JP2018082362A - Communication system, communication device, server device, communication method, and computer program - Google Patents
Communication system, communication device, server device, communication method, and computer program Download PDFInfo
- Publication number
- JP2018082362A JP2018082362A JP2016224583A JP2016224583A JP2018082362A JP 2018082362 A JP2018082362 A JP 2018082362A JP 2016224583 A JP2016224583 A JP 2016224583A JP 2016224583 A JP2016224583 A JP 2016224583A JP 2018082362 A JP2018082362 A JP 2018082362A
- Authority
- JP
- Japan
- Prior art keywords
- key
- communication
- communication device
- server
- arithmetic processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、通信システム、通信装置、サーバ装置、通信方法、及びコンピュータプログラムに関する。 The present invention relates to a communication system, a communication device, a server device, a communication method, and a computer program.
信号機、気象観測センサー等の特定用途の組込み機器が、社会の至る所に設置されている。これらの組込み機器に搭載されているIoTデバイスは、インターネットに接続され、情報を送受信することができる。こうしたモノのインターネット(Internet of Things:IoT)の世界では、IoTシステムは、多種多様で膨大な数の非力なIoTデバイスを含む。IoTシステムに含まれるサーバは、IoTデバイスが送信した情報を取得すると、該情報を処理する。
通信データの秘匿を図る技術の一つとして公開鍵暗号方式が知られている。公開鍵暗号方式では、一般に、PKI(Public Key Infrastructure、公開鍵基盤)を利用して公開鍵(公開鍵証明書)がやり取りされる(例えば、非特許文献1参照)。
Embedded devices for specific purposes such as traffic lights and weather sensors are installed throughout society. IoT devices mounted on these embedded devices are connected to the Internet and can send and receive information. In the Internet of Things (IoT) world, the IoT system includes a wide variety of powerless IoT devices. When the server included in the IoT system acquires the information transmitted by the IoT device, the server processes the information.
A public key cryptosystem is known as one technique for concealing communication data. In the public key cryptosystem, a public key (public key certificate) is generally exchanged using PKI (Public Key Infrastructure) (for example, see Non-Patent Document 1).
インターネットに偽のIoTデバイスが接続され、該偽のIoTデバイスから誤った情報がサーバへ送信されることが想定される。この場合、サーバが処理した結果は誤ったものになってしまう。しかしながら、インターネットに接続されるIoTデバイスが真のIoTデバイスであるか偽のIoTデバイスであるかの真贋を判定することは難しい。
また、IoTデバイスのセキュリティが侵害されるおそれがある。しかしながら、非力なIoTデバイスに高度なセキュリティ対策機能を追加することは難しい。
本発明は、上記問題を解決すべくなされたもので、IoTシステム等の通信システムに含まれるIoTデバイス等の通信装置のセキュリティを向上させることを目的とする。
It is assumed that a fake IoT device is connected to the Internet and erroneous information is transmitted from the fake IoT device to the server. In this case, the result processed by the server is incorrect. However, it is difficult to determine whether the IoT device connected to the Internet is a true IoT device or a fake IoT device.
In addition, the security of the IoT device may be violated. However, it is difficult to add a sophisticated security countermeasure function to a weak IoT device.
The present invention has been made to solve the above problems, and an object thereof is to improve the security of a communication apparatus such as an IoT device included in a communication system such as an IoT system.
(1)本発明の一態様は、通信装置とサーバ装置との間の通信を行う通信システムであり、前記サーバ装置と、前記通信装置に搭載される第1演算処理装置と、前記通信装置に搭載されるセキュアエレメントである第2演算処理装置とを備え、前記第2演算処理装置は、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵及び第2鍵を格納する通信装置鍵記憶部と、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理部と、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受部と、を備え、前記第1演算処理装置は、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信部を備え、前記サーバ装置は、前記通信装置と同じ前記第1鍵及び前記第2鍵を格納するサーバ鍵記憶部と、前記第1鍵を使用して前記通信装置の前記通信装置認証処理部との間で認証処理を行うサーバ認証処理部と、前記第2鍵を使用する暗号通信により、前記通信装置の前記通信装置鍵送受部との間で前記第3鍵を送信又は受信するサーバ鍵送受部と、前記第3鍵を使用して、前記通信装置の前記通信装置通信部との間で暗号通信を行うサーバ通信部と、を備える、通信システムである。 (1) One embodiment of the present invention is a communication system that performs communication between a communication device and a server device, the server device, a first arithmetic processing device mounted on the communication device, and the communication device. A second arithmetic processing unit, which is a secure element to be mounted, and the second arithmetic processing unit stores a first key and a second key used for communication between the communication device and the server device. Between the communication device key storage unit, the communication device authentication processing unit that performs authentication processing with the server device using the first key, and the server device by encrypted communication using the second key. A communication device key transmission / reception unit for transmitting or receiving the third key in the communication device communication, wherein the first arithmetic processing device performs cryptographic communication with the server device using the third key. The server device is the same as the communication device. A server key processing unit that stores the first key and the second key, and a server authentication processing unit that performs an authentication process with the communication device authentication processing unit of the communication device using the first key; A server key transmission / reception unit that transmits or receives the third key to / from the communication device key transmission / reception unit of the communication device by encrypted communication using the second key, and using the third key, A server communication unit that performs cryptographic communication with the communication device communication unit of the communication device.
(2)本発明の一態様は、通信装置とサーバ装置との間の通信を行う通信システムであり、前記サーバ装置と、前記通信装置に搭載される第1演算処理装置と、前記通信装置に搭載されるセキュアエレメントである第2演算処理装置とを備え、前記第2演算処理装置は、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵を格納する第2通信装置鍵記憶部と、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理部と、を備え、前記第1演算処理装置は、前記通信装置と前記サーバ装置との間の通信に使用される第2鍵を格納する第1通信装置鍵記憶部と、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受部と、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信部と、を備え、前記サーバ装置は、前記通信装置と同じ前記第1鍵及び前記第2鍵を格納するサーバ鍵記憶部と、前記第1鍵を使用して前記通信装置の前記通信装置認証処理部との間で認証処理を行うサーバ認証処理部と、前記第2鍵を使用する暗号通信により、前記通信装置の前記通信装置鍵送受部との間で前記第3鍵を送信又は受信するサーバ鍵送受部と、前記第3鍵を使用して、前記通信装置の前記通信装置通信部との間で暗号通信を行うサーバ通信部と、を備える、通信システムである。 (2) One embodiment of the present invention is a communication system that performs communication between a communication device and a server device. The server device, a first arithmetic processing device mounted on the communication device, and the communication device A second arithmetic processing unit, which is a secure element to be mounted, and the second arithmetic processing unit stores a first key used for communication between the communication device and the server device A key storage unit, and a communication device authentication processing unit that performs authentication processing with the server device using the first key, wherein the first arithmetic processing device includes the communication device and the server device. Communication for transmitting or receiving a third key between the first communication device key storage unit for storing the second key used for communication between the server device and the server device by encrypted communication using the second key. The device key transmission / reception unit and the third key are used to A communication device communication unit that performs encrypted communication with the communication device, and the server device stores the first key and the second key that are the same as the communication device, and the first A server authentication processing unit that performs authentication processing with the communication device authentication processing unit of the communication device using a key, and the communication device key transmission / reception unit of the communication device by encrypted communication using the second key. A server key transmission / reception unit that transmits or receives the third key to / from the server, and a server communication unit that performs cryptographic communication with the communication device communication unit of the communication device using the third key; It is a communication system provided with.
(3)本発明の一態様は、上記(1)又は(2)のいずれかの通信システムにおいて、前記第2演算処理装置は、マスタ鍵を格納する通信装置マスタ鍵記憶部と、前記マスタ鍵と前記通信装置に対応する通信装置対応識別子とを使用して前記第1鍵及び前記第2鍵を生成する通信装置鍵生成部と、をさらに備える通信システムである。
(4)本発明の一態様は、上記(1)から(3)のいずれかの通信システムにおいて、前記サーバ装置は、前記通信装置と同じマスタ鍵を格納するサーバマスタ鍵記憶部と、前記マスタ鍵と前記通信装置に対応する通信装置対応識別子とを使用して前記第1鍵及び前記第2鍵を生成するサーバ鍵生成部と、をさらに備える通信システムである。
(5)本発明の一態様は、上記(3)又は(4)のいずれかの通信システムにおいて、前記第1演算処理装置は、前記通信装置対応識別子を前記第2演算処理装置と前記サーバ装置とに通知する通信装置対応識別子通知部、をさらに備える通信システムである。
(3) According to one aspect of the present invention, in the communication system according to (1) or (2), the second arithmetic processing unit includes a communication device master key storage unit that stores a master key, and the master key. And a communication device key generation unit that generates the first key and the second key using a communication device correspondence identifier corresponding to the communication device.
(4) According to one aspect of the present invention, in the communication system according to any one of (1) to (3), the server device stores a server master key storage unit that stores the same master key as the communication device, and the master A communication system further comprising: a server key generation unit that generates the first key and the second key using a key and a communication device correspondence identifier corresponding to the communication device.
(5) According to one aspect of the present invention, in the communication system according to any one of (3) and (4), the first arithmetic processing device uses the communication device correspondence identifier as the second arithmetic processing device and the server device. The communication device further includes a communication device corresponding identifier notification unit that notifies the communication device.
(6)本発明の一態様は、サーバ装置と通信を行う通信装置であり、第1演算処理装置と、セキュアエレメントである第2演算処理装置とを備え、前記第2演算処理装置は、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵及び第2鍵を格納する通信装置鍵記憶部と、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理部と、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受部と、を備え、前記第1演算処理装置は、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信部を備える、通信装置である。 (6) One embodiment of the present invention is a communication device that communicates with a server device, and includes a first arithmetic processing device and a second arithmetic processing device that is a secure element, and the second arithmetic processing device includes: A communication device key storage unit for storing a first key and a second key used for communication between the communication device and the server device, and an authentication process between the server device using the first key. A communication device authentication processing unit to perform, and a communication device key transmission / reception unit that transmits or receives a third key to or from the server device by encrypted communication using the second key. Is a communication device including a communication device communication unit that performs encrypted communication with the server device using the third key.
(7)本発明の一態様は、サーバ装置と通信を行う通信装置であり、第1演算処理装置と、セキュアエレメントである第2演算処理装置とを備え、前記第2演算処理装置は、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵を格納する第2通信装置鍵記憶部と、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理部と、を備え、前記第1演算処理装置は、前記通信装置と前記サーバ装置との間の通信に使用される第2鍵を格納する第1通信装置鍵記憶部と、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受部と、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信部と、を備える、通信装置である。 (7) One embodiment of the present invention is a communication device that communicates with a server device, and includes a first arithmetic processing device and a second arithmetic processing device that is a secure element, and the second arithmetic processing device includes: Communication that performs authentication processing between the second communication device key storage unit that stores the first key used for communication between the communication device and the server device, and the server device using the first key A device authentication processing unit, wherein the first arithmetic processing unit includes a first communication device key storage unit that stores a second key used for communication between the communication device and the server device; A communication device key transmission / reception unit that transmits or receives a third key to / from the server device by encryption communication using two keys, and performs encryption communication to / from the server device using the third key. And a communication device communication unit for performing communication.
(8)本発明の一態様は、通信装置と通信を行うサーバ装置であり、前記通信装置と同じ第1鍵及び第2鍵を格納するサーバ鍵記憶部と、前記第1鍵を使用して前記通信装置のセキュアエレメントである第2演算処理装置の通信装置認証処理部との間で認証処理を行うサーバ認証処理部と、前記第2鍵を使用する暗号通信により、前記通信装置の通信装置鍵送受部との間で第3鍵を送信又は受信するサーバ鍵送受部と、前記第3鍵を使用して、前記通信装置の通信装置通信部との間で暗号通信を行うサーバ通信部と、を備えるサーバ装置である。 (8) One aspect of the present invention is a server device that communicates with a communication device, using a server key storage unit that stores the same first key and second key as the communication device, and the first key. A server authentication processing unit that performs authentication processing with a communication device authentication processing unit of a second arithmetic processing device that is a secure element of the communication device, and a communication device of the communication device by encrypted communication using the second key A server key transmission / reception unit that transmits or receives a third key to / from the key transmission / reception unit, and a server communication unit that performs cryptographic communication with the communication device communication unit of the communication device using the third key; Are server devices.
(9)本発明の一態様は、通信装置とサーバ装置との間の通信方法であり、前記通信装置は、第1演算処理装置と、セキュアエレメントである第2演算処理装置とを備え、前記第2演算処理装置が、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵及び第2鍵を格納する鍵記憶ステップと、前記第2演算処理装置が、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う認証処理ステップと、前記第2演算処理装置が、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する鍵送受ステップと、前記第1演算処理装置が、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信ステップと、を含む通信方法である。 (9) One aspect of the present invention is a communication method between a communication device and a server device, and the communication device includes a first arithmetic processing device and a second arithmetic processing device that is a secure element, A key storage step in which the second arithmetic processing unit stores a first key and a second key used for communication between the communication device and the server device; and the second arithmetic processing unit includes the first key. An authentication processing step for performing an authentication process with the server device using the second processing unit, and the second arithmetic processing device obtains a third key with the server device by encrypted communication using the second key. A key transmission / reception step for transmitting or receiving; and a communication step in which the first arithmetic processing device performs cryptographic communication with the server device using the third key.
