JP6806263B2 - Vnfパッケージ署名システム及びvnfパッケージ署名方法 - Google Patents
Vnfパッケージ署名システム及びvnfパッケージ署名方法 Download PDFInfo
- Publication number
- JP6806263B2 JP6806263B2 JP2019542494A JP2019542494A JP6806263B2 JP 6806263 B2 JP6806263 B2 JP 6806263B2 JP 2019542494 A JP2019542494 A JP 2019542494A JP 2019542494 A JP2019542494 A JP 2019542494A JP 6806263 B2 JP6806263 B2 JP 6806263B2
- Authority
- JP
- Japan
- Prior art keywords
- vnf
- vnf package
- package
- certificate
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
- Stored Programmes (AREA)
Description
(関連出願についての記載)
本発明はインド特許出願:No.201711004439(2017年2月7日出願)に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明はVNF(仮想ネットワーク機能 Virtualized Network Function)パッケージの署名システムと、VNFパッケージの署名方法に関する。
本発明はインド特許出願:No.201711004439(2017年2月7日出願)に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明はVNF(仮想ネットワーク機能 Virtualized Network Function)パッケージの署名システムと、VNFパッケージの署名方法に関する。
ネットワーク機能仮想化(NFV)は、先例のないスケールや複雑さや無統制な仮想環境に基づくセキュリティ問題や、柔軟性や、中央制御マネージメントに対して、ユニークな対処の機会をもたらす統一されたオーケストレーションプラットフォームである。
ミッションクリティカルなデータや不可欠なネットワーク機能をクラウドに移動させたいかどうか自らでも不確かな企業や信頼されるサードパーティーにとっては、ネットワークサービスやデータ保護がとりわけ重要であるため、NFVシステムではセキュリティが重要な問題である。
企業やサードパーティーのベンダーは、強制力のある保証がない場合、NFVシステムをベースとしたサービスを採用したがらない。従ってNFVでは、機密データや各自のサービスのためのセキュリティ及び保護を、追加して提供する必要がある。
攻撃手法のうちいくつかを以下に示す。
・攻撃者が、コントロールプレーン及びベアラプレーンから機密を盗聴する。
・攻撃者が、インターフェイスあるいはネットワークの要素に過剰な量のデータを処理させることで、シグナリングプレーン及びデータプレーンの状態をサービス拒否状態 (DoS) にする。
・攻撃者が、セキュリティのイメージやソフトウェアパッケージをねつ造する。
・サードパーティーベンダーあるいはユーザに対してフールプルーフを行う。
・攻撃者が、コントロールプレーン及びベアラプレーンから機密を盗聴する。
・攻撃者が、インターフェイスあるいはネットワークの要素に過剰な量のデータを処理させることで、シグナリングプレーン及びデータプレーンの状態をサービス拒否状態 (DoS) にする。
・攻撃者が、セキュリティのイメージやソフトウェアパッケージをねつ造する。
・サードパーティーベンダーあるいはユーザに対してフールプルーフを行う。
欧州電気通信標準化機構(ETSI)「Network Functions Virtualisation(NFV);Management and Orchestration」,2017年2月7日検索),インターネット,<URL: http://www.etsi.org/deliver/etsi_gs/NFV-MAN/001_099/001/01.01.01_60/gs_NFV-MAN001v010101p.pdf>
図13は、解決すべき問題を示す図である。図14は、解決すべき問題を示す図である。
1)主な問題
全てのソフトウェアの署名は、仮想プラットフォーム実装(オンボーディング)前に検査しなければならない。
オペレータはサードパーティーから未署名のソフトウェアを受けとることがある。
オンボーディング前に標準的な検証方法が実施できるように、そのようなソフトウェアは(記憶域)格納前にセキュリティの観点による検証と署名を行うべきである。
本発明は、署名(時)の問題およびそのようなソフトウェアのセキュアな記憶(域)に関する問題に焦点を当てている。例えばこのような問題はVIM(Virtualized Infrastracture Manager)に対する最近のPrime and Probe Attackにおいて顕著であるからである。
1)主な問題
全てのソフトウェアの署名は、仮想プラットフォーム実装(オンボーディング)前に検査しなければならない。
オペレータはサードパーティーから未署名のソフトウェアを受けとることがある。
オンボーディング前に標準的な検証方法が実施できるように、そのようなソフトウェアは(記憶域)格納前にセキュリティの観点による検証と署名を行うべきである。
本発明は、署名(時)の問題およびそのようなソフトウェアのセキュアな記憶(域)に関する問題に焦点を当てている。例えばこのような問題はVIM(Virtualized Infrastracture Manager)に対する最近のPrime and Probe Attackにおいて顕著であるからである。
2)その他の問題
MANOはセキュリティ証明(書)を格納する能力を有しない。
セキュアな記憶域から機密データが漏れることがある。
セキュアな記憶域はプラットフォームにある、いかなるAPI(アプリケーション・プログラミング・インターフェイス)からでもアクセス可能であるため、暗号証明書をセキュアな記憶域に格納したりセキュアな記憶域からアクセスできたりするとセキュア性が損なわれる。
MANOはセキュリティ証明(書)を格納する能力を有しない。
セキュアな記憶域から機密データが漏れることがある。
セキュアな記憶域はプラットフォームにある、いかなるAPI(アプリケーション・プログラミング・インターフェイス)からでもアクセス可能であるため、暗号証明書をセキュアな記憶域に格納したりセキュアな記憶域からアクセスできたりするとセキュア性が損なわれる。
3)関連する問題
VNF採用を成功させる上で、VNFパッケージをオンボーディングしている過程で検証を行うという点が重要となる。
オンボーディングしている過程では、VNFパッケージの正当性が検証されていない。
VNFイメージに、数秒の間にマルウェアを感染させてしまう方法は何通りもありうる。
既存の手法では、内部攻撃者を潜在的な脅威として想定していない。
したがって、VNFのオンボーディングの間にVNFを検証ないし認証する方法が求められている。
VNF採用を成功させる上で、VNFパッケージをオンボーディングしている過程で検証を行うという点が重要となる。
