JP2018152796A - Remote apparatus control system and remote apparatus control method - Google Patents
Remote apparatus control system and remote apparatus control method Download PDFInfo
- Publication number
- JP2018152796A JP2018152796A JP2017049116A JP2017049116A JP2018152796A JP 2018152796 A JP2018152796 A JP 2018152796A JP 2017049116 A JP2017049116 A JP 2017049116A JP 2017049116 A JP2017049116 A JP 2017049116A JP 2018152796 A JP2018152796 A JP 2018152796A
- Authority
- JP
- Japan
- Prior art keywords
- key
- client
- communication
- unit
- client device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、遠隔機器制御システム、及び、遠隔機器制御方法に関する。 The present invention relates to a remote device control system and a remote device control method.
近年、エアコンディショナ(通称、エアコン)等の家電機器や監視カメラ等の特定用途の機器がインターネットに接続されるようになってきている。その際、通信データの秘匿を図る技術の一つとして公開鍵暗号方式が知られている。公開鍵暗号方式では、一般に、PKI(Public Key Infrastructure、公開鍵基盤)を利用して公開鍵(公開鍵証明書)がやり取りされる(例えば、非特許文献1参照)。 In recent years, home appliances such as air conditioners (commonly known as air conditioners) and devices for specific uses such as surveillance cameras have been connected to the Internet. At this time, a public key cryptosystem is known as one technique for concealing communication data. In the public key cryptosystem, a public key (public key certificate) is generally exchanged using PKI (Public Key Infrastructure) (for example, see Non-Patent Document 1).
モノのインターネット(Internet of Things:IoT)を実現するためのIoT機器にクライアント装置からアクセスし、クライアント装置がIoT機器から通信によりデータを収集したり、クライアント装置がIoT機器を通信により遠隔で操作したりすることが考えられる。しかし、クライアント装置が通信によりIoT機器を遠隔で制御する際の安全性が不十分である場合があった。 The client device accesses an IoT device for realizing the Internet of Things (IoT) from the client device, and the client device collects data from the IoT device by communication, or the client device remotely operates the IoT device by communication. Can be considered. However, there are cases where the security when the client device remotely controls the IoT device by communication is insufficient.
本発明は、このような事情を考慮してなされたものであり、その目的は、クライアント装置が通信によりIoT機器を遠隔で制御する際の安全性を向上させることにある。 The present invention has been made in consideration of such circumstances, and an object of the present invention is to improve safety when a client device remotely controls an IoT device by communication.
(1)本発明の一態様は、クライアント装置と、第1演算処理装置と、第2機器と、を備え、前記第1演算処理装置は、マスタ鍵と共通鍵とを格納する第1記憶部と、前記マスタ鍵と前記クライアント装置のクライアント識別情報と鍵種別情報とを使用して第1鍵と第2鍵とを生成する鍵生成部と、前記第1鍵を使用して前記クライアント装置との間で認証処理を行う第1認証処理部と、前記クライアント装置との間で前記第2鍵を使用する暗号通信により第3鍵を送信し、前記共通鍵を使用する暗号通信により前記第3鍵を前記第2機器に送信する第1鍵送信部と、を備え、前記第2機器は、前記第2機器の特有の機器を備え、遠隔での制御を通信により受け付ける機器部と、前記クライアント装置と前記第1演算処理装置との間の通信の中継を行う制御部と、前記共通鍵を格納する第2記憶部と、前記共通鍵を使用する暗号通信により前記第1演算処理装置から前記第3鍵を受信する鍵受信部と、前記クライアント装置との間で前記第3鍵を使用して暗号通信を行う第2通信部と、を備え、前記クライアント装置は、前記第1鍵と前記第2鍵とを格納するクライアント記憶部と、自クライアント装置のクライアント識別情報を前記第1演算処理装置に送信し、前記第1鍵を使用して前記第1演算処理装置との間で認証処理を行うクライアント認証処理部と、前記第1演算処理装置との間で前記第2鍵を使用する暗号通信により前記第3鍵を受信するクライアント鍵受信部と、前記第2機器との間で前記第3鍵を使用して暗号通信を行うクライアント通信部と、前記第2機器の前記機器部を、前記第3鍵を使用して行われる前記暗号通信により遠隔で制御する遠隔機器制御部と、を備える、遠隔機器制御システムである。
(2)本発明の一態様は、前記クライアント装置の前記クライアント鍵受信部は、自クライアント装置のクライアント識別情報を前記第1演算処理装置に送信し、前記第1演算処理装置の前記第1鍵送信部は、前記クライアント装置から受信したクライアント識別情報を使用して前記鍵生成部により生成された前記第1鍵と前記第2鍵とを、暗号通信路により前記クライアント装置に送信し、前記クライアント装置の前記クライアント記憶部は、前記暗号通信路により前記第1演算処理装置から受信した前記第1鍵と前記第2鍵とを格納する、遠隔機器制御システムである。
(1) One aspect of the present invention includes a client device, a first arithmetic processing device, and a second device, and the first arithmetic processing device stores a master key and a common key. A key generation unit that generates a first key and a second key using the master key, client identification information of the client device, and key type information, and the client device using the first key A third key is transmitted between the first authentication processing unit that performs authentication processing between the client device and the client device by encrypted communication using the second key, and the third key is transmitted by encrypted communication using the common key. A first key transmission unit that transmits a key to the second device, wherein the second device includes a device unique to the second device, and receives a remote control through communication, and the client Communication between the apparatus and the first arithmetic processing unit. A control unit that performs relaying, a second storage unit that stores the common key, a key reception unit that receives the third key from the first arithmetic processing unit by encrypted communication using the common key, and the client device A second communication unit that performs cryptographic communication using the third key between the client device, a client storage unit that stores the first key and the second key, and a local client A client authentication processing unit that transmits client identification information of the apparatus to the first arithmetic processing unit and performs an authentication process with the first arithmetic processing unit using the first key; and the first arithmetic processing unit A client key receiving unit that receives the third key by encrypted communication using the second key with the client, and a client communication unit that performs encrypted communication with the second device using the third key And in front of the second device A device unit, and a remote device controller for controlling remotely by the encryption communication performed by using the third key, a remote equipment control system.
(2) In one aspect of the present invention, the client key receiving unit of the client device transmits client identification information of the client device to the first arithmetic processing device, and the first key of the first arithmetic processing device. The transmission unit transmits the first key and the second key generated by the key generation unit using the client identification information received from the client device to the client device via an encryption communication path, and the client The client storage unit of the device is a remote device control system that stores the first key and the second key received from the first arithmetic processing device through the encryption communication path.
(3)本発明の一態様は、クライアント装置と、第1演算処理装置と、第2機器と、を備え、前記第1演算処理装置は、共通鍵と、前記クライアント装置の公開鍵証明書であるクライアント公開鍵証明書の生成に使用される第1秘密鍵と、前記第1秘密鍵に対応する第1公開鍵証明書とを格納する第1記憶部と、前記第1公開鍵証明書を使用して前記クライアント装置との間で公開鍵暗号方式の認証処理を行う第1認証処理部と、前記クライアント装置との間で前記クライアント公開鍵証明書を使用する暗号通信により第3鍵を送信し、前記共通鍵を使用する暗号通信により前記第3鍵を前記第2機器に送信する第1鍵送信部と、を備え、前記第2機器は、前記第2機器の特有の機器を備え、遠隔での制御を通信により受け付ける機器部と、前記クライアント装置と前記第1演算処理装置との間の通信の中継を行う制御部と、前記共通鍵を格納する第2記憶部と、前記共通鍵を使用する暗号通信により前記第1演算処理装置から前記第3鍵を受信する鍵受信部と、前記クライアント装置との間で前記第3鍵を使用して暗号通信を行う第2通信部と、を備え、前記クライアント装置は、前記クライアント公開鍵証明書と前記クライアント公開鍵証明書に対応する秘密鍵であるクライアント秘密鍵とを格納するクライアント記憶部と、前記クライアント公開鍵証明書を前記第1演算処理装置に送信し、前記クライアント秘密鍵を使用して前記第1演算処理装置との間で認証処理を行うクライアント認証処理部と、前記第1演算処理装置との間で前記クライアント秘密鍵を使用する暗号通信により前記第3鍵を受信するクライアント鍵受信部と、前記第2機器との間で前記第3鍵を使用して暗号通信を行うクライアント通信部と、前記第2機器の前記機器部を、前記第3鍵を使用して行われる前記暗号通信により遠隔で制御する遠隔機器制御部と、を備える、遠隔機器制御システムである。
(4)本発明の一態様は、前記クライアント装置の前記クライアント認証処理部は、自クライアント装置の公開鍵であるクライアント公開鍵を前記第1演算処理装置に送信し、前記第1演算処理装置の前記第1認証処理部は、前記クライアント装置から受信した前記クライアント公開鍵の公開鍵証明書である前記クライアント公開鍵証明書を、前記第1秘密鍵を使用して生成し、前記クライアント公開鍵証明書を前記クライアント装置に送信し、前記クライアント装置の前記クライアント記憶部は、前記クライアント秘密鍵と、前記第1演算処理装置から受信した前記クライアント公開鍵証明書とを格納する、遠隔機器制御システムである。
(3) One aspect of the present invention includes a client device, a first arithmetic processing device, and a second device, wherein the first arithmetic processing device is a common key and a public key certificate of the client device. A first storage for storing a first private key used for generating a certain client public key certificate, a first public key certificate corresponding to the first private key, and the first public key certificate A first authentication processing unit that performs public key cryptography authentication processing with the client device, and transmits a third key by encrypted communication using the client public key certificate with the client device. A first key transmission unit that transmits the third key to the second device by encrypted communication using the common key, and the second device includes a device unique to the second device, A device unit that accepts remote control by communication; The control unit that relays communication between the client device and the first arithmetic processing unit, the second storage unit that stores the common key, and the first arithmetic processing unit using encrypted communication that uses the common key A key receiving unit that receives the third key from the client, and a second communication unit that performs encrypted communication with the client device using the third key. The client device includes the client public key. A client storage unit that stores a certificate and a client private key that is a private key corresponding to the client public key certificate, and transmits the client public key certificate to the first processing unit. A client authentication processing unit that performs an authentication process with the first arithmetic processing unit and an encryption communication that uses the client secret key with the first arithmetic processing unit. The client key receiving unit that receives the third key according to the above, the client communication unit that performs cryptographic communication with the second device using the third key, and the device unit of the second device, And a remote device control unit that remotely controls the encrypted communication performed using a third key.
(4) In one aspect of the present invention, the client authentication processing unit of the client device transmits a client public key that is a public key of the client device to the first arithmetic processing device, and the first arithmetic processing device The first authentication processing unit generates the client public key certificate, which is a public key certificate of the client public key received from the client device, using the first private key, and the client public key certificate A remote device control system in which the client storage unit of the client device stores the client private key and the client public key certificate received from the first arithmetic processing device. is there.
(5)本発明の一態様は、クライアント装置と、第1演算処理装置と、機器部を備える第2機器と、を備える遠隔機器制御システムの遠隔機器制御方法であり、前記機器部は、前記第2機器の特有の機器を備え、遠隔での制御を通信により受け付け、前記第1演算処理装置が、マスタ鍵と共通鍵とを格納する第1記憶ステップと、前記第1演算処理装置が、前記マスタ鍵と前記クライアント装置のクライアント識別情報と鍵種別情報とを使用して第1鍵と第2鍵とを生成する鍵生成ステップと、前記第1演算処理装置が、前記第1鍵を使用して前記クライアント装置との間で認証処理を行う第1認証処理ステップと、前記第1演算処理装置が、前記クライアント装置との間で前記第2鍵を使用する暗号通信により第3鍵を送信し、前記共通鍵を使用する暗号通信により前記第3鍵を前記第2機器に送信する第1鍵送信ステップと、前記第2機器が、前記クライアント装置と前記第1演算処理装置との間の通信の中継を行う制御ステップと、前記第2機器が、前記共通鍵を格納する第2記憶ステップと、前記第2機器が、前記共通鍵を使用する暗号通信により前記第1演算処理装置から前記第3鍵を受信する鍵受信ステップと、前記第2機器が、前記クライアント装置との間で前記第3鍵を使用して暗号通信を行う第2通信ステップと、前記クライアント装置が、前記第1鍵と前記第2鍵とを格納するクライアント記憶ステップと、前記クライアント装置が、自クライアント装置のクライアント識別情報を前記第1演算処理装置に送信し、前記第1鍵を使用して前記第1演算処理装置との間で認証処理を行うクライアント認証処理ステップと、前記クライアント装置が、前記第1演算処理装置との間で前記第2鍵を使用する暗号通信により前記第3鍵を受信するクライアント鍵受信ステップと、前記クライアント装置が、前記第2機器との間で前記第3鍵を使用して暗号通信を行うクライアント通信ステップと、前記クライアント装置が、前記第2機器の前記機器部を、前記第3鍵を使用して行われる前記暗号通信により遠隔で制御する遠隔機器制御ステップと、を含む遠隔機器制御方法である。
(6)本発明の一態様は、前記クライアント装置が、自クライアント装置のクライアント識別情報を前記第1演算処理装置に送信し、前記第1演算処理装置が、前記クライアント装置から受信したクライアント識別情報を使用して生成された前記第1鍵と前記第2鍵とを、暗号通信路により前記クライアント装置に送信し、前記クライアント装置が、前記暗号通信路により前記第1演算処理装置から受信した前記第1鍵と前記第2鍵とを格納する、遠隔機器制御方法である。
(5) One aspect of the present invention is a remote device control method of a remote device control system including a client device, a first arithmetic processing device, and a second device including a device unit, and the device unit includes A first storage step including a device unique to the second device, receiving remote control by communication, the first processing unit storing a master key and a common key, and the first processing unit, A key generation step of generating a first key and a second key using the master key, client identification information of the client device and key type information; and the first arithmetic processing unit uses the first key. And a first authentication processing step for performing authentication processing with the client device, and the first arithmetic processing device transmits a third key by encrypted communication using the second key with the client device. And the common key A first key transmission step of transmitting the third key to the second device by encryption communication to be used, and a control in which the second device relays communication between the client device and the first arithmetic processing device; A second storage step in which the second device stores the common key; and the second device receives the third key from the first arithmetic processing unit by encrypted communication using the common key. A key receiving step, a second communication step in which the second device performs encrypted communication with the client device using the third key, and the client device has the first key and the second key. And the client storage step of transmitting client identification information of the client device to the first arithmetic processing device, and using the first key, the first arithmetic processing device A client authentication processing step for performing authentication processing between the client device and a client key receiving step for receiving the third key by encrypted communication using the second key between the client device and the first arithmetic processing device; A client communication step in which the client device performs encrypted communication with the second device using the third key; and the client device connects the device unit of the second device to the third key. And a remote device control step for remotely controlling the encrypted communication using the encryption communication.
(6) According to one aspect of the present invention, the client device transmits client identification information of the client device to the first arithmetic processing device, and the first arithmetic processing device receives the client identification information from the client device. Transmitting the first key and the second key generated using the encryption communication path to the client apparatus, and the client apparatus received from the first arithmetic processing apparatus via the encryption communication path. A remote device control method for storing a first key and the second key.
(7)本発明の一態様は、クライアント装置と、第1演算処理装置と、機器部を備える第2機器と、を備える遠隔機器制御システムの遠隔機器制御方法であり、前記機器部は、前記第2機器の特有の機器を備え、遠隔での制御を通信により受け付け、前記第1演算処理装置が、共通鍵と、前記クライアント装置の公開鍵証明書であるクライアント公開鍵証明書の生成に使用される第1秘密鍵と、前記第1秘密鍵に対応する第1公開鍵証明書とを格納する第1記憶ステップと、前記第1演算処理装置が、前記第1公開鍵証明書を使用して前記クライアント装置との間で公開鍵暗号方式の認証処理を行う第1認証処理ステップと、前記第1演算処理装置が、前記クライアント装置との間で前記クライアント公開鍵証明書を使用する暗号通信により第3鍵を送信し、前記共通鍵を使用する暗号通信により前記第3鍵を前記第2機器に送信する第1鍵送信ステップと、前記第2機器が、前記クライアント装置と前記第1演算処理装置との間の通信の中継を行う制御ステップと、前記第2機器が、前記共通鍵を格納する第2記憶ステップと、前記第2機器が、前記共通鍵を使用する暗号通信により前記第1演算処理装置から前記第3鍵を受信する鍵受信ステップと、前記第2機器が、前記クライアント装置との間で前記第3鍵を使用して暗号通信を行う第2通信ステップと、前記クライアント装置が、前記クライアント公開鍵証明書と前記クライアント公開鍵証明書に対応する秘密鍵であるクライアント秘密鍵とを格納するクライアント記憶ステップと、前記クライアント装置が、前記クライアント公開鍵証明書を前記第1演算処理装置に送信し、前記クライアント秘密鍵を使用して前記第1演算処理装置との間で認証処理を行うクライアント認証処理ステップと、前記クライアント装置が、前記第1演算処理装置との間で前記クライアント秘密鍵を使用する暗号通信により前記第3鍵を受信するクライアント鍵受信ステップと、前記クライアント装置が、前記第2機器との間で前記第3鍵を使用して暗号通信を行うクライアント通信ステップと、前記クライアント装置が、前記第2機器の前記機器部を、前記第3鍵を使用して行われる前記暗号通信により遠隔で制御する遠隔機器制御ステップと、を含む遠隔機器制御方法である。
(8)本発明の一態様は、前記クライアント装置が、自クライアント装置の公開鍵であるクライアント公開鍵を前記第1演算処理装置に送信し、前記第1演算処理装置が、前記クライアント装置から受信した前記クライアント公開鍵の公開鍵証明書である前記クライアント公開鍵証明書を、前記第1秘密鍵を使用して生成し、前記クライアント公開鍵証明書を前記クライアント装置に送信し、前記クライアント装置が、前記クライアント秘密鍵と、前記第1演算処理装置から受信した前記クライアント公開鍵証明書とを格納する、遠隔機器制御方法である。
(7) One aspect of the present invention is a remote device control method of a remote device control system including a client device, a first arithmetic processing device, and a second device including a device unit, A device specific to the second device is provided, and remote control is accepted by communication, and the first processing unit is used to generate a common key and a client public key certificate that is a public key certificate of the client device. A first storage step for storing a first secret key to be executed and a first public key certificate corresponding to the first secret key; and the first arithmetic processing unit uses the first public key certificate. A first authentication processing step for performing public key cryptography authentication processing with the client device, and encryption communication in which the first arithmetic processing device uses the client public key certificate with the client device. By A first key transmission step of transmitting three keys and transmitting the third key to the second device by encrypted communication using the common key; and the second device includes the client device and the first arithmetic processing device. A control step for relaying communication between the second device, a second storage step in which the second device stores the common key, and a second operation in which the second device performs the first calculation by encrypted communication using the common key. A key receiving step of receiving the third key from a processing device; a second communication step in which the second device performs cryptographic communication with the client device using the third key; and the client device A client storage step of storing the client public key certificate and a client private key that is a private key corresponding to the client public key certificate; and A client authentication processing step of transmitting a client public key certificate to the first processing unit and performing an authentication process with the first processing unit using the client private key; and A client key receiving step of receiving the third key by encrypted communication using the client secret key with the first processing unit; and the client device sends the third key to the second device. A client communication step for performing encrypted communication using the remote device control step, wherein the client device remotely controls the device unit of the second device by the encrypted communication performed using the third key; , Including a remote device control method.
(8) In one aspect of the present invention, the client device transmits a client public key that is a public key of the client device to the first arithmetic processing device, and the first arithmetic processing device receives the client device from the client device. The client public key certificate that is the public key certificate of the client public key is generated using the first private key, the client public key certificate is transmitted to the client device, and the client device A remote device control method for storing the client secret key and the client public key certificate received from the first processing unit.
本発明によれば、クライアント装置が通信によりIoT機器を遠隔で制御する際の安全性を向上させることができるという効果が得られる。 According to the present invention, it is possible to improve the safety when the client device remotely controls the IoT device by communication.
以下、図面を参照し、本発明の実施形態について説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[第1実施形態]
図1は、本実施形態に係る遠隔機器制御システム1の概略構成図である。図1において、遠隔機器制御システム1は、サーバ装置30と、クライアント装置50と、IoT機器70とを備える。IoT機器70は、通信機能を有する機器である。IoT機器70は、例えば、エアコン等の家電機器であってもよく、又は、信号機、気象観測センサ若しくは監視カメラ等の特定用途の機器であってもよい。
[First Embodiment]
FIG. 1 is a schematic configuration diagram of a remote
サーバ装置30は、通信路102を介してIoT機器70と通信を行う。通信路102は、無線通信路であってもよく、又は、有線通信路であってもよく、又は、無線通信路と有線通信路とから構成されてもよい。例えば、通信路102は、IoT機器70が利用する無線通信ネットワークの通信路であってもよい。又は、通信路102は、インターネット等の通信ネットワークと、IoT機器70が利用する無線通信ネットワークとから構成される通信路であってもよい。また、例えば、サーバ装置30とIoT機器70との間をVPN(Virtual Private Network)回線等の専用回線で接続してもよい。
The
サーバ装置30は、通信路104を介してクライアント装置50と通信を行う。通信路104は、無線通信路であってもよく、又は、有線通信路であってもよく、又は、無線通信路と有線通信路とから構成されてもよい。例えば、サーバ装置30とクライアント装置50とは、有線又は無線の通信ネットワークを介して通信を行うように構成してもよい。例えば、サーバ装置30とクライアント装置50とを、有線又は無線のLAN(Local Area Network)で接続してもよい。
The
クライアント装置50は、通信路106を介してIoT機器70と通信を行う。通信路106は、例えば近距離無線通信等の無線通信路であってもよい。通信路106は、例えば、「Wi-Fi(登録商標)」等の無線LANの無線通信路であってもよく、又は、「Bluetooth(登録商標)」の無線通信路であってもよい。
The
図2は、本実施形態に係るサーバ装置30の概略の機能構成図である。図2において、サーバ装置30は、通信部31と、記憶部32と、鍵生成部33と、鍵送信部34と、認証処理部35とを備える。通信部31は、通信路102を介してIoT機器70と通信を行う。通信部31は、通信路104を介してクライアント装置50と通信を行う。記憶部32はデータを記憶する。鍵生成部33は鍵を生成する。鍵送信部34は鍵の送信を行う。認証処理部35は、クライアント装置50との間で認証処理を行う。
FIG. 2 is a schematic functional configuration diagram of the
サーバ装置30の機能は、サーバ装置30が備えるCPU(Central Processing Unit:中央演算処理装置)がコンピュータプログラムを実行することにより実現される。なお、サーバ装置30として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。
The functions of the
本実施形態において、サーバ装置30は第1演算処理装置の例である。サーバ装置30の記憶部32は第1記憶部に対応する。サーバ装置30の認証処理部35は第1認証処理部に対応する。サーバ装置30の鍵送信部34は、第1鍵送信部に対応する。
In the present embodiment, the
図3は、本実施形態に係るクライアント装置50の概略の機能構成図である。図3において、クライアント装置50は、通信部51と、記憶部52と、鍵受信部54と、認証処理部55と、遠隔機器制御部57とを備える。通信部51は、通信路104を介してサーバ装置30と通信を行う。通信部51は、通信路106を介してIoT機器70と通信を行う。記憶部52はデータを記憶する。鍵受信部54は鍵の受信を行う。認証処理部55は、サーバ装置30との間で認証処理を行う。遠隔機器制御部57は、通信によりIoT機器70を遠隔で制御する。
FIG. 3 is a schematic functional configuration diagram of the
クライアント装置50の機能は、クライアント装置50が備えるCPUがコンピュータプログラムを実行することにより実現される。なお、クライアント装置50として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。クライアント装置50は、例えば、スマートフォン等の携帯通信端末装置、タブレット型のコンピュータ装置(タブレットPC)、若しくは、据置き型のパーソナルコンピュータ装置などであってもよい。
The functions of the
本実施形態において、クライアント装置50の記憶部52は、クライアント記憶部に対応する。クライアント装置50の認証処理部55は、クライアント認証処理部に対応する。クライアント装置50の鍵受信部54は、クライアント鍵受信部に対応する。クライアント装置50の通信部51は、クライアント通信部に対応する。
In the present embodiment, the
図4は、本実施形態に係るIoT機器70のハードウェア構成例を示すブロック図である。図4において、IoT機器70は、CPU71と、記憶部72と、通信インタフェース73と、機器部74と、を備える。これら各部はデータを交換できるように構成されている。
FIG. 4 is a block diagram illustrating a hardware configuration example of the
CPU71はIoT機器70の制御を行う。この制御機能は、CPU71がコンピュータプログラムを実行することにより実現される。記憶部72は、CPU71で実行されるコンピュータプログラムや各種のデータを記憶する。記憶部72は、IoT機器70の各種の機能を実現させるためのコンピュータプログラムを記憶する。CPU71が該コンピュータプログラムを実行することにより、IoT機器70の各種の機能が実現される。
The
通信インタフェース73は、自IoT機器70の外部の装置とデータを送受する。通信インタフェース73は、通信路102を介してサーバ装置30とデータを送受するインタフェースと、通信路106を介してクライアント装置50とデータを送受するインタフェースとを備える。
The
機器部74は、IoT機器70の特有の機器を備える。例えば、IoT機器70がエアコンである場合、機器部74は、エアコンの特有の空調に係る機器である。例えば、IoT機器70が監視カメラである場合、機器部74は、監視カメラの特有の撮像に係る機器である。機器部74は、クライアント装置50の遠隔機器制御部57から遠隔での制御を通信により受け付ける。
The
図5は、本実施形態に係るIoT機器70の機能構成例を示す図である。図5において、IoT機器70は、通信部701と、記憶部702と、制御部703と、鍵受信部704とを備える。通信部701は、IoT機器70の外部の装置との間で通信を行う。記憶部702は、データを記憶する。制御部703は、IoT機器70の制御を行う。鍵受信部704は、鍵の受信を行う。
FIG. 5 is a diagram illustrating a functional configuration example of the
本実施形態において、IoT機器70は第2機器の例である。IoT機器70の記憶部702は、第2記憶部に対応する。IoT機器70の通信部701は、第2通信部に対応する。
In the present embodiment, the
[鍵生成方法の例]
本実施形態に係る鍵生成方法の例を説明する。本実施形態では、鍵の例として、第1暗号鍵K_gen1と第2暗号鍵K_gen2とを生成する。第1暗号鍵K_gen1は、認証処理に使用される鍵である。第2暗号鍵K_gen2は、鍵の送信又は受信における暗号通信に使用される鍵である。本実施形態では、第1暗号鍵K_gen1は第1鍵に対応し、第2暗号鍵K_gen2は第2鍵に対応する。
[Example of key generation method]
An example of a key generation method according to this embodiment will be described. In the present embodiment, a first encryption key K_gen1 and a second encryption key K_gen2 are generated as examples of keys. The first encryption key K_gen1 is a key used for authentication processing. The second encryption key K_gen2 is a key used for encryption communication in key transmission or reception. In the present embodiment, the first encryption key K_gen1 corresponds to the first key, and the second encryption key K_gen2 corresponds to the second key.
本実施形態では、所定の鍵生成関数を使用して共通鍵を生成する。鍵生成関数の例を以下に説明する。 In the present embodiment, a common key is generated using a predetermined key generation function. An example of the key generation function will be described below.
