JP6763096B1 - system - Google Patents
system Download PDFInfo
- Publication number
- JP6763096B1 JP6763096B1 JP2019555515A JP2019555515A JP6763096B1 JP 6763096 B1 JP6763096 B1 JP 6763096B1 JP 2019555515 A JP2019555515 A JP 2019555515A JP 2019555515 A JP2019555515 A JP 2019555515A JP 6763096 B1 JP6763096 B1 JP 6763096B1
- Authority
- JP
- Japan
- Prior art keywords
- decryption key
- key information
- information
- authentication
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
第1復号鍵情報を外部から参照不可能な形式で記憶している第1記憶領域と、外部から入力された第2復号鍵情報を記憶するための第2記憶領域とを有する鍵情報記憶部と、第1記憶領域に記憶されている第1復号鍵情報と、第2記憶領域に記憶された第2復号鍵情報とに基づいて復号鍵を生成する復号鍵生成部と、復号鍵を用いて、暗号化された情報を復号化する復号部と、携帯端末の認証要求を受け付け、認証要求に含まれる携帯端末のSIMのSIM情報と、復号部によって復号化された情報とに基づいて、SIMの認証を行う認証部とを備える認証装置を提供する。A key information storage unit having a first storage area for storing the first decryption key information in a format that cannot be referred to from the outside and a second storage area for storing the second decryption key information input from the outside. Using a decryption key generator that generates a decryption key based on the first decryption key information stored in the first storage area and the second decryption key information stored in the second storage area, and a decryption key. Based on the decryption unit that decrypts the encrypted information, the SIM information of the SIM of the mobile terminal that receives the authentication request of the mobile terminal and is included in the authentication request, and the information decrypted by the decryption unit. Provided is an authentication device including an authentication unit that authenticates SIM.
Description
本発明は、認証装置、システム、認証方法及びプログラムに関する。 The present invention relates to authentication devices, systems, authentication methods and programs.
SIM(Subscriber Identity Module)に記憶された鍵情報と、HSS(Home Subscriber Server)上に保存された鍵情報とを用いてSIMの認証を行う仕組みが知られていた(例えば、特許文献1参照)。
[先行技術文献]
[特許文献]
[特許文献1]特開2013−168035号公報A mechanism for authenticating a SIM using a key information stored in a SIM (Subsystem Identity Module) and a key information stored on an HSS (Home Subsystem Server) has been known (see, for example, Patent Document 1). ..
[Prior art literature]
[Patent Document]
[Patent Document 1] Japanese Unexamined Patent Publication No. 2013-168835
SIMの情報が漏えいする可能性を低減可能な技術を提供することが望ましい。 It is desirable to provide a technology that can reduce the possibility of SIM information leakage.
本発明の第1の態様によれば、認証装置が提供される。認証装置は、第1復号鍵情報を外部から参照不可能な形式で記憶している第1記憶領域と、外部から入力された第2復号鍵情報を記憶するための第2記憶領域とを有する鍵情報記憶部を備えてよい。認証装置は、第1記憶領域に記憶されている第1復号鍵情報と、第2記憶領域に記憶された第2復号鍵情報とに基づいて復号鍵を生成する復号鍵生成部を備えてよい。認証装置は、復号鍵を用いて、暗号化された情報を復号化する復号部を備えてよい。認証装置は、携帯端末の認証要求を受け付け、認証要求に含まれる携帯端末のSIMのSIM情報と、復号部によって復号化された情報とに基づいて、SIMの認証を行う認証部を備えてよい。 According to the first aspect of the present invention, an authentication device is provided. The authentication device has a first storage area for storing the first decryption key information in a format that cannot be referred to from the outside, and a second storage area for storing the second decryption key information input from the outside. It may be provided with a key information storage unit. The authentication device may include a decryption key generator that generates a decryption key based on the first decryption key information stored in the first storage area and the second decryption key information stored in the second storage area. .. The authentication device may include a decryption unit that decrypts the encrypted information by using the decryption key. The authentication device may include an authentication unit that receives an authentication request for the mobile terminal and authenticates the SIM based on the SIM information of the SIM of the mobile terminal included in the authentication request and the information decrypted by the decryption unit. ..
上記認証装置は、上記第2復号鍵情報を外部から受信して上記第2記憶領域に記憶する第2復号鍵情報受信部を備えてよい。上記第2復号鍵情報受信部は、インターネットを介して送信された上記第2復号鍵情報を受信してよい。上記第1復号鍵情報は、上記第2復号鍵情報よりもデータ量が多くてよい。上記第1復号鍵情報は、上記第2復号鍵情報よりもデータ量が少なくてよい。 The authentication device may include a second decryption key information receiving unit that receives the second decryption key information from the outside and stores it in the second storage area. The second decryption key information receiving unit may receive the second decryption key information transmitted via the Internet. The amount of data of the first decryption key information may be larger than that of the second decryption key information. The amount of data of the first decryption key information may be smaller than that of the second decryption key information.
上記認証装置は、複数の加入者情報を記憶する加入者情報記憶部であって、上記複数の加入者情報のそれぞれは、加入者識別番号と、SIM毎に固有の鍵情報とを含む加入者情報記憶部を備えてよく、上記SIM情報は上記加入者識別番号を含んでよく、上記認証部は、上記SIM情報に含まれる加入者識別番号と、上記加入者情報記憶部に当該加入者識別番号と対応付けて記憶されている鍵情報と、上記復号部によって復号化された情報とに基づいて、上記SIMの認証を行ってよい。上記加入者識別番号は、IMSI(International Mobile Subscriber Identity)であってよく、上記鍵情報は、K値であってよい。 The authentication device is a subscriber information storage unit that stores a plurality of subscriber information, and each of the plurality of subscriber information includes a subscriber identification number and a key information unique to each SIM. An information storage unit may be provided, the SIM information may include the subscriber identification number, the authentication unit may include the subscriber identification number included in the SIM information, and the subscriber information storage unit may include the subscriber identification number. The SIM authentication may be performed based on the key information stored in association with the number and the information decrypted by the decoding unit. The subscriber identification number may be IMSI (International Mobile Subscriber Identity), and the key information may be a K value.
本発明の第2の態様によれば、上記認証装置と、上記認証装置を管理する管理装置とを備えるシステムが提供される。上記管理装置は、上記第1復号鍵情報を外部から受信する第1復号鍵情報受信部を備えてよく、上記記憶制御部は、上記第1復号鍵情報受信部が受信した上記第1復号鍵情報を上記第1記憶領域に記憶させてよい。 According to the second aspect of the present invention, a system including the authentication device and a management device for managing the authentication device is provided. The management device may include a first decryption key information receiving unit that receives the first decryption key information from the outside, and the storage control unit may include the first decryption key received by the first decryption key information receiving unit. The information may be stored in the first storage area.
本発明の第3の態様によれば、認証方法が提供される。認証方法は、第1復号鍵情報を外部から参照不可能な形式で記憶している第1記憶領域と、外部から入力された第2復号鍵情報を記憶するための第2記憶領域とを有する鍵情報記憶部を有する認証装置により実行されてよい。認証方法は、第1記憶領域に記憶されている第1復号鍵情報と、第2記憶領域に記憶された第2復号鍵情報とに基づいて復号鍵を生成する復号鍵生成段階を備えてよい。認証方法は、復号鍵を用いて、暗号化された情報を復号化する復号段階を備えてよい。認証方法は、携帯端末の認証要求を受け付け、認証要求に含まれる携帯端末のSIMのSIM情報と、復号部によって復号化された情報とに基づいて、SIMの認証を行う認証段階を備えてよい。 According to the third aspect of the present invention, an authentication method is provided. The authentication method has a first storage area for storing the first decryption key information in a format that cannot be referred to from the outside, and a second storage area for storing the second decryption key information input from the outside. It may be executed by an authentication device having a key information storage unit. The authentication method may include a decryption key generation step of generating a decryption key based on the first decryption key information stored in the first storage area and the second decryption key information stored in the second storage area. .. The authentication method may include a decryption step of decrypting the encrypted information using the decryption key. The authentication method may include an authentication step of accepting the authentication request of the mobile terminal and performing SIM authentication based on the SIM information of the SIM of the mobile terminal included in the authentication request and the information decrypted by the decoding unit. ..
本発明の第4の態様によれば、プログラムが提供される。プログラムは、第1復号鍵情報を外部から参照不可能な形式で記憶している第1記憶領域と、外部から入力された第2復号鍵情報を記憶するための第2記憶領域とを有する鍵情報記憶部を有するコンピュータに、第1記憶領域に記憶されている第1復号鍵情報と、第2記憶領域に記憶された第2復号鍵情報とに基づいて復号鍵を生成する復号鍵生成段階を実行させてよい。プログラムは、上記コンピュータに、復号鍵を用いて、暗号化された情報を復号化する復号段階を実行させてよい。プログラムは、上記コンピュータに、携帯端末の認証要求を受け付け、認証要求に含まれる携帯端末のSIMのSIM情報と、復号部によって復号化された情報とに基づいて、SIMの認証を行う認証段階を実行させてよい。 According to a fourth aspect of the present invention, a program is provided. The program has a key having a first storage area for storing the first decryption key information in a format that cannot be referred to from the outside, and a second storage area for storing the second decryption key information input from the outside. A decryption key generation stage in which a computer having an information storage unit generates a decryption key based on the first decryption key information stored in the first storage area and the second decryption key information stored in the second storage area. May be executed. The program may cause the computer to perform a decryption step of decrypting the encrypted information using the decryption key. The program accepts the authentication request of the mobile terminal to the computer, and performs an authentication step of authenticating the SIM based on the SIM information of the SIM of the mobile terminal included in the authentication request and the information decrypted by the decoding unit. You may let it run.
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではない。また、これらの特徴群のサブコンビネーションもまた、発明となりうる。 The outline of the above invention does not list all the necessary features of the present invention. Subcombinations of these feature groups can also be inventions.
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。 Hereinafter, the present invention will be described through embodiments of the invention, but the following embodiments do not limit the inventions claimed. Also, not all combinations of features described in the embodiments are essential to the means of solving the invention.
図1は、本実施形態に係るAuC装置100を用いることによって実現されるサービスを説明するための説明図である。AuC装置100は、認証装置の一例である。本サービスは、企業50等の内部で移動体通信ネットワークを構成できるような仕組みを提供する。
FIG. 1 is an explanatory diagram for explaining a service realized by using the
ここでは、通信事業者であるキャリア20が、移動体通信ネットワークにおけるいわゆるコアネットワークをPBX(Private Branch eXchanger)ベンダ40に提供し、PBXベンダ40が、コアネットワークを企業50に提供することによってサービスが実現される場合を例に挙げて説明する。企業50内の携帯端末52は、当該サービスによって、企業50内のコアネットワークを介して、無線通信を実行することができる。
Here, the
携帯端末52は、例えば、スマートフォン等の携帯電話である。携帯端末52は、タブレット端末及びPC(Personal Computer)等であってもよい。当該サービスを享受するのは、携帯端末52に限らない。例えば、企業50内のいわゆるIoT(Internet of Thing)端末が、企業50内のコアネットワークを介して、無線通信を実行してもよい。
The
ここでは、移動体通信ネットワークがLTE(Long Term Evolution)ネットワークである場合を主に例に挙げて説明する。コアネットワークは、1つの装置によって構成されてもよく、また、複数の装置によって構成されてもよい。 Here, the case where the mobile communication network is an LTE (Long Term Evolution) network will be mainly described as an example. The core network may be composed of one device or a plurality of devices.
コアネットワークが1つの装置によって構成される場合、当該装置は、HSS、MME(Mobility Management Entity)、PCRF(Policy and Charging Rule Function)、SGW(Serving Gateway)、及びPGW(Packet Data Network Gateway)として機能してよい。当該装置は、さらにIMS(IP Multimedia Subsystem)として機能してもよい。 When the core network is composed of one device, the device is used as HSS, MME (Mobile Management Entry), PCRF (Police and Charging Rule Function), SGW (Serving Gateway), and PGW (Packet Data). You can do it. The device may further function as an IMS (IP Multimedia Subsystem).
コアネットワークが複数の装置によって構成される場合、コアネットワークは、MMEの装置、HSSの装置、PCRFの装置、SGWの装置、及びPGWの装置から構成されてよい。コアネットワークは、これらの装置に加えてさらにIMSの装置から構成されてもよい。 When the core network is composed of a plurality of devices, the core network may be composed of an MME device, an HSS device, a PCRF device, an SGW device, and a PGW device. In addition to these devices, the core network may further consist of IMS devices.
本実施形態に係るAuC装置100は、AuCの機能を有する装置であり、コアネットワークが1つの装置によって構成される場合、AuC装置100は、当該1つの装置であってよい。すなわち、AuC装置100がコアネットワークとして機能してよい。コアネットワークが複数の装置によって構成される場合、AuC装置100は、コアネットワークを構成するHSSの装置であってよい。ここでは、AuC装置100がコアネットワークとして機能する場合を主に例に挙げて説明する。
The
移動体通信ネットワークでは、携帯端末52のSIMに記憶されている認証用情報と、HSSに記憶されている認証用情報とを用いて、携帯端末52のSIMの認証が行われる。キャリア20が提供するいわゆる一般的な移動体通信ネットワークにおいては、認証用情報の生値がキャリア20によって厳重に管理されており、認証用情報の生値が外部に漏れないことを前提としている。しかし、本実施形態におけるサービスの提供主体はPBXベンダ40であり、AuC装置100は企業50内に配置されるので、その前提は成り立たないことになる。認証用情報が漏えいしてしまうと、企業50内で使用可能なクローンSIMが生成されて、企業50の無線通信サービスを不正規に利用されてしまい得る。
In the mobile communication network, the SIM of the
本実施形態に係るサービスでは、認証用情報の漏えいを抑止する仕組みが提供される。本実施形態において、キャリア20は、暗号化された認証用情報を復号化するための復号鍵を第1復号鍵情報と第2復号鍵情報とに分割し、第1復号鍵情報をAuC装置100のベンダであるAuCベンダ30に提供し、第2復号鍵情報をPBXベンダ40に提供する。第1復号鍵情報及び第2復号鍵情報は、両方がそろって復号鍵を生成できる情報であり、いずれか一方のみでは復号鍵を生成することができない情報である。
In the service according to the present embodiment, a mechanism for suppressing the leakage of authentication information is provided. In the present embodiment, the
キャリア20は、例えば、キャリア装置200を用いて、AuCベンダ30のAuCベンダ装置300に第1復号鍵情報を送信する。キャリア装置200は、例えば、ネットワーク80を介して、第1復号鍵情報をAuCベンダ装置300に送信する。ネットワーク80は、例えば、インターネットを含む。
The
AuCベンダ30は、第1復号鍵情報をAuC装置100に記憶させる。AuCベンダ30は、例えば、AuCベンダ装置300に、キャリア装置200から受信した第1復号鍵情報を、AuC装置100に記憶させる。AuCベンダ装置300は、例えば、ネットワーク32を介して第1復号鍵情報をAuC装置100に送信し、記憶させる。ネットワーク32は、AuCベンダ30が有するLAN(Local Area Network)等であってよい。AuCベンダ装置300は、AuC装置100に直接接続されてもよい。第1復号鍵情報を記憶したAuC装置100は、例えば、AuCベンダ30からPBXベンダ40に販売され、企業50内に配置される。
The
キャリア20は、例えば、キャリア装置200を用いて、PBXベンダ40のPBXベンダ装置400に第2復号鍵情報を送信する。キャリア装置200は、例えば、ネットワーク80を介して、第2復号鍵情報をPBXベンダ装置400に送信する。
The
PBXベンダ40は、PBXベンダ装置400を用いて、第2復号鍵情報をAuC装置100に送信する。PBXベンダ装置400は、例えば、ネットワーク80を介して、第2復号鍵情報を企業50内に配置されたAuC装置100に送信する。
The
AuC装置100は、記憶している第1復号鍵情報と、PBXベンダ装置400から受信した第2復号鍵情報とから、復号鍵を生成する。そして、AuC装置100は、暗号化された認証用情報を受信した場合に、生成した復号鍵を用いて復号化することによって、認証用情報を取得する。
The
このように、復号鍵を2つの鍵情報に分割して、AuCベンダ30及びPBXベンダ40のそれぞれに送信する構成とすることにより、仮に一方の鍵情報が、AuCベンダ30又はPBXベンダ40内で漏えいしたり、ネットワーク80上で漏えいしたりした場合であっても、復号鍵を生成できないようにすることができる。これにより、復号鍵が漏えいし、暗号化された認証用情報が復号化されて漏えいしてしまうリスクを低減することができる。
In this way, the decryption key is divided into two key information and transmitted to each of the
なお、第1復号鍵情報をAuC装置100に記憶させる方法として、さまざまな方法を採用し得る。例えば、AuCベンダ装置300がキャリア装置200から受信した第1復号鍵情報を、AuCベンダ30のオペレータが手作業でAuC装置100に記憶させてもよい。また、例えば、AuCベンダ30が、データをAuC装置100に書き込み可能な仕組みをキャリア20に提供し、キャリア20が、当該仕組みを利用して、AuC装置100に第1復号鍵情報を書き込んでもよい。
Various methods can be adopted as a method for storing the first decryption key information in the
図2は、本実施形態に係るAuC装置100を用いることによって実現されるサービスの流れの一例を概略的に示す。ここでは、キャリア20が、SIM認証に用いる第1の認証用情報を暗号化し、暗号化した第1の認証用情報を復号化するための復号鍵を2つに分割してKeyA及びKeyBとした状態を開始状態として説明する。
FIG. 2 schematically shows an example of a service flow realized by using the
なお、当該復号鍵は、第1の認証用情報を暗号化するための暗号鍵と同一であってよい。この場合、キャリア20は、第1の認証用情報用の鍵を用いて第1の認証用情報を暗号化し、第1の認証用情報用の鍵を2つに分割する。また、当該復号鍵は、第1の認証用情報を暗号化する暗号鍵と異なってもよい。この場合、キャリア20は、第1の認証用情報用の暗号鍵を用いて第1の認証用情報を暗号化し、第1の認証用情報用の暗号鍵とは異なる、第1の認証用情報用の復号鍵を2つに分割する。ここでは、暗号鍵と復号鍵とが同一である場合を主に例に挙げて説明する。
The decryption key may be the same as the encryption key for encrypting the first authentication information. In this case, the
第1の認証用情報は、例えば、SIM認証を行うときに用いられる各種パラメータを含む。具体例として、第1の認証用情報は、3GPP(3rd Generation Partnership Project)において定義されているOP、c、r等を含む。第1の認証用情報は、さらに、第2の認証用情報用の鍵を含んでよい。第2の認証用情報は、SIM認証を行うときに用いられる。第2の認証用情報は、SIM毎に固有の情報であってよい。具体例として、第2の認証用情報は、SIM毎に固有の鍵情報であるK値である。第2の認証用情報用の鍵は、第2の認証用情報を暗号化及び復号化するための鍵であってよい。第2の認証用情報用の鍵を用いて暗号化されたK値をeKIと記載する場合がある。 The first authentication information includes, for example, various parameters used when performing SIM authentication. As a specific example, the first authentication information includes OP, c, r and the like defined in 3GPP (3rd Generation Partnership Project). The first authentication information may further include a key for the second authentication information. The second authentication information is used when performing SIM authentication. The second authentication information may be information unique to each SIM. As a specific example, the second authentication information is a K value, which is key information unique to each SIM. The key for the second authentication information may be a key for encrypting and decrypting the second authentication information. The K value encrypted by using the key for the second authentication information may be described as eKI.
ステップ(ステップをSと省略して記載する場合がある。)102では、キャリア装置200が、KeyAをAuCベンダ装置300に送信する。KeyAは、第1復号鍵情報の一例である。S104では、キャリア装置200が、KeyBをPBXベンダ装置400に送信する。KeyBは、第2復号鍵情報の一例である。
In step 102 (the step may be abbreviated as S) 102, the
S106では、AuCベンダ装置300が、S102において受信したKeyAを、外部から参照不可能な形式でAuC装置100に記憶させる。S108では、PBXベンダ装置400が、S104において受信したKeyBを、AuC装置100に送信する。S110では、AuC装置100が、KeyAとKeyBとに基づいて復号鍵を生成する。
In S106, the
S112では、キャリア20が、SIMベンダによって製造されたSIMをPBXベンダ40に提供し、キャリア装置200が、第1の認証用情報を暗号化した暗号化情報と、eKI及びIMSIを含むSIM情報とをPBXベンダ40に送信する。当該第1の認証用情報は、キャリア20がPBXベンダ40に提供したSIMに記憶されているものであってよい。なお、ここでいう提供とは、貸与、譲渡、その他レンタルを内包する概念である。
In S112, the
キャリア20は、例えば、第1の認証用情報をSIMベンダに通知して、第1の認証用情報を記憶したSIMを、SIMベンダに製造させる。キャリア20は、外部に漏れることのない特定の方法で、第1の認証用情報をSIMベンダに通知する。SIMベンダは、外部から参照不可能な形式で第1の認証用情報をSIMに書き込む。
For example, the
S114では、PBXベンダ装置400が、暗号化情報をAuC装置100に送信する。S116では、AuC装置100が、S110において生成した復号鍵を用いて、S114において受信した暗号化情報を復号化する。
In S114, the
S118では、PBXベンダ装置400が、S112において受信したSIM情報をAuC装置100に送信する。S120では、AuC装置100に、加入者情報を登録する。AuC装置100は、S118において受信したSIM情報に含まれるeKIを、S116において復号化した認証用情報に含まれる第2の認証用情報用の鍵を用いて復号化することによって取得したK値と、SIM情報に含まれるIMSIとを対応付けて登録する。
In S118, the
図2に示すサービスの流れは一例であって、各ステップの順番は異なってもよい。例えば、キャリア装置200がKeyA及びKeyBを送信する順番は逆でもよい。また、例えば、キャリア装置200が暗号化情報及びSIM情報を同時期にPBXベンダ装置400に送信するのではなく、異なる時期に送信してもよい。また、例えば、AuC装置100が暗号化情報とSIM情報とを異なる時期にAuC装置100に送信するのではなく、同時期に送信してもよい。
The service flow shown in FIG. 2 is an example, and the order of each step may be different. For example, the order in which the
図3は、AuC装置100の機能構成の一例を概略的に示す。AuC装置100は、鍵情報記憶部102、復号鍵情報受信部110、復号鍵生成部112、暗号化情報受信部114、復号部116、加入者情報取得部118、加入者情報記憶部120、認証要求受信部122、及び認証部124を備える。
FIG. 3 schematically shows an example of the functional configuration of the
鍵情報記憶部102は、第1復号鍵情報を外部から参照不可能な形式で記憶している第1記憶領域と、外部から入力された第2復号鍵情報を記憶するための第2記憶領域とを有する。第1復号鍵情報の第1記憶領域への記憶は、例えば、AuCベンダ装置300によって行われる。第1復号鍵情報の第1記憶領域への記憶は、AuCベンダ30のオペレータによって行われてもよい。第1復号鍵情報の第1記憶領域への記憶は、AuCベンダ30によってキャリア20に提供された、データをAuC装置100に書き込み可能な仕組みを利用することによって、キャリア20によって行われてもよい。第2記憶領域は、第2復号鍵情報を記憶する領域として予め定められた領域であってよい。
The key
復号鍵情報受信部110は、第2復号鍵情報を受信する。復号鍵情報受信部110は、外部から第2復号鍵情報を受信してよい。復号鍵情報受信部110は、例えば、PBXベンダ装置400からネットワーク80を介して第2復号鍵情報を受信する。復号鍵情報受信部110は、受信した第2復号鍵情報を、鍵情報記憶部102の第2記憶領域に記憶する。
The decryption key
復号鍵生成部112は、鍵情報記憶部102に記憶されている第1復号鍵情報と第2復号鍵情報とに基づいて復号鍵を生成する。復号鍵を第1復号鍵情報及び第2復号鍵情報に分割する方法及び第1復号鍵情報及び第2復号鍵情報に基づいて復号鍵を生成する方法としては、任意の方法を採用し得る。例えば、復号鍵を前半と後半とに分割し、当該前半と当該後半とを結合することによって復号鍵が生成される。また、例えば、予め定められた規則に基づいて復号鍵を分割し、復号鍵生成部112は、当該規則を参照して、第1復号鍵情報及び第2復号鍵情報から復号鍵を生成する。
The decryption
第1復号鍵情報と第2復号鍵情報とは、データ量が異なってもよい。例えば、第1復号鍵情報は第2復号鍵情報よりもデータ量が多く、第2復号鍵情報は第1復号鍵情報よりもデータ量が少なくてよい。これにより、第1復号鍵情報のデータ量と第2復号鍵情報のデータ量とを同じにする場合と比較して、キャリア装置200からPBXベンダ装置400、及びPBXベンダ装置400からAuC装置100に対して送信される鍵情報のデータ量を低減することができる。
The amount of data may be different between the first decryption key information and the second decryption key information. For example, the first decryption key information may have a larger amount of data than the second decryption key information, and the second decryption key information may have a smaller amount of data than the first decryption key information. As a result, the
また、例えば、第1復号鍵情報は第2復号鍵情報よりもデータ量が少なく、第2復号鍵情報は第1復号鍵情報よりもデータ量が多くてよい。これにより、第1復号鍵情報のデータ量と第2復号鍵情報のデータ量とを同じにする場合と比較して、例えば、AuCベンダ30内において、複数のAuC装置100に書き込まれる第1復号鍵情報のデータ量を低減することができ、AuCベンダ30内における通信負荷、処理負荷を低減することができる。
Further, for example, the first decryption key information may have a smaller amount of data than the second decryption key information, and the second decryption key information may have a larger amount of data than the first decryption key information. As a result, as compared with the case where the data amount of the first decryption key information and the data amount of the second decryption key information are the same, for example, the first decoding written in the plurality of
暗号化情報受信部114は、暗号化情報を受信する。暗号化情報受信部114は、例えば、PBXベンダ装置400から暗号化情報を受信する。
The encryption
復号部116は、暗号化情報受信部114が受信した暗号化情報を、復号鍵生成部112によって生成された復号鍵を用いて復号化する。復号化された情報は、認証用情報である。当該認証用情報は、上述の第1の認証用情報であってよい。
The
加入者情報取得部118は、複数の加入者情報を取得する。加入者情報取得部118は、例えば、PBXベンダ装置400から受信したSIM情報に含まれるIMSIと、SIM情報に含まれるeKIを復号部116によって復号化された認証用情報に含まれる第2の認証用情報用の鍵を用いて復号化したK値とを取得する。
The subscriber
加入者情報記憶部120は、加入者情報取得部118が取得した加入者情報を記憶する。加入者情報記憶部120は、K値とIMSIとを対応付けて記憶する。
The subscriber
認証要求受信部122は、携帯端末52の認証要求を受信する。認証要求には、携帯端末52のSIMのSIM情報が含まれる。携帯端末52のSIM情報には、携帯端末52のIMSIが含まれてよい。
The authentication
認証部124は、認証要求受信部122が受信した認証要求を受け付ける。認証部124は、認証要求に含まれるIMSIと、加入者情報記憶部120に当該IMSIと対応付けて記憶されているK値と、復号部116によって復号化された認証用情報とに基づいて、携帯端末52のSIMを認証する。
The
図4は、鍵情報記憶部102の構成の一例を概略的に示す。鍵情報記憶部102は、第1復号鍵情報を外部から参照不可能な形式で記憶している記憶領域104と、外部から入力された第2復号鍵情報を記憶するための記憶領域106とを有する。記憶領域104は、第1記憶領域の一例である。記憶領域106は第2記憶領域の一例である。
FIG. 4 schematically shows an example of the configuration of the key
図5は、AuC装置100による処理の流れの一例を概略的に示す。ここでは、ある企業50内に配置されたAuC装置100による、携帯端末52のSIMの認証処理の流れを概略的に説明する。
FIG. 5 schematically shows an example of the processing flow by the
S202では、AuC装置100が配置された企業50に対して割り当てられた加入者情報を加入者情報取得部118が取得して、加入者情報記憶部120に記憶する。S204では、認証要求受信部122が、企業50内の携帯端末52の認証要求を受信する。認証部124は、認証要求受信部122が受信した認証要求を受け付ける。
In S202, the subscriber
S206では、認証部124が、認証要求に含まれるIMSIに対応するK値を加入者情報記憶部120から読み出す。S208では、認証部124が、乱数であるRANDを発生し、RAND及びK値と、復号部116によって復号化された認証用情報とを用いて、想定応答を生成する。
In S206, the
S210では、認証部124が、携帯端末52にRANDを送信する。携帯端末52のSIMは、当該RANDを受信する。SIMは、受信したRANDと、記憶しているK値及び認証用情報とを用いて、応答情報を生成し、AuC装置100に送信する。
In S210, the
S212では、認証部124が、携帯端末52によって送信された応答情報を受信する。S214では、S208において生成した想定応答と、S212において受信した応答情報とを比較することにより、SIMの認証を行う。
In S212, the
なお、ここでは、AuC装置100がコアネットワーク全体の役割を果たす場合を例に挙げて説明したが、コアネットワークが複数の装置によって構成され、AuC装置100がHSSの装置である場合、認証部124は、S208において生成した想定応答と、RANDとを、MMEに送信してよい。そして、MMEが、携帯端末52にRANDを送信し、携帯端末52によって送信された応答情報と、想定応答とを比較することによって、SIMの認証を行ってよい。
Here, the case where the
図6は、キャリア20において準備される復号鍵の一例を概略的に示す。キャリア20は、複数のPBXベンダ40毎に異なる復号鍵を準備してよい。図6では、PBXベンダであるa社41用の復号鍵610、PBXベンダであるb社42用の復号鍵620、PBXベンダであるc社43用の復号鍵630を例示している。
FIG. 6 schematically shows an example of a decryption key prepared in the
復号鍵610、復号鍵620、及び復号鍵630は、第1復号鍵情報がKeyA650で共通であり、第2復号鍵情報が互いに異なる。復号鍵610における第2復号鍵情報はKeyBa612であり、復号鍵620における第2復号鍵情報はKeyBb622であり、復号鍵630における第2復号鍵情報はKeyBc632である。
In the
このように、複数のPBXベンダ40毎に異なる復号鍵を準備することによって、複数のPBXベンダ40で共通の復号鍵を用いる場合と比較して、いずれかの復号鍵が漏えいしてしまった場合に影響の及ぶ範囲を狭くすることができる。
In this way, by preparing different decryption keys for each of the plurality of
図7は、キャリア20において準備される復号鍵の他の一例を概略的に示す。ここでは、図6とは異なる点を主に説明する。
FIG. 7 schematically shows another example of the decryption key prepared in the
図7に示す例において、復号鍵610、復号鍵620、及び復号鍵630は、第1復号鍵情報も、第2復号鍵情報も互いに異なる。復号鍵610における第1復号鍵情報はKeyAa651であり、第2復号鍵情報はKeyBa612である。復号鍵620における第1復号鍵情報はKeyAb652であり、第2復号鍵情報はKeyBb622である。復号鍵630における第1復号鍵情報はKeyAc653であり、第2復号鍵情報はKeyBc632である。
In the example shown in FIG. 7, the
このように、第1復号鍵情報についても、複数のPBXベンダ40毎に異ならせることによって、複数のPBXベンダ40で共通の第1復号鍵情報を用いる場合と比較して、第1復号鍵情報が漏えいしてしまった場合に影響が及ぶ範囲を狭くすることができる。
As described above, by making the first decryption key information different for each of the plurality of
図8は、AuCベンダ装置300の機能構成の一例を概略的に示す。AuCベンダ装置300は、復号鍵情報取得部302、復号鍵情報記憶部304、及び記憶制御部306を備える。
FIG. 8 schematically shows an example of the functional configuration of the
復号鍵情報取得部302は、第1復号鍵情報を取得する。復号鍵情報取得部302は、例えば、キャリア装置200から第1復号鍵情報を受信する。また、復号鍵情報取得部302は、例えば、AuCベンダ30のオペレータによって入力された第1復号鍵情報を取得する。また、復号鍵情報取得部302は、例えば、外部からデータをAuC装置100に書き込み可能な仕組を提供し、当該仕組を介して入力された第1復号鍵情報を取得する。復号鍵情報記憶部304は、復号鍵情報取得部302が取得した第1復号鍵情報を記憶する。
The decryption key
記憶制御部306は、復号鍵情報記憶部304に記憶されている第1復号鍵情報を外部から参照不可能な形式でAuC装置100に記憶させる。記憶制御部306は、例えば、製造中のAuC装置100に第1復号鍵情報を記憶させる。また、記憶制御部306は、例えば、製造完了後、出荷前のAuC装置100に第1復号鍵情報を記憶させる。
The
図9は、AuC装置100として機能するコンピュータ1200のハードウェア構成の一例を概略的に示す。コンピュータ1200にインストールされたプログラムは、コンピュータ1200を、本実施形態に係る装置の1又は複数の「部」として機能させ、又はコンピュータ1200に、本実施形態に係る装置に関連付けられるオペレーション又は当該1又は複数の「部」を実行させることができ、及び/又はコンピュータ1200に、本発明の実施形態に係るプロセス又は当該プロセスの段階を実行させることができる。そのようなプログラムは、コンピュータ1200に、本明細書に記載のフローチャート及びブロック図のブロックのうちのいくつか又はすべてに関連付けられた特定のオペレーションを実行させるべく、CPU1212によって実行されてよい。
FIG. 9 schematically shows an example of the hardware configuration of the
本実施形態によるコンピュータ1200は、CPU1212、RAM1214、及びグラフィックコントローラ1216を含み、それらはホストコントローラ1210によって相互に接続されている。コンピュータ1200はまた、通信インタフェース1222、記憶装置1224、DVDドライブ1226、及びICカードドライブのような入出力ユニットを含み、それらは入出力コントローラ1220を介してホストコントローラ1210に接続されている。DVDドライブ1226は、DVD−ROMドライブ及びDVD−RAMドライブ等であってよい。記憶装置1224は、ハードディスクドライブ及びソリッドステートドライブ等であってよい。コンピュータ1200はまた、ROM1230及びキーボードのようなレガシの入出力ユニットを含み、それらは入出力チップ1240を介して入出力コントローラ1220に接続されている。
The
CPU1212は、ROM1230及びRAM1214内に記憶されたプログラムに従い動作し、それにより各ユニットを制御する。グラフィックコントローラ1216は、RAM1214内に提供されるフレームバッファ等又はそれ自体の中に、CPU1212によって生成されるイメージデータを取得し、イメージデータがディスプレイデバイス1218上に表示されるようにする。
The CPU 1212 operates according to the programs stored in the
通信インタフェース1222は、ネットワークを介して他の電子デバイスと通信する。記憶装置1224は、コンピュータ1200内のCPU1212によって使用されるプログラム及びデータを記憶する。DVDドライブ1226は、プログラム又はデータをDVD−ROM1227等から読み取り、記憶装置1224に提供する。ICカードドライブは、プログラム及びデータをICカードから読み取り、及び/又はプログラム及びデータをICカードに書き込む。
ROM1230はその中に、アクティブ化時にコンピュータ1200によって実行されるブートプログラム等、及び/又はコンピュータ1200のハードウェアに依存するプログラムを記憶する。入出力チップ1240はまた、様々な入出力ユニットをUSBポート、パラレルポート、シリアルポート、キーボードポート、マウスポート等を介して、入出力コントローラ1220に接続してよい。
The
プログラムは、DVD−ROM1227又はICカードのようなコンピュータ可読記憶媒体によって提供される。プログラムは、コンピュータ可読記憶媒体から読み取られ、コンピュータ可読記憶媒体の例でもある記憶装置1224、RAM1214、又はROM1230にインストールされ、CPU1212によって実行される。これらのプログラム内に記述される情報処理は、コンピュータ1200に読み取られ、プログラムと、上記様々なタイプのハードウェアリソースとの間の連携をもたらす。装置又は方法が、コンピュータ1200の使用に従い情報のオペレーション又は処理を実現することによって構成されてよい。
The program is provided by a computer-readable storage medium such as a DVD-
例えば、通信がコンピュータ1200及び外部デバイス間で実行される場合、CPU1212は、RAM1214にロードされた通信プログラムを実行し、通信プログラムに記述された処理に基づいて、通信インタフェース1222に対し、通信処理を命令してよい。通信インタフェース1222は、CPU1212の制御の下、RAM1214、記憶装置1224、DVD−ROM1227、又はICカードのような記録媒体内に提供される送信バッファ領域に記憶された送信データを読み取り、読み取られた送信データをネットワークに送信し、又はネットワークから受信した受信データを記録媒体上に提供される受信バッファ領域等に書き込む。
For example, when communication is executed between the
また、CPU1212は、記憶装置1224、DVDドライブ1226(DVD−ROM1227)、ICカード等のような外部記録媒体に記憶されたファイル又はデータベースの全部又は必要な部分がRAM1214に読み取られるようにし、RAM1214上のデータに対し様々なタイプの処理を実行してよい。CPU1212は次に、処理されたデータを外部記録媒体にライトバックしてよい。
Further, the CPU 1212 makes the
様々なタイプのプログラム、データ、テーブル、及びデータベースのような様々なタイプの情報が記録媒体に記憶され、情報処理を受けてよい。CPU1212は、RAM1214から読み取られたデータに対し、本開示の随所に記載され、プログラムの命令シーケンスによって指定される様々なタイプのオペレーション、情報処理、条件判断、条件分岐、無条件分岐、情報の検索/置換等を含む、様々なタイプの処理を実行してよく、結果をRAM1214に対しライトバックする。また、CPU1212は、記録媒体内のファイル、データベース等における情報を検索してよい。例えば、各々が第2の属性の属性値に関連付けられた第1の属性の属性値を有する複数のエントリが記録媒体内に記憶される場合、CPU1212は、当該複数のエントリの中から、第1の属性の属性値が指定されている条件に一致するエントリを検索し、当該エントリ内に記憶された第2の属性の属性値を読み取り、それにより予め定められた条件を満たす第1の属性に関連付けられた第2の属性の属性値を取得してよい。
Various types of information such as various types of programs, data, tables, and databases may be stored in recording media and processed. The CPU 1212 describes various types of operations, information processing, conditional judgment, conditional branching, unconditional branching, and information retrieval described in various parts of the present disclosure with respect to the data read from the
上で説明したプログラム又はソフトウエアモジュールは、コンピュータ1200上又はコンピュータ1200近傍のコンピュータ可読記憶媒体に記憶されてよい。また、専用通信ネットワーク又はインターネットに接続されたサーバシステム内に提供されるハードディスク又はRAMのような記録媒体が、コンピュータ可読記憶媒体として使用可能であり、それによりプログラムを、ネットワークを介してコンピュータ1200に提供する。
The program or software module described above may be stored on a
本実施形態におけるフローチャート及びブロック図におけるブロックは、オペレーションが実行されるプロセスの段階又はオペレーションを実行する役割を持つ装置の「部」を表わしてよい。特定の段階及び「部」が、専用回路、コンピュータ可読記憶媒体上に記憶されるコンピュータ可読命令と共に供給されるプログラマブル回路、及び/又はコンピュータ可読記憶媒体上に記憶されるコンピュータ可読命令と共に供給されるプロセッサによって実装されてよい。専用回路は、デジタル及び/又はアナログハードウェア回路を含んでよく、集積回路(IC)及び/又はディスクリート回路を含んでよい。プログラマブル回路は、例えば、フィールドプログラマブルゲートアレイ(FPGA)、及びプログラマブルロジックアレイ(PLA)等のような、論理積、論理和、排他的論理和、否定論理積、否定論理和、及び他の論理演算、フリップフロップ、レジスタ、並びにメモリエレメントを含む、再構成可能なハードウェア回路を含んでよい。 The blocks in the flowchart and block diagram of this embodiment may represent a stage of the process in which the operation is performed or a "part" of the device responsible for performing the operation. Specific stages and "parts" are supplied with dedicated circuits, programmable circuits supplied with computer-readable instructions stored on a computer-readable storage medium, and / or with computer-readable instructions stored on a computer-readable storage medium. It may be implemented by the processor. Dedicated circuits may include digital and / or analog hardware circuits, and may include integrated circuits (ICs) and / or discrete circuits. Programmable circuits include logical products, logical sums, exclusive logical sums, negative logical products, negative logical sums, and other logical operations, such as, for example, field programmable gate arrays (FPGAs), programmable logic arrays (PLAs), and the like. , Flip-flops, registers, and reconfigurable hardware circuits, including memory elements.
コンピュータ可読記憶媒体は、適切なデバイスによって実行される命令を記憶可能な任意の有形なデバイスを含んでよく、その結果、そこに記憶される命令を有するコンピュータ可読記憶媒体は、フローチャート又はブロック図で指定されたオペレーションを実行するための手段を作成すべく実行され得る命令を含む、製品を備えることになる。コンピュータ可読記憶媒体の例としては、電子記憶媒体、磁気記憶媒体、光記憶媒体、電磁記憶媒体、半導体記憶媒体等が含まれてよい。コンピュータ可読記憶媒体のより具体的な例としては、フロッピー(登録商標)ディスク、ディスケット、ハードディスク、ランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、消去可能プログラマブルリードオンリメモリ(EPROM又はフラッシュメモリ)、電気的消去可能プログラマブルリードオンリメモリ(EEPROM)、静的ランダムアクセスメモリ(SRAM)、コンパクトディスクリードオンリメモリ(CD−ROM)、デジタル多用途ディスク(DVD)、ブルーレイ(登録商標)ディスク、メモリスティック、集積回路カード等が含まれてよい。 The computer-readable storage medium may include any tangible device capable of storing instructions executed by the appropriate device, so that the computer-readable storage medium having the instructions stored therein is in a flow chart or block diagram. It will include a product that contains instructions that can be executed to create means for performing the specified operation. Examples of computer-readable storage media may include electronic storage media, magnetic storage media, optical storage media, electromagnetic storage media, semiconductor storage media, and the like. More specific examples of computer-readable storage media include floppy (registered trademark) disks, diskettes, hard disks, random access memory (RAM), read-only memory (ROM), and erasable programmable read-only memory (EPROM or flash memory). , Electrically Erasable Programmable Read Only Memory (EEPROM), Static Random Access Memory (SRAM), Compact Disc Read Only Memory (CD-ROM), Digital Versatile Disc (DVD), Blu-ray® Disc, Memory Stick , Integrated circuit cards and the like may be included.
コンピュータ可読命令は、アセンブラ命令、命令セットアーキテクチャ(ISA)命令、マシン命令、マシン依存命令、マイクロコード、ファームウェア命令、状態設定データ、又はSmalltalk、JAVA(登録商標)、C++等のようなオブジェクト指向プログラミング言語、及び「C」プログラミング言語又は同様のプログラミング言語のような従来の手続型プログラミング言語を含む、1又は複数のプログラミング言語の任意の組み合わせで記述されたソースコード又はオブジェクトコードのいずれかを含んでよい。 Computer-readable instructions are assembler instructions, instruction set architecture (ISA) instructions, machine instructions, machine-dependent instructions, microcode, firmware instructions, state-setting data, or object-oriented programming such as Smalltalk, JAVA®, C ++, etc. Includes either source code or object code written in any combination of one or more programming languages, including languages and traditional procedural programming languages such as the "C" programming language or similar programming languages. Good.
コンピュータ可読命令は、汎用コンピュータ、特殊目的のコンピュータ、若しくは他のプログラム可能なデータ処理装置のプロセッサ、又はプログラマブル回路が、フローチャート又はブロック図で指定されたオペレーションを実行するための手段を生成するために当該コンピュータ可読命令を実行すべく、ローカルに又はローカルエリアネットワーク(LAN)、インターネット等のようなワイドエリアネットワーク(WAN)を介して、汎用コンピュータ、特殊目的のコンピュータ、若しくは他のプログラム可能なデータ処理装置のプロセッサ、又はプログラマブル回路に提供されてよい。プロセッサの例としては、コンピュータプロセッサ、処理ユニット、マイクロプロセッサ、デジタル信号プロセッサ、コントローラ、マイクロコントローラ等を含む。 Computer-readable instructions are used to generate means for a general-purpose computer, a special-purpose computer, or the processor of another programmable data processing device, or a programmable circuit, to perform an operation specified in a flowchart or block diagram. General purpose computers, special purpose computers, or other programmable data processing locally or via a local area network (LAN), a wide area network (WAN) such as the Internet, etc. to execute the computer readable instructions. It may be provided in the processor of the device or in a programmable circuit. Examples of processors include computer processors, processing units, microprocessors, digital signal processors, controllers, microcontrollers and the like.
上記実施形態では、移動体通信ネットワークがLTEネットワークである場合を主に例に挙げて説明したが、これに限らない。コアネットワークが対応する移動体通信ネットワークは、例えば、3G(3rd Generation)ネットワーク、5G(5th Generation)ネットワーク、及び5Gより後の移動体通信ネットワークであってもよい。コアネットワークが3Gネットワークに対応する場合であって、コアネットワークが複数の装置によって構成される場合、AuC装置100は、HLR(Home Location Register)の装置であってよい。コアネットワークが5Gネットワークに対応する場合であって、コアネットワークが複数の装置によって構成される場合、AuC装置100は、UDM(Unified Data Management)の装置であってよい。また、本実施形態に係るAuC装置100は、LTE over Wi−Fi(登録商標)に適用されてもよい。
In the above embodiment, the case where the mobile communication network is an LTE network has been mainly described as an example, but the present invention is not limited to this. The mobile communication network supported by the core network may be, for example, a 3G (3rd Generation) network, a 5G (5th Generation) network, and a mobile communication network after 5G. When the core network corresponds to the 3G network and the core network is composed of a plurality of devices, the
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更又は改良を加えることが可能であることが当業者に明らかである。その様な変更又は改良を加えた形態も本発明の技術的範囲に含まれ得ることが、請求の範囲の記載から明らかである。 Although the present invention has been described above using the embodiments, the technical scope of the present invention is not limited to the scope described in the above embodiments. It will be apparent to those skilled in the art that various changes or improvements can be made to the above embodiments. It is clear from the description of the claims that the form with such modifications or improvements may also be included in the technical scope of the present invention.
請求の範囲、明細書、及び図面中において示した装置、システム、プログラム、及び方法における動作、手順、ステップ、及び段階などの各処理の実行順序は、特段「より前に」、「先立って」などと明示しておらず、また、前の処理の出力を後の処理で用いるのでない限り、任意の順序で実現しうることに留意すべきである。請求の範囲、明細書、及び図面中の動作フローに関して、便宜上「まず、」、「次に、」などを用いて説明したとしても、この順で実施することが必須であることを意味するものではない。 The execution order of each process such as operation, procedure, step, and step in the device, system, program, and method shown in the claims, the specification, and the drawing is particularly "before" and "prior to". It should be noted that the output of the previous process can be realized in any order unless it is used in the subsequent process. Even if the claims, the specification, and the operation flow in the drawings are explained using "first", "next", etc. for convenience, it means that it is essential to carry out in this order. is not.
20 キャリア
30 AuCベンダ
32 ネットワーク
40 PBXベンダ
41 a社
42 b社
43 c社
50 企業
52 携帯端末
80 ネットワーク
100 AuC装置
102 鍵情報記憶部
104 記憶領域
106 記憶領域
110 復号鍵情報受信部
112 復号鍵生成部
114 暗号化情報受信部
116 復号部
118 加入者情報取得部
120 加入者情報記憶部
122 認証要求受信部
124 認証部
200 キャリア装置
300 AuCベンダ装置
302 復号鍵情報取得部
304 復号鍵情報記憶部
306 記憶制御部
400 PBXベンダ装置
610 復号鍵
612 KeyBa
620 復号鍵
622 KeyBb
630 復号鍵
632 KeyBc
650 KeyA
651 KeyAa
652 KeyAb
653 KeyAc
1200 コンピュータ
1210 ホストコントローラ
1212 CPU
1214 RAM
1216 グラフィックコントローラ
1218 ディスプレイデバイス
1220 入出力コントローラ
1222 通信インタフェース
1224 記憶装置
1226 DVDドライブ
1227 DVD−ROM
1230 ROM
1240 入出力チップ20
620 Decryption key 622 KeyBb
630 Decryption key 632 KeyBc
650 KeyA
651 KeyAa
652 KeyAb
653 KeyAc
1200 computer 1210 host controller 1212 CPU
1214 RAM
1216
1230 ROM
1240 I / O chip
Claims (8)
キャリア装置と
を備えるシステムであって、
前記キャリア装置は、第1復号鍵情報を、前記認証装置を管理する管理装置に送信し、第2復号鍵情報をPBXベンダ装置に送信する送信部を有し、
前記認証装置は、
前記第2復号鍵情報を前記PBXベンダ装置から受信する第2復号鍵情報受信部と、
前記管理装置の制御に従って前記第1復号鍵情報を外部から参照不可能な形式で第1記憶領域に記憶し、前記第2復号鍵情報受信部が受信した前記第2復号鍵情報を第2記憶領域に記憶する鍵情報記憶部と、
前記第1記憶領域に記憶された前記第1復号鍵情報と、前記第2記憶領域に記憶された前記第2復号鍵情報とに基づいて復号鍵を生成する復号鍵生成部と、
前記復号鍵を用いて、暗号化された情報を復号化する復号部と、
携帯端末の認証要求を受け付け、前記認証要求に含まれる前記携帯端末のSIM(Subscriber Identity Module)のSIM情報と、前記復号部によって復号化された情報とに基づいて、前記SIMの認証を行う認証部と
を有し、
前記キャリア装置は、複数の前記PBXベンダ装置に共通の前記第1復号鍵情報と、前記複数のPBXベンダ装置毎に異なる前記第2復号鍵情報とを生成する、システム。 Authentication device and
With carrier equipment
It is a system equipped with
The carrier device has a transmission unit that transmits the first decryption key information to the management device that manages the authentication device, and transmits the second decryption key information to the PBX vendor device.
The authentication device is
A second decryption key information receiving unit that receives the second decryption key information from the PBX vendor device, and
According to the control of the management device, the first decryption key information is stored in the first storage area in a format that cannot be referred to from the outside, and the second decryption key information received by the second decryption key information receiving unit is stored in the second storage. a key information storage unit that stores in the area,
And wherein the first stored in the storage area first decryption key information, the decryption key generating unit which generates a decryption key based on the said second stored in the storage area a second decryption key information,
A decryption unit that decrypts the encrypted information using the decryption key,
Authentication that accepts the authentication request of the mobile terminal and authenticates the SIM based on the SIM information of the SIM (Subscriber Identity Module) of the mobile terminal included in the authentication request and the information decoded by the decoding unit. Has a part and
The carrier device is a system that generates the first decryption key information common to the plurality of PBX vendor devices and the second decryption key information different for each of the plurality of PBX vendor devices .
複数の加入者情報を記憶する加入者情報記憶部であって、前記複数の加入者情報のそれぞれは、加入者識別番号と、SIM毎に固有の鍵情報とを含む加入者情報記憶部
を備え、
前記SIM情報は前記加入者識別番号を含み、
前記認証部は、前記SIM情報に含まれる加入者識別番号と、前記加入者情報記憶部に当該加入者識別番号と対応付けて記憶されている鍵情報と、前記復号部によって復号化された情報とに基づいて、前記SIMの認証を行う、請求項1から4のいずれか一項に記載のシステム。 The authentication device is
It is a subscriber information storage unit that stores a plurality of subscriber information, and each of the plurality of subscriber information includes a subscriber information storage unit that includes a subscriber identification number and key information unique to each SIM. ,
The SIM information includes the subscriber identification number and includes the subscriber identification number.
The authentication unit includes a subscriber identification number included in the SIM information, key information stored in the subscriber information storage unit in association with the subscriber identification number, and information decrypted by the decryption unit. The system according to any one of claims 1 to 4 , which authenticates the SIM based on the above.
前記鍵情報は、K値である、
請求項5に記載のシステム。 The subscriber identification number is IMSI (International Mobile Subscriber Identity), and is
The key information is a K value.
The system according to claim 5 .
前記管理装置は、前記認証装置の前記第1記憶領域に前記第1復号鍵情報を記憶させる記憶制御部を有する、
請求項1から6のいずれか一項に記載のシステム。 Equipped with the management device
The management device has a storage control unit that stores the first decryption key information in the first storage area of the authentication device.
The system according to any one of claims 1 to 6 .
前記第1復号鍵情報を外部から受信する第1復号鍵情報受信部
を備え、
前記記憶制御部は、前記第1復号鍵情報受信部が受信した前記第1復号鍵情報を前記第1記憶領域に記憶させる、請求項7に記載のシステム。 The management device is
A first decryption key information receiving unit for receiving the first decryption key information from the outside is provided.
The system according to claim 7 , wherein the storage control unit stores the first decryption key information received by the first decryption key information receiving unit in the first storage area.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2018/048402 WO2020136857A1 (en) | 2018-12-28 | 2018-12-28 | Authentication device, system, authentication method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6763096B1 true JP6763096B1 (en) | 2020-09-30 |
JPWO2020136857A1 JPWO2020136857A1 (en) | 2021-02-15 |
Family
ID=71126183
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019555515A Active JP6763096B1 (en) | 2018-12-28 | 2018-12-28 | system |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6763096B1 (en) |
WO (1) | WO2020136857A1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020188988A1 (en) * | 2019-03-20 | 2020-09-24 | 日本電気株式会社 | Control device, wireless communication system, control method, and recording medium in which program is recorded |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11298470A (en) * | 1998-04-16 | 1999-10-29 | Hitachi Ltd | Key distribution method and system |
JP2001177642A (en) * | 1999-12-14 | 2001-06-29 | Nec Commun Syst Ltd | Exchange maintenance interface system |
JP2005020608A (en) * | 2003-06-27 | 2005-01-20 | Canon Inc | Content distribution system |
US8983447B2 (en) * | 2012-08-14 | 2015-03-17 | Qualcomm Incorporated | Methods, systems and devices for dynamic HPLMN configuration |
-
2018
- 2018-12-28 WO PCT/JP2018/048402 patent/WO2020136857A1/en active Application Filing
- 2018-12-28 JP JP2019555515A patent/JP6763096B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
JPWO2020136857A1 (en) | 2021-02-15 |
WO2020136857A1 (en) | 2020-07-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200372503A1 (en) | Transaction messaging | |
US9934014B2 (en) | Automatic purposed-application creation | |
US10484352B2 (en) | Data operations using a proxy encryption key | |
US10284372B2 (en) | Method and system for secure management of computer applications | |
US10250613B2 (en) | Data access method based on cloud computing platform, and user terminal | |
US20120303310A1 (en) | Systems and Methods for Providing Test Keys to Mobile Devices | |
US10659226B2 (en) | Data encryption method, decryption method, apparatus, and system | |
US8495383B2 (en) | Method for the secure storing of program state data in an electronic device | |
US20200320489A1 (en) | Methods and systems for facilitating microservices for cryptographic operations | |
CN113849847B (en) | Method, apparatus and medium for encrypting and decrypting sensitive data | |
CN107920081A (en) | Login authentication method and device | |
CN111190974B (en) | Method, device and equipment for forwarding and acquiring verifiable statement | |
CN112788001B (en) | Data encryption-based data processing service processing method, device and equipment | |
CN104935435A (en) | Login methods, terminal and application server | |
CN111566989B (en) | Key processing method and device | |
JP6763096B1 (en) | system | |
US11695740B2 (en) | Anonymization method and apparatus, device, and storage medium | |
KR102114431B1 (en) | How to load a subscription to the built-in security element of the mobile terminal | |
US20120243678A1 (en) | Data protection using distributed security key | |
WO2015154469A1 (en) | Database operation method and device | |
KR101346284B1 (en) | Method for producing an encrypted file and decrypting the encrypted file, computer readable recording medium a program for implementing the methods | |
US11139969B2 (en) | Centralized system for a hardware security module for access to encryption keys | |
CN115941279A (en) | Encryption and decryption method, system and equipment for user identification in data | |
CN103905192A (en) | Encryption authentication method, device and system | |
CN106209381A (en) | A kind of photo encipher-decipher method and system thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191009 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200707 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200819 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200825 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200909 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6763096 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |