IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > ALIBABA GROUP HOLDING LIMITED

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ アリババ・グループ・ホールディング・リミテッドの特許一覧

特許7175269モノのインターネットデバイスの記録検証方法及び装置、ならびにID認証方法及び装置
<>
  • 特許-モノのインターネットデバイスの記録検証方法及び装置、ならびにID認証方法及び装置 図1
  • 特許-モノのインターネットデバイスの記録検証方法及び装置、ならびにID認証方法及び装置 図2
  • 特許-モノのインターネットデバイスの記録検証方法及び装置、ならびにID認証方法及び装置 図3
  • 特許-モノのインターネットデバイスの記録検証方法及び装置、ならびにID認証方法及び装置 図4
  • 特許-モノのインターネットデバイスの記録検証方法及び装置、ならびにID認証方法及び装置 図5
  • 特許-モノのインターネットデバイスの記録検証方法及び装置、ならびにID認証方法及び装置 図6
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-11-10
(45)【発行日】2022-11-18
(54)【発明の名称】モノのインターネットデバイスの記録検証方法及び装置、ならびにID認証方法及び装置
(51)【国際特許分類】
   H04L 9/08 20060101AFI20221111BHJP
   G09C 1/00 20060101ALI20221111BHJP
   G06F 21/44 20130101ALI20221111BHJP
   G06F 21/45 20130101ALI20221111BHJP
   H04L 9/32 20060101ALI20221111BHJP
【FI】
H04L9/08 B
H04L9/08 F
G09C1/00 640E
G06F21/44
G06F21/45
H04L9/32 200B
【請求項の数】 8
(21)【出願番号】P 2019528911
(86)(22)【出願日】2017-11-20
(65)【公表番号】
(43)【公表日】2020-04-09
(86)【国際出願番号】 CN2017111803
(87)【国際公開番号】W WO2018099285
(87)【国際公開日】2018-06-07
【審査請求日】2020-10-27
(31)【優先権主張番号】201611111241.9
(32)【優先日】2016-12-02
(33)【優先権主張国・地域又は機関】CN
【前置審査】
(73)【特許権者】
【識別番号】510330264
【氏名又は名称】アリババ・グループ・ホールディング・リミテッド
【氏名又は名称原語表記】ALIBABA GROUP HOLDING LIMITED
(74)【代理人】
【識別番号】110001243
【氏名又は名称】弁理士法人谷・阿部特許事務所
(72)【発明者】
【氏名】チアン ファン
(72)【発明者】
【氏名】ダーペン リウ
【審査官】青木 重徳
(56)【参考文献】
【文献】特表2012-521155(JP,A)
【文献】特開2005-026842(JP,A)
【文献】特開2005-038411(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/08
G09C 1/00
G06F 21/44
G06F 21/45
H04L 9/32
(57)【特許請求の範囲】
【請求項1】
モノのインターネット(IoT)デバイスの検証及び記録のための方法であって、記録検証装置に適用され、
記録検証装置が記録生産ラインによって送信された記録要求を受信することであって、前記記録要求は、記録許可証を含み、ID識別子及びデバイス鍵を記録対象のIoTデバイスに割り当てるように前記記録検証装置に要求するために使用され、前記記録許可証は、記録製造業者が前記記録生産ラインに前記IoTデバイス内に記録することを許可したシリアル番号であり、前記シリアル番号は、前記記録生産ラインの製造業者コードを含み、前記製造業者コードと前記記録許可証との対応関係は、データベースに記憶され、前記デバイス鍵はデバイス秘密鍵及びデバイス公開鍵を含む、受信することと、
前記記録検証装置が、前記記録許可証の正当性を検証することによって前記記録要求が正当であるか否かを検証し、正当である場合に、前記ID識別子及び前記デバイス鍵を前記記録対象のIoTデバイスに割り当てることと、
前記記録生産ラインが前記ID識別子及び前記デバイス秘密鍵を前記IoTデバイスに記録するために、前記記録検証装置が前記ID識別子及び前記デバイス秘密鍵を前記記録生産ラインに送信することと
を含む、方法。
【請求項2】
前記デバイス鍵は前記デバイス秘密鍵及び前記デバイス公開鍵を含み、前記記録生産ラインが前記ID識別子及び前記デバイス秘密鍵を前記IoTデバイスに記録した後、前記方法は、
前記記録検証装置が前記記録生産ラインによって返信された記録結果を受信することであって、前記記録結果は、前記IoTデバイスと、記録された前記ID識別子及び前記デバイス秘密鍵との間の対応関係を示すために使用される、受信することと、
ID認証装置が、前記IoTデバイスを認証する場合に、前記記録結果に基づいて前記IoTデバイスの前記デバイス秘密鍵が正当であるか否かを検証するために、前記記録検証装置が前記記録結果を前記ID認証装置に送信することと
をさらに含む、請求項1に記載の方法。
【請求項3】
前記記録生産ラインが前記ID識別子及び前記デバイス秘密鍵を前記IoTデバイスに記録するために、前記記録検証装置が前記ID識別子及び前記デバイス秘密鍵を前記記録生産ラインに送信することは、
前記記録生産ラインが前記ID識別子及び前記デバイス秘密鍵を前記IoTデバイスの信頼可能実行環境内に記録するために、前記記録検証装置が前記ID識別子及び前記デバイス秘密鍵を前記記録生産ラインに送信することであって、前記IoTデバイスは前記信頼可能実行環境として機能する独立した記憶空間を有する、送信すること
を含む、請求項1に記載の方法。
【請求項4】
モノのインターネット(IoT)デバイスを記録するための方法であって、記録生産ラインに適用され、
記録要求を記録検証装置に送信することであって、前記記録要求は、記録許可証を含み、ID識別子及びデバイス鍵を記録対象のIoTデバイスに割り当てるように前記記録検証装置に要求するために使用され、前記記録許可証は、記録製造業者が前記記録生産ラインに前記IoTデバイス内に記録することを許可したシリアル番号であり、前記シリアル番号は、前記記録生産ラインの製造業者コードを含み、前記製造業者コードと前記記録許可証との対応関係は、データベースに記憶され、前記デバイス鍵はデバイス秘密鍵及びデバイス公開鍵を含む、送信することと、
前記記録検証装置が、前記記録許可証の正当性を検証することによって前記記録要求が正当であるか否かを検証した後に、前記ID識別子及び前記デバイス鍵が前記記録検証装置によって送信されたことに応答して、前記ID識別子及び前記デバイス秘密鍵を前記IoTデバイスに記録することと、
記録結果を前記記録検証装置に返信することであって、前記記録結果は、前記IoTデバイスと、記録された前記ID識別子及び前記デバイス秘密鍵との間の対応関係を示すために使用される、返信することと
を含む、方法。
【請求項5】
モノのインターネット(IoT)デバイスのための記録検証装置であって、
記録生産ラインによって送信された記録要求を受信するように構成される第1の受信ユニットであって、前記記録要求は、記録許可証を含み、ID識別子及びデバイス鍵を記録対象のIoTデバイスに割り当てるように前記記録検証装置に要求するために使用され、前記記録許可証は、記録製造業者が前記記録生産ラインに前記IoTデバイス内に記録することを許可したシリアル番号であり、前記シリアル番号は、前記記録生産ラインの製造業者コードを含み、前記製造業者コードと前記記録許可証との対応関係は、データベースに記憶され、前記デバイス鍵はデバイス秘密鍵及びデバイス公開鍵を含む、第1の受信ユニットと、
