JP2020088738A - 管理装置、通信システム、プログラム及び制御方法 - Google Patents
管理装置、通信システム、プログラム及び制御方法 Download PDFInfo
- Publication number
- JP2020088738A JP2020088738A JP2018223815A JP2018223815A JP2020088738A JP 2020088738 A JP2020088738 A JP 2020088738A JP 2018223815 A JP2018223815 A JP 2018223815A JP 2018223815 A JP2018223815 A JP 2018223815A JP 2020088738 A JP2020088738 A JP 2020088738A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- information
- user
- user device
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】移動通信網を介したデバイスとユーザ装置との間のデータ通信においてユーザのなりすましなどの攻撃を防止可能な高いセキュリティを確保しつつ大容量のデータの送受信を可能にする。【解決手段】前記移動通信網においてIPを用いずにデータ通信を行う非IP通信方式(NIDDに準拠した通信方式など)により、前記ユーザ装置から送信されるデバイス識別情報に対応する前記デバイスに対する前記ユーザ装置の通信を許可するための通信許可情報、及び、暗号化用情報によって暗号化された前記通信許可情報を復号化するための復号化用情報を、前記デバイスへ送信する第一送信部と、前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、前記ユーザ装置へ送信する第二送信部とを有する。【選択図】図1
Description
本発明は、デバイスとユーザ装置との間で、ネットワークを介したセキュアな大容量データ通信を実現するための管理装置、移動通信システム、プログラム及び制御方法に関するものである。
従来、移動通信システムの通信規格である3GPPのLTE(Long Term Evolution)−Advanced(非特許文献1参照)を発展させたLTE−AdvancedProと呼ばれる通信規格が知られている(非特許文献2参照)。このLTE−AdvancedProでは、近年のIoT(Internet of Things)デバイスの通信を提供するための仕様が策定された。ここで、「IoT」はさまざまなモノがインターネットやクラウドコンピュータシステムに接続され、制御・情報通信される形態の総称である。
LTE−AdvancedProでは、大量に設置されるIoTデバイスの移動通信網を介した通信に対応するため、新たに2つの通信規格であるカテゴリーM1(「eMTC(enhanced Machine−Type Communications)」ともいう。)と、カテゴリーNB1(「NB−IoT(NarrowBand−IoT)」ともいう。)がサポートされている。
3GPP TS 36.300 V10.12.0 (2014−12).
3GPP TS 36.300 V13.5.0 (2016−09).
移動通信網を介したIoTデバイス等のデバイスとユーザ装置との間のデータ通信では、ユーザのなりすましなどによる攻撃を防止可能な高いセキュリティを確保しつつ大容量のデータを送受信したいという課題がある。
本発明の一態様に係る管理装置は、移動通信網を介したデバイスとユーザ装置との間の通信を管理する管理装置であって、前記移動通信網においてIP(Internet Protocol)を用いずにデータ通信を行う非IP通信方式により、前記ユーザ装置から送信されるデバイス識別情報に対応する前記デバイスに対する前記ユーザ装置の通信を許可するための通信許可情報、及び、暗号化用情報によって暗号化された前記通信許可情報を復号化するための復号化用情報を、前記デバイスへ送信する第一送信部と、前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、前記ユーザ装置へ送信する第二送信部とを有する。
前記管理装置において、前記非IP通信方式は、NIDD(Non−IP Data Deliver)に準拠する通信方式であってもよい。
また、前記管理装置において、前記通信許可情報は、前記ユーザ装置のデバイス接続用クライアント証明書を含んでもよい。
また、前記管理装置において、前記暗号化用情報及び前記復号化用情報は、同一情報であってもよい。
また、前記管理装置において、前記暗号化用情報及び前記復号化用情報の少なくとも一方は、利用時間制限付きの情報であってもよい。
また、前記管理装置において、前記第二送信部は、前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、暗号化通信により、前記ユーザ装置へ送信してもよい。
また、前記管理装置において、当該管理装置は、SCS(Service Capability Server)であってもよい。
また、前記管理装置において、前記ユーザ装置から送信される認証情報を用いて認証処理を実行する認証処理部を有し、前記第一送信部は、前記認証処理部が認証した場合に、前記暗号化用情報及び前記通信許可情報を前記第一ネットワークを介して前記デバイスへ送信してもよい。
また、前記管理装置において、前記認証情報は、前記ユーザ装置のユーザ認証用クライアント証明書を含み、前記認証処理は、前記ユーザ装置のユーザ認証用クライアント証明書について所定の認証局へ認証要求を送信し、該所定の認証局の認証結果を受信する処理を含んでもよい。
また、前記管理装置において、前記認証情報は、前記ユーザ装置から送信される前記デバイス識別情報と、前記ユーザ装置から送信される該ユーザ装置のユーザ識別情報とを含み、前記認証処理は、前記デバイス識別情報に対応した前記デバイスのユーザ情報と前記ユーザ識別情報とを照合する処理を含んでもよい。
前記管理装置において、前記非IP通信方式は、NIDD(Non−IP Data Deliver)に準拠する通信方式であってもよい。
また、前記管理装置において、前記通信許可情報は、前記ユーザ装置のデバイス接続用クライアント証明書を含んでもよい。
また、前記管理装置において、前記暗号化用情報及び前記復号化用情報は、同一情報であってもよい。
また、前記管理装置において、前記暗号化用情報及び前記復号化用情報の少なくとも一方は、利用時間制限付きの情報であってもよい。
また、前記管理装置において、前記第二送信部は、前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、暗号化通信により、前記ユーザ装置へ送信してもよい。
また、前記管理装置において、当該管理装置は、SCS(Service Capability Server)であってもよい。
また、前記管理装置において、前記ユーザ装置から送信される認証情報を用いて認証処理を実行する認証処理部を有し、前記第一送信部は、前記認証処理部が認証した場合に、前記暗号化用情報及び前記通信許可情報を前記第一ネットワークを介して前記デバイスへ送信してもよい。
また、前記管理装置において、前記認証情報は、前記ユーザ装置のユーザ認証用クライアント証明書を含み、前記認証処理は、前記ユーザ装置のユーザ認証用クライアント証明書について所定の認証局へ認証要求を送信し、該所定の認証局の認証結果を受信する処理を含んでもよい。
また、前記管理装置において、前記認証情報は、前記ユーザ装置から送信される前記デバイス識別情報と、前記ユーザ装置から送信される該ユーザ装置のユーザ識別情報とを含み、前記認証処理は、前記デバイス識別情報に対応した前記デバイスのユーザ情報と前記ユーザ識別情報とを照合する処理を含んでもよい。
また、本発明の他の態様に係る通信システムは、上述の管理装置と、前記デバイス及び前記ユーザ装置における通信サービスの利用料金について課金処理を行う課金処理装置と、を備えた通信システムであって、前記認証処理は、前記デバイスのユーザ情報及び前記ユーザ装置のユーザ識別情報の少なくとも一方については前記課金処理装置に登録されている情報を用いて、前記照合を行う。
