知財求人 - 知財ポータルサイト「IP Force」
▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧
特許7556543通信装置、機器、通信システム、プロビジョニング方法、及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-09-17
(45)【発行日】2024-09-26
(54)【発明の名称】通信装置、機器、通信システム、プロビジョニング方法、及びプログラム
(51)【国際特許分類】
H04W 4/50 20180101AFI20240918BHJP
G06F 21/44 20130101ALI20240918BHJP
H04W 12/06 20210101ALI20240918BHJP
H04W 12/48 20210101ALI20240918BHJP
H04W 76/10 20180101ALI20240918BHJP
【FI】
H04W4/50
G06F21/44
H04W12/06
H04W12/48
H04W76/10
【請求項の数】
9
(21)【出願番号】P 2021017629
(22)【出願日】2021-02-05
(65)【公開番号】P2022120617
(43)【公開日】2022-08-18
【審査請求日】2023-07-13
(73)【特許権者】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(72)【発明者】
【氏名】腰原 誠
(72)【発明者】
【氏名】内山 貴允
【審査官】岡本 正紀
(56)【参考文献】
【文献】米国特許出願公開第2012/0276872(US,A1)
【文献】特表2015-522976(JP,A)
【文献】特開2006-134171(JP,A)
【文献】欧州特許出願公開第03267699(EP,A1)
【文献】特開2015-154445(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24- 7/26
H04W 4/00-99/00
G06F 21/44
(57)【特許請求の範囲】
【請求項1】
SIMを備える通信装置であって、前記通信装置による機器との接続を検知する機器情報取得部と、
前記接続の検知の後に、管理システムにプロビジョニング情報要求を送信し、前記管理システムからプロビジョニング情報を受信する通信制御部と、
前記プロビジョニング情報を用いたプロビジョニングを実行する前記SIM上のプロビジョニング制御部とを備え、
前記通信制御部は、前記SIMから取得した認証情報と、前記機器情報取得部により前記機器から取得した機器固有情報とから生成された認証キーを前記管理システムに送信することにより、前記機器と前記通信装置に対する認証を要求する
通信装置。
【請求項2】
前記SIMは、モバイル網オペレータの回線を利用するために使用されるプロファイルを格納するためのプロファイル領域と、
前記プロビジョニング情報を格納するためのアプリケーション領域と、を備え、
前記プロファイル領域と前記アプリケーション領域とが分離されている
請求項1に記載の通信装置。
【請求項3】
SIMを備える機器であって、管理システムにプロビジョニング情報要求を送信し、前記管理システムからプロビジョニング情報を受信する通信制御部と、
前記プロビジョニング情報を用いたプロビジョニングを実行する前記SIM上のプロビジョニング制御部とを備え、
前記通信制御部は、前記SIMから取得した認証情報と、前記機器から取得した機器固有情報とから生成された認証キーを前記管理システムに送信することにより、前記機器に対する認証を要求する
機器。
【請求項4】
機器と、SIMを備える通信装置と、管理システムとを備える通信システムであって、前記通信装置が機器との接続を検知した後に、前記通信装置が管理システムにプロビジョニング情報要求を送信し、
前記プロビジョニング情報要求を受信した前記管理システムが、プロビジョニング情報を前記通信装置に送信し、
前記管理システムからプロビジョニング情報を受信した前記通信装置において、前記SIM上のプロビジョニング制御部が、前記プロビジョニング情報を用いたプロビジョニングを実行する通信システムであり、
前記通信装置は、前記SIMから取得した認証情報と、前記機器から取得した機器固有情報とから生成された認証キーを前記管理システムに送信することにより、前記機器と前記通信装置に対する認証を要求する
通信システム。
【請求項5】
SIMを備える機器と、管理システムとを備える通信システムであって、前記機器が、管理システムにプロビジョニング情報要求を送信し、
前記プロビジョニング情報要求を受信した前記管理システムが、プロビジョニング情報を前記機器に送信し、
前記管理システムからプロビジョニング情報を受信した前記機器において、前記SIM上のプロビジョニング制御部が、前記プロビジョニング情報を用いたプロビジョニングを実行する通信システムであり、
前記機器は、前記SIMから取得した認証情報と、前記機器から取得した機器固有情報とから生成された認証キーを前記管理システムに送信することにより、前記機器に対する認証を要求する
通信システム。
【請求項6】
SIMを備える通信装置が実行するプロビジョニング方法であって、前記通信装置が機器との接続を検知した後に、管理システムにプロビジョニング情報要求を送信し、前記管理システムからプロビジョニング情報を受信するステップと、
前記SIM上のプロビジョニング制御部が、前記プロビジョニング情報を用いたプロビジョニングを実行するステップとを備え、
前記通信装置は、前記SIMから取得した認証情報と、前記機器から取得した機器固有情報とから生成された認証キーを前記管理システムに送信することにより、前記機器と前記通信装置に対する認証を要求する
プロビジョニング方法。
【請求項7】
SIMを備える機器が実行するプロビジョニング方法であって、管理システムにプロビジョニング情報要求を送信し、前記管理システムからプロビジョニング情報を受信するステップと、
前記SIM上のプロビジョニング制御部が、前記プロビジョニング情報を用いたプロビジョニングを実行するステップとを備え、
前記機器は、前記SIMから取得した認証情報と、前記機器から取得した機器固有情報とから生成された認証キーを前記管理システムに送信することにより、前記機器に対する認証を要求する
プロビジョニング方法。
【請求項8】
コンピュータを、請求項1又は2に記載の前記通信装置における各部として機能させるためのプログラム。
【請求項9】
コンピュータを、請求項3に記載の前記機器における各部として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、非IoT(Internet of Things)機器をIoT化する技術に関連するものである。
【背景技術】
【0002】
昨今のIoTの普及により初めからIoT機器として製品化されている機器を用いたサービスが数多く存在している。なお、IoT機器とは、ネットワークに接続して、外部と情報をやりとりできる機器である。
【0003】
一方で、工作機械などIoTが普及する前から今もなお使用されている非IoT機器も数多く存在している。
【0004】
このような非IoT機器をIoT化するために、モバイル網や無線LANなどのネットワーク機能を持つ外付けデバイスを非IoT機器に接続することでデータ収集等を実現しているケースがある。
【0005】
ネットワーク機能を持つ外付けデバイスの中には、SIM(Subscriber Identity Module)を内部に組み込んだデバイスもあり、よりセキュアなネットワーク構築が可能となっている。
【先行技術文献】
【特許文献】
【0006】
【文献】特開2014-164565号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
IoT機器は、IoT機器内のデータをデータ収集システムにアップロードする用途に使用される場合が多い。
【0008】
IoT機器がデータ収集システムへデータをアップロードできるようにするためには、IoT機器に初期設定情報の登録などのプロビジョニングが必要となる。しかし、大量に増えていくIoT機器1つ1つへのプロビジョニング作業は膨大な作業量となる。
【0009】
本発明は上記の点に鑑みてなされたものであり、IoT機器へのプロビジョニングを自動的に行うことを可能とする技術を提供することを目的とする。
【課題を解決するための手段】
【0010】
開示の技術によれば、SIMを備える通信装置であって、
前記通信装置による機器との接続を検知する機器情報取得部と、
前記接続の検知の後に、管理システムにプロビジョニング情報要求を送信し、前記管理システムからプロビジョニング情報を受信する通信制御部と、
前記プロビジョニング情報を用いたプロビジョニングを実行する前記SIM上のプロビジョニング制御部とを備え、
前記通信制御部は、前記SIMから取得した認証情報と、前記機器情報取得部により前記機器から取得した機器固有情報とから生成された認証キーを前記管理システムに送信することにより、前記機器と前記通信装置に対する認証を要求する
通信装置が提供される。
前記通信装置による機器との接続を検知する機器情報取得部と、
前記接続の検知の後に、管理システムにプロビジョニング情報要求を送信し、前記管理システムからプロビジョニング情報を受信する通信制御部と、
前記プロビジョニング情報を用いたプロビジョニングを実行する前記SIM上のプロビジョニング制御部とを備え、
前記通信制御部は、前記SIMから取得した認証情報と、前記機器情報取得部により前記機器から取得した機器固有情報とから生成された認証キーを前記管理システムに送信することにより、前記機器と前記通信装置に対する認証を要求する
通信装置が提供される。
【発明の効果】
【0011】
開示の技術によれば、IoT機器へのプロビジョニングを自動的に行うことが可能となる。
【図面の簡単な説明】
【0012】
【図1】実施例1における通信システムの構成図である。
【図2】実施例1におけるシーケンス図である。
【図3】実施例2における通信システムの構成図である。
【図4】実施例2におけるシーケンス図である。
【図5】SIMの構成の概要を示す図である。
【図6】プロファイル切替の概念を示す図である。
【図7】SIMのハードウェア構成例を示す図である。
【図8】装置のハードウェア構成図である。
【発明を実施するための形態】
【0013】
以下、図面を参照して本発明の実施の形態(本実施の形態)を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
【0014】
(実施の形態の概要)
本実施の形態では、非IoT機器をIoT化するために、非IoT機器に接続して使用する通信装置に搭載されるSIMとして、SIMアプレット領域に自動プロビジョニングを実行するプログラム(アプリケーション)を搭載したSIMを使用する。
本実施の形態では、非IoT機器をIoT化するために、非IoT機器に接続して使用する通信装置に搭載されるSIMとして、SIMアプレット領域に自動プロビジョニングを実行するプログラム(アプリケーション)を搭載したSIMを使用する。
【0015】
このようなSIMを備えた装置を使用することで、プロビジョニング情報を持つシステムに接続し、プロビジョニング情報をダウンロード及び登録するまでの手順を自動で行うことを可能としている。
【0016】
また、本実施の形態では、認証処理の一例として、通信装置に備えられたSIMによるSIM認証に加えて、通信装置が接続している機器の情報を用いた機器認証を行うこととしている。
【0017】
機器認証に使用する情報は、機器固有の情報であればどのような情報でもよい。本実施の形態では、例として、「機器固有ID」、「機器ソフトウェアのハッシュ値」、及び「機器固有の振る舞い」を使用している。
【0018】
上記のように、本実施の形態では、SIM認証+機器認証の認証方式を用いることとしたので、SIM入り外付けデバイス等の通信装置が悪意のある機器に接続されることによるデータの不正取得等を防ぐことができる。
【0019】
なお、本実施の形態において機器認証に使用する情報である「機器固有ID」、「機器ソフトウェアのハッシュ値」、及び「機器固有の振る舞い」については、これらのうちいずれか1つのみを使用してもよいし、いずれか2つのみを使用してもよいし、3つ全部を使用してもよい。これらを総称して機器固有情報と呼ぶ。
【0020】
例えば、SIM認証+機器固有IDのように1種類の機器認証を用いることとしてもよいし、SIM認証+機器固有ID+機器ソフトウェアのハッシュ値のように、2種類の機器認証を用いることとしてもよい。
【0021】
また、「SIM認証+機器認証」はプログラムにより実行されるが、当該プログラムはSIMアプレットとしてSIMに搭載されてもよいし、外付けデバイスである通信装置(SIM以外)に搭載されてもよいし、機器自体に搭載されてもよい。
【0022】
以下、本実施の形態における具体的な構成及び動作の例として、実施例1~3を説明する。
【0023】
(実施例1)
図1は、実施例1における通信システムの構成図である。図1に示すように、実施例1における通信システムは、機器100、通信装置200、管理システム300、認証システム400を備える。通信装置200、管理システム300、認証システム400は、ネットワークを介して、図示するように他の装置と通信可能である。
図1は、実施例1における通信システムの構成図である。図1に示すように、実施例1における通信システムは、機器100、通信装置200、管理システム300、認証システム400を備える。通信装置200、管理システム300、認証システム400は、ネットワークを介して、図示するように他の装置と通信可能である。
【0024】
機器100は、非IoT機器である。一例として、工作機械などが機器100として使用される。
【0025】
通信装置200は、SIM入り外付けデバイスであり、機器100に接続して使用される。通信装置200を「ドングル」と呼んでもよい。通信装置200は小型のものを想定しているが、小型のものに限定されるわけではなく、例えばPC等であってもよい。
【0026】
図1に示すとおり、通信装置200は、機器情報取得部201、通信制御部202、認証制御部203、SIM204を有する。また、SIM204は、プロビジョニング制御部205を有する。プロビジョニング制御部205はプロビジョニングを行うためのプログラム(アプレット)である。SIM204はプロセッサ(CPU)を有しており、SIM204自身でプログラムを実行可能である。各部の処理動作については、後述するシーケンスの説明において説明される。
【0027】
管理システム300は、プロビジョニング情報を格納しており、要求に基づいて、要求元へプロビジョニング情報を提供する機能を有している。また、管理システム300は、認証システム400を用いた認証処理を行う機能も有している。認証システム400は、認証を行うシステムである。
【0028】
上記の構成を備える実施例1に係る通信システムの動作例を図2のシーケンスを参照して説明する。
【0029】
通信装置200を機器100に接続し、通信装置200への給電が開始されたタイミング、又は通信装置200の電源がONかつ通信装置200が機器100に接続されたタイミングで、SIM認証+機器認証の処理が開始される。
【0030】
通信装置200に搭載された機器情報取得部201が、通信装置200による機器100との接続を検知した後、S101において、機器情報取得部201が、機器100の機器固有情報を取得し、S103において、認証制御部203からの要求に基づいて取得結果を渡す。機器固有情報は、「機器固有ID」、「機器ソフトウェアのハッシュ値」、「機器固有の振る舞い」のいずれか、又は複数である。
【0031】
なお、「機器固有の振る舞い」とは、機器固有の振る舞いを表す情報であればどのような情報でもよく、特定の情報に限られない。例えば、「機器固有の振る舞い」が、使用電力の変動情報(周期、大きさ等)であってもよいし、機器100に接続されるセンサから得られた値の統計量(平均値、中央値等)等であってもよいし、その他の情報であってもよい。
【0032】
認証制御部203は、通信装置200のアプリケーション領域又はSIMアプレット上に搭載されるプログラムであるが、実施例1では、一例として、認証制御部203は、通信装置200のアプリケーション領域に搭載されている。
【0033】
認証制御部203は、S102において、SIM204にSIM情報を要求し、当該SIM情報を取得する。SIM情報は、IMSI(International Mobile Subscriber Identity)及び認証鍵からなる情報である。SIM情報を認証情報と呼んでもよい。
【0034】
認証制御部203は、SIM情報(IMSI及び認証鍵)を取得後に、SIM情報と機器固有情報とから認証キーを生成する。認証制御部203は、機器固有情報とSIM情報とをそのまま認証キーとしてもよいし、機器固有情報とSIM情報から新たな情報を生成し、それを認証キーとしてもよい。
【0035】
認証制御部203は、認証キー生成後、S104において、通信制御部202に認証キーを送信する。
【0036】
認証キーを受け取った通信制御部202は、S105において、管理システム300へプロビジョニング情報要求を送信する。プロビジョニング情報要求には、前述した認証キーを有する認証要求が付加されている。
【0037】
プロビジョニング情報要求・認証要求を受信した管理システム300は、S106において、認証キーを用いて、認証システム400へ通信装置200の認証要求を行う。
【0038】
認証要求を受信した認証システム400は、システム内に保持する認証情報と認証要求に付随する認証キーとを照会し、認証の成功/失敗を判断し、管理システム300に対して認証応答を送信する。ここでは、認証システム400は、システム内に保持する認証情報と認証要求に付随する認証キーとが合致する場合に、認証成功であると判断する。
【0039】
なお、認証システム400は、モバイル網の加入者管理装置を用いて、SIM情報のみに基づく認証を追加で行って、認証キーとSIM情報の両方について認証成功した場合にのみ認証成功であると判断してもよい。
【0040】
認証システム400から認証応答(ここでは認証成功したものとする)を受信した管理システム300は、S107において、通信装置200から受信したプロビジョニング情報要求に対して、管理システム300に登録されているプロビジョニング情報を、認証応答とともに通信装置200に送信する。
【0041】
管理システム300から通信装置200に送信されるプロビジョニング情報には、例えば、機器100の情報のアップロード先を示すアドレス情報、センサ情報等が含まれる。センサ情報とは、例えば、機器100に接続されている複数センサのうち、アップロード対象とする1以上のセンサを指定する情報である。
【0042】
管理システム300からプロビジョニング情報応答を受信した通信装置200の通信制御部202は、S108において、SIMアプレット上のプロビジョニング制御部205にプロビジョニング情報を送信する。プロビジョニング制御部205は、受信したプロビジョニング情報を用いて通信装置200の初期設定を行う。初期設定において、例えば、SIM204のアプレット領域(例:機器100の情報をアップロードするアプリケーションを格納するアプレット領域)にプロビジョニング情報(例:機器100の情報のアップロード先のアドレス)を格納する。また、初期設定において、S109に示すように、機器100側のプロビジョニングを行ってもよい。例えば、S109において、センサ情報が機器100に設定されてもよい。
【0043】
なお、プロビジョニング制御部205は、SIM204上ではなく、通信装置200のアプリケーション領域に備えられてもよい。また、認証制御部203が、SIM204上のアプレットとして備えられてもよい。
【0044】
上記の例では、プロビジョニング情報要求と認証要求の送信を同時に行っているが、これは一例である。最初に、認証要求を送信し、認証成功の認証結果を得てから、プロビジョニング情報要求を送信してもよい。
【0045】
(実施例2)
次に、実施例2を説明する。図3は、実施例2における通信システムの構成図である。図3と図1(実施例1)を比較してわかるように、実施例2においては、外付けのSIM入りデバイスである通信装置200を使用せず、その代わりに、通信装置200内の機能が機器100に備えられる。つまり、実施例2では、機器100そのものにプロビジョニング制御機能、及びSIM認証+機器認証の機能を備えることとしている。
次に、実施例2を説明する。図3は、実施例2における通信システムの構成図である。図3と図1(実施例1)を比較してわかるように、実施例2においては、外付けのSIM入りデバイスである通信装置200を使用せず、その代わりに、通信装置200内の機能が機器100に備えられる。つまり、実施例2では、機器100そのものにプロビジョニング制御機能、及びSIM認証+機器認証の機能を備えることとしている。
【0046】
具体的には、図3に示すとおり、実施例2の機器100は、機器制御部101、機器情報取得部102、通信制御部103、認証制御部104、SIM105、機器情報記録部107を有する。機器情報記録部107には、認証に使用する機器固有情報等が格納されている。また、SIM105は、プロビジョニング制御部106を有する。
【0047】
機器情報取得部102、通信制御部103、認証制御部104、SIM105のそれぞれの機能は、通信装置200内の機器情報取得部201、通信制御部202、認証制御部203、SIM204と同じである。ただし、実施例2では、機器情報記録部107から機器固有情報を取得する。
【0048】
図4に、実施例2におけるシーケンスを示す。実施例2では、機器100の電源ONのタイミングでSIM認証+機器認証の処理を開始する。ただし、これは例であり、その他のタイミングでSIM認証+機器認証の処理を開始することとしてもよい。
【0049】
機器固有情報を機器100内の機器情報記録部107から取得すること以外は、実施例2におけるシーケンスに係る処理動作は、実施例1におけるシーケンス(図2)に係る処理動作と同じである。
【0050】
実施例2において、実施例1と同様に、管理システム300からプロビジョニング情報応答を受信した機器100の通信制御部103は、S208において、SIMアプレット上のプロビジョニング制御部106にプロビジョニング情報を送信する。プロビジョニング制御部106は、受信したプロビジョニング情報を用いて機器100の初期設定を行う。初期設定において、例えば、SIM105のアプレット(例:機器100の情報をアップロードするアプレット)に対して、機器100の情報のアップロード先のアドレスを設定する。また、初期設定において、例えば、S209において、センサ情報が機器制御部101に設定されてもよい。
【0051】
なお、プロビジョニング制御部106は、SIM205上ではなく、機器100のアプリケーション領域に備えられてもよい。また、認証制御部104が、SIM105上のアプレットとして備えられてもよい。
【0052】
上記の例では、プロビジョニング情報要求と認証要求の送信を同時に行っているが、これは一例である。最初に、認証要求を送信し、認証成功の認証結果を得てから、プロビジョニング情報要求を送信してもよい。
【0053】
(実施例3)
次に、実施例3を説明する。実施例3は、実施例1に適用してもよいし、実施例2に適用してもよい。以下では一例として、実施例1の通信装置200におけるSIM204において実施例3の技術が適用される場合について説明する。
次に、実施例3を説明する。実施例3は、実施例1に適用してもよいし、実施例2に適用してもよい。以下では一例として、実施例1の通信装置200におけるSIM204において実施例3の技術が適用される場合について説明する。
【0054】
<概要>
近年では、遠隔からネットワーク経由でSIMにプロファイルを書き込んだり、プロファイルを変更したりすることが可能になっている。プロファイルをネットワークから書き込むための仕組みはRSP(Remote SIM Provisioning)と呼ばれる。RSPを利用してネットワーク経由でプロファイルを書き込むことが可能なSIMはeSIMと呼ばれるが、本明細書では、「SIM」はeSIMを含むものとする。
近年では、遠隔からネットワーク経由でSIMにプロファイルを書き込んだり、プロファイルを変更したりすることが可能になっている。プロファイルをネットワークから書き込むための仕組みはRSP(Remote SIM Provisioning)と呼ばれる。RSPを利用してネットワーク経由でプロファイルを書き込むことが可能なSIMはeSIMと呼ばれるが、本明細書では、「SIM」はeSIMを含むものとする。
【0055】
しかしながら、従来技術では、プロファイルに紐付けられる形でアプレットがSIMに格納されるため、enable状態のプロファイルを、あるプロファイルから別のプロファイルに切り替えると、切り替え前のプロファイルに紐づいたアプレットが使用できなくなってしまう。
【0056】
そのため、従来のSIMを用いて、SIMのアプレットにプロビジョニングを行う場合において、プロファイルが切り替わると、その前に使用していたアプレットを使用できなくなるため、再度のプロビジョニングが必要になる。
【0057】
一方、実施例3では、以下で説明するように、SIMにおいて、プロファイル領域とアプレット領域とを分けることとしているので、自動プロビジョニングにより登録された情報をプロファイルが変わっても維持し続けることが可能となる。
【0058】
<SIM204の概要構成>
図5は、実施例3におけるSIM204の概要構成を示す図である。図5に示すように、SIM204は、アプレットを格納するためのアプレット領域214と、プロファイルを格納するためのプロファイル領域224を有している。また、アプレット領域214とプロファイル領域224は分離されている。
図5は、実施例3におけるSIM204の概要構成を示す図である。図5に示すように、SIM204は、アプレットを格納するためのアプレット領域214と、プロファイルを格納するためのプロファイル領域224を有している。また、アプレット領域214とプロファイル領域224は分離されている。
【0059】
プロファイル領域224にアクセスできるのは、例えば、SIM発行権を有するモバイル網オペレータのみである。当該モバイル網オペレータは、プロファイル領域224にアクセスするための鍵を有しており、その鍵を用いて、プロファイル領域にアクセスして、プロファイルの書き込み等を行うことができる。
【0060】
アプレット領域214にアクセスするための鍵は、プロファイル領域224にアクセスするための鍵とは異なる鍵であり、SIM発行権を有する者以外の者(例えば、アプレットを開発するサードパーティ)に提供可能である。
【0061】
以降、プロファイル領域にアクセスするための鍵をプロファイル領域鍵と呼び、アプレット領域にアクセスするための鍵をアプレット領域鍵と呼ぶ。
【0062】
アプレット領域鍵は、SIM毎に異なっている。つまり、あるSIMのアプレット領域鍵を用いて、別のSIMのアプレット領域にアクセスすることはできない。
【0063】
また、SIM204には、複数のアプレット領域を設けてもよく、SIM204内の複数のアプレット領域それぞれに個別の異なるアプレット領域鍵が提供されてもよいし、複数のアプレット領域に共通に使用できるアプレット領域鍵が提供されてもよい。
【0064】
実施例3では、アプレットを開発するサードパーティ等が、プロファイル領域鍵と異なるアプレット領域鍵を持つことができるので、アプレットを開発するサードパーティ等が自由にアプレットの開発、SIM204へのインストール、テスト、商用実装を行うことが可能である。
【0065】
<プロファイルの切り替えについて>
SIM204に格納されるプロファイルは、モバイル網オペレータの網に接続するための情報(例:MSISDN、IMSI)からなり、接続するモバイル網オペレータ毎に異なるプロファイルを使用する。SIM204に複数のプロファイルが格納されている場合において、その中から1つのプロファイルがenable状態のプロファイルになり、その他のプロファイルは、disable状態のプロファイルになる。
SIM204に格納されるプロファイルは、モバイル網オペレータの網に接続するための情報(例:MSISDN、IMSI)からなり、接続するモバイル網オペレータ毎に異なるプロファイルを使用する。SIM204に複数のプロファイルが格納されている場合において、その中から1つのプロファイルがenable状態のプロファイルになり、その他のプロファイルは、disable状態のプロファイルになる。
【0066】
enable状態のプロファイルは、通信装置200から認識され、それを用いて通信が行われる。disable状態のプロファイルは、通信装置200から認識されない。
【0067】
図6に示すように、例えば、SIM204に、モバイル網オペレータ1のプロファイル1と、モバイル網オペレータ2のプロファイル2が格納されている場合において、通信装置200がモバイル網オペレータ1の網で通信を行う場合にはプロファイル1をenableとし、通信装置200がモバイル網オペレータ2の網で通信を行う場合にはプロファイル2をenableとする。
【0068】
実施例3のSIM204では、図5に示したように、アプレット領域110とプロファイル領域120を分離し、アプレットはプロファイルに依存しないようにしている。そのため、例えば、アプレット1を使用した通信から、アプレット2を使用した通信に切り替えがあったとしても、アプレットAを継続して使用することができる。
【0069】
【0070】
CPU254は、メモリ274に格納されたプログラムを読み出し、その命令に従って処理を行うプロセッサである。当該プログラムには、OS、アプレット実行環境、アプレット、認証処理のためのプログラム、通信処理のためのプログラム、プロファイルenabler等が含まれる。入出力部264は、通信装置200とのインタフェースである。
【0071】
メモリ274には、プロファイル等のデータ、アプレット、及び、アプレット以外のプログラム等が格納されている。
【0072】
本実施の形態におけるアプレットを格納するアプレット領域と、プロファイルを格納するプロファイル領域は、例えばメモリ274(格納部)により実現される。アプレット領域とプロファイル領域の分離は、メモリ274内の領域を物理的に分けることで実現してもよいし、複数のメモリ(アプレット領域用のメモリとプロファイル領域用のメモリ)を用いて実現してもよい。また、これら以外の方法でアプレット領域とプロファイル領域の分離を実現してもよい。
【0073】
(装置のハードウェア構成例)
実施例1~実施例3を用いて説明した本実施の形態における機器100、通信装置200、管理システム300、認証システム400(これらを総称して「装置」と呼ぶ)はいずれも、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。なお、機器100については、本実施の形態に係る処理を実行する部分が、コンピュータとプログラムで実現可能であることを想定している。
実施例1~実施例3を用いて説明した本実施の形態における機器100、通信装置200、管理システム300、認証システム400(これらを総称して「装置」と呼ぶ)はいずれも、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。なお、機器100については、本実施の形態に係る処理を実行する部分が、コンピュータとプログラムで実現可能であることを想定している。
【0074】
この「コンピュータ」は、物理マシンであってもよいし、クラウド上の仮想マシンであってもよい。仮想マシンを使用する場合、ここで説明する「ハードウェア」は仮想的なハードウェアである。
【0075】
上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。
【0076】
図8は、上記コンピュータのハードウェア構成例を示す図である。図8のコンピュータは、それぞれバスBで相互に接続されているドライブ装置1000、補助記憶装置1002、メモリ装置1003、CPU1004、インタフェース装置1005、表示装置1006、入力装置1007、出力装置1008等を有する。また、図8に示すSIM1009は、通信装置200に備えられる。また、装置にSIM1009が備えられる場合もある。
【0077】
なお、装置によっては、ドライブ装置1000、表示装置1006、入力装置1007、出力装置1008のうちの1つ又は複数又は全部を備えないこととしてもよい。
【0078】
当該コンピュータでの処理を実現するプログラムは、例えば、CD-ROM又はメモリカード等の記録媒体1001によって提供される。プログラムを記憶した記録媒体1001がドライブ装置1000にセットされると、プログラムが記録媒体1001からドライブ装置1000を介して補助記憶装置1002にインストールされる。但し、プログラムのインストールは必ずしも記録媒体1001より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置1002は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
【0079】
メモリ装置1003は、プログラムの起動指示があった場合に、補助記憶装置1002からプログラムを読み出して格納する。CPU1004は、メモリ装置1003に格納されたプログラムに従って、当該装置に係る機能を実現する。なお、SIM1009のアプレット(プログラム)を使用する場合において、SIM1009に内蔵されるCPUが当該プログラムを実行することとしてもよい。
【0080】
インタフェース装置1005は、ネットワークに接続するためのインタフェースとして用いられる。表示装置1006はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置1007はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置1008は演算結果を出力する。
【0081】
(実施の形態の効果等)
以上説明した本実施の形態に係る技術により、安全にサーバやクラウドと通信が出来ることで、IoT機器1つ1つに適切なプロビジョニングを登録することができる。
以上説明した本実施の形態に係る技術により、安全にサーバやクラウドと通信が出来ることで、IoT機器1つ1つに適切なプロビジョニングを登録することができる。
【0082】
すななち、予めサーバに登録されたプロビジョニング情報をサーバやクラウドからIoT機器に送信し、IoT機器は受信したプロビジョニング情報を登録することが可能となり、自動プロビジョニングを実現することができる。自動プロビジョニングにより、IoT機器1つ1つへのプロビジョニング作業は不要となる。
【0083】
また、SIM認証+機器認証の採用により、通信に特化したプロビジョニング情報の登録の他に、機器に特化したプロビジョニング情報を自動登録することも可能である。
【0084】
(実施の形態のまとめ)
本明細書には、少なくとも下記の各項に記載した通信装置、機器、通信システム、プロビジョニング方法、及びプログラムが記載されている。
(第1項)
SIMを備える通信装置であって、
前記通信装置による機器との接続を検知する機器情報取得部と、
前記接続の検知の後に、管理システムにプロビジョニング情報要求を送信し、前記管理システムからプロビジョニング情報を受信する通信制御部と、
前記プロビジョニング情報を用いたプロビジョニングを実行する前記SIM上のプロビジョニング制御部と
を備える通信装置。
(第2項)
前記通信制御部は、前記SIMから取得した認証情報と、前記機器情報取得部により前記機器から取得した機器固有情報とから生成された認証キーを前記管理システムに送信することにより、前記機器と前記通信装置に対する認証を要求する
第1項に記載の通信装置。
(第3項)
前記SIMは、
モバイル網オペレータの回線を利用するために使用されるプロファイルを格納するためのプロファイル領域と、
前記プロビジョニング情報を格納するためのアプリケーション領域と、を備え、
前記プロファイル領域と前記アプリケーション領域とが分離されている
第1項又は第2項に記載の通信装置。
(第4項)
SIMを備える機器であって、
管理システムにプロビジョニング情報要求を送信し、前記管理システムからプロビジョニング情報を受信する通信制御部と、
前記プロビジョニング情報を用いたプロビジョニングを実行する前記SIM上のプロビジョニング制御部と
を備える機器。
(第5項)
機器と、SIMを備える通信装置と、管理システムとを備える通信システムであって、
前記通信装置が機器との接続を検知した後に、前記通信装置が管理システムにプロビジョニング情報要求を送信し、
前記プロビジョニング情報要求を受信した前記管理システムが、プロビジョニング情報を前記通信装置に送信し、
前記管理システムからプロビジョニング情報を受信した前記通信装置において、前記SIM上のプロビジョニング制御部が、前記プロビジョニング情報を用いたプロビジョニングを実行する
通信システム。
(第6項)
SIMを備える機器と、管理システムとを備える通信システムであって、
前記機器が、管理システムにプロビジョニング情報要求を送信し、
前記プロビジョニング情報要求を受信した前記管理システムが、プロビジョニング情報を前記機器に送信し、
前記管理システムからプロビジョニング情報を受信した前記機器において、前記SIM上のプロビジョニング制御部が、前記プロビジョニング情報を用いたプロビジョニングを実行する
通信システム。
(第7項)
SIMを備える通信装置が実行するプロビジョニング方法であって、
前記通信装置が機器との接続を検知した後に、管理システムにプロビジョニング情報要求を送信し、前記管理システムからプロビジョニング情報を受信するステップと、
前記SIM上のプロビジョニング制御部が、前記プロビジョニング情報を用いたプロビジョニングを実行するステップと
を備えるプロビジョニング方法。
(第8項)
SIMを備える機器が実行するプロビジョニング方法であって、
管理システムにプロビジョニング情報要求を送信し、前記管理システムからプロビジョニング情報を受信するステップと、
前記SIM上のプロビジョニング制御部が、前記プロビジョニング情報を用いたプロビジョニングを実行するステップと
を備えるプロビジョニング方法。
(第9項)
コンピュータを、第1項ないし第3項のうちいずれか1項に記載の前記通信装置における各部として機能させるためのプログラム。
(第10項)
コンピュータを、第4項に記載の前記機器における各部として機能させるためのプログラム。
本明細書には、少なくとも下記の各項に記載した通信装置、機器、通信システム、プロビジョニング方法、及びプログラムが記載されている。
(第1項)
SIMを備える通信装置であって、
前記通信装置による機器との接続を検知する機器情報取得部と、
前記接続の検知の後に、管理システムにプロビジョニング情報要求を送信し、前記管理システムからプロビジョニング情報を受信する通信制御部と、
前記プロビジョニング情報を用いたプロビジョニングを実行する前記SIM上のプロビジョニング制御部と
を備える通信装置。
(第2項)
前記通信制御部は、前記SIMから取得した認証情報と、前記機器情報取得部により前記機器から取得した機器固有情報とから生成された認証キーを前記管理システムに送信することにより、前記機器と前記通信装置に対する認証を要求する
第1項に記載の通信装置。
(第3項)
前記SIMは、
モバイル網オペレータの回線を利用するために使用されるプロファイルを格納するためのプロファイル領域と、
前記プロビジョニング情報を格納するためのアプリケーション領域と、を備え、
前記プロファイル領域と前記アプリケーション領域とが分離されている
第1項又は第2項に記載の通信装置。
(第4項)
SIMを備える機器であって、
管理システムにプロビジョニング情報要求を送信し、前記管理システムからプロビジョニング情報を受信する通信制御部と、
前記プロビジョニング情報を用いたプロビジョニングを実行する前記SIM上のプロビジョニング制御部と
を備える機器。
(第5項)
機器と、SIMを備える通信装置と、管理システムとを備える通信システムであって、
前記通信装置が機器との接続を検知した後に、前記通信装置が管理システムにプロビジョニング情報要求を送信し、
前記プロビジョニング情報要求を受信した前記管理システムが、プロビジョニング情報を前記通信装置に送信し、
前記管理システムからプロビジョニング情報を受信した前記通信装置において、前記SIM上のプロビジョニング制御部が、前記プロビジョニング情報を用いたプロビジョニングを実行する
通信システム。
(第6項)
SIMを備える機器と、管理システムとを備える通信システムであって、
前記機器が、管理システムにプロビジョニング情報要求を送信し、
前記プロビジョニング情報要求を受信した前記管理システムが、プロビジョニング情報を前記機器に送信し、
前記管理システムからプロビジョニング情報を受信した前記機器において、前記SIM上のプロビジョニング制御部が、前記プロビジョニング情報を用いたプロビジョニングを実行する
通信システム。
(第7項)
SIMを備える通信装置が実行するプロビジョニング方法であって、
前記通信装置が機器との接続を検知した後に、管理システムにプロビジョニング情報要求を送信し、前記管理システムからプロビジョニング情報を受信するステップと、
前記SIM上のプロビジョニング制御部が、前記プロビジョニング情報を用いたプロビジョニングを実行するステップと
を備えるプロビジョニング方法。
(第8項)
SIMを備える機器が実行するプロビジョニング方法であって、
管理システムにプロビジョニング情報要求を送信し、前記管理システムからプロビジョニング情報を受信するステップと、
前記SIM上のプロビジョニング制御部が、前記プロビジョニング情報を用いたプロビジョニングを実行するステップと
を備えるプロビジョニング方法。
(第9項)
コンピュータを、第1項ないし第3項のうちいずれか1項に記載の前記通信装置における各部として機能させるためのプログラム。
(第10項)
コンピュータを、第4項に記載の前記機器における各部として機能させるためのプログラム。
【0085】
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【符号の説明】
【0086】
100 機器
101 機器制御部
102 機器情報取得部
103 通信制御部
104 認証制御部
105 SIM
106 プロビジョニング制御部
107 機器情報記録部
200 通信装置
201 機器情報取得部
202 通信制御部
203 認証制御部
204 SIM
214 アプレット領域
224 プロファイル領域
254 CPU
264 入出力部
274 メモリ
205 プロビジョニング制御部
300 管理システム
400 認証システム
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
1009 SIM
101 機器制御部
102 機器情報取得部
103 通信制御部
104 認証制御部
105 SIM
106 プロビジョニング制御部
107 機器情報記録部
200 通信装置
201 機器情報取得部
202 通信制御部
203 認証制御部
204 SIM
214 アプレット領域
224 プロファイル領域
254 CPU
264 入出力部
274 メモリ
205 プロビジョニング制御部
300 管理システム
400 認証システム
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
1009 SIM
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】