき、AAUの秘密鍵がネットワーク上で転送されず、漏洩しないことが保証される。
【0009】
可能な一実装において、CAサーバからデジタル証明書を受信するステップは、
第2のメッセージについてCAサーバから第1の応答を受信するステップであって、第1の応答がデジタル証明書を含む、ステップ
を含む。
第2のメッセージについてCAサーバから第1の応答を受信するステップであって、第1の応答がデジタル証明書を含む、ステップ
を含む。
【0010】
可能な一実装において、第1の応答は第1の応答の署名データを搬送し、第1のデバイスへデジタル証明書を送信するステップは、
第1の応答の署名データに基づいて第1の応答をチェックしたチェック結果に基づいてCAサーバへ第1の確認応答情報を送信するステップと、
第1の確認応答情報についてCAサーバから第2の確認応答情報を受信するステップと、
第2の確認応答情報に応答して第1のデバイスへデジタル証明書を送信するステップと
を含む。
第1の応答の署名データに基づいて第1の応答をチェックしたチェック結果に基づいてCAサーバへ第1の確認応答情報を送信するステップと、
第1の確認応答情報についてCAサーバから第2の確認応答情報を受信するステップと、
第2の確認応答情報に応答して第1のデバイスへデジタル証明書を送信するステップと
を含む。
【0011】
可能な一実装において、第1の応答の署名データに基づいて第1の応答をチェックしたチェック結果に基づいてCAサーバへ第1の確認応答情報を送信するステップは、
チェック結果が、チェックが成功したことである場合に、第1のデバイスへ第1の確認応答情報を送信するステップと、
第1のデバイスから第1の確認応答情報に対応する第2の署名データを受信するステップと、
CAサーバへ第1の確認応答情報と第2の署名データを送信するステップと
を含む。
チェック結果が、チェックが成功したことである場合に、第1のデバイスへ第1の確認応答情報を送信するステップと、
第1のデバイスから第1の確認応答情報に対応する第2の署名データを受信するステップと、
CAサーバへ第1の確認応答情報と第2の署名データを送信するステップと
を含む。
【0012】
本出願では、非同期遠隔署名方式で、具体的には、第2のデバイスが第1のデバイスへ署名されるべきデータ(例えば、第1の確認応答情報)を送信し、第1のデバイスによってフィードバックされる署名データ(例えば、第2の署名データ)を受信する方式で、代理プロセスのセキュリティを保証でき、AAUの秘密鍵がネットワーク上で転送されず、漏洩しないことが保証される。
【0013】
第2の態様によると、本出願は通信方法を提供する。本方法は、第1のデバイスに適用可能であり、本方法は、
第2のデバイスへ第1のメッセージを送信するステップであって、第1のメッセージが証明書要求ファイルを含み、証明書要求ファイルが第1のデバイスのデジタル証明書を申請するために使用される、ステップと、
第2のデバイスからデジタル証明書を受信するステップと
を含む。
第2のデバイスへ第1のメッセージを送信するステップであって、第1のメッセージが証明書要求ファイルを含み、証明書要求ファイルが第1のデバイスのデジタル証明書を申請するために使用される、ステップと、
第2のデバイスからデジタル証明書を受信するステップと
を含む。
【0014】
可能な一実装において、本方法は、
第2のデバイスから第3のメッセージを受信するステップであって、第3のメッセージが証明書要求ファイルを含む、ステップと、
第2のデバイスへ第3のメッセージに対応する第1の署名データを送信するステップと
をさらに含む。
第2のデバイスから第3のメッセージを受信するステップであって、第3のメッセージが証明書要求ファイルを含む、ステップと、
第2のデバイスへ第3のメッセージに対応する第1の署名データを送信するステップと
をさらに含む。
【0015】
可能な一実装において、本方法は、
第2のデバイスから第1の確認応答情報を受信するステップと、
第2のデバイスへ第1の確認応答情報に対応する第2の署名データを送信するステップと
をさらに含む。
第2のデバイスから第1の確認応答情報を受信するステップと、
第2のデバイスへ第1の確認応答情報に対応する第2の署名データを送信するステップと
をさらに含む。
【0016】
第3の態様によると、本出願は通信方法を提供する。本方法はCAサーバに適用可能であり、本方法は、
第2のデバイスから第2のメッセージを受信するステップであって、第2のメッセージが証明書要求ファイルを含み、証明書要求ファイルが第1のデバイスのデジタル証明書を申請するために使用される、ステップと、
第2のデバイスへデジタル証明書を送信するステップと
を含む。
第2のデバイスから第2のメッセージを受信するステップであって、第2のメッセージが証明書要求ファイルを含み、証明書要求ファイルが第1のデバイスのデジタル証明書を申請するために使用される、ステップと、
第2のデバイスへデジタル証明書を送信するステップと
を含む。
【0017】
可能な一実装において、第2のメッセージは、第3のメッセージに対応する第1の署名データと第3のメッセージとを含み、第3のメッセージは、証明書要求ファイルを含む。
【0018】
可能な一実装において、第2のデバイスへデジタル証明書を送信するステップは、
第2のデバイスへ第2のメッセージに対する第1の応答を送信するステップであって、第1の応答がデジタル証明書を含む、ステップ
を含む。
第2のデバイスへ第2のメッセージに対する第1の応答を送信するステップであって、第1の応答がデジタル証明書を含む、ステップ
を含む。
【0019】
可能な一実装において、第1の応答は第1の応答の署名データを搬送し、本方法は、
第2のデバイスから第1の確認応答情報を受信するステップであって、第1の確認応答情報が、第1の応答の署名データに基づいて第2のデバイスによって第1の応答をチェックしたチェック結果に基づいて生成される、ステップと、
第1の確認応答情報に対する第2の確認応答情報を第2のデバイスへ送信するステップと
をさらに含む。
第2のデバイスから第1の確認応答情報を受信するステップであって、第1の確認応答情報が、第1の応答の署名データに基づいて第2のデバイスによって第1の応答をチェックしたチェック結果に基づいて生成される、ステップと、
第1の確認応答情報に対する第2の確認応答情報を第2のデバイスへ送信するステップと
をさらに含む。
【0020】
可能な一実装において、第1の確認応答情報は、第1の確認応答情報に対応する第2の署名データをさらに搬送する。
【0021】
第4の態様によると、本出願は通信装置を提供する。本装置は、第2のデバイスであってよい。本装置は、
第1のデバイスから第1のメッセージを受信するように構成されたトランシーバユニットであって、第1のメッセージが証明書要求ファイルを含み、証明書要求ファイルが第1のデバイスのデジタル証明書を申請するために使用される、トランシーバユニットと、
第1のメッセージに基づいて、トランシーバユニットを通じて認証局CAサーバへ第2のメッセージを送信するように構成された処理ユニットであって、第2のメッセージが証明書要求ファイルを含む、処理ユニットと
を含み、
トランシーバユニットは、CAサーバからデジタル証明書を受信するように構成され、
トランシーバユニットは、第1のデバイスへデジタル証明書を送信するように構成される。
第1のデバイスから第1のメッセージを受信するように構成されたトランシーバユニットであって、第1のメッセージが証明書要求ファイルを含み、証明書要求ファイルが第1のデバイスのデジタル証明書を申請するために使用される、トランシーバユニットと、
第1のメッセージに基づいて、トランシーバユニットを通じて認証局CAサーバへ第2のメッセージを送信するように構成された処理ユニットであって、第2のメッセージが証明書要求ファイルを含む、処理ユニットと
を含み、
トランシーバユニットは、CAサーバからデジタル証明書を受信するように構成され、
トランシーバユニットは、第1のデバイスへデジタル証明書を送信するように構成される。
【0022】
可能な一実装において、処理ユニットは、具体的には、
トランシーバユニットを通じて第1のデバイスへ第3のメッセージを送信し、第3のメッセージが証明書要求ファイルを含み、
第1のデバイスからトランシーバユニットを通じて第3のメッセージに対応する第1の署名データを受信し、
トランシーバユニットを通じてCAサーバへ第2のメッセージを送信し、第2のメッセージが第1の署名データと第3のメッセージを含む、
ように構成される。
トランシーバユニットを通じて第1のデバイスへ第3のメッセージを送信し、第3のメッセージが証明書要求ファイルを含み、
第1のデバイスからトランシーバユニットを通じて第3のメッセージに対応する第1の署名データを受信し、
トランシーバユニットを通じてCAサーバへ第2のメッセージを送信し、第2のメッセージが第1の署名データと第3のメッセージを含む、
ように構成される。
【0023】
可能な一実装において、トランシーバユニットは、具体的には、
第2のメッセージについてCAサーバからの第1の応答を受信し、前記第1の応答がデジタル証明書を含む、
ように構成される。
第2のメッセージについてCAサーバからの第1の応答を受信し、前記第1の応答がデジタル証明書を含む、
ように構成される。
【0024】
可能な一実装において、第1の応答は第1の応答の署名データを搬送し、トランシーバユニットは、具体的には、
第1の応答の署名データに基づいて第1の応答をチェックしたチェック結果に基づいてCAサーバへ第1の確認応答情報を送信し、
第1の確認応答情報についてCAサーバから第2の確認応答情報を受信し、
第2の確認応答情報に応答して第1のデバイスへデジタル証明書を送信する、
ように構成される。
第1の応答の署名データに基づいて第1の応答をチェックしたチェック結果に基づいてCAサーバへ第1の確認応答情報を送信し、
第1の確認応答情報についてCAサーバから第2の確認応答情報を受信し、
第2の確認応答情報に応答して第1のデバイスへデジタル証明書を送信する、
ように構成される。
【0025】
可能な一実装において、トランシーバユニットは、具体的には、
チェック結果が、チェックが成功したことである場合に、第1のデバイスへ第1の確認応答情報を送信し、
第1のデバイスから第1の確認応答情報に対応する第2の署名データを受信し、
CAサーバへ第1の確認応答情報と第2の署名データを送信する、
