JP2023056740A - Routing control system, routing control device, device management device, routing control method, and program - Google Patents

Routing control system, routing control device, device management device, routing control method, and program Download PDF

Info

Publication number
JP2023056740A
JP2023056740A JP2021166127A JP2021166127A JP2023056740A JP 2023056740 A JP2023056740 A JP 2023056740A JP 2021166127 A JP2021166127 A JP 2021166127A JP 2021166127 A JP2021166127 A JP 2021166127A JP 2023056740 A JP2023056740 A JP 2023056740A
Authority
JP
Japan
Prior art keywords
authentication
route
unit
sim
route control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021166127A
Other languages
Japanese (ja)
Inventor
和彦 太田
Kazuhiko Ota
正俊 渡邉
Masatoshi Watanabe
英哉 志村
Hideya Shimura
幸中 松山
Yukinaka Matsuyama
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2021166127A priority Critical patent/JP2023056740A/en
Publication of JP2023056740A publication Critical patent/JP2023056740A/en
Pending legal-status Critical Current

Links

Images

Abstract

To prevent unauthorized use of a SIM-equipped device.SOLUTION: A route control system includes a first authentication unit that performs first authentication on a device subject to route control, a second authentication unit that performs second authentication on the device, and a route control unit that connects the device to the second authentication unit through the first route when the first authentication is successful, and connects the device to a target server through the second route when the second authentication by second authentication unit is successful.SELECTED DRAWING: Figure 1

Description

本発明は、デバイスを認証する技術に関連するものである。 The present invention relates to technology for authenticating devices.

5G/IoT時代を迎え、モバイル(例えばLTE/5G)回線を用いてIoT(Internet of Things)でのDX推進を進める取り組みが活発化している。特に、高速大容量・低遅延・高信頼および多数同時接続という特性を持つ5Gが各種IoT機器から収集したビッグデータを産業ごとにAIで解析し、それぞれの分野で新たな価値を創出すると期待されている。 With the arrival of the 5G/IoT era, efforts to promote DX in IoT (Internet of Things) using mobile (eg, LTE/5G) lines are becoming active. In particular, 5G, which has the characteristics of high speed, large capacity, low latency, high reliability, and multiple simultaneous connections, is expected to create new value in each field by analyzing big data collected from various IoT devices with AI for each industry. ing.

一方で、様々な場所に設置される膨大なIoTデバイスを管理する必要があり、特に、セキュリティインシデントによる情報漏洩や、IoTデバイスやサーバへの攻撃から守る必要がある。 On the other hand, it is necessary to manage a huge number of IoT devices installed in various places, and in particular, to protect them from information leaks due to security incidents and attacks on IoT devices and servers.

特開2020-137100号公報Japanese Patent Application Laid-Open No. 2020-137100

モバイル(LTE/5G)回線は、耐タンパ性のあるSIMを用いた認証により、無線回線の接続を行うため、無線回線として普及しているWi-Fi(登録商標)に比べセキュリティが高いとされている。 Mobile (LTE/5G) lines are said to have higher security than Wi-Fi (registered trademark), which is widely used as a wireless line, because wireless lines are connected by authentication using a tamper-resistant SIM. ing.

しかしながら、IoTデバイスは人が管理し難い場所に設置されるため、不正にIoTデバイスやSIMを差し替えて、不正に利用される恐れがある。なお、このような不正利用はIoTデバイスに限らずに生じ得る課題である。 However, since IoT devices are installed in places that are difficult for people to manage, there is a risk that IoT devices and SIMs will be illegally replaced and used illegally. It should be noted that such unauthorized use is a problem that can occur not only in IoT devices.

本発明は上記の点に鑑みてなされたものであり、SIMを搭載するデバイスの不正利用を防止するための技術を提供することを目的とする。 SUMMARY OF THE INVENTION The present invention has been made in view of the above points, and an object of the present invention is to provide a technique for preventing unauthorized use of a device equipped with a SIM.

開示の技術によれば、経路制御の対象となるデバイスに関する第1認証を行う第1認証部と、
前記デバイスに関する第2認証を行う第2認証部と、
前記第1認証に成功した場合に、第1経路で前記デバイスを前記第2認証部に接続させ、前記第2認証部による前記第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御部と
を備える経路制御システムが提供される。 According to the disclosed technique, a first authentication unit that performs first authentication regarding a device to be route-controlled;
a second authentication unit that performs a second authentication on the device;
If the first authentication is successful, the device is connected to the second authentication unit through a first route, and if the second authentication by the second authentication unit is successful, the device is connected through a second route. A routing control system is provided comprising: a routing control unit for connecting to a server of;

開示の技術によれば、SIMを搭載するデバイスの不正利用を防止するための技術が提供される。 According to the disclosed technique, a technique for preventing unauthorized use of a SIM-equipped device is provided.

実施の形態の概要を説明するための図である。BRIEF DESCRIPTION OF THE DRAWINGS It is a figure for demonstrating the outline|summary of embodiment. システムの構成例を示す図である。It is a figure which shows the structural example of a system. システムの動作を説明するためのシーケンス図である。FIG. 4 is a sequence diagram for explaining the operation of the system; 経路制御装置の機能構成図である。3 is a functional configuration diagram of a route control device; FIG. デバイス管理装置の機能構成図である。3 is a functional configuration diagram of a device management apparatus; FIG. IoTデバイスの機能構成図である。1 is a functional configuration diagram of an IoT device; FIG. 装置のハードウェア構成例を示す図である。It is a figure which shows the hardware configuration example of an apparatus.

以下、図面を参照して本発明の実施の形態(本実施の形態)を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。 An embodiment (this embodiment) of the present invention will be described below with reference to the drawings. The embodiments described below are merely examples, and embodiments to which the present invention is applied are not limited to the following embodiments.

以下の説明では、認証対象のデバイスとしてIoTデバイスを使用し、認証方式として、SIM認証と機体認証を使用しているが、これらは例である。本発明に係る技術は、IoTデバイス以外のデバイスに適用することも可能である。また、本発明に係る技術は、SIM認証及び機体認証以外の認証方式にも適用可能である。 In the following description, an IoT device is used as a device to be authenticated, and SIM authentication and device authentication are used as authentication methods, but these are examples. The technology according to the present invention can also be applied to devices other than IoT devices. Also, the technology according to the present invention can be applied to authentication methods other than SIM authentication and device authentication.

(実施の形態の概要)
本実施の形態では、前述した課題を解決するために、IoTデバイスに搭載されたSIMによる認証と、デバイスの機体認証(例:IMEIを用いた認証)とを組み合わせた認証を行い、SIMと機体とが正しい組み合わせであると判断できた場合にのみ、組み合わせに対応した特定の接続経路(論理パスと呼んでもよい)でIoTデバイスをネットワーク接続させる。 (Overview of Embodiment)
In this embodiment, in order to solve the above-mentioned problems, authentication is performed by combining authentication by the SIM installed in the IoT device and device authentication of the device (example: authentication using IMEI). is a correct combination, the IoT device is connected to the network through a specific connection path (which may be called a logical path) corresponding to the combination.

図1を参照して本実施の形態におけるシステム概要、及び動作概要を説明する。図1に示すように、本実施の形態に係る経路制御システムは、経路制御部21、第1認証部22、第2認証部23を含む。 A system outline and an operation outline in this embodiment will be described with reference to FIG. As shown in FIG. 1, the routing control system according to this embodiment includes a routing control section 21, a first authentication section 22, and a second authentication section 23. FIG.

例えば、第1認証部22が、IoTデバイス10に搭載されたSIM11の情報に基づくSIM認証を行う。第2認証部23は、IoTデバイス10の機体番号に基づく機体認証を行う。 For example, the first authentication unit 22 performs SIM authentication based on information on the SIM 11 installed in the IoT device 10 . The second authentication unit 23 performs device authentication based on the device number of the IoT device 10 .

図1に示すように、SIM11の搭載されたIoTデバイス10に対して、SIM認証と機体認証の両方がOKであれば、経路制御部21は、IoTデバイス10をNW1へ接続するように、経路制御を実行する。 As shown in FIG. 1, if both SIM authentication and device authentication are OK for the IoT device 10 with the SIM 11 installed, the route control unit 21 connects the IoT device 10 to the NW1. Execute control.

NW1とは、例えば、IoTデバイス10が収集した情報のアップロード先のサーバに接続されるネットワーク、IoTデバイス10への制御情報を送信するサーバに接続されるネットワーク等である。また、ネットワークスライシング技術を採用しているシステムにおいては、NW1が、IoTデバイス10に適した特性(例:低遅延)を備えるネットワークスライスであってもよい。 The NW1 is, for example, a network connected to a server to which information collected by the IoT device 10 is uploaded, a network connected to a server that transmits control information to the IoT device 10, or the like. Also, in a system that employs network slicing technology, the NW1 may be a network slice with characteristics (eg, low latency) suitable for the IoT device 10. FIG.

IoTデバイス10に対するSIM認証と機体認証のうちのいずれか1つがOKである場合、経路制御部21は、IoTデバイス10をNW2へ接続させる経路制御を行う。NW2とは、例えば、SIM認証と機体認証のうちのOKが確認されていないほうの認証を行うためのサーバに接続するネットワーク(検疫ネットワークと呼んでもよい)である。なお、IoTデバイス10に対するSIM認証と機体認証のうちのいずれか1つがOKである場合(つまり、両方がOKにならない場合)に、強制的に接続を遮断することとしてもよい。 If any one of SIM authentication and device authentication for the IoT device 10 is OK, the route control unit 21 performs route control for connecting the IoT device 10 to the NW2. NW2 is, for example, a network (which may be called a quarantine network) that connects to a server for performing authentication, whichever of SIM authentication and device authentication has not been confirmed as OK. The connection may be forcibly cut off when either one of SIM authentication and device authentication for the IoT device 10 is OK (that is, when both are not OK).

本技術により、従来のSIMだけでは対応できなかったIoTデバイスのすり替えによる「なりすまし」を防ぐだけでなく、「別サーバへの転送による情報漏洩」を防ぐことも可能となる。 With this technology, it is possible not only to prevent "spoofing" due to switching IoT devices, which was not possible with conventional SIM alone, but also to prevent "information leakage due to transfer to another server".

(システム構成例)
図2に、本実施の形態におけるシステム構成例を示す。図2に示す例は、本発明に係る技術をローカル5Gのシステムに適用した例である。これは一例であり、本発明に係る技術はローカルのシステムに限らず、広域(グローバル)のシステムに対しても適用可能である。また、本発明に係る技術は5Gのネットワークに限らずに適用可能である。例えば、3G、4G(LTE)、6Gにも適用可能である。 (System configuration example)
FIG. 2 shows a system configuration example in this embodiment. The example shown in FIG. 2 is an example in which the technology according to the present invention is applied to a local 5G system. This is just an example, and the technology according to the present invention is applicable not only to local systems but also to global systems. Also, the technology according to the present invention is applicable without being limited to 5G networks. For example, it is applicable to 3G, 4G (LTE), and 6G.

図2に示すシステムでは、工場内にローカル5Gシステムが構成されている。ローカル5Gシステムは、ローカル5G基地局、及び5GC(5Gコアネットワーク)を有する。5GC内には、経路制御装置100、UPF1~3が含まれる。 In the system shown in FIG. 2, a local 5G system is configured within the factory. A local 5G system comprises a local 5G base station and a 5GC (5G core network). The 5GC includes the route control device 100 and UPF1-3.

経路制御装置100は、IoT10デバイスのデータの接続経路(パス、セッション、などと呼んでもよい)を確立、制御するための装置である。また、経路制御装置100は、認証機能も含む。なお、認証機能は経路制御装置100の外部にあってもよい。5Gにおいて、経路制御装置100は、例えば、AMF、SMF、UDM等から構成される。UPFはデータ転送等を行う装置である。UPFを転送装置と呼んでもよい。 The route control device 100 is a device for establishing and controlling data connection routes (also called paths, sessions, etc.) of IoT 10 devices. The route control device 100 also includes an authentication function. Note that the authentication function may be provided outside the route control device 100 . In 5G, the route control device 100 is composed of AMF, SMF, UDM, etc., for example. A UPF is a device that performs data transfer and the like. A UPF may be called a forwarder.

経路制御装置100は、1つの装置(コンピュータ)で構成されてもよいし、複数の装置で構成されてもよい。 The route control device 100 may be composed of one device (computer) or may be composed of a plurality of devices.

また、IoTデバイス10の例として、AGV(automated guided vehicle)10Aとカメラ10Bが示されている。AGV10Aとカメラ10BはそれぞれSIMを搭載している。 Also, as an example of the IoT device 10, an AGV (automated guided vehicle) 10A and a camera 10B are shown. The AGV 10A and the camera 10B are each equipped with a SIM.

更に、デバイス管理装置200、AGV制御サーバ300、映像蓄積サーバ400、制御装置500が備えられる。なお、デバイス管理装置200をDMS(Device Management System)と呼んでもよい。 Further, a device management device 200, an AGV control server 300, an image storage server 400, and a control device 500 are provided. Note that the device management apparatus 200 may be called a DMS (Device Management System).

図2の例では、AGV制御サーバ300が工場内にあり、映像蓄積サーバ400がクラウド上にあるが、このような配置は一例である。例えば、AGV制御サーバ300と映像蓄積サーバ400の両方とも工場内にあってもよいし、AGV制御サーバ300と映像蓄積サーバ400の両方ともクラウド上にあってもよい。 In the example of FIG. 2, the AGV control server 300 is in the factory and the video storage server 400 is in the cloud, but this arrangement is just an example. For example, both the AGV control server 300 and the video storage server 400 may be in the factory, or both the AGV control server 300 and the video storage server 400 may be on the cloud.

デバイス管理装置200は、各IoTデバイス10の機体番号(例えば、IMEI)とSIMのIMSIを管理し、IoTデバイス10の真正性をチェックする機能を有する。各IoTデバイス10は、デバイス管理装置200と機体番号のやり取りを行う事ができるアプリケーションが搭載されている。 The device management apparatus 200 has a function of managing the device number (for example, IMEI) of each IoT device 10 and the IMSI of the SIM, and checking the authenticity of the IoT device 10 . Each IoT device 10 is loaded with an application capable of exchanging device numbers with the device management apparatus 200 .

本実施の形態では、IoTデバイス10のSIM認証がOKになった場合に、IoTデバイス10をデバイス管理装置200に接続させ、デバイス管理装置200においてIoTデバイス10の機体番号を用いた認証(機体認証)を行う。 In the present embodiment, when the SIM authentication of the IoT device 10 is OK, the IoT device 10 is connected to the device management apparatus 200, and the device management apparatus 200 performs authentication using the device number of the IoT device 10 (device authentication). )I do.

機体認証がOKになった場合に、IoTデバイス10を、目的のサーバに接続させる。図2の例では、AGV10AはAGV制御サーバ300に接続し、カメラ10Bは映像蓄積サーバ400に接続する。AGV制御サーバ300は、例えば、AGV10Aから受信するセンサ情報に基づいて、AGV10Aへ制御命令を送信する。映像蓄積サーバ400は、カメラ10Aから受信した映像データを蓄積する。制御装置500は、例えば、各装置に対する設定等を行う。 When the device authentication is OK, the IoT device 10 is connected to the target server. In the example of FIG. 2, the AGV 10A connects to the AGV control server 300, and the camera 10B connects to the video storage server 400. FIG. The AGV control server 300 transmits control instructions to the AGV 10A, for example, based on sensor information received from the AGV 10A. The video storage server 400 stores video data received from the camera 10A. The control device 500, for example, makes settings for each device.

(システムの動作例)
図3を参照して本実施の形態におけるシステムの動作例を説明する。なお、図3に示すシステムは、図2に示したような5Gのシステムであってもよいし、5G以外のシステム(例:3G、4G、6G)であってもよいし、これら以外のシステムであってもよい。なお、経路制御装置100とIoTデバイス10との間には無線基地局が存在し、IoTデバイス10は無線基地局を介して経路制御装置100と通信を行う。 (Example of system operation)
An operation example of the system according to the present embodiment will be described with reference to FIG. The system shown in FIG. 3 may be a 5G system as shown in FIG. 2, a system other than 5G (eg, 3G, 4G, 6G), or a system other than these may be A wireless base station exists between the route control device 100 and the IoT device 10, and the IoT device 10 communicates with the route control device 100 via the wireless base station.

S101において、IoTデバイス10は、SIMの固有ID(例:IMSI)を含む接続要求信号を経路制御装置100に送信する。経路制御装置100は、各ユーザ(IoTデバイス)のユーザ情報(SIMの固有IDを含む)を保持しており、例えば、該当ユーザのSIMの固有IDと、S101でIoTデバイス10から受信したSIMの固有IDとを照合することでIoTデバイス10の認証(SIM認証)を行う(S102)。 In S<b>101 , the IoT device 10 transmits a connection request signal including a SIM unique ID (eg, IMSI) to the route control device 100 . The route control device 100 holds user information (including the SIM unique ID) of each user (IoT device). Authentication (SIM authentication) of the IoT device 10 is performed by matching with the unique ID (S102).

S102におけるSIM認証に失敗した場合、経路制御装置100はIoTデバイス10に対して、接続を拒否する信号を送信することにより、接続を遮断する。図3の例では、S102のSIM認証に成功したものとする。 If the SIM authentication in S102 fails, the route control device 100 cuts off the connection by sending a connection rejection signal to the IoT device 10 . In the example of FIG. 3, it is assumed that the SIM authentication in S102 has succeeded.

経路制御装置103は、IoTデバイス10の検疫ネットワークへの接続を認可し、経路設定を行って、S103において、検疫ネットワーク接続認可を示す接続応答信号をIoTデバイス10に返す。接続応答信号には、例えば、接続先の識別子(例:デバイス管理装置200を示すアドレス等)、接続先のネットワーク情報(例:トンネルの識別子、スライスの識別子)等が含まれる。 The route control device 103 authorizes the connection of the IoT device 10 to the quarantine network, sets up the route, and returns a connection response signal indicating the authorization of the quarantine network connection to the IoT device 10 in S103. The connection response signal includes, for example, a connection destination identifier (eg, an address indicating the device management apparatus 200, etc.), connection destination network information (eg, tunnel identifier, slice identifier), and the like.

図3の例において、転送装置1が、データをデバイス管理装置200に転送するための装置(例:デバイス管理装置200に接続しているUPF)である。S104及びS105において、IoTデバイス10は、上記経路設定に従って、検疫ネットワーク(転送装置1)に仮接続し、デバイス管理装置200に対してIoTデバイス10の固有ID(機体番号)を送信する。 In the example of FIG. 3, the transfer device 1 is a device for transferring data to the device management device 200 (eg, UPF connected to the device management device 200). In S<b>104 and S<b>105 , the IoT device 10 temporarily connects to the quarantine network (transfer device 1 ) according to the route setting, and transmits the unique ID (device number) of the IoT device 10 to the device management apparatus 200 .

S106において、デバイス管理装置200は、IoTデバイス10に対する機体認証を行う。例えば、デバイス管理装置200は、各IoTデバイスの機体番号を保持しており、該当IoTデバイス10の機体番号と、S104及びS105でIoTデバイス10から受信した機体番号とを照合することでIoTデバイス10の認証(機体認証)を行うことができる。 In S<b>106 , the device management apparatus 200 performs device authentication for the IoT device 10 . For example, the device management apparatus 200 holds the device number of each IoT device, and by comparing the device number of the corresponding IoT device 10 with the device number received from the IoT device 10 in S104 and S105, the IoT device 10 authentication (device authentication) can be performed.

また、S104及びS105において、IoTデバイス10からデバイス管理装置200に対して、機体番号とともにSIMの固有IDが送信されてもよい。デバイス管理装置200は、各IoTデバイスの機体番号及びSIMの固有IDを保持しており、該当IoTデバイス10の機体番号及びSIMの固有IDと、S104及びS105でIoTデバイス10から受信した機体番号及びSIMの固有IDとを照合することでIoTデバイス10の認証(機体認証)を行うこととしてもよい。 Further, in S104 and S105, the device number and the unique ID of the SIM may be transmitted from the IoT device 10 to the device management apparatus 200. FIG. The device management apparatus 200 holds the device number and SIM unique ID of each IoT device, and the device number and SIM unique ID of the corresponding IoT device 10, and the device number and SIM received from the IoT device 10 in S104 and S105. Authentication of the IoT device 10 (device authentication) may be performed by collating it with the unique ID of the SIM.

S106における機体認証に失敗した場合、デバイス管理装置200は、例えば、IoTデバイス10に対して、接続を拒否する信号を送信することにより、接続を遮断する。図3の例では、S106の機体認証に成功したものとする。これにより、SIM及びIoTデバイス10ともに正規と判断することができ、IoTデバイス10の真正性が確認される。 If the device authentication in S106 fails, the device management apparatus 200 cuts off the connection by, for example, transmitting a connection rejection signal to the IoT device 10 . In the example of FIG. 3, it is assumed that the device authentication in S106 has succeeded. As a result, both the SIM and the IoT device 10 can be determined to be legitimate, and the authenticity of the IoT device 10 is confirmed.

S107において、デバイス管理装置200は、経路制御装置100に対し、IoTデバイス10の通信の正しい経路を設定させるための経路制御情報を含む経路更新指示と、仮接続解放指示を送信する。S107の具体例は下記のとおりである。 In S<b>107 , the device management apparatus 200 transmits to the route control apparatus 100 a route update instruction including route control information for setting a correct route for communication of the IoT device 10 and a temporary connection release instruction. A specific example of S107 is as follows.

デバイス管理装置200は、例えば、各IoTデバイスにおける、機器種別あるいはアプリケーション種別あるいはサービス種別の情報を保持している。ここでは、機器種別とアプリケーション種別とサービス種別とを総称して「サービス種別」と呼ぶことにする。 The device management apparatus 200 holds, for example, device type, application type, or service type information for each IoT device. Here, the device type, the application type, and the service type are collectively referred to as "service type".

S107において、例えば、デバイス管理装置200は、「SIM認証+機体認証」に成功したIoTデバイス10のサービス種別を経路制御情報として含む経路更新指示を経路制御装置100に送信する。 In S<b>107 , for example, the device management apparatus 200 transmits to the route control apparatus 100 a route update instruction including, as route control information, the service type of the IoT device 10 that has successfully passed “SIM authentication+device authentication”.

また、S107において、デバイス管理装置200は、「SIM認証+機体認証」に成功したIoTデバイス10が接続すべきスライスの識別子、あるいは接続すべきトンネル(論理パスと呼んでもよい)の識別子を経路制御情報として含む経路更新指示を経路制御装置100に送信してもよい。 In addition, in S107, the device management apparatus 200 routes the identifier of the slice to which the IoT device 10 that has successfully passed the "SIM authentication + machine authentication" or the identifier of the tunnel (which may be called a logical path) to be connected is routed. A route update instruction included as information may be transmitted to the route control device 100 .

経路更新指示、及び仮接続解放指示を受信した経路制御装置100は、仮接続の経路を解放するとともに、S108において、IoTデバイス10に対して仮接続の解法を通知する。 Upon receiving the route update instruction and the temporary connection release instruction, the route control device 100 releases the temporary connection route and notifies the IoT device 10 of the temporary connection solution in S108.

また、経路制御装置100は、経路更新指示に含まれる経路制御情報に基づいて、IoTデバイス10のサービス種別等に対応する適切な経路を設定する。ここでの経路設定は、例えば、IoTデバイス10のサービス種別に対応するトンネル(論理パス)、あるいは、スライスを、IoTデバイス10(あるいはIoTデバイス10が接続する無線基地局)と、通信の宛先となるサーバに接続する転送装置(例:UPF)との間に設定することである。 Also, the route control device 100 sets an appropriate route corresponding to the service type of the IoT device 10 based on the route control information included in the route update instruction. The route setting here is, for example, connecting a tunnel (logical path) or slice corresponding to the service type of the IoT device 10 to the IoT device 10 (or a wireless base station to which the IoT device 10 is connected) and the communication destination. It is to set between a transfer device (eg UPF) connected to a server.

スライスに関しては、例えば、サービス種別が低遅延を要するサービス(例:自動運転制御)に関わるものであれば、低遅延のスライスを設定し、サービス種別が大容量伝送を要するサービス(例:映像配信)に関わるものであれば、大容量のスライスを設定する。 Regarding slices, for example, if the service type is related to a service that requires low delay (e.g. autonomous driving control), set a low-delay slice, and if the service type is a service that requires large-capacity transmission (e.g. video distribution) ), set a large slice.

仮接続を解放されたIoTデバイス10は、S109において、再度、接続要求信号を送信することにより接続を要求する。S110において、経路制御装置100は、SIMの固有ID(IMSI)で認証を行う。ここでは、認証に成功するものとする。 The IoT device 10 whose temporary connection has been released requests connection by transmitting a connection request signal again in S109. In S110, the route control device 100 authenticates with the SIM unique ID (IMSI). Assume here that the authentication succeeds.

S111において、経路制御装置100は、更新された経路への接続を認可する情報を含む接続応答信号をIoTデバイス10に送信する。当該情報は、例えば、接続するべきトンネル(論理パス)の識別子、接続するべきスライスの識別子であってもよい。 In S<b>111 , the route control device 100 transmits to the IoT device 10 a connection response signal including information authorizing connection to the updated route. The information may be, for example, an identifier of a tunnel (logical path) to be connected and an identifier of a slice to be connected.

S112において、IoTデバイス10は、データ通信を開始する。図3の例では、転送装置3が宛先のサーバに接続されているとする。例えば、IoTデバイス10から送信されたパケットは、経路制御装置100により設定された経路(トンネル、スライス等)に従って、宛先のサーバに接続された転送装置3まで転送され、転送装置3から宛先のサーバに転送される。逆方向のパケットも同じ経路を通ってIoTデバイス10まで転送することができる。 At S112, the IoT device 10 starts data communication. In the example of FIG. 3, it is assumed that the transfer device 3 is connected to the destination server. For example, a packet transmitted from the IoT device 10 is transferred to the transfer device 3 connected to the destination server according to the route (tunnel, slice, etc.) set by the route control device 100, and transferred from the transfer device 3 to the destination server. transferred to Packets in the reverse direction can also be transferred to the IoT device 10 through the same route.

なお、上記の例では、SIM認証に成功した場合に、機体認証を実施することとしているが、それとは逆の処理であってもよい。例えば、下記の処理を行ってもよい。 In the above example, device authentication is performed when SIM authentication is successful, but the process may be reversed. For example, the following processing may be performed.

まず、IoTデバイス10が、SIMを使用しないWi-Fi(登録商標)等のネットワークに接続されたデバイス管理装置200に機体番号を送信することで機体認証を行って、認証に成功した場合に、機体認証に成功したことを経路制御装置100に通知する。 First, when the IoT device 10 performs device authentication by transmitting the device number to the device management apparatus 200 connected to a network such as Wi-Fi (registered trademark) that does not use SIM, and the authentication succeeds, It notifies the route control device 100 that the device authentication has succeeded.

機体認証に成功したことの通知を受けた経路制御装置100は、IoTデバイス100を、SIM認証を行うネットワークの装置(例えば経路制御装置100)へ接続させるように経路制御を行って、IoTデバイス100を当該装置に接続させ、当該装置でSIM認証に成功した場合に、経路制御装置100はIoTデバイス10を目的のネットワークへ接続させるように経路制御を実行する。 The routing control device 100 that has received the notification of the success of the device authentication performs routing control to connect the IoT device 100 to a network device that performs SIM authentication (for example, the routing control device 100). is connected to the device, and if the device succeeds in SIM authentication, the route control device 100 executes route control so as to connect the IoT device 10 to the target network.

(装置構成例)
図4に、本実施の形態における経路制御装置100の構成例を示す。図4に示すように、経路制御装置100は、認証部110、経路制御部120、及びデータ格納部130を備える。データ格納部130には、各ユーザ(各IoTデバイス)のSIMの固有IDを含むユーザ情報等が格納されている。 (Device configuration example)
FIG. 4 shows a configuration example of the route control device 100 in this embodiment. As shown in FIG. 4, the route control device 100 includes an authentication unit 110, a route control unit 120, and a data storage unit . The data storage unit 130 stores user information including the unique ID of the SIM of each user (each IoT device).

認証部110は、IoTデバイス10から受信したSIMの固有IDと、データ格納部130に格納されているSIMの固有IDを用いてSIM認証を行う。 The authentication unit 110 performs SIM authentication using the SIM unique ID received from the IoT device 10 and the SIM unique ID stored in the data storage unit 130 .

経路制御部120は、認証部110による認証結果、あるいは、デバイス管理装置200から受信する経路制御情報に基づいて、経路設定等を行う。 The route control unit 120 performs route setting and the like based on the result of authentication by the authentication unit 110 or route control information received from the device management apparatus 200 .

図5に、本実施の形態におけるデバイス管理装置200の構成例を示す。図5に示すように、デバイス管理装置200は、認証部210、経路制御指示部220、及びデータ格納部230を備える。データ格納部130には、各IoTデバイスの固有ID(機体番号)を含むユーザ情報等が格納されている。 FIG. 5 shows a configuration example of the device management apparatus 200 according to this embodiment. As shown in FIG. 5, the device management apparatus 200 includes an authentication section 210, a route control instruction section 220, and a data storage section 230. FIG. The data storage unit 130 stores user information including the unique ID (device number) of each IoT device.

認証部210は、IoTデバイス10から受信した機体の固有IDと、データ格納部130に格納されている機体の固有IDを用いて機体認証を行う。 The authentication unit 210 performs device authentication using the unique ID of the device received from the IoT device 10 and the unique ID of the device stored in the data storage unit 130 .

経路制御指示部220は、認証部210により機体認証に成功した場合に、経路制御装置100に対して経路制御指示(経路更新指示等)を送信する。 The route control instruction unit 220 transmits a route control instruction (route update instruction, etc.) to the route control device 100 when the authentication unit 210 succeeds in device authentication.

図6に、本実施の形態におけるIoTデバイス10の構成例を示す。図6に示すように、IoTデバイス10は、SIM11、通信部12、データ格納部13を備える。通信部12は、モバイル網、Wi-Fi(登録商標)などのネットワークに接続して、サーバ等と通信を行う。データ格納部13には、固有ID(機体番号、IMEI等)が格納されている。例えば、通信部12は、経路制御装置100から検疫ネットワークへの接続認可を受けた場合に、データ格納部13から固有IDを読み出して、デバイス管理装置200に送信する。 FIG. 6 shows a configuration example of the IoT device 10 in this embodiment. As shown in FIG. 6, the IoT device 10 has a SIM 11, a communication section 12, and a data storage section 13. FIG. The communication unit 12 connects to a network such as a mobile network or Wi-Fi (registered trademark) and communicates with a server or the like. The data storage unit 13 stores a unique ID (device number, IMEI, etc.). For example, the communication unit 12 reads out the unique ID from the data storage unit 13 and transmits it to the device management apparatus 200 when receiving permission to connect to the quarantine network from the routing control apparatus 100 .

(装置のハードウェア構成例)
IoTデバイス10、経路制御装置100、及びデバイス管理装置200はいずれも、例えば、1つ又は複数のコンピュータにプログラムを実行させることにより実現することができる。経路制御装置100、及びデバイス管理装置200に使用するコンピュータは物理マシンであってもよいし、クラウド上の仮想マシンであってもよい。以下、IoTデバイス10、経路制御装置100、及びデバイス管理装置200を総称して「装置」と呼ぶ。 (Hardware configuration example of the device)
Each of the IoT device 10, the route control device 100, and the device management device 200 can be implemented, for example, by causing one or more computers to execute programs. Computers used for the path control device 100 and the device management device 200 may be physical machines or virtual machines on the cloud. Hereinafter, the IoT device 10, the route control device 100, and the device management device 200 will be collectively referred to as "apparatus".

図7は、本実施の形態における上記コンピュータのハードウェア構成例を示す図である。なお、上記コンピュータが仮想マシンである場合、ハードウェア構成は仮想的なハードウェア構成である。図7のコンピュータは、それぞれバスBで相互に接続されているドライブ装置1000、補助記憶装置1002、メモリ装置1003、CPU1004、インタフェース装置1005、表示装置1006、入力装置1007、出力装置1008等を有する。 FIG. 7 is a diagram showing a hardware configuration example of the computer in this embodiment. Note that when the computer is a virtual machine, the hardware configuration is a virtual hardware configuration. The computer of FIG. 7 has a drive device 1000, an auxiliary storage device 1002, a memory device 1003, a CPU 1004, an interface device 1005, a display device 1006, an input device 1007, an output device 1008, etc., which are connected to each other via a bus B, respectively.

当該コンピュータでの処理を実現するプログラムは、例えば、CD-ROM又はメモリカード等の記録媒体1001によって提供される。プログラムを記憶した記録媒体1001がドライブ装置1000にセットされると、プログラムが記録媒体1001からドライブ装置1000を介して補助記憶装置1002にインストールされる。但し、プログラムのインストールは必ずしも記録媒体1001より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置1002は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。 A program for realizing processing by the computer is provided by a recording medium 1001 such as a CD-ROM or a memory card, for example. When the recording medium 1001 storing the program is set in the drive device 1000 , the program is installed from the recording medium 1001 to the auxiliary storage device 1002 via the drive device 1000 . However, the program does not necessarily need to be installed from the recording medium 1001, and may be downloaded from another computer via the network. The auxiliary storage device 1002 stores installed programs, as well as necessary files and data.

メモリ装置1003は、プログラムの起動指示があった場合に、補助記憶装置1002からプログラムを読み出して格納する。CPU1004は、メモリ装置1003に格納されたプログラムに従って、該当装置に係る機能を実現する。インタフェース装置1005は、ネットワークに接続するためのインタフェースとして用いられる。表示装置1006はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置1007はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置1008は演算結果を出力する。 The memory device 1003 reads and stores the program from the auxiliary storage device 1002 when a program activation instruction is received. The CPU 1004 implements functions related to the device according to programs stored in the memory device 1003 . The interface device 1005 is used as an interface for connecting to the network. A display device 1006 displays a program-based GUI (Graphical User Interface) or the like. An input device 1007 is composed of a keyboard, a mouse, buttons, a touch panel, or the like, and is used to input various operational instructions. The output device 1008 outputs the calculation result.

(実施の形態の効果)
以上説明した本実施の形態に係る技術によれば、正規のSIMと正規のIoTデバイスの組み合わせが使用された場合にのみ、IoTデバイスは正規のネットワーク経路へのアクセスが可能となる。逆に、悪意により、不正なSIMもしくは不正なIoTデバイスに差し替えが行われた場合、正規のネットワーク経路に接続はされず、悪意の攻撃や他サーバへの情報漏洩を防ぐことが可能となる。 (Effect of Embodiment)
According to the technology according to the present embodiment described above, the IoT device can access the authorized network path only when the combination of the authorized SIM and the authorized IoT device is used. Conversely, if the device is maliciously replaced with an unauthorized SIM or an unauthorized IoT device, it will not be connected to the authorized network path, making it possible to prevent malicious attacks and information leakage to other servers.

また、上記のような攻撃や情報漏洩に対する対処をシステム側で管理・制御することが可能となることから、IoTデバイスの管理等を行うNW管理者に負荷を与える事なく、膨大なIoTデバイスと通信路をセキュアに管理・運用することが可能となる。 In addition, since it is possible to manage and control the countermeasures against attacks and information leakage as described above on the system side, it is possible to manage a huge number of IoT devices without burdening NW administrators who manage IoT devices. It is possible to securely manage and operate communication channels.

(付記)
本明細書には、少なくとも下記各項の経路制御システム、経路制御装置、デバイス管理装置、経路制御方法、及びプログラムが開示されている。
(第1項)
経路制御の対象となるデバイスに関する第1認証を行う第1認証部と、
前記デバイスに関する第2認証を行う第2認証部と、
前記第1認証に成功した場合に、第1経路で前記デバイスを前記第2認証部に接続させ、前記第2認証部による前記第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御部と
を備える経路制御システム。
(第2項)
前記第1認証部は、前記デバイスに搭載されたSIMの固有IDを用いて前記第1認証を行い、前記第2認証部は、前記デバイスの機体の固有IDを用いて前記第2認証を行う
第1項に記載の経路制御システム。
(第3項)
デバイスに搭載されたSIMの固有IDを用いてSIM認証を行う認証部と、
前記SIM認証に成功した場合に、第1経路で前記デバイスをデバイス管理装置に接続させ、前記デバイス管理装置による前記デバイスに対する機体認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御部と
を備える経路制御装置。
(第4項)
デバイスに搭載されたSIMの固有IDを用いてSIM認証を行う経路制御装置により前記SIM認証に成功した場合に、前記デバイスから送信された前記デバイスの機体の固有IDを受信し、当該固有IDを用いて機体認証を行う認証部と、
前記認証部により機体認証に成功した場合に、前記デバイスを目的のサーバに接続させるための経路制御を前記経路制御装置に対して指示する経路制御指示部と
を備えるデバイス管理装置。
(第5項)
経路制御システムにおいて実行される経路制御方法であって、
第1認証部により、経路制御の対象となるデバイスに関する第1認証を行う第1認証ステップと、
前記第1認証に成功した場合に、第1経路で前記デバイスを第2認証部に接続させ、前記第2認証部による前記デバイスに関する第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御ステップと
を備える経路制御方法。
(第6項)
コンピュータを、第3項に記載の経路制御装置における各部として機能させるためのプログラム。
(第7項)
コンピュータを、第4項に記載のデバイス管理装置における各部として機能させるためのプログラム。 (Appendix)
This specification discloses at least a routing control system, a routing control device, a device management device, a routing control method, and a program as described below.
(Section 1)
a first authentication unit that performs first authentication on a device to be route-controlled;
a second authentication unit that performs a second authentication on the device;
If the first authentication is successful, the device is connected to the second authentication unit through a first route, and if the second authentication by the second authentication unit is successful, the device is connected through a second route. A route control system comprising: a route control unit for connecting to a server of;
(Section 2)
The first authentication unit performs the first authentication using a unique ID of the SIM installed in the device, and the second authentication unit performs the second authentication using a unique ID of the device body. The route control system according to item 1.
(Section 3)
an authentication unit that performs SIM authentication using the unique ID of the SIM installed in the device;
When the SIM authentication is successful, the device is connected to a device management apparatus through a first route, and when machine authentication of the device by the device management apparatus is successful, the device is connected to a target server through a second route. A route control device comprising: a route control unit to be connected;
(Section 4)
When the SIM authentication is successful by a route control device that performs SIM authentication using the unique ID of the SIM installed in the device, the unique ID of the device body transmitted from the device is received, and the unique ID is transmitted. an authentication unit that performs device authentication using
A device management apparatus comprising: a route control instruction section that instructs the route control apparatus to perform route control for connecting the device to a target server when the device authentication is successful by the authentication section.
(Section 5)
A routing method executed in a routing system,
a first authentication step in which a first authentication unit performs first authentication on a device to be route-controlled;
When the first authentication succeeds, the device is connected to a second authentication unit through a first route, and when the second authentication of the device by the second authentication unit succeeds, the device is connected through a second route. A routing control method comprising: a routing control step of connecting to a target server.
(Section 6)
A program for causing a computer to function as each unit in the route control device according to item 3.
(Section 7)
A program for causing a computer to function as each unit in the device management apparatus according to item 4.

以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。 Although the present embodiment has been described above, the present invention is not limited to such a specific embodiment, and various modifications and changes can be made within the scope of the gist of the present invention described in the claims. It is possible.

10 IoTデバイス
11 SIM
12 通信部
13 データ格納部
21 経路制御部
22 第1認証部
23 第2認証部
100 経路制御装置
110 認証部
120 経路制御部
130 データ格納部
200 デバイス管理装置
210 認証部
220 経路制御指示部
230 データ格納部
300 AGV制御サーバ
400 映像蓄積サーバ
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置 10 IoT devices 11 SIMs
12 communication unit 13 data storage unit 21 route control unit 22 first authentication unit 23 second authentication unit 100 route control device 110 authentication unit 120 route control unit 130 data storage unit 200 device management device 210 authentication unit 220 route control instruction unit 230 data Storage Unit 300 AGV Control Server 400 Video Storage Server 1000 Drive Device 1001 Recording Medium 1002 Auxiliary Storage Device 1003 Memory Device 1004 CPU
1005 interface device 1006 display device 1007 input device 1008 output device

Claims (7)

経路制御の対象となるデバイスに関する第1認証を行う第1認証部と、
前記デバイスに関する第2認証を行う第2認証部と、
前記第1認証に成功した場合に、第1経路で前記デバイスを前記第2認証部に接続させ、前記第2認証部による前記第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御部と
を備える経路制御システム。 a first authentication unit that performs first authentication on a device to be route-controlled;
a second authentication unit that performs a second authentication on the device;
If the first authentication is successful, the device is connected to the second authentication unit through a first route, and if the second authentication by the second authentication unit is successful, the device is connected through a second route. A route control system comprising: a route control unit for connecting to a server of; 前記第1認証部は、前記デバイスに搭載されたSIMの固有IDを用いて前記第1認証を行い、前記第2認証部は、前記デバイスの機体の固有IDを用いて前記第2認証を行う
請求項1に記載の経路制御システム。 The first authentication unit performs the first authentication using a unique ID of the SIM installed in the device, and the second authentication unit performs the second authentication using a unique ID of the device body. The route control system according to claim 1. デバイスに搭載されたSIMの固有IDを用いてSIM認証を行う認証部と、
前記SIM認証に成功した場合に、第1経路で前記デバイスをデバイス管理装置に接続させ、前記デバイス管理装置による前記デバイスに対する機体認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御部と
を備える経路制御装置。 an authentication unit that performs SIM authentication using the unique ID of the SIM installed in the device;
When the SIM authentication is successful, the device is connected to a device management apparatus through a first route, and when machine authentication of the device by the device management apparatus is successful, the device is connected to a target server through a second route. A route control device comprising: a route control unit to be connected; デバイスに搭載されたSIMの固有IDを用いてSIM認証を行う経路制御装置により前記SIM認証に成功した場合に、前記デバイスから送信された前記デバイスの機体の固有IDを受信し、当該固有IDを用いて機体認証を行う認証部と、
前記認証部により機体認証に成功した場合に、前記デバイスを目的のサーバに接続させるための経路制御を前記経路制御装置に対して指示する経路制御指示部と
を備えるデバイス管理装置。 When the SIM authentication is successful by a route control device that performs SIM authentication using the unique ID of the SIM installed in the device, the unique ID of the device body transmitted from the device is received, and the unique ID is transmitted. an authentication unit that performs device authentication using
A device management apparatus comprising: a route control instruction unit that instructs the route control unit to perform route control for connecting the device to a target server when the device authentication is successful by the authentication unit. 経路制御システムにおいて実行される経路制御方法であって、
第1認証部により、経路制御の対象となるデバイスに関する第1認証を行う第1認証ステップと、
前記第1認証に成功した場合に、第1経路で前記デバイスを第2認証部に接続させ、前記第2認証部による前記デバイスに関する第2認証に成功した場合に、前記デバイスを第2経路で目的のサーバに接続させる経路制御ステップと
を備える経路制御方法。 A routing method executed in a routing system,
a first authentication step in which a first authentication unit performs first authentication on a device to be route-controlled;
When the first authentication succeeds, the device is connected to a second authentication unit through a first route, and when the second authentication of the device by the second authentication unit succeeds, the device is connected through a second route. A routing control method comprising: a routing control step of connecting to a target server. コンピュータを、請求項3に記載の経路制御装置における各部として機能させるためのプログラム。 A program for causing a computer to function as each unit in the route control device according to claim 3. コンピュータを、請求項4に記載のデバイス管理装置における各部として機能させるためのプログラム。 A program for causing a computer to function as each unit in the device management apparatus according to claim 4.
JP2021166127A 2021-10-08 2021-10-08 Routing control system, routing control device, device management device, routing control method, and program Pending JP2023056740A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021166127A JP2023056740A (en) 2021-10-08 2021-10-08 Routing control system, routing control device, device management device, routing control method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021166127A JP2023056740A (en) 2021-10-08 2021-10-08 Routing control system, routing control device, device management device, routing control method, and program

Publications (1)

Publication Number Publication Date
JP2023056740A true JP2023056740A (en) 2023-04-20

Family

ID=86005105

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021166127A Pending JP2023056740A (en) 2021-10-08 2021-10-08 Routing control system, routing control device, device management device, routing control method, and program

Country Status (1)

Country Link
JP (1) JP2023056740A (en)

Similar Documents

Publication Publication Date Title
US11818108B2 (en) System and method for a multi system trust chain
EP2805473B1 (en) Security management for cloud services
US10826704B2 (en) Blockchain key storage on SIM devices
KR101883437B1 (en) Policy for secure packet transmission using required node paths and cryptographic signatures
US9350704B2 (en) Provisioning network access through a firewall
JPH05274266A (en) Method for providing security function for remote system management
US20190317481A1 (en) Firewall System and Method for Establishing Secured Communications Connections to an Industrial Automation System
EP3937052B1 (en) Methods and apparatuses for synchronizing data based on blockchain integrated station
CN110769420B (en) Network access method, device, terminal, base station and readable storage medium
US11889307B2 (en) End-to-end security for roaming 5G-NR communications
JP2002281010A (en) Key distributing system for protecting path update notification in micro mobility network
US20130166677A1 (en) Role-based access control method and apparatus in distribution system
US10116646B2 (en) Software-defined network threat control
CN113543121A (en) Protection method for updating terminal parameter and communication device
JP2023519997A (en) Method and communication apparatus for securing terminal parameter updates
KR101971995B1 (en) Method for decryping secure sockets layer for security
US8639741B2 (en) Method for distributing requests to server computers
JP2023056740A (en) Routing control system, routing control device, device management device, routing control method, and program
CN115021994A (en) Identity authentication method and device, electronic equipment and computer readable storage medium
CN112350939B (en) Bypass blocking method, system, device, computer equipment and storage medium
JP2024022320A (en) Route control system, device management device, route control method, and program
KR101785385B1 (en) Method of managing network route and network entity enabling the method
JP6272274B2 (en) Network device, authentication system, and authentication method
CN114268499B (en) Data transmission method, device, system, equipment and storage medium
US11637810B2 (en) Link-layer authentication for legacy network nodes using a remote network access server