知財求人 - 知財ポータルサイト「IP Force」
▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧
特開2023-171061認証装置、通信システム、証明書発行方法、及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023171061
(43)【公開日】2023-12-01
(54)【発明の名称】認証装置、通信システム、証明書発行方法、及びプログラム
(51)【国際特許分類】
H04W 12/069 20210101AFI20231124BHJP
H04L 9/32 20060101ALI20231124BHJP
H04W 12/40 20210101ALI20231124BHJP
G16Y 40/50 20200101ALI20231124BHJP
【FI】
H04W12/069
H04L9/32 200F
H04W12/40
G16Y40/50
【審査請求】未請求
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2022083276
(22)【出願日】2022-05-20
(71)【出願人】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(72)【発明者】
【氏名】腰原 誠
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA21
5K067BB21
5K067DD17
5K067EE02
5K067EE16
5K067HH22
5K067HH23
(57)【要約】
【課題】高い信頼性を保ちつつ、簡易に証明書を配布する技術を実現する。
【解決手段】認証装置において、デバイスから通信事業者網を介して受信する要求に基づいて、前記デバイスの通信に対応する通信識別子と、前記デバイスを識別するデバイス識別子を取得し、前記通信識別子と前記デバイス識別子とに基づいて前記デバイスの認証を行う認証処理部と、前記認証に成功した前記デバイスに対して証明書を発行する証明書発行部とを備える。
【選択図】図3
【解決手段】認証装置において、デバイスから通信事業者網を介して受信する要求に基づいて、前記デバイスの通信に対応する通信識別子と、前記デバイスを識別するデバイス識別子を取得し、前記通信識別子と前記デバイス識別子とに基づいて前記デバイスの認証を行う認証処理部と、前記認証に成功した前記デバイスに対して証明書を発行する証明書発行部とを備える。
【選択図】図3
【特許請求の範囲】
【請求項1】
デバイスから通信事業者網を介して受信する要求に基づいて、前記デバイスの通信に対応する通信識別子と、前記デバイスを識別するデバイス識別子を取得し、前記通信識別子と前記デバイス識別子とに基づいて前記デバイスの認証を行う認証処理部と、
前記認証に成功した前記デバイスに対して証明書を発行する証明書発行部と
を備える認証装置。
前記認証に成功した前記デバイスに対して証明書を発行する証明書発行部と
を備える認証装置。
【請求項2】
デバイス毎に、デバイス識別子とSIM情報とを対応付けて保持する記憶部
を更に備える請求項1に記載の認証装置。
を更に備える請求項1に記載の認証装置。
【請求項3】
前記認証処理部は、前記通信事業者網における所定の装置から、前記通信識別子に対応するSIM情報を取得し、前記SIM情報と、前記記憶部において前記デバイス識別子と対応付けて保持されるSIM情報とを照合することにより、前記認証を行う
請求項2に記載の認証装置。
請求項2に記載の認証装置。
【請求項4】
請求項1ないし3のうちいずれか1項に記載の前記認証装置と、前記デバイスとを備える通信システム。
【請求項5】
認証装置が実行する証明書発行方法であって、
デバイスから通信事業者網を介して受信する要求に基づいて、前記デバイスの通信に対応する通信識別子と、前記デバイスを識別するデバイス識別子を取得し、前記通信識別子と前記デバイス識別子とに基づいて前記デバイスの認証を行う認証処理ステップと、
前記認証に成功した前記デバイスに対して証明書を発行する証明書発行ステップと
を備える証明書発行方法。
デバイスから通信事業者網を介して受信する要求に基づいて、前記デバイスの通信に対応する通信識別子と、前記デバイスを識別するデバイス識別子を取得し、前記通信識別子と前記デバイス識別子とに基づいて前記デバイスの認証を行う認証処理ステップと、
前記認証に成功した前記デバイスに対して証明書を発行する証明書発行ステップと
を備える証明書発行方法。
【請求項6】
コンピュータを、請求項1ないし3のうちいずれか1項に記載の認証装置における各部して機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、証明書を発行する技術に関連するものである。
【背景技術】
【0002】
センサーや監視カメラなどを代表例として、今後様々な機器がIoTデバイスとしてネットワークにつながり、今までになかった付加価値を生み出すIoTサービスが、様々な業界・分野にて普及していく見込みである。
【0003】
そのような、莫大な数のIoTデバイスがネットワークに接続し、様々なサービスに活用される世界においては、IoTデバイスに対する盗聴、改ざん、なりすましなどのセキュリティリスクが増大する。
【0004】
その中で、従来のインターネットにおける暗号通信やクライアント認証などのセキュリティ技術を適用させることで、IoTデバイスの安全性の担保が進められている。
【0005】
特に、クライアント認証では、ID/パスワード認証よりも脆弱性の少ない「電子証明書認証方式」を取り入れる動きが活発となっており、証明書発行を手掛ける事業者が、IoTデバイス毎に証明書を自動要求・発行する仕組みを取り入れたIoTデバイス向け証明書発行サービスの提供を行っている。
【0006】
通常、証明書発行では、発行に際して、CA/RAによる依頼者の認証が必要となる。既存のヒト向け証明書発行の運用では、CA/RAが依頼者を人手で認証(審査・判断)していたが、モノ向けの証明書発行の運用では運用コスト軽減のために、依頼に対して、人手を介さずに自動で依頼者の認証をすることが求められている。クライアント認証はサーバ認証と異なり、公的なトラストアンカーが存在しないことから、公的なトラストアンカーが存在しない中でも安全性を担保しつつ、自動で認証を行える方式が議論されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2006-67515号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
「公的なトラストアンカーが存在しない中でも、自動で認証を行える」方式の代表的なものとして、(1)チャレンジパスワード方式、(2)ブートストラップ証明書方式、(3)GBA(General Bootstrap Architecture)を用いたSC(Subscriber Certificate)方式などがある。
【0009】
しかし、(1)チャレンジパスワード方式では、IoTデバイス管理者は全デバイスに対して、個別のパスワードをデバイスに設定/管理する必要があるため、運用が煩雑となる。
【0010】
(2)ブートストラップ証明書方式では、偽造や漏洩に強く、有効期限を長期間に設定できる特徴を持つ。しかし、生産時に証明書をデバイスに埋め込むため、証明書の再配布が難しく、一度有効期限が切れてしまった場合は、その端末ではブートストラップ証明書を利用できなくなる課題が存在する。
【0011】
(3)GBAを用いたSC方式では、なりすまし攻撃や盗難に強いという特徴を持つが、実装負荷が高いためにほとんど利用されていない。
【0012】
すなわち、従来技術では、クライアント認証において、高い信頼性を保ちつつ、簡易に証明書を配布する方式を実現できなかった。
【0013】
本発明は、上記の点に鑑みてなされたものであり、クライアント認証において、高い信頼性を保ちつつ、簡易に証明書を配布することを可能にする技術を提供することを目的とする。
【課題を解決するための手段】
【0014】
開示の技術によれば、デバイスから通信事業者網を介して受信する要求に基づいて、前記デバイスの通信に対応する通信識別子と、前記デバイスを識別するデバイス識別子を取得し、前記通信識別子と前記デバイス識別子とに基づいて前記デバイスの認証を行う認証処理部と、
前記認証に成功した前記デバイスに対して証明書を発行する証明書発行部と
を備える認証装置が提供される。
前記認証に成功した前記デバイスに対して証明書を発行する証明書発行部と
を備える認証装置が提供される。
【発明の効果】
【0015】
開示の技術によれば、クライアント認証において、高い信頼性を保ちつつ、簡易に証明書を配布することを可能にする技術が提供される。
【図面の簡単な説明】
【0016】
【図1】本発明の実施の形態に係る通信システムの全体構成図である。