オンボーディングしている過程では、VNFパッケージの正当性が検証されていない。
VNFイメージに、数秒の間にマルウェアを感染させてしまう方法は何通りもありうる。
既存の手法では、内部攻撃者を潜在的な脅威として想定していない。
したがって、VNFのオンボーディングの間にVNFを検証ないし認証する方法が求められている。
・MANO(Management and Orchestration)は、セキュアな証明書を格納したりアクセスしたりするために必要な、セキュアな記憶域(storage)やHISEEを扱う能力を有していない。
・本発明の解決手段を用いれば、VNFオンボーディング等のようなMANOのいずれの機能についても、MANOとオペレータ/TTP間でのセキュリティおよび信頼性がもたらされる。
・MANO向けには二つのコンポーネントが提案される。すなわちセキュアな記憶域とHISEEである。
・MANOは、VNFパッケージをオンボーディングしている間に、そのイメージに対してオペレータもしくは信頼される第三者(trusted third party)が署名できる。
第一の視点に基づけば、次の要素を備えるVNFパッケージ署名システムが提供される:
送信者からのVNFパッケージの受信に応答してVNFイメージを含むVNFパッケージの受信の承認を送るオーケストレーションユニットと、VNFパッケージを格納しさらに少なくともVNFパッケージ署名のための証明書を生成するための秘密鍵を用いてVNFパッケージ証明書を生成する記憶ユニットと、記憶ユニットからの要求に応答して秘密鍵を提供するHISEE(Hardware Isolated Secured Execution Environment)。オーケストレーションユニットは、記憶ユニットがVNFパッケージ証明書の生成に成功した場合に、VNFパッケージの受信の承認を送る。
第二の視点に基づけば、次のステップを含むVNFパッケージ署名方法が提供される:
オーケストレーション装置により、送信者からのVNFパッケージの受信に応答して、VNFイメージを含むVNFパッケージの受信の承認を送るステップ、記憶装置により、VNFパッケージを格納し、そしてVNFパッケージ証明書への署名を行うための秘密鍵を用いてVNFパッケージの証明書を生成するステップ、HISEE(Hardware Isolated Secured Execution Environment)装置により、記憶ユニットからの要求に応答して秘密鍵を提供するステップ。オーケストレーション装置は、記憶装置がVNFパッケージ証明書の生成に成功した場合に、VNFパッケージの受信の承認を送る。
・本発明の解決手段を用いれば、VNFオンボーディング等のようなMANOのいずれの機能についても、MANOとオペレータ/TTP間でのセキュリティおよび信頼性がもたらされる。
・MANO向けには二つのコンポーネントが提案される。すなわちセキュアな記憶域とHISEEである。
・MANOは、VNFパッケージをオンボーディングしている間に、そのイメージに対してオペレータもしくは信頼される第三者(trusted third party)が署名できる。
第一の視点に基づけば、次の要素を備えるVNFパッケージ署名システムが提供される:
送信者からのVNFパッケージの受信に応答してVNFイメージを含むVNFパッケージの受信の承認を送るオーケストレーションユニットと、VNFパッケージを格納しさらに少なくともVNFパッケージ署名のための証明書を生成するための秘密鍵を用いてVNFパッケージ証明書を生成する記憶ユニットと、記憶ユニットからの要求に応答して秘密鍵を提供するHISEE(Hardware Isolated Secured Execution Environment)。オーケストレーションユニットは、記憶ユニットがVNFパッケージ証明書の生成に成功した場合に、VNFパッケージの受信の承認を送る。
第二の視点に基づけば、次のステップを含むVNFパッケージ署名方法が提供される:
オーケストレーション装置により、送信者からのVNFパッケージの受信に応答して、VNFイメージを含むVNFパッケージの受信の承認を送るステップ、記憶装置により、VNFパッケージを格納し、そしてVNFパッケージ証明書への署名を行うための秘密鍵を用いてVNFパッケージの証明書を生成するステップ、HISEE(Hardware Isolated Secured Execution Environment)装置により、記憶ユニットからの要求に応答して秘密鍵を提供するステップ。オーケストレーション装置は、記憶装置がVNFパッケージ証明書の生成に成功した場合に、VNFパッケージの受信の承認を送る。
本発明がもたらす有利な効果の概要を以下に示す。
<証明書マネージメント>
・MANOは、オペレータもしくは信頼される(trusted)サードパーティーがVNFパッケージをオンボードする間にイメージに対してセキュアな署名を提供する。
・VNFパッケージに署名を行うため、MANOはHISEEから得た秘密鍵(Ps)の秘密なコンポーネントとモジュラス関数を用いてVNFイメージを認証できる。
<様々な目的のためのメッセージシーケンス>
・VNFパッケージに署名するために与えられた秘密鍵(PS)からプライベートコンポーネントとモジュラス関数とを導出する。
・MANOにおいて、セキュアな記憶域とHISEEとのハンドシェイクを行う。
<メッセージフォーマット>
・MANOからセキュアな記憶域を介して、HISEEに格納されている機密データにアクセスする。
・セキュアな記憶域とHISEEとの間で送られる、VNFイメージ署名要求のための手続き。
<鍵生成>
・NFVシステムにおいて認証や暗号化メカニズムのため要求される、MANOベースによるソフトウェア秘密鍵(PS)の生成
<証明書マネージメント>
・MANOは、オペレータもしくは信頼される(trusted)サードパーティーがVNFパッケージをオンボードする間にイメージに対してセキュアな署名を提供する。
・VNFパッケージに署名を行うため、MANOはHISEEから得た秘密鍵(Ps)の秘密なコンポーネントとモジュラス関数を用いてVNFイメージを認証できる。
<様々な目的のためのメッセージシーケンス>
・VNFパッケージに署名するために与えられた秘密鍵(PS)からプライベートコンポーネントとモジュラス関数とを導出する。
・MANOにおいて、セキュアな記憶域とHISEEとのハンドシェイクを行う。
<メッセージフォーマット>
・MANOからセキュアな記憶域を介して、HISEEに格納されている機密データにアクセスする。
・セキュアな記憶域とHISEEとの間で送られる、VNFイメージ署名要求のための手続き。
<鍵生成>
・NFVシステムにおいて認証や暗号化メカニズムのため要求される、MANOベースによるソフトウェア秘密鍵(PS)の生成
NFVシステムにおいてVNF署名を行う際のユースケース
(1)オンボーディングの間でのVNFパッケージの署名
(1.1)導入部:VNFパッケージのオンボーディング
VNFパッケージのオンボーディングとは、カタログに含まれるべきVNFパッケージをNFVOに移すプロセスを指す。図1はVNFパッケージをオンボーディングする際のシーケンスダイアグラムを示している。VNFパッケージをオンボードし検証することが目的である。MANOに新たなVNFがオンボーディングのため利用(入手)可能であることを知らせるプロセスについて以下に示す。
(1)オンボーディングの間でのVNFパッケージの署名