また、本発明の更に他の態様に係る通信システムは、移動通信網の基地局に接続可能なデバイスと、前記デバイスと通信可能なユーザ装置と、前記デバイスと前記ユーザ装置との間の通信を管理する管理装置と、を備えた通信システムであって、前記管理装置は、請求項1乃至10のいずれか1項に記載の管理装置であり、前記ユーザ装置は、前記デバイスと通信する場合、前記暗号化用情報によって暗号化された前記通信許可情報を該デバイスへ送信する送信部を有し、前記デバイスは、前記ユーザ装置から送信される前記暗号化された前記通信許可情報を前記復号化用情報によって復号化し、復号化した該通信許可情報を用いて該ユーザ装置との通信の許否を判断する通信許否判断部を有する。
また、本発明の更に他の態様に係るプログラムは、移動通信網を介したデバイスとユーザ装置との間の通信を管理する管理装置のコンピュータを機能させるプログラムであって、前記移動通信網においてIP(Internet Protocol)を用いずにデータ通信を行う非IP通信方式により、前記ユーザ装置から送信されるデバイス識別情報に対応する前記デバイスに対する前記ユーザ装置の通信を許可するための通信許可情報、及び、暗号化用情報によって暗号化された前記通信許可情報を復号化するための復号化用情報を、前記デバイスへ送信する第一送信工程と、前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、前記ユーザ装置へ送信する第二送信工程とを、前記コンピュータに実行させる。
また、本発明の更に他の態様に係る制御方法は、移動通信網を介したデバイスとユーザ装置との間の通信を管理する管理装置の制御方法であって、前記移動通信網においてIP(Internet Protocol)を用いずにデータ通信を行う非IP通信方式により、前記ユーザ装置から送信されるデバイス識別情報に対応する前記デバイスに対する前記ユーザ装置の通信を許可するための通信許可情報、及び、暗号化用情報によって暗号化された前記通信許可情報を復号化するための復号化用情報を、前記デバイスへ送信する第一送信工程と、前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、前記ユーザ装置へ送信する第二送信工程とを有する。
本発明によれば、移動通信網を介したデバイスとユーザ装置との間のデータ通信においてユーザのなりすましなどの攻撃を防止可能な高いセキュリティを確保しつつ大容量のデータの送受信が可能になる。
以下、図面を参照して本発明の実施形態について説明する。
図1は、本実施形態に係る通信システムの概略構成の一例を示す説明図である。
本実施形態の通信システムは、1又は2以上のIoTデバイス10と、IoTデバイス10と無線通信する1又は2以上の基地局20と、SGW(Serving Gateway)及びPGW(PDN(Packet Data Network) Gateway)からなるS/PGW30と、MME(Mobility Management Entity)40、HSS(Home Subscriber Server)50、SCEF(Service Capability Exposure Function)60と、課金サーバ70と、認証局80と、アプリケーションサーバ(AS)90と、管理装置としてのSCS(Service Capability Server)100と、ユーザ装置200と、無線AP(Access Point)300とを有する。
図1は、本実施形態に係る通信システムの概略構成の一例を示す説明図である。
本実施形態の通信システムは、1又は2以上のIoTデバイス10と、IoTデバイス10と無線通信する1又は2以上の基地局20と、SGW(Serving Gateway)及びPGW(PDN(Packet Data Network) Gateway)からなるS/PGW30と、MME(Mobility Management Entity)40、HSS(Home Subscriber Server)50、SCEF(Service Capability Exposure Function)60と、課金サーバ70と、認証局80と、アプリケーションサーバ(AS)90と、管理装置としてのSCS(Service Capability Server)100と、ユーザ装置200と、無線AP(Access Point)300とを有する。
SCS100や課金サーバ70などの移動通信網1内の設備は、例えば、移動通信網1の移動通信事業者によって管理運営してもよい。
本実施形態のIoTデバイス10は、医療、農業、電力、上下水道、自動車、交通機関などの各種産業で用いられるセンサ装置を備えたものであるが、どのような用途、機能を有するIoT機器であってもよい。本実施形態のIoTデバイス10は、移動局とも呼ばれる移動通信用の移動通信部10aが組み込まれており、この移動通信部10aは、例えば通信モジュールとして構成される。IoTデバイス10は、当該移動通信部10aにより、所定の無線通信方式で基地局20と無線通信を行い、移動通信網1側に接続することができ、移動通信網1を介してNIDDによる通信や、移動通信網1を介してIP(Internet Protocol)を用いた通信などを行うことができる。
また、本実施形態のIoTデバイス10は、無線AP300と無線通信可能な無線LAN通信部10bが組み込まれており、当該無線LAN通信部10bにより、所定の無線通信方式で無線AP300と無線通信を行うことで、IPを用いた通信方式を利用する無線LANを介して、ユーザ装置200と通信することが可能である。
本実施形態において、IoTデバイス10は、センサ装置によって周辺の環境や搭載される装置の情報を測定したり取得したりして得られる各種データを、移動通信部10aにより、所定の送信タイミングで定期的に、移動通信網1を通じて、AS90等に送信(以下、「定期通報」ともいう。)する。IoTデバイス10からの定期通報の時間間隔は一定でなくてもよい。例えば、IoTデバイス10からの定期通報は、所定時間おき(例えば、10分おき、30分おき、1日おき、又は、3日おき)のタイミングであってもよいし、IoTデバイス10において送信対象のデータが所定数(例えば100個)集まったタイミングでもよい。また、IoTデバイス10からの定期通報は、毎時の0分00秒及び30分00秒のタイミングでもよい。
なお、図1では、図示の都合上、IoTデバイス10を1台のみ示しているが、IoTデバイス10は2台以上であってもよい。
基地局20は、無線アクセス網(RAN)を構成し、例えば、eNodeBやgNodeB等とも呼ばれたり、自局が形成するセルのサイズによりマクロセル基地局やスモールセル基地局などと呼ばれたりする。基地局20は、例えば、無線信号の送受信をする無線部(RRH)と、デジタルベースバンド信号処理を行うベースバンド部(BBU)を備える。RRHは、例えば、BBUから受信したデジタルベースバンド信号をRF信号に変換し、所定の信号レベルに電力増幅してIoTデバイス10に送信する。また、RRHは、IoTデバイス10の移動通信部10aから受信したRF信号をデジタルベースバンド信号に変換し、BBUへ送信する。
移動通信網1に含まれるコアネットワークは、例えばLTE/LTE−AdvancedにおいてEPC(Evolved Packet Core)とも呼ばれ、所定の通信インターフェースを介して基地局20が接続される。コアネットワークは、S/PGW30、MME40、HSS50、SCEF60等の各種ノードも有している。コアネットワークは、PCRF(Policy and Charging Rules Function)等の他のノードを有していてもよい。
S/PGW30は、基地局20との間では、IP(Internet Protocol)を用いずに移動通信網を通じてデータ通信を行い、ユーザ装置200との間では、IPを用いてデータ通信を行う。S/PGW30は、IoTデバイス10とユーザ装置200との間において、IPを用いたデータ通信を行う際のパケット転送を行うノードとして機能する。詳しくは、IoTデバイス10の移動通信部10aにIPアドレスを割り当ててパケットデータ転送の処理を行う。例えば、P−GWの機能として、IoTデバイス10へのIPアドレスの払出し、パケット網への接続に関するユーザ認証、課金用の通信利用データ(例えばCDR:Call Data Record)の作成、DHCPサーバ機能等を有する。また、S−GWの機能として、基地局20等を有するRANのアンカーポイントとなり、P−GWの間でユーザパケットデータの中継処理を行う。
MME40は、基地局20を収容して無線通信ネットワーク制御、モビリティ制御、ハンドオーバ制御、ユーザ認証制御等を行うノードである。MME40は、HSS50の登録情報に基づいて、基地局20を介して送信されてきたデータを、後述のNIDDのデータ転送を行うSCEF60に転送したり、SCEF60から送られてきたIoTデバイス10宛のデータや送信要求などの制御情報を基地局20に転送したりする。また、MME40は、IoTデバイス10及び基地局20のそれぞれについて通信ログ情報及び通信制御パラメータ等の情報を収集して格納する機能を有する。
HSS50は、移動通信システムを用いた通信サービスを利用するユーザ(加入者)の情報のデータベースであり、例えば、IoTデバイス10のユーザ契約情報やユーザ認証情報を管理し、それらの情報を位置登録契機でMME40へ通知する。
SCEF60は、3GPPの通信サービスの一部をサードパーティのアプリケーションプロバイダーに提供するためのインターフェースを有するノードである。SCEF60は、AS90が設けられたパケット網に対する接続ポイントとなり、後述のNIDDによるIoTデバイス10からのデータ送信の転送処理を行う。また、SCEF60は、NIDDによるIoTデバイス10からのデータ送信に対する課金用の通信利用データ(例えばCDR)を作成する。なお、SCEF60とAS90との間の通信は、プライベートIPや専用線を用いるなどのセキュアなパケット通信によって実現してもよい。
また、本実施形態において、IoTデバイス10に対して所定のデータ送信タイミングによるデータ送信(定期通報)を要求する送信要求などの制御情報は、例えば、制御チャネルによりSCEF60からIoTデバイス10に通知することができる。
なお、前記送信タイミング情報を有する送信要求は、IoTデバイス10の移動通信部10aが着信待ち受け時に受信するページング情報に含めてもよい。IoTデバイス10は、受信したページング情報に、例えば自己の移動通信部10aの端末識別情報としてのS−TMSI(SAE Temporary Mobile Subscriber Identity)を含んでいれば、その移動通信部10aに対するページング情報であると判断し、ページング情報に含まれる送信タイミング情報に基づいて、所定の送信タイミングに送信対象のデータを、基地局20を介してAS90に送信する。
また、IoTデバイス10の移動通信部10aは、電力消費を低減するために着信待ち受け時に一部回路への電源供給を休止してスリープ状態にしておいてもよい。IoTデバイス10の移動通信部10aは、前記着信待ち受け時に前記送信タイミング情報を有する送信要求を含むページング情報の受信し、その受信をトリガーとして全体回路への電源供給を行い、所定のアプリケーションを起動して送信対象のデータを送信し、データ送信が完了したらスリープ状態に戻るように制御してもよい。
また、本実施形態において、IoTデバイス10から定期的に送信されるデータ送信(定期通報)の状況を示す通信状況情報は、IoTデバイス10や基地局20からMME40及びSCEF60を介してSCS100などに転送することができる。通信状況情報は、例えば、IoTデバイス10及び基地局20の通信ログ情報及び通信制御パラメータ等の情報、IoTデバイス10の通信情報端末に設定されている送信タイミング設定情報、IoTデバイス10の通信情報端末におけるデータ送信の頻度とデータ量とを有するデータ送信履歴情報などである。
課金サーバ70は、例えば、SCEF60等から受信したIoTデバイス10の通信利用データ(例えばCDR)とHSS50の登録情報とに基づいて、IoTデバイス10からAS90へのデータ送信に対する課金処理を行う。また、SCS100の認証処理部が行う後述の認証処理にも利用される。
認証局80は、SCS100に接続して通信を行うためのユーザ認証用クライアント証明書であるSCS用クライアント証明書をユーザ装置200に対して発行し、認証を行う外部の認証局である。ユーザ装置200のユーザは、IoTデバイス10に対し、IPを用いる通信方式によってユーザ装置200により通信を行う場合、認証局80から事前にSCS用クライアント証明書を発行してもらう手続きを行っておく。
AS90は、例えば、移動通信網1を通じた通信を利用する各種アプリケーションを提供する上で必要な各種データ処理を実行するサーバである。本実施形態のAS90は、IoTデバイス10から送信されたデータを収集して格納したり各種分析を行ったりするデータベースの機能を有するサーバを含む。
本実施形態の通信システムは、NIDD(Non−IP Data Delivery)をサポートしている。NIDDは、3GPPの標準規格(例えば、TS23.401 V15.4.0(2018−06),TS23.682 V15.5.0(2018−06)参照)で定義された機能であり、IoTデバイス10等の各種デバイスに搭載される移動通信部10aがIPスタックの操作やIPアドレスの取得を行うことなくデータ転送が可能になる機能である。このNIDDを利用することにより、IPを用いるIPネットワークからの攻撃が少なくセキュアなデータ転送が可能になるとともに、移動通信網1において同じ情報量を転送するための伝送データ量が少なくて済む。
移動通信網1におけるデータ処理の負荷を軽減するため、移動通信網1におけるデータ処理の一部を行うMEC(Mobile Edge Computing)サーバを、基地局20の内部又は近傍に設けてもよい。MECサーバは、例えば、そのサーバに対応する基地局20のセルに在圏するIoTデバイス10のデータ送信タイミングを管理する機能を有してもよい。
また、本実施形態の通信システムは、IoTデバイス10がIoT通信モードで通信できるようにカテゴリーM1(eMTC)及びカテゴリーNB1(NB−IoT)のカバレッジ拡張(CE)をサポートしている。
IoT通信モードは、基地局20との間でIoT用通信を行う通信モードであり、例えばLTE−Advanced ProのeMTC若しくはNB−IoTの標準規格(非特許文献2参照)に準拠した通信モード、又は、第5世代の移動通信で提案されている大規模マシンタイプ通信(5GのmMTC:massive Machine−Type Communications)の通信モードである。
広帯域通信モードは、IoT通信モードで通信可能なIoT通信エリアよりも狭い広帯域通信エリアにおいて基地局20との間で広帯域の通信を行う通信モードであり、例えば移動通信の第3世代(3G)、LTE、LTE−Advanced若しくはLTE−Advanced Proの標準規格に準拠する通信モード、又は、第5世代の移動通信で提案されている新しい無線アクセス技術(5G(New Radio))の通信モードである。
本実施形態のIoTデバイス10は、広帯域通信モード及びIoT通信モードの両方に対応しているものであってもよいし、IoT通信モードのみに対応しているものであってもよい。
次に、本実施形態のSCS100の構成について説明する。
SCS100は、IoTデバイス10とユーザ装置200との間において、IPを用いた通信方式でセキュアな暗号化通信を実現するための処理を行う管理装置としての機能を有する。SCS100は、図1に示すように、認証処理部110と、SCEF用I/F120と、ユーザ管理DB130と、クライアント証明書発行部140とを備えている。
SCS100は、IoTデバイス10とユーザ装置200との間において、IPを用いた通信方式でセキュアな暗号化通信を実現するための処理を行う管理装置としての機能を有する。SCS100は、図1に示すように、認証処理部110と、SCEF用I/F120と、ユーザ管理DB130と、クライアント証明書発行部140とを備えている。
認証処理部110は、ユーザ装置200から送信される認証情報を用いて、IoTデバイス10に接続可能なユーザ装置200を認証するための認証処理を行う。認証処理の詳細については後述する。