【図2】IoTデバイスの構成例を示す図である。
【図3】認証装置の構成例を示す図である。
【図4】記憶部に格納される情報の例を示す図である。
【図5】加入者情報管理装置の構成例を示す図である。
【図6】記憶部に格納される情報の例を示す図である。
【図7】通信システムの動作を説明するためのシーケンス図である。
【図8】装置のハードウェア構成例を示す図である。
【発明を実施するための形態】
【0017】
以下、図面を参照して本発明の実施の形態(本実施の形態)を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
【0018】
(システム構成例)
図1に、本実施の形態における通信システムの構成例を示す。図1に示すように、本通信システムには、認証装置100、IoTデバイス200、加入者情報管理装置300、IoTサービス提供装置400が存在する。
図1に、本実施の形態における通信システムの構成例を示す。図1に示すように、本通信システムには、認証装置100、IoTデバイス200、加入者情報管理装置300、IoTサービス提供装置400が存在する。
【0019】
通信事業者網500はインターネット600に接続されており、IoTサービス提供装置400は、インターネット600に接続されている。通信事業者網500は、本実施の形態ではモバイルの通信事業者の網である。
【0020】
図1の例において、加入者情報管理装置300は、通信事業者網500を運営する通信事業者により運営される装置であることを想定しており、通信事業者網500内に備えられている。認証装置100は、通信事業者網500に接続されている。認証装置100が、通信事業者網500内に備えられてもよい。
【0021】
例えば、通信事業者網500が、MNO(Mobile Network Operator)設備(例:基地局、SGW、UPF)を有する網と、MVNO(Mobile Virtual Network Operator)設備(例:PGW、UPF、HSS、AUSF/UDM)を有する網とを相互接続点で接続した構成を有していてもよい。この構成において、認証装置100が、MVNO設備であってもよい。
【0022】
IoTサービス提供装置400は、IoTデバイス200と通信を行うIoTサービスのサーバ(例:Webサーバ)である。IoTサービス提供装置400には、適切なサーバ証明書がインストールされているとともに、適切なルートCA証明書がインストールされている。また、IoTサービス提供装置400は、IoTデバイス200との間でTLS相互認証を行う。
【0023】
(装置構成例)
<IoTデバイス200>
図2に、IoTデバイス200の構成例を示す。図2に示すように、IoTデバイス200は、通信部210、SIM220、証明書処理部230、記憶部240を有する。なお、本発明に係る技術において、クライアント証明書(「証明書」と呼んでもよい)を発行する対象となる装置は、IoTデバイスに限らない。IoTデバイスに限らない装置を総称して「デバイス」と呼んでもよい。
<IoTデバイス200>
図2に、IoTデバイス200の構成例を示す。図2に示すように、IoTデバイス200は、通信部210、SIM220、証明書処理部230、記憶部240を有する。なお、本発明に係る技術において、クライアント証明書(「証明書」と呼んでもよい)を発行する対象となる装置は、IoTデバイスに限らない。IoTデバイスに限らない装置を総称して「デバイス」と呼んでもよい。
【0024】
通信部210は、SIM220に格納されたSIM情報を使用して通信事業者網500にアクセスし、通信事業者網500を介してインターネット600にアクセスし、IoTサービス提供装置400と通信する機能を有する。また、通信部210は、IoTサービス提供装置400との間でTLS相互認証を行う。
【0025】
SIM220は、抜き差し可能なカード型SIMであってもよいし、IoTデバイス200に内蔵されるチップ型SIMであってもよい。SIM220には、IMSI(International Mobile Subscriber Identity)などが格納されている。
【0026】
証明書処理部230は、通信部210を介して、認証装置100へクライアント証明書を要求し、認証装置100からクライアント証明書を受信する。
【0027】
IoTデバイス200には、適切なルートCA証明書がインストールされている。また、IoTデバイス200は、一意にIoTデバイス200を識別するための識別子(デバイス識別子)を有している。記憶部240には、これらの情報(ルートCA証明書、デバイス識別子)を含む種々の情報が格納されている。
【0028】
<認証装置100>
認証装置100は、IoTデバイス200の認証を行って、IoTデバイス200に対してクライアント証明書を発行する装置である。
認証装置100は、IoTデバイス200の認証を行って、IoTデバイス200に対してクライアント証明書を発行する装置である。
【0029】
図3に、認証装置100の構成例を示す。図3に示すように、認証装置100は、通信部110、認証処理部120、証明書発行部130、記憶部140を有する。認証処理部120、証明書発行部130はそれぞれ通信部110を介して通信を行う。
【0030】
通信部110は他の装置と通信を行う。認証処理部120は、IoTデバイス200の認証を行う。証明書発行部130は、IoTデバイス200へ発行するクライアント証明書を作成する。
【0031】
記憶部140には、IoTデバイス200と、そのIoTデバイス200が持つべきSIMの情報との紐づけ情報が格納されている。図4に、記憶部140に格納される情報の例を示す。図4に示すとおり、記憶部140には、IoTデバイス200ごとに、そのデバイス識別子と、それが持つべきSIM情報(ここではIMSI)とを対応付けた情報が格納されている。
【0032】
なお、本実施の形態では、SIM情報(認証情報)としてIMSIを使用しているが、これは例であり、SIM情報としてIMSI以外の情報を使用してもよい。例えば、SIM220(eSIM)に外部から書き込まれた情報をIMSIに代えてSIM情報(認証情報)として使用してもよい。
【0033】
認証処理部120は、通信事業者網500を運営する通信事業者にて識別が可能な通信識別子(IPアドレス等)を用いて、その通信識別子に対応するSIM情報(IMSI)を問い合わせることができる。本実施の形態では、その問い合わせ先は、通信事業者網500内に備えられた加入者情報管理装置300であるものとする。認証処理部120は、問い合わせにより取得したIMSIを用いてIoTデバイス200の認証を行う。
【0034】
<加入者情報管理装置300>
加入者情報管理装置300は、通信事業者網500における加入者に関する情報を保持している。図5に、加入者情報管理装置300の構成例を示す。
加入者情報管理装置300は、通信事業者網500における加入者に関する情報を保持している。図5に、加入者情報管理装置300の構成例を示す。
【0035】
図5に示すように、加入者情報管理装置300は、通信部310、情報取得部320、記憶部330を有する。通信部310は、他の装置と通信を行う。情報取得部320は、IoTデバイス200の通信に係る通信識別子(IPアドレス等)に基づき、記憶部330からSIM情報を取得する。
【0036】
図6に、記憶部330に格納される情報の例を示す。図6に示すとおり、記憶部330には、IoTデバイス200ごとに、通信識別子(ここではIPアドレス)と、それが持つべきSIM情報(ここではIMSI)とを対応付けた情報が格納されている。
【0037】
(システムの動作例)
次に、上述した構成を備える各装置を有する通信システムの動作例を、図7のシーケンス図を参照して説明する。
次に、上述した構成を備える各装置を有する通信システムの動作例を、図7のシーケンス図を参照して説明する。
【0038】
S101において、IoTデバイス200は、通信部210により、IoTサービス提供装置400にTLS相互認証によるwebアクセスを行う。このwebアクセスの際に、IoTデバイス200の証明書処理部230が、クライアント証明書をIoTサービス提供装置400に送信し、IoTサービス提供装置400はその検証を行う。ここでのクライアント証明書は有効なものではないとする。
【0039】
IoTサービス提供装置400にてクライアント証明書の検証が失敗し、S102において、IoTサービス提供装置400は、IoTデバイス200に証明書検証エラーを返却する。
【0040】
証明書検証エラーを受けたIoTデバイス200において、S103で、証明書処理部230が、認証装置100に対して、証明書発行要求を送信する。ここでの送信は、例えば、httpによるwebアクセスとして行われる。このとき、証明書処理部230は、証明書発行要求に一意な識別子(例:SubjectAltName)をパラメーターとして付与して送信する。この識別子を「デバイス識別子」と呼ぶ。
【0041】
また、証明書処理部230による証明書発行要求の送信は、通信部210を介して行われるが、通信部210は、SIM情報(具体的にはIMSI)を用いて、通信事業者網500にアクセスすることで、認証装置100との通信を行う。このとき、通信事業者網500において、IoTデバイス200の通信に対して、通信識別子(具体的にはIPアドレス)が割り当てられる。また、通信事業者網500においては、既存の方式に基づき、IMSIを用いた認証処理が行われる。通信事業者網500における認証処理に失敗した場合、IoTデバイス200は通信事業者網500にアクセスすることができない。
【0042】
上記の通信識別子は、例えば、IoTデバイス200から送信される証明書発行要求のパケットのヘッダ内の情報として、認証装置100に通知される。また、この通信識別子は、通信事業者網500により、IoTデバイス200のIMSIとともに加入者情報管理装置300に通知され、加入者情報管理装置300の記憶部140に格納される。あるいは、IoTデバイス200用の通信識別子は事前に割り当てられていて、事前に加入者情報管理装置300の記憶部140にIoTデバイス200のIMSIとともに格納されていることとしてもよい。上記通信識別子は、特定の情報に限定されないが、例えば、IPアドレスである。
【0043】
S104では、証明書発行要求を受信した認証装置100において、通信部110が、IoTデバイス200の通信に係る通信識別子を取得(確認)し、認証処理部120に通信識別子を通知する。
【0044】
S105において、認証装置100の認証処理部120は、通信識別子を用いて、加入者情報管理装置300に対してSIM情報(具体的にはIMSI)を問い合わせる。
【0045】
問い合わせを受けた加入者情報管理装置300において、情報取得部320が、記憶部330(図6)からIoTデバイス200の通信識別子に対応するIMSI(IoTデバイス200のIMSI)を取得し、認証装置100に返却する(S106)。
【0046】
IoTデバイス200のIMSIを取得した認証装置100において、S107では、認証処理部120が、S103の証明書発行要求から取得したデバイス識別子に対応するIMSI(IoTデバイス200が持つべきIMSI)を記憶部140(図4)から取得し、当該IMSIと、加入者情報管理装置300から返却されたIMSIとを照合し、一致するか否かを判定することで、IoTデバイス200が正当なデバイスであるか否かの認証を行う。ここでは、上記2つのIMSIが一致し、認証に成功したとする。
【0047】
S108において、認証装置100の証明書発行部130は、クライアント証明書を作成する。具体的には、まず、証明書発行部130は、公開鍵と秘密鍵のペアを作成し、IoTデバイス200のデバイス識別子をCN(Common Name)とし、CSR(Certificate Signing Request)を作成する。証明書発行部130は、CSRからクライアント証明書を作成する。
【0048】
S109において、証明書発行部130は、作成した秘密鍵とクライアント証明書をIoTデバイス200に送信する。
【0049】
S110において、IoTデバイス200は、S109で認証装置100から受信したクライアント証明書を用いてIoTサービス提供装置400に対してTLS相互認証によるwebアクセスを行う。IoTサービス提供装置400において、クライアント証明書の検証が成功し、S111において、IoTデバイス200がIoTサービスを利用する。
【0050】
(ハードウェア構成例)
上述したIoTデバイス200、認証装置400、加入者情報管理装置300等は、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。このコンピュータは、物理的なコンピュータであってもよいし、クラウド上の仮想マシンであってもよい。以降、IoTデバイス200、認証装置400、加入者情報管理装置300等を総称して「装置」と呼ぶ。
上述したIoTデバイス200、認証装置400、加入者情報管理装置300等は、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。このコンピュータは、物理的なコンピュータであってもよいし、クラウド上の仮想マシンであってもよい。以降、IoTデバイス200、認証装置400、加入者情報管理装置300等を総称して「装置」と呼ぶ。
【0051】
