JP6763096B1 - system - Google Patents

system Download PDF

Info

Publication number
JP6763096B1
JP6763096B1 JP2019555515A JP2019555515A JP6763096B1 JP 6763096 B1 JP6763096 B1 JP 6763096B1 JP 2019555515 A JP2019555515 A JP 2019555515A JP 2019555515 A JP2019555515 A JP 2019555515A JP 6763096 B1 JP6763096 B1 JP 6763096B1
Authority
JP
Japan
Prior art keywords
decryption key
key information
information
authentication
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019555515A
Other languages
Japanese (ja)
Other versions
JPWO2020136857A1 (en
Inventor
昌博 佐田
昌博 佐田
孝則 滝井
孝則 滝井
忠良 櫻井
忠良 櫻井
洋平 白川
洋平 白川
大輔 三平
大輔 三平
司 菅
司 菅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
BB Backbone Corp
Original Assignee
SoftBank Corp
BB Backbone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SoftBank Corp, BB Backbone Corp filed Critical SoftBank Corp
Application granted granted Critical
Publication of JP6763096B1 publication Critical patent/JP6763096B1/en
Publication of JPWO2020136857A1 publication Critical patent/JPWO2020136857A1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

第1復号鍵情報を外部から参照不可能な形式で記憶している第1記憶領域と、外部から入力された第2復号鍵情報を記憶するための第2記憶領域とを有する鍵情報記憶部と、第1記憶領域に記憶されている第1復号鍵情報と、第2記憶領域に記憶された第2復号鍵情報とに基づいて復号鍵を生成する復号鍵生成部と、復号鍵を用いて、暗号化された情報を復号化する復号部と、携帯端末の認証要求を受け付け、認証要求に含まれる携帯端末のSIMのSIM情報と、復号部によって復号化された情報とに基づいて、SIMの認証を行う認証部とを備える認証装置を提供する。A key information storage unit having a first storage area for storing the first decryption key information in a format that cannot be referred to from the outside and a second storage area for storing the second decryption key information input from the outside. Using a decryption key generator that generates a decryption key based on the first decryption key information stored in the first storage area and the second decryption key information stored in the second storage area, and a decryption key. Based on the decryption unit that decrypts the encrypted information, the SIM information of the SIM of the mobile terminal that receives the authentication request of the mobile terminal and is included in the authentication request, and the information decrypted by the decryption unit. Provided is an authentication device including an authentication unit that authenticates SIM.

Description

本発明は、認証装置、システム、認証方法及びプログラムに関する。 The present invention relates to authentication devices, systems, authentication methods and programs.

SIM(Subscriber Identity Module)に記憶された鍵情報と、HSS(Home Subscriber Server)上に保存された鍵情報とを用いてSIMの認証を行う仕組みが知られていた(例えば、特許文献1参照)。
[先行技術文献]
[特許文献]
[特許文献1]特開2013−168035号公報A mechanism for authenticating a SIM using a key information stored in a SIM (Subsystem Identity Module) and a key information stored on an HSS (Home Subsystem Server) has been known (see, for example, Patent Document 1). ..
[Prior art literature]
[Patent Document]
[Patent Document 1] Japanese Unexamined Patent Publication No. 2013-168835

解決しようとする課題The problem to be solved

SIMの情報が漏えいする可能性を低減可能な技術を提供することが望ましい。 It is desirable to provide a technology that can reduce the possibility of SIM information leakage.

一般的開示General disclosure

本発明の第1の態様によれば、認証装置が提供される。認証装置は、第1復号鍵情報を外部から参照不可能な形式で記憶している第1記憶領域と、外部から入力された第2復号鍵情報を記憶するための第2記憶領域とを有する鍵情報記憶部を備えてよい。認証装置は、第1記憶領域に記憶されている第1復号鍵情報と、第2記憶領域に記憶された第2復号鍵情報とに基づいて復号鍵を生成する復号鍵生成部を備えてよい。認証装置は、復号鍵を用いて、暗号化された情報を復号化する復号部を備えてよい。認証装置は、携帯端末の認証要求を受け付け、認証要求に含まれる携帯端末のSIMのSIM情報と、復号部によって復号化された情報とに基づいて、SIMの認証を行う認証部を備えてよい。 According to the first aspect of the present invention, an authentication device is provided. The authentication device has a first storage area for storing the first decryption key information in a format that cannot be referred to from the outside, and a second storage area for storing the second decryption key information input from the outside. It may be provided with a key information storage unit. The authentication device may include a decryption key generator that generates a decryption key based on the first decryption key information stored in the first storage area and the second decryption key information stored in the second storage area. .. The authentication device may include a decryption unit that decrypts the encrypted information by using the decryption key. The authentication device may include an authentication unit that receives an authentication request for the mobile terminal and authenticates the SIM based on the SIM information of the SIM of the mobile terminal included in the authentication request and the information decrypted by the decryption unit. ..

上記認証装置は、上記第2復号鍵情報を外部から受信して上記第2記憶領域に記憶する第2復号鍵情報受信部を備えてよい。上記第2復号鍵情報受信部は、インターネットを介して送信された上記第2復号鍵情報を受信してよい。上記第1復号鍵情報は、上記第2復号鍵情報よりもデータ量が多くてよい。上記第1復号鍵情報は、上記第2復号鍵情報よりもデータ量が少なくてよい。 The authentication device may include a second decryption key information receiving unit that receives the second decryption key information from the outside and stores it in the second storage area. The second decryption key information receiving unit may receive the second decryption key information transmitted via the Internet. The amount of data of the first decryption key information may be larger than that of the second decryption key information. The amount of data of the first decryption key information may be smaller than that of the second decryption key information.

上記認証装置は、複数の加入者情報を記憶する加入者情報記憶部であって、上記複数の加入者情報のそれぞれは、加入者識別番号と、SIM毎に固有の鍵情報とを含む加入者情報記憶部を備えてよく、上記SIM情報は上記加入者識別番号を含んでよく、上記認証部は、上記SIM情報に含まれる加入者識別番号と、上記加入者情報記憶部に当該加入者識別番号と対応付けて記憶されている鍵情報と、上記復号部によって復号化された情報とに基づいて、上記SIMの認証を行ってよい。上記加入者識別番号は、IMSI(International Mobile Subscriber Identity)であってよく、上記鍵情報は、K値であってよい。 The authentication device is a subscriber information storage unit that stores a plurality of subscriber information, and each of the plurality of subscriber information includes a subscriber identification number and a key information unique to each SIM. An information storage unit may be provided, the SIM information may include the subscriber identification number, the authentication unit may include the subscriber identification number included in the SIM information, and the subscriber information storage unit may include the subscriber identification number. The SIM authentication may be performed based on the key information stored in association with the number and the information decrypted by the decoding unit. The subscriber identification number may be IMSI (International Mobile Subscriber Identity), and the key information may be a K value.

本発明の第2の態様によれば、上記認証装置と、上記認証装置を管理する管理装置とを備えるシステムが提供される。上記管理装置は、上記第1復号鍵情報を外部から受信する第1復号鍵情報受信部を備えてよく、上記記憶制御部は、上記第1復号鍵情報受信部が受信した上記第1復号鍵情報を上記第1記憶領域に記憶させてよい。 According to the second aspect of the present invention, a system including the authentication device and a management device for managing the authentication device is provided. The management device may include a first decryption key information receiving unit that receives the first decryption key information from the outside, and the storage control unit may include the first decryption key received by the first decryption key information receiving unit. The information may be stored in the first storage area.

本発明の第3の態様によれば、認証方法が提供される。認証方法は、第1復号鍵情報を外部から参照不可能な形式で記憶している第1記憶領域と、外部から入力された第2復号鍵情報を記憶するための第2記憶領域とを有する鍵情報記憶部を有する認証装置により実行されてよい。認証方法は、第1記憶領域に記憶されている第1復号鍵情報と、第2記憶領域に記憶された第2復号鍵情報とに基づいて復号鍵を生成する復号鍵生成段階を備えてよい。認証方法は、復号鍵を用いて、暗号化された情報を復号化する復号段階を備えてよい。認証方法は、携帯端末の認証要求を受け付け、認証要求に含まれる携帯端末のSIMのSIM情報と、復号部によって復号化された情報とに基づいて、SIMの認証を行う認証段階を備えてよい。 According to the third aspect of the present invention, an authentication method is provided. The authentication method has a first storage area for storing the first decryption key information in a format that cannot be referred to from the outside, and a second storage area for storing the second decryption key information input from the outside. It may be executed by an authentication device having a key information storage unit. The authentication method may include a decryption key generation step of generating a decryption key based on the first decryption key information stored in the first storage area and the second decryption key information stored in the second storage area. .. The authentication method may include a decryption step of decrypting the encrypted information using the decryption key. The authentication method may include an authentication step of accepting the authentication request of the mobile terminal and performing SIM authentication based on the SIM information of the SIM of the mobile terminal included in the authentication request and the information decrypted by the decoding unit. ..

本発明の第4の態様によれば、プログラムが提供される。プログラムは、第1復号鍵情報を外部から参照不可能な形式で記憶している第1記憶領域と、外部から入力された第2復号鍵情報を記憶するための第2記憶領域とを有する鍵情報記憶部を有するコンピュータに、第1記憶領域に記憶されている第1復号鍵情報と、第2記憶領域に記憶された第2復号鍵情報とに基づいて復号鍵を生成する復号鍵生成段階を実行させてよい。プログラムは、上記コンピュータに、復号鍵を用いて、暗号化された情報を復号化する復号段階を実行させてよい。プログラムは、上記コンピュータに、携帯端末の認証要求を受け付け、認証要求に含まれる携帯端末のSIMのSIM情報と、復号部によって復号化された情報とに基づいて、SIMの認証を行う認証段階を実行させてよい。 According to a fourth aspect of the present invention, a program is provided. The program has a key having a first storage area for storing the first decryption key information in a format that cannot be referred to from the outside, and a second storage area for storing the second decryption key information input from the outside. A decryption key generation stage in which a computer having an information storage unit generates a decryption key based on the first decryption key information stored in the first storage area and the second decryption key information stored in the second storage area. May be executed. The program may cause the computer to perform a decryption step of decrypting the encrypted information using the decryption key. The program accepts the authentication request of the mobile terminal to the computer, and performs an authentication step of authenticating the SIM based on the SIM information of the SIM of the mobile terminal included in the authentication request and the information decrypted by the decoding unit. You may let it run.

なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではない。また、これらの特徴群のサブコンビネーションもまた、発明となりうる。 The outline of the above invention does not list all the necessary features of the present invention. Subcombinations of these feature groups can also be inventions.

本実施形態に係るAuC(Authentication Centre)装置100を用いることによって実現されるサービスを説明するための説明図である。It is explanatory drawing for demonstrating the service realized by using the AuC (Authentication Center) apparatus 100 which concerns on this embodiment. 本実施形態に係るAuC装置100を用いることによって実現されるサービスの流れの一例を概略的に示す。An example of the service flow realized by using the AuC apparatus 100 according to the present embodiment is schematically shown. AuC装置100の機能構成の一例を概略的に示す。An example of the functional configuration of the AuC device 100 is schematically shown. 鍵情報記憶部102の構成の一例を概略的に示す。An example of the configuration of the key information storage unit 102 is shown schematically. AuC装置100による処理の流れの一例を概略的に示す。An example of the processing flow by the AuC apparatus 100 is shown schematically. 復号鍵610、復号鍵620及び復号鍵630の一例を概略的に示す。An example of the decryption key 610, the decryption key 620, and the decryption key 630 is shown schematically. 復号鍵610、復号鍵620及び復号鍵630の他の一例を概略的に示す。Other examples of the decryption key 610, the decryption key 620, and the decryption key 630 are schematically shown. AuCベンダ装置300の機能構成の一例を概略的に示す。An example of the functional configuration of the AuC vendor device 300 is schematically shown. AuC装置100として機能するコンピュータ1200のハードウェア構成の一例を概略的に示す。An example of the hardware configuration of the computer 1200 that functions as the AuC device 100 is shown schematically.

以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。 Hereinafter, the present invention will be described through embodiments of the invention, but the following embodiments do not limit the inventions claimed. Also, not all combinations of features described in the embodiments are essential to the means of solving the invention.

図1は、本実施形態に係るAuC装置100を用いることによって実現されるサービスを説明するための説明図である。AuC装置100は、認証装置の一例である。本サービスは、企業50等の内部で移動体通信ネットワークを構成できるような仕組みを提供する。 FIG. 1 is an explanatory diagram for explaining a service realized by using the AuC device 100 according to the present embodiment. The AuC device 100 is an example of an authentication device. This service provides a mechanism that allows a mobile communication network to be configured inside a company 50 or the like.

ここでは、通信事業者であるキャリア20が、移動体通信ネットワークにおけるいわゆるコアネットワークをPBX(Private Branch eXchanger)ベンダ40に提供し、PBXベンダ40が、コアネットワークを企業50に提供することによってサービスが実現される場合を例に挙げて説明する。企業50内の携帯端末52は、当該サービスによって、企業50内のコアネットワークを介して、無線通信を実行することができる。 Here, the carrier 20 which is a telecommunications carrier provides a so-called core network in a mobile communication network to a PBX (Private Branch eXchanger) vendor 40, and the PBX vendor 40 provides a core network to a company 50 to provide a service. The case where it is realized will be described as an example. The mobile terminal 52 in the company 50 can execute wireless communication via the core network in the company 50 by the service.

携帯端末52は、例えば、スマートフォン等の携帯電話である。携帯端末52は、タブレット端末及びPC(Personal Computer)等であってもよい。当該サービスを享受するのは、携帯端末52に限らない。例えば、企業50内のいわゆるIoT(Internet of Thing)端末が、企業50内のコアネットワークを介して、無線通信を実行してもよい。 The mobile terminal 52 is, for example, a mobile phone such as a smartphone. The mobile terminal 52 may be a tablet terminal, a PC (Personal Computer), or the like. It is not limited to the mobile terminal 52 that enjoys the service. For example, a so-called IoT (Internet of Things) terminal in the company 50 may execute wireless communication via the core network in the company 50.

ここでは、移動体通信ネットワークがLTE(Long Term Evolution)ネットワークである場合を主に例に挙げて説明する。コアネットワークは、1つの装置によって構成されてもよく、また、複数の装置によって構成されてもよい。 Here, the case where the mobile communication network is an LTE (Long Term Evolution) network will be mainly described as an example. The core network may be composed of one device or a plurality of devices.

コアネットワークが1つの装置によって構成される場合、当該装置は、HSS、MME(Mobility Management Entity)、PCRF(Policy and Charging Rule Function)、SGW(Serving Gateway)、及びPGW(Packet Data Network Gateway)として機能してよい。当該装置は、さらにIMS(IP Multimedia Subsystem)として機能してもよい。 When the core network is composed of one device, the device is used as HSS, MME (Mobile Management Entry), PCRF (Police and Charging Rule Function), SGW (Serving Gateway), and PGW (Packet Data). You can do it. The device may further function as an IMS (IP Multimedia Subsystem).

コアネットワークが複数の装置によって構成される場合、コアネットワークは、MMEの装置、HSSの装置、PCRFの装置、SGWの装置、及びPGWの装置から構成されてよい。コアネットワークは、これらの装置に加えてさらにIMSの装置から構成されてもよい。 When the core network is composed of a plurality of devices, the core network may be composed of an MME device, an HSS device, a PCRF device, an SGW device, and a PGW device. In addition to these devices, the core network may further consist of IMS devices.

本実施形態に係るAuC装置100は、AuCの機能を有する装置であり、コアネットワークが1つの装置によって構成される場合、AuC装置100は、当該1つの装置であってよい。すなわち、AuC装置100がコアネットワークとして機能してよい。コアネットワークが複数の装置によって構成される場合、AuC装置100は、コアネットワークを構成するHSSの装置であってよい。ここでは、AuC装置100がコアネットワークとして機能する場合を主に例に挙げて説明する。 The AuC device 100 according to the present embodiment is a device having an AuC function, and when the core network is composed of one device, the AuC device 100 may be the one device. That is, the AuC device 100 may function as a core network. When the core network is composed of a plurality of devices, the AuC device 100 may be an HSS device that constitutes the core network. Here, the case where the AuC device 100 functions as a core network will be mainly described as an example.

移動体通信ネットワークでは、携帯端末52のSIMに記憶されている認証用情報と、HSSに記憶されている認証用情報とを用いて、携帯端末52のSIMの認証が行われる。キャリア20が提供するいわゆる一般的な移動体通信ネットワークにおいては、認証用情報の生値がキャリア20によって厳重に管理されており、認証用情報の生値が外部に漏れないことを前提としている。しかし、本実施形態におけるサービスの提供主体はPBXベンダ40であり、AuC装置100は企業50内に配置されるので、その前提は成り立たないことになる。認証用情報が漏えいしてしまうと、企業50内で使用可能なクローンSIMが生成されて、企業50の無線通信サービスを不正規に利用されてしまい得る。 In the mobile communication network, the SIM of the mobile terminal 52 is authenticated using the authentication information stored in the SIM of the mobile terminal 52 and the authentication information stored in the HSS. In the so-called general mobile communication network provided by the carrier 20, the raw value of the authentication information is strictly managed by the carrier 20, and it is assumed that the raw value of the authentication information is not leaked to the outside. However, since the service provider in this embodiment is the PBX vendor 40 and the AuC device 100 is located in the company 50, that premise does not hold. If the authentication information is leaked, a clone SIM that can be used in the company 50 is generated, and the wireless communication service of the company 50 may be used irregularly.

本実施形態に係るサービスでは、認証用情報の漏えいを抑止する仕組みが提供される。本実施形態において、キャリア20は、暗号化された認証用情報を復号化するための復号鍵を第1復号鍵情報と第2復号鍵情報とに分割し、第1復号鍵情報をAuC装置100のベンダであるAuCベンダ30に提供し、第2復号鍵情報をPBXベンダ40に提供する。第1復号鍵情報及び第2復号鍵情報は、両方がそろって復号鍵を生成できる情報であり、いずれか一方のみでは復号鍵を生成することができない情報である。 In the service according to the present embodiment, a mechanism for suppressing the leakage of authentication information is provided. In the present embodiment, the carrier 20 divides the decryption key for decrypting the encrypted authentication information into the first decryption key information and the second decryption key information, and divides the first decryption key information into the AuC device 100. The second decryption key information is provided to the PBX vendor 40 by providing the AuC vendor 30 which is the vendor of the above. The first decryption key information and the second decryption key information are both information that can generate a decryption key, and information that cannot generate a decryption key by only one of them.

キャリア20は、例えば、キャリア装置200を用いて、AuCベンダ30のAuCベンダ装置300に第1復号鍵情報を送信する。キャリア装置200は、例えば、ネットワーク80を介して、第1復号鍵情報をAuCベンダ装置300に送信する。ネットワーク80は、例えば、インターネットを含む。 The carrier 20 uses, for example, the carrier device 200 to transmit the first decryption key information to the AuC vendor device 300 of the AuC vendor 30. The carrier device 200 transmits the first decryption key information to the AuC vendor device 300 via, for example, the network 80. The network 80 includes, for example, the Internet.

AuCベンダ30は、第1復号鍵情報をAuC装置100に記憶させる。AuCベンダ30は、例えば、AuCベンダ装置300に、キャリア装置200から受信した第1復号鍵情報を、AuC装置100に記憶させる。AuCベンダ装置300は、例えば、ネットワーク32を介して第1復号鍵情報をAuC装置100に送信し、記憶させる。ネットワーク32は、AuCベンダ30が有するLAN(Local Area Network)等であってよい。AuCベンダ装置300は、AuC装置100に直接接続されてもよい。第1復号鍵情報を記憶したAuC装置100は、例えば、AuCベンダ30からPBXベンダ40に販売され、企業50内に配置される。 The AuC vendor 30 stores the first decryption key information in the AuC device 100. The AuC vendor 30 stores, for example, the AuC vendor device 300 stores the first decryption key information received from the carrier device 200 in the AuC device 100. The AuC vendor device 300 transmits, for example, the first decryption key information to the AuC device 100 via the network 32 and stores it. The network 32 may be a LAN (Local Area Network) or the like owned by the AuC vendor 30. The AuC vendor device 300 may be directly connected to the AuC device 100. The AuC device 100 that stores the first decryption key information is sold from the AuC vendor 30 to the PBX vendor 40, and is arranged in the company 50, for example.

キャリア20は、例えば、キャリア装置200を用いて、PBXベンダ40のPBXベンダ装置400に第2復号鍵情報を送信する。キャリア装置200は、例えば、ネットワーク80を介して、第2復号鍵情報をPBXベンダ装置400に送信する。 The carrier 20 uses, for example, the carrier device 200 to transmit the second decryption key information to the PBX vendor device 400 of the PBX vendor 40. The carrier device 200 transmits the second decryption key information to the PBX vendor device 400 via, for example, the network 80.

PBXベンダ40は、PBXベンダ装置400を用いて、第2復号鍵情報をAuC装置100に送信する。PBXベンダ装置400は、例えば、ネットワーク80を介して、第2復号鍵情報を企業50内に配置されたAuC装置100に送信する。 The PBX vendor 40 uses the PBX vendor device 400 to transmit the second decryption key information to the AuC device 100. The PBX vendor device 400 transmits, for example, the second decryption key information to the AuC device 100 arranged in the company 50 via the network 80.

AuC装置100は、記憶している第1復号鍵情報と、PBXベンダ装置400から受信した第2復号鍵情報とから、復号鍵を生成する。そして、AuC装置100は、暗号化された認証用情報を受信した場合に、生成した復号鍵を用いて復号化することによって、認証用情報を取得する。 The AuC device 100 generates a decryption key from the stored first decryption key information and the second decryption key information received from the PBX vendor device 400. Then, when the AuC device 100 receives the encrypted authentication information, the AuC device 100 acquires the authentication information by decrypting the encrypted authentication information using the generated decryption key.

このように、復号鍵を2つの鍵情報に分割して、AuCベンダ30及びPBXベンダ40のそれぞれに送信する構成とすることにより、仮に一方の鍵情報が、AuCベンダ30又はPBXベンダ40内で漏えいしたり、ネットワーク80上で漏えいしたりした場合であっても、復号鍵を生成できないようにすることができる。これにより、復号鍵が漏えいし、暗号化された認証用情報が復号化されて漏えいしてしまうリスクを低減することができる。 In this way, the decryption key is divided into two key information and transmitted to each of the AuC vendor 30 and the PBX vendor 40, so that one of the key information is assumed to be in the AuC vendor 30 or the PBX vendor 40. Even if it leaks or leaks on the network 80, it is possible to prevent the decryption key from being generated. As a result, it is possible to reduce the risk that the decryption key is leaked and the encrypted authentication information is decrypted and leaked.

なお、第1復号鍵情報をAuC装置100に記憶させる方法として、さまざまな方法を採用し得る。例えば、AuCベンダ装置300がキャリア装置200から受信した第1復号鍵情報を、AuCベンダ30のオペレータが手作業でAuC装置100に記憶させてもよい。また、例えば、AuCベンダ30が、データをAuC装置100に書き込み可能な仕組みをキャリア20に提供し、キャリア20が、当該仕組みを利用して、AuC装置100に第1復号鍵情報を書き込んでもよい。 Various methods can be adopted as a method for storing the first decryption key information in the AuC device 100. For example, the operator of the AuC vendor 30 may manually store the first decryption key information received by the AuC vendor device 300 from the carrier device 200 in the AuC device 100. Further, for example, the AuC vendor 30 may provide the carrier 20 with a mechanism capable of writing data to the AuC device 100, and the carrier 20 may write the first decryption key information to the AuC device 100 using the mechanism. ..

図2は、本実施形態に係るAuC装置100を用いることによって実現されるサービスの流れの一例を概略的に示す。ここでは、キャリア20が、SIM認証に用いる第1の認証用情報を暗号化し、暗号化した第1の認証用情報を復号化するための復号鍵を2つに分割してKeyA及びKeyBとした状態を開始状態として説明する。 FIG. 2 schematically shows an example of a service flow realized by using the AuC device 100 according to the present embodiment. Here, the carrier 20 encrypts the first authentication information used for SIM authentication, and divides the decryption key for decrypting the encrypted first authentication information into two to obtain KeyA and KeyB. The state will be described as a start state.

なお、当該復号鍵は、第1の認証用情報を暗号化するための暗号鍵と同一であってよい。この場合、キャリア20は、第1の認証用情報用の鍵を用いて第1の認証用情報を暗号化し、第1の認証用情報用の鍵を2つに分割する。また、当該復号鍵は、第1の認証用情報を暗号化する暗号鍵と異なってもよい。この場合、キャリア20は、第1の認証用情報用の暗号鍵を用いて第1の認証用情報を暗号化し、第1の認証用情報用の暗号鍵とは異なる、第1の認証用情報用の復号鍵を2つに分割する。ここでは、暗号鍵と復号鍵とが同一である場合を主に例に挙げて説明する。 The decryption key may be the same as the encryption key for encrypting the first authentication information. In this case, the carrier 20 encrypts the first authentication information using the key for the first authentication information, and divides the key for the first authentication information into two. Further, the decryption key may be different from the encryption key that encrypts the first authentication information. In this case, the carrier 20 encrypts the first authentication information using the encryption key for the first authentication information, and the first authentication information is different from the encryption key for the first authentication information. The decryption key for is divided into two. Here, the case where the encryption key and the decryption key are the same will be described mainly by taking as an example.

第1の認証用情報は、例えば、SIM認証を行うときに用いられる各種パラメータを含む。具体例として、第1の認証用情報は、3GPP(3rd Generation Partnership Project)において定義されているOP、c、r等を含む。第1の認証用情報は、さらに、第2の認証用情報用の鍵を含んでよい。第2の認証用情報は、SIM認証を行うときに用いられる。第2の認証用情報は、SIM毎に固有の情報であってよい。具体例として、第2の認証用情報は、SIM毎に固有の鍵情報であるK値である。第2の認証用情報用の鍵は、第2の認証用情報を暗号化及び復号化するための鍵であってよい。第2の認証用情報用の鍵を用いて暗号化されたK値をeKIと記載する場合がある。 The first authentication information includes, for example, various parameters used when performing SIM authentication. As a specific example, the first authentication information includes OP, c, r and the like defined in 3GPP (3rd Generation Partnership Project). The first authentication information may further include a key for the second authentication information. The second authentication information is used when performing SIM authentication. The second authentication information may be information unique to each SIM. As a specific example, the second authentication information is a K value, which is key information unique to each SIM. The key for the second authentication information may be a key for encrypting and decrypting the second authentication information. The K value encrypted by using the key for the second authentication information may be described as eKI.

ステップ(ステップをSと省略して記載する場合がある。)102では、キャリア装置200が、KeyAをAuCベンダ装置300に送信する。KeyAは、第1復号鍵情報の一例である。S104では、キャリア装置200が、KeyBをPBXベンダ装置400に送信する。KeyBは、第2復号鍵情報の一例である。 In step 102 (the step may be abbreviated as S) 102, the carrier device 200 transmits the KeyA to the AuC vendor device 300. KeyA is an example of the first decryption key information. In S104, the carrier device 200 transmits the KeyB to the PBX vendor device 400. KeyB is an example of the second decryption key information.

S106では、AuCベンダ装置300が、S102において受信したKeyAを、外部から参照不可能な形式でAuC装置100に記憶させる。S108では、PBXベンダ装置400が、S104において受信したKeyBを、AuC装置100に送信する。S110では、AuC装置100が、KeyAとKeyBとに基づいて復号鍵を生成する。 In S106, the AuC vendor device 300 stores the KeyA received in S102 in the AuC device 100 in a format that cannot be referred to from the outside. In S108, the PBX vendor device 400 transmits the KeyB received in S104 to the AuC device 100. In S110, the AuC device 100 generates a decryption key based on KeyA and KeyB.

S112では、キャリア20が、SIMベンダによって製造されたSIMをPBXベンダ40に提供し、キャリア装置200が、第1の認証用情報を暗号化した暗号化情報と、eKI及びIMSIを含むSIM情報とをPBXベンダ40に送信する。当該第1の認証用情報は、キャリア20がPBXベンダ40に提供したSIMに記憶されているものであってよい。なお、ここでいう提供とは、貸与、譲渡、その他レンタルを内包する概念である。 In S112, the carrier 20 provides the SIM manufactured by the SIM vendor to the PBX vendor 40, and the carrier device 200 encrypts the first authentication information and the SIM information including the eKI and the IMSI. To the PBX vendor 40. The first authentication information may be stored in the SIM provided by the carrier 20 to the PBX vendor 40. The term "offer" as used herein is a concept that includes lending, transfer, and other rentals.

キャリア20は、例えば、第1の認証用情報をSIMベンダに通知して、第1の認証用情報を記憶したSIMを、SIMベンダに製造させる。キャリア20は、外部に漏れることのない特定の方法で、第1の認証用情報をSIMベンダに通知する。SIMベンダは、外部から参照不可能な形式で第1の認証用情報をSIMに書き込む。 For example, the carrier 20 notifies the SIM vendor of the first authentication information, and causes the SIM vendor to manufacture the SIM in which the first authentication information is stored. The carrier 20 notifies the SIM vendor of the first authentication information by a specific method that does not leak to the outside. The SIM vendor writes the first authentication information to the SIM in a format that cannot be referred to from the outside.

S114では、PBXベンダ装置400が、暗号化情報をAuC装置100に送信する。S116では、AuC装置100が、S110において生成した復号鍵を用いて、S114において受信した暗号化情報を復号化する。 In S114, the PBX vendor device 400 transmits the encrypted information to the AuC device 100. In S116, the AuC device 100 decrypts the encryption information received in S114 by using the decryption key generated in S110.

S118では、PBXベンダ装置400が、S112において受信したSIM情報をAuC装置100に送信する。S120では、AuC装置100に、加入者情報を登録する。AuC装置100は、S118において受信したSIM情報に含まれるeKIを、S116において復号化した認証用情報に含まれる第2の認証用情報用の鍵を用いて復号化することによって取得したK値と、SIM情報に含まれるIMSIとを対応付けて登録する。 In S118, the PBX vendor device 400 transmits the SIM information received in S112 to the AuC device 100. In S120, the subscriber information is registered in the AuC device 100. The AuC device 100 has the K value acquired by decoding the eKI included in the SIM information received in S118 by using the key for the second authentication information included in the authentication information decoded in S116. , Register in association with the IMSI included in the SIM information.

図2に示すサービスの流れは一例であって、各ステップの順番は異なってもよい。例えば、キャリア装置200がKeyA及びKeyBを送信する順番は逆でもよい。また、例えば、キャリア装置200が暗号化情報及びSIM情報を同時期にPBXベンダ装置400に送信するのではなく、異なる時期に送信してもよい。また、例えば、AuC装置100が暗号化情報とSIM情報とを異なる時期にAuC装置100に送信するのではなく、同時期に送信してもよい。 The service flow shown in FIG. 2 is an example, and the order of each step may be different. For example, the order in which the carrier device 200 transmits KeyA and KeyB may be reversed. Further, for example, the carrier device 200 may not transmit the encryption information and the SIM information to the PBX vendor device 400 at the same time, but may transmit the encryption information and the SIM information at different times. Further, for example, the AuC device 100 may transmit the encrypted information and the SIM information at the same time instead of transmitting the encrypted information and the SIM information to the AuC device 100 at different times.

図3は、AuC装置100の機能構成の一例を概略的に示す。AuC装置100は、鍵情報記憶部102、復号鍵情報受信部110、復号鍵生成部112、暗号化情報受信部114、復号部116、加入者情報取得部118、加入者情報記憶部120、認証要求受信部122、及び認証部124を備える。 FIG. 3 schematically shows an example of the functional configuration of the AuC device 100. The AuC device 100 includes a key information storage unit 102, a decryption key information reception unit 110, a decryption key generation unit 112, an encryption information reception unit 114, a decryption unit 116, a subscriber information acquisition unit 118, a subscriber information storage unit 120, and an authentication. It includes a request receiving unit 122 and an authentication unit 124.

鍵情報記憶部102は、第1復号鍵情報を外部から参照不可能な形式で記憶している第1記憶領域と、外部から入力された第2復号鍵情報を記憶するための第2記憶領域とを有する。第1復号鍵情報の第1記憶領域への記憶は、例えば、AuCベンダ装置300によって行われる。第1復号鍵情報の第1記憶領域への記憶は、AuCベンダ30のオペレータによって行われてもよい。第1復号鍵情報の第1記憶領域への記憶は、AuCベンダ30によってキャリア20に提供された、データをAuC装置100に書き込み可能な仕組みを利用することによって、キャリア20によって行われてもよい。第2記憶領域は、第2復号鍵情報を記憶する領域として予め定められた領域であってよい。 The key information storage unit 102 stores a first storage area that stores the first decryption key information in a format that cannot be referred to from the outside, and a second storage area for storing the second decryption key information input from the outside. And have. The storage of the first decryption key information in the first storage area is performed by, for example, the AuC vendor device 300. The storage of the first decryption key information in the first storage area may be performed by the operator of the AuC vendor 30. The storage of the first decryption key information in the first storage area may be performed by the carrier 20 by using the mechanism provided by the AuC vendor 30 to the carrier 20 so that the data can be written to the AuC device 100. .. The second storage area may be a predetermined area as an area for storing the second decryption key information.

復号鍵情報受信部110は、第2復号鍵情報を受信する。復号鍵情報受信部110は、外部から第2復号鍵情報を受信してよい。復号鍵情報受信部110は、例えば、PBXベンダ装置400からネットワーク80を介して第2復号鍵情報を受信する。復号鍵情報受信部110は、受信した第2復号鍵情報を、鍵情報記憶部102の第2記憶領域に記憶する。 The decryption key information receiving unit 110 receives the second decryption key information. The decryption key information receiving unit 110 may receive the second decryption key information from the outside. The decryption key information receiving unit 110 receives, for example, the second decryption key information from the PBX vendor device 400 via the network 80. The decryption key information receiving unit 110 stores the received second decryption key information in the second storage area of the key information storage unit 102.

復号鍵生成部112は、鍵情報記憶部102に記憶されている第1復号鍵情報と第2復号鍵情報とに基づいて復号鍵を生成する。復号鍵を第1復号鍵情報及び第2復号鍵情報に分割する方法及び第1復号鍵情報及び第2復号鍵情報に基づいて復号鍵を生成する方法としては、任意の方法を採用し得る。例えば、復号鍵を前半と後半とに分割し、当該前半と当該後半とを結合することによって復号鍵が生成される。また、例えば、予め定められた規則に基づいて復号鍵を分割し、復号鍵生成部112は、当該規則を参照して、第1復号鍵情報及び第2復号鍵情報から復号鍵を生成する。 The decryption key generation unit 112 generates a decryption key based on the first decryption key information and the second decryption key information stored in the key information storage unit 102. Any method can be adopted as a method of dividing the decryption key into the first decryption key information and the second decryption key information and a method of generating the decryption key based on the first decryption key information and the second decryption key information. For example, the decryption key is generated by dividing the decryption key into the first half and the second half and combining the first half and the second half. Further, for example, the decryption key is divided based on a predetermined rule, and the decryption key generation unit 112 generates a decryption key from the first decryption key information and the second decryption key information with reference to the rule.

第1復号鍵情報と第2復号鍵情報とは、データ量が異なってもよい。例えば、第1復号鍵情報は第2復号鍵情報よりもデータ量が多く、第2復号鍵情報は第1復号鍵情報よりもデータ量が少なくてよい。これにより、第1復号鍵情報のデータ量と第2復号鍵情報のデータ量とを同じにする場合と比較して、キャリア装置200からPBXベンダ装置400、及びPBXベンダ装置400からAuC装置100に対して送信される鍵情報のデータ量を低減することができる。 The amount of data may be different between the first decryption key information and the second decryption key information. For example, the first decryption key information may have a larger amount of data than the second decryption key information, and the second decryption key information may have a smaller amount of data than the first decryption key information. As a result, the carrier device 200 to the PBX vendor device 400 and the PBX vendor device 400 to the AuC device 100 are compared with the case where the data amount of the first decryption key information and the data amount of the second decryption key information are the same. It is possible to reduce the amount of key information data transmitted to the user.

また、例えば、第1復号鍵情報は第2復号鍵情報よりもデータ量が少なく、第2復号鍵情報は第1復号鍵情報よりもデータ量が多くてよい。これにより、第1復号鍵情報のデータ量と第2復号鍵情報のデータ量とを同じにする場合と比較して、例えば、AuCベンダ30内において、複数のAuC装置100に書き込まれる第1復号鍵情報のデータ量を低減することができ、AuCベンダ30内における通信負荷、処理負荷を低減することができる。 Further, for example, the first decryption key information may have a smaller amount of data than the second decryption key information, and the second decryption key information may have a larger amount of data than the first decryption key information. As a result, as compared with the case where the data amount of the first decryption key information and the data amount of the second decryption key information are the same, for example, the first decoding written in the plurality of AuC devices 100 in the AuC vendor 30. The amount of key information data can be reduced, and the communication load and processing load within the AuC vendor 30 can be reduced.

暗号化情報受信部114は、暗号化情報を受信する。暗号化情報受信部114は、例えば、PBXベンダ装置400から暗号化情報を受信する。 The encryption information receiving unit 114 receives the encryption information. The encryption information receiving unit 114 receives the encryption information from, for example, the PBX vendor device 400.

復号部116は、暗号化情報受信部114が受信した暗号化情報を、復号鍵生成部112によって生成された復号鍵を用いて復号化する。復号化された情報は、認証用情報である。当該認証用情報は、上述の第1の認証用情報であってよい。 The decryption unit 116 decrypts the encryption information received by the encryption information receiving unit 114 by using the decryption key generated by the decryption key generation unit 112. The decrypted information is authentication information. The authentication information may be the above-mentioned first authentication information.

加入者情報取得部118は、複数の加入者情報を取得する。加入者情報取得部118は、例えば、PBXベンダ装置400から受信したSIM情報に含まれるIMSIと、SIM情報に含まれるeKIを復号部116によって復号化された認証用情報に含まれる第2の認証用情報用の鍵を用いて復号化したK値とを取得する。 The subscriber information acquisition unit 118 acquires a plurality of subscriber information. For example, the subscriber information acquisition unit 118 includes the IMSI included in the SIM information received from the PBX vendor device 400 and the eKI included in the SIM information in the second authentication information decrypted by the decoding unit 116. The K value decrypted using the key for information is acquired.

加入者情報記憶部120は、加入者情報取得部118が取得した加入者情報を記憶する。加入者情報記憶部120は、K値とIMSIとを対応付けて記憶する。 The subscriber information storage unit 120 stores the subscriber information acquired by the subscriber information acquisition unit 118. The subscriber information storage unit 120 stores the K value and the IMSI in association with each other.

認証要求受信部122は、携帯端末52の認証要求を受信する。認証要求には、携帯端末52のSIMのSIM情報が含まれる。携帯端末52のSIM情報には、携帯端末52のIMSIが含まれてよい。 The authentication request receiving unit 122 receives the authentication request of the mobile terminal 52. The authentication request includes SIM information of the SIM of the mobile terminal 52. The SIM information of the mobile terminal 52 may include the IMSI of the mobile terminal 52.

認証部124は、認証要求受信部122が受信した認証要求を受け付ける。認証部124は、認証要求に含まれるIMSIと、加入者情報記憶部120に当該IMSIと対応付けて記憶されているK値と、復号部116によって復号化された認証用情報とに基づいて、携帯端末52のSIMを認証する。 The authentication unit 124 receives the authentication request received by the authentication request receiving unit 122. The authentication unit 124 is based on the IMSI included in the authentication request, the K value stored in association with the IMSI in the subscriber information storage unit 120, and the authentication information decrypted by the decryption unit 116. Authenticate the SIM of the mobile terminal 52.

図4は、鍵情報記憶部102の構成の一例を概略的に示す。鍵情報記憶部102は、第1復号鍵情報を外部から参照不可能な形式で記憶している記憶領域104と、外部から入力された第2復号鍵情報を記憶するための記憶領域106とを有する。記憶領域104は、第1記憶領域の一例である。記憶領域106は第2記憶領域の一例である。 FIG. 4 schematically shows an example of the configuration of the key information storage unit 102. The key information storage unit 102 stores a storage area 104 that stores the first decryption key information in a format that cannot be referred to from the outside, and a storage area 106 that stores the second decryption key information input from the outside. Have. The storage area 104 is an example of the first storage area. The storage area 106 is an example of the second storage area.

図5は、AuC装置100による処理の流れの一例を概略的に示す。ここでは、ある企業50内に配置されたAuC装置100による、携帯端末52のSIMの認証処理の流れを概略的に説明する。 FIG. 5 schematically shows an example of the processing flow by the AuC apparatus 100. Here, the flow of SIM authentication processing of the mobile terminal 52 by the AuC device 100 arranged in a certain company 50 will be schematically described.

S202では、AuC装置100が配置された企業50に対して割り当てられた加入者情報を加入者情報取得部118が取得して、加入者情報記憶部120に記憶する。S204では、認証要求受信部122が、企業50内の携帯端末52の認証要求を受信する。認証部124は、認証要求受信部122が受信した認証要求を受け付ける。 In S202, the subscriber information acquisition unit 118 acquires the subscriber information assigned to the company 50 in which the AuC device 100 is arranged, and stores it in the subscriber information storage unit 120. In S204, the authentication request receiving unit 122 receives the authentication request of the mobile terminal 52 in the company 50. The authentication unit 124 receives the authentication request received by the authentication request receiving unit 122.

S206では、認証部124が、認証要求に含まれるIMSIに対応するK値を加入者情報記憶部120から読み出す。S208では、認証部124が、乱数であるRANDを発生し、RAND及びK値と、復号部116によって復号化された認証用情報とを用いて、想定応答を生成する。 In S206, the authentication unit 124 reads the K value corresponding to the IMSI included in the authentication request from the subscriber information storage unit 120. In S208, the authentication unit 124 generates RAND, which is a random number, and generates an assumed response by using the RAND and K values and the authentication information decoded by the decoding unit 116.

S210では、認証部124が、携帯端末52にRANDを送信する。携帯端末52のSIMは、当該RANDを受信する。SIMは、受信したRANDと、記憶しているK値及び認証用情報とを用いて、応答情報を生成し、AuC装置100に送信する。 In S210, the authentication unit 124 transmits RAND to the mobile terminal 52. The SIM of the mobile terminal 52 receives the RAND. The SIM generates response information using the received RAND, the stored K value, and the authentication information, and transmits the response information to the AuC device 100.

S212では、認証部124が、携帯端末52によって送信された応答情報を受信する。S214では、S208において生成した想定応答と、S212において受信した応答情報とを比較することにより、SIMの認証を行う。 In S212, the authentication unit 124 receives the response information transmitted by the mobile terminal 52. In S214, SIM authentication is performed by comparing the assumed response generated in S208 with the response information received in S212.

なお、ここでは、AuC装置100がコアネットワーク全体の役割を果たす場合を例に挙げて説明したが、コアネットワークが複数の装置によって構成され、AuC装置100がHSSの装置である場合、認証部124は、S208において生成した想定応答と、RANDとを、MMEに送信してよい。そして、MMEが、携帯端末52にRANDを送信し、携帯端末52によって送信された応答情報と、想定応答とを比較することによって、SIMの認証を行ってよい。 Here, the case where the AuC device 100 plays the role of the entire core network has been described as an example, but when the core network is composed of a plurality of devices and the AuC device 100 is an HSS device, the authentication unit 124 May transmit the assumed response generated in S208 and RAND to the MME. Then, the MME may transmit the RAND to the mobile terminal 52 and authenticate the SIM by comparing the response information transmitted by the mobile terminal 52 with the assumed response.

図6は、キャリア20において準備される復号鍵の一例を概略的に示す。キャリア20は、複数のPBXベンダ40毎に異なる復号鍵を準備してよい。図6では、PBXベンダであるa社41用の復号鍵610、PBXベンダであるb社42用の復号鍵620、PBXベンダであるc社43用の復号鍵630を例示している。 FIG. 6 schematically shows an example of a decryption key prepared in the carrier 20. The carrier 20 may prepare different decryption keys for each of the plurality of PBX vendors 40. FIG. 6 illustrates a decryption key 610 for company a 41, which is a PBX vendor, a decryption key 620 for company b 42, which is a PBX vendor, and a decryption key 630 for company c 43, which is a PBX vendor.

復号鍵610、復号鍵620、及び復号鍵630は、第1復号鍵情報がKeyA650で共通であり、第2復号鍵情報が互いに異なる。復号鍵610における第2復号鍵情報はKeyBa612であり、復号鍵620における第2復号鍵情報はKeyBb622であり、復号鍵630における第2復号鍵情報はKeyBc632である。 In the decryption key 610, the decryption key 620, and the decryption key 630, the first decryption key information is common to the KeyA650, and the second decryption key information is different from each other. The second decryption key information in the decryption key 610 is KeyBa612, the second decryption key information in the decryption key 620 is KeyBb622, and the second decryption key information in the decryption key 630 is KeyBc632.

このように、複数のPBXベンダ40毎に異なる復号鍵を準備することによって、複数のPBXベンダ40で共通の復号鍵を用いる場合と比較して、いずれかの復号鍵が漏えいしてしまった場合に影響の及ぶ範囲を狭くすることができる。 In this way, by preparing different decryption keys for each of the plurality of PBX vendors 40, one of the decryption keys is leaked as compared with the case where a common decryption key is used by the plurality of PBX vendors 40. The range of influence can be narrowed.

図7は、キャリア20において準備される復号鍵の他の一例を概略的に示す。ここでは、図6とは異なる点を主に説明する。 FIG. 7 schematically shows another example of the decryption key prepared in the carrier 20. Here, the points different from those in FIG. 6 will be mainly described.

図7に示す例において、復号鍵610、復号鍵620、及び復号鍵630は、第1復号鍵情報も、第2復号鍵情報も互いに異なる。復号鍵610における第1復号鍵情報はKeyAa651であり、第2復号鍵情報はKeyBa612である。復号鍵620における第1復号鍵情報はKeyAb652であり、第2復号鍵情報はKeyBb622である。復号鍵630における第1復号鍵情報はKeyAc653であり、第2復号鍵情報はKeyBc632である。 In the example shown in FIG. 7, the decryption key 610, the decryption key 620, and the decryption key 630 are different from each other in the first decryption key information and the second decryption key information. The first decryption key information in the decryption key 610 is KeyAa651, and the second decryption key information is KeyBa612. The first decryption key information in the decryption key 620 is KeyAb652, and the second decryption key information is KeyBb622. The first decryption key information in the decryption key 630 is KeyAc653, and the second decryption key information is KeyBc632.

このように、第1復号鍵情報についても、複数のPBXベンダ40毎に異ならせることによって、複数のPBXベンダ40で共通の第1復号鍵情報を用いる場合と比較して、第1復号鍵情報が漏えいしてしまった場合に影響が及ぶ範囲を狭くすることができる。 As described above, by making the first decryption key information different for each of the plurality of PBX vendors 40, the first decryption key information is compared with the case where the first decryption key information common to the plurality of PBX vendors 40 is used. It is possible to narrow the range of influence when the leak occurs.

図8は、AuCベンダ装置300の機能構成の一例を概略的に示す。AuCベンダ装置300は、復号鍵情報取得部302、復号鍵情報記憶部304、及び記憶制御部306を備える。 FIG. 8 schematically shows an example of the functional configuration of the AuC vendor device 300. The AuC vendor device 300 includes a decryption key information acquisition unit 302, a decryption key information storage unit 304, and a storage control unit 306.

復号鍵情報取得部302は、第1復号鍵情報を取得する。復号鍵情報取得部302は、例えば、キャリア装置200から第1復号鍵情報を受信する。また、復号鍵情報取得部302は、例えば、AuCベンダ30のオペレータによって入力された第1復号鍵情報を取得する。また、復号鍵情報取得部302は、例えば、外部からデータをAuC装置100に書き込み可能な仕組を提供し、当該仕組を介して入力された第1復号鍵情報を取得する。復号鍵情報記憶部304は、復号鍵情報取得部302が取得した第1復号鍵情報を記憶する。 The decryption key information acquisition unit 302 acquires the first decryption key information. The decryption key information acquisition unit 302 receives, for example, the first decryption key information from the carrier device 200. Further, the decryption key information acquisition unit 302 acquires, for example, the first decryption key information input by the operator of the AuC vendor 30. Further, the decryption key information acquisition unit 302 provides, for example, a mechanism for writing data to the AuC device 100 from the outside, and acquires the first decryption key information input through the mechanism. The decryption key information storage unit 304 stores the first decryption key information acquired by the decryption key information acquisition unit 302.

記憶制御部306は、復号鍵情報記憶部304に記憶されている第1復号鍵情報を外部から参照不可能な形式でAuC装置100に記憶させる。記憶制御部306は、例えば、製造中のAuC装置100に第1復号鍵情報を記憶させる。また、記憶制御部306は、例えば、製造完了後、出荷前のAuC装置100に第1復号鍵情報を記憶させる。 The storage control unit 306 stores the first decryption key information stored in the decryption key information storage unit 304 in the AuC device 100 in a format that cannot be referred to from the outside. The storage control unit 306 stores, for example, the first decryption key information in the AuC device 100 being manufactured. Further, the storage control unit 306 stores, for example, the first decryption key information in the AuC device 100 before shipment after the production is completed.

図9は、AuC装置100として機能するコンピュータ1200のハードウェア構成の一例を概略的に示す。コンピュータ1200にインストールされたプログラムは、コンピュータ1200を、本実施形態に係る装置の1又は複数の「部」として機能させ、又はコンピュータ1200に、本実施形態に係る装置に関連付けられるオペレーション又は当該1又は複数の「部」を実行させることができ、及び/又はコンピュータ1200に、本発明の実施形態に係るプロセス又は当該プロセスの段階を実行させることができる。そのようなプログラムは、コンピュータ1200に、本明細書に記載のフローチャート及びブロック図のブロックのうちのいくつか又はすべてに関連付けられた特定のオペレーションを実行させるべく、CPU1212によって実行されてよい。 FIG. 9 schematically shows an example of the hardware configuration of the computer 1200 that functions as the AuC device 100. A program installed on the computer 1200 causes the computer 1200 to function as one or more "parts" of the device according to the present embodiment, or causes the computer 1200 to perform an operation associated with the device according to the present embodiment or the one or more. A plurality of "parts" can be executed and / or a computer 1200 can be made to perform a process according to an embodiment of the present invention or a stage of the process. Such a program may be run by the CPU 1212 to cause the computer 1200 to perform certain operations associated with some or all of the blocks of the flowcharts and block diagrams described herein.

本実施形態によるコンピュータ1200は、CPU1212、RAM1214、及びグラフィックコントローラ1216を含み、それらはホストコントローラ1210によって相互に接続されている。コンピュータ1200はまた、通信インタフェース1222、記憶装置1224、DVDドライブ1226、及びICカードドライブのような入出力ユニットを含み、それらは入出力コントローラ1220を介してホストコントローラ1210に接続されている。DVDドライブ1226は、DVD−ROMドライブ及びDVD−RAMドライブ等であってよい。記憶装置1224は、ハードディスクドライブ及びソリッドステートドライブ等であってよい。コンピュータ1200はまた、ROM1230及びキーボードのようなレガシの入出力ユニットを含み、それらは入出力チップ1240を介して入出力コントローラ1220に接続されている。 The computer 1200 according to this embodiment includes a CPU 1212, a RAM 1214, and a graphic controller 1216, which are interconnected by a host controller 1210. The computer 1200 also includes input / output units such as a communication interface 1222, a storage device 1224, a DVD drive 1226, and an IC card drive, which are connected to the host controller 1210 via an input / output controller 1220. The DVD drive 1226 may be a DVD-ROM drive, a DVD-RAM drive, or the like. The storage device 1224 may be a hard disk drive, a solid state drive, or the like. The computer 1200 also includes a legacy I / O unit such as a ROM 1230 and a keyboard, which are connected to the I / O controller 1220 via an I / O chip 1240.

CPU1212は、ROM1230及びRAM1214内に記憶されたプログラムに従い動作し、それにより各ユニットを制御する。グラフィックコントローラ1216は、RAM1214内に提供されるフレームバッファ等又はそれ自体の中に、CPU1212によって生成されるイメージデータを取得し、イメージデータがディスプレイデバイス1218上に表示されるようにする。 The CPU 1212 operates according to the programs stored in the ROM 1230 and the RAM 1214, thereby controlling each unit. The graphic controller 1216 acquires the image data generated by the CPU 1212 in a frame buffer or the like provided in the RAM 1214 or itself so that the image data is displayed on the display device 1218.

通信インタフェース1222は、ネットワークを介して他の電子デバイスと通信する。記憶装置1224は、コンピュータ1200内のCPU1212によって使用されるプログラム及びデータを記憶する。DVDドライブ1226は、プログラム又はデータをDVD−ROM1227等から読み取り、記憶装置1224に提供する。ICカードドライブは、プログラム及びデータをICカードから読み取り、及び/又はプログラム及びデータをICカードに書き込む。 Communication interface 1222 communicates with other electronic devices via a network. The storage device 1224 stores programs and data used by the CPU 1212 in the computer 1200. The DVD drive 1226 reads the program or data from the DVD-ROM 1227 or the like and provides it to the storage device 1224. The IC card drive reads the program and data from the IC card and / or writes the program and data to the IC card.

ROM1230はその中に、アクティブ化時にコンピュータ1200によって実行されるブートプログラム等、及び/又はコンピュータ1200のハードウェアに依存するプログラムを記憶する。入出力チップ1240はまた、様々な入出力ユニットをUSBポート、パラレルポート、シリアルポート、キーボードポート、マウスポート等を介して、入出力コントローラ1220に接続してよい。 The ROM 1230 stores in it a boot program or the like executed by the computer 1200 at the time of activation and / or a program depending on the hardware of the computer 1200. The input / output chip 1240 may also connect various input / output units to the input / output controller 1220 via a USB port, a parallel port, a serial port, a keyboard port, a mouse port, and the like.

プログラムは、DVD−ROM1227又はICカードのようなコンピュータ可読記憶媒体によって提供される。プログラムは、コンピュータ可読記憶媒体から読み取られ、コンピュータ可読記憶媒体の例でもある記憶装置1224、RAM1214、又はROM1230にインストールされ、CPU1212によって実行される。これらのプログラム内に記述される情報処理は、コンピュータ1200に読み取られ、プログラムと、上記様々なタイプのハードウェアリソースとの間の連携をもたらす。装置又は方法が、コンピュータ1200の使用に従い情報のオペレーション又は処理を実現することによって構成されてよい。 The program is provided by a computer-readable storage medium such as a DVD-ROM 1227 or an IC card. The program is read from a computer-readable storage medium, installed in a storage device 1224, RAM 1214, or ROM 1230, which is also an example of a computer-readable storage medium, and executed by the CPU 1212. The information processing described in these programs is read by the computer 1200 and provides a link between the program and the various types of hardware resources described above. The device or method may be configured to implement the operation or processing of information in accordance with the use of computer 1200.

例えば、通信がコンピュータ1200及び外部デバイス間で実行される場合、CPU1212は、RAM1214にロードされた通信プログラムを実行し、通信プログラムに記述された処理に基づいて、通信インタフェース1222に対し、通信処理を命令してよい。通信インタフェース1222は、CPU1212の制御の下、RAM1214、記憶装置1224、DVD−ROM1227、又はICカードのような記録媒体内に提供される送信バッファ領域に記憶された送信データを読み取り、読み取られた送信データをネットワークに送信し、又はネットワークから受信した受信データを記録媒体上に提供される受信バッファ領域等に書き込む。 For example, when communication is executed between the computer 1200 and an external device, the CPU 1212 executes a communication program loaded in the RAM 1214, and performs communication processing on the communication interface 1222 based on the processing described in the communication program. You may order. Under the control of the CPU 1212, the communication interface 1222 reads and reads the transmission data stored in the transmission buffer area provided in the recording medium such as the RAM 1214, the storage device 1224, the DVD-ROM 1227, or the IC card. The data is transmitted to the network, or the received data received from the network is written to the reception buffer area or the like provided on the recording medium.

また、CPU1212は、記憶装置1224、DVDドライブ1226(DVD−ROM1227)、ICカード等のような外部記録媒体に記憶されたファイル又はデータベースの全部又は必要な部分がRAM1214に読み取られるようにし、RAM1214上のデータに対し様々なタイプの処理を実行してよい。CPU1212は次に、処理されたデータを外部記録媒体にライトバックしてよい。 Further, the CPU 1212 makes the RAM 1214 read all or necessary parts of the files or databases stored in the external recording medium such as the storage device 1224, the DVD drive 1226 (DVD-ROM1227), the IC card, etc. Various types of processing may be performed on the data of. The CPU 1212 may then write back the processed data to an external recording medium.

様々なタイプのプログラム、データ、テーブル、及びデータベースのような様々なタイプの情報が記録媒体に記憶され、情報処理を受けてよい。CPU1212は、RAM1214から読み取られたデータに対し、本開示の随所に記載され、プログラムの命令シーケンスによって指定される様々なタイプのオペレーション、情報処理、条件判断、条件分岐、無条件分岐、情報の検索/置換等を含む、様々なタイプの処理を実行してよく、結果をRAM1214に対しライトバックする。また、CPU1212は、記録媒体内のファイル、データベース等における情報を検索してよい。例えば、各々が第2の属性の属性値に関連付けられた第1の属性の属性値を有する複数のエントリが記録媒体内に記憶される場合、CPU1212は、当該複数のエントリの中から、第1の属性の属性値が指定されている条件に一致するエントリを検索し、当該エントリ内に記憶された第2の属性の属性値を読み取り、それにより予め定められた条件を満たす第1の属性に関連付けられた第2の属性の属性値を取得してよい。 Various types of information such as various types of programs, data, tables, and databases may be stored in recording media and processed. The CPU 1212 describes various types of operations, information processing, conditional judgment, conditional branching, unconditional branching, and information retrieval described in various parts of the present disclosure with respect to the data read from the RAM 1214, and is specified by the instruction sequence of the program. Various types of processing may be performed, including / replacement, etc., and the results are written back to the RAM 1214. Further, the CPU 1212 may search for information in a file, a database, or the like in the recording medium. For example, when a plurality of entries each having an attribute value of the first attribute associated with the attribute value of the second attribute are stored in the recording medium, the CPU 1212 is the first of the plurality of entries. The attribute value of the attribute of is searched for the entry that matches the specified condition, the attribute value of the second attribute stored in the entry is read, and the first attribute that satisfies the predetermined condition is selected. You may get the attribute value of the associated second attribute.

上で説明したプログラム又はソフトウエアモジュールは、コンピュータ1200上又はコンピュータ1200近傍のコンピュータ可読記憶媒体に記憶されてよい。また、専用通信ネットワーク又はインターネットに接続されたサーバシステム内に提供されるハードディスク又はRAMのような記録媒体が、コンピュータ可読記憶媒体として使用可能であり、それによりプログラムを、ネットワークを介してコンピュータ1200に提供する。 The program or software module described above may be stored on a computer 1200 or in a computer-readable storage medium near the computer 1200. In addition, a recording medium such as a hard disk or RAM provided in a dedicated communication network or a server system connected to the Internet can be used as a computer-readable storage medium, whereby the program can be transferred to the computer 1200 via the network. provide.

本実施形態におけるフローチャート及びブロック図におけるブロックは、オペレーションが実行されるプロセスの段階又はオペレーションを実行する役割を持つ装置の「部」を表わしてよい。特定の段階及び「部」が、専用回路、コンピュータ可読記憶媒体上に記憶されるコンピュータ可読命令と共に供給されるプログラマブル回路、及び/又はコンピュータ可読記憶媒体上に記憶されるコンピュータ可読命令と共に供給されるプロセッサによって実装されてよい。専用回路は、デジタル及び/又はアナログハードウェア回路を含んでよく、集積回路(IC)及び/又はディスクリート回路を含んでよい。プログラマブル回路は、例えば、フィールドプログラマブルゲートアレイ(FPGA)、及びプログラマブルロジックアレイ(PLA)等のような、論理積、論理和、排他的論理和、否定論理積、否定論理和、及び他の論理演算、フリップフロップ、レジスタ、並びにメモリエレメントを含む、再構成可能なハードウェア回路を含んでよい。 The blocks in the flowchart and block diagram of this embodiment may represent a stage of the process in which the operation is performed or a "part" of the device responsible for performing the operation. Specific stages and "parts" are supplied with dedicated circuits, programmable circuits supplied with computer-readable instructions stored on a computer-readable storage medium, and / or with computer-readable instructions stored on a computer-readable storage medium. It may be implemented by the processor. Dedicated circuits may include digital and / or analog hardware circuits, and may include integrated circuits (ICs) and / or discrete circuits. Programmable circuits include logical products, logical sums, exclusive logical sums, negative logical products, negative logical sums, and other logical operations, such as, for example, field programmable gate arrays (FPGAs), programmable logic arrays (PLAs), and the like. , Flip-flops, registers, and reconfigurable hardware circuits, including memory elements.

コンピュータ可読記憶媒体は、適切なデバイスによって実行される命令を記憶可能な任意の有形なデバイスを含んでよく、その結果、そこに記憶される命令を有するコンピュータ可読記憶媒体は、フローチャート又はブロック図で指定されたオペレーションを実行するための手段を作成すべく実行され得る命令を含む、製品を備えることになる。コンピュータ可読記憶媒体の例としては、電子記憶媒体、磁気記憶媒体、光記憶媒体、電磁記憶媒体、半導体記憶媒体等が含まれてよい。コンピュータ可読記憶媒体のより具体的な例としては、フロッピー(登録商標)ディスク、ディスケット、ハードディスク、ランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、消去可能プログラマブルリードオンリメモリ(EPROM又はフラッシュメモリ)、電気的消去可能プログラマブルリードオンリメモリ(EEPROM)、静的ランダムアクセスメモリ(SRAM)、コンパクトディスクリードオンリメモリ(CD−ROM)、デジタル多用途ディスク(DVD)、ブルーレイ(登録商標)ディスク、メモリスティック、集積回路カード等が含まれてよい。 The computer-readable storage medium may include any tangible device capable of storing instructions executed by the appropriate device, so that the computer-readable storage medium having the instructions stored therein is in a flow chart or block diagram. It will include a product that contains instructions that can be executed to create means for performing the specified operation. Examples of computer-readable storage media may include electronic storage media, magnetic storage media, optical storage media, electromagnetic storage media, semiconductor storage media, and the like. More specific examples of computer-readable storage media include floppy (registered trademark) disks, diskettes, hard disks, random access memory (RAM), read-only memory (ROM), and erasable programmable read-only memory (EPROM or flash memory). , Electrically Erasable Programmable Read Only Memory (EEPROM), Static Random Access Memory (SRAM), Compact Disc Read Only Memory (CD-ROM), Digital Versatile Disc (DVD), Blu-ray® Disc, Memory Stick , Integrated circuit cards and the like may be included.

コンピュータ可読命令は、アセンブラ命令、命令セットアーキテクチャ(ISA)命令、マシン命令、マシン依存命令、マイクロコード、ファームウェア命令、状態設定データ、又はSmalltalk、JAVA(登録商標)、C++等のようなオブジェクト指向プログラミング言語、及び「C」プログラミング言語又は同様のプログラミング言語のような従来の手続型プログラミング言語を含む、1又は複数のプログラミング言語の任意の組み合わせで記述されたソースコード又はオブジェクトコードのいずれかを含んでよい。 Computer-readable instructions are assembler instructions, instruction set architecture (ISA) instructions, machine instructions, machine-dependent instructions, microcode, firmware instructions, state-setting data, or object-oriented programming such as Smalltalk, JAVA®, C ++, etc. Includes either source code or object code written in any combination of one or more programming languages, including languages and traditional procedural programming languages such as the "C" programming language or similar programming languages. Good.

コンピュータ可読命令は、汎用コンピュータ、特殊目的のコンピュータ、若しくは他のプログラム可能なデータ処理装置のプロセッサ、又はプログラマブル回路が、フローチャート又はブロック図で指定されたオペレーションを実行するための手段を生成するために当該コンピュータ可読命令を実行すべく、ローカルに又はローカルエリアネットワーク(LAN)、インターネット等のようなワイドエリアネットワーク(WAN)を介して、汎用コンピュータ、特殊目的のコンピュータ、若しくは他のプログラム可能なデータ処理装置のプロセッサ、又はプログラマブル回路に提供されてよい。プロセッサの例としては、コンピュータプロセッサ、処理ユニット、マイクロプロセッサ、デジタル信号プロセッサ、コントローラ、マイクロコントローラ等を含む。 Computer-readable instructions are used to generate means for a general-purpose computer, a special-purpose computer, or the processor of another programmable data processing device, or a programmable circuit, to perform an operation specified in a flowchart or block diagram. General purpose computers, special purpose computers, or other programmable data processing locally or via a local area network (LAN), a wide area network (WAN) such as the Internet, etc. to execute the computer readable instructions. It may be provided in the processor of the device or in a programmable circuit. Examples of processors include computer processors, processing units, microprocessors, digital signal processors, controllers, microcontrollers and the like.

上記実施形態では、移動体通信ネットワークがLTEネットワークである場合を主に例に挙げて説明したが、これに限らない。コアネットワークが対応する移動体通信ネットワークは、例えば、3G(3rd Generation)ネットワーク、5G(5th Generation)ネットワーク、及び5Gより後の移動体通信ネットワークであってもよい。コアネットワークが3Gネットワークに対応する場合であって、コアネットワークが複数の装置によって構成される場合、AuC装置100は、HLR(Home Location Register)の装置であってよい。コアネットワークが5Gネットワークに対応する場合であって、コアネットワークが複数の装置によって構成される場合、AuC装置100は、UDM(Unified Data Management)の装置であってよい。また、本実施形態に係るAuC装置100は、LTE over Wi−Fi(登録商標)に適用されてもよい。 In the above embodiment, the case where the mobile communication network is an LTE network has been mainly described as an example, but the present invention is not limited to this. The mobile communication network supported by the core network may be, for example, a 3G (3rd Generation) network, a 5G (5th Generation) network, and a mobile communication network after 5G. When the core network corresponds to the 3G network and the core network is composed of a plurality of devices, the AuC device 100 may be a device of HLR (Home Location Register). When the core network corresponds to a 5G network and the core network is composed of a plurality of devices, the AuC device 100 may be a device of UDM (Unified Data Management). Further, the AuC device 100 according to the present embodiment may be applied to LTE over Wi-Fi (registered trademark).

以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更又は改良を加えることが可能であることが当業者に明らかである。その様な変更又は改良を加えた形態も本発明の技術的範囲に含まれ得ることが、請求の範囲の記載から明らかである。 Although the present invention has been described above using the embodiments, the technical scope of the present invention is not limited to the scope described in the above embodiments. It will be apparent to those skilled in the art that various changes or improvements can be made to the above embodiments. It is clear from the description of the claims that the form with such modifications or improvements may also be included in the technical scope of the present invention.

請求の範囲、明細書、及び図面中において示した装置、システム、プログラム、及び方法における動作、手順、ステップ、及び段階などの各処理の実行順序は、特段「より前に」、「先立って」などと明示しておらず、また、前の処理の出力を後の処理で用いるのでない限り、任意の順序で実現しうることに留意すべきである。請求の範囲、明細書、及び図面中の動作フローに関して、便宜上「まず、」、「次に、」などを用いて説明したとしても、この順で実施することが必須であることを意味するものではない。 The execution order of each process such as operation, procedure, step, and step in the device, system, program, and method shown in the claims, the specification, and the drawing is particularly "before" and "prior to". It should be noted that the output of the previous process can be realized in any order unless it is used in the subsequent process. Even if the claims, the specification, and the operation flow in the drawings are explained using "first", "next", etc. for convenience, it means that it is essential to carry out in this order. is not.

20 キャリア
30 AuCベンダ
32 ネットワーク
40 PBXベンダ
41 a社
42 b社
43 c社
50 企業
52 携帯端末
80 ネットワーク
100 AuC装置
102 鍵情報記憶部
104 記憶領域
106 記憶領域
110 復号鍵情報受信部
112 復号鍵生成部
114 暗号化情報受信部
116 復号部
118 加入者情報取得部
120 加入者情報記憶部
122 認証要求受信部
124 認証部
200 キャリア装置
300 AuCベンダ装置
302 復号鍵情報取得部
304 復号鍵情報記憶部
306 記憶制御部
400 PBXベンダ装置
610 復号鍵
612 KeyBa
620 復号鍵
622 KeyBb
630 復号鍵
632 KeyBc
650 KeyA
651 KeyAa
652 KeyAb
653 KeyAc
1200 コンピュータ
1210 ホストコントローラ
1212 CPU
1214 RAM
1216 グラフィックコントローラ
1218 ディスプレイデバイス
1220 入出力コントローラ
1222 通信インタフェース
1224 記憶装置
1226 DVDドライブ
1227 DVD−ROM
1230 ROM
1240 入出力チップ20 Carrier 30 AuC Vendor 32 Network 40 PBX Vendor 41 a company 42 b company 43 c company 50 company 52 mobile terminal 80 network 100 AuC device 102 key information storage unit 104 storage area 106 storage area 110 decryption key information receiver 112 decryption key generation Unit 114 Encryption information reception unit 116 Decryption unit 118 Subscriber information acquisition unit 120 Subscriber information storage unit 122 Authentication request reception unit 124 Authentication unit 200 Carrier device 300 AuC vendor device 302 Decryption key information acquisition unit 304 Decryption key information storage unit 306 Storage control unit 400 PBX vendor device 610 Decryption key 612 KeyBa
620 Decryption key 622 KeyBb
630 Decryption key 632 KeyBc
650 KeyA
651 KeyAa
652 KeyAb
653 KeyAc
1200 computer 1210 host controller 1212 CPU
1214 RAM
1216 Graphic controller 1218 Display device 1220 Input / output controller 1222 Communication interface 1224 Storage device 1226 DVD drive 1227 DVD-ROM
1230 ROM
1240 I / O chip

Claims (8)

認証装置と、
キャリア装置と
を備えるシステムであって、
前記キャリア装置は、第1復号鍵情報を、前記認証装置を管理する管理装置に送信し、第2復号鍵情報をPBXベンダ装置に送信する送信部を有し、
前記認証装置は、
前記第2復号鍵情報を前記PBXベンダ装置から受信する第2復号鍵情報受信部と、
前記管理装置の制御に従って前記第1復号鍵情報を外部から参照不可能な形式で第1記憶領域に記憶し前記第2復号鍵情報受信部が受信した前記第2復号鍵情報を第2記憶領域に記憶する鍵情報記憶部と、
前記第1記憶領域に記憶され前記第1復号鍵情報と、前記第2記憶領域に記憶された前記第2復号鍵情報とに基づいて復号鍵を生成する復号鍵生成部と、
前記復号鍵を用いて、暗号化された情報を復号化する復号部と、
携帯端末の認証要求を受け付け、前記認証要求に含まれる前記携帯端末のSIM(Subscriber Identity Module)のSIM情報と、前記復号部によって復号化された情報とに基づいて、前記SIMの認証を行う認証部と
有し、
前記キャリア装置は、複数の前記PBXベンダ装置に共通の前記第1復号鍵情報と、前記複数のPBXベンダ装置毎に異なる前記第2復号鍵情報とを生成する、システム Authentication device and
With carrier equipment
It is a system equipped with
The carrier device has a transmission unit that transmits the first decryption key information to the management device that manages the authentication device, and transmits the second decryption key information to the PBX vendor device.
The authentication device is
A second decryption key information receiving unit that receives the second decryption key information from the PBX vendor device, and
According to the control of the management device, the first decryption key information is stored in the first storage area in a format that cannot be referred to from the outside, and the second decryption key information received by the second decryption key information receiving unit is stored in the second storage. a key information storage unit that stores in the area,
And wherein the first stored in the storage area first decryption key information, the decryption key generating unit which generates a decryption key based on the said second stored in the storage area a second decryption key information,
A decryption unit that decrypts the encrypted information using the decryption key,
Authentication that accepts the authentication request of the mobile terminal and authenticates the SIM based on the SIM information of the SIM (Subscriber Identity Module) of the mobile terminal included in the authentication request and the information decoded by the decoding unit. Has a part and
The carrier device is a system that generates the first decryption key information common to the plurality of PBX vendor devices and the second decryption key information different for each of the plurality of PBX vendor devices . 前記第2復号鍵情報受信部は、インターネットを介して送信された前記第2復号鍵情報を受信する、請求項に記載のシステムThe system according to claim 1 , wherein the second decryption key information receiving unit receives the second decryption key information transmitted via the Internet. 前記第1復号鍵情報は、前記第2復号鍵情報よりもデータ量が多い、請求項1又は2に記載のシステムThe system according to claim 1 or 2 , wherein the first decryption key information has a larger amount of data than the second decryption key information. 前記第1復号鍵情報は、前記第2復号鍵情報よりもデータ量が少ない、請求項1又は2に記載のシステムThe system according to claim 1 or 2 , wherein the first decryption key information has a smaller amount of data than the second decryption key information. 前記認証装置は、
複数の加入者情報を記憶する加入者情報記憶部であって、前記複数の加入者情報のそれぞれは、加入者識別番号と、SIM毎に固有の鍵情報とを含む加入者情報記憶部
を備え、
前記SIM情報は前記加入者識別番号を含み、
前記認証部は、前記SIM情報に含まれる加入者識別番号と、前記加入者情報記憶部に当該加入者識別番号と対応付けて記憶されている鍵情報と、前記復号部によって復号化された情報とに基づいて、前記SIMの認証を行う、請求項1からのいずれか一項に記載のシステム The authentication device is
It is a subscriber information storage unit that stores a plurality of subscriber information, and each of the plurality of subscriber information includes a subscriber information storage unit that includes a subscriber identification number and key information unique to each SIM. ,
The SIM information includes the subscriber identification number and includes the subscriber identification number.
The authentication unit includes a subscriber identification number included in the SIM information, key information stored in the subscriber information storage unit in association with the subscriber identification number, and information decrypted by the decryption unit. The system according to any one of claims 1 to 4 , which authenticates the SIM based on the above. 前記加入者識別番号は、IMSI(International Mobile Subscriber Identity)であり、
前記鍵情報は、K値である、
請求項に記載のシステムThe subscriber identification number is IMSI (International Mobile Subscriber Identity), and is
The key information is a K value.
The system according to claim 5 . 前記管理装置を備え
前記管理装置は、前記認証装置の前記第1記憶領域に前記第1復号鍵情報を記憶させる記憶制御部を有する、
請求項1から6のいずれか一項に記載のシステム。 Equipped with the management device
The management device has a storage control unit that stores the first decryption key information in the first storage area of the authentication device.
The system according to any one of claims 1 to 6 . 前記管理装置は、
前記第1復号鍵情報を外部から受信する第1復号鍵情報受信部
を備え、
前記記憶制御部は、前記第1復号鍵情報受信部が受信した前記第1復号鍵情報を前記第1記憶領域に記憶させる、請求項に記載のシステム。 The management device is
A first decryption key information receiving unit for receiving the first decryption key information from the outside is provided.
The system according to claim 7 , wherein the storage control unit stores the first decryption key information received by the first decryption key information receiving unit in the first storage area.
JP2019555515A 2018-12-28 2018-12-28 system Active JP6763096B1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/048402 WO2020136857A1 (en) 2018-12-28 2018-12-28 Authentication device, system, authentication method, and program

Publications (2)

Publication Number Publication Date
JP6763096B1 true JP6763096B1 (en) 2020-09-30
JPWO2020136857A1 JPWO2020136857A1 (en) 2021-02-15

Family

ID=71126183

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019555515A Active JP6763096B1 (en) 2018-12-28 2018-12-28 system

Country Status (2)

Country Link
JP (1) JP6763096B1 (en)
WO (1) WO2020136857A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020188988A1 (en) * 2019-03-20 2020-09-24 日本電気株式会社 Control device, wireless communication system, control method, and recording medium in which program is recorded

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11298470A (en) * 1998-04-16 1999-10-29 Hitachi Ltd Key distribution method and system
JP2001177642A (en) * 1999-12-14 2001-06-29 Nec Commun Syst Ltd Exchange maintenance interface system
JP2005020608A (en) * 2003-06-27 2005-01-20 Canon Inc Content distribution system
US8983447B2 (en) * 2012-08-14 2015-03-17 Qualcomm Incorporated Methods, systems and devices for dynamic HPLMN configuration

Also Published As

Publication number Publication date
JPWO2020136857A1 (en) 2021-02-15
WO2020136857A1 (en) 2020-07-02

Similar Documents

Publication Publication Date Title
US20200372503A1 (en) Transaction messaging
US9934014B2 (en) Automatic purposed-application creation
US10484352B2 (en) Data operations using a proxy encryption key
US10284372B2 (en) Method and system for secure management of computer applications
US10250613B2 (en) Data access method based on cloud computing platform, and user terminal
US20120303310A1 (en) Systems and Methods for Providing Test Keys to Mobile Devices
US10659226B2 (en) Data encryption method, decryption method, apparatus, and system
US8495383B2 (en) Method for the secure storing of program state data in an electronic device
US20200320489A1 (en) Methods and systems for facilitating microservices for cryptographic operations
CN113849847B (en) Method, apparatus and medium for encrypting and decrypting sensitive data
CN107920081A (en) Login authentication method and device
CN111190974B (en) Method, device and equipment for forwarding and acquiring verifiable statement
CN112788001B (en) Data encryption-based data processing service processing method, device and equipment
CN104935435A (en) Login methods, terminal and application server
CN111566989B (en) Key processing method and device
JP6763096B1 (en) system
US11695740B2 (en) Anonymization method and apparatus, device, and storage medium
KR102114431B1 (en) How to load a subscription to the built-in security element of the mobile terminal
US20120243678A1 (en) Data protection using distributed security key
WO2015154469A1 (en) Database operation method and device
KR101346284B1 (en) Method for producing an encrypted file and decrypting the encrypted file, computer readable recording medium a program for implementing the methods
US11139969B2 (en) Centralized system for a hardware security module for access to encryption keys
CN115941279A (en) Encryption and decryption method, system and equipment for user identification in data
CN103905192A (en) Encryption authentication method, device and system
CN106209381A (en) A kind of photo encipher-decipher method and system thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191009

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200707

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200819

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200825

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200909

R150 Certificate of patent or registration of utility model

Ref document number: 6763096

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250