JP2022040301A - 通信制御システム - Google Patents
通信制御システム Download PDFInfo
- Publication number
- JP2022040301A JP2022040301A JP2022005865A JP2022005865A JP2022040301A JP 2022040301 A JP2022040301 A JP 2022040301A JP 2022005865 A JP2022005865 A JP 2022005865A JP 2022005865 A JP2022005865 A JP 2022005865A JP 2022040301 A JP2022040301 A JP 2022040301A
- Authority
- JP
- Japan
- Prior art keywords
- communication control
- client
- control device
- server
- side communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006854 communication Effects 0.000 title claims abstract description 456
- 238000004891 communication Methods 0.000 title claims abstract description 456
- 238000012545 processing Methods 0.000 claims description 40
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 45
- 230000004044 response Effects 0.000 description 19
- 238000000034 method Methods 0.000 description 18
- 230000008569 process Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 238000012795 verification Methods 0.000 description 7
- 238000003384 imaging method Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 239000000463 material Substances 0.000 description 2
- 238000010248 power generation Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
【課題】社会インフラシステムを変更することなく、システム全体の安全性を高めることができる通信制御システムを提供することである。【解決手段】実施形態の通信制御システムは、第1の通信制御装置と、第2の通信制御装置とを持つ。第1の通信制御装置は、クライアント装置とネットワーク通信網との間に接続される。第2の通信制御装置は、サーバ装置とネットワーク通信網との間に接続される。前記第1の通信制御装置は、第1の認証部と、第1の制御部とを持つ。前記第2の通信制御装置は、第2の認証部と、第2の制御部とを持つ。【選択図】図1
Description
本発明の実施形態は、通信制御システムに関する。
監視カメラ等の社会インフラシステムにおいては、取り扱われるデータや機器の制御がマルウェア等の攻撃から防御される必要がある。しかしながら、社会インフラシステムを構成する機器類は頻繁に置換えることが難しい。このため、安全対策が不十分になってしまうという問題があった。
本発明が解決しようとする課題は、社会インフラシステムを変更することなく、社会インフラシステムの安全性を向上させることができる通信制御システムを提供することである。
実施形態の通信制御システムは、第1の通信制御装置と、第2の通信制御装置とを持つ。第1の通信制御装置は、クライアント装置とネットワーク通信網との間に接続される。第2の通信制御装置は、サーバ装置とネットワーク通信網との間に接続される。前記第1の通信制御装置は、第1の認証部と、第1の制御部とを持つ。第1の制御部は、前記第1の認証部に記憶させた秘密鍵、及びクライアント証明書を用いる相互認証を前記第2の通信制御装置との間で行う相互認証処理と、前記クライアント装置により前記サーバ装置に対して送信される情報を、前記第1の通信制御装置と前記第2の通信制御装置との間で決定された共通鍵を用いて暗号化するとともに、前記サーバ装置により前記クライアント装置に対して送信された情報を、前記共通鍵を用いて復号する暗号化復号処理とのうち少なくとも一方の処理を依頼する。前記第2の通信制御装置は、第2の認証部と、第2の制御部とを持つ。第2の制御部は、前記第2の認証部に記憶させた秘密鍵、及びサーバ証明書を用いる相互認証を前記第1の通信制御装置との間で行う相互認証処理と、前記サーバ装置により前記クライアント装置に対して送信される情報を、前記共通鍵を用いて暗号化するとともに、前記クライアント装置により前記サーバ装置に対して送信された情報を、前記共通鍵を用いて復号する暗号化復号処理とのうち少なくとも一方の処理を依頼する。
以下、実施形態の通信制御システムを、図面を参照して説明する。
図1は、実施形態の通信制御システム1の構成例を示す図である。通信制御システム1は、クライアント装置10(10-1~10-N)と、サーバ装置20と、クライアント側通信制御装置30(30-1~30-N)(「第1の通信制御装置」の一例)と、サーバ側通信制御装置31(「第1の通信制御装置」の一例)と、通信制御管理装置50(「プライベート認証局」の一例)と、ネットワーク60と、ゲートウェイ70と、を備える。以下の説明においては、ネットワーク60と、ネットワーク60とクライアント装置10等とを接続するゲートウェイ70と、をまとめて「ネットワークNW」とも称する。
クライアント装置10は、クライアント側通信制御装置30を介してネットワークNWと接続する。サーバ装置20は、サーバ側通信制御装置31を介してネットワークNWと接続する。なお、クライアント装置10、およびサーバ装置20の構成の詳細については後述する。
クライアント側通信制御装置30は、クライアント装置10とネットワークNWとの間に接続され、クライアント装置10とサーバ装置20との間の通信を仲介する。クライアント側通信制御装置30は、クライアント装置10によりサーバ装置20に対して送信されるデータを取得し、取得したデータをサーバ装置20に対して出力する。ここで、クライアント側通信制御装置30は、サーバ装置20に対してデータを送信する際に、クライアント装置10から取得したデータを暗号化し、暗号化したデータをサーバ装置20に対して送信する。
また、クライアント側通信制御装置30は、サーバ装置20によりクライアント装置10に対して送信されるデータを取得し、取得したデータをクライアント装置10に対して出力する。ここで、クライアント側通信制御装置30が取得するデータは暗号化されたデータである。クライアント側通信制御装置30は、クライアント装置10にデータを出力する際に、サーバ装置20からサーバ側通信制御装置31を介して取得したデータを復号し、復号したデータをクライアント装置10に出力する。
サーバ側通信制御装置31は、サーバ装置20とネットワークNWとの間に接続され、クライアント装置10とサーバ装置20との間の通信を仲介する。サーバ側通信制御装置31は、サーバ装置20によりクライアント装置10に対して送信されるデータを取得し、取得したデータをクライアント装置10に対して送信する。ここで、サーバ側通信制御装置31は、クライアント装置10に対してデータを送信する際に、サーバ装置20から取得したデータを暗号化し、暗号化したデータをクライアント装置10に対して送信する。
また、サーバ側通信制御装置31は、クライアント装置10によりサーバ装置20に対して送信されるデータを取得し、取得したデータをサーバ装置20に対して出力する。ここで、サーバ側通信制御装置31が取得するデータは暗号化されたデータである。サーバ側通信制御装置31は、サーバ装置20にデータを出力する際に、クライアント装置10からクライアント側通信制御装置30を介して取得したデータを復号し、復号したデータをサーバ装置20に出力する。
本実施形態において、クライアント側通信制御装置30およびサーバ側通信制御装置31が行うデータの暗号化には、例えば、SSL(Secure Socket Layer)/TLS(Transport Layer Security)のプロトコルによる暗号化が行われる。クライアント側通信制御装置30およびサーバ側通信制御装置31は、例えば、SSL/TLSプロトコルを、HTTPと組み合わせることで、HTTPに含まれるデータを暗号化し、安全性を向上させたHTTPS(HTTP Secure)に置き換える。
なお、クライアント側通信制御装置30およびサーバ側通信制御装置31が行うデータの暗号化は、HTTPをHTTPSとすることに限定されない。クライアント側通信制御装置30およびサーバ側通信制御装置31は、SSL/TLSプロトコルを種々の通信プロトコルと組み合わせることにより、安全性を向上させたセキュアな通信プロトコルに置き換えてもよい。例えば、クライアント側通信制御装置30およびサーバ側通信制御装置31は、FTP(File Transfer Protocol)をFTPS(FTP Secure)に置き換えてもよい。
本実施形態においては、クライアント側通信制御装置30、またはサーバ側通信制御装置31により暗号化されたデータがネットワークNWに出力される。換言すると、本実施形態においては、ネットワークNWを流れるデータは、暗号化されたデータであり。このため、ネットワークNWで送受信されるデータに対し、外部から悪意をもってアクセスされデータが盗聴されてしまうような危険を回避し、安全性を向上させる。なお、ここでいうデータの盗聴とは、「データを盗み見る行為」または「データを抜き取る行為」をいう。
通信制御管理装置50は、クライアント側通信制御装置30に対し、クライアント証明書、および秘密鍵を発行する。例えば、通信制御管理装置50は、クライアント証明書、および秘密鍵を記憶させたICカードを発行する。また、通信制御管理装置50は、ICカードが装着されたクライアント側通信制御装置30に対し、ICカードに記憶させるクライアント証明書、および秘密鍵を、ネットワークNWを介して送信する。
また、通信制御管理装置50は、サーバ側通信制御装置31に対し、サーバ証明書、および秘密鍵を発行する。例えば、通信制御管理装置50は、サーバ証明書、および秘密鍵を記憶させたICカードを発行する。また、通信制御管理装置50は、ICカードが装着されたサーバ側通信制御装置31に対し、ICカードに記憶させるサーバ証明書、および秘密鍵を、ネットワークNWを介して送信する。クライアント証明書、サーバ証明書、および秘密鍵のそれぞれは、クライアント側通信制御装置30とサーバ側通信制御装置31とが暗号化通信を行う場合に用いる共通鍵(セッション鍵)を決定するために必要な情報である。
ここでは、クライアント装置10、およびサーバ装置20の構成について説明する。クライアント装置10とサーバ装置20とは、社会インフラシステムを構築する構成要素(コンポーネント)である。社会インフラとは、例えば、道路交通網、発電設備、配送電設備、水処理設備、又はガス配給設備等、社会基盤を整えるために必要な設備である。社会インフラシステムとは、例えば、社会インフラを監視し、状況の変化を把握し、その変化に対応することにより、社会インフラを安定的に動作させる仕組みである。以下においては、クライアント装置10とサーバ装置とは、道路や公共設備などを監視する監視システムのコンポーネントである場合を例に説明する。この場合、クライアント装置10は、道路の状況等が撮像された撮像データを、ネットワークNWを介して送信する装置(ネットワーク監視カメラ)である。サーバ装置20は、クライアント装置10により送信された撮像データを、ネットワークNWを介して受信する装置である。
なお、クライアント装置10とサーバ装置20とは、監視システムのコンポーネントに限定されることはない。例えば、クライアント装置10とサーバ装置とは、発電設備や配送電設備における電力状況をモニタリングするシステムのコンポーネントであってもよいし、物流センタにおける配送状況を取得するシステム、あるいは工場や研究機関における設備の稼働状況を取得するシステム等のコンポーネントであってもよい。
図2は、実施形態のクライアント装置10、およびサーバ装置20の機能構成例を示すブロック図である。
クライアント装置10は、NW(ネットワーク)通信部11と、クライアント制御部12と、撮像部13とを備える。NW通信部11は、例えば、クライアント装置10のイーサネット(登録商標)のポートである。本実施形態では、NW通信部11は、クライアント側通信制御装置30に接続され、クライアント装置10からサーバ装置20に対して送信されるデータをクライアント側通信制御装置30に出力する。なお、NW通信部11は、従来のシステムであれば、ネットワークNWに接続され、ネットワークNWを介して、サーバ装置20と通信を行う機能部に相当する。
クライアント制御部12は、例えば、CPUなどを含むプロセッサであり、クライアント装置10を統括的に制御する。クライアント制御部12は、例えば、サーバ装置20からの制御に従い、撮像部13に撮像を開始または停止させたり、撮像部13に対し撮像するカメラの方向や、撮像する際の倍率等の撮像条件を設定したりする。
撮像部13は、クライアント制御部12の指示に従い、所定箇所における風景を撮像する。撮像部13は、撮像したデータ(撮像データ)を、クライアント制御部12に出力する。
サーバ装置20は、NW(ネットワーク)通信部21と、サーバ制御部22と、撮像データ記憶部23とを備える。NW通信部21は、例えば、サーバ装置20のイーサネット(登録商標)のポートである。本実施形態では、NW通信部21は、サーバ側通信制御装置31に接続され、サーバ装置20からクライアント装置10に対して送信されるデータをサーバ側通信制御装置31に出力する。なお、NW通信部21は、従来のシステムであれば、ネットワークNWに接続され、ネットワークNWを介して、クライアント装置10と通信を行う機能部に相当する。
サーバ制御部22は、例えば、CPUなどを含むプロセッサであり、サーバ装置20を統括的に制御する。サーバ制御部22は、例えば、クライアント装置10により撮像された撮像データを、撮像データ記憶部23に記憶させる。撮像データ記憶部23は、サーバ制御部22の指示に従い、撮像データを記憶する。
従来のシステムにおいて、クライアント装置10とサーバ装置20とが、互いのNW通信部およびネットワークNWを介して接続された場合、クライアント装置とサーバ装置20との間の通信には、ネットワーク監視カメラにおける一般的な通信プロトコルであるHTTPが用いられる。
この場合、クライアント装置10、またはサーバ装置20によりネットワークNWに出力された、暗号化されていない情報(いわゆる、平文)がネットワークNWを流れる。この場合、外部から悪意をもってネットワークNW上のデータが取得されてしまうと、容易に撮像データが盗聴されたり、改ざんされたりする危険性がある。このような不正な攻撃に対する対策として、クライアント装置10には撮像データを暗号化させてネットワークNWに出力させることが考えられる。例えば、クライアント装置10のクライアント制御部12は、撮像データを暗号化し、暗号化した撮像データをネットワークNWに出力する。しかしながら、そもそも監視カメラが備えるCPU等のプロセッサは、撮像データの圧縮や符号化の用途に用いられるために用いられる用途で用いられることが一般的であるため、さらに暗号化のための処理を行うだけの資源(リソース)を備えていない。このような場合、クライアント制御部12が元々有するCPUでは、撮像データを暗号化させることができない。クライアント制御部12に撮像データを暗号化させる場合には、撮像データを暗号化するためのプロセッサを、更にクライアント制御部12に搭載させる等、クライアント制御部12のハードウェア構成の変更や置換えが必要となることが考えられる。しかしながら、クライアント装置10は、監視カメラ等の社会インフラを構成するコンポーネントであるため、ハードウェア構成を変更したり置換えたりすることが容易にはできない。このような事情を鑑みると、クライアント装置10変更を加えることなく、撮像データが暗号化されてネットワークNWに出力されることが望ましい。
本実施形態において、クライアント装置10とネットワークNWとの間に接続されたクライアント側通信制御装置30が、クライアント装置10が送信するデータを暗号化してネットワークNWに出力する。また、サーバ装置20とネットワークNWとの間に接続されたサーバ側通信制御装置31が、サーバ装置20が送信する制御データを暗号化してネットワークNWに出力する。これにより、クライアント装置10、およびサーバ装置20を変更することなく、ネットワークNWを流れる撮像データの安全性を向上させる。
ここでは、クライアント側通信制御装置30、およびサーバ側通信制御装置31の構成について図3を用いて説明する。図3は、実施形態のクライアント側通信制御装置30、およびサーバ側通信制御装置31の機能構成例を示すブロック図である。クライアント側通信制御装置30、およびサーバ側通信制御装置31の機能構成は同じである。このため、以下では、一方(例えば、クライアント側通信制御装置30)の構成について説明し、他方(例えば、サーバ側通信制御装置31)の構成については説明を省略する。また、以下では、クライアント側通信制御装置30とサーバ側通信制御装置31とを区別しない場合には、単に、通信制御装置30(31)などと称する。
図3に示すように、通信制御装置30(31)は、NW(ネットワーク)通信部32と、制御部33と、装置通信部34と、リーダライタ35と、ICカード40とを備える。
ここで、ICカード40は、「認証部」の一例である。
NW通信部32は、ネットワークNWに接続され、ネットワークNWを介して、他方の通信制御装置30(31)と通信を行う。
制御部33は、例えば、CPUなどを含むプロセッサであり、通信制御装置30(31)を統括的に制御する。制御部33は、例えば、リーダライタ35を介して、ICカード40にコマンドを送信するとともに、ICカード40からレスポンスを受信する。また、制御部33は、ICカード40から受信したレスポンスに基づく情報を、NW通信部32を介して、他方の通信制御装置30(31)に送信する。また、制御部33は、NW通信部32を介して、他方の通信制御装置30(31)から受信した情報に基づいて、ICカード40にコマンドを送信する。
装置通信部34は、装置(クライアント装置10、またはサーバ装置20)に接続され、装置と通信を行う。具体的には、クライアント側通信制御装置30の装置通信部34は、クライアント装置10に接続され、クライアント装置10からの撮像データを取得するとともに、復号された制御データをクライアント装置10に出力する。また、サーバ側通信制御装置31の装置通信部34は、サーバ装置20に接続され、サーバ装置20からの制御データを取得するとともに、復号された撮像データをサーバ装置20に出力する。
リーダライタ35は、ICカード40のコンタクト部36を介して、ICカード40の間の通信を行う。
ICカード40は、例えば、プラスチックのカード基材に、ICモジュール41を実装して形成されている。すなわち、ICカード40は、ICモジュール41と、ICモジュール41が埋め込まれたカード基材とを備える。また、ICカード40は、通信制御装置30(31)に着脱可能に装着され、コンタクト部36を介して通信制御装置30(31)と通信可能である。
ICカード40は、例えば、通信制御装置30(31)が送信したコマンド(処理要求)を、コンタクト部36を介して受信し、受信したコマンドに応じた処理(コマンド処理)を実行する。そして、ICカード40は、コマンド処理の実行結果であるレスポンス(処理応答)を通信制御装置30(31)にコンタクト部36を介して送信する。
ICモジュール41は、コンタクト部36と、ICチップ42とを備える。コンタクト部36は、ICカード40が動作するために必要な各種信号の端子を有している。ここで、各種信号の端子は、電源電圧、クロック信号、リセット信号などを通信制御装置30(31)から供給を受ける端子、及び、通信制御装置30(31)と通信するためのシリアルデ―タ入出力端子(SIO端子)を有する。ICチップ42は、例えば、1チップのマイクロプロセッサなどのLSI(Large Scale Integration)である。
ここでは、ICカード40のハードウェア構成について図4を用いて説明する。図4は、実施形態のICカード40のハードウェア構成例を示す図である。
ICカード40は、コンタクト部36と、ICチップ42とを備えたICモジュール41を備えている。そして、ICチップ42は、UART(Universal Asynchronous Receiver Transmitter)43と、CPU44と、ROM(Read Only Memory)45と、RAM(Random Access Memory)46と、EEPROM(Electrically Erasable Programmable ROM)47とを備える。また、各構成(43から47)は、内部バスBSを介して接続されている。
UART43は、上述したSIO端子を介して、通信制御装置30(31)とシリアルデータ通信を行う。UART43は、SIO端子を介して受信したシリアルデータ信号をパラレル変換したデータ(例えば、1バイトのデータ)を内部バスBSに出力する。また、UART43は、内部バスBSを介して取得したデータをシリアル変換して、SIO端子を介して通信制御装置30(31)に出力する。UART43は、例えば、SIO端子を介してコマンドを通信制御装置30(31)から受信する。また、UART43は、SIO端子を介してレスポンスを通信制御装置30(31)に送信する。
CPU44は、ROM45又はEEPROM47に記憶されているプログラムを実行して、ICカード40の各種処理を行う。CPU44は、例えば、コンタクト部36を介して、UART43が受信したコマンドに応じたコマンド処理を実行する。
ROM45は、例えば、マスクROMなどの不揮発性メモリであり、ICカード40の各種処理を実行するためのプログラム、及びコマンドテーブルなどのデータを記憶する。RAM46は、例えば、SRAM(Static RAM)などの揮発性メモリであり、ICカード40の各種処理を行う際に利用されるデータを一時記憶する。EEPROM47は、例えば、電気的に書き換え可能な不揮発性メモリである。EEPROM47は、ICカード40が利用する各種データを記憶する。EEPROM47は、例えば、ICカード40を利用した各種サービス(アプリケーション)に使用される情報を記憶する。
次に、ICカード40の構成について、図5を用いて説明する。図5は、実施形態のICカード40の機能構成例を示すブロック図である。ICカード40は、通信部400と、制御部401と、記憶部404とを備える。ここで、図5に示されるICカード40の各部は、図4に示されるICカード40のハードウェアを用いて実現される。
通信部400は、例えば、UART43と、CPU44と、ROM45に記憶されているプログラムとにより実現され、コンタクト部36を介して、例えば、通信制御装置30(31)との間でコマンド及びレスポンスの送受信を行う。すなわち、通信部400は、所定の処理を要求するコマンド(処理要求)を通信制御装置30(31)から受信するとともに、コマンドに対するレスポンス(処理応答)を通信制御装置30(31)に送信する。通信部400は、UART43を介して通信制御装置30(31)から受信した受信データをRAM46に記憶させる。また、通信部400は、RAM46に記憶されている送信データを、UART43を介して通信制御装置30(31)に送信する。
制御部401は、例えば、CPU44と、RAM45と、ROM46又はEEPROM47とにより実現され、ICカード40を統括的に制御する。制御部401は、コマンド処理部402と、暗号化復号部403とを備える。
ここで、コマンド処理部402が行う処理は、「認証処理」の一例である。また、暗号化復号部403が行う処理は、「暗号化復号処理」の一例である。
コマンド処理部402は、各種コマンド処理を実行する。コマンド処理部402は、例えば、後述するHTTPSリクエストを要求するコマンド処理として、SSL/TLSハンドシェイクを行う。SSL/TLSハンドシェイクでは、暗号化された通信に必要な鍵情報等の交換、および通信先の装置との相互認証を行う。ここで、相互認証とは、クライアント側通信制御装置30とサーバ側通信制御装置31とが、通信を行う前に、互いに正当に認証された装置であることを相互に確認する認証処理である。
暗号化復号部403は、データを暗号化する処理、および暗号化されたデータを復号する処理を実行する。暗号化復号部403は、通信部400を介して取得した装置(クライアント装置10、またはサーバ装置20)により出力されたデータを暗号化する。また、暗号化復号部403は、通信部400を介して取得したネットワークNWからの暗号化されたデータを復号する。
記憶部404は、例えば、EEPROM47により構成された記憶部であり、証明書情報記憶部405と、秘密情報記憶部406とを備える。証明書情報記憶部405は、通信制御管理装置50が発行した装置(クライアント装置10、またはサーバ装置20)に対する証明書を記憶する。具体的には、クライアント側通信制御装置30に装着されるICカード40の証明書情報記憶部405には、クライアント証明書を示す情報が記憶される。また、サーバ側通信制御装置31に装着されるICカード40の証明書情報記憶部405には、サーバ証明書を示す情報が記憶される。
秘密情報記憶部406は、通信制御管理装置50が発行した装置(クライアント装置10、またはサーバ装置20)に対する秘密鍵を記憶する。具体的には、クライアント側通信制御装置30に装着されるICカード40の秘密情報記憶部406には、クライアント側通信制御装置30に対して発行された秘密鍵を示す情報が記憶される。また、サーバ側通信制御装置31に装着されるICカード40の証明書情報記憶部405には、サーバ側通信制御装置31に対して発行された秘密鍵を示す情報が記憶される。
ここでは、通信制御管理装置50の構成について、図6を用いて説明する。図6は、実施形態の通信制御管理装置50の機能構成例を示すブロック図である。通信制御管理装置50は、例えば、NW(ネットワーク)通信部500と、制御部501と、記憶部506とを備える。
NW通信部500は、ネットワークNWに接続され、ネットワークNWを介して、通信制御装置30(31)と通信を行う。
制御部501は、例えば、CPUなどを含むプロセッサであり、通信制御管理装置50を統括的に制御する。制御部501は、主に通信制御装置30(31)の正当性を認めるプライベート認証局として機能する。制御部501は、鍵生成部502と、証明書発行部503と、証明書更新部504と、証明書管理部505と、管理部509とを備える。
鍵生成部502は、例えば、通信制御装置30(31)からの認証申請に基づいて、後述する証明書に含まれる公開鍵に対応する秘密鍵の発行を行う。
証明書発行部503は、例えば、通信制御装置30(31)からの認証申請に基づいて、通信制御装置30(31)の正当性を認める証明書の発行を行う。証明書には、公開鍵と、通信制御装置30(31)の所有者を示す情報が含まれる。
証明書発行部503は、例えば、通信制御装置30(31)からの認証申請に基づいて、通信制御装置30(31)の正当性を認める証明書の発行を行う。証明書には、公開鍵と、通信制御装置30(31)の所有者を示す情報が含まれる。
証明書更新部504は、有効期限が渡過した証明書に対して新たな有効期限を設定することにより、証明書の更新を行う。証明書更新部504は、例えば、通信制御装置30(31)からの更新申請に基づいて、当該通信制御装置30(31)に対して発行した証明書の有効期限を延長させた証明書を発行し、発行した証明書を通信制御装置30(31)に対して送信する。発行した証明書を示す情報が通信制御装置30(31)により受信され、通信制御装置30(31)のICカード40の証明書情報記憶部405に記憶されることで、通信制御装置30(31)の証明書の有効期限が延長される。
証明書管理部505は、既に発行済みの証明書に対する管理を行う。証明書管理部505は、例えば、通信制御装置30(31)に装着されたICカード40の改ざん、または盗難等により相互認証において互いの正当性が証明されない場合に、通信制御装置30(31)に対して発行した証明書を無効化する処理を行う。また、証明書管理部505は、通信制御装置30(31)からの問い合わせに基づいて、通信制御装置30(31)、および他の通信装置に対して発行した証明書が証明書管理部505により発行されたものか否か応答するようにしてもよい。また、証明書管理部505は、定期的に、発行済みの証明書が正当な通信制御装置30(31)に使用されているかを確認するようにしてもよい。
管理部509は、通信制御装置30(31)を管理する。例えば、管理部509は、通信制御装置30(31)が行う相互認証を、ネットワークNWを介して遠隔制御する。
記憶部506は、例えば鍵情報記憶部507と、証明書情報記憶部508とを備える。鍵情報記憶部507は、例えば既に発行済みの公開鍵や、秘密鍵を示す情報を記憶する。証明書情報記憶部508は、例えば既に発行済みの証明書を示す情報を記憶する。鍵情報記憶部507と、証明書情報記憶部508とは、例えば、鍵生成部502が秘密鍵を発行する際、証明書発行部503が証明書を発行する際などに参照される。また、鍵情報記憶部507には、鍵生成部502が発行した秘密鍵を示す情報が記憶される。また、証明書情報記憶部508には、証明書発行部503が発行した証明書を示す情報が記憶される。
ここでは、通信制御システム1が行う処理の流れについて、図7を用いて説明する。図7は、実施形態の通信制御システム1が行う処理の一例を示すシーケンスチャートである。
クライアント装置10は、撮像データをサーバ装置20に送信する場合、まずサーバ装置20に対するHTTPリクエストを送信する(ステップS1)。クライアント装置10が送信したHTTPリクエストは、クライアント側通信制御装置30により取得される(ステップS2)。
クライアント側通信制御装置30は、クライアント装置10により送信されたHTTPリクエストを取得すると、サーバ側通信制御装置31に対して、HTTPSのリクエスト(ClientHello)を送信する(ステップS3)。これにより、クライアント側通信制御装置30とサーバ側通信制御装置31との間のハンドシェイクが開始される(ステップS4)。
具体的には、クライアント側通信制御装置30が送信するClientHelloには、例えば、TLSのバージョン、および通信に用いる暗号方式やアルゴリズムのリストを示す情報が含まれる。サーバ側通信制御装置31は、ClientHelloに対する応答として、クライアント側通信制御装置30に対しHTTPSのレスポンス(ServerHello)を送信する。サーバ側通信制御装置31が送信するServerHelloには、例えばClientHelloで提示された選択肢の中でサーバ装置20が選択した情報が含まれる。換言すると、クライアント側通信制御装置30からの提示に対し、サーバ側通信制御装置31が選択を行うことで、通信における具体的な暗号化アルゴリズムが決定される。
そして、サーバ側通信制御装置31は、暗号化通信に用いる共通鍵に必要な情報を送る。共通鍵に必要な情報には、例えば、サーバ装置20に対して発行された公開鍵とその証明書を示す情報、およびクライアント装置10の公開鍵とその証明書を送ることを要求する情報が含まれる。クライアント側通信制御装置30は、サーバ側通信制御装置31に対して、自装置に対して発行された公開鍵とその証明書、及び暗号化通信に用いる共通鍵に必要な情報を送る。
クライアント側通信制御装置30とサーバ側通信制御装置31との間の相互認証は、例えば次のように行われる。クライアント側通信制御装置30は、今までに受信したServerHello等から署名を生成し、サーバ側通信制御装置31に送信する。サーバ側通信制御装置31は、クライアント側通信制御装置30から受信した署名を、クライアント側通信制御装置30から受信した証明書に基づいて検証する。サーバ側通信制御装置31は、検証が成功すると、その証明書が間違いなくクライアント側通信制御装置30のものであると判定する。また、サーバ側通信制御装置31は、今までに受信したClientHello等から署名を生成し、クライアント側通信制御装置30に送信する。クライアント側通信制御装置30は、サーバ側通信制御装置31から受信した署名を、サーバ側通信制御装置31から受信した証明書に基づいて検証する。クライアント側通信制御装置30は、検証が成功すると、その証明書が間違いなくサーバ側通信制御装置31のものであると判定する。
クライアント側通信制御装置30とサーバ側通信制御装置31との間の相互認証が正しく行われると、クライアント側通信制御装置30とサーバ側通信制御装置31とは、それぞれ暗号化に用いる共通鍵を生成して交換する。
クライアント側通信制御装置30とサーバ側通信制御装置31との間の相互認証は、例えば次のように行われる。クライアント側通信制御装置30は、今までに受信したServerHello等から署名を生成し、サーバ側通信制御装置31に送信する。サーバ側通信制御装置31は、クライアント側通信制御装置30から受信した署名を、クライアント側通信制御装置30から受信した証明書に基づいて検証する。サーバ側通信制御装置31は、検証が成功すると、その証明書が間違いなくクライアント側通信制御装置30のものであると判定する。また、サーバ側通信制御装置31は、今までに受信したClientHello等から署名を生成し、クライアント側通信制御装置30に送信する。クライアント側通信制御装置30は、サーバ側通信制御装置31から受信した署名を、サーバ側通信制御装置31から受信した証明書に基づいて検証する。クライアント側通信制御装置30は、検証が成功すると、その証明書が間違いなくサーバ側通信制御装置31のものであると判定する。
クライアント側通信制御装置30とサーバ側通信制御装置31との間の相互認証が正しく行われると、クライアント側通信制御装置30とサーバ側通信制御装置31とは、それぞれ暗号化に用いる共通鍵を生成して交換する。
サーバ側通信制御装置31から送付されたサーバ装置20に対して発行された公開鍵とその証明書が、クライアント側通信制御装置30に許容される証明書であれば、サーバ側通信制御装置31は、クライアント側通信制御装置30から送付された公開鍵とその証明書が、サーバ側通信制御装置31に許容される証明書であれば、ハンドシェイクを終了する。
サーバ側通信制御装置31は、クライアント側通信制御装置30とのハンドシェイクが確立されると、サーバ装置20に対し、HTTPリクエストを送信する(ステップS5)。HTTPリクエストは、ステップS1においてクライアント装置10から送信されるHTTPリクエストである。
サーバ側通信制御装置31により送信されたHTTPリクエストは、サーバ装置20により受信される(ステップS6)。このとき、サーバ装置20は、クライアント装置10からHTTPリクエストが要求されたと認識する。このため、サーバ装置20は、クライアント装置10に対しするHTTPレスポンスを応答する(ステップS7)。サーバ装置20が送信したHTTPレスポンスは、サーバ側通信制御装置31により取得される(ステップS8)。
サーバ側通信制御装置31は、取得したサーバ装置20からのHTTPレスポンスを、ステップS4のハンドシェイクにおいて決定された共通鍵を用いて暗号化する(ステップS9)。サーバ側通信制御装置31により暗号化されたHTTPレスポンスは、ネットワークNWを介してクライアント側通信制御装置30に受信される(ステップS10)。クライアント側通信制御装置30は、受信したHTTPレスポンスを、共通鍵を用いて復号する(ステップS11)。クライアント側通信制御装置30により復号されたHTTPレスポンスは、クライアント装置10に取得される(ステップS12)。クライアント装置10は、復号されたHTTPレスポンスを受信する(ステップS13)。このとき、クライアント装置10は、サーバ装置20からHTTPレスポンスが応答されたと認識する。このため、クライアント装置10は、サーバ装置20に対し、撮像データを送信する(ステップS14)。
クライアント装置10が送信した撮像データは、クライアント側通信制御装置30により取得される(ステップS15)。クライアント側通信制御装置30は、クライアント装置10により送信された撮像データを、共通鍵を用いて暗号化する(ステップS16)。クライアント側通信制御装置30により暗号化された撮像データは、ネットワークNWを介してサーバ側通信制御装置31に受信される(ステップS17)。
サーバ側通信制御装置31は、受信した撮像データを、共通鍵を用いて復号する(ステップS18)。サーバ側通信制御装置31により復号された撮像データは、サーバ装置20にとり取得される(ステップS19)。サーバ装置20は、復号された撮像データを受信する(ステップS20)。このとき、サーバ装置20は、クライアント装置10からの撮像データを受信したと認識する。
なお、上記フローチャートのステップS4において、クライアント側通信制御装置30とサーバ側通信制御装置31との間の相互認証が正しく行われなかった場合、クライアント側通信制御装置30は、通信先との通信を許可しない。具体的には、クライアント側通信制御装置30は、通信先から送信された情報をクライアント装置10に出力しない。相互認証が正しく行われなかった場合、通信先がサーバ側通信制御装置31に見せかけた不正な通信装置である可能性があるためである。この場合、クライアント側通信制御装置30は、例えば、相互認証が正しく行われなかった場合の通信記録を通信制御管理装置50に送信するようにしてもよい。これより、通信制御管理装置50は相互認証が正しく行われなかった場合の通信記録を取得することができ、管理下にあるクライアント側通信制御装置30に対する不正な通信のパターンや頻度を把握することで、ネットワークの異常を監視することができる。
また、クライアント側通信制御装置30は、上記フローチャートのステップS4において行われるハンドシェイクにおいて相互認証の代わりにクライアント装置10に対する通信を許可する通信機器の情報を示す送信先リストに基づいて、通信先との通信を許可するか否かを判定するようにしてもよい。送信先リストに示される通信機器の情報は、例えばURL(Uniform Resource Locator)である。クライアント側通信制御装置30の制御部33は、通信先のURLが送信先リストに登録されているURLである場合に当該通信先との通信を許可し、送信先リストに登録されていない場合には通信を許可しない。
また、制御部33は、送信先リストを更新するようにしてもよい。制御部33は、例えば、一定期間にクライアント装置10に対する通信を許可された通信先のURL、および許可されなかった通信先URLを記憶させる。そして、制御部33は、例えば、送信先リストに登録されたURLのうち、一定期間に通信が行われた通信先のURLを再度登録する等することにより送信先リストを更新する。あるいは、クライアント側通信制御装置30は、一定期間に通信を許可された通信先URL、および許可されなかった通信先URLを通信制御管理装置50に送信するようにしてもよい。この場合、例えば、通信制御管理装置50は、クライアント側通信制御装置30と通信を行った通信先URLに基づいて、送信先リストを更新するようにしてもよい。通信制御管理装置50により送信先リストが更新されることで、通信制御管理装置50が管理下にあるクライアント側通信制御装置30と通信する通信機器を一括して管理することができる。
また、クライアント側通信制御装置30は、ステップS4において行われるハンドシェイクが確立した後にクライアント装置10に対して送信された情報(例えば、ファームウェアの更新プログラム)の内容が正しいか否かの検証を行うようにしてもよい。例えば、クライアント側通信制御装置30の制御部33は、ネットワークNWを介してクライアント装置10のファームウェアの更新プログラムが送信された場合、検証用の鍵(検証鍵)を用いて検証する。この場合、通信制御管理装置50は、例えば、クライアント側通信制御装置30およびサーバ側通信制御装置31それぞれに検証鍵を送信するようにしてもよい。
例えば、サーバ側通信制御装置31は、クライアント装置10へ送信する情報(平文)からハッシュ値を生成し、生成したハッシュ値を検証鍵で暗号化する。そして、サーバ側通信制御装置31は、平文と暗号化したハッシュ値をさらに秘密鍵で暗号してクライアント装置10へ送信する。また、クライアント側通信制御装置30は共通鍵を用いて情報を復号化し、平文と暗号化されたハッシュ値とを取得する。
また、クライアント側通信制御装置30は、取得した平文からハッシュ値を生成するとともに、暗号化されたハッシュ値を検証鍵で復号する。クライアント側通信制御装置30は、平文から生成したハッシュ値と、復号化したハッシュ値とが等しい値である場合、クライアント装置10に対して送信された情報は正しい内容であると判定する。この場合、クライアント側通信制御装置30は、復号した情報(平文)をクライアント装置10に出力する。一方、クライアント側通信制御装置30は、平文から生成したハッシュ値と復号化したハッシュ値が等しい値でない場合、クライアント装置10に対して送信された情報は、サーバ装置20またはサーバ側通信制御装置31に見せかけた不正な通信装置から送信された不正な情報である可能性があると判定する。この場合、クライアント側通信制御装置30は、復号した情報(平文)をクライアント装置10に出力しない。
これにより、クライアント装置10は、検証済みである正しい内容であることが検証された情報のみを受け取ることができる。また、通常、クライアント装置10がファームウェアを更新する際の更新プログラムの内容が正しいか否かの判定を行うと考えられるが、クライアント装置10に代わりサーバ側通信制御装置31がクライアント装置10に対して送信された情報の内容を検証することにより、クライアント装置10の処理負担を軽減させることが可能となる。
以上説明したように、実施形態の通信制御システム1は、クライアント装置10とネットワークNWとの間に接続されるクライアント側通信制御装置30と、サーバ装置20とネットワークNWとの間に接続されるサーバ側通信制御装置31と、を備える。クライアント側通信制御装置30は、ICカード40と、制御部33を有する。制御部33は、ICカード40に、相互認証と暗号化復号処理とのうち少なくとも一方の処理を依頼し、暗号化された情報をサーバ側通信制御装置31に送信し、復号された情報をクライアント装置10に送信する。サーバ側通信制御装置31は、ICカード40と、制御部33を有する。制御部33は、ICカード40に、相互認証と暗号化復号処理とのうち少なくとも一方の処理を依頼し、暗号化された情報をクライアント側通信制御装置30に送信し、復号された情報をサーバ装置20に送信する。この場合、通信制御装置30(31)の制御部33は、ICカード40に相互認証の処理のみをさせてもよいし、暗号化復号処理のみをさせてもよいし、相互認証と暗号化復号処理との両方の処理をさせてもよい。
これにより、実施形態の通信制御システム1は、社会インフラシステムを変更することなく、社会インフラシステムの安全性を向上させることができる。クライアント装置10からサーバ装置20に対して送信されたHTTPプロトコルの撮像データ(いわゆる平文)が、クライアント側通信制御装置30により、例えば、SSL/TLSプロトコルと組み合わされて、安全性が向上されたHTTPSに置き換えられるためである。また、サーバ装置20かクライアント装置10らに対して送信された制御データは、暗号化されるが、クライアント側通信制御装置30により復号されて、クライアント装置10に受信されるため、クライアント装置10に復号させる処理を行わせる必要がなく、既存の装置を変更することなくそのまま利用することができる。
また、実施形態の通信制御システム1では、クライアント側通信制御装置30とサーバ側通信制御装置31とが相互認証を行うため、いずれか一方方向のみの認証を行う場合よりも安全性を向上させることができる。一般的なクライアント端末とサーバ端末においては、サーバ端末に対して不特定多数のクライアント端末が通信を行うため、当該不特定多数のクライアント端末に対して正当なクライアント証明書を発行して管理し続けることは現実的ではない。しかしながら、社会インフラシステムにおいては、クライアント装置10とサーバ装置20の関係は明確に特定されている。このため、クライアント側通信制御装置30とサーバ側通信制御装置31とが相互認証を行うことが可能であり、安全性を向上させることができる。
クライアント証明書を有していないクライアント端末の場合、サーバ端末と通信を行うために、サーバ端末が発行したIDやパスワードの入力を求められることがある。このようなパスワード認証においては、安全性を維持するために、パスワードに対し文字と数字を組合せた長文の文字列が要求されたり、定期的なパスワードの変更等が求められたりすることがある。しかしながら、覚えなければならないパスワードが増えると、管理が面倒になってしまい、パスワードをメモに残したり、ウェブブラウザに記録させたりするなど、かえってパスワードが漏洩してしまう場合があった。
これに対し、実施形態の通信制御システム1では、クライアント側通信制御装置30がクライアント証明書を有することにより、サーバ装置20との間で確実に相互認証を行うことができる。このため、パスワード認証が不要となる。このため、パスワードを入力する手間や定期的に変更して管理する手間がなくなり、ユーザの利便性が向上する。つまり、ユーザに負担をかけることなく安全性を維持することができる。
また、クライアント証明書を有していないクライアント端末が、IDやパスワードによる認証に基づいてサーバ端末と通信を行う場合、IDとパスワードが正しく入力できてしまえば、だれでもサーバ端末と通信することができてしまう。このため、クライアント端末を不正に乗っ取り、サーバ端末へ不正にアクセスすることが可能となってしまう。このため例えば、不正に乗っ取られたサーバ端末によってクライアント端末の機能が制限され、解除するために身代金が要求されるといったランサムウェアに感染する可能性があった。
これに対し、実施形態の通信制御システム1では、クライアント装置10とサーバ装置20との間で、通信制御装置30(31)を介した相互認証が行われることにより、クライアント装置10やサーバ装置20が不正に乗っ取られることがない。つまり、実施形態の通信制御システム1では、ランサムウェアに対する対策も可能となる。
また、例えばネットワーク内に、管理者が不在の端末(野良デバイスともいう)がある場合、その端末が不正に乗っ取られることにより、その端末がマルウェア等の攻撃を行う不正な端末として利用されてしまう場合があった。これに対し、実施形態の通信制御システム1では、クライアント装置10とサーバ装置20との間で、通信制御装置30(31)を介した相互認証が行われることにより、ネットワークNWの内部にある管理者が不在の端末が不正に乗っ取られて攻撃に利用された場合であっても、マルウェア等に感染することを防止することができる。
また、実施形態の通信制御システム1では、サーバ装置20がサーバ側通信制御装置31に接続されており、サーバ装置20の内部で認証処理を行わない。このため、サーバ装置20の内部で証明書等を保持する必要がなく、サーバ側通信制御装置31に接続されたサーバ装置20が通信制御管理装置50の管理下であることが明確となる。もっとも、サーバ装置20が、すでにサーバ側通信制御装置31に相当する機能部を有している場合には、必ずしもサーバ装置20とネットワークNWとの間にサーバ側通信制御装置31が物理的に接続される必要はない。この場合、サーバ装置20が元々有するサーバ側通信制御装置31に相当する機能部により、クライアント側通信制御装置30との間の認証処理が行われる。
また、実施形態の通信制御システム1では、ICカード40の制御部401において、相互認証と暗号化復号処理とのうち少なくともいずれか一方を行わせる。このため、通信制御装置30(31)の装置コストを抑制することができる。
なお、実施形態の通信制御システム1においては、通信制御装置30(31)に装着されたICカード40が、相互認証と暗号化復号処理とのうち少なくともいずれか一方の処理を行う例を説明したが、当該処理を行う機能部がICカードに限定されることはない。実施形態のICカード40としては、秘密鍵およびクライアント証明書(あるいは、サーバ証明書)を記憶する記憶機能と、相互認証と暗号化復号処理とのうち少なくともいずれか一方を行う処理機能を有している機能部であればよく、例えば、ICチップが搭載されたSIMカードであってもよい。
また、実施形態の通信制御システム1においては、クライアント側通信制御装置30のICカード40は、クライアント側通信制御装置30に対して着脱可能に装着される。これにより、実施形態の通信制御システム1においては、ICカード40とクライアント側通信制御装置30とが分離可能であるため、どちらか一方を交換する場合には、当該一方のデバイスを交換すればよい。例えば、ICカード40とクライアント側通信制御装置30とが一体化された場合には、ICカード40に相当する部分を交換する場合には、クライアント側通信制御装置30全体を交換しなければならないが、この場合と比較して、実施形態の通信制御システム1では、クライアント側通信制御装置30が有するICカード40等の特定の部分を交換する場合のメンテナンスコストを抑制することができる。
また、実施形態の通信制御システム1は、通信制御管理装置50を更に備え、通信制御管理装置50は、クライアント側通信制御装置30に装着されたICカード40に記憶させる秘密鍵、及びクライアント証明書をクライアント側通信制御装置30に送信し、サーバ側通信制御装置31に装着されたICカード40に記憶させる秘密鍵、及びサーバ証明書をサーバ側通信制御装置31に送信する。これにより、実施形態の通信制御システム1は、通信制御管理装置50により発行された正当な秘密鍵、証明書を用いて、ハンドシェイクを行い、共通鍵を決定することができ、上述した効果を奏する他、社会インフラシステムの安全性を更に向上させることができる。
以上、実施形態の通信制御システム1について説明したが、実施形態の構成は、上記例に限定されない。例えば、通信制御装置30(31)は、処理の負荷に基づき、ハードウェアにより通信制御装置30(31)の機能を実現するHSM(Hardware Security Module)を用いてもよい。
また、実施形態の通信制御システム1においては、SSL/TLSプロトコルを用いたセキュアな通信を常時行うようにしてもよいし、SSL/TLSプロトコルを用いた通信を行うか否かを選択可能にしてもよい。また、クライアント装置10とサーバ装置20との間における双方向の通信のうち一方の方向の通信のみをSSL/TLSプロトコルを用いた通信としてもよい。また、SSL/TLSプロトコルを用いたセキュアな通信を常時行うようにしてもよいし、SSL/TLSプロトコルを用いた通信を行うか否かを選択可能にしてもよい。
SSL/TLSプロトコルを用いた通信を常時行うようにすることで、通信制御装置30(31)により認証された正当な通信制御装置30(31)とは異なる装置からの通信を遮断することができる。このため、クライアント装置10やサーバ装置20に対する不正なアクセスや、クライアント装置10やサーバ装置20がマルウェアに感染することを抑止することができる。
SSL/TLSプロトコルを用いた通信を常時行うようにすることで、通信制御装置30(31)により認証された正当な通信制御装置30(31)とは異なる装置からの通信を遮断することができる。このため、クライアント装置10やサーバ装置20に対する不正なアクセスや、クライアント装置10やサーバ装置20がマルウェアに感染することを抑止することができる。
また、実施形態の通信制御システム1においては、SSL/TLSプロトコルを用いた通信を常時行い、クライアント装置10やサーバ装置20に対する不正なアクセスを記憶するようにしてもよい。この場合、通信制御管理装置50に不正なアクセスの記録が送信されるようにしてもよい。通信制御管理装置50は、不正なアクセスの有無を認識することができ、システム全体に対する大規模攻撃が開始される前の予兆の段階を検出して対策することが可能となる。
また、実施形態の通信制御システム1においては、通信制御装置30(31)は、定期的に、自装置が接続されているクライアント装置10またはサーバ装置20との接続が維持されているか否かを確認するようにしてもよい。この場合、通信制御管理装置50に接続状態を示す情報が送信されるようにしてもよい。通信制御管理装置50は、通信制御装置30(31)から接続状態を示す情報が受信できない場合などには、通信制御装置30(31)がクライアント装置10またはサーバ装置20から切り離された判断し、当該切り離された通信制御装置30(31)を無効とする。こうすることで通信制御管理装置50は、切り離された通信制御装置30(31)が不正な装置に接続されてなりすましに悪用されることを抑制する。
また、実施形態の通信制御システム1においては、通信制御装置30(31)に装着するICカード40に、CC(Common Criteria/ISO15408)認証を取得したセキュアエレメントと呼ばれる耐タンパ性の高いチップを搭載してもよい。このチップを用いて、秘密鍵や公開鍵を含む証明書を記憶させることにより、非常に高い安全性を維持することができる。
また、実施形態の通信制御システム1においては、サーバ装置20や通信制御管理装置50等から、通信制御装置30(31)を介して、クライアント装置10のプログラムを更新させるようにしてもよい。通信制御装置30(31)を介してプログラムの更新(ファームウェアのアップデート)が行われることにより、安全にクライアント装置10の機能を更新させることができる。このようにサーバ装置20からクライアント装置10に対してファームウェアが送信される場合、サーバ装置20から送信されるファームウェアには、例えばサーバ側通信制御装置31により暗号化されたサーバ装置20の署名が付与される。この場合、クライアント装置10では、クライアント側通信制御装置30により署名が復号されることにより、送信されたファームウェアが間違いなくサーバ装置20から送信されたファームウェアであると判定することができる。これにより、あたかもサーバ装置20であるかのように装う不正な端末から、不正なファームウェアがクライアント装置10に送信されてしまった場合であっても、クライアント装置10に対し不正なファームウェアに基づく誤った更新がなされてしまうことを排除することができる。
また、このように通信制御装置30(31)を介して通信が行われることにより、サーバ装置20や通信制御管理装置50等からクライアント装置10にファームウェアを安全に更新することができるため、作業員が複数のクライアント装置10に対して物理的に各々のクライアント装置10が設置されている場所まで移動してファームウェアのアップデート作業を行う場合と比較して、作業コストを低減させることも可能である。
また、実施形態の通信制御システム1においては、サーバ装置20や通信制御管理装置50等から、通信制御装置30(31)を介して、クライアント装置10の起動や停止を行ってもよい。通信制御装置30(31)を介して起動や停止(リモートアクティベーション)が行われることにより、安全にクライアント装置10の機能を更新させることができ、セキュアな遠隔制御を実現させることができる。
また、実施形態の通信制御システム1においては、クライアント装置10、およびサーバ装置20が有線により通信する場合を例に説明したが、これに限定されることはない。クライアント装置10、およびサーバ装置20のうち少なくともいずれかが無線LAN等により無線通信を行う装置であってもよい。例えば、クライアント装置10が無線通信によりサーバ装置20と通信を行う場合、クライアント側通信制御装置30は、無線による通信機能を有し、クライアント装置10により送信されるデータを暗号化し、暗号化したデータを、無線通信によりサーバ装置20に送信する。
なお、上述した実施形態の通信制御システム1において、クライアント側通信制御装置30がサーバ側通信制御装置31と通信を行う例を説明したが、クライアント側通信制御装置30の通信先はこれに限定されることはない。例えば、クライアント側通信制御装置30-1は、クライアント側通信制御装置30-2と通信を行ってもよい。クライアント側通信制御装置30-1は、クライアント側通信制御装置30-2から通信開始の合図を受信した場合、まずクライアント側通信制御装置30-2との間で相互認証を行い、クライアント側通信制御装置30-2が正当な通信端末であることを確認する。そして、相互認証が正しく行われた場合、クライアント側通信制御装置30-1は、クライアント側通信制御装置30-2から受信した情報をクライアント装置10に出力する。暗号を使用して送信データに認証子が付与されることにより、通信情報の改ざんの検出及び送信者の特定が可能となる。このため、本実施形態の通信制御システム1においては、クライアント側通信制御装置30とサーバ側通信制御装置31との通信、及びクライアント側通信制御装置30同士の通信において、「正しい相手から」、「改ざんされていないデータを受け取る」ことを確実にすることができる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
1…通信制御システム、10…クライアント装置、20…サーバ装置、30クライアント側通信制御装置、31…サーバ側通信制御装置、40…ICカード、402…コマンド処理部、403…暗号化復号部、405…証明書情報記憶部、406…秘密情報記憶部。
Claims (4)
- クライアント装置とネットワーク通信網との間に接続される第1の通信制御装置と、
サーバ装置とネットワーク通信網との間に接続される第2の通信制御装置と、
を備え、
前記第1の通信制御装置は、
第1の認証部と、
前記第1の認証部に記憶させた秘密鍵、及びクライアント証明書を用いる相互認証を前記第2の通信制御装置との間で行う相互認証処理と、前記クライアント装置により前記サーバ装置に対して送信される情報を、前記第1の通信制御装置と前記第2の通信制御装置との間で決定された共通鍵を用いて暗号化するとともに、前記サーバ装置により前記クライアント装置に対して送信された情報を、前記共通鍵を用いて復号する暗号化復号処理とのうち少なくとも一方の処理を依頼する第1の制御部を有し、
前記第2の通信制御装置は、
第2の認証部と、
前記第2の認証部に記憶させた秘密鍵、及びサーバ証明書を用いる相互認証を前記第1の通信制御装置との間で行う相互認証処理と、前記サーバ装置により前記クライアント装置に対して送信される情報を、前記共通鍵を用いて暗号化するとともに、前記クライアント装置により前記サーバ装置に対して送信された情報を、前記共通鍵を用いて復号する暗号化復号処理とのうち少なくとも一方の処理を依頼する第2の制御部を有する
通信制御システム。 - 前記第1の認証部は、前記第1の通信制御装置に対して着脱可能に装着される
請求項1に記載の通信制御システム。 - 前記第1の認証部は、前記クライアント装置に対する通信が許可される通信機器に関する情報を示す送信先リストに基づいて、前記クライアント装置に対して情報を送信した通信装置に対する前記クライアント装置との通信を許可するか否かを判定する
請求項1又は請求項2に記載の通信制御システム。 - 前記第1の通信制御装置は、所定のタイミングで前記クライアント装置との接続が維持されているか否かを判定する
請求項1から請求項3のいずれか一項に記載の通信制御システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022005865A JP2022040301A (ja) | 2020-01-06 | 2022-01-18 | 通信制御システム |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020000499A JP7042853B2 (ja) | 2020-01-06 | 2020-01-06 | クライアント側通信制御装置、およびサーバ側通信制御装置 |
JP2022005865A JP2022040301A (ja) | 2020-01-06 | 2022-01-18 | 通信制御システム |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020000499A Division JP7042853B2 (ja) | 2020-01-06 | 2020-01-06 | クライアント側通信制御装置、およびサーバ側通信制御装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2022040301A true JP2022040301A (ja) | 2022-03-10 |
Family
ID=69901912
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020000499A Active JP7042853B2 (ja) | 2020-01-06 | 2020-01-06 | クライアント側通信制御装置、およびサーバ側通信制御装置 |
JP2022005857A Pending JP2022040299A (ja) | 2020-01-06 | 2022-01-18 | クライアント側通信制御装置 |
JP2022005865A Pending JP2022040301A (ja) | 2020-01-06 | 2022-01-18 | 通信制御システム |
Family Applications Before (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020000499A Active JP7042853B2 (ja) | 2020-01-06 | 2020-01-06 | クライアント側通信制御装置、およびサーバ側通信制御装置 |
JP2022005857A Pending JP2022040299A (ja) | 2020-01-06 | 2022-01-18 | クライアント側通信制御装置 |
Country Status (1)
Country | Link |
---|---|
JP (3) | JP7042853B2 (ja) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001251297A (ja) * | 2000-03-07 | 2001-09-14 | Cti Co Ltd | 情報処理装置、該情報処理装置を具備する暗号通信システム及び暗号通信方法 |
JP2002540443A (ja) * | 1999-01-29 | 2002-11-26 | ジェネラル・インストルメント・コーポレーション | セキュアなマイクロプロセッサ中の単一のトランザクションにおける、解読および認証を用いた認証の実施 |
JP2007323553A (ja) * | 2006-06-05 | 2007-12-13 | Hitachi Ltd | ネットワーク上の暗号化通信を行うアダプタ装置及びicカード |
JP2008197963A (ja) * | 2007-02-14 | 2008-08-28 | Tourbillon:Kk | セキュリティアダプタ |
CN102348210A (zh) * | 2011-10-19 | 2012-02-08 | 迈普通信技术股份有限公司 | 一种安全性移动办公的方法和移动安全设备 |
JP2015060519A (ja) * | 2013-09-20 | 2015-03-30 | 株式会社日立製作所 | 情報処理システム、情報処理システムの通信制御装置、及び情報処理システムの通信制御方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5978325B2 (ja) * | 2015-01-23 | 2016-08-24 | ソフトバンク・ペイメント・サービス株式会社 | ワンタイム認証システム、ワンタイム認証方法、認証サーバー、携帯端末、及びワンタイム認証プログラム |
JP6644037B2 (ja) * | 2017-09-08 | 2020-02-12 | 株式会社東芝 | 通信制御システム |
-
2020
- 2020-01-06 JP JP2020000499A patent/JP7042853B2/ja active Active
-
2022
- 2022-01-18 JP JP2022005857A patent/JP2022040299A/ja active Pending
- 2022-01-18 JP JP2022005865A patent/JP2022040301A/ja active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002540443A (ja) * | 1999-01-29 | 2002-11-26 | ジェネラル・インストルメント・コーポレーション | セキュアなマイクロプロセッサ中の単一のトランザクションにおける、解読および認証を用いた認証の実施 |
JP2001251297A (ja) * | 2000-03-07 | 2001-09-14 | Cti Co Ltd | 情報処理装置、該情報処理装置を具備する暗号通信システム及び暗号通信方法 |
JP2007323553A (ja) * | 2006-06-05 | 2007-12-13 | Hitachi Ltd | ネットワーク上の暗号化通信を行うアダプタ装置及びicカード |
JP2008197963A (ja) * | 2007-02-14 | 2008-08-28 | Tourbillon:Kk | セキュリティアダプタ |
CN102348210A (zh) * | 2011-10-19 | 2012-02-08 | 迈普通信技术股份有限公司 | 一种安全性移动办公的方法和移动安全设备 |
JP2015060519A (ja) * | 2013-09-20 | 2015-03-30 | 株式会社日立製作所 | 情報処理システム、情報処理システムの通信制御装置、及び情報処理システムの通信制御方法 |
Non-Patent Citations (1)
Title |
---|
奥村康弘,小林雄一: "ネットワーク・ニューパワーズ 第5回", N+I NETWORK GUIDE, vol. 第1巻,第8号, JPN6023012415, 1 December 2001 (2001-12-01), JP, pages 18 - 21, ISSN: 0005029831 * |
Also Published As
Publication number | Publication date |
---|---|
JP7042853B2 (ja) | 2022-03-28 |
JP2020048239A (ja) | 2020-03-26 |
JP2022040299A (ja) | 2022-03-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6644037B2 (ja) | 通信制御システム | |
JP7191726B2 (ja) | 通信制御装置および通信システム | |
JP7132150B2 (ja) | 通信制御システム | |
US11736219B2 (en) | Communication control device and communication control system | |
JP7246945B2 (ja) | 通信制御ユニット | |
JP7042853B2 (ja) | クライアント側通信制御装置、およびサーバ側通信制御装置 | |
JP7163206B2 (ja) | 通信制御装置 | |
JP7458470B2 (ja) | 通信制御装置 | |
US20230403177A1 (en) | Communication system and computer-readable storage medium | |
WO2023176431A1 (ja) | 情報処理装置および通信システム | |
JP7273523B2 (ja) | 通信制御装置および通信制御システム | |
GB2570292A (en) | Data protection | |
JP7191727B2 (ja) | 通信制御装置および通信システム | |
JP7278807B2 (ja) | 通信制御装置および通信システム | |
JP2024074630A (ja) | 情報処理装置および通信システム | |
JP2024008566A (ja) | 情報処理装置および通信システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220118 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230404 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230529 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20230822 |