すなわち、当該装置は、コンピュータに内蔵されるCPUやメモリ等のハードウェア資源を用いて、当該装置で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。
【0052】
図8は、上記コンピュータのハードウェア構成例を示す図である。図8のコンピュータは、それぞれバスBで相互に接続されているドライブ装置1000、補助記憶装置1002、メモリ装置1003、CPU1004、インタフェース装置1005、表示装置1006、入力装置1007、出力装置1008等を有する。
【0053】
当該コンピュータでの処理を実現するプログラムは、例えば、CD-ROM又はメモリカード等の記録媒体1001によって提供される。プログラムを記憶した記録媒体1001がドライブ装置1000にセットされると、プログラムが記録媒体1001からドライブ装置1000を介して補助記憶装置1002にインストールされる。但し、プログラムのインストールは必ずしも記録媒体1001より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置1002は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
【0054】
メモリ装置1003は、プログラムの起動指示があった場合に、補助記憶装置1002からプログラムを読み出して格納する。CPU1004は、メモリ装置1003に格納されたプログラムに従って、当該装置に係る機能を実現する。インタフェース装置1005は、ネットワーク等に接続するためのインタフェースとして用いられる。表示装置1006はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置1007はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置1008は演算結果を出力する。
【0055】
なお、IoTデバイス200の種類によっては、インタフェース装置1005、表示装置1006、入力装置1007、及び出力装置1008のうちのいずれか又はこれら全部を備えない場合がある。
【0056】
(実施の形態の効果)
本実施の形態に係る技術では、一般に信頼性の高い通信事業者網500を活用してIoTデバイス200を認証した後に、クライアント証明書を配布するので、高い信頼性を保ちつつ、簡易にクライアント証明書を配布することが可能となる。
本実施の形態に係る技術では、一般に信頼性の高い通信事業者網500を活用してIoTデバイス200を認証した後に、クライアント証明書を配布するので、高い信頼性を保ちつつ、簡易にクライアント証明書を配布することが可能となる。
【0057】
すなわち、本実施の形態に係る技術では、認証装置100が、IoTデバイス200の通信から、利用されたSIMの情報を識別し、それをIoTデバイス200が持つ認証情報として、本来そのIoTデバイス200が所持すべきSIMの情報と一致するかを確認することで、認証を行う。
【0058】
このように、IoTデバイス200の通信から、利用されたSIMの情報を識別するため、IoTデバイス200は認証情報を添付する必要がない。また、認証装置100を通信事業者網500内に配置する場合には、信頼できるネットワーク機器のみでネットワークを構成できるため、IoTデバイス200から認証装置100までの通信の完全性を担保できる。そのため、既存手法と比較して、攻撃者による通信・認証情報の偽造や改ざんに強い。
【0059】
また、IoTデバイス200が認証情報を添付する必要がないことから、必然的にIoTデバイス管理者の運用コストの低減が見込まれる。
【0060】
以下では、従来の主な方式に対し、本発明の実施形態に係る技術(発明方式と呼ぶ)が優れている点を説明する。
【0061】
発明方式と(1)チャレンジパスワード方式とを比較すると、発明方式では(1)チャレンジパスワード方式で必要であった認証情報の漏洩対応や有効期限による認証情報の再インストール運用や仕組みは不要となる。
【0062】
発明方式と(2)ブートストラップ方式とを比較すると、発明方式ではSIMが利用できる限りは認証が可能なため、(2)ブートストラップ方式で課題となっていた有効期限切れによって証明書が利用できなくなる課題を解決している。
【0063】
発明方式と(3)GBAを用いたSC方式とを比較すると、発明方式はIoTデバイスから認証情報を送付する必要がないため、(3)GBAを用いたSC方式で課題となっていたIoTデバイス側の過大な実装負荷を要しない。
