WO2022202181A1

WO2022202181A1 - 通信システム

Info

Publication number: WO2022202181A1
Application number: PCT/JP2022/009065
Authority: WO
Inventors: 博文惠美
Original assignee: 株式会社日立国際電気
Priority date: 2021-03-26
Filing date: 2022-03-03
Publication date: 2022-09-29
Also published as: JP7449447B2; JPWO2022202181A1

Abstract

本特許は、グループ毎にパスワードを管理しセキュリティーを高めた通信システムを提供する。　グループ生成部３００は、管理するためのグループを生成し、当該グループ毎のＳＳＩＤ４１０及びパスワード４２０を生成する。グループ設定部３１０は、グループ生成部３００により生成されたＳＳＩＤ４１０及びパスワード４２０を監視カメラ１に設定し、パスワード４２０を端末２に設定する。通信制御部１００は、グループに設定された端末２とＳＳＩＤ４１０及びパスワード４２０にて通信する。通信制御部２００は、グループに設定された監視カメラ１とパスワード４２０を用いて通信する。

Description

通信システム

　本発明は、特に、監視カメラ等の通信機器と、この通信機器とアクセス可能な端末と、通信機器及び端末を管理する管理装置とを含む通信システムに関する。

　近年、監視カメラ等の通信機器を含む通信システムでは、この通信機器と直接、Wi-Fi（登録商標）等の無線ＬＡＮ（Local Area Network）接続を行い、無線通信により監視映像の配信や各種設定を行うようになってきている。

　従来の通信機器として、例えば、特許文献１を参照すると、制御部と、通信部とを有し、無線通信機能を備えた通信機器が記載されている。この無線通信機器では、制御部が、当該通信機器を識別する管理番号と、パスワードの生成ルールとを含む当該通信機器の無線通信上の識別情報（ＳＳＩＤ）を生成する。そして、このパスワードの生成ルールに基づいて、前記無線通信上の識別情報からパスワードを生成し、生成したパスワードを当該通信機器のログインパスワードに設定する。この上で、記通信部が、無線通信上の識別情報を含む報知情報を送信する。これにより、ＳＳＩＤからパスワードを自動生成し、機器へのアクセスを容易に行うことができる。

国際公開第2020/066627号

　しかしながら、特許文献１に記載の技術では、パスワード生成ルールを全ての機器で共有していたため、グループ別にアクセス管理ができなかった。
　加えて、パスワード生成ルールが漏洩すると、全ての機器にアクセスできてしまうという問題もあった。

　本発明は、このような状況に鑑みてなされたものであり、上述の問題を解消することを課題とする。

　本発明の通信システムは、通信機器と、端末と、前記通信機器及び前記端末を管理する管理装置とを含む通信システムであって、前記管理装置は、グループを設定し、設定された前記グループのグループＩＤに基づいて、無線通信上の識別情報及びパスワードを生成するグループ生成部と、前記グループ生成部により生成された前記無線通信上の識別情報及びパスワードを前記通信機器に設定し、前記パスワードを前記端末に設定するグループ設定部とを備え、前記端末は、前記識別情報が設定された前記通信機器に対し、前記管理装置から設定された前記パスワードを用いて前記通信機器と通信する通信制御部を備えることを特徴とする。
　本発明の通信システムは、前記管理装置の前記グループ生成部は、設定された前記グループの前記グループＩＤに基づいて前記無線通信上の識別情報を生成し、前記グループＩＤ及び共通鍵に基づいて前記パスワードを生成し、前記端末は、前記通信機器の前記無線通信上の識別情報から前記グループＩＤを取得し、取得した前記グループＩＤ及び前記共通鍵に基づいて前記パスワードを生成し、生成したパスワードを用いて前記通信機器と通信する保守部を更に備えることを特徴とする。
　本発明の通信システムは、前記管理装置は、生成された前記グループ、前記無線通信上の識別情報並びにパスワード、及び設定された前記通信機器並びに前記端末に関する情報を外部機器に格納する情報保存部を更に備えることを特徴とする。

　本発明によれば、管理装置にてグループを生成し、当該グループ毎の無線通信上の識別情報及びパスワードを生成し、生成された識別情報及びパスワードを通信機器に設定し、パスワードを端末に設定することで、グループ別に通信機器にアクセス可能となり、パスワードが漏洩してもそのグループの機器にしかアクセスできずにセキュリティーも高い通信システムを提供することができる。

