设备认证系统、制造商密钥生成装置、设备密钥生成装置、制造设备、协作认证装置、设备再生密钥生成装置、设备认证方法以及设备认证程序

摘要

密钥管理服务器(200)使用制造商ID生成制造商密钥。设备管理装置(300)存储制造商密钥，使用制造商密钥和设备ID而生成设备认证密钥。制造设备(110)存储制造商ID、设备ID和设备认证密钥。通信终端(400)从制造设备(110)取得制造商ID、设备ID和认证数据。通信终端(400)将制造商ID和设备ID发送到密钥管理服务器(200)，密钥管理服务器(200)使用制造商ID和设备ID生成设备认证密钥，通信终端(400)从密钥管理服务器(200)取得设备认证密钥。然后，通信终端(400)使用设备认证密钥来验证认证数据。

说明书

技术领域

本发明例如涉及设备认证系统、制造商密钥生成装置、设备密钥生成装置、制造 设备、协作认证装置、设备再生密钥生成装置、设备认证方法以及设备认证程序。

背景技术

专利文献1公开如下的现有技术：降低在无线多跳网络中从非法的无线终端发送 的分组对无线线路或者合法的无线终端造成的不良影响。

以往技术中的设备认证方式以如下的方式构成。

认证站向各设备发行公开密钥证书。各设备使用与公开密钥证书对应的私有密钥 而生成签名，将签名与公开密钥证书发送到对方的设备。对方的设备使用公开密钥证 书来验证签名从而认证通信对方的设备。

由于向各设备分配单独的私有密钥，因此，即使私有密钥泄漏，通过使与泄漏的 私有密钥对应的公开密钥证书失效，也能够将损害抑制在最小限度。

并且，由于多个认证站(包含设备制造者)为分层构造，因此，通过各设备制造 者发行公开密钥证书，能够将设备制造分散化。并且，能够在私有密钥的泄漏事故等 时明确安全的责任范围。

这样的设备认证方式作为被称作PKI(PublicKeyInfrastructure)的框架工件而普 遍使用。

但是，由于这样的设备认证方式使用公开密钥密码算法，处理需要较多的资源。 因此，设备的处理量较多，会导致设备的成本增加。

在使用处理量比公开密钥密码算法少的公共密钥密码算法的情况下，各设备需要 具有与通信对方公共的密钥。

在该情况下，为了使密钥泄漏时的损害最小化，需要向各设备分配单独的公共密 钥。并且，各设备需要按照每个通信对方管理公共密钥。因此，密钥管理变得麻烦。

此外，作为密钥泄漏时的对策，使公共密钥失效的机制是必须的。需要如下的机 制：密钥泄漏的不良影响不会影响到各设备、设备制造者以及系统整体。用于设备制 造的分散化和安全的责任范围的明确化的机制是必须的。

如上所述，取代公开密钥密码算法而使用公共密钥密码算法的设备认证方式存在 较多的课题。并且，取代PKI的公共密钥密码算法用的框架工件不存在。

现有技术文献

专利文献

专利文献1：日本特开2003-69581号公报

发明内容

发明要解决的课题

本发明的目的在于，例如能够使用公共密钥而简便地进行设备认证。

用于解决课题的手段

本发明的设备认证系统具有制造商密钥生成装置、设备密钥生成装置、制造设备、 协作认证装置以及设备再生密钥生成装置。

所述制造商密钥生成装置具有：制造商密钥生成部，其使用用于生成公共密钥的 主密钥以及用于识别制造所述制造设备的设备制造商的制造商标识符，生成制造商密 钥作为所述设备制造商用的公共密钥。

所述设备密钥生成装置具有：制造商密钥存储部，其存储由所述制造商密钥生成 部生成的所述制造商密钥；以及设备密钥生成部，其使用存储于所述制造商密钥存储 部的所述制造商密钥和用于识别所述制造设备的设备标识符，生成设备密钥作为所述 制造设备用的公共密钥。

所述制造设备具有：设备存储部，其存储所述制造商标识符、所述设备标识符和 由所述设备密钥生成部生成的所述设备密钥；以及认证数据生成部，其使用存储于所 述设备存储部的所述设备标识符和存储于所述设备存储部的所述设备密钥，生成在针 对所述制造设备的认证处理中使用的认证数据。

所述协作认证装置具有：标识符数据取得部，其从所述制造设备取得所述制造商 标识符和所述设备标识符；认证数据取得部，其从所述制造设备取得由所述认证数据 生成部生成的所述认证数据；以及标识符数据发送部，其将由所述标识符数据取得部 取得的所述制造商标识符和由所述标识符数据取得部取得的所述设备标识符发送到 所述设备再生密钥生成装置。

所述设备再生密钥生成装置具有：标识符数据接收部，其从所述协作认证装置接 收所述制造商标识符和所述设备标识符；以及设备再生密钥生成部，其使用由所述标 识符数据接收部接收到的所述制造商标识符和由所述标识符数据接收部接收到的所 述设备标识符，生成设备再生密钥作为所述制造设备用的公共密钥。

发明效果

根据本发明，例如能够使用公共密钥而简便地进行设备认证。

附图说明

图1是实施方式1的设备认证系统100的结构图。

图2是实施方式1的密钥管理服务器200的功能结构图。

图3是实施方式1的设备管理装置300的功能结构图。

图4是实施方式1的制造设备110的功能结构图。

图5是实施方式1的通信终端400的功能结构图。

图6是示出实施方式1的设备认证系统100的设备认证方法的流程图。

图7是实施方式1的制造商密钥生成处理(S200)的流程图。

图8是实施方式1的设备管理处理(S300)的流程图。

图9是实施方式1的协作认证处理(S400)的流程图。

图10是实施方式1的协作认证处理(S400)的流程图。

图11是示出实施方式1的通信终端400的硬件结构的一例的图。

图12是实施方式2的通信终端400的功能结构图。

图13是实施方式2的密钥管理服务器200的功能结构图。

图14是实施方式2的协作认证处理(S400)的流程图。

图15是实施方式3的密钥管理服务器200的功能结构图。

图16是实施方式3的通信终端400的功能结构图。

图17是实施方式3的制造商密钥生成处理(S200)的流程图。

图18是实施方式3的协作认证处理(S400)的流程图。

图19是实施方式3的协作认证处理(S400)的流程图。

图20是示出实施方式3的有效列表295的形式的例子的图。

图21是示出实施方式3的无效列表296/491的形式的例子的图。

图22是实施方式4的协作认证处理(S400)的流程图。

图23是实施方式4的协作认证处理(S400)的流程图。

具体实施方式

实施方式1.

对使用公共密钥简便地进行设备认证的方式进行说明。

图1是实施方式1的设备认证系统100的结构图。

关于实施方式1的设备认证系统100的结构，根据图1进行说明。

设备认证系统100是用于对制造设备110进行认证的系统。

设备认证系统100具有运营商120的密钥管理服务器200(制造商密钥生成装置、 设备再生密钥生成装置的一例)、设备制造商130的设备管理装置300(设备密钥生 成装置的一例)、设置住宅140的通信终端400(协作认证装置的一例)。

密钥管理服务器200、设备管理装置300以及通信终端400经由网络101进行通 信。

运营商120进行使用制造设备110的业务，电力公司是运营商120的一例。运营 商120具有密钥管理服务器200。

设备制造商130制造制造设备110。设备制造商130具有设备管理装置300。

设置住宅140是设置有制造设备110的家。并且，设置住宅140中设置有通信终 端400，通信终端400管理制造设备110。智能电表(smartmeter)是制造设备110 的一例。

图2是实施方式1的密钥管理服务器200的功能结构图。

关于实施方式1的密钥管理服务器200的功能结构，根据图2进行说明。

密钥管理服务器200是按照每个设备制造商生成设备制造商130用的公共密钥的 装置。以下，将设备制造商130用的公共密钥称作“制造商密钥292”。

密钥管理服务器200具有主密钥生成部210和制造商密钥生成部220。

主密钥生成部210使用用于识别运营商120的运营商ID121，生成用于生成制造 商密钥292的主密钥291。另外，管理者进行严格的管理，使得主密钥291不会向外 部泄漏。

制造商密钥生成部220使用主密钥291、制造商ID131以及世代编号132来生成 制造商密钥292。

制造商ID131是用于识别设备制造商130的标识符。

世代编号132是用于识别制造商密钥292的世代的标识符。

制造商密钥292的世代交替是在制造商密钥292的泄漏时或者制造商密钥292 的更新时进行。在制造商密钥292的世代交替时，制造商密钥生成部220更新世代编 号132，使用更新后的世代编号132生成新的制造商密钥292。

运营商ID121、制造商ID131、世代编号132以及制造商密钥292按照安全的方 法分发给设备制造商130，存储于设备管理装置300。

这些数据可以通过密钥管理服务器200与设备管理装置300之间的通信而存储在 设备管理装置300中，也可以使用存储介质手动地存储于设备管理装置300。

密钥管理服务器200具有设备认证密钥提供部230(标识符数据接收部、设备再 生密钥发送部的一例)和设备认证密钥再生部240(设备再生密钥生成部的一例)。

设备认证密钥提供部230从通信终端400接收制造设备110的ID数据391，向 通信终端400发送由设备认证密钥再生部240生成的设备认证密钥293。

设备认证密钥再生部240使用制造商密钥292和ID数据391生成设备形式密钥 294，使用设备形式密钥294和ID数据391生成设备认证密钥293。

设备认证密钥再生部240具有生成设备形式密钥294的设备形式密钥再生部 241。

设备形式密钥294是设备形式(以及批次编号)相同的制造设备110的每个组的 公共密钥。

设备认证密钥293是每个制造设备110的公共密钥。

关于ID数据391，在后面进行说明。

密钥管理服务器200具有密钥管理存储部290。

密钥管理存储部290存储密钥管理服务器200使用的数据。

例如，密钥管理存储部290存储如下这样的数据。

密钥管理存储部290对应地存储运营商ID121和主密钥291。

密钥管理存储部290对应地存储制造商ID131(制造商标识符的一例)、世代编 号132(世代标识符的一例)、制造商密钥292。

密钥管理存储部290对应地存储ID数据391、设备形式密钥294、设备认证密钥 293(设备再生密钥的一例)。

图3是实施方式1的设备管理装置300的功能结构图。

关于实施方式1的设备管理装置300的功能结构，根据图3进行说明。

设备管理装置300具有ID数据生成部310、设备认证密钥生成部320(设备密钥 生成部的一例)、设备认证密钥写入部340以及设备管理存储部390(制造商密钥存 储部的一例)。

ID数据生成部310生成ID数据391。

ID数据391具有运营商ID121、制造商ID131、世代编号132、设备形式ID133、 批次编号134以及设备ID135。

设备形式ID133是用于识别制造设备110的形式的标识符。

批次编号134是用于识别制造设备110的批次的标识符。

设备ID135是用于识别制造设备110的标识符。

设备认证密钥生成部320使用制造商密钥292、设备形式ID133以及批次编号134 生成设备形式密钥294，使用设备形式密钥294和设备ID135生成设备认证密钥293。

设备认证密钥生成部320具有生成设备形式密钥294的设备形式密钥生成部 330。

设备认证密钥写入部340将ID数据391和设备认证密钥392写入制造设备110。

并且，制造设备110设置于设置住宅140。

设备管理存储部390存储设备管理装置300使用的数据。

例如，设备管理存储部390存储制造商密钥292、ID数据391、设备形式密钥393 以及设备认证密钥392。

图4是实施方式1的制造设备110的功能结构图。

关于实施方式1的制造设备110的功能结构，根据图4进行说明。

制造设备110具有认证数据生成部111和设备存储部119。

认证数据生成部111从通信终端400接收询问数据421，使用询问数据421、ID 数据391和设备认证密钥392生成认证数据112，将认证数据112发送到通信终端400。

询问数据421是用于生成认证数据112的数据。

认证数据112是用于针对制造设备110的认证处理的数据。

设备存储部119存储制造设备110使用的数据。

例如，设备存储部119存储ID数据391和设备认证密钥392。ID数据391和设 备认证密钥392被设备管理装置300写入设备存储部119中。

图5是实施方式1的通信终端400的功能结构图。

关于实施方式1的通信终端400的功能结构，根据图5进行说明。

通信终端400具有ID数据取得部410(标识符数据取得部的一例)、认证数据取 得部420、设备认证密钥取得部430(标识符数据发送部、设备再生密钥接收部的一 例)、认证数据验证部440(认证处理部的一例)。

通信终端400具有设备管理部480和终端存储部490。

ID数据取得部410从制造设备110取得ID数据391。

认证数据取得部420使用ID数据391生成询问数据421，将询问数据421发送 到制造设备110，从制造设备110接收使用询问数据421而生成的认证数据112。

设备认证密钥取得部430将ID数据391发送给密钥管理服务器200，从密钥管 理服务器200接收使用ID数据391而生成的设备认证密钥293。

认证数据验证部440使用ID数据391和设备认证密钥293对认证数据112进行 验证。

在认证数据112是正确的数据的情况下，制造设备110被认证。

在认证数据112是错误的数据的情况下，制造设备110不被认证。

设备管理部480与所认证的制造设备110进行通信，管理制造设备110。

终端存储部490存储通信终端400使用的数据。

例如，终端存储部490存储ID数据391、认证数据112、设备认证密钥293。

图6是示出实施方式1的设备认证系统100的设备认证方法的流程图。

关于实施方式1的设备认证系统100的设备认证方法，根据图6进行说明。

在S200中，密钥管理服务器200使用运营商ID121生成主密钥291，使用主密 钥291、制造商ID131和世代编号132生成制造商密钥292。

由密钥管理服务器200生成的制造商密钥292存储在设备管理装置300中。

在S200之后，处理进入S300。

在S300中，设备管理装置300生成设备认证密钥293和ID数据391，将设备认 证密钥293和ID数据391写入制造设备110。

然后，将制造设备110设置于设置住宅140。

但是，设备认证密钥392和ID数据391也可以手动地设定于制造设备110。

在S300之后，处理进入S400。

在S400中，设置住宅140的通信终端400与密钥管理服务器200协作地对制造 设备110进行认证。

在S400之后，设备认证方法的处理结束。

图7是实施方式1的制造商密钥生成处理(S200)的流程图。

关于实施方式1的制造商密钥生成处理(S200)，根据图7进行说明。

在S210中，密钥管理服务器200的主密钥生成部210使用运营商ID121来执行 公共密钥加密方式的主密钥生成算法(也称为密钥导出算法)，由此，生成主密钥291。

在S210之后，处理进入S220。

在S220中，密钥管理服务器200的制造商密钥生成部220使用主密钥291、制 造商ID131和世代编号132来执行公共密钥加密方式的公共密钥生成算法(也称为密 钥导出算法)，由此，生成设备制造商130用的公共密钥(制造商密钥292)。

在S220之后，制造商密钥生成处理(S200)结束。

图8是实施方式1的设备管理处理(S300)的流程图。

关于实施方式1的设备管理处理(S300)，根据图8进行说明。

在S310中，设备管理装置300的ID数据生成部310生成ID数据391。

ID数据391是包含运营商ID121、制造商ID131、世代编号132、设备形式ID133、 批次编号134和设备ID135的数据。

在S310之后，处理进入S320。

在S320中，设备管理装置300的设备形式密钥生成部330使用设备形式ID133、 批次编号134和制造商密钥292来执行公共密钥加密方式的公共密钥生成算法(也称 为密钥导出算法)，由此，生成制造设备110的群组用的公共密钥(设备形式密钥393)。

在S320之后，处理进入S330。

在S330中，设备管理装置300的设备认证密钥生成部320使用设备ID135和设 备形式密钥393来执行公共密钥加密方式的公共密钥生成算法(也称为密钥导出算 法)，由此，生成制造设备110用的公共密钥(设备认证密钥392)。

在S330之后，处理进入S340。

在S340中，设备管理装置300的设备认证密钥写入部340将设备认证密钥392 和ID数据391写入制造设备110。

在S340之后，设备管理处理(S300)结束。

图9和图10是实施方式1的协作认证处理(S400)的流程图。

关于实施方式1的协作认证处理(S400)，根据图9和图10进行说明。

在S410(参照图9)中，通信终端400的ID数据取得部410与制造设备110进 行通信，从制造设备110取得ID数据391。

在S410之后，处理进入S421。

在S421中，通信终端400的认证数据取得部420生成询问数据421。询问数据 421是任意的数据(例如随机数)。

在S421之后，处理进入S422。

在S422中，通信终端400的认证数据取得部420将询问数据421发送到制造设 备110。

在S422之后，处理进入S423。

在S423中，制造设备110的认证数据生成部111从通信终端400接收询问数据 421。

认证数据生成部111使用询问数据421和ID数据391(或者ID数据391的一部 分)，以询问/响应认证方式生成认证数据112(响应)。

然后，认证数据生成部111将认证数据112发送到通信终端400。

例如，认证数据生成部111将询问数据421和ID数据391输入到响应生成用的 散列函数，执行散列函数。散列函数的输出值是认证数据112。

在S423之后，处理进入S424。

在S424中，通信终端400的认证数据取得部420从制造设备110接收认证数据 112。

在S424之后，处理进入S431(参照图10)。

在S431(参照图10)中，通信终端400的设备认证密钥取得部430将制造设备 110的ID数据391发送到密钥管理服务器200。

在S431之后，处理进入S432。

在S432中，密钥管理服务器200的设备认证密钥提供部230从通信终端400接 收ID数据391。

在S432之后，处理进入S433。

在S433中，密钥管理服务器200的设备认证密钥再生部240从ID数据391取得 制造商ID131和世代编号132，从设备管理存储部390取得与制造商ID131以及世代 编号132对应的制造商密钥292。

设备认证密钥再生部240从ID数据391取得设备形式ID133和批次编号134。

然后，设备认证密钥再生部240使用设备形式ID133、批次编号134和制造商密 钥292生成设备形式密钥294(与图8的S320相同)。

在S433之后，处理进入S434。

在S434中，密钥管理服务器200的设备认证密钥再生部240从ID数据391取得 设备ID135。

然后，设备认证密钥再生部240使用设备ID135和设备形式密钥294生成设备认 证密钥293(与图8的S330相同)。

在S434之后，处理进入S435。

在S435中，密钥管理服务器200的设备认证密钥提供部230将设备认证密钥293 发送到通信终端400。

在S435之后，处理进入S436。

在S436中，通信终端400的设备认证密钥取得部430从密钥管理服务器200接 收设备认证密钥293。

在S436之后，处理进入S440。

在S440中，通信终端400的认证数据验证部440使用设备认证密钥293和ID 数据391(或者ID数据391的一部分)以询问/响应认证方式对认证数据112进行验 证。

例如，认证数据生成部111以如下的方式对认证数据112进行验证。

认证数据生成部111使用询问数据421(在S422中发送给制造设备110的数据) 和ID数据391，以与制造设备110相同的方法生成认证数据。以下，将由认证数据 生成部111生成的认证数据称为“比较数据”。

认证数据生成部111对比较数据与认证数据112(在S424中从制造设备110接 收的数据)进行比较。

在比较数据与认证数据112一致的情况下，认证数据112是正确的数据，制造设 备110被认证为合法的设备。

在比较数据与认证数据112不一致的情况下，认证数据112是错误的数据，制造 设备110不被认证为合法的设备。

在S440之后，协作认证处理(S400)结束。

图11是示出实施方式1的通信终端400的硬件结构的一例的图。

关于实施方式1的通信终端400的硬件结构的一例，根据图11进行说明。

另外，密钥管理服务器200和设备管理装置300还具有与通信终端400相同的硬 件结构。

通信终端400具有：与总线909连接的运算装置901、辅助存储装置902、主存 储装置903、通信装置904以及输入输出装置905。

运算装置901是执行程序的CPU(CentralProcessingUnit：中央处理单元)。

辅助存储装置902例如是ROM(ReadOnlyMemory：只读存储器)、闪速存储器 或者硬盘装置。

主存储装置903例如是RAM(RandomAccessMemory：随机访问存储器)。

通信装置904以有线或者无线的形式经由互联网、LAN(局域网)、电话线路网 或者其它网络进行通信。

输入输出装置905例如是鼠标、键盘、显示装置。

程序通常存储于辅助存储装置902，加载到主存储装置903中并被读入运算装置 901，由运算装置901执行。

例如，操作系统(OS)存储在辅助存储装置902中。并且，实现作为“～部” 进行说明的功能的程序(设备认证用程序的一例)存储在辅助存储装置902中。并且， OS和实现作为“～部”进行说明的功能的程序加载到主存储装置903中，由运算装 置901执行。

表示“～的判断”、“～的判定”、“～的提取”、“～的检测”、“～的设定”、“～的 登记”、“～的选择”、“～的生成”、“～的输入”、“～的输出”等处理的结果的信息、 数据、信号值或者变量值作为文件存储在主存储装置903或者辅助存储装置902中。 并且，通信终端400所使用的其它数据存储在主存储装置903或者辅助存储装置902 中。

并且，图11示出实施方式1的通信终端400的硬件结构的一例，通信终端400 的硬件结构也可以是与图11所示的结构不同的结构。

另外，实施方式1的方法(协作认证方法的一例)能够通过使用流程图等说明的 步骤或者与其一部分不同的步骤来实现。

实施方式1也可以采用如下这样的方式。

制造商密钥生成部220也可以不使用世代编号132生成制造商密钥292。

设备形式密钥生成部330也可以使用设备形式ID133和批次编号134中的任意一 方生成设备形式密钥294。

设备认证密钥生成部320也可以取代设备形式密钥294而使用制造商密钥292 生成设备认证密钥293。

密钥管理服务器200也可以由具有主密钥生成部210和制造商密钥生成部220 各自的功能的装置(制造商密钥生成装置的一例)、以及具有设备认证密钥提供部230 和设备认证密钥再生部240各自的功能的装置(设备再生密钥生成装置的一例)这两 个装置构成。

设置住宅140也可以替换成人、动物、车辆、铁路、飞机或者机器人等移动体。

以下，关于实施方式1的处理进行补充说明。

询问数据421的生成处理(S421)、认证数据112的生成处理(S423)以及认证 数据112的验证处理(S440)能够按照ISO/IEC使用作为国际标准技术的认证机制 9798-2或者其它认证协议而执行。

密钥导出算法是使用伪随机数生成函数(PRF)、消息认证码生成函数(MAC函 数)或者带密钥的散列函数(HMAC)等密钥导出函数的算法。

通过实施方式1例如实现这样的效果。

可以使用处理负担比公开密钥密码算法小的公共密钥密码算法。

由于对每个制造设备分配设备认证密钥作为单独的公共密钥，因此，即使在设备 认证密钥从任意的制造设备泄漏的情况下也可以将损害抑制在最小限度。即，能够使 得因设备认证密钥的泄漏导致的不良影响不会波及到其它制造设备、设备制造商以及 系统整体。

能够使用单独的ID数据将密钥管理简化。

能够实现设备制造的分散化。并且，能够将安全的责任范围明确化。

制造设备的处理负担较小，能够以较少的资源使制造设备进行动作。

实施方式2.

说明密钥管理服务器200取代通信终端400而进行认证数据112的验证的方式。

以下，主要说明与实施方式1不同的事项。关于省略说明的事项，与实施方式1 相同。

图12是实施方式2的通信终端400的功能结构图。

关于实施方式2的通信终端400的功能结构，根据图12进行说明。

通信终端400具有验证请求部431(标识符数据发送部、认证数据发送部的一例)， 来取代在实施方式1(参照图5)中说明的设备认证密钥取得部430。

关于验证请求部431的动作，在后面进行说明。

图13是实施方式2的密钥管理服务器200的功能结构图。

关于实施方式2的密钥管理服务器200的功能结构，根据图13进行说明。

密钥管理服务器200具有验证请求受理部231(标识符数据接收部、认证数据接 收部的一例)和认证数据验证部232(认证处理部的一例)，来取代在实施方式1(参 照图2)中说明的设备认证密钥提供部230。

关于验证请求受理部231和认证数据验证部232的动作，在后面进行说明。

图14是实施方式2的协作认证处理(S400)的流程图。

关于实施方式2的协作认证处理(S400)，根据图14进行说明。

协作认证处理(S400)取代实施方式1(参照图9、图10)中说明的S431至S440， 而执行S431B至S440B(其中，除了S433和S434之外)。

在S410中，通信终端400的ID数据取得部410从制造设备110取得ID数据391 (与实施方式1相同)。

在S421至S424中，通信终端400的认证数据取得部420从制造设备110取得认 证数据112(与实施方式1相同)。

在S424之后，处理进入S431B。

在S431B中，通信终端400的验证请求部431将ID数据391、认证数据112和 询问数据421发送到密钥管理服务器200。

在S431B之后，处理进入S432B。

在S432B中，密钥管理服务器200的验证请求受理部231从通信终端400接收 ID数据391、认证数据112和询问数据421。

在S432B之后，处理进入S433。

在S433和S434中，密钥管理服务器200的设备认证密钥再生部240生成设备认 证密钥293(与实施方式1相同)。

在S434之后，处理进入S435B。

在S435B中，密钥管理服务器200的认证数据验证部232使用设备认证密钥293、 ID数据391和询问数据421来对认证数据112进行验证。

验证方法与实施方式1(图10的S440)相同。

在S435B之后，处理进入S436B。

在S436B中，密钥管理服务器200的验证请求受理部231将认证数据112的验 证结果发送到通信终端400。

在S436B之后，处理进入S440B。

在S440B中，通信终端400的验证请求部431从密钥管理服务器200接收认证 数据112的验证结果。

在S440B之后，协作认证处理(S400)结束。

根据实施方式2，密钥管理服务器200可以取代通信终端400进行认证数据112 的验证。

即使是实施方式2，也能够实现与实施方式1相同的效果。

实施方式3.

说明使用与合法的制造设备110或者非法的制造设备110相关的列表的方式。

以下，主要对与实施方式1不同的事项进行说明。关于省略说明的事项，与实施 方式1相同。

图15是实施方式3的密钥管理服务器200的功能结构图。

关于实施方式3的密钥管理服务器200的功能结构，根据图15进行说明。

密钥管理服务器200具有参照有效列表295和无效列表296的列表参照部250。

密钥管理服务器200的密钥管理存储部290存储有效列表295和无效列表296。 但是，密钥管理服务器200也可以仅存储有效列表295和无效列表296中的任意一方。

有效列表295是与合法的制造设备110相关的列表。有效列表295由制造商密钥 生成部220生成。但是，有效列表295也可以由管理者生成。

无效列表296是与非法的制造设备110相关的列表。无效列表296由管理者生成。

有效列表295和无效列表296表示制造商ID、或者世代编号、设备形式ID、批 次编号、设备ID中的至少任意一个与制造商ID的组合。

关于有效列表295和无效列表296的使用方法，在后面进行说明。

图16是实施方式3的通信终端400的功能结构图。

关于实施方式3的通信终端400的功能结构，根据图16进行说明。

通信终端400的终端存储部490(无效列表存储部的一例)存储无效列表491。

无效列表491是与非法的制造设备110相关的列表。无效列表491由设备认证密 钥取得部430生成。但是，无效列表491也可以由管理者生成。

无效列表491表示制造商ID、或者世代编号、设备形式ID、批次编号、设备ID 中的任意一个与制造商ID的组合。

关于无效列表491的使用方法，在后面进行说明。

图17是实施方式3的制造商密钥生成处理(S200)的流程图。

关于实施方式3的制造商密钥生成处理(S200)，根据图17进行说明。

制造商密钥生成处理(S200)除了实施方式1(参照图7)中说明的处理还包含 S221。

在S221中，制造商密钥生成部220将制造商ID131与世代编号132对应地设定 在有效列表295中。

在S221之后，制造商密钥生成处理(S200)结束。

图18和图19是实施方式3的协作认证处理(S400)的流程图。

关于实施方式3的协作认证处理(S400)，根据图18和图19进行说明。

协作认证处理(S400)除了在实施方式1(图9、图10)中说明的处理，还包含 S420、S432-1以及S432-2。

在S420(参照图18)中，通信终端400的认证数据取得部420对ID数据391 与无效列表491进行比较，判定包含在ID数据391中的信息(设备ID135等)是否 设定在无效列表491中。

在ID数据391的信息设定在无效列表491中的情况下(是)，制造设备110是非 法的设备，协作认证处理(S400)结束。即，制造设备110不被认证。

在ID数据391的信息未设定在无效列表491中的情况下(否)，处理进入S421。

在S432-1(参照图19)中，密钥管理服务器200的设备认证密钥提供部230将 ID数据391与有效列表295以及无效列表296进行比较，判定包含在ID数据391中 的信息(设备ID135等)是否设定在有效列表295或者无效列表296中。但是，设备 认证密钥提供部230也可以将ID数据391与有效列表295和无效列表296中的任意 一方进行比较。

在ID数据391的信息仅设定在无效列表296的情况下(是)，制造设备110是非 法的设备，处理进入S432-2。

在ID数据391的信息仅设定在有效列表295的情况下(否)，处理进入S433。

在ID数据391的信息设定在有效列表295和无效列表296双方的情况下(是)， 制造设备110是非法的设备，处理进入S432-2。但是，在未判断为制造设备110是非 法的设备的情况下，处理也可以进入S433。

在S432-2中，密钥管理服务器200的设备认证密钥提供部230将表示ID数据 391是无效的数据的无效消息发送到通信终端400。通信终端400的设备认证密钥取 得部430接收无效消息。

然后，通信终端400的设备认证密钥取得部430通过将ID数据391的信息添加 到无效列表491来更新无效列表491。

在S432-2之后，制造设备110不被认证，协作认证处理(S400)结束。

图20是表示实施方式3的有效列表295的形式的例子的图。

图21是表示实施方式3的无效列表296/491的形式的例子的图。

关于实施方式3的有效列表295和无效列表296/491的形式的例子，根据图20 和图21进行说明。

设定在有效列表295(参照图20)的信息对应地包含制造商ID和世代编号。但 是，有效列表295也可以像无效列表296/491(参照图21)那样是其它形式。

设定在无效列表296/491(参照图21)的信息像(5)所示那样表示制造商ID。

但是，设定在无效列表296/491的信息也可以像(1)至(4)所示那样是世代编 号、设备形式ID、批次编号、设备ID中的至少一个与制造商ID的组合。

在实施方式3中，关于使用有效列表或者无效列表来判定是否对制造设备110进 行认证的方式进行了说明。

根据实施方式3，能够减轻针对与无效列表相应的非法的制造设备110(或者不 与有效列表相应的非法的制造设备110)的协作认证处理(S400)的负担。

作为密钥泄漏时的对策，能够提供使用无效列表而使密钥失效的机制。

实施方式4.

说明重新利用过去生成的设备形式密钥294和设备认证密钥293的方式。

以下，主要说明与实施方式1不同的事项。关于省略说明的事项，与实施方式1 相同。

图22和图23是实施方式4的协作认证处理(S400)的流程图。

关于实施方式4的协作认证处理(S400)，根据图22和图23进行说明。

协作认证处理(S400)除了在实施方式1(参照图9、图10)中说明的处理之外 还包含S430和S432-1。

并且，协作认证处理(S400)取代在实施方式1中说明的S433和S436，包含 S433C和S436C。

在S410至S424(参照图22)中，通信终端400的ID数据取得部410取得ID 数据391，通信终端400的认证数据取得部420取得认证数据112(与实施方式1相 同)。

在S424之后，处理进入S430。

在S430中，通信终端400的设备认证密钥取得部430判定对应于与ID数据391 (或者ID数据391的一部分)相同的ID数据的设备认证密钥293是否存储在终端存 储部490(设备再生密钥存储部的一例)中。

在相应的设备认证密钥293存储在终端存储部490中的情况下(是)，设备认证 密钥取得部430从终端存储部490取得相应的设备认证密钥293，处理进入S440(参 照图23)。

在相应的设备认证密钥293未存储在终端存储部490中的情况下(否)，处理进 入S431。

在S431和S432中，通信终端400的设备认证密钥取得部430将ID数据391发 送到密钥管理服务器200，密钥管理服务器200的设备认证密钥提供部230接收ID 数据391(与实施方式1相同)。

在S432之后，处理进入S432-1。

在S432-1中，密钥管理服务器200的设备认证密钥再生部240判定对应于与ID 数据391(其中，除了设备ID135以外)相同的ID数据的设备形式密钥294是否存 储在密钥管理存储部290(设备形式密钥存储部的一例)中。

在相应的设备形式密钥294存储在密钥管理存储部290中的情况下(是)，设备 认证密钥再生部240从密钥管理存储部290取得相应的设备形式密钥294，处理进入 S434。

在相应的设备形式密钥294未存储在密钥管理存储部290中的情况下(否)，处 理进入S433C。

在S433C中，设备认证密钥再生部240使用ID数据391和制造商密钥292生成 设备形式密钥294(与实施方式1相同)。

然后，设备认证密钥再生部240将ID数据391(其中，除了设备ID135之外) 和设备形式密钥294对应地存储于密钥管理存储部290。由此，能够重新利用设备形 式密钥294。

在S433C之后，处理进入S434。

在S434和S435中，密钥管理服务器200的设备认证密钥再生部240生成设备认 证密钥293，密钥管理服务器200的设备认证密钥提供部230发送设备认证密钥293。

在S435之后，处理进入S436C。

在S436C中，通信终端400的设备认证密钥取得部430接收设备认证密钥293 (与实施方式1相同)。

然后，设备认证密钥取得部430与在S431中发送的ID数据391对应地将设备认 证密钥293存储到密钥管理存储部290中。由此，能够重新利用设备认证密钥293。

在S436C之后，处理进入S440。

在S440中，通信终端400的认证数据验证部440使用设备认证密钥293和ID 数据391来对认证数据112进行验证(与实施方式1相同)。

在S440之后，协作认证处理(S400)结束。

在实施方式4中，关于重新利用过去生成的设备形式密钥294和设备认证密钥 293的方式进行了说明。

根据实施方式4，能够减轻协作认证处理(S400)的负担。

各实施方式是设备认证系统100的方式的一例。

即，设备认证系统100也可以不具有各实施方式中说明的功能或者结构的一部 分。

并且，设备认证系统100也可以具有各实施方式中未说明的功能或者结构。

此外，各实施方式也可以在不产生矛盾的范围中组合一部分或者全部。

标号说明

100：设备认证系统；101：网络；110：制造设备；111：认证数据生成部；112： 认证数据；119：设备存储部；120：运营商；121：运营商ID；130：设备制造商； 131：制造商ID；132：世代编号；133：设备形式ID；134：批次编号；135：设备 ID；140：设置住宅；200：密钥管理服务器；210：主密钥生成部；220：制造商密钥 生成部；230：设备认证密钥提供部；231：验证请求受理部；232：认证数据验证部； 240：设备认证密钥再生部；241：设备形式密钥再生部；250：列表参照部；290：密 钥管理存储部；291：主密钥；292：制造商密钥；293：设备认证密钥；294：设备形 式密钥；295：有效列表；296：无效列表；300：设备管理装置；310：ID数据生成 部；320：设备认证密钥生成部；330：设备形式密钥生成部；340：设备认证密钥写 入部；390：设备管理存储部；391：ID数据；392：设备认证密钥；393：设备形式 密钥；400：通信终端；410：ID数据取得部；420：认证数据取得部；421：询问数 据；430：设备认证密钥取得部；431：验证请求部；440：认证数据验证部；480：设 备管理部；490：终端存储部；491：无效列表；901：运算装置；902：辅助存储装置； 903：主存储装置；904：通信装置；905：输入输出装置；909：总线。