知財求人 - 知財ポータルサイト「IP Force」
▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧
特開2024-22320経路制御システム、デバイス管理装置、経路制御方法、及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024022320
(43)【公開日】2024-02-16
(54)【発明の名称】経路制御システム、デバイス管理装置、経路制御方法、及びプログラム
(51)【国際特許分類】
H04W 12/06 20210101AFI20240208BHJP
H04W 12/40 20210101ALI20240208BHJP
H04W 12/71 20210101ALI20240208BHJP
H04W 4/70 20180101ALI20240208BHJP
G06F 21/44 20130101ALI20240208BHJP
【FI】
H04W12/06
H04W12/40
H04W12/71
H04W4/70
G06F21/44
【審査請求】未請求
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2022125815
(22)【出願日】2022-08-05
(71)【出願人】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(72)【発明者】
【氏名】松山 幸中
(72)【発明者】
【氏名】太田 和彦
(72)【発明者】
【氏名】渡邉 正俊
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA21
5K067BB21
5K067DD11
5K067DD17
5K067EE02
5K067EE16
5K067HH21
5K067HH24
(57)【要約】
【課題】SIMを搭載するデバイスの不正利用を防止する。
【解決手段】経路制御システムにおいて、経路制御の対象となるデバイスに搭載されたSIMの固有IDを用いて、前記デバイスに関する第1認証を行う第1認証部と、デバイス管理プロトコルを用いて、前記デバイスに関する第2認証を行う第2認証部と、前記第1認証に成功した場合に、第1経路で前記デバイスを前記第2認証部に接続させ、前記第2認証部による前記第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御部とを備える。
【選択図】図1
【解決手段】経路制御システムにおいて、経路制御の対象となるデバイスに搭載されたSIMの固有IDを用いて、前記デバイスに関する第1認証を行う第1認証部と、デバイス管理プロトコルを用いて、前記デバイスに関する第2認証を行う第2認証部と、前記第1認証に成功した場合に、第1経路で前記デバイスを前記第2認証部に接続させ、前記第2認証部による前記第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御部とを備える。
【選択図】図1
【特許請求の範囲】
【請求項1】
経路制御の対象となるデバイスに搭載されたSIMの固有IDを用いて、前記デバイスに関する第1認証を行う第1認証部と、
デバイス管理プロトコルを用いて、前記デバイスに関する第2認証を行う第2認証部と、
前記第1認証に成功した場合に、第1経路で前記デバイスを前記第2認証部に接続させ、前記第2認証部による前記第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御部と
を備える経路制御システム。
デバイス管理プロトコルを用いて、前記デバイスに関する第2認証を行う第2認証部と、
前記第1認証に成功した場合に、第1経路で前記デバイスを前記第2認証部に接続させ、前記第2認証部による前記第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御部と
を備える経路制御システム。
【請求項2】
前記第2認証部は、前記デバイス管理プロトコルに基づいて、前記デバイスから前記SIMの固有IDと前記デバイスのハードウェアの固有IDとを受信し、前記SIMの固有IDと前記デバイスのハードウェアの固有IDとを用いて前記第2認証を行う
請求項1に記載の経路制御システム。
請求項1に記載の経路制御システム。
【請求項3】
デバイスに搭載されたSIMの固有IDを用いたSIM認証に成功した前記デバイスから、デバイス管理プロトコルに基づいて、前記SIMの固有IDと前記デバイスのハードウェアの固有IDとを受信し、前記SIMの固有IDと前記デバイスのハードウェアの固有IDとを用いて、前記デバイスの認証を行う認証部と、
前記認証部による前記デバイスの認証に成功した場合に、前記デバイスを目的のサーバに接続させるための経路制御をコアネットワーク装置又は経路指示装置に対して指示する経路制御指示部と
を備えるデバイス管理装置。
前記認証部による前記デバイスの認証に成功した場合に、前記デバイスを目的のサーバに接続させるための経路制御をコアネットワーク装置又は経路指示装置に対して指示する経路制御指示部と
を備えるデバイス管理装置。
【請求項4】
前記経路制御指示部は、前記デバイス管理装置において保持するデバイス管理情報から、前記デバイスの種別を取得し、当該種別に対応するサーバに前記デバイスを接続させるための経路制御を前記コアネットワーク装置又は前記経路指示装置に対して指示する
請求項3に記載のデバイス管理装置。
請求項3に記載のデバイス管理装置。
【請求項5】
第1認証部と第2認証部を含む経路制御システムにおいて実行される経路制御方法であって、
前記第1認証部により、経路制御の対象となるデバイスに搭載されたSIMの固有IDを用いて、前記デバイスに関する第1認証を行う第1認証ステップと、
前記第1認証に成功した場合に、第1経路で前記デバイスを前記第2認証部に接続させ、前記第2認証部により、デバイス管理プロトコルを用いて、前記デバイスに関する第2認証を行う第2認証ステップと、
前記第2認証部による前記第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御ステップと
を備える経路制御方法。
前記第1認証部により、経路制御の対象となるデバイスに搭載されたSIMの固有IDを用いて、前記デバイスに関する第1認証を行う第1認証ステップと、
前記第1認証に成功した場合に、第1経路で前記デバイスを前記第2認証部に接続させ、前記第2認証部により、デバイス管理プロトコルを用いて、前記デバイスに関する第2認証を行う第2認証ステップと、
前記第2認証部による前記第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御ステップと
を備える経路制御方法。
【請求項6】
コンピュータを、請求項3又は4に記載のデバイス管理装置における各部として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、デバイスを認証する技術に関連するものである。