(1.1)導入部:VNFパッケージのオンボーディング
VNFパッケージのオンボーディングとは、カタログに含まれるべきVNFパッケージをNFVOに移すプロセスを指す。図1はVNFパッケージをオンボーディングする際のシーケンスダイアグラムを示している。VNFパッケージをオンボードし検証することが目的である。MANOに新たなVNFがオンボーディングのため利用(入手)可能であることを知らせるプロセスについて以下に示す。
a)プロシジャー
1.送信者が新たなVNFをアップロードし、さらにNFVOに対して新たなVNFが利用可能になったことを通知する。
2.NFVOが新たなVNFのメタデータ(VNF記述子)をリクエストする。
3.NFVOにVNF記述子を与える。
4.NFVOはVNFDを処理して、必須要素が与えられているかどうかチェックする。
5.NFVOはVNFカタログに対してVNFDをアップロードする。
1.送信者が新たなVNFをアップロードし、さらにNFVOに対して新たなVNFが利用可能になったことを通知する。
2.NFVOが新たなVNFのメタデータ(VNF記述子)をリクエストする。
3.NFVOにVNF記述子を与える。
4.NFVOはVNFDを処理して、必須要素が与えられているかどうかチェックする。
5.NFVOはVNFカタログに対してVNFDをアップロードする。
(1.2) オンボーディングの間におけるVNFパッケージの署名
a)問題点
VNFの採用の成功のために重要となるファクターは、VNFパッケージがオンボーディングされている最中に署名を行うことである。
オンボーディングされている間、VNFパッケージの正当性(authenticity)は確証されることがない。
数秒の間にVNFイメージに対してマルウェアを感染させる可能性の高い方法はいくつか存在する。
既知の手法は潜在的脅威として内部攻撃者(insider)を考慮していない。
従って、VNFがオンボーディングされている間に検証を行う必要がある。
a)問題点
VNFの採用の成功のために重要となるファクターは、VNFパッケージがオンボーディングされている最中に署名を行うことである。
オンボーディングされている間、VNFパッケージの正当性(authenticity)は確証されることがない。
数秒の間にVNFイメージに対してマルウェアを感染させる可能性の高い方法はいくつか存在する。
既知の手法は潜在的脅威として内部攻撃者(insider)を考慮していない。
従って、VNFがオンボーディングされている間に検証を行う必要がある。
b):記述
VNFパッケージをオンボーディングするとは、カタログ500に含まれるべきVNFパッケージをNFVO200に移すプロセスを指す。図4は証明書管理を使ってVNFパッケージ署名を行う場合のブロック図を示している。ユースケースの目的は、我々の提案する仕組みを用いてMANO1000により保護される信頼性と完全性を提供するべくVNFパッケージの認証を行うものである。以下では任意の外部ユーザあるいは内部ユーザによるVNF署名手続きについて1ステップずつ説明している。このブロック図はMANOコンポーネントで構成される。すなわち、HISEE(Hardware Isolated Secured Execution Environment)400、セキュアな環境エンジン(SEE)401、通常環境エンジン800、PKCコンテナ402、秘密鍵(PS)(HISEE SW Platform;HISEE Software Platform)403、秘密鍵(PH)(HISEE HW Platform;HISEE Hardware Platform)、セキュアな記憶域300とで構成されている。
VNFパッケージをオンボーディングするとは、カタログ500に含まれるべきVNFパッケージをNFVO200に移すプロセスを指す。図4は証明書管理を使ってVNFパッケージ署名を行う場合のブロック図を示している。ユースケースの目的は、我々の提案する仕組みを用いてMANO1000により保護される信頼性と完全性を提供するべくVNFパッケージの認証を行うものである。以下では任意の外部ユーザあるいは内部ユーザによるVNF署名手続きについて1ステップずつ説明している。このブロック図はMANOコンポーネントで構成される。すなわち、HISEE(Hardware Isolated Secured Execution Environment)400、セキュアな環境エンジン(SEE)401、通常環境エンジン800、PKCコンテナ402、秘密鍵(PS)(HISEE SW Platform;HISEE Software Platform)403、秘密鍵(PH)(HISEE HW Platform;HISEE Hardware Platform)、セキュアな記憶域300とで構成されている。
セキュアな記憶域(ないし記憶装置)300はユニークなキーで暗号化されたものがチェーン接続されており、証明書やライセンス、暗号化鍵データを格納する。セキュアな記憶域から他のデバイスへ生データを転送する行為はアクセスに失敗する。
HISEE(Hardware Isolated Secured Execution Environment)400は、ハードウェアにより強化されたセキュリティ環境であり、セキュリティ・サービスと、信頼できるチェーンとして他の要素とのインターフェイスの双方を提供する。HISEEはセキュア環境エンジン(SEE)と通常環境エンジン(NEE)の二つのパラレル実行環境に分けられる。HISEEはセキュア環境エンジン(SEE)401と、公開鍵コンテナ(PKC)402と、秘密鍵(PS)(HISEE SWPlatform) 403と、秘密鍵(PH)(HISEE HWPlatform)404とで構成されている。NFVO200の詳細な構成となっているVIMとNFVIについては、ETSI GS NFV MAN 001(NPL1)の5.4.2節を参照。証明書署名を用いたVNFパッケージのオンボーディングの段階ごとの説明は以下のサブセクションで示す。
c)送信者とNFVOの間のやりとり
図2は、VNFパッケージ署名処理のうち、送信者とNFVOとの間のやりとりに関するブロック図である。
図2は、VNFパッケージ署名処理のうち、送信者とNFVOとの間のやりとりに関するブロック図である。
d)セキュア記憶域とHISEEの間のやりとり
図3は、VNFパッケージ署名処理のうち、セキュア記憶域300とHISEE400との間のやりとりに関するブロック図である。
図3は、VNFパッケージ署名処理のうち、セキュア記憶域300とHISEE400との間のやりとりに関するブロック図である。
i. 通常環境エンジン(NEE)800は非セキュアな実行環境であり、通常環境エンジン800からHISEEコンポーネントに要求を転送する。
ii. セキュア環境エンジン(SEE)は信頼可能(trusted)であり、かつセキュアな記憶域300からSEE401に対して要求を転送する証明可能なセキュア環境である。
iii. PKC(Public−Key Cryptography)コンテナ402は、秘密鍵(PS)(HISEE SWPlatform)403から公開エクスポーネント値とモジュラス値を抽出する。
iv. 秘密鍵(PS)(HISEE SWPlatform)は、HISEEに格納されるソフトウェアベースの秘密鍵の一種である。
v. 秘密鍵(PH)(HISEE HWPlatform)は、HISEEに格納されるハードウェアベースの秘密鍵の一種である。
