WO2020234976A1

WO2020234976A1 - 通信システム、鍵交換端末、エレベーター、遠隔監視サーバー、および通信プログラム

Info

Publication number: WO2020234976A1
Application number: PCT/JP2019/019944
Authority: WO
Inventors: 真人高井
Original assignee: 三菱電機株式会社
Priority date: 2019-05-20
Filing date: 2019-05-20
Publication date: 2020-11-26
Also published as: CN113811504B; JPWO2020234976A1; JP7120455B2; CN113811504A

Abstract

通信の暗号化にかかるエレベーターの計算負荷を低減する通信システム、鍵交換端末、エレベーター、遠隔監視サーバー、および通信プログラムを提供する。通信システム（１）において、かご（７）を有するエレベーター（２）が計測するかご（７）の運動に基づいて第１共通鍵（Ｋ１）が生成される。かご（７）とともに運動する鍵交換端末（２０）において、エレベーター（２）による運動の計測と同期して計測される鍵交換端末（２０）の運動に基づいて第２共通鍵（Ｋ２）が生成される。第２共通鍵（Ｋ２）は、鍵交換端末（２０）からセキュアな第２通信路（２７）を通じて遠隔監視サーバー（２１）に送信される。エレベーター（２）と遠隔監視サーバー（２１）との間で通信されるデータは、第１共通鍵（Ｋ１）または第２共通鍵（Ｋ２）のいずれかによって、共通鍵暗号方式によって暗号化される。

Description

通信システム、鍵交換端末、エレベーター、遠隔監視サーバー、および通信プログラム

　本発明は、通信システム、鍵交換端末、エレベーター、遠隔監視サーバー、および通信プログラムに関する。

　特許文献１は、エレベーターの遠隔監視システムの例を開示する。遠隔監視システムの監視装置と監視サーバーとの間において、暗号化されたデータが通信される。

日本特開２００７－３９１６６号公報

　しかしながら、特許文献１に記載の遠隔監視システムにおいて、監視装置および監視サーバーは、公開鍵暗号方式によって交換された暗号鍵によって暗号化を行う。このため、エレベーターの監視装置は、公開鍵暗号方式の計算負荷の大きい処理を必要とする。

　本発明は、このような課題を解決するためになされた。本発明の目的は、通信の暗号化にかかるエレベーターの計算負荷を低減する通信システムを提供し、当該通信システムにおける鍵交換端末、エレベーター、遠隔監視サーバー、および通信プログラムを提供することである。

　本発明に係るエレベーターの通信システムは、昇降路を走行することで運動するエレベーターのかごに設けられ、かごの運動を計測する第１計測部と、かごとともに運動する鍵交換端末の運動を計測する第２計測部と、第１計測部および第２計測部による運動の計測を同期させる同期通信部と、第１計測部が計測するかごの運動に基づいて第１共通鍵を生成する第１鍵生成部と、第１共通鍵によって暗号化されたデータを外部の遠隔監視サーバーに送信し、または、遠隔監視サーバーから受信する暗号化されたデータを第１共通鍵によって復号する第１通信部と、鍵交換端末に設けられ、第２計測部が計測する鍵交換端末の運動に基づいて第１共通鍵と同一な第２共通鍵を生成する第２鍵生成部と、鍵交換端末に設けられ、第２共通鍵をセキュアな通信路を通じて遠隔監視サーバーに送信する第２通信部と、を備える。

　本発明に係る鍵交換端末は、昇降路を走行することで運動するかごを有するエレベーターによるかごの運動の計測に同期して、かごとともにする運動を計測する計測部と、かごの運動に基づいてエレベーターが生成する第１共通鍵と同一な第２共通鍵を、計測部が計測する運動に基づいて生成する鍵生成部と、第１共通鍵によって暗号化されたデータのエレベーターからの受信または第１共通鍵によって復号されるデータのエレベーターへの送信の少なくとも一方を行う外部の遠隔監視サーバーに、鍵生成部が生成した共通鍵をセキュアな通信路を通じて送信する通信部と、を備える。

　本発明に係るエレベーターは、昇降路を走行することで運動するかごに設けられ、かごとともに運動する鍵交換端末による鍵交換端末の運動の計測に同期してかごの運動を計測する計測部と、鍵交換端末の運動に基づいて鍵交換端末が生成する第２共通鍵と同一な第１共通鍵を、計測部が計測する運動に基づいて生成する鍵生成部と、鍵交換端末がセキュアな通信路を通じて第２共通鍵を送信する外部の遠隔監視サーバーとの間で、第１共通鍵または第２共通鍵のいずれかによって暗号化されたデータを通信する通信部と、を備える。

　本発明に係る遠隔監視サーバーは、昇降路を走行することで運動するエレベーターのかごとともに運動する鍵交換端末が計測する鍵交換端末の運動に基づいて鍵交換端末が生成した第２共通鍵を、鍵交換端末からセキュアな通信路を通じて受信する鍵通信部と、鍵交換端末による運動の計測に同期してエレベーターが計測するかごの運動に基づいてエレベーターが生成した第１共通鍵または第２共通鍵のいずれかによって暗号化されたデータを、エレベーターとの間で通信するデータ通信部と、を備える。

　本発明に係る通信プログラムは、昇降路を走行することで運動するエレベーターのかごとともに運動する鍵交換端末が計測する鍵交換端末の運動に基づいて鍵交換端末が生成した第２共通鍵を、鍵交換端末からセキュアな通信路を通じて受信させる鍵通信ステップと、鍵交換端末による運動の計測に同期してエレベーターが計測するかごの運動に基づいてエレベーターが生成した第１共通鍵または第２共通鍵のいずれかによって暗号化されたデータを、エレベーターとの間で通信させるデータ通信ステップと、を遠隔監視サーバーに実行させる。

　本発明によれば、昇降路を走行することで運動するかごを有するエレベーターにおいて、エレベーターが計測するかごの運動に基づいて第１共通鍵が生成される。かごとともに運動する鍵交換端末において、エレベーターによる運動の計測と同期して計測される鍵交換端末の運動に基づいて第２共通鍵が生成される。第２共通鍵は、鍵交換端末からセキュアな通信路を通じて遠隔監視サーバーに送信される。エレベーターと遠隔監視サーバーとの間で通信されるデータは、同期している第１共通鍵または第２共通鍵のいずれかによって暗号化される。これにより、通信の暗号化にかかるエレベーターの計算負荷が低減される。

実施の形態１に係る通信システムの構成図である。実施の形態１に係る通信システムにおける共通鍵の生成の例を示す図である。実施の形態１に係るエレベーターの動作の例を示すフローチャートである。実施の形態１に係る鍵交換端末の動作の例を示すフローチャートである。実施の形態１に係る遠隔監視サーバーの動作の例を示すフローチャートである。実施の形態１に係る通信システムの主要部のハードウェア構成を示す図である。

　本発明を実施するための形態について添付の図面を参照しながら説明する。各図において、同一または相当する部分には同一の符号を付して、重複する説明は適宜に簡略化または省略する。

　実施の形態１．
　図１は、実施の形態１に係る通信システムの構成図である。

　通信システム１は、エレベーター２を含む。通信システム１は、エレベーター２における通信を行うシステムである。

　エレベーター２は、複数の階床を有する建築物３に設けられる。建築物３において、エレベーター２の昇降路４は、複数の階床の各々を貫く。

　エレベーター２は、巻上機５と、主索６と、かご７と、釣合い錘８と、制御盤９と、を備える。巻上機５は、例えば昇降路４の上部または下部に設けられる。巻上機５は、モーターとシーブとを備える。巻上機５のモーターは、シーブを回転させる駆動力を発生させる装置である。主索６は、巻上機５のシーブに巻き掛けられる。主索６は、巻上機５のシーブの回転によって駆動される機器である。かご７は、昇降路４において、巻上機５のシーブに対して主索６の一方側に設けられる。釣合い錘８は、昇降路４において、巻上機５のシーブに対して主索６の他方側に設けられる。かご７は、巻上機５のモーターに駆動される主索６に追従して昇降路４を鉛直方向に走行することで、建築物３の複数の階床の間で利用者などを輸送する装置である。釣合い錘８は、主索６を通じて巻上機５のシーブにかかるかご７の荷重との釣合いを取る装置である。釣合い錘８は、巻上機５のモーターに駆動される主索６に追従して昇降路４をかご７の反対方向に走行する。制御盤９は、エレベーター２の動作を制御する装置である。エレベーター２の動作は、例えばかご７の走行を含む。

　エレベーター２は、かご上装置１０と、遠隔監視装置１１と、を備える。

　かご上装置１０は、かご７の上部に設けられる。かご上装置１０は、かご７とともに運動する。かご上装置１０は、第１計測部１２と、同期通信部１３と、を備える。

　第１計測部１２は、かご７の運動を計測する部分である。第１計測部１２は、第１加速度計１４と、第１高度計１５と、を備える。第１加速度計１４は、かご７の加速度を計測する機器である。第１高度計１５は、昇降路４におけるかご７の高度を計測する機器である。第１高度計１５は、例えば気圧式の高度計である。

　同期通信部１３は、運動の計測を行う機器などの間で同期を取る部分である。同期通信部１３は、例えば計測タイミングを表す同期信号を出力しうるように、第１計測部１２に接続される。

　遠隔監視装置１１は、例えばエレベーター２の外部の装置との間で、エレベーター２の情報などを通信する装置である。通信されるエレベーター２の情報は、例えばエレベーター２の運行のデータ、または異常もしくは故障のデータなどを含む。遠隔監視装置１１は、データ記憶部１６と、第１鍵生成部１７と、第１通信部１８と、を備える。

　データ記憶部１６は、通信されるエレベーター２の情報のデータを記憶する部分である。データ記憶部１６は、記憶するデータを取得しうるように、例えば制御盤９に接続される。

　第１鍵生成部１７は、かご７の運動に基づいて第１共通鍵Ｋ１を生成する部分である。第１共通鍵Ｋ１は、共通鍵暗号方式の共通鍵である。第１鍵生成部１７は、かご７の運動のデータを取得しうるように、例えば制御盤９を通じてかご上装置１０に接続される。

　第１通信部１８は、共通鍵暗号方式によって暗号化されたデータをエレベーター２の外部の装置との間で通信する部分である。このとき、暗号化されたデータは、第１通信路１９を通じて通信される。この例において、第１通信路１９は、非セキュアな通信路である。

　通信システム１は、鍵交換端末２０と、遠隔監視サーバー２１と、を備える。エレベーター２、鍵交換端末２０、および遠隔監視サーバー２１などの通信システム１の各装置の機能は、例えばインストールされている通信プログラムに基づいて実行される。

　鍵交換端末２０は、かご７とともに運動するように、例えばかご７の内部に持ち込まれる。鍵交換端末２０は、例えばスマートフォンなどの可搬な汎用の情報端末などである。鍵交換端末２０は、かご７と一体に運動するように、かご７の床面または壁面などに固定されてもよい。あるいは、鍵交換端末２０は、かご７の外部に固定されてもよい。鍵交換端末２０は、専用の装置であってもよい。鍵交換端末２０は、第２計測部２２と、第２鍵生成部２３と、第２通信部２４と、を備える。

　第２計測部２２は、鍵交換端末２０の運動を計測する部分である。この例において、第２計測部２２は、第１計測部１２と同じ方式によって運動を計測する。第２計測部２２は、第２加速度計２５と、第２高度計２６と、を備える。第２加速度計２５は、鍵交換端末２０の加速度を計測する機器である。第２高度計２６は、昇降路４における鍵交換端末２０の高度を計測する機器である。第２高度計２６は、例えば気圧式の高度計である。

　第２鍵生成部２３は、鍵交換端末２０の運動に基づいて第２共通鍵Ｋ２を生成する部分である。第２共通鍵Ｋ２は、共通鍵暗号方式の共通鍵である。第２鍵生成部２３は、運動のデータを取得しうるように、第２計測部２２に接続される。

　第２通信部２４は、生成された第２共通鍵Ｋ２を、外部の装置に送信する部分である。このとき、第２共通鍵Ｋ２は、第２通信路２７を通じて通信される。第２通信路２７は、セキュアな通信路である。第２通信路２７におけるセキュリティは、例えば公開鍵暗号方式などによって実現されてもよい。第２通信路２７は、例えばＴＬＳ（Ｔｒａｎｓｐｏｒｔ　Ｌａｙｅｒ　Ｓｅｃｕｒｉｔｙ）などのセキュアな通信プロトコルによって確立される通信路であってもよい。

　遠隔監視サーバー２１は、例えば情報センターに設けられる。遠隔監視サーバー２１は、例えばサーバーコンピューターである。情報センターは、エレベーター２の情報を収集する拠点である。情報センターは、例えばエレベーター２が設けられる建築物３の遠隔地にあってもよい。あるいは、遠隔監視サーバー２１は、例えばクラウドサーバーであってもよい。このとき、遠隔監視サーバー２１は、複数の拠点に設けられる複数のコンピューター装置によって構築される仮想的なサーバーであってもよい。遠隔監視サーバー２１は、データ通信部２８と、鍵通信部２９と、データ蓄積部３０と、を備える。

　データ通信部２８は、共通鍵暗号方式によって暗号化されたデータを通信する部分である。このとき、暗号化されたデータは、第１通信路１９を通じて通信される。すなわち、遠隔監視サーバー２１は、遠隔監視装置１１の第１通信部１８に第１通信路１９を通じて接続される外部の装置の例である。

　鍵通信部２９は、セキュアな第２通信路２７を通じて第２共通鍵Ｋ２を受信する部分である。すなわち、遠隔監視サーバー２１は、鍵交換端末２０の第２通信部２４に第２通信路２７を通じて接続される外部の装置の例である。

　データ蓄積部３０は、エレベーター２の情報のデータを蓄積する部分である。データ蓄積部３０は、データ通信部２８に送信されたデータを取得しうるように、データ通信部２８に接続される。データ蓄積部３０は、取得したデータを例えばデータベースに格納することによって記憶する。

　引き続き図１を用いて、通信システム１の機能を説明する。

　遠隔監視装置１１は、エレベーター２の情報を例えば制御盤９から収集する。データ記憶部１６は、収集したデータを記憶している。データ記憶部１６が記憶しているデータは、共通鍵暗号方式によって暗号化されて遠隔監視サーバー２１に送信される。このとき、共通鍵の交換は、次のように行われる。共通鍵の交換は、例えば定期的な保守点検のときなどに行われる。この場合に、鍵交換端末２０は、例えば保守点検を行う保守員によってかご７に持ち込まれる。

　通信システム１における共通鍵の交換のときに、エレベーター２の制御盤９は、鍵交換端末２０が持ち込まれたかご７を走行させる。かご７は、例えば保守員による操作に基づいて走行する。あるいは、かご７は、鍵交換端末２０から出力される制御信号に基づいて走行してもよい。あるいは、かご７は、例えば制御盤９などが予め記憶している鍵交換の走行パターンに基づいて走行してもよい。

　同期通信部１３は、かご７が走行している間に、計測タイミングを表す同期信号を第１計測部１２、および鍵交換端末２０の第２計測部２２の両方に出力する。このとき、同期通信部１３は、例えば無線通信によって同期信号を第２計測部２２に出力してもよい。

　かご７に設けられるかご上装置１０の第１計測部１２は、同期信号を受信するときに、計測しているかご７の運動を出力する。第１計測部１２は、制御盤９を通じて、計測した運動のデータを遠隔監視装置１１の第１鍵生成部１７に出力する。第１鍵生成部１７は、計測されたかご７の運動のデータに基づいて、第１共通鍵Ｋ１を生成する。

　一方、かご７とともに運動する鍵交換端末２０の第２計測部２２は、同期信号を受信するときに、計測している鍵交換端末２０の運動を出力する。第２計測部２２は、計測した運動のデータを第２鍵生成部２３に出力する。第２鍵生成部２３は、計測された鍵交換端末２０の運動のデータに基づいて、第２共通鍵Ｋ２を生成する。このとき、エレベーター２と鍵交換端末２０との間において、共通鍵のデータは通信されていない。第２通信部２４は、第２鍵生成部２３から第２共通鍵Ｋ２を取得する。第２通信部２４は、セキュアな第２通信路２７を通じて第２共通鍵Ｋ２を遠隔監視サーバー２１の鍵通信部２９に送信する。

　このように交換された共通鍵を用いて、遠隔監視装置１１および遠隔監視サーバー２１は、例えば次のようにデータの通信を行う。

　遠隔監視装置１１の第１通信部１８は、第１鍵生成部１７から第１共通鍵Ｋ１を取得する。第１通信部１８は、データ記憶部１６から通信するデータを取得する。第１通信部１８は、取得したデータを第１共通鍵Ｋ１によって暗号化する。第１通信部１８は、暗号化されたデータを遠隔監視サーバー２１に第１通信路１９を通じて送信する。

　遠隔監視サーバー２１のデータ通信部２８は、暗号化されたデータを遠隔監視装置１１から取得する。データ通信部２８は、鍵通信部２９から第２共通鍵Ｋ２を取得する。データ通信部２８は、取得した暗号化されたデータを第２共通鍵Ｋ２によって復号する。データ蓄積部３０は、復号されたデータを取得する。データ蓄積部３０は、取得したデータをデータベースに格納する。

　また、遠隔監視サーバー２１は、例えば運転を指示するデータなどを遠隔監視装置１１に送信してもよい。運転を指示するデータは、例えばエレベーター２の診断運転を開始させる制御信号のデータなどを含む。

　このとき、遠隔監視サーバー２１のデータ通信部２８は、鍵通信部２９から取得した第２共通鍵Ｋ２によって、通信するデータを暗号化する。データ通信部２８は、暗号化されたデータを遠隔監視装置１１に第１通信路１９を通じて送信する。

　遠隔監視装置１１の第２通信部２４は、暗号化されたデータを遠隔監視サーバー２１から取得する。第２通信部２４は、第１鍵生成部１７から第１共通鍵Ｋ１を取得する。第２通信部２４は、取得した暗号化されたデータを第１共通鍵Ｋ１によって復号する。第２通信部２４は、復号されたデータを制御盤９に出力する。制御盤９は、入力されたデータに基づいてエレベーター２の動作を制御する。

　続いて、図２を用いて、共通鍵の生成の例を説明する。
　図２は、実施の形態１に係る通信システムにおける共通鍵の生成の例を示す図である。

　この例において、かご７は、共通鍵の生成において最下階から最上階まで走行する。ここで、かご７は、共通鍵の生成において他の１組の階床の間を走行してもよい。あるいは、かご７は、共通鍵の生成において複数の組の階床の間を走行してもよい。

　図２において、グラフＡは、かご７および鍵交換端末２０の加速度の変化を表す。グラフＡの横軸は、加速度を表す。グラフＡの縦軸は、時間を表す。図２において、グラフＢは、かご７および鍵交換端末２０の高度の変化を表す。グラフＢの横軸は、高度を表す。グラフＢの縦軸は、時間を表す。グラフＡおよびグラフＢにおいて、実線はかご７の運動の計測値を表す。グラフＡおよびグラフＢにおいて、破線は鍵交換端末２０の運動の計測値を表す。

　かご７が走行しているときに、同期通信部１３は、例えばランダムなタイミングで同期信号を出力する。同期通信部１３は、同期信号の出力によって、第１計測部１２および第２計測部２２の間で同期を取る。この例において、通信システム１の共通鍵は、かご７および鍵交換端末２０の鉛直方向の加速度に基づいて生成される。

　同期通信部１３から同期信号が入力されるときに、第１計測部１２の第１加速度計１４は、かご７の運動として計測したかご７の加速度を出力する。ここで、第１計測部１２において、量子化ステップが設定されている。量子化ステップは、連続的な加速度などの値を離散的な値に変換する幅である。第１計測部１２は、計測結果を量子化された離散的な値として第１鍵生成部１７に出力する。第１鍵生成部１７は、第１計測部１２から入力された離散的な値に基づいて第１共通鍵Ｋ１を生成する。第１鍵生成部１７は、例えば離散的な値のハッシュ値を第１共通鍵Ｋ１としてもよい。

　一方、同期通信部１３から同期信号が入力されるときに、第２計測部２２の第２加速度計２５は、鍵交換端末２０の運動として計測した鍵交換端末２０の加速度を出力する。ここで、第２計測部２２において、第１計測部１２と同一の量子化ステップが設定されている。第２計測部２２は、計測結果を量子化された離散的な値として第２鍵生成部２３に出力する。第２鍵生成部２３は、第２計測部２２から入力された離散的な値に基づいて、第１鍵生成部１７と共通の方法によって第２共通鍵Ｋ２を生成する。第２鍵生成部２３は、例えば第１鍵生成部１７と共通のハッシュ関数によって、第２計測部２２から入力された離散的な値のハッシュ値を第２共通鍵Ｋ２としてもよい。

　かご７および鍵交換端末２０はともに運動するので、第１計測部１２および第２計測部２２は同一の運動を計測する。このため、第１共通鍵Ｋ１および第２共通鍵Ｋ２は、互いに同期している同一の共通鍵となる。ここで、第１計測部１２および第２計測部２２による計測結果は、計測誤差を含みうる。このため、量子化ステップの幅は、計測誤差による第１共通鍵Ｋ１および第２共通鍵Ｋ２の不一致を抑制しうるように、想定される計測誤差に対して広い幅に設定される。一方、量子化ステップの幅が広くなるにつれて、第１計測部１２および第２計測部２２が出力する離散的な値の候補は少なくなる。このとき、通信システム１が利用する共通鍵暗号の鍵空間が小さくなる。このため、量子化ステップの幅は、共通鍵暗号の鍵空間の大きさが必要な暗号の強度に対応するように設定される。

　あるいは、通信システム１の共通鍵は、かご７および鍵交換端末２０の高度に基づいて生成されてもよい。

　同期通信部１３から同期信号が入力されるときに、第１計測部１２の第１高度計１５は、かご７の運動として計測したかご７の高度を出力する。ここで、第１計測部１２において、量子化ステップが設定されている。第１計測部１２は、計測結果を量子化された離散的な値として第１鍵生成部１７に出力する。第１鍵生成部１７は、第１計測部１２から入力された離散的な値に基づいて第１共通鍵Ｋ１を生成する。

　一方、同期通信部１３から同期信号が入力されるときに、第２計測部２２の第２高度計２６は、鍵交換端末２０の運動として計測した鍵交換端末２０の高度を出力する。ここで、第２計測部２２において、第１計測部１２と同一の量子化ステップが設定されている。また、第２高度計２６と第１高度計１５との間に高度の差がある場合に、第２計測部２２は、当該高度の差に対応する予め設定されたバイアスを計測結果に加減してもよい。第２計測部２２は、計測結果を量子化された離散的な値として第２鍵生成部２３に出力する。第２鍵生成部２３は、第２計測部２２から入力された離散的な値に基づいて、第１鍵生成部１７と共通の方法によって第２共通鍵Ｋ２を生成する。

　通信システム１の共通鍵は、かご７および鍵交換端末２０の各々について、加速度および高度の両方に基づいて生成されてもよい。第１鍵生成部１７および第２鍵生成部２３の各々は、例えば加速度の計測値から得られるハッシュ値、および高度の計測値から得られるハッシュ値を連結して共通鍵として生成してもよい。

　ここで、第１計測部１２および第２計測部２２の計測結果の値が量子化ステップの境界に近い場合に、計測誤差などによって第１共通鍵Ｋ１および第２共通鍵Ｋ２が一致しない可能性がある。このため、例えば遠隔監視サーバー２１は、第１共通鍵Ｋ１および第２共通鍵Ｋ２の同一性を確認する。共通鍵の同一性の確認は、例えば共通鍵の生成の直後に行われる。

　共通鍵の同一性の確認において、遠隔監視装置１１の第１通信部１８は、第１共通鍵Ｋ１のハッシュ値を遠隔監視サーバー２１のデータ通信部２８に送信する。鍵通信部２９は、鍵生成端末から取得した第２共通鍵Ｋ２のハッシュ値を計算する。鍵通信部２９は、第１共通鍵Ｋ１のハッシュ値および第２共通鍵Ｋ２のハッシュ値が一致するときに、共通鍵が同一であると判定する。遠隔監視装置１１および遠隔監視サーバー２１は、同一性が確認された共通鍵を用いて共通鍵暗号方式による通信を行う。一方、鍵通信部２９は、第１共通鍵Ｋ１のハッシュ値および第２共通鍵Ｋ２のハッシュ値が一致しないときに、共通鍵が同一でないと判定する。このとき、鍵通信部２９は、再び第２共通鍵Ｋ２を生成させる信号を鍵交換端末２０に出力する。当該信号が入力された後に、鍵交換端末２０およびエレベーター２は、再び共通鍵の生成を行う。

　続いて、図３から図５を用いて、通信システム１におけるエレベーター２および遠隔監視サーバー２１の間の共通鍵の交換係る動作の例を説明する。
　図３は、実施の形態１に係るエレベーターの動作の例を示すフローチャートである。
　図４は、実施の形態１に係る鍵交換端末の動作の例を示すフローチャートである。
　図５は、実施の形態１に係る遠隔監視サーバーの動作の例を示すフローチャートである。

　図３のステップＳ１１において、制御盤９は、かご７を走行させる。その後、エレベーター２の動作は、ステップＳ１２に進む。

　ステップＳ１２において、第１計測部１２は、かご７の運動を計測する。その後、エレベーター２の動作は、ステップＳ１３に進む。

　ステップＳ１３において、同期通信部１３は、計測タイミングであるかを判定する。ここで、計測タイミングは、例えばランダムに設定される。判定結果がＮｏの場合に、エレベーター２の動作は、ステップＳ１２に進む。判定結果がＹｅｓの場合に、エレベーター２の動作は、ステップＳ１４に進む。

　ステップＳ１４において、同期通信部１３は、第１計測部１２および第２計測部２２の両方に同期信号を出力する。その後、エレベーター２の動作は、ステップＳ１５に進む。

　ステップＳ１５において、第１計測部１２は、同期信号が入力されたときの計測結果を第１鍵生成部１７に出力する。その後、エレベーター２の動作は、ステップＳ１６に進む。

　ステップＳ１６において、第１鍵生成部１７は、入力された計測結果に基づいて第１共通鍵Ｋ１を生成する。その後、エレベーター２の動作は、終了する。

　図４のステップＳ２１において、第２計測部２２は、鍵交換端末２０の運動を計測する。その後、鍵交換端末２０の動作は、ステップＳ２２に進む。

　ステップＳ２２において、第２計測部２２は、同期信号が入力されたかを判定する。判定結果がＮｏの場合に、鍵交換端末２０の動作は、ステップＳ２１に進む。判定結果がＹｅｓの場合に、鍵交換端末２０の動作は、ステップＳ２３に進む。

　ステップＳ２３において、第２計測部２２は、同期信号が入力されたときの計測結果を第２鍵生成部２３に出力する。その後、鍵交換端末２０の動作は、ステップＳ２４に進む。

　ステップＳ２４において、第２鍵生成部２３は、入力された計測結果に基づいて第２共通鍵Ｋ２を生成する。その後、鍵交換端末２０の動作は、ステップＳ２５に進む。

　ステップＳ２５において、第２通信部２４は、第２鍵生成部２３が生成した第２共通鍵Ｋ２を、セキュアな第２通信路２７を通じて遠隔監視サーバー２１に送信する。その後、鍵交換端末２０の動作は、終了する。

　図５のステップＳ３１において、鍵通信部２９は、鍵交換端末２０から第２共通鍵Ｋ２を取得する。その後、遠隔監視サーバー２１の動作は、ステップＳ３２に進む。

　ステップＳ３２において、データ通信部２８は、遠隔監視装置１１から第１共通鍵Ｋ１の情報を取得する。ここで取得される第１共通鍵Ｋ１の情報は、例えば第１共通鍵Ｋ１のハッシュ値である。その後、遠隔監視サーバー２１の動作は、ステップＳ３３に進む。

　ステップＳ３３において、鍵通信部２９は、第１共通鍵Ｋ１および第２共通鍵Ｋ２の同一性を確認する。判定結果がＹｅｓのときに、遠隔監視サーバー２１の動作は、ステップＳ３４に進む。判定結果がＮｏのときに、遠隔監視サーバー２１の動作は、ステップＳ３５に進む。

　ステップＳ３４において、遠隔監視サーバー２１は、遠隔監視端末との間の共通鍵暗号方式による通信を確立する。その後、遠隔監視サーバー２１の動作は、終了する。

　ステップＳ３５において、鍵通信部２９は、再び第２共通鍵Ｋ２を生成させる信号を鍵交換端末２０に出力する。その後、遠隔監視サーバー２１の動作は、ステップＳ３１に進む。

　以上に説明したように、実施の形態１に係る通信システム１は、第１計測部１２と、第２計測部２２と、同期通信部１３と、第１鍵生成部１７と、第１通信部１８と、第２鍵生成部２３と、第２通信部２４と、を備える。第１計測部１２は、エレベーター２のかご７に設けられる。かご７は、昇降路４を走行することで運動する。第１計測部１２は、かご７の運動を計測する。第２計測部２２は、鍵交換端末２０の運動を計測する。鍵交換端末２０は、かご７とともに運動する。同期通信部１３は、第１計測部１２および第２計測部２２による運動の計測を同期させる。第１鍵生成部１７は、第１計測部１２が計測するかご７の運動に基づいて第１共通鍵Ｋ１を生成する。第１通信部１８は、第１共通鍵Ｋ１によって暗号化されたデータを外部の遠隔監視サーバー２１に送信する。または、第１通信部１８は、遠隔監視サーバー２１から受信する暗号化されたデータを第１共通鍵Ｋ１によって復号する。第２鍵生成部２３は、鍵交換端末２０に設けられる。第２鍵生成部２３は、第２計測部２２が計測する鍵交換端末２０の運動に基づいて第１共通鍵Ｋ１と同一な第２共通鍵Ｋ２を生成する。第２通信部２４は、鍵交換端末２０に設けられる。第２通信部２４は、第２共通鍵Ｋ２をセキュアな通信路を通じて遠隔監視サーバー２１に送信する。

　また、実施の形態１に係る鍵交換端末２０は、第２計測部２２と、第２鍵生成部２３と、第２通信部２４と、を備える。第２計測部２２は、エレベーター２によるかご７の運動の計測に同期して、かご７とともにする運動を計測する。エレベーター２は、昇降路４を走行することで運動するかご７を有する。第２鍵生成部２３は、第１共通鍵Ｋ１と同一な第２共通鍵Ｋ２を、第２計測部２２が計測する運動に基づいて生成する。第１共通鍵Ｋ１は、かご７の運動に基づいてエレベーター２が生成する共通鍵である。第２通信部２４は、外部の遠隔監視サーバー２１に、鍵生成部が生成した共通鍵をセキュアな通信路を通じて送信する。外部の遠隔監視サーバー２１は、第１共通鍵Ｋ１によって暗号化されたデータのエレベーター２からの受信、または第１共通鍵Ｋ１によって復号されるデータのエレベーター２への送信の、少なくとも一方を行う。

　また、実施の形態１に係るエレベーター２は、第１計測部１２と、第１鍵生成部１７と、第１通信部１８と、を備える。第１計測部１２は、かご７に設けられる。かご７は、昇降路４を走行することで運動する。第１計測部１２は、鍵交換端末２０による鍵交換端末２０の運動の計測に同期してかご７の運動を計測する。鍵交換端末２０は、かご７とともに運動する。第１鍵生成部１７は、第２共通鍵Ｋ２と同一な第１共通鍵Ｋ１を、計測部が計測する運動に基づいて生成する。第２共通鍵Ｋ２は、鍵交換端末２０の運動に基づいて鍵交換端末２０が生成する共通鍵である。第１通信部１８は、外部の遠隔監視サーバー２１との間で、第１共通鍵Ｋ１または第２共通鍵Ｋ２のいずれかによって暗号化されたデータを通信する。遠隔監視サーバー２１は、鍵交換端末２０がセキュアな通信路を通じて第２共通鍵Ｋ２を送信するサーバーである。

　また、実施の形態１に係る遠隔監視サーバー２１は、鍵通信部２９と、データ通信部２８と、を備える。鍵通信部２９は、第２共通鍵Ｋ２を、鍵交換端末２０からセキュアな通信路を通じて受信する。第２共通鍵Ｋ２は、鍵交換端末２０が計測する鍵交換端末２０の運動に基づいて鍵交換端末２０が生成した共通鍵である。鍵交換端末２０は、エレベーター２のかご７とともに運動する。かご７は、昇降路４を走行することで運動する。データ通信部２８は、第１共通鍵Ｋ１または第２共通鍵Ｋ２のいずれかによって暗号化されたデータを、エレベーター２との間で通信する。第１共通鍵Ｋ１は、鍵交換端末２０による運動の計測に同期してエレベーター２が計測するかご７の運動に基づいて、エレベーター２が生成した共通鍵である。

　また、実施の形態１に係る通信プログラムは、鍵通信ステップと、データ通信ステップと、を遠隔監視サーバー２１に実行させる。鍵通信ステップは、第２共通鍵Ｋ２を、鍵交換端末２０からセキュアな通信路を通じて受信させるステップである。第２共通鍵Ｋ２は、鍵交換端末２０が計測する鍵交換端末２０の運動に基づいて鍵交換端末２０が生成した共通鍵である。鍵交換端末２０は、エレベーター２のかご７とともに運動する。かご７は、昇降路４を走行することで運動する。データ通信ステップは、第１共通鍵Ｋ１または第２共通鍵Ｋ２のいずれかによって暗号化されたデータを、エレベーター２との間で通信させるステップである。第１共通鍵Ｋ１は、鍵交換端末２０による運動の計測に同期してエレベーター２が計測するかご７の運動に基づいて、エレベーター２が生成した共通鍵である。

　昇降路４を走行することで運動するかご７を有するエレベーター２において、エレベーター２が計測するかご７の運動に基づいて第１共通鍵Ｋ１が生成される。かご７とともに運動する鍵交換端末２０において、エレベーター２による運動の計測と同期して計測される鍵交換端末２０の運動に基づいて第２共通鍵Ｋ２が生成される。第２共通鍵Ｋ２は、鍵交換端末２０からセキュアな通信路を通じて遠隔監視サーバー２１に送信される。エレベーター２と遠隔監視サーバー２１との間で通信されるデータは、同期している第１共通鍵Ｋ１または第２共通鍵Ｋ２のいずれかによって、共通鍵暗号方式によって暗号化される。ここで、共通鍵暗号方式の計算負荷は、一般に公開鍵暗号方式の計算負荷より小さい。これにより、通信の暗号化に関するエレベーター２の遠隔監視装置１１などの計算負荷が低減される。制御盤９または遠隔監視装置１１などのエレベーター２の装置は、エレベーター２の制御などに処理リソースが割り当てられる。このため、当該装置において、通信の暗号化などのための処理に割り当てられる処理リソースが少ない場合がある。このような場合においても、通信システム１は、計算負荷の少ない共通鍵暗号方式によって暗号化された通信を行うことができる。共通鍵は、かご７の運動、およびかご７とともに運動する鍵交換端末２０の運動に基づいて生成される。このため、共通鍵のデータは、エレベーター２と鍵交換端末２０との間において盗聴されない。また、エレベーター２に予め固有の共通鍵を記憶させておく必要がない。これにより、エレベーター２ごとの固有の共通鍵を管理する必要がない。

　また、第１計測部１２は、かご７の運動としてかご７の加速度を計測する第１加速度計１４を備える。第２計測部２２は、鍵交換端末２０の運動として鍵交換端末２０の加速度を計測する第２加速度計２５を備える。
　また、第１計測部１２は、かご７の運動としてかご７の高度を計測する第１高度計１５を備える。第２計測部２２は、鍵交換端末２０の運動として鍵交換端末２０の高度を計測する第２高度計２６を備える。

　エレベーター２のかご７は、通常の運転において、加速または減速して鉛直方向に走行する。このため、通信システム１は、エレベーター２の通常の運転による運動に基づいて共通鍵の生成を行うことができる。ここで、鍵交換端末２０の加速度は、鍵交換端末２０のかご７に対する位置によらない。このため、共通鍵が加速度に基づいて生成される場合に、鍵交換端末２０の配置による誤差の発生が抑制される。また、かご７および鍵交換端末２０の高度は、昇降路４の長さの範囲の値を取り得る。このため、共通鍵が高度に基づいて生成される場合に、通信システム１は、昇降路４の長さに応じて鍵空間を大きくしやすい。

　また、同期通信部１３は、エレベーター２に設けられる。

　これにより、同期通信部１３は、エレベーター２の運転状況に応じて計測信号を出力できる。このため、共通鍵の生成に適した計測タイミングでかご７および鍵交換端末２０の運動を計測できる。ここで、共通鍵の生成に適した計測タイミングは、たとえばかご７が安定して走行しているタイミングである。かご７が安定して走行しているタイミングは、例えばかご７の走行開始から予め設定された時間を経過した後のタイミングである。あるいは、かご７が安定して走行しているタイミングは、例えば予め設定された時間だけかご７の走行停止より前のタイミングである。

　また、鍵通信部２９は、第１共通鍵Ｋ１および第２共通鍵Ｋ２が相違するときに、再び第２共通鍵Ｋ２を生成させる信号を鍵交換端末２０に出力する。

　計測誤差などによって第１共通鍵Ｋ１および第２共通鍵Ｋ２が同一でなかった場合に、通信システム１は、共通鍵を再び生成する。これにより、暗号強度を確保するために量子化ステップが狭く設定される場合においても、共通鍵の生成は複数回試行されるので、共通鍵は安定して生成される。

　なお、同期通信部１３は、第１計測部１２および第２計測部２２による運動の計測を複数回にわたって同期して行わせてもよい。同期通信部１３は、第１計測部１２および第２計測部２２に同期信号を複数回に渡って出力する。

　複数回の計測により、運動の計測の安定性を高められる。また、複数回の計測により、計測値の取り得る組合せを多くすることができる。このため、通信システム１は、共通鍵の鍵空間を大きくできる。例えば、第１鍵生成部１７および第２鍵生成部２３の各々は、複数回の計測値のうち、量子化ステップの境界から最も遠い計測値に基づいて共通鍵を生成してもよい。また、第１鍵生成部１７および第２鍵生成部２３の各々は、複数回の計測における高度の差に基づいて共通鍵を生成してもよい。これにより、第２高度計２６と第１高度計１５との間に高度の差がある場合においても、当該高度の差に対応するバイアスの設定の必要がない。

　また、第１計測部１２は、複数回にわたって計測された値の平均値に基づいて第１共通鍵Ｋ１を生成してもよい。このとき、第２計測部２２は、複数回にわたって計測された値の平均値に基づいて第２共通鍵Ｋ２を生成する。

　平均値をとることによって、計測誤差によるばらつきが抑制される。このため、計測誤差による共通鍵の不一致が発生しにくくなる。これにより、共通鍵の生成の安定性が高くなる。また、共通鍵の生成の安定性が高まるので、量子化ステップをより狭く設定できる。これにより、共通鍵の鍵空間を大きくできる。

　また、第１計測部１２は、複数回にわたって計測された値の組に基づいて第１共通鍵Ｋ１を生成してもよい。このとき、第２計測部２２は、複数回にわたって計測された値の組に基づいて第２共通鍵Ｋ２を生成する。第１計測部１２および第２計測部２２の各々は、例えば、複数回の計測の値から得られるハッシュ値を連結して共通鍵として生成してもよい。

　これにより、通信システム１は、共通鍵の鍵空間を大きくできる。また、共通鍵の鍵空間が大きくなるので、量子化ステップをより広く設定できる。これにより、共通鍵の生成の安定性が高くなる。

　また、同期通信部１３は、鍵交換端末２０に設けられてもよい。第１計測部１２は、かご７の上部に設けられなくてもよい。第１計測部１２は、例えばかご７の下部もしくはかご７の側面、またはかご７の内部に設けられてもよい。同期通信部１３、データ記憶部１６、第１鍵生成部１７、および第１通信部１８の各々は、遠隔監視装置１１、制御盤９、またはかご７などのエレベーター２の装置のいずれに設けられていてもよい。

　また、エレベーター２において、建築物３に機械室が設けられていてもよい。このとき、例えば巻上機５および制御盤９は、機械室に設けられていてもよい。

　続いて、図６を用いて通信システム１のハードウェア構成の例について説明する。
　図６は、実施の形態１に係る通信システムの主要部のハードウェア構成を示す図である。

　通信システム１の各機能は、処理回路により実現し得る。処理回路は、少なくとも１つのプロセッサ１ｂと少なくとも１つのメモリ１ｃとを備える。処理回路は、プロセッサ１ｂおよびメモリ１ｃと共に、あるいはそれらの代用として、少なくとも１つの専用のハードウェア１ａを備えてもよい。

　処理回路がプロセッサ１ｂとメモリ１ｃとを備える場合、通信システム１の各機能は、ソフトウェア、ファームウェア、またはソフトウェアとファームウェアとの組み合わせで実現される。ソフトウェアおよびファームウェアの少なくとも一方は、プログラムとして記述される。そのプログラムはメモリ１ｃに格納される。プロセッサ１ｂは、メモリ１ｃに記憶されたプログラムを読み出して実行することにより、通信システム１の各機能を実現する。

　プロセッサ１ｂは、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、ＤＳＰともいう。メモリ１ｃは、例えば、ＲＡＭ、ＲＯＭ、フラッシュメモリ、ＥＰＲＯＭ、ＥＥＰＲＯＭ等の、不揮発性または揮発性の半導体メモリ、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、ＤＶＤ等により構成される。

　処理回路が専用のハードウェア１ａを備える場合、処理回路は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡ、またはこれらの組み合わせで実現される。

　通信システム１の各機能は、それぞれ処理回路で実現することができる。あるいは、通信システム１の各機能は、まとめて処理回路で実現することもできる。通信システム１の各機能について、一部を専用のハードウェア１ａで実現し、他部をソフトウェアまたはファームウェアで実現してもよい。このように、処理回路は、ハードウェア１ａ、ソフトウェア、ファームウェア、またはこれらの組み合わせで通信システム１の各機能を実現する。

　本発明に係る通信システムは、エレベーターにおける通信に適用できる。本発明に係る鍵交換端末、遠隔監視サーバー、および通信プログラムは、通信システムに適用できる。本発明に係るエレベーターは、建築物に適用できる。

　１　通信システム、　２　エレベーター、　３　建築物、　４　昇降路、　５　巻上機、　６　主索、　７　かご、　８　釣合い錘、　９　制御盤、　１０　かご上装置、　１１　遠隔監視装置、　１２　第１計測部、　１３　同期通信部、　１４　第１加速度計、　１５　第１高度計、　１６　データ記憶部、　１７　第１鍵生成部、　１８　第１通信部、　１９　第１通信路、　２０　鍵交換端末、　２１　遠隔監視サーバー、　２２　第２計測部、　２３　第２鍵生成部、　２４　第２通信部、　２５　第２加速度計、　２６　第２高度計、　２７　第２通信路、　２８　データ通信部、　２９　鍵通信部、　３０　データ蓄積部、　Ｋ１　第１共通鍵、　Ｋ２　第２共通鍵、　１ａ　ハードウェア、　１ｂ　プロセッサ、　１ｃ　メモリ

Claims

　昇降路を走行することで運動するエレベーターのかごに設けられ、前記かごの運動を計測する第１計測部と、
　前記かごとともに運動する鍵交換端末の運動を計測する第２計測部と、
　前記第１計測部および前記第２計測部による運動の計測を同期させる同期通信部と、
　前記第１計測部が計測する前記かごの運動に基づいて第１共通鍵を生成する第１鍵生成部と、
　前記第１共通鍵によって暗号化されたデータを外部の遠隔監視サーバーに送信し、または、前記遠隔監視サーバーから受信する暗号化されたデータを前記第１共通鍵によって復号する第１通信部と、
　前記鍵交換端末に設けられ、前記第２計測部が計測する前記鍵交換端末の運動に基づいて前記第１共通鍵と同一な第２共通鍵を生成する第２鍵生成部と、
　前記鍵交換端末に設けられ、前記第２共通鍵をセキュアな通信路を通じて前記遠隔監視サーバーに送信する第２通信部と、
　を備える通信システム。
　前記第１計測部は、前記かごの運動として前記かごの加速度を計測する第１加速度計を備え、
　前記第２計測部は、前記鍵交換端末の運動として前記鍵交換端末の加速度を計測する第２加速度計を備える
　請求項１に記載の通信システム。
　前記第１計測部は、前記かごの運動として前記かごの高度を計測する第１高度計を備え、
　前記第２計測部は、前記鍵交換端末の運動として前記鍵交換端末の高度を計測する第２高度計を備える
　請求項１または請求項２に記載の通信システム。
　前記同期通信部は、エレベーターに設けられる
　請求項１から請求項３のいずれか一項に記載の通信システム。
　前記同期通信部は、前記第１計測部および前記第２計測部による運動の計測を複数回にわたって同期して行わせる
　請求項１から請求項４のいずれか一項に記載の通信システム。
　前記第１計測部は、複数回にわたって計測された値の平均値に基づいて前記第１共通鍵を生成し、
　前記第２計測部は、複数回にわたって計測された値の平均値に基づいて前記第２共通鍵を生成する
　請求項５に記載の通信システム。
　前記第１計測部は、複数回にわたって計測された値の組に基づいて前記第１共通鍵を生成し、
　前記第２計測部は、複数回にわたって計測された値の組に基づいて前記第２共通鍵を生成する
　請求項５に記載の通信システム。
　昇降路を走行することで運動するかごを有するエレベーターによる前記かごの運動の計測に同期して、前記かごとともにする運動を計測する計測部と、
　前記かごの運動に基づいて前記エレベーターが生成する第１共通鍵と同一な第２共通鍵を、前記計測部が計測する運動に基づいて生成する鍵生成部と、
　前記第１共通鍵によって暗号化されたデータの前記エレベーターからの受信または前記第１共通鍵によって復号されるデータの前記エレベーターへの送信の少なくとも一方を行う外部の遠隔監視サーバーに、前記鍵生成部が生成した共通鍵をセキュアな通信路を通じて送信する通信部と、
　を備える鍵交換端末。
　昇降路を走行することで運動するかごに設けられ、前記かごとともに運動する鍵交換端末による前記鍵交換端末の運動の計測に同期して前記かごの運動を計測する計測部と、
　前記鍵交換端末の運動に基づいて前記鍵交換端末が生成する第２共通鍵と同一な第１共通鍵を、前記計測部が計測する運動に基づいて生成する鍵生成部と、
　前記鍵交換端末がセキュアな通信路を通じて前記第２共通鍵を送信する外部の遠隔監視サーバーとの間で、前記第１共通鍵または前記第２共通鍵のいずれかによって暗号化されたデータを通信する通信部と、
　を備えるエレベーター。
　昇降路を走行することで運動するエレベーターのかごとともに運動する鍵交換端末が計測する前記鍵交換端末の運動に基づいて前記鍵交換端末が生成した第２共通鍵を、前記鍵交換端末からセキュアな通信路を通じて受信する鍵通信部と、
　前記鍵交換端末による運動の計測に同期して前記エレベーターが計測する前記かごの運動に基づいて前記エレベーターが生成した第１共通鍵または前記第２共通鍵のいずれかによって暗号化されたデータを、前記エレベーターとの間で通信するデータ通信部と、
　を備える遠隔監視サーバー。
　前記鍵通信部は、前記第１共通鍵および前記第２共通鍵が相違するときに、再び前記第２共通鍵を生成させる信号を前記鍵交換端末に出力する
　請求項１０に記載の遠隔監視サーバー。
　昇降路を走行することで運動するエレベーターのかごとともに運動する鍵交換端末が計測する前記鍵交換端末の運動に基づいて前記鍵交換端末が生成した第２共通鍵を、前記鍵交換端末からセキュアな通信路を通じて受信させる鍵通信ステップと、
　前記鍵交換端末による運動の計測に同期して前記エレベーターが計測する前記かごの運動に基づいて前記エレベーターが生成した第１共通鍵または前記第２共通鍵のいずれかによって暗号化されたデータを、前記エレベーターとの間で通信させるデータ通信ステップと、
　を遠隔監視サーバーに実行させる通信プログラム。