知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024120533
(43)【公開日】2024-09-05
(54)【発明の名称】通信装置、通信方法及び通信プログラム
(51)【国際特許分類】
H04L 9/32 20060101AFI20240829BHJP
G06F 21/31 20130101ALI20240829BHJP
【FI】
H04L9/32 100A
G06F21/31
【審査請求】未請求
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2023027383
(22)【出願日】2023-02-24
(71)【出願人】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】清本 晋作
(57)【要約】
【課題】セキュリティデバイスへの長期秘密鍵の格納が不要な通信装置、通信方法及び通信プログラムを提供すること。
【解決手段】モバイル端末1は、予め通信事業者のサーバに登録されているパスワードの入力をユーザから受け付けるパスワード入力部11と、パスワードを入力として、通信事業者により規定された所定の演算により、当該通信事業者と共通の秘密鍵を生成する鍵生成部12と、秘密鍵に基づいて、サーバとの間で所定の認証手続を行う認証処理部13と、を備える。
【選択図】図1
【解決手段】モバイル端末1は、予め通信事業者のサーバに登録されているパスワードの入力をユーザから受け付けるパスワード入力部11と、パスワードを入力として、通信事業者により規定された所定の演算により、当該通信事業者と共通の秘密鍵を生成する鍵生成部12と、秘密鍵に基づいて、サーバとの間で所定の認証手続を行う認証処理部13と、を備える。
【選択図】図1
【特許請求の範囲】
【請求項1】
予め通信事業者のサーバに登録されているパスワードの入力をユーザから受け付けるパスワード入力部と、
前記パスワードを入力として、前記通信事業者により規定された所定の演算により、当該通信事業者と共通の秘密鍵を生成する鍵生成部と、
前記秘密鍵に基づいて、前記サーバとの間で所定の認証手続を行う認証処理部と、を備える通信装置。
前記パスワードを入力として、前記通信事業者により規定された所定の演算により、当該通信事業者と共通の秘密鍵を生成する鍵生成部と、
前記秘密鍵に基づいて、前記サーバとの間で所定の認証手続を行う認証処理部と、を備える通信装置。
【請求項2】
前記鍵生成部は、前記パスワードと共に、現在時刻情報を入力として、前記秘密鍵を生成する請求項1に記載の通信装置。
【請求項3】
前記現在時刻情報は、前記パスワードの有効期間を示す粒度の値である請求項2に記載の通信装置。
【請求項4】
前記パスワードは、バイオメトリクス情報、又は当該バイオメトリクス情報に紐づけられた秘密情報である請求項1に記載の通信装置。
【請求項5】
前記所定の演算は、ハッシュ演算である請求項1に記載の通信装置。
【請求項6】
通信装置を通信事業者のサーバが認証する通信方法であって、
前記サーバが、
前記通信装置の識別子と対応付けてユーザのパスワードを登録し、
前記パスワードを入力として、前記通信事業者により規定された所定の演算により秘密鍵を生成し、
前記通信装置が、
前記パスワードの入力を前記ユーザから受け付け、
前記パスワードを入力として、前記所定の演算により、前記通信事業者と共通の前記秘密鍵を生成し、
前記秘密鍵に基づいて、前記サーバとの間で所定の認証手続を行う通信方法。
前記サーバが、
前記通信装置の識別子と対応付けてユーザのパスワードを登録し、
前記パスワードを入力として、前記通信事業者により規定された所定の演算により秘密鍵を生成し、
前記通信装置が、
前記パスワードの入力を前記ユーザから受け付け、
前記パスワードを入力として、前記所定の演算により、前記通信事業者と共通の前記秘密鍵を生成し、
前記秘密鍵に基づいて、前記サーバとの間で所定の認証手続を行う通信方法。
【請求項7】
請求項1から請求項5のいずれかに記載の通信装置としてコンピュータを機能させるための通信プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、モバイル通信ネットワークにおける端末の認証手法に関する。
【背景技術】
【0002】
従来、携帯電話又はスマートフォン等のモバイル端末は、SIM又はeSIM等のセキュリティデバイスを備え、ここに長期秘密鍵が格納されている。
この長期秘密鍵は、モバイル通信サービスを実現するため、通信キャリア網との間で認証及び鍵交換(AKA:Authentication and Key Agreement)を行う際に利用され、これにより、暗号化鍵及びメッセージ認証鍵が導出される(例えば、非特許文献1参照)。
この長期秘密鍵は、モバイル通信サービスを実現するため、通信キャリア網との間で認証及び鍵交換(AKA:Authentication and Key Agreement)を行う際に利用され、これにより、暗号化鍵及びメッセージ認証鍵が導出される(例えば、非特許文献1参照)。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】3GPP(登録商標) TS 23.501, System architecture for the 5G system
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、長期秘密鍵をセキュリティデバイスに保持するという従来の手法では、例えば、旅行又はビジネス等の用途で短期(1日、1週間等)の利用契約により端末を利用する場合に、SIMの交換又はeSIMの書き換えといった手続きを経る必要があり、利用開始までに手間やコストが掛かっていた。
そこで、より簡易にモバイル端末の利用を開始できる手法が望まれている。
そこで、より簡易にモバイル端末の利用を開始できる手法が望まれている。
【0005】
本発明は、セキュリティデバイスへの長期秘密鍵の格納が不要な通信装置、通信方法及び通信プログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明に係る通信装置は、予め通信事業者のサーバに登録されているパスワードの入力をユーザから受け付けるパスワード入力部と、前記パスワードを入力として、前記通信事業者により規定された所定の演算により、当該通信事業者と共通の秘密鍵を生成する鍵生成部と、前記秘密鍵に基づいて、前記サーバとの間で所定の認証手続を行う認証処理部と、を備える。
【0007】
前記鍵生成部は、前記パスワードと共に、現在時刻情報を入力として、前記秘密鍵を生成してもよい。
【0008】
前記現在時刻情報は、前記パスワードの有効期間を示す粒度の値であってもよい。
【0009】
前記パスワードは、バイオメトリクス情報、又は当該バイオメトリクス情報に紐づけられた秘密情報であってもよい。
【0010】
前記所定の演算は、ハッシュ演算であってもよい。
【0011】
本発明に係る通信方法は、通信装置を通信事業者のサーバが認証する通信方法であって、前記サーバが、前記通信装置の識別子と対応付けてユーザのパスワードを登録し、前記パスワードを入力として、前記通信事業者により規定された所定の演算により秘密鍵を生成し、前記通信装置が、前記パスワードの入力を前記ユーザから受け付け、前記パスワードを入力として、前記所定の演算により、前記通信事業者と共通の前記秘密鍵を生成し、前記秘密鍵に基づいて、前記サーバとの間で所定の認証手続を行う。
【0012】
本発明に係る通信プログラムは、前記通信装置としてコンピュータを機能させるためのものである。
【発明の効果】
【0013】
本発明によれば、セキュリティデバイスへの長期秘密鍵の格納が不要となる。
【図面の簡単な説明】
【0014】
【発明を実施するための形態】
【0015】
以下、本発明の実施形態の一例について説明する。
本実施形態の通信方法は、モバイル通信において、AKAによる認証及び鍵交換を実施する際に、モバイル端末のセキュリデバイスに格納された秘密鍵を用いることなく、ユーザのパスワード入力に基づいて、モバイル端末及びサーバの双方で動的に共通の鍵を生成する。
本実施形態の通信方法は、モバイル通信において、AKAによる認証及び鍵交換を実施する際に、モバイル端末のセキュリデバイスに格納された秘密鍵を用いることなく、ユーザのパスワード入力に基づいて、モバイル端末及びサーバの双方で動的に共通の鍵を生成する。
【0016】
図1は、本実施形態におけるモバイル端末1(通信装置)における秘密鍵の生成に関する機能構成を示す図である。
モバイル端末1は、通信事業者が提供するモバイル通信ネットワークに参加する携帯電話又はスマートフォン等の情報処理装置(コンピュータ)であり、制御部10と、記憶部20とを備える。
モバイル端末1は、通信事業者が提供するモバイル通信ネットワークに参加する携帯電話又はスマートフォン等の情報処理装置(コンピュータ)であり、制御部10と、記憶部20とを備える。
【0017】
制御部10は、モバイル端末1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各機能を実現する。制御部10は、CPUであってよいが、各機能を実現する専用のハードウェア回路として実装されてもよい。
制御部10は、パスワード入力部11と、鍵生成部12と、認証処理部13とを備える。
制御部10は、パスワード入力部11と、鍵生成部12と、認証処理部13とを備える。
【0018】
記憶部20は、ハードウェア群をモバイル端末1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ等であってよい。
【0019】
パスワード入力部11は、予め通信事業者のサーバに登録されているパスワードの入力をユーザから受け付ける。
パスワードは、ユーザが決定した、又は自動生成された文字列であってよいが、これには限られない。例えば、パスワードは、バイオメトリクス情報であってもよく、あるいは、バイオメトリクス情報に紐づけられた、認証に成功すると使用可能となる秘密情報等であってもよい。
パスワードは、ユーザが決定した、又は自動生成された文字列であってよいが、これには限られない。例えば、パスワードは、バイオメトリクス情報であってもよく、あるいは、バイオメトリクス情報に紐づけられた、認証に成功すると使用可能となる秘密情報等であってもよい。
【0020】
鍵生成部12は、パスワードを入力として、通信事業者により規定された所定の演算により、この通信事業者と共通の秘密鍵を生成する。
このとき、鍵生成部12は、パスワードと共に、現在時刻情報を入力として秘密鍵を生成してもよい。所定の演算は、例えばハッシュ演算であってよく、この場合、鍵生成部12は、現在時刻情報をソルトとしてハッシュ関数を動作させてよい。
このとき、鍵生成部12は、パスワードと共に、現在時刻情報を入力として秘密鍵を生成してもよい。所定の演算は、例えばハッシュ演算であってよく、この場合、鍵生成部12は、現在時刻情報をソルトとしてハッシュ関数を動作させてよい。
【0021】
ここで、現在時刻情報は、パスワードの有効期間を示す粒度の値である。
例えば、「○年△月」といった月単位の情報であれば、当月内を有効期限としたサーバが生成する秘密鍵に対して、当月内であれば、モバイル端末1はサーバと共通の秘密鍵を生成できる。同様に、「○年△月□日」といった日単位の情報であれば1日限りの有効期限が設定され、「○年▽週目」といった週単位の情報であれば1週間限りの有効期限が設定される。
なお、例えば、日単位の情報であっても、1日毎にパスワードの入力に応じて秘密鍵を生成し直すことで、1週間等のより長い有効期限に対応可能である。
例えば、「○年△月」といった月単位の情報であれば、当月内を有効期限としたサーバが生成する秘密鍵に対して、当月内であれば、モバイル端末1はサーバと共通の秘密鍵を生成できる。同様に、「○年△月□日」といった日単位の情報であれば1日限りの有効期限が設定され、「○年▽週目」といった週単位の情報であれば1週間限りの有効期限が設定される。
なお、例えば、日単位の情報であっても、1日毎にパスワードの入力に応じて秘密鍵を生成し直すことで、1週間等のより長い有効期限に対応可能である。
【0022】
認証処理部13は、鍵生成部12によって生成された秘密鍵に基づいて、通信事業者のサーバとの間で所定の認証手続を行う。
具体的には、認証処理部13は、生成された秘密鍵を従来のSIMに格納された長期秘密鍵の代わりとして利用し、AKA認証の手続きを実行する。
具体的には、認証処理部13は、生成された秘密鍵を従来のSIMに格納された長期秘密鍵の代わりとして利用し、AKA認証の手続きを実行する。
【0023】
このとき、例えば前述の現在時刻情報が日単位であれば、日付が変わると生成される秘密鍵も変わり、サーバが保持する秘密鍵と一致しないため、自動的に認証が失敗する。
すなわち、有効期限の中でのみ、モバイル端末1とサーバとで共通の秘密鍵が生成され照合が可能となる。なお、パスワードの入力により認証に成功した秘密鍵は、記憶部20にキャッシュされてもよいが、有効期限が切れるタイミングで削除される。
すなわち、有効期限の中でのみ、モバイル端末1とサーバとで共通の秘密鍵が生成され照合が可能となる。なお、パスワードの入力により認証に成功した秘密鍵は、記憶部20にキャッシュされてもよいが、有効期限が切れるタイミングで削除される。
【0024】
図2は、本実施形態における通信方法を説明するシーケンス図である。
ここでは、通信の開始に先立って、モバイル端末1の認証が実施されるまでの手順を示す。
ここでは、通信の開始に先立って、モバイル端末1の認証が実施されるまでの手順を示す。
【0025】
ステップS1において、ユーザは、通信事業者のサーバに対して、モバイル端末1の識別子(IMSI)と紐づけて、パスワードを登録する。
ステップS2において、モバイル端末1は、ユーザ操作に応じて、サーバに対して通信サービスを要求する。
ステップS3において、サーバは、モバイル端末1に対して認証手続きの実施を要求する。
ステップS4において、サーバは、ステップS1で登録されたパスワードを用いた所定の演算により、有効期限の設定された秘密鍵を生成する。
ステップS2において、モバイル端末1は、ユーザ操作に応じて、サーバに対して通信サービスを要求する。
ステップS3において、サーバは、モバイル端末1に対して認証手続きの実施を要求する。
ステップS4において、サーバは、ステップS1で登録されたパスワードを用いた所定の演算により、有効期限の設定された秘密鍵を生成する。
【0026】
ステップS5において、モバイル端末1は、ユーザに対してパスワードの入力を要求する。
ステップS6において、ユーザは、ステップS1で登録されたパスワードを、モバイル端末1に入力する。
ステップS7において、モバイル端末1は、ステップS6で受け付けたパスワードを用いて、サーバと共通の演算により秘密鍵を生成する。
ステップS8において、モバイル端末1及びサーバは、両者が生成した共通の秘密鍵により、AKAの標準のプロトコルに従って認証及び鍵交換を完了する。
ステップS6において、ユーザは、ステップS1で登録されたパスワードを、モバイル端末1に入力する。
ステップS7において、モバイル端末1は、ステップS6で受け付けたパスワードを用いて、サーバと共通の演算により秘密鍵を生成する。
ステップS8において、モバイル端末1及びサーバは、両者が生成した共通の秘密鍵により、AKAの標準のプロトコルに従って認証及び鍵交換を完了する。
【0027】
本実施形態によれば、モバイル端末1は、予め通信事業者のサーバに登録されているパスワードの入力をユーザから受け付け、所定の演算によりサーバと共通の秘密鍵を生成する。そして、モバイル端末1とサーバとは、この秘密鍵に基づいて認証手続を行う。
【0028】
したがって、モバイル端末1は、従来はSIM等に格納していた長期秘密鍵に代えて、パスワードから動的に生成した秘密鍵を用いることにより、セキュリティデバイスへの長期秘密鍵の格納が不要となるため、ユーザは、より簡易にモバイル端末1の利用を開始できる。例えば、1日又は1週間等の短期利用の場合にも、SIMの交換又はeSIMの書き換えといった煩雑な手続きを経ることなく、パスワードの設定のみで簡易にモバイル端末1の利用を開始できる。
また、本実施形態は、認証手続のプロトコル(AKA)に変更はなく、従来のシステムへの改変を抑えられるため、容易に実施することができる。
また、本実施形態は、認証手続のプロトコル(AKA)に変更はなく、従来のシステムへの改変を抑えられるため、容易に実施することができる。
【0029】
モバイル端末1及びサーバは、パスワードと共に、現在時刻情報を入力として秘密鍵を生成するので、秘密鍵の照合により有効期限内でのみ認証が成功する。したがって、パスワードに対する有効期限を容易に設定することができる。
この現在時刻情報は、パスワードの有効期間を示す粒度の値とすることで、モバイル端末1の利用期間の長さに応じて、適宜設定することができる。
この現在時刻情報は、パスワードの有効期間を示す粒度の値とすることで、モバイル端末1の利用期間の長さに応じて、適宜設定することができる。
【0030】
設定されるパスワードは、バイオメトリクス情報、又はバイオメトリクス情報に紐づけられた秘密情報であってもよく、これによりユーザによるパスワード入力を簡略化でき、利便性が向上する。
【0031】
秘密鍵を生成するための所定の演算は、ハッシュ演算であってよく、これにより、効率的に秘密鍵を生成でき、また、現在時刻情報をハッシュ化のソルトとして容易に入力することができる。
【0032】
なお、本実施形態により、例えばモバイル通信においてSIMカード等のセキュリデバイスが不要となることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進すると共に、イノベーションの拡大を図る」に貢献することが可能となる。
【0033】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
【0034】
モバイル端末1による通信方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
【符号の説明】
【0035】
1 モバイル端末(通信装置)
10 制御部
11 パスワード入力部
12 鍵生成部
13 認証処理部
20 記憶部
10 制御部
11 パスワード入力部
12 鍵生成部
13 認証処理部
20 記憶部
【図1】
【図2】