ii. セキュア環境エンジン(SEE)は信頼可能(trusted)であり、かつセキュアな記憶域300からSEE401に対して要求を転送する証明可能なセキュア環境である。
iii. PKC(Public−Key Cryptography)コンテナ402は、秘密鍵(PS)(HISEE SWPlatform)403から公開エクスポーネント値とモジュラス値を抽出する。
iv. 秘密鍵(PS)(HISEE SWPlatform)は、HISEEに格納されるソフトウェアベースの秘密鍵の一種である。
v. 秘密鍵(PH)(HISEE HWPlatform)は、HISEEに格納されるハードウェアベースの秘密鍵の一種である。
e)ブロック図概観
図4は、NFVシステムにオンボーディングする間でのVNFパッケージに署名を行う過程のブロック図を示している。
図4は、NFVシステムにオンボーディングする間でのVNFパッケージに署名を行う過程のブロック図を示している。
f)ユースケース概観:VNFパッケージ署名の間におけるHISEEでの秘密鍵セキュア化方法
図5は、オンボードされたVNFパッケージに署名をする手順を示している。
図6は、オンボードされたVNFパッケージに署名をする具体的な手順を示している。
図5は、オンボードされたVNFパッケージに署名をする手順を示している。
図6は、オンボードされたVNFパッケージに署名をする具体的な手順を示している。
g)プロシジャー
ステップ1:
VNFパッケージをオンボードするため、送信者100からNFVO200にVNFパッケージを送信する。
ステップ2:
NFVO200は提案されたプロトコルを使って、VNFパッケージに署名する。
ステップ3:
VNFパッケージに署名するため、NFVO200はセキュア記憶域300に要求を転送する。
ステップ4:
セキュアな記憶域300は、VNF認証と、証明書生成に必要な秘密鍵(PS)のAPIを開始する。
ステップ5:
秘密鍵(PS)のAPIは秘密鍵(PS)を取得するために、通常の環境エンジン(NEE)800へコールを転送する。
ステップ6:
通常環境エンジン800は、セキュアな環境に配置されているセキュアな環境エンジン(SEE)401への要求をマッピングする。
ステップ7:
セキュアな環境エンジン(SEE)401はHISEEに存在する秘密鍵(PS)を読み取る。
ステップ8:
セキュアな環境エンジン(SEE)401は、認証要求があった場合その秘密のコンポーネント値を求め、その資格証明(ないし信頼性credentials)を通常環境エンジン(NEE)800に転送する。
ステップ9:
通常環境エンジン800は、秘密鍵(PS)の秘密コンポーネント値を使って、セキュアな記憶域のAPIコールに対して応答する。
ステップ10:
セキュアな記憶域300は証明書を生成し、秘密鍵(PS)の秘密コンポーネント値を使ってVNFパッケージに署名を行い、秘密鍵(PS)の秘密コンポーネント値を永久に抹消する。
ステップ11:
セキュアな記憶域300はNFVO200に対して、証明書の生成とVNF署名の成功を承認する。
ステップ12:
NFVO200はカタログ500に通知し、そしてVIM(Virtualized Infrastracture Manager)リポジトリにイメージのアップロードを通知する。
ステップ13:
NFVO200は送信者100に対して、VNFパッケージのオンボーディングを承認する。
ステップ1:
VNFパッケージをオンボードするため、送信者100からNFVO200にVNFパッケージを送信する。
ステップ2:
NFVO200は提案されたプロトコルを使って、VNFパッケージに署名する。
ステップ3:
VNFパッケージに署名するため、NFVO200はセキュア記憶域300に要求を転送する。
ステップ4:
セキュアな記憶域300は、VNF認証と、証明書生成に必要な秘密鍵(PS)のAPIを開始する。
ステップ5:
秘密鍵(PS)のAPIは秘密鍵(PS)を取得するために、通常の環境エンジン(NEE)800へコールを転送する。
ステップ6:
通常環境エンジン800は、セキュアな環境に配置されているセキュアな環境エンジン(SEE)401への要求をマッピングする。
ステップ7:
セキュアな環境エンジン(SEE)401はHISEEに存在する秘密鍵(PS)を読み取る。
ステップ8:
セキュアな環境エンジン(SEE)401は、認証要求があった場合その秘密のコンポーネント値を求め、その資格証明(ないし信頼性credentials)を通常環境エンジン(NEE)800に転送する。
ステップ9:
通常環境エンジン800は、秘密鍵(PS)の秘密コンポーネント値を使って、セキュアな記憶域のAPIコールに対して応答する。
ステップ10:
セキュアな記憶域300は証明書を生成し、秘密鍵(PS)の秘密コンポーネント値を使ってVNFパッケージに署名を行い、秘密鍵(PS)の秘密コンポーネント値を永久に抹消する。
ステップ11:
セキュアな記憶域300はNFVO200に対して、証明書の生成とVNF署名の成功を承認する。
ステップ12:
NFVO200はカタログ500に通知し、そしてVIM(Virtualized Infrastracture Manager)リポジトリにイメージのアップロードを通知する。
ステップ13:
NFVO200は送信者100に対して、VNFパッケージのオンボーディングを承認する。
図7は、メッセージフォーマットを用いて、VNFパッケージをオンボーディングする際の具体的なシーケンスを示した図である。図8は、オンボードVNFパッケージに署名する際に用いられるテーブルメッセージフォーマットを示した図である。
1.Onboard_VNFPackage,Sender−>NFVO
このメッセージは送信者100からNFVO200に送られる、オンボードVNFのイメージを定める。
2.Locate_Privatekey(PS),NFVO−>SS
このメッセージはNFVO200からセキュアな記憶域300に送られる、NFVO200が秘密鍵のAPIをセキュアな記憶域300に格納することを定める。
3.Access_Private key(PS),SS−>NEE
このメッセージはSS300からNEE800に送られる、秘密鍵の秘密コンポーネント値を要求するAPIコールを転送することを定める。
4.Access_Private key(PS),NEE−>SEE
このメッセージはNEE800からSEE401に送られる、秘密鍵の秘密コンポーネント値を要求するためのAPIコールを転送することを定める。
5.Read_Private key(PS),SEE−>HISEE
このメッセージはSEE401からHISEE403/404に送られる、秘密鍵の秘密コンポーネント値を抽出することを定める。
6.Send_PrivateValue(PS),PKCCont<−HISEE(SW)
このメッセージはHISEE(SW)403/404からPKCコンテナ402に送り、PKCコンテナ402に秘密鍵の秘密コンポーネント値を格納することを定める。
7.Formulate_PrivateValues,PKCCont
このメッセージは、PKCコンテナ402において秘密コンポーネント値を作成することを定める。
8.Send_PrivateValues,SEE<−PKCCont
このメッセージはPKCコンテナ402からSEE401に、秘密鍵の秘密コンポーネント値を転送することを定める。