【背景技術】
【0002】
5G/IoT時代を迎え、モバイル(例えばLTE/5G)技術を用いてIoT(Internet of Things)でのDX推進を進める取り組みが活発化している。特に、高速大容量・高信頼および低遅延・多数同時接続という特性を持つ5G技術を用いることで、各種IoT機器から収集したビッグデータを産業ごとにAIで解析し、それぞれの分野で新たな価値を創出すると期待されている。
【0003】
一方で、様々な場所に設置される膨大なIoTデバイスを管理する必要がある。特に、SIMスワッピング、セキュリティインシデントによる情報漏洩、IoTデバイスやサーバへの第三者による攻撃等からIoTデバイスを守る必要がある。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2020-137100号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
モバイル(例:LTE/5G)回線は、耐タンパ性のあるSIMを用いた認証により、無線回線の接続を行うため、無線回線として普及しているWi-Fi(登録商標)に比べセキュリティが高いとされている。
【0006】
しかしながら、IoTデバイスは人が管理し難い場所に設置されるため、不正にIoTデバイスやSIMを差し替えて、IoTデバイスが不正に利用される恐れがある。なお、このような不正利用はIoTデバイスに限らず、SIMを用いて通信を行うデバイス全般に生じ得る課題である。
【0007】
本発明は上記の点に鑑みてなされたものであり、SIMを搭載するデバイスの不正利用を防止するための技術を提供することを目的とする。
【課題を解決するための手段】
【0008】
開示の技術によれば、経路制御の対象となるデバイスに搭載されたSIMの固有IDを用いて、前記デバイスに関する第1認証を行う第1認証部と、
デバイス管理プロトコルを用いて、前記デバイスに関する第2認証を行う第2認証部と、
前記第1認証に成功した場合に、第1経路で前記デバイスを前記第2認証部に接続させ、前記第2認証部による前記第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御部と
を備える経路制御システムが提供される。
デバイス管理プロトコルを用いて、前記デバイスに関する第2認証を行う第2認証部と、
前記第1認証に成功した場合に、第1経路で前記デバイスを前記第2認証部に接続させ、前記第2認証部による前記第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御部と
を備える経路制御システムが提供される。
【発明の効果】
【0009】
開示の技術によれば、SIMを搭載するデバイスの不正利用を防止するための技術が提供される。
【図面の簡単な説明】
【0010】
【図1】実施の形態の概要を説明するための図である。
【図2】システムの構成例を示す図である。
【図3】システムの動作を説明するためのシーケンス図である。
【図4】デバイス認証におけるシーケンスの例を示す図である。
【図5】デバイス管理装置が格納する情報の例を示す図である。
【図6】コアネットワーク装置の機能構成図である。
【図7】デバイス管理装置の機能構成図である。
【図8】IoTデバイスの機能構成図である。
【図9】装置のハードウェア構成例を示す図である。
【発明を実施するための形態】
【0011】
以下、図面を参照して本発明の実施の形態(本実施の形態)を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
【0012】
以下の説明では、管理対象のデバイスとしてIoTデバイスを使用しているが、これは例である。本発明に係る技術は、IoTデバイス以外のデバイスに適用することも可能である。
【0013】
(課題について)
まず、本実施の形態に関わる技術についての課題を説明する。
まず、本実施の形態に関わる技術についての課題を説明する。
【0014】
様々な場所に設置される膨大な数のIoTデバイスについて、SIMスワッピングによるなりすましやセキュリティインシデントによる情報漏洩、IoTデバイスやサーバへの攻撃といった様々な不正リスクからその身を防衛しつつ、管理者及び運用者によって厳重に管理される必要がある。ただし、管理においては、負担増とならないような簡便な仕組みを用いることが必要である。
【0015】
不正なデバイスからの不正アクセスを防ぐ認証の観点では、パソコンやスマートフォンといった主に"ヒト"が操作可能なデバイスにおいては、生体認証やそれらと従来までの認証方式を複合的に活用する2FA等の手法が浸透しつつあり、IoTデバイスに比較するとそのリスクは従来からは軽減できていると考えられる。
【0016】
しかし"モノ"すなわちIoTデバイスの場合はその性質から、認証の都度、"ヒト"による操作を必要とする認証方式は現実的に難しい。"モノ"を対象としたIoTデバイスを前提とした場合、"ヒト"の操作を介在せず極力自律的かつネットワーク側からの制御による、安心・安全かつ簡便な認証方式が求められている。
【0017】
また、IoTデバイスが接続されるべきアクセス先となる対向のサーバ等への経路設定作業について、膨大なIoTデバイスを対象とした際には膨大な手入力作業が必要となる。そのため、ネットワークに接続されたIoTデバイスをネットワーク側の機能で識別し、確実かつ簡便に接続先の経路情報の設定を行う技術が求められている。
【0018】
一方、従来から、IoTデバイスに搭載されたSIMを用いて、回線接続のために認証を行う技術がある。モバイル網の顧客管理DBに登録されていないSIMを用いた接続については認可されない。また、重要なSIM情報は耐タンパ性のある領域に格納されているので、認証鍵情報などの漏洩リスクも回避可能である。
【0019】
そのため、SIM認証は、無線回線として今も広く普及しているWi-Fi(登録商標)におけるMACアドレス認証や802.1x認証に比べてより高いセキュリティを確保可能となっている。
【0020】
しかしながら、IoTデバイスは人が把握、管理がしづらい場所に設置されたり、IoTデバイスによっては設置場所が移動したりする。そのため、悪意ある第三者などが、正規のSIMが装填された正規のIoTデバイスを盗み、正規のSIMを抜き出し、そのSIMを不正なIoTデバイスに装填し、そのIoTデバイスを悪用する恐れがある。このような不正はSIMスワッピングと呼ばれる。
【0021】
つまり、SIM認証だけではIoTデバイスの真正性を担保できなので、例えば、不正なIoTデバイスがエンドユーザの大切な社内ネットワークに接続されるリスクがある。
【0022】
(実施の形態の概要)
