知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-11-25
(45)【発行日】2024-12-03
(54)【発明の名称】通信システム、遠隔端末装置及びその認証方法
(51)【国際特許分類】
H04L 9/32 20060101AFI20241126BHJP
G06F 21/44 20130101ALI20241126BHJP
G06F 21/64 20130101ALI20241126BHJP
【FI】
H04L9/32 200A
H04L9/32 200F
G06F21/44
G06F21/64
【請求項の数】
18
【外国語出願】
(21)【出願番号】P 2023204979
(22)【出願日】2023-12-04
【審査請求日】2024-01-02
(31)【優先権主張番号】112144033
(32)【優先日】2023-11-15
(33)【優先権主張国・地域又は機関】TW
(73)【特許権者】
【識別番号】506080739
【氏名又は名称】四零四科技股▲ふん▼有限公司
【氏名又は名称原語表記】Moxa Inc.
(74)【代理人】
【識別番号】100204490
【弁理士】
【氏名又は名称】三上 葉子
(72)【発明者】
【氏名】梁 昶▲ウェイ▼
(72)【発明者】
【氏名】趙 詣威
【審査官】▲柳▼谷 侑
(56)【参考文献】
【文献】特開2016-143396(JP,A)
【文献】特開2016-032300(JP,A)
【文献】中国特許出願公開第111338663(CN,A)
【文献】特開2006-085714(JP,A)
【文献】特開2011-222010(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/00-21/88
G06F 13/20-13/42
G09C 1/00- 5/00
H03J 9/00- 9/06
H04B 7/24- 7/26
H04K 1/00- 3/00
H04L 9/00- 9/40
H04Q 9/00- 9/16
H04W 4/00-99/00
(57)【特許請求の範囲】
【請求項1】
第1の処理部と、前記第1の処理部に接続された第1の記憶部と、
を含む処理モジュールを備え、
トリガ部が有効になることに応答して、前記第1の処理部は、プロビジョニングモードで動作し、入出力モジュールと前記処理モジュールが信頼を確立できるようにし、
前記トリガ部が無効になることに応答して、前記第1の処理部は、動作モードで動作し、まだ信頼を確立していない別の入出力モジュールが前記処理モジュールに接続することを禁止し、
前記第1の処理部が前記プロビジョニングモードで動作することに応答して、前記第1の処理部は、前記処理モジュールと前記入出力モジュールが互いの証明書を取得するように、前記入出力モジュールに通知信号を送信する、
遠隔端末装置。
【請求項2】
前記第1の処理部は、リンク層検出プロトコル(LLDP)を介して、前記入出力モジュールに前記通知信号を送信する、請求項1に記載の遠隔端末装置。
【請求項3】
前記通知信号は、前記リンク層検出プロトコルの組織固有の情報を含む、請求項2に記載の遠隔端末装置。
【請求項4】
前記処理モジュールと前記入出力モジュールが互いの証明書を取得したことに応答して、前記第1の処理部は、前記入出力モジュールに処理モジュール証明書を送信し、前記入出力モジュールから入出力モジュール証明書を受信し、前記第1の記憶部に前記入出力モジュール証明書を記憶し、
前記入出力モジュールの第2の処理部は、前記処理モジュールから前記処理モジュール証明書を受信し、前記入出力モジュールの第2の記憶部に前記処理モジュール証明書を記憶する、請求項1に記載の遠隔端末装置。
【請求項5】
前記第1の処理部が前記動作モードで動作することに応答して、前記第1の処理部は、前記入出力モジュールに第1のハンドシェイクデータを送信し、前記入出力モジュールから第2のハンドシェイクデータを受信し、
前記第1の処理部は、前記第1の記憶部に記憶された第1の秘密鍵に従って前記第2のハンドシェイクデータを復号し、前記第1の記憶部に記憶された前記入出力モジュール証明書を検証し、前記入出力モジュールとの通信接続が確立されているかどうかを確認する、請求項4に記載の遠隔端末装置。
【請求項6】
前記入出力モジュールの前記第2の処理部は、前記第2の記憶部に記憶された第2の秘密鍵に従って前記第1のハンドシェイクデータを復号し、前記第2の記憶部に記憶された前記処理モジュール証明書を検証し、前記処理モジュールとの通信接続が確立されているかどうかを確認する、請求項5に記載の遠隔端末装置。
【請求項7】
前記処理モジュールと前記入出力モジュールは、相互トランスポート層セキュリティ通信プロトコルに基づいて互いの証明書を取得し、信頼を確立する、請求項1に記載の遠隔端末装置。
【請求項8】
前記トリガ部は物理的なボタンであり、前記処理モジュール内に配置される、請求項1に記載の遠隔端末装置。
【請求項9】
前記トリガ部は仮想ボタンであり、遠隔ネットワークインターフェース又はネットワーク管理ツールによって、遠隔操作されて有効又は無効にされる、請求項1に記載の遠隔端末装置。
【請求項10】
前記遠隔端末装置は、前記入出力モジュールをさらに備える、請求項1に記載の遠隔端末装置。
【請求項11】
前記入出力モジュールは、拡張装置内に配置される、請求項1に記載の遠隔端末装置。
【請求項12】
処理モジュールを備える遠隔端末装置の認証方法であって、トリガ部が有効になることに応答して、前記処理モジュールの第1の処理部は、プロビジョニングモードで動作し、入出力モジュールと前記処理モジュールが信頼を確立できるようにする工程と、
前記トリガ部が無効になることに応答して、前記処理モジュールの前記第1の処理部は、動作モードで動作し、まだ信頼を確立していない別の入出力モジュールが前記処理モジュールに接続することを禁止する工程と、を含み、
前記処理モジュールの前記第1の処理部が前記プロビジョニングモードで動作する前記工程は、
前記第1の処理部が前記プロビジョニングモードで動作することに応答して、前記処理モジュールと前記入出力モジュールが互いの証明書を取得するように、前記第1の処理部によって前記入出力モジュールに通知信号を送信することを含む、認証方法。
【請求項13】
前記第1の処理部は、リンク層検出プロトコルを介して前記入出力モジュールに前記通知信号を送信する、請求項12に記載の認証方法。
【請求項14】
前記通知信号は、前記リンク層検出プロトコルの組織固有の情報を含む、請求項13に記載の認証方法。
【請求項15】
前記処理モジュールと前記入出力モジュールが互いの前記証明書を取得する前記工程は、前記処理モジュールの前記第1の処理部によって、前記入出力モジュールに処理モジュール証明書を送信することと、
前記入出力モジュールの第2の処理部によって、前記処理モジュールによって送信された前記処理モジュール証明書を受信し、前記入出力モジュールの第2の記憶部に前記処理モジュール証明書を記憶することと、
前記入出力モジュールの前記第2の処理部によって、前記処理モジュールに入出力モジュール証明書を送信することと、
前記処理モジュールの前記第1の処理部によって、前記入出力モジュールによって送信された前記入出力モジュール証明書を受信し、前記処理モジュールの第1の記憶部に前記入出力モジュール証明書を記憶することと、を含む請求項12に記載の認証方法。
【請求項16】
前記第1の処理部が前記動作モードで動作する工程に応答して、前記認証方法は、
前記処理モジュールの前記第1の処理部によって、前記入出力モジュールに第1のハンドシェイクデータを送信し、前記入出力モジュールから第2のハンドシェイクデータを受信する工程と、
前記処理モジュールの前記第1の処理部によって、前記第1の記憶部に記憶された第1の秘密鍵に従って前記第2のハンドシェイクデータを復号し、前記第1の記憶部に記憶された前記入出力モジュール証明書を検証し、前記入出力モジュールとの通信接続が確立されているかどうかを確認する工程と、
前記入出力モジュールの前記第2の処理部によって、前記第2の記憶部に記憶された第2の秘密鍵に従って前記第1のハンドシェイクデータを復号し、前記第2の記憶部に記憶された前記処理モジュール証明書を検証し、前記処理モジュールとの通信接続が確立されているかどうかを確認する工程と、をさらに含む、請求項15に記載の認証方法。
【請求項17】
前記処理モジュールと前記入出力モジュールは、相互トランスポート層セキュリティ通信プロトコルに基づいて互いの証明書を取得し、信頼を確立する、請求項12に記載の認証方法。
【請求項18】
処理モジュールを含む遠隔端末装置と、入出力モジュールを含み、前記遠隔端末装置に接続された拡張装置と、
を備え、
前記処理モジュールのトリガ部が有効になることに応答して、前記処理モジュールは、プロビジョニングモードで動作し、前記入出力モジュールと前記処理モジュールが信頼を確立できるようにし、
前記トリガ部が無効になることに応答して、前記処理モジュールは動作モードで動作し、まだ信頼を確立していない別の入出力モジュールが前記処理モジュールに接続することを禁止し、
前記処理モジュールの第1の処理部が前記プロビジョニングモードで動作することに応答して、前記処理モジュールと前記入出力モジュールが互いの証明書を取得するように、前記第1の処理部は、前記入出力モジュールに通知信号を送信する、通信システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、装置に関し、特に通信システム、遠隔端末装置及びその認証方法に関する。
【背景技術】
【0002】
遠隔端末装置(RTU)が悪意のあるプログラムによる攻撃やデータの盗難に遭うことを防ぐために、外部入出力モジュールが信頼できる装置であることをどのように保証するかが、現在この分野で重要な課題となっている。通信分野ではさまざまな通信セキュリティプロトコルが開発されているが、依然として装置間の有効な認証は実現できておらず、接続された装置が偽造されているかどうか、データが盗まれたり改ざんされているかどうかを有効に検証することができていない。
【発明の概要】
【発明が解決しようとする課題】
【0003】
本発明は、外部入出力モジュールが信頼できる装置であることを効果的に保証することのできる通信システム、遠隔端末装置、及びその認証方法を提供する。
【課題を解決するための手段】
【0004】
本発明の遠隔端末装置は、処理モジュールを含む。処理モジュールは、第1の処理部及び第1の記憶部を含む。第1の記憶部は、第1の処理部に接続される。トリガ部が有効になることに応答して、第1の処理部は、プロビジョニングモードで動作し、入出力モジュールと処理モジュールが信頼を確立できるようにする。トリガ部が無効になることに応答して、第1の処理部は、動作モードで動作し、まだ信頼を確立していない別の入出力モジュールが処理モジュールに接続することを禁止する。
【0005】
本発明の認証方法は、遠隔端末装置に適用される。遠隔端末装置は、処理モジュールを含む。認証方法は、以下の工程を含む。トリガ部が有効になることに応答して、処理モジュールの第1の処理部は、プロビジョニングモードで動作し、入出力モジュールと処理モジュールが信頼を確立できるようにする。トリガ部が無効になることに応答して、処理モジュールの第1の処理部は、動作モードで動作し、まだ信頼を確立していない別の入出力モジュールが処理モジュールに接続することを禁止する。
【0006】
本発明の通信システムは、遠隔端末装置及び拡張装置とを含む。遠隔端末装置は、処理モジュールを含む。拡張装置は、入出力モジュールを含み、遠隔端末装置に接続される。処理モジュールのトリガ部が有効になることに応答して、処理モジュールは、プロビジョニングモードで動作し、入出力モジュールと処理モジュールが信頼を確立できるようにする。トリガ部が無効になることに応答して、処理モジュールは、動作モードで動作し、まだ信頼を確立していない別の入出力モジュールが処理モジュールに接続することを禁止する。
【0007】
上記に基づいて、通信システム、遠隔端末装置、及びその認証方法は、入出力モジュールとの信頼関係を効果的に確立することができる。
【発明の効果】
【0008】
本発明の特徴及び利点をより理解しやすくするために、以下の特定の実施形態を図面と併せて詳細に説明する。
【図面の簡単な説明】
【0009】
【図1】本発明の一実施形態による通信システムの概略図である。
【図2】本発明の一実施形態による処理モジュール及び入出力モジュールの概略図である。
【図3】本発明の一実施形態による遠隔端末装置の認証方法のフローチャートである。
【図4】本発明の一実施形態による初期化の概略図である。
【図5】本発明の一実施形態によるプロビジョニングモードの概略図である。
【図6】本発明の一実施形態による互いの証明書を取得するフローチャートである。
【図7】本発明の一実施形態による動作モードの概略図である。
【図8】本発明の一実施形態によるハンドシェーク手順のフローチャートである。
【発明を実施するための形態】
【0010】
次に、本発明の例示的な実施形態を詳細に参照し、その例を図面に示す。可能な限り、図面及び説明では、同じ又は類似の部分を指すために同じ符号を使用する。
【0011】
図1は、本発明の一実施形態による通信システムの概略図である。図1を参照すると、通信システム100は、遠隔端末装置110と、拡張装置120と、サーバ130と、を含む。遠隔端末装置110は、処理モジュール111及び複数の入出力(I/O)モジュール112_1~112_Mを含む。ここで、Mは正の整数である。遠隔端末装置110は、有線方式(例えば、ケーブル)を介して拡張装置120に接続されて良い。遠隔端末装置110及び拡張装置120はそれぞれ、異なるアプリケーション領域にかなりの距離を置いて配置することができるが、本発明はこれに限定されるものではない。拡張装置120は、他の入出力モジュール122_1~122_Nを含む。ここで、Nは正の整数である。拡張装置120は、別の遠隔端末装置であっても良い。遠隔端末装置110は、監視、制御、又はデータ収集の関連アプリケーションを実装するために使用されて良い。
【0012】
本実施形態において、処理モジュール111は、入出力モジュール112_1~112_M及び122_1~122_Nを管理、制御、又は監視するために使用されて良く、有線又は無線方式を通じてサーバ130に接続される。処理モジュール111は、入出力モジュール112_1~112_M及び122_1~122_Nによってそれぞれ提供される情報を収集したり、関連情報を入出力モジュール112_1~112_M及び122_1~122_Nに送信したりすることができる。
【0013】
本実施形態において、処理モジュール111は、例えば、中央処理装置(CPU)を含む関連する処理及び計算回路を含んで良いが、本発明はこれに限定されるものではない。入出力モジュール112_1~112_M及び122_1~122_Nはそれぞれ、異なる種類のセンサ、IoT(モノのインターネット)装置、バルブ部、制御部、及び同様の入出力部であっても良いが、本発明はこれに限定されるものではない。本実施形態において、入出力モジュール112_1~112_M及び122_1~122_Nは、異なる使用状態に応じて、遠隔端末装置110(すなわち、処理モジュール111)が動作モードにあるときに、遠隔端末装置110又は拡張装置120に選択的に取り付けられるか、又は遠隔端末装置110又は拡張装置120から選択的に取り外されるように、ホットスワップ(hot swapping)機能を有していても良い。
【0014】
具体的には、入出力モジュール112_1~112_M及び122_1~122_Nと処理モジュール111との間で信頼が確立されていないものと仮定した場合、入出力モジュール112_1~112_M及び122_1~122_Nのいずれかを遠隔端末装置110又は拡張装置120に一時的に取り付けると、処理モジュール111は、それと信頼を確立することができる。また、ある入出力モジュールが遠隔端末装置110の処理モジュール111と信頼を確立した後、その入出力モジュールを遠隔端末装置110又は拡張装置120に随時取り付けると、その処理モジュール111は、入出力モジュールとの接続を自動的に確立することができる。対照的に、処理モジュール111と信頼関係が確立されていない入出力モジュールを遠隔端末装置110又は拡張装置120に取り付けると、処理モジュール111は、処理モジュール111との信頼を確立していない入出力モジュールの接続を直接拒否することを効果的かつ即座に識別することができる。
【0015】
図2は、本発明の一実施形態による処理モジュール及び入出力モジュールの概略図である。図2を参照すると、図1の処理モジュール111は、本実施形態の処理モジュール210として実装することができ、図1の入出力モジュール112_1~112_M及び122_1~122_Nのいずれかは、本実施形態の入出力モジュール220として実装することができる。本実施形態において、処理モジュール210は、第1の処理部211と、第1の記憶部212と、トリガ部213と、を含む。第1の処理部211は、第1の記憶部212及びトリガ部213に接続される。入出力モジュール220は、第2の処理部221と第2の記憶部222とを含む。