9.Response_Private key(PS),NEE<−SEE
このメッセージはSEE401からNEE800に、秘密鍵の秘密コンポーネント値を転送することを定める。
10.Response_Private key(PS),SS<−NEE
このメッセージはNEE800からセキュアな記憶域300に、秘密鍵の秘密コンポーネント値を転送することを定める。
11.SS_CertificateGen_VNF,SS
このメッセージは、秘密鍵の秘密コンポーネント値を用いて、セキュアな記憶域300におけるVNF証明書の生成や署名を定める。
12.Response_VNF_Certification_Signing_status,NFVO<−SS
このメッセージはセキュアな記憶域(SS)300からNFVO200に送られる、VNF証明書の生成および署名のステータスを定める。
13.Notify_Catalog,NFVO−>Catalog
このメッセージはNFVO200からカタログ500に送られる、証明書の生成および署名のステータスを定める。
14.Upload_Images,NFVO−>VIMREPO
このメッセージはNFVO200からVIMリポジトリ600に送られる、VNFイメージのアップロードステータスを定める。
15.Ack_Image_upload,NFVO<−VIMREPO
このメッセージはVIMリポジトリ600からNFVO200に送られる、VNFイメージアップロードの承認ステータスを定める。
16.Ack_On−Board_VNFPackage,Sender<−NFVO
このメッセージはNFVO200から送信者100に送られる、オンボーディングするVNFイメージの承認ステータスを定める。
このメッセージは送信者100からNFVO200に送られる、オンボードVNFのイメージを定める。
2.Locate_Privatekey(PS),NFVO−>SS
このメッセージはNFVO200からセキュアな記憶域300に送られる、NFVO200が秘密鍵のAPIをセキュアな記憶域300に格納することを定める。
3.Access_Private key(PS),SS−>NEE
このメッセージはSS300からNEE800に送られる、秘密鍵の秘密コンポーネント値を要求するAPIコールを転送することを定める。
4.Access_Private key(PS),NEE−>SEE
このメッセージはNEE800からSEE401に送られる、秘密鍵の秘密コンポーネント値を要求するためのAPIコールを転送することを定める。
5.Read_Private key(PS),SEE−>HISEE
このメッセージはSEE401からHISEE403/404に送られる、秘密鍵の秘密コンポーネント値を抽出することを定める。
6.Send_PrivateValue(PS),PKCCont<−HISEE(SW)
このメッセージはHISEE(SW)403/404からPKCコンテナ402に送り、PKCコンテナ402に秘密鍵の秘密コンポーネント値を格納することを定める。
7.Formulate_PrivateValues,PKCCont
このメッセージは、PKCコンテナ402において秘密コンポーネント値を作成することを定める。
8.Send_PrivateValues,SEE<−PKCCont
このメッセージはPKCコンテナ402からSEE401に、秘密鍵の秘密コンポーネント値を転送することを定める。
9.Response_Private key(PS),NEE<−SEE
このメッセージはSEE401からNEE800に、秘密鍵の秘密コンポーネント値を転送することを定める。
10.Response_Private key(PS),SS<−NEE
このメッセージはNEE800からセキュアな記憶域300に、秘密鍵の秘密コンポーネント値を転送することを定める。
11.SS_CertificateGen_VNF,SS
このメッセージは、秘密鍵の秘密コンポーネント値を用いて、セキュアな記憶域300におけるVNF証明書の生成や署名を定める。
12.Response_VNF_Certification_Signing_status,NFVO<−SS
このメッセージはセキュアな記憶域(SS)300からNFVO200に送られる、VNF証明書の生成および署名のステータスを定める。
13.Notify_Catalog,NFVO−>Catalog
このメッセージはNFVO200からカタログ500に送られる、証明書の生成および署名のステータスを定める。
14.Upload_Images,NFVO−>VIMREPO
このメッセージはNFVO200からVIMリポジトリ600に送られる、VNFイメージのアップロードステータスを定める。
15.Ack_Image_upload,NFVO<−VIMREPO
このメッセージはVIMリポジトリ600からNFVO200に送られる、VNFイメージアップロードの承認ステータスを定める。
16.Ack_On−Board_VNFPackage,Sender<−NFVO
このメッセージはNFVO200から送信者100に送られる、オンボーディングするVNFイメージの承認ステータスを定める。
図9は、本発明による、オンボードするVNFパッケージへの署名の概要を示す図である。
図10は、本発明による、オンボードVNFパッケージへの署名処理に関する典型的なアーキテクチャを示すブロック図である。
ハイライトされているセキュアな記憶域300とHISEE400とがNFV MANOの典型的なアーキテクチャとして加わっている。さらに、リファレンスポイント「Or−Mss」「Mss−Mha」としてインターフェイスが加わっている。図左側にあるNFVIの枠には、セキュアな環境エンジン401とPKCコンテナ402と、秘密鍵(PS)(HISEE SWPlatform)403と、通常環境エンジン800とが、VIM(Virtualized Infrastracture Manager(s))960により仮想レイヤにおいて実現することができる。一方秘密鍵(PH)(HISEE HW Platform)404に対応する元の秘密鍵(PH)は、ハードウェアリソースとして隔離して配置されている。
ハイライトされているセキュアな記憶域300とHISEE400とがNFV MANOの典型的なアーキテクチャとして加わっている。さらに、リファレンスポイント「Or−Mss」「Mss−Mha」としてインターフェイスが加わっている。図左側にあるNFVIの枠には、セキュアな環境エンジン401とPKCコンテナ402と、秘密鍵(PS)(HISEE SWPlatform)403と、通常環境エンジン800とが、VIM(Virtualized Infrastracture Manager(s))960により仮想レイヤにおいて実現することができる。一方秘密鍵(PH)(HISEE HW Platform)404に対応する元の秘密鍵(PH)は、ハードウェアリソースとして隔離して配置されている。
上述したモードでは、以下の仮定を前提としている。
・証明書の秘密鍵は、証明書が生成されている間HISEE400にセキュアに格納されている。
・送信者100は、NFストアとして参照されることができる。
・VNF署名および証明書生成は、VNFパッケージのアップロードの間に、実行される
・証明書の秘密鍵は、証明書が生成されている間HISEE400にセキュアに格納されている。
・送信者100は、NFストアとして参照されることができる。
・VNF署名および証明書生成は、VNFパッケージのアップロードの間に、実行される
本発明の推奨形態と比較した場合のソリューションを以下に述べる(図11及び図12参照)。
表題1:暗号化によるロール認証を用いた封印(シール)、デジタルスタンプ、及び署名としての使用のためのシステムあるいは方法
・このロール認証には関連するポリシーがあり、暗号化を行う場合とデジタル署名を行う場合の双方で利用できる。
・グループに属する各個人は、同じロール証明書を共に持ち、グループを代表して署名を行える。
・グループに属する各個人は、ロール証明を用いて暗号化された、グループ宛てもしくはグループ内のメンバーへのメッセージを復号できる。
・鍵復元権限は、期限切れとなったロール証明の鍵の回復に利用される。
表題1:暗号化によるロール認証を用いた封印(シール)、デジタルスタンプ、及び署名としての使用のためのシステムあるいは方法
・このロール認証には関連するポリシーがあり、暗号化を行う場合とデジタル署名を行う場合の双方で利用できる。
・グループに属する各個人は、同じロール証明書を共に持ち、グループを代表して署名を行える。
・グループに属する各個人は、ロール証明を用いて暗号化された、グループ宛てもしくはグループ内のメンバーへのメッセージを復号できる。
・鍵復元権限は、期限切れとなったロール証明の鍵の回復に利用される。
表題2:異種混在環境における証明書ベースの認証システム
・コンソールのオペレータが、代表的コンピュータもしくは「コア」に一度ログインするだけで、様々なコンピュータが混在(heterogeneous)しているシステムに対する認証をする方法および装置。
・ログイン完了後、オペレータがセッション証明書を取得し、そのオペレータが自らのIDおよび所属グループに関する情報などを、他のノードやネットワークで証明可能にする。
・セッション証明書署名前に、証明書内拡張データエリアにデータを埋め込む。
・ユーザ名や、グループ所属や、コアコンピュータやネットワーク内にある他のデバイスの名前空間に基づく拡張データは、その名前空間に属していなくてもあるいは同じネットワークOSを使っていない場合でさえも利用可能である。
・管理可能なデバイスは、セッション証明書保有者から送信された拡張データに基づいて、自分自身へのアクセスの認証及び承認が可能。
・証明書の信頼性と所有権は、標準の公開鍵暗号化方法を使用して検証する。
・コンソールのオペレータが、代表的コンピュータもしくは「コア」に一度ログインするだけで、様々なコンピュータが混在(heterogeneous)しているシステムに対する認証をする方法および装置。
・ログイン完了後、オペレータがセッション証明書を取得し、そのオペレータが自らのIDおよび所属グループに関する情報などを、他のノードやネットワークで証明可能にする。
・セッション証明書署名前に、証明書内拡張データエリアにデータを埋め込む。
・ユーザ名や、グループ所属や、コアコンピュータやネットワーク内にある他のデバイスの名前空間に基づく拡張データは、その名前空間に属していなくてもあるいは同じネットワークOSを使っていない場合でさえも利用可能である。
・管理可能なデバイスは、セッション証明書保有者から送信された拡張データに基づいて、自分自身へのアクセスの認証及び承認が可能。
・証明書の信頼性と所有権は、標準の公開鍵暗号化方法を使用して検証する。
上で述べた通り、本実施形態によればVNF使用のためのセキュアな環境を提供することが可能である。
上述の説明で本発明の実施形態を説明したが、本開示は上で述べたそれぞれの実施形態に限定されることなく、様々な修正、置換、調節が可能である。さらに本開示はそれぞれの実施形態を任意に組み合わせてもよい。すなわち本開示は請求の範囲全体及びその技術的思想に基づいた当業者が想定可能な様々な種類の変形、変更、修正を含む。
例えば上述の実施形態では「HISEE」という用語を用いているが、「HMEE(Hardware Mediated Secure Enclaves:NFV−SEC012 V3.1.1参照)」など「HISEE」と同等の方式が本発明で適用可能である。
上記非特許文献の全記載内容は引用をもって本書に組み込み記載されているものとする。実施形態および実施例については、特許請求の範囲を含む本発明による全開示の範囲内において、またその基本的な技術的思想に基づいて変更及び調整が可能である。また、本発明の請求項の範囲内において、請求の範囲の各要素や実施形態や実施例の各要素や各図面の各要素などの多様な組み合わせ及び選択が可能である。すなわち本発明は特許請求の範囲を含む全開示内容及び技術的思想に基づいて当業者が実施可能なあらゆる変形およびあらゆる変更(バリエーション)を含むものと理解されるべきである。
100 送信者
100a OSS/BSS
100b 外部送信者
200 NFVO
200a オーケストレータ
300 セキュアな記憶域(SS)(ないし記憶装置)
400 HISEE
401 セキュアな環境エンジン(SEE)
402 PKCコンテナ(Public−Key Cryptographyコンテナ)
403 秘密鍵(PS)(HISEE SWプラットフォーム)
404 秘密鍵(PH)(HISEE HWプラットフォーム)
500 カタログ
600 VIMイメージリポジトリ
800 通常環境エンジン(NEE)
950 VNFマネージャ
960 仮想インフラストラクチャマネージャ(VIM)
970 NFVI
1000 (NFV)MANO
100a OSS/BSS
100b 外部送信者
200 NFVO
200a オーケストレータ
300 セキュアな記憶域(SS)(ないし記憶装置)
400 HISEE
401 セキュアな環境エンジン(SEE)
402 PKCコンテナ(Public−Key Cryptographyコンテナ)
403 秘密鍵(PS)(HISEE SWプラットフォーム)
404 秘密鍵(PH)(HISEE HWプラットフォーム)
500 カタログ
600 VIMイメージリポジトリ
800 通常環境エンジン(NEE)
950 VNFマネージャ
960 仮想インフラストラクチャマネージャ(VIM)
970 NFVI
1000 (NFV)MANO
Claims (8)
- 送信者からのVNFパッケージの受信に応答してVNFイメージを含むVNFパッケージの受信の承認を送るオーケストレーションユニットと、
VNFパッケージを格納し、さらに少なくともVNFパッケージ署名のための証明書を生成するための秘密鍵を使って、VNFパッケージの証明書を生成する記憶ユニットと、
記憶ユニットからの要求に応答して秘密鍵を提供するHISEE(Hardware Isolated Secured Execution Environment)ユニットと、を含み、
前記オーケストレーションユニットは、記憶ユニットがVNFパッケージ証明書の生成に成功した場合に、VNFパッケージの受信の承認を送ること、
を特徴とするVNFパッケージ署名システム。 - HISEEユニットが、HISEEソフトウェアプラットフォームからの秘密鍵を読むセキュア環境エンジンを有する請求項1のVNFパッケージ署名システム。
- セキュアな環境エンジンはアプリケーションプログラミングインターフェイス(API)を提供し、秘密鍵要求を含むAPIコールに応答して前記秘密鍵を返す請求項2のVNFパッケージ署名システム。
- 通常環境エンジンが、記憶ユニットとセキュア環境との間のメッセージを中継する請求項1から3いずれか一のVNFパッケージ署名システム。
- 記憶ユニットがVNFパッケージ証明書生成に成功した場合に、オーケストレーションユニットがあらかじめ定められたVNFカタログユニットに対して、VNFイメージ生成証明書を通知する請求項1から4いずれか一のVNFパッケージ署名システム。
- 記憶ユニットがVNFパッケージ証明書生成に成功した場合に、オーケストレーションユニットがあらかじめ定められたVIM(VNF Infrastructure Manager)イメージリポジトリに、VNFイメージを格納する請求項1から5いずれか一のVNFパッケージ署名システム。
- VIM(VNF Infrastructure Manager)とNFVI(Network Function Virtualization Infrastructure)とをさらに含み、
前記VNFパッケージ署名システムはVNF署名機能を備えたNFV−MANOシステムとしても機能する請求項1から6いずれか一のVNFパッケージ署名システム。 - オーケストレーション装置により、送信者からのVNFパッケージの受信に応答して、VNFイメージを含むVNFパッケージの受信の承認を送るステップと、
記憶装置により、VNFパッケージを格納し、そして、少なくともVNFパッケージ署名の証明書を生成するための秘密鍵を使って、VNFパッケージの証明書を生成するステップと、
HISEE(Hardware Isolated Secured Execution Environment)装置により、記憶装置からの要求に応答して前記秘密鍵を提供するステップと、を含み、
前記オーケストレーション装置は、記憶装置がVNFパッケージ証明書生成に成功した場合に、受け取ったVNFパッケージ承認を送ること、
を特徴とするVNFパッケージ署名方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IN201711004439 | 2017-02-07 | ||
IN201711004439 | 2017-02-07 | ||
PCT/JP2018/004009 WO2018147276A1 (en) | 2017-02-07 | 2018-02-06 | Vnf package signing system and vnf package signing method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020507167A JP2020507167A (ja) | 2020-03-05 |
JP6806263B2 true JP6806263B2 (ja) | 2021-01-06 |
Family
ID=61283284
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019542494A Active JP6806263B2 (ja) | 2017-02-07 | 2018-02-06 | Vnfパッケージ署名システム及びvnfパッケージ署名方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11258766B2 (ja) |
EP (1) | EP3580909A1 (ja) |
JP (1) | JP6806263B2 (ja) |
CN (1) | CN110268693A (ja) |
WO (1) | WO2018147276A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11258766B2 (en) * | 2017-02-07 | 2022-02-22 | Nec Corporation | VNF package signing system and VNF package signing method |
CN112350980B (zh) * | 2019-08-09 | 2023-06-06 | 中兴通讯股份有限公司 | 一种软件包传输、传输验证方法、网络设备及存储介质 |
US11870768B1 (en) | 2020-04-10 | 2024-01-09 | Cisco Technology, Inc. | Certificate-based techniques to securely onboard a radio interface unit |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9838265B2 (en) * | 2013-12-19 | 2017-12-05 | Amdocs Software Systems Limited | System, method, and computer program for inter-module communication in a network based on network function virtualization (NFV) |
WO2015143651A1 (zh) * | 2014-03-26 | 2015-10-01 | 华为技术有限公司 | 基于网络功能虚拟化的证书配置方法、装置和*** |
WO2016015207A1 (zh) * | 2014-07-28 | 2016-02-04 | 华为技术有限公司 | 一种信息安全验证方法及设备 |
US9407612B2 (en) * | 2014-10-31 | 2016-08-02 | Intel Corporation | Technologies for secure inter-virtual network function communication |
US10505742B2 (en) | 2015-02-03 | 2019-12-10 | Nec Corporation | Virtual network system, control apparatus, control method, and control program |
EP3249882A4 (en) * | 2015-02-15 | 2018-02-21 | Huawei Technologies Co., Ltd. | Data uploading method, device and system |
JP6455586B2 (ja) | 2015-02-20 | 2019-01-23 | 日本電気株式会社 | 仮想ネットワークシステム、仮想ネットワーク制御方法、制御装置およびその制御方法と制御プログラム |
JP6449487B2 (ja) * | 2015-04-30 | 2019-01-09 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | ソフトウェアセキュリティ検証方法、デバイス、およびシステム |
CN107852337B (zh) * | 2015-07-23 | 2021-07-13 | 英特尔公司 | 支持网络功能虚拟化生命周期管理的网络资源模型 |
US9673982B2 (en) * | 2015-09-16 | 2017-06-06 | Sprint Communications Company L.P. | Efficient hardware trust verification in data communication systems that comprise network interface cards, central processing units, and data memory buffers |
US11463267B2 (en) * | 2016-09-08 | 2022-10-04 | Nec Corporation | Network function virtualization system and verifying method |
US10528721B2 (en) * | 2016-10-20 | 2020-01-07 | Intel Corporation | Trusted packet processing for multi-domain separatization and security |
US11258766B2 (en) * | 2017-02-07 | 2022-02-22 | Nec Corporation | VNF package signing system and VNF package signing method |
-
2018
- 2018-02-06 US US16/484,007 patent/US11258766B2/en active Active
- 2018-02-06 JP JP2019542494A patent/JP6806263B2/ja active Active
- 2018-02-06 EP EP18707442.2A patent/EP3580909A1/en not_active Withdrawn
- 2018-02-06 WO PCT/JP2018/004009 patent/WO2018147276A1/en unknown
- 2018-02-06 CN CN201880010781.9A patent/CN110268693A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
US11258766B2 (en) | 2022-02-22 |
US20200099660A1 (en) | 2020-03-26 |
WO2018147276A1 (en) | 2018-08-16 |
JP2020507167A (ja) | 2020-03-05 |
EP3580909A1 (en) | 2019-12-18 |
CN110268693A (zh) | 2019-09-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109361668B (zh) | 一种数据可信传输方法 | |
US11855767B2 (en) | Methods and systems for distributing encrypted cryptographic data | |
JP4600851B2 (ja) | コンピュータシステム間でメッセージを通信するための安全なコンテキストの確立 | |
US9137017B2 (en) | Key recovery mechanism | |
US8185938B2 (en) | Method and system for network single-sign-on using a public key certificate and an associated attribute certificate | |
US9686080B2 (en) | System and method to provide secure credential | |
US9425958B2 (en) | System, method and apparatus for cryptography key management for mobile devices | |
JP5860815B2 (ja) | コンピューターポリシーを施行するためのシステムおよび方法 | |
US7900247B2 (en) | Trusted third party authentication for web services | |
US20100082989A1 (en) | Storing Composite Services on Untrusted Hosts | |
US20070101145A1 (en) | Framework for obtaining cryptographically signed consent | |
JP2014506074A (ja) | 認証された受信者へ暗号データを配信するための方法およびシステム | |
JP6806263B2 (ja) | Vnfパッケージ署名システム及びvnfパッケージ署名方法 | |
EP4145763A1 (en) | Exporting remote cryptographic keys | |
WO2022033350A1 (zh) | 注册服务的方法及设备 | |
JP2024501326A (ja) | アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード | |
JP6045018B2 (ja) | 電子署名代行サーバ、電子署名代行システム及び電子署名代行方法 | |
Fongen et al. | The integration of trusted platform modules into a tactical identity management system | |
JP2000261428A (ja) | 分散処理システムにおける認証装置 | |
Pranata et al. | A distributed mechanism for secure collaboration in Digital Ecosystems | |
CN111953495B (zh) | 一种电子签名混合云场景下无私钥签署方法 | |
Pranata et al. | Distributed mechanism for protecting resources in a newly emerged digital ecosystem technology | |
Ahn et al. | Towards scalable authentication in health services | |
CN117716666A (zh) | 用于向用户提供自主身份云服务的方法、云服务方法、云服务器、自主身份方法 | |
Khoje et al. | TransCrypt: An enterprise encrypting file system over NFS |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190805 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201104 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201117 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6806263 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |