中継装置および中継装置を含む通信システム
【課題】 商品処理装置と管理サーバとの間の情報通信におけるセキュリティを中継装置により確保する。
【解決手段】 中継装置40は、商品処理装置41と、それらの管理を行う管理サーバ20との間に配設され、情報の送受信を中継する。メモリに中継装置側証明書66が記憶される。同様に、商品処理装置41は処理装置側証明書61を有し、管理サーバ20はサーバ側証明書68を有する。中継装置40のCPUは、商品処理装置41から処理装置側証明書61とともに管理サーバ20宛ての情報を受信したときに、処理装置側証明書61が適切なものか否かを判断するとともに、商品処理装置41との接続を許可するかどうかを判断する。接続を許可した場合は、管理サーバ20宛ての情報を受信し、さらに情報を管理サーバ20に中継するため、管理サーバ20との接続を開始する。
【解決手段】 中継装置40は、商品処理装置41と、それらの管理を行う管理サーバ20との間に配設され、情報の送受信を中継する。メモリに中継装置側証明書66が記憶される。同様に、商品処理装置41は処理装置側証明書61を有し、管理サーバ20はサーバ側証明書68を有する。中継装置40のCPUは、商品処理装置41から処理装置側証明書61とともに管理サーバ20宛ての情報を受信したときに、処理装置側証明書61が適切なものか否かを判断するとともに、商品処理装置41との接続を許可するかどうかを判断する。接続を許可した場合は、管理サーバ20宛ての情報を受信し、さらに情報を管理サーバ20に中継するため、管理サーバ20との接続を開始する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、中継装置、特に、商品の生産に関する処理を行う商品処理装置と、その商品処理装置の管理を行う管理サーバとの間に配設され、商品処理装置と管理サーバとの間で情報の送受信を中継する中継装置、および同中継装置を含む通信システムに関する。
【背景技術】
【0002】
従来から、商品の生産ラインに並ぶ商品処理装置を専用回線やインターネット等の公衆回線を介して遠隔から管理するシステムが提案されている。例えば、特許文献1に開示されている組合せ秤システムでは、秤制御部の通信装置がインターネットを介してサーバコンピュータに接続している。そして、この特許文献1のシステムでは、制御プログラムの入れ替えが必要になったときに、サーバコンピュータから制御プログラムをダウンロードさせている。
【特許文献1】特開2001−243074号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
特許文献1のように、インターネット等を介して商品処理装置を遠隔から管理するシステムが従来から提案されているが、インターネット上の通信は、盗聴、改ざん、なりすまし、ウイルス感染等の脅威に晒されている。
【0004】
特に、商品の生産に用いる商品処理装置には、機密の情報が含まれることがある。また、商品処理装置は、悪意を持った第3者による動作パラメータ又は動作ソフトウェアの書き換え等不正なプログラムの配布により誤動作すると、人命への危険や生産の停止につながりかねず被害が大きい。
【0005】
例えば、計量装置、包装装置、商品検査装置といった商品処理装置が連なる食品の生産ラインにおいては、生産量や生産ノウハウ等の経営機密情報が各装置に存在するとともに、検査パラメータ等が悪意を持った者の手により書き換えられると検査が適切に行われなくなってしまう恐れがある。
【0006】
このような脅威に対する対策として、PKI(公開鍵基盤)が広く利用されているが、PKIにおいては、証明書を有する個体の正当性を完全には保証することはできない。例えば、登録された証明書を有する商品処理装置自体が盗難にあった場合や廃棄された場合、その商品処理装置を利用して内部ネットワークにアクセスすることが可能となる。
【0007】
したがって、このような商品の生産に関する処理を行う商品処理装置を遠隔から管理するシステムにおいては、PKIによる認証だけでなく、接続する個体の正当性をもっと保証し得る、より高度なセキュリティ対策を講じる必要がある。
【0008】
本発明の課題は、商品処理装置と、それを遠隔から管理する管理サーバとの間の情報のやりとりのセキュリティを確保することができる中継装置および同中継装置を利用した通信システムを提供することにある。
【課題を解決するための手段】
【0009】
第1発明に係る中継装置は、商品の生産に関する処理を行う商品処理装置と、その商品処理装置の管理を行う管理サーバとの間に配設されており、第1および第2中継部と、第1および第2照合部と、第1および第2判断部とを備える。第1中継部は、サーバ側証明書を有する管理サーバから商品処理装置への情報である第1情報の送信を中継する。第2中継部は、処理装置側証明書を有する商品処理装置から管理サーバへの情報である第2情報の送信を中継する。第1照合部は、第1情報の送信を中継する際にサーバ側証明書について照合処理を行う。第2照合部は、第2情報の送信を中継する際に処理装置側証明書について照合処理を行う。第1判断部は、第1照合部による照合処理の結果に基づき、管理サーバとの接続を許可するかどうかを判断する。第2判断部は、第2照合部による照合処理の結果に基づき、商品処理装置との接続を許可するかどうかを判断する。
【0010】
この中継装置により、商品処理装置と管理サーバとが直接情報のやりとりを行うことはなく、商品処理装置から管理サーバへ要求コマンド等の情報を送る際、あるいは管理サーバから商品処理装置へ新バージョンの制御プログラム等の情報を送る際に、各装置の証明書の検証を行う。
【0011】
証明書としては、例えばPKIにおいて認証局により発行された証明書がある。この証明書を利用して、接続対象となる装置の個体認証を行う。
【0012】
ここでは、PKI等における認証局による証明書の正当性の証明に加え、たとえ共通の認証局から発行され正当と認められた証明書を有する装置であっても、接続すべきでない装置(例えば廃棄或いは盗難にあった装置等)からの接続を許可しない。よって、より高度な通信セキュリティを確保することができる。
【0013】
すなわち、通信データの改ざん、中間傍受、通信におけるなりすましやウイルス感染等を未然に防ぐことができる。つまり、このような仕組みを採ることによって、例えば、商品処理装置の制御基板が盗難にあったり中継装置が盗難にあったりした場合にも、管理サーバになりすまして通信を傍受したり商品処理装置に偽の情報やウイルスを送ったりする不正アクセスによる被害を防ぐことができる。
【0014】
なお、上記の管理サーバ宛ての情報としては、アップデイト要求のコマンド、稼働率等の装置情報等を例として挙げることができ、商品処理装置宛ての情報としては、新バージョンのプログラム、リモートメンテナンスのコマンド等を例として挙げることができる。
【0015】
中継装置を介する全ての通信については暗号化を図ることがより好ましい。
【0016】
また、サーバ側証明書および処理装置側証明書は、生成主体が同じであって、出荷のときに最初から各装置に組み込まれることにより、より確実に証明書自体の偽造を防ぐことができる。
【0017】
第2発明に係る中継装置は、第1発明の中継装置であって、中継装置側証明書をさらに備える。中継装置側証明書は、管理サーバにおいて照合処理され、且つ前記商品処理装置において照合処理される。
【0018】
ここでは、中継装置自らも証明書を有することにより、管理サーバおよび商品処理装置との相互認証を可能とする。
【0019】
第3発明に係る中継装置は、第1発明の中継装置であって、処理装置側証明書は、商品処理装置を特定する処理装置固有番号を含む。中継装置の第2照合部は、処理装置固有番号について照合処理を行う。第2判断部は、処理装置固有番号について照合処理の結果に基づき商品処理装置との接続を許可するかどうかを判断する。
【0020】
ここでは、商品処理装置の個体認証をより確実に行うことを可能とする。
【0021】
例えばSSLを利用する場合、証明書に一般名を記入する情報欄が設けてある。その情報欄の一部のフィールドに、ロッド番号等の商品処理装置の特定情報を含ませることにより、同証明書を受信した中継装置の第2判断部は、通信相手である商品処理装置が正当かどうかを判断できる。
【0022】
第4発明に係る中継装置は、第1発明の中継装置であって、第1情報には署名が付されている。中継装置の第1照合部は、第1情報の署名について照合処理を行う。第1判断部は、第1情報の署名についての照合処理の結果に基づき、第1情報の送信を中継するかどうかを判断する。
【0023】
ここでは、第1情報の署名と中継装置が有する署名情報が一致した場合は、第1情報を商品処理装置へ送信し、不一致の場合は破棄する。これにより、装置ごとの認証に加えて、送信される情報の正当性も確認でき、特に情報の改ざんやなりすましをより効果的に防止することを可能とする。
【0024】
第5発明に係る中継装置は、第1発明の中継装置であって、第2情報には署名が付されている。中継装置の第2照合部は、第2情報の署名について照合処理を行う。第2判断部は、第2情報の署名についての照合処理の結果に基づき、第2情報の送信を中継するかどうかを判断する。
【0025】
ここでは、第2情報の署名と中継装置が有する署名情報が一致した場合は、第2情報を管理サーバへ送信し、不一致の場合は破棄する。これにより、装置ごとの認証に加えて、送信される情報の正当性も確認でき、特に情報の改ざんやなりすましをより効果的に防止することを可能とする。
【0026】
第6発明に係る中継装置は、第1発明の中継装置であって、第1情報はソフトウェアである。
【0027】
ここでは、特に盗聴または改ざんされた場合に甚大な被害につながる情報を明示している。
【0028】
第7発明に係る中継装置は、第1発明の中継装置であって、第2情報は商品処理装置に関する情報である。
【0029】
ここでは、特に盗聴または改ざんされた場合に甚大な被害につながる情報を明示している。
【0030】
第8発明に係る中継装置は、第1発明の中継装置であって、第1判断部は、処理装置側証明書の内容に応じて、中継する第1情報の範囲を制限する。
【0031】
ここでは、各顧客のニーズに応じて、管理サーバから必要な情報のみフィルタリングして送信を行うことを可能とする。
【0032】
第9発明に係る中継装置は、第1発明の中継装置であって、第2判断部は、処理装置側証明書の内容に応じて、中継する前記第2情報の範囲を制限する。
【0033】
ここでは、各顧客のニーズに応じて、商品処理装置からの情報送信を必要最小限にとどめることを可能とする。
【0034】
特に、商品処理装置の種類によっては、その装置の制御に必要なプログラムやパラメータが含まれていて管理サーバによるメンテナンス等が必要であるという性質が備わっている一方で、その装置の稼働実績や特殊でノウハウ的なパラメータ設定の情報が内包されるという性質が備わっている。このような商品処理装置の場合、商品処理装置の使用者は、管理サーバを扱う保守会社等の関連機関であったとしても、そこに商品処理装置の稼働実績やノウハウ的なパラメータ設定が情報漏洩してしまうことを望まないこともある。
【0035】
第10発明に係る通信システムは、第2から第9発明の中継装置と、一以上の商品処理装置と、管理サーバとを備える。管理サーバは一以上の中継装置に接続され、各中継装置は一以上の商品処理装置に接続される。
【0036】
商品処理装置は、第3照合部と第3判断部とを有する。第3照合部は、第1情報を受信する際に中継装置側証明書について照合処理を行う。第3判断部は、第3照合部による照合処理の結果に基づき中継装置との接続を許可するかどうかを判断する。
【0037】
管理サーバは、第4照合部と第4判断部とを有する。第4照合部は、第2情報を受信する際に中継装置側証明書について照合処理を行う。第4判断部は、第4照合部による照合処理の結果に基づき中継装置との接続を許可するかどうかを判断する。
【0038】
ここでは、管理サーバ、中継装置および商品処理装置の三者が有する証明書を相互に検証する。これにより、従来のPKIのみの通信システムに比して、よりセキュリティ効果の高い通信システムが実現できる。
【0039】
一般的なPKIでは証明書の正当性は確認できるものの、その証明書をもつ接続相手の正当性までを完全に保証することはできない。この通信システムによれば、工場毎等に設置された中継装置を介して商品処理装置と管理サーバとの間では2度の相互認証を行うため、例えば商品処理装置についての証明書が外部に漏洩しても、外部において直接管理サーバへ接続することができない。この通信システムにより、各装置間における階層的なセキュアな認証システムが実現できるとともに、通信経路の特定が容易になる。
【0040】
第11発明に係る通信システムは、第10発明の通信システムであって、商品処理装置の第3判断部は、中継装置から開始する接続は許可しない。
【0041】
ここでは、情報の送信は常に商品処理装置側からの要求に応じて行われることになり、外部ネットワークに近い中継装置を経由した不正アクセスをより効果的に防止できる。特に、商品処理装置の動作パラメータの不測の書き換えや制御プログラムの不測の変更といった事態を抑えることができるとともに、商品処理装置にある機密情報の漏洩も回避することができる。
【0042】
第12発明に係る通信システムは、第10発明の通信システムであって、中継装置の第1判断部は、管理サーバから開始する接続は許可しない。
【0043】
ここでは、情報の送信は常に中継装置側(顧客側)からの要求に応じて行われることになり、外部ネットワークからの不正アクセスをより効果的に防止できる。特に、商品処理装置の動作パラメータの不測の書き換えや制御プログラムの不測の変更といった事態を未然に防ぐことができるとともに、商品処理装置にある機密情報の漏洩も回避することができる。
【発明の効果】
【0044】
本発明によれば、従来のPKIによる認証に加え、管理サーバ、中継装置および商品処理装置の間でより確実な個体認証を行うことができるため、特になりすまし、改ざん等の不正アクセスやウイルス感染を効果的に防ぐことができ、商品処理装置と管理サーバとの間の情報のやりとりについて高度なセキュリティを確保することができる。
【発明を実施するための最良の形態】
【0045】
本発明の一実施形態に係る中継装置に接続される商品生産ラインの商品処理装置41,42,43,44を、図1に示す。これらの商品処理装置41,42,43,44は、図2に示すように、中継装置40を介して遠隔にある管理サーバ20により遠隔監視や遠隔ソフトウェアアップデイトといった管理が為される。図2に示す管理サーバ20,中継装置40および商品処理装置41,42・・・から成る管理システムを、ここではセキュア通信システムと称する。
【0046】
遠隔からの管理の対象となる商品処理装置41,42・・・は、袋詰めされる食品である商品を生産するラインにおいて、それぞれ、商品処理を行う。具体的には、図1に示す計量装置41、製袋包装装置42、シールチェック装置43、重量チェック装置44等が商品処理装置である。図1では省略しているが、商品処理装置には、その他、自動箱詰め装置、X線等による異物混入チェック装置等が含まれることもある。
【0047】
図2に示すように、1つの物件(工場等)31に設置される一連の商品処理装置41,42・・・は、それぞれ物件31内に設置される1つの中継装置40に接続される。そして、中継装置40は、インターネット50等の公衆回線あるいは専用回線を介して、物件31から遠く離れた遠隔地にある集中管理センター10内の管理サーバ20に接続される。また、管理サーバ20は、物件31以外の物件32,33等に設置されている中継装置からの接続要求も受ける。
【0048】
中継装置40は、商品処理装置41,42・・・から管理サーバ20に送信される診断用データや部品発注データの中継を行ったり、管理サーバ20から商品処理装置41,42・・・に送信される新バージョンの商品処理用プログラムの中継を行ったりする。商品処理装置41,42・・・と管理サーバ20とは直接つながることはなく、両者の間のデータ(情報)のやりとりは、必ず中継装置40を介して行われる。
【0049】
<商品処理装置の詳細構成>
商品処理装置41,42・・・について、ここでは計量装置41を例にとって説明を行う。なお、製袋包装装置42やシールチェック装置43等他の商品処理装置においても、計量装置41と同様の制御部の構成となっている。
【0050】
計量装置41は、主として、制御部41aと、操作パネル41bと、制御部41aに接続される駆動部やセンサー41cとから構成されている(図3参照)。駆動部やセンサー41cには、計量物を搬送するための電磁石、計量物の重量を検出する重量センサー、計量ホッパの底面を開閉するためのモータ等が含まれる。操作パネル41bは、計量に関する各種設定を入力するためのタッチパネル式の液晶画面であり、且つ、稼働状況等を表示する表示器である。この操作パネル41bは、製袋包装装置42の操作パネルを兼ねるとともに、後述する中継装置40における商品処理装置41,42・・・の機物情報の登録を行う入力装置の役割も果たす。
【0051】
計量装置41の制御部41aは、図3に示すように、CPU81、RAM82、不揮発メモリ83、通信インターフェース(以下、通信I/Fという。)84等がバスによって接続されたものである。
【0052】
CPU81は、中継装置40の電子証明書66について照合処理を行う処理装置照合部81aと、処理装置照合部81aの照合の結果に基づき判断処理を行う処理装置判断部81bとを有する。
【0053】
不揮発メモリ83には、公開鍵を含む電子証明書61、TLS(SSL)通信用秘密鍵58、制御プログラム(図示せず)等が記憶される。電子証明書61として、中継装置40との間で接続の認証を行うために用いられる処理装置側接続認証用電子証明書61aとともに、中継装置40を介して管理サーバ20へと送られる情報のフィルタリングを中継装置40に行わせるための処理装置側フィルタリング用電子証明書61bが用意されている。TLS通信用秘密鍵58は、公開鍵暗号方式で使用される一対の鍵の組のうちの1つである。制御部41aは、中継装置40から送られてきた暗号化されたデータ(情報)を、TLS通信用秘密鍵58を使って復号する。また、制御部41aは、中継装置40に送るデータを公開鍵によって暗号化する。
【0054】
次に説明する中継装置40と計量装置41とは、両者の通信I/F74,84を介して専用線によって接続される。なお、中継装置40と計量装置41との通信は、全てが暗号化される。
【0055】
<中継装置の詳細構成>
中継装置40は、物件31内に設置されるセキュアプロキシであり、プログラミング機能を持っている。この中継装置40は、CPU71、RAM72、不揮発メモリ73、通信I/F74、ネットワークインターフェース(以下、ネットワークI/Fという。)75、ハードディスク(以下、HDという。)76等がバスによって接続されたものである。
【0056】
中継装置40の通信I/F74は、商品処理装置41,42・・・からの情報を中継する中継部として機能し、同一の物件31内にある商品処理装置41,42・・・の通信I/F84に接続される。
【0057】
中継装置40のネットワークI/F75は、管理サーバからの情報を中継する中継部として機能し、遠隔地にある管理サーバ20のネットワークI/F95にインターネット50を介して接続される。なお、中継装置40と管理サーバ20との通信についても、全てが暗号化される。
【0058】
上述のように、中継装置40は、商品処理装置41,42・・・と管理サーバ20との間でデータの中継を行うものであるが、その中継処理において、認証を行い、特定の経路しか受け付けない。
【0059】
CPU71は、管理サーバ20の電子証明書68について照合処理を行う第1中継装置照合部71aaと、商品処理装置の電子証明書61について照合処理を行う第2中継装置照合部71abと、第1中継装置照合部71aaの照合の結果に基づき判断処理を行う第1中継装置判断部71baと、第2中継装置照合部71abの照合の結果に基づき判断処理を行う第2中継装置判断部71bbとを有する。
【0060】
不揮発メモリ73には、公開鍵を含む電子証明書である中継装置側電子証明書66、TLS(SSL)通信用秘密鍵57、プログラム(図示せず)等が記憶される。中継装置40は、商品処理装置41,42・・・や管理サーバ20から送られてきた暗号化されたデータを、TLS通信用秘密鍵57を使って復号する。また、中継装置40は、商品処理装置41,42・・・や管理サーバ20に送るデータを公開鍵によって暗号化する。
【0061】
また、不揮発メモリ73では、商品処理装置41,42・・・のロッド番号がロッド番号データベース73aに記憶される。このロッド番号データベース73aに各ロッド番号を記憶させる登録作業は、本セキュア通信システムにおいては、計量装置41の操作パネル41bを用いて行われる。
【0062】
<管理サーバの詳細構成>
管理サーバ20は、上述のように物件31から遠く離れた遠隔地にある集中管理センター10に設置されており、商品処理装置41,42・・・から中継装置40を介して為される接続要求を受け付ける。この管理サーバ20は、各物件31,32,33にある商品処理装置41,42・・・のメンテナンスをリモートで行う機能、最新の制御プログラムを要求に応じて配信する機能、各商品処理装置の動作状況等の情報を取得して管理する(例えば、監視したり報告書を作ったりする)機能等を有している。
【0063】
管理サーバ20は、CPU91、RAM92、不揮発メモリ93、ネットワークI/F95、HD96等がバスによって接続されたものである。
【0064】
CPU91は、中継装置40の電子証明書66について照合処理を行う管理サーバ照合部91aと、管理サーバ照合部91aの照合の結果に基づき判断処理を行う管理サーバ判断部91bとを有する。
【0065】
不揮発メモリ93には、公開鍵を含む電子証明書であるサーバ側電子証明書68、TLS(SSL)通信用秘密鍵59、処理装置側電子証明書61,62,63・・・および中継装置側電子証明書66の有効期限を記憶する失効データベース93a、管理プログラム(図示せず)等が記憶される。管理サーバ20は、中継装置40から送られてきた暗号化されたデータを、TLS通信用秘密鍵59を使って復号する。また、管理サーバ20は、中継装置40に送るデータを公開鍵によって暗号化する。
【0066】
複数の中継装置40から接続要求を受け付けるが、管理サーバ20は、それらの中継装置40を、中継装置側電子証明書66によって認識・認証する。さらに、管理サーバ20は、中継装置40を介して送られてくる商品処理装置41,42・・・からのデータについて、その中に含まれる、ロッド番号等の商品処理装置を特定する情報も確認する。例えば、ロッド番号が管理サーバ20側に登録されていないものであれば、そのデータの受信を拒否する。すなわち、中継装置40を認識して通信路特定をし、中継装置側電子証明書66の認証も終わり、通信セッションを開いた後であっても、送信されてきたデータ内にあるロッド番号が登録されていないものであれば受信拒否となる。これにより、中継装置40が盗難にあった場合でも、それを使った悪意の通信セッションを管理サーバ20との間で開けるものの、データの送受信は管理サーバ20に拒否されることになり、管理サーバ20からの機密データの漏洩が防止できる。
【0067】
HD96の中には、各商品処理装置41,42・・・の稼働情報やメンテナンス情報を記憶する処理装置情報データベース96a、各物件31からの部品のオンライン発注に関する情報を記憶する発注データベース96b、各商品処理装置41,42・・・の種々のバージョンの制御プログラムを記憶するアップデイト用データベース96c等が存在している。各データベースの利用については、後述する。
【0068】
<セキュア通信システムのPKIモデル>
本セキュア通信システムは、PKIを利用したシステムであり、図6はその一例を示す。
【0069】
本PKIモデルは、ルートCA証明書101を有するルートCA100と、中間CA証明書111を有する中間CAと、各電子証明書を有する管理サーバ20、中継装置40および商品処理装置41,42・・・とを備えた階層型モデルである。なお、図示は省略しているが、中間CAは装置ごとに複数設けられている。
【0070】
管理サーバ20、中継装置40および商品処理装置41,42・・・の各電子証明書はそれぞれを管理する中間CAに認証され、各中間CAはルートCAに認証される。
【0071】
また、本PKIモデルにおいては、コード署名局120が設けられている。コード署名局は、管理サーバ20、中継装置40および商品処理装置41,42・・・間において送受信されるソフトウェア等の情報に付されるコード署名を管理する。情報に付されたコード署名が真正なものであることを確認するために、コード署名局は署名局証明書121を有し、同コード署名局を管理する中間CAに認証され、その中間CAはルートCAに認証される。
【0072】
このようなしくみをとることにより、各電子証明書や署名が信頼された機関により発行又は保証されたものであることが確認できる。
【0073】
<セキュア通信システムの各モード>
次に、不正経路接続防止機能を持った本セキュア通信システムの各モードについて、以下に説明する。
【0074】
(1)設定モード
このモードは、中継装置40に接続する商品処理装置41,42・・・の数が増減する場合に実行される。
【0075】
通信セッション開始のトリガは全て商品処理装置41,42・・・側が有しており、通信経路を特定するためには、中継装置40に商品処理装置41,42・・・に関する情報である機物情報を登録させておく。そのため、中継装置40のモードを切り替えて機物情報(ここでは、ロッド番号)の登録作業を行なう。各商品処理装置41,42・・・のロッド番号は、図4に示すように、中継装置40のロッド番号データベース73aに記憶される。
【0076】
管理サーバ20は、自ら商品処理装置41,42・・・に対する通信セッションを開くことはできず、商品処理装置41,42・・・がトリガを引いた通信セッションにおいてのみ、応答の形で商品処理装置41,42・・・にアクセスすることができる。
【0077】
(2)通信モード
通信セッション開始の操作は、全て商品処理装置41,42・・・側から行う。
【0078】
通信開始時の中継装置40と商品処理装置41,42・・・との認証シーケンスについては、全てTLS技術を用いる。具体的には、公開鍵および秘密鍵、電子証明書、ハッシュ関数というセキュリティ技術を組み合わせて、認証シーケンスを行う。この際、商品処理装置41,42・・・は、上記の設定モードで登録された特定の中継装置40を介さなければ、各種サービスを提供する管理サーバ20に接続することができない。
【0079】
TLSのハンドシェイク時に利用する処理装置側接続認証用電子証明書61aの内部の所定項目欄に商品処理装置41,42・・・の識別名とロッド番号とを埋め込み、TLSセッション開始時に、中継装置40から商品処理装置41,42・・・側に要求して得られたロッド番号と比較することで、中継許可を行うかどうかを中継装置40において判定する。
【0080】
正しい相手である場合、中継装置40は、同様の手順で、各種サービスを提供している管理サーバ20に対して接続を要求する。この接続の過程でもTLS認証を用い、通信セッション確立時には本セキュア通信システムの全通信経路において暗号化および情報完全性を保証できるようにしている。したがって、インターネット50を流れるデータは、全て、改ざん防止目的の電子署名が為されたものとなる。
【0081】
通信セッションが確立された後、商品処理装置41,42・・・は、処理装置側接続認証用電子証明書61aとは別の証明書である処理装置側フィルタリング用電子証明書61bを用いることで、送信情報のフィルタリングを行うことができる。このフィルタリングにより、情報(通信データ)を選択して暗号化送信することができる。このように、処理装置側フィルタリング用電子証明書61bが設けられているため、商品処理装置41,42・・・を使う顧客は、外部(管理サーバ20)に送信する必要がない機密情報をフィルタリングにより外すことができる。
【0082】
上記のような手順を踏むため、商品処理装置41,42・・・は、特定の中継装置40のみを経由してからでなければ、各種サービスを提供する管理サーバ20への接続ができない。したがって、商品処理装置41,42・・・が廃棄されたり盗難にあったりした場合でも、双方(商品処理装置41,42・・・を使う顧客および管理サーバ20により各種サービスを提供する者)が不正なアクセスを受けるといったセキュリティ上の懸念がなくなっている。
【0083】
また、中継装置40自身は、商品処理装置41,42・・・に対する通信セッションを開始するためのトリガ機能を有していない。このため、中継装置40が廃棄や盗難等にあい商品処理装置41,42・・・に対する接続を試みられた場合でも、接続はできず情報漏洩等を防ぐことができる。よって、顧客にとってセキュリティ上の懸念がない。
【0084】
また、商品処理装置41,42・・・と中継装置40の電子証明書に関しては、その失効を接続要求毎に確認する機能が管理サーバ20に搭載されており、商品処理装置41,42・・・が中継装置40を通して管理サーバ20へ接続することを個別に無効化することができる。失効手続きは、管理サーバ20側で有効期限のチェックと無効化設定を行うことで、実現される。これにより、中継装置40と商品処理装置41,42・・・の両方で、鍵や電子証明書の悪意の二次利用が防止できる。有効期限や無効化設定の有無等の情報は、管理サーバ20の不揮発メモリ93の失効データベース93aに格納される。このような電子証明書の失効確認を管理サーバ20で行っているため、万が一、中継装置40と商品処理装置41,42・・・の制御基板とがセットで持ち出されても、失効手続きを行うことで悪意の通信を管理サーバ20側でプロテクトすることができる。
【0085】
<中継装置の各機能について>
次に、中継装置40に焦点を当てて、その各機能について整理した形で説明を行う。
【0086】
(1)商品処理装置認証機能
本セキュア通信システムでは、例えばPKIを利用して暗号化通信を確立する際に相互認証を行う。この際、否認防止目的のために、電子証明書の識別名および拡張領域項目を活用して、厳重なチェックを実施している。
【0087】
管理サーバ20に情報を送信するために商品処理装置41,42・・・から中継装置40に情報が送られるときには、処理装置側接続認証用電子証明書61aが付けられ、その電子証明書61aの拡張領域項目には商品処理装置41,42・・・のロッド番号が入れられる。
【0088】
中継装置40の第2中継装置照合部71bbは、登録された商品処理装置41,42・・・のロット番号と、送られてきた電子証明書61aのロット番号とを照合する。ここでロッド番号が異なる場合には、中継装置40の第2中継装置判断部71bbが、商品処理装置41,42・・・との接続を拒否する。
【0089】
このような仕組みを採用しているため、例えば盗み出した商品処理装置41,42・・・の電子証明書61aをコンピュータに組み込んで別の中継装置40に悪意の接続を試みようとしても、中継装置40にはその盗まれた商品処理装置41,42・・・のロット番号が登録されていないため、通信セッションが開かれない。
【0090】
(2)商品処理装置情報管理機能
自身の管理下にある商品処理装置41,42・・・にのみインターネット50を介した管理サーバ20への接続許可を出す役割を果たすため、中継装置40では、セキュア通信システムの使用前に、商品処理装置41,42・・・の機物情報を登録しておく必要がある。このため、中継装置40は、各商品処理装置41,42・・・の固有情報(ロッド番号等)を保存する機能を有している。例えば、上述のように、操作パネル41bを用いた入力により、中継装置40のロッド番号データベース73aに各商品処理装置41,42・・・のロッド番号が登録される。
【0091】
(3)通信コンバータ機能
商品処理装置41,42・・・自身が直接インターネット50を経由して管理サーバ20等と通信を行うということがセキュリティの面から好ましくないため、中継装置40は、商品処理装置41,42・・・の通信を仲介する役割を果たす。また、中継装置40は、同時に複数の商品処理装置41,42・・・からの接続要求があったときに、それらを適切に処理する機能を有している。
【0092】
(4)証明書失効情報提供機能
通常、証明書を利用した暗号化通信では、証明書の失効情報を自身で確認する。しかし、本セキュア通信システムでは、管理サーバ20と商品処理装置41,42・・・とが直接つながることはなく、商品処理装置41,42・・・が証明書の失効情報を直接取得することはできない。したがって、中継装置40に、商品処理装置41,42・・・の代理として必要な証明書失効情報を取得して提供する機能を備えさせている。
【0093】
<本発明に係る中継装置を含むセキュア通信システムの特徴>
最近、インターネット技術の幅広い普及に伴い、商品処理装置をネットワーク対応型のものとし、インターネットによる通信接続を使って集中管理センターの管理サーバで遠隔地の商品処理装置をサポートするサービスが広まってきている。
【0094】
しかし、商品処理装置で取り扱う情報には顧客の経営情報が含まれている場合がある。特に、計量や包装を行う商品生産ラインや食品加工工場では、各商品処理装置内部の情報の機密性が高い。また、食品といった商品を生産するラインにおいては、食の安全のための検査も行われており、この検査を行う装置について外部から不正なアクセスが為されると、商品の安全性が損なわれる恐れも出てくる。
【0095】
したがって、管理サーバ等外部のネットワークを介して商品処理装置に通信接続を行ってデータを送受信するサービスを行おうとする場合には、通信データの改ざん、中間傍受、通信なりすまし、ウイルス感染等に対応するセキュリティ対策を万全に行って通信時の顧客情報の安全性確保を図ることが重要となる。
【0096】
このような要望に対し、単に公開鍵暗号技術を利用することも考えられるが、鍵を記憶したメモリデバイスを含む商品処理装置や商品処理装置の制御基板が盗難される恐れも否定できない。また、偽の管理サーバを作られ、偽のプログラムを送りつけられたり商品処理装置側の極秘情報を吸い上げられたりする恐れもある。
【0097】
もちろん、PKIを用いればある程度通信相手の正当性の保証は可能であるが、この技術では、意図しない経路での通信接続を検出して情報漏洩を防止する仕組みは備えていない。すなわち、商品処理装置自体が廃棄・盗難・交換されると、それを悪用して不正にネットワークに接続することが可能となる。これにより、通信当事者以外への情報漏洩の可能性が生まれてしまうことになる。
【0098】
これに対し、本実施形態の中継装置40を含むセキュア通信システムでは、不正経路接続防止機能を持つようになっており、以下のような各特徴がある。これにより、商品処理装置41,42・・・と管理サーバ20との通信の安全等を図ることができるようになっている。
【0099】
(1)
まず、中継装置40を介した商品処理装置41,42・・・と管理サーバ20との通信においては、完全な暗号化通信を図っている。具体的には、計量装置41等の商品処理装置41,42・・・それぞれに、TLS機能を持つモジュールを搭載している。TLS通信用秘密鍵58、電子証明書(公開鍵含む)61は、商品処理装置41,42・・・の出荷時において制御基板の内部に組み込まれている。
【0100】
その上で、商品処理装置41,42・・・にはインターネット50への直接の接続をさせない構成を採っている。
【0101】
(2)
また、商品処理装置41,42・・・と管理サーバ20とを介在するものとして、中継装置40を物件31に設置している。
【0102】
この中継装置40は、商品処理装置41,42・・・と同様に、出荷時においてTLS通信用秘密鍵57、電子証明書(公開鍵含む)66が最初から組み込まれている。
【0103】
商品処理装置41,42・・・の証明書である処理装置側電子証明書61と中継装置40の証明書である中継装置側電子証明書66とは、ともに出荷時に組み込まれている。
【0104】
さらに、管理サーバ20のサーバ側電子証明書68についても、処理装置側電子証明書61および中継装置側電子証明書66と同様に、出所が同じであって、最初から組み込まれている。
【0105】
これらの電子証明書は第三者機関である認証局によって発行されたものであり、公開鍵の真正性が証明されているものである。
【0106】
(3)
上記のような高度なセキュリティと不正経路接続防止機能を有したセキュア通信システムを用いることで、従来では安全性の面から実現が難しかった遠隔地の管理サーバ20による遠隔サポートサービス、オンライン発注サービス、ソフトウェアアップデイトサービス等のインターネット50を活用した各種サービスを顧客に安全に提供することができるようになっている。
【0107】
<3−1:遠隔サポートサービス>
従来から、商品処理装置が導入された製造現場では、日々の生産条件により商品処理装置の稼働率が変動する問題がある。これに対してノウハウを持ったサービスパーソン・営業・技術の各メンバーが都度、現地にて対応することで、サービスの提供を行っている。
【0108】
本セキュア通信システムを採用すれば、暗号化通信と経路特定を行った通信路を確立することで、安全なリモート診断サービスを提供できる。
【0109】
この時に、機物情報等テキストベースの文字データのみならず、商品処理装置に搭載されているカメラ映像の情報も同時に用いることが可能になるため、現場の状況を詳細に確認しながらの支援が可能となる。このため、問題発生から現地に赴く時間の無駄を解消するばかりでなく、従来よりも迅速なサービスの提供が可能となる。
【0110】
なお、この遠隔サポートサービスの実施のために、管理サーバ20のHD96の処理装置情報データベース96aには、各商品処理装置41,42・・・の稼働情報やメンテナンス情報が集められる。
【0111】
<3−2:オンライン発注サービス>
従来、電話やFAX等で処理していたメンテナンス用部品の発注処理を、映像資料等の補足資料を添えて、安全に電子データとして処理することができるようになる。これにより、即時に在庫状況や納期のような情報を顧客側に提供することができる。
【0112】
なお、このオンライン発注サービスの実施のために、管理サーバ20のHD96の発注データベース96bには、部品発注に関する情報が集められる。
【0113】
<3−3:ソフトウェアアップデイトサービス>
従来、サービスパーソンが現地に出向いて商品処理装置の制御プログラムのバージョンアップ等の作業を行っているが、本セキュア通信システムを採用すれば、素早く低コストでソフトウェアのアップデートサービスを提供することができるようになる。但し、管理サーバ20側から商品処理装置41,42・・・との通信セッションを開くことをセキュリティの観点から禁止しているため、管理サーバ20は、商品処理装置41,42・・・側から要求があったときに限り、必要な制御プログラムを商品処理装置41,42・・・に送信することが可能である。
【0114】
なお、このソフトウェアアップデイトサービスの実施のために、管理サーバ20のHD96のアップデイト用データベース96cには、各種の商品処理装置それぞれについて古いバージョンから最新バージョンまでの制御プログラムが格納されている。
【0115】
(4)
本セキュア通信システムでは、通信の主体者として、商品処理装置41,42・・・、中継装置40および管理サーバ20の三者が登場し、それぞれが電子証明書を備えている。本セキュア通信システムは、情報漏洩防止をシステムの一機能として持たせるために、顧客側の主体者を認証して経路を特定する機能を有し、管理サーバ20に対して通信のトリガを有する中継装置40と、中継装置40に対して通信のトリガを有する商品処理装置41,42・・・と、通信トリガを有しない管理サーバ20とを備える。また、本セキュア通信システムでは、TLS(SSL)通信技術と中継装置40等による相互認証機能とを融合させている。
【0116】
これにより、経路情報の特定および固定化が実現できるようになり、商品処理装置41,42・・・と中継装置40とのいずれかの機物が盗難されるといった予期せぬ状態が発生しても、それを用いた不正アクセスを防ぐことができる。
【0117】
<変形例>
(1)
例えば、SSLを利用した認証の場合、一般名(CN)のフィールドを利用した認証が可能である。
【0118】
具体的には、SSLライブラリでの一般名フィールド(制限が64バイト)に、識別記号欄と特定情報欄とを設ける。その特定情報欄に、中継装置40や商品処理装置41,42・・・であれば、それらのロッド番号を記述する。
【0119】
このように既存の電子証明書の一部のフィールドを利用して認証をし、経路特定を行うことができる。
【0120】
(2)
上記のセキュア通信システムでは、管理サーバ20側から商品処理装置41,42・・・との通信セッションを開くことをセキュリティの観点から禁止しているが、管理サーバ20のサーバ側電子証明書68の盗難の恐れが全くない等、セキュリティの確保が十分に可能である場合には、管理サーバ20に通信のトリガを引く権限を与えることも考えられる。
【0121】
(3)
上記のセキュア通信システムでは、制御部41aの不揮発メモリ83に処理装置側電子証明書61やTLS通信用秘密鍵58を入れているが、これらの暗号化通信のための主要機能を制御部41aから分離させて例えば計量装置に後付けする通信コンバータとして独立させることも考えられる。この場合、通信コンバータには、例えば、高速CPU、各種インターフェース、制御プログラムや稼働情報のバックアップ部等をさらに備えさせ、既存の各種商品処理装置に対応可能にしておくことが望ましい。
【0122】
(4)
上記のセキュア通信システムでは、中継装置40における商品処理装置41,42・・・の機物情報の登録を行う入力装置として、計量装置41の操作パネル41bを利用しているが、中継装置40に専用の入力装置を設けてもよい。
【産業上の利用可能性】
【0123】
本発明に係る中継装置を採用する通信システムは、商品処理装置や中継装置が盗難にあった場合にも、管理サーバになりすまして通信を傍受したり商品処理装置に偽の情報を送ったりする不正アクセスによる被害を防ぐことができ、商品処理装置と管理サーバとの間の情報のやりとりのセキュリティを確保することができる。このため、本発明に係る中継装置は、商品処理装置とその商品処理装置の管理を行う管理サーバとの間で情報の中継を行う中継装置として、特に有用である。
【図面の簡単な説明】
【0124】
【図1】本発明の一実施形態に係る中継装置を介して管理サーバに管理される商品処理装置群の斜視図。
【図2】中継装置を含むセキュア通信システムの構成図。
【図3】商品処理装置の構成図。
【図4】中継装置の構成図。
【図5】管理サーバの構成図。
【図6】上記実施形態におけるPKIモデルの図。
【符号の説明】
【0125】
20 管理サーバ
40 中継装置
41 計量装置(商品処理装置)
42 製袋包装装置(商品処理装置)
43 シールチェック装置(商品処理装置)
44 重量チェック装置(商品処理装置)
61,62,63 処理装置側電子証明書
61a 処理装置側接続認証用電子証明書
61b 処理装置側フィルタリング用電子証明書
66 中継装置側電子証明書
68 サーバ側電子証明書
71 CPU
71aa 第1中継装置照合部(第1照合部)
71ab 第2中継装置照合部(第2照合部)
71ba 第1中継装置判断部(第1判断部)
71ab 第2中継装置判断部(第2判断部)
73 不揮発メモリ
74 I/F74(第2中継部)
75 ネットワークI/F(第1中継部)
81 CPU
81a 処理装置照合部(第3照合部)
81b 処理装置判断部(第3判断部)
91 CPU
91a 管理サーバ照合部(第4照合部)
91b 管理サーバ判断部(第4判断部)
100 ルートCA
110 中間CA
120 コード署名局
【技術分野】
【0001】
本発明は、中継装置、特に、商品の生産に関する処理を行う商品処理装置と、その商品処理装置の管理を行う管理サーバとの間に配設され、商品処理装置と管理サーバとの間で情報の送受信を中継する中継装置、および同中継装置を含む通信システムに関する。
【背景技術】
【0002】
従来から、商品の生産ラインに並ぶ商品処理装置を専用回線やインターネット等の公衆回線を介して遠隔から管理するシステムが提案されている。例えば、特許文献1に開示されている組合せ秤システムでは、秤制御部の通信装置がインターネットを介してサーバコンピュータに接続している。そして、この特許文献1のシステムでは、制御プログラムの入れ替えが必要になったときに、サーバコンピュータから制御プログラムをダウンロードさせている。
【特許文献1】特開2001−243074号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
特許文献1のように、インターネット等を介して商品処理装置を遠隔から管理するシステムが従来から提案されているが、インターネット上の通信は、盗聴、改ざん、なりすまし、ウイルス感染等の脅威に晒されている。
【0004】
特に、商品の生産に用いる商品処理装置には、機密の情報が含まれることがある。また、商品処理装置は、悪意を持った第3者による動作パラメータ又は動作ソフトウェアの書き換え等不正なプログラムの配布により誤動作すると、人命への危険や生産の停止につながりかねず被害が大きい。
【0005】
例えば、計量装置、包装装置、商品検査装置といった商品処理装置が連なる食品の生産ラインにおいては、生産量や生産ノウハウ等の経営機密情報が各装置に存在するとともに、検査パラメータ等が悪意を持った者の手により書き換えられると検査が適切に行われなくなってしまう恐れがある。
【0006】
このような脅威に対する対策として、PKI(公開鍵基盤)が広く利用されているが、PKIにおいては、証明書を有する個体の正当性を完全には保証することはできない。例えば、登録された証明書を有する商品処理装置自体が盗難にあった場合や廃棄された場合、その商品処理装置を利用して内部ネットワークにアクセスすることが可能となる。
【0007】
したがって、このような商品の生産に関する処理を行う商品処理装置を遠隔から管理するシステムにおいては、PKIによる認証だけでなく、接続する個体の正当性をもっと保証し得る、より高度なセキュリティ対策を講じる必要がある。
【0008】
本発明の課題は、商品処理装置と、それを遠隔から管理する管理サーバとの間の情報のやりとりのセキュリティを確保することができる中継装置および同中継装置を利用した通信システムを提供することにある。
【課題を解決するための手段】
【0009】
第1発明に係る中継装置は、商品の生産に関する処理を行う商品処理装置と、その商品処理装置の管理を行う管理サーバとの間に配設されており、第1および第2中継部と、第1および第2照合部と、第1および第2判断部とを備える。第1中継部は、サーバ側証明書を有する管理サーバから商品処理装置への情報である第1情報の送信を中継する。第2中継部は、処理装置側証明書を有する商品処理装置から管理サーバへの情報である第2情報の送信を中継する。第1照合部は、第1情報の送信を中継する際にサーバ側証明書について照合処理を行う。第2照合部は、第2情報の送信を中継する際に処理装置側証明書について照合処理を行う。第1判断部は、第1照合部による照合処理の結果に基づき、管理サーバとの接続を許可するかどうかを判断する。第2判断部は、第2照合部による照合処理の結果に基づき、商品処理装置との接続を許可するかどうかを判断する。
【0010】
この中継装置により、商品処理装置と管理サーバとが直接情報のやりとりを行うことはなく、商品処理装置から管理サーバへ要求コマンド等の情報を送る際、あるいは管理サーバから商品処理装置へ新バージョンの制御プログラム等の情報を送る際に、各装置の証明書の検証を行う。
【0011】
証明書としては、例えばPKIにおいて認証局により発行された証明書がある。この証明書を利用して、接続対象となる装置の個体認証を行う。
【0012】
ここでは、PKI等における認証局による証明書の正当性の証明に加え、たとえ共通の認証局から発行され正当と認められた証明書を有する装置であっても、接続すべきでない装置(例えば廃棄或いは盗難にあった装置等)からの接続を許可しない。よって、より高度な通信セキュリティを確保することができる。
【0013】
すなわち、通信データの改ざん、中間傍受、通信におけるなりすましやウイルス感染等を未然に防ぐことができる。つまり、このような仕組みを採ることによって、例えば、商品処理装置の制御基板が盗難にあったり中継装置が盗難にあったりした場合にも、管理サーバになりすまして通信を傍受したり商品処理装置に偽の情報やウイルスを送ったりする不正アクセスによる被害を防ぐことができる。
【0014】
なお、上記の管理サーバ宛ての情報としては、アップデイト要求のコマンド、稼働率等の装置情報等を例として挙げることができ、商品処理装置宛ての情報としては、新バージョンのプログラム、リモートメンテナンスのコマンド等を例として挙げることができる。
【0015】
中継装置を介する全ての通信については暗号化を図ることがより好ましい。
【0016】
また、サーバ側証明書および処理装置側証明書は、生成主体が同じであって、出荷のときに最初から各装置に組み込まれることにより、より確実に証明書自体の偽造を防ぐことができる。
【0017】
第2発明に係る中継装置は、第1発明の中継装置であって、中継装置側証明書をさらに備える。中継装置側証明書は、管理サーバにおいて照合処理され、且つ前記商品処理装置において照合処理される。
【0018】
ここでは、中継装置自らも証明書を有することにより、管理サーバおよび商品処理装置との相互認証を可能とする。
【0019】
第3発明に係る中継装置は、第1発明の中継装置であって、処理装置側証明書は、商品処理装置を特定する処理装置固有番号を含む。中継装置の第2照合部は、処理装置固有番号について照合処理を行う。第2判断部は、処理装置固有番号について照合処理の結果に基づき商品処理装置との接続を許可するかどうかを判断する。
【0020】
ここでは、商品処理装置の個体認証をより確実に行うことを可能とする。
【0021】
例えばSSLを利用する場合、証明書に一般名を記入する情報欄が設けてある。その情報欄の一部のフィールドに、ロッド番号等の商品処理装置の特定情報を含ませることにより、同証明書を受信した中継装置の第2判断部は、通信相手である商品処理装置が正当かどうかを判断できる。
【0022】
第4発明に係る中継装置は、第1発明の中継装置であって、第1情報には署名が付されている。中継装置の第1照合部は、第1情報の署名について照合処理を行う。第1判断部は、第1情報の署名についての照合処理の結果に基づき、第1情報の送信を中継するかどうかを判断する。
【0023】
ここでは、第1情報の署名と中継装置が有する署名情報が一致した場合は、第1情報を商品処理装置へ送信し、不一致の場合は破棄する。これにより、装置ごとの認証に加えて、送信される情報の正当性も確認でき、特に情報の改ざんやなりすましをより効果的に防止することを可能とする。
【0024】
第5発明に係る中継装置は、第1発明の中継装置であって、第2情報には署名が付されている。中継装置の第2照合部は、第2情報の署名について照合処理を行う。第2判断部は、第2情報の署名についての照合処理の結果に基づき、第2情報の送信を中継するかどうかを判断する。
【0025】
ここでは、第2情報の署名と中継装置が有する署名情報が一致した場合は、第2情報を管理サーバへ送信し、不一致の場合は破棄する。これにより、装置ごとの認証に加えて、送信される情報の正当性も確認でき、特に情報の改ざんやなりすましをより効果的に防止することを可能とする。
【0026】
第6発明に係る中継装置は、第1発明の中継装置であって、第1情報はソフトウェアである。
【0027】
ここでは、特に盗聴または改ざんされた場合に甚大な被害につながる情報を明示している。
【0028】
第7発明に係る中継装置は、第1発明の中継装置であって、第2情報は商品処理装置に関する情報である。
【0029】
ここでは、特に盗聴または改ざんされた場合に甚大な被害につながる情報を明示している。
【0030】
第8発明に係る中継装置は、第1発明の中継装置であって、第1判断部は、処理装置側証明書の内容に応じて、中継する第1情報の範囲を制限する。
【0031】
ここでは、各顧客のニーズに応じて、管理サーバから必要な情報のみフィルタリングして送信を行うことを可能とする。
【0032】
第9発明に係る中継装置は、第1発明の中継装置であって、第2判断部は、処理装置側証明書の内容に応じて、中継する前記第2情報の範囲を制限する。
【0033】
ここでは、各顧客のニーズに応じて、商品処理装置からの情報送信を必要最小限にとどめることを可能とする。
【0034】
特に、商品処理装置の種類によっては、その装置の制御に必要なプログラムやパラメータが含まれていて管理サーバによるメンテナンス等が必要であるという性質が備わっている一方で、その装置の稼働実績や特殊でノウハウ的なパラメータ設定の情報が内包されるという性質が備わっている。このような商品処理装置の場合、商品処理装置の使用者は、管理サーバを扱う保守会社等の関連機関であったとしても、そこに商品処理装置の稼働実績やノウハウ的なパラメータ設定が情報漏洩してしまうことを望まないこともある。
【0035】
第10発明に係る通信システムは、第2から第9発明の中継装置と、一以上の商品処理装置と、管理サーバとを備える。管理サーバは一以上の中継装置に接続され、各中継装置は一以上の商品処理装置に接続される。
【0036】
商品処理装置は、第3照合部と第3判断部とを有する。第3照合部は、第1情報を受信する際に中継装置側証明書について照合処理を行う。第3判断部は、第3照合部による照合処理の結果に基づき中継装置との接続を許可するかどうかを判断する。
【0037】
管理サーバは、第4照合部と第4判断部とを有する。第4照合部は、第2情報を受信する際に中継装置側証明書について照合処理を行う。第4判断部は、第4照合部による照合処理の結果に基づき中継装置との接続を許可するかどうかを判断する。
【0038】
ここでは、管理サーバ、中継装置および商品処理装置の三者が有する証明書を相互に検証する。これにより、従来のPKIのみの通信システムに比して、よりセキュリティ効果の高い通信システムが実現できる。
【0039】
一般的なPKIでは証明書の正当性は確認できるものの、その証明書をもつ接続相手の正当性までを完全に保証することはできない。この通信システムによれば、工場毎等に設置された中継装置を介して商品処理装置と管理サーバとの間では2度の相互認証を行うため、例えば商品処理装置についての証明書が外部に漏洩しても、外部において直接管理サーバへ接続することができない。この通信システムにより、各装置間における階層的なセキュアな認証システムが実現できるとともに、通信経路の特定が容易になる。
【0040】
第11発明に係る通信システムは、第10発明の通信システムであって、商品処理装置の第3判断部は、中継装置から開始する接続は許可しない。
【0041】
ここでは、情報の送信は常に商品処理装置側からの要求に応じて行われることになり、外部ネットワークに近い中継装置を経由した不正アクセスをより効果的に防止できる。特に、商品処理装置の動作パラメータの不測の書き換えや制御プログラムの不測の変更といった事態を抑えることができるとともに、商品処理装置にある機密情報の漏洩も回避することができる。
【0042】
第12発明に係る通信システムは、第10発明の通信システムであって、中継装置の第1判断部は、管理サーバから開始する接続は許可しない。
【0043】
ここでは、情報の送信は常に中継装置側(顧客側)からの要求に応じて行われることになり、外部ネットワークからの不正アクセスをより効果的に防止できる。特に、商品処理装置の動作パラメータの不測の書き換えや制御プログラムの不測の変更といった事態を未然に防ぐことができるとともに、商品処理装置にある機密情報の漏洩も回避することができる。
【発明の効果】
【0044】
本発明によれば、従来のPKIによる認証に加え、管理サーバ、中継装置および商品処理装置の間でより確実な個体認証を行うことができるため、特になりすまし、改ざん等の不正アクセスやウイルス感染を効果的に防ぐことができ、商品処理装置と管理サーバとの間の情報のやりとりについて高度なセキュリティを確保することができる。
【発明を実施するための最良の形態】
【0045】
本発明の一実施形態に係る中継装置に接続される商品生産ラインの商品処理装置41,42,43,44を、図1に示す。これらの商品処理装置41,42,43,44は、図2に示すように、中継装置40を介して遠隔にある管理サーバ20により遠隔監視や遠隔ソフトウェアアップデイトといった管理が為される。図2に示す管理サーバ20,中継装置40および商品処理装置41,42・・・から成る管理システムを、ここではセキュア通信システムと称する。
【0046】
遠隔からの管理の対象となる商品処理装置41,42・・・は、袋詰めされる食品である商品を生産するラインにおいて、それぞれ、商品処理を行う。具体的には、図1に示す計量装置41、製袋包装装置42、シールチェック装置43、重量チェック装置44等が商品処理装置である。図1では省略しているが、商品処理装置には、その他、自動箱詰め装置、X線等による異物混入チェック装置等が含まれることもある。
【0047】
図2に示すように、1つの物件(工場等)31に設置される一連の商品処理装置41,42・・・は、それぞれ物件31内に設置される1つの中継装置40に接続される。そして、中継装置40は、インターネット50等の公衆回線あるいは専用回線を介して、物件31から遠く離れた遠隔地にある集中管理センター10内の管理サーバ20に接続される。また、管理サーバ20は、物件31以外の物件32,33等に設置されている中継装置からの接続要求も受ける。
【0048】
中継装置40は、商品処理装置41,42・・・から管理サーバ20に送信される診断用データや部品発注データの中継を行ったり、管理サーバ20から商品処理装置41,42・・・に送信される新バージョンの商品処理用プログラムの中継を行ったりする。商品処理装置41,42・・・と管理サーバ20とは直接つながることはなく、両者の間のデータ(情報)のやりとりは、必ず中継装置40を介して行われる。
【0049】
<商品処理装置の詳細構成>
商品処理装置41,42・・・について、ここでは計量装置41を例にとって説明を行う。なお、製袋包装装置42やシールチェック装置43等他の商品処理装置においても、計量装置41と同様の制御部の構成となっている。
【0050】
計量装置41は、主として、制御部41aと、操作パネル41bと、制御部41aに接続される駆動部やセンサー41cとから構成されている(図3参照)。駆動部やセンサー41cには、計量物を搬送するための電磁石、計量物の重量を検出する重量センサー、計量ホッパの底面を開閉するためのモータ等が含まれる。操作パネル41bは、計量に関する各種設定を入力するためのタッチパネル式の液晶画面であり、且つ、稼働状況等を表示する表示器である。この操作パネル41bは、製袋包装装置42の操作パネルを兼ねるとともに、後述する中継装置40における商品処理装置41,42・・・の機物情報の登録を行う入力装置の役割も果たす。
【0051】
計量装置41の制御部41aは、図3に示すように、CPU81、RAM82、不揮発メモリ83、通信インターフェース(以下、通信I/Fという。)84等がバスによって接続されたものである。
【0052】
CPU81は、中継装置40の電子証明書66について照合処理を行う処理装置照合部81aと、処理装置照合部81aの照合の結果に基づき判断処理を行う処理装置判断部81bとを有する。
【0053】
不揮発メモリ83には、公開鍵を含む電子証明書61、TLS(SSL)通信用秘密鍵58、制御プログラム(図示せず)等が記憶される。電子証明書61として、中継装置40との間で接続の認証を行うために用いられる処理装置側接続認証用電子証明書61aとともに、中継装置40を介して管理サーバ20へと送られる情報のフィルタリングを中継装置40に行わせるための処理装置側フィルタリング用電子証明書61bが用意されている。TLS通信用秘密鍵58は、公開鍵暗号方式で使用される一対の鍵の組のうちの1つである。制御部41aは、中継装置40から送られてきた暗号化されたデータ(情報)を、TLS通信用秘密鍵58を使って復号する。また、制御部41aは、中継装置40に送るデータを公開鍵によって暗号化する。
【0054】
次に説明する中継装置40と計量装置41とは、両者の通信I/F74,84を介して専用線によって接続される。なお、中継装置40と計量装置41との通信は、全てが暗号化される。
【0055】
<中継装置の詳細構成>
中継装置40は、物件31内に設置されるセキュアプロキシであり、プログラミング機能を持っている。この中継装置40は、CPU71、RAM72、不揮発メモリ73、通信I/F74、ネットワークインターフェース(以下、ネットワークI/Fという。)75、ハードディスク(以下、HDという。)76等がバスによって接続されたものである。
【0056】
中継装置40の通信I/F74は、商品処理装置41,42・・・からの情報を中継する中継部として機能し、同一の物件31内にある商品処理装置41,42・・・の通信I/F84に接続される。
【0057】
中継装置40のネットワークI/F75は、管理サーバからの情報を中継する中継部として機能し、遠隔地にある管理サーバ20のネットワークI/F95にインターネット50を介して接続される。なお、中継装置40と管理サーバ20との通信についても、全てが暗号化される。
【0058】
上述のように、中継装置40は、商品処理装置41,42・・・と管理サーバ20との間でデータの中継を行うものであるが、その中継処理において、認証を行い、特定の経路しか受け付けない。
【0059】
CPU71は、管理サーバ20の電子証明書68について照合処理を行う第1中継装置照合部71aaと、商品処理装置の電子証明書61について照合処理を行う第2中継装置照合部71abと、第1中継装置照合部71aaの照合の結果に基づき判断処理を行う第1中継装置判断部71baと、第2中継装置照合部71abの照合の結果に基づき判断処理を行う第2中継装置判断部71bbとを有する。
【0060】
不揮発メモリ73には、公開鍵を含む電子証明書である中継装置側電子証明書66、TLS(SSL)通信用秘密鍵57、プログラム(図示せず)等が記憶される。中継装置40は、商品処理装置41,42・・・や管理サーバ20から送られてきた暗号化されたデータを、TLS通信用秘密鍵57を使って復号する。また、中継装置40は、商品処理装置41,42・・・や管理サーバ20に送るデータを公開鍵によって暗号化する。
【0061】
また、不揮発メモリ73では、商品処理装置41,42・・・のロッド番号がロッド番号データベース73aに記憶される。このロッド番号データベース73aに各ロッド番号を記憶させる登録作業は、本セキュア通信システムにおいては、計量装置41の操作パネル41bを用いて行われる。
【0062】
<管理サーバの詳細構成>
管理サーバ20は、上述のように物件31から遠く離れた遠隔地にある集中管理センター10に設置されており、商品処理装置41,42・・・から中継装置40を介して為される接続要求を受け付ける。この管理サーバ20は、各物件31,32,33にある商品処理装置41,42・・・のメンテナンスをリモートで行う機能、最新の制御プログラムを要求に応じて配信する機能、各商品処理装置の動作状況等の情報を取得して管理する(例えば、監視したり報告書を作ったりする)機能等を有している。
【0063】
管理サーバ20は、CPU91、RAM92、不揮発メモリ93、ネットワークI/F95、HD96等がバスによって接続されたものである。
【0064】
CPU91は、中継装置40の電子証明書66について照合処理を行う管理サーバ照合部91aと、管理サーバ照合部91aの照合の結果に基づき判断処理を行う管理サーバ判断部91bとを有する。
【0065】
不揮発メモリ93には、公開鍵を含む電子証明書であるサーバ側電子証明書68、TLS(SSL)通信用秘密鍵59、処理装置側電子証明書61,62,63・・・および中継装置側電子証明書66の有効期限を記憶する失効データベース93a、管理プログラム(図示せず)等が記憶される。管理サーバ20は、中継装置40から送られてきた暗号化されたデータを、TLS通信用秘密鍵59を使って復号する。また、管理サーバ20は、中継装置40に送るデータを公開鍵によって暗号化する。
【0066】
複数の中継装置40から接続要求を受け付けるが、管理サーバ20は、それらの中継装置40を、中継装置側電子証明書66によって認識・認証する。さらに、管理サーバ20は、中継装置40を介して送られてくる商品処理装置41,42・・・からのデータについて、その中に含まれる、ロッド番号等の商品処理装置を特定する情報も確認する。例えば、ロッド番号が管理サーバ20側に登録されていないものであれば、そのデータの受信を拒否する。すなわち、中継装置40を認識して通信路特定をし、中継装置側電子証明書66の認証も終わり、通信セッションを開いた後であっても、送信されてきたデータ内にあるロッド番号が登録されていないものであれば受信拒否となる。これにより、中継装置40が盗難にあった場合でも、それを使った悪意の通信セッションを管理サーバ20との間で開けるものの、データの送受信は管理サーバ20に拒否されることになり、管理サーバ20からの機密データの漏洩が防止できる。
【0067】
HD96の中には、各商品処理装置41,42・・・の稼働情報やメンテナンス情報を記憶する処理装置情報データベース96a、各物件31からの部品のオンライン発注に関する情報を記憶する発注データベース96b、各商品処理装置41,42・・・の種々のバージョンの制御プログラムを記憶するアップデイト用データベース96c等が存在している。各データベースの利用については、後述する。
【0068】
<セキュア通信システムのPKIモデル>
本セキュア通信システムは、PKIを利用したシステムであり、図6はその一例を示す。
【0069】
本PKIモデルは、ルートCA証明書101を有するルートCA100と、中間CA証明書111を有する中間CAと、各電子証明書を有する管理サーバ20、中継装置40および商品処理装置41,42・・・とを備えた階層型モデルである。なお、図示は省略しているが、中間CAは装置ごとに複数設けられている。
【0070】
管理サーバ20、中継装置40および商品処理装置41,42・・・の各電子証明書はそれぞれを管理する中間CAに認証され、各中間CAはルートCAに認証される。
【0071】
また、本PKIモデルにおいては、コード署名局120が設けられている。コード署名局は、管理サーバ20、中継装置40および商品処理装置41,42・・・間において送受信されるソフトウェア等の情報に付されるコード署名を管理する。情報に付されたコード署名が真正なものであることを確認するために、コード署名局は署名局証明書121を有し、同コード署名局を管理する中間CAに認証され、その中間CAはルートCAに認証される。
【0072】
このようなしくみをとることにより、各電子証明書や署名が信頼された機関により発行又は保証されたものであることが確認できる。
【0073】
<セキュア通信システムの各モード>
次に、不正経路接続防止機能を持った本セキュア通信システムの各モードについて、以下に説明する。
【0074】
(1)設定モード
このモードは、中継装置40に接続する商品処理装置41,42・・・の数が増減する場合に実行される。
【0075】
通信セッション開始のトリガは全て商品処理装置41,42・・・側が有しており、通信経路を特定するためには、中継装置40に商品処理装置41,42・・・に関する情報である機物情報を登録させておく。そのため、中継装置40のモードを切り替えて機物情報(ここでは、ロッド番号)の登録作業を行なう。各商品処理装置41,42・・・のロッド番号は、図4に示すように、中継装置40のロッド番号データベース73aに記憶される。
【0076】
管理サーバ20は、自ら商品処理装置41,42・・・に対する通信セッションを開くことはできず、商品処理装置41,42・・・がトリガを引いた通信セッションにおいてのみ、応答の形で商品処理装置41,42・・・にアクセスすることができる。
【0077】
(2)通信モード
通信セッション開始の操作は、全て商品処理装置41,42・・・側から行う。
【0078】
通信開始時の中継装置40と商品処理装置41,42・・・との認証シーケンスについては、全てTLS技術を用いる。具体的には、公開鍵および秘密鍵、電子証明書、ハッシュ関数というセキュリティ技術を組み合わせて、認証シーケンスを行う。この際、商品処理装置41,42・・・は、上記の設定モードで登録された特定の中継装置40を介さなければ、各種サービスを提供する管理サーバ20に接続することができない。
【0079】
TLSのハンドシェイク時に利用する処理装置側接続認証用電子証明書61aの内部の所定項目欄に商品処理装置41,42・・・の識別名とロッド番号とを埋め込み、TLSセッション開始時に、中継装置40から商品処理装置41,42・・・側に要求して得られたロッド番号と比較することで、中継許可を行うかどうかを中継装置40において判定する。
【0080】
正しい相手である場合、中継装置40は、同様の手順で、各種サービスを提供している管理サーバ20に対して接続を要求する。この接続の過程でもTLS認証を用い、通信セッション確立時には本セキュア通信システムの全通信経路において暗号化および情報完全性を保証できるようにしている。したがって、インターネット50を流れるデータは、全て、改ざん防止目的の電子署名が為されたものとなる。
【0081】
通信セッションが確立された後、商品処理装置41,42・・・は、処理装置側接続認証用電子証明書61aとは別の証明書である処理装置側フィルタリング用電子証明書61bを用いることで、送信情報のフィルタリングを行うことができる。このフィルタリングにより、情報(通信データ)を選択して暗号化送信することができる。このように、処理装置側フィルタリング用電子証明書61bが設けられているため、商品処理装置41,42・・・を使う顧客は、外部(管理サーバ20)に送信する必要がない機密情報をフィルタリングにより外すことができる。
【0082】
上記のような手順を踏むため、商品処理装置41,42・・・は、特定の中継装置40のみを経由してからでなければ、各種サービスを提供する管理サーバ20への接続ができない。したがって、商品処理装置41,42・・・が廃棄されたり盗難にあったりした場合でも、双方(商品処理装置41,42・・・を使う顧客および管理サーバ20により各種サービスを提供する者)が不正なアクセスを受けるといったセキュリティ上の懸念がなくなっている。
【0083】
また、中継装置40自身は、商品処理装置41,42・・・に対する通信セッションを開始するためのトリガ機能を有していない。このため、中継装置40が廃棄や盗難等にあい商品処理装置41,42・・・に対する接続を試みられた場合でも、接続はできず情報漏洩等を防ぐことができる。よって、顧客にとってセキュリティ上の懸念がない。
【0084】
また、商品処理装置41,42・・・と中継装置40の電子証明書に関しては、その失効を接続要求毎に確認する機能が管理サーバ20に搭載されており、商品処理装置41,42・・・が中継装置40を通して管理サーバ20へ接続することを個別に無効化することができる。失効手続きは、管理サーバ20側で有効期限のチェックと無効化設定を行うことで、実現される。これにより、中継装置40と商品処理装置41,42・・・の両方で、鍵や電子証明書の悪意の二次利用が防止できる。有効期限や無効化設定の有無等の情報は、管理サーバ20の不揮発メモリ93の失効データベース93aに格納される。このような電子証明書の失効確認を管理サーバ20で行っているため、万が一、中継装置40と商品処理装置41,42・・・の制御基板とがセットで持ち出されても、失効手続きを行うことで悪意の通信を管理サーバ20側でプロテクトすることができる。
【0085】
<中継装置の各機能について>
次に、中継装置40に焦点を当てて、その各機能について整理した形で説明を行う。
【0086】
(1)商品処理装置認証機能
本セキュア通信システムでは、例えばPKIを利用して暗号化通信を確立する際に相互認証を行う。この際、否認防止目的のために、電子証明書の識別名および拡張領域項目を活用して、厳重なチェックを実施している。
【0087】
管理サーバ20に情報を送信するために商品処理装置41,42・・・から中継装置40に情報が送られるときには、処理装置側接続認証用電子証明書61aが付けられ、その電子証明書61aの拡張領域項目には商品処理装置41,42・・・のロッド番号が入れられる。
【0088】
中継装置40の第2中継装置照合部71bbは、登録された商品処理装置41,42・・・のロット番号と、送られてきた電子証明書61aのロット番号とを照合する。ここでロッド番号が異なる場合には、中継装置40の第2中継装置判断部71bbが、商品処理装置41,42・・・との接続を拒否する。
【0089】
このような仕組みを採用しているため、例えば盗み出した商品処理装置41,42・・・の電子証明書61aをコンピュータに組み込んで別の中継装置40に悪意の接続を試みようとしても、中継装置40にはその盗まれた商品処理装置41,42・・・のロット番号が登録されていないため、通信セッションが開かれない。
【0090】
(2)商品処理装置情報管理機能
自身の管理下にある商品処理装置41,42・・・にのみインターネット50を介した管理サーバ20への接続許可を出す役割を果たすため、中継装置40では、セキュア通信システムの使用前に、商品処理装置41,42・・・の機物情報を登録しておく必要がある。このため、中継装置40は、各商品処理装置41,42・・・の固有情報(ロッド番号等)を保存する機能を有している。例えば、上述のように、操作パネル41bを用いた入力により、中継装置40のロッド番号データベース73aに各商品処理装置41,42・・・のロッド番号が登録される。
【0091】
(3)通信コンバータ機能
商品処理装置41,42・・・自身が直接インターネット50を経由して管理サーバ20等と通信を行うということがセキュリティの面から好ましくないため、中継装置40は、商品処理装置41,42・・・の通信を仲介する役割を果たす。また、中継装置40は、同時に複数の商品処理装置41,42・・・からの接続要求があったときに、それらを適切に処理する機能を有している。
【0092】
(4)証明書失効情報提供機能
通常、証明書を利用した暗号化通信では、証明書の失効情報を自身で確認する。しかし、本セキュア通信システムでは、管理サーバ20と商品処理装置41,42・・・とが直接つながることはなく、商品処理装置41,42・・・が証明書の失効情報を直接取得することはできない。したがって、中継装置40に、商品処理装置41,42・・・の代理として必要な証明書失効情報を取得して提供する機能を備えさせている。
【0093】
<本発明に係る中継装置を含むセキュア通信システムの特徴>
最近、インターネット技術の幅広い普及に伴い、商品処理装置をネットワーク対応型のものとし、インターネットによる通信接続を使って集中管理センターの管理サーバで遠隔地の商品処理装置をサポートするサービスが広まってきている。
【0094】
しかし、商品処理装置で取り扱う情報には顧客の経営情報が含まれている場合がある。特に、計量や包装を行う商品生産ラインや食品加工工場では、各商品処理装置内部の情報の機密性が高い。また、食品といった商品を生産するラインにおいては、食の安全のための検査も行われており、この検査を行う装置について外部から不正なアクセスが為されると、商品の安全性が損なわれる恐れも出てくる。
【0095】
したがって、管理サーバ等外部のネットワークを介して商品処理装置に通信接続を行ってデータを送受信するサービスを行おうとする場合には、通信データの改ざん、中間傍受、通信なりすまし、ウイルス感染等に対応するセキュリティ対策を万全に行って通信時の顧客情報の安全性確保を図ることが重要となる。
【0096】
このような要望に対し、単に公開鍵暗号技術を利用することも考えられるが、鍵を記憶したメモリデバイスを含む商品処理装置や商品処理装置の制御基板が盗難される恐れも否定できない。また、偽の管理サーバを作られ、偽のプログラムを送りつけられたり商品処理装置側の極秘情報を吸い上げられたりする恐れもある。
【0097】
もちろん、PKIを用いればある程度通信相手の正当性の保証は可能であるが、この技術では、意図しない経路での通信接続を検出して情報漏洩を防止する仕組みは備えていない。すなわち、商品処理装置自体が廃棄・盗難・交換されると、それを悪用して不正にネットワークに接続することが可能となる。これにより、通信当事者以外への情報漏洩の可能性が生まれてしまうことになる。
【0098】
これに対し、本実施形態の中継装置40を含むセキュア通信システムでは、不正経路接続防止機能を持つようになっており、以下のような各特徴がある。これにより、商品処理装置41,42・・・と管理サーバ20との通信の安全等を図ることができるようになっている。
【0099】
(1)
まず、中継装置40を介した商品処理装置41,42・・・と管理サーバ20との通信においては、完全な暗号化通信を図っている。具体的には、計量装置41等の商品処理装置41,42・・・それぞれに、TLS機能を持つモジュールを搭載している。TLS通信用秘密鍵58、電子証明書(公開鍵含む)61は、商品処理装置41,42・・・の出荷時において制御基板の内部に組み込まれている。
【0100】
その上で、商品処理装置41,42・・・にはインターネット50への直接の接続をさせない構成を採っている。
【0101】
(2)
また、商品処理装置41,42・・・と管理サーバ20とを介在するものとして、中継装置40を物件31に設置している。
【0102】
この中継装置40は、商品処理装置41,42・・・と同様に、出荷時においてTLS通信用秘密鍵57、電子証明書(公開鍵含む)66が最初から組み込まれている。
【0103】
商品処理装置41,42・・・の証明書である処理装置側電子証明書61と中継装置40の証明書である中継装置側電子証明書66とは、ともに出荷時に組み込まれている。
【0104】
さらに、管理サーバ20のサーバ側電子証明書68についても、処理装置側電子証明書61および中継装置側電子証明書66と同様に、出所が同じであって、最初から組み込まれている。
【0105】
これらの電子証明書は第三者機関である認証局によって発行されたものであり、公開鍵の真正性が証明されているものである。
【0106】
(3)
上記のような高度なセキュリティと不正経路接続防止機能を有したセキュア通信システムを用いることで、従来では安全性の面から実現が難しかった遠隔地の管理サーバ20による遠隔サポートサービス、オンライン発注サービス、ソフトウェアアップデイトサービス等のインターネット50を活用した各種サービスを顧客に安全に提供することができるようになっている。
【0107】
<3−1:遠隔サポートサービス>
従来から、商品処理装置が導入された製造現場では、日々の生産条件により商品処理装置の稼働率が変動する問題がある。これに対してノウハウを持ったサービスパーソン・営業・技術の各メンバーが都度、現地にて対応することで、サービスの提供を行っている。
【0108】
本セキュア通信システムを採用すれば、暗号化通信と経路特定を行った通信路を確立することで、安全なリモート診断サービスを提供できる。
【0109】
この時に、機物情報等テキストベースの文字データのみならず、商品処理装置に搭載されているカメラ映像の情報も同時に用いることが可能になるため、現場の状況を詳細に確認しながらの支援が可能となる。このため、問題発生から現地に赴く時間の無駄を解消するばかりでなく、従来よりも迅速なサービスの提供が可能となる。
【0110】
なお、この遠隔サポートサービスの実施のために、管理サーバ20のHD96の処理装置情報データベース96aには、各商品処理装置41,42・・・の稼働情報やメンテナンス情報が集められる。
【0111】
<3−2:オンライン発注サービス>
従来、電話やFAX等で処理していたメンテナンス用部品の発注処理を、映像資料等の補足資料を添えて、安全に電子データとして処理することができるようになる。これにより、即時に在庫状況や納期のような情報を顧客側に提供することができる。
【0112】
なお、このオンライン発注サービスの実施のために、管理サーバ20のHD96の発注データベース96bには、部品発注に関する情報が集められる。
【0113】
<3−3:ソフトウェアアップデイトサービス>
従来、サービスパーソンが現地に出向いて商品処理装置の制御プログラムのバージョンアップ等の作業を行っているが、本セキュア通信システムを採用すれば、素早く低コストでソフトウェアのアップデートサービスを提供することができるようになる。但し、管理サーバ20側から商品処理装置41,42・・・との通信セッションを開くことをセキュリティの観点から禁止しているため、管理サーバ20は、商品処理装置41,42・・・側から要求があったときに限り、必要な制御プログラムを商品処理装置41,42・・・に送信することが可能である。
【0114】
なお、このソフトウェアアップデイトサービスの実施のために、管理サーバ20のHD96のアップデイト用データベース96cには、各種の商品処理装置それぞれについて古いバージョンから最新バージョンまでの制御プログラムが格納されている。
【0115】
(4)
本セキュア通信システムでは、通信の主体者として、商品処理装置41,42・・・、中継装置40および管理サーバ20の三者が登場し、それぞれが電子証明書を備えている。本セキュア通信システムは、情報漏洩防止をシステムの一機能として持たせるために、顧客側の主体者を認証して経路を特定する機能を有し、管理サーバ20に対して通信のトリガを有する中継装置40と、中継装置40に対して通信のトリガを有する商品処理装置41,42・・・と、通信トリガを有しない管理サーバ20とを備える。また、本セキュア通信システムでは、TLS(SSL)通信技術と中継装置40等による相互認証機能とを融合させている。
【0116】
これにより、経路情報の特定および固定化が実現できるようになり、商品処理装置41,42・・・と中継装置40とのいずれかの機物が盗難されるといった予期せぬ状態が発生しても、それを用いた不正アクセスを防ぐことができる。
【0117】
<変形例>
(1)
例えば、SSLを利用した認証の場合、一般名(CN)のフィールドを利用した認証が可能である。
【0118】
具体的には、SSLライブラリでの一般名フィールド(制限が64バイト)に、識別記号欄と特定情報欄とを設ける。その特定情報欄に、中継装置40や商品処理装置41,42・・・であれば、それらのロッド番号を記述する。
【0119】
このように既存の電子証明書の一部のフィールドを利用して認証をし、経路特定を行うことができる。
【0120】
(2)
上記のセキュア通信システムでは、管理サーバ20側から商品処理装置41,42・・・との通信セッションを開くことをセキュリティの観点から禁止しているが、管理サーバ20のサーバ側電子証明書68の盗難の恐れが全くない等、セキュリティの確保が十分に可能である場合には、管理サーバ20に通信のトリガを引く権限を与えることも考えられる。
【0121】
(3)
上記のセキュア通信システムでは、制御部41aの不揮発メモリ83に処理装置側電子証明書61やTLS通信用秘密鍵58を入れているが、これらの暗号化通信のための主要機能を制御部41aから分離させて例えば計量装置に後付けする通信コンバータとして独立させることも考えられる。この場合、通信コンバータには、例えば、高速CPU、各種インターフェース、制御プログラムや稼働情報のバックアップ部等をさらに備えさせ、既存の各種商品処理装置に対応可能にしておくことが望ましい。
【0122】
(4)
上記のセキュア通信システムでは、中継装置40における商品処理装置41,42・・・の機物情報の登録を行う入力装置として、計量装置41の操作パネル41bを利用しているが、中継装置40に専用の入力装置を設けてもよい。
【産業上の利用可能性】
【0123】
本発明に係る中継装置を採用する通信システムは、商品処理装置や中継装置が盗難にあった場合にも、管理サーバになりすまして通信を傍受したり商品処理装置に偽の情報を送ったりする不正アクセスによる被害を防ぐことができ、商品処理装置と管理サーバとの間の情報のやりとりのセキュリティを確保することができる。このため、本発明に係る中継装置は、商品処理装置とその商品処理装置の管理を行う管理サーバとの間で情報の中継を行う中継装置として、特に有用である。
【図面の簡単な説明】
【0124】
【図1】本発明の一実施形態に係る中継装置を介して管理サーバに管理される商品処理装置群の斜視図。
【図2】中継装置を含むセキュア通信システムの構成図。
【図3】商品処理装置の構成図。
【図4】中継装置の構成図。
【図5】管理サーバの構成図。
【図6】上記実施形態におけるPKIモデルの図。
【符号の説明】
【0125】
20 管理サーバ
40 中継装置
41 計量装置(商品処理装置)
42 製袋包装装置(商品処理装置)
43 シールチェック装置(商品処理装置)
44 重量チェック装置(商品処理装置)
61,62,63 処理装置側電子証明書
61a 処理装置側接続認証用電子証明書
61b 処理装置側フィルタリング用電子証明書
66 中継装置側電子証明書
68 サーバ側電子証明書
71 CPU
71aa 第1中継装置照合部(第1照合部)
71ab 第2中継装置照合部(第2照合部)
71ba 第1中継装置判断部(第1判断部)
71ab 第2中継装置判断部(第2判断部)
73 不揮発メモリ
74 I/F74(第2中継部)
75 ネットワークI/F(第1中継部)
81 CPU
81a 処理装置照合部(第3照合部)
81b 処理装置判断部(第3判断部)
91 CPU
91a 管理サーバ照合部(第4照合部)
91b 管理サーバ判断部(第4判断部)
100 ルートCA
110 中間CA
120 コード署名局
【特許請求の範囲】
【請求項1】
商品の生産に関する処理を行う商品処理装置と、前記商品処理装置の管理を行う管理サーバとの間に配設される中継装置であって、
サーバ側証明書を有する前記管理サーバから前記商品処理装置への情報である第1情報の送信を中継する第1中継部と、
処理装置側証明書を有する前記商品処理装置から前記管理サーバへの情報である第2情報の送信を中継する第2中継部と、
前記第1情報の送信を中継する際に、前記サーバ側証明書について照合処理を行う第1照合部と、
前記第2情報の送信を中継する際に、前記処理装置側証明書について照合処理を行う第2照合部と、
前記第1照合部による照合処理の結果に基づき、前記管理サーバとの接続を許可するかどうかを判断する第1判断部と、
前記第2照合部による照合処理の結果に基づき、前記商品処理装置との接続を許可するかどうかを判断する第2判断部とを備える、
中継装置。
【請求項2】
前記管理サーバにおいて照合処理され、且つ前記商品処理装置において照合処理される、中継装置側証明書をさらに備えてなる、
請求項1記載の中継装置。
【請求項3】
前記処理装置側証明書は、前記商品処理装置を特定する処理装置固有番号を含み、
前記第2照合部は、前記処理装置固有番号について照合処理を行い、
前記第2判断部は、前記処理装置固有番号について照合処理の結果に基づき前記商品処理装置との接続を許可するかどうかを判断する、
請求項1記載の中継装置。
【請求項4】
前記第1情報には署名が付されており、
前記第1照合部は、前記第1情報の署名について照合処理を行い、
前記第1判断部は、前記第1情報の署名についての照合処理の結果に基づき、前記第1情報の送信を中継するかどうかを判断する、
請求項1記載の中継装置。
【請求項5】
前記第2情報には署名が付されており、
前記第2照合部は、前記第2情報の署名について照合処理を行い、
前記第2判断部は、前記第2情報の署名についての照合処理の結果に基づき、前記第2情報の送信を中継するかどうかを判断する、
請求項1記載の中継装置。
【請求項6】
前記第1情報はソフトウエアである、
請求項1記載の中継装置。
【請求項7】
前記第2情報は、商品処理装置に関する情報である、
請求項1記載の中継装置。
【請求項8】
前記第1判断部は、前記処理装置側証明書の内容に応じて、中継する前記第1情報の範囲を制限する、
請求項1記載の中継装置。
【請求項9】
前記第2判断部は、前記処理装置側証明書の内容に応じて、中継する前記第2情報の範囲を制限する、
請求項1記載の中継装置。
【請求項10】
請求項2〜9のいずれかに記載の中継装置と、
前記中継装置に接続される一以上の前記商品処理装置と、
一以上の前記中継装置を介して、前記商品処理装置に接続される前記管理サーバと
を備え、
前記商品処理装置は、前記第1情報を受信する際に前記中継装置側証明書について照合処理を行う第3照合部と、前記第3照合部による照合処理の結果に基づき前記中継装置との接続を許可するかどうかを判断する第3判断部とを有し、
前記管理サーバは、前記第2情報を受信する際に前記中継装置側証明書について照合処理を行う第4照合部と、前記第4照合部による照合処理の結果に基づき前記中継装置との接続を許可するかどうかを判断する第4判断部とを有する、
通信システム。
【請求項11】
前記商品処理装置の前記第3判断部は、前記中継装置から開始する接続は許可しない、
請求項10記載の通信システム。
【請求項12】
前記中継装置の前記第1判断部は、前記管理サーバから開始する接続は許可しない、
請求項10記載の通信システム。
【請求項1】
商品の生産に関する処理を行う商品処理装置と、前記商品処理装置の管理を行う管理サーバとの間に配設される中継装置であって、
サーバ側証明書を有する前記管理サーバから前記商品処理装置への情報である第1情報の送信を中継する第1中継部と、
処理装置側証明書を有する前記商品処理装置から前記管理サーバへの情報である第2情報の送信を中継する第2中継部と、
前記第1情報の送信を中継する際に、前記サーバ側証明書について照合処理を行う第1照合部と、
前記第2情報の送信を中継する際に、前記処理装置側証明書について照合処理を行う第2照合部と、
前記第1照合部による照合処理の結果に基づき、前記管理サーバとの接続を許可するかどうかを判断する第1判断部と、
前記第2照合部による照合処理の結果に基づき、前記商品処理装置との接続を許可するかどうかを判断する第2判断部とを備える、
中継装置。
【請求項2】
前記管理サーバにおいて照合処理され、且つ前記商品処理装置において照合処理される、中継装置側証明書をさらに備えてなる、
請求項1記載の中継装置。
【請求項3】
前記処理装置側証明書は、前記商品処理装置を特定する処理装置固有番号を含み、
前記第2照合部は、前記処理装置固有番号について照合処理を行い、
前記第2判断部は、前記処理装置固有番号について照合処理の結果に基づき前記商品処理装置との接続を許可するかどうかを判断する、
請求項1記載の中継装置。
【請求項4】
前記第1情報には署名が付されており、
前記第1照合部は、前記第1情報の署名について照合処理を行い、
前記第1判断部は、前記第1情報の署名についての照合処理の結果に基づき、前記第1情報の送信を中継するかどうかを判断する、
請求項1記載の中継装置。
【請求項5】
前記第2情報には署名が付されており、
前記第2照合部は、前記第2情報の署名について照合処理を行い、
前記第2判断部は、前記第2情報の署名についての照合処理の結果に基づき、前記第2情報の送信を中継するかどうかを判断する、
請求項1記載の中継装置。
【請求項6】
前記第1情報はソフトウエアである、
請求項1記載の中継装置。
【請求項7】
前記第2情報は、商品処理装置に関する情報である、
請求項1記載の中継装置。
【請求項8】
前記第1判断部は、前記処理装置側証明書の内容に応じて、中継する前記第1情報の範囲を制限する、
請求項1記載の中継装置。
【請求項9】
前記第2判断部は、前記処理装置側証明書の内容に応じて、中継する前記第2情報の範囲を制限する、
請求項1記載の中継装置。
【請求項10】
請求項2〜9のいずれかに記載の中継装置と、
前記中継装置に接続される一以上の前記商品処理装置と、
一以上の前記中継装置を介して、前記商品処理装置に接続される前記管理サーバと
を備え、
前記商品処理装置は、前記第1情報を受信する際に前記中継装置側証明書について照合処理を行う第3照合部と、前記第3照合部による照合処理の結果に基づき前記中継装置との接続を許可するかどうかを判断する第3判断部とを有し、
前記管理サーバは、前記第2情報を受信する際に前記中継装置側証明書について照合処理を行う第4照合部と、前記第4照合部による照合処理の結果に基づき前記中継装置との接続を許可するかどうかを判断する第4判断部とを有する、
通信システム。
【請求項11】
前記商品処理装置の前記第3判断部は、前記中継装置から開始する接続は許可しない、
請求項10記載の通信システム。
【請求項12】
前記中継装置の前記第1判断部は、前記管理サーバから開始する接続は許可しない、
請求項10記載の通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2007−88556(P2007−88556A)
【公開日】平成19年4月5日(2007.4.5)
【国際特許分類】
【出願番号】特願2005−271715(P2005−271715)
【出願日】平成17年9月20日(2005.9.20)
【出願人】(000147833)株式会社イシダ (859)
【出願人】(301021533)独立行政法人産業技術総合研究所 (6,529)
【Fターム(参考)】
【公開日】平成19年4月5日(2007.4.5)
【国際特許分類】
【出願日】平成17年9月20日(2005.9.20)
【出願人】(000147833)株式会社イシダ (859)
【出願人】(301021533)独立行政法人産業技術総合研究所 (6,529)
【Fターム(参考)】
[ Back to top ]