前記記録許可証の正当性を検証することによって前記記録要求が正当であるか否かを検証するように構成される許可証検証ユニットと、
前記許可証検証ユニットの結果が肯定的である場合に、前記ID識別子及び前記デバイス鍵を前記記録対象のIoTデバイスに割り当てるように構成される割り当てユニットと、
前記記録生産ラインが前記ID識別子及び前記デバイス秘密鍵を前記IoTデバイスに記録するために、前記ID識別子及び前記デバイス秘密鍵を前記記録生産ラインに送信するように構成される第1の送信ユニットと
を備える、記録検証装置。
【請求項6】
前記記録生産ラインによって返信された記録結果を受信するように構成される第2の受信ユニットであって、前記記録結果は、前記IoTデバイスと、記録された前記ID識別子及び前記デバイス秘密鍵との間の対応関係を示すために使用される、第2の受信ユニットと、
ID認証装置が、前記IoTデバイスを認証する場合に、前記記録結果に基づいて前記IoTデバイスの前記デバイス秘密鍵が正当であるか否かを検証するために、前記記録結果を前記ID認証装置に送信するように構成される第2の送信ユニットと
をさらに備える、請求項5に記載の装置。
【請求項7】
第1の送信ユニットは、詳細には、前記記録生産ラインが前記ID識別子及び前記デバイス秘密鍵を前記IoTデバイスの信頼可能実行環境内に記録するために、前記ID識別子及び前記デバイス秘密鍵を前記記録生産ラインに送信するように構成され、前記IoTデバイスは前記信頼可能実行環境として機能する独立した記憶空間を有する、請求項5に記載の装置。
【請求項8】
モノのインターネット(IoT)デバイスのための記録装置であって、
記録要求を記録検証装置に送信するように構成される第3の送信ユニットであって、前記記録要求は、記録許可証を含み、ID識別子及びデバイス鍵を記録対象のIoTデバイスに割り当てるように前記記録検証装置に要求するために使用され、前記記録許可証は、記録製造業者が記録生産ラインに前記IoTデバイス内に記録することを許可したシリアル番号であり、前記シリアル番号は、前記記録生産ラインの製造業者コードを含み、前記製造業者コードと前記記録許可証との対応関係は、データベースに記憶され、前記デバイス鍵はデバイス秘密鍵及びデバイス公開鍵を含む、第3の送信ユニットと、
前記記録検証装置が、前記記録許可証の正当性を検証することによって前記記録要求が正当であるか否かを検証した後に、前記ID識別子及び前記デバイス鍵が前記記録検証装置によって送信されたことに応答して、前記ID識別子及び前記デバイス秘密鍵を前記IoTデバイスに記録するように構成される記録ユニットと、
記録結果を前記記録検証装置に返信するように構成される結果返信ユニットであって、前記記録結果は、前記IoTデバイスと、記録された前記ID識別子及び前記デバイス秘密鍵との間の対応関係を示すために使用される、結果返信ユニットと
を備える、記録装置。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、2016年12月2日に出願され、「Recording and Verification Method and Apparatus of Internet of Things Device, and Identity Authentication Method and Apparatus」と題された中国特許出願第201611111241.9号の優先権を主張し、その全体が本明細書に引用により組み込まれている。
【0002】
本開示は、モノのインターネットのデータ処理の技術分野に関し、より詳細には、モノのインターネットデバイスの記録検証方法及び装置、ならびにID認証方法及び装置に関する。
【背景技術】
【0003】
モノのインターネット(IoT:Internet of Things)とは、モノが相互接続された相互接続ネットワークである。そのため、モノのインターネットの中核及び基盤はインターネットであり、インターネットから拡張及び拡大されたネットワークである。また、モノのインターネットのユーザ端は、情報交換及び通信を行う任意の物体まで拡張及び拡大され、すなわち、モノ同士が出会う。
【0004】
IoTユーザはIoTデバイスを使用して情報交換を行う。任意のIoTデバイス間の情報交換プロセスにおいて、各IoTデバイスはIDを使用して自己を一意に識別する必要がある。通常、ID及び通信中にIoTデバイスにより使用される秘密鍵は、IoTデバイスに事前に記録される。
【0005】
IoTデバイスに記録される場合、ID及び秘密鍵は、IoTデバイス間にある種の関連性を有し、また、IoTデバイスの記憶空間に直接記録されるので、悪意を持って盗まれる場合がある。さらに、その後IoTデバイス間で通信が行われる場合、他のデバイスがIoTデバイスになりすましてモノのインターネットサービスプラットフォームにサービスを要求する状況が発生し得る。このため、モノのインターネットサービスの安全性と、サーバプラットフォーム側の安全な運用とを保証することができない。
【発明の概要】
【0006】
しかしながら、本発明者らは、ID及びデバイス秘密鍵が記録される前に、先に記録検証装置によって記録生産ラインの正当性が検証されることを研究過程において見出した。検証に成功すると、記録検証装置によってID及びデバイス秘密鍵がIoTデバイスにまとめて割り当てられ、ID及びデバイス秘密鍵は、IoTデバイスに記録されるときに、信頼可能実行環境内に直接記録される。そのため、一方では、記録検証装置は、記録生産ラインを検証した後にID及びデバイス秘密鍵をまとめて割り当て、他方ではまた、ID及びデバイス秘密鍵を信頼可能実行環境内に記録することによって、ID及びデバイス秘密鍵の安全性を保証する。
【0007】
さらに、モノのインターネットデバイスのID認証を実行する場合、IoTデバイスを使用して許可コードが生成される。許可コードは、信頼可能実行環境に記録されたデバイス秘密鍵だけでなく、プラットフォーム側のID認証装置によって生成される乱数も含む。これにより、IoTサービス要求を開始したIoTデバイスのみがプラットフォーム側のID認証に合格できるようになり、それによってIoTサービスの安全性が向上し、プラットフォーム側の安全な運用が保証される。
【0008】
これに基づいて、本出願は、IoTのID情報の記録検証方法と、IoTデバイスのIDの認証方法とを提供し、これらは記録検証装置を使用してID識別子ならびに公開鍵及び秘密鍵をIoTデバイスに割り当て、ID識別子ならびに公開鍵及び秘密鍵を記録生産ラインに分配して、IoTデバイスの信頼可能実行環境にまとめて記録し易くし、それによってID識別子及びデバイス秘密鍵が盗まれる危険性及び可能性を低減させる。また、IoTデバイスがIoTサービスを開始すると、プラットフォーム側のID認証装置は、IoTデバイスによって生成された許可コードを介してIoTデバイスのIDを検証することができ、IoTのID認証の安全性を高めることもできる。
【0009】
本出願はまた、上記方法を実際に実現及び適用できるようにするための記録検証装置、ID認証装置、及びID認証システムを提供する。
【0010】
上記課題を解決するために、本出願は、モノのインターネットデバイスの検証及び記録のための方法であって、記録検証装置に適用される方法を開示する。この方法は、記録検証装置が記録生産ラインによって送信された記録要求を受信することであって、記録要求は、ID識別子及びデバイス鍵を記録対象のIoTデバイスに割り当てるように記録検証装置に要求するために使用され、デバイス鍵はデバイス秘密鍵及びデバイス公開鍵を含む、受信することと、記録検証装置が、記録要求が正当であるか否かを検証し、正当である場合に、ID識別子及びデバイス鍵を記録対象のIoTデバイスに割り当てることと、記録生産ラインがID識別子及びデバイス秘密鍵をIoTデバイスに記録するために、記録検証装置がID識別子及びデバイス秘密鍵を記録生産ラインに送信することとを含む。
【0011】
デバイス鍵はデバイス秘密鍵及びデバイス公開鍵を含む。記録生産ラインがID識別子及びデバイス秘密鍵をIoTデバイスに記録した後、この方法は、記録検証装置が記録生産ラインによって返信された記録結果を受信することであって、記録結果は、IoTデバイスと、記録されたID識別子及びデバイス秘密鍵との間の対応関係を示すために使用される、受信することと、ID認証装置が、IoTデバイスを認証する場合に、記録結果に基づいてIoTデバイスのデバイス秘密鍵が正当であるか否かを検証するために、記録検証装置が記録結果をID認証装置に送信することとをさらに含む。
【0012】
記録生産ラインがID識別子及びデバイス秘密鍵をIoTデバイスに記録するために、記録検証装置がID識別子及びデバイス秘密鍵を記録生産ラインに送信することは、記録生産ラインがID識別子及びデバイス秘密鍵をIoTデバイスの信頼可能実行環境内に記録するために、記録検証装置がID識別子及びデバイス秘密鍵を記録生産ラインに送信することであって、IoTデバイスは信頼可能実行環境として機能する独立した記憶空間を有する、送信することを含む。
【0013】
本出願は、モノのインターネットデバイスを記録するための方法であって、記録生産ラインに適用される方法を開示する。この方法は、記録要求を記録検証装置に送信することであって、記録要求は、ID識別子及びデバイス鍵を記録対象のIoTデバイスに割り当てるように記録検証装置に要求するために使用され、デバイス鍵はデバイス秘密鍵及びデバイス公開鍵を含む、送信することと、ID識別子及びデバイス秘密鍵が記録検証装置によって送信されたことに応答して、ID識別子及びデバイス秘密鍵をIoTデバイスに記録することと、記録結果を記録検証装置に返信することであって、記録結果は、IoTデバイスと、記録されたID識別子及びデバイス秘密鍵との間の対応関係を示すために使用される、返信することとを含む。
【0014】
本出願は、モノのインターネットデバイスのためのID認証方法を開示する。この方法は、ID認証プラットフォーム内のID認証装置に適用される。ID認証プラットフォームはID認証システム内に配置され、ID認証システムはモノのインターネットサービスプラットフォーム及びモノのインターネットデバイスをさらに含む。IoTサービスプラットフォームはIoTサービスをIoTデバイスに提供するために使用される。この方法は、IoTデバイスによってID認証装置に送信された乱数生成要求に応答して、ID認証装置が乱数生成要求内の要求識別子に応じた乱数を生成することであって、IoTデバイスは信頼可能実行環境として機能する独立した記憶空間を有し、IoTデバイスのデバイス秘密鍵及びID識別子は信頼可能実行環境に記録される、生成することと、IoTデバイスが乱数及びデバイス秘密鍵に基づいて許可コードを生成し、IoTサービスプラットフォームへのサービス要求を開始するために、ID認証装置が乱数をIoTデバイスに送信することであって、サービス要求はサービス内容及び許可コードを含む、送信することと、IoTサービスプラットフォームによって許可コードがID認証装置に送信されたことに応答して、ID認証装置が、許可コードが正当であるか否かを検証することと、正当である場合、ID認証装置が、IoTデバイスのIDが正当であることを確認し、正当でない場合、ID認証装置が、IoTデバイスのIDが不正であることを確認することとを含む。
【0015】
許可コードはデバイス秘密鍵及び乱数を含み、IoTサービスプラットフォームによって許可コードがID認証装置に送信されたことに応答して、ID認証装置が、許可コードが正当であるか否かを検証することは、ID認証装置が、IoTサービスプラットフォームによって送信された許可コード内の乱数が、生成された乱数と一致するか否か、及びデバイス秘密鍵が、記録検証装置によって送信された記録結果に含まれるデバイス秘密鍵であるか否かを検証することを含む。
【0016】
IoTデバイスのIDが正当である場合に、この方法は、ID認証装置がセッション鍵生成命令をIoTサービスプラットフォームに送信することであって、セッション鍵生成命令は、セッション鍵を生成するようにIoTサービスプラットフォームに指示するために使用される、送信することと、IoTサービスプラットフォーム及びIoTデバイスがセッション鍵を使用して通信するために、ID認証装置がIoTサービスプラットフォームにより返信されたセッション鍵をIoTデバイスに送信することとをさらに含む。
【0017】
この方法は、ID識別子またはデバイス秘密鍵が信頼可能実行環境から漏洩した場合に、ID認証装置が、漏洩したID識別子またはデバイス秘密鍵に関連する記録結果を削除することをさらに含む。
【0018】
この方法は、ID識別子またはデバイス秘密鍵が信頼可能実行環境から漏洩した場合に、ID認証装置が、IoTデバイスに記録されたID識別子及びデバイス秘密鍵を削除することをさらに含む。
【0019】
本出願は、モノのインターネットデバイスのための記録検証装置をさらに含む。記録検証装置は、記録生産ラインによって送信された記録要求を受信するように構成される第1の受信ユニットであって、記録要求は、ID識別子及びデバイス鍵を記録対象のIoTデバイスに割り当てるように記録検証装置に要求するために使用され、デバイス鍵はデバイス秘密鍵及びデバイス公開鍵を含む、第1の受信ユニットと、記録要求が正当であるか否かを検証するように構成される許可証検証ユニットと、許可証検証ユニットの結果が肯定的である場合に、ID識別子及びデバイス鍵を記録対象のIoTデバイスに割り当てるように構成される割り当てユニットと、記録生産ラインがID識別子及びデバイス秘密鍵をIoTデバイスに記録するために、ID識別子及びデバイス秘密鍵を記録生産ラインに送信するように構成される第1の送信ユニットとを含む。
【0020】
この装置は、記録生産ラインによって返信された記録結果を受信するように構成される第2の受信ユニットであって、記録結果は、IoTデバイスと、記録されたID識別子及びデバイス秘密鍵との間の対応関係を示すために使用される、第2の受信ユニットと、ID認証装置が、IoTデバイスを認証する場合に、記録結果に基づいてIoTデバイスのデバイス秘密鍵が正当であるか否かを検証するために、記録結果をID認証装置に送信するように構成される第2の送信ユニットとをさらに含む。
【0021】
第1の送信ユニットは、詳細には、記録生産ラインがID識別子及びデバイス秘密鍵をIoTデバイスの信頼可能実行環境内に記録するために、ID識別子及びデバイス秘密鍵を記録生産ラインに送信するように構成され、IoTデバイスは信頼可能実行環境として機能する独立した記憶空間を有する。
【0022】
本出願は、モノのインターネットデバイスのための記録装置をさらに含む。この装置は、記録要求を記録検証装置に送信するように構成される第3の送信ユニットであって、記録要求は、ID識別子及びデバイス鍵を記録対象のIoTデバイスに割り当てるように記録検証装置に要求するために使用され、デバイス鍵はデバイス秘密鍵及びデバイス公開鍵を含む、第3の送信ユニットと、ID識別子及びデバイス鍵が記録検証装置によって送信されたことに応答して、ID識別子及びデバイス秘密鍵をIoTデバイスに記録するように構成される記録ユニットと、記録結果を記録検証装置に返信するように構成される結果返信ユニットであって、記録結果は、IoTデバイスと、記録されたID識別子及びデバイス秘密鍵との間の対応関係を示すために使用される、結果返信ユニットとを含む。
【0023】
本出願は、モノのインターネットデバイスのためのID認証装置をさらに含む。ID認証装置はID認証プラットフォームに統合され、ID認証プラットフォームはID認証システム内に配置される。ID認証システムはIoTサービスプラットフォーム及びIoTデバイスをさらに含む。IoTサービスプラットフォームはIoTサービスをIoTデバイスに提供するように構成される。ID認証装置は、IoTデバイスによってID認証装置に送信された乱数生成要求に応答して、乱数生成要求内の要求識別子に応じた乱数を生成するように構成される乱数生成ユニットであって、IoTデバイスは信頼可能実行環境として機能する独立した記憶空間を有し、IoTデバイスのデバイス秘密鍵及びID識別子は信頼可能実行環境に記録される、乱数生成ユニットと、IoTデバイスが乱数及びデバイス秘密鍵に基づいて許可コードを生成し、IoTサービスプラットフォームへのサービス要求を開始するために、乱数をIoTデバイスに送信するように構成される乱数送信ユニットであって、サービス要求はサービス内容及び許可コードを含む、乱数送信ユニットと、IoTサービスプラットフォームによって許可コードがID認証装置に送信されたことに応答して、許可コードが正当であるか否かを検証するように構成される許可コード検証ユニットと、許可コード検証ユニットの結果が肯定的である場合、IoTデバイスのIDが正当であることを確認するように構成される第1の確認ユニットと、許可コード検証ユニットの結果が否定的である場合、IoTデバイスのIDが不正であることを確認するように構成される第2の確認ユニットとを含む。
【0024】
許可コード検証ユニットは、IoTサービスプラットフォームによって送信された許可コード内の乱数が、生成された乱数と一致するか否か、及びデバイス秘密鍵が、記録検証装置によって送信された記録結果に含まれるデバイス秘密鍵であるか否かを検証するように構成される検証サブユニットを含む。
【0025】
この装置は、セッション鍵生成命令をIoTサービスプラットフォームに送信するように構成される第4の送信ユニットであって、セッション鍵生成命令は、セッション鍵を生成するようにIoTサービスプラットフォームに指示するために使用される、第4の送信ユニットと、IoTサービスプラットフォーム及びIoTデバイスがセッション鍵を使用して通信するために、IoTサービスプラットフォームにより返信されたセッション鍵をIoTデバイスに送信するように構成される第5の送信ユニットとをさらに含む。
【0026】
この装置は、ID識別子またはデバイス秘密鍵が信頼可能実行環境から漏洩した場合に、漏洩したID識別子またはデバイス秘密鍵に関連する記録結果を削除するように構成される第1の削除ユニットをさらに含む。
【0027】
この装置は、ID識別子またはデバイス秘密鍵が信頼可能実行環境から漏洩した場合に、IoTデバイスに記録されたID識別子及びデバイス秘密鍵を削除するように構成される第2の削除ユニットをさらに含む。
【0028】
本出願は、モノのインターネットデバイスのためのID認証システムをさらに含む。ID認証システムは、ID認証プラットフォームと、モノのインターネットデバイスと、モノのインターネットサービスプラットフォームとを含む。ID認証プラットフォームは、前述の記録検証装置と、前述のID認証装置とを含む。
【0029】
既存の技術と比較して、本出願は以下の利点を含む。
【0030】
本出願の実施形態では、記録生産ラインがIoTデバイスを記録する前に、先に記録検証装置によって記録生産ラインの生産許可証が検証される。検証に合格した場合、IoTデバイスはID識別子ならびに対応するデバイス公開鍵及びデバイス秘密鍵が割り当てられる。ID識別子及びデバイス秘密鍵は両方とも、IoTデバイスの信頼可能実行環境内に記録される。したがって、記録されたIoTデバイスの安全性は大幅に向上する。同時に、記録生産ラインは、IoTデバイスのID識別子ならびにデバイス公開鍵及び秘密鍵を一括して記録検証装置に要求して、記録効率を向上させることもできる。さらに、IoTデバイスが記録された後、記録識別装置は、記録結果をID認証装置に送信して記憶させ、それによって記録されたIoTデバイスが登録される。これにより、登録されたIoTデバイスのみがその後のID検証に成功し、その後のIoTデバイスのID認証プロセスの安全性を向上させることが可能になる。
【0031】
この他、IoTデバイスがサービス要求を開始する前に、先にIoTサービス要求の要求識別子が生成される。ID認証装置は次いで、要求識別子に基づいた乱数を生成する。IoTデバイスは、ID認証装置によって返信された乱数に基づいて一意の許可コードを生成し、それによってIoT要求を開始したIoTデバイスのみがID認証装置の検証に合格できるようにする。そのため、ID検証の安全性も向上し、それによってIoTサービスの安全性が保証される。
【0032】
当然ながら、本出願を実装するいかなる製品も、必ずしも上述の利点の全てを同時に実現する必要があるわけではない。
【0033】
本出願の実施形態における技術的解決策をより明確に説明するために、実施形態の説明で使用される図面をここで簡単に説明する。当然ながら、以下の説明における図面は本出願のいくつかの実施形態を表すに過ぎない。当業者であれば、これらの図面に基づいて、いかなる発明的な努力もせずに他の図面を得ることができる。
【図面の簡単な説明】
【0034】
図1】本出願のモノのインターネットデバイスのID情報を記録するシナリオのアーキテクチャ図である。
図2】本出願のモノのインターネットデバイスの記録及び検証のための方法の一実施形態のフローチャートである。
図3】本出願のモノのインターネットデバイスのID認証のシナリオのアーキテクチャ図である。
図4】本出願のモノのインターネットデバイスのID認証方法の一実施形態のフローチャートである。
図5】本出願の記録検証装置の一実施形態の構造ブロック図である。
図6】本出願のID認証装置の構造ブロック図である。
【発明を実施するための形態】
【0035】
以下、本出願の実施形態における図面を参照して本出願の実施形態における技術的解決策を明確かつ完全に説明する。当然ながら、説明する実施形態は本出願の実施形態の一部しか表さず、全てを表すわけではない。当業者によって本出願の実施形態に基づいていかなる発明的な努力もせずに得られる他の全ての実施形態は、本出願の保護範囲に入るものとする。
【0036】
用語の定義:
【0037】
モノのインターネットデバイスとは、モノのインターネット(IoT)において情報をやり取りするデバイス、たとえば、スマート家電を指す。
【0038】
IoTデバイスのID識別子とは、モノのインターネットにおいてIoTデバイスを一意に識別できるものである。
【0039】
信頼可能実行環境(TEE:Trusted Execution Environment)とは、IoTデバイスのメインプロセッサ上の安全な領域であって、その安全な領域に記憶されたコード及びデータの安全性、機密性、及び完全性を保証するものである。
【0040】
デバイス鍵はデバイス公開鍵及びデバイス秘密鍵を含み、デバイス公開鍵及びデバイス秘密鍵は対称的に使用される。IoTデバイスがデバイス秘密鍵を使用してデータを暗号化した場合、サーバ側はデバイス公開鍵を使用してデータを復号する。反対に、サーバ側がデバイス公開鍵を使用してデータを暗号化した場合、IoTデバイスはデバイス秘密鍵を使用してデータを復号する。
【0041】
本出願の実施形態において、図1は、本出願の実施形態によるモノのインターネットデバイスの記録検証方法の実際の適用におけるシナリオのフレームワーク図である。
【0042】
記録製造業者は、IoTデバイスの生産時に、IoTデバイスのデバイス情報を記録する必要がある。通常、記録製造業者によりIoTデバイスを記録するのに使用される組み立てラインは、記録生産ラインと呼ばれる。図1の記録生産ライン102は、図1の記録検証装置101と事前合意された記録許可証を、記録要求を介して記録検証装置に送信して、ID識別子、デバイス公開鍵、及びデバイス秘密鍵を記録対象のIoTデバイス103に割り当てるように記録検証装置101に要求することができる。ID識別子とは、モノのインターネットにおいてIoTデバイスを一意に識別できるものであり、デバイス公開鍵及びデバイス秘密鍵は対称的に使用される。IoTデバイスがデバイス秘密鍵を使用してデータを暗号化した場合、サーバ側はデバイス公開鍵を使用してデータを復号する。反対に、サーバ側がデバイス公開鍵を使用してデータを暗号化した場合、IoTデバイスはデバイス秘密鍵を使用してデータを復号する。記録検証装置は次いで記録許可証を検証する。正当である場合、記録検証装置は、ID識別子、デバイス公開鍵及びデバイス秘密鍵を記録対象のIoTデバイスに割り当て、これらを記録生産ラインに送信する。記録生産ラインはID識別子及びデバイス秘密鍵をIoTデバイス内に記録する。記録に成功した後、物流網デバイスは記録結果、たとえば、どのデバイス秘密鍵の情報が、どのIoTデバイスに記録されているかを記録生産ラインに返信する。記録生産ラインは次いで、記録結果を記録検証装置101に送信する。記録検証装置101は、記録結果をID認証装置104に送信して、記録に成功したIoTデバイスをID認証装置104に登録することもできる。
【0043】
以下、図1で導入した記録シナリオのフレームワーク図に基づいて、本出願の実施形態における記録プロセスを詳細に説明する。図2に、本出願のモノのインターネットデバイスの検証及び記録のための方法の一実施形態のフローチャートを示す。本実施形態は以下のステップを含み得る。
【0044】
ステップ201:記録生産ラインは記録要求を記録検証装置に送信する。
【0045】
このステップでは、記録生産ラインが記録許可証を取得した後、記録許可証を記録要求に含めて記録検証装置に送信することができる。記録要求は、ID識別子と、デバイス公開鍵及びデバイス秘密鍵の対とを記録対象のIoTデバイスに割り当てるように記録検証装置に要求するために使用される。記録許可証は、記録製造業者が記録生産ラインにIoTデバイス内に記録することを許可したシリアル番号である。シリアル番号は文字及び/または数字、たとえば、「AKJ20151012」などから構成することができる。「AKJ」は記録製造業者のコードを表すことができ、「20151012」は時間などを示すために使用される。記録検証装置は、記録生産ラインの正当な記録許可証「AKJ1234」を事前に記憶して、受信した記録許可証の正当性を検証することができる。
【0046】
実際の適用では、記録要求は、複数のIoTデバイスへのID識別子及びデバイス鍵の割り当てを一括して一度に申請し得ることは理解できよう。これにより、記録検証装置及び記録生産ラインの間の通信回数を減少させる状況下で、IoTデバイスの一括した割り当てを実現することができる。当然ながら、記録要求は、単一のIoTデバイスへのID識別子及びデバイス鍵の割り当てを申請することができる。
【0047】
ステップ202:記録検証装置は、記録要求が正当であるか否かを検証し、正当である場合、処理はステップ203へ進む。
【0048】
記録検証装置は、記録要求内の記録許可証の正当性を検証することによって、記録要求の正当性の検証を実現することができる。たとえば、記録生産ラインから送信された、受信した記録許可証を、事前に記憶された記録許可証に基づいて比較することができる。一致する場合、記録要求内の記録許可証は正当であると見なされ、一致しない場合、不正と見なされる。記録検証装置は、独立したデータベースを使用して記録許可証を記憶し、たとえば、各製造業者と、それぞれの許可された記録許可証(複数可)との間の対応関係を記憶することができる。たとえば、記録検証装置により記録要求から抽出される記録許可証番号は「AKJ1234」であり、記録要求は、「AKJ」のコードを有する記録製造業者の記録生産ラインによって送信されるものである。記録検証装置は、データベースから「AKJ」に対応する記録許可証番号「AKJ1234」を見つけることができる。この場合、これは正当と見なされる。一致しない場合、これは不正と見なされ、記録検証装置は、記録生産ラインにより送信された記録要求を拒絶し、いかなるID識別子ならびにデバイス公開鍵及び秘密鍵も記録対象のIoTデバイスに割り当てないようにすることができる。
【0049】
ステップ203:記録検証装置は、ID識別子及びデバイス鍵を記録対象のIoTデバイスに割り当てる。
【0050】
次いで、記録検証装置は一意のID識別子と、デバイス公開鍵及びデバイス秘密鍵を含む一対のデバイス鍵とを記録対象のIoTデバイスに割り当てる。具体的には、記録検証装置は、一意のシリアル番号を生成するための方法に従って各IoTデバイスに異なるシリアル番号をランダムに生成し得、または事前設定された方法に従って各IoTデバイスに異なるシリアル番号を割り当て得る。たとえば、記録検証装置は、割り当て用のID識別子の組と、各ID識別子に対応するそれぞれのデバイス鍵(デバイス公開鍵及びデバイス秘密鍵を含む)とを含むID情報テーブルを保持し得る。記録検証装置は、IoTデバイスに割り当てられるID識別子及びデバイス鍵を情報テーブルから順次取得することができる。
【0051】
実際の適用では、記録生産ラインは、記録要求をデジタル署名によって記録検証装置に送信することができる。この場合、記録検証装置は、デジタル署名の記録要求を受信した後に署名を検証し、署名が有効である場合にのみ、記録許可証を正当と見なすこともできる。
【0052】
ステップ204:記録検証装置は、ID識別子及びデバイス秘密鍵を記録生産ラインに送信する。
【0053】
記録検証装置は、ID識別子、デバイス公開鍵、及びデバイス秘密鍵が割り当てた後、ID識別子及びデバイス秘密鍵を記録生産ラインに送信する。
【0054】
ステップ205:記録生産ラインは、ID識別子及びデバイス秘密鍵を対応するIoTデバイスに記録する。
【0055】
記録生産ラインは、ID識別子及びデバイス秘密鍵をIoTデバイス内に記録することができる。詳細には、記録検証装置は、ID識別子及びデバイス秘密鍵を、IoTデバイス内の信頼可能実行環境として別途確保された場所に記録することができる。信頼可能実行環境(TEE)とは、IoTデバイスのメインプロセッサ上の安全な領域であって、その安全な領域にロードされたコード及びデータの安全性、機密性及び完全性を保証できるものである。TEEは隔離された実行環境を提供することができ、提供される安全性の特徴には、隔離実行、信頼可能なアプリケーションの完全性、信頼可能なデータの機密性、及び安全な記憶などがある。
【0056】
ステップ206:記録生産ラインは記録結果を記録検証装置に送信する。
【0057】
どのID識別子及びデバイス秘密鍵がどのIoTデバイスに記録されているかについての記録結果が、記録検証装置に送信される。記録結果は、たとえば、IoTデバイスAに記録されたID識別子(「123456789」)、及びデバイス秘密鍵(「XKNHJH」)であり得る。
【0058】
ステップ207:記録検証装置は記録結果をID認証装置に送信する。
【0059】
記録検証装置は次いで、記録結果をID認証装置に送信し、ID認証装置は記録結果を記憶して、記録に成功したIoTデバイスをプラットフォーム側に登録する。
【0060】
以上のように、本出願の実施形態では、記録生産ラインがIoTデバイスを記録する前に、先に記録検証装置によって記録生産ラインの生産許可証が検証される。検証に合格した場合、IoTデバイスはID識別子ならびに対応するデバイス公開鍵及びデバイス秘密鍵が割り当てられる。ID識別子及びデバイス秘密鍵は両方とも、IoTデバイスの信頼可能実行環境内に記録される。したがって、記録されたIoTデバイスの安全性は大幅に向上する。同時に、記録生産ラインは、IoTデバイスのID識別子ならびにデバイス公開鍵及び秘密鍵を一括して記録検証装置に要求して、記録効率を向上させることもできる。さらに、IoTデバイスが記録された後、記録識別装置は、記録結果をID認証装置に送信して記憶させ、それによって記録されたIoTデバイスが登録される。これにより、登録されたIoTデバイスのみがその後のID検証に成功し、その後のIoTデバイスのID認証プロセスの安全性を向上させることが可能になる。
