WO2022091183A1

WO2022091183A1 - 認証認可システム、機器、認証認可方法、及びプログラム

Info

Publication number: WO2022091183A1
Application number: PCT/JP2020/040126
Authority: WO
Inventors: 悠介飯島; 幹安田; 彰永井; 雅巳泉
Original assignee: 日本電信電話株式会社
Priority date: 2020-10-26
Filing date: 2020-10-26
Publication date: 2022-05-05
Also published as: JPWO2022091183A1; US20230396614A1

Abstract

一実施形態に係る認証認可システムは、ＩＤベース暗号を用いた認証プロトコルによる相互認証及び認可を行う複数の機器と、前記相互認証及び認可に用いられるＩＤ及び秘密鍵を生成する認証認可基盤とが含まれる認証認可システムであって、前記認証認可基盤は、前記機器の識別子と、機器に関する情報とが少なくとも含まれるＩＤを生成するＩＤ生成部と、前記ＩＤから、前記機器の秘密鍵を生成する生成部と、前記ＩＤ及び前記秘密鍵を、前記ＩＤに含まれる識別子に対応する機器に配布する配布部と、を有し、前記機器は、自身の前記ＩＤ及び前記秘密鍵を用いて、他の機器との間で相互認証を行う相互認証部と、前記他の機器との間で相互認証が行われた場合、自身の前記ＩＤに含まれる機器に関する情報と、前記他の機器の前記ＩＤに含まれる機器に関する情報とを用いて、所定の認可条件を満たすか否かを確認する確認部と、前記認可条件を満たすことが確認された場合、前記他の機器から自身への要求を認可する認可部と、を有することを特徴とする。

Description

認証認可システム、機器、認証認可方法、及びプログラム

　本発明は、認証認可システム、機器、認証認可方法、及びプログラムに関する。

　ＩｏＴ（Internet of Things）機器同士で通信を行ったり、ＩｏＴ機器とゲートウェイ機器やクラウド上のサーバ装置等とが通信を行ったりする場合には、まず、互いの正当性を確認するための認証が行われ、その後、互いの機能の利用やデータ送信等が行われる。しかしながら、認証によってすべての機能利用やデータ送信を許可することは運用上好ましくない。このため、認証後に認可を与えることで、アクセス可能な機能なデータを制限することが行われている。例えば、ＩｏＴ機器同士の通信における認証及び認可の従来技術として特許文献１に記載されている方法が知られている。

　ところで、認可情報には有効期限があるの一般的である。例えば、認可情報として電子証明書を用いる場合、電子証明書内に有効期限が明記される。この場合、認可側の機器は、ＮＴＰ（Network Time Protocol）サーバと同期した時刻情報と電子証明書内に明記された有効期限とを比較することで、その電子証明書が有効期限内であるか否かを確認する。

国際公開第２０２０／０８０５１０号

　しかしながら、例えば、リソース制約等によりＮＴＰサーバと同期した時刻情報を保持していない機器も存在する。また、例えば、ＬＰＷＡ（Low Power Wide Area）等の帯域の狭い通信環境ではすべての機器が必要かつ十分にＮＴＰサーバと通信できない場合もある。このため、ＮＴＰサーバと同期した時刻情報を参照できず、認可に関する有効期限を確認することができない場合がある。

　本発明の一実施形態は、上記の点に鑑みてなされたもので、認可に関する有効期限の確認を可能にすることを目的とする。

　上記目的を達成するため、一実施形態に係る認証認可システムは、ＩＤベース暗号を用いた認証プロトコルによる相互認証及び認可を行う複数の機器と、前記相互認証及び認可に用いられるＩＤ及び秘密鍵を生成する認証認可基盤とが含まれる認証認可システムであって、前記認証認可基盤は、前記機器の識別子と、機器に関する情報とが少なくとも含まれるＩＤを生成するＩＤ生成部と、前記ＩＤから、前記機器の秘密鍵を生成する生成部と、前記ＩＤ及び前記秘密鍵を、前記ＩＤに含まれる識別子に対応する機器に配布する配布部と、を有し、前記機器は、自身の前記ＩＤ及び前記秘密鍵を用いて、他の機器との間で相互認証を行う相互認証部と、前記他の機器との間で相互認証が行われた場合、自身の前記ＩＤに含まれる機器に関する情報と、前記他の機器の前記ＩＤに含まれる機器に関する情報とを用いて、所定の認可条件を満たすか否かを確認する確認部と、前記認可条件を満たすことが確認された場合、前記他の機器から自身への要求を認可する認可部と、を有することを特徴とする。

　認可に関する有効期限を確認することができる。

実施例１における認証認可システムの全体構成を示す図である。実施例１における認証認可基盤のハードウェア構成を示す図である。実施例１における機器のハードウェア構成を示す図である。実施例１における認証認可基盤の機能構成を示す図である。実施例１における機器の機能構成を示す図である。実施例１におけるＩＤ及び秘密鍵の配布処理を示すフローチャートである。実施例１における認証認可処理を示すフローチャートである。実施例１における認可確認処理を示すフローチャートである。実施例２における機器の機能構成を示す図である。実施例２における認可確認処理を示すフローチャートである。実施例３におけるＩＤ及び秘密鍵の配布処理を示すフローチャートである。実施例３における認可確認処理を示すフローチャートである。実施例４における認可確認処理を示すフローチャートである。

　以下、本発明の一実施形態について説明する。本実施形態では、例えばリソース制約等によって時刻情報を保持していない機器であっても、機器同士で通信する際に相互認証と認可に関する有効期限の確認とを可能にする認証認可システム１について説明する。ここで、本実施形態に係る認証認可システム１は、機器同士で通信する際の相互認証にＩＤベース暗号による認証プロトコル（以下、「ＩＤベース認証」ともいう。）を使用し、そのＩＤの中に時刻情報を含めることで認可側の機器で有効期限の確認が可能となるように構成される。以下、本実施形態の各実施例について説明する。

　［実施例１］
　まず、実施例１について説明する。

　＜全体構成＞
　実施例１における認証認可システム１の全体構成について、図１を参照しながら説明する。図１は、実施例１における認証認可システム１の全体構成を示す図である。

　図１に示すように、実施例１における認証認可システム１には、認証認可基盤１０と、１以上の機器２０とが含まれる。また、認証認可基盤１０と各機器２０は、例えばインターネット等の通信ネットワークＮを介して通信可能に接続されている。

　認証認可基盤１０は、各機器２０を識別するデバイス識別子と時刻情報とが少なくとも含まれるＩＤを生成すると共に、そのＩＤから秘密鍵を生成するコンピュータ又はコンピュータシステムである。すなわち、認証認可基盤１０は、ＩＤベース暗号の鍵発行センタ（ＫＧＣ：Key. Generation Center）として機能する。

　機器２０は、例えば、各種センサデバイスや組込み機器、ウェアラブルデバイス、デジタル家電、監視カメラ装置、照明機器、医療機器、産業用機器等の種々のＩｏＴ機器である。機器２０は、他の機器２０との間でＩＤベース暗号を用いた認証プロトコルにより相互認証を行うと共に、認可に関する有効期限の確認を行う。このとき、各機器２０は認証認可基盤１０から配布された秘密鍵を用いて他の機器２０との間で相互認証を行うと共に、ＩＤに含まれる時刻情報を用いて認可に関する有効期限の確認を行う。

　以降では、複数の機器２０の各々を区別して表す場合は、「機器２０Ａ」、「機器２０Ｂ」等と表す。また、機器２０が他の機器２０のデータや機能等を操作（アクセスも含む）又は利用する場合、当該他の機器２０は当該機器２０の認可に関する有効期限を確認することから、当該機器２０（つまり、データの操作や機能の利用を行う側の機器２０）を「被認可側の機器２０」とも表し、当該他の機器２０（つまり、被認可側の機器２０を認可して、自身が保持するデータへの操作や機能の利用を許可する側の機器２０）を「認可側の機器２０」とも表す。なお、例えば、２台の機器２０が相互にデータや機能等の操作又は利用することもあるため、１台の機器２０が被認可側の機器２０かつ認可側の機器２０となることも有り得る。

　ここで、本実施例における機器２０は、リソースに制約があったり通信環境の帯域が狭かったりする等の理由でＮＴＰサーバと同期した時刻情報を保持していないものとする。ただし、本実施例は、ＮＴＰサーバと同期した時刻情報を保持している機器２０に対しても同様に適用可能である。

　なお、図１に示す認証認可システム１の構成は一例であって、他の構成であってもよい。例えば、機器２０の管理者等（以下、「機器管理者」ともいう。）が使用する端末が認証認可システム１に含まれていてもよい。また、機器２０が、機器２０以外の何等かの機器又は装置（例えば、ゲートウェイ機器やサーバ等）との間で認証認可を行う場合には、当該機器又は装置が認証認可システム１に含まれていてもよい。

　＜ハードウェア構成＞
　実施例１における認証認可基盤１０及び機器２０のハードウェア構成について説明する。

　　≪認証認可基盤１０≫
　実施例１における認証認可基盤１０のハードウェア構成について、図２を参照しながら説明する。図２は、実施例１における認証認可基盤１０のハードウェア構成を示す図である。

　図２に示すように、実施例１における認証認可基盤１０は、入力装置１１と、表示装置１２と、外部Ｉ／Ｆ１３と、通信Ｉ／Ｆ１４と、プロセッサ１５と、メモリ装置１６とを有する。これら各ハードウェアは、それぞれがバス１７を介して通信可能に接続されている。

　入力装置１１は、例えば、キーボードやマウス、タッチパネル等である。表示装置１２は、例えば、ディスプレイ等である。なお、認証認可基盤１０は、入力装置１１及び表示装置１２のうちの少なくとも一方を有していなくてもよい。

　外部Ｉ／Ｆ１３は、記録媒体１３ａ等とのインタフェースである。認証認可基盤１０は、外部Ｉ／Ｆ１３を介して、記録媒体１３ａの読み取りや書き込み等を行うことができる。記録媒体１３ａとしては、例えば、ＣＤ（Compact Disc）、ＤＶＤ（Digital Versatile Disk）、ＳＤメモリカード（Secure Digital memory card）、ＵＳＢ（Universal Serial Bus）メモリカード等が挙げられる。

　通信Ｉ／Ｆ１４は、認証認可基盤１０を通信ネットワークＮに接続するためのインタフェースである。プロセッサ１５は、例えば、ＣＰＵ（Central Processing Unit）等の各種演算装置である。メモリ装置１６は、例えば、ＨＤＤ（Hard Disk Drive）やＳＳＤ（Solid State Drive）、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）、フラッシュメモリ等の各種記憶装置である。

　実施例１における認証認可基盤１０は、図２に示すハードウェア構成を有することで、後述する各種処理を実現することができる。なお、図２に示すハードウェア構成は一例であって、認証認可基盤１０は、他のハードウェア構成を有していてもよい。例えば、認証認可基盤１０は、複数のプロセッサ１５を有していてもよいし、複数のメモリ装置１６を有していてもよい。

　　≪機器２０≫
　実施例１における機器２０のハードウェア構成について、図３を参照しながら説明する。図３は、実施例１における機器２０のハードウェア構成を示す図である。

　図３に示すように、実施例１における機器２０は、通信Ｉ／Ｆ２１と、プロセッサ２２と、メモリ装置２３とを有する。これら各ハードウェアは、それぞれがバス２４を介して通信可能に接続されている。

　通信Ｉ／Ｆ２１は、機器２０を通信ネットワークＮに接続するためのインタフェースである。プロセッサ２２は、例えば、ＭＰＵ（Micro Processing Unit）やＣＰＵ等の各種演算装置である。メモリ装置２３は、例えば、ＲＡＭやＲＯＭ、フラッシュメモリ等の各種記憶装置である。

　実施例１における機器２０は、図３に示すハードウェア構成を有することで、後述する各種処理を実現することができる。なお、図３に示すハードウェア構成は一例であって、機器２０は、他のハードウェア構成を有していてもよい。例えば、機器２０は、各種ボタン等の入力装置を有していてもよいし、表示パネル等の表示装置を有していてもよい。

　＜機能構成＞
　実施例１における認証認可基盤１０及び機器２０の機能構成について説明する。

　　≪認証認可基盤１０≫
　実施例１における認証認可基盤１０の機能構成について、図４を参照しながら説明する。図４は、実施例１における認証認可基盤１０の機能構成を示す図である。

　図４に示すように、実施例１における認証認可基盤１０は、通信部１０１と、時刻管理部１０２と、デバイス情報管理部１０３と、認可条件管理部１０４と、ＩＤ生成部１０５と、登録処理部１０６と、秘密鍵生成部１０７とを有する。これら各部は、例えば、認証認可基盤１０にインストールされた１以上のプログラムがプロセッサ１５に実行させる処理により実現される。

　また、実施例１における認証認可基盤１０は、記憶部１１０を有する。記憶部１１０は、例えば、メモリ装置１６により実現される。ただし、記憶部１１０は、例えば、認証認可基盤１０と通信可能に接続される記憶装置（例えば、データベースサーバ等）により実現されていてもよい。

　通信部１０１は、各機器２０や他の装置（例えば、機器管理者が使用する端末等）との間で各種通信を行う。時刻管理部１０２は、外部のＮＴＰサーバと同期した時刻情報（つまり、現在時刻を示す情報）を管理する。デバイス情報管理部１０３は、各機器２０のデバイス識別子を管理する。なお、デバイス識別子は機器２０を識別可能な情報であれば任意の情報を用いることが可能であり、例えば、機器２０の製造固有番号やシリアルナンバー、認証認可システム１内で機器２０に対して一意に割り振られた番号等を用いることが可能である。

　認可条件管理部１０４は、各機器２０にそれぞれ対応付けて（つまり、各デバイス識別子にそれぞれ対応付けて）認可条件を管理する。認可条件とは認可側の機器２０が被認可側の機器２０を認可するための条件であり、本実施例では基準となる時刻からの有効期限を表す条件（例えば、「３日以内」や「１日以内」等）のことである。

　ＩＤ生成部１０５は、デバイス識別子と時刻情報と認可条件とが含まれるＩＤを生成する。登録処理部１０６は、例えば機器管理者が使用する端末等からの要求に応じて、この要求に係るＩＤを登録する。秘密鍵生成部１０７は、ＩＤから秘密鍵を生成する。記憶部１１０は、各種情報（例えば、時刻情報、デバイス識別子、認可条件、ＩＤ等）を記憶する。

　なお、図４に示す認証認可基盤１０の機能構成は一例であって、例えば、認証認可基盤１０は、ＩＤ生成部１０５又は登録処理部１０６のいずれか一方を有していなくてもよい。

　　≪機器２０≫
　実施例１における機器２０の機能構成について、図５を参照しながら説明する。図５は、実施例１における機器２０の機能構成を示す図である。

　図５に示すように、実施例１における機器２０は、通信部２０１と、相互認証部２０２と、認可確認部２０３とを有する。これら各部は、例えば、機器２０にインストールされた１以上のプログラムがプロセッサ２２に実行させる処理により実現される。

　また、実施例１における機器２０は、記憶部２１０を有する。記憶部２１０は、例えば、メモリ装置２３により実現される。

　通信部２０１は、他の機器２０や認証認可基盤１０等との間で各種通信を行う。相互認証部２０２は、自身のＩＤや秘密鍵等を用いて、ＩＤベース認証により他の機器２０との間で相互認証を行う。認可確認部２０３は、他の機器２０との間で相互認証に成功した場合、自身のＩＤと当該他の機器２０のＩＤとを用いて、当該他の機器２０の認可に関する有効期限を確認する。記憶部２１０は、各種情報（例えば、自身のＩＤや秘密鍵等）を記憶する。

　＜ＩＤ及び秘密鍵の配布処理＞
　実施例１におけるＩＤ及び秘密鍵の配布処理について、図６を参照しながら説明する。図６は、実施例１におけるＩＤ及び秘密鍵の配布処理を示すフローチャートである。なお、ＩＤ及び秘密鍵の配布処理は、例えば、予め決められた期間毎に定期的に実行されることが好ましい。

　ＩＤ生成部１０５は、デバイス情報管理部１０３で管理されているデバイス識別子と、時刻管理部１０２で管理されている時刻情報と、認可条件管理部１０４で当該デバイス識別子と対応付けて管理されている認可条件とを用いて、各機器２０のＩＤをそれぞれ生成する（ステップＳ１０１）。ここで、ＩＤ生成部１０５は、デバイス識別子毎に、当該デバイス識別子と、時刻情報と、当該デバイス識別子に対応する認可条件とを対応付けることでＩＤを生成する。

　例えば、デバイス識別子が「sensor01」、時刻情報が現在時刻「2020年7月21日21時37分」を示す記号列「202007212137」、認可条件が「３日以内」を表す記号列「around3days」である場合、ＩＤは「sensor01_202007212137_around3days」等とすればよい。このＩＤは、時刻「2020年7月21日21時37分」から３日以内に生成されたＩＤを持つ機器２０が、デバイス識別子「sensor01」の機器２０に対して認可されることを表している。なお、ＩＤを構成するデバイス識別子と記号列の意味は認証認可システム１全体で共有されているものとする。

　なお、各機器２０のＩＤの全部又は一部が、機器管理者が使用する端末で作成又は生成されてもよい。この場合、機器管理者が使用する端末からのＩＤ登録要求に応じて、登録処理部１０６がこれらのＩＤを登録（つまり、記憶部１１０等に保存）すればよい。このとき、ＩＤに含まれる時刻情報は端末で設定されてもよいし、認証認可基盤１０で設定し（又は設定し直し）てもよい。また、端末でＩＤが作成されるのではなく、例えば、機器管理者が認証認可基盤１０を直接操作することでＩＤが作成されてもよい。

　次に、秘密鍵生成部１０７は、上記のステップＳ１０１で生成（又は登録）された各ＩＤから秘密鍵をそれぞれ生成する（ステップＳ１０２）。ここで、秘密鍵生成部１０７は、予め決められたＩＤベース認証によりＩＤから秘密鍵を生成する。ＩＤベース認証としては任意のＩＤベース暗号による認証プロトコルを用いることができるが、例えば、ＦＳＵ（Fujioka-Suzuki-Ustaoglu）等を用いることが可能である。

　そして、通信部１０１は、上記のステップＳ１０１で生成（又は登録）された各ＩＤとそのＩＤから生成された秘密鍵とを、当該ＩＤに含まれるデバイス識別子の機器２０にそれぞれ送信（配布）する（ステップＳ１０３）。各機器２０は、自身のＩＤ及び秘密鍵を認証認可基盤１０から受信すると、当該ＩＤ及び秘密鍵を記憶部２１０に保存する。なお、通信部１０１は、任意のセキュアな方法によりＩＤ及び秘密鍵を機器２０に配布する。

　＜認証認可処理＞
　実施例１における認証認可処理について、図７を参照しながら説明する。図７は、実施例１における認証認可処理を示すフローチャートである。なお、以降では、一例として、機器２０Ｂが機器２０Ａに対してアクセスする場合を想定し、機器２０Ａと機器２０Ｂの間における認証及び認可について説明する。

　まず、機器２０Ａの相互認証部２０２と機器２０Ｂの相互認証部２０２は、認証認可基盤１０から配布されたＩＤ及び秘密鍵を用いて、予め決められたＩＤベース認証により相互認証を行う（ステップＳ２０１）。この相互認証に成功した場合は、機器２０Ａ及び機器２０Ｂは互いに相手のＩＤを入力する。

　上記のステップＳ２０１で相互認証に成功した場合、機器２０Ａの認可確認部２０３は、機器２０ＢのＩＤと自身のＩＤとを用いて機器２０Ｂの認可に関する有効期限を確認し、機器２０Ｂに認可があるか否かを判定する（ステップＳ２０２）。なお、このステップＳ２０２の処理（認可確認処理）の詳細については後述する。

　そして、上記のステップＳ２０２で認可ありと判定された場合は、機器２０Ｂの通信部２０１は、認可された動作の実行を要求する（ステップＳ２０３）。なお、本実施例では認可された動作は予め決められているものとする。

　一方で、上記のステップＳ２０１で相互認証に失敗した場合、機器２０Ａの相互認証部２０２は、機器２０Ｂからのアクセスを拒否する（ステップＳ２０４）。

　＜認可確認処理＞
　実施例１における認可確認処理（上記のステップＳ２０２の認可確認処理）について、図８を参照しながら説明する。図８は、実施例１における認可確認処理を示すフローチャートである。

　機器２０Ａの認可確認部２０３は、機器２０ＢのＩＤに含まれる時刻情報が示す時刻と、自身のＩＤに含まれる時刻情報が示す時刻との差を算出する（ステップＳ３０１）。なお、この差は、正確には、自身のＩＤに含まれる時刻情報を基準とした日時の差を意味する。

　次に、機器２０Ａの認可確認部２０３は、上記のステップＳ３０１で算出した差が、自身のＩＤに含まれる認可条件を満たすか否かを判定する（ステップＳ３０２）。

　そして、機器２０Ａの認可確認部２０３は、上記のステップＳ３０２で認可条件を満たすと判定した場合は機器２０Ｂに認可ありと判定し（ステップＳ３０３）、上記のステップＳ３０２で認可条件を満たすと判定されなかった場合は機器２０Ｂには認可なしと判定する（ステップＳ３０４）。

　例えば、機器２０ＡのＩＤが「sensor01_202007212137_around3days」、機器２０ＢのＩＤが「sensor02_202007221630_around1day」であったとする。この場合、上記のステップＳ３０１では「202007221630」と「202007212137」との差が算出され、上記のステップＳ３０２では当該差が、認可条件「around3days」（つまり、３日以内）を満たすか否かが判定される。この例では「202007221630」と「202007212137」との差は３日以内であるため、機器２０Ｂに認可ありと判定される。

　一方で、例えば、機器２０ＡのＩＤが「sensor01_202007212137_around3days」、機器２０ＢのＩＤが「sensor02_202007251630_around1day」であった場合、機器２０Ｂには認可なしと判定される。

　このように、本実施例では、認証認可基盤１０から配布されるＩＤ（言い換えれば、信頼できる機関から配布されるＩＤ）に時刻情報を埋め込み、認可側の機器２０で被認可側の機器２０のＩＤと自身のＩＤとの時刻情報を比較することで、認可の有無を確認する。これにより、機器２０がＮＴＰサーバと同期した時刻情報を保持していない場合であっても、認可に関する有効期限を確認することが可能になる。

　　（変形例１）
　本実施例では、認可側の機器２０は自身のＩＤを参照のみしているが、例えば、被認可側の機器２０のＩＤに含まれる時刻情報が自身のＩＤに含まれる時刻情報よりも大きい場合（つまり、被認可側の機器２０のＩＤにより進んだ時刻情報が含まれている場合）、自身のＩＤに含まれる時刻情報を、被認可側の機器２０のＩＤに含まれる時刻情報で更新してもよい。これにより、当該認可側の機器２０は、次回以降、更新後の時刻情報が含まれるＩＤを用いて、認可確認を行うことが可能となる。

　　（変形例２）
　より安全性を高めるために、認証認可基盤１０や各機器２０がセキュアなプロセッサで構成されていてもよい。セキュアなプロセッサとは実行環境がセキュア領域と非セキュア領域とに分かれて動作するプロセッサであり、一般に、通信路を介したデータのやり取りは全て非セキュア領域で行われ、非セキュア領域からセキュア領域へはアクセスすることができない仕組みになっている。この仕組みにより、セキュアなプロセッサでは、セキュア領域に保管されたデータやプログラムバイナリ等の改ざんや詐取が防止される。

　認証認可基盤１０がセキュアなプロセッサで構成されている場合、当該認証認可基盤１０が有する各機能部はセキュア領域上で実行される。同様に、機器２０がセキュアなプロセッサで構成されている場合、当該機器２０の各機能部はセキュア領域上で実行される。また、ＩＤや秘密鍵等もセキュア領域に保存される。

　　（変形例３）
　本実施例では、ＩＤに認可条件を含めているが、ＩＤの配布によって認可条件が変化しない場合はＩＤに認可条件を含めなくてもよい。この場合、各機器２０は認可条件を記憶部１１０に予め保存しておき、認可確認処理では当該認可条件を用いればよい。これにより、各ＩＤの長さを短くすることができる。例えば、デバイス識別子が「sensor01」、時刻情報が現在時刻「2020年7月21日21時37分」を示す記号列「202007212137」である場合、ＩＤは「sensor01_202007212137」等となり、ＩＤの長さを短くすることができる。

　［実施例２］
　次に、実施例２について説明する。実施例２では、ＩＤ及び秘密鍵が配布されてからの経過時間を各機器２０で計測し、当該ＩＤに含まれる時刻情報が示す時刻に当該経過時間を加算することで現在時刻を算出する場合について説明する。これにより、実施例２では、ＩＤが配布される間隔に関わらず、認可に関する有効期限をより正確に確認することが可能となる。

　なお、実施例２では、実施例１との相違点について説明し、実施例１と同様の構成要素についてはその説明を省略する。すなわち、本実施例で説明していない構成要素については実施例１と同様としてよい。

　＜機能構成＞
　　≪機器２０≫
　実施例２における機器２０の機能構成について、図９を参照しながら説明する。図９は、実施例２における機器２０の機能構成を示す図である。

　図９に示すように、実施例２における機器２０は、時間計測部２０４を更に有する。時間計測部２０４は、例えば、機器２０にインストールされた１以上のプログラムがプロセッサ２２に実行させる処理により実現される。

　時間計測部２０４は、自身のＩＤ及び秘密鍵を認証認可基盤１０から受信した時からの経過時間（つまり、当該機器２０の状態の時間的な変化）を計測する。なお、時間計測部２０４は、新たに自身のＩＤ及び秘密鍵を認証認可基盤１０から受信した場合、これまでに計測した経過時間をリセットした上で、新たに経過時間を計測する。

　＜認可確認処理＞
　実施例２における認可確認処理（図７のステップＳ２０２の認可確認処理）について、図１０を参照しながら説明する。図１０は、実施例２における認可確認処理を示すフローチャートである。なお、図１０に示す認可確認処理でも実施例１と同様に、一例として、機器２０Ａを認可側の機器２０、機器２０Ｂを被認可側の機器２０とする。

　機器２０Ａの認可確認部２０３は、自身のＩＤに含まれる時刻情報が示す時刻に対して、時間計測部２０４で計測された経過時間を加算した時刻（以下、加算後時刻ともいう。）を算出する（ステップＳ４０１）。なお、経過時間はＩＤ及び秘密鍵を受信した時から経過した時間であるため、加算後時刻は、現在時刻（又は、現在時刻に近い時刻）である。

　次に、機器２０Ａの認可確認部２０３は、機器２０ＢのＩＤに含まれる時刻情報が示す時刻と、上記のステップＳ４０１で算出された加算後時刻との差を算出する（ステップＳ４０２）。

　次に、機器２０Ａの認可確認部２０３は、上記のステップＳ４０２で算出した差が、自身のＩＤに含まれる認可条件を満たすか否かを判定する（ステップＳ４０３）。

　そして、機器２０Ａの認可確認部２０３は、上記のステップＳ４０３で認可条件を満たすと判定した場合は機器２０Ｂに認可ありと判定し（ステップＳ４０４）、上記のステップＳ４０３で認可条件を満たすと判定されなかった場合は機器２０Ｂには認可なしと判定する（ステップＳ４０５）。

　例えば、機器２０ＡのＩＤが「sensor01_202007212137_around3days」、機器２０ＢのＩＤが「sensor02_202007221630_around1day」であり、機器２０Ａの時間計測部２０４で計測された経過時間が３時間であったとする。この場合、上記のステップＳ４０１では「202007212137」に対して３時間が加算された加算後時刻「202007220037」が算出され、上記のステップＳ４０２では「202007221630」と「202007220037」との差が算出され、上記のステップＳ４０３では当該差が、認可条件「around3days」（つまり、３日以内）を満たすか否かが判定される。この例では「202007221630」と「202007220037」との差は３日以内であるため、機器２０Ｂに認可ありと判定される。

　このように、本実施例では、認可側の機器２０が自身のＩＤに含まれる時刻情報を、当該ＩＤを受信した時からの経過時間で補正する。これにより、実施例１と比較して、認可に関する有効期限をより正確に確認することが可能になる。

　　（変形例）
　本実施例では、ＩＤに時刻情報を含めているが、時刻情報の代わりに（又は、時刻情報と共に）、位置情報をＩＤに含めてもよい。すなわち、機器２０にＩＤを配布する際に、ＩＤ配布時の当該機器２０の位置を示す位置情報（又は、それに加えて現在時刻）をＩＤに含めてもよい。ＩＤに位置情報を含めることで、各機器２０は、例えば、加速度センサやＧＰＳ（Global Positioning System）等で実現される計測部により移動距離（つまり、当該機器２０の状態の位置的な変化）を計測することで、自身のＩＤに含まれる位置情報から現在位置を推定又は特定することが可能になる。したがって、例えば、機器２０Ａの認可確認部２０３は、自身の現在位置と機器２０ＢのＩＤに含まれる位置情報が示す位置との差を算出し、その差が、位置に関する認可条件を満たすか否かを判定することで、認可確認を行うようにすることもできる。なお、位置に関する認可条件とは、例えば、「距離が１００ｍ以内」等といった位置又は距離に関する条件のことである。

　なお、時刻情報や位置情報以外にも、機器に関する任意の情報（つまり、時刻や位置以外に機器の状態を表す任意の情報（例えば、電池残量、電波受信強度、製造年月日、型番、機器管理者、機器の接続先を示す情報等））が用いられてもよい。

　［実施例３］
　次に、実施例３について説明する。実施例３では、１つの機器２０に対して認可の対象が複数存在し、これら複数の認可対象に対して認可条件がそれぞれ存在する場合について説明する。ここで、認可対象とは認可側の機器２０が認可するデータや機能等のことであり、例えば、内部データの閲覧、或る特定の機能の利用等が挙げられる。

　なお、実施例３では、実施例１との相違点について説明し、実施例１と同様の構成要素についてはその説明を省略する。すなわち、本実施例で説明していない構成要素については実施例１と同様としてよい。

　＜ＩＤ及び秘密鍵の配布処理＞
　実施例３におけるＩＤ及び秘密鍵の配布処理について、図１１を参照しながら説明する。図１１は、実施例３におけるＩＤ及び秘密鍵の配布処理を示すフローチャートである。なお、ＩＤ及び秘密鍵の配布処理は、例えば、予め決められた期間毎に定期的に実行されることが好ましい。

　ＩＤ生成部１０５は、デバイス情報管理部１０３で管理されているデバイス識別子と、時刻管理部１０２で管理されている時刻情報と、認可条件管理部１０４で当該デバイス識別子と対応付けて管理されている認可対象及び認可条件とを用いて、各機器２０のＩＤをそれぞれ生成する（ステップＳ５０１）。ここで、本実施例では、認可条件管理部１０４は、デバイス識別子毎に、１以上の認可対象及びその認可条件を当該デバイス識別子と対応付けて管理しているものとする。したがって、ＩＤ生成部１０５は、デバイス識別子毎に、当該デバイス識別子と、時刻情報と、当該デバイス識別子に対応する１以上の認可対象及びその認可条件とを対応付けることでＩＤを生成する。

　例えば、デバイス識別子が「sensor01」、時刻情報が現在時刻「2020年7月21日21時37分」を示す記号列「202007212137」、１つ目の認可対象が「データ送信」を表す記号列「senddata」、認可対象「データ送信」に対応する認可条件が「３日以内」を表す記号列「around3days」、２つ目の認可対象が「機器操作」を表す記号列「attempt」、認可対象「機器操作」に対応する認可条件が「１日以内」を表す記号列「around1day」である場合、ＩＤは「sensor01_202007212137_senddata_around3days_attempt_around1day」等とすればよい。このＩＤは、時刻「2020年7月21日21時37分」から３日以内に生成されたＩＤを持つ機器２０はデバイス識別子「sensor01」の機器２０に対して「データ送信」が認可され、１日以内に生成されたＩＤを持つ機器２０は「機器操作」が認可されることを表している。なお、ＩＤを構成するデバイス識別子と記号列の意味は認証認可システム１全体で共有されているものとする。

　以降のステップＳ５０２～ステップＳ５０３は、図６のステップＳ１０２～ステップＳ１０３と同様である。

　＜認可確認処理＞
　実施例３における認可確認処理（図７のステップＳ２０２の認可確認処理）について、図１２を参照しながら説明する。図１２は、実施例３における認可確認処理を示すフローチャートである。なお、図１２に示す認可確認処理でも実施例１と同様に、一例として、機器２０Ａを認可側の機器２０、機器２０Ｂを被認可側の機器２０とする。

　機器２０Ａの認可確認部２０３は、機器２０ＢのＩＤに含まれる時刻情報が示す時刻と、自身のＩＤに含まれる時刻情報が示す時刻との差を算出する（ステップＳ６０１）。

　以降のステップＳ６０２～ステップＳ６０４は認可対象毎に実行される。

　機器２０Ａの認可確認部２０３は、上記のステップ６０１で算出した差が、自身のＩＤに含まれる認可条件のうち、当該認可対象に対応する認可条件を満たすか否かを判定する（ステップＳ６０２）。

　そして、機器２０Ａの認可確認部２０３は、上記のステップＳ６０２で認可条件を満たすと判定した場合は当該認可対象に関して機器２０Ｂに認可ありと判定し（ステップＳ６０３）、上記のステップＳ６０２で認可条件を満たすと判定されなかった場合は当該認可対象に関して機器２０Ｂには認可なしと判定する（ステップＳ６０４）。

　例えば、機器２０ＡのＩＤがＩＤは「sensor01_202007212137_senddata_around3days_attempt_around1day」、機器２０ＢのＩＤが「sensor02_202007231630_around1day」であったとする。この場合、認可対象「senddata」に関するステップＳ６０２～ステップＳ６０４と、認可対象「attempt」に関するステップＳ６０２～ステップＳ６０４とがそれぞれ実行される。一方で、「202007231630」と「202007212137」との差は、認可条件「３日以内」を満たすが、認可条件「１日以内」は満たさない。したがって、この例では、機器２０Ｂは、認可対象「senddata」に対しては認可あり、認可対象「attempt」に対しては認可なしと判定される。

　このように、本実施例では、認可対象毎にその認可条件もＩＤに含める。これにより、例えば、認可側の機器２０が保持するデータや機能のうち一部のみを認可したい場合等であっても柔軟に認可を行うことができる。

　なお、本実施例では、認可側の機器２０が認可するデータや機能等のことを認可対象として、このような認可対象を表す記号列をＩＤに含めたが、これに限られず、例えば、認可対象の識別子をＩＤに含めてもよいし、被認可側の機器２０のデバイス識別を認可対象としてＩＤに含めてもよい。

　［実施例４］
　次に、実施例４について説明する。実施例４では、認可側の機器２０が、被認可側の機器２０のＩＤに含まれる認可条件を参照して認可確認を行う場合について説明する。これにより、例えば、認可条件をＩＤの失効期限を表す条件と扱うことで、被認可側の機器２０のＩＤが失効されているか否かを確認することが可能となる。

　なお、実施例４では、実施例１との相違点について説明し、実施例１と同様の構成要素についてはその説明を省略する。すなわち、本実施例で説明していない構成要素については実施例１と同様としてよい。

　＜認可確認処理＞
　実施例４における認可確認処理（図７のステップＳ２０２の認可確認処理）について、図１３を参照しながら説明する。図１３は、実施例４における認可確認処理を示すフローチャートである。なお、図１３に示す認可確認処理でも実施例１と同様に、一例として、機器２０Ａを認可側の機器２０、機器２０Ｂを被認可側の機器２０とする。

　機器２０Ａの認可確認部２０３は、機器２０ＢのＩＤに含まれる時刻情報が示す時刻と、自身のＩＤに含まれる時刻情報が示す時刻との差を算出する（ステップＳ７０１）。

　次に、機器２０Ａの認可確認部２０３は、上記のステップＳ７０１で算出した差が、機器２０ＢのＩＤに含まれる認可条件を満たすか否かを判定する（ステップＳ７０２）。

　そして、機器２０Ａの認可確認部２０３は、上記のステップＳ７０２で認可条件を満たすと判定した場合は機器２０Ｂに認可ありと判定し（ステップＳ７０３）、上記のステップＳ７０２で認可条件を満たすと判定されなかった場合は機器２０Ｂには認可なしと判定する（ステップＳ７０４）。

　例えば、機器２０ＡのＩＤが「sensor01_202007212137_around3days」、機器２０ＢのＩＤが「sensor02_202007221630_around1day」であったとする。この場合、上記のステップＳ７０１では「202007221630」と「202007212137」との差が算出され、上記のステップＳ７０２では当該差が、認可条件「around1day」（つまり、１日以内）を満たすか否かが判定される。この例では「202007221630」と「202007212137」との差は１日以内であるため、機器２０Ｂに認可ありと判定される。

　このように、本実施例では、認可側の機器２０は、被認可側の機器２０のＩＤに含まれる認可条件により認可確認を行う。これは、被認可側の機器のＩＤ２０に含まれる認可条件を、当該ＩＤの失効期限と扱っていることを意味する。これにより、例えば、被認可側の機器２０に対して新たなＩＤがしばらく配布されていない場合等に、当該被認可側の機器２０が認可されないようにすることできる。

　本発明は、具体的に開示された上記の実施形態に限定されるものではなく、請求の範囲の記載から逸脱することなく、種々の変形や変更、既知の技術との組み合わせ等が可能である。また、上記の各実施例は、相互に矛盾の無い限り、適宜、組み合わせることが可能である。

　１　　　　認証認可システム
　１０　　　認証認可基盤
　１１　　　入力装置
　１２　　　表示装置
　１３　　　外部Ｉ／Ｆ
　１３ａ　　記録媒体
　１４　　　通信Ｉ／Ｆ
　１５　　　プロセッサ
　１６　　　メモリ装置
　１７　　　バス
　２０　　　機器
　２１　　　通信Ｉ／Ｆ
　２２　　　プロセッサ
　２３　　　メモリ装置
　２４　　　バス
　１０１　　通信部
　１０２　　時刻管理部
　１０３　　デバイス情報管理部
　１０４　　認可条件管理部
　１０５　　ＩＤ生成部
　１０６　　登録処理部
　１０７　　秘密鍵生成部
　１１０　　記憶部
　２０１　　通信部
　２０２　　相互認証部
　２０３　　認可確認部
　２０４　　時間計測部
　２１０　　記憶部
　Ｎ　　　　通信ネットワーク

Claims

　ＩＤベース暗号を用いた認証プロトコルによる相互認証及び認可を行う複数の機器と、前記相互認証及び認可に用いられるＩＤ及び秘密鍵を生成する認証認可基盤とが含まれる認証認可システムであって、
　前記認証認可基盤は、
　前記機器の識別子と、機器に関する情報とが少なくとも含まれるＩＤを生成するＩＤ生成部と、
　前記ＩＤから、前記機器の秘密鍵を生成する生成部と、
　前記ＩＤ及び前記秘密鍵を、前記ＩＤに含まれる識別子に対応する機器に配布する配布部と、を有し、
　前記機器は、
　自身の前記ＩＤ及び前記秘密鍵を用いて、他の機器との間で相互認証を行う相互認証部と、
　前記他の機器との間で相互認証が行われた場合、自身の前記ＩＤに含まれる機器に関する情報と、前記他の機器の前記ＩＤに含まれる機器に関する情報とを用いて、所定の認可条件を満たすか否かを確認する確認部と、
　前記認可条件を満たすことが確認された場合、前記他の機器から自身への要求を認可する認可部と、
　を有することを特徴とする認証認可システム。
　前記認可条件は、自身の前記ＩＤに含まれる認可条件、前記他の機器の前記ＩＤに含まれる認可条件、又は予め決められた認可条件のいずれかである、ことを特徴とする請求項１に記載の認証認可システム。
　前記確認部は、
　自身の前記ＩＤに含まれる機器に関する情報と、前記他の機器の前記ＩＤに含まれる機器に関する情報との差を算出し、算出した前記差が前記認可条件を満たすか否かを確認する、ことを特徴とする請求項１又は２に記載の認証認可システム。
　前記機器は、
　前記認証認可基盤から配布された前記ＩＤ及び前記秘密鍵を受信した時からの前記機器の状態の変化を計測する計測部を有し、
　前記確認部は、
　自身の前記ＩＤに含まれる機器に関する情報に対して前記変化を加えた情報と、前記他の機器の前記ＩＤに含まれる機器に関する情報との差を算出し、算出した前記差が前記認可条件を満たすか否かを確認する、ことを特徴とする請求項１又は２に記載の認証認可システム。
　前記ＩＤには、１以上の認可の対象と前記対象にそれぞれ対応する認可情報とが含まれ、
　前記確認部は、
　前記対象毎に、前記対象に対応する認可条件を満たすか否かを確認する、ことを特徴とする請求項１乃至４の何れか一項に記載の認証認可システム。
　ＩＤベース暗号を用いた認証プロトコルによる相互認証及び認可を行う機器であって、
　認証認可基盤から配布されたＩＤ及び秘密鍵を用いて、他の機器との間で相互認証を行う相互認証部と、
　前記他の機器との間で相互認証が行われた場合、自身の前記ＩＤに含まれる機器に関する情報と、前記他の機器の前記ＩＤに含まれる機器に関する情報とを用いて、所定の認可条件を満たすか否かを確認する確認部と、
　前記認可条件を満たすことが確認された場合、前記他の機器から自身への要求を認可する認可部と、
　を有することを特徴とする機器。
　ＩＤベース暗号を用いた認証プロトコルによる相互認証及び認可を行う複数の機器と、前記相互認証及び認可に用いられるＩＤ及び秘密鍵を生成する認証認可基盤とが含まれる認証認可システムにおける認証認可方法であって、
　前記認証認可基盤が、
　前記機器の識別子と、機器に関する情報とが少なくとも含まれるＩＤを生成するＩＤ生成手順と、
　前記ＩＤから、前記機器の秘密鍵を生成する生成手順と、
　前記ＩＤ及び前記秘密鍵を、前記ＩＤに含まれる識別子に対応する機器に配布する配布手順と、を実行し、
　前記機器が、
　自身の前記ＩＤ及び前記秘密鍵を用いて、他の機器との間で相互認証を行う相互認証手順と、
　前記他の機器との間で相互認証が行われた場合、自身の前記ＩＤに含まれる機器に関する情報と、前記他の機器の前記ＩＤに含まれる機器に関する情報とを用いて、所定の認可条件を満たすか否かを確認する確認手順と、
　前記認可条件を満たすことが確認された場合、前記他の機器から自身への要求を認可する認可手順と、
　を実行することを特徴とする認証認可方法。
　コンピュータを、請求項１乃至５の何れか一項に記載の認証認可システムに含まれる認証認可基盤又は機器として機能させるプログラム。