JP6700371B1 - Management device, communication system, program and control method - Google Patents

Management device, communication system, program and control method Download PDF

Info

Publication number
JP6700371B1
JP6700371B1 JP2018223815A JP2018223815A JP6700371B1 JP 6700371 B1 JP6700371 B1 JP 6700371B1 JP 2018223815 A JP2018223815 A JP 2018223815A JP 2018223815 A JP2018223815 A JP 2018223815A JP 6700371 B1 JP6700371 B1 JP 6700371B1
Authority
JP
Japan
Prior art keywords
communication
information
user
user device
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018223815A
Other languages
Japanese (ja)
Other versions
JP2020088738A (en
Inventor
泰裕 永井
泰裕 永井
隆次 湧川
隆次 湧川
博和 花岡
博和 花岡
亮次 平井
亮次 平井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
SoftBank Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SoftBank Corp filed Critical SoftBank Corp
Priority to JP2018223815A priority Critical patent/JP6700371B1/en
Application granted granted Critical
Publication of JP6700371B1 publication Critical patent/JP6700371B1/en
Publication of JP2020088738A publication Critical patent/JP2020088738A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】移動通信網を介したデバイスとユーザ装置との間のデータ通信においてユーザのなりすましなどの攻撃を防止可能な高いセキュリティを確保しつつ大容量のデータの送受信を可能にする。【解決手段】前記移動通信網においてIPを用いずにデータ通信を行う非IP通信方式(NIDDに準拠した通信方式など)により、前記ユーザ装置から送信されるデバイス識別情報に対応する前記デバイスに対する前記ユーザ装置の通信を許可するための通信許可情報、及び、暗号化用情報によって暗号化された前記通信許可情報を復号化するための復号化用情報を、前記デバイスへ送信する第一送信部と、前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、前記ユーザ装置へ送信する第二送信部とを有する。【選択図】図1PROBLEM TO BE SOLVED: To enable transmission/reception of a large amount of data while ensuring high security capable of preventing an attack such as spoofing of a user in data communication between a device and a user device via a mobile communication network. A non-IP communication method for performing data communication without using IP in the mobile communication network (such as a communication method based on NIDD) is used for the device corresponding to device identification information transmitted from the user device. A first transmitting unit for transmitting to the device, communication permission information for permitting communication of the user device, and decryption information for decrypting the communication permission information encrypted by the encryption information. A second transmission unit that transmits the encryption information and the communication permission information, or the communication permission information encrypted by the encryption information to the user device. [Selection diagram] Figure 1

Description

本発明は、デバイスとユーザ装置との間で、ネットワークを介したセキュアな大容量データ通信を実現するための管理装置、移動通信システム、プログラム及び制御方法に関するものである。   The present invention relates to a management device, a mobile communication system, a program, and a control method for realizing secure large-capacity data communication between a device and a user device via a network.

従来、移動通信システムの通信規格である3GPPのLTE(Long Term Evolution)−Advanced(非特許文献1参照)を発展させたLTE−AdvancedProと呼ばれる通信規格が知られている(非特許文献2参照)。このLTE−AdvancedProでは、近年のIoT(Internet of Things)デバイスの通信を提供するための仕様が策定された。ここで、「IoT」はさまざまなモノがインターネットやクラウドコンピュータシステムに接続され、制御・情報通信される形態の総称である。   Conventionally, there is known a communication standard called LTE-Advanced Pro, which is an extension of LTE (Long Term Evolution)-Advanced (see Non-Patent Document 1) of 3GPP, which is a communication standard for mobile communication systems (see Non-Patent Document 2). .. In this LTE-Advanced Pro, specifications for providing communication of recent IoT (Internet of Things) devices have been established. Here, "IoT" is a general term for a form in which various things are connected to the Internet or a cloud computer system, and control/information communication is performed.

LTE−AdvancedProでは、大量に設置されるIoTデバイスの移動通信網を介した通信に対応するため、新たに2つの通信規格であるカテゴリーM1(「eMTC(enhanced Machine−Type Communications)」ともいう。)と、カテゴリーNB1(「NB−IoT(NarrowBand−IoT)」ともいう。)がサポートされている。   In LTE-Advanced Pro, in order to support communication via a mobile communication network of a large number of IoT devices installed, two new communication standards, category M1 (also referred to as “eMTC (enhanced Machine-Type Communications)”). And category NB1 (also referred to as “NB-IoT (NarrowBand-IoT)”) are supported.

3GPP TS 36.300 V10.12.0 (2014−12).3GPP TS 36.300 V10.12.0 (2014-12). 3GPP TS 36.300 V13.5.0 (2016−09).3GPP TS 36.300 V13.5.0 (2016-09).

移動通信網を介したIoTデバイス等のデバイスとユーザ装置との間のデータ通信では、ユーザのなりすましなどによる攻撃を防止可能な高いセキュリティを確保しつつ大容量のデータを送受信したいという課題がある。   In data communication between a device such as an IoT device and a user device via a mobile communication network, there is a problem that it is desired to transmit and receive a large amount of data while ensuring high security capable of preventing an attack due to a user's spoofing.

本発明の一態様に係る管理装置は、移動通信網を介したデバイスとユーザ装置との間の通信を管理する管理装置であって、前記移動通信網においてIP(Internet Protocol)を用いずにデータ通信を行う非IP通信方式により、前記ユーザ装置から送信されるデバイス識別情報に対応する前記デバイスに対する前記ユーザ装置の通信を許可するための通信許可情報、及び、暗号化用情報によって暗号化された前記通信許可情報を復号化するための復号化用情報を、前記デバイスへ送信する第一送信部と、前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、前記ユーザ装置へ送信する第二送信部とを有する。
前記管理装置において、前記非IP通信方式は、NIDD(Non−IP Data Deliver)に準拠する通信方式であってもよい。
また、前記管理装置において、前記通信許可情報は、前記ユーザ装置のデバイス接続用クライアント証明書を含んでもよい。
また、前記管理装置において、前記暗号化用情報及び前記復号化用情報は、同一情報であってもよい。
また、前記管理装置において、前記暗号化用情報及び前記復号化用情報の少なくとも一方は、利用時間制限付きの情報であってもよい。
また、前記管理装置において、前記第二送信部は、前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、暗号化通信により、前記ユーザ装置へ送信してもよい。
また、前記管理装置において、当該管理装置は、SCS(Service Capability Server)であってもよい。
また、前記管理装置において、前記ユーザ装置から送信される認証情報を用いて認証処理を実行する認証処理部を有し、前記第一送信部は、前記認証処理部が認証した場合に、前記暗号化用情報及び前記通信許可情報を前記第一ネットワークを介して前記デバイスへ送信してもよい。
また、前記管理装置において、前記認証情報は、前記ユーザ装置のユーザ認証用クライアント証明書を含み、前記認証処理は、前記ユーザ装置のユーザ認証用クライアント証明書について所定の認証局へ認証要求を送信し、該所定の認証局の認証結果を受信する処理を含んでもよい。
また、前記管理装置において、前記認証情報は、前記ユーザ装置から送信される前記デバイス識別情報と、前記ユーザ装置から送信される該ユーザ装置のユーザ識別情報とを含み、前記認証処理は、前記デバイス識別情報に対応した前記デバイスのユーザ情報と前記ユーザ識別情報とを照合する処理を含んでもよい。 A management apparatus according to an aspect of the present invention is a management apparatus that manages communication between a device and a user apparatus via a mobile communication network, and uses data (IP) in the mobile communication network without using an IP (Internet Protocol). Encrypted by the non-IP communication method for performing communication, the communication permission information for permitting the communication of the user device to the device corresponding to the device identification information transmitted from the user device, and the encryption information. A first transmitting unit for transmitting the decryption information for decrypting the communication permission information to the device, and the encryption information and the communication permission information, or the encryption information encrypted by the encryption information A second transmission unit that transmits the communication permission information to the user device.
In the management device, the non-IP communication method may be a communication method based on NIDD (Non-IP Data Deliver).
Further, in the management device, the communication permission information may include a device connection client certificate of the user device.
Further, in the management device, the encryption information and the decryption information may be the same information.
Further, in the management device, at least one of the encryption information and the decryption information may be information with use time restriction.
Further, in the management device, the second transmission unit, the encrypted information and the communication permission information, or the communication permission information encrypted by the encryption information, by the encrypted communication, the user It may be transmitted to the device.
Moreover, in the said management apparatus, the said management apparatus may be SCS(Service Capability Server).
Further, the management device includes an authentication processing unit that executes an authentication process using the authentication information transmitted from the user device, and the first transmission unit is configured to perform the encryption when the authentication processing unit authenticates. The conversion information and the communication permission information may be transmitted to the device via the first network.
Further, in the management device, the authentication information includes a user authentication client certificate of the user device, and the authentication processing sends an authentication request to a predetermined certificate authority regarding the user authentication client certificate of the user device. However, a process of receiving the authentication result of the predetermined certificate authority may be included.
Further, in the management device, the authentication information includes the device identification information transmitted from the user device and user identification information of the user device transmitted from the user device, and the authentication process is performed by the device. It may include a process of collating the user information of the device corresponding to the identification information with the user identification information.

また、本発明の他の態様に係る通信システムは、上述の管理装置と、前記デバイス及び前記ユーザ装置における通信サービスの利用料金について課金処理を行う課金処理装置と、を備えた通信システムであって、前記認証処理は、前記デバイスのユーザ情報及び前記ユーザ装置のユーザ識別情報の少なくとも一方については前記課金処理装置に登録されている情報を用いて、前記照合を行う。   A communication system according to another aspect of the present invention is a communication system including the management device described above, and a charging processing device that performs a charging process for a communication service usage charge in the device and the user device. In the authentication processing, the collation is performed using information registered in the billing processing device for at least one of user information of the device and user identification information of the user device.

また、本発明の更に他の態様に係る通信システムは、移動通信網の基地局に接続可能なデバイスと、前記デバイスと通信可能なユーザ装置と、前記デバイスと前記ユーザ装置との間の通信を管理する管理装置と、を備えた通信システムであって、前記管理装置は、請求項1乃至10のいずれか1項に記載の管理装置であり、前記ユーザ装置は、前記デバイスと通信する場合、前記暗号化用情報によって暗号化された前記通信許可情報を該デバイスへ送信する送信部を有し、前記デバイスは、前記ユーザ装置から送信される前記暗号化された前記通信許可情報を前記復号化用情報によって復号化し、復号化した該通信許可情報を用いて該ユーザ装置との通信の許否を判断する通信許否判断部を有する。   A communication system according to still another aspect of the present invention provides a device connectable to a base station of a mobile communication network, a user apparatus capable of communicating with the device, and communication between the device and the user apparatus. A management system for managing, wherein the management device is the management device according to any one of claims 1 to 10, and when the user device communicates with the device, The device has a transmission unit for transmitting the communication permission information encrypted by the encryption information to the device, and the device decrypts the encrypted communication permission information transmitted from the user device. And a communication permission/prohibition determination unit that determines whether or not to permit communication with the user device by using the decrypted communication permission information.

また、本発明の更に他の態様に係るプログラムは、移動通信網を介したデバイスとユーザ装置との間の通信を管理する管理装置のコンピュータを機能させるプログラムであって、前記移動通信網においてIP(Internet Protocol)を用いずにデータ通信を行う非IP通信方式により、前記ユーザ装置から送信されるデバイス識別情報に対応する前記デバイスに対する前記ユーザ装置の通信を許可するための通信許可情報、及び、暗号化用情報によって暗号化された前記通信許可情報を復号化するための復号化用情報を、前記デバイスへ送信する第一送信工程と、前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、前記ユーザ装置へ送信する第二送信工程とを、前記コンピュータに実行させる。   Further, a program according to still another aspect of the present invention is a program for causing a computer of a management device that manages communication between a device and a user device via a mobile communication network to function. Communication permission information for permitting communication of the user device to the device corresponding to device identification information transmitted from the user device by a non-IP communication method for performing data communication without using (Internet Protocol), and A first transmitting step of transmitting decryption information for decrypting the communication permission information encrypted by the encryption information to the device, the encryption information and the communication permission information, or A second transmission step of transmitting the communication permission information encrypted by the encryption information to the user device, and causing the computer to execute the second transmission step.

また、本発明の更に他の態様に係る制御方法は、移動通信網を介したデバイスとユーザ装置との間の通信を管理する管理装置の制御方法であって、前記移動通信網においてIP(Internet Protocol)を用いずにデータ通信を行う非IP通信方式により、前記ユーザ装置から送信されるデバイス識別情報に対応する前記デバイスに対する前記ユーザ装置の通信を許可するための通信許可情報、及び、暗号化用情報によって暗号化された前記通信許可情報を復号化するための復号化用情報を、前記デバイスへ送信する第一送信工程と、前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、前記ユーザ装置へ送信する第二送信工程とを有する。   Further, a control method according to still another aspect of the present invention is a control method of a management device that manages communication between a device and a user device via a mobile communication network, wherein an IP (Internet) is used in the mobile communication network. Communication permission information for permitting communication of the user apparatus to the device corresponding to the device identification information transmitted from the user apparatus by a non-IP communication method for performing data communication without using Protocol, and encryption. A first transmitting step of transmitting, to the device, decryption information for decrypting the communication permission information encrypted by the encryption information, the encryption information and the communication permission information, or the encryption A second transmitting step of transmitting the communication permission information encrypted by the usage information to the user device.

本発明によれば、移動通信網を介したデバイスとユーザ装置との間のデータ通信においてユーザのなりすましなどの攻撃を防止可能な高いセキュリティを確保しつつ大容量のデータの送受信が可能になる。   According to the present invention, it is possible to transmit and receive a large amount of data while ensuring high security capable of preventing an attack such as a user's spoofing in data communication between a device and a user device via a mobile communication network.

実施形態に係る通信システムの概略構成の一例を示す説明図。FIG. 3 is an explanatory diagram showing an example of a schematic configuration of a communication system according to an embodiment. 同通信システムを構成するSCSの処理動作の流れを示すシーケンス図。The sequence diagram which shows the flow of the processing operation of SCS which comprises the same communication system. 同通信システムにおけるユーザ装置とIoTデバイスとの通信動作の流れを示すシーケンス図。The sequence diagram which shows the flow of the communication operation of the user apparatus and IoT device in the communication system.

以下、図面を参照して本発明の実施形態について説明する。
図1は、本実施形態に係る通信システムの概略構成の一例を示す説明図である。
本実施形態の通信システムは、1又は2以上のIoTデバイス10と、IoTデバイス10と無線通信する1又は2以上の基地局20と、SGW(Serving Gateway)及びPGW(PDN(Packet Data Network) Gateway)からなるS/PGW30と、MME(Mobility Management Entity)40、HSS(Home Subscriber Server)50、SCEF(Service Capability Exposure Function)60と、課金サーバ70と、認証局80と、アプリケーションサーバ(AS)90と、管理装置としてのSCS(Service Capability Server)100と、ユーザ装置200と、無線AP(Access Point)300とを有する。 Embodiments of the present invention will be described below with reference to the drawings.
FIG. 1 is an explanatory diagram showing an example of a schematic configuration of a communication system according to the present embodiment.
The communication system of the present embodiment includes one or more IoT devices 10, one or more base stations 20 that wirelessly communicate with the IoT devices 10, an SGW (Serving Gateway) and a PGW (PDN (Packet Data Network) Gateway). ), an MME (Mobility Management Entity) 40, an HSS (Home Subscriber Server) 50, a SCEF (Service Capability Function) server 60, an application 80, an accounting server 70, and an accounting server 70. And a SCS (Service Capability Server) 100 as a management device, a user device 200, and a wireless AP (Access Point) 300.

SCS100や課金サーバ70などの移動通信網1内の設備は、例えば、移動通信網1の移動通信事業者によって管理運営してもよい。   The facilities in the mobile communication network 1 such as the SCS 100 and the billing server 70 may be managed and operated by the mobile communication carrier of the mobile communication network 1, for example.

本実施形態のIoTデバイス10は、医療、農業、電力、上下水道、自動車、交通機関などの各種産業で用いられるセンサ装置を備えたものであるが、どのような用途、機能を有するIoT機器であってもよい。本実施形態のIoTデバイス10は、移動局とも呼ばれる移動通信用の移動通信部10aが組み込まれており、この移動通信部10aは、例えば通信モジュールとして構成される。IoTデバイス10は、当該移動通信部10aにより、所定の無線通信方式で基地局20と無線通信を行い、移動通信網1側に接続することができ、移動通信網1を介してNIDDによる通信や、移動通信網1を介してIP(Internet Protocol)を用いた通信などを行うことができる。   The IoT device 10 of the present embodiment is provided with a sensor device used in various industries such as medical care, agriculture, electric power, water and sewerage, automobiles, and transportation, but it is an IoT device having any application and function. It may be. The IoT device 10 of the present embodiment incorporates a mobile communication unit 10a for mobile communication, which is also called a mobile station, and the mobile communication unit 10a is configured as, for example, a communication module. The IoT device 10 can perform wireless communication with the base station 20 by a predetermined wireless communication method by the mobile communication unit 10a and can be connected to the mobile communication network 1 side, and communication by the NIDD via the mobile communication network 1 can be performed. The communication using the IP (Internet Protocol) can be performed via the mobile communication network 1.

また、本実施形態のIoTデバイス10は、無線AP300と無線通信可能な無線LAN通信部10bが組み込まれており、当該無線LAN通信部10bにより、所定の無線通信方式で無線AP300と無線通信を行うことで、IPを用いた通信方式を利用する無線LANを介して、ユーザ装置200と通信することが可能である。   In addition, the IoT device 10 of the present embodiment incorporates a wireless LAN communication unit 10b capable of wirelessly communicating with the wireless AP 300, and the wireless LAN communication unit 10b performs wireless communication with the wireless AP 300 by a predetermined wireless communication method. As a result, it is possible to communicate with the user device 200 via the wireless LAN using the communication method using IP.

本実施形態において、IoTデバイス10は、センサ装置によって周辺の環境や搭載される装置の情報を測定したり取得したりして得られる各種データを、移動通信部10aにより、所定の送信タイミングで定期的に、移動通信網1を通じて、AS90等に送信(以下、「定期通報」ともいう。)する。IoTデバイス10からの定期通報の時間間隔は一定でなくてもよい。例えば、IoTデバイス10からの定期通報は、所定時間おき(例えば、10分おき、30分おき、1日おき、又は、3日おき)のタイミングであってもよいし、IoTデバイス10において送信対象のデータが所定数(例えば100個)集まったタイミングでもよい。また、IoTデバイス10からの定期通報は、毎時の0分00秒及び30分00秒のタイミングでもよい。   In the present embodiment, the IoT device 10 uses the mobile communication unit 10a to periodically send various types of data obtained by measuring and acquiring information on the surrounding environment and the installed device by the sensor device. Then, it is transmitted to the AS 90 and the like through the mobile communication network 1 (hereinafter, also referred to as “regular notification”). The time interval of the periodical notification from the IoT device 10 may not be constant. For example, the periodical notification from the IoT device 10 may be at a predetermined time interval (for example, every 10 minutes, every 30 minutes, every one day, or every three days), or the IoT device 10 is to be transmitted. The timing may be a timing when a predetermined number (for example, 100) of the data are collected. Further, the periodical notification from the IoT device 10 may be at the timing of 0 minute 00 second and 30 minute 00 second every hour.

なお、図1では、図示の都合上、IoTデバイス10を1台のみ示しているが、IoTデバイス10は2台以上であってもよい。   Although only one IoT device 10 is shown in FIG. 1 for convenience of illustration, the number of IoT devices 10 may be two or more.

基地局20は、無線アクセス網(RAN)を構成し、例えば、eNodeBやgNodeB等とも呼ばれたり、自局が形成するセルのサイズによりマクロセル基地局やスモールセル基地局などと呼ばれたりする。基地局20は、例えば、無線信号の送受信をする無線部(RRH)と、デジタルベースバンド信号処理を行うベースバンド部(BBU)を備える。RRHは、例えば、BBUから受信したデジタルベースバンド信号をRF信号に変換し、所定の信号レベルに電力増幅してIoTデバイス10に送信する。また、RRHは、IoTデバイス10の移動通信部10aから受信したRF信号をデジタルベースバンド信号に変換し、BBUへ送信する。   The base station 20 constitutes a radio access network (RAN), and is also called, for example, an eNodeB, a gNodeB, or the like, or a macro cell base station, a small cell base station, or the like depending on the size of the cell formed by itself. The base station 20 includes, for example, a radio unit (RRH) that transmits and receives radio signals and a baseband unit (BBU) that performs digital baseband signal processing. The RRH converts, for example, a digital baseband signal received from the BBU into an RF signal, amplifies the power to a predetermined signal level, and transmits the RF signal to the IoT device 10. Further, the RRH converts the RF signal received from the mobile communication unit 10a of the IoT device 10 into a digital baseband signal and transmits the digital baseband signal to the BBU.

移動通信網1に含まれるコアネットワークは、例えばLTE/LTE−AdvancedにおいてEPC(Evolved Packet Core)とも呼ばれ、所定の通信インターフェースを介して基地局20が接続される。コアネットワークは、S/PGW30、MME40、HSS50、SCEF60等の各種ノードも有している。コアネットワークは、PCRF(Policy and Charging Rules Function)等の他のノードを有していてもよい。   The core network included in the mobile communication network 1 is also referred to as EPC (Evolved Packet Core) in LTE/LTE-Advanced, for example, and the base station 20 is connected to the core network via a predetermined communication interface. The core network also has various nodes such as S/PGW 30, MME 40, HSS 50, and SCEF 60. The core network may have other nodes such as a PCRF (Policy and Charging Rules Function).

S/PGW30は、基地局20との間では、IP(Internet Protocol)を用いずに移動通信網を通じてデータ通信を行い、ユーザ装置200との間では、IPを用いてデータ通信を行う。S/PGW30は、IoTデバイス10とユーザ装置200との間において、IPを用いたデータ通信を行う際のパケット転送を行うノードとして機能する。詳しくは、IoTデバイス10の移動通信部10aにIPアドレスを割り当ててパケットデータ転送の処理を行う。例えば、P−GWの機能として、IoTデバイス10へのIPアドレスの払出し、パケット網への接続に関するユーザ認証、課金用の通信利用データ(例えばCDR:Call Data Record)の作成、DHCPサーバ機能等を有する。また、S−GWの機能として、基地局20等を有するRANのアンカーポイントとなり、P−GWの間でユーザパケットデータの中継処理を行う。   The S/PGW 30 performs data communication with the base station 20 via the mobile communication network without using IP (Internet Protocol), and performs data communication with the user apparatus 200 using IP. The S/PGW 30 functions as a node that performs packet transfer when performing data communication using IP between the IoT device 10 and the user device 200. Specifically, an IP address is assigned to the mobile communication unit 10a of the IoT device 10 and packet data transfer processing is performed. For example, as functions of the P-GW, IP address issuance to the IoT device 10, user authentication regarding connection to the packet network, communication use data for charging (for example, CDR: Call Data Record) creation, a DHCP server function, etc. Have. Further, as an S-GW function, it serves as an anchor point of the RAN having the base station 20 and the like, and relays user packet data between P-GWs.

MME40は、基地局20を収容して無線通信ネットワーク制御、モビリティ制御、ハンドオーバ制御、ユーザ認証制御等を行うノードである。MME40は、HSS50の登録情報に基づいて、基地局20を介して送信されてきたデータを、後述のNIDDのデータ転送を行うSCEF60に転送したり、SCEF60から送られてきたIoTデバイス10宛のデータや送信要求などの制御情報を基地局20に転送したりする。また、MME40は、IoTデバイス10及び基地局20のそれぞれについて通信ログ情報及び通信制御パラメータ等の情報を収集して格納する機能を有する。   The MME 40 is a node that accommodates the base station 20 and performs wireless communication network control, mobility control, handover control, user authentication control, and the like. Based on the registration information of the HSS 50, the MME 40 transfers the data transmitted via the base station 20 to the SCEF 60 that performs the NIDD data transfer described below, or the data addressed to the IoT device 10 transmitted from the SCEF 60. Or transfer control information such as a transmission request to the base station 20. Further, the MME 40 has a function of collecting and storing information such as communication log information and communication control parameters for each of the IoT device 10 and the base station 20.

HSS50は、移動通信システムを用いた通信サービスを利用するユーザ(加入者)の情報のデータベースであり、例えば、IoTデバイス10のユーザ契約情報やユーザ認証情報を管理し、それらの情報を位置登録契機でMME40へ通知する。   The HSS 50 is a database of information of users (subscribers) who use a communication service using a mobile communication system. For example, the HSS 50 manages user contract information and user authentication information of the IoT device 10, and uses such information as a location registration trigger. To notify the MME 40.

SCEF60は、3GPPの通信サービスの一部をサードパーティのアプリケーションプロバイダーに提供するためのインターフェースを有するノードである。SCEF60は、AS90が設けられたパケット網に対する接続ポイントとなり、後述のNIDDによるIoTデバイス10からのデータ送信の転送処理を行う。また、SCEF60は、NIDDによるIoTデバイス10からのデータ送信に対する課金用の通信利用データ(例えばCDR)を作成する。なお、SCEF60とAS90との間の通信は、プライベートIPや専用線を用いるなどのセキュアなパケット通信によって実現してもよい。   The SCEF 60 is a node having an interface for providing a part of 3GPP communication service to a third party application provider. The SCEF 60 serves as a connection point for the packet network provided with the AS 90, and performs a transfer process of data transmission from the IoT device 10 by NID described later. In addition, the SCEF 60 creates communication usage data (for example, CDR) for accounting for data transmission from the IoT device 10 by NIDD. The communication between the SCEF 60 and the AS 90 may be realized by secure packet communication such as using private IP or a dedicated line.

また、本実施形態において、IoTデバイス10に対して所定のデータ送信タイミングによるデータ送信(定期通報)を要求する送信要求などの制御情報は、例えば、制御チャネルによりSCEF60からIoTデバイス10に通知することができる。   Further, in the present embodiment, control information such as a transmission request for requesting data transmission (periodical notification) to the IoT device 10 at a predetermined data transmission timing may be notified from the SCEF 60 to the IoT device 10 through a control channel, for example. You can

なお、前記送信タイミング情報を有する送信要求は、IoTデバイス10の移動通信部10aが着信待ち受け時に受信するページング情報に含めてもよい。IoTデバイス10は、受信したページング情報に、例えば自己の移動通信部10aの端末識別情報としてのS−TMSI(SAE Temporary Mobile Subscriber Identity)を含んでいれば、その移動通信部10aに対するページング情報であると判断し、ページング情報に含まれる送信タイミング情報に基づいて、所定の送信タイミングに送信対象のデータを、基地局20を介してAS90に送信する。   The transmission request including the transmission timing information may be included in the paging information received by the mobile communication unit 10a of the IoT device 10 when waiting for an incoming call. If the received paging information includes the S-TMSI (SAE Temporary Mobile Subscriber Identity) as the terminal identification information of the mobile communication unit 10a of the IoT device 10, the IoT device 10 is the paging information for the mobile communication unit 10a. Then, based on the transmission timing information included in the paging information, the transmission target data is transmitted to the AS 90 via the base station 20 at a predetermined transmission timing.

また、IoTデバイス10の移動通信部10aは、電力消費を低減するために着信待ち受け時に一部回路への電源供給を休止してスリープ状態にしておいてもよい。IoTデバイス10の移動通信部10aは、前記着信待ち受け時に前記送信タイミング情報を有する送信要求を含むページング情報の受信し、その受信をトリガーとして全体回路への電源供給を行い、所定のアプリケーションを起動して送信対象のデータを送信し、データ送信が完了したらスリープ状態に戻るように制御してもよい。   In addition, the mobile communication unit 10a of the IoT device 10 may suspend the power supply to some circuits during the standby state for incoming calls in order to reduce the power consumption and put the sleep state. The mobile communication unit 10a of the IoT device 10 receives paging information including a transmission request having the transmission timing information at the time of waiting for the incoming call, powers the entire circuit by using the reception as a trigger, and activates a predetermined application. Alternatively, the data to be transmitted may be transmitted, and control may be performed such that the data returns to the sleep state when the data transmission is completed.

また、本実施形態において、IoTデバイス10から定期的に送信されるデータ送信(定期通報)の状況を示す通信状況情報は、IoTデバイス10や基地局20からMME40及びSCEF60を介してSCS100などに転送することができる。通信状況情報は、例えば、IoTデバイス10及び基地局20の通信ログ情報及び通信制御パラメータ等の情報、IoTデバイス10の通信情報端末に設定されている送信タイミング設定情報、IoTデバイス10の通信情報端末におけるデータ送信の頻度とデータ量とを有するデータ送信履歴情報などである。   Further, in the present embodiment, communication status information indicating the status of data transmission (regular notification) periodically transmitted from the IoT device 10 is transferred from the IoT device 10 or the base station 20 to the SCS 100 or the like via the MME 40 and the SCEF 60. can do. The communication status information is, for example, information such as communication log information and communication control parameters of the IoT device 10 and the base station 20, transmission timing setting information set in the communication information terminal of the IoT device 10, and communication information terminal of the IoT device 10. Data transmission history information having the frequency and data amount of data transmission in the above.

課金サーバ70は、例えば、SCEF60等から受信したIoTデバイス10の通信利用データ(例えばCDR)とHSS50の登録情報とに基づいて、IoTデバイス10からAS90へのデータ送信に対する課金処理を行う。また、SCS100の認証処理部が行う後述の認証処理にも利用される。   The billing server 70 performs a billing process for data transmission from the IoT device 10 to the AS 90 based on the communication usage data (eg, CDR) of the IoT device 10 received from the SCEF 60 and the registration information of the HSS 50, for example. Further, it is also used for the later-described authentication processing performed by the authentication processing unit of the SCS 100.

認証局80は、SCS100に接続して通信を行うためのユーザ認証用クライアント証明書であるSCS用クライアント証明書をユーザ装置200に対して発行し、認証を行う外部の認証局である。ユーザ装置200のユーザは、IoTデバイス10に対し、IPを用いる通信方式によってユーザ装置200により通信を行う場合、認証局80から事前にSCS用クライアント証明書を発行してもらう手続きを行っておく。   The certificate authority 80 is an external certificate authority that issues an SCS client certificate, which is a user certificate client certificate for connecting to the SCS 100 and performing communication, to the user device 200 to perform authentication. When the user device 200 communicates with the IoT device 10 by the communication method using IP, the user device 200 performs a procedure to have the certificate authority 80 issue the SCS client certificate in advance.

AS90は、例えば、移動通信網1を通じた通信を利用する各種アプリケーションを提供する上で必要な各種データ処理を実行するサーバである。本実施形態のAS90は、IoTデバイス10から送信されたデータを収集して格納したり各種分析を行ったりするデータベースの機能を有するサーバを含む。   The AS 90 is, for example, a server that executes various data processes required to provide various applications that utilize communication through the mobile communication network 1. The AS 90 of this embodiment includes a server having a database function of collecting and storing data transmitted from the IoT device 10 and performing various analyzes.

本実施形態の通信システムは、NIDD(Non−IP Data Delivery)をサポートしている。NIDDは、3GPPの標準規格(例えば、TS23.401 V15.4.0(2018−06),TS23.682 V15.5.0(2018−06)参照)で定義された機能であり、IoTデバイス10等の各種デバイスに搭載される移動通信部10aがIPスタックの操作やIPアドレスの取得を行うことなくデータ転送が可能になる機能である。このNIDDを利用することにより、IPを用いるIPネットワークからの攻撃が少なくセキュアなデータ転送が可能になるとともに、移動通信網1において同じ情報量を転送するための伝送データ量が少なくて済む。   The communication system of the present embodiment supports NIDD (Non-IP Data Delivery). NIDD is a function defined by the 3GPP standard (see, for example, TS23.401 V15.4.0 (2018-06), TS23.682 V15.5.0 (2018-06)), and the IoT device 10 This is a function that allows the mobile communication unit 10a installed in various devices such as to transfer data without operating the IP stack or acquiring an IP address. By using this NIDD, secure data transfer is possible with less attacks from the IP network using IP, and the amount of transmission data for transferring the same amount of information in the mobile communication network 1 can be reduced.

移動通信網1におけるデータ処理の負荷を軽減するため、移動通信網1におけるデータ処理の一部を行うMEC(Mobile Edge Computing)サーバを、基地局20の内部又は近傍に設けてもよい。MECサーバは、例えば、そのサーバに対応する基地局20のセルに在圏するIoTデバイス10のデータ送信タイミングを管理する機能を有してもよい。   In order to reduce the load of data processing in the mobile communication network 1, a MEC (Mobile Edge Computing) server that performs a part of the data processing in the mobile communication network 1 may be provided inside or near the base station 20. The MEC server may have a function of managing the data transmission timing of the IoT device 10 located in the cell of the base station 20 corresponding to the server, for example.

また、本実施形態の通信システムは、IoTデバイス10がIoT通信モードで通信できるようにカテゴリーM1(eMTC)及びカテゴリーNB1(NB−IoT)のカバレッジ拡張(CE)をサポートしている。   Further, the communication system of the present embodiment supports coverage extension (CE) of category M1 (eMTC) and category NB1 (NB-IoT) so that the IoT device 10 can communicate in the IoT communication mode.

IoT通信モードは、基地局20との間でIoT用通信を行う通信モードであり、例えばLTE−Advanced ProのeMTC若しくはNB−IoTの標準規格(非特許文献2参照)に準拠した通信モード、又は、第5世代の移動通信で提案されている大規模マシンタイプ通信(5GのmMTC:massive Machine−Type Communications)の通信モードである。   The IoT communication mode is a communication mode for performing IoT communication with the base station 20, for example, a communication mode based on the eMTC of LTE-Advanced Pro or the NB-IoT standard (see Non-Patent Document 2), or , A communication mode of large-scale machine type communication (5G mMTC: massive Machine-Type Communications) proposed in the fifth generation mobile communication.

広帯域通信モードは、IoT通信モードで通信可能なIoT通信エリアよりも狭い広帯域通信エリアにおいて基地局20との間で広帯域の通信を行う通信モードであり、例えば移動通信の第3世代(3G)、LTE、LTE−Advanced若しくはLTE−Advanced Proの標準規格に準拠する通信モード、又は、第5世代の移動通信で提案されている新しい無線アクセス技術(5G(New Radio))の通信モードである。   The broadband communication mode is a communication mode in which broadband communication is performed with the base station 20 in a broadband communication area narrower than the IoT communication area in which communication is possible in the IoT communication mode, and for example, the third generation (3G) of mobile communication, It is a communication mode based on the standard of LTE, LTE-Advanced or LTE-Advanced Pro, or a communication mode of a new radio access technology (5G (New Radio)) proposed in the fifth-generation mobile communication.

本実施形態のIoTデバイス10は、広帯域通信モード及びIoT通信モードの両方に対応しているものであってもよいし、IoT通信モードのみに対応しているものであってもよい。   The IoT device 10 of this embodiment may be compatible with both the broadband communication mode and the IoT communication mode, or may be compatible with only the IoT communication mode.

次に、本実施形態のSCS100の構成について説明する。
SCS100は、IoTデバイス10とユーザ装置200との間において、IPを用いた通信方式でセキュアな暗号化通信を実現するための処理を行う管理装置としての機能を有する。SCS100は、図1に示すように、認証処理部110と、SCEF用I/F120と、ユーザ管理DB130と、クライアント証明書発行部140とを備えている。 Next, the configuration of the SCS 100 of this embodiment will be described.
The SCS 100 has a function as a management device that performs processing for realizing secure encrypted communication between the IoT device 10 and the user device 200 by a communication method using IP. As shown in FIG. 1, the SCS 100 includes an authentication processing unit 110, an SCEF I/F 120, a user management DB 130, and a client certificate issuing unit 140.

認証処理部110は、ユーザ装置200から送信される認証情報を用いて、IoTデバイス10に接続可能なユーザ装置200を認証するための認証処理を行う。認証処理の詳細については後述する。   The authentication processing unit 110 uses the authentication information transmitted from the user device 200 to perform an authentication process for authenticating the user device 200 connectable to the IoT device 10. Details of the authentication process will be described later.

また、認証処理部110は、SCEF用I/F120とともに、ユーザ装置200のユーザが指定するIoTデバイス10に対するユーザ装置200の通信を許可するための通信許可情報としてのデバイス接続用クライアント証明書であるデバイス用クライアント証明書及び上述した共通鍵(「共有鍵」ともいう。)を、非IP通信方式であるNIDDに準拠した通信方式(以下、「NIDD通信方式」という。)により、IoTデバイス10へ送信する第一送信部としても機能する。   Further, the authentication processing unit 110, together with the SCEF I/F 120, is a device connection client certificate as communication permission information for permitting communication of the user apparatus 200 with the IoT device 10 designated by the user of the user apparatus 200. The device client certificate and the above-mentioned common key (also referred to as “shared key”) are transmitted to the IoT device 10 by a communication method (hereinafter referred to as “NIDD communication method”) compliant with NIDD which is a non-IP communication method. It also functions as the first transmitting unit for transmitting.

また、認証処理部110は、上述したデバイス用クライアント証明書及び共通鍵を、ユーザ装置200へ送信する第二送信部としても機能する。本実施形態では、デバイス用クライアント証明書及び共通鍵のユーザ装置200への送信には、高いセキュリティ性が望まれるので、NIDD通信方式や、所定の技術的手段によりセキュリティ性を高めたセキュアなIP通信方式によって送信することが望ましい。本実施形態では、NIDD通信方式ではなく、セキュアなIP通信方式(IPを用いた通信方式)により、デバイス用クライアント証明書及び共通鍵をユーザ装置200へ送信する例で説明する。ただし、IoTデバイス10へ送信する場合と同様に、NIDD通信方式によってデバイス用クライアント証明書及び共通鍵をユーザ装置200へ送信することも可能である。   The authentication processing unit 110 also functions as a second transmission unit that transmits the above-mentioned device client certificate and common key to the user device 200. In the present embodiment, since high security is desired for transmitting the device client certificate and the common key to the user device 200, a secure IP with improved security by the NIDD communication method or predetermined technical means. It is desirable to send by a communication method. In the present embodiment, an example will be described in which the device client certificate and the common key are transmitted to the user apparatus 200 by a secure IP communication method (communication method using IP) instead of the NIDD communication method. However, similar to the case of transmitting to the IoT device 10, the device client certificate and the common key can be transmitted to the user device 200 by the NIDD communication method.

デバイス用クライアント証明書及び共通鍵をセキュアなIP通信方式によりユーザ装置200へ送信する際、十分なセキュリティを確保することが望まれる。なぜなら、この通信のセキュリティが不十分であると、デバイス用クライアント証明書及び共通鍵が第三者に取得される危険性が高まり、悪意ある第三者の装置からIoTデバイス10にアクセスできてしまう可能性が高まるからである。そのため、デバイス用クライアント証明書及び共通鍵をユーザ装置200へ送信する際、本実施形態ではIP通信方式を用いるが、SCS用クライアント証明書により通信が許可されているユーザ装置のみがSCS100と通信できるように認証を行うとともに、SSL(Secure Sockets Layer)による暗号化通信を行うことによって、十分なセキュリティ性を確保している。   When transmitting the device client certificate and the common key to the user device 200 by the secure IP communication method, it is desired to ensure sufficient security. This is because if the security of this communication is insufficient, the risk that the device client certificate and the common key will be obtained by a third party increases, and a malicious third party device can access the IoT device 10. This is because the possibility increases. Therefore, when transmitting the device client certificate and the common key to the user apparatus 200, the IP communication method is used in the present embodiment, but only the user apparatus permitted to communicate by the SCS client certificate can communicate with the SCS 100. As described above, sufficient security is ensured by performing the authentication and the encrypted communication by SSL (Secure Sockets Layer).

更に、本実施形態では、デバイス用クライアント証明書及び共通鍵をユーザ装置200へ送信する際、アクセス対象のIoTデバイス10の利用者(IoTデバイス10との通信が許可されている者)が当該ユーザ装置200のユーザと一致するかどうかの認証も行う。これにより、対象のIoTデバイス10の通信が許可されていない者の装置がIoTデバイス10にアクセスできてしまう危険性をさらに少なくし、より高いセキュリティ性を確保している。なお、この認証には、課金サーバ70を利用してもよい。   Further, in the present embodiment, when the device client certificate and the common key are transmitted to the user device 200, the user of the IoT device 10 to be accessed (the person who is permitted to communicate with the IoT device 10) is the user. It also authenticates whether it matches the user of the device 200. This further reduces the risk that a device of a person who is not permitted to communicate with the target IoT device 10 can access the IoT device 10 and secures higher security. Note that the billing server 70 may be used for this authentication.

SCEF用I/F120は、SCEF60との間で通信を行うためのインターフェースである。SCS100とSCEF60との間は、IPを用いない非IP通信方式で接続される必要はないが、IP通信方式により接続する場合には、プライベートIPを用いたり専用線を用いたりして十分なセキュリティを確保することが望ましい。   The SCEF I/F 120 is an interface for communicating with the SCEF 60. The SCS 100 and the SCEF 60 do not need to be connected by a non-IP communication method that does not use IP, but when connecting by the IP communication method, private IP or a dedicated line is used to provide sufficient security. It is desirable to secure

ユーザ管理DB130は、認証処理部110で実行される認証処理等のデータ処理に利用される各種情報が登録されたデータベースであり、少なくとも一部の情報はHSS50の登録情報から入手され、所定のタイミングでHSS50の登録情報と同期がとられる。   The user management DB 130 is a database in which various information used for data processing such as authentication processing executed by the authentication processing unit 110 is registered, and at least a part of the information is acquired from the registration information of the HSS 50, and at a predetermined timing. Then, it is synchronized with the registration information of HSS50.

クライアント証明書発行部140は、ユーザ装置200に対し、アクセス対象のIoTデバイス10に接続して通信を行うためのデバイス用クライアント証明書を発行する。   The client certificate issuing unit 140 issues to the user device 200 a device client certificate for connecting to the IoT device 10 to be accessed and performing communication.

次に、SCS100の処理動作について説明する。
本実施形態の通信システムがサポートしているNIDD通信方式は、上述のとおり、IPを使わないIPアドレス不要の通信技術であるため、一般的なIP通信方式による悪意ある攻撃を受けるリスクが低く、セキュアな通信が可能である。ただし、NIDD通信方式は、一般に、小サイズのデータ通信には対応可能であるが、大サイズのデータ通信には不向きである場合が多い。特に、よりセキュアなNIDD通信方式を実現するために制御チャネルを用いてデータ通信を行う場合には、大サイズのデータ通信を行うことは困難である。 Next, the processing operation of the SCS 100 will be described.
As described above, the NIDD communication method supported by the communication system of the present embodiment is a communication technology that does not use IP and does not require an IP address. Therefore, the risk of a malicious attack by a general IP communication method is low, Secure communication is possible. However, although the NIDD communication system is generally applicable to small-sized data communication, it is often unsuitable for large-sized data communication. In particular, when performing data communication using a control channel in order to realize a more secure NIDD communication system, it is difficult to perform large-sized data communication.

一方、IoTデバイス10とユーザ装置200との間の通信は、例えば、設定データやファームウェアの更新など、比較的大きなサイズのデータ通信を必要とする場合が多い。そのほか、ユーザ装置200からIoTデバイス10へアクセスして各種制御を行う場合やIoTデバイス10からユーザ装置200へ大サイズのデータ転送を行う場合などにも、大きなサイズのデータ通信を必要とする。そのため、IoTデバイス10とユーザ装置200との間の通信には、NIDD通信方式は不向きであり、より大サイズのデータ通信が可能な通信方式により通信することが求められる。加えて、ユーザ装置200のユーザ利便性も考慮すると、本実施形態では、IoTデバイス10とユーザ装置200との間を、広く普及している大容量のIP通信方式により通信を行うものとしている。   On the other hand, communication between the IoT device 10 and the user device 200 often requires relatively large-sized data communication such as setting data and firmware update. In addition, large-sized data communication is also required when the user device 200 accesses the IoT device 10 to perform various controls or when large-sized data is transferred from the IoT device 10 to the user device 200. Therefore, for the communication between the IoT device 10 and the user device 200, the NIDD communication method is not suitable, and it is required to perform the communication by the communication method capable of larger size data communication. In addition, in consideration of the user convenience of the user device 200, in the present embodiment, communication is performed between the IoT device 10 and the user device 200 by a widely used large-capacity IP communication method.

ただし、この場合、IoTデバイス10がIP通信方式で通信可能な状態になるため、IoTデバイス10が悪意ある攻撃を受けるリスク(不正アクセスのリスク)が高まる。そのため、IP通信方式でも、よりセキュアな通信を確保できる仕組みが必要となる。   However, in this case, since the IoT device 10 becomes communicable with the IP communication method, the risk of the IoT device 10 being attacked maliciously (risk of unauthorized access) is increased. Therefore, even in the IP communication method, a mechanism for ensuring more secure communication is required.

そこで、本実施形態では、IoTデバイス10とユーザ装置200との間の通信において、IoTデバイス10にアクセスするユーザ装置200に対してデバイス用クライアント証明書を求め、正当な権限のあるユーザ装置200のみが当該IoTデバイス10にアクセスできる(通信できる)ようにしている。さらに、IoTデバイス10とユーザ装置200との間で通信されるデータは、共通鍵暗号方式により暗号化して行うようにしている。このようなセキュリティ対策によれば、デバイス用クライアント証明書及び共通鍵が第三者に取得されない限り、セキュリティ性の高いセキュア通信が実現される。   Therefore, in the present embodiment, in the communication between the IoT device 10 and the user device 200, the user device 200 that accesses the IoT device 10 is requested for the device client certificate, and only the user device 200 having the proper authority is requested. Allows access (communication) to the IoT device 10. Further, the data communicated between the IoT device 10 and the user device 200 is encrypted by the common key cryptosystem. According to such security measures, secure communication with high security is realized unless the device client certificate and the common key are acquired by a third party.

このようなセキュリティ性の高いセキュア通信を維持するためには、デバイス用クライアント証明書及び共通鍵が第三者に取得される危険性が低いことを、システムとして担保することが必要である。なぜなら、IoTデバイス10は、比較的簡易な制御によって動作するため、IoTデバイス10側での制御を伴う対策(デバイス用クライアント証明書及び共通鍵が第三者に取得されることに対する対策)が採りにくいため、特に、いわゆる「なりすまし」によってデバイス用クライアント証明書及び共通鍵が第三者に取得されないように、SCS100からIoTデバイス10に対して、いかにデバイス用クライアント証明書及び共通鍵をセキュアに配布するかが重要となる。   In order to maintain such secure communication with high security, it is necessary for the system to ensure that the risk that a device client certificate and common key will be acquired by a third party is low. This is because the IoT device 10 operates under relatively simple control, and therefore measures (control against the client certificate for device and common key being obtained by a third party) involving control on the IoT device 10 side are adopted. Since it is difficult, the SCS 100 securely distributes the device client certificate and the common key to the IoT device 10 so that the device client certificate and the common key cannot be obtained by a third party by so-called “spoofing”. What you do is important.

これを受けて、本実施形態においては、SCS100からIoTデバイス10への配布については、非IP通信方式であるNIDD通信方式を利用して、デバイス用クライアント証明書及び共通鍵をSCS100からIoTデバイス10へ送信するようにしている。これによれば、一般的なIP通信方式による悪意ある攻撃を受けるリスクが低いので、デバイス用クライアント証明書及び共通鍵をSCS100からIoTデバイス10へセキュアに送信でき、高いセキュリティ性が確保される。   In response to this, in the present embodiment, for distribution from the SCS 100 to the IoT device 10, the device client certificate and the common key are sent from the SCS 100 to the IoT device 10 using the NIDD communication system which is a non-IP communication system. I am trying to send it to. According to this, the risk of receiving a malicious attack by a general IP communication method is low, so that the device client certificate and the common key can be securely transmitted from the SCS 100 to the IoT device 10, and high security is ensured.

更に、NIDD通信方式を利用することにより、暗号化通信などの他のセキュリティ対策を取らなくても十分なセキュリティ性を確保できる。これにより、デバイス用クライアント証明書及び共通鍵をSCS100からIoTデバイス10へ送信するにあたり、暗号化通信などに必要な分のデータ量を削減でき、同じ情報量を転送するための伝送データ量が少なくて済む。   Furthermore, by using the NIDD communication method, sufficient security can be secured without taking other security measures such as encrypted communication. As a result, when transmitting the device client certificate and common key from the SCS 100 to the IoT device 10, the amount of data required for encrypted communication can be reduced, and the amount of transmission data for transferring the same amount of information is small. Complete.

また、SCS100からユーザ装置200にデバイス用クライアント証明書及び共通鍵を配布する処理時においても、デバイス用クライアント証明書及び共通鍵が第三者に取得される危険性が高いと考えられる。したがって、デバイス用クライアント証明書及び共通鍵を、ユーザ装置200に対し、いかにしてSCS100からセキュアに配布するかも重要である。   Further, it is considered that there is a high risk that a third party obtains the device client certificate and the common key even when the device client certificate and the common key are distributed from the SCS 100 to the user device 200. Therefore, how to securely distribute the device client certificate and the common key to the user device 200 from the SCS 100 is also important.

これを受けて、本実施形態においては、SCS100からユーザ装置200への配布については、SSLによる暗号化通信によりデバイス用クライアント証明書及び共通鍵を送信する。ただし、SCS100からユーザ装置200への配布のセキュリティ性は、SSLによる暗号化通信だけでは不十分な場合がある。すなわち、SSLによる暗号化通信によれば、デバイス用クライアント証明書及び共通鍵が、いわゆる「盗聴」によって、アクセス対象のIoTデバイス10の通信が許可されていない第三者に取得される危険性を低くできる。しかしながら、いわゆる「なりすまし」によってデバイス用クライアント証明書及び共通鍵が第三者に取得される危険性を排除しきれない。   In response to this, in the present embodiment, for distribution from the SCS 100 to the user device 200, the device client certificate and the common key are transmitted by SSL encrypted communication. However, the security of distribution from the SCS 100 to the user device 200 may not be sufficient if only encrypted communication by SSL is used. That is, according to SSL encrypted communication, there is a risk that the device client certificate and the common key may be acquired by so-called “eavesdropping” by a third party who is not permitted to communicate with the IoT device 10 to be accessed. Can be lowered. However, the risk that the device client certificate and the common key may be acquired by a third party due to so-called “spoofing” cannot be excluded.

そのため、本実施形態では、更に、SCS100においてユーザ装置200の認証処理を行うこととしている。具体的には、SCS用クライアント証明書により通信を許可されているユーザ装置のみがSCS100と通信できるように認証処理を行う。また、アクセス対象のIoTデバイス10の利用者(IoTデバイス10の通信が許可されている者)が当該ユーザ装置200のユーザと一致するかどうかの認証も行う。このような認証処理を併用することで、ユーザ装置200に代わる「なりすまし」が防止され、アクセス対象のIoTデバイス10の通信が許可されていない第三者の装置にデバイス用クライアント証明書及び共通鍵が取得される危険性を低くしている。   Therefore, in the present embodiment, the SCS 100 further performs the authentication process of the user device 200. Specifically, the authentication process is performed so that only the user device permitted to communicate with the SCS client certificate can communicate with the SCS 100. It also authenticates whether the user of the IoT device 10 to be accessed (the person who is permitted to communicate with the IoT device 10) matches the user of the user device 200. By using such an authentication process together, “spoofing” in place of the user device 200 is prevented, and a device client certificate and a common key are provided to a third-party device that is not permitted to communicate with the IoT device 10 to be accessed. Has a low risk of being acquired.

図2は、本実施形態におけるSCS100の処理動作の流れを示すシーケンス図である。
本実施形態において、SCS100の処理動作は、SCS100にアクセスするユーザ装置200がアクセス対象のIoTデバイス10に対してアクセス権限を有する装置であるか否かを認証する認証ステップと、ユーザ装置200及びアクセス対象のIoTデバイス10に対して共通鍵及びデバイス用クライアント証明書を送信する送信ステップとに、大別できる。 FIG. 2 is a sequence diagram showing the flow of processing operations of the SCS 100 in this embodiment.
In the present embodiment, the processing operation of the SCS 100 includes an authentication step of authenticating whether or not the user device 200 that accesses the SCS 100 has a right to access the IoT device 10 that is the access target, and the user device 200 and the access. It can be roughly divided into a transmission step of transmitting the common key and the device client certificate to the target IoT device 10.

認証ステップにおいて、ユーザ装置200のユーザは、事前に、認証局80に対してSCS用クライアント証明書(ユーザ装置200のクライアント証明書)の発行を申し込み、SCS用クライアント証明書を発行してもらう。認証局80としては、クライアント証明書を発行する既存の認証局を利用することができる。   In the authentication step, the user of the user device 200 applies in advance to the certificate authority 80 for issuing the SCS client certificate (client certificate of the user device 200), and has the SCS client certificate issued. As the certificate authority 80, an existing certificate authority that issues a client certificate can be used.

SCS用クライアント証明書を発行してもらったユーザ装置200(SCS用クライアント証明書をインストールしたユーザ装置200)によりIoTデバイス10にアクセスする場合、ユーザ装置200は、まず、SCS100にアクセスする。そして、ユーザ装置200とSCS100との間でSSLが確立したら、SCS100の認証処理部110は、まず、ユーザ装置200に対し、SCS用クライアント証明書の取得要求を送信する。これを受けたユーザ装置200は、事前に取得してインストール済みであるSCS用クライアント証明書を、SCS100の認証処理部110へ送信する。SCS用クライアント証明書を受信したSCS100の認証処理部110は、当該SCS用クライアント証明書に対応する認証局80に対してSCS用クライアント証明書の確認を要求し、認証局80から確認結果(認証が成功した結果)を受けたら、当該ユーザ装置200を認証して、当該ユーザ装置200との通信を継続する。   When the IoT device 10 is accessed by the user apparatus 200 (user apparatus 200 having the SCS client certificate installed) that has been issued with the SCS client certificate, the user apparatus 200 first accesses the SCS 100. Then, when SSL is established between the user device 200 and the SCS 100, the authentication processing unit 110 of the SCS 100 first transmits a request for acquiring the SCS client certificate to the user device 200. Upon receiving this, the user device 200 transmits the SCS client certificate that is acquired and installed in advance to the authentication processing unit 110 of the SCS 100. Upon receipt of the SCS client certificate, the authentication processing unit 110 of the SCS 100 requests the certificate authority 80 corresponding to the SCS client certificate to confirm the SCS client certificate, and the certificate authority 80 confirms the confirmation result (authentication). Is received), the user device 200 is authenticated and communication with the user device 200 is continued.

なお、ユーザ装置200からSCS用クライアント証明書を受信できない場合や、受信したSCS用クライアント証明書の認証に失敗した場合には、SCS100の認証処理部110は、当該ユーザ装置200を認証せずに処理動作を終了する。   If the SCS client certificate cannot be received from the user device 200 or if the received SCS client certificate fails to be authenticated, the authentication processing unit 110 of the SCS 100 does not authenticate the user device 200. The processing operation ends.

ユーザ装置200を認証した認証処理部110は、次に、ユーザ装置200に対し、ユーザ装置200がアクセスを希望するアクセス対象のIoTデバイス10のSIM情報(デバイス識別情報)の取得要求を送信する。このSIM情報は、IoTデバイス10の移動通信部10aに搭載されたSIMに記憶されている情報であり、例えば、当該移動通信部10aの利用者識別情報(例えばIMSI:International Mobile Subscriber Identity)や移動通信部10aの機体識別番号などが挙げられる。   The authentication processing unit 110 that has authenticated the user device 200 then transmits to the user device 200 a request to acquire SIM information (device identification information) of the IoT device 10 that is the access target that the user device 200 desires to access. This SIM information is information stored in the SIM mounted in the mobile communication unit 10a of the IoT device 10, and for example, user identification information (eg, IMSI: International Mobile Subscriber Identity) or movement of the mobile communication unit 10a. The machine identification number of the communication unit 10a may be used.

本実施形態のIoTデバイス10は、NIDD通信方式を使用するため、上述したとおり、移動通信網1に接続するための移動通信部10aを備えている。そのため、当該移動通信部10aのSIM情報は課金サーバ70に登録されている。そこで、本実施形態では、SIM情報の取得要求に応じたユーザ装置200から、アクセス対象のIoTデバイス10のSIM情報を受信したら、SCS100の認証処理部110は、課金サーバ70及びユーザ管理DB130の情報を用いて、当該SIM情報に対応して課金サーバ70に登録されている利用者の情報と、ユーザ装置200のユーザとして課金サーバ70に登録されているユーザの情報とが一致するかどうかの確認(認証)を行う。この確認(認証)によって一致するとできたら、当該ユーザ装置200を、アクセス対象のIoTデバイス10にアクセスできる正当な権限を有するとして認証し、当該ユーザ装置200との通信を継続する。   Since the IoT device 10 of the present embodiment uses the NIDD communication method, as described above, the IoT device 10 includes the mobile communication unit 10a for connecting to the mobile communication network 1. Therefore, the SIM information of the mobile communication unit 10a is registered in the billing server 70. Therefore, in the present embodiment, when the SIM information of the IoT device 10 to be accessed is received from the user device 200 in response to the SIM information acquisition request, the authentication processing unit 110 of the SCS 100 causes the information of the charging server 70 and the user management DB 130. Using, to check whether the information of the user registered in the billing server 70 corresponding to the SIM information and the information of the user registered in the billing server 70 as the user of the user device 200 match. (Authenticate). If a match is found by this confirmation (authentication), the user device 200 is authenticated as having the proper authority to access the IoT device 10 to be accessed, and communication with the user device 200 is continued.

なお、ユーザ装置200からアクセス対象のIoTデバイス10のSIM情報を受信できない場合や、受信したSIM情報に対応する利用者とユーザ装置200のユーザとが一致しない場合(認証に失敗した場合)には、SCS100の認証処理部110は、当該ユーザ装置200を認証せずに処理動作を終了する。   If the SIM information of the IoT device 10 to be accessed cannot be received from the user device 200, or if the user corresponding to the received SIM information and the user of the user device 200 do not match (when authentication fails). , The authentication processing unit 110 of the SCS 100 ends the processing operation without authenticating the user device 200.

以上の認証ステップにおいてユーザ装置200の認証がされた場合、次に、ユーザ装置200及びアクセス対象のIoTデバイス10に対して共通鍵及びデバイス用クライアント証明書を送信する送信ステップに移行する。   When the user device 200 is authenticated in the above authentication step, the process then proceeds to a transmission step of transmitting the common key and the device client certificate to the user device 200 and the IoT device 10 to be accessed.

送信ステップでは、まず、SCS100のクライアント証明書発行部140が、アクセス対象のIoTデバイス10にアクセスするためのデバイス用クライアント証明書を生成する。生成したデバイス用クライアント証明書は、SCS100の認証処理部110に渡される。また、SCS100の認証処理部110は、共通鍵を生成する。そして、認証処理部110は、デバイス用クライアント証明書及び共通鍵を、アクセス対象のIoTデバイス10へNIDD通信方式により送信する。これを受信したIoTデバイス10は、受信したデバイス用クライアント証明書及び共通鍵を自己の記憶装置内に格納し、受領確認のためのACKを送信する。   In the transmitting step, first, the client certificate issuing unit 140 of the SCS 100 generates a device client certificate for accessing the IoT device 10 to be accessed. The generated device client certificate is passed to the authentication processing unit 110 of the SCS 100. The authentication processing unit 110 of the SCS 100 also generates a common key. Then, the authentication processing unit 110 transmits the device client certificate and the common key to the IoT device 10 to be accessed by the NIDD communication method. Upon receiving this, the IoT device 10 stores the received device client certificate and common key in its own storage device, and transmits ACK for confirmation of receipt.

SCS100の認証処理部110は、IoTデバイス10から受領確認のACKを受信したら、次に、IoTデバイス10に送信したものと同じデバイス用クライアント証明書及び共通鍵を、SSLが確立されているユーザ装置200へ送信する。   When the authentication processing unit 110 of the SCS 100 receives the ACK of the receipt confirmation from the IoT device 10, next, the same device client certificate and common key that are transmitted to the IoT device 10 are used, and the user device in which the SSL is established. Send to 200.

以上のような認証ステップ及び送信ステップを経て、ユーザ装置200及びアクセス対象のIoTデバイス10のそれぞれに対し、共通鍵及びデバイス用クライアント証明書を配布することで、共通鍵及びデバイス用クライアント証明書が第三者に取得される危険性が少ない。   Through the authentication step and the transmission step as described above, by distributing the common key and the device client certificate to the user device 200 and the IoT device 10 to be accessed, the common key and the device client certificate are obtained. There is little risk of being acquired by a third party.

図3は、本実施形態におけるユーザ装置200とIoTデバイス10との通信動作の流れを示すシーケンス図である。
共通鍵及びデバイス用クライアント証明書をSCS100から受信したユーザ装置200は、アクセス対象のIoTデバイス10にアクセスするために、IoTデバイス10に対し、大容量データ通信が可能なIP通信方式によりアクセスする。例えば、ユーザ装置200は、無線AP300経由で無線LANを介して又はインターネットを介して、IoTデバイス10にアクセスしてもよい。また、本実施形態のユーザ装置200は、IoTデバイス10と同様の移動通信部を備え、所定の無線通信方式で基地局20と無線通信を行って移動通信網1側に接続することができる。この場合、移動通信網1を介してIP通信方式によりIoTデバイス10にアクセスしてもよい。 FIG. 3 is a sequence diagram showing a flow of communication operation between the user apparatus 200 and the IoT device 10 according to this embodiment.
Upon receiving the common key and the device client certificate from the SCS 100, the user device 200 accesses the IoT device 10 to be accessed by the IP communication method capable of large-capacity data communication. For example, the user device 200 may access the IoT device 10 via the wireless AP 300, the wireless LAN, or the Internet. In addition, the user device 200 of the present embodiment includes the same mobile communication unit as the IoT device 10, and can perform wireless communication with the base station 20 by a predetermined wireless communication method and connect to the mobile communication network 1 side. In this case, the IoT device 10 may be accessed by the IP communication method via the mobile communication network 1.

ユーザ装置200は、まず、IoTデバイス10に対して、IoTデバイス10とのデータ通信をするためのログイン要求を送信する。このログイン要求を受信したIoTデバイス10は、当該ユーザ装置200に対し、デバイス用クライアント証明書の取得要求を送信する。これを受けたユーザ装置200は、事前にSCS100から受信してインストール済みであるデバイス用クライアント証明書を、事前にSCS100から受信して記憶部に格納した共通鍵によって暗号化する。そして、暗号化したデバイス用クライアント証明書をIoTデバイス10へ送信する。   The user device 200 first transmits a login request for data communication with the IoT device 10 to the IoT device 10. The IoT device 10 that has received this login request transmits a request for acquiring the device client certificate to the user device 200. Upon receiving this, the user device 200 encrypts the device client certificate that has been previously received from the SCS 100 and has been installed, with the common key that was previously received from the SCS 100 and stored in the storage unit. Then, the encrypted device client certificate is transmitted to the IoT device 10.

共通鍵で暗号化されたデバイス用クライアント証明書を受信したIoTデバイス10は、事前にSCS100から受信して記憶部に格納されている同じ共通鍵を用いて、受信したデバイス用クライアント証明書を復号化する。そして、IoTデバイス10は、事前にSCS100から受信して記憶部に格納されている当該ユーザ装置200のデバイス用クライアント証明書と、復号化したデバイス用クライアント証明書とが一致するかどうかの照合を行う。この照合によって一致すると判断したら、当該ユーザ装置200を認証し、当該ユーザ装置200に対して認証成功を報告するためのACKを送信する。   Upon receiving the device client certificate encrypted with the common key, the IoT device 10 decrypts the received device client certificate using the same common key received from the SCS 100 in advance and stored in the storage unit. Turn into. Then, the IoT device 10 checks whether or not the device client certificate of the user device 200, which is received from the SCS 100 in advance and stored in the storage unit, matches the decrypted device client certificate. To do. If it is determined that they match by this collation, the user device 200 is authenticated, and an ACK for reporting the successful authentication is transmitted to the user device 200.

なお、ユーザ装置200からデバイス用クライアント証明書を受信できない場合や、受信したデバイス用クライアント証明書の認証に失敗した場合には、IoTデバイス10は、当該ユーザ装置200を認証せずに処理動作を終了する。   If the device client certificate cannot be received from the user device 200, or if the received device client certificate authentication fails, the IoT device 10 does not authenticate the user device 200 and performs the processing operation. finish.

その後、認証成功報告(ACK)を受信したユーザ装置200は、IoTデバイス10にログインするためのID及びパスワードのログイン情報をIoTデバイス10に送信する。IoTデバイス10は、受信したログイン情報が正当かどうかを確認するログイン処理を実施し、正当であることを確認したら、当該ユーザ装置200のログインを認め、当該ユーザ装置200に対してログイン成功を報告するためのACKを送信する。これにより、IoTデバイス10に対し、ユーザ装置200は、与えられている権限の範囲内で、種々のデータ通信を実行することができる。   After that, the user device 200 that has received the authentication success report (ACK) transmits the login information of the ID and the password for logging in to the IoT device 10 to the IoT device 10. The IoT device 10 executes a login process for confirming whether the received login information is valid, and when confirming that the login information is valid, the IoT device 10 accepts the login of the user device 200 and reports the login success to the user device 200. ACK for sending. As a result, the user device 200 can perform various data communications with the IoT device 10 within the range of the given authority.

ログイン後のデータ通信でも、セキュリティ性を確保するために、暗号化通信により通信するのが好ましい。この暗号化通信も、上述した共通鍵を利用した共通鍵暗号方式で行ってもよいが、公開鍵暗号方式などの他の暗号方式で行ってもよい。   Even in data communication after login, it is preferable to communicate by encrypted communication in order to ensure security. This encrypted communication may be performed by the common key cryptosystem using the above-mentioned common key, but may be performed by another cryptosystem such as the public key cryptosystem.

また、本実施形態では、ユーザ装置200からIoTデバイス10へデバイス用クライアント証明書を送信する際の暗号方式として、共通鍵暗号方式を採用している。そのため、SCS100からユーザ装置200へ送信される暗号化用情報が共通鍵であり、SCS100からIoTデバイス10へ送信される復号化用情報も同じ共通鍵である。一方で、ユーザ装置200からIoTデバイス10へデバイス用クライアント証明書を送信する際の暗号方式としては、公開鍵暗号方式などの他の暗号方式を採用してもよい。例えば、公開鍵暗号方式を採用する場合、SCS100からユーザ装置200へ送信される暗号化用情報には公開鍵が用いられ、SCS100からIoTデバイス10へ送信される復号化用情報には秘密鍵が用いられる。   Further, in the present embodiment, the common key cryptosystem is adopted as the cryptosystem for transmitting the device client certificate from the user device 200 to the IoT device 10. Therefore, the encryption information transmitted from the SCS 100 to the user device 200 is the common key, and the decryption information transmitted from the SCS 100 to the IoT device 10 is the same common key. On the other hand, as an encryption method for transmitting the device client certificate from the user device 200 to the IoT device 10, another encryption method such as a public key encryption method may be adopted. For example, when the public key cryptosystem is adopted, the public key is used for the encryption information transmitted from the SCS 100 to the user device 200, and the private key is used for the decryption information transmitted from the SCS 100 to the IoT device 10. Used.

また、本実施形態では、ユーザ装置200からIoTデバイス10へ送信されるデバイス用クライアント証明書の暗号化処理を、ユーザ装置200で行う例について説明したが、これに限られず、例えば、SCS100で行ってもよい。具体的には、SCS100側でデバイス用クライアント証明書を暗号化し、暗号化された状態のデバイス用クライアント証明書をユーザ装置200へ送信する。この場合、ユーザ装置200には、暗号化用情報としての共通鍵を送信する必要がなくなるので、より高いセキュリティ性を実現できる。   Further, in the present embodiment, an example in which the user device 200 performs the encryption process of the device client certificate transmitted from the user device 200 to the IoT device 10 has been described, but the present invention is not limited to this, and the SCS 100 performs the process. May be. Specifically, the SCS 100 side encrypts the device client certificate, and sends the encrypted device client certificate to the user apparatus 200. In this case, since it is not necessary to transmit the common key as the encryption information to the user device 200, higher security can be realized.

なお、本明細書で説明された処理工程並びに通信システム、サーバ、基地局及び移動通信部(UE、移動局)の構成要素は、様々な手段によって実装することができる。例えば、これらの工程及び構成要素は、ハードウェア、ファームウェア、ソフトウェア、又は、それらの組み合わせで実装されてもよい。   The processing steps and the components of the communication system, server, base station, and mobile communication unit (UE, mobile station) described in this specification can be implemented by various means. For example, these steps and components may be implemented in hardware, firmware, software, or a combination thereof.

ハードウェア実装については、実体(例えば、各種無線通信装置、eNodeBやgNode等の各種基地局装置、移動通信部、ハードディスクドライブ装置、又は、光ディスクドライブ装置)において前記工程及び構成要素を実現するために用いられる処理ユニット等の手段は、1つ又は複数の、特定用途向けIC(ASIC)、デジタルシグナルプロセッサ(DSP)、デジタル信号処理装置(DSPD)、プログラマブル・ロジック・デバイス(PLD)、フィールド・プログラマブル・ゲート・アレイ(FPGA)、プロセッサ、コントローラ、マイクロコントローラ、マイクロプロセッサ、電子デバイス、本明細書で説明された機能を実行するようにデザインされた他の電子ユニット、コンピュータ、又は、それらの組み合わせの中に実装されてもよい。   Regarding hardware implementation, in order to realize the steps and components in a substance (for example, various wireless communication devices, various base station devices such as eNodeB and gNode, mobile communication unit, hard disk drive device, or optical disk drive device). Means such as processing units used are one or more application specific ICs (ASICs), digital signal processors (DSPs), digital signal processors (DSPDs), programmable logic devices (PLDs), field programmable. A gate array (FPGA), processor, controller, microcontroller, microprocessor, electronic device, other electronic unit designed to perform the functions described herein, a computer, or a combination thereof. May be implemented in.

また、ファームウェア及び/又はソフトウェア実装については、前記構成要素を実現するために用いられる各部は、本明細書で説明された機能を実行するプログラム(例えば、プロシージャ、関数、モジュール、インストラクション、などのコード)で実装されてもよい。一般に、ファームウェア及び/又はソフトウェアのコードを明確に具体化する任意のコンピュータ/プロセッサ読み取り可能な媒体が、本明細書で説明された前記工程及び構成要素を実現するために用いられる処理ユニット等の手段の実装に利用されてもよい。例えば、ファームウェア及び/又はソフトウェアコードは、例えば制御装置や記憶装置において、メモリに記憶され、コンピュータやプロセッサにより実行されてもよい。そのメモリは、コンピュータやプロセッサの内部に実装されてもよいし、又は、プロセッサの外部に実装されてもよい。また、ファームウェア及び/又はソフトウェアコードは、例えば、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、不揮発性ランダムアクセスメモリ(NVRAM)、プログラマブルリードオンリーメモリ(PROM)、電気的消去可能PROM(EEPROM)、FLASHメモリ、フロッピー(登録商標)ディスク、コンパクトディスク(CD)、デジタルバーサタイルディスク(DVD)、磁気又は光データ記憶装置、などのような、コンピュータやプロセッサで読み取り可能な媒体に記憶されてもよい。そのコードは、1又は複数のコンピュータやプロセッサにより実行されてもよく、また、コンピュータやプロセッサに、本明細書で説明された機能性のある態様を実行させてもよい。   Also, for firmware and/or software implementations, each unit used to implement the components is a code (eg, a procedure, function, module, instruction, etc.) that performs the functions described herein. ) May be implemented. In general, any computer/processor readable medium embodying firmware and/or software code, means, such as a processing unit, used to implement the steps and components described herein. May be used to implement. For example, firmware and/or software code may be stored in memory and executed by a computer or processor, eg, in a controller or storage device. The memory may be mounted inside the computer or the processor, or may be mounted outside the processor. The firmware and/or software code may be, for example, random access memory (RAM), read only memory (ROM), non-volatile random access memory (NVRAM), programmable read only memory (PROM), electrically erasable PROM (EEPROM). ), a FLASH memory, a floppy disk, a compact disk (CD), a digital versatile disk (DVD), a magnetic or optical data storage device, and the like, even when stored on a computer or processor readable medium. Good. The code may be executed by one or more computers or processors, or may cause a computer or processor to perform any of the functional aspects described herein.

また、前記媒体は非一時的な記録媒体であってもよい。また、前記プログラムのコードは、コンピュータ、プロセッサ、又は他のデバイス若しくは装置機械で読み込んで実行可能であれよく、その形式は特定の形式に限定されない。例えば、前記プログラムのコードは、ソースコード、オブジェクトコード及びバイナリコードのいずれでもよく、また、それらのコードの2以上が混在したものであってもよい。   Further, the medium may be a non-transitory recording medium. In addition, the code of the program may be readable and executable by a computer, a processor, or another device or machine, and its format is not limited to a particular format. For example, the code of the program may be any of source code, object code, and binary code, or may be a mixture of two or more of these codes.

また、本明細書で開示された実施形態の説明は、当業者が本開示を製造又は使用するのを可能にするために提供される。本開示に対するさまざまな修正は当業者には容易に明白になり、本明細書で定義される一般的原理は、本開示の趣旨又は範囲から逸脱することなく、他のバリエーションに適用可能である。それゆえ、本開示は、本明細書で説明される例及びデザインに限定されるものではなく、本明細書で開示された原理及び新規な特徴に合致する最も広い範囲に認められるべきである。   Also, the description of the embodiments disclosed herein is provided to enable any person skilled in the art to make or use the present disclosure. Various modifications to this disclosure will be readily apparent to those skilled in the art, and the general principles defined herein may be applied to other variations without departing from the spirit or scope of this disclosure. Therefore, the present disclosure should not be limited to the examples and designs described herein, but should be admitted to the broadest extent consistent with the principles and novel features disclosed herein.

1 :移動通信網
10 :IoTデバイス
20 :基地局
30 :S/PGW
40 :MME
50 :HSS
60 :SCEF
70 :課金サーバ
80 :認証局
90 :AS
100:SCS
110:認証処理部
120:SCEF用I/F
130:ユーザ管理DB
140:クライアント証明書発行部
200:ユーザ装置
300:無線AP 1: mobile communication network 10: IoT device 20: base station 30: S/PGW
40: MME
50: HSS
60: SCEF
70: Billing server 80: Certificate authority 90: AS
100: SCS
110: Authentication processing unit 120: SCEF I/F
130: User management DB
140: Client certificate issuing unit 200: User device 300: Wireless AP

Claims (14)

移動通信網を介したデバイスとユーザ装置との間の通信を管理する管理装置であって、
前記移動通信網においてIP(Internet Protocol)を用いずにデータ通信を行う非IP通信方式により、前記ユーザ装置から送信されるデバイス識別情報に対応する前記デバイスに対する前記ユーザ装置の通信を許可するための通信許可情報、及び、暗号化用情報によって暗号化された前記通信許可情報を復号化するための復号化用情報を、前記デバイスへ送信する第一送信部と、
前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、前記ユーザ装置へ送信する第二送信部とを有することを特徴とする管理装置。 A management device for managing communication between a device and a user device via a mobile communication network,
A non-IP communication method for performing data communication without using IP (Internet Protocol) in the mobile communication network, for permitting communication of the user device to the device corresponding to device identification information transmitted from the user device. Communication permission information, and a first transmitting unit for transmitting to the device decryption information for decrypting the communication permission information encrypted by the encryption information,
A management apparatus, comprising: a second transmission unit that transmits the encryption information and the communication permission information, or the communication permission information encrypted by the encryption information to the user device. 請求項1に記載の管理装置において、
前記非IP通信方式は、NIDD(Non−IP Data Deliver)に準拠する通信方式であることを特徴とする管理装置。 In the management device according to claim 1,
The management device, wherein the non-IP communication method is a communication method based on NIDD (Non-IP Data Delivery). 請求項1又は2に記載の管理装置において、
前記通信許可情報は、前記ユーザ装置のデバイス接続用クライアント証明書を含むことを特徴とする管理装置。 In the management device according to claim 1 or 2,
The management apparatus, wherein the communication permission information includes a device connection client certificate of the user apparatus. 請求項1乃至3のいずれか1項に記載の管理装置において、
前記暗号化用情報及び前記復号化用情報は、同一情報であることを特徴とする管理装置。 The management device according to any one of claims 1 to 3,
The management device, wherein the encryption information and the decryption information are the same information. 請求項1乃至4のいずれか1項に記載の管理装置において、
前記暗号化用情報及び前記復号化用情報の少なくとも一方は、利用時間制限付きの情報であることを特徴とする管理装置。 The management device according to any one of claims 1 to 4,
At least one of the encryption information and the decryption information is information with a limited usage time, the management apparatus. 請求項1乃至5のいずれか1項に記載の管理装置において、
前記第二送信部は、前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、暗号化通信により、前記ユーザ装置へ送信することを特徴とする管理装置。 The management device according to any one of claims 1 to 5,
The second transmitting unit transmits the encryption information and the communication permission information, or the communication permission information encrypted by the encryption information to the user device by encrypted communication. Management device. 請求項1乃至6のいずれか1項に記載の管理装置において、
当該管理装置は、SCS(Service Capability Server)であることを特徴とする管理装置。 The management device according to any one of claims 1 to 6,
The management device is an SCS (Service Capability Server). 請求項1乃至7のいずれか1項に記載の管理装置において、
前記ユーザ装置から送信される認証情報を用いて認証処理を実行する認証処理部を有し、
前記第一送信部は、前記認証処理部が認証した場合に、前記暗号化用情報及び前記通信許可情報を前記第一ネットワークを介して前記デバイスへ送信することを特徴とする管理装置。 The management device according to any one of claims 1 to 7,
An authentication processing unit that executes an authentication process using the authentication information transmitted from the user device,
The management apparatus, wherein the first transmission unit transmits the encryption information and the communication permission information to the device via the first network when the authentication processing unit authenticates. 請求項8に記載の管理装置において、
前記認証情報は、前記ユーザ装置のユーザ認証用クライアント証明書を含み、
前記認証処理は、前記ユーザ装置のユーザ認証用クライアント証明書について所定の認証局へ認証要求を送信し、該所定の認証局の認証結果を受信する処理を含むことを特徴とする管理装置。 In the management device according to claim 8,
The authentication information includes a user authentication client certificate of the user device;
The management device includes a process of transmitting an authentication request for a user authentication client certificate of the user device to a predetermined certificate authority and receiving an authentication result of the predetermined certificate authority. 請求項8又は9に記載の管理装置において、
前記認証情報は、前記ユーザ装置から送信される前記デバイス識別情報と、前記ユーザ装置から送信される該ユーザ装置のユーザ識別情報とを含み、
前記認証処理は、前記デバイス識別情報に対応した前記デバイスのユーザ情報と前記ユーザ識別情報とを照合する処理を含むことを特徴とする管理装置。 The management device according to claim 8 or 9,
The authentication information includes the device identification information transmitted from the user device and user identification information of the user device transmitted from the user device,
The management apparatus is characterized in that the authentication processing includes processing for collating user information of the device corresponding to the device identification information with the user identification information. 請求項10に記載の管理装置と、
前記デバイス及び前記ユーザ装置における通信サービスの利用料金について課金処理を行う課金処理装置と、を備えた通信システムであって、
前記認証処理は、前記デバイスのユーザ情報及び前記ユーザ装置のユーザ識別情報の少なくとも一方については前記課金処理装置に登録されている情報を用いて、前記照合を行うことを特徴とする通信システム。 The management device according to claim 10,
A billing processing device for billing a usage fee of a communication service in the device and the user device, the communication system comprising:
In the authentication process, the collation is performed by using information registered in the billing device for at least one of user information of the device and user identification information of the user device. 移動通信網の基地局に接続可能なデバイスと、
前記デバイスと通信可能なユーザ装置と、
前記デバイスと前記ユーザ装置との間の通信を管理する管理装置と、を備えた通信システムであって、
前記管理装置は、請求項1乃至10のいずれか1項に記載の管理装置であり、
前記ユーザ装置は、前記デバイスと通信する場合、前記暗号化用情報によって暗号化された前記通信許可情報を該デバイスへ送信する送信部を有し、
前記デバイスは、前記ユーザ装置から送信される前記暗号化された前記通信許可情報を前記復号化用情報によって復号化し、復号化した該通信許可情報を用いて該ユーザ装置との通信の許否を判断する通信許否判断部を有することを特徴とする通信システム。 A device connectable to a base station of a mobile communication network,
A user device capable of communicating with the device;
A management system for managing communication between the device and the user device, comprising:
The management device is the management device according to any one of claims 1 to 10,
The user device, when communicating with the device, has a transmission unit that transmits the communication permission information encrypted by the encryption information to the device,
The device decrypts the encrypted communication permission information transmitted from the user device with the decryption information, and determines whether to permit communication with the user device using the decrypted communication permission information. A communication system comprising: 移動通信網を介したデバイスとユーザ装置との間の通信を管理する管理装置のコンピュータを機能させるプログラムであって、
前記移動通信網においてIP(Internet Protocol)を用いずにデータ通信を行う非IP通信方式により、前記ユーザ装置から送信されるデバイス識別情報に対応する前記デバイスに対する前記ユーザ装置の通信を許可するための通信許可情報、及び、暗号化用情報によって暗号化された前記通信許可情報を復号化するための復号化用情報を、前記デバイスへ送信する第一送信工程と、
前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、前記ユーザ装置へ送信する第二送信工程とを、前記コンピュータに実行させることを特徴とするプログラム。 A program that causes a computer of a management device to manage communication between a device and a user device via a mobile communication network,
A non-IP communication method for performing data communication without using IP (Internet Protocol) in the mobile communication network, for permitting communication of the user device to the device corresponding to device identification information transmitted from the user device. Communication permission information, and a first transmitting step of transmitting decryption information for decrypting the communication permission information encrypted by the encryption information to the device,
A second transmitting step of transmitting the encryption information and the communication permission information, or the communication permission information encrypted by the encryption information to the user device, and causing the computer to execute the second transmission step. And the program. 移動通信網を介したデバイスとユーザ装置との間の通信を管理する管理装置の制御方法であって、
前記移動通信網においてIP(Internet Protocol)を用いずにデータ通信を行う非IP通信方式により、前記ユーザ装置から送信されるデバイス識別情報に対応する前記デバイスに対する前記ユーザ装置の通信を許可するための通信許可情報、及び、暗号化用情報によって暗号化された前記通信許可情報を復号化するための復号化用情報を、前記デバイスへ送信する第一送信工程と、
前記暗号化用情報及び前記通信許可情報、又は、前記暗号化用情報によって暗号化された前記通信許可情報を、前記ユーザ装置へ送信する第二送信工程とを有することを特徴とする制御方法。 A method for controlling a management device that manages communication between a device and a user device via a mobile communication network,
A non-IP communication method for performing data communication without using IP (Internet Protocol) in the mobile communication network, for permitting communication of the user device to the device corresponding to device identification information transmitted from the user device. Communication permission information, and a first transmitting step of transmitting decryption information for decrypting the communication permission information encrypted by the encryption information, to the device,
A second transmitting step of transmitting the encryption information and the communication permission information, or the communication permission information encrypted by the encryption information to the user device.
JP2018223815A 2018-11-29 2018-11-29 Management device, communication system, program and control method Active JP6700371B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018223815A JP6700371B1 (en) 2018-11-29 2018-11-29 Management device, communication system, program and control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018223815A JP6700371B1 (en) 2018-11-29 2018-11-29 Management device, communication system, program and control method

Publications (2)

Publication Number Publication Date
JP6700371B1 true JP6700371B1 (en) 2020-05-27
JP2020088738A JP2020088738A (en) 2020-06-04

Family

ID=70776051

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018223815A Active JP6700371B1 (en) 2018-11-29 2018-11-29 Management device, communication system, program and control method

Country Status (1)

Country Link
JP (1) JP6700371B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7135055B2 (en) * 2020-11-04 2022-09-12 ソフトバンク株式会社 Communication system and remote control method
JP7346493B2 (en) * 2021-05-20 2023-09-19 ソフトバンク株式会社 Management devices, systems and programs

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10652085B2 (en) * 2016-01-07 2020-05-12 Lg Electronics Inc. Method for setting configuration of non-IP data delivery (NDID) in wireless communication system and device for same
JP6733736B2 (en) * 2016-10-07 2020-08-05 日本電気株式会社 SCEF entity and data processing method
JP6408536B2 (en) * 2016-11-17 2018-10-17 Kddi株式会社 COMMUNICATION SYSTEM, COMMUNICATION DEVICE, SERVER DEVICE, COMMUNICATION METHOD, AND COMPUTER PROGRAM
JP6444359B2 (en) * 2016-11-17 2018-12-26 Kddi株式会社 COMMUNICATION SYSTEM, COMMUNICATION DEVICE, COMMUNICATION METHOD, AND PROGRAM
JP6499687B2 (en) * 2017-03-03 2019-04-10 日本電信電話株式会社 Sensor network system and data collection method
JP6408627B2 (en) * 2017-03-14 2018-10-17 Kddi株式会社 Remote device control system and remote device control method

Also Published As

Publication number Publication date
JP2020088738A (en) 2020-06-04

Similar Documents

Publication Publication Date Title
US11039311B2 (en) Profile download method and apparatus for use in wireless communication system
US10694046B2 (en) Method and system for charging information recording in device to device (D2D) communication
JP6574238B2 (en) Associating a device with another device's network subscription
CN107852341B (en) Subsystem for authorization and activation of features
TWI610577B (en) Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials (1)
WO2017091959A1 (en) Data transmission method, user equipment and network side device
KR102439686B1 (en) Validate authorization for use of a set of features of a device
KR102094216B1 (en) Security supporting method and system for proximity based service device to device discovery and communication in mobile telecommunication system environment
EP2740299B1 (en) Method and apparatus for distributing wireless local area network access information
US9788202B2 (en) Method of accessing a WLAN access point
CN108781110B (en) System and method for relaying data over a communication network
US20140341185A1 (en) Method and device for accounting in wifi roaming based on ac and ap interworking
CN107659935B (en) Authentication method, authentication server, network management system and authentication system
JP6700371B1 (en) Management device, communication system, program and control method
US10750363B2 (en) Methods and apparatuses for conditional WiFi roaming
US20220174497A1 (en) Communication Method And Apparatus
CN101674578A (en) Method and system for safely accessing femtocell into network
KR102185215B1 (en) Operating method of authentication apparatus, system for network access and uthentication, operating method of end terminal and operating method of access terminal
JP2020505845A (en) Method and device for parameter exchange during emergency access
KR101338487B1 (en) Authentication authorization/accountig server and method for authenticating access thereof in interworking-wireless local area network
US20230284333A1 (en) Control of communication devices in a wireless network
WO2023126296A1 (en) Authentication support for an electronic device to connect to a telecommunications network
CN117641345A (en) Transmission of network access information for wireless devices
CN117203935A (en) Method and apparatus for setup, authentication, authorization, and User Equipment (UE) key generation and distribution in an on-demand network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190320

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200403

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200430

R150 Certificate of patent or registration of utility model

Ref document number: 6700371

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250