そこで、本実施の形態では、SIM認証にデバイス認証の仕組みを併用することで真にネットワーク(例:エンドユーザの社内ネットワーク)に接続してよいIoTデバイスの真正性を担保することとしている。このSIM認証とデバイス認証の組み合わせの仕組みにおいては、SIMの情報とデバイスが保有するハードウェアの情報などをもとに、IoTデバイスと認証を行う装置との間で認証を行うので、"ヒト"による端末操作といった介在なしに、安心かつ安全に、確実かつ簡便に認証を行うことができる。
そこで、本実施の形態では、SIM認証にデバイス認証の仕組みを併用することで真にネットワーク(例:エンドユーザの社内ネットワーク)に接続してよいIoTデバイスの真正性を担保することとしている。このSIM認証とデバイス認証の組み合わせの仕組みにおいては、SIMの情報とデバイスが保有するハードウェアの情報などをもとに、IoTデバイスと認証を行う装置との間で認証を行うので、"ヒト"による端末操作といった介在なしに、安心かつ安全に、確実かつ簡便に認証を行うことができる。
【0023】
図1を参照して本実施の形態におけるシステム概要、及び動作概要を説明する。図1に示すように、本実施の形態に係る経路制御システムは、経路制御部21、第1認証部22、第2認証部23を含む。第1認証部22は、SIM認証を行う機能に対応し、第2認証部23は、デバイス管理装置200に対応する。経路制御部21と第1認証部22は、後述するコアネットワーク装置100に含まれる機能である。
【0024】
第1認証部22が、IoTデバイス10に搭載されたSIM11の情報に基づくSIM認証を行う。第2認証部23は、IoTデバイス10のデバイス認証を行う。
【0025】
図1に示すように、SIM11の搭載されたIoTデバイス10に対して、SIM認証とデバイス認証の両方がOKであれば、経路制御部21は、IoTデバイス10を、目的のサーバへ接続するように、経路制御を実行する。
【0026】
目的のサーバとは、例えば、IoTデバイス10が収集した情報のアップロード先のサーバ、IoTデバイス10への制御情報を送信するサーバ等である。「IoTデバイス10に対するSIM認証とデバイス認証の両方がOK」でない場合、接続は遮断される。「IoTデバイス10に対するSIM認証とデバイス認証の両方がOK」でない場合、IoTデバイス10を検疫ネットワーク(第2認証部23のネットワーク)に留めることとしてもよい。
【0027】
また、本実施の形態では、SIM認証及びデバイス認証によるIoTデバイス10の真正性確認を実施する過程において、第2認証部23は、SIM情報とデバイス情報をもとにIoTデバイス10を識別することが可能である。
【0028】
IoTデバイス10を識別するとは、例えば、IoTデバイス10の種別(例:監視カメラ、AGVなど)を識別することである。この「種別」により、IoTデバイス10の接続先サーバを決定できる。
【0029】
そのため、システム側で、IoTデバイス10の種別と、接続先のサーバとを対応付けた情報を保持することで、IoTデバイス10ごとに接続先の設定をすることなく、IoTデバイス10を適切な接続先のサーバへ接続させることができる。例えば、IoTデバイス10が監視カメラであれば、映像蓄積サーバへ接続させることができる。
【0030】
IoTデバイス10の種別と、接続先のサーバとを対応付けた情報は、後述する経路指示装置500が保持する。また、IoTデバイス10の種別と、接続先のサーバとを対応付けた情報は、後述するデバイス管理装置200が保持してもよい。また、IoTデバイス10の種別と、接続先のサーバとを対応付けた情報は、コアネットワーク装置100におけるデータ格納部が保持してもよい。
【0031】
また、IoTデバイス10を目的のサーバへ接続させるための経路制御については、どのような技術を使用してもよいが、例えば、5Gのネットワークスライシング技術を利用することができる。
【0032】
5Gの技術を使用する場合、IoTデバイス10と、目的のサーバ(あるいは当該サーバに接続されるUPF)との間の論理パス(論理的な専用通信路)として、トンネル(例:GTPトンネル、GREトンネル)が使用される。このような論理的な専用通信路(5Gのネットワークスライシング技術)を使用することで、専用通信路を流れる通信内容のQoSが機能した経路制御を行うのみならず、IoTデバイス10とサーバとの間の通信内容が他の経路に漏洩することを防止することが可能であり、セキュリティリスクを回避することが可能である。
【0033】
また、本実施の形態では、デバイス認証において、デバイス管理で使用されている標準プロトコル(デバイス管理プロトコルと呼ぶ)を流用している。本実施の形態では、具体的なデバイス管理プロトコルとして、OMAが提唱するLwM2Mを利用しているが、他
のデバイス管理プロトコル(例:OASISが提唱するMQTT)を利用することも可能である。
のデバイス管理プロトコル(例:OASISが提唱するMQTT)を利用することも可能である。
【0034】
デバイス認証において、デバイス管理プロトコルを利用することで、強固なデバイス認証を実現するのみならず、デバイス管理プロトコルにおけるデバイスの管理・監視の仕組みも活用することが可能となるので、より広範囲なセキュリティリスクを回避することが可能となる。
【0035】
本技術により、従来のSIM認証だけでは対応できなかったSIMスワッピングなどのIoTデバイスの不正ななりすましを防ぐことが可能になるとともに、接続されたIoTデバイス10を識別することにより経路制御が可能となる。更に、上述したトンネルを用いるので、データのサーバへの転送における情報漏洩を防ぐことができる。また、デバイス管理プロトコルを利用することで、IoTデバイス死活監視や状態監視、FOTA(Firmware update Over The Air)も可能となる。
【0036】
(システム構成例)
図2に、本実施の形態におけるシステム構成例を示す。図2に示す例は、本発明に係る技術をローカル5Gのシステムに適用した例である。これは一例であり、本発明に係る技術はローカル5Gのシステムに限らず、広域(グローバル)の5Gのシステムに対しても適用可能である。また、本発明に係る技術は5Gのネットワークに限らずに適用可能である。例えば、3G、4G(LTE)、6Gにも適用可能である。
図2に、本実施の形態におけるシステム構成例を示す。図2に示す例は、本発明に係る技術をローカル5Gのシステムに適用した例である。これは一例であり、本発明に係る技術はローカル5Gのシステムに限らず、広域(グローバル)の5Gのシステムに対しても適用可能である。また、本発明に係る技術は5Gのネットワークに限らずに適用可能である。例えば、3G、4G(LTE)、6Gにも適用可能である。
【0037】
図2に示すシステムでは、工場内にローカル5Gシステムが構成されている。ローカル5Gシステムは、ローカル5G基地局、及びコアネットワーク装置100を有する。コアネットワーク装置100は、5GC(5Gコアネットワーク)を含む。また、コアネットワーク装置100には、経路制御機能、及び、SIMを用いた認証機能が含まれる。経路制御機能、及び、SIMを用いた認証機能はそれぞれ、5GCに含まれる機能であってもよいし、5GCに含まれない機能であってもよい。なお、UPF1~3は、コアネットワーク装置100の外部にあってもよい。また、コアネットワーク装置100を、ネットワークシステム100、経路制御装置100、経路制御システム100、ネットワーク100、あるいはコアネットワーク100などと呼んでもよい。
【0038】
コアネットワーク装置100は、1つ又は複数の物理マシン(サーバ等)上に仮想マシンや仮想ネットワークが構築されている装置であってもよいし、1つ又は複数の物理マシンが回線(伝送路)で接続されて構成されたネットワーク(システムと呼んでもよい)であってもよいし、これら以外の構成のものであってもよい。
【0039】
コアネットワーク装置100における経路制御機能は、IoTデバイス10のデータの接続経路(パス、セッション、などと呼んでもよい)を確立、及び制御するための機能である。UPFはデータ転送等を行う装置である。UPFを転送装置と呼んでもよい。
【0040】
コアネットワーク装置100における経路制御機能は、1つの装置(コンピュータ)で構成されてもよいし、複数の装置で構成されてもよい。
【0041】
また、IoTデバイス10の例として、AGV(automated guided vehicle)10Aとカメラ10Bが示されている。AGV10Aとカメラ10BはそれぞれSIMを装填している。
【0042】
更に、デバイス管理装置200、AGV制御サーバ300、映像蓄積サーバ400、経路指示装置500が備えられる。なお、デバイス管理装置200をDMS(Device Management System)と呼んでもよい。
【0043】
図2の例では、AGV制御サーバ300が工場内にあり、映像蓄積サーバ400がクラウド上にあるが、このような配置は一例である。低遅延が求められるのであれば工場内の配置など、通信要件によって配置を考慮する。例えば、AGV制御サーバ300と映像蓄積サーバ400の両方とも工場内にあってもよいし、AGV制御サーバ300と映像蓄積サーバ400の両方ともクラウド上にあってもよい。
【0044】
デバイス管理装置200は、デバイス管理プロトコルを実行する機能を含む。また、デバイス管理装置200は、デバイス管理情報として、各IoTデバイス10のハードウェアの固有ID(例えば、IMEI)とSIMの固有ID(例:IMSI、SUPI)を管理し、これらを用いてIoTデバイス10の真正性をチェックするデバイス認証を行う機能を含む。
【0045】
各IoTデバイス10は、SIM認証に必要な認証キー情報と、デバイス認証に必要なデバイス管理クライアントライブラリと認証キー情報を保持し、これらを管理する。デバイス管理装置200は、デバイス認証を行うためのSIM認証キー情報およびデバイス管理サーバライブラリと認証キーを保持し、これらを管理する。デバイス管理クライアントライブラリとデバイス管理サーバライブラリはいずれもデバイス管理プロトコルを実行するためのソフトウェア(プログラム)であり、その具体例については後述する。
【0046】
経路指示装置500は、デバイス管理装置200から、IoTデバイス10についての接続要求を受けると、IoTデバイス10がその接続先のサーバに接続されるように、コアネットワーク装置100に対する経路設定(論理パスの設定等)を行う。上記接続要求には、例えば、IoTデバイス10の識別情報と、接続先のサーバの識別情報が含まれる。なお、IoTデバイス10の識別情報と、接続先のサーバの識別情報を含む接続要求を経路制御情報と呼んでもよい。
【0047】
なお、経路指示装置500自体は従来技術で実現できる。例えば、経路指示装置500として、ワンストップ構築エージェント(APIO)を使用することができる。
【0048】
また、経路指示装置500をコアネットワーク装置100内に含まれる機能と見なしてもよい。また、デバイス管理装置200内に経路指示装置500の機能が含まれていてもよい。
【0049】
本実施の形態では、IoTデバイス10のSIM認証がOKになった場合に、IoTデバイス10をデバイス管理装置200に接続させ、デバイス管理装置200においてIoTデバイス10のデバイス認証を行う。
【0050】
デバイス認証がOKになった場合に、IoTデバイス10を、目的のサーバに接続させる。図2の例では、AGV10AはAGV制御サーバ300に接続し、カメラ10Bは映像蓄積サーバ400に接続する。AGV制御サーバ300は、例えば、AGV10Aから受信するセンサ情報に基づいて、AGV10Aへ制御命令を送信する。映像蓄積サーバ400は、カメラ10Aから受信した映像データを蓄積する。
【0051】
(システムの動作例)
図3を参照して本実施の形態におけるシステムの動作例を説明する。なお、図3に示すシステムは、図2に示したような5Gのシステムであることを想定している。ただし、前述したとおり、本実施の形態に係る技術は、5G以外のシステム(例:3G、4G、6G)にも適用可能である。なお、コアネットワーク装置100とIoTデバイス10との間には無線基地局が存在し、IoTデバイス10は無線基地局を介してコアネットワーク装置100と通信を行う。なお、図3において「コアネットワーク装置100」と記載した部分の処理動作は、主に、コアネットワーク装置100における認証機能と経路制御機能に着目した動作である。
図3を参照して本実施の形態におけるシステムの動作例を説明する。なお、図3に示すシステムは、図2に示したような5Gのシステムであることを想定している。ただし、前述したとおり、本実施の形態に係る技術は、5G以外のシステム(例:3G、4G、6G)にも適用可能である。なお、コアネットワーク装置100とIoTデバイス10との間には無線基地局が存在し、IoTデバイス10は無線基地局を介してコアネットワーク装置100と通信を行う。なお、図3において「コアネットワーク装置100」と記載した部分の処理動作は、主に、コアネットワーク装置100における認証機能と経路制御機能に着目した動作である。
【0052】
S101において、IoTデバイス10は、SIMの固有ID(例:IMSI、SUPI)を含む接続要求信号をコアネットワーク装置100に送信する。コアネットワーク装置100は、各ユーザ(IoTデバイス)のユーザ情報(SIMの固有IDを含む)を保持しており、例えば、該当ユーザのSIMの固有IDと、S101でIoTデバイス10から受信したSIMの固有IDとを照合することでIoTデバイス10の認証(SIM認証)を行う(S102)。
【0053】
S102におけるSIM認証に失敗した場合、コアネットワーク装置100はIoTデバイス10に対して、接続を拒否する信号を送信することにより、接続を遮断する。図3の例では、S102のSIM認証に成功したものとする。
【0054】
コアネットワーク装置100は、IoTデバイス10の検疫ネットワークへの接続を認可し、経路設定を行って、S103において、検疫ネットワーク接続認可を示す接続応答信号をIoTデバイス10に返す。接続応答信号には、例えば、IoTデバイス10の接続先の識別子が含まれる。
【0055】
当該識別子は、例えば、検疫ネットワークに対応するネットワークスライスを識別する識別子(NSSAI:Network Slice Selection Assistance Information)である。なお、IoTデバイス10が予め当該識別子を、検疫ネットワークに接続するためのデフォルトの識別子として保持しておいてもよい。
【0056】
図3の例において、転送装置1が、データをデバイス管理装置200に転送するための装置(例:デバイス管理装置200に接続しているUPF)である。S104及びS105において、IoTデバイス10が、上記識別子を含む接続要求を送信することで、IoTデバイス10の通信(セッション)に対して転送装置1(UPF)が選択され、IoTデバイス10はデバイス管理装置200と接続される。
【0057】
S106において、デバイス管理装置200は、IoTデバイス10に対するデバイス認証を行う。また、S106において、デバイス管理装置200は、IoTデバイスの種別(例:監視カメラ、AGV、など)の識別も実行する。S106の詳細は後述する。
【0058】
S106におけるデバイス認証に失敗した場合、デバイス管理装置200は、例えば、IoTデバイス10に対して、接続を拒否する信号を送信することにより、接続を遮断する。図3の例では、S106のデバイス認証に成功したものとする。これにより、SIM及びIoTデバイス10ともに正規と判断することができ、IoTデバイス10の真正性が確認される。
【0059】
S107、S108において、デバイス管理装置200は、経路指示装置500を介して、コアネットワーク装置100に対して、検疫ネットワークからの接続解放を指示する仮接続解放指示を通知するとともに、接続されたIoTデバイス10の通信が取るべきネットワーク経路の情報(経路制御情報と呼ぶ)を通知する。仮接続解放指示と経路制御情報をまとめて経路更新指示と呼ぶ。
【0060】
なお、図3の例では、経路指示装置500を介して上記の通知を行うこととしているが、これは一例である。デバイス管理装置200が、経路指示装置500の機能を含むことで、デバイス管理装置200が、直接にコアネットワーク装置100に対して通知を行ってもよい。また、経路指示装置500をコアネットワーク装置100内の一機能と見なすことで、デバイス管理装置200が、直接にコアネットワーク装置100に対して通知を行うこととしてもよい。
【0061】
経路更新指示を受信したコアネットワーク装置100は、S109において、検疫ネットワーク用の仮接続の経路を解放する。また、コアネットワーク装置100は、経路更新指示に含まれる経路制御情報に基づいて、IoTデバイス10の種別等に対応する適切な経路を設定する。ここでの経路設定は、例えば、IoTデバイス10の種別に対応する論理パスを、IoTデバイス10(あるいはIoTデバイス10が接続する無線基地局)と、通信の宛先となるサーバに接続する転送装置(UPF)との間に設定することである。当該論理パスを「トンネル」又は「ネットワークスライス」と呼んでもよい。
【0062】
ネットワークスライスに関しては、例えば、IoTデバイス10の種別が低遅延を要するサービス(例:自動運転制御)に関わるものであれば、低遅延のネットワークスライスを設定し、IoTデバイス10の種別が大容量伝送を要するサービス(例:映像配信)に関わるものであれば、大容量のネットワークスライスを設定する。
【0063】
仮接続を解放されたIoTデバイス10は、S110において、再度、接続要求信号を送信することによりネットワーク(例:5G回線)への接続を要求する。S111において、コアネットワーク装置100は、SIMの固有IDでIoTデバイス10の認証を行う。ここでは、認証に成功するものとする。
【0064】
S112において、コアネットワーク装置100は、更新された経路への接続を認可する情報を含む接続応答信号をIoTデバイス10に送信する。当該情報は、例えば、接続するべき論理パス(例:トンネル、ネットワークスライス)の識別子である。
【0065】
S113、S114において、IoTデバイス10は、IoTデバイス10が使用すべき論理パスに接続する。ここでは、例えば、IoTデバイス10は、更新された経路の論理パスを識別する識別子を含む接続要求信号を送信することで、論理パスのリソースを確保する。論理パスのリソースを確保することを、論理パスを確立すると表現してもよい。
【0066】
S115において、IoTデバイス10は、データ通信を開始する。図3の例では、転送装置3が宛先のサーバに接続されているとする。例えば、IoTデバイス10から送信されたパケットは、コアネットワーク装置100により設定された経路に従って、宛先のサーバに接続された転送装置3まで転送され、転送装置3から宛先のサーバに転送される。逆方向のパケットも同じ経路を通ってIoTデバイス10まで転送することができる。
【0067】
これにより、例えば、IoTデバイス10が監視カメラである場合、IoTデバイス10は、クラウド上にある映像蓄積サーバと通信を行うことができ、IoTデバイス10がAGVの場合、IoTデバイス10は、オンプレミスにあるAGV制御サーバと通信することができる。
【0068】
【0069】
本実施例でのデバイス認証シーケンスは、デバイス管理プロトコルの一例であるLwM2M(Lightweight M2M)に基づくシーケンスである。
【0070】
図4に示すように、IoTデバイス10は、PSK(事前共有鍵)12、LwM2M Bootstrap情報13、LwM2Mクライアント11を有する。LwM2Mクライアント11は、IoTデバイス10上で動作するソフトウェア(プログラム)である。
【0071】
また、デバイス管理装置200は、LwM2M Bootstrap201(LwM2M Bootstrapサーバと呼んでもよい)、LwM2Mサーバ202、Device Managementのための情報203(デバイス管理情報203と呼ぶ)、LwM2Mサーバ情報204を有する。LwM2M Bootstrap201とLwM2Mサーバ202はそれぞれ、デバイス管理装置200上で動作するソフトウェア(プログラム)である。
【0072】
S1において、IoTデバイス10におけるLwM2Mクライアント11が、LwM2M Bootstrap情報に基づいて、デバイス管理装置200のLwM2M Bootstrap201へ接続要求を行う。なお、LwM2M Bootstrap情報には、LwM2M Bootstrap201を特定する情報が含まれる。
【0073】
LwM2M Bootstrap201は、IoTデバイス10が保有していたLwM2MのBootstrap情報と自身の情報との照合を行い、IoTデバイス10が保有していた情報の正当性が確認されると、S2において、LwM2Mクライアント11とLwM2M Bootstrap201との間で証明書を用いたDTLS(Datagram Transport Layer Security)ハンドシェイクが行われる。これにより、LwM2Mクライアント11とLwM2M Bootstrap201との間にDTLS接続が確立される。以下にS3~S5は、このDTLS接続において行われる。
【0074】
S3において、LwM2Mクライアント11はLwM2M Bootstrap201に対してBootstrap Requestを送信する。図4の例において、Bootstrap Requestには、SUPI(Subscription Permanent Identifier、国際モバイル加入者識別子)、IMEI(International Mobile Equipment Identity)、及びPSKが含まれる。
【0075】
SUPIは、IoTデバイス10のSIMから読み出されるSIMの固有IDである。また、IMEIは、IoTデバイス10のハードウェアの固有IDであり、これを端末識別番号、製造番号、シリアル番号等と呼んでもよい。
【0076】
なお、Bootstrap Requestに含める情報として、SUPI、IMEI、及びPSKを用いることは一例である。SUPIに代えてIMSIをBootstrap Requestに含めてもよい。また、SUPI(又はIMSI)、IMEI、及びPSKに追加して、SIM認証されたあとのIoTデバイス10に払い出されたIPアドレスが含まれていてもよい。
【0077】
デバイス管理装置200は、デバイス管理情報203として、例えば、図5に示す情報が予め格納されている。すなわち、デバイス管理装置200は、デバイス管理情報203として、管理対象のIoTデバイス毎に、SUPI、IMEI、PSK、端末種別を格納している。なお、「端末種別」は、SUPI、IMEI、及びPSKとともに格納する、IoTデバイスに関するデバイス情報の一例である。「端末種別」を「種別」と呼んでもよい。また、デバイス管理情報203において、「IMEI」を、端末種別を示す情報と考え、「端末種別」を持たないこととしてもよい。
【0078】
「端末種別」は、該当IoTデバイス10がどのような種類の装置(例:AGV、監視カメラ)であるかを示す情報である。「端末種別」が、該当IoTデバイス10が搭載しているアプリケーションを示す情報であってもよい。いずれの場合でも、「端末種別」により、IoTデバイス10が接続するべきサーバが決定されるものとする。
【0079】
なお、デバイス管理情報203として、SUPI、IMEI、PSK、端末種別を保持することは一例である。デバイス管理情報203として、これら以外の情報を追加で保持してもよい。
【0080】
以下、SUPI、IMEI、及びPSKをまとめて認証鍵情報と呼ぶ。つまり、「SUPI+IMEI+PSK」を認証鍵情報と呼ぶ。なお、「SUPI+IMEI」は、IoTデバイス10のIDに相当し、「PSK」は、IoTデバイス10のパスワードに相当する。
【0081】
Bootstrap Requestを受信したLwM2M Bootstrap201は、Bootstrap Requestにより受信した認証鍵情報と、デバイス管理装置200が保持している認証鍵情報とを照合する。LwM2M Bootstrap201は、Bootstrap Requestにより受信した認証鍵情報と同じ認証鍵情報を、デバイス管理装置200が保持していることを確認すると、当該Bootstrap Requestは、IoTデバイス10からの正しい要求とみなし、S4において、LwM2Mクライアント11に対してLwM2M Server情報を返す。S5において、LwM2M Bootstrap201は、LwM2Mクライアント11に対してBootstrap-Finishを送信する。
【0082】
なお、S3で受信した認証鍵情報とデバイス管理装置200が保持している認証鍵情報との照合により、IoTデバイス10の真正性の確認を行うことができるので、ここでの照合処理を「デバイス認証」と呼んでもよい。
【0083】
LwM2M Server情報には、LwM2Mサーバ202を特定する情報が含まれている。S6において、LwM2Mクライアント11が、LwM2M Server情報に基づいて、デバイス管理装置200のLwM2Mサーバ202へ接続要求を行う。
【0084】
LwM2Mサーバ202により、IoTデバイス10が受領したL2M2M Server情報と自身の情報との照合を行い、IoTデバイス10が受領した情報の正当性が確認されると、S7において、LwM2Mクライアント11とLwM2Mサーバ202との間で証明書を用いたDTLSハンドシェイクが行われる。これにより、LwM2Mクライアント11とLwM2Mサーバ202との間にDTLS接続が確立される。下記のS8は、このDTLS接続において行われる。
【0085】
S8において、LwM2Mクライアント11はLwM2Mサーバ202に対してRegister(登録要求と呼んでもよい)を送信する。図4の例において、Registerには、SUPI、IMEI、及びPSKが含まれる。
【0086】
なお、Registerに含める情報として、SUPI、IMEI、及びPSKを用いることは一例である。SUPIに代えてIMSIをRegisterに含めてもよい。また、SUPI(又はIMSI)、IMEI、及びPSKに追加して、SIM認証されたあとのIoTデバイス10に払い出されたIPアドレスが含まれていてもよい。
【0087】
Registerを受信したLwM2Mサーバ202は、Registerにより受信した認証鍵情報と、デバイス管理装置200が保持している認証鍵情報とを照合する。LwM2Mサーバ202は、Registerにより受信した認証鍵情報と同じ認証鍵情報を、デバイス管理装置200が保持していることを確認すると、IoTデバイス202の真正性が確認されたと判断する。ここでの真正性の確認の処理を「デバイス認証」と呼んでもよい。
【0088】
ここでのデバイス認証に成功すると、例えばデバイス管理装置200が、デバイス管理情報203から読み出した、IoTデバイス10の「端末種別」に基づいて、IoTデバイス10が目的のサーバに接続できるように、コアネットワーク装置100に対して、経路制御情報を送信する。
【0089】
より詳細には、例えば、デバイス管理装置200は、IoTデバイス10の識別情報(例:SUPI、IMSI)と、IoTデバイス10の端末種別(例:IMEI)から決定される接続先サーバ(例:映像蓄積サーバ、AGV制御サーバ)の識別情報(例:IPアドレス)とを経路制御情報としてコアネットワーク装置100(経路指示装置500の機能を含むものとする)に送信する。コアネットワーク装置100は、IoTデバイス10と、接続先サーバに接続される転送装置(UPF)との間の通信経路(論理パス)を設定する。
【0090】
(装置構成例)
図6に、本実施の形態におけるコアネットワーク装置100の構成例を示す。図6に示すように、コアネットワーク装置100は、認証部110、経路制御部120、及びデータ格納部130を備える。データ格納部130には、各ユーザ(各IoTデバイス)のSIMの固有IDを含むユーザ情報等が格納されている。
図6に、本実施の形態におけるコアネットワーク装置100の構成例を示す。図6に示すように、コアネットワーク装置100は、認証部110、経路制御部120、及びデータ格納部130を備える。データ格納部130には、各ユーザ(各IoTデバイス)のSIMの固有IDを含むユーザ情報等が格納されている。
【0091】
認証部110は、IoTデバイス10から受信したSIMの固有IDと、データ格納部130に格納されているSIMの固有IDを用いてSIM認証を行う。
【0092】
経路制御部120は、例えば、デバイス管理装置200から受信する経路制御情報に基づいて、経路設定等を行う。経路制御部120は、経路指示装置500の機能を含んでもよい。
【0093】
図7に、本実施の形態におけるデバイス管理装置200の構成例を示す。図7に示すように、デバイス管理装置200は、認証部210、経路制御指示部220、及びデータ格納部230を備える。データ格納部230には、前述したデバイス管理情報203等が格納されている。認証部210は、デバイス管理プロトコルを利用して、デバイス認証を行う。
【0094】
経路制御指示部220は、認証部210によりデバイス認証に成功した場合に、例えば経路指示装置500(あるいはコアネットワーク装置100)に対して経路制御情報等を送信する。
【0095】
図8に、本実施の形態におけるIoTデバイス10の構成例を示す。図8に示すように、IoTデバイス10は、SIM11、通信部12、データ格納部13を備える。通信部12は、モバイル網(例:5G、LTE)などのネットワークに接続して、サーバ等と通信を行う。また、通信部12は、デバイス管理プロトコルのクライアントの機能を含む。データ格納部13には、IMEI等が格納されている。
【0096】
(装置のハードウェア構成例)
IoTデバイス10、及びデバイス管理装置200はいずれも、例えば、1つ又は複数のコンピュータにプログラムを実行させることにより実現することができる。デバイス管理装置200に使用するコンピュータは物理マシンであってもよいし、クラウド上の仮想マシンであってもよい。以下、IoTデバイス10、及びデバイス管理装置200を総称して「装置」と呼ぶ。
IoTデバイス10、及びデバイス管理装置200はいずれも、例えば、1つ又は複数のコンピュータにプログラムを実行させることにより実現することができる。デバイス管理装置200に使用するコンピュータは物理マシンであってもよいし、クラウド上の仮想マシンであってもよい。以下、IoTデバイス10、及びデバイス管理装置200を総称して「装置」と呼ぶ。
【0097】
図9は、本実施の形態における上記コンピュータのハードウェア構成例を示す図である。なお、上記コンピュータが仮想マシンである場合、ハードウェア構成は仮想的なハードウェア構成である。図9のコンピュータは、それぞれバスBで相互に接続されているドライブ装置1000、補助記憶装置1002、メモリ装置1003、CPU1004、インタフェース装置1005、表示装置1006、入力装置1007、出力装置1008等を有する。
【0098】
当該コンピュータでの処理を実現するプログラムは、例えば、CD-ROM又はメモリカード等の記録媒体1001によって提供される。プログラムを記憶した記録媒体1001がドライブ装置1000にセットされると、プログラムが記録媒体1001からドライブ装置1000を介して補助記憶装置1002にインストールされる。但し、プログラムのインストールは必ずしも記録媒体1001より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置1002は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
【0099】
メモリ装置1003は、プログラムの起動指示があった場合に、補助記憶装置1002からプログラムを読み出して格納する。CPU1004は、メモリ装置1003に格納されたプログラムに従って、該当装置に係る機能を実現する。インタフェース装置1005は、ネットワークに接続するためのインタフェースとして用いられる。表示装置1006はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置1007はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置1008は演算結果を出力する。なお、当該装置において、表示装置1006、入力装置1007、及び出力装置1008のうちの1つ又は複数又は全部を備えないこととしてもよい。
【0100】
(実施の形態の効果)
以上説明した本実施の形態に係る技術によれば、正規のSIMと正規のIoTデバイスの組み合わせが使用された場合にのみ、IoTデバイスは正規のネットワーク経路へのアクセスが可能となる。逆に、悪意により、不正なSIMもしくは不正なIoTデバイスに差し替えが行われた場合、正規のネットワーク経路に接続はされず、悪意の攻撃や他サーバへの情報漏洩を防ぐことが可能となる。
以上説明した本実施の形態に係る技術によれば、正規のSIMと正規のIoTデバイスの組み合わせが使用された場合にのみ、IoTデバイスは正規のネットワーク経路へのアクセスが可能となる。逆に、悪意により、不正なSIMもしくは不正なIoTデバイスに差し替えが行われた場合、正規のネットワーク経路に接続はされず、悪意の攻撃や他サーバへの情報漏洩を防ぐことが可能となる。
【0101】
すなわち、本実施の形態に係る技術では、デバイス管理プロトコルを利用した強固なデバイス認証の仕組みにより、SIMスワッピングのようなIoTデバイスの不正ななりすましをネットワーク側で検知して、真正性が担保されないIoTデバイスは検疫ネットワークに留めたり、接続端末を強制的にネットワークから遮断したりすることが可能となる。これにより、エンドユーザの大切な社内ネットワークへの不正接続を確実に防止することができる。
【0102】
また、SIM情報とデバイス情報に基づき、ネットワーク側で接続要求のあったIoTデバイスを識別することで、ネットワーク経路を自動的に制御することが可能となり、管理者もしくは運用者の負担を軽減することが可能となる。
【0103】
また、経路制御された接続端末とサーバ間には、例えばGTPトンネルもしくはGREトンネルといった論理パスが張られ、機密性の高い重要な情報が他の通信路を経由して漏洩することを防止できる。
【0104】
また、デバイス認証の仕組みではデバイス管理で用いられている標準プロトコルを流用することで、IoTデバイスの監視・管理(例:製造番号・電波強度などのデバイス情報、プログラムの遠隔実行、FOTA、など)も可能となり、想定されうるより多くのセキュリティリスクの防止が可能となる。
【0105】
また、5G等の技術を用いることで、接続しているIoTデバイスがどの無線基地局配下に在圏しているのかを把握することが可能である。また、無線基地局に割り当てられたTAC、TAIなどの識別子を活用することで、IoTデバイスの接続を許可する在圏エリアを限定することができ、意図しない場所でのIoTデバイスの使用を制限することも可能となる。
【0106】
(付記)
本明細書には、少なくとも下記各項の経路制御システム、デバイス管理装置、経路制御方法、及びプログラムが開示されている。
(付記項1)
経路制御の対象となるデバイスに搭載されたSIMの固有IDを用いて、前記デバイスに関する第1認証を行う第1認証部と、
デバイス管理プロトコルを用いて、前記デバイスに関する第2認証を行う第2認証部と、
前記第1認証に成功した場合に、第1経路で前記デバイスを前記第2認証部に接続させ、前記第2認証部による前記第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御部と
を備える経路制御システム。
(付記項2)
前記第2認証部は、前記デバイス管理プロトコルに基づいて、前記デバイスから前記SIMの固有IDと前記デバイスのハードウェアの固有IDとを受信し、前記SIMの固有IDと前記デバイスのハードウェアの固有IDとを用いて前記第2認証を行う
付記項1に記載の経路制御システム。
(付記項3)
デバイスに搭載されたSIMの固有IDを用いたSIM認証に成功した前記デバイスから、デバイス管理プロトコルに基づいて、前記SIMの固有IDと前記デバイスのハードウェアの固有IDとを受信し、前記SIMの固有IDと前記デバイスのハードウェアの固有IDとを用いて、前記デバイスの認証を行う認証部と、
前記認証部による前記デバイスの認証に成功した場合に、前記デバイスを目的のサーバに接続させるための経路制御をコアネットワーク装置又は経路指示装置に対して指示する経路制御指示部と
を備えるデバイス管理装置。
(付記項4)
前記経路制御指示部は、前記デバイス管理装置において保持するデバイス管理情報から、前記デバイスの種別を取得し、当該種別に対応するサーバに前記デバイスを接続させるための経路制御を前記コアネットワーク装置又は前記経路指示装置に対して指示する
付記項3に記載のデバイス管理装置。
(付記項5)
第1認証部と第2認証部を含む経路制御システムにおいて実行される経路制御方法であって、
前記第1認証部により、経路制御の対象となるデバイスに搭載されたSIMの固有IDを用いて、前記デバイスに関する第1認証を行う第1認証ステップと、
前記第1認証に成功した場合に、第1経路で前記デバイスを前記第2認証部に接続させ、前記第2認証部により、デバイス管理プロトコルを用いて、前記デバイスに関する第2認証を行う第2認証ステップと、
前記第2認証部による前記第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御ステップと
を備える経路制御方法。
(付記項6)
コンピュータを、付記項3又は4に記載のデバイス管理装置における各部として機能させるためのプログラム。
本明細書には、少なくとも下記各項の経路制御システム、デバイス管理装置、経路制御方法、及びプログラムが開示されている。
(付記項1)
経路制御の対象となるデバイスに搭載されたSIMの固有IDを用いて、前記デバイスに関する第1認証を行う第1認証部と、
デバイス管理プロトコルを用いて、前記デバイスに関する第2認証を行う第2認証部と、
前記第1認証に成功した場合に、第1経路で前記デバイスを前記第2認証部に接続させ、前記第2認証部による前記第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御部と
を備える経路制御システム。
(付記項2)
前記第2認証部は、前記デバイス管理プロトコルに基づいて、前記デバイスから前記SIMの固有IDと前記デバイスのハードウェアの固有IDとを受信し、前記SIMの固有IDと前記デバイスのハードウェアの固有IDとを用いて前記第2認証を行う
付記項1に記載の経路制御システム。
(付記項3)
デバイスに搭載されたSIMの固有IDを用いたSIM認証に成功した前記デバイスから、デバイス管理プロトコルに基づいて、前記SIMの固有IDと前記デバイスのハードウェアの固有IDとを受信し、前記SIMの固有IDと前記デバイスのハードウェアの固有IDとを用いて、前記デバイスの認証を行う認証部と、
前記認証部による前記デバイスの認証に成功した場合に、前記デバイスを目的のサーバに接続させるための経路制御をコアネットワーク装置又は経路指示装置に対して指示する経路制御指示部と
を備えるデバイス管理装置。
(付記項4)
前記経路制御指示部は、前記デバイス管理装置において保持するデバイス管理情報から、前記デバイスの種別を取得し、当該種別に対応するサーバに前記デバイスを接続させるための経路制御を前記コアネットワーク装置又は前記経路指示装置に対して指示する
付記項3に記載のデバイス管理装置。
(付記項5)
第1認証部と第2認証部を含む経路制御システムにおいて実行される経路制御方法であって、
前記第1認証部により、経路制御の対象となるデバイスに搭載されたSIMの固有IDを用いて、前記デバイスに関する第1認証を行う第1認証ステップと、
前記第1認証に成功した場合に、第1経路で前記デバイスを前記第2認証部に接続させ、前記第2認証部により、デバイス管理プロトコルを用いて、前記デバイスに関する第2認証を行う第2認証ステップと、
前記第2認証部による前記第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御ステップと
を備える経路制御方法。
(付記項6)
コンピュータを、付記項3又は4に記載のデバイス管理装置における各部として機能させるためのプログラム。
【0107】
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【符号の説明】
【0108】
10 IoTデバイス
11 SIM
12 通信部
13 データ格納部
21 経路制御部
22 第1認証部
23 第2認証部
100 コアネットワーク装置
110 認証部
120 経路制御部
130 データ格納部
200 デバイス管理装置
210 認証部
220 経路制御指示部
230 データ格納部
300 AGV制御サーバ
400 映像蓄積サーバ
500 経路指示装置
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
11 SIM
12 通信部
13 データ格納部
21 経路制御部
22 第1認証部
23 第2認証部
100 コアネットワーク装置
110 認証部
120 経路制御部
130 データ格納部
200 デバイス管理装置
210 認証部
220 経路制御指示部
230 データ格納部
300 AGV制御サーバ
400 映像蓄積サーバ
500 経路指示装置
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】