【0016】
本実施形態において、第1の処理装置211及び第2の処理装置221は、それぞれ、例えば、中央処理装置(CPU)、グラフィックス処理装置(GPU)、他のプログラム可能な汎用又は専用マイクロプロセッサ、デジタル信号プロセッサ(Digital Signal Processor,DSP)、プログラマブルコントローラ、特定用途向け集積回路(Application Specific Integrated Circuits,ASIC)、プログラマブルロジック装置(Programmable Logic Device,PLD)、他の同様の処理部、又はユニットの組み合わせであって良い。本実施形態において、第1の記憶部212及び第2の記憶部22は、例えば、フラッシュメモリ、不揮発性ランダムアクセスメモリ(Non-Volatile Random Access Memory,NVRAM)を含んで良い。
【0017】
図3は、本発明の一実施形態による遠隔端末装置の認証方法のフローチャートである。図2及び図3を参照すると、処理モジュール210は、以下の工程S310~S340を実行することができる。工程S310では、トリガ部213が有効になり(又はトリガされ)得る。工程S320では、トリガ部213が有効になることに応答して、処理モジュール210の第1の処理部211は、プロビジョンモード(Provision mode)で動作し、入出力モジュール220と処理モジュール210が信頼を確立できるようにすることができる。工程S330では、トリガ部213が無効になり得る。工程S340では、トリガ部213が無効になることに応答して、処理モジュール210の第1の処理部211は、動作モード(Running mode)で動作し、まだ信頼を確立していない別の入出力モジュールが処理モジュール210に接続することを禁止する。動作モードにおいて、処理モジュール210は、信頼を確立した入出力モジュール220と通信し、データを送信することができる。
【0018】
本実施形態において、トリガ部213は物理的なボタンであり、処理モジュール210内に配置される。ここで、図1に示される遠隔端末装置110は、例えば、セキュリティの高いサーバールームに配備することができる。あるいは、一実施形態において、トリガ部213は、外部配線を通じてセキュリティの高い施設内に物理的に配備し、セキュリティの高いサーバルームを通じて保護を強化することもできるが、本発明はこれに限定されるものではない。別の実施形態において、トリガ部213は、仮想ボタンであっても良く、例えば、遠隔ネットワークインターフェース又はネットワーク管理ツールによって、遠隔操作されて有効又は無効にされても良い。
【0019】
具体的には、図1に示すように、入出力モジュール220が遠隔端末装置110又は拡張装置120に取り付けられると、処理モジュール210と入出力モジュール220との間に信頼関係がまだ確立されていないため、処理モジュール210は、まず、入出力モジュール220が処理モジュール210に接続することを禁止する。次に、ユーザが(例えば、物理ボタンを手動でトリガするか、仮想ボタンを介して遠隔操作することによって)トリガ部213を有効にすると、処理モジュール210と入出力モジュール220は信頼の確立を開始する。このようにして、処理モジュール210は、セキュリティの高い通信保護メカニズムを実現することができ、入出力モジュール220がホットスワップされる場合には、ユーザの操作に応じて動的に信頼を確立することができる。さらに、処理モジュール210が信頼できる入出力モジュール220を確立する方法については、以下の実施形態で詳細に説明する。
【0020】
図4は、本発明の一実施形態による初期化の概略図である。図2及び図4を参照すると、装置の初期化段階において、処理モジュール210は、一意(unique)の処理モジュール秘密鍵(private key)411及び一意の処理モジュール証明書412を確立し、処理モジュール秘密鍵411及び処理モジュール証明書412を第1の記憶部212に記憶することができる。入出力モジュール220は、一意の入出力モジュール秘密鍵(private key)421及び一意の入出力モジュール証明書422を確立し、入出力モジュール秘密鍵421及び入出力モジュール証明書422を第2の記憶部222に記憶することができる。なお、処理モジュール210及び入出力モジュール220はそれぞれ、ランダムな秘密鍵及び証明書を確立することができるが、異なるモジュールによって確立される秘密鍵及び証明書はすべて一意である(すなわち、重複しない)ことに留意されたい。本実施形態において、処理モジュール210は、例えば、処理モジュール秘密鍵411を、メモリの特定領域又はハードウェアセキュリティモジュール(Hardware security module,HSM)などの第1の記憶部212の安全な記憶空間に記憶することができるが、本発明はこれに限定されるものではない。入出力モジュール220はまた、入出力モジュール秘密鍵421を第2の記憶部222の安全な記憶空間に記憶することもできる。
【0021】
図5は、本発明の一実施形態によるプロビジョニングモードの概略図である。図2及び図5を参照すると、装置の初期化後、トリガ部213が有効になると、処理モジュール210の第1の処理部211は、プロビジョニングモードで動作する。本実施形態において、第1の処理部211は、処理モジュール210と入出力モジュール220とが互いの証明書を取得できるように、入出力モジュール220に通知信号を送信することができる。第1の処理部211は、リンク層検出プロトコル(Link Layer Discovery Protocol,LLDP)を介して、入出力モジュール220に通知信号を送信することができる。ここで、通知信号は、リンク層検出プロトコルの組織固有の情報を含んで良い。
【0022】
例えば、第1の処理部211は、LLDPタイプ127などのカスタムLLDPタイプを採用して、通知信号内の関連パラメータを構成することができる。つまり、通知信号のデータフォーマットは、LLDPタイプ127に準拠することができる。ここで、データフォーマットは、宛先アドレス(Destination Address,DA)、送信元アドレス(Source Address,SA)、イーサタイプ(Ether type)、シャーシ識別子(Chassis ID)、ポート識別子(Port ID)、生存時間(Time to live,TTL)、任意のTLV (OPTIONAL TLV) (種類、長さ、値)、及びLLDPデータユニットの終了TLV(End of LLDPDU TLV)を含んで良い。ここで、シャーシ識別子、ポートID、生存時間、任意のTLV、及びLLDPDUの終了TLVは、可変のデータ長を有しても良く、第1の処理部211は、基本的なTLVデータフォーマットに基づいて、プロビジョニングモードに関する関連データを上記のデータフィールドに暗号化することができる。このようにして、入出力モジュール220の第2の処理部221がデータフォーマットの通知信号を受信すると、第2の処理部221は、第1の処理部211がプロビジョニングモードで動作していることを確認し、同期してプロビジョニングモードを実行することができる。
【0023】
本実施形態において、処理モジュール210が入出力モジュール220にプロビジョニングモードに入るように通知した場合、処理モジュール210及び入出力モジュール220は、互いの証明書を取得することができる。ここで、処理モジュール210及び入出力モジュール220は、相互トランスポート層セキュリティ(Mutual Transport Layer Security,MTLS)通信プロトコルに基づいて互いの証明書を取得し、信頼を確立することができるが、本発明はこれに限定されるものではない。処理モジュール210と入出力モジュール220が信頼を確立した後、通信接続401を確立することができる。プロビジョニングモードでは、処理モジュール210及び入出力モジュール220は、処理モジュール210と入出力モジュール220との間のハンドシェイク(handshake)によって送信されたデータを信頼して良い。
【0024】
図6は、本発明の一実施形態による互いの証明書を取得するフローチャートである。図2、図5及び図6を参照すると、処理モジュール210及び入出力モジュール220は、以下の工程S610~S640を実行することができる。工程S610では、プロビジョニングモードにおいて、処理モジュール210の第1の処理部211は、処理モジュール証明書412を入出力モジュール220に送信して良い。工程S620において、入出力モジュール220の第2の処理部221は、処理モジュール210により送信された処理モジュール証明書412を受信し、処理モジュール証明書412を第2の記憶部222、すなわち、図5の処理モジュール証明書423に記憶して良い。工程S630において、入出力モジュール220の第2の処理部221は、入出力モジュール証明書422を処理モジュール210に送信して良い。工程S640において、処理モジュール210の第1の処理部211は、入出力モジュール220によって送信された入出力モジュール証明書422を受信し、入出力モジュール証明書422を第1の記憶部212、すなわち、図5の入出力モジュール証明書413に記憶して良い。
【0025】
なお、処理モジュール210は、異なる入出力モジュールからの複数の異なる入出力モジュール証明書を第2の記憶部222に記憶することもできることは注目に値する。また、処理モジュール210は、証明書を記録した入出力モジュールによって再度送信された新たな入出力モジュール証明書を受信した場合、その新たな入出力モジュール証明書を第1の記憶部212に複製して良い。
【0026】
図7は、本発明の一実施形態による動作モードの概略図である。図2及び図7を参照すると、トリガ部213が無効となると、処理モジュール210の第1の処理部211は、動作モードで動作する。本実施形態において、証明書の検証は、相互トランスポート層セキュリティプロトコルに基づいて、処理モジュール210と入出力モジュール220との間で実行され得る。ここで、処理モジュール210及び入出力モジュール220は、ハンドシェイクを実行して、互いの証明書及びそれぞれの事前保存された証明書が通信接続401を確立するための検証に合格するかどうかを検証する。本実施形態において、互いの証明書がそれぞれの事前に保存された証明書と同じであるかどうかを検証する方法は、例えば、非対称鍵認証(Asymmetric Key Authentication)を実行することによって行うことができる。
【0027】
図8は、本発明の一実施形態によるハンドシェーク手順のフローチャートである。図2、図5及び図6を参照すると、処理モジュール210及び入出力モジュール220は、以下の工程S810~S830を実行することができる。工程S810において、処理モジュール210の第1の処理部211は、第1のハンドシェイクデータ414を入出力モジュール220に送信し、入出力モジュール220から第2のハンドシェイクデータを受信する。第1のハンドシェイクデータ414は、処理モジュール証明書412を含んで良い。第2のハンドシェイクデータ424は、入出力モジュール証明書422を含んで良い。
【0028】
工程S820において、処理モジュール210の第1の処理部211は、第1の記憶部212に記憶された処理モジュール秘密鍵411に従って第2のハンドシェイクデータ424を復号し、入出力モジュール証明書422を取得し、第1の記憶部212に記憶された入出力モジュール証明書422及び入出力モジュール証明書413を検証して、入出力モジュール220との間で信頼が確立されているかどうかを確認することができる。処理モジュール210の第1の記憶部212は、異なる入出力モジュールに対応する複数の証明書を記憶しても良く、処理モジュール210の第1の処理部211は、入出力モジュール証明書422に従って証明書の検索及び検証動作を実行しても良い。ここで、入出力モジュール証明書422及び入出力モジュール証明書413が検証に合格した場合、第1の処理部211は、入出力モジュール220が信頼できる装置であることを確認し、通信接続401を確立することができる。対照的に、入出力モジュール証明書422及び入出力モジュール証明書413の検証に合格しなかった場合、第1の処理部211は、入出力モジュール220と処理モジュール210との接続を禁止(拒絶)する。
【0029】
工程S830において、入出力モジュール220の第2の処理部221は、第2の記憶部222に記憶されている入出力モジュール秘密鍵421に従って第1ハンドシェイクデータ414を復号し、処理モジュール証明書412を取得し、第2の記憶部222に記憶されている処理モジュール証明書412及び処理モジュール証明書423を検証して、処理モジュール210との間で信頼が確立されているかどうかを確認することができる。ここで、処理モジュール証明書412及び処理モジュール証明書423が検証に合格した場合、第2の処理部221は、処理モジュール210が信頼できる装置であることを確認し、通信接続401を確立することができる。このようにして、処理モジュール210は、以前のプロビジョニングモードで互いの証明書を正常に取得した状態で入出力モジュール220と通信することができ、互いの証明書を正常に取得していない他の入出力モジュールの接続を拒絶することができる。
【0030】
まとめると、本発明の通信システム、遠隔端末装置、及び認証方法は、トリガ部を高いセキュリティで動作させることにより、ホットスワップされた入出力モジュールとの信頼を確立するか否かを判断することができ、処理モジュールと通信する入出力モジュールが信頼できる装置であることを効果的に保証することができる。
【0031】
最後に、上記の実施形態は、専ら本発明の技術的解決策を説明するためにのみ使用され、限定するものではないことに留意されたい。上記の実施形態を参照して本発明を詳細に説明したが、当業者は、上記の実施形態で説明された技術的解決策がさらに変更され得ること、又はその技術的特徴の一部又は全部が等価に置き換えられ得ることを理解すべきである。しかしながら、修正又は置換は、対応する技術的解決策の本質を本発明の実施形態の技術的解決策の範囲から逸脱させるものではない。
【産業上の利用可能性】
【0032】
本発明の通信システム、遠隔端末装置及び認証方法は、遠隔制御システム及びその通信認証方法に適用することができる。
【符号の説明】
【0033】
100:通信システム
110:遠隔端末装置
111、210:処理モジュール
112_1~112_M、122_1~122_N、220:入出力モジュール
120:拡張装置
130:サーバ
211:第1の処理部
212:第1の記憶部
213:トリガ部
221:第2の処理部
222:第2の記憶部
401:通信接続
411:処理モジュール秘密鍵
412、423:処理モジュール証明書
413、422:入出力モジュール証明書
414:第1のハンドシェイクデータ
421:入出力モジュール秘密鍵
424:第2のハンドシェイクデータ
S310~S340、S610~S640、S810~S830:工程
110:遠隔端末装置
111、210:処理モジュール
112_1~112_M、122_1~122_N、220:入出力モジュール
120:拡張装置
130:サーバ
211:第1の処理部
212:第1の記憶部
213:トリガ部
221:第2の処理部
222:第2の記憶部
401:通信接続
411:処理モジュール秘密鍵
412、423:処理モジュール証明書
413、422:入出力モジュール証明書
414:第1のハンドシェイクデータ
421:入出力モジュール秘密鍵
424:第2のハンドシェイクデータ
S310~S340、S610~S640、S810~S830:工程
【要約】 (修正有)
【課題】外部入出力モジュールが信頼できる装置であることを効果的に保証する通信システム、遠隔端末装置、及びその認証方法を提供する。
【解決手段】遠隔端末装置は、処理モジュールを含む。処理モジュールは、第1の処理部及び第1の記憶部を含む。第1の記憶部は、第1の処理部に接続される。トリガ部が有効になることに応答して、第1の処理部は、プロビジョニングモードで動作し、入出力モジュールと処理モジュールが信頼を確立できるようにする。トリガ部が無効になることに応答して、第1の処理部は、動作モードで動作し、まだ信頼を確立していない別の入出力モジュールが処理モジュールに接続することを禁止する。
【選択図】図3
【解決手段】遠隔端末装置は、処理モジュールを含む。処理モジュールは、第1の処理部及び第1の記憶部を含む。第1の記憶部は、第1の処理部に接続される。トリガ部が有効になることに応答して、第1の処理部は、プロビジョニングモードで動作し、入出力モジュールと処理モジュールが信頼を確立できるようにする。トリガ部が無効になることに応答して、第1の処理部は、動作モードで動作し、まだ信頼を確立していない別の入出力モジュールが処理モジュールに接続することを禁止する。
【選択図】図3
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】