(10)本発明の一態様は、通信装置とサーバ装置との間の通信方法であり、前記通信装置は、第1演算処理装置と、セキュアエレメントである第2演算処理装置とを備え、前記第2演算処理装置が、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵を格納する第1鍵記憶ステップと、前記第2演算処理装置が、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う認証処理ステップと、前記第1演算処理装置が、前記通信装置と前記サーバ装置との間の通信に使用される第2鍵を格納する第2鍵記憶ステップと、前記第1演算処理装置が、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する鍵送受ステップと、前記第1演算処理装置が、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信ステップと、を含む通信方法である。 (10) One aspect of the present invention is a communication method between a communication device and a server device, and the communication device includes a first arithmetic processing device and a second arithmetic processing device that is a secure element, A first key storage step in which a second arithmetic processing unit stores a first key used for communication between the communication device and the server device; and the second arithmetic processing unit uses the first key. And an authentication processing step for performing an authentication process with the server device, and a second key in which the first arithmetic processing device stores a second key used for communication between the communication device and the server device. A key storing step, a key sending / receiving step in which the first arithmetic processing device transmits or receives a third key to / from the server device by encrypted communication using the second key, and the first arithmetic processing device. Using the third key, the server device A communication step of performing encrypted communication with a communication method comprising.
(11)本発明の一態様は、サーバ装置と通信を行う通信装置に備わる、セキュアエレメントである第2コンピュータに、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵及び第2鍵を格納する通信装置鍵記憶機能と、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理機能と、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受機能と、を実現させ、前記通信装置に備わる第1コンピュータに、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信機能を実現させるためのコンピュータプログラムである。 (11) According to one aspect of the present invention, a second key, which is a secure element, provided in a communication device that communicates with a server device, a first key used for communication between the communication device and the server device, and A communication device key storage function for storing a second key, a communication device authentication processing function for performing authentication processing with the server device using the first key, and encryption communication using the second key, A communication device key transmission / reception function for transmitting or receiving a third key to / from the server device, and the first computer provided in the communication device uses the third key to communicate with the server device. It is a computer program for realizing a communication device communication function for performing encrypted communication between the two.
(12)本発明の一態様は、サーバ装置と通信を行う通信装置に備わる、セキュアエレメントである第2コンピュータに、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵を格納する第2通信装置鍵記憶機能と、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理機能と、を実現させ、前記通信装置に備わる第1コンピュータに、前記通信装置と前記サーバ装置との間の通信に使用される第2鍵を格納する第1通信装置鍵記憶機能と、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受機能と、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信機能と、を実現させるためのコンピュータプログラムである。 (12) According to one aspect of the present invention, a second key that is a secure element provided in a communication device that communicates with a server device is provided with a first key used for communication between the communication device and the server device. A second communication device key storage function to be stored and a communication device authentication processing function for performing authentication processing with the server device using the first key are realized, and the first computer provided in the communication device The first communication device key storage function for storing a second key used for communication between the communication device and the server device, and the server device by encrypted communication using the second key. A computer program for realizing a communication device key transmission / reception function for transmitting or receiving a third key and a communication device communication function for performing cryptographic communication with the server device using the third key. .
(13)本発明の一態様は、通信装置と通信を行うサーバ装置のコンピュータに、前記通信装置と同じ第1鍵及び第2鍵を格納するサーバ鍵記憶機能と、前記第1鍵を使用して前記通信装置のセキュアエレメントである第2演算処理装置の通信装置認証処理部との間で認証処理を行うサーバ認証処理機能と、前記第2鍵を使用する暗号通信により、前記通信装置の通信装置鍵送受部との間で第3鍵を送信又は受信するサーバ鍵送受機能と、前記第3鍵を使用して、前記通信装置の通信装置通信部との間で暗号通信を行うサーバ通信機能と、を実現させるためのコンピュータプログラムである。 (13) One embodiment of the present invention uses a server key storage function for storing the same first key and second key as the communication device in a computer of the server device that communicates with the communication device, and the first key. The communication device communicates with the server authentication processing function for performing authentication processing with the communication device authentication processing unit of the second arithmetic processing device, which is a secure element of the communication device, and encrypted communication using the second key. A server key transmission / reception function for transmitting or receiving a third key to / from the device key transmission / reception unit, and a server communication function for performing cryptographic communication with the communication device communication unit of the communication device using the third key And a computer program for realizing the above.
本発明によれば、IoTシステム等の通信システムに含まれるIoTデバイス等の通信装置のセキュリティを向上させることができる。 ADVANTAGE OF THE INVENTION According to this invention, the security of communication apparatuses, such as an IoT device contained in communication systems, such as an IoT system, can be improved.
以下、図面を参照し、本発明の実施形態について説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[通信システムの構成例]
本実施形態に係る通信システムの構成例を説明する。
[Configuration example of communication system]
A configuration example of the communication system according to the present embodiment will be described.
(通信システムの構成例1)
図1は、本実施形態に係る通信システムの構成例1(通信システム1)を示す図である。図1において、通信システム1は、サーバ装置2000とIoTデバイス1040とを備える。サーバ装置2000とIoTデバイス1040とは、インターネット等の通信網3000を介して接続される。
(Configuration example 1 of communication system)
FIG. 1 is a diagram showing a configuration example 1 (communication system 1) of a communication system according to the present embodiment. In FIG. 1, the communication system 1 includes a
IoTデバイス1040は通信装置である。IoTデバイス1040は、通信モジュール1051を備える。通信モジュール1051は、無線通信ネットワークを利用して無線通信を行う。通信モジュール1051は、SIM(Subscriber Identity Module)1052を備える。SIM1052は、無線通信ネットワークを利用するための情報が書き込まれたSIMである。通信モジュール1051は、SIM1052を使用することにより該無線通信ネットワークに接続して無線通信を行うことができる。なお、SIM1052として、eSIM(Embedded Subscriber Identity Module)を使用してもよい。SIM及びeSIMはセキュアエレメント(Secure Element:SE)の例である。SIM及びeSIMは耐タンパー性(Tamper Resistant)を有する。
The
図2は、本実施形態に係るサーバ装置2000の構成例を示すブロック図である。図2において、サーバ装置2000は、通信部11と、記憶部12と、鍵生成部15と、鍵送受部16と、認証処理部18とを備える。通信部11は、通信回線を介して、他の装置と通信を行う。記憶部12は、データを記憶する。鍵生成部15は、鍵を生成する。鍵送受部16は、他の通信装置との間で鍵の送信又は受信を行う。認証処理部18は、他の通信装置との間で認証処理を行う。
FIG. 2 is a block diagram illustrating a configuration example of the
サーバ装置2000の機能は、該サーバ装置2000が備えるCPU(Central Processing Unit:中央演算処理装置)がコンピュータプログラムを実行することにより実現される。なお、サーバ装置2000として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。
The functions of the
図3は、本実施形態に係るIoTデバイス1040のハードウェア構成例を示すブロック図である。図3において、IoTデバイス1040は、CPU110と、記憶部112と、インタフェース部116と、通信モジュール1051とを備える。これら各部はデータを交換できるように構成されている。
FIG. 3 is a block diagram illustrating a hardware configuration example of the
CPU110はIoTデバイス1040の制御を行う。この制御機能は、CPU110がコンピュータプログラムを実行することにより実現される。記憶部112は、CPU110で実行されるコンピュータプログラムや各種のデータを記憶する。記憶部112は、IoTデバイス1040の各種の機能を実現させるためのコンピュータプログラムを記憶する。CPU110が該コンピュータプログラムを実行することにより、IoTデバイス1040の各種の機能が実現される。
The
インタフェース部116は、自IoTデバイス1040の外部の装置とデータを送受する。インタフェース部116は、ブルートゥース(Bluetooth)(登録商標)、ワイファイ(WiFi)(登録商標)、近距離無線通信技術(Near Field Communication:NFC)等の無線通信技術で無線通信を行う無線デバイスを備えてもよい。インタフェース部116は、通信網3000と接続する無線又は有線の通信インタフェースを備えてもよい。
The
通信モジュール1051は、SIM1052を備える。通信モジュール1051は、SIM1052を使用することにより該SIM1052に対応する無線通信ネットワークに接続して無線通信を行うことができる。IoTデバイス1040は、通信モジュール1051を使用して、外部の装置と通信を行う。例えば、IoTデバイス1040は、通信モジュール1051を使用して、サーバ装置2000と通信を行ってもよい。
The
なお、IoTデバイス1040は、必要に応じて、図3に示されないセンサデバイス等のデバイスを備えてもよい。
Note that the
図4は、本実施形態に係る通信モジュール1051のハードウェア構成例を示すブロック図である。図4において、通信モジュール1051は、CPU1053と、記憶部1054と、インタフェース部1055と、SIM1052とを備える。これら各部はデータを交換できるように構成されている。通信モジュール1051は通信装置である。
FIG. 4 is a block diagram illustrating a hardware configuration example of the
CPU1053は通信モジュール1051の制御を行う。この制御機能は、CPU1053がコンピュータプログラムを実行することにより実現される。記憶部1054は、CPU1053で実行されるコンピュータプログラムや各種のデータを記憶する。記憶部1054は、通信モジュール1051の各種の機能を実現させるためのコンピュータプログラムを記憶する。CPU1053が該コンピュータプログラムを実行することにより、通信モジュール1051の各種の機能が実現される。
The
インタフェース部1055は、自通信モジュール1051の外部の装置とデータを送受する。SIM1052は自SIM1052の各種の機能を実現させるためのコンピュータプログラムを実行することにより、SIM1052の各種の機能が実現される。
The
(通信システムの構成例2)
図5は、本実施形態に係る通信システムの構成例2(通信システム2)を示す図である。図5において図1の各部に対応する部分には同一の符号を付している。図5に示す通信システム2は、サーバ装置2000とIoTデバイス1040と通信ゲートウェイ装置1050とを備える。サーバ装置2000と通信ゲートウェイ装置1050とは通信網3000を介して接続される。通信ゲートウェイ装置1050とIoTデバイス1040とは通信網3000を介して接続される。通信ゲートウェイ装置1050は、IoTデバイス1040が通信網3000を介して外部の装置と行う通信を監視する。通信ゲートウェイ装置1050は通信装置である。通信ゲートウェイ装置1050は、通信モジュール1051を備える。通信モジュール1051は、SIM1052を備える。
(Configuration example 2 of communication system)
FIG. 5 is a diagram showing a configuration example 2 (communication system 2) of the communication system according to the present embodiment. In FIG. 5, parts corresponding to those in FIG. The
図6は、本実施形態に係る通信ゲートウェイ装置1050のハードウェア構成例を示すブロック図である。図6において、通信ゲートウェイ装置1050は、CPU210と、記憶部212と、インタフェース部216と、通信モジュール1051とを備える。これら各部はデータを交換できるように構成されている。通信モジュール1051は、SIM1052を備える。
FIG. 6 is a block diagram illustrating a hardware configuration example of the
CPU210は通信ゲートウェイ装置1050の制御を行う。この制御機能は、CPU210がコンピュータプログラムを実行することにより実現される。記憶部212は、CPU210で実行されるコンピュータプログラムや各種のデータを記憶する。記憶部212は、通信ゲートウェイ装置1050の各種の機能を実現させるためのコンピュータプログラムを記憶する。CPU210が該コンピュータプログラムを実行することにより、通信ゲートウェイ装置1050の各種の機能が実現される。
The
インタフェース部216は、自通信ゲートウェイ装置1050の外部の装置とデータを送受する。インタフェース部216は、通信網3000と接続する無線又は有線の通信インタフェースを備えてもよい。通信モジュール1051及びSIM1052は上述した通りである。
The
(通信システムの構成例3)
図7は、本実施形態に係る通信システムの構成例3(通信システム3)を示す図である。図7において図1及び図5の各部に対応する部分には同一の符号を付している。図7に示す通信システム3は、サーバ装置2000とIoTデバイス1040と通信ゲートウェイ装置1050とを備える。サーバ装置2000と通信ゲートウェイ装置1050とは通信網3000を介して接続される。通信ゲートウェイ装置1050とIoTデバイス1040とは通信路3010を介して接続される。通信路3010は、通信網3000とは独立した通信路である。通信路3010は、無線通信路であってもよく、又は、有線通信路であってもよい。通信路3010は、無線又は有線のLAN(Local Area Network)であってもよい。
(Configuration example 3 of communication system)
FIG. 7 is a diagram showing a configuration example 3 (communication system 3) of the communication system according to the present embodiment. In FIG. 7, parts corresponding to those in FIGS. 1 and 5 are given the same reference numerals. The communication system 3 illustrated in FIG. 7 includes a
IoTデバイス1040は、通信ゲートウェイ装置1050を介して、通信網3000に接続されるサーバ装置2000等の装置と通信を行う。通信ゲートウェイ装置1050は、IoTデバイス1040が通信網3000を介して外部の装置と行う通信を監視する。通信ゲートウェイ装置1050は、通信モジュール1051を備える。通信モジュール1051は、SIM1052を備える。
The
以上が本実施形態に係る通信システムの構成例の説明である。 The above is the description of the configuration example of the communication system according to the present embodiment.
図8は、本実施形態に係る第1演算処理装置500の機能構成例を示す図である。図8において、第1演算処理装置500は、通信部501と、記憶部502と、鍵送受部503と、識別子通知部504とを備える。通信部501は、第1演算処理装置500の外部の装置との間で通信を行う。記憶部502は、データを記憶する。鍵送受部503は、サーバ装置2000との間で鍵の送信又は受信を行う。識別子通知部504は、通信装置対応識別子の通知を行う。
FIG. 8 is a diagram illustrating a functional configuration example of the first
本実施形態では、通信システム1のIoTデバイス1040若しくは通信モジュール1051が第1演算処理装置500の機能を備えてもよい。又は、通信システム2の通信ゲートウェイ装置1050若しくは通信モジュール1051が第1演算処理装置500の機能を備えてもよい。又は、通信システム3の通信ゲートウェイ装置1050若しくは通信モジュール1051が第1演算処理装置500の機能を備えてもよい。
In the present embodiment, the
図9は、本実施形態に係る第2演算処理装置600の機能構成例を示す図である。図9において、第2演算処理装置600は、鍵生成部601と、記憶部602と、鍵送受部603と、認証処理部604とを備える。鍵生成部601は、鍵を生成する。記憶部602は、データを記憶する。鍵送受部603は、サーバ装置2000との間で鍵の送信又は受信を行う。認証処理部604は、サーバ装置2000との間で認証処理を行う。
FIG. 9 is a diagram illustrating a functional configuration example of the second
第2演算処理装置600はセキュアエレメントである。第2演算処理装置600は、耐タンパー性を有する半導体製品であってもよい。例えば、SIM、eSIM、又はIC(Integrated Circuit)チップを使用して第2演算処理装置600を構成してもよい。
The second
本実施形態では、通信システム1のIoTデバイス1040の通信モジュール1051のSIM1052が第2演算処理装置600の機能を備えてもよい。又は、通信システム2の通信ゲートウェイ装置1050の通信モジュール1051のSIM1052が第2演算処理装置600の機能を備えてもよい。又は、通信システム3の通信ゲートウェイ装置1050の通信モジュール1051のSIM1052が第2演算処理装置600の機能を備えてもよい。SIM1052はセキュアエレメントである。SIM1052は耐タンパー性を有する。又は、通信システム1,2,3のIoTデバイス1040若しくは通信ゲートウェイ装置1050にセキュアエレメントであり耐タンパー性を有するICチップを備え、該ICチップが第2演算処理装置600の機能を備えてもよい。
In the present embodiment, the
[第1演算処理装置と第2演算処理装置との構成例]
本実施形態に係る第1演算処理装置と第2演算処理装置との構成例を説明する。
[Configuration example of first arithmetic processing device and second arithmetic processing device]
A configuration example of the first arithmetic processing device and the second arithmetic processing device according to the present embodiment will be described.
(第1演算処理装置と第2演算処理装置との構成例1)
第1演算処理装置と第2演算処理装置との構成例1では、通信システム1において、第1演算処理装置500の一例としてIoTデバイス1040が第1演算処理装置500の機能を備え、第2演算処理装置600の一例としてIoTデバイス1040の通信モジュール1051のSIM1052が第2演算処理装置600の機能を備える。IoTデバイス1040のCPU110が第1演算処理装置500の機能を実現させるためのコンピュータプログラムを実行することにより、第1演算処理装置500の機能が実現される。IoTデバイス1040の通信モジュール1051のSIM1052が第2演算処理装置600の機能を実現させるためのコンピュータプログラムを実行することにより、第2演算処理装置600の機能が実現される。
(Configuration example 1 of the first arithmetic processing device and the second arithmetic processing device)
In the first configuration example of the first arithmetic processing device and the second arithmetic processing device, in the communication system 1, the
(第1演算処理装置と第2演算処理装置との構成例2)
第1演算処理装置と第2演算処理装置との構成例2では、通信システム2,3において、第1演算処理装置500の一例として通信ゲートウェイ装置1050が第1演算処理装置500の機能を備え、第2演算処理装置600の一例として通信ゲートウェイ装置1050の通信モジュール1051のSIM1052が第2演算処理装置600の機能を備える。通信ゲートウェイ装置1050のCPU210が第1演算処理装置500の機能を実現させるためのコンピュータプログラムを実行することにより、第1演算処理装置500の機能が実現される。通信ゲートウェイ装置1050の通信モジュール1051のSIM1052が第2演算処理装置600の機能を実現させるためのコンピュータプログラムを実行することにより、第2演算処理装置600の機能が実現される。
(Configuration example 2 of the first arithmetic processing device and the second arithmetic processing device)
In the configuration example 2 of the first arithmetic processing device and the second arithmetic processing device, the
(第1演算処理装置と第2演算処理装置との構成例3)
第1演算処理装置と第2演算処理装置との構成例3では、通信システム1,2,3において、第1演算処理装置500の一例として通信モジュール1051が第1演算処理装置500の機能を備え、第2演算処理装置600の一例として通信モジュール1051のSIM1052が第2演算処理装置600の機能を備える。通信モジュール1051のCPU1053が第1演算処理装置500の機能を実現させるためのコンピュータプログラムを実行することにより、第1演算処理装置500の機能が実現される。通信モジュール1051のSIM1052が第2演算処理装置600の機能を実現させるためのコンピュータプログラムを実行することにより、第2演算処理装置600の機能が実現される。
(Configuration example 3 of the first arithmetic processing device and the second arithmetic processing device)
In the configuration example 3 of the first arithmetic processing device and the second arithmetic processing device, in the
[通信装置対応識別子の構成例]
本実施形態に係る通信装置対応識別子の構成例を説明する。通信装置対応識別子は、通信装置に対応する識別子である。
[Configuration example of identifier for communication device]
A configuration example of the communication device correspondence identifier according to the present embodiment will be described. The communication device correspondence identifier is an identifier corresponding to the communication device.
(通信装置対応識別子の構成例1)
通信装置対応識別子の構成例1では、通信装置対応識別子は、通信装置の識別情報(通信装置識別情報)を使用して構成される。通信装置識別情報には、通信装置の製造番号又はシリアル番号を適用してもよい。通信装置対応識別子に使用される通信装置識別情報として、例えば、IoTデバイス1040の識別情報、通信モジュール1051の識別情報、通信ゲートウェイ装置1050の識別情報などの通信装置の通信装置識別情報を適用できる。また、それら各通信装置の通信装置識別情報のうち一つ又は複数の通信装置識別情報を使用して通信装置対応識別子を構成してもよい。通信装置対応識別子は、通信装置識別情報であってもよく、又は、通信装置識別情報と他の情報とから構成される情報であってもよい。
(Configuration example 1 of communication device correspondence identifier)
In the configuration example 1 of the communication device correspondence identifier, the communication device correspondence identifier is configured using the identification information (communication device identification information) of the communication device. The communication device identification number may be a communication device manufacturing number or serial number. As the communication device identification information used for the communication device correspondence identifier, for example, the communication device identification information of the communication device such as the identification information of the
(通信装置対応識別子の構成例2)
通信装置対応識別子の構成例2では、通信装置対応識別子は、通信装置に搭載されるSIM1052に格納されるIMSI(International Mobile Subscriber Identity)又はICCID(Integrated Circuit Card ID)を使用して構成される。通信装置対応識別子は、IMSIであってもよく、若しくは、IMSIと他の情報とから構成される情報であってもよい。又は、通信装置対応識別子は、ICCIDであってもよく、若しくは、ICCIDと他の情報とから構成される情報であってもよい。例えば、通信装置対応識別子は、IMSIとICCIDと通信装置識別情報とのうち複数を含む情報であってもよい。
(Configuration example 2 of communication device correspondence identifier)
In the configuration example 2 of the communication device correspondence identifier, the communication device correspondence identifier is configured using IMSI (International Mobile Subscriber Identity) or ICCID (Integrated Circuit Card ID) stored in the
[鍵生成方法の例]
本実施形態に係る鍵生成方法の例を説明する。本実施形態では、鍵の例として、MAC鍵K_mac_genとENC鍵K_enc_genとを生成する。MAC鍵K_mac_genは、認証処理に使用される鍵である。ENC鍵K_enc_genは、鍵の送信又は受信における暗号通信に使用される鍵である。本実施形態では、MAC鍵K_mac_genは第1鍵に対応し、ENC鍵K_enc_genは第2鍵に対応する。
[Example of key generation method]
An example of a key generation method according to this embodiment will be described. In the present embodiment, a MAC key K_mac_gen and an ENC key K_enc_gen are generated as examples of keys. The MAC key K_mac_gen is a key used for authentication processing. The ENC key K_enc_gen is a key used for encryption communication in key transmission or reception. In the present embodiment, the MAC key K_mac_gen corresponds to the first key, and the ENC key K_enc_gen corresponds to the second key.
本実施形態では、所定の鍵生成関数を使用して共通鍵を生成する。鍵生成関数の例を以下に説明する。 In the present embodiment, a common key is generated using a predetermined key generation function. An example of the key generation function will be described below.
(鍵生成関数の例1)
共通鍵=ダイジェスト(Master_Secret、UNID、Key_ID(Nk))
但し、Master_Secretはマスタ鍵である。UNIDは通信装置対応識別子である。Key_ID(Nk)は鍵種別識別子である。Nkは鍵の種別を表す変数である。ダイジェスト(Master_Secret、UNID、Key_ID(Nk))は、マスタ鍵Master_Secretと通信装置対応識別子UNIDと鍵種別識別子Key_ID(Nk)とから生成されるダイジェスト値である。ダイジェスト値として、例えば、ハッシュ(hash)関数により算出される値、又は、排他的論理和演算により算出される値などが挙げられる。例えば、共通鍵は、マスタ鍵Master_Secretと通信装置対応識別子UNIDと鍵種別識別子Key_ID(Nk)とを入力値に使用して算出されるハッシュ関数値である。
(Key generation function example 1)
Common key = digest (Master_Secret, UNID, Key_ID (Nk))
However, Master_Secret is a master key. The UNID is a communication device corresponding identifier. Key_ID (Nk) is a key type identifier. Nk is a variable representing the type of key. The digest (Master_Secret, UNID, Key_ID (Nk)) is a digest value generated from the master key Master_Secret, the communication device corresponding identifier UNID, and the key type identifier Key_ID (Nk). Examples of the digest value include a value calculated by a hash function or a value calculated by an exclusive OR operation. For example, the common key is a hash function value calculated using the master key Master_Secret, the communication device corresponding identifier UNID, and the key type identifier Key_ID (Nk) as input values.
鍵種別識別子Key_ID(Nk)の値が異なれば、ダイジェスト値は異なる。鍵種別識別子Key_ID(Nk)の値を変えることによって、同じマスタ鍵Master_Secretと通信装置対応識別子UNIDとから、異なる共通鍵を生成することができる。例えば、MAC鍵の鍵種別識別子をKey_ID(mac)とし、ENC鍵の鍵種別識別子をKey_ID(enc)とする。この場合、マスタ鍵Master_Secretと、通信装置対応識別子UNIDと、鍵種別識別子Key_ID(mac),Key_ID(enc)とを使用して、
MAC鍵K_mac_gen=ダイジェスト(Master_Secret、UNID、Key_ID(mac))、
ENC鍵K_enc_gen=ダイジェスト(Master_Secret、UNID、Key_ID(enc))、
により、MAC鍵K_mac_genとENC鍵K_enc_genとを異なる鍵として生成することができる。
If the value of the key type identifier Key_ID (Nk) is different, the digest value is different. By changing the value of the key type identifier Key_ID (Nk), different common keys can be generated from the same master key Master_Secret and the communication device corresponding identifier UNID. For example, the key type identifier of the MAC key is Key_ID (mac), and the key type identifier of the ENC key is Key_ID (enc). In this case, using the master key Master_Secret, the communication device corresponding identifier UNID, and the key type identifier Key_ID (mac), Key_ID (enc),
MAC key K_mac_gen = digest (Master_Secret, UNID, Key_ID (mac)),
ENC key K_enc_gen = digest (Master_Secret, UNID, Key_ID (enc)),
Thus, the MAC key K_mac_gen and the ENC key K_enc_gen can be generated as different keys.
(鍵生成関数の例2)
鍵生成関数の例2では、共通鍵としてCMAC(Cipher-based Message Authentication Code)を生成する。
共通鍵=CMAC(Master_Secret;UNID、Key_ID(Nk))
但し、CMAC(A;B)において、鍵AはCMACの生成に使用される鍵であり、データBはCMACの生成対象のデータである。これにより、鍵生成関数の例2では、共通鍵は、鍵Aを使用して生成される「データBのCMAC」である。CMAC(Master_Secret;UNID、Key_ID(Nk))において、マスタ鍵Master_SecretはCMACの生成に使用される鍵であり、通信装置対応識別子UNIDと鍵種別識別子Key_ID(Nk)との連結データはCMACの生成対象のデータである。これにより、鍵生成関数の例2では、共通鍵は、マスタ鍵Master_Secretを使用して生成される「通信装置対応識別子UNIDと鍵種別識別子Key_ID(Nk)との連結データ、のCMAC」である。
(Example 2 of key generation function)
In example 2 of the key generation function, a CMAC (Cipher-based Message Authentication Code) is generated as a common key.
Common key = CMAC (Master_Secret; UNID, Key_ID (Nk))
However, in CMAC (A; B), key A is a key used to generate CMAC, and data B is data to be generated by CMAC. Thus, in the second example of the key generation function, the common key is “CMAC of data B” generated using the key A. In CMAC (Master_Secret; UNID, Key_ID (Nk)), the master key Master_Secret is a key used for generation of CMAC, and the concatenated data of the communication device correspondence identifier UNID and key type identifier Key_ID (Nk) is the target of CMAC generation It is data of. Thus, in the second example of the key generation function, the common key is “CMAC of the concatenated data of the communication device correspondence identifier UNID and the key type identifier Key_ID (Nk)” generated using the master key Master_Secret.
鍵生成関数の例2において、鍵種別識別子Key_ID(Nk)の値が異なればCMACは異なる。このため、鍵生成関数の例2においても、鍵生成関数の例1と同様に、鍵種別識別子Key_ID(Nk)の値を変えることによって、同じマスタ鍵Master_Secretと通信装置対応識別子UNIDとから、異なる共通鍵を生成することができる。 In the example 2 of the key generation function, the CMAC is different if the value of the key type identifier Key_ID (Nk) is different. For this reason, in the second example of the key generation function, similarly to the first example of the key generation function, by changing the value of the key type identifier Key_ID (Nk), it differs from the same master key Master_Secret and the communication device corresponding identifier UNID. A common key can be generated.
[通信方法の例]
次に、図10,図11,図12,図13を参照して本実施形態に係る通信方法の例を説明する。図10,図11,図12,図13において、通信装置1001は第1演算処理装置500と第2演算処理装置600とを備える。
[Example of communication method]
Next, an example of a communication method according to the present embodiment will be described with reference to FIGS. 10, 11, 12, and 13. 10, 11, 12, and 13, the
また、サーバ装置2000と第1演算処理装置500との間の通信路として、暗号化通信路を使用してもよい。例えば、サーバ装置2000と第1演算処理装置500は、暗号化通信路の一例として、https(hypertext transfer protocol secure)通信を行ってもよい。また、サーバ装置2000と第1演算処理装置500は、VPN(Virtual Private Network)回線等の専用回線を使用して通信を行ってもよい。例えば、サーバ装置2000と通信モジュール1051との間をVPN回線等の専用回線で接続し、該専用回線でデータを送受してもよい。例えば、SIM1052に対応する無線通信ネットワークによって、VPN回線等の専用回線が提供されてもよい。
Further, an encrypted communication path may be used as a communication path between the
<通信方法の例1>
図10を参照して本実施形態に係る通信方法の例1を説明する。図10は、本実施形態に係る通信方法の例1を示すシーケンスチャートである。
<Example 1 of communication method>
An example 1 of the communication method according to the present embodiment will be described with reference to FIG. FIG. 10 is a sequence chart showing Example 1 of the communication method according to the present embodiment.
図10において、サーバ装置2000は、マスタ鍵Master_Secretを予め記憶部12に格納する。第2演算処理装置600は、マスタ鍵Master_Secretを予め記憶部602に格納する。サーバ装置2000が記憶部12に格納するマスタ鍵Master_Secretと、第2演算処理装置600が記憶部602に格納するマスタ鍵Master_Secretとは、同じである。記憶部12はサーバマスタ鍵記憶部に対応する。記憶部602は通信装置マスタ鍵記憶部に対応する。
In FIG. 10, the
第2演算処理装置600の一例としてのSIM1052には、例えば、SIM1052の製造工場でマスタ鍵Master_SecretがSIM1052に格納される。又は、通信モジュール1051若しくは通信モジュール1051が搭載される通信装置の製造工場などで、マスタ鍵Master_SecretがSIM1052に格納されてもよい。
In the
通信方法の例1は、通信装置1001の生産又は設置の段階(生産設置フェーズ)と、通信装置1001の一般の運用の段階(市場運用フェーズ)とから構成される。
The communication method example 1 includes a production or installation stage (production installation phase) of the
(生産設置フェーズ)
通信方法の例1の生産設置フェーズを説明する。生産設置フェーズは、通信装置1001の生産時、又は、通信装置1001の設置時に実施される。
(Production installation phase)
The production installation phase of communication method example 1 will be described. The production installation phase is performed when the
(ステップS1)第1演算処理装置500は、通信装置1001の通信装置対応識別子UNIDを取得する。通信装置1001の通信装置対応識別子UNIDは、予め第1演算処理装置500に格納されてもよく、又は、所定の契機で外部から第1演算処理装置500に通信装置対応識別子UNIDが通知されてもよい。
(Step S1) The first
例えば、第1演算処理装置500は、通信装置1001が保持する通信装置対応識別子UNIDを取得してもよい。
For example, the first
又は、通信装置1001の通信装置対応識別子UNIDは、例えば通信装置1001の製造会社や販売店などで管理されている通信装置対応識別子UNIDが第1演算処理装置500に供給されてもよい。例えば、通信装置1001の製造会社が通信装置対応識別子のデータベースを備え、該データベースから通信により通信装置1001の通信装置対応識別子UNIDを第1演算処理装置500に通知してもよい。
Alternatively, the communication device correspondence identifier UNID of the
(ステップS2)第1演算処理装置500の識別子通知部504は、通信装置1001の通信装置対応識別子UNIDを第2演算処理装置600に通知する。
(Step S2) The
(ステップS3)第2演算処理装置600の鍵生成部601は、記憶部602に格納するマスタ鍵Master_Secretと、第1演算処理装置500から通知された通信装置1001の通信装置対応識別子UNIDと、鍵種別識別子Key_ID(mac),Key_ID(enc)とを使用して、MAC鍵K_mac_genとENC鍵K_enc_genとを生成する。この鍵生成方法には、上述した鍵生成方法の例を適用する。鍵生成関数は、予め、鍵生成部601に設定される。鍵種別識別子Key_ID(mac),Key_ID(enc)は、予め、鍵生成部601に設定される。鍵生成部601は通信装置鍵生成部に対応する。
(Step S3) The
鍵生成部601は、鍵生成関数の一例として鍵生成関数の例1「共通鍵=ダイジェスト(Master_Secret、UNID、Key_ID(Nk))」を使用して、
MAC鍵K_mac_gen=ダイジェスト(Master_Secret、UNID、Key_ID(mac))、
ENC鍵K_enc_gen=ダイジェスト(Master_Secret、UNID、Key_ID(enc))、
により、MAC鍵K_mac_genとENC鍵K_enc_genとを生成する。ここでは、ダイジェスト値は、その一例として、ハッシュ関数により算出される値である。
The
MAC key K_mac_gen = digest (Master_Secret, UNID, Key_ID (mac)),
ENC key K_enc_gen = digest (Master_Secret, UNID, Key_ID (enc)),
Thus, the MAC key K_mac_gen and the ENC key K_enc_gen are generated. Here, the digest value is, for example, a value calculated by a hash function.
記憶部602は、MAC鍵K_mac_genとENC鍵K_enc_genとを格納する。通信方法の例1では、記憶部602は通信装置鍵記憶部に対応する。
The
なお、第2演算処理装置600は、MAC鍵K_mac_genとENC鍵K_enc_genとを生成した後に、記憶部602からマスタ鍵Master_Secretを削除してもよい。これにより、マスタ鍵Master_Secretが漏洩する可能性を低減することができる。
Note that the second
以上が通信方法の例1の生産設置フェーズの説明である。 The above is the description of the production installation phase of the communication method example 1.
(市場運用フェーズ)
通信方法の例1の市場運用フェーズを説明する。市場運用フェーズは、通信装置1001の一般の運用の段階において、例えば、通信装置1001の電源投入時や、通信装置1001とサーバ装置2000との通信の開始時などに実施される。
(Market operation phase)
The market operation phase of communication method example 1 will be described. The market operation phase is performed at the general operation stage of the
(ステップS11)第1演算処理装置500は、通信装置1001の通信装置対応識別子UNIDとチャレンジ(乱数c)とをサーバ装置2000に送信する。第1演算処理装置500は、乱数cを発生し、該乱数cをチャレンジに使用する。第1演算処理装置500は、該チャレンジ(乱数c)を保持しておく。
(Step S11) The first
(ステップS12)サーバ装置2000の鍵生成部15は、記憶部12に格納するマスタ鍵Master_Secretと、第1演算処理装置500から受信した通信装置1001の通信装置対応識別子UNIDと、鍵種別識別子Key_ID(mac),Key_ID(enc)とを使用して、MAC鍵K_mac_genとENC鍵K_enc_genとを生成する。この鍵生成方法は、上記したステップS3における第2演算処理装置600の鍵生成部601の鍵生成方法と同じである。鍵生成関数は、予め、鍵生成部15に設定される。鍵種別識別子Key_ID(mac),Key_ID(enc)は、予め、鍵生成部15に設定される。鍵生成部15はサーバ鍵生成部に対応する。
(Step S12) The
記憶部12は、MAC鍵K_mac_genとENC鍵K_enc_genとを通信装置1001の通信装置対応識別子UNIDに対応付けて格納する。記憶部12はサーバ鍵記憶部に対応する。
The
(ステップS13)サーバ装置2000の認証処理部18は、記憶部12に格納されるMAC鍵K_mac_genと、第1演算処理装置500から受信したチャレンジ(乱数c)とを使用して、レスポンスK_mac_gen(乱数c)を生成する。このレスポンス生成方法は、予め、認証処理部18に設定される。レスポンスK_mac_gen(乱数c)は、本実施形態に係る一例として、MAC鍵K_mac_genで乱数cを暗号化した暗号化データである。
(Step S <b> 13) The
なお、レスポンスK_mac_gen(乱数c)は、本実施形態に係る一例として、CMAC(K_mac_gen;乱数c)、つまり、MAC鍵K_mac_genを使用して生成される「乱数cのCMAC」であってもよい。 The response K_mac_gen (random number c) may be CMAC (K_mac_gen; random number c), that is, “CMAC of random number c” generated using the MAC key K_mac_gen, as an example according to the present embodiment.
(ステップS14)サーバ装置2000の認証処理部18は、レスポンスK_mac_gen(乱数c)とチャレンジ(乱数s)とを通信装置1001の第1演算処理装置500に送信する。認証処理部18は、乱数sを発生し、該乱数sをチャレンジに使用する。認証処理部18は、該チャレンジ(乱数s)を保持しておく。
(Step S14) The
(ステップS15)第1演算処理装置500は、サーバ装置2000に送信したチャレンジ(乱数c)と、サーバ装置2000から受信したレスポンスK_mac_gen(乱数c)及びチャレンジ(乱数s)とを第2演算処理装置600に送信する。
(Step S15) The first
(ステップS16)第2演算処理装置600の認証処理部604は、第1演算処理装置500から受信したレスポンスK_mac_gen(乱数c)の検証を行う。このレスポンス検証方法として、サーバ装置2000の認証処理部18におけるレスポンス生成方法に対応する方法が、予め、認証処理部604に設定される。レスポンスK_mac_gen(乱数c)の検証において、認証処理部604は、第1演算処理装置500から受信したチャレンジ(乱数c)と、記憶部602に格納されるMAC鍵K_mac_genと、を使用する。
(Step S16) The
例えば、レスポンスK_mac_gen(乱数c)がMAC鍵K_mac_genによる乱数cの暗号化データである場合、認証処理部604は、記憶部602に格納されるMAC鍵K_mac_genを使用して、第1演算処理装置500から受信したチャレンジ(乱数c)を暗号化し、該暗号化により生成した暗号化データとレスポンスK_mac_gen(乱数c)とを比較する。この比較の結果、両者が一致する場合にはレスポンスK_mac_gen(乱数c)の検証が合格であり、両者が不一致の場合にはレスポンスK_mac_gen(乱数c)の検証が不合格である。
For example, when the response K_mac_gen (random number c) is encrypted data of the random number c using the MAC key K_mac_gen, the
なお、レスポンスK_mac_gen(乱数c)がMAC鍵K_mac_genによる乱数cの暗号化データである場合の他の検証方法として、認証処理部604は、記憶部602に格納されるMAC鍵K_mac_genを使用して、第1演算処理装置500から受信したレスポンスK_mac_gen(乱数c)を復号し、該復号の結果と第1演算処理装置500から受信したチャレンジ(乱数c)とを比較してもよい。この比較の結果、両者が一致する場合にはレスポンスK_mac_gen(乱数c)の検証が合格であり、両者が不一致の場合にはレスポンスK_mac_gen(乱数c)の検証が不合格である。
As another verification method when the response K_mac_gen (random number c) is encrypted data of the random number c by the MAC key K_mac_gen, the
例えば、レスポンスK_mac_gen(乱数c)がCMAC(K_mac_gen;乱数c)である場合、認証処理部604は、記憶部602に格納されるMAC鍵K_mac_genを使用して、第1演算処理装置500から受信したチャレンジ(乱数c)のCMACを生成し、生成したCMACとレスポンスK_mac_gen(乱数c)とを比較する。この比較の結果、両者が一致する場合にはレスポンスK_mac_gen(乱数c)の検証が合格であり、両者が不一致の場合にはレスポンスK_mac_gen(乱数c)の検証が不合格である。
For example, when the response K_mac_gen (random number c) is CMAC (K_mac_gen; random number c), the
レスポンスK_mac_gen(乱数c)の検証が合格である場合には、ステップS17に進む。一方、レスポンスK_mac_gen(乱数c)の検証が不合格である場合には、図10の処理を終了する。レスポンスK_mac_gen(乱数c)の検証が不合格である場合には、第2演算処理装置600は所定のエラー処理を実行してもよい。
When the verification of the response K_mac_gen (random number c) is successful, the process proceeds to step S17. On the other hand, if the verification of the response K_mac_gen (random number c) fails, the process of FIG. 10 ends. If the verification of the response K_mac_gen (random number c) fails, the second
(ステップS17)第2演算処理装置600の認証処理部604は、記憶部602に格納されるMAC鍵K_mac_genと、第1演算処理装置500から受信したチャレンジ(乱数s)とを使用して、レスポンスK_mac_gen(乱数s)を生成する。このレスポンス生成方法は、予め、認証処理部604に設定される。レスポンスK_mac_gen(乱数s)は、本実施形態に係る一例として、MAC鍵K_mac_genで乱数sを暗号化した暗号化データである。
(Step S17) The
なお、レスポンスK_mac_gen(乱数s)は、本実施形態に係る一例として、CMAC(K_mac_gen;乱数s)、つまり、MAC鍵K_mac_genを使用して生成される「乱数sのCMAC」であってもよい。 The response K_mac_gen (random number s) may be CMAC (K_mac_gen; random number s), that is, “CMAC of random number s” generated using the MAC key K_mac_gen, as an example according to the present embodiment.
(ステップS18)第2演算処理装置600の認証処理部604は、レスポンスK_mac_gen(乱数s)を第1演算処理装置500に送信する。
(Step S <b> 18) The
(ステップS19)第1演算処理装置500は、第2演算処理装置600から受信したレスポンスK_mac_gen(乱数s)をサーバ装置2000に送信する。
(Step S19) The first
(ステップS20)サーバ装置2000の認証処理部18は、通信装置1001の第1演算処理装置500から受信したレスポンスK_mac_gen(乱数s)の検証を行う。このレスポンス検証方法として、通信装置1001の第2演算処理装置600の認証処理部604におけるレスポンス生成方法に対応する方法が、予め、認証処理部18に設定される。レスポンスK_mac_gen(乱数s)の検証において、認証処理部18は、通信装置1001の第1演算処理装置500に送信したチャレンジ(乱数s)と、記憶部12に格納されるMAC鍵K_mac_genと、を使用する。
(Step S20) The
例えば、レスポンスK_mac_gen(乱数s)がMAC鍵K_mac_genによる乱数sの暗号化データである場合、認証処理部18は、記憶部12に格納されるMAC鍵K_mac_genを使用して、通信装置1001の第1演算処理装置500に送信したチャレンジ(乱数s)を暗号化し、該暗号化により生成した暗号化データとレスポンスK_mac_gen(乱数s)とを比較する。この比較の結果、両者が一致する場合にはレスポンスK_mac_gen(乱数s)の検証が合格であり、両者が不一致の場合にはレスポンスK_mac_gen(乱数s)の検証が不合格である。
For example, when the response K_mac_gen (random number s) is encrypted data of the random number s by the MAC key K_mac_gen, the
なお、レスポンスK_mac_gen(乱数s)がMAC鍵K_mac_genによる乱数sの暗号化データである場合の他の検証方法として、認証処理部18は、記憶部12に格納されるMAC鍵K_mac_genを使用して、通信装置1001の第1演算処理装置500から受信したレスポンスK_mac_gen(乱数s)を復号し、該復号の結果と第1演算処理装置500に送信したチャレンジ(乱数s)とを比較してもよい。この比較の結果、両者が一致する場合にはレスポンスK_mac_gen(乱数s)の検証が合格であり、両者が不一致の場合にはレスポンスK_mac_gen(乱数s)の検証が不合格である。
As another verification method when the response K_mac_gen (random number s) is encrypted data of the random number s by the MAC key K_mac_gen, the
例えば、レスポンスK_mac_gen(乱数s)がCMAC(K_mac_gen;乱数s)である場合、認証処理部18は、記憶部12に格納されるMAC鍵K_mac_genを使用して、通信装置1001の第1演算処理装置500に送信したチャレンジ(乱数s)のCMACを生成し、生成したCMACとレスポンスK_mac_gen(乱数s)とを比較する。この比較の結果、両者が一致する場合にはレスポンスK_mac_gen(乱数s)の検証が合格であり、両者が不一致の場合にはレスポンスK_mac_gen(乱数s)の検証が不合格である。
For example, when the response K_mac_gen (random number s) is CMAC (K_mac_gen; random number s), the
レスポンスK_mac_gen(乱数s)の検証が合格である場合には、ステップS21に進む。一方、レスポンスK_mac_gen(乱数s)の検証が不合格である場合には、図10の処理を終了する。レスポンスK_mac_gen(乱数s)の検証が不合格である場合には、サーバ装置2000は所定のエラー処理を実行してもよい。
If the verification of the response K_mac_gen (random number s) is successful, the process proceeds to step S21. On the other hand, if the verification of the response K_mac_gen (random number s) fails, the process of FIG. If the verification of the response K_mac_gen (random number s) fails, the
サーバ装置2000の認証処理部18はサーバ認証処理部に対応する。通信装置1001の第2演算処理装置600の認証処理部604は通信装置認証処理部に対応する。
The
(ステップS21)サーバ装置2000の鍵送受部16は、セッション鍵K_comを生成する。例えば、鍵送受部16は、乱数を発生し、該乱数に基づいてセッション鍵K_comを生成してもよい。記憶部12は、セッション鍵K_comを通信装置1001の通信装置対応識別子UNIDに対応付けて格納する。セッション鍵K_comは第3鍵に対応する。
(Step S21) The key transmission /
(ステップS22)サーバ装置2000の鍵送受部16は、記憶部12に格納されるENC鍵K_enc_genを使用してセッション鍵K_comを暗号化し、暗号化セッション鍵K_enc_gen(K_com)を生成する。鍵送受部16は、暗号化セッション鍵K_enc_gen(K_com)を通信装置1001の第1演算処理装置500に送信する。
(Step S22) The key transmission /
(ステップS23)第1演算処理装置500は、サーバ装置2000から受信した暗号化セッション鍵K_enc_gen(K_com)を第2演算処理装置600に送信する。
(Step S23) The first
(ステップS24)第2演算処理装置600の鍵送受部603は、第1演算処理装置500から受信した暗号化セッション鍵K_enc_gen(K_com)を、記憶部602に格納されるENC鍵K_enc_genで復号する。この復号の結果としてセッション鍵K_comが取得される。これにより、サーバ装置2000と通信装置1001とは同じセッション鍵K_comを保持する。
(Step S24) The key transmission /
(ステップS25)第2演算処理装置600の鍵送受部603は、セッション鍵K_comを第1演算処理装置500に送信する。第1演算処理装置500の記憶部502は、第2演算処理装置600から受信したセッション鍵K_comを格納する。
(Step S <b> 25) The key transmission /
通信方法の例1では、通信装置1001の第2演算処理装置600の鍵送受部603は通信装置鍵送受部に対応する。サーバ装置2000の鍵送受部16はサーバ鍵送受部に対応する。
In Example 1 of the communication method, the key transmission /
(ステップS26)サーバ装置2000の通信部11と、通信装置1001の第1演算処理装置500の通信部501とは、セッション鍵K_comを使用して暗号通信を行う。この暗号通信では、セッション鍵K_comを使用してデータが暗号化された暗号化データK_com(データ)が、サーバ装置2000の通信部11と、通信装置1001の第1演算処理装置500の通信部501との間で送受される。これにより、サーバ装置2000の通信部11と、通信装置1001の第1演算処理装置500の通信部501との間で、セッション鍵K_comを使用した暗号通信路が構築される。
(Step S26) The
サーバ装置2000の通信部11は、サーバ通信部に対応する。通信装置1001の第1演算処理装置500の通信部501は、通信装置通信部に対応する。
The
なお、通信装置1001の第2演算処理装置600の鍵送受部603がセッション鍵K_comを生成してサーバ装置2000に供給してもよい。
Note that the key transmission /
以上が通信方法の例1の市場運用フェーズの説明である。 The above is the description of the market operation phase of the communication method example 1.
上述した通信方法の例1によれば、サーバ装置2000と通信装置1001の第2演算処理装置600とは、MAC鍵K_mac_gen(第1鍵)を使用して認証処理を行い、ENC鍵K_enc_gen(第2鍵)を使用する暗号通信によりセッション鍵K_com(第3鍵)を送受する。これにより、サーバ装置2000と通信装置1001の第1演算処理装置500との間の暗号通信に使用されるセッション鍵K_com(第3鍵)の安全性が向上する。このことは、通信装置1001が外部のサーバ装置2000と通信を行う際の安全性を向上させる効果を奏する。
According to the communication method example 1 described above, the
また、サーバ装置2000と通信装置1001との間の認証処理に使用されるMAC鍵K_mac_gen(第1鍵)は、通信装置1001においてセキュアエレメントである第2演算処理装置600で保管される。これにより、サーバ装置2000と通信装置1001との間の認証の信頼性を向上させることができる。
Further, the MAC key K_mac_gen (first key) used for the authentication process between the
<通信方法の例2>
図11を参照して本実施形態に係る通信方法の例2を説明する。図11は、本実施形態に係る通信方法の例2を示すシーケンスチャートである。図11において図10の各ステップに対応する部分には同一の符号を付している。
<Example 2 of communication method>
Example 2 of the communication method according to the present embodiment will be described with reference to FIG. FIG. 11 is a sequence chart showing Example 2 of the communication method according to the present embodiment. In FIG. 11, parts corresponding to the respective steps in FIG. 10 are denoted by the same reference numerals.
図11において、サーバ装置2000は、マスタ鍵Master_Secretを予め記憶部12に格納する。第2演算処理装置600は、マスタ鍵Master_Secretを予め記憶部602に格納する。サーバ装置2000が記憶部12に格納するマスタ鍵Master_Secretと、第2演算処理装置600が記憶部602に格納するマスタ鍵Master_Secretとは、同じである。記憶部12はサーバマスタ鍵記憶部に対応する。通信方法の例2では、記憶部602は通信装置マスタ鍵記憶部及び第2通信装置鍵記憶部に対応する。
In FIG. 11, the
第2演算処理装置600の一例としてのSIM1052には、例えば、SIM1052の製造工場でマスタ鍵Master_SecretがSIM1052に格納される。又は、通信モジュール1051若しくは通信モジュール1051が搭載される通信装置の製造工場などで、マスタ鍵Master_SecretがSIM1052に格納されてもよい。
In the
通信方法の例2は、通信方法の例1と同様に生産設置フェーズと市場運用フェーズとから構成される。 Similar to the communication method example 1, the communication method example 2 includes a production installation phase and a market operation phase.
(生産設置フェーズ)
通信方法の例2の生産設置フェーズを説明する。通信方法の例2の生産設置フェーズにおいて、ステップS1、ステップS2及びステップS3が実行される。ステップS1、ステップS2及びステップS3は、通信方法の例1と同じである。次いでステップS4が実行される。
(Production installation phase)
The production installation phase of communication method example 2 will be described. In the production installation phase of the communication method example 2, step S1, step S2, and step S3 are executed. Steps S1, S2, and S3 are the same as those in the communication method example 1. Step S4 is then executed.
(ステップS4)第2演算処理装置600は、ENC鍵K_enc_genを第1演算処理装置500に送信する。第1演算処理装置500の記憶部502は、第2演算処理装置600から受信したENC鍵K_enc_genを格納する。通信方法の例2では、記憶部502は第1通信装置鍵記憶部に対応する。
(Step S4) The second
以上が通信方法の例2の生産設置フェーズの説明である。 The above is the description of the production installation phase of the communication method example 2.
(市場運用フェーズ)
通信方法の例2の市場運用フェーズを説明する。通信方法の例2の市場運用フェーズにおいて、ステップS11からステップS22までが実行される。ステップS11からステップS22までは、通信方法の例1と同じである。
(Market operation phase)
The market operation phase of the communication method example 2 will be described. In the market operation phase of the communication method example 2, steps S11 to S22 are executed. Steps S11 to S22 are the same as those in the communication method example 1.
(ステップS24a)第1演算処理装置500の鍵送受部503は、サーバ装置2000から受信した暗号化セッション鍵K_enc_gen(K_com)を、記憶部502に格納されるENC鍵K_enc_genで復号する。この復号の結果としてセッション鍵K_comが取得される。これにより、サーバ装置2000と通信装置1001とは同じセッション鍵K_comを保持する。第1演算処理装置500の記憶部502は、セッション鍵K_comを格納する。
(Step S24a) The key transmission /
通信方法の例2では、通信装置1001の第1演算処理装置500の鍵送受部503は通信装置鍵送受部に対応する。サーバ装置2000の鍵送受部16はサーバ鍵送受部に対応する。
In Example 2 of the communication method, the key transmission /
なお、通信装置1001の第1演算処理装置500の鍵送受部503がセッション鍵K_comを生成してサーバ装置2000に供給してもよい。
The key transmission /
次いでステップS26が実行される。ステップS26は通信方法の例1と同じである。 Next, step S26 is executed. Step S26 is the same as Example 1 of the communication method.
以上が通信方法の例2の市場運用フェーズの説明である。 The above is the description of the market operation phase of the communication method example 2.
上述した通信方法の例2によれば、サーバ装置2000と通信装置1001の第2演算処理装置600とは、MAC鍵K_mac_gen(第1鍵)を使用して認証処理を行う。また、サーバ装置2000と通信装置1001の第1演算処理装置500とは、ENC鍵K_enc_gen(第2鍵)を使用する暗号通信によりセッション鍵K_com(第3鍵)を送受する。これにより、サーバ装置2000と通信装置1001の第1演算処理装置500との間の暗号通信に使用されるセッション鍵K_com(第3鍵)の安全性が向上する。このことは、通信装置1001が外部のサーバ装置2000と通信を行う際の安全性を向上させる効果を奏する。
According to the communication method example 2 described above, the
また、サーバ装置2000と通信装置1001との間の認証処理に使用されるMAC鍵K_mac_gen(第1鍵)は、通信装置1001においてセキュアエレメントである第2演算処理装置600で保管される。これにより、サーバ装置2000と通信装置1001との間の認証の信頼性を向上させることができる。
Further, the MAC key K_mac_gen (first key) used for the authentication process between the
また、サーバ装置2000と通信装置1001との間の暗号通信に使用されるENC鍵K_enc_gen(第2鍵)は、通信装置1001において第1演算処理装置500で保管される。セキュアエレメントに限定されない第1演算処理装置500には、比較的処理能力の高いCPUを使用することにより、サーバ装置2000と通信装置1001との間の暗号通信の通信速度を向上させることができる。
An ENC key K_enc_gen (second key) used for encrypted communication between the
<通信方法の例3>
図12を参照して本実施形態に係る通信方法の例3を説明する。図12は、本実施形態に係る通信方法の例3を示すシーケンスチャートである。図12において図10の各ステップに対応する部分には同一の符号を付している。
<Example 3 of communication method>
An example 3 of the communication method according to the present embodiment will be described with reference to FIG. FIG. 12 is a sequence chart showing Example 3 of the communication method according to the present embodiment. In FIG. 12, portions corresponding to the respective steps in FIG. 10 are denoted with the same reference numerals.
通信方法の例3は、通信方法の例1と同様に生産設置フェーズと市場運用フェーズとから構成される。通信方法の例3では、生産設置フェーズにおいてサーバ装置2000が鍵を生成する。以下、通信方法の例1と異なる点を主に説明する。
Similar to communication method example 1, communication method example 3 includes a production installation phase and a market operation phase. In the communication method example 3, the
サーバ装置2000と第2演算処理装置600とは、通信方法の例1と同様に、同じマスタ鍵Master_Secretを予め格納する。
The
(生産設置フェーズ)
通信方法の例3の生産設置フェーズを説明する。通信方法の例3の生産設置フェーズにおいて、ステップS1、ステップS2及びステップS3が実行される。ステップS1、ステップS2及びステップS3は、通信方法の例1と同じである。また、ステップS2aが実行される。
(Production installation phase)
The production installation phase of communication method example 3 will be described. In the production installation phase of the communication method example 3, step S1, step S2, and step S3 are executed. Steps S1, S2, and S3 are the same as those in the communication method example 1. Step S2a is also executed.
(ステップS2a)第1演算処理装置500の識別子通知部504は、通信装置1001の通信装置対応識別子UNIDをサーバ装置2000に送信する。通信方法の例3では、識別子通知部504は通信装置対応識別子通知部に対応する。
(Step S <b> 2 a) The
次いでステップS12が実行される。該ステップS12は、通信方法の例1の市場運用フェーズのステップS12と同じである。サーバ装置2000の記憶部12は、MAC鍵K_mac_genとENC鍵K_enc_genとを通信装置1001の通信装置対応識別子UNIDに対応付けて格納する。
Step S12 is then executed. The step S12 is the same as the step S12 in the market operation phase of the communication method example 1. The
以上が通信方法の例3の生産設置フェーズの説明である。 The above is the description of the production installation phase of the communication method example 3.
(市場運用フェーズ)
通信方法の例3の市場運用フェーズを説明する。通信方法の例3の市場運用フェーズにおいて、ステップS11及びステップS13からステップS26までが実行される。ステップS11及びステップS13からステップS26までは、通信方法の例1と同じである。
(Market operation phase)
The market operation phase of the communication method example 3 will be described. In the market operation phase of the communication method example 3, steps S11 and S13 to S26 are executed. Steps S11 and S13 to S26 are the same as those of the communication method example 1.
なお、通信方法の例1と同様に、通信装置1001の第2演算処理装置600の鍵送受部603がセッション鍵K_comを生成してサーバ装置2000に供給してもよい。
Note that, similarly to Example 1 of the communication method, the key transmission /
以上が通信方法の例3の市場運用フェーズの説明である。 The above is the description of the market operation phase of the communication method example 3.
上述した通信方法の例3によれば、サーバ装置2000と通信装置1001の第2演算処理装置600とは、MAC鍵K_mac_gen(第1鍵)を使用して認証処理を行い、ENC鍵K_enc_gen(第2鍵)を使用する暗号通信によりセッション鍵K_com(第3鍵)を送受する。これにより、サーバ装置2000と通信装置1001の第1演算処理装置500との間の暗号通信に使用されるセッション鍵K_com(第3鍵)の安全性が向上する。このことは、通信装置1001が外部のサーバ装置2000と通信を行う際の安全性を向上させる効果を奏する。
According to the communication method example 3 described above, the
また、通信方法の例3によれば、サーバ装置2000は生産設置フェーズにおいてMAC鍵K_mac_gen(第1鍵)及びENC鍵K_enc_gen(第2鍵)を生成する。これにより、市場運用フェーズにおける処理時間の短縮を図ることができる。
Further, according to the communication method example 3, the
また、サーバ装置2000と通信装置1001との間の認証処理に使用されるMAC鍵K_mac_gen(第1鍵)は、通信装置1001においてセキュアエレメントである第2演算処理装置600で保管される。これにより、サーバ装置2000と通信装置1001との間の認証の信頼性を向上させることができる。
Further, the MAC key K_mac_gen (first key) used for the authentication process between the
<通信方法の例4>
図13を参照して本実施形態に係る通信方法の例4を説明する。図13は、本実施形態に係る通信方法の例4を示すシーケンスチャートである。図13において図11の各ステップに対応する部分には同一の符号を付している。
<Example 4 of communication method>
Example 4 of the communication method according to the present embodiment will be described with reference to FIG. FIG. 13 is a sequence chart illustrating Example 4 of the communication method according to the present embodiment. In FIG. 13, portions corresponding to the respective steps in FIG. 11 are denoted by the same reference numerals.
通信方法の例4は、通信方法の例2と同様に生産設置フェーズと市場運用フェーズとから構成される。通信方法の例4では、通信方法の例3と同様に、生産設置フェーズにおいてサーバ装置2000が鍵を生成する。以下、通信方法の例2と異なる点を主に説明する。
Similar to the communication method example 2, the communication method example 4 includes a production installation phase and a market operation phase. In the communication method example 4, as in the communication method example 3, the
サーバ装置2000と第2演算処理装置600とは、通信方法の例2と同様に、同じマスタ鍵Master_Secretを予め格納する。
The
(生産設置フェーズ)
通信方法の例4の生産設置フェーズを説明する。通信方法の例4の生産設置フェーズにおいて、ステップS1、ステップS2、ステップS3及びステップS4が実行される。ステップS1、ステップS2、ステップS3及びステップS4は、通信方法の例2と同じである。また、ステップS2a及びステップS12が実行される。ステップS2a及びステップS12は、通信方法の例3と同じである。サーバ装置2000の記憶部12は、MAC鍵K_mac_genとENC鍵K_enc_genとを通信装置1001の通信装置対応識別子UNIDに対応付けて格納する。
(Production installation phase)
The production installation phase of communication method example 4 will be described. In the production installation phase of the communication method example 4, step S1, step S2, step S3 and step S4 are executed. Steps S1, S2, S3, and S4 are the same as those in the second example of the communication method. Moreover, step S2a and step S12 are performed. Steps S2a and S12 are the same as those in the communication method example 3. The
以上が通信方法の例4の生産設置フェーズの説明である。 The above is the description of the production installation phase of the communication method example 4.
(市場運用フェーズ)
通信方法の例4の市場運用フェーズを説明する。通信方法の例4の市場運用フェーズにおいて、ステップS11と、ステップS13からステップS22までと、ステップS24aと、ステップS26とが実行される。ステップS11と、ステップS13からステップS22までと、ステップS26とは、通信方法の例1と同じである。ステップS24aは、通信方法の例2と同じである。
(Market operation phase)
The market operation phase of the communication method example 4 will be described. In the market operation phase of communication method example 4, step S11, steps S13 to S22, step S24a, and step S26 are executed. Step S11, step S13 to step S22, and step S26 are the same as in the communication method example 1. Step S24a is the same as Example 2 of the communication method.
なお、通信方法の例2と同様に、通信装置1001の第1演算処理装置500の鍵送受部503がセッション鍵K_comを生成してサーバ装置2000に供給してもよい。
Similar to the second example of the communication method, the key transmission /
以上が通信方法の例4の市場運用フェーズの説明である。 The above is the description of the market operation phase of the communication method example 4.
上述した通信方法の例4によれば、サーバ装置2000と通信装置1001の第2演算処理装置600とは、MAC鍵K_mac_gen(第1鍵)を使用して認証処理を行う。また、サーバ装置2000と通信装置1001の第1演算処理装置500とは、ENC鍵K_enc_gen(第2鍵)を使用する暗号通信によりセッション鍵K_com(第3鍵)を送受する。これにより、サーバ装置2000と通信装置1001の第1演算処理装置500との間の暗号通信に使用されるセッション鍵K_com(第3鍵)の安全性が向上する。このことは、通信装置1001が外部のサーバ装置2000と通信を行う際の安全性を向上させる効果を奏する。
According to the communication method example 4 described above, the
また、通信方法の例4によれば、サーバ装置2000は生産設置フェーズにおいてMAC鍵K_mac_gen(第1鍵)及びENC鍵K_enc_gen(第2鍵)を生成する。これにより、市場運用フェーズにおける処理時間の短縮を図ることができる。
Further, according to the communication method example 4, the
また、サーバ装置2000と通信装置1001との間の認証処理に使用されるMAC鍵K_mac_gen(第1鍵)は、通信装置1001においてセキュアエレメントである第2演算処理装置600で保管される。これにより、サーバ装置2000と通信装置1001との間の認証の信頼性を向上させることができる。
Further, the MAC key K_mac_gen (first key) used for the authentication process between the
また、サーバ装置2000と通信装置1001との間の暗号通信に使用されるENC鍵K_enc_gen(第2鍵)は、通信装置1001において第1演算処理装置500で保管される。セキュアエレメントに限定されない第1演算処理装置500には、比較的処理能力の高いCPUを使用することにより、サーバ装置2000と通信装置1001との間の暗号通信の通信速度を向上させることができる。
An ENC key K_enc_gen (second key) used for encrypted communication between the
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。 The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes design changes and the like within a scope not departing from the gist of the present invention.
通信装置対応識別子の一例としてIMSI又はICCIDを使用する場合、例えば通信装置対応識別子がIMSIである場合には、SIM1052は、IMSIを格納した時点以降であれば任意のタイミングで、MAC鍵K_mac_genとENC鍵K_enc_genとを生成し、生成したMAC鍵K_mac_genとENC鍵K_enc_genとを保持してもよい。例えば、SIM1052の製造時に、該SIM1052にIMSIを書き込んで、該SIM1052がMAC鍵K_mac_genとENC鍵K_enc_genとを生成して保持してもよい。
When the IMSI or ICCID is used as an example of the communication device correspondence identifier, for example, when the communication device correspondence identifier is IMSI, the
また、通信装置対応識別子の一例としてIMSI又はICCIDを使用する場合、例えば通信装置対応識別子がIMSIである場合には、SIM1052は、自己のIMSIを第1演算処理装置500に通知する。第1演算処理装置500の識別子通知部504は、SIM1052から通知されたIMSIをサーバ装置2000に通知する。
When IMSI or ICCID is used as an example of the communication device correspondence identifier, for example, when the communication device correspondence identifier is IMSI, the
また、通信装置対応識別子の一例としてIMSI又はICCIDを使用する場合、例えば通信装置対応識別子がIMSIである場合においてSIM1052が別の通信装置1001で再利用されるときには、該SIM1052が保持しているMAC鍵K_mac_genとENC鍵K_enc_genとを、該別の通信装置1001で使用してもよい。
In addition, when IMSI or ICCID is used as an example of the communication device correspondence identifier, for example, when the communication device correspondence identifier is IMSI, when the
なお、上述した実施形態では、第2演算処理装置600がマスタ鍵Master_Secretを保持するが、第2演算処理装置600はマスタ鍵Master_Secretを保持しなくてもよい。第2演算処理装置600は、マスタ鍵Master_Secretを保持せず、外部で生成されたMAC鍵K_mac_genとENC鍵K_enc_genとを保持してもよい。例えば、第2演算処理装置600としてSIM1052を使用する場合、SIM1052の製造工場の鍵生成装置が、サーバ装置2000と同じマスタ鍵Master_Secretを保持する。該鍵生成装置は、該マスタ鍵Master_Secretを使用してMAC鍵K_mac_genとENC鍵K_enc_genとを生成し、生成したMAC鍵K_mac_genとENC鍵K_enc_genとをSIM1052に書き込む。この場合、通信装置対応識別子には、SIM1052のIMSI又はICCIDを使用してもよい。
In the above-described embodiment, the second
なお、第1演算処理装置500がJTAG(Joint Test Action Group)等のデバッグポートを備える場合、該デバッグポートに対してID(識別子)による認証機能を設けてもよい。これにより、第1演算処理装置500に対するメモリダンプやタッピング攻撃などの攻撃によってセッション鍵K_comが漏洩することを抑制することができる。例えば、IoTデバイス1040や通信ゲートウェイ装置1050のデバッグポートに対してIDによる認証機能を設けてもよい。
When the first
また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
In addition, a computer program for realizing the functions of each device described above may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read into a computer system and executed. Here, the “computer system” may include an OS and hardware such as peripheral devices.
“Computer-readable recording medium” refers to a flexible disk, a magneto-optical disk, a ROM, a writable nonvolatile memory such as a flash memory, a portable medium such as a DVD (Digital Versatile Disc), and a built-in computer system. A storage device such as a hard disk.
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
Further, the “computer-readable recording medium” means a volatile memory (for example, DRAM (Dynamic DRAM) in a computer system that becomes a server or a client when a program is transmitted through a network such as the Internet or a communication line such as a telephone line. Random Access Memory)), etc., which hold programs for a certain period of time.
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.
1,2,3…通信システム、11,501…通信部、12,112,212,502,602,1054…記憶部、15,601…鍵生成部、16,503,603…鍵送受部、18,604…認証処理部、110,210,1053…CPU、116,216,1055…インタフェース部、504…識別子通知部、1001…通信装置、1040…IoTデバイス、1050…通信ゲートウェイ装置、1051…通信モジュール、1052…SIM、2000…サーバ装置、3000…通信網、3010…通信路
1, 2, 3 ...
Claims (13)
前記サーバ装置と、前記通信装置に搭載される第1演算処理装置と、前記通信装置に搭載されるセキュアエレメントである第2演算処理装置とを備え、
前記第2演算処理装置は、
前記通信装置と前記サーバ装置との間の通信に使用される第1鍵及び第2鍵を格納する通信装置鍵記憶部と、
前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理部と、
前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受部と、を備え、
前記第1演算処理装置は、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信部を備え、
前記サーバ装置は、
前記通信装置と同じ前記第1鍵及び前記第2鍵を格納するサーバ鍵記憶部と、
前記第1鍵を使用して前記通信装置の前記通信装置認証処理部との間で認証処理を行うサーバ認証処理部と、
前記第2鍵を使用する暗号通信により、前記通信装置の前記通信装置鍵送受部との間で前記第3鍵を送信又は受信するサーバ鍵送受部と、
前記第3鍵を使用して、前記通信装置の前記通信装置通信部との間で暗号通信を行うサーバ通信部と、を備える、
通信システム。 A communication system that performs communication between a communication device and a server device,
The server device; a first arithmetic processing device mounted on the communication device; and a second arithmetic processing device that is a secure element mounted on the communication device;
The second arithmetic processing unit includes:
A communication device key storage unit for storing a first key and a second key used for communication between the communication device and the server device;
A communication device authentication processing unit that performs authentication processing with the server device using the first key;
A communication device key transmission / reception unit that transmits or receives a third key to and from the server device by encrypted communication using the second key;
The first arithmetic processing unit includes a communication device communication unit that performs cryptographic communication with the server device using the third key,
The server device
A server key storage unit for storing the same first key and the second key as the communication device;
A server authentication processing unit that performs authentication processing with the communication device authentication processing unit of the communication device using the first key;
A server key transmission / reception unit that transmits or receives the third key to / from the communication device key transmission / reception unit of the communication device by encrypted communication using the second key;
A server communication unit that performs cryptographic communication with the communication device communication unit of the communication device using the third key,
Communications system.
前記サーバ装置と、前記通信装置に搭載される第1演算処理装置と、前記通信装置に搭載されるセキュアエレメントである第2演算処理装置とを備え、
前記第2演算処理装置は、
前記通信装置と前記サーバ装置との間の通信に使用される第1鍵を格納する第2通信装置鍵記憶部と、
前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理部と、を備え、
前記第1演算処理装置は、
前記通信装置と前記サーバ装置との間の通信に使用される第2鍵を格納する第1通信装置鍵記憶部と、
前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受部と、
前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信部と、を備え、
前記サーバ装置は、
前記通信装置と同じ前記第1鍵及び前記第2鍵を格納するサーバ鍵記憶部と、
前記第1鍵を使用して前記通信装置の前記通信装置認証処理部との間で認証処理を行うサーバ認証処理部と、
前記第2鍵を使用する暗号通信により、前記通信装置の前記通信装置鍵送受部との間で前記第3鍵を送信又は受信するサーバ鍵送受部と、
前記第3鍵を使用して、前記通信装置の前記通信装置通信部との間で暗号通信を行うサーバ通信部と、を備える、
通信システム。 A communication system that performs communication between a communication device and a server device,
The server device; a first arithmetic processing device mounted on the communication device; and a second arithmetic processing device that is a secure element mounted on the communication device;
The second arithmetic processing unit includes:
A second communication device key storage unit that stores a first key used for communication between the communication device and the server device;
A communication device authentication processing unit that performs authentication processing with the server device using the first key,
The first arithmetic processing unit includes:
A first communication device key storage unit that stores a second key used for communication between the communication device and the server device;
A communication device key transmission / reception unit that transmits or receives a third key to and from the server device by encrypted communication using the second key;
A communication device communication unit that performs cryptographic communication with the server device using the third key;
The server device
A server key storage unit for storing the same first key and the second key as the communication device;
A server authentication processing unit that performs authentication processing with the communication device authentication processing unit of the communication device using the first key;
A server key transmission / reception unit that transmits or receives the third key to / from the communication device key transmission / reception unit of the communication device by encrypted communication using the second key;
A server communication unit that performs cryptographic communication with the communication device communication unit of the communication device using the third key,
Communications system.
マスタ鍵を格納する通信装置マスタ鍵記憶部と、
前記マスタ鍵と前記通信装置に対応する通信装置対応識別子とを使用して前記第1鍵及び前記第2鍵を生成する通信装置鍵生成部と、
をさらに備える請求項1又は2のいずれか1項に記載の通信システム。 The second arithmetic processing unit includes:
A communication device master key storage unit for storing a master key;
A communication device key generation unit that generates the first key and the second key using the master key and a communication device correspondence identifier corresponding to the communication device;
The communication system according to claim 1, further comprising:
前記通信装置と同じマスタ鍵を格納するサーバマスタ鍵記憶部と、
前記マスタ鍵と前記通信装置に対応する通信装置対応識別子とを使用して前記第1鍵及び前記第2鍵を生成するサーバ鍵生成部と、
をさらに備える請求項1から3のいずれか1項に記載の通信システム。 The server device
A server master key storage unit that stores the same master key as the communication device;
A server key generation unit that generates the first key and the second key using the master key and a communication device correspondence identifier corresponding to the communication device;
The communication system according to any one of claims 1 to 3, further comprising:
をさらに備える請求項3又は4のいずれか1項に記載の通信システム。 The first arithmetic processing unit is configured to notify the communication device correspondence identifier to the second arithmetic processing device and the server device;
The communication system according to any one of claims 3 and 4, further comprising:
第1演算処理装置と、セキュアエレメントである第2演算処理装置とを備え、
前記第2演算処理装置は、
前記通信装置と前記サーバ装置との間の通信に使用される第1鍵及び第2鍵を格納する通信装置鍵記憶部と、
前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理部と、
前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受部と、を備え、
前記第1演算処理装置は、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信部を備える、
通信装置。 A communication device that communicates with the server device,
A first arithmetic processing unit and a second arithmetic processing unit that is a secure element;
The second arithmetic processing unit includes:
A communication device key storage unit for storing a first key and a second key used for communication between the communication device and the server device;
A communication device authentication processing unit that performs authentication processing with the server device using the first key;
A communication device key transmission / reception unit that transmits or receives a third key to and from the server device by encrypted communication using the second key;
The first arithmetic processing unit includes a communication device communication unit that performs cryptographic communication with the server device using the third key.
Communication device.
第1演算処理装置と、セキュアエレメントである第2演算処理装置とを備え、
前記第2演算処理装置は、
前記通信装置と前記サーバ装置との間の通信に使用される第1鍵を格納する第2通信装置鍵記憶部と、
前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理部と、を備え、
前記第1演算処理装置は、
前記通信装置と前記サーバ装置との間の通信に使用される第2鍵を格納する第1通信装置鍵記憶部と、
前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受部と、
前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信部と、を備える、
通信装置。 A communication device that communicates with the server device,
A first arithmetic processing unit and a second arithmetic processing unit that is a secure element;
The second arithmetic processing unit includes:
A second communication device key storage unit that stores a first key used for communication between the communication device and the server device;
A communication device authentication processing unit that performs authentication processing with the server device using the first key,
The first arithmetic processing unit includes:
A first communication device key storage unit that stores a second key used for communication between the communication device and the server device;
A communication device key transmission / reception unit that transmits or receives a third key to and from the server device by encrypted communication using the second key;
A communication device communication unit that performs cryptographic communication with the server device using the third key,
Communication device.
前記通信装置と同じ第1鍵及び第2鍵を格納するサーバ鍵記憶部と、
前記第1鍵を使用して前記通信装置のセキュアエレメントである第2演算処理装置の通信装置認証処理部との間で認証処理を行うサーバ認証処理部と、
前記第2鍵を使用する暗号通信により、前記通信装置の通信装置鍵送受部との間で第3鍵を送信又は受信するサーバ鍵送受部と、
前記第3鍵を使用して、前記通信装置の通信装置通信部との間で暗号通信を行うサーバ通信部と、
を備えるサーバ装置。 A server device that communicates with a communication device;
A server key storage unit for storing the same first key and second key as the communication device;
A server authentication processing unit that performs an authentication process with a communication device authentication processing unit of a second arithmetic processing device that is a secure element of the communication device using the first key;
A server key transmission / reception unit that transmits or receives a third key to / from a communication device key transmission / reception unit of the communication device by encrypted communication using the second key;
A server communication unit that performs cryptographic communication with the communication device communication unit of the communication device using the third key;
A server device comprising:
前記通信装置は、第1演算処理装置と、セキュアエレメントである第2演算処理装置とを備え、
前記第2演算処理装置が、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵及び第2鍵を格納する鍵記憶ステップと、
前記第2演算処理装置が、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う認証処理ステップと、
前記第2演算処理装置が、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する鍵送受ステップと、
前記第1演算処理装置が、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信ステップと、
を含む通信方法。 A communication method between a communication device and a server device,
The communication device includes a first arithmetic processing device and a second arithmetic processing device which is a secure element,
A key storage step in which the second arithmetic processing device stores a first key and a second key used for communication between the communication device and the server device;
An authentication processing step in which the second arithmetic processing device performs an authentication process with the server device using the first key;
A key sending / receiving step in which the second processing unit sends or receives a third key to and from the server device by encrypted communication using the second key;
A communication step in which the first arithmetic processing device performs cryptographic communication with the server device using the third key;
Including a communication method.
前記通信装置は、第1演算処理装置と、セキュアエレメントである第2演算処理装置とを備え、
前記第2演算処理装置が、前記通信装置と前記サーバ装置との間の通信に使用される第1鍵を格納する第1鍵記憶ステップと、
前記第2演算処理装置が、前記第1鍵を使用して前記サーバ装置との間で認証処理を行う認証処理ステップと、
前記第1演算処理装置が、前記通信装置と前記サーバ装置との間の通信に使用される第2鍵を格納する第2鍵記憶ステップと、
前記第1演算処理装置が、前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する鍵送受ステップと、
前記第1演算処理装置が、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信ステップと、
を含む通信方法。 A communication method between a communication device and a server device,
The communication device includes a first arithmetic processing device and a second arithmetic processing device which is a secure element,
A first key storage step in which the second arithmetic processing unit stores a first key used for communication between the communication device and the server device;
An authentication processing step in which the second arithmetic processing device performs an authentication process with the server device using the first key;
A second key storage step in which the first arithmetic processing unit stores a second key used for communication between the communication device and the server device;
A key sending / receiving step in which the first processing unit sends or receives a third key to and from the server device by encrypted communication using the second key;
A communication step in which the first arithmetic processing device performs cryptographic communication with the server device using the third key;
Including a communication method.
前記通信装置と前記サーバ装置との間の通信に使用される第1鍵及び第2鍵を格納する通信装置鍵記憶機能と、
前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理機能と、
前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受機能と、を実現させ、
前記通信装置に備わる第1コンピュータに、前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信機能を実現させるためのコンピュータプログラム。 A second computer, which is a secure element, provided in a communication device that communicates with a server device,
A communication device key storage function for storing a first key and a second key used for communication between the communication device and the server device;
A communication device authentication processing function for performing authentication processing with the server device using the first key;
A communication device key transmission / reception function for transmitting or receiving a third key to / from the server device by encrypted communication using the second key;
A computer program for causing a first computer included in the communication device to realize a communication device communication function for performing cryptographic communication with the server device using the third key.
前記通信装置と前記サーバ装置との間の通信に使用される第1鍵を格納する第2通信装置鍵記憶機能と、
前記第1鍵を使用して前記サーバ装置との間で認証処理を行う通信装置認証処理機能と、を実現させ、
前記通信装置に備わる第1コンピュータに、
前記通信装置と前記サーバ装置との間の通信に使用される第2鍵を格納する第1通信装置鍵記憶機能と、
前記第2鍵を使用する暗号通信により、前記サーバ装置との間で第3鍵を送信又は受信する通信装置鍵送受機能と、
前記第3鍵を使用して、前記サーバ装置との間で暗号通信を行う通信装置通信機能と、を実現させるためのコンピュータプログラム。 A second computer, which is a secure element, provided in a communication device that communicates with a server device,
A second communication device key storage function for storing a first key used for communication between the communication device and the server device;
A communication device authentication processing function for performing authentication processing with the server device using the first key;
A first computer provided in the communication device;
A first communication device key storage function for storing a second key used for communication between the communication device and the server device;
A communication device key transmission / reception function for transmitting or receiving a third key to / from the server device by encrypted communication using the second key;
A computer program for realizing a communication device communication function for performing cryptographic communication with the server device using the third key.
前記通信装置と同じ第1鍵及び第2鍵を格納するサーバ鍵記憶機能と、
前記第1鍵を使用して前記通信装置のセキュアエレメントである第2演算処理装置の通信装置認証処理部との間で認証処理を行うサーバ認証処理機能と、
前記第2鍵を使用する暗号通信により、前記通信装置の通信装置鍵送受部との間で第3鍵を送信又は受信するサーバ鍵送受機能と、
前記第3鍵を使用して、前記通信装置の通信装置通信部との間で暗号通信を行うサーバ通信機能と、
を実現させるためのコンピュータプログラム。 In the server computer that communicates with the communication device,
A server key storage function for storing the same first key and second key as the communication device;
A server authentication processing function for performing authentication processing with a communication device authentication processing unit of a second arithmetic processing device which is a secure element of the communication device using the first key;
A server key transmission / reception function for transmitting or receiving a third key to / from a communication device key transmission / reception unit of the communication device by encrypted communication using the second key;
A server communication function for performing cryptographic communication with the communication device communication unit of the communication device using the third key;
Computer program for realizing.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016224583A JP6408536B2 (en) | 2016-11-17 | 2016-11-17 | COMMUNICATION SYSTEM, COMMUNICATION DEVICE, SERVER DEVICE, COMMUNICATION METHOD, AND COMPUTER PROGRAM |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016224583A JP6408536B2 (en) | 2016-11-17 | 2016-11-17 | COMMUNICATION SYSTEM, COMMUNICATION DEVICE, SERVER DEVICE, COMMUNICATION METHOD, AND COMPUTER PROGRAM |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018082362A true JP2018082362A (en) | 2018-05-24 |
JP6408536B2 JP6408536B2 (en) | 2018-10-17 |
Family
ID=62198218
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016224583A Active JP6408536B2 (en) | 2016-11-17 | 2016-11-17 | COMMUNICATION SYSTEM, COMMUNICATION DEVICE, SERVER DEVICE, COMMUNICATION METHOD, AND COMPUTER PROGRAM |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6408536B2 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110012468A (en) * | 2019-06-06 | 2019-07-12 | 成都鼎桥通信技术有限公司 | A kind of secure access authentication method and system |
JP2020088738A (en) * | 2018-11-29 | 2020-06-04 | ソフトバンク株式会社 | Management apparatus, communication system, program, and control method |
JP2020195039A (en) * | 2019-05-27 | 2020-12-03 | 凸版印刷株式会社 | Information processing device, server device, communication system, communication method, and program |
JP7226602B1 (en) | 2022-02-01 | 2023-02-21 | 凸版印刷株式会社 | Secret information distribution system, secret information distribution method, device management server, and program |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005117207A (en) * | 2003-10-06 | 2005-04-28 | Hitachi Ltd | Service authentication method and system using ic card |
WO2009004411A1 (en) * | 2007-07-04 | 2009-01-08 | Freescale Semiconductor, Inc. | Communication device with secure storage of user data |
WO2010039445A2 (en) * | 2008-10-02 | 2010-04-08 | Motorola, Inc. | Method, mobile station, system and network processor for use in mobile communications |
JP2014053675A (en) * | 2012-09-05 | 2014-03-20 | Sony Corp | Security chip, program, information processing device, and information processing system |
JP2015532791A (en) * | 2012-09-13 | 2015-11-12 | 日本電気株式会社 | Key management in MTC system |
JP2015233201A (en) * | 2014-06-09 | 2015-12-24 | パナソニックIpマネジメント株式会社 | Communication system, communication device and communication method |
US20160127132A1 (en) * | 2013-05-30 | 2016-05-05 | Samsung Electronics Co., Ltd. | Method and apparatus for installing profile |
JP2016513899A (en) * | 2013-03-08 | 2016-05-16 | エヌイーシー ヨーロッパ リミテッドNec Europe Ltd. | Method and system for preparing communication between a user device and a server |
JP2016092811A (en) * | 2014-10-29 | 2016-05-23 | Kddi株式会社 | Key management system, key management server device, management device, vehicle, key management method and computer program |
JP2016127598A (en) * | 2014-12-30 | 2016-07-11 | 悠遊宝(天津)網絡科技有限公司Youyoubao(Tianjin)Network Technology Co., Ltd. | Communication control apparatus, authentication device, central control apparatus and communication system |
-
2016
- 2016-11-17 JP JP2016224583A patent/JP6408536B2/en active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005117207A (en) * | 2003-10-06 | 2005-04-28 | Hitachi Ltd | Service authentication method and system using ic card |
WO2009004411A1 (en) * | 2007-07-04 | 2009-01-08 | Freescale Semiconductor, Inc. | Communication device with secure storage of user data |
WO2010039445A2 (en) * | 2008-10-02 | 2010-04-08 | Motorola, Inc. | Method, mobile station, system and network processor for use in mobile communications |
JP2014053675A (en) * | 2012-09-05 | 2014-03-20 | Sony Corp | Security chip, program, information processing device, and information processing system |
JP2015532791A (en) * | 2012-09-13 | 2015-11-12 | 日本電気株式会社 | Key management in MTC system |
JP2016513899A (en) * | 2013-03-08 | 2016-05-16 | エヌイーシー ヨーロッパ リミテッドNec Europe Ltd. | Method and system for preparing communication between a user device and a server |
US20160127132A1 (en) * | 2013-05-30 | 2016-05-05 | Samsung Electronics Co., Ltd. | Method and apparatus for installing profile |
JP2015233201A (en) * | 2014-06-09 | 2015-12-24 | パナソニックIpマネジメント株式会社 | Communication system, communication device and communication method |
JP2016092811A (en) * | 2014-10-29 | 2016-05-23 | Kddi株式会社 | Key management system, key management server device, management device, vehicle, key management method and computer program |
JP2016127598A (en) * | 2014-12-30 | 2016-07-11 | 悠遊宝(天津)網絡科技有限公司Youyoubao(Tianjin)Network Technology Co., Ltd. | Communication control apparatus, authentication device, central control apparatus and communication system |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020088738A (en) * | 2018-11-29 | 2020-06-04 | ソフトバンク株式会社 | Management apparatus, communication system, program, and control method |
JP2020195039A (en) * | 2019-05-27 | 2020-12-03 | 凸版印刷株式会社 | Information processing device, server device, communication system, communication method, and program |
CN110012468A (en) * | 2019-06-06 | 2019-07-12 | 成都鼎桥通信技术有限公司 | A kind of secure access authentication method and system |
JP7226602B1 (en) | 2022-02-01 | 2023-02-21 | 凸版印刷株式会社 | Secret information distribution system, secret information distribution method, device management server, and program |
JP2023112251A (en) * | 2022-02-01 | 2023-08-14 | 凸版印刷株式会社 | Secret information distribution system, secret information distribution method, device management server, and program |
Also Published As
Publication number | Publication date |
---|---|
JP6408536B2 (en) | 2018-10-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11777719B2 (en) | Public key exchange with authenicated ECDHE and security against quantum computers | |
US11849048B2 (en) | Mutually authenticated ECDHE key exchange for a device and a network using multiple PKI key pairs | |
US11722296B2 (en) | Device securing communications using two post-quantum cryptography key encapsulation mechanisms | |
US10015159B2 (en) | Terminal authentication system, server device, and terminal authentication method | |
US10958664B2 (en) | Method of performing integrity verification between client and server and encryption security protocol-based communication method of supporting integrity verification between client and server | |
US11757874B2 (en) | Mutual authentication system | |
KR20150035971A (en) | A secure Data Communication protocol between IoT smart devices or sensors and a Network gateway under Internet of Thing environment | |
WO2018092356A1 (en) | Communication system, vehicle, server device, communication method, and computer program | |
JP6408536B2 (en) | COMMUNICATION SYSTEM, COMMUNICATION DEVICE, SERVER DEVICE, COMMUNICATION METHOD, AND COMPUTER PROGRAM | |
JP6548172B2 (en) | Terminal authentication system, server device, and terminal authentication method | |
US20220209944A1 (en) | Secure Server Digital Signature Generation For Post-Quantum Cryptography Key Encapsulations | |
WO2015186829A1 (en) | Transmission node, reception node, communication network system, message creation method, and computer program | |
US20170353315A1 (en) | Secure electronic entity, electronic apparatus and method for verifying the integrity of data stored in such a secure electronic entity | |
WO2022067132A1 (en) | System and methods for secure communication using post-quantum cryptography | |
CN113556230A (en) | Data security transmission method, certificate correlation method, server, system and medium | |
JP2015104020A (en) | Communication terminal device, communication terminal association system, communication terminal association method and computer program | |
CN108352982B (en) | Communication device, communication method, and recording medium | |
JP2018082439A (en) | Communication system, vehicle, server device, communication method, and computer program | |
JP6501701B2 (en) | SYSTEM, TERMINAL DEVICE, CONTROL METHOD, AND PROGRAM | |
CN111836260B (en) | Authentication information processing method, terminal and network equipment | |
CN117041956A (en) | Communication authentication method, device, computer equipment and storage medium | |
US20240106636A1 (en) | Multiple post-quantum cryptography key encapsulations with authentication and forward secrecy | |
US20230308424A1 (en) | Secure Session Resumption using Post-Quantum Cryptography | |
JP2019033549A (en) | Communication device, communication method, and computer program | |
JP2017108238A (en) | Communication device and communication method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180713 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180828 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180920 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6408536 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |