JP2018082362A - Communication system, communication device, server device, communication method, and computer program - Google Patents

Communication system, communication device, server device, communication method, and computer program Download PDF

Info

Publication number
JP2018082362A
JP2018082362A JP2016224583A JP2016224583A JP2018082362A JP 2018082362 A JP2018082362 A JP 2018082362A JP 2016224583 A JP2016224583 A JP 2016224583A JP 2016224583 A JP2016224583 A JP 2016224583A JP 2018082362 A JP2018082362 A JP 2018082362A
Authority
JP
Japan
Prior art keywords
key
communication
communication device
server
arithmetic processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016224583A
Other languages
Japanese (ja)
Other versions
JP6408536B2 (en
Inventor
竹森 敬祐
Keisuke Takemori
敬祐 竹森
隆将 磯原
Takamasa Isohara
隆将 磯原
輝彰 本間
Teruaki Honma
輝彰 本間
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2016224583A priority Critical patent/JP6408536B2/en
Publication of JP2018082362A publication Critical patent/JP2018082362A/en
Application granted granted Critical
Publication of JP6408536B2 publication Critical patent/JP6408536B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To improve the security of a communication device, such as an IoT device, included in a communication system, such as an IoT system.SOLUTION: A communication method includes: a key storage step, by a second computation processing device, of storing a first key and a second key used for communication between a communication device and a server device; an authentication processing step, by the second computation processing device, of performing an authentication process with the server device with the first key; a key transmission and reception step, by the second computation processing device, of transmitting or receiving a third key to/from the server device by encryption communication using the second key; and a communication step, by a first computation processing device, of performing encryption communication with the server device with the third key.SELECTED DRAWING: Figure 10

Description

本発明は、通信システム、通信装置、サーバ装置、通信方法、及びコンピュータプログラムに関する。   The present invention relates to a communication system, a communication device, a server device, a communication method, and a computer program.

信号機、気象観測センサー等の特定用途の組込み機器が、社会の至る所に設置されている。これらの組込み機器に搭載されているIoTデバイスは、インターネットに接続され、情報を送受信することができる。こうしたモノのインターネット(Internet of Things:IoT)の世界では、IoTシステムは、多種多様で膨大な数の非力なIoTデバイスを含む。IoTシステムに含まれるサーバは、IoTデバイスが送信した情報を取得すると、該情報を処理する。
通信データの秘匿を図る技術の一つとして公開鍵暗号方式が知られている。公開鍵暗号方式では、一般に、PKI(Public Key Infrastructure、公開鍵基盤)を利用して公開鍵(公開鍵証明書)がやり取りされる(例えば、非特許文献1参照)。 Embedded devices for specific purposes such as traffic lights and weather sensors are installed throughout society. IoT devices mounted on these embedded devices are connected to the Internet and can send and receive information. In the Internet of Things (IoT) world, the IoT system includes a wide variety of powerless IoT devices. When the server included in the IoT system acquires the information transmitted by the IoT device, the server processes the information.
A public key cryptosystem is known as one technique for concealing communication data. In the public key cryptosystem, a public key (public key certificate) is generally exchanged using PKI (Public Key Infrastructure) (for example, see Non-Patent Document 1).

ITpro、“情報セキュリティ入門 − PKI(後編)−−−X.509証明書とPKIの仕組み”、[平成28年11月15日検索]、インターネット<URL:http://itpro.nikkeibp.co.jp/article/COLUMN/20060725/244233/>ITpro, "Introduction to Information Security-PKI (Part 2) --- X.509 Certificate and PKI Mechanism", [November 15, 2016 search], Internet <URL: http://itpro.nikkeibp.co. jp / article / COLUMN / 20060725/244233 / >

インターネットに偽のIoTデバイスが接続され、該偽のIoTデバイスから誤った情報がサーバへ送信されることが想定される。この場合、サーバが処理した結果は誤ったものになってしまう。しかしながら、インターネットに接続されるIoTデバイスが真のIoTデバイスであるか偽のIoTデバイスであるかの真贋を判定することは難しい。
また、IoTデバイスのセキュリティが侵害されるおそれがある。しかしながら、非力なIoTデバイスに高度なセキュリティ対策機能を追加することは難しい。
本発明は、上記問題を解決すべくなされたもので、IoTシステム等の通信システムに含まれるIoTデバイス等の通信装置のセキュリティを向上させることを目的とする。 It is assumed that a fake IoT device is connected to the Internet and erroneous information is transmitted from the fake IoT device to the server. In this case, the result processed by the server is incorrect. However, it is difficult to determine whether the IoT device connected to the Internet is a true IoT device or a fake IoT device.
In addition, the security of the IoT device may be violated. However, it is difficult to add a sophisticated security countermeasure function to a weak IoT device.
The present invention has been made to solve the above problems, and an object thereof is to improve the security of a communication apparatus such as an IoT device included in a communication system such as an IoT system.

(1)本発明の一態様は、通信装置とサーバ装置との間の通信を行う通信システムであり、前記サーバ装置と、前記通信装置に搭載される第1演算処理装置と、前記通信装置に搭載されるセキュアエレメントである第2演算処理装置とを備え、前記第2演算処理装置は、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵及び第2鍵を格納する通信装置鍵記憶部と、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理部と、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受部と、を備え、前記第1演算処理装置は、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信部を備え、前記サーバ装置は、前記通信装置と同じ前記第1鍵及び前記第2鍵を格納するサーバ鍵記憶部と、前記第1鍵を使用して前記通信装置の前記通信装置認証処理部との間で認証処理を行うサーバ認証処理部と、前記第2鍵を使用する暗号通信により、前記通信装置の前記通信装置鍵送受部との間で前記第3鍵を送信又は受信するサーバ鍵送受部と、前記第3鍵を使用して、前記通信装置の前記通信装置通信部との間で暗号通信を行うサーバ通信部と、を備える、通信システムである。 (1) One embodiment of the present invention is a communication system that performs communication between a communication device and a server device, the server device, a first arithmetic processing device mounted on the communication device, and the communication device. A second arithmetic processing unit, which is a secure element to be mounted, and the second arithmetic processing unit stores a first key and a second key used for communication between the communication device and the server device. Between the communication device key storage unit, the communication device authentication processing unit that performs authentication processing with the server device using the first key, and the server device by encrypted communication using the second key. A communication device key transmission / reception unit for transmitting or receiving the third key in the communication device communication, wherein the first arithmetic processing device performs cryptographic communication with the server device using the third key. The server device is the same as the communication device. A server key processing unit that stores the first key and the second key, and a server authentication processing unit that performs an authentication process with the communication device authentication processing unit of the communication device using the first key; A server key transmission / reception unit that transmits or receives the third key to / from the communication device key transmission / reception unit of the communication device by encrypted communication using the second key, and using the third key, A server communication unit that performs cryptographic communication with the communication device communication unit of the communication device.

(2)本発明の一態様は、通信装置とサーバ装置との間の通信を行う通信システムであり、前記サーバ装置と、前記通信装置に搭載される第1演算処理装置と、前記通信装置に搭載されるセキュアエレメントである第2演算処理装置とを備え、前記第2演算処理装置は、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵を格納する第2通信装置鍵記憶部と、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理部と、を備え、前記第1演算処理装置は、前記通信装置と前記サーバ装置との間の通信に使用される第2鍵を格納する第1通信装置鍵記憶部と、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受部と、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信部と、を備え、前記サーバ装置は、前記通信装置と同じ前記第1鍵及び前記第2鍵を格納するサーバ鍵記憶部と、前記第1鍵を使用して前記通信装置の前記通信装置認証処理部との間で認証処理を行うサーバ認証処理部と、前記第2鍵を使用する暗号通信により、前記通信装置の前記通信装置鍵送受部との間で前記第3鍵を送信又は受信するサーバ鍵送受部と、前記第3鍵を使用して、前記通信装置の前記通信装置通信部との間で暗号通信を行うサーバ通信部と、を備える、通信システムである。 (2) One embodiment of the present invention is a communication system that performs communication between a communication device and a server device. The server device, a first arithmetic processing device mounted on the communication device, and the communication device A second arithmetic processing unit, which is a secure element to be mounted, and the second arithmetic processing unit stores a first key used for communication between the communication device and the server device A key storage unit, and a communication device authentication processing unit that performs authentication processing with the server device using the first key, wherein the first arithmetic processing device includes the communication device and the server device. Communication for transmitting or receiving a third key between the first communication device key storage unit for storing the second key used for communication between the server device and the server device by encrypted communication using the second key. The device key transmission / reception unit and the third key are used to A communication device communication unit that performs encrypted communication with the communication device, and the server device stores the first key and the second key that are the same as the communication device, and the first A server authentication processing unit that performs authentication processing with the communication device authentication processing unit of the communication device using a key, and the communication device key transmission / reception unit of the communication device by encrypted communication using the second key. A server key transmission / reception unit that transmits or receives the third key to / from the server, and a server communication unit that performs cryptographic communication with the communication device communication unit of the communication device using the third key; It is a communication system provided with.

(3)本発明の一態様は、上記(1)又は(2)のいずれかの通信システムにおいて、前記第2演算処理装置は、マスタ鍵を格納する通信装置マスタ鍵記憶部と、前記マスタ鍵と前記通信装置に対応する通信装置対応識別子とを使用して前記第1鍵及び前記第2鍵を生成する通信装置鍵生成部と、をさらに備える通信システムである。
(4)本発明の一態様は、上記(1)から(3)のいずれかの通信システムにおいて、前記サーバ装置は、前記通信装置と同じマスタ鍵を格納するサーバマスタ鍵記憶部と、前記マスタ鍵と前記通信装置に対応する通信装置対応識別子とを使用して前記第1鍵及び前記第2鍵を生成するサーバ鍵生成部と、をさらに備える通信システムである。
(5)本発明の一態様は、上記(3)又は(4)のいずれかの通信システムにおいて、前記第1演算処理装置は、前記通信装置対応識別子を前記第2演算処理装置と前記サーバ装置とに通知する通信装置対応識別子通知部、をさらに備える通信システムである。 (3) According to one aspect of the present invention, in the communication system according to (1) or (2), the second arithmetic processing unit includes a communication device master key storage unit that stores a master key, and the master key. And a communication device key generation unit that generates the first key and the second key using a communication device correspondence identifier corresponding to the communication device.
(4) According to one aspect of the present invention, in the communication system according to any one of (1) to (3), the server device stores a server master key storage unit that stores the same master key as the communication device, and the master A communication system further comprising: a server key generation unit that generates the first key and the second key using a key and a communication device correspondence identifier corresponding to the communication device.
(5) According to one aspect of the present invention, in the communication system according to any one of (3) and (4), the first arithmetic processing device uses the communication device correspondence identifier as the second arithmetic processing device and the server device. The communication device further includes a communication device corresponding identifier notification unit that notifies the communication device.

(6)本発明の一態様は、サーバ装置と通信を行う通信装置であり、第1演算処理装置と、セキュアエレメントである第2演算処理装置とを備え、前記第2演算処理装置は、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵及び第2鍵を格納する通信装置鍵記憶部と、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理部と、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受部と、を備え、前記第1演算処理装置は、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信部を備える、通信装置である。 (6) One embodiment of the present invention is a communication device that communicates with a server device, and includes a first arithmetic processing device and a second arithmetic processing device that is a secure element, and the second arithmetic processing device includes: A communication device key storage unit for storing a first key and a second key used for communication between the communication device and the server device, and an authentication process between the server device using the first key. A communication device authentication processing unit to perform, and a communication device key transmission / reception unit that transmits or receives a third key to or from the server device by encrypted communication using the second key. Is a communication device including a communication device communication unit that performs encrypted communication with the server device using the third key.

(7)本発明の一態様は、サーバ装置と通信を行う通信装置であり、第1演算処理装置と、セキュアエレメントである第2演算処理装置とを備え、前記第2演算処理装置は、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵を格納する第2通信装置鍵記憶部と、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理部と、を備え、前記第1演算処理装置は、前記通信装置と前記サーバ装置との間の通信に使用される第2鍵を格納する第1通信装置鍵記憶部と、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受部と、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信部と、を備える、通信装置である。 (7) One embodiment of the present invention is a communication device that communicates with a server device, and includes a first arithmetic processing device and a second arithmetic processing device that is a secure element, and the second arithmetic processing device includes: Communication that performs authentication processing between the second communication device key storage unit that stores the first key used for communication between the communication device and the server device, and the server device using the first key A device authentication processing unit, wherein the first arithmetic processing unit includes a first communication device key storage unit that stores a second key used for communication between the communication device and the server device; A communication device key transmission / reception unit that transmits or receives a third key to / from the server device by encryption communication using two keys, and performs encryption communication to / from the server device using the third key. And a communication device communication unit for performing communication.

(8)本発明の一態様は、通信装置と通信を行うサーバ装置であり、前記通信装置と同じ第1鍵及び第2鍵を格納するサーバ鍵記憶部と、前記第1鍵を使用して前記通信装置のセキュアエレメントである第2演算処理装置の通信装置認証処理部との間で認証処理を行うサーバ認証処理部と、前記第2鍵を使用する暗号通信により、前記通信装置の通信装置鍵送受部との間で第3鍵を送信又は受信するサーバ鍵送受部と、前記第3鍵を使用して、前記通信装置の通信装置通信部との間で暗号通信を行うサーバ通信部と、を備えるサーバ装置である。 (8) One aspect of the present invention is a server device that communicates with a communication device, using a server key storage unit that stores the same first key and second key as the communication device, and the first key. A server authentication processing unit that performs authentication processing with a communication device authentication processing unit of a second arithmetic processing device that is a secure element of the communication device, and a communication device of the communication device by encrypted communication using the second key A server key transmission / reception unit that transmits or receives a third key to / from the key transmission / reception unit, and a server communication unit that performs cryptographic communication with the communication device communication unit of the communication device using the third key; Are server devices.

(9)本発明の一態様は、通信装置とサーバ装置との間の通信方法であり、前記通信装置は、第1演算処理装置と、セキュアエレメントである第2演算処理装置とを備え、前記第2演算処理装置が、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵及び第2鍵を格納する鍵記憶ステップと、前記第2演算処理装置が、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う認証処理ステップと、前記第2演算処理装置が、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する鍵送受ステップと、前記第1演算処理装置が、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信ステップと、を含む通信方法である。 (9) One aspect of the present invention is a communication method between a communication device and a server device, and the communication device includes a first arithmetic processing device and a second arithmetic processing device that is a secure element, A key storage step in which the second arithmetic processing unit stores a first key and a second key used for communication between the communication device and the server device; and the second arithmetic processing unit includes the first key. An authentication processing step for performing an authentication process with the server device using the second processing unit, and the second arithmetic processing device obtains a third key with the server device by encrypted communication using the second key. A key transmission / reception step for transmitting or receiving; and a communication step in which the first arithmetic processing device performs cryptographic communication with the server device using the third key.

(10)本発明の一態様は、通信装置とサーバ装置との間の通信方法であり、前記通信装置は、第1演算処理装置と、セキュアエレメントである第2演算処理装置とを備え、前記第2演算処理装置が、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵を格納する第1鍵記憶ステップと、前記第2演算処理装置が、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う認証処理ステップと、前記第1演算処理装置が、前記通信装置と前記サーバ装置との間の通信に使用される第2鍵を格納する第2鍵記憶ステップと、前記第1演算処理装置が、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する鍵送受ステップと、前記第1演算処理装置が、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信ステップと、を含む通信方法である。 (10) One aspect of the present invention is a communication method between a communication device and a server device, and the communication device includes a first arithmetic processing device and a second arithmetic processing device that is a secure element, A first key storage step in which a second arithmetic processing unit stores a first key used for communication between the communication device and the server device; and the second arithmetic processing unit uses the first key. And an authentication processing step for performing an authentication process with the server device, and a second key in which the first arithmetic processing device stores a second key used for communication between the communication device and the server device. A key storing step, a key sending / receiving step in which the first arithmetic processing device transmits or receives a third key to / from the server device by encrypted communication using the second key, and the first arithmetic processing device. Using the third key, the server device A communication step of performing encrypted communication with a communication method comprising.

(11)本発明の一態様は、サーバ装置と通信を行う通信装置に備わる、セキュアエレメントである第2コンピュータに、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵及び第2鍵を格納する通信装置鍵記憶機能と、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理機能と、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受機能と、を実現させ、前記通信装置に備わる第1コンピュータに、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信機能を実現させるためのコンピュータプログラムである。 (11) According to one aspect of the present invention, a second key, which is a secure element, provided in a communication device that communicates with a server device, a first key used for communication between the communication device and the server device, and A communication device key storage function for storing a second key, a communication device authentication processing function for performing authentication processing with the server device using the first key, and encryption communication using the second key, A communication device key transmission / reception function for transmitting or receiving a third key to / from the server device, and the first computer provided in the communication device uses the third key to communicate with the server device. It is a computer program for realizing a communication device communication function for performing encrypted communication between the two.

(12)本発明の一態様は、サーバ装置と通信を行う通信装置に備わる、セキュアエレメントである第2コンピュータに、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵を格納する第2通信装置鍵記憶機能と、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理機能と、を実現させ、前記通信装置に備わる第1コンピュータに、前記通信装置と前記サーバ装置との間の通信に使用される第2鍵を格納する第1通信装置鍵記憶機能と、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受機能と、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信機能と、を実現させるためのコンピュータプログラムである。 (12) According to one aspect of the present invention, a second key that is a secure element provided in a communication device that communicates with a server device is provided with a first key used for communication between the communication device and the server device. A second communication device key storage function to be stored and a communication device authentication processing function for performing authentication processing with the server device using the first key are realized, and the first computer provided in the communication device The first communication device key storage function for storing a second key used for communication between the communication device and the server device, and the server device by encrypted communication using the second key. A computer program for realizing a communication device key transmission / reception function for transmitting or receiving a third key and a communication device communication function for performing cryptographic communication with the server device using the third key. .

(13)本発明の一態様は、通信装置と通信を行うサーバ装置のコンピュータに、前記通信装置と同じ第1鍵及び第2鍵を格納するサーバ鍵記憶機能と、前記第1鍵を使用して前記通信装置のセキュアエレメントである第2演算処理装置の通信装置認証処理部との間で認証処理を行うサーバ認証処理機能と、前記第2鍵を使用する暗号通信により、前記通信装置の通信装置鍵送受部との間で第3鍵を送信又は受信するサーバ鍵送受機能と、前記第3鍵を使用して、前記通信装置の通信装置通信部との間で暗号通信を行うサーバ通信機能と、を実現させるためのコンピュータプログラムである。 (13) One embodiment of the present invention uses a server key storage function for storing the same first key and second key as the communication device in a computer of the server device that communicates with the communication device, and the first key. The communication device communicates with the server authentication processing function for performing authentication processing with the communication device authentication processing unit of the second arithmetic processing device, which is a secure element of the communication device, and encrypted communication using the second key. A server key transmission / reception function for transmitting or receiving a third key to / from the device key transmission / reception unit, and a server communication function for performing cryptographic communication with the communication device communication unit of the communication device using the third key And a computer program for realizing the above.

本発明によれば、IoTシステム等の通信システムに含まれるIoTデバイス等の通信装置のセキュリティを向上させることができる。   ADVANTAGE OF THE INVENTION According to this invention, the security of communication apparatuses, such as an IoT device contained in communication systems, such as an IoT system, can be improved.

一実施形態に係る通信システムの構成例1(通信システム1)を示す図である。It is a figure which shows the structural example 1 (communication system 1) of the communication system which concerns on one Embodiment. 一実施形態に係るサーバ装置2000の構成例を示すブロック図である。It is a block diagram which shows the structural example of the server apparatus 2000 which concerns on one Embodiment. 一実施形態に係るIoTデバイス1040のハードウェア構成例を示すブロック図である。It is a block diagram which shows the hardware structural example of the IoT device 1040 which concerns on one Embodiment. 一実施形態に係る通信モジュール1051のハードウェア構成例を示すブロック図である。It is a block diagram which shows the hardware structural example of the communication module 1051 which concerns on one Embodiment. 一実施形態に係る通信システムの構成例2(通信システム2)を示す図である。It is a figure which shows the structural example 2 (communication system 2) of the communication system which concerns on one Embodiment. 一実施形態に係る通信ゲートウェイ装置1050のハードウェア構成例を示すブロック図である。It is a block diagram which shows the hardware structural example of the communication gateway apparatus 1050 which concerns on one Embodiment. 一実施形態に係る通信システムの構成例3(通信システム3)を示す図である。It is a figure which shows the structural example 3 (communication system 3) of the communication system which concerns on one Embodiment. 一実施形態に係る第1演算処理装置500の機能構成例を示す図である。It is a figure which shows the function structural example of the 1st arithmetic processing unit 500 which concerns on one Embodiment. 一実施形態に係る第2演算処理装置600の機能構成例を示す図である。It is a figure which shows the function structural example of the 2nd arithmetic processing unit 600 which concerns on one Embodiment. 一実施形態に係る通信方法の例1を示すシーケンスチャートである。It is a sequence chart which shows Example 1 of the communication method which concerns on one Embodiment. 一実施形態に係る通信方法の例2を示すシーケンスチャートである。It is a sequence chart which shows Example 2 of the communication method which concerns on one Embodiment. 一実施形態に係る通信方法の例3を示すシーケンスチャートである。It is a sequence chart which shows Example 3 of the communication method which concerns on one Embodiment. 一実施形態に係る通信方法の例4を示すシーケンスチャートである。It is a sequence chart which shows Example 4 of the communication method which concerns on one Embodiment.

以下、図面を参照し、本発明の実施形態について説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

[通信システムの構成例]
本実施形態に係る通信システムの構成例を説明する。 [Configuration example of communication system]
A configuration example of the communication system according to the present embodiment will be described.

(通信システムの構成例1)
図1は、本実施形態に係る通信システムの構成例1(通信システム1)を示す図である。図1において、通信システム1は、サーバ装置2000とIoTデバイス1040とを備える。サーバ装置2000とIoTデバイス1040とは、インターネット等の通信網3000を介して接続される。 (Configuration example 1 of communication system)
FIG. 1 is a diagram showing a configuration example 1 (communication system 1) of a communication system according to the present embodiment. In FIG. 1, the communication system 1 includes a server device 2000 and an IoT device 1040. The server apparatus 2000 and the IoT device 1040 are connected via a communication network 3000 such as the Internet.

IoTデバイス1040は通信装置である。IoTデバイス1040は、通信モジュール1051を備える。通信モジュール1051は、無線通信ネットワークを利用して無線通信を行う。通信モジュール1051は、SIM(Subscriber Identity Module)1052を備える。SIM1052は、無線通信ネットワークを利用するための情報が書き込まれたSIMである。通信モジュール1051は、SIM1052を使用することにより該無線通信ネットワークに接続して無線通信を行うことができる。なお、SIM1052として、eSIM(Embedded Subscriber Identity Module)を使用してもよい。SIM及びeSIMはセキュアエレメント(Secure Element:SE)の例である。SIM及びeSIMは耐タンパー性(Tamper Resistant)を有する。   The IoT device 1040 is a communication device. The IoT device 1040 includes a communication module 1051. The communication module 1051 performs wireless communication using a wireless communication network. The communication module 1051 includes a SIM (Subscriber Identity Module) 1052. The SIM 1052 is a SIM in which information for using the wireless communication network is written. The communication module 1051 can use the SIM 1052 to connect to the wireless communication network and perform wireless communication. Note that an eSIM (Embedded Subscriber Identity Module) may be used as the SIM 1052. SIM and eSIM are examples of secure elements (SE). SIM and eSIM have tamper resistant properties.

図2は、本実施形態に係るサーバ装置2000の構成例を示すブロック図である。図2において、サーバ装置2000は、通信部11と、記憶部12と、鍵生成部15と、鍵送受部16と、認証処理部18とを備える。通信部11は、通信回線を介して、他の装置と通信を行う。記憶部12は、データを記憶する。鍵生成部15は、鍵を生成する。鍵送受部16は、他の通信装置との間で鍵の送信又は受信を行う。認証処理部18は、他の通信装置との間で認証処理を行う。   FIG. 2 is a block diagram illustrating a configuration example of the server apparatus 2000 according to the present embodiment. In FIG. 2, the server device 2000 includes a communication unit 11, a storage unit 12, a key generation unit 15, a key transmission / reception unit 16, and an authentication processing unit 18. The communication unit 11 communicates with other devices via a communication line. The storage unit 12 stores data. The key generation unit 15 generates a key. The key transmission / reception unit 16 transmits or receives a key to or from another communication device. The authentication processing unit 18 performs authentication processing with other communication devices.

サーバ装置2000の機能は、該サーバ装置2000が備えるCPU(Central Processing Unit:中央演算処理装置)がコンピュータプログラムを実行することにより実現される。なお、サーバ装置2000として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。   The functions of the server device 2000 are realized by a CPU (Central Processing Unit) included in the server device 2000 executing a computer program. Note that the server device 2000 may be configured using a general-purpose computer device, or may be configured as a dedicated hardware device.

図3は、本実施形態に係るIoTデバイス1040のハードウェア構成例を示すブロック図である。図3において、IoTデバイス1040は、CPU110と、記憶部112と、インタフェース部116と、通信モジュール1051とを備える。これら各部はデータを交換できるように構成されている。   FIG. 3 is a block diagram illustrating a hardware configuration example of the IoT device 1040 according to the present embodiment. In FIG. 3, the IoT device 1040 includes a CPU 110, a storage unit 112, an interface unit 116, and a communication module 1051. These units are configured to exchange data.

CPU110はIoTデバイス1040の制御を行う。この制御機能は、CPU110がコンピュータプログラムを実行することにより実現される。記憶部112は、CPU110で実行されるコンピュータプログラムや各種のデータを記憶する。記憶部112は、IoTデバイス1040の各種の機能を実現させるためのコンピュータプログラムを記憶する。CPU110が該コンピュータプログラムを実行することにより、IoTデバイス1040の各種の機能が実現される。   The CPU 110 controls the IoT device 1040. This control function is realized by the CPU 110 executing a computer program. The storage unit 112 stores a computer program executed by the CPU 110 and various data. The storage unit 112 stores a computer program for realizing various functions of the IoT device 1040. Various functions of the IoT device 1040 are realized by the CPU 110 executing the computer program.

インタフェース部116は、自IoTデバイス1040の外部の装置とデータを送受する。インタフェース部116は、ブルートゥース(Bluetooth)(登録商標)、ワイファイ(WiFi)(登録商標)、近距離無線通信技術(Near Field Communication:NFC)等の無線通信技術で無線通信を行う無線デバイスを備えてもよい。インタフェース部116は、通信網3000と接続する無線又は有線の通信インタフェースを備えてもよい。   The interface unit 116 transmits / receives data to / from an external device of the local IoT device 1040. The interface unit 116 includes a wireless device that performs wireless communication using a wireless communication technology such as Bluetooth (registered trademark), WiFi (registered trademark), or near field communication (NFC). Also good. The interface unit 116 may include a wireless or wired communication interface connected to the communication network 3000.

通信モジュール1051は、SIM1052を備える。通信モジュール1051は、SIM1052を使用することにより該SIM1052に対応する無線通信ネットワークに接続して無線通信を行うことができる。IoTデバイス1040は、通信モジュール1051を使用して、外部の装置と通信を行う。例えば、IoTデバイス1040は、通信モジュール1051を使用して、サーバ装置2000と通信を行ってもよい。   The communication module 1051 includes a SIM 1052. The communication module 1051 can use the SIM 1052 to connect to a wireless communication network corresponding to the SIM 1052 and perform wireless communication. The IoT device 1040 uses the communication module 1051 to communicate with an external device. For example, the IoT device 1040 may communicate with the server apparatus 2000 using the communication module 1051.

なお、IoTデバイス1040は、必要に応じて、図3に示されないセンサデバイス等のデバイスを備えてもよい。   Note that the IoT device 1040 may include a device such as a sensor device not shown in FIG. 3 as necessary.

図4は、本実施形態に係る通信モジュール1051のハードウェア構成例を示すブロック図である。図4において、通信モジュール1051は、CPU1053と、記憶部1054と、インタフェース部1055と、SIM1052とを備える。これら各部はデータを交換できるように構成されている。通信モジュール1051は通信装置である。   FIG. 4 is a block diagram illustrating a hardware configuration example of the communication module 1051 according to the present embodiment. In FIG. 4, the communication module 1051 includes a CPU 1053, a storage unit 1054, an interface unit 1055, and a SIM 1052. These units are configured to exchange data. The communication module 1051 is a communication device.

CPU1053は通信モジュール1051の制御を行う。この制御機能は、CPU1053がコンピュータプログラムを実行することにより実現される。記憶部1054は、CPU1053で実行されるコンピュータプログラムや各種のデータを記憶する。記憶部1054は、通信モジュール1051の各種の機能を実現させるためのコンピュータプログラムを記憶する。CPU1053が該コンピュータプログラムを実行することにより、通信モジュール1051の各種の機能が実現される。   The CPU 1053 controls the communication module 1051. This control function is realized by the CPU 1053 executing a computer program. The storage unit 1054 stores a computer program executed by the CPU 1053 and various data. The storage unit 1054 stores a computer program for realizing various functions of the communication module 1051. Various functions of the communication module 1051 are realized by the CPU 1053 executing the computer program.

インタフェース部1055は、自通信モジュール1051の外部の装置とデータを送受する。SIM1052は自SIM1052の各種の機能を実現させるためのコンピュータプログラムを実行することにより、SIM1052の各種の機能が実現される。   The interface unit 1055 transmits / receives data to / from an external device of the own communication module 1051. The SIM 1052 implements various functions of the SIM 1052 by executing computer programs for realizing various functions of the SIM 1052 itself.

(通信システムの構成例2)
図5は、本実施形態に係る通信システムの構成例2(通信システム2)を示す図である。図5において図1の各部に対応する部分には同一の符号を付している。図5に示す通信システム2は、サーバ装置2000とIoTデバイス1040と通信ゲートウェイ装置1050とを備える。サーバ装置2000と通信ゲートウェイ装置1050とは通信網3000を介して接続される。通信ゲートウェイ装置1050とIoTデバイス1040とは通信網3000を介して接続される。通信ゲートウェイ装置1050は、IoTデバイス1040が通信網3000を介して外部の装置と行う通信を監視する。通信ゲートウェイ装置1050は通信装置である。通信ゲートウェイ装置1050は、通信モジュール1051を備える。通信モジュール1051は、SIM1052を備える。 (Configuration example 2 of communication system)
FIG. 5 is a diagram showing a configuration example 2 (communication system 2) of the communication system according to the present embodiment. In FIG. 5, parts corresponding to those in FIG. The communication system 2 illustrated in FIG. 5 includes a server device 2000, an IoT device 1040, and a communication gateway device 1050. Server device 2000 and communication gateway device 1050 are connected via communication network 3000. Communication gateway apparatus 1050 and IoT device 1040 are connected via communication network 3000. The communication gateway device 1050 monitors communication performed by the IoT device 1040 with an external device via the communication network 3000. The communication gateway device 1050 is a communication device. The communication gateway device 1050 includes a communication module 1051. The communication module 1051 includes a SIM 1052.

図6は、本実施形態に係る通信ゲートウェイ装置1050のハードウェア構成例を示すブロック図である。図6において、通信ゲートウェイ装置1050は、CPU210と、記憶部212と、インタフェース部216と、通信モジュール1051とを備える。これら各部はデータを交換できるように構成されている。通信モジュール1051は、SIM1052を備える。   FIG. 6 is a block diagram illustrating a hardware configuration example of the communication gateway device 1050 according to the present embodiment. In FIG. 6, the communication gateway device 1050 includes a CPU 210, a storage unit 212, an interface unit 216, and a communication module 1051. These units are configured to exchange data. The communication module 1051 includes a SIM 1052.

CPU210は通信ゲートウェイ装置1050の制御を行う。この制御機能は、CPU210がコンピュータプログラムを実行することにより実現される。記憶部212は、CPU210で実行されるコンピュータプログラムや各種のデータを記憶する。記憶部212は、通信ゲートウェイ装置1050の各種の機能を実現させるためのコンピュータプログラムを記憶する。CPU210が該コンピュータプログラムを実行することにより、通信ゲートウェイ装置1050の各種の機能が実現される。   The CPU 210 controls the communication gateway device 1050. This control function is realized by the CPU 210 executing a computer program. The storage unit 212 stores a computer program executed by the CPU 210 and various data. The storage unit 212 stores a computer program for realizing various functions of the communication gateway device 1050. Various functions of the communication gateway device 1050 are realized by the CPU 210 executing the computer program.

インタフェース部216は、自通信ゲートウェイ装置1050の外部の装置とデータを送受する。インタフェース部216は、通信網3000と接続する無線又は有線の通信インタフェースを備えてもよい。通信モジュール1051及びSIM1052は上述した通りである。   The interface unit 216 transmits / receives data to / from an external device of the self-communication gateway device 1050. The interface unit 216 may include a wireless or wired communication interface connected to the communication network 3000. The communication module 1051 and the SIM 1052 are as described above.

(通信システムの構成例3)
図7は、本実施形態に係る通信システムの構成例3(通信システム3)を示す図である。図7において図1及び図5の各部に対応する部分には同一の符号を付している。図7に示す通信システム3は、サーバ装置2000とIoTデバイス1040と通信ゲートウェイ装置1050とを備える。サーバ装置2000と通信ゲートウェイ装置1050とは通信網3000を介して接続される。通信ゲートウェイ装置1050とIoTデバイス1040とは通信路3010を介して接続される。通信路3010は、通信網3000とは独立した通信路である。通信路3010は、無線通信路であってもよく、又は、有線通信路であってもよい。通信路3010は、無線又は有線のLAN(Local Area Network)であってもよい。 (Configuration example 3 of communication system)
FIG. 7 is a diagram showing a configuration example 3 (communication system 3) of the communication system according to the present embodiment. In FIG. 7, parts corresponding to those in FIGS. 1 and 5 are given the same reference numerals. The communication system 3 illustrated in FIG. 7 includes a server device 2000, an IoT device 1040, and a communication gateway device 1050. Server device 2000 and communication gateway device 1050 are connected via communication network 3000. Communication gateway apparatus 1050 and IoT device 1040 are connected via communication path 3010. The communication path 3010 is a communication path independent of the communication network 3000. The communication path 3010 may be a wireless communication path or a wired communication path. The communication path 3010 may be a wireless or wired LAN (Local Area Network).

IoTデバイス1040は、通信ゲートウェイ装置1050を介して、通信網3000に接続されるサーバ装置2000等の装置と通信を行う。通信ゲートウェイ装置1050は、IoTデバイス1040が通信網3000を介して外部の装置と行う通信を監視する。通信ゲートウェイ装置1050は、通信モジュール1051を備える。通信モジュール1051は、SIM1052を備える。   The IoT device 1040 communicates with a device such as the server device 2000 connected to the communication network 3000 via the communication gateway device 1050. The communication gateway device 1050 monitors communication performed by the IoT device 1040 with an external device via the communication network 3000. The communication gateway device 1050 includes a communication module 1051. The communication module 1051 includes a SIM 1052.

以上が本実施形態に係る通信システムの構成例の説明である。   The above is the description of the configuration example of the communication system according to the present embodiment.

図8は、本実施形態に係る第1演算処理装置500の機能構成例を示す図である。図8において、第1演算処理装置500は、通信部501と、記憶部502と、鍵送受部503と、識別子通知部504とを備える。通信部501は、第1演算処理装置500の外部の装置との間で通信を行う。記憶部502は、データを記憶する。鍵送受部503は、サーバ装置2000との間で鍵の送信又は受信を行う。識別子通知部504は、通信装置対応識別子の通知を行う。   FIG. 8 is a diagram illustrating a functional configuration example of the first arithmetic processing device 500 according to the present embodiment. In FIG. 8, the first arithmetic processing device 500 includes a communication unit 501, a storage unit 502, a key transmission / reception unit 503, and an identifier notification unit 504. The communication unit 501 communicates with a device outside the first arithmetic processing device 500. The storage unit 502 stores data. The key transmission / reception unit 503 transmits or receives a key to or from the server device 2000. The identifier notifying unit 504 notifies the communication device corresponding identifier.

本実施形態では、通信システム1のIoTデバイス1040若しくは通信モジュール1051が第1演算処理装置500の機能を備えてもよい。又は、通信システム2の通信ゲートウェイ装置1050若しくは通信モジュール1051が第1演算処理装置500の機能を備えてもよい。又は、通信システム3の通信ゲートウェイ装置1050若しくは通信モジュール1051が第1演算処理装置500の機能を備えてもよい。   In the present embodiment, the IoT device 1040 or the communication module 1051 of the communication system 1 may have the function of the first arithmetic processing device 500. Alternatively, the communication gateway device 1050 or the communication module 1051 of the communication system 2 may have the function of the first arithmetic processing device 500. Alternatively, the communication gateway device 1050 or the communication module 1051 of the communication system 3 may have the function of the first arithmetic processing device 500.

図9は、本実施形態に係る第2演算処理装置600の機能構成例を示す図である。図9において、第2演算処理装置600は、鍵生成部601と、記憶部602と、鍵送受部603と、認証処理部604とを備える。鍵生成部601は、鍵を生成する。記憶部602は、データを記憶する。鍵送受部603は、サーバ装置2000との間で鍵の送信又は受信を行う。認証処理部604は、サーバ装置2000との間で認証処理を行う。   FIG. 9 is a diagram illustrating a functional configuration example of the second arithmetic processing device 600 according to the present embodiment. In FIG. 9, the second arithmetic processing device 600 includes a key generation unit 601, a storage unit 602, a key transmission / reception unit 603, and an authentication processing unit 604. The key generation unit 601 generates a key. The storage unit 602 stores data. The key transmission / reception unit 603 transmits or receives a key to or from the server device 2000. The authentication processing unit 604 performs authentication processing with the server device 2000.

第2演算処理装置600はセキュアエレメントである。第2演算処理装置600は、耐タンパー性を有する半導体製品であってもよい。例えば、SIM、eSIM、又はIC(Integrated Circuit)チップを使用して第2演算処理装置600を構成してもよい。   The second arithmetic processing unit 600 is a secure element. The second processing unit 600 may be a semiconductor product having tamper resistance. For example, the second arithmetic processing unit 600 may be configured using a SIM, eSIM, or IC (Integrated Circuit) chip.

本実施形態では、通信システム1のIoTデバイス1040の通信モジュール1051のSIM1052が第2演算処理装置600の機能を備えてもよい。又は、通信システム2の通信ゲートウェイ装置1050の通信モジュール1051のSIM1052が第2演算処理装置600の機能を備えてもよい。又は、通信システム3の通信ゲートウェイ装置1050の通信モジュール1051のSIM1052が第2演算処理装置600の機能を備えてもよい。SIM1052はセキュアエレメントである。SIM1052は耐タンパー性を有する。又は、通信システム1,2,3のIoTデバイス1040若しくは通信ゲートウェイ装置1050にセキュアエレメントであり耐タンパー性を有するICチップを備え、該ICチップが第2演算処理装置600の機能を備えてもよい。   In the present embodiment, the SIM 1052 of the communication module 1051 of the IoT device 1040 of the communication system 1 may have the function of the second arithmetic processing device 600. Alternatively, the SIM 1052 of the communication module 1051 of the communication gateway device 1050 of the communication system 2 may have the function of the second arithmetic processing device 600. Alternatively, the SIM 1052 of the communication module 1051 of the communication gateway device 1050 of the communication system 3 may have the function of the second arithmetic processing device 600. The SIM 1052 is a secure element. The SIM 1052 has tamper resistance. Alternatively, the IoT device 1040 or the communication gateway device 1050 of the communication systems 1, 2, and 3 may include an IC chip that is a secure element and has tamper resistance, and the IC chip may have the function of the second arithmetic processing device 600. .

[第1演算処理装置と第2演算処理装置との構成例]
本実施形態に係る第1演算処理装置と第2演算処理装置との構成例を説明する。 [Configuration example of first arithmetic processing device and second arithmetic processing device]
A configuration example of the first arithmetic processing device and the second arithmetic processing device according to the present embodiment will be described.

(第1演算処理装置と第2演算処理装置との構成例1)
第1演算処理装置と第2演算処理装置との構成例1では、通信システム1において、第1演算処理装置500の一例としてIoTデバイス1040が第1演算処理装置500の機能を備え、第2演算処理装置600の一例としてIoTデバイス1040の通信モジュール1051のSIM1052が第2演算処理装置600の機能を備える。IoTデバイス1040のCPU110が第1演算処理装置500の機能を実現させるためのコンピュータプログラムを実行することにより、第1演算処理装置500の機能が実現される。IoTデバイス1040の通信モジュール1051のSIM1052が第2演算処理装置600の機能を実現させるためのコンピュータプログラムを実行することにより、第2演算処理装置600の機能が実現される。 (Configuration example 1 of the first arithmetic processing device and the second arithmetic processing device)
In the first configuration example of the first arithmetic processing device and the second arithmetic processing device, in the communication system 1, the IoT device 1040 as an example of the first arithmetic processing device 500 has the function of the first arithmetic processing device 500, and the second arithmetic processing device 500 As an example of the processing device 600, the SIM 1052 of the communication module 1051 of the IoT device 1040 has the function of the second arithmetic processing device 600. When the CPU 110 of the IoT device 1040 executes a computer program for realizing the functions of the first arithmetic processing device 500, the functions of the first arithmetic processing device 500 are realized. When the SIM 1052 of the communication module 1051 of the IoT device 1040 executes a computer program for realizing the function of the second arithmetic processing device 600, the function of the second arithmetic processing device 600 is realized.

(第1演算処理装置と第2演算処理装置との構成例2)
第1演算処理装置と第2演算処理装置との構成例2では、通信システム2,3において、第1演算処理装置500の一例として通信ゲートウェイ装置1050が第1演算処理装置500の機能を備え、第2演算処理装置600の一例として通信ゲートウェイ装置1050の通信モジュール1051のSIM1052が第2演算処理装置600の機能を備える。通信ゲートウェイ装置1050のCPU210が第1演算処理装置500の機能を実現させるためのコンピュータプログラムを実行することにより、第1演算処理装置500の機能が実現される。通信ゲートウェイ装置1050の通信モジュール1051のSIM1052が第2演算処理装置600の機能を実現させるためのコンピュータプログラムを実行することにより、第2演算処理装置600の機能が実現される。 (Configuration example 2 of the first arithmetic processing device and the second arithmetic processing device)
In the configuration example 2 of the first arithmetic processing device and the second arithmetic processing device, the communication gateway device 1050 includes the function of the first arithmetic processing device 500 as an example of the first arithmetic processing device 500 in the communication systems 2 and 3. As an example of the second arithmetic processing device 600, the SIM 1052 of the communication module 1051 of the communication gateway device 1050 has the function of the second arithmetic processing device 600. When the CPU 210 of the communication gateway device 1050 executes a computer program for realizing the function of the first arithmetic processing device 500, the function of the first arithmetic processing device 500 is realized. When the SIM 1052 of the communication module 1051 of the communication gateway apparatus 1050 executes a computer program for realizing the function of the second arithmetic processing apparatus 600, the function of the second arithmetic processing apparatus 600 is realized.

(第1演算処理装置と第2演算処理装置との構成例3)
第1演算処理装置と第2演算処理装置との構成例3では、通信システム1,2,3において、第1演算処理装置500の一例として通信モジュール1051が第1演算処理装置500の機能を備え、第2演算処理装置600の一例として通信モジュール1051のSIM1052が第2演算処理装置600の機能を備える。通信モジュール1051のCPU1053が第1演算処理装置500の機能を実現させるためのコンピュータプログラムを実行することにより、第1演算処理装置500の機能が実現される。通信モジュール1051のSIM1052が第2演算処理装置600の機能を実現させるためのコンピュータプログラムを実行することにより、第2演算処理装置600の機能が実現される。 (Configuration example 3 of the first arithmetic processing device and the second arithmetic processing device)
In the configuration example 3 of the first arithmetic processing device and the second arithmetic processing device, in the communication systems 1, 2, and 3, the communication module 1051 as an example of the first arithmetic processing device 500 has the function of the first arithmetic processing device 500. As an example of the second arithmetic processing unit 600, the SIM 1052 of the communication module 1051 has the function of the second arithmetic processing unit 600. When the CPU 1053 of the communication module 1051 executes a computer program for realizing the function of the first arithmetic processing device 500, the function of the first arithmetic processing device 500 is realized. When the SIM 1052 of the communication module 1051 executes a computer program for realizing the function of the second arithmetic processing device 600, the function of the second arithmetic processing device 600 is realized.

[通信装置対応識別子の構成例]
本実施形態に係る通信装置対応識別子の構成例を説明する。通信装置対応識別子は、通信装置に対応する識別子である。 [Configuration example of identifier for communication device]
A configuration example of the communication device correspondence identifier according to the present embodiment will be described. The communication device correspondence identifier is an identifier corresponding to the communication device.

(通信装置対応識別子の構成例1)
通信装置対応識別子の構成例1では、通信装置対応識別子は、通信装置の識別情報(通信装置識別情報)を使用して構成される。通信装置識別情報には、通信装置の製造番号又はシリアル番号を適用してもよい。通信装置対応識別子に使用される通信装置識別情報として、例えば、IoTデバイス1040の識別情報、通信モジュール1051の識別情報、通信ゲートウェイ装置1050の識別情報などの通信装置の通信装置識別情報を適用できる。また、それら各通信装置の通信装置識別情報のうち一つ又は複数の通信装置識別情報を使用して通信装置対応識別子を構成してもよい。通信装置対応識別子は、通信装置識別情報であってもよく、又は、通信装置識別情報と他の情報とから構成される情報であってもよい。 (Configuration example 1 of communication device correspondence identifier)
In the configuration example 1 of the communication device correspondence identifier, the communication device correspondence identifier is configured using the identification information (communication device identification information) of the communication device. The communication device identification number may be a communication device manufacturing number or serial number. As the communication device identification information used for the communication device correspondence identifier, for example, the communication device identification information of the communication device such as the identification information of the IoT device 1040, the identification information of the communication module 1051, and the identification information of the communication gateway device 1050 can be applied. Moreover, you may comprise a communication apparatus corresponding | compatible identifier using one or some communication apparatus identification information among the communication apparatus identification information of each of these communication apparatuses. The communication device correspondence identifier may be communication device identification information, or may be information composed of communication device identification information and other information.

(通信装置対応識別子の構成例2)
通信装置対応識別子の構成例2では、通信装置対応識別子は、通信装置に搭載されるSIM1052に格納されるIMSI(International Mobile Subscriber Identity)又はICCID(Integrated Circuit Card ID)を使用して構成される。通信装置対応識別子は、IMSIであってもよく、若しくは、IMSIと他の情報とから構成される情報であってもよい。又は、通信装置対応識別子は、ICCIDであってもよく、若しくは、ICCIDと他の情報とから構成される情報であってもよい。例えば、通信装置対応識別子は、IMSIとICCIDと通信装置識別情報とのうち複数を含む情報であってもよい。 (Configuration example 2 of communication device correspondence identifier)
In the configuration example 2 of the communication device correspondence identifier, the communication device correspondence identifier is configured using IMSI (International Mobile Subscriber Identity) or ICCID (Integrated Circuit Card ID) stored in the SIM 1052 mounted on the communication device. The communication device correspondence identifier may be IMSI, or may be information composed of IMSI and other information. Alternatively, the communication device correspondence identifier may be ICCID, or may be information composed of ICCID and other information. For example, the communication device correspondence identifier may be information including a plurality of IMSI, ICCID, and communication device identification information.

[鍵生成方法の例]
本実施形態に係る鍵生成方法の例を説明する。本実施形態では、鍵の例として、MAC鍵K_mac_genとENC鍵K_enc_genとを生成する。MAC鍵K_mac_genは、認証処理に使用される鍵である。ENC鍵K_enc_genは、鍵の送信又は受信における暗号通信に使用される鍵である。本実施形態では、MAC鍵K_mac_genは第1鍵に対応し、ENC鍵K_enc_genは第2鍵に対応する。 [Example of key generation method]
An example of a key generation method according to this embodiment will be described. In the present embodiment, a MAC key K_mac_gen and an ENC key K_enc_gen are generated as examples of keys. The MAC key K_mac_gen is a key used for authentication processing. The ENC key K_enc_gen is a key used for encryption communication in key transmission or reception. In the present embodiment, the MAC key K_mac_gen corresponds to the first key, and the ENC key K_enc_gen corresponds to the second key.

本実施形態では、所定の鍵生成関数を使用して共通鍵を生成する。鍵生成関数の例を以下に説明する。   In the present embodiment, a common key is generated using a predetermined key generation function. An example of the key generation function will be described below.

(鍵生成関数の例1)
共通鍵=ダイジェスト(Master_Secret、UNID、Key_ID(Nk))
但し、Master_Secretはマスタ鍵である。UNIDは通信装置対応識別子である。Key_ID(Nk)は鍵種別識別子である。Nkは鍵の種別を表す変数である。ダイジェスト(Master_Secret、UNID、Key_ID(Nk))は、マスタ鍵Master_Secretと通信装置対応識別子UNIDと鍵種別識別子Key_ID(Nk)とから生成されるダイジェスト値である。ダイジェスト値として、例えば、ハッシュ(hash)関数により算出される値、又は、排他的論理和演算により算出される値などが挙げられる。例えば、共通鍵は、マスタ鍵Master_Secretと通信装置対応識別子UNIDと鍵種別識別子Key_ID(Nk)とを入力値に使用して算出されるハッシュ関数値である。 (Key generation function example 1)
Common key = digest (Master_Secret, UNID, Key_ID (Nk))
However, Master_Secret is a master key. The UNID is a communication device corresponding identifier. Key_ID (Nk) is a key type identifier. Nk is a variable representing the type of key. The digest (Master_Secret, UNID, Key_ID (Nk)) is a digest value generated from the master key Master_Secret, the communication device corresponding identifier UNID, and the key type identifier Key_ID (Nk). Examples of the digest value include a value calculated by a hash function or a value calculated by an exclusive OR operation. For example, the common key is a hash function value calculated using the master key Master_Secret, the communication device corresponding identifier UNID, and the key type identifier Key_ID (Nk) as input values.

鍵種別識別子Key_ID(Nk)の値が異なれば、ダイジェスト値は異なる。鍵種別識別子Key_ID(Nk)の値を変えることによって、同じマスタ鍵Master_Secretと通信装置対応識別子UNIDとから、異なる共通鍵を生成することができる。例えば、MAC鍵の鍵種別識別子をKey_ID(mac)とし、ENC鍵の鍵種別識別子をKey_ID(enc)とする。この場合、マスタ鍵Master_Secretと、通信装置対応識別子UNIDと、鍵種別識別子Key_ID(mac),Key_ID(enc)とを使用して、
MAC鍵K_mac_gen=ダイジェスト(Master_Secret、UNID、Key_ID(mac))、
ENC鍵K_enc_gen=ダイジェスト(Master_Secret、UNID、Key_ID(enc))、
により、MAC鍵K_mac_genとENC鍵K_enc_genとを異なる鍵として生成することができる。 If the value of the key type identifier Key_ID (Nk) is different, the digest value is different. By changing the value of the key type identifier Key_ID (Nk), different common keys can be generated from the same master key Master_Secret and the communication device corresponding identifier UNID. For example, the key type identifier of the MAC key is Key_ID (mac), and the key type identifier of the ENC key is Key_ID (enc). In this case, using the master key Master_Secret, the communication device corresponding identifier UNID, and the key type identifier Key_ID (mac), Key_ID (enc),
MAC key K_mac_gen = digest (Master_Secret, UNID, Key_ID (mac)),
ENC key K_enc_gen = digest (Master_Secret, UNID, Key_ID (enc)),
Thus, the MAC key K_mac_gen and the ENC key K_enc_gen can be generated as different keys.

(鍵生成関数の例2)
鍵生成関数の例2では、共通鍵としてCMAC(Cipher-based Message Authentication Code)を生成する。
共通鍵=CMAC(Master_Secret;UNID、Key_ID(Nk))
但し、CMAC(A;B)において、鍵AはCMACの生成に使用される鍵であり、データBはCMACの生成対象のデータである。これにより、鍵生成関数の例2では、共通鍵は、鍵Aを使用して生成される「データBのCMAC」である。CMAC(Master_Secret;UNID、Key_ID(Nk))において、マスタ鍵Master_SecretはCMACの生成に使用される鍵であり、通信装置対応識別子UNIDと鍵種別識別子Key_ID(Nk)との連結データはCMACの生成対象のデータである。これにより、鍵生成関数の例2では、共通鍵は、マスタ鍵Master_Secretを使用して生成される「通信装置対応識別子UNIDと鍵種別識別子Key_ID(Nk)との連結データ、のCMAC」である。 (Example 2 of key generation function)
In example 2 of the key generation function, a CMAC (Cipher-based Message Authentication Code) is generated as a common key.
Common key = CMAC (Master_Secret; UNID, Key_ID (Nk))
However, in CMAC (A; B), key A is a key used to generate CMAC, and data B is data to be generated by CMAC. Thus, in the second example of the key generation function, the common key is “CMAC of data B” generated using the key A. In CMAC (Master_Secret; UNID, Key_ID (Nk)), the master key Master_Secret is a key used for generation of CMAC, and the concatenated data of the communication device correspondence identifier UNID and key type identifier Key_ID (Nk) is the target of CMAC generation It is data of. Thus, in the second example of the key generation function, the common key is “CMAC of the concatenated data of the communication device correspondence identifier UNID and the key type identifier Key_ID (Nk)” generated using the master key Master_Secret.

鍵生成関数の例2において、鍵種別識別子Key_ID(Nk)の値が異なればCMACは異なる。このため、鍵生成関数の例2においても、鍵生成関数の例1と同様に、鍵種別識別子Key_ID(Nk)の値を変えることによって、同じマスタ鍵Master_Secretと通信装置対応識別子UNIDとから、異なる共通鍵を生成することができる。   In the example 2 of the key generation function, the CMAC is different if the value of the key type identifier Key_ID (Nk) is different. For this reason, in the second example of the key generation function, similarly to the first example of the key generation function, by changing the value of the key type identifier Key_ID (Nk), it differs from the same master key Master_Secret and the communication device corresponding identifier UNID. A common key can be generated.

[通信方法の例]
次に、図10,図11,図12,図13を参照して本実施形態に係る通信方法の例を説明する。図10,図11,図12,図13において、通信装置1001は第1演算処理装置500と第2演算処理装置600とを備える。 [Example of communication method]
Next, an example of a communication method according to the present embodiment will be described with reference to FIGS. 10, 11, 12, and 13. 10, 11, 12, and 13, the communication device 1001 includes a first arithmetic processing device 500 and a second arithmetic processing device 600.

また、サーバ装置2000と第1演算処理装置500との間の通信路として、暗号化通信路を使用してもよい。例えば、サーバ装置2000と第1演算処理装置500は、暗号化通信路の一例として、https(hypertext transfer protocol secure)通信を行ってもよい。また、サーバ装置2000と第1演算処理装置500は、VPN(Virtual Private Network)回線等の専用回線を使用して通信を行ってもよい。例えば、サーバ装置2000と通信モジュール1051との間をVPN回線等の専用回線で接続し、該専用回線でデータを送受してもよい。例えば、SIM1052に対応する無線通信ネットワークによって、VPN回線等の専用回線が提供されてもよい。   Further, an encrypted communication path may be used as a communication path between the server apparatus 2000 and the first arithmetic processing apparatus 500. For example, the server device 2000 and the first arithmetic processing device 500 may perform https (hypertext transfer protocol secure) communication as an example of an encrypted communication path. In addition, the server device 2000 and the first arithmetic processing device 500 may perform communication using a dedicated line such as a VPN (Virtual Private Network) line. For example, the server apparatus 2000 and the communication module 1051 may be connected by a dedicated line such as a VPN line, and data may be transmitted / received through the dedicated line. For example, a dedicated line such as a VPN line may be provided by a wireless communication network corresponding to the SIM 1052.

<通信方法の例1>
図10を参照して本実施形態に係る通信方法の例1を説明する。図10は、本実施形態に係る通信方法の例1を示すシーケンスチャートである。 <Example 1 of communication method>
An example 1 of the communication method according to the present embodiment will be described with reference to FIG. FIG. 10 is a sequence chart showing Example 1 of the communication method according to the present embodiment.

図10において、サーバ装置2000は、マスタ鍵Master_Secretを予め記憶部12に格納する。第2演算処理装置600は、マスタ鍵Master_Secretを予め記憶部602に格納する。サーバ装置2000が記憶部12に格納するマスタ鍵Master_Secretと、第2演算処理装置600が記憶部602に格納するマスタ鍵Master_Secretとは、同じである。記憶部12はサーバマスタ鍵記憶部に対応する。記憶部602は通信装置マスタ鍵記憶部に対応する。   In FIG. 10, the server device 2000 stores the master key Master_Secret in the storage unit 12 in advance. The second arithmetic processing device 600 stores the master key Master_Secret in the storage unit 602 in advance. The master key Master_Secret stored in the storage unit 12 by the server apparatus 2000 is the same as the master key Master_Secret stored in the storage unit 602 by the second arithmetic processing apparatus 600. The storage unit 12 corresponds to a server master key storage unit. The storage unit 602 corresponds to a communication device master key storage unit.

第2演算処理装置600の一例としてのSIM1052には、例えば、SIM1052の製造工場でマスタ鍵Master_SecretがSIM1052に格納される。又は、通信モジュール1051若しくは通信モジュール1051が搭載される通信装置の製造工場などで、マスタ鍵Master_SecretがSIM1052に格納されてもよい。   In the SIM 1052 as an example of the second arithmetic processing unit 600, for example, a master key Master_Secret is stored in the SIM 1052 at the manufacturing factory of the SIM 1052. Alternatively, the master key Master_Secret may be stored in the SIM 1052 at a communication module 1051 or a manufacturing factory of a communication device in which the communication module 1051 is mounted.

通信方法の例1は、通信装置1001の生産又は設置の段階(生産設置フェーズ)と、通信装置1001の一般の運用の段階(市場運用フェーズ)とから構成される。   The communication method example 1 includes a production or installation stage (production installation phase) of the communication apparatus 1001 and a general operation stage (market operation phase) of the communication apparatus 1001.

(生産設置フェーズ)
通信方法の例1の生産設置フェーズを説明する。生産設置フェーズは、通信装置1001の生産時、又は、通信装置1001の設置時に実施される。 (Production installation phase)
The production installation phase of communication method example 1 will be described. The production installation phase is performed when the communication device 1001 is produced or when the communication device 1001 is installed.

(ステップS1)第1演算処理装置500は、通信装置1001の通信装置対応識別子UNIDを取得する。通信装置1001の通信装置対応識別子UNIDは、予め第1演算処理装置500に格納されてもよく、又は、所定の契機で外部から第1演算処理装置500に通信装置対応識別子UNIDが通知されてもよい。 (Step S1) The first arithmetic processing unit 500 acquires the communication device correspondence identifier UNID of the communication device 1001. The communication device correspondence identifier UNID of the communication device 1001 may be stored in the first arithmetic processing device 500 in advance, or the communication device correspondence identifier UNID may be notified to the first arithmetic processing device 500 from the outside at a predetermined opportunity. Good.

例えば、第1演算処理装置500は、通信装置1001が保持する通信装置対応識別子UNIDを取得してもよい。   For example, the first arithmetic processing device 500 may acquire the communication device correspondence identifier UNID held by the communication device 1001.

又は、通信装置1001の通信装置対応識別子UNIDは、例えば通信装置1001の製造会社や販売店などで管理されている通信装置対応識別子UNIDが第1演算処理装置500に供給されてもよい。例えば、通信装置1001の製造会社が通信装置対応識別子のデータベースを備え、該データベースから通信により通信装置1001の通信装置対応識別子UNIDを第1演算処理装置500に通知してもよい。   Alternatively, the communication device correspondence identifier UNID of the communication device 1001 may be supplied to the first arithmetic processing device 500, for example, the communication device correspondence identifier UNID managed by the manufacturer or the dealer of the communication device 1001. For example, the manufacturer of the communication device 1001 may include a communication device correspondence identifier database, and the first arithmetic processing device 500 may be notified of the communication device correspondence identifier UNID of the communication device 1001 by communication from the database.

(ステップS2)第1演算処理装置500の識別子通知部504は、通信装置1001の通信装置対応識別子UNIDを第2演算処理装置600に通知する。 (Step S2) The identifier notification unit 504 of the first arithmetic processing device 500 notifies the second arithmetic processing device 600 of the communication device corresponding identifier UNID of the communication device 1001.

(ステップS3)第2演算処理装置600の鍵生成部601は、記憶部602に格納するマスタ鍵Master_Secretと、第1演算処理装置500から通知された通信装置1001の通信装置対応識別子UNIDと、鍵種別識別子Key_ID(mac),Key_ID(enc)とを使用して、MAC鍵K_mac_genとENC鍵K_enc_genとを生成する。この鍵生成方法には、上述した鍵生成方法の例を適用する。鍵生成関数は、予め、鍵生成部601に設定される。鍵種別識別子Key_ID(mac),Key_ID(enc)は、予め、鍵生成部601に設定される。鍵生成部601は通信装置鍵生成部に対応する。 (Step S3) The key generation unit 601 of the second arithmetic processing device 600 includes the master key Master_Secret stored in the storage unit 602, the communication device corresponding identifier UNID of the communication device 1001 notified from the first arithmetic processing device 500, the key A MAC key K_mac_gen and an ENC key K_enc_gen are generated using the type identifiers Key_ID (mac) and Key_ID (enc). The example of the key generation method mentioned above is applied to this key generation method. The key generation function is set in the key generation unit 601 in advance. The key type identifiers Key_ID (mac) and Key_ID (enc) are set in the key generation unit 601 in advance. The key generation unit 601 corresponds to a communication device key generation unit.

鍵生成部601は、鍵生成関数の一例として鍵生成関数の例1「共通鍵=ダイジェスト(Master_Secret、UNID、Key_ID(Nk))」を使用して、
MAC鍵K_mac_gen=ダイジェスト(Master_Secret、UNID、Key_ID(mac))、
ENC鍵K_enc_gen=ダイジェスト(Master_Secret、UNID、Key_ID(enc))、
により、MAC鍵K_mac_genとENC鍵K_enc_genとを生成する。ここでは、ダイジェスト値は、その一例として、ハッシュ関数により算出される値である。 The key generation unit 601 uses a key generation function example 1 “Common Key = Digest (Master_Secret, UNID, Key_ID (Nk))” as an example of a key generation function,
MAC key K_mac_gen = digest (Master_Secret, UNID, Key_ID (mac)),
ENC key K_enc_gen = digest (Master_Secret, UNID, Key_ID (enc)),
Thus, the MAC key K_mac_gen and the ENC key K_enc_gen are generated. Here, the digest value is, for example, a value calculated by a hash function.

記憶部602は、MAC鍵K_mac_genとENC鍵K_enc_genとを格納する。通信方法の例1では、記憶部602は通信装置鍵記憶部に対応する。   The storage unit 602 stores a MAC key K_mac_gen and an ENC key K_enc_gen. In the communication method example 1, the storage unit 602 corresponds to a communication device key storage unit.

なお、第2演算処理装置600は、MAC鍵K_mac_genとENC鍵K_enc_genとを生成した後に、記憶部602からマスタ鍵Master_Secretを削除してもよい。これにより、マスタ鍵Master_Secretが漏洩する可能性を低減することができる。   Note that the second arithmetic processing unit 600 may delete the master key Master_Secret from the storage unit 602 after generating the MAC key K_mac_gen and the ENC key K_enc_gen. Thereby, the possibility that the master key Master_Secret is leaked can be reduced.

以上が通信方法の例1の生産設置フェーズの説明である。   The above is the description of the production installation phase of the communication method example 1.

(市場運用フェーズ)
通信方法の例1の市場運用フェーズを説明する。市場運用フェーズは、通信装置1001の一般の運用の段階において、例えば、通信装置1001の電源投入時や、通信装置1001とサーバ装置2000との通信の開始時などに実施される。 (Market operation phase)
The market operation phase of communication method example 1 will be described. The market operation phase is performed at the general operation stage of the communication apparatus 1001, for example, when the communication apparatus 1001 is turned on, or when communication between the communication apparatus 1001 and the server apparatus 2000 is started.

(ステップS11)第1演算処理装置500は、通信装置1001の通信装置対応識別子UNIDとチャレンジ(乱数c)とをサーバ装置2000に送信する。第1演算処理装置500は、乱数cを発生し、該乱数cをチャレンジに使用する。第1演算処理装置500は、該チャレンジ(乱数c)を保持しておく。 (Step S11) The first arithmetic processing unit 500 transmits the communication device corresponding identifier UNID and the challenge (random number c) of the communication device 1001 to the server device 2000. The first arithmetic processing unit 500 generates a random number c and uses the random number c for a challenge. The first arithmetic processing unit 500 holds the challenge (random number c).

(ステップS12)サーバ装置2000の鍵生成部15は、記憶部12に格納するマスタ鍵Master_Secretと、第1演算処理装置500から受信した通信装置1001の通信装置対応識別子UNIDと、鍵種別識別子Key_ID(mac),Key_ID(enc)とを使用して、MAC鍵K_mac_genとENC鍵K_enc_genとを生成する。この鍵生成方法は、上記したステップS3における第2演算処理装置600の鍵生成部601の鍵生成方法と同じである。鍵生成関数は、予め、鍵生成部15に設定される。鍵種別識別子Key_ID(mac),Key_ID(enc)は、予め、鍵生成部15に設定される。鍵生成部15はサーバ鍵生成部に対応する。 (Step S12) The key generation unit 15 of the server device 2000 includes the master key Master_Secret stored in the storage unit 12, the communication device correspondence identifier UNID of the communication device 1001 received from the first arithmetic processing device 500, and the key type identifier Key_ID ( mac), Key_ID (enc), and generates a MAC key K_mac_gen and an ENC key K_enc_gen. This key generation method is the same as the key generation method of the key generation unit 601 of the second arithmetic processing device 600 in step S3 described above. The key generation function is set in the key generation unit 15 in advance. The key type identifiers Key_ID (mac) and Key_ID (enc) are set in the key generation unit 15 in advance. The key generation unit 15 corresponds to a server key generation unit.

記憶部12は、MAC鍵K_mac_genとENC鍵K_enc_genとを通信装置1001の通信装置対応識別子UNIDに対応付けて格納する。記憶部12はサーバ鍵記憶部に対応する。   The storage unit 12 stores the MAC key K_mac_gen and the ENC key K_enc_gen in association with the communication device correspondence identifier UNID of the communication device 1001. The storage unit 12 corresponds to a server key storage unit.

(ステップS13)サーバ装置2000の認証処理部18は、記憶部12に格納されるMAC鍵K_mac_genと、第1演算処理装置500から受信したチャレンジ(乱数c)とを使用して、レスポンスK_mac_gen(乱数c)を生成する。このレスポンス生成方法は、予め、認証処理部18に設定される。レスポンスK_mac_gen(乱数c)は、本実施形態に係る一例として、MAC鍵K_mac_genで乱数cを暗号化した暗号化データである。 (Step S <b> 13) The authentication processing unit 18 of the server device 2000 uses the MAC key K_mac_gen stored in the storage unit 12 and the challenge (random number c) received from the first arithmetic processing device 500, and uses the response K_mac_gen (random number). c) is generated. This response generation method is set in the authentication processing unit 18 in advance. The response K_mac_gen (random number c) is encrypted data obtained by encrypting the random number c with the MAC key K_mac_gen as an example according to the present embodiment.

なお、レスポンスK_mac_gen(乱数c)は、本実施形態に係る一例として、CMAC(K_mac_gen;乱数c)、つまり、MAC鍵K_mac_genを使用して生成される「乱数cのCMAC」であってもよい。   The response K_mac_gen (random number c) may be CMAC (K_mac_gen; random number c), that is, “CMAC of random number c” generated using the MAC key K_mac_gen, as an example according to the present embodiment.

(ステップS14)サーバ装置2000の認証処理部18は、レスポンスK_mac_gen(乱数c)とチャレンジ(乱数s)とを通信装置1001の第1演算処理装置500に送信する。認証処理部18は、乱数sを発生し、該乱数sをチャレンジに使用する。認証処理部18は、該チャレンジ(乱数s)を保持しておく。 (Step S14) The authentication processing unit 18 of the server device 2000 transmits a response K_mac_gen (random number c) and a challenge (random number s) to the first arithmetic processing device 500 of the communication device 1001. The authentication processing unit 18 generates a random number s and uses the random number s for a challenge. The authentication processing unit 18 holds the challenge (random number s).

(ステップS15)第1演算処理装置500は、サーバ装置2000に送信したチャレンジ(乱数c)と、サーバ装置2000から受信したレスポンスK_mac_gen(乱数c)及びチャレンジ(乱数s)とを第2演算処理装置600に送信する。 (Step S15) The first arithmetic processing unit 500 receives the challenge (random number c) transmitted to the server device 2000, the response K_mac_gen (random number c) and the challenge (random number s) received from the server device 2000, as the second arithmetic processing unit. 600.

(ステップS16)第2演算処理装置600の認証処理部604は、第1演算処理装置500から受信したレスポンスK_mac_gen(乱数c)の検証を行う。このレスポンス検証方法として、サーバ装置2000の認証処理部18におけるレスポンス生成方法に対応する方法が、予め、認証処理部604に設定される。レスポンスK_mac_gen(乱数c)の検証において、認証処理部604は、第1演算処理装置500から受信したチャレンジ(乱数c)と、記憶部602に格納されるMAC鍵K_mac_genと、を使用する。 (Step S16) The authentication processing unit 604 of the second arithmetic processing device 600 verifies the response K_mac_gen (random number c) received from the first arithmetic processing device 500. As this response verification method, a method corresponding to the response generation method in the authentication processing unit 18 of the server apparatus 2000 is set in the authentication processing unit 604 in advance. In verifying the response K_mac_gen (random number c), the authentication processing unit 604 uses the challenge (random number c) received from the first arithmetic processing unit 500 and the MAC key K_mac_gen stored in the storage unit 602.

例えば、レスポンスK_mac_gen(乱数c)がMAC鍵K_mac_genによる乱数cの暗号化データである場合、認証処理部604は、記憶部602に格納されるMAC鍵K_mac_genを使用して、第1演算処理装置500から受信したチャレンジ(乱数c)を暗号化し、該暗号化により生成した暗号化データとレスポンスK_mac_gen(乱数c)とを比較する。この比較の結果、両者が一致する場合にはレスポンスK_mac_gen(乱数c)の検証が合格であり、両者が不一致の場合にはレスポンスK_mac_gen(乱数c)の検証が不合格である。   For example, when the response K_mac_gen (random number c) is encrypted data of the random number c using the MAC key K_mac_gen, the authentication processing unit 604 uses the MAC key K_mac_gen stored in the storage unit 602 to use the first arithmetic processing unit 500. The challenge (random number c) received from is encrypted, and the encrypted data generated by the encryption is compared with the response K_mac_gen (random number c). As a result of this comparison, if the two match, the verification of the response K_mac_gen (random number c) is passed, and if the two do not match, the verification of the response K_mac_gen (random number c) fails.

なお、レスポンスK_mac_gen(乱数c)がMAC鍵K_mac_genによる乱数cの暗号化データである場合の他の検証方法として、認証処理部604は、記憶部602に格納されるMAC鍵K_mac_genを使用して、第1演算処理装置500から受信したレスポンスK_mac_gen(乱数c)を復号し、該復号の結果と第1演算処理装置500から受信したチャレンジ(乱数c)とを比較してもよい。この比較の結果、両者が一致する場合にはレスポンスK_mac_gen(乱数c)の検証が合格であり、両者が不一致の場合にはレスポンスK_mac_gen(乱数c)の検証が不合格である。   As another verification method when the response K_mac_gen (random number c) is encrypted data of the random number c by the MAC key K_mac_gen, the authentication processing unit 604 uses the MAC key K_mac_gen stored in the storage unit 602, The response K_mac_gen (random number c) received from the first arithmetic processing unit 500 may be decrypted, and the decryption result may be compared with the challenge (random number c) received from the first arithmetic processing unit 500. As a result of this comparison, if the two match, the verification of the response K_mac_gen (random number c) is passed, and if the two do not match, the verification of the response K_mac_gen (random number c) fails.

例えば、レスポンスK_mac_gen(乱数c)がCMAC(K_mac_gen;乱数c)である場合、認証処理部604は、記憶部602に格納されるMAC鍵K_mac_genを使用して、第1演算処理装置500から受信したチャレンジ(乱数c)のCMACを生成し、生成したCMACとレスポンスK_mac_gen(乱数c)とを比較する。この比較の結果、両者が一致する場合にはレスポンスK_mac_gen(乱数c)の検証が合格であり、両者が不一致の場合にはレスポンスK_mac_gen(乱数c)の検証が不合格である。   For example, when the response K_mac_gen (random number c) is CMAC (K_mac_gen; random number c), the authentication processing unit 604 uses the MAC key K_mac_gen stored in the storage unit 602 to receive from the first arithmetic processing unit 500. A CMAC for the challenge (random number c) is generated, and the generated CMAC is compared with the response K_mac_gen (random number c). As a result of this comparison, if the two match, the verification of the response K_mac_gen (random number c) is passed, and if the two do not match, the verification of the response K_mac_gen (random number c) fails.

レスポンスK_mac_gen(乱数c)の検証が合格である場合には、ステップS17に進む。一方、レスポンスK_mac_gen(乱数c)の検証が不合格である場合には、図10の処理を終了する。レスポンスK_mac_gen(乱数c)の検証が不合格である場合には、第2演算処理装置600は所定のエラー処理を実行してもよい。   When the verification of the response K_mac_gen (random number c) is successful, the process proceeds to step S17. On the other hand, if the verification of the response K_mac_gen (random number c) fails, the process of FIG. 10 ends. If the verification of the response K_mac_gen (random number c) fails, the second arithmetic processing unit 600 may execute a predetermined error process.

(ステップS17)第2演算処理装置600の認証処理部604は、記憶部602に格納されるMAC鍵K_mac_genと、第1演算処理装置500から受信したチャレンジ(乱数s)とを使用して、レスポンスK_mac_gen(乱数s)を生成する。このレスポンス生成方法は、予め、認証処理部604に設定される。レスポンスK_mac_gen(乱数s)は、本実施形態に係る一例として、MAC鍵K_mac_genで乱数sを暗号化した暗号化データである。 (Step S17) The authentication processing unit 604 of the second processing unit 600 uses the MAC key K_mac_gen stored in the storage unit 602 and the challenge (random number s) received from the first processing unit 500 to respond. K_mac_gen (random number s) is generated. This response generation method is set in the authentication processing unit 604 in advance. The response K_mac_gen (random number s) is encrypted data obtained by encrypting the random number s with the MAC key K_mac_gen as an example according to the present embodiment.

なお、レスポンスK_mac_gen(乱数s)は、本実施形態に係る一例として、CMAC(K_mac_gen;乱数s)、つまり、MAC鍵K_mac_genを使用して生成される「乱数sのCMAC」であってもよい。   The response K_mac_gen (random number s) may be CMAC (K_mac_gen; random number s), that is, “CMAC of random number s” generated using the MAC key K_mac_gen, as an example according to the present embodiment.

(ステップS18)第2演算処理装置600の認証処理部604は、レスポンスK_mac_gen(乱数s)を第1演算処理装置500に送信する。 (Step S <b> 18) The authentication processing unit 604 of the second arithmetic processing device 600 transmits a response K_mac_gen (random number s) to the first arithmetic processing device 500.

(ステップS19)第1演算処理装置500は、第2演算処理装置600から受信したレスポンスK_mac_gen(乱数s)をサーバ装置2000に送信する。 (Step S19) The first arithmetic processing unit 500 transmits the response K_mac_gen (random number s) received from the second arithmetic processing unit 600 to the server apparatus 2000.

(ステップS20)サーバ装置2000の認証処理部18は、通信装置1001の第1演算処理装置500から受信したレスポンスK_mac_gen(乱数s)の検証を行う。このレスポンス検証方法として、通信装置1001の第2演算処理装置600の認証処理部604におけるレスポンス生成方法に対応する方法が、予め、認証処理部18に設定される。レスポンスK_mac_gen(乱数s)の検証において、認証処理部18は、通信装置1001の第1演算処理装置500に送信したチャレンジ(乱数s)と、記憶部12に格納されるMAC鍵K_mac_genと、を使用する。 (Step S20) The authentication processing unit 18 of the server device 2000 verifies the response K_mac_gen (random number s) received from the first arithmetic processing device 500 of the communication device 1001. As this response verification method, a method corresponding to the response generation method in the authentication processing unit 604 of the second arithmetic processing device 600 of the communication device 1001 is set in the authentication processing unit 18 in advance. In verifying the response K_mac_gen (random number s), the authentication processing unit 18 uses the challenge (random number s) transmitted to the first arithmetic processing unit 500 of the communication device 1001 and the MAC key K_mac_gen stored in the storage unit 12. To do.

例えば、レスポンスK_mac_gen(乱数s)がMAC鍵K_mac_genによる乱数sの暗号化データである場合、認証処理部18は、記憶部12に格納されるMAC鍵K_mac_genを使用して、通信装置1001の第1演算処理装置500に送信したチャレンジ(乱数s)を暗号化し、該暗号化により生成した暗号化データとレスポンスK_mac_gen(乱数s)とを比較する。この比較の結果、両者が一致する場合にはレスポンスK_mac_gen(乱数s)の検証が合格であり、両者が不一致の場合にはレスポンスK_mac_gen(乱数s)の検証が不合格である。   For example, when the response K_mac_gen (random number s) is encrypted data of the random number s by the MAC key K_mac_gen, the authentication processing unit 18 uses the MAC key K_mac_gen stored in the storage unit 12 to perform the first processing of the communication device 1001. The challenge (random number s) transmitted to the arithmetic processing unit 500 is encrypted, and the encrypted data generated by the encryption is compared with the response K_mac_gen (random number s). As a result of the comparison, if the two match, the verification of the response K_mac_gen (random number s) is passed, and if the two do not match, the verification of the response K_mac_gen (random number s) fails.

なお、レスポンスK_mac_gen(乱数s)がMAC鍵K_mac_genによる乱数sの暗号化データである場合の他の検証方法として、認証処理部18は、記憶部12に格納されるMAC鍵K_mac_genを使用して、通信装置1001の第1演算処理装置500から受信したレスポンスK_mac_gen(乱数s)を復号し、該復号の結果と第1演算処理装置500に送信したチャレンジ(乱数s)とを比較してもよい。この比較の結果、両者が一致する場合にはレスポンスK_mac_gen(乱数s)の検証が合格であり、両者が不一致の場合にはレスポンスK_mac_gen(乱数s)の検証が不合格である。   As another verification method when the response K_mac_gen (random number s) is encrypted data of the random number s by the MAC key K_mac_gen, the authentication processing unit 18 uses the MAC key K_mac_gen stored in the storage unit 12, The response K_mac_gen (random number s) received from the first arithmetic processing unit 500 of the communication device 1001 may be decrypted, and the decryption result may be compared with the challenge (random number s) transmitted to the first arithmetic processing unit 500. As a result of the comparison, if the two match, the verification of the response K_mac_gen (random number s) is passed, and if the two do not match, the verification of the response K_mac_gen (random number s) fails.

例えば、レスポンスK_mac_gen(乱数s)がCMAC(K_mac_gen;乱数s)である場合、認証処理部18は、記憶部12に格納されるMAC鍵K_mac_genを使用して、通信装置1001の第1演算処理装置500に送信したチャレンジ(乱数s)のCMACを生成し、生成したCMACとレスポンスK_mac_gen(乱数s)とを比較する。この比較の結果、両者が一致する場合にはレスポンスK_mac_gen(乱数s)の検証が合格であり、両者が不一致の場合にはレスポンスK_mac_gen(乱数s)の検証が不合格である。   For example, when the response K_mac_gen (random number s) is CMAC (K_mac_gen; random number s), the authentication processing unit 18 uses the MAC key K_mac_gen stored in the storage unit 12 to perform the first arithmetic processing unit of the communication device 1001. The CMAC of the challenge (random number s) transmitted to 500 is generated, and the generated CMAC is compared with the response K_mac_gen (random number s). As a result of the comparison, if the two match, the verification of the response K_mac_gen (random number s) is passed, and if the two do not match, the verification of the response K_mac_gen (random number s) fails.

レスポンスK_mac_gen(乱数s)の検証が合格である場合には、ステップS21に進む。一方、レスポンスK_mac_gen(乱数s)の検証が不合格である場合には、図10の処理を終了する。レスポンスK_mac_gen(乱数s)の検証が不合格である場合には、サーバ装置2000は所定のエラー処理を実行してもよい。   If the verification of the response K_mac_gen (random number s) is successful, the process proceeds to step S21. On the other hand, if the verification of the response K_mac_gen (random number s) fails, the process of FIG. If the verification of the response K_mac_gen (random number s) fails, the server apparatus 2000 may execute a predetermined error process.

サーバ装置2000の認証処理部18はサーバ認証処理部に対応する。通信装置1001の第2演算処理装置600の認証処理部604は通信装置認証処理部に対応する。   The authentication processing unit 18 of the server device 2000 corresponds to a server authentication processing unit. The authentication processing unit 604 of the second arithmetic processing device 600 of the communication device 1001 corresponds to the communication device authentication processing unit.

(ステップS21)サーバ装置2000の鍵送受部16は、セッション鍵K_comを生成する。例えば、鍵送受部16は、乱数を発生し、該乱数に基づいてセッション鍵K_comを生成してもよい。記憶部12は、セッション鍵K_comを通信装置1001の通信装置対応識別子UNIDに対応付けて格納する。セッション鍵K_comは第3鍵に対応する。 (Step S21) The key transmission / reception unit 16 of the server apparatus 2000 generates a session key K_com. For example, the key transmission / reception unit 16 may generate a random number and generate a session key K_com based on the random number. The storage unit 12 stores the session key K_com in association with the communication device correspondence identifier UNID of the communication device 1001. Session key K_com corresponds to the third key.

(ステップS22)サーバ装置2000の鍵送受部16は、記憶部12に格納されるENC鍵K_enc_genを使用してセッション鍵K_comを暗号化し、暗号化セッション鍵K_enc_gen(K_com)を生成する。鍵送受部16は、暗号化セッション鍵K_enc_gen(K_com)を通信装置1001の第1演算処理装置500に送信する。 (Step S22) The key transmission / reception unit 16 of the server apparatus 2000 encrypts the session key K_com using the ENC key K_enc_gen stored in the storage unit 12, and generates an encrypted session key K_enc_gen (K_com). The key transmission / reception unit 16 transmits the encrypted session key K_enc_gen (K_com) to the first arithmetic processing device 500 of the communication device 1001.

(ステップS23)第1演算処理装置500は、サーバ装置2000から受信した暗号化セッション鍵K_enc_gen(K_com)を第2演算処理装置600に送信する。 (Step S23) The first arithmetic processing unit 500 transmits the encrypted session key K_enc_gen (K_com) received from the server apparatus 2000 to the second arithmetic processing unit 600.

(ステップS24)第2演算処理装置600の鍵送受部603は、第1演算処理装置500から受信した暗号化セッション鍵K_enc_gen(K_com)を、記憶部602に格納されるENC鍵K_enc_genで復号する。この復号の結果としてセッション鍵K_comが取得される。これにより、サーバ装置2000と通信装置1001とは同じセッション鍵K_comを保持する。 (Step S24) The key transmission / reception unit 603 of the second arithmetic processing device 600 decrypts the encrypted session key K_enc_gen (K_com) received from the first arithmetic processing device 500 with the ENC key K_enc_gen stored in the storage unit 602. As a result of this decryption, a session key K_com is acquired. Thereby, the server apparatus 2000 and the communication apparatus 1001 hold the same session key K_com.

(ステップS25)第2演算処理装置600の鍵送受部603は、セッション鍵K_comを第1演算処理装置500に送信する。第1演算処理装置500の記憶部502は、第2演算処理装置600から受信したセッション鍵K_comを格納する。 (Step S <b> 25) The key transmission / reception unit 603 of the second arithmetic processing device 600 transmits the session key K_com to the first arithmetic processing device 500. The storage unit 502 of the first arithmetic processing device 500 stores the session key K_com received from the second arithmetic processing device 600.

通信方法の例1では、通信装置1001の第2演算処理装置600の鍵送受部603は通信装置鍵送受部に対応する。サーバ装置2000の鍵送受部16はサーバ鍵送受部に対応する。   In Example 1 of the communication method, the key transmission / reception unit 603 of the second arithmetic processing device 600 of the communication device 1001 corresponds to the communication device key transmission / reception unit. The key transmission / reception unit 16 of the server apparatus 2000 corresponds to the server key transmission / reception unit.

(ステップS26)サーバ装置2000の通信部11と、通信装置1001の第1演算処理装置500の通信部501とは、セッション鍵K_comを使用して暗号通信を行う。この暗号通信では、セッション鍵K_comを使用してデータが暗号化された暗号化データK_com(データ)が、サーバ装置2000の通信部11と、通信装置1001の第1演算処理装置500の通信部501との間で送受される。これにより、サーバ装置2000の通信部11と、通信装置1001の第1演算処理装置500の通信部501との間で、セッション鍵K_comを使用した暗号通信路が構築される。 (Step S26) The communication unit 11 of the server device 2000 and the communication unit 501 of the first arithmetic processing device 500 of the communication device 1001 perform cryptographic communication using the session key K_com. In this encrypted communication, encrypted data K_com (data) obtained by encrypting data using the session key K_com is transmitted to the communication unit 11 of the server device 2000 and the communication unit 501 of the first arithmetic processing device 500 of the communication device 1001. To and from. Thereby, an encrypted communication path using the session key K_com is constructed between the communication unit 11 of the server device 2000 and the communication unit 501 of the first arithmetic processing device 500 of the communication device 1001.

サーバ装置2000の通信部11は、サーバ通信部に対応する。通信装置1001の第1演算処理装置500の通信部501は、通信装置通信部に対応する。   The communication unit 11 of the server device 2000 corresponds to the server communication unit. The communication unit 501 of the first arithmetic processing device 500 of the communication device 1001 corresponds to the communication device communication unit.

なお、通信装置1001の第2演算処理装置600の鍵送受部603がセッション鍵K_comを生成してサーバ装置2000に供給してもよい。   Note that the key transmission / reception unit 603 of the second arithmetic processing device 600 of the communication device 1001 may generate the session key K_com and supply it to the server device 2000.

以上が通信方法の例1の市場運用フェーズの説明である。   The above is the description of the market operation phase of the communication method example 1.

上述した通信方法の例1によれば、サーバ装置2000と通信装置1001の第2演算処理装置600とは、MAC鍵K_mac_gen(第1鍵)を使用して認証処理を行い、ENC鍵K_enc_gen(第2鍵)を使用する暗号通信によりセッション鍵K_com(第3鍵)を送受する。これにより、サーバ装置2000と通信装置1001の第1演算処理装置500との間の暗号通信に使用されるセッション鍵K_com(第3鍵)の安全性が向上する。このことは、通信装置1001が外部のサーバ装置2000と通信を行う際の安全性を向上させる効果を奏する。   According to the communication method example 1 described above, the server device 2000 and the second arithmetic processing device 600 of the communication device 1001 perform the authentication process using the MAC key K_mac_gen (first key) and perform the ENC key K_enc_gen (first). The session key K_com (third key) is transmitted and received by encrypted communication using (two keys). This improves the security of the session key K_com (third key) used for encrypted communication between the server device 2000 and the first arithmetic processing device 500 of the communication device 1001. This has the effect of improving safety when the communication device 1001 communicates with the external server device 2000.

また、サーバ装置2000と通信装置1001との間の認証処理に使用されるMAC鍵K_mac_gen(第1鍵)は、通信装置1001においてセキュアエレメントである第2演算処理装置600で保管される。これにより、サーバ装置2000と通信装置1001との間の認証の信頼性を向上させることができる。   Further, the MAC key K_mac_gen (first key) used for the authentication process between the server device 2000 and the communication device 1001 is stored in the second arithmetic processing device 600 that is a secure element in the communication device 1001. Thereby, the reliability of the authentication between the server apparatus 2000 and the communication apparatus 1001 can be improved.

<通信方法の例2>
図11を参照して本実施形態に係る通信方法の例2を説明する。図11は、本実施形態に係る通信方法の例2を示すシーケンスチャートである。図11において図10の各ステップに対応する部分には同一の符号を付している。 <Example 2 of communication method>
Example 2 of the communication method according to the present embodiment will be described with reference to FIG. FIG. 11 is a sequence chart showing Example 2 of the communication method according to the present embodiment. In FIG. 11, parts corresponding to the respective steps in FIG. 10 are denoted by the same reference numerals.

図11において、サーバ装置2000は、マスタ鍵Master_Secretを予め記憶部12に格納する。第2演算処理装置600は、マスタ鍵Master_Secretを予め記憶部602に格納する。サーバ装置2000が記憶部12に格納するマスタ鍵Master_Secretと、第2演算処理装置600が記憶部602に格納するマスタ鍵Master_Secretとは、同じである。記憶部12はサーバマスタ鍵記憶部に対応する。通信方法の例2では、記憶部602は通信装置マスタ鍵記憶部及び第2通信装置鍵記憶部に対応する。   In FIG. 11, the server apparatus 2000 stores a master key Master_Secret in the storage unit 12 in advance. The second arithmetic processing device 600 stores the master key Master_Secret in the storage unit 602 in advance. The master key Master_Secret stored in the storage unit 12 by the server apparatus 2000 is the same as the master key Master_Secret stored in the storage unit 602 by the second arithmetic processing apparatus 600. The storage unit 12 corresponds to a server master key storage unit. In the communication method example 2, the storage unit 602 corresponds to a communication device master key storage unit and a second communication device key storage unit.

第2演算処理装置600の一例としてのSIM1052には、例えば、SIM1052の製造工場でマスタ鍵Master_SecretがSIM1052に格納される。又は、通信モジュール1051若しくは通信モジュール1051が搭載される通信装置の製造工場などで、マスタ鍵Master_SecretがSIM1052に格納されてもよい。   In the SIM 1052 as an example of the second arithmetic processing unit 600, for example, a master key Master_Secret is stored in the SIM 1052 at the manufacturing factory of the SIM 1052. Alternatively, the master key Master_Secret may be stored in the SIM 1052 at a communication module 1051 or a manufacturing factory of a communication device in which the communication module 1051 is mounted.

通信方法の例2は、通信方法の例1と同様に生産設置フェーズと市場運用フェーズとから構成される。   Similar to the communication method example 1, the communication method example 2 includes a production installation phase and a market operation phase.

(生産設置フェーズ)
通信方法の例2の生産設置フェーズを説明する。通信方法の例2の生産設置フェーズにおいて、ステップS1、ステップS2及びステップS3が実行される。ステップS1、ステップS2及びステップS3は、通信方法の例1と同じである。次いでステップS4が実行される。 (Production installation phase)
The production installation phase of communication method example 2 will be described. In the production installation phase of the communication method example 2, step S1, step S2, and step S3 are executed. Steps S1, S2, and S3 are the same as those in the communication method example 1. Step S4 is then executed.

(ステップS4)第2演算処理装置600は、ENC鍵K_enc_genを第1演算処理装置500に送信する。第1演算処理装置500の記憶部502は、第2演算処理装置600から受信したENC鍵K_enc_genを格納する。通信方法の例2では、記憶部502は第1通信装置鍵記憶部に対応する。 (Step S4) The second arithmetic processing unit 600 transmits the ENC key K_enc_gen to the first arithmetic processing unit 500. The storage unit 502 of the first arithmetic processing device 500 stores the ENC key K_enc_gen received from the second arithmetic processing device 600. In communication method example 2, the storage unit 502 corresponds to a first communication device key storage unit.

以上が通信方法の例2の生産設置フェーズの説明である。   The above is the description of the production installation phase of the communication method example 2.

(市場運用フェーズ)
通信方法の例2の市場運用フェーズを説明する。通信方法の例2の市場運用フェーズにおいて、ステップS11からステップS22までが実行される。ステップS11からステップS22までは、通信方法の例1と同じである。 (Market operation phase)
The market operation phase of the communication method example 2 will be described. In the market operation phase of the communication method example 2, steps S11 to S22 are executed. Steps S11 to S22 are the same as those in the communication method example 1.

(ステップS24a)第1演算処理装置500の鍵送受部503は、サーバ装置2000から受信した暗号化セッション鍵K_enc_gen(K_com)を、記憶部502に格納されるENC鍵K_enc_genで復号する。この復号の結果としてセッション鍵K_comが取得される。これにより、サーバ装置2000と通信装置1001とは同じセッション鍵K_comを保持する。第1演算処理装置500の記憶部502は、セッション鍵K_comを格納する。 (Step S24a) The key transmission / reception unit 503 of the first arithmetic processing device 500 decrypts the encrypted session key K_enc_gen (K_com) received from the server device 2000 with the ENC key K_enc_gen stored in the storage unit 502. As a result of this decryption, a session key K_com is acquired. Thereby, the server apparatus 2000 and the communication apparatus 1001 hold the same session key K_com. The storage unit 502 of the first arithmetic processing device 500 stores a session key K_com.

通信方法の例2では、通信装置1001の第1演算処理装置500の鍵送受部503は通信装置鍵送受部に対応する。サーバ装置2000の鍵送受部16はサーバ鍵送受部に対応する。   In Example 2 of the communication method, the key transmission / reception unit 503 of the first arithmetic processing device 500 of the communication device 1001 corresponds to the communication device key transmission / reception unit. The key transmission / reception unit 16 of the server apparatus 2000 corresponds to the server key transmission / reception unit.

なお、通信装置1001の第1演算処理装置500の鍵送受部503がセッション鍵K_comを生成してサーバ装置2000に供給してもよい。   The key transmission / reception unit 503 of the first arithmetic processing device 500 of the communication device 1001 may generate the session key K_com and supply it to the server device 2000.

次いでステップS26が実行される。ステップS26は通信方法の例1と同じである。   Next, step S26 is executed. Step S26 is the same as Example 1 of the communication method.

以上が通信方法の例2の市場運用フェーズの説明である。   The above is the description of the market operation phase of the communication method example 2.

上述した通信方法の例2によれば、サーバ装置2000と通信装置1001の第2演算処理装置600とは、MAC鍵K_mac_gen(第1鍵)を使用して認証処理を行う。また、サーバ装置2000と通信装置1001の第1演算処理装置500とは、ENC鍵K_enc_gen(第2鍵)を使用する暗号通信によりセッション鍵K_com(第3鍵)を送受する。これにより、サーバ装置2000と通信装置1001の第1演算処理装置500との間の暗号通信に使用されるセッション鍵K_com(第3鍵)の安全性が向上する。このことは、通信装置1001が外部のサーバ装置2000と通信を行う際の安全性を向上させる効果を奏する。   According to the communication method example 2 described above, the server device 2000 and the second arithmetic processing device 600 of the communication device 1001 perform the authentication process using the MAC key K_mac_gen (first key). In addition, the server device 2000 and the first arithmetic processing device 500 of the communication device 1001 transmit and receive the session key K_com (third key) by encrypted communication using the ENC key K_enc_gen (second key). This improves the security of the session key K_com (third key) used for encrypted communication between the server device 2000 and the first arithmetic processing device 500 of the communication device 1001. This has the effect of improving safety when the communication device 1001 communicates with the external server device 2000.

また、サーバ装置2000と通信装置1001との間の認証処理に使用されるMAC鍵K_mac_gen(第1鍵)は、通信装置1001においてセキュアエレメントである第2演算処理装置600で保管される。これにより、サーバ装置2000と通信装置1001との間の認証の信頼性を向上させることができる。   Further, the MAC key K_mac_gen (first key) used for the authentication process between the server device 2000 and the communication device 1001 is stored in the second arithmetic processing device 600 that is a secure element in the communication device 1001. Thereby, the reliability of the authentication between the server apparatus 2000 and the communication apparatus 1001 can be improved.

また、サーバ装置2000と通信装置1001との間の暗号通信に使用されるENC鍵K_enc_gen(第2鍵)は、通信装置1001において第1演算処理装置500で保管される。セキュアエレメントに限定されない第1演算処理装置500には、比較的処理能力の高いCPUを使用することにより、サーバ装置2000と通信装置1001との間の暗号通信の通信速度を向上させることができる。   An ENC key K_enc_gen (second key) used for encrypted communication between the server device 2000 and the communication device 1001 is stored in the first arithmetic processing device 500 in the communication device 1001. The first arithmetic processing unit 500 that is not limited to a secure element can improve the communication speed of encryption communication between the server apparatus 2000 and the communication apparatus 1001 by using a CPU with relatively high processing capability.

<通信方法の例3>
図12を参照して本実施形態に係る通信方法の例3を説明する。図12は、本実施形態に係る通信方法の例3を示すシーケンスチャートである。図12において図10の各ステップに対応する部分には同一の符号を付している。 <Example 3 of communication method>
An example 3 of the communication method according to the present embodiment will be described with reference to FIG. FIG. 12 is a sequence chart showing Example 3 of the communication method according to the present embodiment. In FIG. 12, portions corresponding to the respective steps in FIG. 10 are denoted with the same reference numerals.

通信方法の例3は、通信方法の例1と同様に生産設置フェーズと市場運用フェーズとから構成される。通信方法の例3では、生産設置フェーズにおいてサーバ装置2000が鍵を生成する。以下、通信方法の例1と異なる点を主に説明する。   Similar to communication method example 1, communication method example 3 includes a production installation phase and a market operation phase. In the communication method example 3, the server apparatus 2000 generates a key in the production installation phase. Hereinafter, differences from the communication method example 1 will be mainly described.

サーバ装置2000と第2演算処理装置600とは、通信方法の例1と同様に、同じマスタ鍵Master_Secretを予め格納する。   The server apparatus 2000 and the second arithmetic processing apparatus 600 store the same master key Master_Secret in advance as in the communication method example 1.

(生産設置フェーズ)
通信方法の例3の生産設置フェーズを説明する。通信方法の例3の生産設置フェーズにおいて、ステップS1、ステップS2及びステップS3が実行される。ステップS1、ステップS2及びステップS3は、通信方法の例1と同じである。また、ステップS2aが実行される。 (Production installation phase)
The production installation phase of communication method example 3 will be described. In the production installation phase of the communication method example 3, step S1, step S2, and step S3 are executed. Steps S1, S2, and S3 are the same as those in the communication method example 1. Step S2a is also executed.

(ステップS2a)第1演算処理装置500の識別子通知部504は、通信装置1001の通信装置対応識別子UNIDをサーバ装置2000に送信する。通信方法の例3では、識別子通知部504は通信装置対応識別子通知部に対応する。 (Step S <b> 2 a) The identifier notifying unit 504 of the first arithmetic processing device 500 transmits the communication device corresponding identifier UNID of the communication device 1001 to the server device 2000. In the communication method example 3, the identifier notification unit 504 corresponds to a communication device-compatible identifier notification unit.

次いでステップS12が実行される。該ステップS12は、通信方法の例1の市場運用フェーズのステップS12と同じである。サーバ装置2000の記憶部12は、MAC鍵K_mac_genとENC鍵K_enc_genとを通信装置1001の通信装置対応識別子UNIDに対応付けて格納する。   Step S12 is then executed. The step S12 is the same as the step S12 in the market operation phase of the communication method example 1. The storage unit 12 of the server device 2000 stores the MAC key K_mac_gen and the ENC key K_enc_gen in association with the communication device correspondence identifier UNID of the communication device 1001.

以上が通信方法の例3の生産設置フェーズの説明である。   The above is the description of the production installation phase of the communication method example 3.

(市場運用フェーズ)
通信方法の例3の市場運用フェーズを説明する。通信方法の例3の市場運用フェーズにおいて、ステップS11及びステップS13からステップS26までが実行される。ステップS11及びステップS13からステップS26までは、通信方法の例1と同じである。 (Market operation phase)
The market operation phase of the communication method example 3 will be described. In the market operation phase of the communication method example 3, steps S11 and S13 to S26 are executed. Steps S11 and S13 to S26 are the same as those of the communication method example 1.

なお、通信方法の例1と同様に、通信装置1001の第2演算処理装置600の鍵送受部603がセッション鍵K_comを生成してサーバ装置2000に供給してもよい。   Note that, similarly to Example 1 of the communication method, the key transmission / reception unit 603 of the second arithmetic processing device 600 of the communication device 1001 may generate the session key K_com and supply it to the server device 2000.

以上が通信方法の例3の市場運用フェーズの説明である。   The above is the description of the market operation phase of the communication method example 3.

上述した通信方法の例3によれば、サーバ装置2000と通信装置1001の第2演算処理装置600とは、MAC鍵K_mac_gen(第1鍵)を使用して認証処理を行い、ENC鍵K_enc_gen(第2鍵)を使用する暗号通信によりセッション鍵K_com(第3鍵)を送受する。これにより、サーバ装置2000と通信装置1001の第1演算処理装置500との間の暗号通信に使用されるセッション鍵K_com(第3鍵)の安全性が向上する。このことは、通信装置1001が外部のサーバ装置2000と通信を行う際の安全性を向上させる効果を奏する。   According to the communication method example 3 described above, the server device 2000 and the second arithmetic processing device 600 of the communication device 1001 perform the authentication process using the MAC key K_mac_gen (first key), and the ENC key K_enc_gen (first). The session key K_com (third key) is transmitted and received by encrypted communication using (two keys). This improves the security of the session key K_com (third key) used for encrypted communication between the server device 2000 and the first arithmetic processing device 500 of the communication device 1001. This has the effect of improving safety when the communication device 1001 communicates with the external server device 2000.

また、通信方法の例3によれば、サーバ装置2000は生産設置フェーズにおいてMAC鍵K_mac_gen(第1鍵)及びENC鍵K_enc_gen(第2鍵)を生成する。これにより、市場運用フェーズにおける処理時間の短縮を図ることができる。   Further, according to the communication method example 3, the server device 2000 generates the MAC key K_mac_gen (first key) and the ENC key K_enc_gen (second key) in the production installation phase. Thereby, the processing time in the market operation phase can be shortened.

また、サーバ装置2000と通信装置1001との間の認証処理に使用されるMAC鍵K_mac_gen(第1鍵)は、通信装置1001においてセキュアエレメントである第2演算処理装置600で保管される。これにより、サーバ装置2000と通信装置1001との間の認証の信頼性を向上させることができる。   Further, the MAC key K_mac_gen (first key) used for the authentication process between the server device 2000 and the communication device 1001 is stored in the second arithmetic processing device 600 that is a secure element in the communication device 1001. Thereby, the reliability of the authentication between the server apparatus 2000 and the communication apparatus 1001 can be improved.

<通信方法の例4>
図13を参照して本実施形態に係る通信方法の例4を説明する。図13は、本実施形態に係る通信方法の例4を示すシーケンスチャートである。図13において図11の各ステップに対応する部分には同一の符号を付している。 <Example 4 of communication method>
Example 4 of the communication method according to the present embodiment will be described with reference to FIG. FIG. 13 is a sequence chart illustrating Example 4 of the communication method according to the present embodiment. In FIG. 13, portions corresponding to the respective steps in FIG. 11 are denoted by the same reference numerals.

通信方法の例4は、通信方法の例2と同様に生産設置フェーズと市場運用フェーズとから構成される。通信方法の例4では、通信方法の例3と同様に、生産設置フェーズにおいてサーバ装置2000が鍵を生成する。以下、通信方法の例2と異なる点を主に説明する。   Similar to the communication method example 2, the communication method example 4 includes a production installation phase and a market operation phase. In the communication method example 4, as in the communication method example 3, the server device 2000 generates a key in the production installation phase. Hereinafter, differences from the communication method example 2 will be mainly described.

サーバ装置2000と第2演算処理装置600とは、通信方法の例2と同様に、同じマスタ鍵Master_Secretを予め格納する。   The server device 2000 and the second arithmetic processing device 600 store the same master key Master_Secret in advance as in the communication method example 2.

(生産設置フェーズ)
通信方法の例4の生産設置フェーズを説明する。通信方法の例4の生産設置フェーズにおいて、ステップS1、ステップS2、ステップS3及びステップS4が実行される。ステップS1、ステップS2、ステップS3及びステップS4は、通信方法の例2と同じである。また、ステップS2a及びステップS12が実行される。ステップS2a及びステップS12は、通信方法の例3と同じである。サーバ装置2000の記憶部12は、MAC鍵K_mac_genとENC鍵K_enc_genとを通信装置1001の通信装置対応識別子UNIDに対応付けて格納する。 (Production installation phase)
The production installation phase of communication method example 4 will be described. In the production installation phase of the communication method example 4, step S1, step S2, step S3 and step S4 are executed. Steps S1, S2, S3, and S4 are the same as those in the second example of the communication method. Moreover, step S2a and step S12 are performed. Steps S2a and S12 are the same as those in the communication method example 3. The storage unit 12 of the server device 2000 stores the MAC key K_mac_gen and the ENC key K_enc_gen in association with the communication device correspondence identifier UNID of the communication device 1001.

以上が通信方法の例4の生産設置フェーズの説明である。   The above is the description of the production installation phase of the communication method example 4.

(市場運用フェーズ)
通信方法の例4の市場運用フェーズを説明する。通信方法の例4の市場運用フェーズにおいて、ステップS11と、ステップS13からステップS22までと、ステップS24aと、ステップS26とが実行される。ステップS11と、ステップS13からステップS22までと、ステップS26とは、通信方法の例1と同じである。ステップS24aは、通信方法の例2と同じである。 (Market operation phase)
The market operation phase of the communication method example 4 will be described. In the market operation phase of communication method example 4, step S11, steps S13 to S22, step S24a, and step S26 are executed. Step S11, step S13 to step S22, and step S26 are the same as in the communication method example 1. Step S24a is the same as Example 2 of the communication method.

なお、通信方法の例2と同様に、通信装置1001の第1演算処理装置500の鍵送受部503がセッション鍵K_comを生成してサーバ装置2000に供給してもよい。   Similar to the second example of the communication method, the key transmission / reception unit 503 of the first arithmetic processing device 500 of the communication device 1001 may generate the session key K_com and supply it to the server device 2000.

以上が通信方法の例4の市場運用フェーズの説明である。   The above is the description of the market operation phase of the communication method example 4.

上述した通信方法の例4によれば、サーバ装置2000と通信装置1001の第2演算処理装置600とは、MAC鍵K_mac_gen(第1鍵)を使用して認証処理を行う。また、サーバ装置2000と通信装置1001の第1演算処理装置500とは、ENC鍵K_enc_gen(第2鍵)を使用する暗号通信によりセッション鍵K_com(第3鍵)を送受する。これにより、サーバ装置2000と通信装置1001の第1演算処理装置500との間の暗号通信に使用されるセッション鍵K_com(第3鍵)の安全性が向上する。このことは、通信装置1001が外部のサーバ装置2000と通信を行う際の安全性を向上させる効果を奏する。   According to the communication method example 4 described above, the server device 2000 and the second arithmetic processing device 600 of the communication device 1001 perform the authentication process using the MAC key K_mac_gen (first key). In addition, the server device 2000 and the first arithmetic processing device 500 of the communication device 1001 transmit and receive the session key K_com (third key) by encrypted communication using the ENC key K_enc_gen (second key). This improves the security of the session key K_com (third key) used for encrypted communication between the server device 2000 and the first arithmetic processing device 500 of the communication device 1001. This has the effect of improving safety when the communication device 1001 communicates with the external server device 2000.

また、通信方法の例4によれば、サーバ装置2000は生産設置フェーズにおいてMAC鍵K_mac_gen(第1鍵)及びENC鍵K_enc_gen(第2鍵)を生成する。これにより、市場運用フェーズにおける処理時間の短縮を図ることができる。   Further, according to the communication method example 4, the server apparatus 2000 generates the MAC key K_mac_gen (first key) and the ENC key K_enc_gen (second key) in the production installation phase. Thereby, the processing time in the market operation phase can be shortened.

また、サーバ装置2000と通信装置1001との間の認証処理に使用されるMAC鍵K_mac_gen(第1鍵)は、通信装置1001においてセキュアエレメントである第2演算処理装置600で保管される。これにより、サーバ装置2000と通信装置1001との間の認証の信頼性を向上させることができる。   Further, the MAC key K_mac_gen (first key) used for the authentication process between the server device 2000 and the communication device 1001 is stored in the second arithmetic processing device 600 that is a secure element in the communication device 1001. Thereby, the reliability of the authentication between the server apparatus 2000 and the communication apparatus 1001 can be improved.

また、サーバ装置2000と通信装置1001との間の暗号通信に使用されるENC鍵K_enc_gen(第2鍵)は、通信装置1001において第1演算処理装置500で保管される。セキュアエレメントに限定されない第1演算処理装置500には、比較的処理能力の高いCPUを使用することにより、サーバ装置2000と通信装置1001との間の暗号通信の通信速度を向上させることができる。   An ENC key K_enc_gen (second key) used for encrypted communication between the server device 2000 and the communication device 1001 is stored in the first arithmetic processing device 500 in the communication device 1001. The first arithmetic processing unit 500 that is not limited to a secure element can improve the communication speed of encryption communication between the server apparatus 2000 and the communication apparatus 1001 by using a CPU with relatively high processing capability.

以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。   The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes design changes and the like within a scope not departing from the gist of the present invention.

通信装置対応識別子の一例としてIMSI又はICCIDを使用する場合、例えば通信装置対応識別子がIMSIである場合には、SIM1052は、IMSIを格納した時点以降であれば任意のタイミングで、MAC鍵K_mac_genとENC鍵K_enc_genとを生成し、生成したMAC鍵K_mac_genとENC鍵K_enc_genとを保持してもよい。例えば、SIM1052の製造時に、該SIM1052にIMSIを書き込んで、該SIM1052がMAC鍵K_mac_genとENC鍵K_enc_genとを生成して保持してもよい。   When the IMSI or ICCID is used as an example of the communication device correspondence identifier, for example, when the communication device correspondence identifier is IMSI, the SIM 1052 may use the MAC key K_mac_gen and ENC at an arbitrary timing after the IMSI is stored. The key K_enc_gen may be generated, and the generated MAC key K_mac_gen and ENC key K_enc_gen may be held. For example, when the SIM 1052 is manufactured, the IMSI may be written in the SIM 1052, and the SIM 1052 may generate and hold the MAC key K_mac_gen and the ENC key K_enc_gen.

また、通信装置対応識別子の一例としてIMSI又はICCIDを使用する場合、例えば通信装置対応識別子がIMSIである場合には、SIM1052は、自己のIMSIを第1演算処理装置500に通知する。第1演算処理装置500の識別子通知部504は、SIM1052から通知されたIMSIをサーバ装置2000に通知する。   When IMSI or ICCID is used as an example of the communication device correspondence identifier, for example, when the communication device correspondence identifier is IMSI, the SIM 1052 notifies the first arithmetic processing device 500 of its own IMSI. The identifier notification unit 504 of the first arithmetic processing device 500 notifies the server device 2000 of the IMSI notified from the SIM 1052.

また、通信装置対応識別子の一例としてIMSI又はICCIDを使用する場合、例えば通信装置対応識別子がIMSIである場合においてSIM1052が別の通信装置1001で再利用されるときには、該SIM1052が保持しているMAC鍵K_mac_genとENC鍵K_enc_genとを、該別の通信装置1001で使用してもよい。   In addition, when IMSI or ICCID is used as an example of the communication device correspondence identifier, for example, when the communication device correspondence identifier is IMSI, when the SIM 1052 is reused by another communication device 1001, the MAC held by the SIM 1052 is retained. The key K_mac_gen and the ENC key K_enc_gen may be used in the other communication device 1001.

なお、上述した実施形態では、第2演算処理装置600がマスタ鍵Master_Secretを保持するが、第2演算処理装置600はマスタ鍵Master_Secretを保持しなくてもよい。第2演算処理装置600は、マスタ鍵Master_Secretを保持せず、外部で生成されたMAC鍵K_mac_genとENC鍵K_enc_genとを保持してもよい。例えば、第2演算処理装置600としてSIM1052を使用する場合、SIM1052の製造工場の鍵生成装置が、サーバ装置2000と同じマスタ鍵Master_Secretを保持する。該鍵生成装置は、該マスタ鍵Master_Secretを使用してMAC鍵K_mac_genとENC鍵K_enc_genとを生成し、生成したMAC鍵K_mac_genとENC鍵K_enc_genとをSIM1052に書き込む。この場合、通信装置対応識別子には、SIM1052のIMSI又はICCIDを使用してもよい。   In the above-described embodiment, the second arithmetic processing device 600 holds the master key Master_Secret, but the second arithmetic processing device 600 may not hold the master key Master_Secret. The second processing unit 600 may hold the MAC key K_mac_gen and the ENC key K_enc_gen generated externally without holding the master key Master_Secret. For example, when the SIM 1052 is used as the second arithmetic processing device 600, the key generation device at the manufacturing factory of the SIM 1052 holds the same master key Master_Secret as the server device 2000. The key generation device generates a MAC key K_mac_gen and an ENC key K_enc_gen using the master key Master_Secret, and writes the generated MAC key K_mac_gen and ENC key K_enc_gen in the SIM 1052. In this case, the IMSI or ICCID of the SIM 1052 may be used as the communication device correspondence identifier.

なお、第1演算処理装置500がJTAG(Joint Test Action Group)等のデバッグポートを備える場合、該デバッグポートに対してID(識別子)による認証機能を設けてもよい。これにより、第1演算処理装置500に対するメモリダンプやタッピング攻撃などの攻撃によってセッション鍵K_comが漏洩することを抑制することができる。例えば、IoTデバイス1040や通信ゲートウェイ装置1050のデバッグポートに対してIDによる認証機能を設けてもよい。   When the first arithmetic processing unit 500 includes a debug port such as JTAG (Joint Test Action Group), an authentication function using an ID (identifier) may be provided for the debug port. Thereby, it is possible to suppress the leakage of the session key K_com due to an attack such as a memory dump or a tapping attack on the first arithmetic processing unit 500. For example, an ID authentication function may be provided for the debug port of the IoT device 1040 or the communication gateway device 1050.

また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。 In addition, a computer program for realizing the functions of each device described above may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read into a computer system and executed. Here, the “computer system” may include an OS and hardware such as peripheral devices.
“Computer-readable recording medium” refers to a flexible disk, a magneto-optical disk, a ROM, a writable nonvolatile memory such as a flash memory, a portable medium such as a DVD (Digital Versatile Disc), and a built-in computer system. A storage device such as a hard disk.

さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 Further, the “computer-readable recording medium” means a volatile memory (for example, DRAM (Dynamic DRAM) in a computer system that becomes a server or a client when a program is transmitted through a network such as the Internet or a communication line such as a telephone line. Random Access Memory)), etc., which hold programs for a certain period of time.
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.

1,2,3…通信システム、11,501…通信部、12,112,212,502,602,1054…記憶部、15,601…鍵生成部、16,503,603…鍵送受部、18,604…認証処理部、110,210,1053…CPU、116,216,1055…インタフェース部、504…識別子通知部、1001…通信装置、1040…IoTデバイス、1050…通信ゲートウェイ装置、1051…通信モジュール、1052…SIM、2000…サーバ装置、3000…通信網、3010…通信路 1, 2, 3 ... communication system 11, 501 ... communication unit 12, 112, 212, 502, 602, 1054 ... storage unit, 15, 601 ... key generation unit, 16, 503, 603 ... key transmission / reception unit, 18 , 604 ... Authentication processing unit, 110, 210, 1053 ... CPU, 116, 216, 1055 ... Interface unit, 504 ... Identifier notification unit, 1001 ... Communication device, 1040 ... IoT device, 1050 ... Communication gateway device, 1051 ... Communication module , 1052 ... SIM, 2000 ... server device, 3000 ... communication network, 3010 ... communication path

Claims (13)

通信装置とサーバ装置との間の通信を行う通信システムであり、
前記サーバ装置と、前記通信装置に搭載される第1演算処理装置と、前記通信装置に搭載されるセキュアエレメントである第2演算処理装置とを備え、
前記第2演算処理装置は、
前記通信装置と前記サーバ装置との間の通信に使用される第1鍵及び第2鍵を格納する通信装置鍵記憶部と、
前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理部と、
前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受部と、を備え、
前記第1演算処理装置は、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信部を備え、
前記サーバ装置は、
前記通信装置と同じ前記第1鍵及び前記第2鍵を格納するサーバ鍵記憶部と、
前記第1鍵を使用して前記通信装置の前記通信装置認証処理部との間で認証処理を行うサーバ認証処理部と、
前記第2鍵を使用する暗号通信により、前記通信装置の前記通信装置鍵送受部との間で前記第3鍵を送信又は受信するサーバ鍵送受部と、
前記第3鍵を使用して、前記通信装置の前記通信装置通信部との間で暗号通信を行うサーバ通信部と、を備える、
通信システム。 A communication system that performs communication between a communication device and a server device,
The server device; a first arithmetic processing device mounted on the communication device; and a second arithmetic processing device that is a secure element mounted on the communication device;
The second arithmetic processing unit includes:
A communication device key storage unit for storing a first key and a second key used for communication between the communication device and the server device;
A communication device authentication processing unit that performs authentication processing with the server device using the first key;
A communication device key transmission / reception unit that transmits or receives a third key to and from the server device by encrypted communication using the second key;
The first arithmetic processing unit includes a communication device communication unit that performs cryptographic communication with the server device using the third key,
The server device
A server key storage unit for storing the same first key and the second key as the communication device;
A server authentication processing unit that performs authentication processing with the communication device authentication processing unit of the communication device using the first key;
A server key transmission / reception unit that transmits or receives the third key to / from the communication device key transmission / reception unit of the communication device by encrypted communication using the second key;
A server communication unit that performs cryptographic communication with the communication device communication unit of the communication device using the third key,
Communications system. 通信装置とサーバ装置との間の通信を行う通信システムであり、
前記サーバ装置と、前記通信装置に搭載される第1演算処理装置と、前記通信装置に搭載されるセキュアエレメントである第2演算処理装置とを備え、
前記第2演算処理装置は、
前記通信装置と前記サーバ装置との間の通信に使用される第1鍵を格納する第2通信装置鍵記憶部と、
前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理部と、を備え、
前記第1演算処理装置は、
前記通信装置と前記サーバ装置との間の通信に使用される第2鍵を格納する第1通信装置鍵記憶部と、
前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受部と、
前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信部と、を備え、
前記サーバ装置は、
前記通信装置と同じ前記第1鍵及び前記第2鍵を格納するサーバ鍵記憶部と、
前記第1鍵を使用して前記通信装置の前記通信装置認証処理部との間で認証処理を行うサーバ認証処理部と、
前記第2鍵を使用する暗号通信により、前記通信装置の前記通信装置鍵送受部との間で前記第3鍵を送信又は受信するサーバ鍵送受部と、
前記第3鍵を使用して、前記通信装置の前記通信装置通信部との間で暗号通信を行うサーバ通信部と、を備える、
通信システム。 A communication system that performs communication between a communication device and a server device,
The server device; a first arithmetic processing device mounted on the communication device; and a second arithmetic processing device that is a secure element mounted on the communication device;
The second arithmetic processing unit includes:
A second communication device key storage unit that stores a first key used for communication between the communication device and the server device;
A communication device authentication processing unit that performs authentication processing with the server device using the first key,
The first arithmetic processing unit includes:
A first communication device key storage unit that stores a second key used for communication between the communication device and the server device;
A communication device key transmission / reception unit that transmits or receives a third key to and from the server device by encrypted communication using the second key;
A communication device communication unit that performs cryptographic communication with the server device using the third key;
The server device
A server key storage unit for storing the same first key and the second key as the communication device;
A server authentication processing unit that performs authentication processing with the communication device authentication processing unit of the communication device using the first key;
A server key transmission / reception unit that transmits or receives the third key to / from the communication device key transmission / reception unit of the communication device by encrypted communication using the second key;
A server communication unit that performs cryptographic communication with the communication device communication unit of the communication device using the third key,
Communications system. 前記第2演算処理装置は、
マスタ鍵を格納する通信装置マスタ鍵記憶部と、
前記マスタ鍵と前記通信装置に対応する通信装置対応識別子とを使用して前記第1鍵及び前記第2鍵を生成する通信装置鍵生成部と、
をさらに備える請求項1又は2のいずれか1項に記載の通信システム。 The second arithmetic processing unit includes:
A communication device master key storage unit for storing a master key;
A communication device key generation unit that generates the first key and the second key using the master key and a communication device correspondence identifier corresponding to the communication device;
The communication system according to claim 1, further comprising: 前記サーバ装置は、
前記通信装置と同じマスタ鍵を格納するサーバマスタ鍵記憶部と、
前記マスタ鍵と前記通信装置に対応する通信装置対応識別子とを使用して前記第1鍵及び前記第2鍵を生成するサーバ鍵生成部と、
をさらに備える請求項1から3のいずれか1項に記載の通信システム。 The server device
A server master key storage unit that stores the same master key as the communication device;
A server key generation unit that generates the first key and the second key using the master key and a communication device correspondence identifier corresponding to the communication device;
The communication system according to any one of claims 1 to 3, further comprising: 前記第1演算処理装置は、前記通信装置対応識別子を前記第2演算処理装置と前記サーバ装置とに通知する通信装置対応識別子通知部、
をさらに備える請求項3又は4のいずれか1項に記載の通信システム。 The first arithmetic processing unit is configured to notify the communication device correspondence identifier to the second arithmetic processing device and the server device;
The communication system according to any one of claims 3 and 4, further comprising: サーバ装置と通信を行う通信装置であり、
第1演算処理装置と、セキュアエレメントである第2演算処理装置とを備え、
前記第2演算処理装置は、
前記通信装置と前記サーバ装置との間の通信に使用される第1鍵及び第2鍵を格納する通信装置鍵記憶部と、
前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理部と、
前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受部と、を備え、
前記第1演算処理装置は、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信部を備える、
通信装置。 A communication device that communicates with the server device,
A first arithmetic processing unit and a second arithmetic processing unit that is a secure element;
The second arithmetic processing unit includes:
A communication device key storage unit for storing a first key and a second key used for communication between the communication device and the server device;
A communication device authentication processing unit that performs authentication processing with the server device using the first key;
A communication device key transmission / reception unit that transmits or receives a third key to and from the server device by encrypted communication using the second key;
The first arithmetic processing unit includes a communication device communication unit that performs cryptographic communication with the server device using the third key.
Communication device. サーバ装置と通信を行う通信装置であり、
第1演算処理装置と、セキュアエレメントである第2演算処理装置とを備え、
前記第2演算処理装置は、
前記通信装置と前記サーバ装置との間の通信に使用される第1鍵を格納する第2通信装置鍵記憶部と、
前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理部と、を備え、
前記第1演算処理装置は、
前記通信装置と前記サーバ装置との間の通信に使用される第2鍵を格納する第1通信装置鍵記憶部と、
前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受部と、
前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信部と、を備える、
通信装置。 A communication device that communicates with the server device,
A first arithmetic processing unit and a second arithmetic processing unit that is a secure element;
The second arithmetic processing unit includes:
A second communication device key storage unit that stores a first key used for communication between the communication device and the server device;
A communication device authentication processing unit that performs authentication processing with the server device using the first key,
The first arithmetic processing unit includes:
A first communication device key storage unit that stores a second key used for communication between the communication device and the server device;
A communication device key transmission / reception unit that transmits or receives a third key to and from the server device by encrypted communication using the second key;
A communication device communication unit that performs cryptographic communication with the server device using the third key,
Communication device. 通信装置と通信を行うサーバ装置であり、
前記通信装置と同じ第1鍵及び第2鍵を格納するサーバ鍵記憶部と、
前記第1鍵を使用して前記通信装置のセキュアエレメントである第2演算処理装置の通信装置認証処理部との間で認証処理を行うサーバ認証処理部と、
前記第2鍵を使用する暗号通信により、前記通信装置の通信装置鍵送受部との間で第3鍵を送信又は受信するサーバ鍵送受部と、
前記第3鍵を使用して、前記通信装置の通信装置通信部との間で暗号通信を行うサーバ通信部と、
を備えるサーバ装置。 A server device that communicates with a communication device;
A server key storage unit for storing the same first key and second key as the communication device;
A server authentication processing unit that performs an authentication process with a communication device authentication processing unit of a second arithmetic processing device that is a secure element of the communication device using the first key;
A server key transmission / reception unit that transmits or receives a third key to / from a communication device key transmission / reception unit of the communication device by encrypted communication using the second key;
A server communication unit that performs cryptographic communication with the communication device communication unit of the communication device using the third key;
A server device comprising: 通信装置とサーバ装置との間の通信方法であり、
前記通信装置は、第1演算処理装置と、セキュアエレメントである第2演算処理装置とを備え、
前記第2演算処理装置が、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵及び第2鍵を格納する鍵記憶ステップと、
前記第2演算処理装置が、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う認証処理ステップと、
前記第2演算処理装置が、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する鍵送受ステップと、
前記第1演算処理装置が、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信ステップと、
を含む通信方法。 A communication method between a communication device and a server device,
The communication device includes a first arithmetic processing device and a second arithmetic processing device which is a secure element,
A key storage step in which the second arithmetic processing device stores a first key and a second key used for communication between the communication device and the server device;
An authentication processing step in which the second arithmetic processing device performs an authentication process with the server device using the first key;
A key sending / receiving step in which the second processing unit sends or receives a third key to and from the server device by encrypted communication using the second key;
A communication step in which the first arithmetic processing device performs cryptographic communication with the server device using the third key;
Including a communication method. 通信装置とサーバ装置との間の通信方法であり、
前記通信装置は、第1演算処理装置と、セキュアエレメントである第2演算処理装置とを備え、
前記第2演算処理装置が、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵を格納する第1鍵記憶ステップと、
前記第2演算処理装置が、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う認証処理ステップと、
前記第1演算処理装置が、前記通信装置と前記サーバ装置との間の通信に使用される第2鍵を格納する第2鍵記憶ステップと、
前記第1演算処理装置が、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する鍵送受ステップと、
前記第1演算処理装置が、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信ステップと、
を含む通信方法。 A communication method between a communication device and a server device,
The communication device includes a first arithmetic processing device and a second arithmetic processing device which is a secure element,
A first key storage step in which the second arithmetic processing unit stores a first key used for communication between the communication device and the server device;
An authentication processing step in which the second arithmetic processing device performs an authentication process with the server device using the first key;
A second key storage step in which the first arithmetic processing unit stores a second key used for communication between the communication device and the server device;
A key sending / receiving step in which the first processing unit sends or receives a third key to and from the server device by encrypted communication using the second key;
A communication step in which the first arithmetic processing device performs cryptographic communication with the server device using the third key;
Including a communication method. サーバ装置と通信を行う通信装置に備わる、セキュアエレメントである第2コンピュータに、
前記通信装置と前記サーバ装置との間の通信に使用される第1鍵及び第2鍵を格納する通信装置鍵記憶機能と、
前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理機能と、
前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受機能と、を実現させ、
前記通信装置に備わる第1コンピュータに、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信機能を実現させるためのコンピュータプログラム。 A second computer, which is a secure element, provided in a communication device that communicates with a server device,
A communication device key storage function for storing a first key and a second key used for communication between the communication device and the server device;
A communication device authentication processing function for performing authentication processing with the server device using the first key;
A communication device key transmission / reception function for transmitting or receiving a third key to / from the server device by encrypted communication using the second key;
A computer program for causing a first computer included in the communication device to realize a communication device communication function for performing cryptographic communication with the server device using the third key. サーバ装置と通信を行う通信装置に備わる、セキュアエレメントである第2コンピュータに、
前記通信装置と前記サーバ装置との間の通信に使用される第1鍵を格納する第2通信装置鍵記憶機能と、
前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理機能と、を実現させ、
前記通信装置に備わる第1コンピュータに、
前記通信装置と前記サーバ装置との間の通信に使用される第2鍵を格納する第1通信装置鍵記憶機能と、
前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受機能と、
前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信機能と、を実現させるためのコンピュータプログラム。 A second computer, which is a secure element, provided in a communication device that communicates with a server device,
A second communication device key storage function for storing a first key used for communication between the communication device and the server device;
A communication device authentication processing function for performing authentication processing with the server device using the first key;
A first computer provided in the communication device;
A first communication device key storage function for storing a second key used for communication between the communication device and the server device;
A communication device key transmission / reception function for transmitting or receiving a third key to / from the server device by encrypted communication using the second key;
A computer program for realizing a communication device communication function for performing cryptographic communication with the server device using the third key. 通信装置と通信を行うサーバ装置のコンピュータに、
前記通信装置と同じ第1鍵及び第2鍵を格納するサーバ鍵記憶機能と、
前記第1鍵を使用して前記通信装置のセキュアエレメントである第2演算処理装置の通信装置認証処理部との間で認証処理を行うサーバ認証処理機能と、
前記第2鍵を使用する暗号通信により、前記通信装置の通信装置鍵送受部との間で第3鍵を送信又は受信するサーバ鍵送受機能と、
前記第3鍵を使用して、前記通信装置の通信装置通信部との間で暗号通信を行うサーバ通信機能と、
を実現させるためのコンピュータプログラム。 In the server computer that communicates with the communication device,
A server key storage function for storing the same first key and second key as the communication device;
A server authentication processing function for performing authentication processing with a communication device authentication processing unit of a second arithmetic processing device which is a secure element of the communication device using the first key;
A server key transmission / reception function for transmitting or receiving a third key to / from a communication device key transmission / reception unit of the communication device by encrypted communication using the second key;
A server communication function for performing cryptographic communication with the communication device communication unit of the communication device using the third key;
Computer program for realizing.
JP2016224583A 2016-11-17 2016-11-17 COMMUNICATION SYSTEM, COMMUNICATION DEVICE, SERVER DEVICE, COMMUNICATION METHOD, AND COMPUTER PROGRAM Active JP6408536B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016224583A JP6408536B2 (en) 2016-11-17 2016-11-17 COMMUNICATION SYSTEM, COMMUNICATION DEVICE, SERVER DEVICE, COMMUNICATION METHOD, AND COMPUTER PROGRAM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016224583A JP6408536B2 (en) 2016-11-17 2016-11-17 COMMUNICATION SYSTEM, COMMUNICATION DEVICE, SERVER DEVICE, COMMUNICATION METHOD, AND COMPUTER PROGRAM

Publications (2)

Publication Number Publication Date
JP2018082362A true JP2018082362A (en) 2018-05-24
JP6408536B2 JP6408536B2 (en) 2018-10-17

Family

ID=62198218

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016224583A Active JP6408536B2 (en) 2016-11-17 2016-11-17 COMMUNICATION SYSTEM, COMMUNICATION DEVICE, SERVER DEVICE, COMMUNICATION METHOD, AND COMPUTER PROGRAM

Country Status (1)

Country Link
JP (1) JP6408536B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110012468A (en) * 2019-06-06 2019-07-12 成都鼎桥通信技术有限公司 A kind of secure access authentication method and system
JP2020088738A (en) * 2018-11-29 2020-06-04 ソフトバンク株式会社 Management apparatus, communication system, program, and control method
JP2020195039A (en) * 2019-05-27 2020-12-03 凸版印刷株式会社 Information processing device, server device, communication system, communication method, and program
JP7226602B1 (en) 2022-02-01 2023-02-21 凸版印刷株式会社 Secret information distribution system, secret information distribution method, device management server, and program

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005117207A (en) * 2003-10-06 2005-04-28 Hitachi Ltd Service authentication method and system using ic card
WO2009004411A1 (en) * 2007-07-04 2009-01-08 Freescale Semiconductor, Inc. Communication device with secure storage of user data
WO2010039445A2 (en) * 2008-10-02 2010-04-08 Motorola, Inc. Method, mobile station, system and network processor for use in mobile communications
JP2014053675A (en) * 2012-09-05 2014-03-20 Sony Corp Security chip, program, information processing device, and information processing system
JP2015532791A (en) * 2012-09-13 2015-11-12 日本電気株式会社 Key management in MTC system
JP2015233201A (en) * 2014-06-09 2015-12-24 パナソニックIpマネジメント株式会社 Communication system, communication device and communication method
US20160127132A1 (en) * 2013-05-30 2016-05-05 Samsung Electronics Co., Ltd. Method and apparatus for installing profile
JP2016513899A (en) * 2013-03-08 2016-05-16 エヌイーシー ヨーロッパ リミテッドNec Europe Ltd. Method and system for preparing communication between a user device and a server
JP2016092811A (en) * 2014-10-29 2016-05-23 Kddi株式会社 Key management system, key management server device, management device, vehicle, key management method and computer program
JP2016127598A (en) * 2014-12-30 2016-07-11 悠遊宝(天津)網絡科技有限公司Youyoubao(Tianjin)Network Technology Co., Ltd. Communication control apparatus, authentication device, central control apparatus and communication system

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005117207A (en) * 2003-10-06 2005-04-28 Hitachi Ltd Service authentication method and system using ic card
WO2009004411A1 (en) * 2007-07-04 2009-01-08 Freescale Semiconductor, Inc. Communication device with secure storage of user data
WO2010039445A2 (en) * 2008-10-02 2010-04-08 Motorola, Inc. Method, mobile station, system and network processor for use in mobile communications
JP2014053675A (en) * 2012-09-05 2014-03-20 Sony Corp Security chip, program, information processing device, and information processing system
JP2015532791A (en) * 2012-09-13 2015-11-12 日本電気株式会社 Key management in MTC system
JP2016513899A (en) * 2013-03-08 2016-05-16 エヌイーシー ヨーロッパ リミテッドNec Europe Ltd. Method and system for preparing communication between a user device and a server
US20160127132A1 (en) * 2013-05-30 2016-05-05 Samsung Electronics Co., Ltd. Method and apparatus for installing profile
JP2015233201A (en) * 2014-06-09 2015-12-24 パナソニックIpマネジメント株式会社 Communication system, communication device and communication method
JP2016092811A (en) * 2014-10-29 2016-05-23 Kddi株式会社 Key management system, key management server device, management device, vehicle, key management method and computer program
JP2016127598A (en) * 2014-12-30 2016-07-11 悠遊宝(天津)網絡科技有限公司Youyoubao(Tianjin)Network Technology Co., Ltd. Communication control apparatus, authentication device, central control apparatus and communication system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020088738A (en) * 2018-11-29 2020-06-04 ソフトバンク株式会社 Management apparatus, communication system, program, and control method
JP2020195039A (en) * 2019-05-27 2020-12-03 凸版印刷株式会社 Information processing device, server device, communication system, communication method, and program
CN110012468A (en) * 2019-06-06 2019-07-12 成都鼎桥通信技术有限公司 A kind of secure access authentication method and system
JP7226602B1 (en) 2022-02-01 2023-02-21 凸版印刷株式会社 Secret information distribution system, secret information distribution method, device management server, and program
JP2023112251A (en) * 2022-02-01 2023-08-14 凸版印刷株式会社 Secret information distribution system, secret information distribution method, device management server, and program

Also Published As

Publication number Publication date
JP6408536B2 (en) 2018-10-17

Similar Documents

Publication Publication Date Title
US11777719B2 (en) Public key exchange with authenicated ECDHE and security against quantum computers
US11849048B2 (en) Mutually authenticated ECDHE key exchange for a device and a network using multiple PKI key pairs
US11722296B2 (en) Device securing communications using two post-quantum cryptography key encapsulation mechanisms
US10015159B2 (en) Terminal authentication system, server device, and terminal authentication method
US10958664B2 (en) Method of performing integrity verification between client and server and encryption security protocol-based communication method of supporting integrity verification between client and server
US11757874B2 (en) Mutual authentication system
KR20150035971A (en) A secure Data Communication protocol between IoT smart devices or sensors and a Network gateway under Internet of Thing environment
WO2018092356A1 (en) Communication system, vehicle, server device, communication method, and computer program
JP6408536B2 (en) COMMUNICATION SYSTEM, COMMUNICATION DEVICE, SERVER DEVICE, COMMUNICATION METHOD, AND COMPUTER PROGRAM
JP6548172B2 (en) Terminal authentication system, server device, and terminal authentication method
US20220209944A1 (en) Secure Server Digital Signature Generation For Post-Quantum Cryptography Key Encapsulations
WO2015186829A1 (en) Transmission node, reception node, communication network system, message creation method, and computer program
US20170353315A1 (en) Secure electronic entity, electronic apparatus and method for verifying the integrity of data stored in such a secure electronic entity
WO2022067132A1 (en) System and methods for secure communication using post-quantum cryptography
CN113556230A (en) Data security transmission method, certificate correlation method, server, system and medium
JP2015104020A (en) Communication terminal device, communication terminal association system, communication terminal association method and computer program
CN108352982B (en) Communication device, communication method, and recording medium
JP2018082439A (en) Communication system, vehicle, server device, communication method, and computer program
JP6501701B2 (en) SYSTEM, TERMINAL DEVICE, CONTROL METHOD, AND PROGRAM
CN111836260B (en) Authentication information processing method, terminal and network equipment
CN117041956A (en) Communication authentication method, device, computer equipment and storage medium
US20240106636A1 (en) Multiple post-quantum cryptography key encapsulations with authentication and forward secrecy
US20230308424A1 (en) Secure Session Resumption using Post-Quantum Cryptography
JP2019033549A (en) Communication device, communication method, and computer program
JP2017108238A (en) Communication device and communication method

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180713

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180828

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180920

R150 Certificate of patent or registration of utility model

Ref document number: 6408536

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150