【0061】
図3を参照すると、本出願によるモノのインターネットのID認証方法の実際の適用におけるシナリオのフレームワーク図が示されている。図3において、ID認証システムは、IoTサービスプラットフォーム301と、ID認証プラットフォーム302と、IoTデバイス103とを含み得る。ID認証プラットフォーム302は、ID認証装置104と、記録検証装置101とを含み得る。IoTデバイス103は複数存在し得る。デバイス検証鍵101は、デバイス秘密鍵及びID識別子をIoTデバイス103に記録した後、記録結果をID認証装置104に送信して、記録に成功したIoTデバイス103がID認証装置104に登録されるようにする。ID認証装置104は記録結果を記憶することができる。
【0062】
IoTサービスプラットフォーム301は、モノのインターネット(IoT)サービスをIoTデバイス103に提供することが可能なサードパーティのプラットフォーム、たとえば、IoTデバイス103と通信して、IoTデバイス103のオンライン注文を実現することが可能なショッピングプラットフォーム、製造業者などであり得る。IoTデバイス103は、スマート家電製造業者によって生産されるスマート家電、たとえば、スマート冷蔵庫であり得、冷蔵庫で特定の食べ物を切らしているのを検出したことに応答して、その食べ物のオンライン注文のサービス要求をIoTサービスプラットフォーム301に対して開始し得る。IoTデバイス103がIoTサービスプラットフォーム301にIoTサービスを要求した場合、ID認証プラットフォーム302はIoTデバイス103のIDを検証し、IDが正当である場合に、IoTサービスプラットフォーム301がIoTデバイスにIoTサービスを提供することを許可する。
【0063】
図3に示すシナリオフレームワーク図に基づいて、図4に、モノのインターネットデバイスのID認証のための方法の一実施形態のフローチャートを示す。この方法は、ID認証プラットフォーム内のID認証装置に適用される。認証プラットフォームはID認証システム内に配置され、ID認証システムは、モノのインターネットサービスプラットフォームと、モノのインターネットデバイスとをさらに含む。モノのインターネットサービスプラットフォームは、モノのインターネットサービスをモノのインターネットデバイスに提供するために使用される。本実施形態は以下のステップを含み得る。
【0064】
ステップ400:記録検証装置により記録結果が送信されたことに応答して、ID検証デバイスは、IoTデバイスと、記録されたID識別子及びデバイス秘密鍵との間の対応関係を記憶する。
【0065】
本実施形態では、記録検証装置は、記録生産ラインによって返信された記録結果を受信したことに応答して、記録結果を、自身に接続されたID検証デバイスに送信する。ID検証デバイスは記録結果を記憶することができる。記録結果は、IoTデバイスのID識別子、及びIoTデバイスに記録されたデバイス秘密鍵の間の対応関係を含む。
【0066】
当然ながら、このステップは、ステップ408でID検証デバイスがIoTデバイスの検証を行う前の任意のステップで実行することもでき、その順序は本実施形態の実現に影響しない。
【0067】
ステップ401:IoTデバイスは、信頼可能実行環境からID識別子を読み取り、IoTデバイスの現在のIoTサービス要求を識別するための要求識別子を生成する。
【0068】
本実施形態では、IoTデバイスは、信頼可能実行環境から記録されたID識別子を読み取って、自身のID識別子に対応する許可コードを後で生成できるようにする。まず、IoTデバイスは、IoTサービス要求の要求識別子(sid)を生成することができる。具体的には、要求識別子は、IoTデバイスによって開始されたIoTサービス要求を一意に識別できるものであり、たとえば、文字及び/または数字からなる文字列またはシリアル番号などとすることができる。
【0069】
ステップ402:IoTデバイスは、ID認証プラットフォーム内のID認証装置に乱数生成要求を送信し、ここで、乱数要求は要求識別子を含む。
【0070】
IoTデバイスは生成された要求識別子を乱数生成要求内に入れ、これはID認証プラットフォーム内のID認証装置に送信される。乱数生成要求を同時に使用して、現在のIoTサービス要求のための乱数を生成するようにID認証装置に要求する。
【0071】
ステップ403:ID認証装置は、要求識別子に応じた乱数を生成する。
【0072】
ID認証装置は、IoTデバイスによって送信された乱数生成要求を受信した後、要求識別子に応じてIoTデバイスのために乱数を生成する。具体的には、乱数は、クロック及び要求識別子+タイムスタンプを使用して生成され得る。一例はAJKBJ010-20160508であり、「AJKBJ010」は、あるデバイスによって開始されたIoT要求を一意に識別するために使用される要求識別子であり、「20160508」は時間である。
【0073】
ステップ404:ID認証装置は、生成された乱数をIoTデバイスに送信する。
【0074】
ID認証装置は、生成された乱数をIoTデバイスに送信する。
【0075】
ステップ405:IoTデバイスは、乱数及びデバイス秘密鍵に応じて、ID識別子に対応する許可コードを生成する。
【0076】
IoTデバイスは、受信した乱数と、信頼可能実行環境から読み取られたデバイス秘密鍵とに基づいて、IoTサービス要求の許可コードを生成する。具体的には、許可コードは、たとえば、デバイス秘密鍵及び乱数をデジタル署名することによって得られる情報であり得る。乱数は要求識別子によって生成されるので、許可コードのフレームは、以下の方法によって取得することができる:許可コード=署名関数(デバイス秘密鍵、乱数+要求識別子)。許可コードは、デバイス秘密鍵、要求識別子、及び乱数の情報を含み、IoTサービス要求を現在開始しているIoTデバイスの正当性を識別するために使用することができる。
【0077】
ステップ406:IoTデバイスはIoTサービスプラットフォームへのサービス要求を開始し、ここで、サービス要求はサービス内容及び許可コードを含み得る。
【0078】
許可コードが生成された後、IoTデバイスはIoTサービスプラットフォームへのサービス要求を開始し、ここでサービス要求は、IoTサービスプラットフォームからの必要なサービス内容と、生成された許可コードとを含む。具体的には、許可コードは、IoTサービスプラットフォームの公開鍵によってデジタル署名された後に送信され得る。サービス内容は、IoTサービスプラットフォームによってIoTデバイスに提供される必要があるIoTサービスを示すために使用される。たとえば、特定のスマート冷蔵庫は、IoTサービスプラットフォームにオンライン商品購入サービスを要求し得る。
【0079】
ステップ407:IoTサービスプラットフォームは、サービス要求内の許可コードをID認証装置に送信する。
【0080】
IoTサービスプラットフォームは、サービス要求を受信すると、自身の秘密鍵を使用してサービス要求を復号することによって、許可コード及びサービス内容を取得することができる。本実施形態では、IoTサービスプラットフォームがサービス内容によって表されるIoTサービスをIoTデバイスに提供する前に、IoTデバイスのID認証のために、許可コードがID認証装置に送信される必要がある。
【0081】
ステップ408:ID認証装置は、許可コードが正当であるか否かを検証する。正当である場合、処理はステップ409に進む。正当でない場合、処理はステップ410に進む。
【0082】
ID認証装置は、許可コードを受信した後、許可コードに含まれるデバイス秘密鍵、乱数、及び要求識別子などの情報を検証する。具体的には、デバイス秘密鍵について、ID認証装置はデバイス秘密鍵が、記録検証装置によって送信された、IoTデバイスのIDに対応するデバイス秘密鍵であるか否か、すなわち、デバイス秘密鍵に対応するIoTデバイスがID認証装置に登録済みであるか否かを検査し得る。乱数について、ID認証装置は、ステップ403で生成された乱数と一致するか否かを検証する。要求識別子について、ID認証装置は、ステップ402でIoTデバイスによって送信された、受信した要求識別子と一致するか否かを検証する。
【0083】
ステップ409:ID認証装置は、IoTデバイスのIDが正当であることを確認する。
【0084】
デバイス秘密鍵が登録されており、乱数及び要求識別子も一致している場合、IoTデバイスのIDは正当である。実際の適用では、検証結果の安全性及び正確性を保証するために、デバイス秘密鍵、乱数、及び要求識別子の検証に合格した場合、ステップ409が実行される。
【0085】
ステップ410:ID認証装置は、IoTデバイスのIDが不正であることを確認する。
【0086】
デバイス秘密鍵が登録されていない場合、または乱数もしくは要求識別子が一致していない場合、IoTデバイスのIDは不正である。実際の適用では、デバイス秘密鍵、乱数、または要求識別子のいずれかの検証に不合格であった場合、IoTデバイスのIDは不正であると決定することができる。このようにして、ID認証の安全性をさらに向上させることができる。
【0087】
実際の適用では、IoTデバイスのIDが正当である場合、ステップ409の後に、この方法は以下をさらに含み得る:
【0088】
ステップB:ID認証装置は、セッション鍵生成命令をIoTサービスプラットフォームに送信し、セッション鍵生成命令は、IoTサービスプラットフォームにセッション鍵を生成するように指示するために使用される。
【0089】
ID認証装置は、IoTデバイスのIDが正当であることを検証した後、セッション鍵の生成命令をIoTサービスプラットフォームに送信し、IoTサービスプラットフォームにセッション鍵を生成させる。セッション鍵は、IoTデバイス間のその後の安全な通信に使用することができる。
【0090】
ステップC:ID認証装置は、IoTサービスプラットフォームにより返信されたセッション鍵をIoTデバイスに送信する。
【0091】
セッション鍵が生成された後、IoTサービスプラットフォームはセッション鍵をID認証装置に送信する。ID認証装置は次いでセッション鍵を、IDの正当性の検証に成功したIoTデバイスに送信する。具体的には、ID認証装置は、IoTデバイスのデバイス公開鍵を使用してセッション鍵を暗号化し、次いで暗号化されたセッション鍵を送信し得る。
【0092】
ステップD:IoTデバイス及びIoTサービスプラットフォームはセッション鍵を使用して通信する。
【0093】
IoTデバイスは暗号化されたセッション鍵を自身のデバイス秘密鍵で復号して、IoTサービスプラットフォームと通信するためのセッション鍵を取得する。IoTサービスプラットフォームは、要求された自身のIoTサービスを、確立された安全な通信を介してIoTデバイスに提供することができる。
【0094】
実際の適用では、本実施形態は、ステップ409またはステップ410の後に以下をさらに含み得る:
【0095】
ステップF:ID識別子またはデバイス秘密鍵が、信頼可能実行環境から漏洩した場合に、ID認証装置は、記録されたID識別子または記録されたデバイス秘密鍵に関連する記録結果を削除する。
【0096】
実際の適用では、IoTデバイスに記録されたID識別子またはデバイス秘密鍵が漏洩する状況が起こり得る。この場合、ID識別子及びデバイス秘密鍵は安全ではなくなる。そのため、ID認証装置は、記憶された、漏洩したID識別子またはデバイス秘密鍵に関連する記録結果を削除する。
【0097】
実際の適用では、本実施形態は、ステップ409またはステップ410の後に、以下をさらに含み得る:
【0098】
ステップG:ID識別子またはデバイス秘密鍵が、信頼可能実行環境から漏洩した場合、ID認証装置は、IoTデバイスに記録されたID及びデバイス秘密鍵を削除する。
【0099】
この他、IoTデバイスに記録されたID識別子またはデバイス秘密鍵が漏洩した場合、ID認証装置は同様に、IoTデバイスに記録された、漏洩したID識別子及びデバイス秘密鍵を削除し得る。
【0100】
本実施形態では、IoTデバイスは、現在のIoTサービス要求を開始する前に、先にサービス要求の要求識別子を生成し、次いでID認証装置に要求識別子に応じた乱数を生成するように要求する。次いで、IoTデバイスは、ID認証装置により返信された乱数に基づいて一意の許可コードを生成する。そのため、これにより、IoT要求を開始したIoTデバイスのみがID認証装置の検証に合格できるようになり、それによって、既存の技術と比較してID認証の安全性が向上し、IoTサービスの安全性が保証される。
【0101】
説明を簡単にするために、前述の方法の実施形態は全て一連の動作の組み合わせとして表現されている。しかしながら、当業者であれば、本出願が記載した動作順序によって限定されないことを理解するはずであり、その理由は、本出願に従って、これらのステップが他の順序でまたは並行して実行できるためである。また、当業者であれば、本明細書に記載した実施形態は全て好ましい実施形態であり、関連する動作及びモジュールは必ずしも本出願に必要とされない場合があることも理解するはずである。
【0102】
本出願のモノのインターネットデバイスの記録及び検証の方法の実施形態により提供される方法に対応して、図5を参照すると、本出願はIoTデバイスの記録及び検証の装置の一実施形態をさらに提供する。本実施形態では、記録検証装置は、記録生産ラインによって送信された記録要求を受信するように構成される受信ユニット501であって、記録要求は、ID識別子及びデバイス鍵を記録対象のIoTデバイスに割り当てるように記録検証装置に要求するために使用され、デバイス鍵はデバイス秘密鍵及びデバイス公開鍵を含む、受信ユニット501と、記録要求が正当であるか否かを検証するように構成される許可証検証ユニット502と、許可証検証ユニットの結果が肯定的である場合に、ID識別子及びデバイス鍵を記録対象のIoTデバイスに割り当てるように構成される割り当てユニット503と、記録生産ラインがID識別子及びデバイス秘密鍵を対応するモノのインターネットデバイスに記録するために、ID識別子及びデバイス秘密鍵を記録生産ラインに送信するように構成される第1の送信ユニット504とを含むことができる。
【0103】
実際の適用では、記録検証装置は、記録生産ラインによって返信された記録結果をID認証装置に送信するように構成される第2の送信ユニット505であって、記録結果は、IoTデバイスと、記録されたID識別子及びデバイス秘密鍵との間の対応関係を示すために使用される、第2の送信ユニット505をさらに含み得る。
【0104】
本実施形態では、記録生産ラインがIoTデバイスを記録する前に、先に記録検証装置が記録生産ラインの生産許可証を検証する。検証に合格した場合、ID識別子、デバイス公開鍵及びデバイス秘密鍵がIoTデバイスに割り当てられる。ID識別子及びデバイス秘密鍵は、IoTデバイスの信頼可能実行環境に記録され、これにより、記録されたIoTデバイスの安全性が大幅に向上する。さらに、記録生産ラインは、IoTデバイスのID識別子ならびにデバイス公開鍵及び秘密鍵を一括して記録検証装置に要求して、記録効率を向上させることもできる。また、IoTデバイスに記録が行われた後、記録検証装置は、記録結果をID認証装置に送信して記憶させ、それによって記録されたIoTデバイスが登録される。これにより、登録されたIoTデバイスのみがその後のID認証に合格するので、その後のIoTデバイスのID認証プロセスの安全性を向上させることが可能になる。
【0105】
本出願のモノのインターネットデバイスを記録する方法の実施形態によって提供される方法に対応して、本出願は、モノのインターネットデバイスのための記録装置の他の実施形態をさらに提供する。本実施形態では、記録装置は記録生産ラインに統合され得、記録装置は、記録要求を記録検証装置に送信するように構成される第3の送信ユニットであって、記録要求は、ID識別子及びデバイス鍵を記録対象のIoTデバイスに割り当てるように記録検証装置に要求するために使用され、デバイス鍵はデバイス秘密鍵及びデバイス公開鍵を含む、第3の送信ユニットと、ID識別子及びデバイス鍵が記録検証装置によって送信されたことに応答して、ID識別子及びデバイス秘密鍵をIoTデバイスに記録するように構成される記録ユニットと、記録結果を記録検証装置に返信するように構成される結果返信ユニットであって、記録結果は、IoTデバイスと、記録されたID識別子及びデバイス秘密鍵との間の対応関係を示すために使用される、結果返信ユニットとを含み得る。
【0106】
本出願のモノのインターネットデバイスを認証するための方法の実施形態によって提供される方法に対応して、図6に示すように、本出願は、モノのインターネットデバイスのためのID認証装置をさらに提供する。本実施形態では、ID認証装置はID認証プラットフォームに統合される。ID認証プラットフォームはID認証システム内に配置される。ID認証システムはモノのインターネットサービスプラットフォーム及びモノのインターネットデバイスをさらに含む。モノのインターネットサービスプラットフォームはモノのインターネットサービスをIoTデバイスに提供するために使用される。
【0107】
ID認証装置は、IoTデバイスによってID認証装置に送信された乱数生成要求に応答して、乱数生成要求内の要求識別子に応じた乱数を生成するように構成される乱数生成ユニット601であって、IoTデバイスは信頼可能実行環境として機能する独立した記憶空間を有し、IoTデバイスのデバイス秘密鍵及びID識別子は信頼可能実行環境に記録される、乱数生成ユニット601と、IoTデバイスが乱数及びデバイス秘密鍵に基づいて許可コードを生成し、IoTサービスプラットフォームへのサービス要求を開始するために、乱数をIoTデバイスに送信するように構成される乱数送信ユニット602であって、サービス要求はサービス内容及び許可コードを含む、乱数送信ユニット602と、IoTサービスプラットフォームによって許可コードがID認証装置に送信されたことに応答して、許可コードが正当であるか否かを検証するように構成される許可コード検証ユニット603とを含み得る。
【0108】
許可コード検証ユニット603は、IoTサービスプラットフォームによって送信された許可コード内の乱数が、生成された乱数と一致するか否か、及びデバイス秘密鍵が、記録検証装置によって送信された記録結果に含まれるデバイス秘密鍵であるか否かを検証するように構成される検証サブユニットを含み得る。
【0109】
第1の確認ユニット604は、許可コード検証ユニットの結果が肯定的である場合、IoTデバイスのIDが正当であることを確認するように構成される。
【0110】
第2の確認ユニット605は、許可コード検証ユニットの結果が否定的である場合、IoTデバイスのIDが不正であることを確認するように構成される。
【0111】
他の実施形態では、ID認証装置は、セッション鍵生成命令をIoTサービスプラットフォームに送信するように構成される第4の送信ユニットであって、セッション鍵生成命令は、セッション鍵を生成するようにIoTサービスプラットフォームに指示するために使用される、第4の送信ユニットと、IoTサービスプラットフォーム及びIoTデバイスがセッション鍵を使用して通信するために、IoTサービスプラットフォームにより返信されたセッション鍵をIoTデバイスに送信するように構成される第5の送信ユニットとをさらに含み得る。
【0112】
他の実施形態では、ID認証装置は、ID識別子またはデバイス秘密鍵が信頼可能実行環境から漏洩した場合に、漏洩したID識別子またはデバイス秘密鍵に関連する記録結果を削除するように構成される第1の削除ユニットをさらに含み得る。
【0113】
他の実施形態では、ID認証装置は、ID識別子またはデバイス秘密鍵が信頼可能実行環境から漏洩した場合に、IoTデバイスに記録されたID識別子及びデバイス秘密鍵を削除するように構成される第2の削除ユニットをさらに含み得る。
【0114】
本実施形態では、IoTデバイスは、現在のIoTサービス要求を開始する前に、先にサービス要求の要求識別子を生成し、次いで、要求識別子に応じた乱数を生成するようにID認証装置に要求する。次いで、IoTデバイスはID認証装置によって返信された乱数に基づいて一意の許可コードを生成する。そのため、これにより、IoT要求を開始したIoTデバイスのみがID認証装置の検証に合格できるようになり、それによって既存の技術と比較してID認証の安全性が向上し、IoTサービスの安全性が確保される。
【0115】
本出願の実施形態は、モノのインターネットデバイスのためのID認証システムをさらに提供する。ID認証システムは、ID認証プラットフォームと、モノのインターネットデバイスと、モノのインターネットサービスプラットフォームとを含み得る。ID認証プラットフォームは、図5に示す記録検証装置と、図6に示すID認証装置とを含む。ID認証システムでは、IoTデバイスがIoTサービスプラットフォームへのIoTサービス要求を開始した後、IoTサービスプラットフォームはサービス要求内の許可コードをID認証プラットフォームに送信する。ID認証プラットフォーム内のID認証装置は、許可コードを検証してIoTデバイスのIDが正当であるか否かを検証し、正当である場合、検証結果をIoTサービスプラットフォームに通知して、IoTサービスプラットフォームがIoTサービスをIoTデバイスに提供するようにする。そのため、既存の技術と比較して、本実施形態は許可コードを使用してIoTデバイスのID認証を実現し、許可コードは、信頼可能実行環境により記録されたデバイス秘密鍵と、ID認証装置により生成された乱数とに基づいてIoTデバイスにより生成される。そのため、悪意を持って複製される可能性が大幅に減少し、それによってIoTデバイスのID認証の安全性、及びIoTサービスの安全性が向上する。
【0116】
本明細書における様々な実施形態は漸進的に説明しており、各実施形態は他の実施形態とは異なる側面に重点を置いていることに留意されたい。実施形態間で同一または類似の部分は互いに参照される。装置の実施形態の説明は、方法の実施形態と基本的に類似しているので比較的単純であり、関連部分については方法の実施形態の説明を参照することができる。
【0117】
最後に、本文中の第1及び第2などの関係用語は、単に1つのエンティティまたは操作を他のエンティティまたは操作から区別するために使用されており、必ずしもこれらのエンティティまたは操作の間にそのような種類の関係または順序の存在を要求または暗示するものではないことにも留意されたい。さらに、「含む(including)」もしくは「含む(containing)」という用語、またはそれらの他の任意の変形は、一連の要素を含むプロセス、方法、物品、またはデバイスが、それらの要素だけでなく、明示的にリストされていない他の要素、またはそのようなプロセス、方法、物品、またはデバイスに固有の要素も含むような、非排他的な包含もカバーするものとする。さらなる制限がなければ、「~を含む(comprising a ...)」という句によって定義される要素は、その要素を含むプロセス、方法、物品、またはデバイスにおける他の均等な要素の存在を排除するものではない。
【0118】
本出願によって提供されるモノのインターネットデバイスの記録及びID認証のための方法及び装置を上記で詳細に説明している。本文書では具体例を使用して、本出願の原理及び実施方式を例示している。前述の実施形態の説明は、本出願の方法及びその核心となる思想を理解しやすくするためのものにすぎない。さらに、当業者にとっては、本出願の思想に基づいて、特定の実装方式及び適用範囲に変更があるであろう。要約すると、本明細書の内容は本出願を限定するものとして解釈されるべきではない。
図1
図2
図3
図4
図5
図6
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.