また、認証処理部110は、SCEF用I/F120とともに、ユーザ装置200のユーザが指定するIoTデバイス10に対するユーザ装置200の通信を許可するための通信許可情報としてのデバイス接続用クライアント証明書であるデバイス用クライアント証明書及び上述した共通鍵(「共有鍵」ともいう。)を、非IP通信方式であるNIDDに準拠した通信方式(以下、「NIDD通信方式」という。)により、IoTデバイス10へ送信する第一送信部としても機能する。
また、認証処理部110は、上述したデバイス用クライアント証明書及び共通鍵を、ユーザ装置200へ送信する第二送信部としても機能する。本実施形態では、デバイス用クライアント証明書及び共通鍵のユーザ装置200への送信には、高いセキュリティ性が望まれるので、NIDD通信方式や、所定の技術的手段によりセキュリティ性を高めたセキュアなIP通信方式によって送信することが望ましい。本実施形態では、NIDD通信方式ではなく、セキュアなIP通信方式(IPを用いた通信方式)により、デバイス用クライアント証明書及び共通鍵をユーザ装置200へ送信する例で説明する。ただし、IoTデバイス10へ送信する場合と同様に、NIDD通信方式によってデバイス用クライアント証明書及び共通鍵をユーザ装置200へ送信することも可能である。
デバイス用クライアント証明書及び共通鍵をセキュアなIP通信方式によりユーザ装置200へ送信する際、十分なセキュリティを確保することが望まれる。なぜなら、この通信のセキュリティが不十分であると、デバイス用クライアント証明書及び共通鍵が第三者に取得される危険性が高まり、悪意ある第三者の装置からIoTデバイス10にアクセスできてしまう可能性が高まるからである。そのため、デバイス用クライアント証明書及び共通鍵をユーザ装置200へ送信する際、本実施形態ではIP通信方式を用いるが、SCS用クライアント証明書により通信が許可されているユーザ装置のみがSCS100と通信できるように認証を行うとともに、SSL(Secure Sockets Layer)による暗号化通信を行うことによって、十分なセキュリティ性を確保している。
更に、本実施形態では、デバイス用クライアント証明書及び共通鍵をユーザ装置200へ送信する際、アクセス対象のIoTデバイス10の利用者(IoTデバイス10との通信が許可されている者)が当該ユーザ装置200のユーザと一致するかどうかの認証も行う。これにより、対象のIoTデバイス10の通信が許可されていない者の装置がIoTデバイス10にアクセスできてしまう危険性をさらに少なくし、より高いセキュリティ性を確保している。なお、この認証には、課金サーバ70を利用してもよい。
SCEF用I/F120は、SCEF60との間で通信を行うためのインターフェースである。SCS100とSCEF60との間は、IPを用いない非IP通信方式で接続される必要はないが、IP通信方式により接続する場合には、プライベートIPを用いたり専用線を用いたりして十分なセキュリティを確保することが望ましい。
ユーザ管理DB130は、認証処理部110で実行される認証処理等のデータ処理に利用される各種情報が登録されたデータベースであり、少なくとも一部の情報はHSS50の登録情報から入手され、所定のタイミングでHSS50の登録情報と同期がとられる。
クライアント証明書発行部140は、ユーザ装置200に対し、アクセス対象のIoTデバイス10に接続して通信を行うためのデバイス用クライアント証明書を発行する。
次に、SCS100の処理動作について説明する。
本実施形態の通信システムがサポートしているNIDD通信方式は、上述のとおり、IPを使わないIPアドレス不要の通信技術であるため、一般的なIP通信方式による悪意ある攻撃を受けるリスクが低く、セキュアな通信が可能である。ただし、NIDD通信方式は、一般に、小サイズのデータ通信には対応可能であるが、大サイズのデータ通信には不向きである場合が多い。特に、よりセキュアなNIDD通信方式を実現するために制御チャネルを用いてデータ通信を行う場合には、大サイズのデータ通信を行うことは困難である。
本実施形態の通信システムがサポートしているNIDD通信方式は、上述のとおり、IPを使わないIPアドレス不要の通信技術であるため、一般的なIP通信方式による悪意ある攻撃を受けるリスクが低く、セキュアな通信が可能である。ただし、NIDD通信方式は、一般に、小サイズのデータ通信には対応可能であるが、大サイズのデータ通信には不向きである場合が多い。特に、よりセキュアなNIDD通信方式を実現するために制御チャネルを用いてデータ通信を行う場合には、大サイズのデータ通信を行うことは困難である。
一方、IoTデバイス10とユーザ装置200との間の通信は、例えば、設定データやファームウェアの更新など、比較的大きなサイズのデータ通信を必要とする場合が多い。そのほか、ユーザ装置200からIoTデバイス10へアクセスして各種制御を行う場合やIoTデバイス10からユーザ装置200へ大サイズのデータ転送を行う場合などにも、大きなサイズのデータ通信を必要とする。そのため、IoTデバイス10とユーザ装置200との間の通信には、NIDD通信方式は不向きであり、より大サイズのデータ通信が可能な通信方式により通信することが求められる。加えて、ユーザ装置200のユーザ利便性も考慮すると、本実施形態では、IoTデバイス10とユーザ装置200との間を、広く普及している大容量のIP通信方式により通信を行うものとしている。
ただし、この場合、IoTデバイス10がIP通信方式で通信可能な状態になるため、IoTデバイス10が悪意ある攻撃を受けるリスク(不正アクセスのリスク)が高まる。そのため、IP通信方式でも、よりセキュアな通信を確保できる仕組みが必要となる。
そこで、本実施形態では、IoTデバイス10とユーザ装置200との間の通信において、IoTデバイス10にアクセスするユーザ装置200に対してデバイス用クライアント証明書を求め、正当な権限のあるユーザ装置200のみが当該IoTデバイス10にアクセスできる(通信できる)ようにしている。さらに、IoTデバイス10とユーザ装置200との間で通信されるデータは、共通鍵暗号方式により暗号化して行うようにしている。このようなセキュリティ対策によれば、デバイス用クライアント証明書及び共通鍵が第三者に取得されない限り、セキュリティ性の高いセキュア通信が実現される。
このようなセキュリティ性の高いセキュア通信を維持するためには、デバイス用クライアント証明書及び共通鍵が第三者に取得される危険性が低いことを、システムとして担保することが必要である。なぜなら、IoTデバイス10は、比較的簡易な制御によって動作するため、IoTデバイス10側での制御を伴う対策(デバイス用クライアント証明書及び共通鍵が第三者に取得されることに対する対策)が採りにくいため、特に、いわゆる「なりすまし」によってデバイス用クライアント証明書及び共通鍵が第三者に取得されないように、SCS100からIoTデバイス10に対して、いかにデバイス用クライアント証明書及び共通鍵をセキュアに配布するかが重要となる。
これを受けて、本実施形態においては、SCS100からIoTデバイス10への配布については、非IP通信方式であるNIDD通信方式を利用して、デバイス用クライアント証明書及び共通鍵をSCS100からIoTデバイス10へ送信するようにしている。これによれば、一般的なIP通信方式による悪意ある攻撃を受けるリスクが低いので、デバイス用クライアント証明書及び共通鍵をSCS100からIoTデバイス10へセキュアに送信でき、高いセキュリティ性が確保される。
更に、NIDD通信方式を利用することにより、暗号化通信などの他のセキュリティ対策を取らなくても十分なセキュリティ性を確保できる。これにより、デバイス用クライアント証明書及び共通鍵をSCS100からIoTデバイス10へ送信するにあたり、暗号化通信などに必要な分のデータ量を削減でき、同じ情報量を転送するための伝送データ量が少なくて済む。
また、SCS100からユーザ装置200にデバイス用クライアント証明書及び共通鍵を配布する処理時においても、デバイス用クライアント証明書及び共通鍵が第三者に取得される危険性が高いと考えられる。したがって、デバイス用クライアント証明書及び共通鍵を、ユーザ装置200に対し、いかにしてSCS100からセキュアに配布するかも重要である。
これを受けて、本実施形態においては、SCS100からユーザ装置200への配布については、SSLによる暗号化通信によりデバイス用クライアント証明書及び共通鍵を送信する。ただし、SCS100からユーザ装置200への配布のセキュリティ性は、SSLによる暗号化通信だけでは不十分な場合がある。すなわち、SSLによる暗号化通信によれば、デバイス用クライアント証明書及び共通鍵が、いわゆる「盗聴」によって、アクセス対象のIoTデバイス10の通信が許可されていない第三者に取得される危険性を低くできる。しかしながら、いわゆる「なりすまし」によってデバイス用クライアント証明書及び共通鍵が第三者に取得される危険性を排除しきれない。
そのため、本実施形態では、更に、SCS100においてユーザ装置200の認証処理を行うこととしている。具体的には、SCS用クライアント証明書により通信を許可されているユーザ装置のみがSCS100と通信できるように認証処理を行う。また、アクセス対象のIoTデバイス10の利用者(IoTデバイス10の通信が許可されている者)が当該ユーザ装置200のユーザと一致するかどうかの認証も行う。このような認証処理を併用することで、ユーザ装置200に代わる「なりすまし」が防止され、アクセス対象のIoTデバイス10の通信が許可されていない第三者の装置にデバイス用クライアント証明書及び共通鍵が取得される危険性を低くしている。
図2は、本実施形態におけるSCS100の処理動作の流れを示すシーケンス図である。
本実施形態において、SCS100の処理動作は、SCS100にアクセスするユーザ装置200がアクセス対象のIoTデバイス10に対してアクセス権限を有する装置であるか否かを認証する認証ステップと、ユーザ装置200及びアクセス対象のIoTデバイス10に対して共通鍵及びデバイス用クライアント証明書を送信する送信ステップとに、大別できる。
本実施形態において、SCS100の処理動作は、SCS100にアクセスするユーザ装置200がアクセス対象のIoTデバイス10に対してアクセス権限を有する装置であるか否かを認証する認証ステップと、ユーザ装置200及びアクセス対象のIoTデバイス10に対して共通鍵及びデバイス用クライアント証明書を送信する送信ステップとに、大別できる。
認証ステップにおいて、ユーザ装置200のユーザは、事前に、認証局80に対してSCS用クライアント証明書(ユーザ装置200のクライアント証明書)の発行を申し込み、SCS用クライアント証明書を発行してもらう。認証局80としては、クライアント証明書を発行する既存の認証局を利用することができる。
SCS用クライアント証明書を発行してもらったユーザ装置200(SCS用クライアント証明書をインストールしたユーザ装置200)によりIoTデバイス10にアクセスする場合、ユーザ装置200は、まず、SCS100にアクセスする。そして、ユーザ装置200とSCS100との間でSSLが確立したら、SCS100の認証処理部110は、まず、ユーザ装置200に対し、SCS用クライアント証明書の取得要求を送信する。これを受けたユーザ装置200は、事前に取得してインストール済みであるSCS用クライアント証明書を、SCS100の認証処理部110へ送信する。SCS用クライアント証明書を受信したSCS100の認証処理部110は、当該SCS用クライアント証明書に対応する認証局80に対してSCS用クライアント証明書の確認を要求し、認証局80から確認結果(認証が成功した結果)を受けたら、当該ユーザ装置200を認証して、当該ユーザ装置200との通信を継続する。
なお、ユーザ装置200からSCS用クライアント証明書を受信できない場合や、受信したSCS用クライアント証明書の認証に失敗した場合には、SCS100の認証処理部110は、当該ユーザ装置200を認証せずに処理動作を終了する。
ユーザ装置200を認証した認証処理部110は、次に、ユーザ装置200に対し、ユーザ装置200がアクセスを希望するアクセス対象のIoTデバイス10のSIM情報(デバイス識別情報)の取得要求を送信する。このSIM情報は、IoTデバイス10の移動通信部10aに搭載されたSIMに記憶されている情報であり、例えば、当該移動通信部10aの利用者識別情報(例えばIMSI:International Mobile Subscriber Identity)や移動通信部10aの機体識別番号などが挙げられる。
本実施形態のIoTデバイス10は、NIDD通信方式を使用するため、上述したとおり、移動通信網1に接続するための移動通信部10aを備えている。そのため、当該移動通信部10aのSIM情報は課金サーバ70に登録されている。そこで、本実施形態では、SIM情報の取得要求に応じたユーザ装置200から、アクセス対象のIoTデバイス10のSIM情報を受信したら、SCS100の認証処理部110は、課金サーバ70及びユーザ管理DB130の情報を用いて、当該SIM情報に対応して課金サーバ70に登録されている利用者の情報と、ユーザ装置200のユーザとして課金サーバ70に登録されているユーザの情報とが一致するかどうかの確認(認証)を行う。この確認(認証)によって一致するとできたら、当該ユーザ装置200を、アクセス対象のIoTデバイス10にアクセスできる正当な権限を有するとして認証し、当該ユーザ装置200との通信を継続する。
なお、ユーザ装置200からアクセス対象のIoTデバイス10のSIM情報を受信できない場合や、受信したSIM情報に対応する利用者とユーザ装置200のユーザとが一致しない場合(認証に失敗した場合)には、SCS100の認証処理部110は、当該ユーザ装置200を認証せずに処理動作を終了する。
以上の認証ステップにおいてユーザ装置200の認証がされた場合、次に、ユーザ装置200及びアクセス対象のIoTデバイス10に対して共通鍵及びデバイス用クライアント証明書を送信する送信ステップに移行する。
送信ステップでは、まず、SCS100のクライアント証明書発行部140が、アクセス対象のIoTデバイス10にアクセスするためのデバイス用クライアント証明書を生成する。生成したデバイス用クライアント証明書は、SCS100の認証処理部110に渡される。また、SCS100の認証処理部110は、共通鍵を生成する。そして、認証処理部110は、デバイス用クライアント証明書及び共通鍵を、アクセス対象のIoTデバイス10へNIDD通信方式により送信する。これを受信したIoTデバイス10は、受信したデバイス用クライアント証明書及び共通鍵を自己の記憶装置内に格納し、受領確認のためのACKを送信する。
SCS100の認証処理部110は、IoTデバイス10から受領確認のACKを受信したら、次に、IoTデバイス10に送信したものと同じデバイス用クライアント証明書及び共通鍵を、SSLが確立されているユーザ装置200へ送信する。
以上のような認証ステップ及び送信ステップを経て、ユーザ装置200及びアクセス対象のIoTデバイス10のそれぞれに対し、共通鍵及びデバイス用クライアント証明書を配布することで、共通鍵及びデバイス用クライアント証明書が第三者に取得される危険性が少ない。
図3は、本実施形態におけるユーザ装置200とIoTデバイス10との通信動作の流れを示すシーケンス図である。
共通鍵及びデバイス用クライアント証明書をSCS100から受信したユーザ装置200は、アクセス対象のIoTデバイス10にアクセスするために、IoTデバイス10に対し、大容量データ通信が可能なIP通信方式によりアクセスする。例えば、ユーザ装置200は、無線AP300経由で無線LANを介して又はインターネットを介して、IoTデバイス10にアクセスしてもよい。また、本実施形態のユーザ装置200は、IoTデバイス10と同様の移動通信部を備え、所定の無線通信方式で基地局20と無線通信を行って移動通信網1側に接続することができる。この場合、移動通信網1を介してIP通信方式によりIoTデバイス10にアクセスしてもよい。
共通鍵及びデバイス用クライアント証明書をSCS100から受信したユーザ装置200は、アクセス対象のIoTデバイス10にアクセスするために、IoTデバイス10に対し、大容量データ通信が可能なIP通信方式によりアクセスする。例えば、ユーザ装置200は、無線AP300経由で無線LANを介して又はインターネットを介して、IoTデバイス10にアクセスしてもよい。また、本実施形態のユーザ装置200は、IoTデバイス10と同様の移動通信部を備え、所定の無線通信方式で基地局20と無線通信を行って移動通信網1側に接続することができる。この場合、移動通信網1を介してIP通信方式によりIoTデバイス10にアクセスしてもよい。
ユーザ装置200は、まず、IoTデバイス10に対して、IoTデバイス10とのデータ通信をするためのログイン要求を送信する。このログイン要求を受信したIoTデバイス10は、当該ユーザ装置200に対し、デバイス用クライアント証明書の取得要求を送信する。これを受けたユーザ装置200は、事前にSCS100から受信してインストール済みであるデバイス用クライアント証明書を、事前にSCS100から受信して記憶部に格納した共通鍵によって暗号化する。そして、暗号化したデバイス用クライアント証明書をIoTデバイス10へ送信する。
共通鍵で暗号化されたデバイス用クライアント証明書を受信したIoTデバイス10は、事前にSCS100から受信して記憶部に格納されている同じ共通鍵を用いて、受信したデバイス用クライアント証明書を復号化する。そして、IoTデバイス10は、事前にSCS100から受信して記憶部に格納されている当該ユーザ装置200のデバイス用クライアント証明書と、復号化したデバイス用クライアント証明書とが一致するかどうかの照合を行う。この照合によって一致すると判断したら、当該ユーザ装置200を認証し、当該ユーザ装置200に対して認証成功を報告するためのACKを送信する。
なお、ユーザ装置200からデバイス用クライアント証明書を受信できない場合や、受信したデバイス用クライアント証明書の認証に失敗した場合には、IoTデバイス10は、当該ユーザ装置200を認証せずに処理動作を終了する。
その後、認証成功報告(ACK)を受信したユーザ装置200は、IoTデバイス10にログインするためのID及びパスワードのログイン情報をIoTデバイス10に送信する。IoTデバイス10は、受信したログイン情報が正当かどうかを確認するログイン処理を実施し、正当であることを確認したら、当該ユーザ装置200のログインを認め、当該ユーザ装置200に対してログイン成功を報告するためのACKを送信する。これにより、IoTデバイス10に対し、ユーザ装置200は、与えられている権限の範囲内で、種々のデータ通信を実行することができる。
ログイン後のデータ通信でも、セキュリティ性を確保するために、暗号化通信により通信するのが好ましい。この暗号化通信も、上述した共通鍵を利用した共通鍵暗号方式で行ってもよいが、公開鍵暗号方式などの他の暗号方式で行ってもよい。
また、本実施形態では、ユーザ装置200からIoTデバイス10へデバイス用クライアント証明書を送信する際の暗号方式として、共通鍵暗号方式を採用している。そのため、SCS100からユーザ装置200へ送信される暗号化用情報が共通鍵であり、SCS100からIoTデバイス10へ送信される復号化用情報も同じ共通鍵である。一方で、ユーザ装置200からIoTデバイス10へデバイス用クライアント証明書を送信する際の暗号方式としては、公開鍵暗号方式などの他の暗号方式を採用してもよい。例えば、公開鍵暗号方式を採用する場合、SCS100からユーザ装置200へ送信される暗号化用情報には公開鍵が用いられ、SCS100からIoTデバイス10へ送信される復号化用情報には秘密鍵が用いられる。
また、本実施形態では、ユーザ装置200からIoTデバイス10へ送信されるデバイス用クライアント証明書の暗号化処理を、ユーザ装置200で行う例について説明したが、これに限られず、例えば、SCS100で行ってもよい。具体的には、SCS100側でデバイス用クライアント証明書を暗号化し、暗号化された状態のデバイス用クライアント証明書をユーザ装置200へ送信する。この場合、ユーザ装置200には、暗号化用情報としての共通鍵を送信する必要がなくなるので、より高いセキュリティ性を実現できる。
なお、本明細書で説明された処理工程並びに通信システム、サーバ、基地局及び移動通信部(UE、移動局)の構成要素は、様々な手段によって実装することができる。例えば、これらの工程及び構成要素は、ハードウェア、ファームウェア、ソフトウェア、又は、それらの組み合わせで実装されてもよい。
ハードウェア実装については、実体(例えば、各種無線通信装置、eNodeBやgNode等の各種基地局装置、移動通信部、ハードディスクドライブ装置、又は、光ディスクドライブ装置)において前記工程及び構成要素を実現するために用いられる処理ユニット等の手段は、1つ又は複数の、特定用途向けIC(ASIC)、デジタルシグナルプロセッサ(DSP)、デジタル信号処理装置(DSPD)、プログラマブル・ロジック・デバイス(PLD)、フィールド・プログラマブル・ゲート・アレイ(FPGA)、プロセッサ、コントローラ、マイクロコントローラ、マイクロプロセッサ、電子デバイス、本明細書で説明された機能を実行するようにデザインされた他の電子ユニット、コンピュータ、又は、それらの組み合わせの中に実装されてもよい。
また、ファームウェア及び/又はソフトウェア実装については、前記構成要素を実現するために用いられる各部は、本明細書で説明された機能を実行するプログラム(例えば、プロシージャ、関数、モジュール、インストラクション、などのコード)で実装されてもよい。一般に、ファームウェア及び/又はソフトウェアのコードを明確に具体化する任意のコンピュータ/プロセッサ読み取り可能な媒体が、本明細書で説明された前記工程及び構成要素を実現するために用いられる処理ユニット等の手段の実装に利用されてもよい。例えば、ファームウェア及び/又はソフトウェアコードは、例えば制御装置や記憶装置において、メモリに記憶され、コンピュータやプロセッサにより実行されてもよい。そのメモリは、コンピュータやプロセッサの内部に実装されてもよいし、又は、プロセッサの外部に実装されてもよい。また、ファームウェア及び/又はソフトウェアコードは、例えば、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、不揮発性ランダムアクセスメモリ(NVRAM)、プログラマブルリードオンリーメモリ(PROM)、電気的消去可能PROM(EEPROM)、FLASHメモリ、フロッピー(登録商標)ディスク、コンパクトディスク(CD)、デジタルバーサタイルディスク(DVD)、磁気又は光データ記憶装置、などのような、コンピュータやプロセッサで読み取り可能な媒体に記憶されてもよい。そのコードは、1又は複数のコンピュータやプロセッサにより実行されてもよく、また、コンピュータやプロセッサに、本明細書で説明された機能性のある態様を実行させてもよい。
また、前記媒体は非一時的な記録媒体であってもよい。また、前記プログラムのコードは、コンピュータ、プロセッサ、又は他のデバイス若しくは装置機械で読み込んで実行可能であれよく、その形式は特定の形式に限定されない。例えば、前記プログラムのコードは、ソースコード、オブジェクトコード及びバイナリコードのいずれでもよく、また、それらのコードの2以上が混在したものであってもよい。
また、本明細書で開示された実施形態の説明は、当業者が本開示を製造又は使用するのを可能にするために提供される。本開示に対するさまざまな修正は当業者には容易に明白になり、本明細書で定義される一般的原理は、本開示の趣旨又は範囲から逸脱することなく、他のバリエーションに適用可能である。それゆえ、本開示は、本明細書で説明される例及びデザインに限定されるものではなく、本明細書で開示された原理及び新規な特徴に合致する最も広い範囲に認められるべきである。
1 :移動通信網
10 :IoTデバイス
20 :基地局
30 :S/PGW
40 :MME
50 :HSS
60 :SCEF
70 :課金サーバ
80 :認証局
90 :AS
100:SCS
110:認証処理部
120:SCEF用I/F
130:ユーザ管理DB
140:クライアント証明書発行部
200:ユーザ装置
300:無線AP
10 :IoTデバイス
20 :基地局
30 :S/PGW
40 :MME
50 :HSS
60 :SCEF
70 :課金サーバ
80 :認証局
90 :AS
100:SCS
110:認証処理部
120:SCEF用I/F
130:ユーザ管理DB
140:クライアント証明書発行部
200:ユーザ装置
300:無線AP
Claims (14)
- 移動通信網を介したデバイスとユーザ装置との間の通信を管理する管理装置であって、
前記移動通信網においてIP(Internet Protocol)を用いずにデータ通信を行う非IP通信方式により、前記ユーザ装置から送信されるデバイス識別情報に対応する前記デバイスに対する前記ユーザ装置の通信を許可するための通信許可情報、及び、暗号化用情報によって暗号化された前記通信許可情報を復号化するための復号化用情報を、前記デバイスへ送信する第一送信部と、
前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、前記ユーザ装置へ送信する第二送信部とを有することを特徴とする管理装置。 - 請求項1に記載の管理装置において、
前記非IP通信方式は、NIDD(Non−IP Data Deliver)に準拠する通信方式であることを特徴とする管理装置。 - 請求項1又は2に記載の管理装置において、
前記通信許可情報は、前記ユーザ装置のデバイス接続用クライアント証明書を含むことを特徴とする管理装置。 - 請求項1乃至3のいずれか1項に記載の管理装置において、
前記暗号化用情報及び前記復号化用情報は、同一情報であることを特徴とする管理装置。 - 請求項1乃至4のいずれか1項に記載の管理装置において、
前記暗号化用情報及び前記復号化用情報の少なくとも一方は、利用時間制限付きの情報であることを特徴とする管理装置。 - 請求項1乃至5のいずれか1項に記載の管理装置において、
前記第二送信部は、前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、暗号化通信により、前記ユーザ装置へ送信することを特徴とする管理装置。 - 請求項1乃至6のいずれか1項に記載の管理装置において、
当該管理装置は、SCS(Service Capability Server)であることを特徴とする管理装置。 - 請求項1乃至7のいずれか1項に記載の管理装置において、
前記ユーザ装置から送信される認証情報を用いて認証処理を実行する認証処理部を有し、
前記第一送信部は、前記認証処理部が認証した場合に、前記暗号化用情報及び前記通信許可情報を前記第一ネットワークを介して前記デバイスへ送信することを特徴とする管理装置。 - 請求項8に記載の管理装置において、
前記認証情報は、前記ユーザ装置のユーザ認証用クライアント証明書を含み、
前記認証処理は、前記ユーザ装置のユーザ認証用クライアント証明書について所定の認証局へ認証要求を送信し、該所定の認証局の認証結果を受信する処理を含むことを特徴とする管理装置。 - 請求項8又は9に記載の管理装置において、
前記認証情報は、前記ユーザ装置から送信される前記デバイス識別情報と、前記ユーザ装置から送信される該ユーザ装置のユーザ識別情報とを含み、
前記認証処理は、前記デバイス識別情報に対応した前記デバイスのユーザ情報と前記ユーザ識別情報とを照合する処理を含むことを特徴とする管理装置。 - 請求項10に記載の管理装置と、
前記デバイス及び前記ユーザ装置における通信サービスの利用料金について課金処理を行う課金処理装置と、を備えた通信システムであって、
前記認証処理は、前記デバイスのユーザ情報及び前記ユーザ装置のユーザ識別情報の少なくとも一方については前記課金処理装置に登録されている情報を用いて、前記照合を行うことを特徴とする通信システム。 - 移動通信網の基地局に接続可能なデバイスと、
前記デバイスと通信可能なユーザ装置と、
前記デバイスと前記ユーザ装置との間の通信を管理する管理装置と、を備えた通信システムであって、
前記管理装置は、請求項1乃至10のいずれか1項に記載の管理装置であり、
前記ユーザ装置は、前記デバイスと通信する場合、前記暗号化用情報によって暗号化された前記通信許可情報を該デバイスへ送信する送信部を有し、
前記デバイスは、前記ユーザ装置から送信される前記暗号化された前記通信許可情報を前記復号化用情報によって復号化し、復号化した該通信許可情報を用いて該ユーザ装置との通信の許否を判断する通信許否判断部を有することを特徴とする通信システム。 - 移動通信網を介したデバイスとユーザ装置との間の通信を管理する管理装置のコンピュータを機能させるプログラムであって、
前記移動通信網においてIP(Internet Protocol)を用いずにデータ通信を行う非IP通信方式により、前記ユーザ装置から送信されるデバイス識別情報に対応する前記デバイスに対する前記ユーザ装置の通信を許可するための通信許可情報、及び、暗号化用情報によって暗号化された前記通信許可情報を復号化するための復号化用情報を、前記デバイスへ送信する第一送信工程と、
前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、前記ユーザ装置へ送信する第二送信工程とを、前記コンピュータに実行させることを特徴とするプログラム。 - 移動通信網を介したデバイスとユーザ装置との間の通信を管理する管理装置の制御方法であって、
前記移動通信網においてIP(Internet Protocol)を用いずにデータ通信を行う非IP通信方式により、前記ユーザ装置から送信されるデバイス識別情報に対応する前記デバイスに対する前記ユーザ装置の通信を許可するための通信許可情報、及び、暗号化用情報によって暗号化された前記通信許可情報を復号化するための復号化用情報を、前記デバイスへ送信する第一送信工程と、
前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、前記ユーザ装置へ送信する第二送信工程とを有することを特徴とする制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018223815A JP6700371B1 (ja) | 2018-11-29 | 2018-11-29 | 管理装置、通信システム、プログラム及び制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018223815A JP6700371B1 (ja) | 2018-11-29 | 2018-11-29 | 管理装置、通信システム、プログラム及び制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6700371B1 JP6700371B1 (ja) | 2020-05-27 |
| JP2020088738A true JP2020088738A (ja) | 2020-06-04 |
Family
ID=70776051
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018223815A Active JP6700371B1 (ja) | 2018-11-29 | 2018-11-29 | 管理装置、通信システム、プログラム及び制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6700371B1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2022074303A (ja) * | 2020-11-04 | 2022-05-18 | ソフトバンク株式会社 | 通信装置、端末装置、通信システム、遠隔制御方法及びプログラム |
| JP2022178543A (ja) * | 2021-05-20 | 2022-12-02 | ソフトバンク株式会社 | 電子錠、梱包容器、管理装置、システム及びプログラム |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017119802A1 (ko) * | 2016-01-07 | 2017-07-13 | 엘지전자(주) | 무선 통신 시스템에서 nidd(non-ip data delivery) 구성 설정 방법 및 이를 위한 장치 |
| WO2018066668A1 (ja) * | 2016-10-07 | 2018-04-12 | 日本電気株式会社 | Scefエンティティ、通信端末、データ処理方法、データ受信方法、及び非一時的なコンピュータ可読媒体 |
| JP2018082362A (ja) * | 2016-11-17 | 2018-05-24 | Kddi株式会社 | 通信システム、通信装置、サーバ装置、通信方法、及びコンピュータプログラム |
| JP2018082353A (ja) * | 2016-11-17 | 2018-05-24 | Kddi株式会社 | 通信システム、サーバ、通信装置、通信方法、及びプログラム |
| JP2018148349A (ja) * | 2017-03-03 | 2018-09-20 | 日本電信電話株式会社 | センサネットワークシステムおよびデータ収集方法 |
| JP2018152796A (ja) * | 2017-03-14 | 2018-09-27 | Kddi株式会社 | 遠隔機器制御システム、及び、遠隔機器制御方法 |
-
2018
- 2018-11-29 JP JP2018223815A patent/JP6700371B1/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017119802A1 (ko) * | 2016-01-07 | 2017-07-13 | 엘지전자(주) | 무선 통신 시스템에서 nidd(non-ip data delivery) 구성 설정 방법 및 이를 위한 장치 |
| WO2018066668A1 (ja) * | 2016-10-07 | 2018-04-12 | 日本電気株式会社 | Scefエンティティ、通信端末、データ処理方法、データ受信方法、及び非一時的なコンピュータ可読媒体 |
| JP2018082362A (ja) * | 2016-11-17 | 2018-05-24 | Kddi株式会社 | 通信システム、通信装置、サーバ装置、通信方法、及びコンピュータプログラム |
| JP2018082353A (ja) * | 2016-11-17 | 2018-05-24 | Kddi株式会社 | 通信システム、サーバ、通信装置、通信方法、及びプログラム |
| JP2018148349A (ja) * | 2017-03-03 | 2018-09-20 | 日本電信電話株式会社 | センサネットワークシステムおよびデータ収集方法 |
| JP2018152796A (ja) * | 2017-03-14 | 2018-09-27 | Kddi株式会社 | 遠隔機器制御システム、及び、遠隔機器制御方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2022074303A (ja) * | 2020-11-04 | 2022-05-18 | ソフトバンク株式会社 | 通信装置、端末装置、通信システム、遠隔制御方法及びプログラム |
| JP7135055B2 (ja) | 2020-11-04 | 2022-09-12 | ソフトバンク株式会社 | 通信システム及び遠隔制御方法 |
| JP2022178543A (ja) * | 2021-05-20 | 2022-12-02 | ソフトバンク株式会社 | 電子錠、梱包容器、管理装置、システム及びプログラム |
| JP7346493B2 (ja) | 2021-05-20 | 2023-09-19 | ソフトバンク株式会社 | 管理装置、システム及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6700371B1 (ja) | 2020-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3346637B1 (en) | Method and device for downloading profile in communication system | |
| US10694046B2 (en) | Method and system for charging information recording in device to device (D2D) communication | |
| JP6574238B2 (ja) | デバイスを別のデバイスのネットワークサブスクリプションと関係付けること | |
| CN107852341B (zh) | 用于特征的授权和激活的子系统 | |
| WO2017091959A1 (zh) | 一种数据传输方法、用户设备和网络侧设备 | |
| CN110720202B (zh) | 针对未经认证的用户设备利用安全密钥交换以进行受限服务的附着过程的方法和装置 | |
| CN108886674B (zh) | 通过通信网络中继数据的系统和方法 | |
| EP2740299B1 (en) | Method and apparatus for distributing wireless local area network access information | |
| US9788202B2 (en) | Method of accessing a WLAN access point | |
| KR20180039061A (ko) | 디바이스의 피처들의 세트의 사용을 위한 인가를 검증 | |
| KR20150051568A (ko) | 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템 | |
| KR102119586B1 (ko) | 통신 네트워크를 통해 데이터를 릴레이하는 시스템 및 방법 | |
| CN109391942A (zh) | 触发网络鉴权的方法及相关设备 | |
| US10750363B2 (en) | Methods and apparatuses for conditional WiFi roaming | |
| CN107659935B (zh) | 一种认证方法、认证服务器、网管系统及认证系统 | |
| JP6700371B1 (ja) | 管理装置、通信システム、プログラム及び制御方法 | |
| US20220174497A1 (en) | Communication Method And Apparatus | |
| GB2485388A (en) | Authorising a user device comprising a subscriber identity module to access wireless networks other than a cellular network | |
| US9060028B1 (en) | Method and apparatus for rejecting untrusted network | |
| KR102185215B1 (ko) | 인증 장치의 동작 방법, 네트워크 접속 및 인증 시스템, 종단단말의 동작 방법 및 접속단말의 동작 방법 | |
| WO2018231660A1 (en) | Enhanced mobile subscriber privacy in telecommunications networks | |
| KR20180097113A (ko) | 비신뢰 접속망을 이용한 전용망 접속 제어 시스템, 방법 및 사용자 단말 | |
| KR101338487B1 (ko) | I-wlan에서 인증 서버 및 그의 접속 인증 방법 | |
| US9043873B1 (en) | Method and apparatus for rejecting untrusted network | |
| WO2023126296A1 (en) | Authentication support for an electronic device to connect to a telecommunications network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190320 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200212 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200403 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200430 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6700371 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |