WO2015111221A1 - 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム - Google Patents

機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム Download PDF

Info

Publication number
WO2015111221A1
WO2015111221A1 PCT/JP2014/051687 JP2014051687W WO2015111221A1 WO 2015111221 A1 WO2015111221 A1 WO 2015111221A1 JP 2014051687 W JP2014051687 W JP 2014051687W WO 2015111221 A1 WO2015111221 A1 WO 2015111221A1
Authority
WO
WIPO (PCT)
Prior art keywords
certificate
communication
device identifier
identifier
unit
Prior art date
Application number
PCT/JP2014/051687
Other languages
English (en)
French (fr)
Inventor
剛大 石黒
郁海 森
Original Assignee
三菱電機株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 三菱電機株式会社 filed Critical 三菱電機株式会社
Priority to DE112014006265.0T priority Critical patent/DE112014006265T5/de
Priority to CN201480072407.3A priority patent/CN105900374A/zh
Priority to US15/039,979 priority patent/US20170041150A1/en
Priority to KR1020167023304A priority patent/KR20160113248A/ko
Priority to PCT/JP2014/051687 priority patent/WO2015111221A1/ja
Priority to JP2015558711A priority patent/JP6012888B2/ja
Priority to TW103111656A priority patent/TWI565286B/zh
Publication of WO2015111221A1 publication Critical patent/WO2015111221A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Definitions

  • the present invention relates to a technique for introducing an electronic certificate into a communication device.
  • Patent Document 1 discloses a technique related to an authentication system including a server, a certificate authority (CA), a device, and a registration terminal.
  • a temporary public key certificate that is not associated with device information and a public key certificate that is associated with device information are used as follows in order for the device to connect to the server.
  • the registration terminal acquires a temporary public key certificate from a certificate authority, and writes the acquired temporary public key certificate to an IC card (IC: Integrated Circuit).
  • IC card stores the device private key and public key.
  • the user connects the IC card to the device, and the device requests the certification authority to issue the public key certificate using its own device information and the temporary public key certificate written in the IC card.
  • Patent Document 2 discloses a technique for an authentication device, a higher-level device, and a lower-level device to perform secure communication with each other.
  • secure communication is ensured by each device authenticating each other using an individual public key certificate. If the individual public key certificate of the lower device is damaged, the upper device authenticates the lower device based on the information of the lower device and the common public key certificate common to each device, and the lower device An individual public key certificate is acquired from the authentication device via the device.
  • it is necessary to introduce the common public key certificate into each device in advance.
  • An object of the present invention is to enable electronic certificates to be safely introduced into communication devices.
  • the device certificate providing apparatus of the present invention is A device identifier storage unit for storing the first device identifier and the first communication address; A device identifier request including the first communication address stored in the device identifier storage unit as a destination communication address is transmitted to a network to which one or more communication devices are connected, and one of the one or more communication devices A device identifier inquiry unit for receiving a communication device identifier for identifying the first communication device from a first communication device; A device identifier determination unit for determining whether the communication device identifier received by the device identifier inquiry unit is the same device identifier as the first device identifier stored in the device identifier storage unit; If the device identifier determination unit determines that the communication device identifier is the same device identifier as the first device identifier, a device certificate that is an electronic certificate of the first communication device is used as the first communication. A device certificate transmission unit for transmitting to the device.
  • an electronic certificate can be safely introduced into a communication device.
  • FIG. 1 is a configuration diagram of a device authentication system 100 according to Embodiment 1.
  • FIG. 3 is a functional configuration diagram of a security GW 200 according to Embodiment 1.
  • FIG. 3 is a functional configuration diagram of a device information server 300 according to Embodiment 1.
  • FIG. It is a figure which shows the user information file 391 in Embodiment 1.
  • FIG. It is a figure which shows the apparatus information file 392 in Embodiment 1.
  • FIG. 2 is a functional configuration diagram of a communication device 400 according to Embodiment 1.
  • FIG. 4 is a flowchart showing device certificate introduction processing of the device authentication system 100 according to the first embodiment.
  • 5 is a flowchart showing device information acquisition processing (S110) in the first embodiment.
  • 3 is a diagram illustrating an example of a hardware configuration of a security GW 200 according to Embodiment 1.
  • FIG. 1 is a configuration diagram of a device authentication system 100 according to Embodiment 1.
  • FIG. 3 is
  • Embodiment 1 An embodiment in which an electronic certificate is introduced into a communication device will be described.
  • FIG. 1 is a configuration diagram of a device authentication system 100 according to the first embodiment. The configuration of the device authentication system 100 according to Embodiment 1 will be described with reference to FIG.
  • the device authentication system 100 (an example of a device certificate providing system) is a system that introduces an electronic certificate into the communication device 400 so that the communication device 400 performs communication using the electronic certificate.
  • An electronic certificate is also called a public key certificate.
  • the public key certificate proves the owner of the public key (for example, the communication device 400).
  • the device authentication system 100 includes a security GW 200 (GW: gateway), a device information server 300, a communication device 400, and a certificate authority server 110. These communicate via the network 109.
  • the security GW 200 (an example of a device certificate providing device) is a device that provides an electronic certificate to the communication device 400.
  • the device information server 300 is a device that manages device information related to the communication device 400.
  • the communication device 400 is a device that performs communication using an electronic certificate provided from the security GW 200.
  • the certificate authority server 110 is a device that issues an electronic certificate.
  • the certificate authority server 110 includes a certificate issuing unit 111 that issues an electronic certificate. Further, the certificate authority server 110 includes a certificate authority storage unit (not shown) that stores a secret key (hereinafter referred to as a certificate authority secret key) of the certificate authority server 110 and the like.
  • the electronic certificate of the communication device 400 is referred to as a device certificate
  • the public key of the communication device 400 is referred to as a device public key
  • the secret key of the communication device 400 is referred to as a device secret key.
  • the electronic certificate of the security GW 200 is called a GW certificate
  • the public key of the security GW 200 is called a GW public key
  • the private key of the security GW 200 is called a GW private key
  • the electronic certificate of the device information server 300 is called a server certificate
  • the public key of the device information server 300 is called a server public key
  • the private key of the device information server 300 is called a server private key.
  • FIG. 2 is a functional configuration diagram of the security GW 200 according to the first embodiment. A functional configuration of the security GW 200 in the first embodiment will be described with reference to FIG.
  • the security GW 200 (an example of a device certificate providing device) includes a mutual authentication unit 210, an encryption communication unit 220, a device ID registration unit 230 (ID: identifier), a device certificate introduction unit 240, and a security GW storage unit 290. With.
  • the mutual authentication unit 210 authenticates the communication partner using the electronic certificate of the communication partner, and authenticates from the communication partner using its own electronic certificate (GW certificate).
  • the encryption communication unit 220 encrypts the communication data using the public key included in the electronic certificate of the communication partner, and transmits the encrypted communication data to the communication partner.
  • the encryption communication unit 220 receives the encrypted communication data from the communication partner, and decrypts the received communication data using its own secret key (GW secret key).
  • the device ID registration unit 230 (an example of a device identifier acquisition unit or device information acquisition unit) transmits a device ID 291 (for example, a serial number) for identifying the communication device 400 to the device information server 300, and device information 292 regarding the communication device 400.
  • a device ID 291 for example, a serial number
  • the device information 292 includes an IP address 293 (IP: Internet Protocol) and a MAC address 294 (MAC: Media Access Control).
  • the device certificate introduction unit 240 introduces the device certificate 494 into the communication device 400.
  • the device certificate introduction unit 240 includes a device ID inquiry unit 241, a device ID determination unit 242, a public key acquisition unit 243, a device certificate acquisition unit 244, and a device certificate transmission unit 245.
  • the device ID inquiry unit 241 receives a device ID from the communication device 400 connected to the network 109 or an unauthorized communication device.
  • the device ID determination unit 242 determines whether or not the received device ID is the same as the device ID 291 stored in the security GW storage unit 290.
  • the public key acquisition unit 243 receives the device public key 492 from the communication device 400 that has transmitted the same device ID as the device ID 291.
  • the device certificate acquisition unit 244 acquires a device certificate 494 including the device public key 492 from the certificate authority server 110.
  • the device certificate transmission unit 245 transmits the device certificate 494 to the communication device 400.
  • the security GW storage unit 290 stores data used, generated or input / output by the security GW 200.
  • the security GW storage unit 290 is associated with the device ID 291 (an example of the first device identifier), the device information 292 (the first communication address, an example of the first device information), the device public key 492, The device certificate 494 is stored.
  • the security GW storage unit 290 stores a GW certificate including a GW public key, a GW private key, a server certificate including a server public key, and the like (not shown).
  • FIG. 3 is a functional configuration diagram of the device information server 300 according to the first embodiment. A functional configuration of the device information server 300 according to Embodiment 1 will be described with reference to FIG.
  • the device information server 300 includes a mutual authentication unit 310, an encryption communication unit 320, a user authentication unit 330, a device information management unit 340, and a server storage unit 390.
  • the mutual authentication unit 310 authenticates the communication partner using the electronic certificate of the communication partner, and authenticates from the communication partner using its own electronic certificate (server certificate).
  • the encryption communication unit 320 encrypts communication data using a public key included in the electronic key certificate of the communication partner, and transmits the encrypted communication data to the communication partner.
  • the encryption communication unit 320 receives encrypted communication data from the communication partner, and decrypts the received communication data using its own secret key (server secret key).
  • the user authentication unit 330 authenticates a user who uses the security GW 200 based on the user information file 391.
  • the device information management unit 340 transmits the device information included in the device information file 392 to the security GW 200.
  • the server storage unit 390 stores data used, generated, or input / output by the device information server 300.
  • the server storage unit 390 stores a user information file 391 and a device information file 392.
  • the server storage unit 390 stores a server certificate including a server public key, a server private key, a GW certificate including a GW public key, and the like (not shown).
  • the user information file 391 includes user information related to a user who is permitted to use the security GW 200.
  • the device information file 392 includes device information regarding the communication device 400 into which the device certificate is introduced.
  • FIG. 4 is a diagram showing the user information file 391 in the first embodiment.
  • the user information file 391 in Embodiment 1 will be described with reference to FIG.
  • the user information file 391 includes user data for each user.
  • the user data includes a data number for identifying the user data and user information (user ID, password, etc.) regarding the user.
  • FIG. 5 is a diagram showing the device information file 392 according to the first embodiment.
  • the device information file 392 according to the first embodiment will be described with reference to FIG.
  • the device information file 392 includes device data for each communication device.
  • the device data includes a data number for identifying the device data, a device ID for identifying the communication device, and device information (IP address, MAC address, etc.) regarding the communication device.
  • FIG. 6 is a functional configuration diagram of the communication device 400 according to the first embodiment. A functional configuration of communication device 400 in the first embodiment will be described with reference to FIG.
  • the communication device 400 includes a mutual authentication unit 410, an encryption communication unit 420, an encryption key generation unit 430, a device certificate introduction unit 440, and a device storage unit 490.
  • the mutual authentication unit 410 authenticates the communication partner using the electronic certificate of the communication partner, and authenticates from the communication partner using its own electronic certificate (device certificate 494).
  • the encryption communication unit 420 encrypts communication data using the public key included in the electronic key certificate of the communication partner, and transmits the encrypted communication data to the communication partner.
  • the encryption communication unit 420 receives the encrypted communication data from the communication partner, and decrypts the received communication data using its own secret key (device secret key 493).
  • the encryption key generation unit 430 generates a device public key 492 and a device secret key 493 based on a public key key generation algorithm.
  • the device certificate introduction unit 440 receives the device certificate 494 transmitted from the security GW 200 and stores the received device certificate 494 in the device storage unit 490.
  • the device storage unit 490 stores data used, generated, or input / output by the communication device 400.
  • the device storage unit 490 stores a device ID 491, a device public key 492, a device secret key 493, and a device certificate 494.
  • the device storage unit 490 stores a communication partner's electronic certificate including the communication partner's public key (not shown).
  • FIG. 7 is a flowchart showing device certificate introduction processing of the device authentication system 100 according to the first embodiment.
  • Device certificate introduction processing of the device authentication system 100 according to Embodiment 1 will be described with reference to FIG.
  • the device ID registration unit 230 acquires device information 292 corresponding to the device ID 291 from the device information server 300 (S110).
  • the device ID inquiry unit 241 acquires the device ID 491 from the communication device 400 using information included in the device information 292 (S120).
  • the public key acquisition unit 243 acquires the device public key 492 from the communication device 400 (S140).
  • the device certificate acquisition unit 244 acquires the device certificate 494 including the device public key 492 from the certificate authority server 110 (S150).
  • the device certificate transmission unit 245 transmits the device certificate 494 to the communication device 400 (S160).
  • the device certificate 494 is introduced into the communication device 400 by the device certificate introduction process described above.
  • the device ID registration unit 230 of the security GW 200 acquires device information 292 corresponding to the device ID 291 from the device information server 300. Details of the device information acquisition process (S110) will be described later. After S110, the process proceeds to S120.
  • the device ID inquiry unit 241 of the security GW 200 generates a device ID request using the IP address 293 included in the device information 292 as the destination communication address, and transmits the generated device ID request to the network 109.
  • the device ID inquiry unit 241 may transmit a device ID request using the MAC address 294 as a destination communication address.
  • the device ID request is communication data for requesting the device ID 491 stored in the communication device 400 to the communication device 400 identified by the device ID 291.
  • the device certificate introduction unit 440 of the communication device 400 receives the device ID request, generates a device ID response, and transmits the generated device ID response to the security GW 200.
  • the device ID response is communication data including the device ID 491 stored in the device storage unit 490.
  • the device ID inquiry unit 241 of the security GW 200 receives a device ID response including the device ID 491. At this time, the device ID inquiry unit 241 may receive a device ID response transmitted from an unauthorized communication device. When the communication device 400 is not connected to the network 109 (including the case where the communication device 400 is off), the device ID inquiry unit 241 cannot receive a device ID response from the communication device 400. After S120, the process proceeds to S130.
  • the device ID determination unit 242 of the security GW 200 compares the device ID 491 included in the device ID response with the device ID 291 stored in the security GW storage unit 290. If the device ID 491 and the device ID 291 are not the same, the device ID determination unit 242 discards the device ID 491 and waits until a device ID response including the same device ID 491 as the device ID 291 is received. If a device ID response including the same device ID 491 as the device ID 291 is received before the device ID response wait time elapses (YES), the process proceeds to S140.
  • the device ID determination unit 242 indicates that the communication device 400 is connected to the network 109. A message indicating that there is no message is displayed. In this case, the device certificate introduction process ends without the device certificate 494 being introduced into the communication device 400.
  • the public key acquisition unit 243 of the security GW 200 transmits a public key request to the communication device 400.
  • the communication device 400 is a device that has transmitted a device ID response including the same device ID 491 as the device ID 291.
  • the public key request is communication data for requesting the device public key 492 from the communication device 400.
  • the device certificate introduction unit 440 of the communication device 400 receives the public key request, generates a public key response that is communication data including the device public key 492, and transmits the generated public key response to the security GW 200.
  • the encryption key generation unit 430 may generate the device public key 492 and the device secret key 493 at this timing, or may generate the device public key 492 and the device secret key 493 in advance.
  • the public key acquisition unit 243 of the security GW 200 receives a public key response including the device public key 492. After S140, the process proceeds to S150.
  • the device certificate acquisition unit 244 of the security GW 200 generates a certificate request including the device public key 492 and device information 292 (which may include the device ID 291), and the generated certificate request is transmitted to the certificate authority server 110. Send to.
  • the certificate request is communication data for requesting the device certificate 494.
  • the certificate issuing unit 111 of the certificate authority server 110 receives the certificate request, acquires the device public key 492 and the device information 292 from the certificate request, and uses the device public key 492, the device information 292, and the certificate authority private key. Thus, an electronic signature of the certificate authority server 110 (hereinafter referred to as a certificate authority signature) is generated. Then, the certificate issuing unit 111 generates a device certificate 494 including the device public key 492, device information 292, and the certificate authority signature, and generates a certificate response that is communication data including the generated device certificate 494. The generated certificate response is transmitted to the security GW 200.
  • the device certificate acquisition unit 244 of the security GW 200 receives the certificate response including the device certificate 494. After S150, the process proceeds to S160.
  • the device certificate transmission unit 245 of the security GW 200 transmits the device certificate 494 to the communication device 400.
  • the device certificate introduction unit 440 of the communication device 400 receives the device certificate 494 and stores the received device certificate 494 in the device storage unit 490.
  • the device certificate 494 is introduced into the communication device 400.
  • the communication device 400 can receive authentication from the communication partner using the device certificate 494 and the device secret key 493.
  • the communication device 400 can perform encrypted communication (secret communication) using the device certificate 494 and the device secret key 493.
  • an unauthorized communication device cannot receive authentication from a communication partner (for example, the communication device 400, the security GW 200, or the device information server 300) because a device certificate is not introduced, and can communicate with the communication partner. Can not.
  • the device certificate introduction process ends.
  • FIG. 8 is a flowchart showing the device information acquisition process (S110) in the first embodiment.
  • Device information acquisition processing (S110) in the first embodiment will be described with reference to FIG.
  • the mutual authentication unit 210 of the security GW 200 transmits the GW certificate to the device information server 300 and receives the server certificate from the device information server 300.
  • the mutual authentication unit 210 confirms that the communication partner is the device information server 300 based on server information (information on the device information server 300) included in the received server certificate.
  • the mutual authentication unit 210 encrypts the authentication code using the GW private key, and transmits the encrypted authentication code to the device information server 300.
  • the mutual authentication unit 210 receives the authentication code encrypted using the server private key from the device information server 300, and decrypts the received authentication code using the server public key included in the server certificate. If the authentication code can be decrypted, the mutual authentication unit 210 authenticates the device information server 300.
  • the mutual authentication unit 310 of the device information server 300 transmits a server certificate to the security GW 200 and receives a GW certificate from the security GW 200.
  • the mutual authentication unit 310 confirms that the communication partner is the security GW 200 based on the GW information (information on the security GW 200) included in the received GW certificate.
  • the mutual authentication unit 310 encrypts the authentication code using the server private key, and transmits the encrypted authentication code to the security GW 200.
  • the mutual authentication unit 310 receives the authentication code encrypted using the GW private key from the security GW 200, and decrypts the received authentication code using the GW public key included in the GW certificate. If the authentication code can be decrypted, the mutual authentication unit 310 authenticates the security GW 200. After S111, the process proceeds to S112.
  • the user inputs the user ID and password to the security GW 200.
  • the device ID registration unit 230 of the security GW 200 acquires the input user ID and password. After S112, the process proceeds to S113.
  • the device ID registration unit 230 of the security GW 200 transmits an authentication request, which is communication data including a user ID and a password, to the device information server 300. After S113, the process proceeds to S114.
  • the user authentication unit 330 of the device information server 300 receives the authentication request, and the user information including the user ID included in the authentication request and the password included in the authentication request is included in the user information file 391. It is determined whether or not.
  • the user using the security GW 200 is a valid user.
  • the user authentication unit 330 transmits an authentication response, which is communication data indicating that the user has been authenticated, to the security GW 200, and the device of the security GW 200
  • the ID registration unit 230 receives the authentication response. Then, the process proceeds to S115.
  • the user authentication unit 330 transmits an authentication response, which is communication data indicating that the user has not been authenticated, to the security GW 200.
  • the device ID registration unit 230 of the security GW 200 receives the authentication response and displays an error message indicating that the authentication has not been performed. Then, the security GW 200 cannot acquire the device information 292, the device information acquisition process (S110) ends, and the device certificate 494 is not introduced into the communication device 400, and the device certificate introduction process (see FIG. 7) ends. .
  • the device ID registration unit 230 of the security GW 200 displays an authentication message indicating that authentication has been performed.
  • the user inputs the device ID 291 of the communication device 400 to which the device certificate 494 is to be introduced into the security GW 200.
  • the device ID registration unit 230 of the security GW 200 acquires the input device ID 291 and stores the acquired device ID 291 in the security GW storage unit 290.
  • the process proceeds to S116.
  • the device ID registration unit 230 of the security GW 200 generates a device information request including the device ID 291, and transmits the generated device information request to the device information server 300.
  • the device information request is communication data for requesting device information 292.
  • the device information management unit 340 of the device information server 300 receives the device information request and selects device information data including the same device ID as the device ID 291 included in the received device information request from the device information file 392.
  • the device information management unit 340 acquires device information 292 from the selected device information data, generates a device information response that is communication data including the acquired device information 292, and transmits the generated device information response to the security GW 200.
  • the device information management unit 340 may set information (for example, IP address) regarding the security GW 200 included in the device information request in the selected device information data.
  • the device ID registration unit 230 of the security GW 200 receives the device information response, acquires device information 292 from the received device information response, and stores the acquired device information 292 in the security GW storage unit 290. After S117, the device information acquisition process (S110) ends.
  • the communication data communicated from S113 to S117 in FIG. 8 is encrypted at the time of transmission and decrypted at the time of reception by the encryption communication unit 220 of the security GW 200 and the encryption communication unit 320 of the device information server 300.
  • FIG. 9 is a diagram illustrating an example of a hardware configuration of the security GW 200 according to the first embodiment.
  • An example of the hardware configuration of the security GW 200 in the first embodiment will be described with reference to FIG.
  • the hardware configuration of the security GW 200 may be different from the configuration shown in FIG.
  • the hardware configurations of the device information server 300, the communication device 400, and the certificate authority server 110 are the same as those of the security GW 200.
  • the security GW 200 is a computer including an arithmetic device 901, an auxiliary storage device 902, a main storage device 903, a communication device 904, and an input / output device 905.
  • the arithmetic device 901, auxiliary storage device 902, main storage device 903, communication device 904, and input / output device 905 are connected to the bus 909.
  • the arithmetic device 901 is a CPU (Central Processing Unit) that executes a program.
  • the auxiliary storage device 902 is, for example, a ROM (Read Only Memory), a flash memory, or a hard disk device.
  • the main storage device 903 is, for example, a RAM (Random Access Memory).
  • the communication device 904 performs communication via the Internet, a LAN (local area network), a telephone line network, or other networks in a wired or wireless manner.
  • the input / output device 905 is, for example, a mouse, a keyboard, or a display device.
  • the program is normally stored in the auxiliary storage device 902, loaded into the main storage device 903, read into the arithmetic device 901, and executed by the arithmetic device 901.
  • an operating system OS
  • a program for realizing the function described as “ ⁇ unit” is stored in the auxiliary storage device 902.
  • the OS and the program that realizes the functions described as “ ⁇ units” are loaded into the main storage device 903 and executed by the arithmetic device 901. “ ⁇ part” can be read as “ ⁇ processing” and “ ⁇ process”.
  • Embodiment 1 the configuration in which the device certificate 494 is introduced into the communication device 400 has been described.
  • the device certificate 494 can be introduced into the communication device 400 securely and easily.
  • the device certificate 494 can be introduced into the communication device 400 without using an external storage medium such as an IC card. That is, the device certificate 494 can be introduced into the communication device 400 that does not include a read / write device for using an external storage medium. Then, it is possible to prevent the device certificate 494 from being introduced into an unauthorized communication device due to the IC card being stolen. It is possible to prevent the device certificate 494 from being introduced into an unauthorized communication device and to prevent communication with an unauthorized communication device into which the device certificate 494 is not introduced.
  • the first embodiment is an example of the device authentication system 100. That is, the device authentication system 100 does not have to include some of the components described in the first embodiment.
  • the device authentication system 100 may include components that are not described in the first embodiment.
  • the security GW 200 may include the function of the certificate authority server 110 (certificate issuing unit 111) and generate the device certificate 494 without requesting the certificate authority server 110 for the device certificate 494. In this case, the device authentication system 100 does not need to include the certificate authority server 110.
  • the processing procedure described in the first embodiment using a flowchart or the like is an example of the processing procedure of the method and program according to the first embodiment.
  • the method and program according to the first embodiment may be realized by a processing procedure that is partially different from the processing procedure described in the first embodiment.

Abstract

 機器ID問い合わせ部(241)は、IPアドレス293を宛先の通信アドレスとして含む機器ID要求を送信し、通信機器から通信機器識別子を受信する。機器ID判定部(242)は、通信機器識別子が機器ID(291)と同じ機器識別子であるか否かを判定する。通信機器識別子が機器ID(291)と同じ機器識別子である場合、公開鍵取得部(243)は前記通信機器から機器公開鍵(492)を取得し、機器証明書送信部(245)は機器公開鍵(492)を含んだ機器証明書(494)を前記通信機器に送信する。

Description

機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム
 本発明は、通信機器に電子証明書を導入する技術に関するものである。
 特許文献1は、サーバと認証局(CA)と機器と登録端末とが存在する認証システムに関する技術を開示している。
 その技術において、機器がサーバに接続するために、機器情報に関連付けられていない仮公開鍵証明書と、機器情報に関連付けられている本公開鍵証明書とが、以下のように使用される。
 まず、登録端末は認証局から仮公開鍵証明書を取得し、取得した仮公開鍵証明書をICカード(IC:Integrated Circuit)に書き込む。ICカードには機器の秘密鍵および公開鍵が書き込まれている。
 そして、利用者は機器にICカードを接続し、機器は自身の機器情報とICカードに書き込まれている仮公開鍵証明書とを用いて認証局に本公開鍵証明書の発行を要求し、認証局から本公開鍵証明書を取得する。
 特許文献2は、認証装置と上位装置と下位装置とが相互にセキュアな通信を行うための技術を開示している。
 その技術において、各装置がそれぞれ個別公開鍵証明書を用いて相互に認証することによってセキュアな通信が確保される。そして、下位装置の個別公開鍵証明書が破損してしまった場合、上位装置は下位装置の情報と各装置に共通な共通公開鍵証明書とに基づいて下位装置を認証し、下位装置は上位装置を経由して認証装置から個別公開鍵証明書を取得する。
 つまり、特許文献2の技術によって個別公開鍵証明書を復旧するためには、共通公開鍵証明書が各装置に予め導入されている必要がある。
 しかし、各装置に共通公開鍵証明書を予め導入することが困難な場合が考えられる。例えば、機器製造者とサービス提供者とが異なる場合、機器の製造時にサービス提供者が発行する共通公開鍵証明書を機器に導入することは難しい。
国際公開第2007/099608号 特開2005-65236号公報
 本発明は、通信機器に安全に電子証明書を導入できるようにすることを目的とする。
 本発明の機器証明書提供装置は、
 第一の機器識別子と第一の通信アドレスとを記憶する機器識別子記憶部と、
 前記機器識別子記憶部に記憶された前記第一の通信アドレスを宛先の通信アドレスとして含む機器識別子要求を一つ以上の通信機器が接続するネットワークに送信し、前記一つ以上の通信機器のうちの第一の通信機器から前記第一の通信機器を識別する通信機器識別子を受信する機器識別子問い合わせ部と、
 前記機器識別子問い合わせ部によって受信された前記通信機器識別子が前記機器識別子記憶部に記憶された前記第一の機器識別子と同じ機器識別子であるか否かを判定する機器識別子判定部と、
 前記機器識別子判定部によって前記通信機器識別子が前記第一の機器識別子と同じ機器識別子であると判定された場合、前記第一の通信機器の電子証明書である機器証明書を前記第一の通信機器に送信する機器証明書送信部とを備える。
 本発明によれば、通信機器に安全に電子証明書を導入することができる。
実施の形態1における機器認証システム100の構成図である。 実施の形態1におけるセキュリティGW200の機能構成図である。 実施の形態1における機器情報サーバ300の機能構成図である。 実施の形態1における利用者情報ファイル391を示す図である。 実施の形態1における機器情報ファイル392を示す図である。 実施の形態1における通信機器400の機能構成図である。 実施の形態1における機器認証システム100の機器証明書導入処理を示すフローチャートである。 実施の形態1における機器情報取得処理(S110)を示すフローチャートである。 実施の形態1におけるセキュリティGW200のハードウェア構成の一例を示す図である。
 実施の形態1.
 通信機器に電子証明書を導入する形態について説明する。
 図1は、実施の形態1における機器認証システム100の構成図である。
 実施の形態1における機器認証システム100の構成について、図1に基づいて説明する。
 機器認証システム100(機器証明書提供システムの一例)は、通信機器400が電子証明書を用いて通信を行うために、通信機器400に電子証明書を導入するシステムである。電子証明書は公開鍵証明書ともいう。公開鍵証明書は公開鍵の所有者(例えば、通信機器400)を証明する。
 機器認証システム100は、セキュリティGW200(GW:ゲートウェイ)と、機器情報サーバ300と、通信機器400と、認証局サーバ110とを備える。これらはネットワーク109を介して通信を行う。
 セキュリティGW200(機器証明書提供装置の一例)は、通信機器400に電子証明書を提供する装置である。
 機器情報サーバ300は、通信機器400に関する機器情報を管理する装置である。
 通信機器400は、セキュリティGW200から提供される電子証明書を用いて通信を行う機器である。
 認証局サーバ110は、電子証明書を発行する装置である。
 認証局サーバ110は、電子証明書を発行する証明書発行部111を備える。
 また、認証局サーバ110は、認証局サーバ110の秘密鍵(以下、認証局秘密鍵という)などを記憶する認証局記憶部を備える(図示省略)。
 以下、通信機器400の電子証明書を機器証明書といい、通信機器400の公開鍵を機器公開鍵といい、通信機器400の秘密鍵を機器秘密鍵という。
 また、セキュリティGW200の電子証明書をGW証明書といい、セキュリティGW200の公開鍵をGW公開鍵といい、セキュリティGW200の秘密鍵をGW秘密鍵という。
 また、機器情報サーバ300の電子証明書をサーバ証明書といい、機器情報サーバ300の公開鍵をサーバ公開鍵といい、機器情報サーバ300の秘密鍵をサーバ秘密鍵という。
 図2は、実施の形態1におけるセキュリティGW200の機能構成図である。
 実施の形態1におけるセキュリティGW200の機能構成について、図2に基づいて説明する。
 セキュリティGW200(機器証明書提供装置の一例)は、相互認証部210と、暗号通信部220と、機器ID登録部230(ID:識別子)と、機器証明書導入部240と、セキュリティGW記憶部290とを備える。
 相互認証部210は、通信相手の電子証明書を用いて通信相手を認証し、自身の電子証明書(GW証明書)を用いて通信相手から認証される。
[規則91に基づく訂正 06.03.2014] 
 暗号通信部220は、通信相手の電子証明書に含まれる公開鍵を用いて通信データを暗号化し、暗号化した通信データを通信相手に送信する。
 暗号通信部220は、暗号化された通信データを通信相手から受信し、受信した通信データを自身の秘密鍵(GW秘密鍵)を用いて復号する。
 機器ID登録部230(機器識別子取得部、機器情報取得部の一例)は、通信機器400を識別する機器ID291(例えば、製造番号)を機器情報サーバ300に送信し、通信機器400に関する機器情報292を受信する。
 機器情報292は、IPアドレス293(IP:Internet Protocol)およびMACアドレス294(MAC:Media Access Control)などを含む。
 機器証明書導入部240は、機器証明書494を通信機器400に導入する。
 機器証明書導入部240は、機器ID問い合わせ部241と、機器ID判定部242と、公開鍵取得部243と、機器証明書取得部244と、機器証明書送信部245とを備える。
 機器ID問い合わせ部241は、ネットワーク109に接続する通信機器400または不正な通信機器から機器IDを受信する。
 機器ID判定部242は、受信された機器IDがセキュリティGW記憶部290に記憶されている機器ID291と同じであるか否かを判定する。
 公開鍵取得部243は、機器ID291と同じ機器IDを送信した通信機器400から機器公開鍵492を受信する。
 機器証明書取得部244は、機器公開鍵492を含んだ機器証明書494を認証局サーバ110から取得する。
 機器証明書送信部245は、機器証明書494を通信機器400に送信する。
 セキュリティGW記憶部290は、セキュリティGW200が使用、生成または入出力するデータを記憶する。
 例えば、セキュリティGW記憶部290は、機器ID291(第一の機器識別子の一例)に対応付けて、機器情報292(第一の通信アドレス、第一の機器情報の一例)と、機器公開鍵492と、機器証明書494とを記憶する。また、セキュリティGW記憶部290は、GW公開鍵を含むGW証明書、GW秘密鍵、サーバ公開鍵を含むサーバ証明書などを記憶する(図示省略)。
 図3は、実施の形態1における機器情報サーバ300の機能構成図である。
 実施の形態1における機器情報サーバ300の機能構成について、図3に基づいて説明する。
 機器情報サーバ300は、相互認証部310と、暗号通信部320と、利用者認証部330と、機器情報管理部340と、サーバ記憶部390とを備える。
 相互認証部310は、通信相手の電子証明書を用いて通信相手を認証し、自身の電子証明書(サーバ証明書)を用いて通信相手から認証される。
 暗号通信部320は、通信相手の電子鍵明書に含まれる公開鍵を用いて通信データを暗号化し、暗号化した通信データを通信相手に送信する。
 暗号通信部320は、暗号化された通信データを通信相手から受信し、受信した通信データを自身の秘密鍵(サーバ秘密鍵)を用いて復号する。
 利用者認証部330は、セキュリティGW200を利用する利用者を利用者情報ファイル391に基づいて認証する。
 機器情報管理部340は、機器情報ファイル392に含まれる機器情報をセキュリティGW200に送信する。
 サーバ記憶部390は、機器情報サーバ300が使用、生成または入出力するデータを記憶する。
 例えば、サーバ記憶部390は、利用者情報ファイル391と、機器情報ファイル392とを記憶する。また、サーバ記憶部390は、サーバ公開鍵を含むサーバ証明書、サーバ秘密鍵、GW公開鍵を含むGW証明書などを記憶する(図示省略)。
 利用者情報ファイル391は、セキュリティGW200を利用することを許可される利用者に関する利用者情報を含む。
 機器情報ファイル392は、機器証明書が導入される通信機器400に関する機器情報を含む。
 図4は、実施の形態1における利用者情報ファイル391を示す図である。
 実施の形態1における利用者情報ファイル391について、図4に基づいて説明する。
 利用者情報ファイル391は利用者毎の利用者データを備える。
 利用者データは、利用者データを識別するデータ番号と、利用者に関する利用者情報(利用者ID、パスワードなど)とを含む。
 図5は、実施の形態1における機器情報ファイル392を示す図である。
 実施の形態1における機器情報ファイル392について、図5に基づいて説明する。
 機器情報ファイル392は、通信機器毎の機器データを備える。
 機器データは、機器データを識別するデータ番号と、通信機器を識別する機器IDと、通信機器に関する機器情報(IPアドレス、MACアドレスなど)とを含む。
 図6は、実施の形態1における通信機器400の機能構成図である。
 実施の形態1における通信機器400の機能構成について、図6に基づいて説明する。
 通信機器400は、相互認証部410と、暗号通信部420と、暗号鍵生成部430と、機器証明書導入部440と、機器記憶部490とを備える。
 相互認証部410は、通信相手の電子証明書を用いて通信相手を認証し、自身の電子証明書(機器証明書494)を用いて通信相手から認証される。
 暗号通信部420は、通信相手の電子鍵証明書に含まれる公開鍵を用いて通信データを暗号化し、暗号化した通信データを通信相手に送信する。
 暗号通信部420は、暗号化された通信データを通信相手から受信し、受信した通信データを自身の秘密鍵(機器秘密鍵493)を用いて復号する。
 暗号鍵生成部430は、公開鍵方式の鍵生成アルゴリズムに基づいて、機器公開鍵492と機器秘密鍵493とを生成する。
 機器証明書導入部440は、セキュリティGW200から送信される機器証明書494を受信し、受信した機器証明書494を機器記憶部490に記憶する。
 機器記憶部490は、通信機器400が使用、生成または入出力するデータを記憶する。
 例えば、機器記憶部490は、機器ID491と、機器公開鍵492と、機器秘密鍵493と、機器証明書494とを記憶する。また、機器記憶部490は、通信相手の公開鍵を含む通信相手の電子証明書を記憶する(図示省略)。
 図7は、実施の形態1における機器認証システム100の機器証明書導入処理を示すフローチャートである。
 実施の形態1における機器認証システム100の機器証明書導入処理について、図7に基づいて説明する。
 まず、機器証明書導入処理の概要について説明する。
 機器ID登録部230は、機器ID291に対応する機器情報292を機器情報サーバ300から取得する(S110)。
 機器ID問い合わせ部241は、機器情報292に含まれる情報を用いて通信機器400から機器ID491を取得する(S120)。
 機器ID291と同じ機器ID491が取得された場合、公開鍵取得部243は、通信機器400から機器公開鍵492を取得する(S140)。
 機器証明書取得部244は、機器公開鍵492を含む機器証明書494を認証局サーバ110から取得する(S150)。
 機器証明書送信部245は、機器証明書494を通信機器400に送信する(S160)。
 以上の機器証明書導入処理によって、機器証明書494が通信機器400に導入される。
 次に、機器証明書導入処理の詳細について説明する。
 S110において、セキュリティGW200の機器ID登録部230は、機器ID291に対応する機器情報292を機器情報サーバ300から取得する。
 機器情報取得処理(S110)の詳細については後述する。
 S110の後、処理はS120に進む。
 S120において、セキュリティGW200の機器ID問い合わせ部241は、機器情報292に含まれるIPアドレス293を宛先の通信アドレスとして用いて機器ID要求を生成し、生成した機器ID要求をネットワーク109に送信する。但し、機器ID問い合わせ部241は、MACアドレス294を宛先の通信アドレスとして用いて機器ID要求を送信しても構わない。
 機器ID要求は、機器ID291によって識別される通信機器400に対して、通信機器400に記憶されている機器ID491を要求する通信データである。
 通信機器400の機器証明書導入部440は機器ID要求を受信し、機器ID応答を生成し、生成した機器ID応答をセキュリティGW200に送信する。
 機器ID応答は、機器記憶部490に記憶されている機器ID491を含んだ通信データである。
 セキュリティGW200の機器ID問い合わせ部241は、機器ID491を含んだ機器ID応答を受信する。
 このとき、機器ID問い合わせ部241は、不正な通信機器から送信される機器ID応答を受信する可能性がある。
 また、通信機器400がネットワーク109に接続されていない場合(通信機器400がオフの場合を含む)、機器ID問い合わせ部241は、通信機器400から機器ID応答を受信できない。
 S120の後、処理はS130に進む。
 S130において、セキュリティGW200の機器ID判定部242は、機器ID応答に含まれる機器ID491と、セキュリティGW記憶部290に記憶されている機器ID291とを比較する。
 機器ID491と機器ID291とが同じでない場合、機器ID判定部242は機器ID491を破棄し、機器ID291と同じ機器ID491を含む機器ID応答が受信されるまで待機する。
 機器ID応答の待ち時間が経過するまでに、機器ID291と同じ機器ID491を含む機器ID応答が受信された場合(YES)、処理はS140に進む。
 機器ID応答の待ち時間が経過するまでに、機器ID291と同じ機器ID491を含む機器ID応答が受信されなかった場合(NO)、機器ID判定部242は、通信機器400がネットワーク109に接続されていない旨のメッセージを表示する。この場合、機器証明書494が通信機器400に導入されずに、機器証明書導入処理は終了する。
 S140において、セキュリティGW200の公開鍵取得部243は、通信機器400に公開鍵要求を送信する。この通信機器400は、機器ID291と同じ機器ID491を含む機器ID応答を送信した機器である。
 公開鍵要求は、通信機器400に対して機器公開鍵492を要求する通信データである。
 通信機器400の機器証明書導入部440は公開鍵要求を受信し、機器公開鍵492を含んだ通信データである公開鍵応答を生成し、生成した公開鍵応答をセキュリティGW200に送信する。
 暗号鍵生成部430は、このタイミングで機器公開鍵492および機器秘密鍵493を生成してもよいし、機器公開鍵492および機器秘密鍵493を予め生成してもよい。
 セキュリティGW200の公開鍵取得部243は、機器公開鍵492を含んだ公開鍵応答を受信する。
 S140の後、処理はS150に進む。
 S150において、セキュリティGW200の機器証明書取得部244は、機器公開鍵492と機器情報292(機器ID291を含んでもよい)とを含む証明書要求を生成し、生成した証明書要求を認証局サーバ110に送信する。
 証明書要求は、機器証明書494を要求する通信データである。
 認証局サーバ110の証明書発行部111は証明書要求を受信し、証明書要求から機器公開鍵492と機器情報292を取得し、機器公開鍵492と機器情報292と認証局秘密鍵とを用いて認証局サーバ110の電子署名(以下、認証局署名という)を生成する。
 そして、証明書発行部111は、機器公開鍵492と機器情報292と認証局署名とを含む機器証明書494を生成し、生成した機器証明書494を含んだ通信データである証明書応答を生成し、生成した証明書応答をセキュリティGW200に送信する。
 セキュリティGW200の機器証明書取得部244は、機器証明書494を含んだ証明書応答を受信する。
 S150の後、処理はS160に進む。
 S160において、セキュリティGW200の機器証明書送信部245は、機器証明書494を通信機器400に送信する。
 通信機器400の機器証明書導入部440は機器証明書494を受信し、受信した機器証明書494を機器記憶部490に記憶する。
 これにより、機器証明書494が通信機器400に導入される。
 機器証明書494が導入された後、通信機器400は、機器証明書494および機器秘密鍵493を用いて通信相手から認証を受けることができる。また、通信機器400は、機器証明書494および機器秘密鍵493を用いて暗号化通信(秘匿通信)を行うことができる。
 一方、不正な通信機器は、機器証明書が導入されないため、通信相手(例えば、通信機器400、セキュリティGW200または機器情報サーバ300)から認証を受けることができず、通信相手と通信を行うことができない。
 S160の後、機器証明書導入処理は終了する。
 図8は、実施の形態1における機器情報取得処理(S110)を示すフローチャートである。
 実施の形態1における機器情報取得処理(S110)について、図8に基づいて説明する。
 S111において、セキュリティGW200の相互認証部210はGW証明書を機器情報サーバ300に送信し、機器情報サーバ300からサーバ証明書を受信する。
 相互認証部210は、受信したサーバ証明書に含まれるサーバ情報(機器情報サーバ300に関する情報)に基づいて、通信相手が機器情報サーバ300であることを確認する。
 相互認証部210はGW秘密鍵を用いて認証コードを暗号化し、暗号化した認証コードを機器情報サーバ300に送信する。
 相互認証部210は、サーバ秘密鍵を用いて暗号化された認証コードを機器情報サーバ300から受信し、受信した認証コードをサーバ証明書に含まれるサーバ公開鍵を用いて復号する。
 認証コードを復号することができた場合、相互認証部210は機器情報サーバ300を認証する。
 同様に、機器情報サーバ300の相互認証部310はサーバ証明書をセキュリティGW200に送信し、セキュリティGW200からGW証明書を受信する。
 相互認証部310は、受信したGW証明書に含まれるGW情報(セキュリティGW200に関する情報)に基づいて、通信相手がセキュリティGW200であることを確認する。
 相互認証部310はサーバ秘密鍵を用いて認証コードを暗号化し、暗号化した認証コードをセキュリティGW200に送信する。
 相互認証部310は、GW秘密鍵を用いて暗号化された認証コードをセキュリティGW200から受信し、受信した認証コードをGW証明書に含まれるGW公開鍵を用いて復号する。
 認証コードを復号することができた場合、相互認証部310はセキュリティGW200を認証する。
 S111の後、処理はS112に進む。
 S112において、利用者は、利用者IDとパスワードとをセキュリティGW200に入力する。
 セキュリティGW200の機器ID登録部230は、入力された利用者IDとパスワードとを取得する。
 S112の後、処理はS113に進む。
 S113において、セキュリティGW200の機器ID登録部230は、利用者IDとパスワードとを含む通信データである認証要求を機器情報サーバ300に送信する。
 S113の後、処理はS114に進む。
 S114において、機器情報サーバ300の利用者認証部330は認証要求を受信し、認証要求に含まれる利用者IDと認証要求に含まれるパスワードとを含んだ利用者データが利用者情報ファイル391に含まれるか否かを判定する。
 認証要求に含まれる利用者IDと認証要求に含まれるパスワードとを含んだ利用者データが利用者情報ファイル391に含まれる場合、セキュリティGW200を利用している利用者は正当な利用者である。
 セキュリティGW200を利用している利用者が正当な利用者である場合(YES)、利用者認証部330は認証されたことを示す通信データである認証応答をセキュリティGW200に送信し、セキュリティGW200の機器ID登録部230は認証応答を受信する。そして、処理はS115に進む。
 セキュリティGW200を利用している利用者が正当な利用者でない場合(NO)、利用者認証部330は、認証されなかったことを示す通信データである認証応答をセキュリティGW200に送信する。
 セキュリティGW200の機器ID登録部230は認証応答を受信し、認証されなかったことを示すエラーメッセージを表示する。
 そして、セキュリティGW200が機器情報292を取得できずに機器情報取得処理(S110)は終了し、機器証明書494が通信機器400に導入されずに機器証明書導入処理(図7参照)は終了する。
 S115において、セキュリティGW200の機器ID登録部230は、認証されたことを示す認証メッセージを表示する。
 利用者は、機器証明書494を導入したい通信機器400の機器ID291をセキュリティGW200に入力する。
 セキュリティGW200の機器ID登録部230は入力された機器ID291を取得し、取得した機器ID291をセキュリティGW記憶部290に記憶する。
 S115の後、処理はS116に進む。
 S116において、セキュリティGW200の機器ID登録部230は機器ID291を含んだ機器情報要求を生成し、生成した機器情報要求を機器情報サーバ300に送信する。
 機器情報要求は、機器情報292を要求する通信データである。
 S116の後、処理はS117に進む。
 S117において、機器情報サーバ300の機器情報管理部340は機器情報要求を受信し、受信した機器情報要求に含まれる機器ID291と同じ機器IDを含んだ機器情報データを機器情報ファイル392から選択する。
 機器情報管理部340は選択した機器情報データから機器情報292を取得し、取得した機器情報292を含んだ通信データである機器情報応答を生成し、生成した機器情報応答をセキュリティGW200に送信する。
 機器情報管理部340は、機器情報要求に含まれるセキュリティGW200に関する情報(例えば、IPアドレス)を、選択した機器情報データに設定してもよい。
 セキュリティGW200の機器ID登録部230は機器情報応答を受信し、受信した機器情報応答から機器情報292を取得し、取得した機器情報292をセキュリティGW記憶部290に記憶する。
 S117の後、機器情報取得処理(S110)は終了する。
 図8のS113からS117で通信される通信データは、セキュリティGW200の暗号通信部220および機器情報サーバ300の暗号通信部320によって、送信時に暗号化され、受信時に復号される。
 図9は、実施の形態1におけるセキュリティGW200のハードウェア構成の一例を示す図である。
 実施の形態1におけるセキュリティGW200のハードウェア構成の一例について、図9に基づいて説明する。但し、セキュリティGW200のハードウェア構成は図9に示す構成と異なる構成であってもよい。
 なお、機器情報サーバ300、通信機器400および認証局サーバ110のそれぞれのハードウェア構成はセキュリティGW200と同様である。
 セキュリティGW200は、演算装置901、補助記憶装置902、主記憶装置903、通信装置904および入出力装置905を備えるコンピュータである。
 演算装置901、補助記憶装置902、主記憶装置903、通信装置904および入出力装置905はバス909に接続している。
 演算装置901は、プログラムを実行するCPU(Central Processing Unit)である。
 補助記憶装置902は、例えば、ROM(Read Only Memory)、フラッシュメモリまたはハードディスク装置である。
 主記憶装置903は、例えば、RAM(Random Access Memory)である。
 通信装置904は、有線または無線でインターネット、LAN(ローカルエリアネットワーク)、電話回線網またはその他のネットワークを介して通信を行う。
 入出力装置905は、例えば、マウス、キーボード、ディスプレイ装置である。
 プログラムは、通常は補助記憶装置902に記憶されており、主記憶装置903にロードされ、演算装置901に読み込まれ、演算装置901によって実行される。
 例えば、オペレーティングシステム(OS)が補助記憶装置902に記憶される。また、「~部」として説明している機能を実現するプログラムが補助記憶装置902に記憶される。そして、OSおよび「~部」として説明している機能を実現するプログラムは主記憶装置903にロードされ、演算装置901によって実行される。「~部」は「~処理」「~工程」と読み替えることができる。
 「~の判断」、「~の判定」、「~の抽出」、「~の検知」、「~の設定」、「~の登録」、「~の選択」、「~の生成」、「~の入力」、「~の出力」等の処理の結果を示す情報、データ、ファイル、信号値または変数値が主記憶装置903または補助記憶装置902に記憶される。また、セキュリティGW200が使用するその他のデータが主記憶装置903または補助記憶装置902に記憶される。
 実施の形態1において、通信機器400に機器証明書494を導入する形態について説明した。
 実施の形態1により、例えば、以下のような効果を奏する。
 通信機器400にセキュア且つ簡易に機器証明書494を導入することができる。
 ICカードなどの外部記憶媒体を用いずに、通信機器400に機器証明書494を導入することができる。つまり、外部記憶媒体を使用するための読み書き装置を備えない通信機器400に機器証明書494を導入することができる。そして、ICカードが盗難されることによって不正な通信機器に機器証明書494が導入されるのを防ぐことができる。
 機器証明書494が不正な通信機器に導入されることを防ぎ、機器証明書494が導入されない不正な通信機器との通信を防ぐことができる。
 実施の形態1は、機器認証システム100の形態の一例である。
 つまり、機器認証システム100は、実施の形態1で説明した構成要素の一部を備えなくても構わない。また、機器認証システム100は、実施の形態1で説明していない構成要素を備えても構わない。
 例えば、セキュリティGW200は、認証局サーバ110の機能(証明書発行部111)を備え、認証局サーバ110に機器証明書494を要求せずに機器証明書494を生成しても構わない。この場合、機器認証システム100が認証局サーバ110を備える必要はない。
 実施の形態1においてフローチャート等を用いて説明した処理手順は、実施の形態1に係る方法およびプログラムの処理手順の一例である。実施の形態1に係る方法およびプログラムは、実施の形態1で説明した処理手順と一部異なる処理手順で実現されても構わない。
 100 機器認証システム、109 ネットワーク、110 認証局サーバ、111 証明書発行部、200 セキュリティGW、210 相互認証部、220 暗号通信部、230 機器ID登録部、240 機器証明書導入部、241 機器ID問い合わせ部、242 機器ID判定部、243 公開鍵取得部、244 機器証明書取得部、245 機器証明書送信部、290 セキュリティGW記憶部、291 機器ID、292 機器情報、293 IPアドレス、294 MACアドレス、300 機器情報サーバ、310 相互認証部、320 暗号通信部、330 利用者認証部、340 機器情報管理部、390 サーバ記憶部、391 利用者情報ファイル、392 機器情報ファイル、400 通信機器、410 相互認証部、420 暗号通信部、430 暗号鍵生成部、440 機器証明書導入部、490 機器記憶部、491 機器ID、492 機器公開鍵、493 機器秘密鍵、494 機器証明書、901 演算装置、902 補助記憶装置、903 主記憶装置、904 通信装置、905 入出力装置、909 バス。

Claims (9)

  1.  第一の機器識別子と第一の通信アドレスとを記憶する機器識別子記憶部と、
     前記機器識別子記憶部に記憶された前記第一の通信アドレスを宛先の通信アドレスとして含む機器識別子要求を一つ以上の通信機器が接続するネットワークに送信し、前記一つ以上の通信機器のうちの第一の通信機器から前記第一の通信機器を識別する通信機器識別子を受信する機器識別子問い合わせ部と、
     前記機器識別子問い合わせ部によって受信された前記通信機器識別子が前記機器識別子記憶部に記憶された前記第一の機器識別子と同じ機器識別子であるか否かを判定する機器識別子判定部と、
     前記機器識別子判定部によって前記通信機器識別子が前記第一の機器識別子と同じ機器識別子であると判定された場合、前記第一の通信機器の電子証明書である機器証明書を前記第一の通信機器に送信する機器証明書送信部と
    を備えることを特徴とする機器証明書提供装置。
  2.  前記機器証明書提供装置は、
     前記機器識別子判定部によって前記通信機器識別子が前記第一の機器識別子と同じ機器識別子であると判定された場合、前記第一の通信機器から公開鍵を取得する公開鍵取得部と、
     前記公開鍵取得部によって取得された前記公開鍵を含む電子証明書を前記機器証明書として取得する機器証明書取得部と
    を備えることを特徴とする請求項1に記載の機器証明書提供装置。
  3.  前記機器証明書取得部は、電子証明書を生成する認証局サーバに前記公開鍵を送信し、前記認証局サーバから前記機器証明書を受信する
    ことを特徴とする請求項2に記載の機器証明書提供装置。
  4.  前記機器識別子記憶部は、第一の機器情報を記憶し、
     前記機器証明書取得部は、前記公開鍵と前記第一の機器情報とを前記認証局サーバに送信し、前記認証局サーバから前記公開鍵と前記第一の機器情報とを含んだ電子証明書である前記機器証明書を受信する
    ことを特徴とする請求項3に記載の機器証明書提供装置。
  5.  前記機器証明書提供装置は、
     前記第一の機器識別子を取得する機器識別子取得部と、
     前記機器識別子取得部によって取得された前記第一の機器識別子を前記第一の通信アドレスと前記第一の機器情報とに対応付けて前記第一の機器識別子を記憶する機器情報サーバに送信し、前記機器情報サーバから前記第一の通信アドレスと前記第一の機器情報とを受信する機器情報取得部とを備え、
     前記機器識別子記憶部は、
     前記機器識別子取得部によって取得された前記第一の機器識別子と、前記機器情報取得部によって取得された前記第一の通信アドレスと前記第一の機器情報とを記憶する
    ことを特徴とする請求項4に記載の機器証明書提供装置。
  6.  前記機器証明書提供装置は、
     前記第一の機器識別子を取得する機器識別子取得部と、
     前記機器識別子取得部によって取得された前記第一の機器識別子を前記第一の通信アドレスに対応付けて前記第一の機器識別子を記憶する機器情報サーバに送信し、前記機器情報サーバから前記第一の通信アドレスを受信する機器情報取得部とを備え、
     前記機器識別子記憶部は、
     前記機器識別子取得部によって取得された前記第一の機器識別子と、前記機器情報取得部によって取得された前記第一の通信アドレスとを記憶する
    ことを特徴とする請求項1に記載の機器証明書提供装置。
  7.  請求項1に記載の機器証明書提供装置と、
     前記第一の機器識別子に対応付けて前記第一の通信アドレスを記憶し、前記機器証明書提供装置から前記第一の機器識別子を受信し、前記第一の通信アドレスを前記機器証明書提供装置に送信する機器情報サーバと
    を備えることを特徴とする機器証明書提供システム。
  8.  請求項2に記載の機器証明書提供装置と、
     前記機器証明書提供装置から前記公開鍵を受信し、受信した前記公開鍵を含む前記機器証明書を生成し、生成した前記機器証明書を前記機器証明書提供装置に送信する認証局サーバと
    を備えることを特徴とする機器証明書提供システム。
  9.  第一の機器識別子に対応付けて記憶される第一の通信アドレスを宛先の通信アドレスとして含む機器識別子要求を一つ以上の通信機器が接続するネットワークに送信し、前記一つ以上の通信機器のうちの第一の通信機器から前記第一の通信機器を識別する通信機器識別子を受信する機器識別子問い合わせ処理と、
     前記機器識別子問い合わせ処理によって受信された前記通信機器識別子が前記第一の機器識別子と同じ機器識別子であるか否かを判定する機器識別子判定処理と、
     前記機器識別子判定処理によって前記通信機器識別子が前記第一の機器識別子と同じ機器識別子であると判定された場合、前記第一の通信機器の電子証明書である機器証明書を前記第一の通信機器に送信する機器証明書送信処理と
    をコンピュータに実行させるための機器証明書提供プログラム。
PCT/JP2014/051687 2014-01-27 2014-01-27 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム WO2015111221A1 (ja)

Priority Applications (7)

Application Number Priority Date Filing Date Title
DE112014006265.0T DE112014006265T5 (de) 2014-01-27 2014-01-27 Gerätezertifikatbereitstellungsvorrichtung, Gerätezertifikatbereitstellungssystem, und Gerätezertifikatbereitstellungsprogramm
CN201480072407.3A CN105900374A (zh) 2014-01-27 2014-01-27 设备证书提供装置、设备证书提供系统和设备证书提供程序
US15/039,979 US20170041150A1 (en) 2014-01-27 2014-01-27 Device certificate providing apparatus, device certificate providing system, and non-transitory computer readable recording medium which stores device certificate providing program
KR1020167023304A KR20160113248A (ko) 2014-01-27 2014-01-27 기기 증명서 제공 장치, 기기 증명서 제공 시스템 및 기기 증명서 제공 프로그램을 기록한 컴퓨터 판독 가능한 비 일시적 기록 매체
PCT/JP2014/051687 WO2015111221A1 (ja) 2014-01-27 2014-01-27 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム
JP2015558711A JP6012888B2 (ja) 2014-01-27 2014-01-27 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム
TW103111656A TWI565286B (zh) 2014-01-27 2014-03-28 Machine certificate providing device, machine certificate providing system and machine certificate providing program product

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2014/051687 WO2015111221A1 (ja) 2014-01-27 2014-01-27 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム

Publications (1)

Publication Number Publication Date
WO2015111221A1 true WO2015111221A1 (ja) 2015-07-30

Family

ID=53681047

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2014/051687 WO2015111221A1 (ja) 2014-01-27 2014-01-27 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム

Country Status (7)

Country Link
US (1) US20170041150A1 (ja)
JP (1) JP6012888B2 (ja)
KR (1) KR20160113248A (ja)
CN (1) CN105900374A (ja)
DE (1) DE112014006265T5 (ja)
TW (1) TWI565286B (ja)
WO (1) WO2015111221A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017175228A (ja) * 2016-03-18 2017-09-28 株式会社リコー 情報処理装置、情報処理システム、情報処理方法及びプログラム
WO2020012677A1 (ja) * 2018-07-12 2020-01-16 三菱電機株式会社 証明書発行システム、要求装置、証明書発行方法および証明書発行プログラム

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10171439B2 (en) * 2015-09-24 2019-01-01 International Business Machines Corporation Owner based device authentication and authorization for network access
CN105959299B (zh) * 2016-03-23 2019-05-07 四川长虹电器股份有限公司 一种下发安全证书的方法和安全证书服务器
US10454690B1 (en) 2017-08-04 2019-10-22 Amazon Technologies, Inc. Digital certificates with distributed usage information
CN109982150B (zh) * 2017-12-27 2020-06-23 国家新闻出版广电总局广播科学研究院 智能电视终端的信任链建立方法和智能电视终端
CN111376257A (zh) * 2018-12-29 2020-07-07 深圳市优必选科技有限公司 一种舵机id重复的检测方法、装置、存储介质及机器人
DE102019130067B4 (de) * 2019-11-07 2022-06-02 Krohne Messtechnik Gmbh Verfahren zur Durchführung einer erlaubnisabhängigen Kommunikation zwischen wenigstens einem Feldgerät der Automatisierungstechnik und einem Bediengerät
US20210273920A1 (en) * 2020-02-28 2021-09-02 Vmware, Inc. Secure certificate or key distribution for synchronous mobile device management (mdm) clients
CN112785318B (zh) * 2021-01-16 2022-05-17 苏州浪潮智能科技有限公司 基于区块链的透明供应链认证方法、装置、设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005109913A (ja) * 2003-09-30 2005-04-21 Hitachi Electronics Service Co Ltd 無線通信装置およびなりすまし端末検出方法
JP2005110213A (ja) * 2003-09-12 2005-04-21 Ricoh Co Ltd 証明書設定方法
JP2006174152A (ja) * 2004-12-16 2006-06-29 Matsushita Electric Works Ltd トンネル自動設定装置、トンネル自動設定方法及びトンネル自動設定プログラム
JP2012022520A (ja) * 2010-07-14 2012-02-02 Kddi Corp プログラム配信システム、および方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3859667B2 (ja) * 2004-10-26 2006-12-20 株式会社日立製作所 データ通信方法およびシステム
JP2006246272A (ja) * 2005-03-07 2006-09-14 Fuji Xerox Co Ltd 証明書取得システム
JP4551381B2 (ja) * 2006-10-12 2010-09-29 株式会社日立製作所 データ通信方法およびシステム
US20140164645A1 (en) * 2012-12-06 2014-06-12 Microsoft Corporation Routing table maintenance
CN202957842U (zh) * 2012-12-20 2013-05-29 中国工商银行股份有限公司 一种电子证书装置以及安全认证系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005110213A (ja) * 2003-09-12 2005-04-21 Ricoh Co Ltd 証明書設定方法
JP2005109913A (ja) * 2003-09-30 2005-04-21 Hitachi Electronics Service Co Ltd 無線通信装置およびなりすまし端末検出方法
JP2006174152A (ja) * 2004-12-16 2006-06-29 Matsushita Electric Works Ltd トンネル自動設定装置、トンネル自動設定方法及びトンネル自動設定プログラム
JP2012022520A (ja) * 2010-07-14 2012-02-02 Kddi Corp プログラム配信システム、および方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017175228A (ja) * 2016-03-18 2017-09-28 株式会社リコー 情報処理装置、情報処理システム、情報処理方法及びプログラム
WO2020012677A1 (ja) * 2018-07-12 2020-01-16 三菱電機株式会社 証明書発行システム、要求装置、証明書発行方法および証明書発行プログラム

Also Published As

Publication number Publication date
CN105900374A (zh) 2016-08-24
TWI565286B (zh) 2017-01-01
JP6012888B2 (ja) 2016-10-25
DE112014006265T5 (de) 2016-10-13
JPWO2015111221A1 (ja) 2017-03-23
KR20160113248A (ko) 2016-09-28
US20170041150A1 (en) 2017-02-09
TW201531080A (zh) 2015-08-01

Similar Documents

Publication Publication Date Title
JP6012888B2 (ja) 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム
CN109088889B (zh) 一种ssl加解密方法、系统及计算机可读存储介质
US8532620B2 (en) Trusted mobile device based security
US9197420B2 (en) Using information in a digital certificate to authenticate a network of a wireless access point
WO2010067812A1 (ja) 自己認証通信機器および機器認証システム
KR101686167B1 (ko) 사물 인터넷 기기의 인증서 배포 장치 및 방법
JP2005102163A (ja) 機器認証システム、機器認証サーバ、端末機器、機器認証方法、機器認証プログラム、及び記憶媒体
US8397281B2 (en) Service assisted secret provisioning
JP5380583B1 (ja) デバイス認証方法及びシステム
EP3461100B1 (en) Authenticating a networked camera using a certificate having device binding information
JP5431040B2 (ja) 認証要求変換装置、認証要求変換方法および認証要求変換プログラム
JP2009212731A (ja) カード発行システム、カード発行サーバ、カード発行方法およびプログラム
US20190325146A1 (en) Data encryption and decryption method and system and network connection apparatus and data encryption and decryption method thereof
JP2015194879A (ja) 認証システム、方法、及び提供装置
JP2014049994A (ja) ネットワーク接続方法および電子機器
JP6719503B2 (ja) ログイン制御方法
WO2017029708A1 (ja) 個人認証システム
JP4552785B2 (ja) 暗号化通信管理サーバ
JP6527115B2 (ja) 機器リスト作成システムおよび機器リスト作成方法
JP2019004289A (ja) 情報処理装置およびその制御方法、情報処理システム
JP6813030B2 (ja) 通信システム
JP6542722B2 (ja) 機器リスト作成システムおよび機器リスト作成方法
JP2009122921A (ja) 認証情報送信システム、リモートアクセス管理装置、認証情報中継方法、および認証情報中継プログラム
JP2008152737A (ja) サービス提供サーバ、認証サーバ、および認証システム
JP5553914B1 (ja) 認証システム、認証装置、及び認証方法

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14879556

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2015558711

Country of ref document: JP

Kind code of ref document: A

WWE Wipo information: entry into national phase

Ref document number: 15039979

Country of ref document: US

WWE Wipo information: entry into national phase

Ref document number: 112014006265

Country of ref document: DE

ENP Entry into the national phase

Ref document number: 20167023304

Country of ref document: KR

Kind code of ref document: A

122 Ep: pct application non-entry in european phase

Ref document number: 14879556

Country of ref document: EP

Kind code of ref document: A1