CN112689833A - 信息通信设备、信息通信设备用认证程序以及认证方法 - Google Patents

信息通信设备、信息通信设备用认证程序以及认证方法 Download PDF

Info

Publication number
CN112689833A
CN112689833A CN201980058371.6A CN201980058371A CN112689833A CN 112689833 A CN112689833 A CN 112689833A CN 201980058371 A CN201980058371 A CN 201980058371A CN 112689833 A CN112689833 A CN 112689833A
Authority
CN
China
Prior art keywords
connection
terminal device
server device
password
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201980058371.6A
Other languages
English (en)
Other versions
CN112689833B (zh
Inventor
二村宪人
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Publication of CN112689833A publication Critical patent/CN112689833A/zh
Application granted granted Critical
Publication of CN112689833B publication Critical patent/CN112689833B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/50Safety; Security of things, users, data or systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R22/00Arrangements for measuring time integral of electric power or current, e.g. electricity meters
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

提供一种在IoT设备间与服务器装置间,或IoT设备间安全性更高的认证技术。所述服务器设备向该终端设备提供参数文件,所述参数文件包含规定的识别码以及与该服务器设备的连接目标相关的连接目标信息,所述规定的识别码唯一地识别所述终端设备与所述服务器设备之间的关系性,所述终端设备对利用所述参数文件中的所述连接目标信息确定的所述服务器设备进行访问,请求发布定时密码,在与利用所述参数文件中的所述连接目标信息确定的所述服务器设备连接时,向所述服务器设备发送所述识别码以及所述定时密码,而且,所述服务器设备利用所述识别码认证所述终端设备,利用所述定时密码确认所述终端设备的真实性。

Description

信息通信设备、信息通信设备用认证程序以及认证方法
技术领域
本发明涉及一种信息通信设备、信息通信设备用认证程序以及认证方法。
背景技术
近年来,使各种设备连接互联网(Internet)并利用它们的信息的机制(物联网:Internet of Things(IoT))正在普及。在云服务(Cloud Service)中,例如,各种设备向云服务器(Cloud Server)发送数据或利用服务所提供的功能。为了安全地使设备与云服务器连接,建立与云服务之间的通信,需要正确地认证设备的可信性而许可连接。专利文献1公开了一种授权系统,该授权系统能够进行对多个设备授予权限的设定。
将利用上述IoT机制与互联网连接的设备的总称称为IoT设备。更具体地说,IoT设备是指与有线或无线的网络连接的设备。
这些设备与被称为边缘服务器(Edge Server)的设备或被称为网关(Gateway)的设备连接,由此连接互联网,之后与云上或本地服务器连接,或者与其他IoT设备连接。
现有技术文献
专利文献
专利文献1:日本特开2017-126191号公报
发明内容
发明要解决的问题
向预先登记的IoT设备提供云服务的服务器,在具有来自IoT设备的与云上的服务器的连接请求的情况下,使用从IoT设备发送的识别信息和密码,进行判断该IoT设备是否为预先登记的正规的IoT设备的认证处理。
但是,密码反复使用而不更改也是一个问题,以往的识别信息和密码的认证方式在安全方面脆弱,难以充分防止通过欺诈进行的未经授权的访问等情况。
本发明是鉴于这样的情况而做出的,提供一种在IoT设备间与服务器装置间或IoT设备间安全性更高的认证技术。
用于解决问题的手段
为了达到上述目的,本发明的一种方式的信息处理系统,具有服务器设备以及能够经由通信网络通信的同一种类或不同种类的终端设备,所述服务器设备具有提供部,向该终端设备提供参数文件,所述参数文件包含规定的识别码以及与该服务器设备的连接目标相关的连接目标信息,所述识别码唯一地识别所述终端设备与所述服务器设备之间的关系性,所述终端设备具有:请求部,对利用所述参数文件中的所述连接目标信息确定的所述服务器设备进行访问,请求发布定时密码,以及发送部,在与利用所述参数文件中的所述连接目标信息确定的所述服务器设备连接时,向所述服务器设备发送所述识别码以及所述定时密码;而且,所述服务器设备具有认证部,利用所述识别码认证所述终端设备,利用所述定时密码确认所述终端设备的真实性。
发明效果
根据本发明,能够提供一种在IoT设备间与服务器装置间或IoT设备间安全性更高的认证技术。
附图说明
图1是示出本发明的第一实施方式的信息处理系统的构成的图。
图2是示出图1的信息处理系统中的连接目标服务器1的硬件构成的框图。
图3是示出图1的信息处理系统中的IoT设备2的硬件构成的框图。
图4是示出图1的连接目标服务器1以及IoT设备2的功能的构成例的功能框图。
图5是说明从IoT设备2与连接目标服务器1之间的首次连接到第二次连接的流程的图。
图6是说明从IoT设备2与连接目标服务器1之间的首次连接到第三次以后的连接的流程的图。
图7是用于说明在更新应用或参数文件的情况下进行的处理的流程的图。
具体实施方式
在不以利用IoT的设备连接为前提的情况下,例如,对于某家庭(签约方X)配备的电表,在其签约对象的电力公司,该家庭(签约方X)的电表被认知并识别为电表X1。
另外,对于该家庭(签约方X),电力的签约对象被认知并识别为电力公司A。并且,签约方X和电力公司A均相信电力公司A会正确检测电表X1的值。
另一方面,在IoT设备X2与为了某种目的而经由网络连接的设备或数据发送目标服务器等(中心设备Y)相互连接的情况下,或在IoT设备X2与不同于IoT设备X2的IoT设备X3相互连接的情况下,终端设备X2和中心设备Y相互认知并识别另一方设备。另外,终端设备X2和终端设备X3也相互认知并识别另一方设备。
根据上述例子,在配备在上述家庭(签约方X)中的电表X1与管理该电表X1的电力公司A通过网络连接的情况下,除非通过某种方法进行保证,否则无法保证电表X1和电力公司A的设备(中心设备Y)的真实性。因为,在网络连接的特性上,有可能出现“欺诈”。
对于经由网络相连的设备,从设备自身来看,连接目标的设备有可能是“欺诈”。若寻求连接目标的真实性,则需要利用数据签名等第三方认证等。
因为这样与网络连接的设备有可能是欺诈,所以大多主要通过使用数字证书的第三方认证对该设备的真实性进行担保。因此,需要承担第三方认证的成本,此外,需要根据数字证书的有效期进行证书的设定工作或设备的替换。
例如,在日本平成27年(2015年)的日本国内家庭数量约为5330万家,在电表、水表、燃气表的生命线设备未经整体认证的情况下,需要使用家庭数量的3倍约1亿6000万个第三方认证。假设,第三方认证的成本为一年500日元,则1年内需要800万亿日元。
因此,在充满IoT设备的IoT社会中,仅通过第三方认证来寻求连接的设备的真实性,在成本上是不现实的。
因此,在本发明的实施方式中,提出一种不使用第三方认证来保证经由互联网连接的两个设备(IoT设备与中心设备的连接等)的相互的真实性的方法。此外,能够通过将本方式和第三方认证并用来实现更强的真实性的证明。
另外,也提出在经由互联网连接的两个设备(IoT设备与中心设备的连接等)中,安全地安装用于保证两个设备间的相互的真实性的应用程序(以下称为“应用”)的方法,以及安全地更新的方法,或者安全地收发参数等数据的方法。
以下,使用附图,说明本发明的实施方式。
图1是示出本发明的第一实施方式的信息处理系统的构成的图。图1示出的信息处理系统是在IoT设备与提供该IoT设备所使用的云服务的服务器装置(以下称为“服务器”)进行通信连接中,采用了更安全的认证方式的系统。
如图1所示,信息处理系统包括连接目标服务器1、IoT设备2-1至2-m(m为任意整数)。连接目标服务器1和IoT设备2-1至2-m分别经由互联网等规定的网络N相互连接。
连接目标服务器1是IoT设备2-1至2-m为了经由网络N接受云服务而连接的服务器。此外,连接目标服务器1不仅是对IoT设备2-1至2-m提供具体的服务的服务器,还是进行IoT设备2-1至2-m的认证的认证服务器。
IoT设备2-1至2-m是与互联网连接的所有设备,可以是在电视、数码相机、照明设备等家电中添加了通信功能的设备,也可以是在电表、水表、燃气表等中添加了通信功能的智能表等设备,并不限于此。另外,IoT设备2-1至2-m可以分别是同种的设备也可以是不同种类的设备。
此外,以下,在不需要分别逐个区别IoT设备2-1至2-m的情况下,将其统称为“IoT设备2”。
图2是示出图1的信息处理系统中的连接目标服务器1的硬件构成的框图。
连接目标服务器1具有CPU(Central Processing Unit:中央处理单元)11、ROM(ReadOnlyMemory:只读存储器)12、RAM(RandomAccessMemory:随机存取存储器)13、总线14、输入输出接口15、输出部16、输入部17、存储部18、通信部19以及驱动部20。
CPU11根据存储在ROM12中的程序或从存储部18加载到RAM13中的程序执行各种处理。
CPU11执行各种处理所需的数据等也适当地存储在RAM13中。
CPU11、ROM12以及RAM13经由总线14相互连接。该总线14还连接有输入输出接口15。输入输出接口15与输出部16、输入部17、存储部18、通信部19以及驱动部20连接。
输出部16由各种液晶显示器等构成,输出各种信息。
输入部17由各种硬体按钮等构成,输入各种信息。
存储部18由硬盘或DRAM(Dynamic Random Access Memory:动态随机存取存储器)等构成,存储各种数据。
通信部19经由包含互联网的网络N对与其他装置(在图1的例子中是IoT设备2)之间的通信进行控制。
根据需要设置驱动部20。在驱动部20上适当地安装有由磁盘、光盘、光磁盘或半导体存储器等构成的可移动介质21。根据需要,将由驱动部20从可移动介质21读取的程序安装到存储部18中。另外,存储在存储部18中的各种数据也可以与存储部18相同地存储在可移动介质21中。
图3是示出图1的信息处理系统中的IoT设备2的硬件构成的框图。
IoT设备2具有CPU31、ROM32、RAM33、总线34、输入输出接口35、输出部36、输入部37、存储部38以及通信部39。
CPU31根据存储在ROM32中的程序或从存储部38加载到RAM33中的程序执行各种处理。
CPU31执行各种处理所需的数据等也适当地存储在RAM33中。
CPU31、ROM32以及RAM33经由总线34相互连接。该总线34还与输入输出接口35连接。输入输出接口35与输出部36、输入部37、存储部38以及通信部39连接。
输出部36是例如显示器部、致动器部等,发挥作为IoT设备2的原本的部件的功能。
输入部37由各种硬体按钮、触摸面板和各种传感器等构成,输入各种信息。
存储部38由闪速存储器等构成,存储各种数据。
通信部39经由包含互联网的网络N对与其他装置(在图1的例子中是连接目标服务器1)之间的通信进行控制。
通过这样的连接目标服务器1、IoT设备2(也包括IoT设备2彼此)以及各种软件的协作,能够执行下面的一系列的认证处理。
在本实施方式中的认证处理中,如下那样担保经由互联网相互连接的两个设备的真实性。
首先,说明IoT设备2的真实性。着眼于IoT设备2与连接目标服务器1相互认知并识别的关系,工作人员在IoT设备2中设定在连接目标服务器1中发布的识别IoT设备的任意的识别信息(IoT设备识别信息)和定时密码(即所谓的一次性密码)。
在IoT设备2与连接目标服务器1连接,连接目标服务器1认证IoT设备2的情况下,通过从IoT设备2向连接目标服务器1出示该定时密码,能够保证从连接目标服务器1方来看IoT设备2的真实性。但是,除此之外,也能够通过第三方认证机构等发布的数字证书来双重保证IoT设备2的真实性。
通过已预先安装在IoT设备2和连接目标服务器1中的规定的程序进行IoT设备2与连接目标服务器1的连接中的自动认证。也存在通过来自程序的请求,进行IoT设备2与连接目标服务器1的连接设定的人或程序输入后述的密码的情况。
接着,说明IoT设备2方来看连接目标服务器1的真实性保证。在本实施方式中,例如,为了使IoT设备2难以遭受来自与网络N连接的有恶意的攻击者的攻击,假设以无法从其他计算机(以下称为“PC”)等设备检测出IoT设备2的设定来与网络N连接。
因此,在IoT设备2与连接目标服务器1相互进行通信的情况下,必须从IoT设备2向连接目标服务器1请求连接。
因此,连接目标服务器1的真实性取决于其连接请求的目标端即连接目标URI(Uniform Resource Identifier:识别名称或位置的编写规则)的正确性,即能够被识别为等同于URI的IPv6等网络地址的正确性。
另外,在IoT设备2与连接目标服务器1连接时,能够通过连接目标服务器1的第三方认证机构等发布的数字证书,双重检查连接目标服务器1的真实性。
后述向IoT设备2传送连接目标服务器1的URI等的方法。
为了实现本实施方式中的认证处理,连接目标服务器1以及IoT设备2具有图4所示那样的功能的构成。
图4是示出图1的连接目标服务器1以及IoT设备2的功能的构成例的功能框图。
在IoT设备2和连接目标服务器1进行认证时,相互预先保持有公用秘钥方式的加密秘钥。该加密秘钥例如由连接目标服务器1作为各个IoT设备2固有的秘钥发布。
IoT设备2的CPU31读取存储在存储部(未图示)中的本实施方式中的应用程序并执行,由此作为初始设定部61、连接请求部62、参数文件等取得部63、防篡改处理部64、加密处理部65以及数据收发控制部66来发挥功能。
该应用程序可以从应用的销售网站或下载网站安装到IoT设备2中,也可以在工厂出厂时预先安装。
初始设定部61取得由工作人员经由输入部37输入的初始设定信息(用于确定IoT设备2的识别信息(IoT设备识别信息)、连接目标服务器1的URI(连接目标URI)以及在连接目标服务器1中预先生成的密码),并设定在IoT设备2中。
在连接请求部62基于从输入部37输入的指示信息或程序来与连接目标服务器1进行通信时,连接请求部62经由通信部39向连接目标服务器1发送连接请求信息(以下称为“连接请求”)。连接请求是为了从连接目标服务器1得到认证(临时认证以及正式认证)而进行的。此外,连接请求也包含向连接目标服务器1请求发布密码所需的密码发布请求。
参数文件等取得部63经由通信部39取得从连接目标服务器1发送来的参数文件。
防篡改处理部64使用IoT设备2与连接目标服务器1间的数据的收发中的哈希值(hash值)进行防止数据篡改的处理,以及使用哈希值进行检查是否被篡改的处理。
在连接目标服务器1的临时认证成功的情况下,加密处理部65经由通信部39取得从连接目标服务器1发布的密码,使用预先保持的公用秘钥将取得的密码加密。
在连接目标服务器1的正式认证完成之后,收发控制部66向连接目标服务器1发送数据,或接收从连接目标服务器1发送的数据并储存在存储部(未图示)中。
连接目标服务器1的CPU11读取存储在存储部18中的程序并执行,由此作为IoT设备信息取得登记部41、临时认证部42、参数文件等生成提供删除部43、数据收发控制部44、防篡改处理部45、正式认证部46、密码发布部47以及更新处理部48来发挥功能。
IoT设备信息取得登记部41取得经由输入部17或通信部19输入的涉及能够与连接目标服务器1连接的IoT设备2的信息,并作为IoT设备关系信息51登记。
另外,IoT设备关系信息51包括识别IoT设备2的IoT设备识别信息、用于IoT设备2与连接目标服务器1连接的URI(连接目标URI)、识别连接目标服务器1的识别信息(通知目标)、确定IoT设备2与连接目标服务器1的连接关系的固有的识别码(连接识别信息)、第二次密码、公用秘钥及其有效期限以及参数的有效期限等。
临时认证部42进行对第一次连接请求进行的第一阶段的认证处理,即识别进行连接请求的IoT设备2并确认该IoT设备的真实性的处理。
在通过临时认证部42或正式认证部46的认证处理进行认证后,参数文件等生成提供删除部43基于IoT设备关系信息51,生成向IoT设备2提供的包含参数的参数文件。参数文件等生成提供删除部43将生成的参数文件配置在存储部18内确保的与各IoT设备2相对应的下载区域52。
参数文件等生成提供删除部43经由通信部19向IoT设备2发送配置在下载区域52中的参数文件和数据等。参数文件等生成提供删除部43基于删除请求,删除配置在下载区域52中的参数文件和数据等。
在连接目标服务器1的正式认证完成后,数据收发控制部44向IoT设备2发送数据。
防篡改处理部45使用IoT设备2与连接目标服务器1间的数据的收发中的哈希值进行防止数据篡改的处理以及使用哈希值进行检查是否被篡改的处理。
正式认证部46在临时认证后进行认证处理(正式认证处理)。
密码发布部47基于来自IoT设备2的密码发布请求来发布密码,经由通信部19发送至IoT设备2。
在此,说明在本实施方式的认证处理中使用的参数。
“IoT识别信息”是为了识别IoT设备2而按照预先确定的规则发布的设备固有识别码。IoT设备识别信息例如可以由IoT设备2的产品型号+序列号+设置目标的签约方号码形成。
“连接识别信息”是确定IoT设备2与连接目标服务器1的连接关系的固有识别码。连接识别信息在连接目标服务器1的程序中生成,通过后述方法分配给IoT设备2。
连接识别信息与被称为UUID(Universally Unique Identifier:通用独一识别码)和GUID(Globally Unique Identifier:全域唯一识别码)的识别码相同,假定为全世界中都为2个以上的项目不会具有相同的值的唯一识别码。
连接识别信息是在IoT设备2与连接目标服务器1首次连接时,或者在从连接目标服务器1向IoT设备2发送连接识别信息的更新请求时,从连接目标服务器1向IoT设备2分配的信息。此外,在首次连接前,在IoT设备2中未保持连接识别信息。
“密码”是在IoT设备2与连接目标服务器1连接时的自动认证所使用的任意字符串等。在连接目标服务器1中与连接识别信息一起预先生成有首次连接时(临时认证时)使用的密码。生成的密码例如通知给进行IoT设备2与连接目标服务器1的连接设定的工作人员或程序。被通知密码的工作人员或程序例如将该密码输入IoT设备2的连接应用。
在第二次连接(正式认证)中,若第一次连接和认证成功,则连接目标服务器1向IoT设备2通知第二次连接所需的密码。
接收了该密码的IoT设备2侧的加密处理部65使用前述的公用秘钥来对密码进行加密。连接请求部62将该被加密的密码用作第二次的密码,与连接目标服务器1连接并进行自动认证。
此外,对连接目标服务器1和模块等进行下载的专用下载区域52可以和连接目标服务器1包含在相同的装置中,也可以包含在不同的装置中。下载目标的URI能够设定在下载区域52中。
但是,在连接目标服务器1中实施IoT设备2的认证(临时认证以及正式认证),基于此时被赋予的认可信息(认证完成信息),能够控制专用下载区域的访问权。
第三次以后的连接处理的流程如下所述。
在需要从IoT设备2与连接目标服务器1连接的情况下,按照以下顺序进行。首先,连接请求部62从IoT设备2经由通信部39向连接目标服务器1发送密码发布请求。
连接目标服务器1的密码发布部47基于密码发布请求发布密码并通知IoT设备2。
IoT设备2的加密处理部65利用公用秘钥对连接目标服务器1通知的密码进行加密。加密处理部65将加密了的密码用作连接用密码,与目标服务器1连接。
接着,以下示出来自IoT设备2的首次连接时的参数文件的分配的顺序。
在进行IoT设备2的初始设定之前,在连接目标服务器1中,IoT设备信息取得登记部41将与进行初始设定的IoT设备2相关的信息(IoT设备关系信息)进行登记。
在连接目标服务器1中,在上述IoT设备关系信息的登记完成后,参数文件等生成提供删除部43生成向IoT设备2分配的参数文件。参数文件等生成提供删除部43向在各个IoT设备2中准备的下载区域52配置生成的参数文件。
在首次连接时(临时认证后),IoT设备2下载配置在自身的专用下载区域52中的参数文件。
IoT设备2的参数文件等取得部63取入下载的参数文件,若取入完成,则向连接目标服务器1通知参数文件取入完成。
接收了通知的连接目标服务器1的参数文件等生成提供删除部43将位于与通知了参数文件取入完成的IoT设备2相对应的下载区域52中的参数文件删除。
接着,说明更新程序和参数信息的情况。
在需要更新IoT设备用程序的情况,以以下的顺序进行。
在连接目标服务器1的与符合的IoT设备相对应的下载区域配置更新了的程序或更新了的参数文件。
连接目标服务器1的更新处理部48经由通信部19向IoT设备2请求程序更新。此时,密码发布部47也向IoT设备2通知连接用密码。
IoT设备2若接受从连接目标服务器1发送来的程序更新请求信息和密码,则加密处理部65使用公用秘钥来对密码进行加密。
IoT设备2的连接请求部62基于程序更新请求信息,使用加密了的密码以及上次取入的参数信息,向连接目标服务器1请求连接。其结果是,在被连接目标服务器1认证后,IoT设备2的参数文件等取得部63从与该IoT设备2相对应的下载区域52下载配置的更新程序(更新模块)和更新参数文件。
IoT设备2的参数文件等取得部63使用下载的更新程序(或更新模块)进行程序更新,或使用下载的更新参数文件进行取入参数的处理。
若更新处理完成,则IoT设备2的参数文件等取得部63向连接目标服务器1通知更新完成。
连接目标服务器1的参数文件等生成提供删除部43接收来自IoT设备2的更新完成的通知,将配置在与该IoT设备2相对应的下载区域52中的更新程序(更新模块)和更新参数文件删除。
接着,以下记载的是在IoT设备2和连接目标服务器1间的数据的收发中的篡改检查处理。
在IoT设备2与连接目标服务器1间收发数据时,在收发的文件(数据)生成后,生成来源的防篡改处理部(45或64)计算出该文件(数据)的哈希值。
生成来源的篡改预防处理部(45或64)向文件(数据)的发送目标(数据取得者)通知计算出的哈希值(第一哈希值)。
另外,生成来源的篡改预防处理部(45或64)向文件(数据)赋予其哈希值(第二哈希值)。
取得文件(数据)的数据取得侧的篡改预防处理部(45或64)将从发送来源通知的哈希值(第一哈希值)和赋予给文件(数据)的哈希值(第二哈希值)进行比较,确认是否相同。
若第一哈希值和第二哈希值不同,则因为具有文件(数据)被篡改的风险,所以数据取得侧的防篡改处理部(45或64)中止处理。
在第一哈希值和第二哈希值相同的情况下,数据取得侧的篡改预防处理部(45或64)进行数据(文件)的取得处理。
此外,关于预先导入IoT设备2的应用,例如,可以从提供应用的商店或专用网站下载,也可以在出厂时作为IoT设备2的固件完成导入。
接着,参照图5~图7,说明IoT设备2与连接目标服务器1之间的通信处理。
图5是说明从IoT设备2与连接目标服务器1之间的首次连接到第二次连接的流程的图。其中,在IoT设备2中预先安装有本实施方式中的应用,由初始设定部61进行初始设定(IoT设备识别信息、连接目标URI以及第一次连接用密码的登记等)。另外,在连接目标服务器1中,IoT设备信息取得登记部41将IoT设备关系信息51登记在存储部18中,而且,生成参数文件所需的信息也被事先存储在存储部18中。
在步骤S1中,IoT设备2(连接请求部62)基于预先设定的连接目标URI,向连接目标服务器1进行第一次连接请求。第一次连接请求包含IoT设备识别信息、连接目标URI以及第一次连接用密码。
在步骤S2中,连接目标服务器1(临时认证部42)基于来自IoT设备2的连接请求和预先登记的IoT设备识别信息和密码,来识别进行请求连接的IoT设备2,对识别到的IoT设备2的真实性进行认证(临时认证)。
在步骤S3中,连接目标服务器1(参数文件等生成提供删除部43)根据生成预先登记的参数文件所需的信息来生成参数文件。
在步骤S4中,连接目标服务器1(防篡改处理部45)计算哈希值。
在步骤S5中,连接目标服务器1(参数文件等生成提供删除部43)向生成的参数文件赋予哈希值并配置到与请求连接的IoT设备2相对应的下载区域52。
在步骤S6中,连接目标服务器1(临时认证部42)向IoT设备2通知临时认证完成,许可第一次连接请求。临时认证完成通知包含对与IoT设备2相对应的下载区域52进行确定的URI(下载目标URI)。
在步骤S7中,IoT设备2(参数文件等取得部63)基于通知的下载目标URI进行参数文件的下载请求。
在步骤S8中,连接目标服务器1(防篡改处理部45)向IoT设备2通知在步骤S4中计算出的哈希值。
在步骤S9中,连接目标服务器1(参数文件等生成提供删除部43)基于下载请求,发送在与IoT设备2相对应的下载区域52中配置的参数文件(被赋予哈希值的参数文件)。
在步骤S10中,IoT设备2(防篡改处理部64)比较在步骤8中取得的哈希值和赋予在步骤S9中取得的参数文件的哈希值。在比较的结果是两个哈希值是相同的值的情况下,IoT设备2(防篡改处理部64)判定为参数文件未被篡改,进入步骤S11。在比较的结果是两个哈希值是不同的值的情况下,IoT设备2(防篡改处理部64)判定参数文件被篡改,中止此后的处理。
在步骤S11中,IoT设备2(参数文件等取得部63)取入参数文件内的参数信息。参数信息包括用于使IoT设备2与连接目标服务器1连接的URI(连接目标URI)、确定连接目标服务器1的识别信息(通知目标)、确定IoT设备2与连接目标服务器1的连接关系的固有识别码(连接识别信息)、第二次密码、公用秘钥及其有效期限以及参数的有效期限。
在步骤S12中,IoT设备2(连接请求部62)使用取入的参数信息向连接目标服务器1请求第二次连接。
在步骤S13中,连接目标服务器1(正式认证部46)基于来自IoT设备2的连接请求、预先登记的连接识别信息以及第二次密码,识别与请求连接的IoT设备2的连接关系,认证识别到的连接关系的真实性(正式认证)。
在步骤S14中,连接目标服务器1(正式认证部46)向IoT设备2通知正式认证完成,许可第二次连接请求。由此,能够建立IoT设备2与连接目标服务器1之间的通信,能够相互进行数据的收发等。
在步骤S15中,IoT设备2(数据收发控制部66)向连接目标服务器1发送数据。
在步骤S16中,连接目标服务器1(数据收发控制部44)取得从IoT设备2发送来的数据,进行该数据的取入处理。
图6是说明IoT设备2与连接目标服务器1之间的第三次以后的连接的流程的图。
在步骤S21中,IoT设备2(连接请求部62)向连接目标服务器1进行密码发布请求。
在步骤S22中,连接目标服务器1(密码发布部47)基于密码发布请求发布密码,在步骤S23中,向IoT设备2发送该密码。
在步骤S24中,IoT设备2(加密处理部65)使用公共秘钥对从连接目标服务器1发送来的密码进行加密。
在步骤S25中,IoT设备2(连接请求部62)使用在步骤S11中取入的参数信息以及在步骤S24中加密了的密码,对连接目标服务器1进行连接请求。
在步骤S26中,连接目标服务器1(正式认证部46)基于来自IoT设备2的连接请求(包含被加密的密码)和预先登记的连接识别信息以及加密信息,识别与连接请求的IoT设备2的连接关系,认证识别出的连接关系的真实性(正式认证)。在识别出的连接关系的真实性的认证中,连接目标服务器1(正式认证部46)从IoT设备2(连接请求部62)取得被加密的密码,使用公用秘钥解密。在解密的密码与预先保持的密码相同的情况下,连接目标服务器1认证识别出的连接关系的真实性。
在步骤S27中,连接目标服务器1(正式认证部46)向IoT设备2通知正式认证完成,许可第三次以后的连接请求。由此,能够建立IoT设备2与连接目标服务器1之间的通信,相互能够收发数据等。
在步骤S28中,IoT设备2(防篡改处理部64)计算哈希值,在步骤S29中,向连接目标服务器1通知该计算出的哈希值。
在步骤S29中,IoT设备2(防篡改处理部64以及数据收发控制部66)向发送对象的数据赋予该计算出的哈希值,在步骤S30中,向连接目标服务器1发送赋予了该哈希值的数据。
在步骤S31中,连接目标服务器1(防篡改处理部45)比较在步骤29中取得的哈希值和在步骤S30中对取得的数据赋予的哈希值。在比较的结果是两个哈希值是相同的值的情况下,连接目标服务器1(防篡改处理部45)判定为取得的数据未被篡改,进入步骤S32。在比较的结果是两个哈希值是不同的值的情况下,连接目标服务器1(防篡改处理部45)判定取得的数据被篡改,中止以后的处理。
在步骤S32中,连接目标服务器1(数据收发控制部44)进行取得的数据的取入处理。
图7是说明在更新应用和参数文件的情况下进行的处理的流程的图。
在步骤S41中,连接目标服务器1(密码发布部47)发布密码,在步骤S42中,将发布的密码配置在与通知对象的IoT设备2相对应的下载区域52。
在步骤S43中,为了更新应用和参数文件等,连接目标服务器1(更新处理部48)向IoT设备2进行更新请求(包含在步骤S41中发布的密码)。
在步骤S44中,IoT设备2(加密处理部65)使用公用秘钥,对取得的更新请求中包含的密码进行加密。
在步骤S45中,IoT设备2(连接请求部62)使用在步骤S11中取入的参数信息和在步骤S44中被加密的密码,对连接目标服务器1进行连接请求。
在步骤S46中,连接目标服务器1(正式认证部46)基于来自IoT设备2的连接请求(包含被加密的密码)和预先登记的连接识别信息以及加密信息,识别与进行连接请求的IoT设备2的连接关系,认证(正式认证)识别出的连接关系的真实性。在识别出的连接关系的真实性的认证中,连接目标服务器1(正式认证部46)从连接请求取得被加密的密码,使用公用秘钥进行解密。在解密的密码与预先保持的密码相同的情况下,连接目标服务器1认证识别出的连接关系的真实性。
在步骤S47中,连接目标服务器1(更新处理部48)生成更新信息(被更新的应用、被更新的参数文件等)。
在步骤S48中,连接目标服务器1(防篡改处理部45)计算哈希值。
在步骤S49中,连接目标服务器1(防篡改处理部45以及数据收发控制部44)对生成的更新信息赋予哈希值,配置在与IoT设备2相对应的下载区域52。
在步骤S50中,连接目标服务器1(正式认证部46)向IoT设备2通知表示正式认证完成的信息。正式认证完成的通知包括对与IoT设备2相对应的下载区域52进行确定的URI(下载目标URI)。
在步骤S51中,IoT设备2(参数文件等取得部63)基于被通知的下载目标URI进行更新信息的下载请求。
在步骤S52中,连接目标服务器1向IoT设备2通知在步骤S48中计算出的哈希值。
在步骤S53中,连接目标服务器1基于下载请求,发送配置在与IoT设备2相对应的下载区域52中的更新信息(被赋予哈希值的更新信息)。
在步骤S54中,IoT设备2(防篡改处理部64)比较在步骤S52中取得的哈希值和在步骤S53中取得的更新信息所赋予的哈希值。在比较的结果是两个哈希值是相同的值的情况下,IoT设备2(防篡改处理部64)判定更新信息未被篡改,进入步骤S55。在比较的结果是两个哈希值是不同的值的情况下,IoT设备2(防篡改处理部64)判定更新信息被篡改,中止以后的处理。
在步骤S55中,IoT设备2(数据收发控制部66)取入更新信息(更新了的应用、更新了的参数文件等)。
在步骤S56中,IoT设备2(数据收发控制部66)向连接目标服务器1通知更新完成。
在步骤S57中,连接目标服务器1(参数文件等生成提供删除部43)将配置在与IoT设备2相对应的下载区域52中的更新信息(被赋予哈希值的更新信息)删除。
根据本实施方式,如上所述,能够不使用第三方认证而保证IoT设备和连接目标服务器设备等的真实性。即,如设置在家庭等中的电表和电力供应商的关系那样,IoT设备2和经由网络与该IoT设备2连接的连接目标服务器1是相互识别并认知的关系。对两个关系性分配唯一的识别码(连接识别信息),由IoT设备2和连接目标服务器1相互保持并参照,能够保证相互的真实性。
连接识别信息可以是表示IoT设备2的唯一识别信息(a)和表示连接目标服务器1的唯一识别信息(b)的组合。连接识别信息的构成例如可以是识别信息(a)+识别信息(b),也可以是识别信息(b)+识别信息(a),还可以使连接识别信息能够分为识别信息(a)和识别信息(b)的方式通过预先确定的规则构成。
另外,除了连接识别信息,还可以包含密码或能够经由网络确定IoT设备2的识别信息(例如,预先确定的能够确定设备的ID(例:车辆识别号码、设备的制造号码等),网络地址等)。
需要在IoT设备2和连接目标服务器1相互保持连接识别信息,但也能够使用以下的方式向各个设备中导入连接识别信息。
可以由工作人员使用导入IoT设备2和连接目标服务器1中的应用在IoT设备2中设定预先确定的连接识别信息。另外,也可以利用程序等在IoT设备2中设定连接识别信息。
或者,也可以使连接识别信息预先保持在导入IoT设备和连接目标服务器设备等的应用中。
也可以通过应用间通知、应用间通信、文件交换等方式向连接目标服务器1发送由IoT设备2生成的连接识别信息,由连接目标服务器1取入设定并保持连接识别信息。
另外,也可以通过应用间通知、应用间通信、文件交换等方式向第三方设备(例如智能手机等)发送由IoT设备生成的连接识别信息,利用第三方设备显示这些信息。或者,也可以印刷出连接识别信息,通过人力输入连接目标服务器1,或者通过与第三方设备联动的程序等在连接目标服务器1中设定连接识别信息。
或者,通过应用间通知、应用间通信、文件交换等方式向第三方设备(例如,智能手机等)发送由连接目标服务器1生成的连接识别信息,利用三方设备显示这些信息。或者也可以印刷出连接识别信息,通过人力输入IoT设备2,或者通过与第三方设备联动的程序等在IoT设备2中设定连接识别信息。
另外,在上述实施方式中,着眼于IoT设备2与连接目标服务器1之间的通信进行了说明,但也可以使用具有图5至图7中的连接目标服务器1进行的通信认证功能的IoT设备2来代替连接目标服务器1。即,利用使用了连接识别信息的IoT设备的相互的真实性保证,在两个IoT设备之间或者在使用这两个IoT设备间的关系性保证了真实性的关系性的组合的多个IoT设备间,能够安全地收发信息,相互取得与对方设备相关的信息或操作对方侧设备。
例如,在IoT设备2与连接目标服务器1间或IoT设备2与其他IoT设备2间收发的内容根据IoT设备的特性而有所不同,例子如下所示。
(1)IoT设备的状态:电源的接通/断开,省电模式等的收发
(2)IoT设备的设定值的收发
(3)由传感器等取得的信息或该记录(Log)的收发
(4)人或其他设备等操作IoT设备的信息或该记录(Log)的收发
(5)对IoT设备的状态进行报告的请求及其结果报告
(6)变更IoT设备的状态的请求及其结果(IoT设备的遥控操作请求、遥控操作的结果信息和经过信息的报告等)
(7)以变更IoT设备的设定值为主题的请求和设定值变更后的结果报告
(8)导入IoT设备的应用的更新请求及其结果报告
(9)连接识别信息等的更新、取消等的请求及其结果报告
(10)相互的连接目标、通知目标的信息的更新、取消等请求及其结果报告
此外,关于在IoT设备2与连接目标服务器1间或者IoT设备2与其他IoT设备2间收发的内容,为了使内容保密,可以使用加密。另外,关于在IoT设备2与连接目标服务器1间或者IoT设备2与其他IoT设备2间收发的内容,为了对该内容进行篡改检查,可以使用收发的内容的哈希值等验证内容。
另外,对于在IoT设备2与连接目标服务器间或IoT设备2与其他IoT设备2间的收发,只要是应用间通信、应用间通知、文件交换等能够经由网络交换信息的方式即可,可以使用任何方法。IoT设备间的收发可以经由预先确定的数据或文件的网络上的保管位置,也可以直接进行信息的收发。
在通过软件执行各功能块的处理的情况下,构成该软件的计算机从网络或记录介质安装到计算机等中。
计算机可以是安装到专业的硬件中的计算机。另外,计算机也可以是通过安装各种程序而能够执行各种功能的计算机,例如除了服务器,也可以是通用的智能手机或个人计算机。
为了向各用户提供程序,含有这样的程序的记录介质不仅通过与装置主体另外分配的可移动介质构成,还由以预先安装到装置主体中的状态提供给各用户的记录介质等构成。
此外,在本说明书中,编写记录在记录介质中的程序的步骤,沿着其顺序按照时间顺序进行的处理当然包含不必按照时间顺序处理而并行执行或单独执行的处理。
综上所述,本发明适用的信息处理系统具有以下构成,能够有各种各样的实施方式。
即,本发明适用的信息处理系统满只要是如下的信息处理系统即可。
一种信息处理系统,具有服务器设备(例如连接目标服务器1)以及能够经由通信网络通信的同一种类或不同种类的终端设备(例如IoT设备2),
所述服务器设备具有提供部(例如参数文件等生成提供删除部43),向该终端设备提供参数文件,所述参数文件包含规定的识别码以及与该服务器设备的连接目标相关的连接目标信息,所述规定的识别码唯一地识别所述终端设备与所述服务器设备之间的关系性,
所述终端设备具有:
请求部(例如连接请求部62),对由所述参数文件中的所述连接目标信息确定的所述服务器设备进行访问,请求发布定时密码,
发送部(例如连接请求部62),在与利用所述参数文件中的所述连接目标信息确定的所述服务器设备连接时,向所述服务器设备发送所述识别码以及所述定时密码;
而且,所述服务器设备具有认证部(例如正式认证部46),利用所述识别码认证所述终端设备,利用所述定时密码确认所述终端设备的真实性。
通过适用这样的信息处理装置,能够提供一种在IoT设备间与服务器装置间或IoT设备间安全性更高的认证技术。即,IoT设备2与连接目标服务器1或IoT设备2与其他IoT设备2是相互识别并认知的关系,对该两个关系性分配唯一的连接识别信息,连接的设备间相互保持并参照连接识别信息,由此能够保证相互的真实性。
也可以构成为,所述提供部将所述参数文件保持在所述终端设备的专用下载区域(例如下载区域52),向所述终端设备提供所述参数文件。
由此,能够在IoT设备间与服务器装置间或IoT设备间安全地收发参数文件等数据。
还可以构成为,所述终端设备还具有数据对照部(例如防篡改处理部45、64),在所述终端设备向所述服务器设备发送第一数据的情况下,将所述第一数据的哈希值作为第一哈希值通知所述服务器设备,并且向所述服务器设备发送赋予了所述第一哈希值的所述第一数据,
在所述终端设备接收从所述服务器设备发送来的第二数据和第二哈希值的情况下,所述数据对照部对赋予所述第二数据的哈希值和所述第二哈希值进行对照,根据对照结果,取得所述第二数据。
由此,能够防止收发的数据被篡改。
此外,本发明不限于上述实施方式,在不脱离本发明的主旨的范围内能够实现各种构成或实施方式。
附图标记说明
1…服务器、2…IoT设备、41…IoT设备信息取得登记部、42…临时认证部、43…参数文件等生成提供删除部、44…数据收发控制部、45…篡改预防处理部、46…正式认证部、47…密码发布部、48…更新处理部、51…IoT设备关系信息、52…下载区域、61…初始设定部、62…连接请求部、63…参数文件等取得部、64…防篡改处理部、65…加密处理部、66…数据收发信控制。

Claims (5)

1.一种信息处理系统,具有服务器设备以及能够经由通信网络通信的同一种类或不同种类的终端设备,其中,
所述服务器设备和所述终端设备是预先相互认知并识别的关系,即在所述终端设备中具有初始设定部,所述初始设定部预先登记有识别所述终端设备的物联网识别信息、所述服务器设备的连接目标信息以及首次连接用密码,而且
所述服务器设备具有物联网设备信息取得登记部,所述物联网设备信息取得登记部预先登记有识别所述终端设备的物联网设备识别信息以及首次连接用的密码,
而且,所述终端设备具有连接请求部,所述连接请求部利用所述连接目标信息与所述服务器设备连接,发送所述物联网设备识别信息和所述首次连接用的密码,来要求连接,而且,
所述服务器设备具有:
临时认证部,利用所述物联网设备识别信息识别所述终端设备,利用所述首次密码进行临时认证,以及
提供部,向该终端设备提供参数文件,所述参数文件包含规定的识别码以及与该服务器设备的连接目标相关的连接目标信息,所述规定的识别码唯一地识别通过所述临时认证而所述终端设备与所述服务器设备间的相互的真实性得以保证的关系性;
所述终端设备具有:
请求部,对利用所述参数文件中的所述连接目标信息确定的所述服务器设备进行访问,请求发布定时密码,以及
发送部,在与利用所述参数文件中的所述连接目标信息确定的所述服务器设备连接时,向所述服务器设备发送所述识别码以及所述定时密码;
而且,所述服务器设备具有:
密码发布部,根据来自所述终端设备的定时密码发布请求,发布定时密码,以及
认证部,利用所述规定的识别码以及所述定时密码,识别与所述终端设备的连接关系,认证识别出的连接关系的真实性。
2.根据权利要求1所述的信息处理系统,其中,所述提供部将所述参数文件保持在所述终端设备的专用下载区域中,向所述终端设备提供所述参数文件。
3.根据权利要求1或2所述的信息处理系统,其中,
所述终端设备还具有数据对照部,
在所述终端设备向所述服务器设备发送第一数据的情况下,所述数据对照部将所述第一数据的哈希值作为第一哈希值通知所述服务器设备,并且向所述服务器设备发送赋予了所述第一哈希值的所述第一数据,
在所述终端设备接收从所述服务器设备发送来的第二数据和第二哈希值的情况下,所述数据对照部将赋予给所述第二数据的哈希值和所述第二哈希值进行对照,根据对照结果,取得所述第二数据。
4.一种用于信息处理系统的程序,所述信息处理系统具有服务器设备以及能够经由通信网络通信的同一种类或不同种类的终端设备,其中,
所述程序具有:
初始设定步骤,在所述终端设备预先登记识别所述终端设备的物联网设备识别信息、所述服务器设备的连接目标信息以及首次连接用密码,以及
连接请求步骤,所述终端设备利用所述服务器设备的连接目标信息进行连接,发送所述物联网设备识别信息和所述首次连接用的密码,要求连接;而且,
所述程序具有参数文件等取得步骤,在所述参数文件等取得步骤中,所述服务器设备根据所述连接请求在服务器设备进行临时认证,所述终端设备接受所述服务器设备提供参数文件,所述终端设备取得所述参数文件,所述参数文件包含规定的识别码以及与所述服务器设备的连接目标相关的连接目标信息,所述规定的识别码唯一地识别通过所述临时认证所述服务器设备、所述终端设备和所述服务器设备之间的相互的真实性得以保证的关系性,
所述程序使所述终端设备执行控制处理,所述控制处理包括:
请求步骤,对利用所述参数文件中的与所述服务器设备的连接目标相关的连接目标信息确定的所述服务器设备进行访问,请求发布定时密码,以及
发送步骤,在与利用所述连接目标信息确定的所述服务器设备连接时,向所述服务器设备发送规定的识别码以及所述定时密码,所述规定的识别码唯一地识别所述终端设备与所述服务器设备之间的相互的真实性得以保证的的关系性,使得在所述服务器设备中,利用所述规定的识别码以及所述定时密码识别与所述终端设备的连接关系并且所识别出的连接关系的真实性得以认证。
5.一种用于信息处理系统的程序,所述信息处理系统具有服务器设备和能够经由通信网络通信的同一种类或不同种类的终端设备,其中,
所述程序具有:
物联网设备信息取得登记步骤,所述服务器设备预先登记对所述终端设备进行识别的物联网设备识别信息以及首次连接用的密码,
临时认证步骤,在所述终端设备首次请求连接时,利用所述物联网设备识别信息识别所述终端设备,利用所述首次密码进行临时认证,以及
提供步骤,向该终端设备提供参数文件,所述参数文件包含规定的识别码以及与该服务器设备的连接目标相关的连接目标信息,所述规定的识别码唯一地识别通过所述临时认证而所述终端设备与所述服务器设备之间的相互的真实性得以保证的关系性,使得在所述服务器设备中,利用所述识别码以及所述定时密码识别与所述终端设备的连接关系并且所识别出的连接关系的真实性得以认证,而且,
所述程序使所述服务器设备执行控制处理,所述控制处理包含:
密码发布步骤,根据来自所述终端设备的定时密码发布请求发布所述定时密码,以及
认证步骤,根据来自所述终端设备的连接,利用规定的识别码以及所述定时密码识别与所述终端设备的连接关系,认证所识别出的连接关系的真实性,所述规定的识别码唯一地识别所述终端设备与所述服务器设备之间的相互的真实性得以保证的关系性。
CN201980058371.6A 2018-10-01 2019-09-21 信息通信设备、信息通信设备用认证程序以及认证方法 Active CN112689833B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018-186920 2018-10-01
JP2018186920A JP6609788B1 (ja) 2018-10-01 2018-10-01 情報通信機器、情報通信機器用認証プログラム及び認証方法
PCT/JP2019/037147 WO2020071164A1 (ja) 2018-10-01 2019-09-21 情報通信機器、情報通信機器用認証プログラム及び認証方法

Publications (2)

Publication Number Publication Date
CN112689833A true CN112689833A (zh) 2021-04-20
CN112689833B CN112689833B (zh) 2022-06-07

Family

ID=68691954

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980058371.6A Active CN112689833B (zh) 2018-10-01 2019-09-21 信息通信设备、信息通信设备用认证程序以及认证方法

Country Status (6)

Country Link
US (1) US11373762B2 (zh)
EP (1) EP3862899A4 (zh)
JP (1) JP6609788B1 (zh)
CN (1) CN112689833B (zh)
IL (1) IL281112A (zh)
WO (1) WO2020071164A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7185978B2 (ja) * 2018-07-03 2022-12-08 株式会社ソラコム 認証情報の設定を仲介するための装置及び方法
JP7262964B2 (ja) * 2018-10-12 2023-04-24 株式会社東芝 情報処理装置、及び情報処理システム
JP7013499B2 (ja) * 2020-01-27 2022-01-31 矢崎総業株式会社 認証システム
US11032427B1 (en) * 2020-06-11 2021-06-08 Movius Interactive Corporation Voice enabled IoT using second line service
CN112510833A (zh) * 2020-11-27 2021-03-16 珠海格力电器股份有限公司 电表参数配置方法、装置及系统
JPWO2023148807A1 (zh) * 2022-02-01 2023-08-10
WO2024034413A1 (ja) * 2022-08-10 2024-02-15 ソニーセミコンダクタソリューションズ株式会社 情報処理方法、サーバ装置、および情報処理装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1842991A (zh) * 2003-09-03 2006-10-04 索尼株式会社 设备认证系统
JP2015219670A (ja) * 2014-05-16 2015-12-07 株式会社インテック 情報処理方法及び情報処理システム
CN105307108A (zh) * 2015-11-17 2016-02-03 成都工百利自动化设备有限公司 一种物联网信息交互通信方法及系统
CN106982189A (zh) * 2016-01-18 2017-07-25 天津赞普科技股份有限公司 用于商业WiFi的通用密码钥匙串认证机制
CN107566367A (zh) * 2017-09-02 2018-01-09 刘兴丹 一种云存储信息网络认证共享的方法、装置
CN108055135A (zh) * 2017-12-13 2018-05-18 杭州全视软件有限公司 一种智能终端认证管理的方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002288134A (ja) * 2001-03-23 2002-10-04 Ntt Communications Kk アクセス制御システム、方法及び記録媒体
JP4617763B2 (ja) 2003-09-03 2011-01-26 ソニー株式会社 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム
US7482526B2 (en) * 2004-01-06 2009-01-27 Yamaha Corporation Technique for supplying unique ID to electronic musical apparatus
JP2005303530A (ja) * 2004-04-08 2005-10-27 Mitsubishi Electric Corp アクセス中継装置
US20070256118A1 (en) 2005-05-11 2007-11-01 Takashi Nomura Server Device, Device-Correlated Registration Method, Program, and Recording Medium
JP4961826B2 (ja) * 2005-05-11 2012-06-27 ソニー株式会社 サーバ装置、機器の関連付け登録方法、プログラム、および記録媒体
EP2245829B1 (en) * 2008-01-18 2016-01-06 InterDigital Patent Holdings, Inc. Method for enabling machine to machine communication
US20170048700A1 (en) * 2012-08-16 2017-02-16 Mivalife Mobile Technology, Inc. Self-configuring wireless network
US9226211B2 (en) * 2013-01-17 2015-12-29 Intel IP Corporation Centralized partitioning of user devices in a heterogeneous wireless network
US10083291B2 (en) * 2015-02-25 2018-09-25 Verisign, Inc. Automating internet of things security provisioning
US20160366124A1 (en) * 2015-06-15 2016-12-15 Qualcomm Incorporated Configuration and authentication of wireless devices
JP2017126191A (ja) 2016-01-14 2017-07-20 キヤノン株式会社 権限委譲システム、情報処理装置、及び制御方法
US10402797B2 (en) * 2016-06-20 2019-09-03 Cyber Armor Pte Ltd Secured authentication and transaction authorization for mobile and internet-of-things devices
US10425242B2 (en) * 2016-10-14 2019-09-24 Microsoft Technology Licensing, Llc IoT provisioning service
US20180159828A1 (en) * 2016-12-06 2018-06-07 Ingenu Multi-regional provisioning

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1842991A (zh) * 2003-09-03 2006-10-04 索尼株式会社 设备认证系统
JP2015219670A (ja) * 2014-05-16 2015-12-07 株式会社インテック 情報処理方法及び情報処理システム
CN105307108A (zh) * 2015-11-17 2016-02-03 成都工百利自动化设备有限公司 一种物联网信息交互通信方法及系统
CN106982189A (zh) * 2016-01-18 2017-07-25 天津赞普科技股份有限公司 用于商业WiFi的通用密码钥匙串认证机制
CN107566367A (zh) * 2017-09-02 2018-01-09 刘兴丹 一种云存储信息网络认证共享的方法、装置
CN108055135A (zh) * 2017-12-13 2018-05-18 杭州全视软件有限公司 一种智能终端认证管理的方法

Also Published As

Publication number Publication date
JP6609788B1 (ja) 2019-11-27
EP3862899A4 (en) 2022-08-10
JP2020057923A (ja) 2020-04-09
US11373762B2 (en) 2022-06-28
EP3862899A1 (en) 2021-08-11
CN112689833B (zh) 2022-06-07
IL281112A (en) 2021-04-29
US20210249145A1 (en) 2021-08-12
WO2020071164A1 (ja) 2020-04-09

Similar Documents

Publication Publication Date Title
CN112689833B (zh) 信息通信设备、信息通信设备用认证程序以及认证方法
CN109951489B (zh) 一种数字身份认证方法、设备、装置、系统及存储介质
JP6725679B2 (ja) アプリの偽変造が探知可能な2チャンネル認証代行システム及びその方法
US8863308B2 (en) System and methods for providing identity attribute validation in accordance with an attribute disclosure profile
US8479001B2 (en) Self-authentication communication device and device authentication system
US10686768B2 (en) Apparatus and method for controlling profile data delivery
JP4671783B2 (ja) 通信システム
CN102438013A (zh) 基于硬件的证书分发
CN103677892A (zh) 在安全电子控制单元中启用特殊优先模式的授权方案
WO2018021708A1 (ko) 공개키 기반의 서비스 인증 방법 및 시스템
CN112165382B (zh) 软件授权方法、装置、授权服务端及终端设备
CN102823217A (zh) 证书机构
US20140223528A1 (en) Certificate installation and delivery process, four factor authentication, and applications utilizing same
CN110838919B (zh) 通信方法、存储方法、运算方法及装置
KR101746102B1 (ko) 무결성 및 보안성이 강화된 사용자 인증방법
JP2017073610A (ja) 情報処理システム、周辺機器、無線通信チップ、アプリケーションプログラム、および情報処理方法
JP2018174507A (ja) 通信装置
JP2023548415A (ja) 保護装置によって達成される対象物の保護を停止する方法
JP2020092289A (ja) 機器統合システム及び更新管理システム
US20200403812A1 (en) Certificate issuing apparatus, verification apparatus, communication device, certificate issuing system, certificate issuing method, and non-transitory computer readable medium
KR101996317B1 (ko) 인증변수를 이용한 블록체인 기반의 사용자 인증 시스템 및 그 방법
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
KR20200089562A (ko) 공유된 키를 등록하기 위한 방법 및 장치
CN109561428A (zh) 远程鉴权方法及其装置、设备和存储介质
JP6451947B2 (ja) リモート認証システム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant