知財求人 - 知財ポータルサイト「IP Force」
▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-12-16
(45)【発行日】2024-12-24
(54)【発明の名称】通信装置、機器、通信システム、認証方法、及びプログラム
(51)【国際特許分類】
H04W 12/041 20210101AFI20241217BHJP
G06F 21/44 20130101ALI20241217BHJP
H04W 12/086 20210101ALI20241217BHJP
【FI】
H04W12/041
G06F21/44
H04W12/086
【請求項の数】
8
(21)【出願番号】P 2021017627
(22)【出願日】2021-02-05
(65)【公開番号】P2022120615
(43)【公開日】2022-08-18
【審査請求日】2023-07-13
(73)【特許権者】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(72)【発明者】
【氏名】濱田 敏宏
(72)【発明者】
【氏名】内山 貴允
【審査官】岡本 正紀
(56)【参考文献】
【文献】特開2015-154445(JP,A)
【文献】特表2013-522989(JP,A)
【文献】特開2006-134171(JP,A)
【文献】米国特許出願公開第2012/0276872(US,A1)
【文献】特表2015-522976(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24- 7/26
H04W 4/00-99/00
G06F 21/44
(57)【特許請求の範囲】
【請求項1】
機器に接続可能な通信装置であって、前記通信装置を接続した前記機器から機器固有情報を取得する機器情報取得部と、
前記通信装置が保持する認証情報と前記機器固有情報とから認証キーを生成する認証制御部と、
前記認証キーを用いて前記通信装置と前記機器に対する認証処理を行う認証手段に、前記認証キーを送信する通信制御部と、を備え、
前記認証情報は、前記通信装置に備えられたSIMから取得したSIM情報であり、前記認証制御部は、前記SIM上のアプレットとして備えられている
通信装置。
【請求項2】
前記認証手段は、プロビジョニング情報を管理する手段を含み、前記通信制御部は、前記認証キーを含むプロビジョニング情報要求を前記認証手段に送信し、前記通信装置は、前記認証手段からプロビジョニング情報を受信する請求項1に記載の通信装置。
【請求項3】
認証情報を保持する機器であって、前記機器の機器固有情報を取得する機器情報取得部と、
前記認証情報と前記機器固有情報とから認証キーを生成する認証制御部と、
前記認証キーを用いて前記機器に対する認証処理を行う認証手段に、前記認証キーを送信する通信制御部と、を備え、
前記認証情報は、前記機器に備えられたSIMから取得したSIM情報であり、前記認証制御部は、前記SIM上のアプレットとして備えられている
機器。
【請求項4】
機器と、当該機器に接続された通信装置と、認証手段とを備える通信システムであって、前記通信装置が、前記機器から機器固有情報を取得し、
前記通信装置における認証制御部が、前記通信装置が保持する認証情報と前記機器固有情報とから認証キーを生成し、
前記通信装置が、前記認証手段に前記認証キーを送信し、
前記認証手段が、前記認証キーを用いて前記通信装置と前記機器に対する認証処理を行う通信システムであり、
前記認証情報は、前記通信装置に備えられたSIMから取得したSIM情報であり、前記認証制御部は、前記SIM上のアプレットとして備えられている
通信システム。
【請求項5】
認証情報を保持する機器と、認証手段とを備える通信システムであって、前記機器が、前記機器の機器固有情報を取得し、
前記機器における認証制御部が、前記認証情報と前記機器固有情報とから認証キーを生成し、
前記機器が、前記認証手段に前記認証キーを送信し、
前記認証手段が、前記認証キーを用いて前記機器に対する認証処理を行う通信システムであり、
前記認証情報は、前記機器に備えられたSIMから取得したSIM情報であり、前記認証制御部は、前記SIM上のアプレットとして備えられている
通信システム。
【請求項6】
機器に接続可能な通信装置が実行する認証方法であって、前記通信装置が、前記通信装置を接続した前記機器から機器固有情報を取得するステップと、
前記通信装置における認証制御部が、前記通信装置が保持する認証情報と前記機器固有情報とから認証キーを生成するステップと、
前記通信装置が、前記認証キーを用いて前記通信装置と前記機器に対する認証処理を行う認証手段に、前記認証キーを送信するステップと、を備え
前記認証情報は、前記通信装置に備えられたSIMから取得したSIM情報であり、前記認証制御部は、前記SIM上のアプレットとして備えられている
認証方法。
【請求項7】
コンピュータを、請求項1又は2に記載の前記通信装置における前記機器情報取得部、前記認証制御部、前記通信制御部として機能させるためのプログラム。
【請求項8】
コンピュータを、請求項3に記載の前記機器における前記機器情報取得部、前記認証制御部、前記通信制御部として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、非IoT(Internet of Things)機器をIoT化する技術に関連するものである。
【背景技術】
【0002】
昨今のIoTの普及により初めからIoT機器として製品化されている機器を用いたサービスが数多く存在している。なお、IoT機器とは、ネットワークに接続して、外部と情報をやりとりできる機器である。
【0003】
一方で、工作機械などIoTが普及する前から今もなお使用されている非IoT機器も数多く存在している。
【0004】
このような非IoT機器をIoT化するために、モバイル網や無線LANなどのネットワーク機能を持つ外付けデバイスを非IoT機器に接続することでデータ収集等を実現しているケースがある。
【0005】
ネットワーク機能を持つ外付けデバイスの中には、SIM(Subscriber Identity Module)を内部に組み込んだデバイスもあり、よりセキュアなネットワーク構築が可能となっている。
【先行技術文献】
【特許文献】
【0006】
【文献】特開2016-201032号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
SIMを組み込んだ外付けデバイスであるSIM入り外付けデバイスは、それ単体で認証や通信が可能である。そのため、SIM入り外付けデバイスを非IoT機器に接続するだけで当該機器をIoT化でき、当該機器やデータをサーバやクラウドから管理することできる。
【0008】
一方で、SIM入り外付けデバイスのように外付けされたデバイスは抜き差しができるため、悪意のある機器に外付けデバイスを接続するリスクがある。すなわち、外付けデバイスからサーバやクラウドへの接続の認証をSIMのみで行う場合、悪意のある機器によりサーバやクラウドからのデータ不正取得などが生じる可能性がある。なお、このような課題は、外付けデバイスを使用する場合のみならず、SIM情報などの認証情報を使用して認証を行う機器全般に生じ得る課題である。
【0009】
本発明は上記の点に鑑みてなされたものであり、不正な機器をネットワークに接続させないようにするための技術を提供することを目的とする。
【課題を解決するための手段】
【0010】
開示の技術によれば、 機器に接続可能な通信装置であって、
前記通信装置を接続した前記機器から機器固有情報を取得する機器情報取得部と、
前記通信装置が保持する認証情報と前記機器固有情報とから認証キーを生成する認証制御部と、
前記認証キーを用いて前記通信装置と前記機器に対する認証処理を行う認証手段に、前記認証キーを送信する通信制御部と、を備え、
前記認証情報は、前記通信装置に備えられたSIMから取得したSIM情報であり、前記認証制御部は、前記SIM上のアプレットとして備えられている
通信装置が提供される。
前記通信装置を接続した前記機器から機器固有情報を取得する機器情報取得部と、
前記通信装置が保持する認証情報と前記機器固有情報とから認証キーを生成する認証制御部と、
前記認証キーを用いて前記通信装置と前記機器に対する認証処理を行う認証手段に、前記認証キーを送信する通信制御部と、を備え、
前記認証情報は、前記通信装置に備えられたSIMから取得したSIM情報であり、前記認証制御部は、前記SIM上のアプレットとして備えられている
通信装置が提供される。
【発明の効果】
【0011】
開示の技術によれば、不正な機器をネットワークに接続させないようにすることができる。
【図面の簡単な説明】
【0012】
【図1】実施例1-1における通信システムの構成図である。
【図2】実施例1-1におけるシーケンス図である。
【図3】実施例1-2における通信システムの構成図である。
【図4】実施例1-2におけるシーケンス図である。
【図5】実施例1-3における通信システムの構成図である。
【図6】実施例1-3におけるシーケンス図である。
【図7】実施例1-4における通信システムの構成図である。
【図8】実施例1-4におけるシーケンス図である。
【図9】実施例1-5における通信システムの構成図である。
【図10】実施例1-5におけるシーケンス図である。
【図11】実施例1-6における通信システムの構成図である。
【図12】実施例1-6におけるシーケンス図である。
【図13】実施例1-7における通信システムの構成図である。
【図14】実施例1-7におけるシーケンス図である。
【図15】実施例1-8における通信システムの構成図である。
【図16】実施例1-8におけるシーケンス図である。
【図17】実施例1-9における通信システムの構成図である。
【図18】実施例1-9におけるシーケンス図である。
【図19】実施例1-10における通信システムの構成図である。
【図20】実施例1-10におけるシーケンス図である。
【図21】実施例1-11における通信システムの構成図である。
【図22】実施例1-11におけるシーケンス図である。
【図23】実施例1-12における通信システムの構成図である。
【図24】実施例1-12におけるシーケンス図である。
【図25】実施例2-1における通信システムの構成図である。
【図26】実施例2-1におけるシーケンス図である。
【図27】実施例2-2における通信システムの構成図である。
【図28】実施例2-2におけるシーケンス図である。
【図29】実施例2-3における通信システムの構成図である。
【図30】実施例2-3におけるシーケンス図である。
【図31】実施例2-4における通信システムの構成図である。
【図32】実施例2-4におけるシーケンス図である。
【図33】実施例2-5における通信システムの構成図である。
【図34】実施例2-5におけるシーケンス図である。
【図35】実施例2-6における通信システムの構成図である。
【図36】実施例2-6におけるシーケンス図である。
【図37】実施例2-7における通信システムの構成図である。
【図38】実施例2-7におけるシーケンス図である。
【図39】実施例2-8における通信システムの構成図である。
【図40】実施例2-8におけるシーケンス図である。
【図41】装置のハードウェア構成図である。
【発明を実施するための形態】
【0013】
以下、図面を参照して本発明の実施の形態(本実施の形態)を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
【0014】
なお、以下で説明する実施の形態では、機器固有情報を使用する認証以外の認証方法として、SIM情報を用いた認証方法を使用しているが、これは一例である。機器固有情報を使用する認証以外の認証方法として、SIM情報以外の認証情報を用いた認証を行うこととしてもよい。
【0015】
(実施の形態の概要)
本実施の形態では、例えば、SIM入り外付けデバイス等の通信装置を機器に接続することにより、当該機器をIoT化する。つまり、当該機器にネットワーク接続機能を持たせる。
本実施の形態では、例えば、SIM入り外付けデバイス等の通信装置を機器に接続することにより、当該機器をIoT化する。つまり、当該機器にネットワーク接続機能を持たせる。
【0016】
上記通信装置が接続された機器に対するネットワーク側の認証として、通信装置に備えられたSIMによるSIM認証に加えて、通信装置が接続している機器の情報を用いた機器認証を行うこととしている。
【0017】
機器認証に使用する情報は、機器固有の情報であればどのような情報でもよい。本実施の形態では、例として、「機器固有ID」、「機器ソフトウェアのハッシュ値」、及び「機器固有の振る舞い」を使用している。
【0018】
上記のように、本実施の形態では、SIM認証+機器認証の認証方式を用いることとしたので、SIM入り外付けデバイス等の通信装置が悪意のある機器に接続されることによるデータの不正取得等を防ぐことができる。
【0019】
なお、本実施の形態において機器認証に使用する情報である「機器固有ID」、「機器ソフトウェアのハッシュ値」、及び「機器固有の振る舞い」については、これらのうちいずれか1つのみを使用してもよいし、いずれか2つのみを使用してもよいし、3つ全部を使用してもよい。これらを総称して機器固有情報と呼ぶ。
【0020】
例えば、SIM認証+機器固有IDのように1種類の機器認証を用いることとしてもよいし、SIM認証+機器固有ID+機器ソフトウェアのハッシュ値のように、2種類の機器認証を用いることとしてもよい。
【0021】
また、「SIM認証+機器認証」はプログラムにより実行されるが、当該プログラムはSIMアプレットとしてSIMに搭載されてもよいし、外付けデバイスである通信装置(SIM以外)に搭載されてもよいし、機器自体に搭載されてもよい。
【0022】
以下、より具体的なシステム構成と、動作例について、実施例を用いて説明する。実施例においては、非IoT機器の情報をサーバあるいはクラウドにアップロードすることを想定し、その前段階の認証において、上述したSIM認証+機器認証機能を行うことでセキュリティ事故を防止することとしている。認証に失敗した場合には、例えば、機器をネットワークに接続させないといった対処をとることができる。
【0023】
IoTの仕組みでは、システムの構成が、機器データを持つ機器(上記非IoT機器)そのもの、機器データを収集する装置に分けられるケースが多いため、認証について、機器にフォーカスしたパターン、機器情報蓄積装置にフォーカスしたパターンの2パターンについて説明する。なお、「機器情報蓄積装置」は、機器の一例であるが、以下の説明では、例として、機器情報蓄積装置と機器とは別のものとして記載している。
【0024】
以下、機器にフォーカスしたパターンを実施例1として説明し、機器情報蓄積装置にフォーカスしたパターンを実施例2として説明する。実施例1,2のそれぞれでも構成により種々のパターンがあるため、実施例1-1、実施例1-2、...などとして説明を行っている。基本的に、後の実施例では、前の実施例で説明した内容と異なる点について説明する。
【0025】
(実施例1:機器にフォーカスしたパターン)
実施例1は、実施例1-1~実施例1-12に分けられる。以下、それぞれについて説明する
<実施例1-1:通信装置有・管理システム有・プロビジョニング有>
図1は、実施例1-1における通信システムの構成図である。図1に示すように、実施例1-1における通信システムは、機器100、通信装置200、機器情報蓄積装置300、管理システム400、認証システム500、及び加入者管理装置600を備える。通信装置200、機器情報蓄積装置300、管理システム400、認証システム500、及び加入者管理装置600は、ネットワークを介して、図示するように他の装置と通信可能である。
実施例1は、実施例1-1~実施例1-12に分けられる。以下、それぞれについて説明する
<実施例1-1:通信装置有・管理システム有・プロビジョニング有>
図1は、実施例1-1における通信システムの構成図である。図1に示すように、実施例1-1における通信システムは、機器100、通信装置200、機器情報蓄積装置300、管理システム400、認証システム500、及び加入者管理装置600を備える。通信装置200、機器情報蓄積装置300、管理システム400、認証システム500、及び加入者管理装置600は、ネットワークを介して、図示するように他の装置と通信可能である。
【0026】
機器100は、非IoT機器である。一例として、工作機械などが機器100として使用される。
【0027】
通信装置200は、SIM入り外付けデバイスであり、機器100に接続して使用される。通信装置200を「ドングル」と呼んでもよい。通信装置200は小型のものを想定しているが、小型のものに限定されるわけではなく、例えばPC等であってもよい。図1に示すとおり、通信装置200は、機器情報取得部201、通信制御部202、認証制御部203、SIM204を有する。また、SIM204は、プロビジョニング制御部205を有する。プロビジョニング制御部205はプロビジョニングを行うためのプログラム(アプレット)である。各部の処理動作については、後述するシーケンスの説明において説明される。
【0028】
機器情報蓄積装置300は、機器100から取得した情報を蓄積する装置である。図1に示すとおり、機器情報蓄積装置300は、通信制御部301、認証制御部302、機器情報データベース303を有する。
【0029】
管理システム400は、プロビジョニング情報の管理等を行うシステムである。認証システム500は、認証を行うシステムである。加入者管理装置600は、SIM204のオペレータの加入者情報を管理する装置であり、SIM認証を行う機能を含む。
【0030】
なお、本明細書における「機器情報蓄積装置」、「管理システム」、「認証システム」、「加入者管理装置」、「機器情報蓄積装置+管理システム+認証システム」、「機器情報蓄積装置+認証システム」、「管理システム+認証システム」はいずれも、認証手段と呼んでもよい。また、「機器情報取得部」を取得手段と呼んでもよい。また、「認証制御部」を生成手段と呼んでもよい。また、「通信制御部」を送信手段と呼んでもよい。
【0031】
上記の構成を備える実施例1-1に係る通信システムの動作例を図2のシーケンスを参照して説明する。
【0032】
通信装置200を機器100に接続し、通信装置200への給電が開始されたタイミング、又は通信装置200の電源がONかつ通信装置200が機器100に接続されたタイミングで、SIM認証+機器認証の処理が開始される。
【0033】
S101において、通信装置200に搭載された機器情報取得部201が、機器100の機器固有情報を取得し、S103において、認証制御部203からの要求に基づいて取得結果を渡す。機器固有情報は、「機器固有ID」、「機器ソフトウェアのハッシュ値」、「機器固有の振る舞い」のいずれか、又は複数である。
【0034】
なお、「機器固有の振る舞い」とは、機器固有の振る舞いを表す情報であればどのような情報でもよく、特定の情報に限られない。例えば、「機器固有の振る舞い」が、使用電力の変動情報(周期、大きさ等)であってもよいし、機器100に接続されるセンサから得られた値の統計量(平均値、中央値等)等であってもよいし、その他の情報であってもよい。
【0035】
認証制御部203は、通信装置200のアプリケーション領域又はSIMアプレット上に搭載されるプログラムであるが、実施例1-1では、認証制御部203は、通信装置200のアプリケーション領域に搭載されている。
【0036】
認証制御部203は、S102において、SIM204にSIM情報を要求し、当該SIM情報を取得する。SIM情報は、IMSI(International Mobile Subscriber Identity)及び認証鍵からなる情報である。SIM情報を認証情報と呼んでもよい。
【0037】
認証制御部203は、SIM情報(IMSIおよび認証鍵)を取得後に、SIM情報と機器固有情報とから認証キーを生成する。認証制御部203は、機器固有情報とSIM情報とをそのまま認証キーとしてもよいし、機器固有情報とSIM情報から新たな情報を生成し、それを認証キーとしてもよい。以下の説明では、機器固有情報とSIM情報とをそのまま認証キーとする場合を想定している。
【0038】
認証制御部203は、認証キー生成後、S104において、通信制御部202に認証キーを送信する。
【0039】
認証キーを受け取った通信制御部202は、通信装置200の状態に応じて、以下の処理aと処理bのうちのいずれかの処理を行う。具体的には、プロビジョニングが必要であれば処理aを実行し、プロビジョニング済みあるいはプロビジョニング不要であれば処理bを実行する。
【0040】
処理a:通信制御部202は、機器情報蓄積装置300又は管理システム400へプロビジョニング情報要求を送信する。
【0041】
処理b:通信制御部202は、機器情報蓄積装置300へ認証要求を行う。
【0042】
実施例1-1では、処理aを実行する。具体的には、S105において、通信制御部202は、管理システム400へプロビジョニング情報要求を送信する。プロビジョニング情報要求には、前述した認証キーが含まれている。
【0043】
プロビジョニング情報要求を受信した管理システム400は、S106において、プロビジョニング情報要求に付随する認証キーを用いて、認証システム500へ通信装置200の認証要求を行う。
【0044】
認証要求を受信した認証システム500は、システム内に保持する認証情報と認証要求に付随する認証キーとを照会し、認証の成功/失敗を判断する。認証システム内での認証成功の場合、S107において、加入者管理装置600に対してSIM情報の認証要求を行う。なお、認証キーによる認証に成功した場合において、SIM情報のみを用いた認証を行わないこととしてもよい。
【0045】
なお、機器固有情報が認証システム500において未登録である場合等においては、認証システム500は、管理システム400から受信した認証キー内のSIM情報のみで認証の成功/失敗を判断してもよい。このケースでは、認証システム500は管理システム400から受信した機器固有情報を認証システム内のSIM情報に紐づけた登録を行う。
【0046】
加入者管理装置600から認証応答を受信した認証システム500は、S108において、管理システム400に認証応答を送信する。
【0047】
加入者管理装置600への認証要求結果が失敗であった場合は、認証システム500内での認証結果が成功であった場合でも認証失敗と判断する。
【0048】
認証システム500から認証応答(ここでは認証成功したものとする)を受信した管理システム400は、S109において、通信装置200にプロビジョニング情報応答を送信する。プロビジョニング情報応答には、プロビジョニング情報として、例えば、機器100の情報のアップロード先を示す情報が含まれている。また、プロビジョニング情報応答には、認証応答の結果も含まれている。
【0049】
管理システム400は、通信装置200から受信した認証キーを保持してもよい。そして、S105において、通信装置200から受けたプロビジョニング情報要求に付随する認証キーが既知であった場合(保持している認証キーと一致する場合)、認証システム500に認証要求を行わずに、通信装置200に対してプロビジョニング情報応答を行ってもよい。
【0050】
管理システム400からプロビジョニング情報応答を受信した通信装置200の通信制御部202は、S110において、SIMアプレット上のプロビジョニング制御部205にプロビジョニング情報を渡し、プロビジョニングを完了する。
【0051】
プロビジョニングを完了した通信装置200の通信制御部202は、S111において、認証応答の結果を認証制御部203に送信し、S112において、機器情報取得部201に機器情報取得要求を送信する。
【0052】
通信制御部202から機器情報取得要求を受信した機器情報取得部201は、S113において、通信装置200が接続している機器100から、機器情報蓄積装置300の機器情報データベース303に登録するための機器情報を取得する。
【0053】
機器100から機器情報を取得した機器情報取得部201は、S114において、通信制御部202に機器情報を送信する。
【0054】
機器情報取得部201から機器情報を受信した通信制御部202は、S115において、機器情報蓄積装置300に機器情報登録要求を送信する。機器情報登録要求には、機器情報と認証キーが含まれている。
【0055】
通信装置200から機器情報登録要求を受信した機器情報蓄積装置300の通信制御部301は、受信した機器情報登録要求に付随する認証キーを既に保持しているかどうか確認するために、S116において、認証制御部302に認証要求を送信する。通信制御部301から認証要求を受信した認証制御部302は、認証キーを照会した結果を通信制御部301に応答する。
【0056】
上記の結果、通信装置200から受信した機器情報に付随する認証キーが機器情報蓄積装置300に存在しなかった場合、通信装置200からの要求を受け付けるか否かを判断するため、S117において、通信制御部301から認証システム500へ認証キーを用いて認証要求を行い、応答を受信する。
【0057】
上記S117において、機器情報蓄積装置300から認証要求を受信した認証システム500は、システム内に保持する認証情報と認証要求に付随する認証キーを照会し、認証の成功/失敗を判断する。
【0058】
前述した場合と同様に、認証システム500内での認証において、機器情報蓄積装置300から受信した認証キー内のSIM情報のみで認証の成功/失敗を判断する場合がある。この場合、認証システム500は機器情報蓄積装置300から受信した認証キーに含まれる機器固有情報を認証システム内のSIM情報に紐づけた登録を行う。
【0059】
認証システム500から認証応答を受信した機器情報蓄積装置300の通信制御部301は、S118において、認証結果を認証制御部302に送信する。認証制御部302は認証キーを登録する。
【0060】
通信装置200から受信した機器情報に付随する認証キーの認証システム500での認証確認、又は機器情報蓄積装置300内での確認が完了した後、通信装置200から受信した機器情報を機器情報蓄積装置300内に登録するため、S119において、通信制御部301から機器情報データベース303に機器情報登録要求を行う。
【0061】
S119において、通信制御部301から機器情報登録要求を受信した機器情報データベース303は、機器情報登録を行い、通信制御部301に機器情報登録応答を送信する。
【0062】
機器情報データベース303から機器情報登録応答を受信した通信制御部301は、S120において、通信装置200に機器情報登録応答を送信する。
【0063】
<実施例1-2:通信装置有・管理システム有・プロビジョニング有・Applet>
次に、実施例1-2を説明する。図3は、実施例1-2における通信システムの構成図である。図3に示すように、実施例1-2において、通信装置200の認証制御部203が、SIM204上のプログラム(アプレット)として備えられる。この点を除いて、実施例1-2の通信システムは、実施例1-1の通信システムと同じである。
次に、実施例1-2を説明する。図3は、実施例1-2における通信システムの構成図である。図3に示すように、実施例1-2において、通信装置200の認証制御部203が、SIM204上のプログラム(アプレット)として備えられる。この点を除いて、実施例1-2の通信システムは、実施例1-1の通信システムと同じである。
【0064】
図4は、実施例1―2におけるシーケンスを示す。上記のとおり、通信装置200の認証制御部203が、SIM204上のプログラム(アプレット)として備えられることのみが実施例1-1と異なり、シーケンスに係る動作は実施例1-1と同じである。
【0065】
<実施例1-3:通信装置有・管理システム無・プロビジョニング有>
次に、実施例1-3を説明する。図5は、実施例1-3における通信システムの構成図である。図5に示すように、通信システムに管理システム400が備えられない点が実施例1-1と異なる。図5では、分かり易さのために、通信システムに接続されていない管理システム400が示されている。
次に、実施例1-3を説明する。図5は、実施例1-3における通信システムの構成図である。図5に示すように、通信システムに管理システム400が備えられない点が実施例1-1と異なる。図5では、分かり易さのために、通信システムに接続されていない管理システム400が示されている。
【0066】
図6は、実施例1-3におけるシーケンスを示す。実施例1-3では、プロビジョニング情報要求に対する処理を機器情報蓄積装置300が実行する。この点が実施例1-1におけるシーケンス(図2)と異なる。以下、プロビジョニング情報要求に対する処理の部分について説明する。
【0067】
S305において、通信制御部202は、機器情報蓄積装置300へプロビジョニング情報要求を送信する。プロビジョニング情報要求には、前述した認証キーが含まれている。
【0068】
プロビジョニング情報要求を受信した機器情報蓄積装置300は、S306、S307において、プロビジョニング情報要求に付随する認証キーを用いて、認証システム500へ通信装置200の認証要求を行う。認証システム500での認証処理内容は、実施例1-1で説明した処理内容と同じである。
【0069】
S309、S310において、認証システム500から機器情報蓄積装置300に対して認証応答(ここでは認証成功したものとする)が返される。
【0070】
認証システム500から認証応答を受信した機器情報蓄積装置300の通信制御部301は、S311において、機器情報データベース303に対してプロビジョニング情報を要求し、取得する。S312において、通信制御部301は、通信装置200にプロビジョニング情報応答を送信する。それ以降、実施例1-1と同様にして、機器情報の登録処理が実行される。
【0071】
<実施例1-4:通信装置有・管理システム無・プロビジョニング有・Applet>
次に、実施例1-4を説明する。図7は、実施例1-4における通信システムの構成図である。図7に示すように、実施例1-4において、通信装置200の認証制御部203が、SIM204上のプログラム(アプレット)として備えられる。この点を除いて、実施例1-4の通信システムは、実施例1-3の通信システムと同じである。
次に、実施例1-4を説明する。図7は、実施例1-4における通信システムの構成図である。図7に示すように、実施例1-4において、通信装置200の認証制御部203が、SIM204上のプログラム(アプレット)として備えられる。この点を除いて、実施例1-4の通信システムは、実施例1-3の通信システムと同じである。
【0072】
図8は、実施例1―4におけるシーケンスを示す。上記のとおり、通信装置200の認証制御部203が、SIM204上のプログラム(アプレット)として備えられることのみが実施例1-3と異なり、シーケンスに係る動作は実施例1-3と同じである。
【0073】
<実施例1-5:通信装置有・管理システム無・プロビジョニング無>
次に、実施例1-5を説明する。図9は、実施例1-5における通信システムの構成図である。実施例1-5における通信システムの構成は、実施例1-3等における通信システムの構成(図5)と同じく、管理システム400が存在しない構成である。
次に、実施例1-5を説明する。図9は、実施例1-5における通信システムの構成図である。実施例1-5における通信システムの構成は、実施例1-3等における通信システムの構成(図5)と同じく、管理システム400が存在しない構成である。
【0074】
【0075】
認証キーを受け取った通信制御部202は、通信装置200の状態に応じて、以下の処理aと処理bのうちのいずれかの処理を行う。具体的には、プロビジョニングが必要であれば処理aを実行し、プロビジョニング済みあるいはプロビジョニング不要であれば処理bを実行する。
【0076】
処理a:通信制御部202は、機器情報蓄積装置300又は管理システム400へプロビジョニング情報要求を送信する。
【0077】
処理b:通信制御部202は、機器情報蓄積装置300へ認証要求を行う。
【0078】
実施例1-5では、処理bを実行する。つまり、S505において、通信制御部202は、機器情報蓄積装置300へ認証要求を送信する。認証要求には認証キーが含まれている。機器情報蓄積装置300は認証キーを用いて認証システムに認証要求を送信する。認証システム500での認証処理内容は実施例1-1での認証処理内容と同じである。
【0079】
S509、S510において、認証システム500は、認証応答(ここでは認証成功であるとする)を機器情報蓄積装置300に返す。
【0080】
認証システム500から認証応答を受信した機器情報蓄積装置300の通信制御部301は、S511において、通信装置に認証応答を送信する。
【0081】
機器情報蓄積装置300において認証キーが保持されていて、通信装置200から受けた認証要求に付随する認証キーが既知であった場合、認証システム500に認証要求を行わず、機器情報蓄積装置300から通信装置200に対して認証応答を行うこととしてもよい。以降、実施例1-1等と同様にして、機器情報登録処理が行われる。
【0082】
<実施例1-6:通信装置有・管理システム無・プロビジョニング無・Applet>
次に、実施例1-6を説明する。図11は、実施例1-6における通信システムの構成図である。図11に示すように、実施例1-6おいて、通信装置200の認証制御部203が、SIM204上のプログラム(アプレット)として備えられる。この点を除いて、実施例1-6の通信システムは、実施例1-5の通信システムと同じである。
次に、実施例1-6を説明する。図11は、実施例1-6における通信システムの構成図である。図11に示すように、実施例1-6おいて、通信装置200の認証制御部203が、SIM204上のプログラム(アプレット)として備えられる。この点を除いて、実施例1-6の通信システムは、実施例1-5の通信システムと同じである。
【0083】
図12は、実施例1―6におけるシーケンスを示す。上記のとおり、通信装置200の認証制御部203が、SIM204上のプログラム(アプレット)として備えられることのみが実施例1-5と異なり、シーケンスに係る動作は実施例1-5と同じである。
【0084】
<実施例1-7:機器入れ込み・管理システム有・プロビジョニング有>
次に、実施例1-7を説明する。図13は、実施例1-7における通信システムの構成図である。図13と図1(実施例1-1)を比較してわかるように、実施例1-7においては、外付けのSIM入りデバイスである通信装置200を使用せず、その代わりに、通信装置200内の機能が機器100に備えられる。つまり、実施例1-7では、機器100そのものにSIM認証+機器認証の機能を備えることとしている。
次に、実施例1-7を説明する。図13は、実施例1-7における通信システムの構成図である。図13と図1(実施例1-1)を比較してわかるように、実施例1-7においては、外付けのSIM入りデバイスである通信装置200を使用せず、その代わりに、通信装置200内の機能が機器100に備えられる。つまり、実施例1-7では、機器100そのものにSIM認証+機器認証の機能を備えることとしている。
【0085】
具体的には、図13に示すとおり、実施例1-7の機器100は、機器情報取得部101、通信制御部102、認証制御部103、SIM104、機器情報記録部106を有する。機器情報記録部106には、認証に使用する機器固有情報、及び登録対象となる機器情報が格納されている。また、SIM104は、プロビジョニング制御部105を有する。
【0086】
機器情報取得部101、通信制御部102、認証制御部103、SIM104のそれぞれの機能は、通信装置200内の機器情報取得部201、通信制御部202、認証制御部203、SIM204と同じである。ただし、実施例1-7では、機器情報記録部106から機器固有情報や機器情報を取得する。
【0087】
図14に、実施例1-7におけるシーケンスを示す。実施例1-7では、機器100の電源ONのタイミングでSIM認証+機器認証の処理を開始する。ただし、これは例であり、その他のタイミングでSIM認証+機器認証の処理を開始することとしてもよい。
【0088】
機器固有情報及び機器情報を機器100内の機器情報記録部106から取得すること以外は、実施例1-7におけるシーケンスに係る処理動作は、実施例1-1におけるシーケンス(図2)に係る処理動作と同じである。
【0089】
<実施例1-8:機器入れ込み・管理システム有・プロビジョニング有・Applet>
次に、実施例1-8を説明する。図15は、実施例1-8における通信システムの構成図である。図15に示すように、実施例1-8において、機器100の認証制御部103が、SIM104上のプログラム(アプレット)として備えられる。この点を除いて、実施例1-8の通信システムは、実施例1-7の通信システムと同じである。
次に、実施例1-8を説明する。図15は、実施例1-8における通信システムの構成図である。図15に示すように、実施例1-8において、機器100の認証制御部103が、SIM104上のプログラム(アプレット)として備えられる。この点を除いて、実施例1-8の通信システムは、実施例1-7の通信システムと同じである。
【0090】
図16は、実施例1―8におけるシーケンスを示す。上記のとおり、機器100の認証制御部103が、SIM104上のプログラム(アプレット)として備えられることのみが実施例1-7と異なり、シーケンスに係る動作は実施例1-7と同じである。
【0091】
<実施例1-9:機器入れ込み・管理システム無・プロビジョニング有>
次に、実施例1-9を説明する。図17は、実施例1-9における通信システムの構成図である。図17に示すように、通信システムに管理システム400が備えられない点が実施例1-7と異なる。図17では、分かり易さのために、通信システムに接続されていない管理システム400が示されている。
次に、実施例1-9を説明する。図17は、実施例1-9における通信システムの構成図である。図17に示すように、通信システムに管理システム400が備えられない点が実施例1-7と異なる。図17では、分かり易さのために、通信システムに接続されていない管理システム400が示されている。
【0092】
図18は、実施例1-9におけるシーケンスを示す。実施例1-9では、プロビジョニング情報要求に対する処理を機器情報蓄積装置300が実行する。この点が実施例1-7におけるシーケンス(図14)と異なる。機器情報蓄積装置300におけるプロビジョニング情報要求に対する処理は実施例1-3(図6)において説明したとおりである。
【0093】
<実施例1-10:機器入れ込み・管理システム無・プロビジョニング有・Applet>
次に、実施例1-10を説明する。図19は、実施例1-10における通信システムの構成図である。図19に示すように、実施例1-10において、機器100の認証制御部103が、SIM104上のプログラム(アプレット)として備えられる。この点を除いて、実施例1-10の通信システムは、実施例1-9の通信システムと同じである。
次に、実施例1-10を説明する。図19は、実施例1-10における通信システムの構成図である。図19に示すように、実施例1-10において、機器100の認証制御部103が、SIM104上のプログラム(アプレット)として備えられる。この点を除いて、実施例1-10の通信システムは、実施例1-9の通信システムと同じである。
【0094】
図20は、実施例1―10におけるシーケンスを示す。上記のとおり、機器100の認証制御部103が、SIM104上のプログラム(アプレット)として備えられることのみが実施例1-9と異なり、シーケンスに係る動作は実施例1-9と同じである。
【0095】
<実施例1-11:機器入れ込み・管理システム無・プロビジョニング無>
次に、実施例1-11を説明する。図21は、実施例1-11における通信システムの構成図である。実施例1-11における通信システムの構成は、実施例1-9等における通信システムの構成(図17)と同じく、管理システム400が存在しない構成である。
次に、実施例1-11を説明する。図21は、実施例1-11における通信システムの構成図である。実施例1-11における通信システムの構成は、実施例1-9等における通信システムの構成(図17)と同じく、管理システム400が存在しない構成である。
【0096】
【0097】
実施例1-11では、S1105において、通信制御部102は、機器情報蓄積装置300へ認証要求を送信する。以降の処理内容は実施例1-5と同様である。
【0098】
<実施例1-12:機器入れ込み・管理システム無・プロビジョニング無・Applet>
次に、実施例1-12を説明する。図23は、実施例1-12における通信システムの構成図である。図23に示すように、実施例1-12おいて、機器100の認証制御部103が、SIM104上のプログラム(アプレット)として備えられる。この点を除いて、実施例1-12の通信システムは、実施例1-11の通信システムと同じである。
次に、実施例1-12を説明する。図23は、実施例1-12における通信システムの構成図である。図23に示すように、実施例1-12おいて、機器100の認証制御部103が、SIM104上のプログラム(アプレット)として備えられる。この点を除いて、実施例1-12の通信システムは、実施例1-11の通信システムと同じである。
【0099】
図24は、実施例1―12におけるシーケンスを示す。上記のとおり、機器100の認証制御部103が、SIM104上のプログラム(アプレット)として備えられることのみが実施例1-11と異なり、シーケンスに係る動作は実施例1-11と同じである。
【0100】
(実施例2:機器情報蓄積装置にフォーカスしたパターン)
実施例2は、実施例2-1~実施例2-8に分けられる。以下、それぞれについて説明する
<実施例2-1:通信装置有・管理システム有・プロビジョニング有>
図25は、実施例2-1における通信システムの構成図である。図25に示すように、実施例2-1における通信システムは、通信装置200、機器情報蓄積装置300、管理システム400、認証システム500、及び加入者管理装置600を備える。通信装置200、機器情報蓄積装置300、管理システム400、認証システム500、及び加入者管理装置600は、ネットワークを介して、図示するように他の装置と通信可能である。
実施例2は、実施例2-1~実施例2-8に分けられる。以下、それぞれについて説明する
<実施例2-1:通信装置有・管理システム有・プロビジョニング有>
図25は、実施例2-1における通信システムの構成図である。図25に示すように、実施例2-1における通信システムは、通信装置200、機器情報蓄積装置300、管理システム400、認証システム500、及び加入者管理装置600を備える。通信装置200、機器情報蓄積装置300、管理システム400、認証システム500、及び加入者管理装置600は、ネットワークを介して、図示するように他の装置と通信可能である。
【0101】
通信装置200は、SIM入り外付けデバイスであり、機器情報蓄積装置300に接続して使用される。通信装置200を「ドングル」と呼んでもよい。前述したとおり、通信装置200は小型のものに限定されない。図25に示すとおり、通信装置200は、機器情報取得部201、通信制御部202、認証制御部203、SIM204を有する。また、SIM204は、プロビジョニング制御部205を有する。プロビジョニング制御部205はプロビジョニングを行うためのプログラム(アプレット)である。各部の処理動作については、後述するシーケンスの説明において説明される。
【0102】
機器情報蓄積装置300は、機器から取得した情報を蓄積する装置である。ただし、図25には機器を示していない。図25に示すとおり、機器情報蓄積装置300は、通信制御部301、認証制御部302、機器情報データベース303、機器情報記録部304を有する。
【0103】
管理システム400は、プロビジョニング情報の管理等を行うシステムである。認証システム500は、認証を行うシステムである。加入者管理装置600は、SIM104のオペレータの加入者情報を管理する装置であり、SIM認証を行う機能を含む。
【0104】
上記の構成を備える実施例2-1に係る通信システムの動作例を図26のシーケンスを参照して説明する。
【0105】
通信装置200を機器情報蓄積装置300に接続し、通信装置200への給電が開始されたタイミング、又は通信装置200の電源がONかつ通信装置200が機器情報蓄積装置300に接続されたタイミングで、SIM認証+機器認証の処理が開始される。
【0106】
S1301において、通信装置200に搭載された機器情報取得部201が、機器情報蓄積装置300の機器情報記録部304から機器情報蓄積装置300の機器固有情報を取得し、S1303において、認証制御部203からの要求に基づいて取得結果を渡す。機器固有情報は、「機器固有ID」、「機器ソフトウェアのハッシュ値」、「機器固有の振る舞い」のいずれか、又は複数である。
【0107】
なお、「機器固有の振る舞い」とは、機器固有の振る舞いを表す情報であればどのような情報でもよく、特定の情報に鍵なれない。例えば、「機器固有の振る舞い」が、使用電力の変動情報(周期、大きさ等)であってもよいし、機器情報蓄積装置300に登録されるデータ量の一定期間の統計量(平均値、中央値等)等であってもよいし、その他の情報であってもよい。
【0108】
認証制御部203は、通信装置200のアプリケーション領域又はSIMアプレット上に搭載されるプログラムであるが、実施例2-1では、認証制御部203は、通信装置200のアプリケーション領域に搭載されている。
【0109】
認証制御部203は、S1302において、SIM204にSIM情報を要求し、当該SIM情報を取得する。SIM情報は、IMSI(International Mobile Subscriber Identity)及び認証鍵からなる情報である。
【0110】
認証制御部203は、SIM情報(IMSI及び認証鍵)を取得後に、SIM情報と機器固有情報とから認証キーを生成する。認証制御部203は、機器固有情報とSIM情報とをそのまま認証キーとしてもよいし、機器固有情報とSIM情報から新たな情報を生成し、それを認証キーとしてもよい。以下の説明では、機器固有情報とSIM情報とをそのまま認証キーとする場合を想定している。
【0111】
認証制御部203は、認証キー生成後、S1304において、通信制御部202に認証キーを送信する。
【0112】
認証キーを受け取った通信制御部202は、通信装置200の状態に応じて、以下の処理aと処理bのうちのいずれかの処理を行う。具体的には、プロビジョニングが必要であれば処理aを実行し、プロビジョニング済みあるいはプロビジョニング不要であれば処理bを実行する。
【0113】
処理a:通信制御部202は、管理システム400へプロビジョニング情報要求を送信する。
【0114】
処理b:通信制御部202は、認証システム500へ認証要求を行う。
【0115】
実施例2-1では、処理aを実行する。具体的には、S1305において、通信制御部202は、管理システム400へプロビジョニング情報要求を送信する。プロビジョニング情報要求には、前述した認証キーが含まれている。
【0116】
プロビジョニング情報要求を受信した管理システム400は、S1306において、プロビジョニング情報要求に付随する認証キーを用いて、認証システム500へ通信装置200の認証要求を行う。
【0117】
認証要求を受信した認証システム500は、システム内に保持する認証情報と認証要求に付随する認証キーとを照会し、認証の成功/失敗を判断する。認証システム500内での認証成功の場合、S1307において、加入者管理装置600に対してSIM情報の認証要求を行う。認証キーによる認証に成功した場合において、SIM情報のみを用いた認証を行わないこととしてもよい。
【0118】
なお、機器固有情報が認証システム500において未登録である場合等においては、認証システム500は、管理システム400から受信した認証キー内のSIM情報のみで認証の成功/失敗を判断してもよい。このケースでは、認証システム500は管理システム400から受信した機器固有情報を認証システム500内のSIM情報に紐づけた登録を行う。
【0119】
加入者管理装置600から認証応答を受信した認証システム500は、S1308において、管理システム400に認証応答を送信する。
【0120】
加入者管理装置600への認証要求結果が失敗であった場合は、認証システム500内での認証結果が成功であった場合でも認証失敗と判断する。
【0121】
認証システム500から認証応答(ここでは認証成功したものとする)を受信した管理システム400は、S1309において、通信装置200にプロビジョニング情報応答を送信する。プロビジョニング情報応答には、プロビジョニング情報として、例えば、機器情報蓄積装置300の情報のアップロード先を示す情報が含まれている。また、プロビジョニング情報応答には、認証応答の結果も含まれている。
【0122】
管理システム400は、通信装置200から受信した認証キーを保持してもよい。そして、S1305において、通信装置200から受けたプロビジョニング情報要求に付随する認証キーが既知であった場合(保持している認証キーと一致する場合)、認証システム500に認証要求を行わずに、通信装置200に対してプロビジョニング情報応答を行ってもよい。
【0123】
管理システム400からプロビジョニング情報応答を受信した通信装置200の通信制御部202は、S1310において、SIMアプレット上のプロビジョニング制御部205にプロビジョニング情報を渡し、プロビジョニングを完了する。
【0124】
プロビジョニングを完了した通信装置200の通信制御部202は、S1311において、認証応答の結果を認証制御部203に送信する。
【0125】
<実施例2-2:通信装置有・管理システム有・プロビジョニング有・Applet>
次に、実施例2-2を説明する。図27は、実施例2-2における通信システムの構成図である。図27に示すように、実施例2-2において、通信装置200の認証制御部203が、SIM204上のプログラム(アプレット)として備えられる。この点を除いて、実施例2-2の通信システムは、実施例2-1の通信システムと同じである。
次に、実施例2-2を説明する。図27は、実施例2-2における通信システムの構成図である。図27に示すように、実施例2-2において、通信装置200の認証制御部203が、SIM204上のプログラム(アプレット)として備えられる。この点を除いて、実施例2-2の通信システムは、実施例2-1の通信システムと同じである。
【0126】
図28は、実施例2―2におけるシーケンスを示す。上記のとおり、通信装置200の認証制御部203が、SIM204上のプログラム(アプレット)として備えられることのみが実施例2-1と異なり、シーケンスに係る動作は実施例2-1と同じである。
【0127】
<実施例2-3:通信装置有・管理システム無・プロビジョニング無>
次に、実施例2-3を説明する。図29は、実施例2-3における通信システムの構成図である。図29に示すように、通信システムに管理システム400が備えられない点が実施例2-1と異なる。図29では、分かり易さのために、通信システムに接続されていない管理システム400が示されている。
次に、実施例2-3を説明する。図29は、実施例2-3における通信システムの構成図である。図29に示すように、通信システムに管理システム400が備えられない点が実施例2-1と異なる。図29では、分かり易さのために、通信システムに接続されていない管理システム400が示されている。
【0128】
【0129】
認証キーを受け取った通信制御部202は、通信装置200の状態に応じて、以下の処理aと処理bのうちのいずれかの処理を行う。具体的には、プロビジョニングが必要であれば処理aを実行し、プロビジョニング済みあるいはプロビジョニング不要であれば処理bを実行する。
【0130】
処理a:通信制御部202は、機器情報蓄積装置300又は管理システム400へプロビジョニング情報要求を送信する。
【0131】
処理b:通信制御部202は、認証システム500へ認証要求を行う。
【0132】
実施例2-3では、処理bを実行する。つまり、S1505において、通信制御部202は、認証システム500へ認証要求を送信する。認証要求には認証キーが含まれている。認証システム500での認証処理内容は実施例2-1での認証処理内容と同じである。
【0133】
S1507において、認証システム500は、認証応答を通信装置200に送信する。S1508において、通信制御部202は、認証制御部203に対して認証結果を送信する。
【0134】
<実施例2-4:通信装置有・管理システム無・プロビジョニング無・Applet>
次に、実施例2-4を説明する。図31は、実施例2-4における通信システムの構成図である。図31に示すように、実施例2-4おいて、通信装置200の認証制御部203が、SIM204上のプログラム(アプレット)として備えられる。この点を除いて、実施例2-4の通信システムは、実施例2-3の通信システムと同じである。
次に、実施例2-4を説明する。図31は、実施例2-4における通信システムの構成図である。図31に示すように、実施例2-4おいて、通信装置200の認証制御部203が、SIM204上のプログラム(アプレット)として備えられる。この点を除いて、実施例2-4の通信システムは、実施例2-3の通信システムと同じである。
【0135】
図32は、実施例2―4におけるシーケンスを示す。上記のとおり、通信装置200の認証制御部203が、SIM204上のプログラム(アプレット)として備えられることのみが実施例2-3と異なり、シーケンスに係る動作は実施例2-3と同じである。
【0136】
<実施例2-5:機器入れ込み・管理システム有・プロビジョニング有>
次に、実施例2-5を説明する。図33は、実施例2-5における通信システムの構成図である。図33と図25(実施例2-1)を比較してわかるように、実施例2-5においては、外付けのSIM入りデバイスである通信装置200を使用せず、その代わりに、通信装置200内の機能が機器情報蓄積装置300に備えられる。つまり、実施例2-5では、機器情報蓄積装置300そのものにSIM認証+機器認証の機能を備えることとしている。
次に、実施例2-5を説明する。図33は、実施例2-5における通信システムの構成図である。図33と図25(実施例2-1)を比較してわかるように、実施例2-5においては、外付けのSIM入りデバイスである通信装置200を使用せず、その代わりに、通信装置200内の機能が機器情報蓄積装置300に備えられる。つまり、実施例2-5では、機器情報蓄積装置300そのものにSIM認証+機器認証の機能を備えることとしている。
【0137】
具体的には、図33に示すとおり、実施例2-5の機器情報蓄積装置300は、通信制御部301、認証制御部302、機器情報データベース303、機器情報記録部304、機器情報取得部305、SIM307を有する。また、SIM307は、プロビジョニング制御部306を有する。
【0138】
機器情報取得部305、通信制御部301、認証制御部302、SIM307のそれぞれの機能は、通信装置200内の機器情報取得部201、通信制御部202、認証制御部203、SIM204の機能と同じである。
【0139】
図34に、実施例2-5におけるシーケンスを示す。実施例2-5では、機器情報蓄積装置300の電源ONのタイミングでSIM認証+機器認証の処理を開始する。ただし、これは例であり、その他のタイミングでSIM認証+機器認証の処理を開始することとしてもよい。実施例2-5におけるシーケンスに係る処理動作は、実施例2-1におけるシーケンス(図26)に係る処理動作と同じである。
【0140】
<実施例2-6:機器入れ込み・管理システム有・プロビジョニング有・Applet>
次に、実施例2-6を説明する。図35は、実施例2-6における通信システムの構成図である。図35に示すように、実施例2-6において、機器情報蓄積装置300の認証制御部302が、SIM307上のプログラム(アプレット)として備えられる。この点を除いて、実施例2-6の通信システムは、実施例2-5の通信システムと同じである。
次に、実施例2-6を説明する。図35は、実施例2-6における通信システムの構成図である。図35に示すように、実施例2-6において、機器情報蓄積装置300の認証制御部302が、SIM307上のプログラム(アプレット)として備えられる。この点を除いて、実施例2-6の通信システムは、実施例2-5の通信システムと同じである。
【0141】
図36は、実施例2―6におけるシーケンスを示す。上記のとおり、機器情報蓄積装置300の認証制御部302が、SIM307上のプログラム(アプレット)として備えられることのみが実施例2-5と異なり、シーケンスに係る動作は実施例2-5と同じである。
【0142】
<実施例2-7:機器入れ込み・管理システム無・プロビジョニング無>
次に、実施例2-7を説明する。図37は、実施例2-7における通信システムの構成図である。実施例2-7における通信システムの構成は、実施例2-3等における通信システムの構成(図29)と同じく、管理システム400が存在しない構成である。
次に、実施例2-7を説明する。図37は、実施例2-7における通信システムの構成図である。実施例2-7における通信システムの構成は、実施例2-3等における通信システムの構成(図29)と同じく、管理システム400が存在しない構成である。
【0143】
【0144】
実施例2-7では、S1905において、通信制御部301は、認証システム500へ認証要求を送信する。以降の処理内容は実施例2-3と同様である。
【0145】
<実施例2-8:機器入れ込み・管理システム無・プロビジョニング無・Applet>
次に、実施例2-8を説明する。図39は、実施例2-8における通信システムの構成図である。図39に示すように、実施例2-8において、機器情報蓄積装置300の認証制御部302が、SIM307上のプログラム(アプレット)として備えられる。この点を除いて、実施例2-8の通信システムは、実施例2-7の通信システムと同じである。
次に、実施例2-8を説明する。図39は、実施例2-8における通信システムの構成図である。図39に示すように、実施例2-8において、機器情報蓄積装置300の認証制御部302が、SIM307上のプログラム(アプレット)として備えられる。この点を除いて、実施例2-8の通信システムは、実施例2-7の通信システムと同じである。
【0146】
図40は、実施例2―8におけるシーケンスを示す。上記のとおり、機器情報蓄積装置300の認証制御部302が、SIM307上のプログラム(アプレット)として備えられることのみが実施例2-7と異なり、シーケンスに係る動作は実施例2-7と同じである。
【0147】
(装置のハードウェア構成例)
本実施の形態における機器100、通信装置200、機器情報蓄積装置300、管理システム400、認証システム500、及び加入者管理装置600(これらを総称して「装置」と呼ぶ)はいずれも、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。なお、機器100については、本実施の形態に係る処理を実行する部分が、コンピュータとプログラムで実現可能であることを想定している。
本実施の形態における機器100、通信装置200、機器情報蓄積装置300、管理システム400、認証システム500、及び加入者管理装置600(これらを総称して「装置」と呼ぶ)はいずれも、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。なお、機器100については、本実施の形態に係る処理を実行する部分が、コンピュータとプログラムで実現可能であることを想定している。
【0148】
この「コンピュータ」は、物理マシンであってもよいし、クラウド上の仮想マシンであってもよい。仮想マシンを使用する場合、ここで説明する「ハードウェア」は仮想的なハードウェアである。
【0149】
上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。
【0150】
図41は、上記コンピュータのハードウェア構成例を示す図である。図41のコンピュータは、それぞれバスBで相互に接続されているドライブ装置1000、補助記憶装置1002、メモリ装置1003、CPU1004、インタフェース装置1005、表示装置1006、入力装置1007、出力装置1008等を有する。また、図41に示すSIM1009は、通信装置200に備えられる。また、装置にSIM1009が備えられる場合もある。
【0151】
なお、装置によっては、ドライブ装置1000、表示装置1006、入力装置1007、出力装置1008のうちの1つ又は複数又は全部を備えないこととしてもよい。
【0152】
当該コンピュータでの処理を実現するプログラムは、例えば、CD-ROM又はメモリカード等の記録媒体1001によって提供される。プログラムを記憶した記録媒体1001がドライブ装置1000にセットされると、プログラムが記録媒体1001からドライブ装置1000を介して補助記憶装置1002にインストールされる。但し、プログラムのインストールは必ずしも記録媒体1001より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置1002は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
【0153】
メモリ装置1003は、プログラムの起動指示があった場合に、補助記憶装置1002からプログラムを読み出して格納する。CPU1004は、メモリ装置1003に格納されたプログラムに従って、当該装置に係る機能を実現する。なお、SIM1009のアプレット(プログラム)を使用する場合において、SIM1009に内蔵されるプロセッサが当該プログラムを実行することとしてもよい。
【0154】
インタフェース装置1005は、ネットワークに接続するためのインタフェースとして用いられる。表示装置1006はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置1007はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置1008は演算結果を出力する。
【0155】
(実施の形態の効果等)
以上説明した本実施の形態に係る技術により、不正な機器をネットワークに接続させないようにすることができる。
以上説明した本実施の形態に係る技術により、不正な機器をネットワークに接続させないようにすることができる。
【0156】
また、IoT機器は、IoT機器内のデータをデータ収集システムにアップロードする用途が多く、これを実現するために、IoT機器に初期設定情報の登録などプロビジョニングが必要となるが、大量に増えていくIoT機器1つ1つへの作業は膨大な作業量となる。
【0157】
一方、本実施の形態に係る技術により、安全にサーバやクラウドと通信が出来ることで、IoT機器1つ1つに適切なプロビジョニングを登録することができる。認証が確立したIoT機器であれば、予めサーバに登録されたプロビジョニング情報をサーバやクラウドからIoT機器に送信し、IoT機器は受信したプロビジョニング情報を登録することが可能となり、自動プロビジョニングを実現することができる。自動プロビジョニングにより、IoT機器1つ1つへのプロビジョニング作業は不要となる。
【0158】
(実施の形態のまとめ)
本明細書には、少なくとも下記の各項に記載した通信装置、機器、通信システム、認証方法、及びプログラムが記載されている。
(第1項)
機器に接続可能な通信装置であって、
前記通信装置を接続した前記機器から機器固有情報を取得する機器情報取得部と、
前記通信装置が保持する認証情報と前記機器固有情報とから認証キーを生成する認証制御部と、
前記認証キーを用いて前記通信装置と前記機器に対する認証処理を行う認証手段に、前記認証キーを送信する通信制御部と
を備える通信装置。
(第2項)
前記認証情報は、前記通信装置に備えられたSIMから取得したSIM情報である
第1項に記載の通信装置。
(第3項)
前記認証手段は、プロビジョニング情報を管理する手段を含み、前記通信制御部は、前記認証キーを含むプロビジョニング情報要求を前記認証手段に送信し、前記通信装置は、前記認証手段からプロビジョニング情報を受信する
第1項又は第2項に記載の通信装置。
(第4項)
認証情報を保持する機器であって、
前記機器の機器固有情報を取得する機器情報取得部と、
前記認証情報と前記機器固有情報とから認証キーを生成する認証制御部と、
前記認証キーを用いて前記機器に対する認証処理を行う認証手段に、前記認証キーを送信する通信制御部と
を備える機器。
(第5項)
機器と、当該機器に接続された通信装置と、認証手段とを備える通信システムであって、
前記通信装置が、前記機器から機器固有情報を取得し、
前記通信装置が、前記通信装置が保持する認証情報と前記機器固有情報とから認証キーを生成し、
前記通信装置が、前記認証手段に前記認証キーを送信し、
前記認証手段が、前記認証キーを用いて前記通信装置と前記機器に対する認証処理を行う
通信システム。
(第6項)
認証情報を保持する機器と、認証手段とを備える通信システムであって、
前記機器が、前記機器の機器固有情報を取得し、
前記機器が、前記認証情報と前記機器固有情報とから認証キーを生成し、
前記機器が、前記認証手段に前記認証キーを送信し、
前記認証手段が、前記認証キーを用いて前記機器に対する認証処理を行う
通信システム。
(第7項)
機器に接続可能な通信装置が実行する認証方法であって、
前記通信装置を接続した前記機器から機器固有情報を取得するステップと、
前記通信装置が保持する認証情報と前記機器固有情報とから認証キーを生成するステップと、
前記認証キーを用いて前記通信装置と前記機器に対する認証処理を行う認証手段に、前記認証キーを送信するステップと
を備える認証方法。
(第8項)
コンピュータを、第1項ないし第3項のうちいずれか1項に記載の前記通信装置における前記機器情報取得部、前記認証制御部、前記通信制御部として機能させるためのプログラム。
(第9項)
コンピュータを、第4項に記載の前記機器における前記機器情報取得部、前記認証制御部、前記通信制御部として機能させるためのプログラム。
本明細書には、少なくとも下記の各項に記載した通信装置、機器、通信システム、認証方法、及びプログラムが記載されている。
(第1項)
機器に接続可能な通信装置であって、
前記通信装置を接続した前記機器から機器固有情報を取得する機器情報取得部と、
前記通信装置が保持する認証情報と前記機器固有情報とから認証キーを生成する認証制御部と、
前記認証キーを用いて前記通信装置と前記機器に対する認証処理を行う認証手段に、前記認証キーを送信する通信制御部と
を備える通信装置。
(第2項)
前記認証情報は、前記通信装置に備えられたSIMから取得したSIM情報である
第1項に記載の通信装置。
(第3項)
前記認証手段は、プロビジョニング情報を管理する手段を含み、前記通信制御部は、前記認証キーを含むプロビジョニング情報要求を前記認証手段に送信し、前記通信装置は、前記認証手段からプロビジョニング情報を受信する
第1項又は第2項に記載の通信装置。
(第4項)
認証情報を保持する機器であって、
前記機器の機器固有情報を取得する機器情報取得部と、
前記認証情報と前記機器固有情報とから認証キーを生成する認証制御部と、
前記認証キーを用いて前記機器に対する認証処理を行う認証手段に、前記認証キーを送信する通信制御部と
を備える機器。
(第5項)
機器と、当該機器に接続された通信装置と、認証手段とを備える通信システムであって、
前記通信装置が、前記機器から機器固有情報を取得し、
前記通信装置が、前記通信装置が保持する認証情報と前記機器固有情報とから認証キーを生成し、
前記通信装置が、前記認証手段に前記認証キーを送信し、
前記認証手段が、前記認証キーを用いて前記通信装置と前記機器に対する認証処理を行う
通信システム。
(第6項)
認証情報を保持する機器と、認証手段とを備える通信システムであって、
前記機器が、前記機器の機器固有情報を取得し、
前記機器が、前記認証情報と前記機器固有情報とから認証キーを生成し、
前記機器が、前記認証手段に前記認証キーを送信し、
前記認証手段が、前記認証キーを用いて前記機器に対する認証処理を行う
通信システム。
(第7項)
機器に接続可能な通信装置が実行する認証方法であって、
前記通信装置を接続した前記機器から機器固有情報を取得するステップと、
前記通信装置が保持する認証情報と前記機器固有情報とから認証キーを生成するステップと、
前記認証キーを用いて前記通信装置と前記機器に対する認証処理を行う認証手段に、前記認証キーを送信するステップと
を備える認証方法。
(第8項)
コンピュータを、第1項ないし第3項のうちいずれか1項に記載の前記通信装置における前記機器情報取得部、前記認証制御部、前記通信制御部として機能させるためのプログラム。
(第9項)
コンピュータを、第4項に記載の前記機器における前記機器情報取得部、前記認証制御部、前記通信制御部として機能させるためのプログラム。
【0159】
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【符号の説明】
【0160】
100 機器
101 機器情報取得部
102 通信制御部
103 認証制御部
104 SIM
105 プロビジョニング制御部
106 機器情報記録部
200 通信装置
201 機器情報取得部
202 通信制御部
203 認証制御部
204 SIM
205 プロビジョニング制御部
300 機器情報蓄積装置
301 通信制御部
302 認証制御部
303 機器情報データベース
304 機器情報記録部
305 機器情報取得部
306 プロビジョニング制御部
307 SIM
400 管理システム
500 認証システム
600 加入者管理装置
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
1009 SIM
101 機器情報取得部
102 通信制御部
103 認証制御部
104 SIM
105 プロビジョニング制御部
106 機器情報記録部
200 通信装置
201 機器情報取得部
202 通信制御部
203 認証制御部
204 SIM
205 プロビジョニング制御部
300 機器情報蓄積装置
301 通信制御部
302 認証制御部
303 機器情報データベース
304 機器情報記録部
305 機器情報取得部
306 プロビジョニング制御部
307 SIM
400 管理システム
500 認証システム
600 加入者管理装置
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
1009 SIM
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【図39】
【図40】
【図41】