(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024142669
(43)【公開日】2024-10-11
(54)【発明の名称】エレベーターシステム及びエレベーター機器認証方法
(51)【国際特許分類】
B66B 3/00 20060101AFI20241003BHJP
G06F 21/44 20130101ALI20241003BHJP
【FI】
B66B3/00 R
B66B3/00 U
G06F21/44
【審査請求】未請求
【請求項の数】13
【出願形態】OL
(21)【出願番号】P 2023054910
(22)【出願日】2023-03-30
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110000925
【氏名又は名称】弁理士法人信友国際特許事務所
(72)【発明者】
【氏名】納谷 英光
(72)【発明者】
【氏名】羽鳥 貴大
(72)【発明者】
【氏名】助川 祐太
【テーマコード(参考)】
3F303
【Fターム(参考)】
3F303BA01
3F303CB41
3F303FA01
3F303FA07
(57)【要約】
【課題】新たな装置又は通信路等を追加することなく、エレベーターシステムに含まれる機器が正規機器であるか否かを確認できるようにする
【解決手段】本発明の一態様のエレベーターシステム100の受信コントローラ40は、エレベーターの状態情報を用いて一時的データを生成するデータ生成部44と、一時的データに基づいて、送信コントローラ30とは異なる代理コントローラ50を選択し、該代理コントローラ50を中継する一時的通信経路を生成する通信経路生成部42と、一時的データを一時的通信経路において伝送させる通信部47と、一時的通信経路に従って一時的データが伝送されなかった場合に、送信コントローラ30は非正規機器であると判定する演算データ比較部46と、を備える。
【選択図】図2
【解決手段】本発明の一態様のエレベーターシステム100の受信コントローラ40は、エレベーターの状態情報を用いて一時的データを生成するデータ生成部44と、一時的データに基づいて、送信コントローラ30とは異なる代理コントローラ50を選択し、該代理コントローラ50を中継する一時的通信経路を生成する通信経路生成部42と、一時的データを一時的通信経路において伝送させる通信部47と、一時的通信経路に従って一時的データが伝送されなかった場合に、送信コントローラ30は非正規機器であると判定する演算データ比較部46と、を備える。
【選択図】図2
【特許請求の範囲】
【請求項1】
認証側の第1コントローラ及び被認証側の第2コントローラを含む複数のコントローラを有するエレベーターシステムであって、
前記第1コントローラは、
エレベーターの状態情報を用いて一時的データを生成するデータ生成部と、
前記一時的データに基づいて、前記第2コントローラとは異なる第3コントローラを選択し、該第3コントローラを中継する認証用通信経路を生成する通信経路生成部と、
前記一時的データを前記認証用通信経路において伝送させる通信部と、
前記認証用通信経路に従って前記一時的データが伝送されなかった場合に、前記第2コントローラは前記エレベーターにおける動作が保障されていない非正規機器であると判定する認証部と、を備える
エレベーターシステム。
前記第1コントローラは、
エレベーターの状態情報を用いて一時的データを生成するデータ生成部と、
前記一時的データに基づいて、前記第2コントローラとは異なる第3コントローラを選択し、該第3コントローラを中継する認証用通信経路を生成する通信経路生成部と、
前記一時的データを前記認証用通信経路において伝送させる通信部と、
前記認証用通信経路に従って前記一時的データが伝送されなかった場合に、前記第2コントローラは前記エレベーターにおける動作が保障されていない非正規機器であると判定する認証部と、を備える
エレベーターシステム。
【請求項2】
前記エレベーターの状態情報は、前記コントローラ又は複数のコントローラに接続されたセンサによる計測値、前記コントローラが保持する内部状態データのうちの少なくとも1つ以上によって示され、
前記一時的データは、前記エレベーターの状態情報をデータ生成関数に入力して得られる出力値である
請求項1に記載のエレベーターシステム。
前記一時的データは、前記エレベーターの状態情報をデータ生成関数に入力して得られる出力値である
請求項1に記載のエレベーターシステム。
【請求項3】
前記通信経路生成部は、前記データ生成部によって生成された前記一時的データの値と予め対応付けられていた前記コントローラを、前記第3コントローラに選択する
請求項2に記載のエレベーターシステム。
請求項2に記載のエレベーターシステム。
【請求項4】
前記データ生成部は、第1一時的データと、前記第1一時的データとは異なる第2一時的データとを生成し、
前記通信経路生成部は、前記第2コントローラと間の第1通信経路と、往路又は復路において前記第3コントローラを経由する前記第2コントローラと間の第2通信経路と、を規定する通信経路情報を生成して、前記第2コントローラ及び前記第3コントローラに送信させる制御を行い、
前記通信部は、前記第1一時的データを前記第1通信経路において伝送させるとともに、前記第2一時的データを前記第2通信経路において伝送させる、
請求項3に記載のエレベーターシステム。
前記通信経路生成部は、前記第2コントローラと間の第1通信経路と、往路又は復路において前記第3コントローラを経由する前記第2コントローラと間の第2通信経路と、を規定する通信経路情報を生成して、前記第2コントローラ及び前記第3コントローラに送信させる制御を行い、
前記通信部は、前記第1一時的データを前記第1通信経路において伝送させるとともに、前記第2一時的データを前記第2通信経路において伝送させる、
請求項3に記載のエレベーターシステム。
【請求項5】
前記第2通信経路は、前記第1コントローラから送信された前記一時的データが前記第2コントローラ、前記第3コントローラを経由して前記第1コントローラに返送される経路によって構成される
請求項4に記載のエレベーターシステム。
請求項4に記載のエレベーターシステム。
【請求項6】
前記第2コントローラは、受信した一時的データを変換して変換一時的データを生成する第1演算部と、第2通信部と、をさらに備え、
前記第1演算部は、前記第1コントローラから送信された前記第1一時的データを変換して第1変換一時的データを生成する処理と、前記第1コントローラから送信された前記第2一時的データを変換して第2変換一時的データを生成する処理と、を行い、
前記第2通信部は、前記第1変換一時的データを前記第1コントローラに送信し、前記2変換一時的データを前記第3コントローラに送信し、
前記第3コントローラは、受信した一時的データを変換して変換一時的データを生成する第2演算部と、第3通信部と、をさらに備え、
前記第2演算部は、前記第1コントローラから送信された前記第2変換一時的データを変換して第2再変換一時的データを生成する処理を行い、
前記第3通信部は、前記第2再変換一時的データを前記第1コントローラに送信する処理を行い、
前記第1コントローラの認証部は、前記第1通信経路を介して送信された前記第1変換一時的データ、及び、前記第2通信経路を介して送信された前記第2再変換一時的データを用いて、前記第2コントローラが正規機器であるか否かの認証を行う
請求項5に記載のエレベーターシステム。
前記第1演算部は、前記第1コントローラから送信された前記第1一時的データを変換して第1変換一時的データを生成する処理と、前記第1コントローラから送信された前記第2一時的データを変換して第2変換一時的データを生成する処理と、を行い、
前記第2通信部は、前記第1変換一時的データを前記第1コントローラに送信し、前記2変換一時的データを前記第3コントローラに送信し、
前記第3コントローラは、受信した一時的データを変換して変換一時的データを生成する第2演算部と、第3通信部と、をさらに備え、
前記第2演算部は、前記第1コントローラから送信された前記第2変換一時的データを変換して第2再変換一時的データを生成する処理を行い、
前記第3通信部は、前記第2再変換一時的データを前記第1コントローラに送信する処理を行い、
前記第1コントローラの認証部は、前記第1通信経路を介して送信された前記第1変換一時的データ、及び、前記第2通信経路を介して送信された前記第2再変換一時的データを用いて、前記第2コントローラが正規機器であるか否かの認証を行う
請求項5に記載のエレベーターシステム。
【請求項7】
前記第2通信経路は、前記第1コントローラから送信された前記一時的データが前記第3コントローラ、前記第2コントローラを経由して前記第1コントローラに返送される経路によって構成される
請求項4に記載のエレベーターシステム。
請求項4に記載のエレベーターシステム。
【請求項8】
前記第2コントローラは、受信した一時的データを変換して変換一時的データを生成する第1演算部と、第2通信部と、をさらに備え、
前記第1演算部は、前記第1コントローラから送信された前記第1一時的データを変換して第1変換一時的データを生成する処理と、前記第3コントローラから送信された第2変換一時的データを再変換して第2再変換一時的データを生成する処理と、を行い、
前記第2通信部は、前記第1変換一時的データ、及び、前記第2再変換一時的データを前記第1コントローラに送信し、
前記第3コントローラは、受信した一時的データを変換して変換一時的データを生成する第2演算部と、第3通信部と、をさらに備え、
前記第2演算部は、前記第1コントローラから送信された前記第2一時的データを変換して前記第2変換一時的データを生成する処理を行い、
前記第3通信部は、前記第2変換一時的データを前記第2コントローラに送信する処理を行い、
前記第1コントローラの認証部は、前記第1通信経路を介して送信された前記第1変換一時的データ、及び、前記第2通信経路を介して送信された前記第2再変換一時的データを用いて、前記第2コントローラが正規機器であるか否かの認証を行う
請求項7に記載のエレベーターシステム。
前記第1演算部は、前記第1コントローラから送信された前記第1一時的データを変換して第1変換一時的データを生成する処理と、前記第3コントローラから送信された第2変換一時的データを再変換して第2再変換一時的データを生成する処理と、を行い、
前記第2通信部は、前記第1変換一時的データ、及び、前記第2再変換一時的データを前記第1コントローラに送信し、
前記第3コントローラは、受信した一時的データを変換して変換一時的データを生成する第2演算部と、第3通信部と、をさらに備え、
前記第2演算部は、前記第1コントローラから送信された前記第2一時的データを変換して前記第2変換一時的データを生成する処理を行い、
前記第3通信部は、前記第2変換一時的データを前記第2コントローラに送信する処理を行い、
前記第1コントローラの認証部は、前記第1通信経路を介して送信された前記第1変換一時的データ、及び、前記第2通信経路を介して送信された前記第2再変換一時的データを用いて、前記第2コントローラが正規機器であるか否かの認証を行う
請求項7に記載のエレベーターシステム。
【請求項9】
前記認証部は、前記第1変換一時的データ又は前記第2再変換一時的データを前記通信部が受信できなかった場合、前記第2コントローラは非正規機器であると判定する
請求項6又は8に記載のエレベーターシステム。
請求項6又は8に記載のエレベーターシステム。
【請求項10】
前記第3コントローラは、受信した一時的データの送信元が、前記通信経路情報において通信先に設定されたコントローラと一致するか否かを判定する判定部をさらに備え、
前記判定部は、前記第2変換一時的データの送信元のコントローラは前記第2コントローラではないと判定した場合、前記第2再変換一時的データを前記第1コントローラに送信させない制御を行う
請求項6に記載のエレベーターシステム。
前記判定部は、前記第2変換一時的データの送信元のコントローラは前記第2コントローラではないと判定した場合、前記第2再変換一時的データを前記第1コントローラに送信させない制御を行う
請求項6に記載のエレベーターシステム。
【請求項11】
前記認証部は、前記第1一時的データを変換して得られるデータと、前記通信部が受信した前記第1変換一時的データとの照合結果、及び、前記第2一時的データを変換して得られるデータと、前記通信部が受信した前記第2再変換一時的データとの照合結果の両方が一致を示していた場合、前記第2コントローラは正規機器であると判定する
請求項6又は7に記載のエレベーターシステム。
請求項6又は7に記載のエレベーターシステム。
【請求項12】
前記認証部は、前記第1通信経路を介して送信された前記第1変換一時的データの認証によって、前記第2コントローラは正規機器であると判定した場合に、前記第2通信経路を介して送信された前記第2再変換一時的データを用いた認証を行う
請求項6又は8に記載のエレベーターシステム。
請求項6又は8に記載のエレベーターシステム。
【請求項13】
認証側の第1コントローラ及び被認証側の第2コントローラを含む複数のコントローラを有するエレベーターシステムによるエレベーター機器認証方法であって、
前記第1コントローラのデータ生成部が、エレベーターの状態情報を用いて一時的データを生成する手順と、
通信経路生成部が、前記一時的データに基づいて、前記第2コントローラとは異なる第3コントローラを選択し、該第3コントローラを中継する認証用通信経路を生成する手順と、
通信部が、前記一時的データを前記認証用通信経路において伝送させる手順と、
認証部が、前記認証用通信経路に従って前記一時的データが伝送されなかった場合に、前記第2コントローラは前記エレベーターにおける動作が保障されていない非正規機器であると判定する手順と、を含む
エレベーター機器認証方法。
前記第1コントローラのデータ生成部が、エレベーターの状態情報を用いて一時的データを生成する手順と、
通信経路生成部が、前記一時的データに基づいて、前記第2コントローラとは異なる第3コントローラを選択し、該第3コントローラを中継する認証用通信経路を生成する手順と、
通信部が、前記一時的データを前記認証用通信経路において伝送させる手順と、
認証部が、前記認証用通信経路に従って前記一時的データが伝送されなかった場合に、前記第2コントローラは前記エレベーターにおける動作が保障されていない非正規機器であると判定する手順と、を含む
エレベーター機器認証方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、エレベーターシステム及びエレベーター機器認証方法に関する。
【背景技術】
【0002】
エレベーターシステムにおいては、複数コントローラが様々な通信路を介して接続されている。該通信路には様々な機器を接続することが可能であるが、エレベーターシステムで接続が想定されていない機器、すなわち、エレベーターシステムの規格に適合しない非正規機器が既存の正規機器と置き換えられた場合、又は、非正規機器が新たに通信路に接続された場合、該エレベーターシステムの動作に支障が生じる可能性がある。
【0003】
例えば、特許文献1には、複数の命令を記憶するように動作可能である記憶媒体と、認証情報要求をネットワークサーバに送信し、サービスツールで機器制御装置にアクセスする命令を実行するように構成される少なくとも1つのプロセッサと、を含むサービスツール認証情報管理システムが開示されている。特許文献1に記載の技術によれば、非正規機器がエレベーターシステムに接続された場合にそのことを検知することができる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2019-23868号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、特許文献1に記載されたサービスツール認証情報管理システムを導入するためには、機器構成要素を監視及び/又は制御するための機器制御装置と、認証情報を管理するネットワークサーバと、機器制御装置及びネットワークサーバ間を接続する通信経路と、を新たに設ける必要があり、導入コストがかさんでしまう。
【0006】
本発明は、上記の状況を考慮してなされたものであり、本発明の目的は、新たな装置又は通信路等を追加することなく、エレベーターシステムに含まれる機器が正規機器であるか否かを確認できるようにすることを目的とする。
【課題を解決するための手段】
【0007】
本発明の一態様に係るエレベーターシステムは、認証側の第1コントローラ及び被認証側の第2コントローラを含む複数のコントローラを有するエレベーターシステムである。本発明の一態様に係るエレベーターシステムの第1コントローラは、エレベーターの状態情報を用いて一時的データを生成するデータ生成部と、一時的データに基づいて、第2コントローラとは異なる第3コントローラを選択し、該第3コントローラを中継する認証用通信経路を生成する通信経路生成部と、一時的データを認証用通信経路において伝送させる通信部と、認証用通信経路に従って一時的データが伝送されなかった場合に、第2コントローラはエレベーターにおける動作が保障されていない非正規機器であると判定する認証部と、を備える。
【発明の効果】
【0008】
本発明の少なくとも一態様によれば、新たな装置又は通信路等を追加することなく、エレベーターシステムに含まれる機器が正規機器であるか否かを確認できる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
【図面の簡単な説明】
【0009】
【図1】本発明の一実施形態に係るエレベーターシステムの概略構成例を示す図である。
【図2】本発明の一実施形態に送信コントローラ、受信コントローラ及び代理コントローラの機能の構成例を示すブロック図である。
【図3】本発明の一実施形態に係るエレベーターシステムを構成する各コントローラのハードウェア構成例を示すブロック図である。
【図4】本発明の一実施形態に係る一時的データ生成処理の手順の例を示すフローチャートである。
【図5】本発明の一実施形態に係る代理コントローラ選択処理の手順の例を示すフローチャートである。
【図6】本発明の一実施形態に係る管理テーブルの構成例を示す図である。
【図7】本発明の一実施形態に係る一時的通信経路情報設定処理の手順の例を示すフローチャートである。
【図8】本発明の一実施形態に係る正当性確認処理の手順の例を示すフローチャートである。
【図9】本発明の一実施形態に係る各コントローラ間において送受信されるパケットの構成例を示す図である。
【図10】本発明の一実施形態に係る第1パケットの構成例を示す図である。
【図11】本発明の一実施形態に係る第2パケットの構成例を示す図である。
【図12】本発明の一実施形態に係る第1正当性確認処理の手順の例を示すフローチャートである。
【図13】本発明の一実施形態に係る第3パケットの構成例を示す図である。
【図14】本発明の一実施形態に係る第4パケットの構成例を示す図である。
【図15】本発明の一実施形態に係る第2正当性確認処理の手順の例を示すフローチャートである。
【図16】本発明の一実施形態に係る第5パケットの構成例を示す図である。
【図17】本発明の一実施形態に係る第3正当性確認処理の手順の例を示すフローチャートである。
【図18】本発明の一実施形態に係る複数台のコントローラが選択される場合における代理コントローラの選択処理の手順の例を示すフローチャートである。
【図19】本発明の一実施形態に係る、2台の代理コントローラが選択された場合における管理テーブル及び一時的通信経路情報の例を示す図である。
【図20】本発明の変形例に係る正当性確認処理の手順の例を示すフローチャートである。
【図21】本発明の変形例に係る第1A-1正当性確認処理の手順の例を示すフローチャートである。
【図22】本発明の変形例に係る第2A正当性確認処理の手順の例を示すフローチャートである。
【図23】本発明の変形例に係る第1A-2正当性確認処理の手順の例を示すフローチャートである。
【図24】本発明の変形例に係る第3A正当性確認処理の手順の例を示すフローチャートである
【発明を実施するための形態】
【0010】
以下、本発明を実施するための形態(以下、「実施形態」と称する)の例について、添付図面を参照しながら説明する。本発明は実施形態に限定されるものではなく、実施形態における種々の数値等は例示である。また、本明細書及び図面において、同一の構成要素又は実質的に同一の機能を有する構成要素には同一の符号を付することとし、重複する説明は省略する。
【0011】
【0012】
図1に示すように、エレベーターシステム100は、センタ1と、通信コントローラ3と、群管理コントローラ4と、エレベーター15と、管理端末20と、を含む。
【0013】
センタ1は、エレベーター15が設けられた建物とは遠隔の場所に設けられ、ネットワーク2を介して接続された群管理コントローラ4から送信される各種情報に基づいて、群管理コントローラ4が管理するエレベーター15の監視、保守等を行う装置である。ネットワーク2は、例えば、専用回線のような閉回路網、又は、インターネットのような公衆回線等で構成される。
【0014】
管理端末20は、エレベーター15の運行を監視・操作する機器であり、汎用PC(Personal Computer)又は専用機器で構成される。管理端末20は、例えば、エレベーター15が設けられた建物の管理室(図示略)等に設置され、通信路17に接続される。
【0015】
通信コントローラ3は、センタ1と群管理コントローラ4との間、及び、管理端末20と群管理コントローラ4との間のデータの送受信動作を制御するコントローラであり、ネットワーク2及び通信路17に接続される。
【0016】
群管理コントローラ4は、複数のエレベーター15のまとまりを、それぞれエレベーターグループ18としてまとめて管理、運用するコントローラであり、通信路17及び通信路16に接続される。エレベーターグループ18は、例えば、エレベーター15の設置場所やエレベーター15の用途、エレベーター15が設置された建物等の単位毎に設けられる。
【0017】
エレベーターコントローラ5は、複数のエレベーター15のそれぞれにおいて設けられる、エレベーター15の動作を制御するコントローラであり、通信路16及び通信路12に接続される。エレベーターコントローラ5は、例えば、エレベーター15のモーター6の動作を制御して、ロープ9を駆動することによって、乗りかご7を昇降移動又は停止させる。ロープ9は、乗りかご7とカウンターウェイト8とに連結されており、モーター6に巻き掛けられている。
【0018】
乗りかご7は、ロープ9の駆動に基づいて不図示の昇降路内を昇降することにより、乗りかご7の乗客又は乗りかご7に搭載された荷物等を所望の階まで移動する。これによりエレベーター15の利用者に昇降移動のサービスが提供される。
【0019】
なお、乗りかご7は、図1においては1つのみが図示されているが、複数のエレベーター15のそれぞれにおいて、1台又は複数台のエレベーター15が設けられるものとする。
【0020】
エレベーターコントローラ5は、通信路16を介して群管理コントローラ4と接続され、通信路12を経由して、かごコントローラ10及びフロアコントローラ11と接続される。図1において、フロアコントローラ11は1つのみ図示しているが、実際には建物内のフロア(階床)の数に対応して複数設けられている。
【0021】
かごコントローラ10は、乗りかご7内に設置されている行先階ボタン及びドア開閉ボタン13の、乗客(図示略)による操作状況を監視し、監視によって取得した操作内容を、操作の状況変化としてエレベーターコントローラ5に伝える。
【0022】
フロアコントローラ11は、例えば、各フロア(図示略)に設置される上下ボタン14の、各階における利用者による操作状況を監視し、監視によって取得した操作内容を、操作の状況変化としてエレベーターコントローラ5に伝える。なお、図1には図示していないが、エレベーター15には、任意の行先階を登録できる行先階予約装置が含まれていてもよい。エレベーター15に行先階予約装置が含まれる場合には、行先階予約装置の動作はフロアコントローラ11によって制御される。
【0023】
【0024】
本実施形態に係るエレベーターシステム100では、通信コントローラ3、群管理コントローラ4、エレベーターコントローラ5、かごコントローラ10、フロアコントローラ11及び管理端末20のうちの3つのコントローラに対して、それぞれ、後述する図2に示す送信コントローラ30(第2コントローラの一例)、受信コントローラ40(第1コントローラの一例)及び代理コントローラ50(第3コントローラの一例)の機能が割り当てられる。
【0025】
送信コントローラ30、受信コントローラ40及び代理コントローラ50は、それぞれ、被認証ノード、認証ノード、中継ノードの機能を果たす。そして、送信コントローラ30、受信コントローラ40及び代理コントローラ50において、定められた通信シーケンスに従って正当性確認用データ(認証用データの一例)が伝送され、かつ、正当性確認用データの照合も行えた場合に、認証ノードとしての受信コントローラ40は、被認証ノードとしての送信コントローラ30を、正当な機器であると判定する。正当な機器とは、エレベーターシステム100における動作が保障された正規品(正規機器)である。
【0026】
本実施形態に係るエレベーターシステム100では、正当性確認用データは、送信コントローラ30及び受信コントローラ40間にけるP2P(Peer to Peer)の通信経路(第1通信経路の一例)、及び、代理コントローラ50を経由する通信経路(第2通信経路の一例)の2つの通信経路において伝送される。
【0027】
そして、エレベーターシステム100は、P2Pの通信経路を構成する受信コントローラ40による通信相手の正当性確認処理と、代理コントローラ50による通信相手の正当性確認処理とを並行して行う。さらに、2つの正当性確認処理において各コントローラ(通信相手)の正当性が確認された場合に、認証ノードとしての受信コントローラ40が2つの通信経路を伝送された各正当性確認用データの認証を行う。そして、認証できた場合に、受信コントローラ40は送信コントローラ30を正当な機器であると判定する。エレベーターシステム100による正当性確認処理については、後述の図8を参照して詳述する。
【0028】
このように本実施形態では、エレベーターシステム100が有する既存のコントローラのみを用いて、送信コントローラ30の正当性の確認を行うため、新たな構成要素を追加する必要がない。したがって、装置設置等のコストを要することなく、送信コントローラ30の正当性を確認することができる。
【0029】
正当性確認用のデータには、エレベーター15の状態情報に基づいて生成される一時的データが使用される。エレベーター15の状態情報には、例えば、エレベーター15の運転状態情報や、乗りかご7の戸の開閉情報、不図示の昇降路内における乗りかご7の位置情報、乗りかご7の荷重情報がある。エレベーター15の運転状態情報は、例えば、加速、定速、減速、停止に係る情報によって示され、戸の開閉情報は、戸開状態、戸開中、戸閉状態、戸閉中等の情報によって示される。これらの情報は、エレベーターシステム100に含まれる各コントローラや、通信経路N(図3参照)等に接続される不図示の各種センサ等の計測値によって示される情報である。
【0030】
また、エレベーター15の状態情報として、各コントローラで実行されている制御プログラム等の内部状態データが用いられてもよい。内部状態データには、例えば、フロアコントローラ11が管理している呼びの登録状態情報、エレベーター15の運行回数情報、各フロアにおけるエレベーター15の停止回数情報等がある。
【0031】
一時的データには、例えば、エレベーター15の状態データの複数のデータの組み合わせをデータ生成関数に入力すること等によって生成することができる。データ生成関数としては、例えば、乱数発生関数を用いることができる。データ生成関数として乱数発生関数を用いる場合、乱数発生関数のシード(初期値)としてエレベーター15の状態データを乱数発生関数に入力した場合の出力値である乱数が、一時的データとなる。
【0032】
また、本実施形態では、正当性確認用の通信経路に含まれる代理コントローラ50は、受信コントローラ40によって、正当性確認処理の都度、新たに選択される。つまり、正当性確認用データの通信経路は、正当性確認処理が行われる度に変更される。受信コントローラ40による代理コントローラ50の選択は、エレベーター15の状態情報から生成された一時的データに基づいて行われる。
【0033】
例えば、一時的データとコントローラの種類とを予め対応付けておくことにより、受信コントローラ40は、エレベーターの状態情報から生成した一時的データと対応付けられたコントローラを、代理コントローラ50に設定することができる。
【0034】
一時的データとしての乱数、すなわち、乱数発生関数からの出力値の範囲が、例えば“0”から“1”まである場合を想定する。この場合、乱数とコントローラとを、例えば以下のように対応付けることができる。
・“0.0”~“0.24”:エレベーター15の1号機のエレベーターコントローラ5
・“0.25”~“0.49”:2号機のエレベーターコントローラ5
・“0.5”~“0.74”:3号機のエレベーターコントローラ5
・“0.75”~“1.0”:4号機のエレベーターコントローラ5
・“0.0”~“0.24”:エレベーター15の1号機のエレベーターコントローラ5
・“0.25”~“0.49”:2号機のエレベーターコントローラ5
・“0.5”~“0.74”:3号機のエレベーターコントローラ5
・“0.75”~“1.0”:4号機のエレベーターコントローラ5
【0035】
したがって、例えば、エレベーター15の状態情報から生成した一時的データが“0.7”であった場合、受信コントローラ40は、“0.7”と対応付けられている3号機のエレベーターコントローラ5を代理コントローラ50として選択することができる。
【0036】
ただし、該コントローラ(エレベーターコントローラ5)が、過去に行われた正当性確認処理において正当性が確認できなかった機器であった場合、そのコントローラは代理コントローラ50に選択しない。受信コントローラ40による代理コントローラ50の選択処理については、後述の図5を参照して詳述する。
【0037】
そして、受信コントローラ40は、決定した代理コントローラ50の情報を含む一時的通信経路情報を生成し、該一時的通信経路情報を、送信コントローラ30及び代理コントローラ50に送信する。一時的通信経路情報は、上述したP2Pの通信経路、及び、代理コントローラ50を経由する通信経路(認証用通信経路の一例)を規定する情報である。受信コントローラ40による一時的通信経路情報設定処理については、後述の図7を参照して詳述する。
【0038】
<送信コントローラ、受信コントローラ、代理コントローラの機能構成>
次に、図2を参照して、送信コントローラ30、受信コントローラ40及び代理コントローラ50の各機能の構成について説明する。図2は、送信コントローラ30、受信コントローラ40及び代理コントローラ50の各機能の構成例を示すブロック図である。送信コントローラ30、受信コントローラ40及び代理コントローラ50はそれぞれ、図1の通信路12、通信路16及び通信路17のいずれかである通信経路Nを介して、互いに通信可能に接続される。
次に、図2を参照して、送信コントローラ30、受信コントローラ40及び代理コントローラ50の各機能の構成について説明する。図2は、送信コントローラ30、受信コントローラ40及び代理コントローラ50の各機能の構成例を示すブロック図である。送信コントローラ30、受信コントローラ40及び代理コントローラ50はそれぞれ、図1の通信路12、通信路16及び通信路17のいずれかである通信経路Nを介して、互いに通信可能に接続される。
【0039】
[送信コントローラ]
送信コントローラ30は、本実施形態における被認証側のコントローラであり、一時的通信経路情報記憶部31と、No(ナンバー)判定部32と、データ演算部33と、通信部34と、管理テーブルTと、を含む。
送信コントローラ30は、本実施形態における被認証側のコントローラであり、一時的通信経路情報記憶部31と、No(ナンバー)判定部32と、データ演算部33と、通信部34と、管理テーブルTと、を含む。
【0040】
一時的通信経路情報記憶部31には、正当性確認用の一時的データの送信元である受信コントローラ40のコントローラナンバー(図2においては「受No」と表記)と、送信先の代理コントローラ50のコントローラナンバー(図2においては「代No」と表記)と、を含む一時的通信経路情報(通信経路情報の一例)が格納される。一時的通信経路情報は、受信コントローラ40によって生成され、受信コントローラ40から送信される。
【0041】
No判定部32は、正当性確認用の通信のシーケンスに応じて、一時的通信経路情報に示されるコントローラナンバーのうちのいずれかに対応するコントローラを、通信先のコントローラとして選択する。
【0042】
データ演算部33(第1演算部の一例)は、通信相手である受信コントローラ40から送信される正当性確認用のデータを元に、正当性確認のための新たなデータを演算する。データ演算部33は、例えば、ハッシュ値演算等の手法を用いることにより、受信したデータを新たなデータに変換する。例えば、データ演算部33は、受信コントローラ40から正当性確認用のデータとしてデータDa(第1一時的データの一例)及びデータDb(第2一時的データの一例)が送信された場合に、ハッシュ値演算等の手法を用いてデータDaをデータDx(第1変換一時的データの一例)に変換し、データDbをデータDy(第2変換一時的データの一例)に変換する。
【0043】
通信部34(第2通信部の一例)は、正当性確認のためのデータを、受信コントローラ40又は代理コントローラ50との間で送受信する。具体的には、通信部34は、受信コントローラ40から送信された、データDa及びDbを含む第2パケットP2(図11参照)を受信するとともに、データ演算部33によって演算されたデータDxを含む第3パケットP3(図13参照)を生成して受信コントローラ40に送信する。
【0044】
また、通信部34は、データ演算部33によって演算されたデータDyを含む第4パケットP4(図14参照)を生成して代理コントローラ50に送信する。以下の説明において、送信コントローラ30のデータ演算部33によるデータ変換処理及び通信部34によるデータ送信処理を、第1正当性確認処理とも称する。第1正当性確認処理については、後述の図12を参照して詳述する。
【0045】
管理テーブルTは、正当性確認処理の結果と、エレベーターシステム100を構成する各コントローラの、代理コントローラとしての選択状況とが記録されたテーブルである。管理テーブルTの構成については、後述の図6を参照して詳述する。
【0046】
[代理コントローラ]
代理コントローラ50は、本実施形態における一時的通信経路の中継コントローラであり、被認証側の送信コントローラ30による正当性確認処理を代理するコントローラである。代理コントローラ50は、一時的通信経路情報記憶部51と、No判定部52と、データ演算部53と、通信部54と、管理テーブルTと、を含む。
代理コントローラ50は、本実施形態における一時的通信経路の中継コントローラであり、被認証側の送信コントローラ30による正当性確認処理を代理するコントローラである。代理コントローラ50は、一時的通信経路情報記憶部51と、No判定部52と、データ演算部53と、通信部54と、管理テーブルTと、を含む。
【0047】
一時的通信経路情報記憶部51には、正当性確認用の一時的データの送信元である送信コントローラ30のコントローラナンバー(図2においては「送No」と表記)と、送信先である受信コントローラ40のコントローラナンバーと、を含む一時的通信経路情報が格納される。一時的通信経路情報は、受信コントローラ40によって生成され、受信コントローラ40から送信される。
【0048】
No判定部52は、正当性確認用の通信のシーケンスに応じて、一時的通信経路情報に示されるコントローラナンバーのうちのいずれかに対応するコントローラを、通信先のコントローラとして選択する。
【0049】
データ演算部53は、通信相手である送信コントローラ30から送信される正当性確認用のデータを元に、正当性確認のための新たなデータを演算する。例えば、データ演算部53は、送信コントローラ30から正当性確認用のデータとしてデータDyが送信された場合に、データDyをデータDz(第2再変換一時的データの一例)に変換する。
【0050】
通信部54(第3通信部の一例)は、正当性確認のためのデータを、送信コントローラ30又は受信コントローラ40との間で送受信する。具体的には、通信部34は、送信コントローラ30からデータDyを含む第4パケットP4(図14参照)を受信するとともに、データ演算部53が生成したデータDzを含む第5パケットP5(図16参照)を生成して受信コントローラ40に送信する。
【0051】
なお、通信部54は、パケットの送信元のコントローラが、一時的通信経路情報に記載された「送No」に示される送信コントローラ30と一致するか否かを判定し、一致しない場合には、データDzの受信コントローラ40への送信は行わない。この場合、受信コントローラ40では代理コントローラ50からのパケットを受信できないため、代理コントローラ50又は送信コントローラ30は非正規機器であると判定することができる。
【0052】
以下の説明において、代理コントローラ50のデータ演算部53によるデータ変換処理、通信部54による送信元のコントローラの確認処理及びデータ送信処理を、第2正当性確認処理とも称する。第2正当性確認処理については、後述の図15を参照して詳述する。
【0053】
管理テーブルTは、送信コントローラ30に格納されている管理テーブルTと同一である。管理テーブルTの情報は、受信コントローラ40から送信される情報によって常に更新されるものとする。
【0054】
[受信コントローラ]
受信コントローラ40は、一時的通信経路情報記憶部41と、通信経路生成部42と、No判定部43と、データ生成部44と、データ演算部45と、演算データ比較部46と、通信部47と、管理テーブルTと、を含む。
受信コントローラ40は、一時的通信経路情報記憶部41と、通信経路生成部42と、No判定部43と、データ生成部44と、データ演算部45と、演算データ比較部46と、通信部47と、管理テーブルTと、を含む。
【0055】
一時的通信経路情報記憶部41には、正当性確認用の一時的データの通信先である送信コントローラ30のコントローラナンバー、及び、代理コントローラ50のコントローラナンバーを含む一時的通信経路情報が格納される。
【0056】
通信経路生成部42は、エレベーターの状態情報から生成した一時的データに基づいて、管理テーブルTの記載内容を参照して、代理コントローラ50を選択する。そして、選択した代理コントローラ50の情報に基づいて、自コントローラが用いる一時的通信経路情報と、送信コントローラ30用の一時的通信経路情報と、代理コントローラ50用の一時的通信経路情報とを生成する。
【0057】
No判定部43は、正当性確認用の通信のシーケンスに応じて、一時的通信経路情報に示されるコントローラナンバーのうちのいずれかに対応するコントローラを、通信先のコントローラとして選択する。
【0058】
データ生成部44は、通信相手である送信コントローラ30から送信される確認通信パケットP1(図10参照)を元に、正当性確認のための新たなデータを演算する。例えば、データ演算部45は、通信の開始を示す確認通信パケットを変換することにより、データDa及びDbを生成する。
【0059】
データ演算部45は、データDaを変換してデータDxを生成するとともに、データDbを変換してデータDyを生成する。
【0060】
通信部47は、正当性確認のためのデータを、送信コントローラ30又は代理コントローラ50との間で送受信する。具体的には、通信部47は、送信コントローラ30から確認通信パケットP1を受信するとともに、データ演算部45が生成したデータDa及びDbを含む第2パケットP2(図11参照)を生成して送信コントローラ30に送信する。
【0061】
また、通信部47は、送信コントローラ30から第3パケットP3を受信するとともに、代理コントローラ50から第5パケットP5を受信する。
【0062】
演算データ比較部46(認証部の一例)は、以下の処理を含む第3正当性確認処理を行う。
(1)通信部47が受信したパケットの送信元が送信コントローラ30であるか否かの確認。
(2)上記(1)において送信コントローラ30であることが確認できた場合、通信部47が受信したパケットである第4パケットP4に含まれているデータDxと、データ演算部45がデータDbを変換して生成されるデータDxとが一致するか否かの確認。
(3)通信部47が受信したパケットの送信元が代理コントローラ50であるか否かの確認。
(4)上記(1)において代理コントローラ50であることが確認できた場合、通信部47が受信したパケットである第5パケットP5に含まれているデータDzと、データ演算部45がデータDbを複数回演算することにより得られたデータDzとが一致するか否かの確認。
(5)上記(3)の照合結果と上記(4)の照合結果との両方が一致を示しているか否かの確認。
(1)通信部47が受信したパケットの送信元が送信コントローラ30であるか否かの確認。
(2)上記(1)において送信コントローラ30であることが確認できた場合、通信部47が受信したパケットである第4パケットP4に含まれているデータDxと、データ演算部45がデータDbを変換して生成されるデータDxとが一致するか否かの確認。
(3)通信部47が受信したパケットの送信元が代理コントローラ50であるか否かの確認。
(4)上記(1)において代理コントローラ50であることが確認できた場合、通信部47が受信したパケットである第5パケットP5に含まれているデータDzと、データ演算部45がデータDbを複数回演算することにより得られたデータDzとが一致するか否かの確認。
(5)上記(3)の照合結果と上記(4)の照合結果との両方が一致を示しているか否かの確認。
【0063】
演算データ比較部46は、上記(1)においてパケットの送信元は送信コントローラ30ではないと判定した場合、送信コントローラ30は正当な機器ではない(非正規機器である)と判定する。また、演算データ比較部46は、上記(2)においてパケットの送信元は代理コントローラ50ではないと判定した場合、代理コントローラ50は正当な機器ではないと判定する。
【0064】
さらに、上記(5)において、上記(3)の照合結果及び上記(4)の照合結果のいずれか又は両方が一致していないと判定された場合、一致しなかった方のコントローラは正当な機器ではないと判定する。一方、演算データ比較部46は、上記(5)において両照合結果は一致すると判定した場合、送信コントローラ30は正当な機器であると判定する。
【0065】
つまり、本実施形態によれば、認証サーバ等の新たな装置を設けることなく、多要素による多段階での正当性確認処理を、簡潔に実現することが可能となる。
【0066】
また、受信コントローラ40は、正当性が確認できなかった機器に対する通信は遮断する等の措置を各コントローラに取らせることにより、悪意のある第三者が持ち込んだコントローラによるエレベーター15の情報の傍受を防ぐことができる。
【0067】
管理テーブルTは、送信コントローラ30に格納されている管理テーブルTと同一である。受信コントローラ40は、正当性確認処理の結果を管理テーブルTに反映させるとともに、更新の内容を送信コントローラ30及び代理コントローラ50にも共有する。
【0068】
<計算機のハードウェア構成例>
次に、図1に示したエレベーターシステム100を構成する各コントローラ(通信コントローラ3、群管理コントローラ4、エレベーターコントローラ5、かごコントローラ10、フロアコントローラ11及び管理端末20)の制御系の構成(ハードウェア構成)について、図3を参照して説明する。
次に、図1に示したエレベーターシステム100を構成する各コントローラ(通信コントローラ3、群管理コントローラ4、エレベーターコントローラ5、かごコントローラ10、フロアコントローラ11及び管理端末20)の制御系の構成(ハードウェア構成)について、図3を参照して説明する。
【0069】
【0070】
計算機200は、バスBにそれぞれ接続されたCPU(Central Processing Unit)201、ROM(Read Only Memory)202、RAM(Random Access Memory)203、不揮発性ストレージ204及び通信I/F(Interface)205を備える。
【0071】
CPU201は、本実施形態に係る各機能を実現するソフトウェアのプログラムコードをROM202から読み出してRAM203に展開して実行する。なお、計算機200は、CPU201の代わりに、MPU(Micro-Processing Unit)等の処理装置を備えてもよい。
【0072】
RAM203には、CPU201による演算処理の途中に発生した変数やパラメータ等が一時的に書き込まれる。なお、RAM203が不揮発性の媒体によって構成される場合には、RAM203に一時的通信経路情報等の各種情報が格納されてもよい。
【0073】
送信コントローラ30のNo判定部32、データ演算部33、受信コントローラ40のNo判定部43、データ生成部44、データ演算部45、演算データ比較部46、代理コントローラ50のNo判定部52、データ演算部53の各機能は、これらの各機能を実現するためのプログラムを、CPU201がROM202から読みだして実行することにより実現される。
【0074】
不揮発性ストレージ204としては、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)、NVRAM(Non-Volatile Random Access Memory)等を用いることができる。この不揮発性ストレージ204には、OS(Operating System)、各種のパラメータの他に、計算機200を機能させるためのプログラム等が記録される。なお、プログラムは、ROM202に格納されてもよい。
【0075】
プログラムは、コンピュータが読取り可能なプログラムコードの形態で格納され、CPU201は、当該プログラムコードに従った動作を逐次実行する。つまり、ROM202又は不揮発性ストレージ204は、コンピュータによって実行されるプログラムを格納した、コンピュータ読取可能な非一過性の記録媒体の一例として用いられる。
【0076】
送信コントローラ30の一時的通信経路情報記憶部31、受信コントローラ40の一時的通信経路情報記憶部41、代理コントローラ50の一時的通信経路情報記憶部51の各機能は、不揮発性ストレージ204によって実現される。
【0077】
通信I/F205は、他の装置との間で行われる通信の制御を行う通信デバイス等により構成される。送信コントローラ30の通信部34、受信コントローラ40の通信部47、代理コントローラ50の通信部54の機能は、通信I/F205によって実現される。
【0078】
<一時的データ生成処理>
次に、図4を参照して、受信コントローラ40のデータ生成部44による一時的データ生成処理について説明する。図4は、一時的データ生成処理の手順の例を示すフローチャートである。一時的データは、正当性確認用データとして、一時的通信経路情報によって規定された通信経路を伝送される他、受信コントローラ40が代理コントローラ50を選択する際にも用いられる。
次に、図4を参照して、受信コントローラ40のデータ生成部44による一時的データ生成処理について説明する。図4は、一時的データ生成処理の手順の例を示すフローチャートである。一時的データは、正当性確認用データとして、一時的通信経路情報によって規定された通信経路を伝送される他、受信コントローラ40が代理コントローラ50を選択する際にも用いられる。
【0079】
まず、受信コントローラ40のデータ生成部44は、エレベーターの状態データを取得する(ステップS1)。次いで、データ生成部44は、状態データから一時的データを生成する(ステップS2)。ステップS2の処理後、コントローラによる一時的データ生成処理は終了する。
【0080】
エレベーターの状態データは、上述したように、エレベーター15の運転状態情報や、乗りかご7の戸の開閉情報等であり、エレベーターの運行状況に応じて随時変化するデータである。このような状態データを用いて生成した一時的データを正当性確認用データとして用いることにより、悪意を持った第三者による一時的データの推測や偽造を困難なものとすることができる。
【0081】
【0082】
まず、受信コントローラ40の通信経路生成部42(図2参照)は、図4に示した一時的データ生成処理を行う(ステップS11)。次いで、通信経路生成部42は、ステップS11で生成した一時的データに基づいて、管理テーブルTを参照して、代理コントローラ50の候補となるコントローラを抽出する(ステップS12)。本実施形態では、一時的データとコントローラの種類とが予め対応付けてあることを想定しているため、受信コントローラは、生成した一時的データと対応付けられたコントローラを、代理コントローラ50の候補のコントローラとして抽出する。管理テーブルTの構成については、次の図6を参照して詳述する。
【0083】
次いで、受信コントローラ40の通信経路生成部42は、ステップS12で抽出した候補のコントローラは、代理コントローラ50として選択可能であるか否かを判定する(ステップS13)。通信経路生成部42は、候補のコントローラを代理コントローラ50に選択可能か否かを、管理テーブルTに格納された情報に基づいて判断する。
【0084】
ステップS13で、代理コントローラ50として選択できないと判定された場合(ステップS13がNO判定の場合)、通信経路生成部42は、ステップS11に戻って処理を行う。すなわち、代理コントローラ50の候補の抽出に用いる一時的データの生成処理を行う。一方、ステップS13で、代理コントローラ50として選択可能であると判定された場合(ステップS13がYES判定の場合)、通信経路生成部42は、候補のコントローラを代理コントローラ50として選択する(ステップS14)。ステップS14の処理後、受信コントローラ40による代理コントローラ50の選択処理は終了する。
【0085】
<管理テーブルの構成>
次に、図6を参照して、管理テーブルTの構成について説明する。図6は、管理テーブルTの構成例を示す図である。図6Aには、正当性確認処理によるデータ更新前の管理テーブルTを示し、図6Bには、正当性確認処理によるデータ更新後の管理テーブルTを示す。
次に、図6を参照して、管理テーブルTの構成について説明する。図6は、管理テーブルTの構成例を示す図である。図6Aには、正当性確認処理によるデータ更新前の管理テーブルTを示し、図6Bには、正当性確認処理によるデータ更新後の管理テーブルTを示す。
【0086】
図6A及びBに示すように、管理テーブルTは、「コントローラ番号」と、「正当性確認結果」と、「代理状況」と、「コントローラ情報」と、の各項目を有する。
【0087】
「コントローラ番号」の項目には、各コントローラに割り振られた番号が格納される。なお、コントローラ番号の項目には、コントローラの識別番号や、コントローラ名などが格納されてもよい。図6には、コントローラ番号の項目には“1”~“5”の番号が格納されている。つまり、図6には、エレベーターシステム100に、それぞれ“1”~“5”の番号が付与された5台のコントローラが含まれる例を示す。
【0088】
「正当性確認結果」の項目には、エレベーターシステム100の正当性確認処理による正当性の確認が“〇”又は“×”によって示される。“〇”は、正当性が確認されたことを示す記号であり、“×”は、正当性が確認されなかったことを示す記号である。
【0089】
「代理状況」の項目には、その時点で代理コントローラ50に選択されているコントローラが、どの送信コントローラ30の代理を受け持っているかを示す情報として、送信コントローラ30の番号が格納される。
【0090】
「コントローラ情報」の項目には、「コントローラ番号」によって示されるコントローラの種類の情報が格納される。図6には、コントローラ番号が1番のコントローラはエレベーターコントローラ5であり、2番のコントローラはかごコントローラ10であり、3番のコントローラは1階のフロアコントローラ11であることが示されている。また、4番のコントローラは2階のフロアコントローラ11であり、5番のコントローラは3階のフロアコントローラ11であることが示されている。
【0091】
図6A及びBに示す管理テーブルTにおいて、1番のコントローラが受信コントローラ40として選択されており、2番のコントローラが送信コントローラ30として選択されているとする。
【0092】
受信コントローラ40が、図5のステップS12で代理コントローラ50の候補となるコントローラを抽出する段階において、管理テーブルTは図6Aに示す情報を有していたとする。この場合、受信コントローラ40の通信経路生成部42は、代理コントローラ50の候補として、送信コントローラ30として選択済みの2番のコントローラ、及び、自身(1番のコントローラ)以外の3台のコントローラを選択する。3台のコントローラは、3番~5番のコントローラである。
【0093】
次のステップS13では、通信経路生成部42は、候補のコントローラは代理コントローラ50として選択可能であるか否かを判定する。ステップS13において、通信経路生成部42は、その時点で代理コントローラ50として選択されておらず、かつ、正当性が確認できているコントローラを、代理コントローラ50として選択する。
【0094】
図6Aに示す例では、候補として抽出された3台のコントローラのうち、3番のコントローラは、既に代理コントローラ50として選択済みである。4番のコントローラは、正当性が確認されなかったコントローラである。5番のコントローラは、正当性が確認されており、かつ、代理コントローラ50に選択されていないコントローラである。したがって、通信経路生成部42は、5番のコントローラ、すなわち、3Fのフロアコントローラ11を、代理コントローラ50に選択する。
【0095】
受信コントローラ40の通信経路生成部42は、新たな代理コントローラ50の選択後、前回代理コントローラ50として選択されていたコントローラにおける、代理コントローラ50の選択を解除する。そして、管理テーブルTにおける代理コントローラ50の選択状況(代理状況)を更新する。
【0096】
図6Bに、情報更新後の管理テーブルTを示す。図6Bに示す管理テーブルTには、5番のコントローラが、2番のコントローラ、すなわち、送信コントローラ30の代理コントローラ50として選択されていることが示されている。そして、前回代理コントローラ50に選択されていた3番のコントローラの代理状況は、代理コントローラ50に選択されていないことを示す“-”に変更されている。
【0097】
なお、本実施形態では、受信コントローラ40が代理コントローラ50を選択する例を挙げたが、本発明はこれに限定されない。例えば、送信コントローラ30が、受信コントローラ40と代理コントローラ50とを選択してもよい。
【0098】
<一時的通信経路情報設定処理>
次に、受信コントローラ40の通信経路生成部42による一時的通信経路情報設定処理について、図7を参照して説明する。図7は、一時的通信経路情報設定処理の手順の例を示すフローチャートである。一時的通信経路情報設定処理の実行タイミングには、様々なタイミングを設定可能であり、例えば、エレベーターシステム100のシャットダウン時、起動時、乗りかご7(図1参照)の出発直前のタイミングなどを設定可能である。
次に、受信コントローラ40の通信経路生成部42による一時的通信経路情報設定処理について、図7を参照して説明する。図7は、一時的通信経路情報設定処理の手順の例を示すフローチャートである。一時的通信経路情報設定処理の実行タイミングには、様々なタイミングを設定可能であり、例えば、エレベーターシステム100のシャットダウン時、起動時、乗りかご7(図1参照)の出発直前のタイミングなどを設定可能である。
【0099】
まず、受信コントローラ40の通信経路生成部42は、送信コントローラ30向けの一時的通信経路情報を生成する(ステップS21)。送信コントローラ30向けの一時的通信経路情報は、図2に示したように、受信コントローラ40の情報と、代理コントローラ50の情報とで構成される。図6Bに示す管理テーブルTによれば、代理コントローラ50に選択されたコントローラは、5番のコントローラである。また、管理テーブルTの運用の前提として、受信コントローラ40に選択されているコントローラは1番のコントローラであるとする。
【0100】
この場合、通信経路生成部42は、「受No」が1番のコントローラの識別情報であり、「代No」が5番のコントローラの識別情報である一時的通信経路情報を生成する。そして、受信コントローラ40の通信部47(図2参照)は、ステップS21で生成した一時的通信経路情報を送信コントローラ30に送信する(ステップS22)。ステップS22で受信コントローラ40から送信された一時的通信情報は、送信コントローラ30の一時的通信経路情報記憶部31に格納される。これにより、送信コントローラ30に一時的通信経路情報が設定される。
【0101】
次いで、通信経路生成部42は、代理コントローラ50向けの一時的通信経路情報を生成する(ステップS23)。代理コントローラ50向けの一時的通信経路情報は、図2に示したように、送信コントローラ30の情報と、受信コントローラ40の情報とで構成される。したがって、通信経路生成部42は、「送No」が2番のコントローラの識別情報であり、「代No」が5番のコントローラの識別情報である一時的通信経路情報を生成する。そして、受信コントローラ40の通信部47は、ステップS23で生成した一時的通信経路情報を代理コントローラ50に送信する(ステップS24)。
【0102】
ステップS24で受信コントローラ40から送信された一時的通信情報は、代理コントローラ50の一時的通信経路情報記憶部51に格納される。これにより、代理コントローラ50に一時的通信経路情報が設定される。ステップS24の処理後、受信コントローラ40による一時的通信経路情報設定処理は終了する。
【0103】
<正当性確認処理>
次に、図8を参照して、送信コントローラ30、受信コントローラ40及び代理コントローラ50による正当性確認処理について説明する。図8は、正当性確認処理の手順の例を示すフローチャートである。
次に、図8を参照して、送信コントローラ30、受信コントローラ40及び代理コントローラ50による正当性確認処理について説明する。図8は、正当性確認処理の手順の例を示すフローチャートである。
【0104】
まず、送信コントローラ30は、制御アルゴリズム上通信を実行する状態になった、すなわち、正当性確認処理の実行タイミングが到来したと判定した場合、受信コントローラ40に対して、確認通信パケット(第1パケット)P1(図9参照)を送信する(ステップS31)。
【0105】
ここで、図9及び図10を参照して、送信コントローラ30から受信コントローラ40に送信される第1パケットP1の構成について説明する。図9は、各コントローラ間において送受信されるパケットPの構成例を示す図であり、図10は、第1パケットP1の構成例を示す図である。
【0106】
[パケットの構成]
図9に示すように、各コントローラ間において送受信されるパケットPは、送信元情報格納フィールドF1と、送信先情報格納フィールドF2と、データ格納領域F3と、チェックデータ格納フィールドF4と、で構成される。
図9に示すように、各コントローラ間において送受信されるパケットPは、送信元情報格納フィールドF1と、送信先情報格納フィールドF2と、データ格納領域F3と、チェックデータ格納フィールドF4と、で構成される。
【0107】
送信元情報は、自コントローラに対して正当性確認用のデータを送信してくる送信元のコントローラの識別情報等によって構成される。送信先情報は、正当性確認用のデータの送信先のコントローラの識別情報等によって構成される。
【0108】
識別情報には、通信経路N(図2参照)の種類や通信プロトコルの方式に応じた識別情報が設定される。例えば、通信プロトコルがRS-485である場合には、識別情報はデバイスIDとなり、イーサネット(登録商標)の場合には、デバイスのMAC(Media Access Control)アドレス又はIP(Internet Protocol)アドレスとなる。
【0109】
なお、本実施形態においては、コントローラ間において1対1の通信が行われることを想定しているため、送信元情報及び送信先情報には、それぞれ1つのコントローラの識別情報が格納される。しかし、本発明は通信相手が1つである場合に限定されず、複数であってもよい。この場合、送信元情報又は送信先情報には、複数のコントローラの識別情報が格納される。
【0110】
また、本実施形態では、パケットPは平文で伝送されることを想定しているが本発明はこれに限定されず、暗号化されて伝送されてもよい。
【0111】
[第1パケットの構成]
図10に示すように、第1パケットP1の送信元情報格納フィールドF1には、送信コントローラ30の識別情報(図においては「送No」と表記)が格納される。また、送信先情報格納フィールドF2には、受信コントローラ40の識別情報(図においては「受No」と表記)が格納されている。また、データ格納領域F3には確認通信データが格納され、チェックデータ格納フィールドF4には、パケットデータの不整合を確認するためのチェックサム等のチェックデータが格納される。
図10に示すように、第1パケットP1の送信元情報格納フィールドF1には、送信コントローラ30の識別情報(図においては「送No」と表記)が格納される。また、送信先情報格納フィールドF2には、受信コントローラ40の識別情報(図においては「受No」と表記)が格納されている。また、データ格納領域F3には確認通信データが格納され、チェックデータ格納フィールドF4には、パケットデータの不整合を確認するためのチェックサム等のチェックデータが格納される。
【0112】
図8に戻って説明を続ける。ステップS31で送信コントローラ30から第1パケットP1が送信された後、受信コントローラ40の通信部47(図2参照)は、第1パケットP1を受信する(ステップS32)。次いで、受信コントローラ40のデータ生成部44は、図4に示した一時的データ生成処理を行うことにより、正当性確認用データとしての一時的データである、データDa及びデータDbを生成する(ステップS33)。
【0113】
次いで、受信コントローラ40の通信部47は、データ生成部44が生成したデータDa及びDbを含む第2パケットP2を生成し、該第2パケットP2を送信コントローラ30に返送(送信)する(ステップS34)。
【0114】
[第2パケットの構成]
ここで、図11を参照して、第2パケットP2の構成について説明する。図11は、第2パケットP2の構成例を示す図である。図11に示すように、第2パケットP2の送信元情報格納フィールドF1には、受信コントローラ40の識別情報が格納され、送信先情報格納フィールドF2には、送信コントローラ30の識別情報が格納される。データ格納領域F3には、データ生成部44によって生成されたデータDa及びDbが格納され、チェックデータ格納フィールドF4には、チェックサム等のチェックデータが格納される。
ここで、図11を参照して、第2パケットP2の構成について説明する。図11は、第2パケットP2の構成例を示す図である。図11に示すように、第2パケットP2の送信元情報格納フィールドF1には、受信コントローラ40の識別情報が格納され、送信先情報格納フィールドF2には、送信コントローラ30の識別情報が格納される。データ格納領域F3には、データ生成部44によって生成されたデータDa及びDbが格納され、チェックデータ格納フィールドF4には、チェックサム等のチェックデータが格納される。
【0115】
図8に戻って説明を続ける。ステップS34で、受信コントローラ40から送信コントローラ30に第2パケットP2が送信された後、送信コントローラ30の通信部34は、第2パケットP2を受信する(ステップS35)。次いで、送信コントローラ30のデータ演算部33は、第1正当性確認処理を行う(ステップS36)。
【0116】
[第1正当性確認処理]
ここで、図12を参照して、図8のステップS36で行われる送信コントローラ30による第1正当性確認処理について説明する。図12は、第1正当性確認処理の手順の例を示すフローチャートである。
ここで、図12を参照して、図8のステップS36で行われる送信コントローラ30による第1正当性確認処理について説明する。図12は、第1正当性確認処理の手順の例を示すフローチャートである。
【0117】
まず、送信コントローラ30のデータ演算部33(図2参照)は、図8のステップS35で受信した第2パケットP2(図11参照)に含まれていたデータDaを、ハッシュ値演算等の手法を用いてデータDxに変換する(ステップSA1)。次いで、No判定部32は、一時的通信経路情報記憶部31に格納された一時的通信経路情報に基づいて、データDxの送信先を受信コントローラ40に決定する(ステップSA2)。
【0118】
次いで、送信コントローラ30の通信部34は、ステップSA2で送信先に決定された受信コントローラ40に対して、データDxを含む第3パケットP3(図13参照)を送信する(ステップSA3)。
【0119】
また、送信コントローラ30のデータ演算部33は、図8のステップS35で受信した第2パケットP2に含まれていたデータDbを、ハッシュ値演算等の手法を用いてデータDyに変換する(ステップSB1)。次いで、No判定部32は、一時的通信経路情報記憶部31に格納された一時的通信経路情報に基づいて、データDyの送信先を代理コントローラ50に決定する(ステップSB2)。
【0120】
次いで、送信コントローラ30の通信部34は、ステップSB2で送信先に決定された代理コントローラ50に対して、データDyを含む第4パケットP4を送信する(ステップSB3)。ステップSA3及びステップSB3の処理後、送信コントローラ30による第1正当性確認処理は終了する。
【0121】
【0122】
[第3パケットの構成]
図13に示すように、第3パケットP3の送信元情報格納フィールドF1には、送信コントローラ30の識別情報が格納され、送信先情報格納フィールドF2には、受信コントローラ40の識別情報が格納される。データ格納領域F3には、データ生成部44によって生成されたデータDxが格納され、チェックデータ格納フィールドF4にはチェックサム等のチェックデータが格納される。
図13に示すように、第3パケットP3の送信元情報格納フィールドF1には、送信コントローラ30の識別情報が格納され、送信先情報格納フィールドF2には、受信コントローラ40の識別情報が格納される。データ格納領域F3には、データ生成部44によって生成されたデータDxが格納され、チェックデータ格納フィールドF4にはチェックサム等のチェックデータが格納される。
【0123】
[第4パケットの構成]
図14に示すように、第4パケットP4の送信元情報格納フィールドF1には、送信コントローラ30の識別情報が格納され、送信先情報格納フィールドF2には、代理コントローラ50の識別情報が格納される。データ格納領域F3には、データ生成部44によって生成されたデータDyが格納され、チェックデータ格納フィールドF4にはチェックサム等のチェックデータが格納される。
図14に示すように、第4パケットP4の送信元情報格納フィールドF1には、送信コントローラ30の識別情報が格納され、送信先情報格納フィールドF2には、代理コントローラ50の識別情報が格納される。データ格納領域F3には、データ生成部44によって生成されたデータDyが格納され、チェックデータ格納フィールドF4にはチェックサム等のチェックデータが格納される。
【0124】
図8に戻って説明を続ける。ステップS36で、第1正当性確認処理によって生成されて受信コントローラ40に送信された第3パケットP3は、受信コントローラ40の通信部47(図2参照)によって受信される(ステップS37)。
【0125】
一方、第1正当性確認処理によって生成されて代理コントローラ50に送信された第4パケットP4は、代理コントローラ50の通信部54によって受信される(ステップS38)。次いで、代理コントローラ50は第2正当性確認処理を実行する(ステップS39)。
【0126】
[第2正当性確認処理]
ここで、図15を参照して、図8のステップS39で行われる代理コントローラ50による第2正当性確認処理について説明する。図15は、第2正当性確認処理の手順の例を示すフローチャートである。
ここで、図15を参照して、図8のステップS39で行われる代理コントローラ50による第2正当性確認処理について説明する。図15は、第2正当性確認処理の手順の例を示すフローチャートである。
【0127】
まず、代理コントローラ50のデータ演算部53(図2参照)は、図8のステップS38で送信コントローラ30から受信した第4パケットP4に含まれていたデータDyを、データDzに変換する(ステップS51)。次いで、代理コントローラ50のNo判定部52は、ステップS38で受信したパケットの送信元は、一時的通信経路情報記憶部51に格納された一時的通信経路情報に記載された送信コントローラ30であるか否かを判定する(ステップS52)。
【0128】
具体的には、No判定部52は、パケットの送信元情報格納フィールドに格納されている送信元のコントローラの識別情報と、一時的通信経路情報に記載された送信コントローラ30の識別情報とが一致するか否かを確認する。ステップS52で、両コントローラの識別情報は一致しないと判定された場合(ステップS52がNO判定の場合)、代理コントローラ50のNo判定部52は、パケットの送信元のコントローラは、正当な機器ではないと判定する(ステップS53)。
【0129】
次いで、No判定部52は、第2正当性確認処理による正当性確認結果、すなわち、パケットの送信元のコントローラは正当な機器ではないとの情報を、管理テーブルTに記録する(ステップS54)。
【0130】
一方、ステップS52で、パケットの送信元は、一時的通信経路情報記憶部51に格納された一時的通信経路情報に記載された送信コントローラ30であると判定された場合(ステップS52がYES判定の場合)、代理コントローラ50のNo判定部52は、パケットの送信元のコントローラは、正当な機器であると判定する(ステップS55)。
【0131】
次いで、代理コントローラ50の通信部54は、一時的通信経路情報に記載されている受信コントローラ40に、ステップS51で生成したデータDzを含む第5パケットP5を送信する(ステップS56)。ステップS56の処理後、No判定部52は、ステップS54の処理を行う。すなわち、No判定部52は、第2正当性確認処理による正当性確認結果、すなわち、パケットの送信元のコントローラは、正当な機器であるとの情報を、管理テーブルTに記録する。ステップS54の処理後、代理コントローラ50による第2正当性確認処理は終了する。
【0132】
【0133】
[第5パケットの構成]
図16に示すように、第5パケットP5の送信元情報格納フィールドF1には、代理コントローラ50の識別情報が格納され、送信先情報格納フィールドF2には、受信コントローラ40の識別情報が格納される。データ格納領域F3には、データ演算部53によって生成されたデータDzが格納され、チェックデータ格納フィールドF4にはチェックサム等のチェックデータが格納される。
図16に示すように、第5パケットP5の送信元情報格納フィールドF1には、代理コントローラ50の識別情報が格納され、送信先情報格納フィールドF2には、受信コントローラ40の識別情報が格納される。データ格納領域F3には、データ演算部53によって生成されたデータDzが格納され、チェックデータ格納フィールドF4にはチェックサム等のチェックデータが格納される。
【0134】
図8に戻って説明を続ける。受信コントローラ40は、ステップS37で送信コントローラ30から送信された第3パケットP3を受信後、代理コントローラ50から送信された第5パケットP5を受信する(ステップS40)。なお、ステップS37の処理とステップS40の処理とは、時間的に前後することも想定される。
【0135】
次いで、受信コントローラ40は、第3正当性確認処理を行う(ステップS41)。ステップS41の処理後、送信コントローラ30、受信コントローラ40及び代理コントローラ50による正当性確認処理は終了する。
【0136】
【0137】
まず、受信コントローラ40のデータ生成部44(図2参照)は、図8のステップS33で生成したデータDaを、データDxに変換する(ステップSC1)。次いで、受信コントローラ40のNo判定部43は、図8のステップS37で受信したパケットの送信元は、一時的通信経路情報記憶部41に格納された一時的通信経路情報に記載された送信コントローラ30であるか否かを判定する(ステップSC2)。
【0138】
ステップSC2で、両コントローラの識別情報は一致しないと判定された場合(ステップSC2がNO判定の場合)、受信コントローラ40のNo判定部43は、パケットの送信元のコントローラは、正当な機器ではないと判定する(ステップSC3)。次いで、No判定部43は、第3正当性確認処理による正当性確認結果、すなわち、パケットの送信元のコントローラは正当な機器ではないとの情報を、管理テーブルTに記録する(ステップSE4)。
【0139】
一方、ステップSC2で、パケットの送信元は、一時的通信経路情報記憶部51に格納された一時的通信経路情報に記載された送信コントローラ30であると判定された場合(ステップSC2がYES判定の場合)、受信コントローラ40のNo判定部43は、パケット(第3パケットP3)に含まれているデータDxと、図8のステップS33で生成したデータDaを変換して生成したデータDxとが一致するか否かを判定する(ステップSC4)。
【0140】
また、受信コントローラ40のデータ生成部44は、図8のステップS33で生成したデータDbを、データDyに変換する(ステップSD1)。次いで、受信コントローラ40のNo判定部43は、図8のステップS40で受信したパケットの送信元は、一時的通信経路情報記憶部41に格納された一時的通信経路情報に記載された代理コントローラ50であるか否かを判定する(ステップSD2)。
【0141】
ステップSD2で、両コントローラの識別情報は一致しないと判定された場合(ステップSD2がNO判定の場合)、受信コントローラ40のNo判定部43は、パケットの送信元のコントローラは、正当な機器ではないと判定する(ステップSD3)。次いで、No判定部43は、第3正当性確認処理による正当性確認結果、すなわち、パケットの送信元のコントローラは正当な機器ではないとの情報を、管理テーブルTに記録する(ステップSE4)。
【0142】
一方、ステップSD2で、パケットの送信元は、一時的通信経路情報記憶部51に格納された一時的通信経路情報に記載された送信コントローラ30であると判定された場合(ステップSD2がYES判定の場合)、受信コントローラ40のNo判定部43は、パケット(第5パケットP5)に含まれているデータDzと、図8のステップS33で生成したデータDbを2回変換して生成したデータDzとが一致するか否かを判定する(ステップSD4)。
【0143】
なお、ステップSD4でデータDbを変換する回数は2回に限定されず、他の回数であってもよい。ただし、変換回数は、受信コントローラ40における変換回数と送信コントローラ30における変換回数との和とで同数である必要がある。
【0144】
次いで、No判定部43は、ステップSC4の判定結果とステップSD4の判定結果が、両方とも一致を示すものであるかどうかを判定する(ステップSE1)。ステップSE1で、両方の判定結果が一致を示すものであると判定された場合(ステップSE1がYES判定の場合)、No判定部43は、パケット(第3パケットP3)の送信元のコントローラ、すなわち、送信コントローラ30は、正当な機器であると判定する(ステップSE2)。
【0145】
一方、ステップSE1で、ステップSC4の判定結果及びステップSD4の判定結果の一方又は両方が、一致を示すものでなかったと判定された場合(ステップSE1がNO判定の場合)、No判定部43は、パケットの送信元のコントローラは、正当な機器でないと判定する(ステップSE3)。
【0146】
ステップSE2又はステップSE3の処理後、No判定部43は、第3正当性確認処理による正当性確認結果を、管理テーブルTに記録する(ステップSE4)。ステップSE4の処理後、受信コントローラ40による第3正当性確認処理は終了する。
【0147】
上述した実施形態によれば、エレベーターシステム100に含まれる既存のコントローラである送信コントローラ30、受信コントローラ40及び代理コントローラ50によって、正当性確認用の一時的データが送受信されることにより、被認証側の送信コントローラ30の正当性が確認される。したがって、本実施形態によれば、新たな装置又は通信路等を追加することなく、エレベーターシステム100に含まれる機器が正規機器であるか否かを確認できる。
【0148】
また、上述した実施形態では、正当性確認用の一時的データが、送信コントローラ30及び受信コントローラ40間におけるP2Pの通信経路と、該経路に中継ノードとしての代理コントローラ50が加わった通信経路と、の2つの通信経路において並行して実行される。したがって、1つの通信経路を用いて正当性確認処理が行われる場合と比較して、不正な機器による情報の傍受をより困難なものとすることができ、セキュリティをより強化することができる。
【0149】
なお、受信コントローラ40は、第3正当性確認処理を行う前の段階において、送信済みの第2パケットP2に対する返信を受信できなかった時点で、送信コントローラ30は正当な機器ではないと判定してもよい。具体的には、予め、受信コントローラ40の通信部47が送信コントローラ30に第2パケットP2を送信してから、代理コントローラ50を経由して送信される第5パケットP5を受信するまでの経過時間に制限時間を設けておく。そして、受信コントローラ40は、制限時間内に第5パケットP5を受信できなかった場合に、送信コントローラ30は正当な機器ではないと判定してもよい。
【0150】
なお、第2パケットP2を送信してから第5パケットP5を受信するまでの時間ではなく、第2パケットP2を送信してから、送信コントローラ30から送信される第3パケットP3を受信するまでの時間に制限時間を設けてもよい。
【0151】
また、上述した実施形態では、代理コントローラ50に選択されるコントローラが1台である例を挙げたが、本発明はこれに限定されない。複数台のコントローラが代理コントローラ50に選択されてもよい。
【0152】
[複数台のコントローラが選択される場合における代理コントローラ選択処理]
図18は、複数台のコントローラが選択される場合における代理コントローラ50の選択処理の手順の例を示すフローチャートである。まず、受信コントローラ40の通信経路生成部42(図2参照)は、図4に示した一時的データ生成処理を行う(ステップS61)。次いで、通信経路生成部42は、一時的データ生成処理で生成された一時的データに基づいて、代理コントローラ50として選択すべきコントローラの台数を決定する(ステップS62)。この場合においても、一時的データと代理コントローラ50の台数とは予め対応付けられているものとする。
図18は、複数台のコントローラが選択される場合における代理コントローラ50の選択処理の手順の例を示すフローチャートである。まず、受信コントローラ40の通信経路生成部42(図2参照)は、図4に示した一時的データ生成処理を行う(ステップS61)。次いで、通信経路生成部42は、一時的データ生成処理で生成された一時的データに基づいて、代理コントローラ50として選択すべきコントローラの台数を決定する(ステップS62)。この場合においても、一時的データと代理コントローラ50の台数とは予め対応付けられているものとする。
【0153】
次いで、通信経路生成部42は、再度一時的データ生成処理を実行する(ステップS63)。次いで、通信経路生成部42は、ステップS63で生成した一時的データに基づいて、代理コントローラ50の候補となるコントローラを管理テーブルTから抽出する(ステップS64)。次いで、通信経路生成部42は、ステップS64で抽出した候補のコントローラは、代理コントローラ50として選択可能であるか否かを判定する(ステップS65)。
【0154】
ステップS65で、代理コントローラ50として選択できないと判定された場合(ステップS65がNO判定の場合)、通信経路生成部42は、ステップS63に戻って処理を行う。すなわち、代理コントローラ50の候補の抽出に用いる一時的データの生成処理を行う。一方、ステップS65で、代理コントローラ50として選択可能であると判定された場合(ステップS65がYES判定の場合)、通信経路生成部42は、候補のコントローラを代理コントローラ50として選択する(ステップS66)。
【0155】
次いで、通信経路生成部42は、ステップS62で決定された台数分の代理コントローラ50の選択は完了したか否かを判定する(ステップS67)。ステップS67で、台数分の代理コントローラ50の選択は完了していないと判定された場合(ステップS67がNO判定の場合)、通信経路生成部42は、ステップS63に戻って処理を行う。
【0156】
一方、ステップS67で、台数分の代理コントローラ50の選択は完了したと判定された場合(ステップS67がYES判定の場合)、受信コントローラ40による代理コントローラ選択処理は終了する。
【0157】
【0158】
図19Aには、管理テーブルTを示す。図19Aに示す管理テーブルTには、5番のコントローラ、すなわち、3Fのフロアコントローラ11が1番目(図において「1st」と表記)の代理コントローラ50に選択されている。また、管理テーブルTには、3番のコントローラ、すなわち、1Fのフロアコントローラ11が2番目(図において「2nd」と表記)の代理コントローラ50に選択されていることが示されている。そして、正当性確認用データの、代理コントローラ50を経由する通信経路における伝送は、受信コントローラ40、第2の代理コントローラ50(3番のコントローラ)、第1の代理コントローラ50(5番のコントローラ)の順に行われるとする。
【0159】
図19Bは、受信コントローラ40から第1の代理コントローラ50に送信される一時的通信経路情報の例を示し、図19Cは、受信コントローラ40から第2の代理コントローラ50に送信される一時的通信経路情報の例を示す。
【0160】
第1の代理コントローラ50に選択された5番のコントローラに対しては、図19Bに示すように、第2の代理コントローラ50に選択された3番のコントローラの識別情報と、送信コントローラ30に選択されている2番のコントローラの識別情報とを含む一時的通信経路情報が送信される。
【0161】
また、第2の代理コントローラ50に選択された3番のコントローラに対しては、図19Cに示すように、受信コントローラ40に選択されている1番のコントローラの識別情報と、第1の代理コントローラ50に選択された5番のコントローラの識別情報と、を含む一時的通信経路情報が送信される。
【0162】
このように、代理コントローラ50を複数設定することにより、正当性確認用データの通信経路を複数設定することが可能となり、既存の機器と置換又は追加された不正な機器によるエレベーター15に関する情報の傍受を、より困難とすることができる。また、図19には、代理コントローラ50を2つ設けた例を示したが、本発明はこれに限定されず、3つ以上設定されてもよい。
【0163】
また、上述した実施形態では、代理コントローラ50を介した通信経路における正当性確認用データの伝送が、受信コントローラ40、送信コントローラ30、代理コントローラ50、受信コントローラ40の順に行われる例を挙げたが、本発明はこれに限定されない。代理コントローラ50を介した通信経路における正当性確認用データの伝送は、例えば、受信コントローラ40、代理コントローラ50、送信コントローラ30、受信コントローラ40の順に行われてもよい。
【0164】
<変形例に係る正当性確認処理>
図20は、変形例に係る正当性確認処理の手順の例を示すフローチャートである。図20のステップS71~ステップS73までの処理は、図8のステップS31~ステップS33までの処理と同一であるため、説明は省略する。ステップS73でデータDa及びDbを生成した後、受信コントローラ40の通信部47は、データDaを含む第2A1パケット(図示略)を生成し、該第2A1パケットを送信コントローラ30に返送(送信)する(ステップS74)。
図20は、変形例に係る正当性確認処理の手順の例を示すフローチャートである。図20のステップS71~ステップS73までの処理は、図8のステップS31~ステップS33までの処理と同一であるため、説明は省略する。ステップS73でデータDa及びDbを生成した後、受信コントローラ40の通信部47は、データDaを含む第2A1パケット(図示略)を生成し、該第2A1パケットを送信コントローラ30に返送(送信)する(ステップS74)。
【0165】
次いで、送信コントローラ30の通信部34は、第2A1パケットを受信する(ステップS75)。次いで、送信コントローラ30のデータ演算部33は、第1A-1正当性確認処理を行う(ステップS76)。
【0166】
[第1A-1正当性確認処理]
ここで、図21を参照して、図20のステップS76で行われる送信コントローラ30による第1A-1正当性確認処理について説明する。図21は、第1A-1正当性確認処理の手順の例を示すフローチャートである。
ここで、図21を参照して、図20のステップS76で行われる送信コントローラ30による第1A-1正当性確認処理について説明する。図21は、第1A-1正当性確認処理の手順の例を示すフローチャートである。
【0167】
まず、送信コントローラ30のデータ演算部33は、図20のステップS75で受信した第2A1パケットに含まれていたデータDaを、ハッシュ値演算等の手法を用いてデータDxに変換する(ステップSA11)。次いで、送信コントローラ30のNo判定部32は、一時的通信経路情報記憶部31に格納された一時的通信経路情報に基づいて、データDxの送信先を受信コントローラ40に決定する(ステップSA12)。
【0168】
次いで、送信コントローラ30の通信部34は、ステップSA12で送信先に決定された受信コントローラ40に対して、データDxを含む第3Aパケットを送信する(ステップSA13)。ステップSA13の処理後、送信コントローラ30による第1A-1正当性確認処理は終了する。
【0169】
図20に戻って説明を続ける。ステップS76で、第1A-1正当性確認処理によって生成されて受信コントローラ40に送信された第3Aパケットは、受信コントローラ40の通信部47(図2参照)によって受信される(ステップS77)。
【0170】
次いで、受信コントローラ40のデータ生成部44は、ステップS73で生成したデータDbを含む第2A2パケットを生成し、該第2A2パケットを通信部47が代理コントローラ50に送信する(ステップS78)。
【0171】
次いで、代理コントローラ50の通信部54は、ステップS78で受信コントローラ40から送信された第2A2パケットを受信する(ステップS79)。次いで、代理コントローラ50は第2A正当性確認処理を実行する(ステップS80)。
【0172】
[第2A正当性確認処理]
ここで、図22を参照して、図20のステップS80で行われる代理コントローラ50による第2A正当性確認処理について説明する。図22は、第2A正当性確認処理の手順の例を示すフローチャートである。
ここで、図22を参照して、図20のステップS80で行われる代理コントローラ50による第2A正当性確認処理について説明する。図22は、第2A正当性確認処理の手順の例を示すフローチャートである。
【0173】
まず、代理コントローラ50のデータ演算部53は、図20のステップS78で受信コントローラ40から受信した第2A1パケットに含まれていたデータDbを、ハッシュ値演算等の手法を用いてデータDyに変換する(ステップSB11)。次いで、代理コントローラ50のNo判定部52は、一時的通信経路情報記憶部51に格納された一時的通信経路情報に基づいて、データDyの送信先を送信コントローラ30に決定する(ステップSB12)。
【0174】
次いで、代理コントローラ50の通信部54は、ステップSB12で送信先に決定された送信コントローラ30に対して、データDyを含む第4Aパケットを送信する(ステップSB13)。ステップSB13の処理後、代理コントローラ50による第2A正当性確認処理は終了する。
【0175】
図20に戻って説明を続ける。ステップS80で、第2A正当性確認処理によって生成されて代理コントローラ50によって送信された第4Aパケットは、送信コントローラ30の通信部34で受信される(ステップS81)。次いで、送信コントローラ30は、第1A-2正当性確認処理を行う(ステップS82)。
【0176】
【0177】
まず、送信コントローラ30のデータ演算部33は、図20のステップS81で代理コントローラ50から受信した第4Aパケットに含まれていたデータDyを、ハッシュ値演算等の手法を用いてデータDzに変換する(ステップS91)。次いで、送信コントローラ30のNo判定部32は、一時的通信経路情報記憶部31に格納された一時的通信経路情報に基づいて、データDzの送信先を受信コントローラ40に決定する(ステップS92)。
【0178】
次いで、送信コントローラ30の通信部34は、ステップS92で送信先に決定された受信コントローラ40に対して、データDzを含む第5Aパケットを送信する(ステップS93)。ステップS93の処理後、送信コントローラ30による第1A-2正当性確認処理は終了する。
【0179】
ステップS82で、第1A-2正当性確認処理によって生成されて送信コントローラ30から送信された第5Aパケットは、受信コントローラ40の通信部47によって受信される(ステップS83)。次いで、受信コントローラ40は、第3A正当性確認処理を行う(ステップS84)。ステップS84の処理後、送信コントローラ30、受信コントローラ40及び代理コントローラ50による正当性確認処理は終了する。
【0180】
[第3A正当性確認処理]
ここで、図24を参照して、受信コントローラ40による第3A正当性確認処理について説明する。図24は、第3A正当性確認処理の手順の例を示すフローチャートである。図24に示す処理が、図17に示した第3正当性確認処理と異なる点は、ステップSC12で送信元の確認を行うパケットが第3パケットではなく第3Aパケットである点と、ステップSD12で送信元の確認を行うパケットが第5パケットではなく第5Aパケットである点のみである。他の処理については、図17に示した第3正当性確認処理と同一であるため、説明は省略する。
ここで、図24を参照して、受信コントローラ40による第3A正当性確認処理について説明する。図24は、第3A正当性確認処理の手順の例を示すフローチャートである。図24に示す処理が、図17に示した第3正当性確認処理と異なる点は、ステップSC12で送信元の確認を行うパケットが第3パケットではなく第3Aパケットである点と、ステップSD12で送信元の確認を行うパケットが第5パケットではなく第5Aパケットである点のみである。他の処理については、図17に示した第3正当性確認処理と同一であるため、説明は省略する。
【0181】
図20~図24に示した変形例に係る正当性確認処理では、受信コントローラ40が生成した正当性確認用の一時的データDa及びDbは、それぞれ送信コントローラ30、代理コントローラ50に分けて送信される。そして、送信コントローラ30における正当性確認処理も、第1A-1正当性確認処理と第1A-2正当性確認処理との2回に分けて行われるようになる。つまり、正当性確認処理の手順が増えて複雑化するため、悪意のある第三者によるエレベーター15に関する情報の傍受をより困難とすることができる。
【0182】
また、本変形例に係る正当性確認処理によれば、代理コントローラ50に選択されたコントローラが不正な機器であった場合、代理コントローラ50から送信コントローラ30へのパケットの送信は行われない。この場合、受信コントローラ40も第5Aパケットを受信できない。
【0183】
例えば、図20のステップS76の第1A-1正当性確認処理で、送信コントローラ30によって生成された第3Aパケットを、受信コントローラ40が受信できた場合であって、第1A-2正当性確認処理で生成された第5Aパケットを受信できなかった場合、受信コントローラ40は、代理コントローラ50は非正規機器であると判定することができる。つまり、本変形例によれば、送信コントローラ30の正当性の確認だけでなく、代理コントローラ50の正当性も確認することができる。
【0184】
また、上述した実施形態では、正当性確認処理が、送信コントローラ30及び受信コントローラ40で構成されるP2Pの通信経路と、該経路に中継ノードとしての代理コントローラ50が加わった通信経路と、の2つの通信経路において並行して実行される例を示したが、本発明はこれに限定されない。
【0185】
例えば、本発明のエレベーターシステムは、P2Pの通信経路を介して行われた正当性確認処理によって不正な機器が検出された場合には、中継ノードとしての代理コントローラ50を経由する通信経路による正当性確認処理は実施しない構成とされてもよい。言い換えると、P2Pの通信経路を介して行われた正当性確認処理によって不正な機器が検出されなかった場合に、中継ノードとしての代理コントローラ50を経由する通信経路による正当性確認処理が実行される構成とされてもよい。このような構成とすることにより、不正な機器をより早期に検出することができる。
【0186】
また、上述した実施形態では、正当性確認用の一時的データの通信経路が、送信コントローラ30及び受信コントローラ40で構成される通信経路と、該経路に中継ノードとしての代理コントローラ50が加わった通信経路と、の2つの通信経路で構成される例を示したが、本発明はこれに限定されない。本発明のエレベーターシステムは、送信コントローラ30、代理コントローラ50及び受信コントローラ40で構成される1つの通信経路のみを一時的データが伝送される構成とされてもよい。
【0187】
この構成とした場合、例えば、正当性確認処理としては、図20に示したフローチャートのステップS78以降の処理のみが行われる。受信コントローラ40による第3A正当性確認処理においては、ステップSD11~SD14の処理のみが行われる。そして、ステップSD14において、データDxは、データDaから変換して得たデータDxと一致すると判定された場合に、受信コントローラ40の演算データ比較部46(図20参照)は、送信コントローラ30は正当性が確認された機器であると判定する。
【0188】
一方、受信したパケットの送信元のコントローラと、一時的通信経路情報に識別情報が記載されたコントローラとが一致しない場合や、ステップSD14において、データDzはデータDbから変換して得たデータDzと一致しないと判定された場合には、受信コントローラ40の演算データ比較部46は、送信コントローラ30は正当な機器ではないと判定する。つまり、一つの通信経路を用いた正当性確認処理によっても、被認証コントローラとしての送信コントローラ30の正当性を確認することができる。
【0189】
<一時的通信経路情報の更新、正当性確認処理の実行タイミングの例>
次に、受信コントローラ40の通信経路生成部42(図2参照)による一時的通信経路情報の更新タイミングと、該一時的通信経路情報に基づく通信経路を用いた正当性確認処理の実行タイミングの例を説明する。一時的通信経路更新処理においては、図5に示した代理コントローラ選択処理、及び、図7に示した一時的通信経路情報設定処理が行われるとする。
次に、受信コントローラ40の通信経路生成部42(図2参照)による一時的通信経路情報の更新タイミングと、該一時的通信経路情報に基づく通信経路を用いた正当性確認処理の実行タイミングの例を説明する。一時的通信経路更新処理においては、図5に示した代理コントローラ選択処理、及び、図7に示した一時的通信経路情報設定処理が行われるとする。
【0190】
[一時的通信経路情報更新処理:シャットダウン時、正当性確認処理:システム起動時]
例えば、受信コントローラ40の通信経路生成部42による一時的通信経路情報更新処理は、エレベーターシステム100のシャットダウン直前のタイミングにおいて実行し、正当性確認処理は、次にエレベーターシステム100が起動するタイミングにおいて実行する形態が考えられる。通信経路生成部42は、一時的通信経路情報更新処理において、図5に示した代理コントローラ選択処理、及び、図7に示した一時的通信経路情報設定処理を行う。エレベーターシステム100の不図示の制御部は、正当性確認処理の実行前に、エレベーターシステム100に含まれる各コントローラを初期化し、初期化の完了後に、図8(又は図20)に示した正当性確認処理を行う。
例えば、受信コントローラ40の通信経路生成部42による一時的通信経路情報更新処理は、エレベーターシステム100のシャットダウン直前のタイミングにおいて実行し、正当性確認処理は、次にエレベーターシステム100が起動するタイミングにおいて実行する形態が考えられる。通信経路生成部42は、一時的通信経路情報更新処理において、図5に示した代理コントローラ選択処理、及び、図7に示した一時的通信経路情報設定処理を行う。エレベーターシステム100の不図示の制御部は、正当性確認処理の実行前に、エレベーターシステム100に含まれる各コントローラを初期化し、初期化の完了後に、図8(又は図20)に示した正当性確認処理を行う。
【0191】
正当性確認処理によって、送信コントローラ30(又は代理コントローラ50)が不正な機器であると判定された場合、不正な機器を制御の対象から外す(該機器との通信を遮断する)処理等が行われる。その後、エレベーターシステム100の制御部は、通常の制御処理を実行する。
【0192】
上述の処理が行われることにより、エレベーターシステム100の運転中や停止中などに不正な機器の置換又は追加が行われた場合にも、エレベーターシステム100の起動(再起動)時に、これらの機器が不正な機器であることを特定することができる。
【0193】
[一時的通信経路情報更新処理:任意タイミング、正当性確認処理:乗りかごの出発時]
また、例えば、通信経路生成部42による一時的通信経路情報更新処理は、任意のタイミングにおいて実行し、正当性確認処理は、乗りかごの出発時に行う形態が考えられる。
また、例えば、通信経路生成部42による一時的通信経路情報更新処理は、任意のタイミングにおいて実行し、正当性確認処理は、乗りかごの出発時に行う形態が考えられる。
【0194】
一時的通信経路情報更新処理を実行する任意のタイミングには、例えば、受信コントローラ40が、かごコントローラ10(図1参照)である場合には、かご停止状態等が挙げられる。また、受信コントローラ40がフロアコントローラ11である場合には、呼び登録が完了している状態等が挙げられる。また、受信コントローラ40がエレベーターコントローラ5である場合には、定速での運転が実行中である状態等が挙げられる。しかし、一時的通信経路情報更新処理の実行に適した運行状態は、これらに限定されない。
【0195】
一時的通信経路情報更新処理の完了後、エレベーターシステム100の不図示の制御部は、乗りかご7(図1参照)は出発状態にあるか否かを判定する。乗りかご7の出発状態とは、乗りかごの出発が可能となった出発直前の状態を指し、出発直前の状態には、例えば、乗りかご7のドア閉動作中や、ドア閉完了状態等がある。
【0196】
【0197】
このように、任意のタイミングで受信コントローラ40が一時的通信経路情報を更新しておき、乗りかご7の出発前に正当性確認処理が行われることにより、不正な機器が追加又は置換された状態で、乗りかご7が行先階まで移動してしまうことを防ぐことができる。つまり、不正な機器を用いたエレベーター15の情報の傍受を防ぐことができる。
【0198】
<コントローラの正当性が確認できなかった場合の処理の例>
次に、コントローラ(送信コントローラ30)の正当性が確認できなかった場合における処理について、いくつか具体例を挙げて説明する。
次に、コントローラ(送信コントローラ30)の正当性が確認できなかった場合における処理について、いくつか具体例を挙げて説明する。
【0199】
[正当性が確認できなかったコントローラ:2Fのフロアコントローラ]
例えば、送信コントローラ30、受信コントローラ40及び代理コントローラ50による正当性確認処理の結果、2Fのフロアコントローラ11(図1参照)の正当性が確認できなかった場合を想定する。この場合、エレベーターコントローラ5は、2Fのフロアコントローラ11を制御対象から除外する等の制御(処理)を行う。具体的には、エレベーターコントローラ5は、2Fのフロアコントローラ11からの通信はフィルタリングにより拒否して、2階におけるサービスの提供を停止する等の制御を行うことができる。
例えば、送信コントローラ30、受信コントローラ40及び代理コントローラ50による正当性確認処理の結果、2Fのフロアコントローラ11(図1参照)の正当性が確認できなかった場合を想定する。この場合、エレベーターコントローラ5は、2Fのフロアコントローラ11を制御対象から除外する等の制御(処理)を行う。具体的には、エレベーターコントローラ5は、2Fのフロアコントローラ11からの通信はフィルタリングにより拒否して、2階におけるサービスの提供を停止する等の制御を行うことができる。
【0200】
このような処理が行われることにより、正当性を確認できないコントローラがエレベーターシステム100の動作に影響を及ぼすことを防ぐことができる。また、正当性を確認できないコントローラによる制御対象となっているフロア等でのサービスを制限することにより、正常な動作が保障されない状態で利用者にサービスが提供されてしまうことも防ぐことができる。
【0201】
[正当性が確認できなかったコントローラ:かごコントローラ]
また、例えば、正当性確認処理の結果、かごコントローラ10(図1参照)の正当性が確認できなかった場合を想定する。この場合、エレベーターコントローラ5は、かごコントローラ10に対する制御内容を変更する。具体的には、エレベーターコントローラ5は、例えば、かごコントローラ10の制御内容を、少なくとも最寄り階までの運転を可能とする制御内容等に変更する。
また、例えば、正当性確認処理の結果、かごコントローラ10(図1参照)の正当性が確認できなかった場合を想定する。この場合、エレベーターコントローラ5は、かごコントローラ10に対する制御内容を変更する。具体的には、エレベーターコントローラ5は、例えば、かごコントローラ10の制御内容を、少なくとも最寄り階までの運転を可能とする制御内容等に変更する。
【0202】
このような処理が行われることにより、正当性を確認できないコントローラがエレベーターシステム100の動作に影響を及ぼすことを防ぐことができる。また、例えば、最寄りの行先階までの運転後に該当するエレベーター15の運転を停止させる等の制御が行われることにより、不正な機器が取り付けられた状態での運転を最小限に留めつつ、不正な機器への対応等の措置を迅速にとることができる。
【0203】
[不正な機器の情報をセンタに報告する例]
次に、正当性確認結果の確認を行ったコントローラが、不正な機器であると判定したコントローラの情報を、センタ1(図1参照)に報告する例について説明する。ここでは、例えば、かごコントローラ10及び2Fのフロアコントローラ11の正当性が確認されなかった場合を想定する。
次に、正当性確認結果の確認を行ったコントローラが、不正な機器であると判定したコントローラの情報を、センタ1(図1参照)に報告する例について説明する。ここでは、例えば、かごコントローラ10及び2Fのフロアコントローラ11の正当性が確認されなかった場合を想定する。
【0204】
この場合、エレベーターコントローラ5は、正当性が確認されなかった機器(かごコントローラ10及び2Fのフロアコントローラ11)について、センタ1(図1参照)に報告する。また、エレベーターコントローラ5は、正当性が確認されなかった機器(かごコントローラ10及び2Fのフロアコントローラ11)の制御内容を変更する。なお、センタ1に報告する処理と、制御内容を変更する処理とは、ほぼ同時に行われてもよく、時間的に逆に行われてもよい。
【0205】
このような処理が行われることにより、正当性を確認できなかったコントローラについての情報をセンタ1で収集することが可能となる。そして、当該情報をセンタ1で収集することにより、正当性が確認できなかったコントローラの種別の情報等に基づいて、センタ1において保守作業の計画を立案したり、対策方法を検討したりすることが可能となる。保守作業の計画としては、例えば、コントローラの種別に応じた保守員による現場点検の実施の計画等が考えられる。
【0206】
なお、上述した実施形態は本発明を分かりやすく説明するために装置及びシステムの構成を詳細且つ具体的に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。
【0207】
また、図1~図3において実線で示した制御線又は情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
【0208】
また、本明細書において、時系列的な処理を記述する処理ステップは、記載された順序に沿って時系列的に行われる処理はもちろん、必ずしも時系列的に処理されなくとも、並列的あるいは個別に実行される処理(例えば、並列処理あるいはオブジェクトによる処理)をも含むものである。
【0209】
さらに、上述した本発明の一実施形態にかかるエレベーターシステムの各構成要素は、それぞれのハードウェアがネットワークを介して互いに情報を送受信できるならば、いずれのハードウェアに実装されてもよい。また、ある処理部により実施される処理が、1つのハードウェアにより実現されてもよいし、複数のハードウェアによる分散処理により実現されてもよい。
【符号の説明】
【0210】
3…通信コントローラ、4…群管理コントローラ、5…エレベーターコントローラ、10…かごコントローラ、11…フロアコントローラ、15…エレベーター、30…送信コントローラ、31…一時的通信経路情報記憶部、31…通信部、32…No判定部、33…データ演算部、34…通信部、40…受信コントローラ、41…一時的通信経路情報記憶部、42…通信経路生成部、43…No判定部、44…データ生成部、45…データ演算部、46…演算データ比較部、47…通信部、50…代理コントローラ、51…一時的通信経路情報記憶部、52…No判定部、53…データ演算部、54…通信部、100…エレベーターシステム
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】