(鍵生成関数の例1)
共通鍵=ダイジェスト(Master_Secret、クライアントID、Key_ID(Nk))
但し、Master_Secretはマスタ鍵である。クライアントID(クライアント識別情報)は、クライアント装置50の識別情報である。Key_ID(Nk)は鍵種別情報である。Nkは鍵の種別を表す変数である。ダイジェスト(Master_Secret、クライアントID、Key_ID(Nk))は、マスタ鍵Master_SecretとクライアントIDと鍵種別情報Key_ID(Nk)とから生成されるダイジェスト値である。ダイジェスト値として、例えば、ハッシュ(hash)関数により算出される値、又は、排他的論理和演算により算出される値などが挙げられる。例えば、共通鍵は、マスタ鍵Master_SecretとクライアントIDと鍵種別情報Key_ID(Nk)とを入力値に使用して算出されるハッシュ関数値である。
(Key generation function example 1)
Common key = digest (Master_Secret, client ID, Key_ID (Nk))
However, Master_Secret is a master key. The client ID (client identification information) is identification information of the
鍵種別情報Key_ID(Nk)の値が異なれば、ダイジェスト値は異なる。鍵種別情報Key_ID(Nk)の値を変えることによって、同じマスタ鍵Master_SecretとクライアントIDとから、異なる共通鍵を生成することができる。例えば、第1暗号鍵K_gen1の鍵種別情報をKey_ID(gen1)とし、第2暗号鍵K_gen2の鍵種別情報をKey_ID(gen2)とする。この場合、マスタ鍵Master_Secretと、クライアントIDと、鍵種別情報Key_ID(gen1),Key_ID(gen2)とを使用して、
第1暗号鍵K_gen1=ダイジェスト(Master_Secret、クライアントID、Key_ID(gen1))、
第2暗号鍵K_gen2=ダイジェスト(Master_Secret、クライアントID、Key_ID(gen2))、
により、第1暗号鍵K_gen1と第2暗号鍵K_gen2とを異なる鍵として生成することができる。
If the value of the key type information Key_ID (Nk) is different, the digest value is different. By changing the value of the key type information Key_ID (Nk), different common keys can be generated from the same master key Master_Secret and client ID. For example, the key type information of the first encryption key K_gen1 is Key_ID (gen1), and the key type information of the second encryption key K_gen2 is Key_ID (gen2). In this case, using the master key Master_Secret, the client ID, and the key type information Key_ID (gen1), Key_ID (gen2),
First encryption key K_gen1 = Digest (Master_Secret, Client ID, Key_ID (gen1)),
Second encryption key K_gen2 = Digest (Master_Secret, Client ID, Key_ID (gen2)),
Thus, the first encryption key K_gen1 and the second encryption key K_gen2 can be generated as different keys.
(鍵生成関数の例2)
鍵生成関数の例2では、共通鍵としてCMAC(Cipher-based Message Authentication Code)を生成する。
共通鍵=CMAC(Master_Secret;クライアントID、Key_ID(Nk))
但し、CMAC(A;B)において、鍵AはCMACの生成に使用される鍵であり、データBはCMACの生成対象のデータである。これにより、鍵生成関数の例2では、共通鍵は、鍵Aを使用して生成される「データBのCMAC」である。CMAC(Master_Secret;クライアントID、Key_ID(Nk))において、マスタ鍵Master_SecretはCMACの生成に使用される鍵であり、クライアントIDと鍵種別情報Key_ID(Nk)との連結データはCMACの生成対象のデータである。これにより、鍵生成関数の例2では、共通鍵は、マスタ鍵Master_Secretを使用して生成される「クライアントIDと鍵種別情報Key_ID(Nk)との連結データ、のCMAC」である。
(Example 2 of key generation function)
In example 2 of the key generation function, a CMAC (Cipher-based Message Authentication Code) is generated as a common key.
Common key = CMAC (Master_Secret; client ID, Key_ID (Nk))
However, in CMAC (A; B), key A is a key used to generate CMAC, and data B is data to be generated by CMAC. Thus, in the second example of the key generation function, the common key is “CMAC of data B” generated using the key A. In CMAC (Master_Secret; client ID, Key_ID (Nk)), the master key Master_Secret is a key used for generating the CMAC, and the concatenated data between the client ID and the key type information Key_ID (Nk) is data to be generated by the CMAC. It is. Thus, in the second example of the key generation function, the common key is “CMAC of concatenated data of client ID and key type information Key_ID (Nk)” generated using the master key Master_Secret.
鍵生成関数の例2において、鍵種別情報Key_ID(Nk)の値が異なればCMACは異なる。このため、鍵生成関数の例2においても、鍵生成関数の例1と同様に、鍵種別情報Key_ID(Nk)の値を変えることによって、同じマスタ鍵Master_SecretとクライアントIDとから、異なる共通鍵を生成することができる。 In the example 2 of the key generation function, the CMAC differs if the value of the key type information Key_ID (Nk) is different. Therefore, in the key generation function example 2 as well, as in the key generation function example 1, by changing the value of the key type information Key_ID (Nk), a different common key can be obtained from the same master key Master_Secret and client ID. Can be generated.
[遠隔機器制御方法の例1]
次に図6、図7を参照して本実施形態に係る遠隔機器制御方法の例1を説明する。本実施形態に係る遠隔機器制御方法の例1は、初期設定フェーズと、運用フェーズとから構成される。初期設定フェーズは、事前の準備段階である。運用フェーズは、クライアント装置50がIoT機器70にアクセスを行う段階である。
[Example 1 of remote device control method]
Next, Example 1 of the remote device control method according to the present embodiment will be described with reference to FIGS. Example 1 of the remote device control method according to the present embodiment includes an initial setting phase and an operation phase. The initial setting phase is a preliminary preparation stage. The operation phase is a stage where the
(初期設定フェーズ)
図6を参照して本実施形態に係る遠隔機器制御方法の例1の初期設定フェーズを説明する。図6は、本実施形態に係る遠隔機器制御方法の例1の初期設定フェーズを示すシーケンスチャートである。図6において、サーバ装置30は、マスタ鍵Master_Secretを予め記憶部32に格納する。サーバ装置30の通信部31とクライアント装置50の通信部51とは、予め、サーバ装置30とクライアント装置50との間の暗号通信路を構築する。暗号通信路の一例として、https(hypertext transfer protocol secure)通信を行ってもよい。
(Initial setting phase)
With reference to FIG. 6, the initial setting phase of Example 1 of the remote device control method according to the present embodiment will be described. FIG. 6 is a sequence chart showing an initial setting phase of Example 1 of the remote device control method according to the present embodiment. In FIG. 6, the
以下の説明において、サーバ装置30とクライアント装置50とは、サーバ装置30とクライアント装置50との間の暗号通信路によりデータを送受する。
In the following description, the
初期設定フェーズでは、クライアント装置50はサーバ装置30にログインを行う。
(ステップS11)クライアント装置50の遠隔機器制御部57は、遠隔機器制御初期設定要求信号を認証処理部55と鍵受信部54とに出力する。クライアント装置50の認証処理部55は、遠隔機器制御部57からの遠隔機器制御初期設定要求信号に応じて、自クライアント装置50のクライアントIDと、サーバ装置30にログインするためのユーザ識別情報IDとパスワードPWDとを含むログイン要求メッセージを、サーバ装置30に送信する。ユーザ識別情報ID及びパスワードPWDは、クライアント装置50に予め設定されてもよく、又は、利用者から入力されてもよい。
In the initial setting phase, the
(Step S11) The remote
サーバ装置30の認証処理部35は、クライアント装置50から受信したログイン要求メッセージに対して認証を行う。ユーザ識別情報ID及びパスワードPWDの組は、予め、サーバ装置30に登録される。認証処理部35は、サーバ装置30に登録されたユーザ識別情報ID及びパスワードPWDの組を保持する。認証処理部35は、ログイン要求メッセージに含まれるユーザ識別情報ID及びパスワードPWDの組と、サーバ装置30に登録されたユーザ識別情報ID及びパスワードPWDの組とを比較する。この比較の結果、両者が一致する場合にはログイン要求メッセージに対する認証が合格であり、両者が不一致の場合にはログイン要求メッセージに対する認証が不合格である。ログイン要求メッセージに対する認証とは、ログイン要求メッセージに含まれるユーザ識別情報IDとパスワードPWDとの組についての認証のことを指す。ログイン要求メッセージに対する認証が合格である場合には、ステップS12に進む。
The
一方、ログイン要求メッセージに対する認証が不合格である場合には、図6の処理を終了する。ログイン要求メッセージに対する認証が不合格である場合には、クライアント装置50からサーバ装置30へのログインは失敗である。ログイン要求メッセージに対する認証が不合格である場合には、サーバ装置30は所定のエラー処理を実行してもよい。
On the other hand, if the authentication for the login request message is unacceptable, the processing in FIG. If the authentication for the login request message fails, the login from the
(ステップS12)サーバ装置30の鍵生成部33は、記憶部32内のマスタ鍵Master_Secretと、鍵種別情報Key_ID(gen1),Key_ID(gen2)と、クライアント装置50から受信したログイン要求メッセージに含まれるクライアントIDとを使用して、第1暗号鍵K_gen1と第2暗号鍵K_gen2とを生成する。この鍵生成方法には、上述した鍵生成方法の例を適用する。鍵生成関数は、予め、鍵生成部33に設定される。鍵種別情報Key_ID(gen1),Key_ID(gen2)は、予め、鍵生成部33に設定される。
(Step S <b> 12) The
鍵生成部33は、鍵生成関数の一例として鍵生成関数の例1「共通鍵=ダイジェスト(Master_Secret、クライアントID、Key_ID(Nk))」を使用して、
第1暗号鍵K_gen1=ダイジェスト(Master_Secret、クライアントID、Key_ID(gen1))、
第2暗号鍵K_gen2=ダイジェスト(Master_Secret、クライアントID、Key_ID(gen2))、
により、第1暗号鍵K_gen1と第2暗号鍵K_gen2とを生成する。ここでは、ダイジェスト値は、その一例として、ハッシュ関数により算出される値である。
As an example of the key generation function, the
First encryption key K_gen1 = Digest (Master_Secret, Client ID, Key_ID (gen1)),
Second encryption key K_gen2 = Digest (Master_Secret, Client ID, Key_ID (gen2)),
Thus, the first encryption key K_gen1 and the second encryption key K_gen2 are generated. Here, the digest value is, for example, a value calculated by a hash function.
(ステップS13)サーバ装置30の鍵送信部34は、第1暗号鍵K_gen1と第2暗号鍵K_gen2とをクライアント装置50に送信する。クライアント装置50の鍵受信部54は、第1暗号鍵K_gen1と第2暗号鍵K_gen2とをサーバ装置30から受信する。
(Step S13) The key transmitter 34 of the
(ステップS14)クライアント装置50の鍵受信部54は、サーバ装置30から受信した第1暗号鍵K_gen1と第2暗号鍵K_gen2とを記憶部52に格納する。クライアント装置50の鍵受信部54は、遠隔機器制御初期設定要求の完了信号を遠隔機器制御部57に出力する。クライアント装置50において、第1暗号鍵K_gen1と第2暗号鍵K_gen2とは、記憶部52で保管される。
(Step S14) The
以上が本実施形態に係る遠隔機器制御方法の例1の初期設定フェーズの説明である。 The above is the description of the initial setting phase of Example 1 of the remote device control method according to the present embodiment.
(運用フェーズ)
図7を参照して本実施形態に係る遠隔機器制御方法の例1の運用フェーズを説明する。図7は、本実施形態に係る遠隔機器制御方法の例1の運用フェーズを示すシーケンスチャートである。図7において、サーバ装置30は、マスタ鍵Master_Secretと共通鍵K_sとを予め記憶部32に格納する。IoT機器70は、共通鍵K_sを予め記憶部702に格納する。サーバ装置30が記憶部32に格納する共通鍵K_sと、IoT機器70が記憶部702に格納する共通鍵K_sとは、同じである。共通鍵K_sは、予め、サーバ装置30とIoT機器70との間で共有される。クライアント装置50は、上記した初期設定フェーズにより、第1暗号鍵K_gen1と第2暗号鍵K_gen2とを記憶部52に格納する。
(Operation phase)
The operation phase of Example 1 of the remote device control method according to the present embodiment will be described with reference to FIG. FIG. 7 is a sequence chart showing an operation phase of Example 1 of the remote device control method according to the present embodiment. In FIG. 7, the
サーバ装置30の通信部31とIoT機器70の通信部701とは、予め、サーバ装置30とIoT機器70との間の暗号通信路を構築する。クライアント装置50の通信部51と、IoT機器70の通信部701とは、予め、クライアント装置50とIoT機器70との間の暗号通信路を構築する。暗号通信路の一例として、https通信を行ってもよい。
The
以下の説明において、サーバ装置30とIoT機器70とは、サーバ装置30とIoT機器70との間の暗号通信路によりデータを送受する。クライアント装置50とIoT機器70とは、クライアント装置50とIoT機器70との間の暗号通信路によりデータを送受する。
In the following description, the
運用フェーズでは、クライアント装置50はIoT機器70にアクセスを行う。
(ステップS21)クライアント装置50の遠隔機器制御部57は、遠隔機器制御要求信号を認証処理部55と鍵受信部54とに出力する。クライアント装置50の認証処理部55は、遠隔機器制御部57からの遠隔機器制御要求信号に応じて、接続要求メッセージをIoT機器70に送信する。
In the operation phase, the
(Step S <b> 21) The remote
(ステップS22)IoT機器70の制御部703は、クライアント装置50から受信した接続要求メッセージに応じて、チャレンジ(乱数a)をクライアント装置50に送信する。制御部703は、乱数aを発生し、該乱数aをチャレンジに使用する。制御部703は、チャレンジ(乱数a)を保持しておく。
(Step S <b> 22) The
(ステップS23)クライアント装置50の認証処理部55は、記憶部52内の第1暗号鍵K_gen1と、IoT機器70から受信したチャレンジ(乱数a)とを使用して、レスポンスK_gen1(乱数a)を生成する。このレスポンス生成方法は、予め、認証処理部55に設定される。レスポンスK_gen1(乱数a)は、本実施形態に係る一例として、第1暗号鍵K_gen1で乱数aを暗号化した暗号化データである。
(Step S23) The
なお、レスポンスK_gen1(乱数a)は、本実施形態に係る一例として、CMAC(K_gen1;乱数a)、つまり、第1暗号鍵K_gen1を使用して生成される「乱数aのCMAC」であってもよい。 Note that the response K_gen1 (random number a) may be CMAC (K_gen1; random number a), that is, “CMAC of random number a” generated using the first encryption key K_gen1, as an example according to the present embodiment. Good.
(ステップS24)クライアント装置50の認証処理部55は、自クライアント装置50のクライアントIDと、レスポンスK_gen1(乱数a)とを、IoT機器70に送信する。
(Step S24) The
(ステップS25)IoT機器70の制御部703は、クライアント装置50からクライアントIDとレスポンスK_gen1(乱数a)とを受信すると、該受信したクライアントID及びレスポンスK_gen1(乱数a)と、チャレンジ(乱数a)とをサーバ装置30に送信する。チャレンジ(乱数a)は、上記したステップS22で制御部703により保持された値である。
(Step S25) Upon receiving the client ID and the response K_gen1 (random number a) from the
(ステップS26)サーバ装置30の鍵生成部33は、記憶部32内のマスタ鍵Master_Secretと、鍵種別情報Key_ID(gen1),Key_ID(gen2)と、IoT機器70から受信したクライアントIDとを使用して、第1暗号鍵K_gen1と第2暗号鍵K_gen2とを生成する。この鍵生成方法は、上記したステップS12と同じである。
(Step S26) The
(ステップS27)サーバ装置30の認証処理部35は、IoT機器70から受信したレスポンスK_gen1(乱数a)の検証を行う。このレスポンス検証方法として、クライアント装置50の認証処理部55におけるレスポンス生成方法に対応する方法が、予め、認証処理部35に設定される。レスポンスK_gen1(乱数a)の検証において、認証処理部35は、IoT機器70から受信したチャレンジ(乱数a)と、鍵生成部33が生成した第1暗号鍵K_gen1と、を使用する。
(Step S27) The
例えば、レスポンスK_gen1(乱数a)が第1暗号鍵K_gen1による乱数aの暗号化データである場合、認証処理部35は、第1暗号鍵K_gen1を使用して、チャレンジ(乱数a)を暗号化し、該暗号化により生成した暗号化データとレスポンスK_gen1(乱数a)とを比較する。この比較の結果、両者が一致する場合にはレスポンスK_gen1(乱数a)の検証が合格であり、両者が不一致の場合にはレスポンスK_gen1(乱数a)の検証が不合格である。
For example, when the response K_gen1 (random number a) is encrypted data of the random number a using the first encryption key K_gen1, the
なお、レスポンスK_gen1(乱数a)が第1暗号鍵K_gen1による乱数aの暗号化データである場合の他の検証方法として、認証処理部35は、第1暗号鍵K_gen1を使用して、レスポンスK_gen1(乱数a)を復号し、該復号の結果とIoT機器70から受信したチャレンジ(乱数a)とを比較してもよい。この比較の結果、両者が一致する場合にはレスポンスK_gen1(乱数a)の検証が合格であり、両者が不一致の場合にはレスポンスK_gen1(乱数a)の検証が不合格である。
As another verification method in the case where the response K_gen1 (random number a) is encrypted data of the random number a using the first encryption key K_gen1, the
例えば、レスポンスK_gen1(乱数a)がCMAC(K_gen1;乱数a)である場合、認証処理部35は、第1暗号鍵K_gen1を使用して、チャレンジ(乱数a)のCMACを生成し、生成したCMACとレスポンスK_gen1(乱数a)とを比較する。この比較の結果、両者が一致する場合にはレスポンスK_gen1(乱数a)の検証が合格であり、両者が不一致の場合にはレスポンスK_gen1(乱数a)の検証が不合格である。
For example, when the response K_gen1 (random number a) is CMAC (K_gen1; random number a), the
レスポンスK_gen1(乱数a)の検証が合格である場合には、ステップS28に進む。一方、レスポンスK_gen1(乱数a)の検証が不合格である場合には、図7の処理を終了する。レスポンスK_gen1(乱数a)の検証が不合格である場合には、サーバ装置30は所定のエラー処理を実行してもよい。
If the verification of the response K_gen1 (random number a) is successful, the process proceeds to step S28. On the other hand, if the verification of the response K_gen1 (random number a) fails, the process of FIG. When the verification of the response K_gen1 (random number a) fails, the
(ステップS28)サーバ装置30の鍵生成部33は、通信鍵K_comを生成する。例えば、鍵生成部33は、乱数を発生し、該乱数に基づいて通信鍵K_comを生成してもよい。本実施形態では、通信鍵K_comは第3鍵に対応する。
(Step S28) The
(ステップS29)サーバ装置30の鍵送信部34は、鍵生成部33が生成した第2暗号鍵K_gen2を使用して、鍵生成部33が生成した通信鍵K_comを暗号化する。この暗号化により、第1暗号化通信鍵K_gen2(K_com)が生成される。鍵送信部34は、記憶部32内の共通鍵K_sを使用して、鍵生成部33が生成した通信鍵K_comを暗号化する。この暗号化により、第2暗号化通信鍵K_s(K_com)が生成される。鍵送信部34は、第1暗号化通信鍵K_gen2(K_com)と、第2暗号化通信鍵K_s(K_com)とをIoT機器70に送信する。
(Step S29) The key transmission unit 34 of the
(ステップS30)IoT機器70の鍵受信部704は、サーバ装置30から受信した第2暗号化通信鍵K_s(K_com)を、記憶部702内の共通鍵K_sで復号する。この復号の結果として通信鍵K_comが取得される。鍵受信部704は、通信鍵K_comを記憶部702に格納する。IoT機器70において、通信鍵K_comは、記憶部702で保管される。
(Step S30) The
(ステップS31)IoT機器70の制御部703は、サーバ装置30から受信した第1暗号化通信鍵K_gen2(K_com)を、クライアント装置50に送信する。
(Step S31) The
(ステップS32)クライアント装置50の鍵受信部54は、IoT機器70から受信した第1暗号化通信鍵K_gen2(K_com)を、記憶部52内の第2暗号鍵K_gen2で復号する。この復号の結果として通信鍵K_comが取得される。鍵受信部54は、通信鍵K_comを記憶部52に格納する。クライアント装置50の鍵受信部54は、遠隔機器制御要求の完了信号を遠隔機器制御部57に出力する。クライアント装置50において、通信鍵K_comは、記憶部52で保管される。
(Step S32) The
(ステップS33)クライアント装置50の通信部51と、IoT機器70の通信部701とは、通信鍵K_comを使用して暗号通信を行う。この暗号通信では、通信鍵K_comを使用してデータが暗号化された暗号化データK_com(データ)が、クライアント装置50の通信部51と、IoT機器70の通信部701との間で送受される。これにより、クライアント装置50の通信部51と、IoT機器70の通信部701との間で、通信鍵K_comを使用した暗号通信路が構築される。
(Step S33) The
クライアント装置50の遠隔機器制御部57は、通信部51による暗号通信路を介して、IoT機器70を遠隔で制御する。遠隔機器制御部57は、IoT機器70の機器部74を制御するための遠隔制御信号を、通信部51に出力する。通信部51は、通信鍵K_comを使用して該遠隔制御信号を暗号化し、該暗号化データK_com(遠隔制御信号)をIoT機器70に送信する。IoT機器70の通信部701は、クライアント装置50から受信した暗号化データK_com(遠隔制御信号)を、通信鍵K_comを使用して復号する。この復号の結果として遠隔制御信号が取得される。IoT機器70の制御部703は、該遠隔制御信号に従って、機器部74の制御を行う。機器部74は、該遠隔制御信号に基づいた動作を行う。
The remote
IoT機器70の制御部703は、クライアント装置50に提供する機器部74の情報(機器提供情報)を、通信部701に出力する。通信部701は、通信鍵K_comを使用して該機器提供情報を暗号化し、該暗号化データK_com(機器提供情報)をクライアント装置50に送信する。クライアント装置50の通信部51は、IoT機器70から受信した暗号化データK_com(機器提供情報)を、通信鍵K_comを使用して復号する。この復号の結果として機器提供情報が取得される。クライアント装置50の遠隔機器制御部57は、該機器提供情報についての所定の処理を実行する。
The
以上が遠隔機器制御方法の例1の運用フェーズの説明である。 The above is the description of the operation phase of the remote device control method example 1.
上述した第1実施形態によれば、IoT機器70に対して、例えばスマートフォン等のクライアント装置50から通信によりアクセスする際に、サーバ装置30がマスタ鍵Master_Secretに基づく第1暗号鍵K_gen1を使用してクライアント装置50の認証を行う。これにより、クライアント装置50の認証の信頼性が向上する。また、通信鍵K_comは、マスタ鍵Master_Secretに基づく第2暗号鍵K_gen2を使用する暗号通信により、サーバ装置30からクライアント装置50に送信される。また、通信鍵K_comは、共通鍵K_sを使用する暗号通信により、サーバ装置30からIoT機器70に送信される。これにより、通信鍵K_comが使用されるクライアント装置50とIoT機器70との間の暗号通信の安全性が向上する。さらには、クライアント装置50が通信によりIoT機器70を遠隔で制御する際の安全性が向上する効果が得られる。
According to the first embodiment described above, the
上述したように第1実施形態によれば、スマートフォン等のクライアント装置50が通信によりIoT機器70を遠隔で制御する際の安全性を向上させることができるという効果が得られる。
As described above, according to the first embodiment, it is possible to improve the safety when the
[第2実施形態]
図8は、本実施形態に係る遠隔機器制御システム1aの概略構成図である。図8において、図1の各部に対応する部分には同一の符号を付している。クライアント装置50は、図3の構成を適用できる。IoT機器70は、図4及び図5の構成を適用できる。以下、第2実施形態に係る図8の遠隔機器制御システム1aについて、第1実施形態に係る図1の遠隔機器制御システム1と異なる点を主に説明する。
[Second Embodiment]
FIG. 8 is a schematic configuration diagram of a remote
図8に示す遠隔機器制御システム1aは、通信ゲートウェイ装置14を備える。通信ゲートウェイ装置14は、通信の監視機能を備える通信装置である。通信ゲートウェイ装置14は、例えば、エアコン等の家電機器のIoT機器70が接続されるホームネットワークシステムに設けられ、ホームネットワークシステムの内部と外部との間の通信の監視を行う。又は、通信ゲートウェイ装置14は、例えば、複数の監視カメラのIoT機器70が接続される監視カメラネットワークシステムに設けられ、監視カメラネットワークシステムの内部と外部との間の通信の監視を行う。
A remote
クライアント装置50は、通信路108を介して通信ゲートウェイ装置14と通信を行う。通信路108は、通信ゲートウェイ装置14が利用する無線通信ネットワークの無線通信路を含む通信路である。通信路108は、無線通信路と有線通信路とから構成されてもよい。IoT機器70は、通信路110を介して通信ゲートウェイ装置14と通信を行う。通信路110は、無線通信路であってもよく、又は、有線通信路であってもよく、又は、無線通信路と有線通信路とから構成されてもよい。クライアント装置50は、第1実施形態と同様に、通信路106を介してIoT機器70と通信を行う。
The
図9は、本実施形態に係る通信ゲートウェイ装置14のハードウェア構成例を示すブロック図である。図9において、通信ゲートウェイ装置14は、CPU141と、記憶部142と、通信インタフェース143と、通信モジュール144とを備える。これら各部はデータを交換できるように構成されている。通信モジュール144は、SIM(Subscriber Identity Module)80を備える。
FIG. 9 is a block diagram illustrating a hardware configuration example of the
CPU141は通信ゲートウェイ装置14の制御を行う。この制御機能は、CPU141がコンピュータプログラムを実行することにより実現される。記憶部142は、CPU141で実行されるコンピュータプログラムや各種のデータを記憶する。記憶部142は、通信ゲートウェイ装置14の各種の機能を実現させるためのコンピュータプログラムを記憶する。CPU141が該コンピュータプログラムを実行することにより、通信ゲートウェイ装置14の各種の機能が実現される。
The
通信インタフェース143は、自通信ゲートウェイ装置14の外部の装置とデータを送受する。通信インタフェース143は、通信路108を介してクライアント装置50とデータを送受するインタフェースと、通信路110を介してIoT機器70とデータを送受するインタフェースとを備える。
The
通信モジュール144は、無線通信ネットワークを利用して無線通信を行う。通信モジュール144は、SIM80を備える。SIM80は、無線通信ネットワークを利用するための情報が書き込まれたSIMである。通信モジュール144は、SIM80を使用することにより該無線通信ネットワークに接続して無線通信を行うことができる。なお、SIM80として、eSIM(Embedded Subscriber Identity Module)を使用してもよい。SIM及びeSIMはセキュアエレメント(Secure Element:SE)の例である。SIM及びeSIMは耐タンパー性(Tamper Resistant)を有する。
The
図10は、本実施形態に係るSIM80の機能構成例を示す図である。図10において、SIM80は、通信部81と、記憶部82と、鍵生成部83と、鍵送信部84と、認証処理部85とを備える。SIM80の機能は、SIM80が備えるCPUがコンピュータプログラムを実行することにより実現される。
FIG. 10 is a diagram illustrating a functional configuration example of the
通信部81は、通信路108を介してクライアント装置50と通信を行う。記憶部82はデータを記憶する。鍵生成部83は鍵を生成する。鍵送信部84は鍵の送信を行う。認証処理部85は、クライアント装置50との間で認証処理を行う。
The
本実施形態において、SIM80は第1演算処理装置の例である。SIM80の記憶部82は第1記憶部に対応する。SIM80の認証処理部85は第1認証処理部に対応する。SIM80の鍵送信部84は、第1鍵送信部に対応する。
In the present embodiment, the
本実施形態において、IoT機器70は第2機器の例である。IoT機器70の記憶部702は、第2記憶部に対応する。IoT機器70の通信部701は、第2通信部に対応する。
In the present embodiment, the
本実施形態において、クライアント装置50の記憶部52は、クライアント記憶部に対応する。クライアント装置50の認証処理部55は、クライアント認証処理部に対応する。クライアント装置50の鍵受信部54は、クライアント鍵受信部に対応する。クライアント装置50の通信部51は、クライアント通信部に対応する。
In the present embodiment, the
[遠隔機器制御方法の例2]
次に図11、図12を参照して本実施形態に係る遠隔機器制御方法の例2を説明する。本実施形態に係る遠隔機器制御方法の例2は、上述した第1実施形態の遠隔機器制御方法の例1と同様に、初期設定フェーズと、運用フェーズとから構成される。初期設定フェーズは、事前の準備段階である。運用フェーズは、クライアント装置50がIoT機器70にアクセスを行う段階である。
[Example 2 of remote device control method]
Next, a second example of the remote device control method according to the present embodiment will be described with reference to FIGS. Similar to Example 1 of the remote device control method of the first embodiment described above, Example 2 of the remote device control method according to the present embodiment includes an initial setting phase and an operation phase. The initial setting phase is a preliminary preparation stage. The operation phase is a stage where the
(初期設定フェーズ)
図11を参照して本実施形態に係る遠隔機器制御方法の例2の初期設定フェーズを説明する。図11は、本実施形態に係る遠隔機器制御方法の例2の初期設定フェーズを示すシーケンスチャートである。図11において、SIM80は、プライベートCA公開鍵証明書と、プライベートCA秘密鍵とを予め記憶部82に格納する。プライベートCA公開鍵証明書は、プライベートCA秘密鍵に対応する公開鍵の公開鍵証明書である。クライアント装置50は、自己の秘密鍵(クライアント秘密鍵)K_c_secと、クライアント秘密鍵K_c_secに対応する公開鍵(クライアント公開鍵)K_c_pubとを予め記憶部52に格納する。
(Initial setting phase)
With reference to FIG. 11, the initial setting phase of Example 2 of the remote device control method according to the present embodiment will be described. FIG. 11 is a sequence chart showing an initial setting phase of the second example of the remote device control method according to the present embodiment. In FIG. 11, the
SIM80の通信部81とクライアント装置50の通信部51とは、予め、SIM80とクライアント装置50との間の暗号通信路を構築する。暗号通信路の一例として、https通信を行ってもよい。
The
以下の説明において、SIM80とクライアント装置50とは、SIM80とクライアント装置50との間の暗号通信路によりデータを送受する。
In the following description, the
初期設定フェーズでは、クライアント装置50はSIM80にログインを行う。
(ステップS51)クライアント装置50の遠隔機器制御部57は、遠隔機器制御初期設定要求信号を認証処理部55と記憶部52とに出力する。クライアント装置50の認証処理部55は、遠隔機器制御部57からの遠隔機器制御初期設定要求信号に応じて、自クライアント装置50のクライアント公開鍵K_c_pubと、SIM80にログインするためのユーザ識別情報IDとパスワードPWDとを含むログイン要求メッセージを、SIM80に送信する。ユーザ識別情報ID及びパスワードPWDは、クライアント装置50に予め設定されてもよく、又は、利用者から入力されてもよい。
In the initial setting phase, the
(Step S51) The remote
SIM80の認証処理部85は、クライアント装置50から受信したログイン要求メッセージに対して認証を行う。ユーザ識別情報ID及びパスワードPWDの組は、予め、SIM80に登録される。認証処理部85は、SIM80に登録されたユーザ識別情報ID及びパスワードPWDの組を保持する。認証処理部85は、ログイン要求メッセージに含まれるユーザ識別情報ID及びパスワードPWDの組と、SIM80に登録されたユーザ識別情報ID及びパスワードPWDの組とを比較する。この比較の結果、両者が一致する場合にはログイン要求メッセージに対する認証が合格であり、両者が不一致の場合にはログイン要求メッセージに対する認証が不合格である。ログイン要求メッセージに対する認証とは、ログイン要求メッセージに含まれるユーザ識別情報IDとパスワードPWDとの組についての認証のことを指す。ログイン要求メッセージに対する認証が合格である場合には、ステップS52に進む。
The
一方、ログイン要求メッセージに対する認証が不合格である場合には、図11の処理を終了する。ログイン要求メッセージに対する認証が不合格である場合には、クライアント装置50からSIM80へのログインは失敗である。ログイン要求メッセージに対する認証が不合格である場合には、SIM80は所定のエラー処理を実行してもよい。
On the other hand, if the authentication for the login request message is unacceptable, the processing in FIG. If the authentication for the login request message fails, the login from the
(ステップS52)SIM80の認証処理部85は、クライアント装置50から受信したログイン要求メッセージに含まれるクライアント公開鍵K_c_pubの公開鍵証明書(クライアント公開鍵証明書)K_c_pub_cerを、記憶部82内のプライベートCA秘密鍵を使用して生成する。
(Step S52) The
(ステップS53)SIM80の認証処理部85は、クライアント公開鍵証明書K_c_pub_cerをクライアント装置50に送信する。
(Step S53) The
(ステップS54)クライアント装置50の記憶部52は、SIM80から受信したクライアント公開鍵証明書K_c_pub_cerを格納する。クライアント装置50の記憶部52は、遠隔機器制御初期設定要求の完了信号を遠隔機器制御部57に出力する。クライアント装置50において、クライアント秘密鍵K_c_secとクライアント公開鍵証明書K_c_pub_cerとは、記憶部52で保管される。
(Step S54) The
以上が本実施形態に係る遠隔機器制御方法の例2の初期設定フェーズの説明である。 The above is the description of the initial setting phase of the second example of the remote device control method according to the present embodiment.
(運用フェーズ)
図12を参照して本実施形態に係る遠隔機器制御方法の例2の運用フェーズを説明する。図12は、本実施形態に係る遠隔機器制御方法の例2の運用フェーズを示すシーケンスチャートである。図12において、SIM80は、プライベートCA公開鍵証明書と、プライベートCA秘密鍵と、共通鍵K_sとを予め記憶部82に格納する。IoT機器70は、共通鍵K_sを予め記憶部702に格納する。SIM80が記憶部82に格納する共通鍵K_sと、IoT機器70が記憶部702に格納する共通鍵K_sとは、同じである。共通鍵K_sは、予め、SIM80とIoT機器70との間で共有される。クライアント装置50は、上記した初期設定フェーズにより、クライアント秘密鍵K_c_secとクライアント公開鍵証明書K_c_pub_cerとを記憶部52に格納する。
(Operation phase)
The operation phase of Example 2 of the remote device control method according to this embodiment will be described with reference to FIG. FIG. 12 is a sequence chart showing an operation phase of Example 2 of the remote device control method according to the present embodiment. In FIG. 12, the
SIM80の通信部81とIoT機器70の通信部701とは、予め、SIM80とIoT機器70との間の暗号通信路を構築する。クライアント装置50の通信部51と、IoT機器70の通信部701とは、予め、クライアント装置50とIoT機器70との間の暗号通信路を構築する。暗号通信路の一例として、https通信を行ってもよい。
The
以下の説明において、SIM80とIoT機器70とは、SIM80とIoT機器70との間の暗号通信路によりデータを送受する。クライアント装置50とIoT機器70とは、クライアント装置50とIoT機器70との間の暗号通信路によりデータを送受する。
In the following description, the
運用フェーズでは、クライアント装置50はIoT機器70にアクセスを行う。
(ステップS61)クライアント装置50の遠隔機器制御部57は、遠隔機器制御要求信号を認証処理部55と鍵受信部54とに出力する。クライアント装置50の認証処理部55は、遠隔機器制御部57からの遠隔機器制御要求信号に応じて、接続要求メッセージをIoT機器70に送信する。
In the operation phase, the
(Step S61) The remote
(ステップS62)IoT機器70の制御部703は、クライアント装置50から受信した接続要求メッセージに応じて、チャレンジ(乱数a)をクライアント装置50に送信する。制御部703は、乱数aを発生し、該乱数aをチャレンジに使用する。制御部703は、チャレンジ(乱数a)を保持しておく。
(Step S <b> 62) The
(ステップS63)クライアント装置50の認証処理部55は、記憶部52内のクライアント秘密鍵K_c_secと、IoT機器70から受信したチャレンジ(乱数a)とを使用して、レスポンスK_c_sec(乱数a)を生成する。このレスポンス生成方法は、予め、認証処理部55に設定される。レスポンスK_c_sec(乱数a)は、本実施形態に係る一例として、クライアント秘密鍵K_c_secで乱数aを暗号化した暗号化データである。
(Step S63) The
(ステップS64)クライアント装置50の認証処理部55は、クライアント公開鍵証明書K_c_pub_cerと、レスポンスK_c_sec(乱数a)とを、IoT機器70に送信する。
(Step S64) The
(ステップS65)IoT機器70の制御部703は、クライアント装置50からクライアント公開鍵証明書K_c_pub_cerとレスポンスK_c_sec(乱数a)とを受信すると、該受信したクライアント公開鍵証明書K_c_pub_cer及びレスポンスK_c_sec(乱数a)と、チャレンジ(乱数a)とをSIM80に送信する。チャレンジ(乱数a)は、上記したステップS62で制御部703により保持された値である。
(Step S65) Upon receiving the client public key certificate K_c_pub_cer and the response K_c_sec (random number a) from the
(ステップS66)SIM80の認証処理部85は、IoT機器70から受信したクライアント公開鍵証明書K_c_pub_cerに対して、記憶部82内のプライベートCA公開鍵証明書を使用して正当性の検証を行う。クライアント公開鍵証明書K_c_pub_cerの正当性の検証が合格である場合には、ステップS67に進む。一方、クライアント公開鍵証明書K_c_pub_cerの正当性の検証が不合格である場合には、図12の処理を終了する。クライアント公開鍵証明書K_c_pub_cerの正当性の検証が不合格である場合には、SIM80は所定のエラー処理を実行してもよい。
(Step S66) The
(ステップS67)SIM80の認証処理部85は、IoT機器70から受信したレスポンスK_c_sec(乱数a)の検証を行う。このレスポンス検証方法として、クライアント装置50の認証処理部55におけるレスポンス生成方法に対応する方法が、予め、認証処理部85に設定される。レスポンスK_c_sec(乱数a)の検証において、認証処理部85は、IoT機器70から受信したチャレンジ(乱数a)と、正当性の検証が合格したクライアント公開鍵証明書K_c_pub_cerと、を使用する。
(Step S67) The
認証処理部85は、クライアント公開鍵証明書K_c_pub_cerのクライアント公開鍵K_c_pubを使用して、レスポンスK_c_sec(乱数a)を復号し、この復号結果とチャレンジ(乱数a)とを比較する。この比較の結果、両者が一致する場合にはレスポンスK_c_sec(乱数a)の検証が合格であり、両者が不一致の場合にはレスポンスK_c_sec(乱数a)の検証が不合格である。
The
レスポンスK_c_sec(乱数a)の検証が合格である場合には、ステップS68に進む。一方、レスポンスK_c_sec(乱数a)の検証が不合格である場合には、図12の処理を終了する。レスポンスK_c_sec(乱数a)の検証が不合格である場合には、SIM80は所定のエラー処理を実行してもよい。
If the response K_c_sec (random number a) is verified, the process proceeds to step S68. On the other hand, when the verification of the response K_c_sec (random number a) fails, the process of FIG. If the verification of the response K_c_sec (random number a) fails, the
(ステップS68)SIM80の鍵生成部83は、通信鍵K_comを生成する。例えば、鍵生成部83は、乱数を発生し、該乱数に基づいて通信鍵K_comを生成してもよい。本実施形態では、通信鍵K_comは第3鍵に対応する。
(Step S68) The
(ステップS69)SIM80の鍵送信部84は、正当性の検証が合格したクライアント公開鍵証明書K_c_pub_cerのクライアント公開鍵K_c_pubを使用して、鍵生成部83が生成した通信鍵K_comを暗号化する。この暗号化により、第1暗号化通信鍵K_c_pub(K_com)が生成される。鍵送信部84は、記憶部82内の共通鍵K_sを使用して、鍵生成部83が生成した通信鍵K_comを暗号化する。この暗号化により、第2暗号化通信鍵K_s(K_com)が生成される。鍵送信部84は、第1暗号化通信鍵K_c_pub(K_com)と、第2暗号化通信鍵K_s(K_com)とをIoT機器70に送信する。
(Step S69) The
(ステップS70)IoT機器70の鍵受信部704は、SIM80から受信した第2暗号化通信鍵K_s(K_com)を、記憶部702内の共通鍵K_sで復号する。この復号の結果として通信鍵K_comが取得される。鍵受信部704は、通信鍵K_comを記憶部702に格納する。IoT機器70において、通信鍵K_comは、記憶部702で保管される。
(Step S70) The
(ステップS71)IoT機器70の制御部703は、SIM80から受信した第1暗号化通信鍵K_c_pub(K_com)を、クライアント装置50に送信する。
(Step S71) The
(ステップS72)クライアント装置50の鍵受信部54は、IoT機器70から受信した第1暗号化通信鍵K_c_pub(K_com)を、記憶部52内のクライアント秘密鍵K_c_secで復号する。この復号の結果として通信鍵K_comが取得される。鍵受信部54は、通信鍵K_comを記憶部52に格納する。クライアント装置50の鍵受信部54は、遠隔機器制御要求の完了信号を遠隔機器制御部57に出力する。クライアント装置50において、通信鍵K_comは、記憶部52で保管される。
(Step S72) The
(ステップS73)クライアント装置50の通信部51と、IoT機器70の通信部701とは、通信鍵K_comを使用して暗号通信を行う。この暗号通信では、通信鍵K_comを使用してデータが暗号化された暗号化データK_com(データ)が、クライアント装置50の通信部51と、IoT機器70の通信部701との間で送受される。これにより、クライアント装置50の通信部51と、IoT機器70の通信部701との間で、通信鍵K_comを使用した暗号通信路が構築される。
(Step S73) The
クライアント装置50の遠隔機器制御部57は、通信部51による暗号通信路を介して、IoT機器70を遠隔で制御する。遠隔機器制御部57は、IoT機器70の機器部74を制御するための遠隔制御信号を、通信部51に出力する。通信部51は、通信鍵K_comを使用して該遠隔制御信号を暗号化し、該暗号化データK_com(遠隔制御信号)をIoT機器70に送信する。IoT機器70の通信部701は、クライアント装置50から受信した暗号化データK_com(遠隔制御信号)を、通信鍵K_comを使用して復号する。この復号の結果として遠隔制御信号が取得される。IoT機器70の制御部703は、該遠隔制御信号に従って、機器部74の制御を行う。機器部74は、該遠隔制御信号に基づいた動作を行う。
The remote
IoT機器70の制御部703は、クライアント装置50に提供する機器部74の情報(機器提供情報)を、通信部701に出力する。通信部701は、通信鍵K_comを使用して該機器提供情報を暗号化し、該暗号化データK_com(機器提供情報)をクライアント装置50に送信する。クライアント装置50の通信部51は、IoT機器70から受信した暗号化データK_com(機器提供情報)を、通信鍵K_comを使用して復号する。この復号の結果として機器提供情報が取得される。クライアント装置50の遠隔機器制御部57は、該機器提供情報についての所定の処理を実行する。
The
以上が遠隔機器制御方法の例2の運用フェーズの説明である。 The above is the description of the operation phase of the remote device control method example 2.
上述した第2実施形態によれば、IoT機器70に対して、例えばスマートフォン等のクライアント装置50から通信によりアクセスする際に、SIM80がプライベートCA秘密鍵に基づくクライアント公開鍵証明書K_c_pub_cerを使用してクライアント装置50の認証を行う。これにより、クライアント装置50の認証の信頼性が向上する。また、通信鍵K_comは、プライベートCA秘密鍵に基づくクライアント公開鍵証明書K_c_pub_cerのクライアント公開鍵K_c_pubを使用する暗号通信により、SIM80からクライアント装置50に送信される。また、通信鍵K_comは、共通鍵K_sを使用する暗号通信により、SIM80からIoT機器70に送信される。これにより、通信鍵K_comが使用されるクライアント装置50とIoT機器70との間の暗号通信の安全性が向上する。さらには、クライアント装置50が通信によりIoT機器70を遠隔で制御する際の安全性が向上する効果が得られる。
According to the second embodiment described above, the
上述したように第2実施形態によれば、スマートフォン等のクライアント装置50が通信によりIoT機器70を遠隔で制御する際の安全性を向上させることができるという効果が得られる。
As described above, according to the second embodiment, it is possible to improve safety when the
次に図13、図14、図15を参照して第2実施形態に係る遠隔機器制御システム1aの実施例を説明する。
Next, an example of the remote
[遠隔機器制御システムの実施例1]
遠隔機器制御システムの実施例1は、ホームネットワークシステムに適用した実施例である。図13は、第2実施形態に係る遠隔機器制御システム1a−aの概略構成図である。図13において、遠隔機器制御システム1a−aは、ホームネットワークシステム1000とスマートフォン(クライアント装置)50aとを備える。
[Example 1 of remote device control system]
The first embodiment of the remote device control system is an embodiment applied to a home network system. FIG. 13 is a schematic configuration diagram of a remote
ホームネットワークシステム1000は、複数の家電機器(IoT機器)70−a(70−a1、70−a2、70−a3、・・・)と、通信ゲートウェイ装置14aとを備える。家電機器として、例えば、エアコン、ビデオレコーダ、風呂給湯器などがある。家電機器70−a(70−a1、70−a2、70−a3、・・・)には、図4及び図5のIoT機器70と同様の構成を適用する。但し、図4に示す機器部74は、各家電機器の特有の機器である。例えば、エアコン70−a1の機器部74は、空調に係る機器である。例えば、ビデオレコーダ70−a2の機器部74は、映像の録画及び再生に係る機器である。例えば、風呂給湯器70−a3の機器部74は、湯沸しに係る機器である。
The
家電機器70−a(70−a1、70−a2、70−a3、・・・)と、通信ゲートウェイ装置14aとは、通信路110aを介して、データを送受する。通信路110aは、無線通信路であってもよく、又は、有線通信路であってもよく、又は、無線通信路と有線通信路とから構成されてもよい。通信路110aは、例えば、宅内LANであってもよい。宅内LANは、無線LANであってもよく、又は、有線LANであってもよく、又は、無線LANと有線LANとから構成されてもよい。
Household appliances 70-a (70-a1, 70-a2, 70-a3,...) And the
通信ゲートウェイ装置14aには、図9の通信ゲートウェイ装置14と同様の構成を適用する。通信ゲートウェイ装置14aの通信モジュール144は、SIM80aを備える。SIM80aには、図10のSIM80と同様の構成を適用する。通信ゲートウェイ装置14aは、通信路108a1を介して、インターネット1010に接続する。通信路108a1は、通信ゲートウェイ装置14aの通信モジュール144がSIM80aを使用して接続する無線通信ネットワークの無線通信路を含む通信路である。
A configuration similar to that of the
スマートフォン50aには、図3のクライアント装置50と同様の構成を適用する。スマートフォン50aは、通信路108a2を介して、インターネット1010に接続する。通信路108a2は、スマートフォン50aが利用する無線通信ネットワークの無線通信路を含む通信路である。スマートフォン50aは、インターネット1010を介して、通信ゲートウェイ装置14aにアクセスする。
A configuration similar to that of the
通信ゲートウェイ装置14aは、ホームネットワークシステム1000の内部と外部との間の通信の監視を行う。通信ゲートウェイ装置14aは、スマートフォン50aからのアクセスを許可するか否かを判断する。通信ゲートウェイ装置14aは、スマートフォン50aからのアクセスを許可すると判断した場合には、当該スマートフォン50aと各家電機器70−a(70−a1、70−a2、70−a3、・・・)との間の通信の中継を行う。
The
スマートフォン50aは、通信ゲートウェイ装置14aを介して、各家電機器70−a(70−a1、70−a2、70−a3、・・・)と通信を行う。スマートフォン50aの遠隔機器制御部57は、各家電機器70−a(70−a1、70−a2、70−a3、・・・)を、通信により遠隔で制御する家電機器遠隔制御機能を有する。スマートフォン50aの遠隔機器制御部57は、各家電機器70−a(70−a1、70−a2、70−a3、・・・)の遠隔操作を通信により行う遠隔操作機能を有してもよい。また、スマートフォン50aの遠隔機器制御部57は、各家電機器70−a(70−a1、70−a2、70−a3、・・・)の動作状態を示す動作状態情報を通信により取得する動作状態情報取得機能を有してもよい。また、スマートフォン50aの遠隔機器制御部57は、各家電機器70−a(70−a1、70−a2、70−a3、・・・)から取得した動作状態情報を表示装置の表示画面に表示させる動作状態情報表示制御機能を有してもよい。また、スマートフォン50aの遠隔機器制御部57は、各家電機器70−a(70−a1、70−a2、70−a3、・・・)から取得した動作状態情報などの情報を記憶装置に格納する情報記録機能を有してもよい。
The
遠隔機器制御システム1a−aには、図11及び図12の遠隔機器制御方法の例2を適用する。但し、スマートフォン50aがクライアント装置50に対応し、通信ゲートウェイ装置14aのSIM80aがSIM80に対応し、各家電機器70−a(70−a1、70−a2、70−a3、・・・)がIoT機器70に対応する。
The remote device control method example 2 shown in FIGS. 11 and 12 is applied to the remote
図13に示す遠隔機器制御システム1a−aによれば、スマートフォン50aから通信によりホームネットワークシステム1000内の各家電機器70−a(70−a1、70−a2、70−a3、・・・)にアクセスを行う際の安全性を向上させることができる。さらには、スマートフォン50aが通信によりホームネットワークシステム1000内の各家電機器70−a(70−a1、70−a2、70−a3、・・・)を遠隔で制御する際の安全性が向上する効果が得られる。
According to the remote
[遠隔機器制御システムの実施例2]
遠隔機器制御システムの実施例2は、監視カメラネットワークシステムに適用した実施例である。図14は、第2実施形態に係る遠隔機器制御システム1a−bの概略構成図である。図14において、遠隔機器制御システム1a−bは、監視カメラネットワークシステム1100と監視端末(クライアント装置)50bとを備える。
[
The second embodiment of the remote device control system is an embodiment applied to a surveillance camera network system. FIG. 14 is a schematic configuration diagram of a remote
監視カメラネットワークシステム1100は、複数の撮像装置(IoT機器)70−b(70−b1、70−b2、70−b3、・・・)と、通信ゲートウェイ装置14bとを備える。撮像装置70−b(70−b1、70−b2、70−b3、・・・)には、図4及び図5のIoT機器70と同様の構成を適用する。但し、図4に示す機器部74は、撮像装置の特有の撮像に係る機器である。
The surveillance
撮像装置70−b(70−b1、70−b2、70−b3、・・・)と、通信ゲートウェイ装置14bとは、通信路110bを介して、データを送受する。通信路110bは、無線通信路であってもよく、又は、有線通信路であってもよく、又は、無線通信路と有線通信路とから構成されてもよい。通信路110bは、例えば、監視カメラネットワークシステム1100が設けられたビル内のLANであってもよい。ビル内のLANは、無線LANであってもよく、又は、有線LANであってもよく、又は、無線LANと有線LANとから構成されてもよい。
The imaging device 70-b (70-b1, 70-b2, 70-b3,...) And the
通信ゲートウェイ装置14bには、図9の通信ゲートウェイ装置14と同様の構成を適用する。通信ゲートウェイ装置14bの通信モジュール144は、SIM80bを備える。SIM80bには、図10のSIM80と同様の構成を適用する。通信ゲートウェイ装置14bは、通信路108b1を介して、インターネット1010に接続する。通信路108b1は、通信ゲートウェイ装置14bの通信モジュール144がSIM80bを使用して接続する無線通信ネットワークの無線通信路を含む通信路である。
The same configuration as that of the
監視端末50bには、図3のクライアント装置50と同様の構成を適用する。監視端末50bは、通信路108b2を介して、インターネット1010に接続する。通信路108b2は、無線通信路であってもよく、又は、有線通信路であってもよく、又は、無線通信路と有線通信路とから構成されてもよい。監視端末50bは、インターネット1010を介して、通信ゲートウェイ装置14bにアクセスする。
A configuration similar to that of the
通信ゲートウェイ装置14bは、監視カメラネットワークシステム1100の内部と外部との間の通信の監視を行う。通信ゲートウェイ装置14bは、監視端末50bからのアクセスを許可するか否かを判断する。通信ゲートウェイ装置14bは、監視端末50bからのアクセスを許可すると判断した場合には、当該監視端末50bと各撮像装置70−b(70−b1、70−b2、70−b3、・・・)との間の通信の中継を行う。
The
監視端末50bは、通信ゲートウェイ装置14bを介して、各撮像装置70−b(70−b1、70−b2、70−b3、・・・)と通信を行う。監視端末50bの遠隔機器制御部57は、各撮像装置70−b(70−b1、70−b2、70−b3、・・・)を、通信により遠隔で制御する撮像装置遠隔制御機能を有する。監視端末50bの遠隔機器制御部57は、各撮像装置70−b(70−b1、70−b2、70−b3、・・・)の遠隔操作を通信により行う遠隔操作機能を有してもよい。また、監視端末50bの遠隔機器制御部57は、各撮像装置70−b(70−b1、70−b2、70−b3、・・・)が撮像した撮像データを通信により取得する撮像データ取得機能を有してもよい。また、監視端末50bの遠隔機器制御部57は、各撮像装置70−b(70−b1、70−b2、70−b3、・・・)から取得した撮像データを表示装置の表示画面に表示させる撮像データ表示制御機能を有してもよい。また、監視端末50bの遠隔機器制御部57は、各撮像装置70−b(70−b1、70−b2、70−b3、・・・)の動作状態を示す動作状態情報を通信により取得する動作状態情報取得機能を有してもよい。また、監視端末50bの遠隔機器制御部57は、各撮像装置70−b(70−b1、70−b2、70−b3、・・・)から取得した動作状態情報を表示装置の表示画面に表示させる動作状態情報表示制御機能を有してもよい。また、監視端末50bの遠隔機器制御部57は、各撮像装置70−b(70−b1、70−b2、70−b3、・・・)から取得した撮像データや動作状態情報などの情報を記憶装置に格納する情報記録機能を有してもよい。
The monitoring terminal 50b communicates with each imaging device 70-b (70-b1, 70-b2, 70-b3,...) Via the
遠隔機器制御システム1a−bには、図11及び図12の遠隔機器制御方法の例2を適用する。但し、監視端末50bがクライアント装置50に対応し、通信ゲートウェイ装置14bのSIM80bがSIM80に対応し、各撮像装置70−b(70−b1、70−b2、70−b3、・・・)がIoT機器70に対応する。
Example 2 of the remote device control method of FIGS. 11 and 12 is applied to the remote
図14に示す遠隔機器制御システム1a−bによれば、監視端末50bから通信により監視カメラネットワークシステム1100内の各撮像装置70−b(70−b1、70−b2、70−b3、・・・)にアクセスを行う際の安全性を向上させることができる。さらには、監視端末50bが通信により監視カメラネットワークシステム1100内の各撮像装置70−b(70−b1、70−b2、70−b3、・・・)を遠隔で制御する際の安全性が向上する効果が得られる。
According to the remote
[遠隔機器制御システムの実施例3]
遠隔機器制御システムの実施例3は、センサネットワークシステムに適用した実施例である。図15は、第2実施形態に係る遠隔機器制御システム1a−cの概略構成図である。図15において、遠隔機器制御システム1a−cは、センサネットワークシステム1200とセンサ情報収集装置(クライアント装置)50cとを備える。
[Third embodiment of remote device control system]
The third embodiment of the remote device control system is an embodiment applied to a sensor network system. FIG. 15 is a schematic configuration diagram of a remote
センサネットワークシステム1200は、複数のセンサ装置(IoT機器)70−c(70−c1、70−c2、70−c3、・・・)と、通信ゲートウェイ装置14cとを備える。センサ装置70−c(70−c1、70−c2、70−c3、・・・)には、図4及び図5のIoT機器70と同様の構成を適用する。但し、図4に示す機器部74は、センサ装置の特有のセンシング(sensing)に係る機器である。例えば、気象観測センサ装置70−cの機器部74は、温度、湿度、気圧等の気象データを計測するセンサである。例えば、交通量観測センサ装置70−cの機器部74は、交通量を計測するセンサである。例えば、水量観測センサ装置70−cの機器部74は、水量を計測するセンサである。
The
センサ装置70−c(70−c1、70−c2、70−c3、・・・)と、通信ゲートウェイ装置14cとは、通信路110cを介して、データを送受する。通信路110cは、無線通信路であってもよく、又は、有線通信路であってもよく、又は、無線通信路と有線通信路とから構成されてもよい。通信路110cは、例えば、センサネットワークシステム1200が設けられた地域内のLANであってもよい。地域内のLANは、無線LANであってもよく、又は、有線LANであってもよく、又は、無線LANと有線LANとから構成されてもよい。
The sensor device 70-c (70-c1, 70-c2, 70-c3,...) And the
通信ゲートウェイ装置14cには、図9の通信ゲートウェイ装置14と同様の構成を適用する。通信ゲートウェイ装置14cの通信モジュール144は、SIM80cを備える。SIM80cには、図10のSIM80と同様の構成を適用する。通信ゲートウェイ装置14cは、通信路108c1を介して、インターネット1010に接続する。通信路108c1は、通信ゲートウェイ装置14cの通信モジュール144がSIM80cを使用して接続する無線通信ネットワークの無線通信路を含む通信路である。
A configuration similar to that of the
センサ情報収集装置50cには、図3のクライアント装置50と同様の構成を適用する。センサ情報収集装置50cは、通信路108c2を介して、インターネット1010に接続する。通信路108c2は、無線通信路であってもよく、又は、有線通信路であってもよく、又は、無線通信路と有線通信路とから構成されてもよい。センサ情報収集装置50cは、インターネット1010を介して、通信ゲートウェイ装置14cにアクセスする。
A configuration similar to that of the
通信ゲートウェイ装置14cは、センサネットワークシステム1200の内部と外部との間の通信の監視を行う。通信ゲートウェイ装置14cは、センサ情報収集装置50cからのアクセスを許可するか否かを判断する。通信ゲートウェイ装置14cは、センサ情報収集装置50cからのアクセスを許可すると判断した場合には、当該センサ情報収集装置50cと各センサ装置70−c(70−c1、70−c2、70−c3、・・・)との間の通信の中継を行う。
The
センサ情報収集装置50cは、通信ゲートウェイ装置14cを介して、各センサ装置70−c(70−c1、70−c2、70−c3、・・・)と通信を行う。センサ情報収集装置50cの遠隔機器制御部57は、各センサ装置70−c(70−c1、70−c2、70−c3、・・・)を、通信により遠隔で制御するセンサ装置遠隔制御機能を有する。センサ情報収集装置50cの遠隔機器制御部57は、各センサ装置70−c(70−c1、70−c2、70−c3、・・・)が計測した計測データを通信により取得する計測データ取得機能を有してもよい。また、センサ情報収集装置50cの遠隔機器制御部57は、各センサ装置70−c(70−c1、70−c2、70−c3、・・・)から取得した計測データを表示装置の表示画面に表示させる計測データ表示制御機能を有してもよい。また、センサ情報収集装置50cの遠隔機器制御部57は、各センサ装置70−c(70−c1、70−c2、70−c3、・・・)の動作状態を示す動作状態情報を通信により取得する動作状態情報取得機能を有してもよい。また、センサ情報収集装置50cの遠隔機器制御部57は、各センサ装置70−c(70−c1、70−c2、70−c3、・・・)から取得した動作状態情報を表示装置の表示画面に表示させる動作状態情報表示制御機能を有してもよい。また、センサ情報収集装置50cの遠隔機器制御部57は、各センサ装置70−c(70−c1、70−c2、70−c3、・・・)から取得した計測データや動作状態情報などの情報を記憶装置に格納する情報記録機能を有してもよい。
The sensor
遠隔機器制御システム1a−cには、図11及び図12の遠隔機器制御方法の例2を適用する。但し、センサ情報収集装置50cがクライアント装置50に対応し、通信ゲートウェイ装置14cのSIM80cがSIM80に対応し、各センサ装置70−c(70−c1、70−c2、70−c3、・・・)がIoT機器70に対応する。
Example 2 of the remote device control method of FIGS. 11 and 12 is applied to the remote
図14に示す遠隔機器制御システム1a−cによれば、センサ情報収集装置50cから通信によりセンサネットワークシステム1200内の各センサ装置70−c(70−c1、70−c2、70−c3、・・・)にアクセスを行う際の安全性を向上させることができる。さらには、センサ情報収集装置50cが通信によりセンサネットワークシステム1200内の各センサ装置70−c(70−c1、70−c2、70−c3、・・・)を遠隔で制御する際の安全性が向上する効果が得られる。
According to the remote
以上が第2実施形態に係る遠隔機器制御システム1aの実施例の説明である。
The above is description of the Example of the remote
なお、第1実施形態に係る遠隔機器制御システム1の実施例として、ホームネットワークシステム1000、監視カメラネットワークシステム1100、又は、センサネットワークシステム1200に適用してもよい。この場合、サーバ装置30は、インターネット1010を介して各通信ゲートウェイ装置14a、14b、14cにアクセスし、各通信ゲートウェイ装置14a、14b、14cを介して各IoT機器70−a、70−b、70−cと通信を行う。
Note that, as an example of the remote
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。 As mentioned above, although embodiment of this invention was explained in full detail with reference to drawings, the specific structure is not restricted to this embodiment, The design change etc. of the range which does not deviate from the summary of this invention are included.
上述した第1実施形態に係る図1の遠隔機器制御システム1において、上述した第2実施形態に係る図11及び図12の遠隔機器制御方法の例2を適用してもよい。この場合、サーバ装置30(第1演算処理装置)の各部31−35が第2実施形態に係るSIM80の各部81−85と同様に機能する。
In the remote
上述した第2実施形態に係る図8の遠隔機器制御システム1aにおいて、上述した第1実施形態に係る図6及び図7の遠隔機器制御方法の例1を適用してもよい。この場合、SIM80(第1演算処理装置)の各部81−85が第1実施形態に係るサーバ装置30の各部31−35と同様に機能する。
In the remote
また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
In addition, a computer program for realizing the functions of each device described above may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read into a computer system and executed. Here, the “computer system” may include an OS and hardware such as peripheral devices.
“Computer-readable recording medium” refers to a flexible disk, a magneto-optical disk, a ROM, a writable nonvolatile memory such as a flash memory, a portable medium such as a DVD (Digital Versatile Disc), and a built-in computer system. A storage device such as a hard disk.
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
Further, the “computer-readable recording medium” means a volatile memory (for example, DRAM (Dynamic DRAM) in a computer system that becomes a server or a client when a program is transmitted through a network such as the Internet or a communication line such as a telephone line. Random Access Memory)), etc., which hold programs for a certain period of time.
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.
1,1a,1a−a,1a−b,1a−c…遠隔機器制御システム、14…通信ゲートウェイ装置、30…サーバ装置、31,51,81,701…通信部、32,52,82,702…記憶部、33,83…鍵生成部、34,84…鍵送信部、35,55,85…認証処理部、50…クライアント装置、54,704…鍵受信部、57…遠隔機器制御部、70…IoT機器、74…機器部、80,80a…SIM、703…制御部、1000…ホームネットワークシステム、1100…監視カメラネットワークシステム、1200…センサネットワークシステム
DESCRIPTION OF
Claims (8)
前記第1演算処理装置は、
マスタ鍵と共通鍵とを格納する第1記憶部と、
前記マスタ鍵と前記クライアント装置のクライアント識別情報と鍵種別情報とを使用して第1鍵と第2鍵とを生成する鍵生成部と、
前記第1鍵を使用して前記クライアント装置との間で認証処理を行う第1認証処理部と、
前記クライアント装置との間で前記第2鍵を使用する暗号通信により第3鍵を送信し、前記共通鍵を使用する暗号通信により前記第3鍵を前記第2機器に送信する第1鍵送信部と、を備え、
前記第2機器は、
前記第2機器の特有の機器を備え、遠隔での制御を通信により受け付ける機器部と、
前記クライアント装置と前記第1演算処理装置との間の通信の中継を行う制御部と、
前記共通鍵を格納する第2記憶部と、
前記共通鍵を使用する暗号通信により前記第1演算処理装置から前記第3鍵を受信する鍵受信部と、
前記クライアント装置との間で前記第3鍵を使用して暗号通信を行う第2通信部と、を備え、
前記クライアント装置は、
前記第1鍵と前記第2鍵とを格納するクライアント記憶部と、
自クライアント装置のクライアント識別情報を前記第1演算処理装置に送信し、前記第1鍵を使用して前記第1演算処理装置との間で認証処理を行うクライアント認証処理部と、
前記第1演算処理装置との間で前記第2鍵を使用する暗号通信により前記第3鍵を受信するクライアント鍵受信部と、
前記第2機器との間で前記第3鍵を使用して暗号通信を行うクライアント通信部と、
前記第2機器の前記機器部を、前記第3鍵を使用して行われる前記暗号通信により遠隔で制御する遠隔機器制御部と、を備える、
遠隔機器制御システム。 A client device, a first arithmetic processing device, and a second device;
The first arithmetic processing unit includes:
A first storage unit for storing a master key and a common key;
A key generation unit that generates a first key and a second key using the master key, client identification information of the client device, and key type information;
A first authentication processing unit that performs authentication processing with the client device using the first key;
A first key transmission unit configured to transmit a third key to the second device by encrypted communication using the second key and to transmit the third key to the second device by encrypted communication using the common key. And comprising
The second device is
A device unit including a device unique to the second device, and receiving remote control by communication;
A control unit that relays communication between the client device and the first arithmetic processing unit;
A second storage unit for storing the common key;
A key receiving unit that receives the third key from the first arithmetic processing unit by encrypted communication using the common key;
A second communication unit that performs cryptographic communication with the client device using the third key,
The client device is
A client storage unit for storing the first key and the second key;
A client authentication processing unit that transmits client identification information of its own client device to the first arithmetic processing device, and performs authentication processing with the first arithmetic processing device using the first key;
A client key receiving unit that receives the third key by encrypted communication using the second key with the first arithmetic processing unit;
A client communication unit that performs cryptographic communication with the second device using the third key;
A remote device control unit that remotely controls the device unit of the second device by the encryption communication performed using the third key,
Remote equipment control system.
前記第1演算処理装置の前記第1鍵送信部は、前記クライアント装置から受信したクライアント識別情報を使用して前記鍵生成部により生成された前記第1鍵と前記第2鍵とを、暗号通信路により前記クライアント装置に送信し、
前記クライアント装置の前記クライアント記憶部は、前記暗号通信路により前記第1演算処理装置から受信した前記第1鍵と前記第2鍵とを格納する、
請求項1に記載の遠隔機器制御システム。 The client key receiving unit of the client device transmits client identification information of the client device to the first arithmetic processing device,
The first key transmission unit of the first arithmetic processing unit uses the client identification information received from the client device to perform encryption communication between the first key and the second key generated by the key generation unit. Sent to the client device by way,
The client storage unit of the client device stores the first key and the second key received from the first arithmetic processing device through the encryption communication path.
The remote device control system according to claim 1.
前記第1演算処理装置は、
共通鍵と、前記クライアント装置の公開鍵証明書であるクライアント公開鍵証明書の生成に使用される第1秘密鍵と、前記第1秘密鍵に対応する第1公開鍵証明書とを格納する第1記憶部と、
前記第1公開鍵証明書を使用して前記クライアント装置との間で公開鍵暗号方式の認証処理を行う第1認証処理部と、
前記クライアント装置との間で前記クライアント公開鍵証明書を使用する暗号通信により第3鍵を送信し、前記共通鍵を使用する暗号通信により前記第3鍵を前記第2機器に送信する第1鍵送信部と、を備え、
前記第2機器は、
前記第2機器の特有の機器を備え、遠隔での制御を通信により受け付ける機器部と、
前記クライアント装置と前記第1演算処理装置との間の通信の中継を行う制御部と、
前記共通鍵を格納する第2記憶部と、
前記共通鍵を使用する暗号通信により前記第1演算処理装置から前記第3鍵を受信する鍵受信部と、
前記クライアント装置との間で前記第3鍵を使用して暗号通信を行う第2通信部と、を備え、
前記クライアント装置は、
前記クライアント公開鍵証明書と前記クライアント公開鍵証明書に対応する秘密鍵であるクライアント秘密鍵とを格納するクライアント記憶部と、
前記クライアント公開鍵証明書を前記第1演算処理装置に送信し、前記クライアント秘密鍵を使用して前記第1演算処理装置との間で認証処理を行うクライアント認証処理部と、
前記第1演算処理装置との間で前記クライアント秘密鍵を使用する暗号通信により前記第3鍵を受信するクライアント鍵受信部と、
前記第2機器との間で前記第3鍵を使用して暗号通信を行うクライアント通信部と、
前記第2機器の前記機器部を、前記第3鍵を使用して行われる前記暗号通信により遠隔で制御する遠隔機器制御部と、を備える、
遠隔機器制御システム。 A client device, a first arithmetic processing device, and a second device;
The first arithmetic processing unit includes:
A first key that stores a common key, a first private key used to generate a client public key certificate that is a public key certificate of the client device, and a first public key certificate corresponding to the first private key. 1 storage unit,
A first authentication processing unit that performs authentication processing of a public key cryptosystem with the client device using the first public key certificate;
A first key for transmitting a third key to the second device by encrypted communication using the client public key certificate and for transmitting the third key to the second device by encrypted communication using the common key. A transmission unit,
The second device is
A device unit including a device unique to the second device, and receiving remote control by communication;
A control unit that relays communication between the client device and the first arithmetic processing unit;
A second storage unit for storing the common key;
A key receiving unit that receives the third key from the first arithmetic processing unit by encrypted communication using the common key;
A second communication unit that performs cryptographic communication with the client device using the third key,
The client device is
A client storage unit that stores the client public key certificate and a client private key that is a private key corresponding to the client public key certificate;
A client authentication processing unit that transmits the client public key certificate to the first processing unit and performs an authentication process with the first processing unit using the client secret key;
A client key receiving unit that receives the third key by encrypted communication using the client secret key with the first processing unit;
A client communication unit that performs cryptographic communication with the second device using the third key;
A remote device control unit that remotely controls the device unit of the second device by the encryption communication performed using the third key,
Remote equipment control system.
前記第1演算処理装置の前記第1認証処理部は、前記クライアント装置から受信した前記クライアント公開鍵の公開鍵証明書である前記クライアント公開鍵証明書を、前記第1秘密鍵を使用して生成し、前記クライアント公開鍵証明書を前記クライアント装置に送信し、
前記クライアント装置の前記クライアント記憶部は、前記クライアント秘密鍵と、前記第1演算処理装置から受信した前記クライアント公開鍵証明書とを格納する、
請求項3に記載の遠隔機器制御システム。 The client authentication processing unit of the client device transmits a client public key that is a public key of the client device to the first arithmetic processing device,
The first authentication processing unit of the first arithmetic processing device generates the client public key certificate that is a public key certificate of the client public key received from the client device, using the first secret key. And sending the client public key certificate to the client device,
The client storage unit of the client device stores the client secret key and the client public key certificate received from the first processing unit;
The remote device control system according to claim 3.
前記機器部は、前記第2機器の特有の機器を備え、遠隔での制御を通信により受け付け、
前記第1演算処理装置が、マスタ鍵と共通鍵とを格納する第1記憶ステップと、
前記第1演算処理装置が、前記マスタ鍵と前記クライアント装置のクライアント識別情報と鍵種別情報とを使用して第1鍵と第2鍵とを生成する鍵生成ステップと、
前記第1演算処理装置が、前記第1鍵を使用して前記クライアント装置との間で認証処理を行う第1認証処理ステップと、
前記第1演算処理装置が、前記クライアント装置との間で前記第2鍵を使用する暗号通信により第3鍵を送信し、前記共通鍵を使用する暗号通信により前記第3鍵を前記第2機器に送信する第1鍵送信ステップと、
前記第2機器が、前記クライアント装置と前記第1演算処理装置との間の通信の中継を行う制御ステップと、
前記第2機器が、前記共通鍵を格納する第2記憶ステップと、
前記第2機器が、前記共通鍵を使用する暗号通信により前記第1演算処理装置から前記第3鍵を受信する鍵受信ステップと、
前記第2機器が、前記クライアント装置との間で前記第3鍵を使用して暗号通信を行う第2通信ステップと、
前記クライアント装置が、前記第1鍵と前記第2鍵とを格納するクライアント記憶ステップと、
前記クライアント装置が、自クライアント装置のクライアント識別情報を前記第1演算処理装置に送信し、前記第1鍵を使用して前記第1演算処理装置との間で認証処理を行うクライアント認証処理ステップと、
前記クライアント装置が、前記第1演算処理装置との間で前記第2鍵を使用する暗号通信により前記第3鍵を受信するクライアント鍵受信ステップと、
前記クライアント装置が、前記第2機器との間で前記第3鍵を使用して暗号通信を行うクライアント通信ステップと、
前記クライアント装置が、前記第2機器の前記機器部を、前記第3鍵を使用して行われる前記暗号通信により遠隔で制御する遠隔機器制御ステップと、
を含む遠隔機器制御方法。 A remote device control method of a remote device control system comprising a client device, a first arithmetic processing device, and a second device comprising a device unit,
The device unit includes a device unique to the second device, and accepts remote control by communication,
A first storage step in which the first arithmetic processing unit stores a master key and a common key;
A key generation step in which the first arithmetic processing device generates a first key and a second key using the master key, client identification information of the client device, and key type information;
A first authentication processing step in which the first arithmetic processing device performs authentication processing with the client device using the first key;
The first processing unit transmits a third key to the client device by encrypted communication using the second key, and transmits the third key to the second device by encrypted communication using the common key. A first key transmission step of transmitting to
A control step in which the second device relays communication between the client device and the first arithmetic processing device;
A second storage step in which the second device stores the common key;
A key receiving step in which the second device receives the third key from the first arithmetic processing unit by encrypted communication using the common key;
A second communication step in which the second device performs cryptographic communication with the client device using the third key;
A client storage step in which the client device stores the first key and the second key;
A client authentication processing step in which the client device transmits client identification information of the client device to the first arithmetic processing device, and performs an authentication process with the first arithmetic processing device using the first key; ,
A client key receiving step in which the client device receives the third key by encrypted communication using the second key with the first arithmetic processing device;
A client communication step in which the client device performs cryptographic communication with the second device using the third key;
A remote device control step in which the client device remotely controls the device unit of the second device by the encryption communication performed using the third key;
A remote device control method.
前記第1演算処理装置が、前記クライアント装置から受信したクライアント識別情報を使用して生成された前記第1鍵と前記第2鍵とを、暗号通信路により前記クライアント装置に送信し、
前記クライアント装置が、前記暗号通信路により前記第1演算処理装置から受信した前記第1鍵と前記第2鍵とを格納する、
請求項5に記載の遠隔機器制御方法。 The client device transmits client identification information of the client device to the first arithmetic processing device;
The first arithmetic processing unit transmits the first key and the second key generated using the client identification information received from the client device to the client device via an encrypted communication path;
The client device stores the first key and the second key received from the first arithmetic processing device via the encryption communication path;
The remote device control method according to claim 5.
前記機器部は、前記第2機器の特有の機器を備え、遠隔での制御を通信により受け付け、
前記第1演算処理装置が、共通鍵と、前記クライアント装置の公開鍵証明書であるクライアント公開鍵証明書の生成に使用される第1秘密鍵と、前記第1秘密鍵に対応する第1公開鍵証明書とを格納する第1記憶ステップと、
前記第1演算処理装置が、前記第1公開鍵証明書を使用して前記クライアント装置との間で公開鍵暗号方式の認証処理を行う第1認証処理ステップと、
前記第1演算処理装置が、前記クライアント装置との間で前記クライアント公開鍵証明書を使用する暗号通信により第3鍵を送信し、前記共通鍵を使用する暗号通信により前記第3鍵を前記第2機器に送信する第1鍵送信ステップと、
前記第2機器が、前記クライアント装置と前記第1演算処理装置との間の通信の中継を行う制御ステップと、
前記第2機器が、前記共通鍵を格納する第2記憶ステップと、
前記第2機器が、前記共通鍵を使用する暗号通信により前記第1演算処理装置から前記第3鍵を受信する鍵受信ステップと、
前記第2機器が、前記クライアント装置との間で前記第3鍵を使用して暗号通信を行う第2通信ステップと、
前記クライアント装置が、前記クライアント公開鍵証明書と前記クライアント公開鍵証明書に対応する秘密鍵であるクライアント秘密鍵とを格納するクライアント記憶ステップと、
前記クライアント装置が、前記クライアント公開鍵証明書を前記第1演算処理装置に送信し、前記クライアント秘密鍵を使用して前記第1演算処理装置との間で認証処理を行うクライアント認証処理ステップと、
前記クライアント装置が、前記第1演算処理装置との間で前記クライアント秘密鍵を使用する暗号通信により前記第3鍵を受信するクライアント鍵受信ステップと、
前記クライアント装置が、前記第2機器との間で前記第3鍵を使用して暗号通信を行うクライアント通信ステップと、
前記クライアント装置が、前記第2機器の前記機器部を、前記第3鍵を使用して行われる前記暗号通信により遠隔で制御する遠隔機器制御ステップと、
を含む遠隔機器制御方法。 A remote device control method of a remote device control system comprising a client device, a first arithmetic processing device, and a second device comprising a device unit,
The device unit includes a device unique to the second device, and accepts remote control by communication,
The first arithmetic processing unit has a common key, a first secret key used to generate a client public key certificate that is a public key certificate of the client device, and a first public corresponding to the first secret key. A first storage step for storing a key certificate;
A first authentication processing step in which the first arithmetic processing device performs authentication processing of a public key cryptosystem with the client device using the first public key certificate;
The first arithmetic processing unit transmits a third key to the client device by encrypted communication using the client public key certificate, and transmits the third key to the third key by encrypted communication using the common key. A first key transmission step of transmitting to two devices;
A control step in which the second device relays communication between the client device and the first arithmetic processing device;
A second storage step in which the second device stores the common key;
A key receiving step in which the second device receives the third key from the first arithmetic processing unit by encrypted communication using the common key;
A second communication step in which the second device performs cryptographic communication with the client device using the third key;
A client storage step in which the client device stores the client public key certificate and a client private key that is a private key corresponding to the client public key certificate;
A client authentication processing step in which the client device transmits the client public key certificate to the first processing unit and performs an authentication process with the first processing unit using the client secret key;
A client key receiving step in which the client device receives the third key by encrypted communication using the client secret key with the first arithmetic processing unit;
A client communication step in which the client device performs cryptographic communication with the second device using the third key;
A remote device control step in which the client device remotely controls the device unit of the second device by the encryption communication performed using the third key;
A remote device control method.
前記第1演算処理装置が、前記クライアント装置から受信した前記クライアント公開鍵の公開鍵証明書である前記クライアント公開鍵証明書を、前記第1秘密鍵を使用して生成し、前記クライアント公開鍵証明書を前記クライアント装置に送信し、
前記クライアント装置が、前記クライアント秘密鍵と、前記第1演算処理装置から受信した前記クライアント公開鍵証明書とを格納する、
請求項7に記載の遠隔機器制御方法。 The client device transmits a client public key which is a public key of the client device to the first arithmetic processing device;
The first processing unit generates the client public key certificate, which is a public key certificate of the client public key received from the client device, using the first private key, and the client public key certificate To the client device,
The client device stores the client private key and the client public key certificate received from the first processing unit;
The remote device control method according to claim 7.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017049116A JP6408627B2 (en) | 2017-03-14 | 2017-03-14 | Remote device control system and remote device control method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017049116A JP6408627B2 (en) | 2017-03-14 | 2017-03-14 | Remote device control system and remote device control method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018152796A true JP2018152796A (en) | 2018-09-27 |
JP6408627B2 JP6408627B2 (en) | 2018-10-17 |
Family
ID=63680574
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017049116A Active JP6408627B2 (en) | 2017-03-14 | 2017-03-14 | Remote device control system and remote device control method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6408627B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020088738A (en) * | 2018-11-29 | 2020-06-04 | ソフトバンク株式会社 | Management apparatus, communication system, program, and control method |
WO2020188679A1 (en) * | 2019-03-18 | 2020-09-24 | 株式会社日立国際電気 | Communication system |
JP7348404B2 (en) | 2019-12-31 | 2023-09-20 | 華為技術有限公司 | Device sharing methods and electronic devices |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102115830B1 (en) * | 2019-11-06 | 2020-05-27 | 주식회사 마이폰키 | a NFC based remote locking control method for a device not including NFC function and a system thereof |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7073066B1 (en) * | 2001-08-28 | 2006-07-04 | 3Com Corporation | Offloading cryptographic processing from an access point to an access point server using Otway-Rees key distribution |
WO2010150813A1 (en) * | 2009-06-23 | 2010-12-29 | パナソニック電工株式会社 | Cryptogram-key distribution system |
EP2890073A1 (en) * | 2013-12-31 | 2015-07-01 | Gemalto SA | System and method for securing machine-to-machine communications |
US20150318986A1 (en) * | 2014-05-05 | 2015-11-05 | Microsoft Corporation | Secure Transport of Encrypted Virtual Machines with Continuous Owner Access |
WO2015190038A1 (en) * | 2014-06-10 | 2015-12-17 | パナソニックIpマネジメント株式会社 | Authentication method, authentication system, and controller |
US20160127331A1 (en) * | 2014-03-11 | 2016-05-05 | Tencent Technology (Shenzhen) Company Limited | Method and system for encrypted communications |
JP6218914B1 (en) * | 2016-11-30 | 2017-10-25 | Kddi株式会社 | Distribution system, data security device, distribution method, and computer program |
-
2017
- 2017-03-14 JP JP2017049116A patent/JP6408627B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7073066B1 (en) * | 2001-08-28 | 2006-07-04 | 3Com Corporation | Offloading cryptographic processing from an access point to an access point server using Otway-Rees key distribution |
WO2010150813A1 (en) * | 2009-06-23 | 2010-12-29 | パナソニック電工株式会社 | Cryptogram-key distribution system |
EP2890073A1 (en) * | 2013-12-31 | 2015-07-01 | Gemalto SA | System and method for securing machine-to-machine communications |
US20160127331A1 (en) * | 2014-03-11 | 2016-05-05 | Tencent Technology (Shenzhen) Company Limited | Method and system for encrypted communications |
US20150318986A1 (en) * | 2014-05-05 | 2015-11-05 | Microsoft Corporation | Secure Transport of Encrypted Virtual Machines with Continuous Owner Access |
WO2015190038A1 (en) * | 2014-06-10 | 2015-12-17 | パナソニックIpマネジメント株式会社 | Authentication method, authentication system, and controller |
JP6218914B1 (en) * | 2016-11-30 | 2017-10-25 | Kddi株式会社 | Distribution system, data security device, distribution method, and computer program |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020088738A (en) * | 2018-11-29 | 2020-06-04 | ソフトバンク株式会社 | Management apparatus, communication system, program, and control method |
WO2020188679A1 (en) * | 2019-03-18 | 2020-09-24 | 株式会社日立国際電気 | Communication system |
JPWO2020188679A1 (en) * | 2019-03-18 | 2021-10-28 | 株式会社日立国際電気 | Communications system |
JP7064653B2 (en) | 2019-03-18 | 2022-05-10 | 株式会社日立国際電気 | Communications system |
US11665539B2 (en) | 2019-03-18 | 2023-05-30 | Hitachi Kokusai Electric Inc. | Communication system |
JP7348404B2 (en) | 2019-12-31 | 2023-09-20 | 華為技術有限公司 | Device sharing methods and electronic devices |
Also Published As
Publication number | Publication date |
---|---|
JP6408627B2 (en) | 2018-10-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20180248694A1 (en) | Assisted device provisioning in a network | |
JP6408627B2 (en) | Remote device control system and remote device control method | |
US20140298037A1 (en) | Method, apparatus, and system for securely transmitting data | |
US11757874B2 (en) | Mutual authentication system | |
US10931464B2 (en) | Communication system, hardware security module, terminal device, communication method, and program | |
KR101762013B1 (en) | Method for registering device and setting secret key using two factor communacation channel | |
US10133861B2 (en) | Method for controlling access to a production system of a computer system not connected to an information system of said computer system | |
US11070537B2 (en) | Stateless method for securing and authenticating a telecommunication | |
KR101835640B1 (en) | Method for authentication of communication connecting, gateway apparatus thereof, and communication system thereof | |
JP4489601B2 (en) | Security information exchange method, recorder apparatus, and television receiver | |
US20220231841A1 (en) | Method, first device, first server, second server and system for accessing a private key | |
CN108352982B (en) | Communication device, communication method, and recording medium | |
JP2007519355A (en) | Authentication method of external device in home network or wireless network | |
JP6654934B2 (en) | Authentication system | |
JP2019186600A (en) | Terminal device, home gateway device, management server device, terminal authentication method and computer program | |
JP6641503B2 (en) | Communication device, electric device, terminal, communication method and program | |
JP2009098761A (en) | Authentication server and its operation control method | |
CN115694893A (en) | Resource transmission method and device, storage medium and electronic device | |
TW202105252A (en) | Methods, systems, and media for transmitting action information using qr codes | |
WO2018045475A1 (en) | Secure indirect access provisioning of off-line unpowered devices by centralized authority | |
JP2018142823A (en) | Communication system and communication method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180711 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180828 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180920 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6408627 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |