知財求人 - 知財ポータルサイト「IP Force」
▶ 株式会社東芝の特許一覧 ▶ 東芝電機サービス株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-03-17
(45)【発行日】2022-03-28
(54)【発明の名称】クライアント側通信制御装置、およびサーバ側通信制御装置
(51)【国際特許分類】
H04L 9/08 20060101AFI20220318BHJP
G06F 21/44 20130101ALI20220318BHJP
H04L 9/32 20060101ALI20220318BHJP
【FI】
H04L9/08 C
G06F21/44
H04L9/08 E
H04L9/32 200B
【請求項の数】
6
(21)【出願番号】P 2020000499
(22)【出願日】2020-01-06
(62)【分割の表示】P 2017173182の分割
【原出願日】2017-09-08
(65)【公開番号】P2020048239
(43)【公開日】2020-03-26
【審査請求日】2020-01-06
【前置審査】
(73)【特許権者】
【識別番号】000003078
【氏名又は名称】株式会社東芝
(73)【特許権者】
【識別番号】598076591
【氏名又は名称】東芝インフラシステムズ株式会社
(74)【代理人】
【識別番号】110001634
【氏名又は名称】特許業務法人 志賀国際特許事務所
(72)【発明者】
【氏名】友枝 裕樹
(72)【発明者】
【氏名】杉渕 慶
(72)【発明者】
【氏名】福岡 寛規
【審査官】打出 義尚
(56)【参考文献】
【文献】中国特許出願公開第102348210(CN,A)
【文献】特開2019-050485(JP,A)
【文献】特開2008-197963(JP,A)
【文献】特表2002-540443(JP,A)
【文献】特開2001-251297(JP,A)
【文献】特開2007-323553(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/08
G06F 21/44
H04L 9/32
(57)【特許請求の範囲】
【請求項1】
クライアント装置とネットワーク通信網との間に設けられるゲートウェイと、前記クライアント装置との間に接続されるクライアント側通信制御装置であって、認証部と、
前記認証部に記憶させるクライアント秘密鍵、及びクライアント証明書を前記クライアント側通信制御装置に送信すると共に、前記クライアント装置の通信先であるサーバ装置のために使用されるサーバ秘密鍵、及びサーバ証明書を、前記サーバ装置と前記ネットワーク通信網との間に接続されるサーバ側通信制御装置に送信する、前記サーバ装置とは別体のプライベート認証局により発行された、前記クライアント秘密鍵、及び前記クライアント証明書を用いる相互認証を前記サーバ側通信制御装置との間で行う相互認証処理と、前記クライアント装置により前記サーバ装置に対して送信される情報を、前記クライアント側通信制御装置と前記サーバ側通信制御装置との間で決定された共通鍵を用いて暗号化するとともに、前記サーバ装置により前記クライアント装置に対して送信された情報を、前記共通鍵を用いて復号する暗号化復号処理とのうち少なくとも前記相互認証処理を前記認証部に、依頼する制御部と
を有し、
前記クライアント装置との通信を平文で、且つ有線で行い、
前記ゲートウェイと有線で通信する、
クライアント側通信制御装置。
【請求項2】
前記制御部は、前記相互認証を前記クライアント装置に対して情報を送信した通信装置との間で行うように前記認証部に依頼し、前記相互認証の結果に基づいて前記通信装置に対して前記クライアント装置との通信を許可するか否かを判定し、判定結果を前記プライベート認証局に送信する請求項1に記載のクライアント側通信制御装置。
【請求項3】
前記制御部は、前記クライアント装置に対して送信された前記クライアント装置のファームウェアに関する情報の内容が正しいか否かの検証を前記プライベート認証局により発行された鍵を用いて行うファームウェア検証処理を前記認証部に依頼する請求項1または請求項2に記載のクライアント側通信制御装置。
【請求項4】
前記認証部は、前記クライアント装置に対する通信が許可される通信機器に関する情報を示す送信先リストに基づいて、前記クライアント装置に対して情報を送信した通信装置に対する前記クライアント装置との通信を許可するか否かを判定する請求項1から請求項3の何れか一項に記載のクライアント側通信制御装置。
【請求項5】
有効期限に基づいて更新された前記クライアント証明書を、前記プライベート認証局から受信する請求項1から請求項4の何れか一項に記載のクライアント側通信制御装置。
【請求項6】
前記クライアント側通信制御装置による前記相互認証処理において、相互に正当性が証明されなかった場合、前記プライベート認証局により前記クライアント証明書が無効化される請求項1から請求項5の何れか一項に記載のクライアント側通信制御装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、クライアント側通信制御装置、およびサーバ側通信制御装置に関する。
【背景技術】
【0002】
監視カメラ等の社会インフラシステムにおいては、取り扱われるデータや機器の制御がマルウェア等の攻撃から防御される必要がある。しかしながら、社会インフラシステムを構成する機器類は頻繁に置換えることが難しい。このため、安全対策が不十分になってしまうという問題があった。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2009-117887号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
本発明が解決しようとする課題は、社会インフラシステムを変更することなく、社会インフラシステムの安全性を向上させることができるクライアント側通信制御装置、およびサーバ側通信制御装置を提供することである。
【課題を解決するための手段】
【0005】
実施形態のクライアント側通信制御装置は、クライアント装置とネットワーク通信網との間に設けられるゲートウェイと、前記クライアント装置との間に接続される。クライアント側通信制御装置は、認証部と、制御部と、を持つ。前記制御部は、前記認証部に記憶させるクライアント秘密鍵、及びクライアント証明書を前記クライアント側通信制御装置に送信すると共に、前記クライアント装置の通信先であるサーバ装置のために使用されるサーバ秘密鍵、及びサーバ証明書を、前記サーバ装置と前記ネットワーク通信網との間に接続されるサーバ側通信制御装置に送信する、前記サーバ装置とは別体のプライベート認証局により発行された、前記クライアント秘密鍵、及び前記クライアント証明書を用いる相互認証を前記サーバ側通信制御装置との間で行う相互認証処理と、前記クライアント装置により前記サーバ装置に対して送信される情報を、前記クライアント側通信制御装置と前記サーバ側通信制御装置との間で決定された共通鍵を用いて暗号化するとともに、前記サーバ装置により前記クライアント装置に対して送信された情報を、前記共通鍵を用いて復号する暗号化復号処理とのうち少なくとも前記相互認証処理を、前記認証部に依頼する。前記クライアント側通信制御装置は、前記クライアント装置との通信を平文で、且つ有線で行い、前記ゲートウェイと有線で通信する。
【図面の簡単な説明】
【0006】
【図1】実施形態の通信制御システム1の構成例を示す図。
【図2】実施形態のクライアント装置10、およびサーバ装置20の機能構成例を示すブロック図。
【図3】実施形態のクライアント側通信制御装置30、およびサーバ側通信制御装置31の機能構成例を示すブロック図。
【図4】実施形態のICカード40のハードウェア構成例を示す図。
【図5】実施形態のICカード40の機能構成例を示すブロック図。
【図6】実施形態の通信制御管理装置50の機能構成例を示すブロック図。
【図7】実施形態の通信制御システム1が行う処理の一例を示すシーケンスチャート。
【発明を実施するための形態】
【0007】
以下、実施形態のクライアント側通信制御装置、およびサーバ側通信制御装置を、図面を参照して説明する。
【0008】
図1は、実施形態の通信制御システム1の構成例を示す図である。通信制御システム1は、クライアント装置10(10-1~10-N)と、サーバ装置20と、クライアント側通信制御装置30(30-1~30-N)(「第1の通信制御装置」の一例)と、サーバ側通信制御装置31(「第1の通信制御装置」の一例)と、通信制御管理装置50(「プライベート認証局」の一例)と、ネットワーク60と、ゲートウェイ70と、を備える。以下の説明においては、ネットワーク60と、ネットワーク60とクライアント装置10等とを接続するゲートウェイ70と、をまとめて「ネットワークNW」とも称する。
【0009】
クライアント装置10は、クライアント側通信制御装置30を介してネットワークNWと接続する。サーバ装置20は、サーバ側通信制御装置31を介してネットワークNWと接続する。なお、クライアント装置10、およびサーバ装置20の構成の詳細については後述する。
【0010】
クライアント側通信制御装置30は、クライアント装置10とネットワークNWとの間に接続され、クライアント装置10とサーバ装置20との間の通信を仲介する。クライアント側通信制御装置30は、クライアント装置10によりサーバ装置20に対して送信されるデータを取得し、取得したデータをサーバ装置20に対して出力する。ここで、クライアント側通信制御装置30は、サーバ装置20に対してデータを送信する際に、クライアント装置10から取得したデータを暗号化し、暗号化したデータをサーバ装置20に対して送信する。
【0011】
また、クライアント側通信制御装置30は、サーバ装置20によりクライアント装置10に対して送信されるデータを取得し、取得したデータをクライアント装置10に対して出力する。ここで、クライアント側通信制御装置30が取得するデータは暗号化されたデータである。クライアント側通信制御装置30は、クライアント装置10にデータを出力する際に、サーバ装置20からサーバ側通信制御装置31を介して取得したデータを復号し、復号したデータをクライアント装置10に出力する。
【0012】
サーバ側通信制御装置31は、サーバ装置20とネットワークNWとの間に接続され、クライアント装置10とサーバ装置20との間の通信を仲介する。サーバ側通信制御装置31は、サーバ装置20によりクライアント装置10に対して送信されるデータを取得し、取得したデータをクライアント装置10に対して送信する。ここで、サーバ側通信制御装置31は、クライアント装置10に対してデータを送信する際に、サーバ装置20から取得したデータを暗号化し、暗号化したデータをクライアント装置10に対して送信する。
【0013】
また、サーバ側通信制御装置31は、クライアント装置10によりサーバ装置20に対して送信されるデータを取得し、取得したデータをサーバ装置20に対して出力する。ここで、サーバ側通信制御装置31が取得するデータは暗号化されたデータである。サーバ側通信制御装置31は、サーバ装置20にデータを出力する際に、クライアント装置10からクライアント側通信制御装置30を介して取得したデータを復号し、復号したデータをサーバ装置20に出力する。
【0014】
本実施形態において、クライアント側通信制御装置30およびサーバ側通信制御装置31が行うデータの暗号化には、例えば、SSL(Secure Socket Layer)/TLS(Transport Layer Security)のプロトコルによる暗号化が行われる。クライアント側通信制御装置30およびサーバ側通信制御装置31は、例えば、SSL/TLSプロトコルを、HTTPと組み合わせることで、HTTPに含まれるデータを暗号化し、安全性を向上させたHTTPS(HTTP Secure)に置き換える。
【0015】
なお、クライアント側通信制御装置30およびサーバ側通信制御装置31が行うデータの暗号化は、HTTPをHTTPSとすることに限定されない。クライアント側通信制御装置30およびサーバ側通信制御装置31は、SSL/TLSプロトコルを種々の通信プロトコルと組み合わせることにより、安全性を向上させたセキュアな通信プロトコルに置き換えてもよい。例えば、クライアント側通信制御装置30およびサーバ側通信制御装置31は、FTP(File Transfer Protocol)をFTPS(FTP Secure)に置き換えてもよい。
【0016】
本実施形態においては、クライアント側通信制御装置30、またはサーバ側通信制御装置31により暗号化されたデータがネットワークNWに出力される。換言すると、本実施形態においては、ネットワークNWを流れるデータは、暗号化されたデータであり。このため、ネットワークNWで送受信されるデータに対し、外部から悪意をもってアクセスされデータが盗聴されてしまうような危険を回避し、安全性を向上させる。なお、ここでいうデータの盗聴とは、「データを盗み見る行為」または「データを抜き取る行為」をいう。
【0017】
通信制御管理装置50は、クライアント側通信制御装置30に対し、クライアント証明書、および秘密鍵を発行する。例えば、通信制御管理装置50は、クライアント証明書、および秘密鍵を記憶させたICカードを発行する。また、通信制御管理装置50は、ICカードが装着されたクライアント側通信制御装置30に対し、ICカードに記憶させるクライアント証明書、および秘密鍵を、ネットワークNWを介して送信する。
【0018】
また、通信制御管理装置50は、サーバ側通信制御装置31に対し、サーバ証明書、および秘密鍵を発行する。例えば、通信制御管理装置50は、サーバ証明書、および秘密鍵を記憶させたICカードを発行する。また、通信制御管理装置50は、ICカードが装着されたサーバ側通信制御装置31に対し、ICカードに記憶させるサーバ証明書、および秘密鍵を、ネットワークNWを介して送信する。クライアント証明書、サーバ証明書、および秘密鍵のそれぞれは、クライアント側通信制御装置30とサーバ側通信制御装置31とが暗号化通信を行う場合に用いる共通鍵(セッション鍵)を決定するために必要な情報である。
【0019】
ここでは、クライアント装置10、およびサーバ装置20の構成について説明する。クライアント装置10とサーバ装置20とは、社会インフラシステムを構築する構成要素(コンポーネント)である。社会インフラとは、例えば、道路交通網、発電設備、配送電設備、水処理設備、又はガス配給設備等、社会基盤を整えるために必要な設備である。社会インフラシステムとは、例えば、社会インフラを監視し、状況の変化を把握し、その変化に対応することにより、社会インフラを安定的に動作させる仕組みである。以下においては、クライアント装置10とサーバ装置とは、道路や公共設備などを監視する監視システムのコンポーネントである場合を例に説明する。この場合、クライアント装置10は、道路の状況等が撮像された撮像データを、ネットワークNWを介して送信する装置(ネットワーク監視カメラ)である。サーバ装置20は、クライアント装置10により送信された撮像データを、ネットワークNWを介して受信する装置である。
【0020】
なお、クライアント装置10とサーバ装置20とは、監視システムのコンポーネントに限定されることはない。例えば、クライアント装置10とサーバ装置とは、発電設備や配送電設備における電力状況をモニタリングするシステムのコンポーネントであってもよいし、物流センタにおける配送状況を取得するシステム、あるいは工場や研究機関における設備の稼働状況を取得するシステム等のコンポーネントであってもよい。
【0021】
図2は、実施形態のクライアント装置10、およびサーバ装置20の機能構成例を示すブロック図である。
【0022】
クライアント装置10は、NW(ネットワーク)通信部11と、クライアント制御部12と、撮像部13とを備える。NW通信部11は、例えば、クライアント装置10のイーサネット(登録商標)のポートである。本実施形態では、NW通信部11は、クライアント側通信制御装置30に接続され、クライアント装置10からサーバ装置20に対して送信されるデータをクライアント側通信制御装置30に出力する。なお、NW通信部11は、従来のシステムであれば、ネットワークNWに接続され、ネットワークNWを介して、サーバ装置20と通信を行う機能部に相当する。
【0023】
クライアント制御部12は、例えば、CPUなどを含むプロセッサであり、クライアント装置10を統括的に制御する。クライアント制御部12は、例えば、サーバ装置20からの制御に従い、撮像部13に撮像を開始または停止させたり、撮像部13に対し撮像するカメラの方向や、撮像する際の倍率等の撮像条件を設定したりする。
【0024】
撮像部13は、クライアント制御部12の指示に従い、所定箇所における風景を撮像する。撮像部13は、撮像したデータ(撮像データ)を、クライアント制御部12に出力する。
【0025】
サーバ装置20は、NW(ネットワーク)通信部21と、サーバ制御部22と、撮像データ記憶部23とを備える。NW通信部21は、例えば、サーバ装置20のイーサネット(登録商標)のポートである。本実施形態では、NW通信部21は、サーバ側通信制御装置31に接続され、サーバ装置20からクライアント装置10に対して送信されるデータをサーバ側通信制御装置31に出力する。なお、NW通信部21は、従来のシステムであれば、ネットワークNWに接続され、ネットワークNWを介して、クライアント装置10と通信を行う機能部に相当する。
【0026】
サーバ制御部22は、例えば、CPUなどを含むプロセッサであり、サーバ装置20を統括的に制御する。サーバ制御部22は、例えば、クライアント装置10により撮像された撮像データを、撮像データ記憶部23に記憶させる。撮像データ記憶部23は、サーバ制御部22の指示に従い、撮像データを記憶する。
【0027】
従来のシステムにおいて、クライアント装置10とサーバ装置20とが、互いのNW通信部およびネットワークNWを介して接続された場合、クライアント装置とサーバ装置20との間の通信には、ネットワーク監視カメラにおける一般的な通信プロトコルであるHTTPが用いられる。
【0028】
この場合、クライアント装置10、またはサーバ装置20によりネットワークNWに出力された、暗号化されていない情報(いわゆる、平文)がネットワークNWを流れる。この場合、外部から悪意をもってネットワークNW上のデータが取得されてしまうと、容易に撮像データが盗聴されたり、改ざんされたりする危険性がある。このような不正な攻撃に対する対策として、クライアント装置10には撮像データを暗号化させてネットワークNWに出力させることが考えられる。例えば、クライアント装置10のクライアント制御部12は、撮像データを暗号化し、暗号化した撮像データをネットワークNWに出力する。しかしながら、そもそも監視カメラが備えるCPU等のプロセッサは、撮像データの圧縮や符号化の用途に用いられるために用いられる用途で用いられることが一般的であるため、さらに暗号化のための処理を行うだけの資源(リソース)を備えていない。このような場合、クライアント制御部12が元々有するCPUでは、撮像データを暗号化させることができない。クライアント制御部12に撮像データを暗号化させる場合には、撮像データを暗号化するためのプロセッサを、更にクライアント制御部12に搭載させる等、クライアント制御部12のハードウェア構成の変更や置換えが必要となることが考えられる。しかしながら、クライアント装置10は、監視カメラ等の社会インフラを構成するコンポーネントであるため、ハードウェア構成を変更したり置換えたりすることが容易にはできない。このような事情を鑑みると、クライアント装置10変更を加えることなく、撮像データが暗号化されてネットワークNWに出力されることが望ましい。
【0029】
本実施形態において、クライアント装置10とネットワークNWとの間に接続されたクライアント側通信制御装置30が、クライアント装置10が送信するデータを暗号化してネットワークNWに出力する。また、サーバ装置20とネットワークNWとの間に接続されたサーバ側通信制御装置31が、サーバ装置20が送信する制御データを暗号化してネットワークNWに出力する。これにより、クライアント装置10、およびサーバ装置20を変更することなく、ネットワークNWを流れる撮像データの安全性を向上させる。
【0030】
ここでは、クライアント側通信制御装置30、およびサーバ側通信制御装置31の構成について図3を用いて説明する。図3は、実施形態のクライアント側通信制御装置30、およびサーバ側通信制御装置31の機能構成例を示すブロック図である。クライアント側通信制御装置30、およびサーバ側通信制御装置31の機能構成は同じである。このため、以下では、一方(例えば、クライアント側通信制御装置30)の構成について説明し、他方(例えば、サーバ側通信制御装置31)の構成については説明を省略する。また、以下では、クライアント側通信制御装置30とサーバ側通信制御装置31とを区別しない場合には、単に、通信制御装置30(31)などと称する。
【0031】
図3に示すように、通信制御装置30(31)は、NW(ネットワーク)通信部32と、制御部33と、装置通信部34と、リーダライタ35と、ICカード40とを備える。
【0032】
ここで、ICカード40は、「認証部」の一例である。
【0033】
NW通信部32は、ネットワークNWに接続され、ネットワークNWを介して、他方の通信制御装置30(31)と通信を行う。
【0034】
制御部33は、例えば、CPUなどを含むプロセッサであり、通信制御装置30(31)を統括的に制御する。制御部33は、例えば、リーダライタ35を介して、ICカード40にコマンドを送信するとともに、ICカード40からレスポンスを受信する。また、制御部33は、ICカード40から受信したレスポンスに基づく情報を、NW通信部32を介して、他方の通信制御装置30(31)に送信する。また、制御部33は、NW通信部32を介して、他方の通信制御装置30(31)から受信した情報に基づいて、ICカード40にコマンドを送信する。
【0035】
装置通信部34は、装置(クライアント装置10、またはサーバ装置20)に接続され、装置と通信を行う。具体的には、クライアント側通信制御装置30の装置通信部34は、クライアント装置10に接続され、クライアント装置10からの撮像データを取得するとともに、復号された制御データをクライアント装置10に出力する。また、サーバ側通信制御装置31の装置通信部34は、サーバ装置20に接続され、サーバ装置20からの制御データを取得するとともに、復号された撮像データをサーバ装置20に出力する。
【0036】
リーダライタ35は、ICカード40のコンタクト部36を介して、ICカード40の間の通信を行う。
【0037】
ICカード40は、例えば、プラスチックのカード基材に、ICモジュール41を実装して形成されている。すなわち、ICカード40は、ICモジュール41と、ICモジュール41が埋め込まれたカード基材とを備える。また、ICカード40は、通信制御装置30(31)に着脱可能に装着され、コンタクト部36を介して通信制御装置30(31)と通信可能である。
【0038】
ICカード40は、例えば、通信制御装置30(31)が送信したコマンド(処理要求)を、コンタクト部36を介して受信し、受信したコマンドに応じた処理(コマンド処理)を実行する。そして、ICカード40は、コマンド処理の実行結果であるレスポンス(処理応答)を通信制御装置30(31)にコンタクト部36を介して送信する。
【0039】
ICモジュール41は、コンタクト部36と、ICチップ42とを備える。コンタクト部36は、ICカード40が動作するために必要な各種信号の端子を有している。ここで、各種信号の端子は、電源電圧、クロック信号、リセット信号などを通信制御装置30(31)から供給を受ける端子、及び、通信制御装置30(31)と通信するためのシリアルデ―タ入出力端子(SIO端子)を有する。ICチップ42は、例えば、1チップのマイクロプロセッサなどのLSI(Large Scale Integration)である。
【0040】
【0041】
ICカード40は、コンタクト部36と、ICチップ42とを備えたICモジュール41を備えている。そして、ICチップ42は、UART(Universal Asynchronous Receiver Transmitter)43と、CPU44と、ROM(Read Only Memory)45と、RAM(Random Access Memory)46と、EEPROM(Electrically Erasable Programmable ROM)47とを備える。また、各構成(43から47)は、内部バスBSを介して接続されている。
【0042】
UART43は、上述したSIO端子を介して、通信制御装置30(31)とシリアルデータ通信を行う。UART43は、SIO端子を介して受信したシリアルデータ信号をパラレル変換したデータ(例えば、1バイトのデータ)を内部バスBSに出力する。また、UART43は、内部バスBSを介して取得したデータをシリアル変換して、SIO端子を介して通信制御装置30(31)に出力する。UART43は、例えば、SIO端子を介してコマンドを通信制御装置30(31)から受信する。また、UART43は、SIO端子を介してレスポンスを通信制御装置30(31)に送信する。
【0043】
CPU44は、ROM45又はEEPROM47に記憶されているプログラムを実行して、ICカード40の各種処理を行う。CPU44は、例えば、コンタクト部36を介して、UART43が受信したコマンドに応じたコマンド処理を実行する。
【0044】
ROM45は、例えば、マスクROMなどの不揮発性メモリであり、ICカード40の各種処理を実行するためのプログラム、及びコマンドテーブルなどのデータを記憶する。RAM46は、例えば、SRAM(Static RAM)などの揮発性メモリであり、ICカード40の各種処理を行う際に利用されるデータを一時記憶する。EEPROM47は、例えば、電気的に書き換え可能な不揮発性メモリである。EEPROM47は、ICカード40が利用する各種データを記憶する。EEPROM47は、例えば、ICカード40を利用した各種サービス(アプリケーション)に使用される情報を記憶する。
【0045】
次に、ICカード40の構成について、図5を用いて説明する。図5は、実施形態のICカード40の機能構成例を示すブロック図である。ICカード40は、通信部400と、制御部401と、記憶部404とを備える。ここで、図5に示されるICカード40の各部は、図4に示されるICカード40のハードウェアを用いて実現される。
【0046】
通信部400は、例えば、UART43と、CPU44と、ROM45に記憶されているプログラムとにより実現され、コンタクト部36を介して、例えば、通信制御装置30(31)との間でコマンド及びレスポンスの送受信を行う。すなわち、通信部400は、所定の処理を要求するコマンド(処理要求)を通信制御装置30(31)から受信するとともに、コマンドに対するレスポンス(処理応答)を通信制御装置30(31)に送信する。通信部400は、UART43を介して通信制御装置30(31)から受信した受信データをRAM46に記憶させる。また、通信部400は、RAM46に記憶されている送信データを、UART43を介して通信制御装置30(31)に送信する。
【0047】
制御部401は、例えば、CPU44と、RAM45と、ROM46又はEEPROM47とにより実現され、ICカード40を統括的に制御する。制御部401は、コマンド処理部402と、暗号化復号部403とを備える。
【0048】
ここで、コマンド処理部402が行う処理は、「認証処理」の一例である。また、暗号化復号部403が行う処理は、「暗号化復号処理」の一例である。
【0049】
コマンド処理部402は、各種コマンド処理を実行する。コマンド処理部402は、例えば、後述するHTTPSリクエストを要求するコマンド処理として、SSL/TLSハンドシェイクを行う。SSL/TLSハンドシェイクでは、暗号化された通信に必要な鍵情報等の交換、および通信先の装置との相互認証を行う。ここで、相互認証とは、クライアント側通信制御装置30とサーバ側通信制御装置31とが、通信を行う前に、互いに正当に認証された装置であることを相互に確認する認証処理である。
【0050】
暗号化復号部403は、データを暗号化する処理、および暗号化されたデータを復号する処理を実行する。暗号化復号部403は、通信部400を介して取得した装置(クライアント装置10、またはサーバ装置20)により出力されたデータを暗号化する。また、暗号化復号部403は、通信部400を介して取得したネットワークNWからの暗号化されたデータを復号する。
【0051】
記憶部404は、例えば、EEPROM47により構成された記憶部であり、証明書情報記憶部405と、秘密情報記憶部406とを備える。証明書情報記憶部405は、通信制御管理装置50が発行した装置(クライアント装置10、またはサーバ装置20)に対する証明書を記憶する。具体的には、クライアント側通信制御装置30に装着されるICカード40の証明書情報記憶部405には、クライアント証明書を示す情報が記憶される。また、サーバ側通信制御装置31に装着されるICカード40の証明書情報記憶部405には、サーバ証明書を示す情報が記憶される。
【0052】
秘密情報記憶部406は、通信制御管理装置50が発行した装置(クライアント装置10、またはサーバ装置20)に対する秘密鍵を記憶する。具体的には、クライアント側通信制御装置30に装着されるICカード40の秘密情報記憶部406には、クライアント側通信制御装置30に対して発行された秘密鍵を示す情報が記憶される。また、サーバ側通信制御装置31に装着されるICカード40の証明書情報記憶部405には、サーバ側通信制御装置31に対して発行された秘密鍵を示す情報が記憶される。
【0053】
ここでは、通信制御管理装置50の構成について、図6を用いて説明する。図6は、実施形態の通信制御管理装置50の機能構成例を示すブロック図である。通信制御管理装置50は、例えば、NW(ネットワーク)通信部500と、制御部501と、記憶部506とを備える。
【0054】
NW通信部500は、ネットワークNWに接続され、ネットワークNWを介して、通信制御装置30(31)と通信を行う。
【0055】
制御部501は、例えば、CPUなどを含むプロセッサであり、通信制御管理装置50を統括的に制御する。制御部501は、主に通信制御装置30(31)の正当性を認めるプライベート認証局として機能する。制御部501は、鍵生成部502と、証明書発行部503と、証明書更新部504と、証明書管理部505と、管理部509とを備える。
【0056】
鍵生成部502は、例えば、通信制御装置30(31)からの認証申請に基づいて、後述する証明書に含まれる公開鍵に対応する秘密鍵の発行を行う。
証明書発行部503は、例えば、通信制御装置30(31)からの認証申請に基づいて、通信制御装置30(31)の正当性を認める証明書の発行を行う。証明書には、公開鍵と、通信制御装置30(31)の所有者を示す情報が含まれる。
証明書発行部503は、例えば、通信制御装置30(31)からの認証申請に基づいて、通信制御装置30(31)の正当性を認める証明書の発行を行う。証明書には、公開鍵と、通信制御装置30(31)の所有者を示す情報が含まれる。
【0057】
証明書更新部504は、有効期限が渡過した証明書に対して新たな有効期限を設定することにより、証明書の更新を行う。証明書更新部504は、例えば、通信制御装置30(31)からの更新申請に基づいて、当該通信制御装置30(31)に対して発行した証明書の有効期限を延長させた証明書を発行し、発行した証明書を通信制御装置30(31)に対して送信する。発行した証明書を示す情報が通信制御装置30(31)により受信され、通信制御装置30(31)のICカード40の証明書情報記憶部405に記憶されることで、通信制御装置30(31)の証明書の有効期限が延長される。
【0058】
証明書管理部505は、既に発行済みの証明書に対する管理を行う。証明書管理部505は、例えば、通信制御装置30(31)に装着されたICカード40の改ざん、または盗難等により相互認証において互いの正当性が証明されない場合に、通信制御装置30(31)に対して発行した証明書を無効化する処理を行う。また、証明書管理部505は、通信制御装置30(31)からの問い合わせに基づいて、通信制御装置30(31)、および他の通信装置に対して発行した証明書が証明書管理部505により発行されたものか否か応答するようにしてもよい。また、証明書管理部505は、定期的に、発行済みの証明書が正当な通信制御装置30(31)に使用されているかを確認するようにしてもよい。
【0059】
管理部509は、通信制御装置30(31)を管理する。例えば、管理部509は、通信制御装置30(31)が行う相互認証を、ネットワークNWを介して遠隔制御する。
【0060】
記憶部506は、例えば鍵情報記憶部507と、証明書情報記憶部508とを備える。鍵情報記憶部507は、例えば既に発行済みの公開鍵や、秘密鍵を示す情報を記憶する。証明書情報記憶部508は、例えば既に発行済みの証明書を示す情報を記憶する。鍵情報記憶部507と、証明書情報記憶部508とは、例えば、鍵生成部502が秘密鍵を発行する際、証明書発行部503が証明書を発行する際などに参照される。また、鍵情報記憶部507には、鍵生成部502が発行した秘密鍵を示す情報が記憶される。また、証明書情報記憶部508には、証明書発行部503が発行した証明書を示す情報が記憶される。
【0061】
【0062】
クライアント装置10は、撮像データをサーバ装置20に送信する場合、まずサーバ装置20に対するHTTPリクエストを送信する(ステップS1)。クライアント装置10が送信したHTTPリクエストは、クライアント側通信制御装置30により取得される(ステップS2)。
【0063】
クライアント側通信制御装置30は、クライアント装置10により送信されたHTTPリクエストを取得すると、サーバ側通信制御装置31に対して、HTTPSのリクエスト(ClientHello)を送信する(ステップS3)。これにより、クライアント側通信制御装置30とサーバ側通信制御装置31との間のハンドシェイクが開始される(ステップS4)。
【0064】
具体的には、クライアント側通信制御装置30が送信するClientHelloには、例えば、TLSのバージョン、および通信に用いる暗号方式やアルゴリズムのリストを示す情報が含まれる。サーバ側通信制御装置31は、ClientHelloに対する応答として、クライアント側通信制御装置30に対しHTTPSのレスポンス(ServerHello)を送信する。サーバ側通信制御装置31が送信するServerHelloには、例えばClientHelloで提示された選択肢の中でサーバ装置20が選択した情報が含まれる。換言すると、クライアント側通信制御装置30からの提示に対し、サーバ側通信制御装置31が選択を行うことで、通信における具体的な暗号化アルゴリズムが決定される。
【0065】
そして、サーバ側通信制御装置31は、暗号化通信に用いる共通鍵に必要な情報を送る。共通鍵に必要な情報には、例えば、サーバ装置20に対して発行された公開鍵とその証明書を示す情報、およびクライアント装置10の公開鍵とその証明書を送ることを要求する情報が含まれる。クライアント側通信制御装置30は、サーバ側通信制御装置31に対して、自装置に対して発行された公開鍵とその証明書、及び暗号化通信に用いる共通鍵に必要な情報を送る。
クライアント側通信制御装置30とサーバ側通信制御装置31との間の相互認証は、例えば次のように行われる。クライアント側通信制御装置30は、今までに受信したServerHello等から署名を生成し、サーバ側通信制御装置31に送信する。サーバ側通信制御装置31は、クライアント側通信制御装置30から受信した署名を、クライアント側通信制御装置30から受信した証明書に基づいて検証する。サーバ側通信制御装置31は、検証が成功すると、その証明書が間違いなくクライアント側通信制御装置30のものであると判定する。また、サーバ側通信制御装置31は、今までに受信したClientHello等から署名を生成し、クライアント側通信制御装置30に送信する。クライアント側通信制御装置30は、サーバ側通信制御装置31から受信した署名を、サーバ側通信制御装置31から受信した証明書に基づいて検証する。クライアント側通信制御装置30は、検証が成功すると、その証明書が間違いなくサーバ側通信制御装置31のものであると判定する。
クライアント側通信制御装置30とサーバ側通信制御装置31との間の相互認証が正しく行われると、クライアント側通信制御装置30とサーバ側通信制御装置31とは、それぞれ暗号化に用いる共通鍵を生成して交換する。
クライアント側通信制御装置30とサーバ側通信制御装置31との間の相互認証は、例えば次のように行われる。クライアント側通信制御装置30は、今までに受信したServerHello等から署名を生成し、サーバ側通信制御装置31に送信する。サーバ側通信制御装置31は、クライアント側通信制御装置30から受信した署名を、クライアント側通信制御装置30から受信した証明書に基づいて検証する。サーバ側通信制御装置31は、検証が成功すると、その証明書が間違いなくクライアント側通信制御装置30のものであると判定する。また、サーバ側通信制御装置31は、今までに受信したClientHello等から署名を生成し、クライアント側通信制御装置30に送信する。クライアント側通信制御装置30は、サーバ側通信制御装置31から受信した署名を、サーバ側通信制御装置31から受信した証明書に基づいて検証する。クライアント側通信制御装置30は、検証が成功すると、その証明書が間違いなくサーバ側通信制御装置31のものであると判定する。
クライアント側通信制御装置30とサーバ側通信制御装置31との間の相互認証が正しく行われると、クライアント側通信制御装置30とサーバ側通信制御装置31とは、それぞれ暗号化に用いる共通鍵を生成して交換する。
【0066】
サーバ側通信制御装置31から送付されたサーバ装置20に対して発行された公開鍵とその証明書が、クライアント側通信制御装置30に許容される証明書であれば、サーバ側通信制御装置31は、クライアント側通信制御装置30から送付された公開鍵とその証明書が、サーバ側通信制御装置31に許容される証明書であれば、ハンドシェイクを終了する。
【0067】
サーバ側通信制御装置31は、クライアント側通信制御装置30とのハンドシェイクが確立されると、サーバ装置20に対し、HTTPリクエストを送信する(ステップS5)。HTTPリクエストは、ステップS1においてクライアント装置10から送信されるHTTPリクエストである。
【0068】
サーバ側通信制御装置31により送信されたHTTPリクエストは、サーバ装置20により受信される(ステップS6)。このとき、サーバ装置20は、クライアント装置10からHTTPリクエストが要求されたと認識する。このため、サーバ装置20は、クライアント装置10に対しするHTTPレスポンスを応答する(ステップS7)。サーバ装置20が送信したHTTPレスポンスは、サーバ側通信制御装置31により取得される(ステップS8)。
【0069】
サーバ側通信制御装置31は、取得したサーバ装置20からのHTTPレスポンスを、ステップS4のハンドシェイクにおいて決定された共通鍵を用いて暗号化する(ステップS9)。サーバ側通信制御装置31により暗号化されたHTTPレスポンスは、ネットワークNWを介してクライアント側通信制御装置30に受信される(ステップS10)。クライアント側通信制御装置30は、受信したHTTPレスポンスを、共通鍵を用いて復号する(ステップS11)。クライアント側通信制御装置30により復号されたHTTPレスポンスは、クライアント装置10に取得される(ステップS12)。クライアント装置10は、復号されたHTTPレスポンスを受信する(ステップS13)。このとき、クライアント装置10は、サーバ装置20からHTTPレスポンスが応答されたと認識する。このため、クライアント装置10は、サーバ装置20に対し、撮像データを送信する(ステップS14)。
【0070】
クライアント装置10が送信した撮像データは、クライアント側通信制御装置30により取得される(ステップS15)。クライアント側通信制御装置30は、クライアント装置10により送信された撮像データを、共通鍵を用いて暗号化する(ステップS16)。クライアント側通信制御装置30により暗号化された撮像データは、ネットワークNWを介してサーバ側通信制御装置31に受信される(ステップS17)。
【0071】
サーバ側通信制御装置31は、受信した撮像データを、共通鍵を用いて復号する(ステップS18)。サーバ側通信制御装置31により復号された撮像データは、サーバ装置20にとり取得される(ステップS19)。サーバ装置20は、復号された撮像データを受信する(ステップS20)。このとき、サーバ装置20は、クライアント装置10からの撮像データを受信したと認識する。
【0072】
なお、上記フローチャートのステップS4において、クライアント側通信制御装置30とサーバ側通信制御装置31との間の相互認証が正しく行われなかった場合、クライアント側通信制御装置30は、通信先との通信を許可しない。具体的には、クライアント側通信制御装置30は、通信先から送信された情報をクライアント装置10に出力しない。相互認証が正しく行われなかった場合、通信先がサーバ側通信制御装置31に見せかけた不正な通信装置である可能性があるためである。この場合、クライアント側通信制御装置30は、例えば、相互認証が正しく行われなかった場合の通信記録を通信制御管理装置50に送信するようにしてもよい。これより、通信制御管理装置50は相互認証が正しく行われなかった場合の通信記録を取得することができ、管理下にあるクライアント側通信制御装置30に対する不正な通信のパターンや頻度を把握することで、ネットワークの異常を監視することができる。
【0073】
また、クライアント側通信制御装置30は、上記フローチャートのステップS4において行われるハンドシェイクにおいて相互認証の代わりにクライアント装置10に対する通信を許可する通信機器の情報を示す送信先リストに基づいて、通信先との通信を許可するか否かを判定するようにしてもよい。送信先リストに示される通信機器の情報は、例えばURL(Uniform Resource Locator)である。クライアント側通信制御装置30の制御部33は、通信先のURLが送信先リストに登録されているURLである場合に当該通信先との通信を許可し、送信先リストに登録されていない場合には通信を許可しない。
【0074】
また、制御部33は、送信先リストを更新するようにしてもよい。制御部33は、例えば、一定期間にクライアント装置10に対する通信を許可された通信先のURL、および許可されなかった通信先URLを記憶させる。そして、制御部33は、例えば、送信先リストに登録されたURLのうち、一定期間に通信が行われた通信先のURLを再度登録する等することにより送信先リストを更新する。あるいは、クライアント側通信制御装置30は、一定期間に通信を許可された通信先URL、および許可されなかった通信先URLを通信制御管理装置50に送信するようにしてもよい。この場合、例えば、通信制御管理装置50は、クライアント側通信制御装置30と通信を行った通信先URLに基づいて、送信先リストを更新するようにしてもよい。通信制御管理装置50により送信先リストが更新されることで、通信制御管理装置50が管理下にあるクライアント側通信制御装置30と通信する通信機器を一括して管理することができる。
【0075】
また、クライアント側通信制御装置30は、ステップS4において行われるハンドシェイクが確立した後にクライアント装置10に対して送信された情報(例えば、ファームウェアの更新プログラム)の内容が正しいか否かの検証を行うようにしてもよい。例えば、クライアント側通信制御装置30の制御部33は、ネットワークNWを介してクライアント装置10のファームウェアの更新プログラムが送信された場合、検証用の鍵(検証鍵)を用いて検証する。この場合、通信制御管理装置50は、例えば、クライアント側通信制御装置30およびサーバ側通信制御装置31それぞれに検証鍵を送信するようにしてもよい。
【0076】
例えば、サーバ側通信制御装置31は、クライアント装置10へ送信する情報(平文)からハッシュ値を生成し、生成したハッシュ値を検証鍵で暗号化する。そして、サーバ側通信制御装置31は、平文と暗号化したハッシュ値をさらに秘密鍵で暗号してクライアント装置10へ送信する。また、クライアント側通信制御装置30は共通鍵を用いて情報を復号化し、平文と暗号化されたハッシュ値とを取得する。
【0077】
また、クライアント側通信制御装置30は、取得した平文からハッシュ値を生成するとともに、暗号化されたハッシュ値を検証鍵で復号する。クライアント側通信制御装置30は、平文から生成したハッシュ値と、復号化したハッシュ値とが等しい値である場合、クライアント装置10に対して送信された情報は正しい内容であると判定する。この場合、クライアント側通信制御装置30は、復号した情報(平文)をクライアント装置10に出力する。一方、クライアント側通信制御装置30は、平文から生成したハッシュ値と復号化したハッシュ値が等しい値でない場合、クライアント装置10に対して送信された情報は、サーバ装置20またはサーバ側通信制御装置31に見せかけた不正な通信装置から送信された不正な情報である可能性があると判定する。この場合、クライアント側通信制御装置30は、復号した情報(平文)をクライアント装置10に出力しない。
【0078】
これにより、クライアント装置10は、検証済みである正しい内容であることが検証された情報のみを受け取ることができる。また、通常、クライアント装置10がファームウェアを更新する際の更新プログラムの内容が正しいか否かの判定を行うと考えられるが、クライアント装置10に代わりサーバ側通信制御装置31がクライアント装置10に対して送信された情報の内容を検証することにより、クライアント装置10の処理負担を軽減させることが可能となる。
【0079】
以上説明したように、実施形態の通信制御システム1は、クライアント装置10とネットワークNWとの間に接続されるクライアント側通信制御装置30と、サーバ装置20とネットワークNWとの間に接続されるサーバ側通信制御装置31と、を備える。クライアント側通信制御装置30は、ICカード40と、制御部33を有する。制御部33は、ICカード40に、相互認証と暗号化復号処理とのうち少なくとも一方の処理を依頼し、暗号化された情報をサーバ側通信制御装置31に送信し、復号された情報をクライアント装置10に送信する。サーバ側通信制御装置31は、ICカード40と、制御部33を有する。制御部33は、ICカード40に、相互認証と暗号化復号処理とのうち少なくとも一方の処理を依頼し、暗号化された情報をクライアント側通信制御装置30に送信し、復号された情報をサーバ装置20に送信する。この場合、通信制御装置30(31)の制御部33は、ICカード40に相互認証の処理のみをさせてもよいし、暗号化復号処理のみをさせてもよいし、相互認証と暗号化復号処理との両方の処理をさせてもよい。
【0080】
これにより、実施形態の通信制御システム1は、社会インフラシステムを変更することなく、社会インフラシステムの安全性を向上させることができる。クライアント装置10からサーバ装置20に対して送信されたHTTPプロトコルの撮像データ(いわゆる平文)が、クライアント側通信制御装置30により、例えば、SSL/TLSプロトコルと組み合わされて、安全性が向上されたHTTPSに置き換えられるためである。また、サーバ装置20かクライアント装置10らに対して送信された制御データは、暗号化されるが、クライアント側通信制御装置30により復号されて、クライアント装置10に受信されるため、クライアント装置10に復号させる処理を行わせる必要がなく、既存の装置を変更することなくそのまま利用することができる。
【0081】
また、実施形態の通信制御システム1では、クライアント側通信制御装置30とサーバ側通信制御装置31とが相互認証を行うため、いずれか一方方向のみの認証を行う場合よりも安全性を向上させることができる。一般的なクライアント端末とサーバ端末においては、サーバ端末に対して不特定多数のクライアント端末が通信を行うため、当該不特定多数のクライアント端末に対して正当なクライアント証明書を発行して管理し続けることは現実的ではない。しかしながら、社会インフラシステムにおいては、クライアント装置10とサーバ装置20の関係は明確に特定されている。このため、クライアント側通信制御装置30とサーバ側通信制御装置31とが相互認証を行うことが可能であり、安全性を向上させることができる。
【0082】
クライアント証明書を有していないクライアント端末の場合、サーバ端末と通信を行うために、サーバ端末が発行したIDやパスワードの入力を求められることがある。このようなパスワード認証においては、安全性を維持するために、パスワードに対し文字と数字を組合せた長文の文字列が要求されたり、定期的なパスワードの変更等が求められたりすることがある。しかしながら、覚えなければならないパスワードが増えると、管理が面倒になってしまい、パスワードをメモに残したり、ウェブブラウザに記録させたりするなど、かえってパスワードが漏洩してしまう場合があった。
【0083】
これに対し、実施形態の通信制御システム1では、クライアント側通信制御装置30がクライアント証明書を有することにより、サーバ装置20との間で確実に相互認証を行うことができる。このため、パスワード認証が不要となる。このため、パスワードを入力する手間や定期的に変更して管理する手間がなくなり、ユーザの利便性が向上する。つまり、ユーザに負担をかけることなく安全性を維持することができる。
【0084】
また、クライアント証明書を有していないクライアント端末が、IDやパスワードによる認証に基づいてサーバ端末と通信を行う場合、IDとパスワードが正しく入力できてしまえば、だれでもサーバ端末と通信することができてしまう。このため、クライアント端末を不正に乗っ取り、サーバ端末へ不正にアクセスすることが可能となってしまう。このため例えば、不正に乗っ取られたサーバ端末によってクライアント端末の機能が制限され、解除するために身代金が要求されるといったランサムウェアに感染する可能性があった。
【0085】
これに対し、実施形態の通信制御システム1では、クライアント装置10とサーバ装置20との間で、通信制御装置30(31)を介した相互認証が行われることにより、クライアント装置10やサーバ装置20が不正に乗っ取られることがない。つまり、実施形態の通信制御システム1では、ランサムウェアに対する対策も可能となる。
【0086】
また、例えばネットワーク内に、管理者が不在の端末(野良デバイスともいう)がある場合、その端末が不正に乗っ取られることにより、その端末がマルウェア等の攻撃を行う不正な端末として利用されてしまう場合があった。これに対し、実施形態の通信制御システム1では、クライアント装置10とサーバ装置20との間で、通信制御装置30(31)を介した相互認証が行われることにより、ネットワークNWの内部にある管理者が不在の端末が不正に乗っ取られて攻撃に利用された場合であっても、マルウェア等に感染することを防止することができる。
【0087】
また、実施形態の通信制御システム1では、サーバ装置20がサーバ側通信制御装置31に接続されており、サーバ装置20の内部で認証処理を行わない。このため、サーバ装置20の内部で証明書等を保持する必要がなく、サーバ側通信制御装置31に接続されたサーバ装置20が通信制御管理装置50の管理下であることが明確となる。もっとも、サーバ装置20が、すでにサーバ側通信制御装置31に相当する機能部を有している場合には、必ずしもサーバ装置20とネットワークNWとの間にサーバ側通信制御装置31が物理的に接続される必要はない。この場合、サーバ装置20が元々有するサーバ側通信制御装置31に相当する機能部により、クライアント側通信制御装置30との間の認証処理が行われる。
【0088】
また、実施形態の通信制御システム1では、ICカード40の制御部401において、相互認証と暗号化復号処理とのうち少なくともいずれか一方を行わせる。このため、通信制御装置30(31)の装置コストを抑制することができる。
【0089】
なお、実施形態の通信制御システム1においては、通信制御装置30(31)に装着されたICカード40が、相互認証と暗号化復号処理とのうち少なくともいずれか一方の処理を行う例を説明したが、当該処理を行う機能部がICカードに限定されることはない。実施形態のICカード40としては、秘密鍵およびクライアント証明書(あるいは、サーバ証明書)を記憶する記憶機能と、相互認証と暗号化復号処理とのうち少なくともいずれか一方を行う処理機能を有している機能部であればよく、例えば、ICチップが搭載されたSIMカードであってもよい。
【0090】
また、実施形態の通信制御システム1においては、クライアント側通信制御装置30のICカード40は、クライアント側通信制御装置30に対して着脱可能に装着される。これにより、実施形態の通信制御システム1においては、ICカード40とクライアント側通信制御装置30とが分離可能であるため、どちらか一方を交換する場合には、当該一方のデバイスを交換すればよい。例えば、ICカード40とクライアント側通信制御装置30とが一体化された場合には、ICカード40に相当する部分を交換する場合には、クライアント側通信制御装置30全体を交換しなければならないが、この場合と比較して、実施形態の通信制御システム1では、クライアント側通信制御装置30が有するICカード40等の特定の部分を交換する場合のメンテナンスコストを抑制することができる。
【0091】
また、実施形態の通信制御システム1は、通信制御管理装置50を更に備え、通信制御管理装置50は、クライアント側通信制御装置30に装着されたICカード40に記憶させる秘密鍵、及びクライアント証明書をクライアント側通信制御装置30に送信し、サーバ側通信制御装置31に装着されたICカード40に記憶させる秘密鍵、及びサーバ証明書をサーバ側通信制御装置31に送信する。これにより、実施形態の通信制御システム1は、通信制御管理装置50により発行された正当な秘密鍵、証明書を用いて、ハンドシェイクを行い、共通鍵を決定することができ、上述した効果を奏する他、社会インフラシステムの安全性を更に向上させることができる。
【0092】
以上、実施形態の通信制御システム1について説明したが、実施形態の構成は、上記例に限定されない。例えば、通信制御装置30(31)は、処理の負荷に基づき、ハードウェアにより通信制御装置30(31)の機能を実現するHSM(Hardware Security Module)を用いてもよい。
【0093】
また、実施形態の通信制御システム1においては、SSL/TLSプロトコルを用いたセキュアな通信を常時行うようにしてもよいし、SSL/TLSプロトコルを用いた通信を行うか否かを選択可能にしてもよい。また、クライアント装置10とサーバ装置20との間における双方向の通信のうち一方の方向の通信のみをSSL/TLSプロトコルを用いた通信としてもよい。また、SSL/TLSプロトコルを用いたセキュアな通信を常時行うようにしてもよいし、SSL/TLSプロトコルを用いた通信を行うか否かを選択可能にしてもよい。
SSL/TLSプロトコルを用いた通信を常時行うようにすることで、通信制御装置30(31)により認証された正当な通信制御装置30(31)とは異なる装置からの通信を遮断することができる。このため、クライアント装置10やサーバ装置20に対する不正なアクセスや、クライアント装置10やサーバ装置20がマルウェアに感染することを抑止することができる。
SSL/TLSプロトコルを用いた通信を常時行うようにすることで、通信制御装置30(31)により認証された正当な通信制御装置30(31)とは異なる装置からの通信を遮断することができる。このため、クライアント装置10やサーバ装置20に対する不正なアクセスや、クライアント装置10やサーバ装置20がマルウェアに感染することを抑止することができる。
【0094】
また、実施形態の通信制御システム1においては、SSL/TLSプロトコルを用いた通信を常時行い、クライアント装置10やサーバ装置20に対する不正なアクセスを記憶するようにしてもよい。この場合、通信制御管理装置50に不正なアクセスの記録が送信されるようにしてもよい。通信制御管理装置50は、不正なアクセスの有無を認識することができ、システム全体に対する大規模攻撃が開始される前の予兆の段階を検出して対策することが可能となる。
【0095】
また、実施形態の通信制御システム1においては、通信制御装置30(31)は、定期的に、自装置が接続されているクライアント装置10またはサーバ装置20との接続が維持されているか否かを確認するようにしてもよい。この場合、通信制御管理装置50に接続状態を示す情報が送信されるようにしてもよい。通信制御管理装置50は、通信制御装置30(31)から接続状態を示す情報が受信できない場合などには、通信制御装置30(31)がクライアント装置10またはサーバ装置20から切り離された判断し、当該切り離された通信制御装置30(31)を無効とする。こうすることで通信制御管理装置50は、切り離された通信制御装置30(31)が不正な装置に接続されてなりすましに悪用されることを抑制する。
【0096】
また、実施形態の通信制御システム1においては、通信制御装置30(31)に装着するICカード40に、CC(Common Criteria/ISO15408)認証を取得したセキュアエレメントと呼ばれる耐タンパ性の高いチップを搭載してもよい。このチップを用いて、秘密鍵や公開鍵を含む証明書を記憶させることにより、非常に高い安全性を維持することができる。
【0097】
また、実施形態の通信制御システム1においては、サーバ装置20や通信制御管理装置50等から、通信制御装置30(31)を介して、クライアント装置10のプログラムを更新させるようにしてもよい。通信制御装置30(31)を介してプログラムの更新(ファームウェアのアップデート)が行われることにより、安全にクライアント装置10の機能を更新させることができる。このようにサーバ装置20からクライアント装置10に対してファームウェアが送信される場合、サーバ装置20から送信されるファームウェアには、例えばサーバ側通信制御装置31により暗号化されたサーバ装置20の署名が付与される。この場合、クライアント装置10では、クライアント側通信制御装置30により署名が復号されることにより、送信されたファームウェアが間違いなくサーバ装置20から送信されたファームウェアであると判定することができる。これにより、あたかもサーバ装置20であるかのように装う不正な端末から、不正なファームウェアがクライアント装置10に送信されてしまった場合であっても、クライアント装置10に対し不正なファームウェアに基づく誤った更新がなされてしまうことを排除することができる。
【0098】
また、このように通信制御装置30(31)を介して通信が行われることにより、サーバ装置20や通信制御管理装置50等からクライアント装置10にファームウェアを安全に更新することができるため、作業員が複数のクライアント装置10に対して物理的に各々のクライアント装置10が設置されている場所まで移動してファームウェアのアップデート作業を行う場合と比較して、作業コストを低減させることも可能である。
【0099】
また、実施形態の通信制御システム1においては、サーバ装置20や通信制御管理装置50等から、通信制御装置30(31)を介して、クライアント装置10の起動や停止を行ってもよい。通信制御装置30(31)を介して起動や停止(リモートアクティベーション)が行われることにより、安全にクライアント装置10の機能を更新させることができ、セキュアな遠隔制御を実現させることができる。
【0100】
また、実施形態の通信制御システム1においては、クライアント装置10、およびサーバ装置20が有線により通信する場合を例に説明したが、これに限定されることはない。クライアント装置10、およびサーバ装置20のうち少なくともいずれかが無線LAN等により無線通信を行う装置であってもよい。例えば、クライアント装置10が無線通信によりサーバ装置20と通信を行う場合、クライアント側通信制御装置30は、無線による通信機能を有し、クライアント装置10により送信されるデータを暗号化し、暗号化したデータを、無線通信によりサーバ装置20に送信する。
【0101】
なお、上述した実施形態の通信制御システム1において、クライアント側通信制御装置30がサーバ側通信制御装置31と通信を行う例を説明したが、クライアント側通信制御装置30の通信先はこれに限定されることはない。例えば、クライアント側通信制御装置30-1は、クライアント側通信制御装置30-2と通信を行ってもよい。クライアント側通信制御装置30-1は、クライアント側通信制御装置30-2から通信開始の合図を受信した場合、まずクライアント側通信制御装置30-2との間で相互認証を行い、クライアント側通信制御装置30-2が正当な通信端末であることを確認する。そして、相互認証が正しく行われた場合、クライアント側通信制御装置30-1は、クライアント側通信制御装置30-2から受信した情報をクライアント装置10に出力する。暗号を使用して送信データに認証子が付与されることにより、通信情報の改ざんの検出及び送信者の特定が可能となる。このため、本実施形態の通信制御システム1においては、クライアント側通信制御装置30とサーバ側通信制御装置31との通信、及びクライアント側通信制御装置30同士の通信において、「正しい相手から」、「改ざんされていないデータを受け取る」ことを確実にすることができる。
【0102】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
【符号の説明】
【0103】
1…通信制御システム、10…クライアント装置、20…サーバ装置、30クライアント側通信制御装置、31…サーバ側通信制御装置、40…ICカード、402…コマンド処理部、403…暗号化復号部、405…証明書情報記憶部、406…秘密情報記憶部。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】