ように構成される。
チェック結果が、チェックが成功したことである場合に、第1のデバイスへ第1の確認応答情報を送信し、
第1のデバイスから第1の確認応答情報に対応する第2の署名データを受信し、
CAサーバへ第1の確認応答情報と第2の署名データを送信する、
ように構成される。
【0026】
第5の態様によると、本出願は通信装置を提供する。本装置は、第1のデバイスであってよい。本装置は、
第2のデバイスへ第1のメッセージを送信するように構成されたトランシーバユニットであって、第1のメッセージが証明書要求ファイルを含み、証明書要求ファイルが第1のデバイスのデジタル証明書を申請するために使用される、トランシーバユニット
を含み、
トランシーバユニットは、第2のデバイスからデジタル証明書を受信するように構成される。
第2のデバイスへ第1のメッセージを送信するように構成されたトランシーバユニットであって、第1のメッセージが証明書要求ファイルを含み、証明書要求ファイルが第1のデバイスのデジタル証明書を申請するために使用される、トランシーバユニット
を含み、
トランシーバユニットは、第2のデバイスからデジタル証明書を受信するように構成される。
【0027】
可能な一実装において、トランシーバユニットは、第2のデバイスから第3のメッセージを受信し、第3のメッセージが証明書要求ファイルを含む、ように構成され、
本装置は、
トランシーバユニットを通じて第2のデバイスへ第3のメッセージに対応する第1の署名データを送信するように構成された処理ユニット
をさらに含む。
本装置は、
トランシーバユニットを通じて第2のデバイスへ第3のメッセージに対応する第1の署名データを送信するように構成された処理ユニット
をさらに含む。
【0028】
可能な一実装において、トランシーバユニットは、具体的には、
第2のデバイスから第1の確認応答情報を受信し、
第2のデバイスへ第1の確認応答情報に対応する第2の署名データを送信する、
ように構成される。
第2のデバイスから第1の確認応答情報を受信し、
第2のデバイスへ第1の確認応答情報に対応する第2の署名データを送信する、
ように構成される。
【0029】
第6の態様によると、本出願は通信装置を提供する。本装置はCAサーバである。本装置は、
第2のデバイスから第2のメッセージを受信するように構成されたトランシーバユニットであって、第2のメッセージが証明書要求ファイルを含み、証明書要求ファイルが第1のデバイスのデジタル証明書を申請するために使用される、トランシーバユニット
を含み、
トランシーバユニットは、第2のデバイスへデジタル証明書を送信するようにさらに構成される。
第2のデバイスから第2のメッセージを受信するように構成されたトランシーバユニットであって、第2のメッセージが証明書要求ファイルを含み、証明書要求ファイルが第1のデバイスのデジタル証明書を申請するために使用される、トランシーバユニット
を含み、
トランシーバユニットは、第2のデバイスへデジタル証明書を送信するようにさらに構成される。
【0030】
可能な一実装において、第2のメッセージは、第3のメッセージに対応する第1の署名データと第3のメッセージとを含み、第3のメッセージは、証明書要求ファイルを含む。
【0031】
可能な一実装において、トランシーバユニットは、
第2のデバイスへ第2のメッセージに対する第1の応答を送信し、第1の応答がデジタル証明書を含む、
ようにさらに構成される。
第2のデバイスへ第2のメッセージに対する第1の応答を送信し、第1の応答がデジタル証明書を含む、
ようにさらに構成される。
【0032】
可能な一実装において、第1の応答は第1の応答の署名データを搬送し、トランシーバユニットは、
第2のデバイスから第1の確認応答情報を受信し、第1の確認応答情報が、第1の応答の署名データに基づいて第2のデバイスによって第1の応答をチェックしたチェック結果に基づいて生成され、
第1の確認応答情報に対する第2の確認応答情報を第2のデバイスへ送信する、
ようにさらに構成される。
第2のデバイスから第1の確認応答情報を受信し、第1の確認応答情報が、第1の応答の署名データに基づいて第2のデバイスによって第1の応答をチェックしたチェック結果に基づいて生成され、
第1の確認応答情報に対する第2の確認応答情報を第2のデバイスへ送信する、
ようにさらに構成される。
【0033】
可能な一実装において、第1の確認応答情報は、第1の確認応答情報に対応する第2の署名データをさらに搬送する。
【0034】
第7の態様によると、本出願は通信装置を提供する。本装置は、第2のデバイス、第2のデバイス内の装置、または第2のデバイスとともに使用され得る装置であってよい。あるいは、本通信装置はチップシステムであってもよい。本通信装置は、第1の態様による方法を実行できる。本通信装置の機能は、ハードウェアによって実現されてよく、または対応するソフトウェアを実行するハードウェアによって実現されてもよい。ハードウェアまたはソフトウェアは、前述の機能に対応する1つ以上のユニットまたはモジュールを含む。ユニットまたはモジュールは、ソフトウェアおよび/またはハードウェアであってよい。本通信装置によって実行される作業とその有益な効果については、第1の態様による方法とその有益な効果を参照されたい。繰り返しの部分については再度説明しない。
【0035】
第8の態様によると、本出願は通信装置を提供する。本装置は、第1のデバイス、第1のデバイス内の装置、または第1のデバイスとともに使用され得る装置であってよい。あるいは、本通信装置はチップシステムであってもよい。本通信装置は、第2の態様による方法を実行できる。本通信装置の機能は、ハードウェアによって実現されてよく、または対応するソフトウェアを実行するハードウェアによって実現されてもよい。ハードウェアまたはソフトウェアは、前述の機能に対応する1つ以上のユニットまたはモジュールを含む。ユニットまたはモジュールは、ソフトウェアおよび/またはハードウェアであってよい。本通信装置によって実行される作業とその有益な効果については、第2の態様による方法とその有益な効果を参照されたい。繰り返しの部分については再度説明しない。
【0036】
第9の態様によると、本出願は通信装置を提供する。本装置は、CAサーバ、CAサーバ内の装置、またはCAサーバとともに使用され得る装置であってよい。あるいは、本通信装置はチップシステムであってもよい。本通信装置は、第3の態様による方法を実行できる。本通信装置の機能は、ハードウェアによって実現されてよく、または対応するソフトウェアを実行するハードウェアによって実現されてもよい。ハードウェアまたはソフトウェアは、前述の機能に対応する1つ以上のユニットまたはモジュールを含む。ユニットまたはモジュールは、ソフトウェアおよび/またはハードウェアであってよい。本通信装置によって実行される作業とその有益な効果については、第3の態様による方法とその有益な効果を参照されたい。繰り返しの部分については再度説明しない。
【0037】
第10の態様によると、本出願は通信装置を提供する。本装置は第2のデバイスであってよく、本通信装置はプロセッサとトランシーバを含む。プロセッサとトランシーバは、本装置が第1の態様の可能な実装のいずれか1つによる方法を実行することを可能にするために、少なくとも1つのメモリに記憶されたコンピュータプログラムまたは命令を実行するように構成される。
【0038】
第11の態様によると、本出願は通信装置を提供する。本装置は第2のデバイスであってよく、本通信装置は、プロセッサ、トランシーバ、およびメモリを含む。プロセッサ、トランシーバ、およびメモリは結合される。プロセッサとトランシーバは、第1の態様の可能な実装のいずれか1つによる方法を実行するように構成される。
【0039】
第12の態様によると、本出願は通信装置を提供する。本装置は第1のデバイスであってよく、本通信装置はプロセッサとトランシーバを含む。プロセッサとトランシーバは、本装置が第2の態様の可能な実装のいずれか1つによる方法を実行することを可能にするために、少なくとも1つのメモリに記憶されたコンピュータプログラムまたは命令を実行するように構成される。
【0040】
第13の態様によると、本出願は通信装置を提供する。本装置は第1のデバイスであってよく、本通信装置は、プロセッサ、トランシーバ、およびメモリを含む。プロセッサ、トランシーバ、およびメモリは結合される。プロセッサとトランシーバは、第2の態様の可能な実装のいずれか1つによる方法を実行するように構成される。
【0041】
第14の態様によると、本出願は通信装置を提供する。本装置はCAサーバであってよく、本通信装置はプロセッサとトランシーバを含む。プロセッサとトランシーバは、本装置が第3の態様の可能な実装のいずれか1つによる方法を実行することを可能にするために、少なくとも1つのメモリに記憶されたコンピュータプログラムまたは命令を実行するように構成される。
【0042】
第15の態様によると、本出願は通信装置を提供する。本装置はCAサーバであってよく、本通信装置は、図8のプロセッサ、トランシーバ、およびメモリを含む。プロセッサ、トランシーバ、およびメモリは結合される。プロセッサとトランシーバは、第3の態様の可能な実装のいずれか1つによる方法を実行するように構成される。
【0043】
第16の態様によると、本出願はコンピュータ可読記憶媒体を提供する。本記憶媒体は、コンピュータプログラムまたは命令を記憶し、コンピュータプログラムまたは命令がコンピュータによって実行されると、第1の態様から第3の態様のいずれか1つによる方法が実行される。
【0044】
第17の態様によると、本出願は、命令を含むコンピュータプログラム製品を提供する。本コンピュータプログラム製品はコンピュータプログラムコードを含み、コンピュータプログラムコードがコンピュータにおいて実行されると、第1の態様から第3の態様のいずれか1つによる方法が実行される。
【図面の簡単な説明】
【0045】
【図1】5Gシステムのネットワークアーキテクチャの概略図である。
【図2】基地局とCAサーバの間のネットワークアーキテクチャの概略図である。
【図3】本出願の一実施形態による通信方法の適用シナリオの図である。
【図4】本出願の一実施形態による通信方法の概略フローチャートである。
【図5】本出願の一実施形態による完全性保護シナリオの図である。
【図6】本出願の一実施形態による通信方法の別の概略フローチャートである。
【図7】本出願の一実施形態による通信方法の別の概略フローチャートである。
【図8】本出願の一実施形態による通信装置の構造の図である。
【図9】本出願の一実施形態による別の通信装置の構造の図である。
【図10】本出願の一実施形態による別の通信装置の構造の図である。
【図11】本出願の一実施形態による別の通信装置の構造の図である。
【発明を実施するための形態】
【0046】
以下では、本出願の実施形態の添付の図面を参照しながら本出願の実施形態の技術的解決策を明確かつ十分に説明する。
【0047】
本出願の説明において、特に明記しない限り、「/」は「または」を意味する。例えば、A/BはAまたはBを表すことができる。本明細書における「および/または」という用語は、関連する対象間の関連関係のみを記述し、3つの関係が存在し得ることを示す。例えば、Aおよび/またはBは、以下の3つの場合、すなわち、Aのみが存在する場合、AとBの両方が存在する場合、およびBのみが存在する場合を表すことができる。加えて、「少なくとも1つ」は1つ以上を意味し、「複数の」は2つ以上を意味する。「第1」および「第2」などの用語は、数量や実行順序を限定するものではなく、「第1」および「第2」などの用語は、明確な違いを示すものではない。
【0048】
本出願において、「例」または「例えば」などの用語は、例、例示、または説明を与えることを表すために使用される。本出願において「例」または「例えば」として説明されているいかなる実施形態または設計方式も、別の実施形態または設計方式より好ましいものとして、または別の実施形態または設計方式より多くの利点を有するものとして、説明されるべきではない。厳密に述べると、「例」または「例えば」などの用語の使用は、関連する概念を具体的なやり方で提示することを意図している。
【0049】
本出願の実施形態の技術的解決策は、エンハンスト・ロング・ターム・エボリューション(enhanced-long term evolution、eLTE)システム、第5世代(5th generation、5G)システム、および新無線(new radio、NR)などの様々な通信システムに適用できる。本出願における5G移動通信システムは、非スタンドアロン(non-standalone、NSA)5G移動通信システムまたはスタンドアロン(standalone、SA)5G移動通信システムを含む。本出願で提供される技術的解決策は、将来の通信システムに、例えば第6世代移動通信システムに、さらに適用できる。あるいは、通信システムは、公衆陸上モバイルネットワーク(public land mobile network、PLMN)、デバイス対デバイス(device-to-device、D2D)通信システム、マシン対マシン(machine to machine、M2M)通信システム、モノのインターネット(Internet of Things、IoT)通信システム、または別の通信システムであってもよい。これは本書で限定されない。
【0050】
理解を容易にするため、説明のための一例として5Gシステムを用いる。図1は、5Gシステムのネットワークアーキテクチャの概略図である。図1に示されているように、このネットワークアーキテクチャは、端末デバイス、(無線)アクセスネットワーク((radio)access network、(R)AN)、コアネットワーク(core network、CN)、およびデータネットワーク(data network、DN)を含み得る。(R)AN(以下、RANと記述する)は、端末デバイスを無線ネットワークに接続するように構成され、CNは、端末デバイスを管理し、かつDNと通信するためのゲートウェイを提供するように構成される。
【0051】
端末デバイスは、無線トランシーバ機能を有するデバイスであってよい。端末デバイスは、異なる名称、例えば、端末、ユーザ機器(user equipment、UE)、アクセス端末、端末ユニット、端末ステーション、モバイルステーション、リモートステーション、リモート端末、モバイルデバイス、無線通信デバイス、端末エージェント、または端末装置を有し得る。端末デバイスは、屋内デバイス、屋外デバイス、ハンドヘルドデバイス、または車載デバイスを含み、陸上に配備されてよく、水面(例えば、船舶)に配備されてもよく、または空中に(例えば、飛行機、気球、または衛星上に)配備されてもよい。端末デバイスは、ハンドヘルドデバイス、車載デバイス、ウェアラブルデバイス、または無線通信機能を有する計算デバイスを含む。例えば、端末デバイスは、携帯電話(mobile phone)、タブレットコンピュータ、または無線トランシーバ機能を有するコンピュータであってよい。あるいは、端末デバイスは、仮想現実(virtual reality、VR)端末デバイス、拡張現実(augmented reality、AR)端末デバイス、産業制御の無線端末、自動運転の無線端末、遠隔医療の無線端末、スマートグリッドの無線端末、スマートシティ(smart city)の無線端末、スマートホーム(smart home)の無線端末などであってもよい。本出願の実施形態において、端末デバイスの機能を実現するように構成された装置は、端末デバイスであってよく、または機能を実現するにあたって端末デバイスを支援できる装置、例えばチップシステムであってもよい。本出願の実施形態において、チップシステムは、チップを含み得、またはチップおよび別のディスクリートデバイスを含み得る。本出願の実施形態では、端末デバイスの機能を実現するように構成された装置が端末デバイスである一例を用いて、本出願の実施形態で提供される技術的解決策を説明する。
【0052】
アクセスネットワークデバイスは、基地局と呼ばれることもある。基地局は、マクロ基地局、マイクロ基地局(スモールセルと呼ばれることもある)、中継局、およびアクセスポイントなど、様々な形態の基地局を含み得る。特に、基地局は、ワイヤレスローカルエリアネットワーク(wireless local area network、WLAN)のアクセスポイント(access point、AP)、モバイル通信用グローバルシステム(global system for mobile communications、GSM)または符号分割多元接続(code division multiple access、CDMA)のベーストランシーバステーション(Base Transceiver Station、BTS)、広帯域符号分割多元接続(wideband code division multiple access、WCDMA(登録商標))のノードB(NodeB、NB)、LTEの進化型ノードB(evolved node B、eNB、またはeNodeB)、中継局、アクセスポイント、車載デバイス、ウェアラブルデバイス、将来の5Gネットワークの次世代ノードB(the next generation node B、gNB)、将来の進化型公衆陸上モバイルネットワーク(public land mobile network、PLMN)の基地局などであり得る。
【0053】
基地局は通常、ベースバンドユニット(baseband unit、BBU)と、遠隔無線ユニット(remote radio unit、RRU)と、アンテナと、RRUとアンテナとを接続するために使用されるフィーダとを含む。BBUは、信号変調を実行するように構成される。RRUは、無線周波数処理を実行するように構成される。アンテナは、ケーブル上の誘導波と空気中の空間波との変換を実行するように構成される。一方では、分散基地局は、RRUとアンテナの間のフィーダの長さを大幅に短縮する。これにより、信号損失を減らし、フィーダのコストを削減することができる。他方、RRUとアンテナは小さく、どこにでも設置できるので、ネットワーク計画がより柔軟になる。RRUは、遠隔に配置されてよい。加えて、全てのBBUが集中化され、中央局(central office、CO)に配置されてもよい。この集中方式では、基地局設備室の数を大幅に削減でき、補助デバイスの、特に空調装置の、エネルギー消費量を削減でき、炭素排出量を大幅に削減できる。加えて、分散BBUは、集中化によりBBUベースバンドプールを形成した後には、集中的に管理およびスケジューリングできるので、リソース配分がより柔軟になる。このモードでは、全ての物理的基地局が仮想基地局に進化する。全ての仮想基地局は、BBUベースバンドプールにおいてユーザデータ送受信やチャネル品質などの情報を共有し、互いに協働してジョイントスケジューリングを実施する。
【0054】
一部の配備では、基地局が中央ユニット(centralized unit、CU)と分散ユニット(distributed unit、DU)を含み得る。基地局は、アクティブアンテナユニット(active antenna unit、AAU)をさらに含み得る。CUは基地局のいくつかの機能を実現し、DUは基地局のいくつかの機能を実現する。例えば、CUは、無線リソース制御(radio resource control、RRC)層およびパケット・データ・コンバージェンス・プロトコル(packet data convergence protocol、PDCP)層の機能を実現するために、非リアルタイムプロトコルおよびサービスを処理する役割を担う。DUは、無線リンク制御(radio link control、略してRLC)層、媒体アクセス制御(media access control、MAC)層、および物理(physical、PHY)層の機能を実現するために、物理層プロトコルおよびリアルタイムサービスを処理する役割を担う。AAUは、いくつかの物理層処理機能、無線周波数処理、およびアクティブアンテナに関連する機能を実現する。RRC層の情報は、最終的にPHY層の情報になり、またはPHY層の情報から変換される。したがって、このアーキテクチャでは、上位層シグナリング、例えばRRC層シグナリングまたはPDCP層シグナリングも、DUによって送信されると、またはDUおよびAAUによって送信されると、見なされ得る。本出願の実施形態において、アクセスネットワークデバイスが、CUノード、DUノード、およびAAUノードのうちのいずれか1つ以上を含むデバイスであり得ることは理解されよう。加えて、CUは、RAN内のネットワークデバイスとして分類され得、またはCUは、コアネットワーク(core network、CN)内のネットワークデバイスとして分類され得る。これは本書で限定されない。
【0055】
コアネットワークデバイスは、モビリティ管理、データ処理、セッション管理、ポリシー、および課金などの機能を実現するように構成される。異なるアクセス技術のシステムでコアネットワーク機能を実現するデバイスの名称は、異なり得る。これは本出願では限定されない。一例として5Gネットワークを用いる。5GCの論理ネットワーク要素は、アクセス・モビリティ管理機能(access and mobility management function、AMF)ネットワーク要素、セッション管理機能(session management function、SMF)ネットワーク要素、ユーザプレーン機能(user plane function、UPF)ネットワーク要素、ポリシー制御機能(policy control function、PCF)ネットワーク要素、統一データ管理(unified data management、UDM)ネットワーク要素、アプリケーション機能(application function、AF)ネットワーク要素などを含む。
【0056】
DNは、パケットデータネットワーク(packet data network、PDN)と呼ばれることもあり、事業者ネットワークの外部に位置するネットワークである。事業者ネットワークは、複数のDNにアクセスできる。端末デバイスのために複数の可能なサービスを提供するため、DNには複数のサービスに対応するアプリケーションサーバが配備され得る。
【0057】
図1において、Npcf、Nudm、Naf、Namf、Nsmf、N1、N2、N3、N4、およびN6は、インターフェースシーケンス番号である。これらのインターフェースシーケンス番号の意味については、関連する標準プロトコルで定義されている意味を参照されたい。これは本書で限定されない。
【0058】
本出願の以下の実施形態において、第1のデバイスが、アクティブアンテナユニット(active antenna unit、AAU)または無線ユニット(radio unit、RU)の機能を有するネットワーク要素として理解されてよく、第2のデバイスが、ベースバンドユニット(base band unit、BBU)の機能を有するネットワーク要素として理解されてよいことに留意されたい。あるいは、これらのネットワーク要素は、別の名称で呼ばれてもよい。これは本書で限定されない。理解を容易にするため、第1のデバイスがAAUであり、第2のデバイスがBBUである一例を本出願の以下の実施形態の説明に用いる。
【0059】
以下では、本出願の実施形態における関連する技術的特徴を解説し説明する。これらの解説が本出願の実施形態の理解を容易にすることを意図しており、本出願で主張される保護範囲に対する限定と見なされるべきではないことに留意されたい。
【0060】
1.デジタル証明書
デジタル証明書は、認証局(certificate authority、CA)サーバによって署名されたデータ構造であり、公開鍵の所有者、公開鍵、発行者に関する情報、有効期間、および拡張情報に関する情報を含む。デジタル証明書は、データ送信の機密性、データ交換の完全性、情報送信の否認防止、およびデータ交換対象の身元の確実性を保証するために広く使用されている。本出願の実施形態におけるAAUのデジタル証明書は、AAUとBBUの間でセキュアチャネルを確立するために使用されるAAUにおけるデジタル証明書である。
デジタル証明書は、認証局(certificate authority、CA)サーバによって署名されたデータ構造であり、公開鍵の所有者、公開鍵、発行者に関する情報、有効期間、および拡張情報に関する情報を含む。デジタル証明書は、データ送信の機密性、データ交換の完全性、情報送信の否認防止、およびデータ交換対象の身元の確実性を保証するために広く使用されている。本出願の実施形態におけるAAUのデジタル証明書は、AAUとBBUの間でセキュアチャネルを確立するために使用されるAAUにおけるデジタル証明書である。
【0061】
2.公開鍵と秘密鍵
非対称暗号化技術には、秘密鍵と公開鍵の2種類の鍵がある。秘密鍵は鍵ペア所有者によって保持され、公開することはできない。公開鍵は、鍵ペア保持者によって別の人に公開される。通常、公開鍵はデータを暗号化するために使用され、秘密鍵は公開鍵によって暗号化されたデータを復号するために使用される。
非対称暗号化技術には、秘密鍵と公開鍵の2種類の鍵がある。秘密鍵は鍵ペア所有者によって保持され、公開することはできない。公開鍵は、鍵ペア保持者によって別の人に公開される。通常、公開鍵はデータを暗号化するために使用され、秘密鍵は公開鍵によって暗号化されたデータを復号するために使用される。
【0062】
3.ダイジェスト
送信する必要があるテキストに対してハッシュ(HASH)計算が行われて、そのテキストに対応するダイジェストが得られる。
送信する必要があるテキストに対してハッシュ(HASH)計算が行われて、そのテキストに対応するダイジェストが得られる。
【0063】
4.署名
署名は、署名データまたはデジタル署名と呼ばれることもある。通常、秘密鍵は、送信する必要があるテキストのダイジェストを暗号化するために使用され、得られた暗号文は、現在の送信プロセスの署名と呼ばれる。
署名は、署名データまたはデジタル署名と呼ばれることもある。通常、秘密鍵は、送信する必要があるテキストのダイジェストを暗号化するために使用され、得られた暗号文は、現在の送信プロセスの署名と呼ばれる。
【0064】
5.完全性保護/チェック
完全性保護/チェックは、メッセージの内容が送信過程で変更されているかどうかを判断するために使用され、メッセージの出所を判断するための身元検証にも使用され得る。特に、データ受信側は、送信されたテキストを受信し、そのテキストがデータ送信側によって送信された内容であるかどうかを判断する必要があり、換言すると、そのテキストが送信過程で改ざんされているかどうかを判断する必要がある。したがって、データ受信側は、公開鍵に基づいて署名を復号してテキストのダイジェストを得、次いで、送信側によって使用されているものと同じHASHアルゴリズムを使用してダイジェスト値を計算し、ダイジェスト値を復号されたテキストのダイジェストと比較する必要がある。ダイジェスト値と復号されたテキストのダイジェストが完全に一致する場合、それはテキストが改ざんされていないことを意味する。
完全性保護/チェックは、メッセージの内容が送信過程で変更されているかどうかを判断するために使用され、メッセージの出所を判断するための身元検証にも使用され得る。特に、データ受信側は、送信されたテキストを受信し、そのテキストがデータ送信側によって送信された内容であるかどうかを判断する必要があり、換言すると、そのテキストが送信過程で改ざんされているかどうかを判断する必要がある。したがって、データ受信側は、公開鍵に基づいて署名を復号してテキストのダイジェストを得、次いで、送信側によって使用されているものと同じHASHアルゴリズムを使用してダイジェスト値を計算し、ダイジェスト値を復号されたテキストのダイジェストと比較する必要がある。ダイジェスト値と復号されたテキストのダイジェストが完全に一致する場合、それはテキストが改ざんされていないことを意味する。
【0065】
AAUとBBUの間ではイーサネットリンクが使用されるので、AAUとBBUがセキュアなeCPRI通信を実施するために証明書を使用する必要があることに留意されたい。しかしながら、AAUとCAサーバの間には直接チャネルがないため、AAUは証明書の更新や管理を行うことができない。例えば、図2は、基地局とCAサーバの間のネットワークアーキテクチャの概略図である。図2に示されているように、5G通信システムでは、基地局がAAUとBBUを含む。BBUとAAUの間のインターフェースは、フロントホールインターフェースと呼ばれ、例えば、共通公衆無線インターフェース(common public radio interface、CPRI)または改良共通公衆無線インターフェース(enhanced common public radio interface、eCPRI)であり得る。BBUとCAサーバの間のインターフェースは、バックホールインターフェースと呼ばれる。AAUとCAサーバの間には直接チャネルがないため、AAUは、CAサーバの証明書をオンラインで申請/更新できない。
【0066】
これを考慮し、本出願の実施形態は、デジタル証明書のオンライン更新/管理を実施するために、通信方法を提供する。
【0067】
例えば、図3は、本出願の一実施形態による通信方法の適用シナリオの図である。図3に示されているように、AAUとBBUの間のeCRPIチャネルに対するセキュリティ攻撃を防ぐため、本出願の本実施形態では、トランスポート層セキュリティ(transport layer security)技術を用いてBBUとAAUの間でトランスポート層セキュリティ保護を実施する。換言すると、AAUとBBUのデータ伝送は、TLS技術を用いて実施され得、またはAAUとBBUのデータ伝送は、TLSチャネルを用いて実施される。BBUは、証明書管理プロトコルバージョン2(certificate management protocol version 2、CMPv2)プロトコルを使用してCAサーバと通信する。
【0068】
以下では、本出願で提供される通信方法および通信装置を詳細に説明する。
【0069】
【0070】
S401.BBUは、AAUから第1のメッセージを受信する。
【0071】
いくつかの実現可能な実装では、AAUは、デジタル証明書を申請するために必要な鍵ペアおよび証明書要求ファイル(certificate request file)を生成する。通常、証明書要求ファイルは、CAサーバに証明書を申請するための何らかの情報を含むデータファイルであり、AAUの公開鍵の情報、申請者情報、およびドメイン名などの情報を含む。AAUの公開鍵に関する情報は、AAUの公開鍵やAAUの公開鍵の取得情報などであってよい。これは本書で限定されない。換言すると、証明書要求ファイルは、AAUのデジタル証明書を申請するために使用され得る。AAUは、BBUへ第1のメッセージを送信でき、第1のメッセージは証明書要求ファイルを含む。これに対応して、BBUは、AAUから第1のメッセージを受信する。証明書要求ファイルに加えて、第1のメッセージは、証明書要求に関連する他の何らかのデータをさらに含み得る。詳細については、RFC4211プロトコルの規定を参照されたい。ここでは詳細を説明しない。
【0072】
AAUがBBUへ第1のメッセージを送信することが、トランスポート層セキュリティ(transport layer security、TLS)チャネルを通じてBBUへ第1のメッセージを送信することとして理解され得ることに留意されたい。これに対応して、BBUは、TLSチャネルを通じてAAUから第1のメッセージを受信する。通常、AAUおよびBBUの製造中には、AAUおよびBBUの各々のデバイス製造業者によって、AAUおよびBBUの各々の身元認定書として、少なくとも1つのデバイス製造業者の証明書がAAUおよびBBUの各々に組み込まれ得る。本出願のこの実施形態では、AAUのデバイス製造業者によってAAUに組み込まれる証明書が、AAUベンダー事前設定の証明書またはAAUデバイス証明書と呼ばれる。BBUのデバイス製造業者によってBBUに組み込まれる証明書は、BBUベンダー事前設定の証明書またはBBUデバイス証明書と呼ばれる。説明を簡単にするため、AAUベンダー事前設定の証明書とBBUベンダー事前設定の証明書は、ベンダー事前設定の証明書(Vendor certificate)と総称されることがある。ベンダー事前設定の証明書に基づいて、AAUとBBUの間にセキュアチャネル(またはTLSチャネルと記述される)を確立できる。特に、AAUとBBUの間にセキュアチャネルを確立するために、AAUデバイス証明書が使用される。AAUとBBUの間にセキュアチャネルを確立するために、BBUデバイス証明書が使用される。加えて、CAへのセキュアチャネルを確立するために、BBUデバイス証明書がさらに使用され得る。本出願のこの実施形態において、ベンダー事前設定の証明書に基づいてAAUとBBUの間にセキュアチャネルまたはTLSチャネルを確立する方式は、TLS1.2およびTLS1.3プロトコルで規定された方式に基づかせることができる。ここでは詳細を説明しない。
【0073】
AAUとBBUの間にセキュアチャネルが確立された後に、AAUが、確立されたセキュアチャネルを通じてBBUと通信できることは理解されよう。例えば、AAUは、確立されたセキュアチャネルを通じてBBUへ第1のメッセージを送信する。第1のメッセージは、証明書要求ファイルを含む。BBUがAAUから第1のメッセージを受信することが、BBUがAAUの代理として機能して、CAサーバとのCMPv2プロトコルインタラクションを完遂してデジタル証明書を申請し、申請によって得られたデジタル証明書をAAUへ転送することをAAUが許可することと同じであることに留意されたい。詳しいプロセスについては、以下のステップの説明を参照されたい。
【0074】
S402.BBUは、第1のメッセージに基づいて認証局CAサーバへ第2のメッセージを送信する。
【0075】
いくつかの実現可能な実装では、BBUは、第1のメッセージに基づいて認証局CAサーバへ第2のメッセージを送信する。第2のメッセージは、証明書要求ファイルを含む。具体的には、第1のメッセージに基づいてCAサーバへ第2のメッセージを送信することは、BBUがAAUへ第3のメッセージを送信し、第3のメッセージが証明書要求ファイルを含み、BBUがAAUから第3のメッセージに対応する第1の署名データを受信し、BBUがCAサーバへ第2のメッセージを送信し、第2のメッセージが第1の署名データと第3のメッセージを含むこととして理解できる。換言すると、AAUが証明書要求ファイルを含む第1のメッセージをBBUへ送信した後に、BBUは、第1のメッセージに基づいて第3のメッセージを生成し、署名のために第3のメッセージをAAUへ送信することができる。さらに、BBUは、AAUから第3のメッセージに対応する第1の署名データを受信し、第3のメッセージと第1の署名データを組み合わせて第2のメッセージを生成し、第2のメッセージをCAサーバへ送信する。換言すると、BBUは、第3のメッセージと第3のメッセージに対応する第1の署名データとをCAサーバへ送信できる。
【0076】
通常、AAUは、AAUの秘密鍵に基づいて第3のメッセージに署名し、署名によって得られた第1の署名データをBBUへ送信できる。さらに、BBUは、CMPv2プロトコルに従ってCAサーバへ署名済みメッセージ(すなわち、第2のメッセージ)を送信する。第3のメッセージは、証明書要求メッセージ、または証明書管理プロトコル(certificate management protocol、CMP)初期化要求(initialization request、IR)メッセージとして理解することもできる。証明書要求ファイルに加えて、第3のメッセージは他の内容をさらに含み得る。詳細については、RFC4211プロトコルおよびRFC4210プロトコルの規定を参照されたい。ここでは詳細を説明しない。
【0077】
以下では、AAUが秘密鍵に基づいて第3のメッセージに署名するプロセスと、CAサーバが第3のメッセージと第1の署名データに基づいて第3のメッセージに対して完全性チェックを実行するプロセスについて説明する。
【0078】
例えば、図5は、本出願の一実施形態による完全性保護シナリオの図である。通常、AAUは、第3のメッセージを受信した後に、ハッシュアルゴリズムに基づいて第3のメッセージに対してハッシュ演算を実行して対応するハッシュ値を得、次いで、生成されたハッシュ値をAAUの秘密鍵を使用して暗号化して第1の署名データを得ることができる。次いで、AAUは、BBUへ第1の署名データを送信する。BBUは、AAUから第1の署名データを受信した後に、第3のメッセージと第1の署名データを組み合わせ、組み合わせによって得られたデータ(すなわち、第2のメッセージ)をCAサーバへ送信することができる。BBUによって送信された第2のメッセージを受信したCAサーバがまず、受信した第2のメッセージを解析して、分離によって得られた第3のメッセージと第1の署名データを得ることに留意されたい。次に、AAUの公開鍵に基づいて第1の署名データを復号して、第3のメッセージに対応する復号されたハッシュ値(以下、単に第1のハッシュ値と呼ぶ)を得る。また、分離によって得られた第3のメッセージに含まれる内容に対して、ハッシュアルゴリズムに基づいてハッシュ演算を行い、第3のメッセージに対応するハッシュ値(以下、単に第2のハッシュ値と呼ぶ)を得る。最後に、CAサーバは、第1のハッシュ値と第2のハッシュ値を比較し解析することによって、第3のメッセージのチェック結果を得ることができる。通常、第1のハッシュ値が第2のハッシュ値に等しければ、CAサーバは、第3のメッセージが送信過程で改ざんされていないと判断できる。第1のハッシュ値が第2のハッシュ値に等しくなければ、CAサーバは、第3のメッセージが送信過程で悪意をもって改ざんされていると判断できる。通常、第2のメッセージが送信過程で改ざんされていると判断したCAサーバは、AAUへのデジタル証明書の発行を拒否できる。送信過程で第2のメッセージが改ざんされていないと判断したCAサーバは、第2のメッセージに基づいて、AAUに対応するデジタル証明書をBBUにフィードバックできる。
【0079】
S403.BBUは、CAサーバからデジタル証明書を受信する。
【0080】
いくつかの実現可能な実装では、BBUは、CAサーバからデジタル証明書を受信する。BBUがCAサーバからデジタル証明書を受信することが、BBUが第2のメッセージについてCAサーバから第1の応答を受信し、第1の応答がデジタル証明書を含むこととして理解できることは理解されよう。第1の応答はCMP初期化応答(initialization response、IP)と記述されることもある。デジタル証明書に加えて、第1の応答は他の内容をさらに含み得る。第1の応答に含まれる具体的な内容については、RFC4211プロトコルおよびRFC4210プロトコルの規定を参照されたい。ここでは詳細を説明しない。
【0081】
通常、CAサーバは、BBUへ第1の応答を送信するときに、BBUへ第1の応答の署名データをさらに送信できる。換言すると、第1の応答は、第1の応答の署名データをさらに搬送することができ、CAサーバは、BBUへ第1の応答と第1の応答の署名データとを送信する。第1の応答の署名データは、CAサーバの秘密鍵に基づいてCAサーバが第1の応答のダイジェストに署名することによって得られる署名データである。
【0082】
S404.BBUは、AAUへデジタル証明書を送信する。
【0083】
いくつかの実現可能な実装では、BBUは、CAサーバからデジタル証明書を受信した後に、受信したデジタル証明書をAAUへ送信できる。特に、BBUは、第2のメッセージについてCAサーバからの第1の応答と第1の応答の署名データを受信した後に、CAの公開鍵に基づいて第1の応答の署名データをチェックできる。CAの公開鍵と第1の応答の署名データとに基づいて第1の応答をチェックしたチェック結果が、チェックが成功したことである場合は、BBUがAAUへデジタル証明書を送信する。さらに、BBUは、第1の応答の署名データに基づいて第1の応答をチェックしたチェック結果が、チェックが成功したことである場合に、AAUへ第1の確認応答情報を送信できる。第1の確認応答情報は、証明書管理プロトコルバージョン2(certificate management protocol version 2、CMPv2)プロトコルのCert Confirmメッセージとして理解できる。AAUは、第1の確認応答情報を受信した後に、AAUの秘密鍵に基づいて第1の確認応答情報のダイジェストに署名して、第1の確認応答情報に対応する第2の署名データを得、第2の署名データをBBUへ送信することができる。これに対応して、BBUは、AAUから第2の署名データを受信した後に、CAサーバへ第1の確認応答情報と第2の署名データを送信できる。第2の署名データに基づいてCAサーバによって第1の確認応答情報に対して実行された署名検証が成功した後には、CAサーバがBBUに第2の確認応答情報をフィードバックできる。第2の確認応答情報は、CMPv2プロトコルの公開鍵インフラストラクチャ(public key infrastructure、PKI)Confirmメッセージであってよく、CAサーバが第1の確認応答情報を正常に受信した後にCAサーバによってフィードバックされる確認応答情報として特に理解できる。第2の確認応答情報に含まれる具体的な内容については、RFC4211プロトコルおよびRFC4210プロトコルの規定を参照されたい。ここでは詳細を説明しない。
【0084】
例えば、図6は、本出願の一実施形態による通信方法の別の概略フローチャートである。本方法は、以下のステップを含む。S601.BBUは、AAUから第1のメッセージを受信する。第1のメッセージは、証明書要求ファイルを含む。S602.BBUは、AAUへ第3のメッセージを送信する。通常、BBUは、第1のメッセージ内の証明書要求ファイルに基づいて第3のメッセージを生成し、署名のために第3のメッセージをAAUへ送信することができる。S603.BBUは、AAUから第3のメッセージに対応する第1の署名データを受信する。AAUは、AAUの秘密鍵に基づいて第3のメッセージのダイジェストに署名して第1の署名データを生成し、第1の署名データをBBUにフィードバックすることができる。S604.BBUは、CAサーバへ第2のメッセージを送信する。BBUは、第1の署名データを受信した後に、第3のメッセージと第1の署名データを組み合わせ、組み合わせによって得られた第2のメッセージをCAサーバへ送信できる。換言すると、第2のメッセージは、第3のメッセージと第1の署名データを含む。S605.第2のメッセージについてCAサーバから第1の応答を受信する。第1の応答は、CAサーバによってAAUに発行されたデジタル証明書を含む。通常、CAサーバが第2のメッセージを受信し、第1の署名データを使用して第3のメッセージに対して実行された完全性チェックが成功した後には、CAサーバがBBUへ第1の応答を送信できる。第1の応答は、CAサーバによってAAUに発行されたデジタル証明書を含む。通常、第1の応答は、CAサーバの秘密鍵に基づいてCAサーバによって第1の応答のダイジェストに署名することによって得られる署名データをさらに搬送する。すなわち、第1の応答は、第1の応答に対応する署名データを搬送する。S606.BBUは、AAUへデジタル証明書を送信する。BBUが第1の応答を受信し、第1の応答の署名データを使用して第1の応答に対して実行された完全性チェックが成功した後には、BBUが第1の応答に含まれたデジタル証明書をAAUへ送信できる。S607.BBUは、AAUへ第1の確認応答情報を送信する。BBUは、AAUによって署名される必要がある第1の確認応答情報をAAUへ送信する。S608.BBUは、第1の確認応答情報に対する第2の署名データをAAUから受信する。AAUは、AAUの秘密鍵に基づいて第1の確認応答情報のダイジェストに署名した後に、得られた第2の署名データをBBUにフィードバックできる。S609.BBUは、CAサーバへ第1の確認応答情報と第2の署名データを送信する。BBUは、第1の確認応答情報と第2の署名データを組み合わせた後に、組み合わせによって得られた情報をCAサーバへ送信できる。S610.BBUは、CAサーバから第2の確認応答情報を受信する。第2の署名データに基づいて第1の確認応答情報に対して実行された完全性チェックが成功した後には、CAサーバがBBUに第2の確認応答情報を返すことができる。通常、第2の確認応答情報は、CAサーバの秘密鍵に基づいてCAサーバによって第2の確認応答情報のダイジェストに署名することによって得られる署名データを搬送することができる。
【0085】
任意に選べることとして、いくつかの実現可能な実装では、BBUがAAUへデジタル証明書を送信することは、第2の確認応答情報に応答してAAUへデジタル証明書を送信することとしてさらに理解できる。換言すると、BBUは、CAサーバからデジタル証明書を受信した後に、第1の応答の署名データに基づいて第1の応答をチェックしたチェック結果が、チェックが成功したことである場合に、AAUへ第1の確認応答情報をさらに送信できる。第1の確認応答情報は、CMPv2プロトコルのCert Confirmメッセージとして理解できる。AAUは、第1の確認応答情報を受信した後に、AAUの秘密鍵に基づいて第1の確認応答情報のダイジェストに署名して、第1の確認応答情報に対応する第2の署名データを得、第2の署名データをBBUへ送信することができる。これに対応して、BBUは、AAUから第2の署名データを受信した後に、CAサーバへ第1の確認応答情報と第2の署名データを送信できる。第2の署名データに基づいてCAサーバによって第1の確認応答情報に対して実行された署名検証が成功した後には、CAサーバがBBUに第2の確認応答情報をフィードバックできる。第2の確認応答情報は、CMPv2プロトコルのPKI Confirmメッセージとして理解できる。BBUは、第1の確認応答情報についてCAサーバから第2の確認応答情報を受信した後に、AAUへデジタル証明書を送信する。通常、第2の確認応答情報は、CAサーバによって第2の確認応答情報のダイジェストに署名することによって得られる署名データをさらに搬送することができる。以下では、説明を簡単にするため、署名データを単に第3の署名データと呼ぶ。BBUがCAサーバから第2の確認応答情報と第3の署名データを受信した後に、第3の署名データに基づいて第2の確認応答情報に対して実行された完全性チェックのチェック結果が、チェックが成功したことである場合は、BBUがAAUへデジタル証明書を送信する。
【0086】
例えば、図7は、本出願の一実施形態による通信方法の別の概略フローチャートである。詳細を図7に示す。S701.BBUは、AAUから第1のメッセージを受信する。第1のメッセージは、証明書要求ファイルを含む。S702.BBUは、AAUへ第3のメッセージを送信する。通常、BBUは、第1のメッセージ内の証明書要求ファイルに基づいて第3のメッセージを生成し、署名のために第3のメッセージをAAUへ送信することができる。S703.BBUは、AAUから第3のメッセージに対応する第1の署名データを受信する。AAUは、AAUの秘密鍵に基づいて第3のメッセージのダイジェストに署名して第1の署名データを生成し、第1の署名データをBBUにフィードバックすることができる。S704.BBUは、CAサーバへ第2のメッセージを送信する。BBUは、第1の署名データを受信した後に、第3のメッセージと第1の署名データを組み合わせ、組み合わせによって得られた第2のメッセージをCAサーバへ送信できる。換言すると、第2のメッセージは、第3のメッセージと第1の署名データを含む。S705.第2のメッセージについてCAサーバから第1の応答を受信する。第1の応答は、CAサーバによってAAUに発行されたデジタル証明書を含む。通常、CAサーバが第2のメッセージを受信し、第1の署名データを使用して第3のメッセージに対して実行された完全性チェックが成功した後には、CAサーバがBBUへ第1の応答を送信できる。第1の応答は、CAサーバによってAAUに発行されたデジタル証明書を含む。通常、第1の応答は、CAサーバの秘密鍵に基づいてCAサーバによって第1の応答のダイジェストに署名することによって得られる署名データをさらに搬送する。すなわち、第1の応答は、第1の応答に対応する署名データを搬送する。S706.BBUは、AAUへ第1の確認応答情報を送信する。BBUは、AAUによって署名される必要がある第1の確認応答情報をAAUへ送信する。S707.BBUは、第1の確認応答情報に対する第2の署名データをAAUから受信する。AAUは、AAUの秘密鍵に基づいて第1の確認応答情報のダイジェストに署名した後に、得られた第2の署名データをBBUにフィードバックできる。S708.BBUは、CAサーバへ第1の確認応答情報と第2の署名データとを送信する。BBUは、第1の確認応答情報と第2の署名データを組み合わせた後に、組み合わせによって得られた情報をCAサーバへ送信できる。S709.BBUは、CAサーバから第2の確認応答情報を受信する。第2の署名データに基づいて第1の確認応答情報に対して実行された完全性チェックが成功した後には、CAサーバがBBUに第2の確認応答情報を返すことができる。通常、第2の確認応答情報は、CAサーバの秘密鍵に基づいてCAサーバによって第2の確認応答情報のダイジェストに署名することによって得られる署名データを搬送することができる。S710.BBUは、AAUへデジタル証明書を送信する。BBUが第2の確認応答情報を受信し、第2の確認応答情報の署名データ(すなわち、第3の署名データ)に基づいて第2の確認応答情報に対して実行された完全性チェックが成功した後には、BBUがAAUへデジタル証明書を送信する。
【0087】
BBUがCAサーバからデジタル証明書を受信し、AAUへデジタル証明書を送信する機会が、代わりに、実際のシナリオに基づいて判断されてもよいことに留意されたい。これは本書で限定されない。AAUのデジタル証明書は、事業者デバイス証明書などであってよい。これは本書で限定されない。
【0088】
BBUがAAUの代理として機能してデジタル証明書申請を完了した後に、AAUとBBUの間の代理申請チャネルが閉じられてよいことは理解されよう。AAUは、得られたデジタル証明書を使用してBBUへのサービス接続を確立できる。
【0089】
【0090】
図8は、本出願の一実施形態による通信装置の構造の図である。図8に示されている通信装置は、図4から図7で説明されている方法の実施形態で第2のデバイスの機能の一部または全部を実行するように構成されてよい。本装置は、第2のデバイス、第2のデバイス内の装置、または第2のデバイスとともに使用され得る装置であってよい。あるいは、本通信装置はチップシステムであってもよい。図8に示されている通信装置は、トランシーバユニット801と処理ユニット802とを含み得る。処理ユニット802は、データ処理を実行するように構成される。トランシーバユニット801は、受信ユニットおよび送信ユニットと一体化される。トランシーバユニット801は、通信ユニットと呼ばれることもある。あるいは、トランシーバユニット801は、受信ユニットと送信ユニットに分割されてもよい。以下の処理ユニット802は、トランシーバユニット801と同様である。以下では詳細を再度説明しない。
【0091】
トランシーバユニット801は、第1のデバイスから第1のメッセージを受信し、第1のメッセージが証明書要求ファイルを含み、証明書要求ファイルが第1のデバイスのデジタル証明書を申請するために使用される、ように構成される。
【0092】
処理ユニット802は、第1のメッセージに基づいて、トランシーバユニット801を通じて認証局CAサーバへ第2のメッセージを送信し、第2のメッセージが証明書要求ファイルを含む、ように構成される。
【0093】
トランシーバユニット801は、CAサーバからデジタル証明書を受信するように構成される。
【0094】
トランシーバユニット801は、第1のデバイスへデジタル証明書を送信するように構成される。
【0095】
可能な一実装において、処理ユニット802は、具体的には、
トランシーバユニット801を通じて第1のデバイスへ第3のメッセージを送信し、第3のメッセージが証明書要求ファイルを含み、
第1のデバイスからトランシーバユニット801を通じて、第3のメッセージに対応する第1の署名データを受信し、
トランシーバユニット801を通じてCAサーバへ第2のメッセージを送信し、第2のメッセージが第1の署名データと第3のメッセージを含む、
ように構成される。
トランシーバユニット801を通じて第1のデバイスへ第3のメッセージを送信し、第3のメッセージが証明書要求ファイルを含み、
第1のデバイスからトランシーバユニット801を通じて、第3のメッセージに対応する第1の署名データを受信し、
トランシーバユニット801を通じてCAサーバへ第2のメッセージを送信し、第2のメッセージが第1の署名データと第3のメッセージを含む、
ように構成される。
【0096】
可能な一実装において、トランシーバユニット801は、具体的には、
第2のメッセージについてCAサーバから第1の応答を受信し、第1の応答がデジタル証明書を含む、
ように構成される。
第2のメッセージについてCAサーバから第1の応答を受信し、第1の応答がデジタル証明書を含む、
ように構成される。
【0097】
可能な一実装において、第1の応答は第1の応答の署名データを搬送し、トランシーバユニット801は、具体的には、
第1の応答の署名データに基づいて第1の応答をチェックしたチェック結果に基づいてCAサーバへ第1の確認応答情報を送信し、
第1の確認応答情報についてCAサーバから第2の確認応答情報を受信し、
第2の確認応答情報に応答して第1のデバイスへデジタル証明書を送信する、
ように構成される。
第1の応答の署名データに基づいて第1の応答をチェックしたチェック結果に基づいてCAサーバへ第1の確認応答情報を送信し、
第1の確認応答情報についてCAサーバから第2の確認応答情報を受信し、
第2の確認応答情報に応答して第1のデバイスへデジタル証明書を送信する、
ように構成される。
【0098】
可能な一実装において、トランシーバユニット801は、具体的には、
チェック結果が、チェックが成功したことである場合に、第1のデバイスへ第1の確認応答情報を送信し、
第1のデバイスから第1の確認応答情報に対応する第2の署名データを受信し、
CAサーバへ第1の確認応答情報と第2の署名データとを送信する、
ように構成される。
チェック結果が、チェックが成功したことである場合に、第1のデバイスへ第1の確認応答情報を送信し、
第1のデバイスから第1の確認応答情報に対応する第2の署名データを受信し、
CAサーバへ第1の確認応答情報と第2の署名データとを送信する、
ように構成される。
【0099】
【0100】
図9は、本出願の一実施形態による別の通信装置の構造の図である。図9に示されている通信装置は、図4から図7で説明されている方法の実施形態で第1のデバイスの機能の一部または全部を実行するように構成されてよい。本装置は、第1のデバイス、第1のデバイス内の装置、または第1のデバイスとともに使用され得る装置であってよい。あるいは、本通信装置はチップシステムであってもよい。図9に示されている通信装置は、トランシーバユニット901と処理ユニット902とを含み得る。
【0101】
トランシーバユニット901は、第2のデバイスへ第1のメッセージを送信し、第1のメッセージが証明書要求ファイルを含み、証明書要求ファイルが第1のデバイスのデジタル証明書を申請するために使用される、ように構成される。
【0102】
トランシーバユニット901は、第2のデバイスからデジタル証明書を受信するように構成される。
【0103】
可能な一実装において、トランシーバユニット901は、第2のデバイスから第3のメッセージを受信し、第3のメッセージが証明書要求ファイルを含む、ように構成される。
【0104】
本装置は、
トランシーバユニット901を通じて第2のデバイスへ第3のメッセージに対応する第1の署名データを送信するように構成された処理ユニット902
をさらに含む。
トランシーバユニット901を通じて第2のデバイスへ第3のメッセージに対応する第1の署名データを送信するように構成された処理ユニット902
をさらに含む。
【0105】
可能な一実装において、トランシーバユニット901は、具体的には、
第2のデバイスから第1の確認応答情報を受信し、
第1の確認応答情報に対応する第2の署名データを第2のデバイスへ送信する、
ように構成される。
第2のデバイスから第1の確認応答情報を受信し、
第1の確認応答情報に対応する第2の署名データを第2のデバイスへ送信する、
ように構成される。
【0106】
【0107】
図10は、本出願の一実施形態による別の通信装置の構造の図である。この通信装置は、本出願の実施形態の第2のデバイスであってよい。図10に示されているように、この実施形態の第2のデバイスは、1つ以上のプロセッサ1001、メモリ1002、およびトランシーバ1003を含み得る。プロセッサ1001、メモリ1002、およびトランシーバ1003は、バス1004を使用して接続される。メモリ1002は、コンピュータプログラムを記憶するように構成される。コンピュータプログラムは、プログラム命令を含む。プロセッサ1001とトランシーバ1003は、図4から図7の第2のデバイスの機能を実現するために、メモリ1002に記憶されたプログラム命令を実行ように構成される。
【0108】
いくつかの実現可能な実装において、プロセッサ1001が、中央処理装置(central processing unit、CPU)であってよく、またはプロセッサが、別の汎用プロセッサ、デジタル信号プロセッサ(digital signal processor、DSP)、特定用途向け集積回路(application specific integrated circuit、ASIC)、フィールド・プログラマブル・ゲート・アレイ(field programmable gate array、FPGA)もしくは別のプログラマブル・ロジック・デバイス、ディスクリートゲートもしくはトランジスタ・ロジック・デバイス、またはディスクリート・ハードウェア・コンポーネントなどであってもよいことを理解されたい。汎用プロセッサはマイクロプロセッサであってよく、またはプロセッサは従来の何らかのプロセッサなどであってもよい。メモリ1002は、読み取り専用メモリとランダム・アクセス・メモリを含み得、プロセッサ1001のために命令とデータを提供できる。メモリ1002の一部は、不揮発性ランダム・アクセス・メモリをさらに含み得る。例えば、メモリ1002は、デバイス種別に関する情報をさらに記憶できる。
【0109】
図11は、本出願の一実施形態による別の通信装置の構造の図である。この通信装置は、本出願の実施形態の第1のデバイスであってよい。図11に示されているように、この実施形態の第1のデバイスは、1つ以上のプロセッサ1101、メモリ1102、およびトランシーバ1103を含み得る。プロセッサ1101、メモリ1102、およびトランシーバ1103は、バス1104を使用して接続される。メモリ1102は、コンピュータプログラムを記憶するように構成される。コンピュータプログラムは、プログラム命令を含む。プロセッサ1101とトランシーバ1103は、図4から図7の第1のデバイスの機能を実現するために、メモリ1102に記憶されたプログラム命令を実行ように構成される。
【0110】
いくつかの実現可能な実装において、プロセッサ1101が、中央処理装置(central processing unit、CPU)であってよく、またはプロセッサが、別の汎用プロセッサ、デジタル信号プロセッサ(digital signal processor、DSP)、特定用途向け集積回路(application specific integrated circuit、ASIC)、フィールド・プログラマブル・ゲート・アレイ(field programmable gate array、FPGA)もしくは別のプログラマブル・ロジック・デバイス、ディスクリートゲートもしくはトランジスタ・ロジック・デバイス、またはディスクリート・ハードウェア・コンポーネントなどであってもよいことを理解されたい。汎用プロセッサはマイクロプロセッサであってよく、またはプロセッサは従来の何らかのプロセッサなどであってもよい。メモリ1102は、読み取り専用メモリとランダム・アクセス・メモリを含み得、プロセッサ1101のために命令とデータを提供できる。メモリ1102の一部は、不揮発性ランダム・アクセス・メモリをさらに含み得る。例えば、メモリ1102は、デバイス種別に関する情報をさらに記憶できる。
【0111】
本出願の一実施形態は、コンピュータ可読記憶媒体をさらに提供する。このコンピュータ可読記憶媒体は命令を記憶し、命令がプロセッサにおいて実行されると、前述の方法の実施形態の方法の手順が実施される。
【0112】
本出願の一実施形態は、コンピュータプログラム製品をさらに提供する。このコンピュータプログラム製品がプロセッサ上で実行されると、前述の方法の実施形態の方法の手順が実施される。
【0113】
当業者は、本明細書で開示されている実施形態を参照して説明されている例のユニットおよびステップが、電子ハードウェアによって、またはコンピュータソフトウェアと電子ハードウェアとの組み合わせによって、実装され得ることに気づくことができる。機能がハードウェアによって実行されるかソフトウェアによって実行されるかは、技術的解決策の具体的な用途と設計上の制約条件しだいで決まる。当業者は、具体的な用途ごとに様々な方法を用いて説明されている機能を実装できるが、その実装は、本出願の範囲を超えると考えるべきではない。
【0114】
本出願で提供されるいくつかの実施形態において、開示されているシステム、装置、および方法が別のやり方で実装されてもよいことを理解されたい。例えば、説明されている装置の実施形態は例にすぎない。例えば、ユニットへの分割は、論理的な機能分割にすぎない。別々の部分として説明されているユニットは、物理的に別々であってもなくてもよく、ユニットとして表示されている部分は、物理的なユニットであってもなくてもよく、1箇所に配置されてよく、または複数のネットワークユニット上に分散されてもよい。実施形態の解決策の目的を達成するため、実際の要件に基づいてユニットの一部または全部が選択されてよい。
【0115】
機能がソフトウェア機能ユニットの形態で実装され、独立した製品として販売または使用される場合は、機能がコンピュータ可読記憶媒体に記憶されてよい。そのような理解に基づいて、本質的に本出願の技術的解決策、または従来の技術に寄与する部分、または技術的解決策の一部は、ソフトウェア製品の形態で実装されてよい。このコンピュータソフトウェア製品は記憶媒体に記憶され、本出願の実施形態で説明されている方法のステップの全部または一部を実行することをコンピュータデバイス(パーソナルコンピュータ、サーバ、ネットワークデバイスなどであってよい)に命令するいくつかの命令を含む。コンピュータ可読記憶媒体は、コンピュータによってアクセスされ得る何らかの使用可能な媒体であってよい。限定ではなく例として、コンピュータ可読媒体は、ランダム・アクセス・メモリ(random access memory、RAM)、読み取り専用メモリ(read-only memory、ROM)、プログラム可能読み取り専用メモリ(programmable ROM、PROM)、消去可能プログラム可能読み取り専用メモリ(erasable PROM、EPROM)、電気的消去可能プログラム可能読み取り専用メモリ(electrically erasable programmable read only memory、EEPROM)、コンパクトディスク読み取り専用メモリ(compact disc read-only memory、CD-ROM)、ユニバーサル・シリアル・バス・フラッシュ・ディスク(universal serial bus flash disk)、リムーバブル・ハード・ディスク、別のコンパクトディスク記憶装置、磁気ディスク記憶媒体もしくは別の磁気記憶装置、または命令もしくはデータ構造の形で予期されるプログラムコードを担持もしくは記憶するために使用でき、かつコンピュータによってアクセスできる他の何らかの媒体を含み得る。加えて、限定ではなく例として、多くの形態のRAM、例えば、スタティック・ランダムアクセス・メモリ(static RAM、SRAM)、ダイナミック・ランダム・アクセス・メモリ(dynamic RAM、DRAM)、シンクロナス・ダイナミック・ランダム・アクセス・メモリ(synchronous DRAM、SDRAM)、ダブル・データ・レート・シンクロナス・ダイナミック・ランダム・アクセス・メモリ(double data rate SDRAM、DDR SDRAM)、エンハンスト・シンクロナス・ダイナミック・ランダム・アクセス・メモリ(enhanced SDRAM、ESDRAM)、シンクリンク・ダイナミック・ランダム・アクセス・メモリ(synchlink DRAM、SLDRAM)、またはダイレクト・ラムバス・ランダム・アクセス・メモリ(direct rambus RAM、DR RAM)が使用されてよい。
【0116】
前述の説明は、本出願の特定の実装にすぎず、本出願の実施形態の保護範囲を限定することを意図するものではない。本出願の実施形態で開示されている技術的範囲内で当業者によって容易に考え出されるいかなる変更または置換も、本出願の実施形態の保護範囲内に入るものである。したがって、本出願の実施形態の保護範囲は、特許請求の範囲の保護範囲に従うものである。
【符号の説明】
【0117】
801 トランシーバユニット
802 処理ユニット
901 トランシーバユニット
902 処理ユニット
1001 プロセッサ
1002 メモリ
1003 トランシーバ
1004 バス
1101 プロセッサ
1102 メモリ
1103 トランシーバ
1104 バス
802 処理ユニット
901 トランシーバユニット
902 処理ユニット
1001 プロセッサ
1002 メモリ
1003 トランシーバ
1004 バス
1101 プロセッサ
1102 メモリ
1103 トランシーバ
1104 バス
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【手続補正書】
【提出日】2024-08-09
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
通信方法であって、第1のデバイスから第1のメッセージを受信するステップであって、前記第1のメッセージが証明書要求ファイルを含み、前記証明書要求ファイルが前記第1のデバイスのデジタル証明書を申請するために使用される、ステップと、
前記第1のメッセージに基づいて認証局(CA)サーバへ第2のメッセージを送信するステップであって、前記第2のメッセージが前記証明書要求ファイルを含む、ステップと、
前記CAサーバから前記デジタル証明書を受信するステップと、
前記第1のデバイスへ前記デジタル証明書を送信するステップと
を含む、方法。
【請求項2】
前記第1のメッセージに基づいてCAサーバへ第2のメッセージを送信する前記ステップは、前記第1のデバイスへ第3のメッセージを送信するステップであって、前記第3のメッセージが前記証明書要求ファイルを含む、ステップと、
前記第1のデバイスから前記第3のメッセージに対応する第1の署名データを受信するステップと、
前記CAサーバへ前記第2のメッセージを送信するステップであって、前記第2のメッセージが前記第1の署名データと前記第3のメッセージを含む、ステップと
を含む、請求項1に記載の方法。
【請求項3】
前記CAサーバから前記デジタル証明書を受信する前記ステップは、前記第2のメッセージについて前記CAサーバから第1の応答を受信するステップであって、前記第1の応答が前記デジタル証明書を含む、ステップ
を含む、請求項1に記載の方法。
【請求項4】
前記第1の応答は前記第1の応答の署名データを搬送し、前記第1のデバイスへ前記デジタル証明書を送信する前記ステップは、前記第1の応答の前記署名データに基づいて前記第1の応答をチェックしたチェック結果に基づいて前記CAサーバへ第1の確認応答情報を送信するステップと、
前記第1の確認応答情報について前記CAサーバから第2の確認応答情報を受信するステップと、
前記第2の確認応答情報に応答して前記第1のデバイスへ前記デジタル証明書を送信するステップと
を含む、請求項3に記載の方法。
【請求項5】
前記第1の応答の前記署名データに基づいて前記第1の応答をチェックしたチェック結果に基づいて前記CAサーバへ第1の確認応答情報を送信する前記ステップは、前記チェック結果が、前記チェックが成功したことである場合に、前記第1のデバイスへ前記第1の確認応答情報を送信するステップと、
前記第1のデバイスから前記第1の確認応答情報に対応する第2の署名データを受信するステップと、
前記CAサーバへ前記第1の確認応答情報と前記第2の署名データを送信するステップと
を含む、請求項4に記載の方法。
【請求項6】
通信方法であって、第2のデバイスへ第1のメッセージを送信するステップであって、前記第1のメッセージが証明書要求ファイルを含み、前記証明書要求ファイルが第1のデバイスのデジタル証明書を申請するために使用される、ステップと、
前記第2のデバイスから前記デジタル証明書を受信するステップと
を含む、方法。
【請求項7】
前記方法は、前記第2のデバイスから第3のメッセージを受信するステップであって、前記第3のメッセージが前記証明書要求ファイルを含む、ステップと、
前記第2のデバイスへ前記第3のメッセージに対応する第1の署名データを送信するステップと
をさらに含む、請求項6に記載の方法。
【請求項8】
前記方法は、前記第2のデバイスから第1の確認応答情報を受信するステップと、
前記第2のデバイスへ前記第1の確認応答情報に対応する第2の署名データを送信するステップと
をさらに含む、請求項6に記載の方法。
【請求項9】
通信装置であって、前記通信装置は、第2のデバイスであり、第1のデバイスから第1のメッセージを受信するように構成されたトランシーバユニットであって、前記第1のメッセージが証明書要求ファイルを含み、前記証明書要求ファイルが前記第1のデバイスのデジタル証明書を申請するために使用される、トランシーバユニットと、
前記第1のメッセージに基づいて、前記トランシーバユニットを通じて認証局(CA)サーバへ第2のメッセージを送信するように構成された処理ユニットであって、前記第2のメッセージが前記証明書要求ファイルを含む、処理ユニットと
を備え、
前記トランシーバユニットは、前記CAサーバから前記デジタル証明書を受信するように構成され、
前記トランシーバユニットは、前記第1のデバイスへ前記デジタル証明書を送信するように構成された、通信装置。
【請求項10】
通信装置であって、前記通信装置は、第1のデバイスであり、第2のデバイスへ第1のメッセージを送信するように構成されたトランシーバユニットであって、前記第1のメッセージが証明書要求ファイルを含み、前記証明書要求ファイルが前記第1のデバイスのデジタル証明書を申請するために使用される、トランシーバユニットを備え、
前記トランシーバユニットは、前記第2のデバイスから前記デジタル証明書を受信するように構成された、通信装置。
【請求項11】
プロセッサおよびトランシーバを備える通信装置であって、前記プロセッサおよび前記トランシーバは、前記通信装置が請求項1から5のいずれか一項に記載の方法を実行することを可能にするために、少なくとも1つのメモリに記憶されたコンピュータプログラムまたは命令を実行するように構成された、通信装置。
【請求項12】
プロセッサおよびトランシーバを備える通信装置であって、前記プロセッサおよび前記トランシーバは、前記通信装置が請求項6から8のいずれか一項に記載の方法を実行することを可能にするために、少なくとも1つのメモリに記憶されたコンピュータプログラムまたは命令を実行するように構成された、通信装置。
【請求項13】
コンピュータプログラムであって、前記コンピュータプログラムはコンピュータプログラムコードを備え、前記コンピュータプログラムコードがコンピュータにおいて実行されると、請求項1から5のいずれか一項に記載の方法が実行される、コンピュータプログラム。
【請求項14】
コンピュータプログラムであって、前記コンピュータプログラムはコンピュータプログラムコードを備え、前記コンピュータプログラムコードがコンピュータにおいて実行されると、請求項6から8のいずれか一項に記載の方法が実行される、コンピュータプログラム。
【国際調査報告】