【0064】
(付記)
以上の実施形態に関し、更に以下の付記項を開示する。
(付記項1)
デバイスから通信事業者網を介して受信する要求に基づいて、前記デバイスの通信に対応する通信識別子と、前記デバイスを識別するデバイス識別子を取得し、前記通信識別子と前記デバイス識別子とに基づいて前記デバイスの認証を行う認証処理部と、
前記認証に成功した前記デバイスに対して証明書を発行する証明書発行部と
を備える認証装置。
(付記項2)
デバイス毎に、デバイス識別子とSIM情報とを対応付けて保持する記憶部
を更に備える付記項1に記載の認証装置。
(付記項3)
前記認証処理部は、前記通信事業者網における所定の装置から、前記通信識別子に対応するSIM情報を取得し、前記SIM情報と、前記記憶部において前記デバイス識別子と対応付けて保持されるSIM情報とを照合することにより、前記認証を行う
付記項2に記載の認証装置。
(付記項4)
付記項1ないし3のうちいずれか1項に記載の前記認証装置と、前記デバイスとを備える通信システム。
(付記項5)
認証装置が実行する証明書発行方法であって、
デバイスから通信事業者網を介して受信する要求に基づいて、前記デバイスの通信に対応する通信識別子と、前記デバイスを識別するデバイス識別子を取得し、前記通信識別子と前記デバイス識別子とに基づいて前記デバイスの認証を行う認証処理ステップと、
前記認証に成功した前記デバイスに対して証明書を発行する証明書発行ステップと
を備える証明書発行方法。
(付記項6)
コンピュータを、付記項1ないし3のうちいずれか1項に記載の認証装置における各部して機能させるためのプログラムを記憶した非一時的記憶媒体。
以上の実施形態に関し、更に以下の付記項を開示する。
(付記項1)
デバイスから通信事業者網を介して受信する要求に基づいて、前記デバイスの通信に対応する通信識別子と、前記デバイスを識別するデバイス識別子を取得し、前記通信識別子と前記デバイス識別子とに基づいて前記デバイスの認証を行う認証処理部と、
前記認証に成功した前記デバイスに対して証明書を発行する証明書発行部と
を備える認証装置。
(付記項2)
デバイス毎に、デバイス識別子とSIM情報とを対応付けて保持する記憶部
を更に備える付記項1に記載の認証装置。
(付記項3)
前記認証処理部は、前記通信事業者網における所定の装置から、前記通信識別子に対応するSIM情報を取得し、前記SIM情報と、前記記憶部において前記デバイス識別子と対応付けて保持されるSIM情報とを照合することにより、前記認証を行う
付記項2に記載の認証装置。
(付記項4)
付記項1ないし3のうちいずれか1項に記載の前記認証装置と、前記デバイスとを備える通信システム。
(付記項5)
認証装置が実行する証明書発行方法であって、
デバイスから通信事業者網を介して受信する要求に基づいて、前記デバイスの通信に対応する通信識別子と、前記デバイスを識別するデバイス識別子を取得し、前記通信識別子と前記デバイス識別子とに基づいて前記デバイスの認証を行う認証処理ステップと、
前記認証に成功した前記デバイスに対して証明書を発行する証明書発行ステップと
を備える証明書発行方法。
(付記項6)
コンピュータを、付記項1ないし3のうちいずれか1項に記載の認証装置における各部して機能させるためのプログラムを記憶した非一時的記憶媒体。
【0065】
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【符号の説明】
【0066】
100 認証装置
110 通信部
120 認証処理部
130 証明書発行部
140 記憶部
200 IoTデバイス
210 通信部
220 SIM
230 証明書処理部
240 記憶部
300 加入者情報管理装置
310 通信部
320 情報取得部
330 記憶部
400 IoTサービス提供装置
500 通信事業者網
600 インターネット
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
110 通信部
120 認証処理部
130 証明書発行部
140 記憶部
200 IoTデバイス
210 通信部
220 SIM
230 証明書処理部
240 記憶部
300 加入者情報管理装置
310 通信部
320 情報取得部
330 記憶部
400 IoTサービス提供装置
500 通信事業者網
600 インターネット
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】