知財求人 - 知財ポータルサイト「IP Force」
特開2023-121189エレベーター接続機器確認システム及びエレベーター接続機器確認方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023121189
(43)【公開日】2023-08-31
(54)【発明の名称】エレベーター接続機器確認システム及びエレベーター接続機器確認方法
(51)【国際特許分類】
H04L 9/32 20060101AFI20230824BHJP
G06F 21/44 20130101ALI20230824BHJP
B66B 3/00 20060101ALI20230824BHJP
B66B 5/00 20060101ALI20230824BHJP
【FI】
H04L9/32 200B
H04L9/32 200F
G06F21/44
B66B3/00 R
B66B5/00 G
【審査請求】未請求
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2022024381
(22)【出願日】2022-02-21
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110000925
【氏名又は名称】弁理士法人信友国際特許事務所
(72)【発明者】
【氏名】納谷 英光
(72)【発明者】
【氏名】羽鳥 貴大
(72)【発明者】
【氏名】助川 祐太
【テーマコード(参考)】
3F303
3F304
【Fターム(参考)】
3F303EA05
3F304BA26
3F304ED16
(57)【要約】
【課題】新たな装置又は通信路を追加することなく、外部機器が正規機器であるか否かを確認できるようにする。
【解決手段】本発明の一態様のエレベーターシステム100のメインコントローラ50は、複数のコントローラのうちのいずれかをサブコントローラ60として選択する通信経路選択部52と、サブコントローラ60の識別情報を少なくとも含む情報を、ノード30から取得した公開鍵31を用いて暗号化することにより、暗号化データを生成する暗号化部54と、ノード30によって識別されたコントローラを送信元として送信されたパケットの送信元情報と、サブコントローラ60の情報と、が一致しない場合に、ノード30は非正規機器であると判定する判別部59と、を備える。
【選択図】図2
【解決手段】本発明の一態様のエレベーターシステム100のメインコントローラ50は、複数のコントローラのうちのいずれかをサブコントローラ60として選択する通信経路選択部52と、サブコントローラ60の識別情報を少なくとも含む情報を、ノード30から取得した公開鍵31を用いて暗号化することにより、暗号化データを生成する暗号化部54と、ノード30によって識別されたコントローラを送信元として送信されたパケットの送信元情報と、サブコントローラ60の情報と、が一致しない場合に、ノード30は非正規機器であると判定する判別部59と、を備える。
【選択図】図2
【特許請求の範囲】
【請求項1】
複数のコントローラを含むエレベーターシステムに接続される外部機器を確認するエレベーター接続機器確認システムであって、
前記複数のコントローラのうちのいずれかのコントローラであるメインコントローラは、
複数の前記コントローラのうちのいずれかをサブコントローラとして選択する選択部と、
前記サブコントローラの識別情報を少なくとも含む情報を、前記外部機器から取得した暗号鍵を用いて暗号化することにより、暗号化情報を生成する暗号化部と、
前記暗号化情報を前記外部機器へ送信する送信部と、
前記外部機器が前記暗号化情報を復号して得た前記サブコントローラの識別情報に基づいて、前記外部機器によって識別されたコントローラを送信元として送信されたパケットの送信元情報と、前記選択部によって選択された前記サブコントローラの情報とを比較し、両情報が一致しない場合に、前記外部機器は前記エレベーターシステムの規格に適合しない非正規機器であると判別する判別部と、を備える
エレベーター接続機器確認システム。
前記複数のコントローラのうちのいずれかのコントローラであるメインコントローラは、
複数の前記コントローラのうちのいずれかをサブコントローラとして選択する選択部と、
前記サブコントローラの識別情報を少なくとも含む情報を、前記外部機器から取得した暗号鍵を用いて暗号化することにより、暗号化情報を生成する暗号化部と、
前記暗号化情報を前記外部機器へ送信する送信部と、
前記外部機器が前記暗号化情報を復号して得た前記サブコントローラの識別情報に基づいて、前記外部機器によって識別されたコントローラを送信元として送信されたパケットの送信元情報と、前記選択部によって選択された前記サブコントローラの情報とを比較し、両情報が一致しない場合に、前記外部機器は前記エレベーターシステムの規格に適合しない非正規機器であると判別する判別部と、を備える
エレベーター接続機器確認システム。
【請求項2】
前記選択部は、前記エレベーターシステムから取得したエレベーターの運行情報又は前記運行情報の加工情報に基づいて、複数の前記コントローラのうちのいずれかを前記サブコントローラとして選択する
請求項1に記載のエレベーター接続機器確認システム。
請求項1に記載のエレベーター接続機器確認システム。
【請求項3】
前記メインコントローラは、前記エレベーターシステムから取得したエレベーターの運行情報又は前記運行情報の加工情報を用いて一時的情報を生成する一時的情報生成部をさらに備え、
前記暗号化部は、前記一時的情報生成部によって生成された前記一時的情報を前記暗号化情報に含め、
前記パケットには、暗号化された前記一時的情報が含まれ、
前記判別部は、前記一時的情報生成部が生成した前記一時的情報と、前記パケットから抽出して復号化した前記一時的情報とを比較し、両情報が一致しない場合に、前記外部機器は前記非正規機器であると判定する
請求項2に記載のエレベーター接続機器確認システム。
前記暗号化部は、前記一時的情報生成部によって生成された前記一時的情報を前記暗号化情報に含め、
前記パケットには、暗号化された前記一時的情報が含まれ、
前記判別部は、前記一時的情報生成部が生成した前記一時的情報と、前記パケットから抽出して復号化した前記一時的情報とを比較し、両情報が一致しない場合に、前記外部機器は前記非正規機器であると判定する
請求項2に記載のエレベーター接続機器確認システム。
【請求項4】
前記暗号鍵は公開鍵であり、前記外部機器による前記暗号化情報の復号化は、前記公開鍵に対応する秘密鍵を用いて行われる
請求項3に記載のエレベーター接続機器確認システム。
請求項3に記載のエレベーター接続機器確認システム。
【請求項5】
前記暗号化部は、前記秘密鍵とは異なる第2の秘密鍵を用いて暗号化した前記一時的情報を前記暗号化情報に含め、
前記パケットに含まれていた暗号化された前記一時的情報を、前記第2の秘密鍵を用いて復号して前記判別部に出力する復号部をさらに備える
請求項4に記載のエレベーター接続機器確認システム。
前記パケットに含まれていた暗号化された前記一時的情報を、前記第2の秘密鍵を用いて復号して前記判別部に出力する復号部をさらに備える
請求項4に記載のエレベーター接続機器確認システム。
【請求項6】
前記選択部又は前記判別部が用いる前記エレベーターの運行情報には、前記エレベーターの乗りかごの位置情報、前記乗りかごの速度情報、前記乗りかごの荷重情報、前記エレベーターの呼び情報、前記エレベーターの行先階情報、前記エレベーターの運行回数、前記エレベーターによる輸送人数のうちの少なくとも1つが含まれる
請求項5に記載のエレベーター接続機器確認システム。
請求項5に記載のエレベーター接続機器確認システム。
【請求項7】
前記判別部は、前記暗号化情報を前記送信部が前記外部機器に送信してから、前記パケットを受信するまでの時間が、所定の閾値時間を超えた場合、前記外部機器は前記非正規機器であると判定する
請求項6に記載のエレベーター接続機器確認システム。
請求項6に記載のエレベーター接続機器確認システム。
【請求項8】
前記判別部は、前記外部機器は非正規機器であると判定した場合、該外部機器が非正規機器であることを複数の各コントローラに通知する
請求項1~7のいずれか一項に記載のエレベーター接続機器確認システム。
請求項1~7のいずれか一項に記載のエレベーター接続機器確認システム。
【請求項9】
前記判別部は、前記外部機器は前記非正規機器であると判定した場合、前記エレベーターの運行を制御するコントローラに対して、前記エレベーターの乗りかごを最寄階に停止させる指示を行う
請求項8に記載のエレベーター接続機器確認システム。
請求項8に記載のエレベーター接続機器確認システム。
【請求項10】
複数のコントローラを含むエレベーターシステムに接続される外部機器を確認するエレベーター接続機器確認システムによるエレベーター接続機器確認方法であって、
前記複数のコントローラのうちのいずれかのコントローラであるメインコントローラが、複数の前記コントローラのうちのいずれかをサブコントローラとして選択する手順と、
前記メインコントローラが、前記サブコントローラの識別情報を少なくとも含む情報を、前記外部機器から取得した暗号鍵を用いて暗号化することにより、暗号化情報を生成する手順と、
前記メインコントローラが、前記暗号化情報を前記外部機器へ送信する手順と、
前記メインコントローラが、前記外部機器が前記暗号化情報を復号して得た前記サブコントローラの識別情報に基づいて、前記外部機器によって識別されたコントローラを送信元として送信されたパケットの送信元情報と、選択した前記サブコントローラの情報とを比較し、両情報が一致しない場合に、前記外部機器は前記エレベーターシステムの規格に適合しない非正規機器であると判定する手順と、を含む
エレベーター接続機器確認方法。
前記複数のコントローラのうちのいずれかのコントローラであるメインコントローラが、複数の前記コントローラのうちのいずれかをサブコントローラとして選択する手順と、
前記メインコントローラが、前記サブコントローラの識別情報を少なくとも含む情報を、前記外部機器から取得した暗号鍵を用いて暗号化することにより、暗号化情報を生成する手順と、
前記メインコントローラが、前記暗号化情報を前記外部機器へ送信する手順と、
前記メインコントローラが、前記外部機器が前記暗号化情報を復号して得た前記サブコントローラの識別情報に基づいて、前記外部機器によって識別されたコントローラを送信元として送信されたパケットの送信元情報と、選択した前記サブコントローラの情報とを比較し、両情報が一致しない場合に、前記外部機器は前記エレベーターシステムの規格に適合しない非正規機器であると判定する手順と、を含む
エレベーター接続機器確認方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、エレベーター接続機器確認システム及びエレベーター接続機器確認方法に関する。
【背景技術】
【0002】
エレベーターシステムにおいては、複数コントローラが様々な通信路を介して接続されている。該通信路には様々な機器を接続することが可能であるが、エレベーターシステムで接続が想定されていない機器、すなわち、エレベーターシステムの規格に適合しない非正規機器が通信路に繋がれた場合、該エレベーターシステムの動作に支障が生じる可能性がある。
【0003】
エレベーターシステムに接続される代表的な機器の一つに、保守作業等で使われるサービスツールがある。エレベーターシステムに接続されたサービスツールが、エレベーターの規格に適合した正規機器でない場合には、サービスツールを用いた保守作業だけでなく、エレベーターシステム全体の動作にも支障が生じる可能性がある。
【0004】
サービスツールが正規機器であるか否かを確認するサービスツール認証情報管理システムを用いることにより、非正規機器がエレベーターシステムに接続された場合にそのことを検知することができる。例えば、特許文献1には、複数の命令を記憶するように動作可能である記憶媒体と、認証情報要求をネットワークサーバに送信し、サービスツールで機器制御装置にアクセスする命令を実行するように構成される少なくとも1つのプロセッサと、を含むサービスツール認証情報管理システムが開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2019-23868号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、特許文献1に記載されたサービスツール認証情報管理システムを導入するためには、機器構成要素を監視及び/又は制御するための機器制御装置と、認証情報を管理するネットワークサーバと、機器制御装置及びネットワークサーバ間を接続する通信経路と、を新たに設ける必要があり、導入コストがかさんでしまう。
【0007】
本発明は、上記の状況を考慮してなされたものであり、本発明の目的は、新たな装置又は通信路を追加することなく、エレベーターシステムに接続された外部機器が正規機器であるか否かを確認できるようにすることを目的とする。
【課題を解決するための手段】
【0008】
本発明の一態様に係るエレベーター接続機器確認システムは、複数のコントローラを含むエレベーターシステムに接続される外部機器を確認するエレベーター接続機器確認システムである。複数のコントローラのうちのいずれかのコントローラであるメインコントローラは、複数のコントローラのうちのいずれかをサブコントローラとして選択する選択部と、サブコントローラの識別情報を少なくとも含む情報を、外部機器から取得した暗号鍵を用いて暗号化することにより、暗号化情報を生成する暗号化部と、暗号化情報を外部機器へ送信する送信部と、外部機器が暗号化情報を復号して得たサブコントローラの識別情報に基づいて、外部機器によって識別されたコントローラを送信元として送信されたパケットの送信元情報と、選択部によって選択されたサブコントローラの情報とを比較し、両情報が一致しない場合に、外部機器はエレベーターシステムの規格に適合しない非正規機器であると判定する判別部と、を備える。
【0009】
また、本発明の一態様に係るエレベーター接続機器確認方法は、複数のコントローラを含むエレベーターシステムに接続される外部機器を確認するエレベーター接続機器確認システムによるエレベーター接続機器確認方法である。本発明の一態様に係るエレベーター接続機器確認方法は、複数のコントローラのうちのいずれかのコントローラであるメインコントローラが、複数のコントローラのうちのいずれかをサブコントローラとして選択する手順と、メインコントローラが、サブコントローラの識別情報を少なくとも含む情報を、外部機器から取得した暗号鍵を用いて暗号化することにより、暗号化情報を生成する手順と、メインコントローラが、暗号化情報を外部機器へ送信する手順と、メインコントローラが、外部機器が暗号化情報を復号して得たサブコントローラの識別情報に基づいて、外部機器によって識別されたコントローラを送信元として送信されたパケットの送信元情報と、選択したサブコントローラの情報とを比較し、両情報が一致しない場合に、外部機器はエレベーターシステムの規格に適合しない非正規機器であると判定する手順と、を含む。
【発明の効果】
【0010】
本発明の少なくとも一態様によれば、新たな装置又は通信路を追加することなく、エレベーターシステムに接続された外部機器が正規機器であるか否かを確認できる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
【図面の簡単な説明】
【0011】
【図1】本発明の一実施形態に係るエレベーターシステムの概略構成例を示す図である。
【図2】本発明の一実施形態に係るノード、メインコントローラ及びサブコントローラの制御系の構成例を示すブロック図である。
【図3】本発明の一実施形態に係るエレベーターシステムを構成する各装置のハードウェア構成例を示すブロック図である。
【図4】本発明の一実施形態に係るエレベーターシステムによるエレベーター接続機器確認処理の手順の例を示すフローチャートである。
【図5】本発明の一実施形態に係るエレベーターシステムによるエレベーター接続機器確認処理における初期通信処理及び一次通信処理の手順の例を示すフローチャートである。
【図6】本発明の一実施形態に係る初期パケットの構成例を示す図である。
【図7】本発明の一実施形態に係る一次パケットの構成例を示す図である。
【図8】本発明の一実施形態に係る、エレベーターシステムによるエレベーター接続機器確認処理における二次通信処理及び三次通信処理の手順の例を示すフローチャートである。
【図9】本発明の一実施形態に係る二次パケットの構成例を示す図である。
【図10】本発明の一実施形態に係る三次パケットの構成例を示す図である。
【図11】本発明の一実施形態に係るエレベーターシステムによるエレベーター接続機器確認処理における判別処理の手順の例を示すフローチャートである。
【図12】本発明の一実施形態に係る、追加されたノードが非正規機器であると判定した場合におけるメインコントローラでの処理例(1)の手順を示すフローチャートである。
【図13】本発明の一実施形態に係る、追加されたノードが非正規機器であると判定した場合におけるメインコントローラでの処理例(2)の手順を示すフローチャートである。
【図14】本発明の一実施形態に係る一時データの生成例及びサブコントローラの決定例(1)の手順の例を示すフローチャートである。
【図15】本発明の一実施形態に係る一時データの生成例及びサブコントローラの決定例(2)の手順の例を示すフローチャートである。
【図16】本発明の一実施形態に係る一時データの生成例及びサブコントローラの決定例(3)の手順の例を示すフローチャートである。
【図17】本発明の一実施形態に係る一時データの生成例及びサブコントローラの決定例(4)の手順の例を示すフローチャートである。
【図18】本発明の一実施形態に係る一時データの生成例及びサブコントローラの決定例(5)の手順の例を示すフローチャートである。
【図19】本発明の一実施形態に係る一時データの生成例及びサブコントローラの決定例(6)の手順の例を示すフローチャートである。
【発明を実施するための形態】
【0012】
以下、本発明を実施するための形態(以下、「実施形態」と称する)の例について、添付図面を参照しながら説明する。本発明は実施形態に限定されるものではなく、実施形態における種々の数値等は例示である。また、本明細書及び図面において、同一の構成要素又は実質的に同一の機能を有する構成要素には同一の符号を付することとし、重複する説明は省略する。
【0013】
<エレベーターシステムの概略構成>
まず、図1を参照して、本発明の一実施形態に係るエレベーターシステム100(エレベーター接続機器確認システムの一例)の構成について説明する。図1は、エレベーターシステム100の概略構成例を示す図である。
まず、図1を参照して、本発明の一実施形態に係るエレベーターシステム100(エレベーター接続機器確認システムの一例)の構成について説明する。図1は、エレベーターシステム100の概略構成例を示す図である。
【0014】
図1に示すように、エレベーターシステム100は、センタ装置1と、通信コントローラ3と、群管理コントローラ4と、エレベーター15と、保守端末19と、管理端末20と、を含む。
【0015】
センタ装置1は、エレベーター15が設けられた建物とは遠隔の場所に設けられ、ネットワーク2を介して接続されたエレベーター15の管理、監視、保守等を行う装置である。ネットワーク2は、例えば、専用回線のような閉回路網、又は、インターネットのような公衆回線等で構成される。
【0016】
保守端末19は、エレベーター15の保守作業員(図示略)が所持する携帯端末であり、ネットワーク2に接続される。保守端末19は、保守作業員による操作に基づいて、エレベーター15の故障時の運行データを取得したり、作業点検内容等を画面に表示したりする。
【0017】
管理端末20は、エレベーター15の運行を監視・操作する機器であり、汎用PC(Personal Computer)又は専用機器で構成される。管理端末20は、例えば、エレベーター15が設けられた建物の管理室(図示略)等に設置され、通信路17に接続される。
【0018】
通信コントローラ3は、センタ装置1とエレベーター15との間のデータ授受、保守端末19による遠隔操作及び遠隔保守を実行させるための通信等を制御するコントローラであり、ネットワーク2及び通信路17に接続される。
【0019】
群管理コントローラ4は、複数のエレベーター15のまとまりを、エレベーターグループ18としてまとめて管理、運用するコントローラであり、通信路17及び通信路16に接続される。エレベーターグループ18は、例えば、エレベーター15の設置場所や用途、エレベーター15が設置された建物等の単位で設けられる。
【0020】
エレベーターコントローラ5は、複数のエレベーター15のそれぞれに設けられ、エレベーター15の動作を制御するコントローラであり、通信路16及び通信路12に接続される。エレベーターコントローラ5は、例えば、エレベーター15の主機であるモーター6を制御して、乗りかご7とカウンターウェイト8とを連結しているロープ9の動きを操作することによって、乗りかご7を昇降移動又は停止させ、これにより利用者に昇降移動のサービスを提供する。
【0021】
なお、乗りかご7は、図1においては1つのみが図示されているが、複数のエレベーター15のそれぞれに1台又は複数台設けられているものとする。
【0022】
エレベーターコントローラ5は、通信路16を介して群管理コントローラ4と接続され、通信路12を経由して、かごコントローラ10及びフロアコントローラ11と接続される。図1において、フロアコントローラ11は1つのみ図示しているが、実際には建物内のフロア(階床)の数に対応して複数設けられているものとする。
【0023】
かごコントローラ10は、乗りかご7内に設置されている行先階ボタン及びドア開閉ボタン13の、利用者(図示略)による操作状況を監視し、取得した操作内容を、操作の状況変化としてエレベーターコントローラ5に伝える。
【0024】
フロアコントローラ11は、例えば、各フロア(図示略)に設置される上下ボタン14の、各階における利用者による操作状況を監視し、取得した操作内容を、操作の状況変化としてエレベーターコントローラ5に伝える。
【0025】
エレベーターシステム100に新しく接続されるノード30には、例えば、エレベーターシステム100の保守点検を行う保守端末、エレベーターシステム100に新たなデータを提供するためのセンサ又はカメラ、新たな処理や機能などを提供するエッジ・コントローラ、不図示の別システム又はネットワークへの接続用の通信コントローラ、等がある。新たなデータには、例えば、乗りかご7内又はフロア内の人数の測定値等があり、新たな処理や機能には、例えば、AI(Artificial Intelligence)を使った人流予測の結果、すなわち、どれくらいの乗客がエレベーター15を利用しそうかの推論結果等がある。なお、ノード30は、これらの情報や処理、機能を提供する機器に限定されない。
【0026】
新たに追加されるノード30は、通信路12、通信路16及び通信路17の1つ以上に接続され得る。なお、図1に示した各通信路によるネットワーク構成は一例であり、本発明のネットワーク構成は図1に示す例に限定されない。また、本発明のエレベーターシステムの機器構成も、図1に示す例に限定されない。
【0027】
本実施形態では、通信コントローラ3、群管理コントローラ4、エレベーターコントローラ5、かごコントローラ10、フロアコントローラ11、保守端末19及び管理端末20のいずれかが、メインコントローラ50又はサブコントローラ60(いずれも図2参照)に設定される。なお、エレベーターシステムにこれら以外のコントローラが含まれる場合には、該コントローラもメインコントローラ50又はサブコントローラ60に設定され得る。
【0028】
メインコントローラ50は、新たに追加されたノード30の認証処理を実行するコントローラである。サブコントローラ60は、ノード30の認証用のパケットの通信経路を構成するコントローラであり、メインコントローラ50によって選択される。メインコントローラ50によるサブコントローラ60の選択は、エレベーター15の運行情報の加工情報(運行情報に示される値を種とする乱数等)に基づいて行われる。メインコントローラ50によるサブコントローラ60の選択手法については後述する。
【0029】
<ノード、メインコントローラ、サブコントローラの制御系の構成>
次に、図2を参照して、ノード30、メインコントローラ50及びサブコントローラ60の制御系の構成について説明する。図2は、ノード30、メインコントローラ50及びサブコントローラ60の制御系の構成例を示すブロック図である。ノード30、メインコントローラ50及びサブコントローラ60はそれぞれ、通信路12、通信路16及び通信路17のいずれかである通信経路Ntを介して、互いに通信可能に接続される。
次に、図2を参照して、ノード30、メインコントローラ50及びサブコントローラ60の制御系の構成について説明する。図2は、ノード30、メインコントローラ50及びサブコントローラ60の制御系の構成例を示すブロック図である。ノード30、メインコントローラ50及びサブコントローラ60はそれぞれ、通信路12、通信路16及び通信路17のいずれかである通信経路Ntを介して、互いに通信可能に接続される。
【0030】
[ノード]
新たにエレベーターシステム100(図1参照)に接続されるノード30は、公開鍵31と、該公開鍵31の対となる秘密鍵N32と、を有する。また、ノード30は、復号部33と、パケット生成部34と、通信部35と、を有する。
新たにエレベーターシステム100(図1参照)に接続されるノード30は、公開鍵31と、該公開鍵31の対となる秘密鍵N32と、を有する。また、ノード30は、復号部33と、パケット生成部34と、通信部35と、を有する。
【0031】
復号部33は、メインコントローラ50から送信された一次パケットP2(図7参照)に含まれる、公開鍵31を用いて暗号化された暗号化データを復号し、復号して得た情報を、パケット生成部34に出力する。
【0032】
パケット生成部34は、エレベーターシステム100のいずれかの通信経路にノード30が接続した場合に、公開鍵31と自ノードの識別情報とを含む初期パケットP1(図6参照)を生成し、該初期パケットP1を、通信部35に出力する。また、パケット生成部34は、復号部33から入力された情報を用いて二次パケットP3(図9参照)を生成し、該二次パケットP3を通信部35に出力する。
【0033】
通信部35は、パケット生成部34で生成された初期パケットP1をメインコントローラ50に送信する処理、メインコントローラ50から送信された一次パケットP2を受信して復号部33に出力する処理、及び、パケット生成部34で生成された二次パケットP3をサブコントローラ60に送信する処理を行う。
【0034】
[メインコントローラ]
メインコントローラ50は、秘密鍵M53を有する。秘密鍵M53(第2の秘密鍵の一例)は、メインコントローラ50のみが保持する共有鍵である。また、メインコントローラ50は、一時データ生成部51と、通信経路選択部52と、暗号化部54と、パケット生成部55と、通信部56と、アドレス判定部57と、復号部58と、判別部59と、を有する。
メインコントローラ50は、秘密鍵M53を有する。秘密鍵M53(第2の秘密鍵の一例)は、メインコントローラ50のみが保持する共有鍵である。また、メインコントローラ50は、一時データ生成部51と、通信経路選択部52と、暗号化部54と、パケット生成部55と、通信部56と、アドレス判定部57と、復号部58と、判別部59と、を有する。
【0035】
一時データ生成部51(一時的情報生成部の一例)は、通信経路Ntを介して取得したエレベーター15(図1参照)の運行情報を用いて、一時データ(一時的情報の一例)を生成する。一時データは、運行データ(運行情報の一例)の加工情報であり、例えば、運行データである乗りかご7の位置(かご位置)を種とする乱数の値や、かご位置を所定のハッシュ関数に入力して得られるハッシュ値などがある。なお、一時データは、運行データそのもの(加工前のデータ)であってもよい。
【0036】
通信経路選択部52(選択部の一例)は、通信経路Ntを介して取得したエレベーター15の運行情報に基づいて、ノード30の認証用のパケット(一次パケットP2、二次パケットP3、三次パケットP4(図10参照))の通信経路を構成するサブコントローラ60を選択する。例えば、通信経路選択部52は、運行データである呼び情報を参照し、呼び登録がされていない(呼びが発生していない)フロアのフロアコントローラ11(図1参照)を、サブコントローラ60に選択することができる。通信経路選択部52によるサブコントローラ60の選択例については、図14~図19を参照して後述する。
【0037】
暗号化部54は、通信経路選択部52によって選択されたサブコントローラ60の識別情報(以下、「サブ情報」とも称する)と、一時データ生成部51によって生成された一時データとを、ノード30から取得した公開鍵31を用いて暗号化し、暗号化一時データ(図7参照)を生成する。
【0038】
パケット生成部55は、暗号化部54によって生成された暗号化一時データを含む一次パケットP2(図7参照)を生成し、該一次パケットP2を通信部56に出力する。一次パケットP2の構成例については、後述の図7を参照して詳述する。
【0039】
通信部56(送信部の一例)は、ノード30から送信された初期パケットP1(図6参照)を受信する処理、パケット生成部55で生成された一次パケットP2(図7参照)をノード30に送信する処理、及び、サブコントローラ60から送信された二次パケットP3を受信してアドレス判定部57に出力する処理を行う。
【0040】
アドレス判定部57は、ノード30から送信された初期パケットP1に含まれるノード30の識別情報を参照することにより、ノード30がエレベーターシステム100の規格に適合した正規機器であるか否かを判定する。そして、アドレス判定部57は、判定結果を復号部58に出力する。
【0041】
復号部58は、サブコントローラ60から送信された二次パケットP3(図9参照)に含まれる暗号化一時データを、秘密鍵M53を用いて復号する。そして、復号部58は、復号して得た一時データを、判別部59に出力する。
【0042】
判別部59は、復号部58によって復号された三次パケットP4内の情報と、メインコントローラ50が有する情報とを比較することにより、ノード30がエレベーターシステム100の規格に適合した正規機器であるか否かを判別する。すなわち、判別部59は、ノード30の認証(判別)処理を行う。また、判別部59は、ノード30は非正規機器であると判別した場合には、その旨を他のコントローラに通知する処理や、運行中のエレベーター15の乗りかご7を最寄階に停止させる指示等を行う。
【0043】
判別部59によるノード30の判別処理については、後述の図11を参照して詳述し、ノード30は非正規機器であると判定した場合における判別部59による処理については、後述の図12及び図13を参照して詳述する。
【0044】
[サブコントローラ]
サブコントローラ60は、通信部61と、パケット転送部62と、を有する。通信部61は、ノード30から送信された二次パケットP3を受信してパケット転送部62に出力する処理、及び、パケット転送部62によって生成された三次パケットP4(図10参照)を、メインコントローラ50に送信する処理を行う。
サブコントローラ60は、通信部61と、パケット転送部62と、を有する。通信部61は、ノード30から送信された二次パケットP3を受信してパケット転送部62に出力する処理、及び、パケット転送部62によって生成された三次パケットP4(図10参照)を、メインコントローラ50に送信する処理を行う。
【0045】
パケット転送部62は、ノード30から送信された二次パケットP3から暗号化一時データを抽出し、該暗号化一時データと、自身(サブコントローラ60)の識別情報と、を含む三次パケットP4(図10参照)を生成し、該三次パケットP4を通信部61に出力する。
【0046】
<計算機のハードウェア構成例>
次に、図1に示したエレベーターシステム100を構成する各装置(通信コントローラ3、群管理コントローラ4、エレベーターコントローラ5、かごコントローラ10、フロアコントローラ11、保守端末19及び管理端末20)の制御系の構成(ハードウェア構成)について、図3を参照して説明する。
次に、図1に示したエレベーターシステム100を構成する各装置(通信コントローラ3、群管理コントローラ4、エレベーターコントローラ5、かごコントローラ10、フロアコントローラ11、保守端末19及び管理端末20)の制御系の構成(ハードウェア構成)について、図3を参照して説明する。
【0047】
【0048】
計算機200は、バスBにそれぞれ接続されたCPU(Central Processing Unit)201、ROM(Read Only Memory)202、RAM(Random Access Memory)203、不揮発性ストレージ204及び通信I/F(Interface)205を備える。
【0049】
CPU201は、本実施形態に係る各機能を実現するソフトウェアのプログラムコードをROM202から読み出してRAM203に展開して実行する。もしくは、CPU201は、プログラムコードをROM202から直接読み出してそのまま実行する場合もある。なお、計算機200は、CPU201の代わりに、MPU(Micro-Processing Unit)等の処理装置を備えてもよい。
【0050】
RAM203には、CPU201による演算処理の途中に発生した変数やパラメータ等が一時的に書き込まれる。
【0051】
ノード30の復号部33、パケット生成部34、メインコントローラ50の一時データ生成部51、通信経路選択部52、暗号化部54、パケット生成部55、アドレス判定部57、復号部58、判別部59、サブコントローラ60のパケット転送部62の各機能は、これらの各機能を実現するためのプログラムを、CPU201がROM202から読みだして実行することにより実現される。
【0052】
不揮発性ストレージ204としては、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)、フレキシブルディスク、光ディスク、光磁気ディスク、CD-ROM、CD-R、不揮発性のメモリカード等を用いることができる。この不揮発性ストレージ204には、OS(Operating System)、各種のパラメータの他に、計算機200を機能させるためのプログラム等が記録される。なお、プログラムは、ROM202に格納されてもよい。
【0053】
プログラムは、コンピュータが読取り可能なプログラムコードの形態で格納され、CPU201は、当該プログラムコードに従った動作を逐次実行する。つまり、ROM202又は不揮発性ストレージ204は、コンピュータによって実行されるプログラムを格納した、コンピュータ読取可能な非一過性の記録媒体の一例として用いられる。
【0054】
また、不揮発性ストレージ204には、各コントローラにおいて生成された、又は、通信路Nt(図2参照)を介して他のコントローラから取得したエレベーター15の運行データも書き込まれる 。エレベーター15の運行データには、例えば、乗りかご7の位置情報、かご速度情報、乗りかご7の荷重情報、乗りかご7による移動(輸送)人数情報、エレベーター15の運行回数情報、エレベーター15の行先階情報、各フロアにおけるエレベーター15の停止回数情報等がある。
【0055】
通信I/F205は、他の装置との間で行われる通信の制御を行う通信デバイス等により構成される。通信I/F205が通信制御を行うネットワークには、例えば、RS-485のようなマルチドロップ形態のシリアル通信や、イーサネット(登録商標)のような複数のトポロジを提供する通信路がある。複数のトポロジを提供する通信路には、有線の通信路であるLAN(Local Area Network)、WAN(Wide Area Network)、無線の通信路であるRAN(Radio Area Network)等がある。
【0056】
また、例えば、通信I/F205が通信制御を行うネットワークには、Wi-Fi(登録商標)のような無線や、無線通信インフラにおける無線等がある。ノード30の通信部35、メインコントローラ50の通信部56、サブコントローラ60の通信部61の機能は、通信I/F205によって実現される。
【0057】
<エレベーター接続機器確認処理の概要>
次に、図4を参照して、エレベーターシステム100によるエレベーター接続機器確認処理の概要について説明する。図4は、エレベーターシステム100によるエレベーター接続機器確認処理の手順の例を示すフローチャートである。
次に、図4を参照して、エレベーターシステム100によるエレベーター接続機器確認処理の概要について説明する。図4は、エレベーターシステム100によるエレベーター接続機器確認処理の手順の例を示すフローチャートである。
【0058】
まず、ノード30(図2参照)は、初期通信処理を実行して初期パケットP1を生成し、生成した初期パケットP1を、メインコントローラ50に送信する(ステップS1)。次いで、メインコントローラ50は、受信した初期パケットP1に含まれていた情報に基づいて一次通信処理を実行して一次パケットP2を生成し、生成した一次パケットP2をノード30に送信する(ステップS2)。次いで、ノード30は、受信した一次パケットP2に含まれていた情報を用いて二次通信処理を実行して二次パケットP3を生成し、生成した二次パケットP3をサブコントローラ60に送信する(ステップS3)。
【0059】
次いで、サブコントローラ60は、受信した二次パケットP3に含まれていた情報に基づいて三次通信処理を実行して三次パケットP4を生成し、生成した三次パケットP4をメインコントローラ50に送信する(ステップS4)。次いで、メインコントローラ50は、受信した三次パケットP4に含まれていた情報に基づいて判別処理を実行する(ステップS5)。
【0060】
<エレベーター接続機器確認処理の詳細>
次に、図5、図8、図11を参照して、エレベーターシステム100によるエレベーター接続機器確認処理の詳細について説明する。図5は、エレベーターシステム100によるエレベーター接続機器確認処理における初期通信処理及び一次通信処理の手順の例を示すフローチャートである。図8は、エレベーターシステム100によるエレベーター接続機器確認処理における二次通信処理及び三次通信処理の手順の例を示すフローチャートである。図11は、エレベーターシステム100によるエレベーター接続機器確認処理における判別処理の手順の例を示すフローチャートである。
次に、図5、図8、図11を参照して、エレベーターシステム100によるエレベーター接続機器確認処理の詳細について説明する。図5は、エレベーターシステム100によるエレベーター接続機器確認処理における初期通信処理及び一次通信処理の手順の例を示すフローチャートである。図8は、エレベーターシステム100によるエレベーター接続機器確認処理における二次通信処理及び三次通信処理の手順の例を示すフローチャートである。図11は、エレベーターシステム100によるエレベーター接続機器確認処理における判別処理の手順の例を示すフローチャートである。
【0061】
[初期通信処理及び一次通信処理]
最初に、図5を参照して、エレベーター接続機器確認処理における初期通信処理及び一次通信処理について説明する。まず、ノード30の通信部35(図2参照)は、エレベーターシステム100の通信路Nt(図2参照)に接続したか否かを判定する(ステップSA1)。ステップSA1で、通信路Ntに接続されていないと判定された場合(ステップSA1がNO判定の場合)、通信部35は、ステップSA1の判定を繰り返す。
最初に、図5を参照して、エレベーター接続機器確認処理における初期通信処理及び一次通信処理について説明する。まず、ノード30の通信部35(図2参照)は、エレベーターシステム100の通信路Nt(図2参照)に接続したか否かを判定する(ステップSA1)。ステップSA1で、通信路Ntに接続されていないと判定された場合(ステップSA1がNO判定の場合)、通信部35は、ステップSA1の判定を繰り返す。
【0062】
一方、ステップSA1で、通信路Ntに接続されたと判定された場合(ステップSA1がYES判定の場合)、パケット生成部34は、公開鍵情報を含む初期パケットP1を生成してメインコントローラ50へ送信する(ステップSA2)。ステップSA1及びステップSA2の処理が、図4のステップS1の初期通信処理となる。
【0063】
【0064】
図6に示すように、初期パケットP1は、送信元情報フィールドF1、送信先情報フィールドF2、公開鍵情報フィールドF3、ノード識別情報フィールドF4及びチェックデータフィールドF5を有する。
【0065】
送信元情報フィールドF1には、初期パケットP1の送信元である自身(ノード30)の情報(送信元情報)が格納される。送信先情報フィールドF2には、初期パケットP1の送信先であるメインコントローラ50の情報(送信先情報)が格納される。
【0066】
送信元情報は、例えば、RS-485に準拠した通信が行われる場合には、デバイスIDとなる。また、イーサネット(登録商標)による通信が行われる場合には、デバイスのMAC(Media Access Control)アドレス、又は、IP(Internet Protocol)アドレスとなる。送信先情報は、送信元情報と同様の情報で構成され得るが、ブロードキャスト通信によってパケットの伝送が行われるネットワークにおいては、送信先情報には、ブロードキャストのアドレスが格納される。
【0067】
公開鍵情報フィールドF3には、公開鍵31(図2参照)が格納される。ノード識別情報フィールドF4には、自ノード(ノード30)の識別情報(ノード識別情報)が格納される。ノード識別情報には、例えば、ノード30の型式や、シリアル番号等がある。チェックデータフィールドF5には、チェックサム等の誤り検出符号が格納される。
【0068】
初期パケットP1は平文で構成され、暗号化されていない通信にて伝送されることを想定しているが、パケットは暗号化されてもよく、また、暗号化通信によって伝送されてもよい。同様に、一次パケットP2~三次パケットP4自体も暗号化されてもよく、暗号化通信によって伝送されてもよい。
【0069】
なお、ノード30が不正行為の実行を意図したノードである場合、通信路Ntへの接続後にDoS(Denial of Services)攻撃を実行する場合がある。したがって、ノード30より送信される初期パケットP1の送信回数が過大(所定の閾値回数以上)である場合には、該ノード30を不正なノードであるとその時点で即時に判定してもよい。
【0070】
図5に戻って説明を続ける。メインコントローラ50は、ステップSA2でノード30から送信された初期パケットP1を受信する(ステップSB1)。次いで、メインコントローラ50の通信経路選択部52(図2参照)は、エレベーター15の運行データに基づいて、特定のコントローラをサブコントローラ60として選択する(ステップSB2)。
【0071】
例えば、通信経路選択部52は、運行データとして呼び情報を取得し、呼び登録が最小のコントローラを、サブコントローラ60に選択することができる。
【0072】
なお、本実施形態では、初期パケットP1の受信をトリガとして、メインコントローラ50によるサブコントローラ60の選択処理が行われる例を挙げるが、本発明はこれに限定されない。メインコントローラ50において設定された所定の周期毎や、エレベーター15の運行回数が所定の閾値運行回数に到達したタイミングなどの、ある条件が達成されたタイミングにおいて実行されてもよい。もしくは、ランダムな時間単位で実行されてもよい。このような処理が行われることにより、ノード30の認証処理の実行の第三者による検出を、より困難なものにすることができる。
【0073】
次いで、メインコントローラ50の一時データ生成部51は、運行データを用いて一時データを生成する(ステップSB3)。例えば、一時データ生成部51は、かご位置等の運行データを種とする乱数、又は、運行データを所定のハッシュ関数に入力して得られるハッシュ値等を発生させ、これらを一時データとする。
【0074】
次いで、メインコントローラ50の暗号化部54は、ステップSB3で生成された一時データを、秘密鍵M53を用いて暗号化することにより、暗号化一時データを生成する(ステップSB4)。次いで、メインコントローラ50のパケット生成部55は、ステップSB4で生成された暗号化一時データと、ステップSB2で選択したサブコントローラ60の情報(サブ情報)とを、ステップSB1で受信した初期パケットP1に含まれていた公開鍵を用いて暗号化して、暗号化データ(暗号化情報の一例)を生成する(ステップSB5)。
【0075】
次いで、メインコントローラ50のパケット生成部55は、ステップSB5で生成した暗号化データと、自身(メインコントローラ50)の情報とを含む一次パケットP2を生成する(ステップSB6)。そして、通信部56が、該一次パケットP2をノード30に送信する(ステップSB7)。ステップSB1~SB7の処理が、図4のステップS2の一次通信処理となる。
【0076】
なお、図5に示す例では、メインコントローラ50がサブコントローラ60の選択を行った後に一時データを生成する例を挙げたが、本発明はこれに限定されない。メインコントローラ50は、一時データを生成した後にサブコントローラ60の選択を行ってもよい。
【0077】
【0078】
図7に示すように、一次パケットP2は、送信元情報フィールドF21、送信先情報フィールドF22、暗号化データフィールドF23及びチェックデータフィールドF24を有する。
【0079】
送信元情報フィールドF21には、一次パケットP2の送信元である自身(メインコントローラ50)の情報(送信元情報)が格納される。送信先情報フィールドF22には、一次パケットP2の送信先であるノード30の情報(送信先情報)が格納される。
【0080】
暗号化データフィールドF23には、メインコントローラ50の暗号化部54によって生成された暗号化データが格納される。暗号化データは、サブコントローラ60の識別情報(サブ情報)と、暗号化一時データとで構成される。チェックデータフィールドF24には、チェックサム等の誤り検出符号が格納される。
【0081】
[二次通信処理及び三次通信処理]
次に、図8を参照して、エレベーター接続機器確認処理における二次通信処理及び三次通信処理について説明する。まず、ノード30の通信部35(図2参照)は、メインコントローラ50から送信された一次パケットP2を受信する(ステップSA3)。次いで、ノード30の復号部33は、ステップSA3で受信した一次パケットP2に含まれていた暗号化データを、公開鍵31に対応する秘密鍵N32を用いて復号する(ステップSA4)。
次に、図8を参照して、エレベーター接続機器確認処理における二次通信処理及び三次通信処理について説明する。まず、ノード30の通信部35(図2参照)は、メインコントローラ50から送信された一次パケットP2を受信する(ステップSA3)。次いで、ノード30の復号部33は、ステップSA3で受信した一次パケットP2に含まれていた暗号化データを、公開鍵31に対応する秘密鍵N32を用いて復号する(ステップSA4)。
【0082】
次いで、ノード30のパケット生成部34は、ステップSA4で復号された暗号化データから、暗号化一時データを抽出して、二次パケットP3に格納する(ステップSA5)。次いで、パケット生成部34は、ステップSA4で復号された暗号化データに含まれていたサブ情報(サブコントローラ60の識別情報)を、二次パケットP3の送信先情報フィールドF32(図9参照)に設定する(ステップSA6)。
【0083】
次いで、ノード30の通信部35は、二次パケットP3をサブコントローラ60に送信する(ステップSA7)。ステップSA1~SA7の処理が、図4のステップS3の二次通信処理であり、ステップSA7の処理後、ノード30によるすべての処理(初期通信処理及び二次通信処理)は終了する。
【0084】
【0085】
図9に示すように、二次パケットP3は、送信元情報フィールドF31、送信先情報フィールドF32、メインコントローラ識別情報フィールドF33、暗号化一時データフィールドF34及びチェックデータフィールドF35を有する。
【0086】
送信元情報フィールドF31には、二次パケットP3の送信元である自身(ノード30)の情報(送信元情報)が格納される。送信先情報フィールドF32には、二次パケットP3の送信先であるサブコントローラ60の情報(送信先情報)が格納される。
【0087】
メインコントローラ識別情報フィールドF33には、メインコントローラ50の識別情報が格納される。メインコントローラ50の識別情報は、二次パケットP3を受信したサブコントローラ60において、生成した三次パケットP4の送信先の情報として活用される。暗号化一時データフィールドF34には、一次パケットP2から抽出した暗号化一時データが格納される。チェックデータフィールドF35には、チェックサム等の誤り検出符号が格納される。
【0088】
図8に戻って説明を続ける。サブコントローラ60の通信部61(図2参照)は、ステップSA5でノード30から送信された二次パケットP3を受信する(ステップSC1)。次いで、サブコントローラ60のパケット転送部62は、ステップSC1で受信した二次パケットP3に含まれていた暗号化一時データと、送信元情報とを含む三次パケットP4を生成する(ステップSC2)。次いで、サブコントローラ60の通信部61は、該三次パケットP4を、メインコントローラ50に送信する(ステップSC3)。ステップSC1~SC3の処理が、図4のステップS4の三次通信処理であり、ステップSC3の処理後、サブコントローラ60による処理は終了する。
【0089】
【0090】
図10に示すように、三次パケットP4は、送信元情報フィールドF41、送信先情報フィールドF42、暗号化一時データフィールドF43及びチェックデータフィールドF44を有する。
【0091】
送信元情報フィールドF41には、三次パケットP4の送信元である自身(サブコントローラ60)の情報(送信元情報)が格納される。送信先情報フィールドF42には、三次パケットP4の送信先であるメインコントローラ50の情報(送信先情報)が格納される。暗号化一時データフィールドF43には、二次パケットP3から抽出した暗号化一時データが格納される。チェックデータフィールドF44には、チェックサム等の誤り検出符号が格納される。
【0092】
[判別処理]
次に、図11を参照して、エレベーター接続機器確認処理における判別処理について説明する。まず、メインコントローラ50の判別部59(図2参照)は、所定の閾値時間以内にサブコントローラ60から三次パケットP4を受信したか否かを判定する(ステップSB8)。閾値時間以内か否かを判定するのは、メインコントローラ50が図5のステップSB7でノード30に一次パケットP2を送信してからの経過時間である。
次に、図11を参照して、エレベーター接続機器確認処理における判別処理について説明する。まず、メインコントローラ50の判別部59(図2参照)は、所定の閾値時間以内にサブコントローラ60から三次パケットP4を受信したか否かを判定する(ステップSB8)。閾値時間以内か否かを判定するのは、メインコントローラ50が図5のステップSB7でノード30に一次パケットP2を送信してからの経過時間である。
【0093】
ノード30が正規機器でない場合、該ノード30は二次通信処理を正しく実行することができない。すなわち、メインコントローラ50から送信された一次パケットP2に含まれている暗号化データを復号することができず、暗号化データに含まれているサブコントローラ60の情報を取得することができない。また、非正規機器のノード30は、暗号化データに含まれている暗号化一時データを取得することもできない。
【0094】
したがって、非正規機器のノード30は、メインコントローラ50から送信された一次パケットP2に基づいて、送信先がサブコントローラ60であり、かつ、暗号化一時データを含む二次パケットP3を生成し、該二次パケットP3をサブコントローラ60に送信する二次通信処理を実行することができない。よって、サブコントローラ60も、ノード30から受信した二次パケットP3に基づいて三次パケットP4を生成してメインコントローラ50に送信する三次通信処理を、実行することができない。
【0095】
つまり、ノード30が非正規機器である場合には、メインコントローラ50は、一次パケットP2をノード30に送信してから所定の閾値時間内に、三次パケットP4をサブコントローラ60から受信することはない。それゆえ、一次パケットP2をノード30に送信してから所定の閾値時間内に三次パケットP4を受信できなかった場合には、ノード30は非正規機器であると判定することができる。
【0096】
ステップSB8で、閾値時間内にサブコントローラ60から三次パケットP4を受信していないと判定された場合(ステップSB8がNO判定の場合)、メインコントローラ50の判別部59は、追加されたノード30は規格に適合しないノード、すなわち、非正規機器のノードであると判定する(ステップSB9)。ステップSB9の処理後、メインコントローラ50は判別処理を終了する。
【0097】
一方、ステップSB8で、所定の閾値時間以内にサブコントローラ60から三次パケットP4を受信したと判定された場合(ステップSB8がYES判定の場合)、判別部59は、三次パケットP4に含まれていた送信元情報と、図5のステップSB2で選択したサブコントローラ60の情報とが一致するか否かを判定する(ステップSB10)。ステップSB10で、両情報は一致しないと判定された場合(ステップSB10がNO判定の場合)、判別部59は、ステップSB9の処理を行う。すなわち、追加されたノード30は非正規機器であると判定する。
【0098】
一方、ステップSB10で、両情報は一致すると判定された場合(ステップSB10がYES判定の場合)、判別部59は、サブコントローラ60から受信した三次パケットP4に含まれていた暗号化一時データを、秘密鍵M53(図2参照)を用いて復号する(ステップSB11)。
【0099】
次いで、判別部59は、復号化した暗号化データに含まれていた一時データと、図5のステップSB3で生成した一時データとが一致するか否かを判定する(ステップSB12)。ステップSB12で、両データは一致しないと判定された場合(ステップSB12がNO判定の場合)、ステップSB9の処理を行う。すなわち、追加されたノード30は非正規機器であると判定する。
【0100】
一方、ステップSB12で、両データは一致すると判定された場合(ステップSB12がYES判定の場合)、判別部59は、追加されたノードは規格に適合したノード、すなわち、正規機器であると判定する(ステップSB13)。ステップSB8~SB13の処理が、図4のステップS5の判別処理であり、ステップSB9又はステップSB13の処理後、メインコントローラ50によるすべての処理(一次通信処理及び判別処理)は終了する。
【0101】
[非正規機器検出時の処理]
次に、追加されたノード30が非正規機器であると判定した場合におけるメインコントローラ50での処理について、図12及び図13を参照して説明する。図12は、追加されたノード30が非正規機器であると判定した場合におけるメインコントローラ50での処理例(1)の手順を示すフローチャートである。図13は、追加されたノード30が非正規機器であると判定した場合におけるメインコントローラ50での処理例(2)の手順を示すフローチャートである。
次に、追加されたノード30が非正規機器であると判定した場合におけるメインコントローラ50での処理について、図12及び図13を参照して説明する。図12は、追加されたノード30が非正規機器であると判定した場合におけるメインコントローラ50での処理例(1)の手順を示すフローチャートである。図13は、追加されたノード30が非正規機器であると判定した場合におけるメインコントローラ50での処理例(2)の手順を示すフローチャートである。
【0102】
最初に、図12を参照して処理例(1)について説明する。まず、メインコントローラ50の判別部59(図2参照)は、ノード30正規機器でない、すなわち、非正規機器であると判定した場合、非正規機器と判定されたノード30(以下、不正ノード30とも称する)の情報を不正情報として記憶する(ステップS11)。不正情報は、不正ノード30の情報(識別情報等)を少なくとも含み、例えば、デバイスID、シリアルナンバー、MACアドレス、IPアドレス等で構成される。
【0103】
次いで、メインコントローラ50の判別部59は、ステップS11で記憶した不正情報を、通信部56を介して他のコントローラに周知する(ステップS12)。周知(通知)は、例えば、通信路Nt(図2参照)において、複数の装置がマルチドロップ形態で接続されている場合には、シリアル通信によって通信路Ntに接続されているすべてのコントローラを対象として行われる。
【0104】
また、通信路Ntにおいて、イーサネット(登録商標)等の規格に基づいて通信が行われる場合には、不正情報の通知は、ブロードキャスト通信を介して、通信路Ntに接続されたすべてのコントローラに対して行われる。不正情報を受信した各コントローラは、例えば、受信した不正情報に含まれるノード30の情報に基づいて、該ノード30との通信を拒絶する等の処理を行うことができる。
【0105】
メインコントローラ50及び他のコントローラによって、このような処理が行われることにより、非正規機器であるノード30によるどのようなアクションもエレベーターシステム100側で無視できる。したがって、本実施形態によれば、通信路Ntに非正規機器が接続された場合にも、エレベーター15(図1参照)の運行を継続することが可能となる。
【0106】
また、本実施形態によれば、非正規機器であるノード30が接続された場合に、そのことがメインコントローラ50によってすぐに検知されるため、非正規機器であるノード30が接続されることによってエレベーターシステム100の動作等に不具合が生じてしまうことを防ぐことができる。また、ノード30が不正行為目的で追加された非正規機器であった場合にも、ノード30との通信を拒絶する等の処理が行われることにより、不正が実行されることを防ぐことができる。
【0107】
次に、図13を参照して処理例(2)について説明する。まず、メインコントローラ50の判別部59は、ノード30は非正規機器であると判定した場合、該当するコントローラに対して、エレベーター15の乗りかご7(図1参照)を最寄階に停止させる指示を行う(ステップS21)。
【0108】
例えば、図1の通信路17に不正ノード30が接続された場合には、メインコントローラ50は、群管理コントローラ4に対して乗りかご7の最寄階停止を指示し、通信路16に不正ノード30が接続された場合には、メインコントローラ50は、エレベーターコントローラ5に乗りかご7の最寄階停止を指示する。また、通信路12に不正ノード30が接続された場合には、メインコントローラ50は、エレベーターコントローラ5に乗りかご7の最寄階停止を指示する。このような処理が行われることにより、不正ノード30が接続された場合であっても、エレベーター15の利用者の安全を確保することができる。
【0109】
次いで、メインコントローラ50の判別部59は、通信部56を介して、上位コントローラに不正発生を通知する(ステップS22)。例えば、図1の通信路17に不正ノード30が接続された場合には、メインコントローラ50は、通信コントローラ3に不正発生を通知し、通信路16に不正ノード30が接続された場合には、メインコントローラ50は、群管理コントローラ4に不正発生を通知する。また、通信路12に不正ノード30が接続された場合には、メインコントローラ50は、エレベーターコントローラ5に不正発生を通知する。不正発生の通知を受信したコントローラが、更に上位コントローラに不正発生の通知を転送することにより、最上位のセンタ装置1に不正発生の通知を速やかに到達させることができる。
【0110】
[一時データの生成例及びサブコントローラの決定例]
次に、図14~図19を参照して、メインコントローラ50の一時データ生成部51(図2参照)による一時データ生成例、及び、メインコントローラ50の通信経路選択部52によるサブコントローラ60の選択例について説明する。
次に、図14~図19を参照して、メインコントローラ50の一時データ生成部51(図2参照)による一時データ生成例、及び、メインコントローラ50の通信経路選択部52によるサブコントローラ60の選択例について説明する。
【0111】
図14は、一時データの生成例及びサブコントローラ60の決定例(1)の手順の例を示すフローチャートであり、図15は、一時データの生成例及びサブコントローラ60の決定例(2)の手順の例を示すフローチャートである。図16は、一時データの生成例及びサブコントローラ60の決定例(3)の手順の例を示すフローチャートであり、図17は、一時データの生成例及びサブコントローラ60の決定例(4)の手順の例を示すフローチャートである。図18は、一時データの生成例及びサブコントローラ60の決定例(5)の手順の例を示すフローチャートであり、図19は、一時データの生成例及びサブコントローラ60の決定例(6)の手順の例を示すフローチャートである。
【0112】
〔例(1):一時データ用の運行データ=かご位置情報、サブコントローラ60選択用の運行データ=呼び情報〕
最初に、図14を参照して、メインコントローラ50による一時データの生成例及びサブコントローラ60の決定例(1)について説明する。
まず、メインコントローラ50の一時データ生成部51(図2参照)は、エレベーター15の運行データとして、乗りかご7(図1参照)の位置情報(かご位置情報)を、通信部56を介して取得する(ステップS31)。
最初に、図14を参照して、メインコントローラ50による一時データの生成例及びサブコントローラ60の決定例(1)について説明する。
まず、メインコントローラ50の一時データ生成部51(図2参照)は、エレベーター15の運行データとして、乗りかご7(図1参照)の位置情報(かご位置情報)を、通信部56を介して取得する(ステップS31)。
【0113】
次いで、メインコントローラ50の一時データ生成部51は、ステップS31で取得したかご位置情報を入力値とする一時データを生成する(ステップS32)。一時データは、例えば、かご位置情報を乱数発生関数やハッシュ値関数などに入力することにより生成することができる。すなわち、一時データ生成部51は、かご位置情報を入力値とする乱数又はハッシュ値等を、一時データとして得ることができる。
【0114】
次いで、メインコントローラ50の通信経路選択部52は、運行データとして呼び情報を取得する(ステップS33)。
【0115】
次いで、通信経路選択部52は、ステップS33で取得した呼び情報に基づいて、所定のコントローラを、サブコントローラ60として選択する(ステップS34)。例えば、通信経路選択部52は、呼び情報に含まれる各乗りかご7の呼び登録情報を最小値関数に入力し、得られた出力値に基づいて、コントローラを選択することができる。これにより、呼び登録が最小のコントローラがサブコントローラ60に選択される。
【0116】
通信経路選択部52によってこのような処理が行われることにより、呼び登録がゼロである乗りかご7を含む、呼び登録が最小である乗りかご7の動作を制御するかごコントローラ10が、サブコントローラ60に選択される。つまり、処理に余裕があるかごコントローラ10が、パケットの伝送経路を構成するサブコントローラ60に選択される。そのため、本実施形態に係るエレベーター接続機器確認方法が実行されたことによって、エレベーター15の通常の運行に及ぼしてしまう影響を、最小限に抑えることが可能となる。
【0117】
〔例(2):一時データ用の運行データ=かご速度情報、サブコントローラ60選択用の運行データ=呼び情報〕
次に、図15を参照して、メインコントローラ50による一時データの生成例及びサブコントローラ60の決定例(2)について説明する。
まず、メインコントローラ50の一時データ生成部51は、エレベーター15の運行データとして、乗りかご7の速度情報(かご速度情報)を、通信部56を介して取得する(ステップS41)。
次に、図15を参照して、メインコントローラ50による一時データの生成例及びサブコントローラ60の決定例(2)について説明する。
まず、メインコントローラ50の一時データ生成部51は、エレベーター15の運行データとして、乗りかご7の速度情報(かご速度情報)を、通信部56を介して取得する(ステップS41)。
【0118】
次いで、メインコントローラ50の一時データ生成部51は、ステップS41で取得したかご速度情報を入力値とする一時データを生成する(ステップS42)。一時データは、例えば、かご速度情報を乱数発生関数やハッシュ値関数などに入力することにより生成することができる。すなわち、一時データ生成部51は、かご速度情報を入力値とする乱数又はハッシュ値等を、一時データとして得ることができる。
【0119】
次いで、メインコントローラ50の通信経路選択部52は、運行データとして、乗りかご7の行先階情報を取得する(ステップS43)。
【0120】
次いで、通信経路選択部52は、ステップS43で取得した行先階情報に基づいて、所定のコントローラを、サブコントローラ60として選択する(ステップS44)。例えば、通信経路選択部52は、行先階情報に含まれる行先階を最小値関数に入力し、得られた出力値に基づいて、サブコントローラ60を選択することができる。これにより、行先階の登録が最小のコントローラがサブコントローラ60に選択される。
【0121】
通信経路選択部52によってこのような処理が行われることにより、行先階の登録がゼロであるフロアを含む、行先階登録が最小であるフロアに設けられたフロアコントローラ11が、サブコントローラ60に選択される。つまり、処理に余裕があるフロアコントローラ11が、パケットの伝送経路を構成するサブコントローラ60に選択される。そのため、本実施形態に係るエレベーター接続機器確認方法の実施が、エレベーター15の通常の運行に及ぼしてしまう影響を、最小限に抑えることが可能となる。
【0122】
〔例(3):一時データ用の運行データ及びサブコントローラ60選択用の運行データ=かご荷重情報〕
次に、図16を参照して、メインコントローラ50による一時データの生成例及びサブコントローラ60の決定例(3)について説明する。
まず、メインコントローラ50の一時データ生成部51は、エレベーター15の運行データとして、乗りかご7の荷重情報(かご荷重情報)を、通信部56を介して取得する(ステップS51)。
次に、図16を参照して、メインコントローラ50による一時データの生成例及びサブコントローラ60の決定例(3)について説明する。
まず、メインコントローラ50の一時データ生成部51は、エレベーター15の運行データとして、乗りかご7の荷重情報(かご荷重情報)を、通信部56を介して取得する(ステップS51)。
【0123】
次いで、メインコントローラ50の一時データ生成部51は、ステップS51で取得したかご荷重情報を入力値とする一時データを生成する(ステップS52)。一時データは、例えば、かご荷重情報を乱数発生関数やハッシュ値関数などに入力することにより生成することができる。すなわち、一時データ生成部51は、かご荷重情報を入力値とする乱数又はハッシュ値等を、一時データとして得ることができる。
【0124】
次いで、メインコントローラ50の通信経路選択部52は、ステップS52で発生させたかご荷重情報を入力値とする乱数又はハッシュ値の分布位置の情報に基づいて、所定のコントローラをサブコントローラ60として選択する(ステップS53)。具体的には、通信経路選択部52は、乱数又はハッシュ値が発生し得る数値領域を、サブコントローラ60の個数に分割しておき、実際に発生した乱数又はハッシュ値がどの数値領域に属するかによって、サブコントローラ60を選択する。
【0125】
〔例(4):一時データ用の運行データ及びサブコントローラ60選択用の運行データ=運行回数情報〕
次に、図17を参照して、メインコントローラ50による一時データの生成例及びサブコントローラ60の決定例(4)について説明する。
まず、メインコントローラ50の一時データ生成部51は、エレベーター15の運行データとして、エレベーター15の運行回数の情報を、通信部56を介して取得する(ステップS61)。
次に、図17を参照して、メインコントローラ50による一時データの生成例及びサブコントローラ60の決定例(4)について説明する。
まず、メインコントローラ50の一時データ生成部51は、エレベーター15の運行データとして、エレベーター15の運行回数の情報を、通信部56を介して取得する(ステップS61)。
【0126】
次いで、メインコントローラ50の一時データ生成部51は、ステップS61で取得した運行回数情報を入力値とする一時データを生成する(ステップS62)。一時データは、例えば、運行回数情報を乱数発生関数やハッシュ値関数などに入力することにより生成することができる。すなわち、一時データ生成部51は、運行回数情報を入力値とする乱数又はハッシュ値等を、一時データとして得ることができる。
【0127】
次いで、メインコントローラ50の通信経路選択部52は、運行回数の値の大きさに基づいて、所定のコントローラをサブコントローラ60として選択する(ステップS63)。例えば、通信経路選択部52は、運行回数が最小のエレベーター15のエレベーターコントローラ5を、サブコントローラ60に選択することができる。
【0128】
なお、通信経路選択部52は、運行回数が中間値又は最大のエレベーター15のエレベーターコントローラ5を、サブコントローラ60に選択してもよい。つまり、サブコントローラ60の選択に用いる値は、任意のエレベーターコントローラ5を選択することが可能な値であれば、どのような値であってもよい。
【0129】
〔例(5):一時データ用の運行データ及びサブコントローラ60選択用の運行データ=移動人数情報〕
次に、図18を参照して、メインコントローラ50による一時データの生成例及びサブコントローラ60の決定例(5)について説明する。
まず、メインコントローラ50の一時データ生成部51は、エレベーター15の運行データとして、エレベーター15の移動(輸送)人数の情報を、通信部56を介して取得する(ステップS71)。
次に、図18を参照して、メインコントローラ50による一時データの生成例及びサブコントローラ60の決定例(5)について説明する。
まず、メインコントローラ50の一時データ生成部51は、エレベーター15の運行データとして、エレベーター15の移動(輸送)人数の情報を、通信部56を介して取得する(ステップS71)。
【0130】
次いで、メインコントローラ50の一時データ生成部51は、ステップS71で取得した移動人数情報を入力値とする一時データを生成する(ステップS72)。一時データは、例えば、移動人数情報を乱数発生関数やハッシュ値関数などに入力することにより生成することができる。すなわち、一時データ生成部51は、移動人数情報を入力値とする乱数又はハッシュ値等を、一時データとして得ることができる。
【0131】
次いで、メインコントローラ50の通信経路選択部52は、移動人数の大きさに基づいて、所定のコントローラをサブコントローラ60として選択する(ステップS73)。例えば、通信経路選択部52は、移動人数が最小のエレベーター15のエレベーターコントローラ5を、サブコントローラ60に選択することができる。なお、通信経路選択部52は、移動人数が中間値又は最大のエレベーター15のエレベーターコントローラ5を、サブコントローラ60に選択してもよい。つまり、サブコントローラ60の選択に用いる値は、任意のエレベーターコントローラ5を選択することが可能な値であれば、どのような値であってもよい。
【0132】
〔例(6):一時データ用の運行データ及びサブコントローラ60選択用の運行データ=エレベーターの停止回数情報〕
次に、図19を参照して、メインコントローラ50による一時データの生成例及びサブコントローラ60の決定例(6)について説明する。
まず、メインコントローラ50の一時データ生成部51は、エレベーター15の運行データとして、各フロアにおける乗りかご7の停止回数の情報を、通信部56を介して取得する(ステップS81)。
次に、図19を参照して、メインコントローラ50による一時データの生成例及びサブコントローラ60の決定例(6)について説明する。
まず、メインコントローラ50の一時データ生成部51は、エレベーター15の運行データとして、各フロアにおける乗りかご7の停止回数の情報を、通信部56を介して取得する(ステップS81)。
【0133】
次いで、メインコントローラ50の一時データ生成部51は、ステップS81で取得した停止回数情報を入力値とする一時データを生成する(ステップS82)。一時データは、例えば、停止回数情報を乱数発生関数やハッシュ値関数などに入力することにより生成することができる。すなわち、一時データ生成部51は、停止回数情報を入力値とする乱数又はハッシュ値等を、一時データとして得ることができる。
【0134】
次いで、メインコントローラ50の通信経路選択部52は、停止回数の大きさに基づいて、所定のコントローラをサブコントローラ60として選択する(ステップS83)。例えば、通信経路選択部52は、乗りかご7の停止回数が最小のフロアのフロアコントローラ11を、サブコントローラ60に選択することができる。なお、通信経路選択部52は、エレベーター15の停止回数が中間値又は最大のフロアのフロアコントローラ11を、サブコントローラ60に選択してもよい。つまり、サブコントローラ60の選択に用いる値は、任意のフロアコントローラ11を選択することが可能な値であれば、どのような値であってもよい。
【0135】
なお、上述した例(1)~(6)における一時データ及びサブコントローラ60の組み合わせは例であり、一時データ及びサブコントローラ60の組み合わせの例はこれらに限定されない。また、一時データは、例(1)~(6)に示した運行データ以外の運行データに基づいて生成されてもよい。
【0136】
<各種効果>
上述した実施形態では、エレベーターシステム100のメインコントローラ50は、通信経路選択部52と、暗号化部54と、通信部56と、判別部59(いずれも図2参照)と、を含む。通信経路選択部52は、複数のコントローラのうちのいずれかをサブコントローラ60として選択する。暗号化部54は、サブコントローラ60の識別情報を少なくとも含む情報を、ノード30から取得した公開鍵31を用いて暗号化することにより、暗号化データを生成する。通信部56は、暗号化データをノード30へ送信する。判別部59は、ノード30暗号化データを復号して得たサブコントローラ60の識別情報に基づいて、ノード30によって識別されたコントローラを送信元として送信されたパケットの送信元情報と、通信経路選択部52によって選択されたサブコントローラ60の情報とを比較する。そして、通信経路選択部52は、両情報が一致しない場合に、ノード30はエレベーターシステム100の規格に適合しない非正規機器であると判定する。
上述した実施形態では、エレベーターシステム100のメインコントローラ50は、通信経路選択部52と、暗号化部54と、通信部56と、判別部59(いずれも図2参照)と、を含む。通信経路選択部52は、複数のコントローラのうちのいずれかをサブコントローラ60として選択する。暗号化部54は、サブコントローラ60の識別情報を少なくとも含む情報を、ノード30から取得した公開鍵31を用いて暗号化することにより、暗号化データを生成する。通信部56は、暗号化データをノード30へ送信する。判別部59は、ノード30暗号化データを復号して得たサブコントローラ60の識別情報に基づいて、ノード30によって識別されたコントローラを送信元として送信されたパケットの送信元情報と、通信経路選択部52によって選択されたサブコントローラ60の情報とを比較する。そして、通信経路選択部52は、両情報が一致しない場合に、ノード30はエレベーターシステム100の規格に適合しない非正規機器であると判定する。
【0137】
それゆえ、本実施形態によれば、新たな装置又は通信路を追加することなく、既存の構成のみを用いて、エレベーターシステム100に接続された外部機器(ノード30)が正規機器であるか否か確認できるようになる。したがって、ノード30の認証用の仕組みを新たに追加するための費用を節減できる。
【0138】
また、上述した実施形態では、メインコントローラ50がサブコントローラ60を選択することにより、メインコントローラ50、サブコントローラ60及びノード30の組み合わせが動的に生成される。そして、これらの装置間でパケット(初期パケットP1~三次パケットP4)が伝送されることにより、ノード30の認証が行われる。それゆえ、本実施形態によれば、不正行為の実行を意図する第三者による、ノード30の認証方法の解析を、困難なものとすることができる。
【0139】
また、上述した実施形態では、メインコントローラ50の通信経路選択部52は、エレベーターシステム100から取得したエレベーター15の運行情報又は運行情報の加工情報に基づいて、複数のコントローラのうちのいずれかをサブコントローラ60として選択する。つまり、本実施形態において、ノード30の認証に用いられる各種パケットの通信経路を構成するサブコントローラ60は、その時々に応じて流動的に変化するデータ、すなわち運行データに基づいて決定される。したがって、第三者によって、ノード30の認証用のパケットの通信経路が検出されてしまう確率を低くすることができる。
【0140】
また、上述した実施形態では、メインコントローラ50の判別部59は、一時データ生成部51が生成した一時データと、サブコントローラ60から送信された三次パケットP4から抽出して復号化した一時データとを比較し、両情報が一致しない場合に、ノード30は非正規機器であると判定する。本実施形態において、一時データは、その時々に応じて流動的に変化するデータ、すなわち運行データ、又は、該運行データの加工データを用いて生成される。つまり、本実施形態では、ノード30のシリアルナンバー、MACアドレス等の固定的な情報による認証が行われない。したがって、本実施形態によれば、これらの情報を偽装コピーした非正規機器のノードが追加された場合であっても、該ノードを誤って正規機器として誤認証してしまうことを防止することができる。
【0141】
また、上述した実施形態では、メインコントローラ50において、ノード30から取得した公開鍵31を用いて暗号化された暗号化データが、ノード30において、公開鍵31に対応する秘密鍵N32を用いて復号される。つまり、ノード30が非正規機器である場合には、ノード30は公開鍵31を所持していないため、メインコントローラ50における暗号化データの生成も、ノード30による暗号化データの復号も行えず、その先の認証処理を進めることができない。したがって、本実施形態によれば、メインコントローラ50の判別部59は、非正規機器のノードが追加された場合にも、該ノードが非正規機器であることを容易に判定できる。
【0142】
また、上述した実施形態では、メインコントローラ50の暗号化部54は、秘密鍵M53を用いて暗号化した一時データ(暗号化一時データ)を暗号化データに含め、復号部58は、サブコントローラ60から送信された三次パケットP4に含まれていた暗号化一時データを、秘密鍵M53を用いて復号する。ノード30が非正規機器であり、メインコントローラ50から送信された一次パケットP2を適切に処理できない場合、サブコントローラ60からメインコントローラ50に対して、暗号化一時データを含む三次パケットP4は送信されない。つまり、本実施形態によれば、メインコントローラ50の判別部59は、非正規機器のノードが追加された場合にも、該ノードが非正規機器であることを容易に判定できる。
【0143】
また、上述した実施形態では、メインコントローラ50の判別部59は、暗号化データを含む一次パケットP2を通信部56がノード30に送信してから、サブコントローラ60から三次パケットP4を受信するまでの時間が、所定の閾値時間を超えた場合、ノード30は非正規機器であると判定する。ノード30が非正規機器である場合、ノード30からサブコントローラ60へ二次パケットP3を送信する二次通信処理や、サブコントローラ60からメインコントローラ50に三次パケットP4を送信する三次通信処理が適切に実行されない。これにより、メインコントローラ50の通信部56は、サブコントローラ60が送信元である三次パケットP4を、メインコントローラ50からノード30に一次パケットP2が送信されてから所定の閾値時間内には受信できない。
【0144】
したがって、本実施形態によれば、メインコントローラ50がノード30に一次パケットP2を送信してから、三次パケットP4を受信するまでの時間によっても、メインコントローラ50の判別部59は、ノード30が正規機器であるか否かを容易に判定できる。
【0145】
また、上述した実施形態は本発明を分かりやすく説明するために装置及びシステムの構成を詳細且つ具体的に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。
【0146】
また、図1~図3において実線で示した制御線又は情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
【0147】
また、本明細書において、時系列的な処理を記述する処理ステップは、記載された順序に沿って時系列的に行われる処理はもちろん、必ずしも時系列的に処理されなくとも、並列的あるいは個別に実行される処理(例えば、並列処理あるいはオブジェクトによる処理)をも含むものである。
【0148】
さらに、上述した本発明の一実施形態にかかるエレベーターシステムの各構成要素は、それぞれのハードウェアがネットワークを介して互いに情報を送受信できるならば、いずれのハードウェアに実装されてもよい。また、ある処理部により実施される処理が、1つのハードウェアにより実現されてもよいし、複数のハードウェアによる分散処理により実現されてもよい。
【符号の説明】
【0149】
1…センタ装置、3…通信コントローラ、4…群管理コントローラ、5…エレベーターコントローラ、10…かごコントローラ、11…フロアコントローラ、12…通信路、15…エレベーター、16…通信路、17…通信路、19…保守端末、20…管理端末、30…ノード、31…公開鍵、33…復号部、34…パケット生成部、35…通信部、50…メインコントローラ、51…一時データ生成部、52…通信経路選択部、54…暗号化部、55…パケット生成部、56…通信部、57…アドレス判定部、58…復号部、59…判別部、60…サブコントローラ、61…通信部、62…パケット転送部、100…エレベーターシステム、M53…秘密鍵、N32…秘密鍵、P1…初期パケット、P2…一次パケット、P3…二次パケット、P4…三次パケット
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】