本発明の実施の形態に係る監視システムの概略構成を示すシステム構成図である。図１に示す監視カメラの制御構成を示すブロック図である。図１に示す端末の制御構成を示すブロック図である。図１に示す管理装置の制御構成を示すブロック図である。本発明の実施の形態に係る監視システムの機能構成を示すブロック図である。本発明の実施の形態に係るグループの概念図である。本発明の実施の形態に係る通信設定処理の流れを示すフローチャートである。図７に示す通信設定処理における接続検知処理の画面例である。図７に示す通信設定処理における識別情報パスワード生成処理の概念図である。図１に示す端末の保守時の制御構成を示すブロック図である。図１０に示す端末の保守時のパスワード生成の概念図である。

＜実施の形態＞　以下、本発明の実施形態について図面を参照して詳細に説明する。
　図１は、本実施形態に係る監視システムＸ（通信システム）の概略構成を示す。監視システムＸは、本実施形態に係る通信システムの一例である。
　監視システムＸは、無線通信可能な複数の監視カメラ１と、監視カメラ１と通信可能な端末２とを含んでいる。
　なお、図１では、三台の監視カメラ１を含む例を示しているものの、監視カメラ１及び端末２は、一台～複数台、備えることが可能である。

　監視カメラ１は、ネットワークカメラ等の有線ＬＡＮ及び無線ＬＡＮに接続可能な撮像装置であり、本実施形態に係る通信機器の一例である。
　端末２は、監視カメラの監視や保守用のＰＣ（Personal Computer）、タブレット端末、スマートフォン等である。
　管理装置３は、監視カメラ１及び端末２を管理するＰＣやサーバー等である。
　端末２及び管理装置３は、監視システムＸにより監視を行う監視者等であるユーザー、又は監視システムＸのシステム管理者等であるヒトＰにより操作される。

　本実施形態において、監視カメラ１と端末２とは、無線ＬＡＮによって、Wi-Fi（登録商標）ダイレクト等で直接接続される。すなわち、この場合、監視カメラ１は、無線ＬＡＮ機能のアクセスポイントとして機能するホスト装置（接続される側の装置）となる。監視カメラ１は、識別情報であるＳＳＩＤ４１０（Service Set IDentifier）（図５）を発信しており、クライアント端末（接続する側の装置）である端末２がそのＳＳＩＤ４１０に対するパスワード４２０（図５）を用いて通信を確立する。

　一方、本実施形態において、図１の一点鎖線で示すように、監視カメラ１と端末２と管理装置３とは、有線ＬＡＮで接続可能である。本実施形態では、監視カメラ１のＳＳＩＤ４１０及びパスワード４２０は、管理装置３により生成、設定される。さらに、端末２にも、管理装置３により、パスワード４２０が設定される。この際、グループ分けが行われ、同一グループにおいては、同じパスワード４２０が設定される。ここで、ＳＳＩＤ４１０は、グループに関係なく個別に設定されてもよい。
　監視カメラ１と端末２とが無線ＬＡＮで通信を確立する場合には、設定されたＳＳＩＤ４１０及びグループ毎のパスワード４２０で、自動的に接続可能となる。

　次に、図２により、監視カメラ１の制御構成について説明する。
　監視カメラ１は、主制御部１０と、カメラ１１と、映像取得部１２と、映像配信部１３と、モジュール制御部１４と、通信モジュール１５と、データ制御部１６と、主記憶部１７と、補助記憶部１８とを含む。

　主制御部１０は、例えば、ＣＰＵ（Central Processing Unit、中央処理装置）、ＭＰＵ（Micro Processing Unit）、ＧＰＵ（Graphics Processing Unit）、ＴＰＵ（Tensor Processing Unit）、ＤＳＰ（Digital Signal Processor）、ＡＳＩＣ（Application Specific Processor、特定用途向けプロセッサー）等で構成される制御演算手段である。主制御部１０は、監視カメラ１の各部を統括的に制御する。加えて、主制御部１０は、監視カメラ１の設定等に関する処理を行う。

　カメラ１１は、例えば、ＣＭＯＳ（Complementary Metal Oxide Semiconductor）、ＣＣＤ（Charge Coupled Device）、撮像管等による撮像素子（カメラ）を備えた撮像部である。カメラ１１は、撮像素子で撮像された静止画又は動画の画像データを、映像取得部１２へ送信する。カメラ１１は、撮像する向きを変更したり、ズームしたりすることも可能であってもよい。

　映像取得部１２は、所定の監視エリアを撮影するカメラ１１から映像を取得する回路等である。

　映像配信部１３は、取得したデータを各種コーデックに符号化して、モジュール制御部１４へ送信する。

　モジュール制御部１４は、例えば、Wi-Fi規格による無線ＬＡＮ通信、有線ＬＡＮでの接続を行う論理層等の制御回路である。本実施形態においては、モジュール制御部１４は、通信モジュール１５を介して、無線及び有線によるＩＰ通信を行うことが可能である。
　加えて、モジュール制御部１４は、無線ＬＡＮ通信の場合、動作状態やＳＳＩＤ４１０等を報知情報として送信する。この通信の実現には、ＭＡＣアドレスフィルタリング、ＷＰＡ２ＰＳＫ、ＷＰＡ３認証等、他のセキュリティー機能、対策を組み合わせてもよい。

　通信モジュール１５は、通信を行うための物理層の通信回路とコネクタやアンテナ等を含むデバイスである。本実施形態においては、通信モジュール１５は、同じ規格の無線ＬＡＮにて、端末２と接続可能である。または、通信モジュール１５は、有線ＬＡＮにて管理装置３と接続可能である。

　データ制御部１６は、カメラ１１が撮影したデータやその他のデータの保存、読み込みを行う回路である。

　主記憶部１７（揮発メモリ）は、ＲＡＭ（Random Access Memory）等であり、データの保存、読み込みの際に用いられる揮発性であってもよい記録媒体である。

　補助記憶部１８（不揮発メモリ）は、ＲＯＭ（Read Only Memory）、ＳＳＤ（Solid State Disk）、ＨＤＤ（Hard Disk Drive）、磁気カートリッジ、テープドライブ、光ディスクアレイ等の不揮発の記録媒体である。補助記憶部１８は、メモリカードなどの外部記録媒体であってもよい。
　補助記憶部１８は、ファームウェア、ＯＳ（Operating System）、ミドルウェア、デバイスドライバー、各種アプリケーションソフトウェア（Application Software、以下、単に「アプリ」という。）等の制御プログラムを格納する。加えて、補助記憶部１８は、制御プログラムで使用される各種データを格納する。この各種データは、機種の種別及びシリアル番号等の装置に固有の情報である機器ＩＤ１１０（図９）を含む。さらに、補助記憶部１８は、後述するように、管理装置３に設定されたＳＳＩＤ４１０及びパスワード４２０が格納されてもよい。

　次に、図３により、端末２の制御構成について説明する。
　端末２は、主制御部２０と、表示部２２と、入力部２３と、モジュール制御部２４と、通信モジュール２５と、主記憶部２７と、補助記憶部２８とを備える。

　主制御部２０は、ＣＰＵ、ＭＰＵ、ＧＰＵ、ＴＰＵ、ＤＳＰ、ＡＳＩＣ等で構成される制御演算手段である。主制御部２０は、端末２の各構成要素を統括的に制御する。

　表示部２２は、液晶ディスプレイ、ＯＬＥＤ（Organic Light Emitting Diode）ディスプレイ等の各種表示手段である。表示部２２は、ホスト装置である監視カメラ１により配信される映像を表示したり、アプリの画面を表示したりする。

　入力部２３は、ヒトＰの操作による指示を取得するタッチパネル、タッチパッド、ポインティングデバイス等のユーザー操作制御手段である。または、入力部２３は、ＧＵＩ（Graphical User Interface）として、例えば、表示部２２に表示される各種ボタン（ソフトウェア）として構成されたり、物理的なボタンとして構成されたりしてもよい。

　モジュール制御部２４は、Wi-Fi規格による無線ＬＡＮ通信、有線ＬＡＮでの接続を行う論理層等の制御回路である。本実施形態においては、モジュール制御部２４は、通信モジュール２５を介して、無線及び有線によるＩＰ通信を行うことが可能である。モジュール制御部２４は、設定されたパスワード４２０を用いて、ＷＰＡ２ＰＳＫ、ＷＰＡ３のＰＳＫ認証等、他のセキュリティー機能、対策を組み合わせて、監視カメラ１と接続可能である。

　通信モジュール２５は、通信を行うための物理層の通信回路とコネクタやアンテナ等を含むデバイスである。本実施形態においては、通信モジュール２５は、同じ規格の無線ＬＡＮにて、監視カメラ１と接続可能である。または、通信モジュール２５は、有線ＬＡＮにて管理装置３と接続可能である。

　主記憶部２７（揮発メモリ）は、ＲＡＭ等であり、データの保存、読み込みの際に用いられる揮発性であってもよい記録媒体である。

　補助記憶部２８（不揮発メモリ）は、ＲＯＭ、ＳＳＤ、ＨＤＤ、磁気カートリッジ、テープドライブ、光ディスクアレイ等の不揮発の記録媒体である。補助記憶部２８は、外部記録媒体であってもよい。補助記憶部２８も、制御プログラム及び各種データが格納される。この各種データは、機器ＩＤ１１０を含む。また、補助記憶部２８は、管理装置３に設定されたパスワード４２０が格納されてもよい。

　次に、図４により、管理装置３の制御構成について説明する。
　管理装置３は、主制御部３０と、表示部３２と、入力部３３と、モジュール制御部３４と、通信モジュール３５と、主記憶部３７と、補助記憶部３８とを備える。

　ここで、管理装置３は、例えば、デスクトップ型のＰＣやサーバー等であった場合、主制御部３０は図３に示す端末２の主制御部２０と、表示部３２は表示部２２と、入力部３３は入力部２３と、モジュール制御部３４はモジュール制御部２４と、通信モジュール３５は通信モジュール２５と、主記憶部３７は主記憶部２７と、補助記憶部３８は補助記憶部２８と、それぞれ同様の構成であってもよい。

　本実施形態においては、通信モジュール３５は、監視カメラ１及び端末２と、有線ＬＡＮで接続される。この場合、通信モジュールは、無線ＬＡＮの機能は含まなくてもよい。
　また、本実施形態において、補助記憶部３８は、制御プログラムとして、監視カメラ１及び端末２を管理するための専用の管理アプリを含んでいる。

　次に、図５により、本実施形態に係る監視システムＸの機能構成について説明する。
　本実施形態においては、監視カメラ１及び端末２は、基本的にはユーザーが使用し、管理装置３は、管理者により使用される例について説明する。

　監視カメラ１は、通信制御部１００を備えている。
　端末２は、通信制御部２００を備えている。
　管理装置３の主制御部３０は、グループ生成部３００、グループ設定部３１０、及び情報保存部３２０を備えている。
　補助記憶部３８は、情報保存ＤＢ３３０及び共通鍵３４０を格納している。

　通信制御部１００は、管理装置３により設定されたグループ毎に設定されたＳＳＩＤ４１０及びパスワード４２０にて端末２と通信する。これにより通信制御部１００は、画像データを送信したり、カメラ１１の動作の指示を取得したりすることができる。

　通信制御部２００は、管理装置３により設定されたグループ毎に、設定されたＳＳＩＤ４１０及びパスワード４２０にて監視カメラ１と通信する。これにより、通信制御部２００は、監視カメラ１から取得した画像データを閲覧したり、ズームや移動を指示したりできる。

　グループ生成部３００は、グループを設定し、設定されたグループＩＤに基づいてＳＳＩＤ４１０及びパスワード４２０を生成する。
　この際、グループ生成部３００は、設定されたグループのグループＩＤ４００に基づいてＳＳＩＤ４１０を生成し、グループＩＤ４００及び共通鍵３４０に基づいてパスワード４２０を生成する。このＳＳＩＤ４１０及びパスワード４２０の生成の詳細については後述する。

　グループ設定部３１０は、グループ生成部３００により生成されたＳＳＩＤ４１０及びパスワード４２０を監視カメラ１に設定し、パスワード４２０を端末２に設定する。

　情報保存部３２０は、を外部機器に格納する。本実施形態において、この外部機器は、図示しないＮＡＳ（Network Attached Server）や、いわゆるクラウド上のサーバー等であってもよい。

　情報保存ＤＢ３３０は、生成されたグループのグループＩＤ４００（図６）、ＳＳＩＤ４１０及びパスワード４２０、及び設定された監視カメラ１並びに端末２に関する情報を格納するデータベースである。

　共通鍵３４０は、パスワード４２０の設定に用いられる鍵情報である。本実施形態において、共通鍵３４０は、いわゆる「マスターパスワード」のように、文字、数値、及び記号の任意の組み合わせが含まれるパスワードとして提供されてもよい。

　ここで、上述の各機能部は、それぞれ、補助記憶部１８、２８、３８に記憶された制御プログラム等が主記憶部１７、２７、３７上に展開され、主制御部１０、２０、３０で実行されることにより実現される。
　なお、これらの各機能部は、ＦＰＧＡ（Field Programmable Gate Array）、ＡＳＩＣ、その他の回路によりハードウェアとして構成されてもよい。

　ここで、図６により、本実施形態に係るグループについて説明する。
　本実施形態においては、上述したように監視カメラ１がWi-Fiのアクセスポイントとして機能する。これに対して、端末２がWi-Fiクライアントとして接続し、監視カメラ１の制御を行う。この際、アクセス管理として、グループ毎にパスワード４２０を変更し、他のグループの端末２からのアクセスを制限する。
　図６は、図５の情報保存ＤＢ３３０に保存されたグループの設定の一例を概念的に示したものである。

　図６の例では、グループＩＤ４００が「００１」に設定されたグループＡでは、端末２－１と監視カメラ１－１とが一対一で接続される。
　また、グループＩＤ４００が「００２」に設定されたグループＢでは、端末２－２、２－３と、監視カメラ１－２、１－３、１－４とがＮ対Ｎで接続される。同一グループ内であれば、パスワード４２０が共通のため、Ｎ対Ｎのアクセス制御が実現できる。
　これらのグループＩＤ４００、ＳＳＩＤ４１０、パスワード４２０は、管理装置３にて包括的に管理される。また、通信時に、ユーザーによるパスワード４２０の入力は不要である。

〔監視システムＸの通信設定処理〕　次に、図７～図９を参照して、本発明の実施の形態に係る監視システムＸを用いた通信設定処理についてより詳しく説明する。
　本実施形態においては、管理装置３にてグループを設定し、各監視カメラ１、端末２へ自動設定する。これにより、管理装置３にて監視カメラ１と端末２のＮ対Ｎのアクセス管理を行うことが可能となる。さらに、自グループの監視カメラ１と端末２であればパスワード４２０入力なしで接続可能となる。このパスワード４２０は、グループ毎に複雑なものを設定でき、類推困難となり、セキュリティーも向上する。
　以下で、この監視システムＸによる通信設定処理について、図７のフローチャートを用いてステップ毎に詳細に説明する。これらの処理は、管理装置３の主制御部３０が、補助記憶部３８に格納された制御プログラムを主記憶部３７に読み出して展開し、ハードウェア資源を用いて実行する。

　まず、ステップＳ１００において、グループ生成部３００が、有線接続検知処理を行う。
　ここでは、ユーザーが、管理者に対して、監視カメラ１又は端末２の登録を依頼する。
　すると、管理者が、管理装置３に監視カメラ１又は端末２を有線ＬＡＮで接続し、ＯＳのＧＵＩ等で専用の管理アプリを起動する。
　グループ生成部３００は、この専用の管理アプリを実行する。

　ここで、グループ生成部３００は、「接続検知中」等のメッセージを表示部３２に表示させ、規定のＩＰアドレスの範囲にping等を送信し続ける。
　すると、グループ生成部３００により送信されたpingに、通信制御部１００又は通信制御部２００が応答する。接続された監視カメラ１の通信制御部１００、又は端末２の通信制御部２００は、この応答で機器ＩＤ１１０を送信可能である。
　これにより、グループ生成部３００は、応答した監視カメラ１又は端末２の接続を検知する。

　次に、ステップＳ１０１において、グループ生成部３００が、接続ダイアログ処理を行う。
　図８を参照すると、グループ生成部３００は、表示部３２の画面上に、監視カメラ１又は端末２を検知したことを示すダイアログボックス（以下、単に「ダイアログ」という。）を表示させる。図８の画面例５００は、このダイアログの一例である。
　画面例５００では、「通信機器を検知しました」のタイトルの下に、「グループ名入力」の入力欄と、これに対応付けられた「新規グループ作成」のボタンが表示されている。さらに、この例では、選択可能な「グループＡ」「グループＢ」等の既に作成（生成）されているグループ（以下、「既存グループ」という。）をメニューとして選択させる表示欄と、これに対応付けられた「グループ登録」のボタンが表示されている。

　次に、ステップＳ１０２において、グループ生成部３００が、新規グループを生成するか否かを判断する。グループ生成部３００は、新規グループの作成（生成）が指示された場合、Yesと判断する。具体的には、グループ生成部３００は、上述の画面例５００において「新規グループ作成」のボタンが押下されたことを検出した場合、Yesと判断する。グループ生成部３００は、既存グループへの登録が指示された場合、Noと判断する。具体的には、グループ生成部３００は、画面例５００において、グループが選択されて「グループ登録」のボタンが押下されたことを検出した場合、Noと判断する。それ以外の場合は、グループ生成部３００は、ボタンの押下等の指示を待つ。
　Yesの場合、グループ生成部３００は、処理をステップＳ１０３へ進める。
　Noの場合、グループ生成部３００は、処理をステップＳ１０５へ進める。

　新規グループを生成する場合、ステップＳ１０３において、グループ生成部３００が、新規グループ作成処理を行う。
　グループ生成部３００は、監視カメラ１と端末２とを管理するためのグループを設定する。具体的には、グループ生成部３００は、新たなグループＩＤ４００を生成し、情報保存ＤＢ３３０に格納する。この際、グループ生成部３００は、例えば、設定されていない番号順にユニークな（固有の）グループＩＤ４００を生成し、入力されたグループ名とグループＩＤ４００とを対応付けてもよい。
　この上で、グループ生成部３００は、接続された監視カメラ１の通信制御部１００、又は端末２の通信制御部２００から機器ＩＤ１１０を取得し、生成されたグループＩＤ４００と対応付けて、情報保存ＤＢ３３０に格納する。

　次に、ステップＳ１０４において、グループ生成部３００が、識別情報パスワード生成処理を行う。
　グループ生成部３００は、生成されたグループ用の複雑なパスワード４２０と、ＳＳＩＤ４１０とを自動的に生成する。

　図９により、このＳＳＩＤ４１０及びパスワード４２０の生成の具体例について説明する。
　グループ生成部３００は、生成されたグループ毎のパスワード４２０を、生成されたグループＩＤ４００及び共通鍵３４０に基づいて作成する。
　具体的に、図９の例では、グループ生成部３００は、例えば、暗号学的ハッシュ関数（Cryptographic Hash Function）で、グループＩＤ４００と共通鍵３４０との組み合わせをハッシュ化する。これにより、パスワード４２０から共通鍵３４０は推測できなくなる。

　さらに、グループ生成部３００は、生成されたグループＩＤ４００に基づいてＳＳＩＤ４１０を生成する。
　図９の例では、グループ生成部３００は、ＳＳＩＤ４１０にグループＩＤ４００を含め、このグループＩＤ４００と機器ＩＤ１１０を連結してＳＳＩＤ４１０とする。この際、本実施形態において、グループ生成部３００は、ハッシュ関数は用いずに、単に並べてＳＳＩＤ４１０を生成する。このため、ＳＳＩＤ４１０からグループＩＤ４００は推測可能となる。
　その後、グループ生成部３００は、処理をステップＳ１０６に進める。

　既存グループへの登録が指示された場合、ステップＳ１０５において、グループ生成部３００が、既存グループ登録処理を行う。
　グループ生成部３００は、選択されたグループのグループＩＤ４００と機器ＩＤ１１０とを対応付けて、情報保存ＤＢ３３０に格納する。

　ここで、ステップＳ１０６において、グループ設定部３１０が、接続されたのが通信機器であったか否かを判断する。本実施形態においては、グループ設定部３１０は、接続されたのが監視カメラ１であった場合、Yesと判断する。グループ設定部３１０は、接続されたのが端末２であった場合、Noと判断する。
　Yesの場合、グループ設定部３１０は、処理をステップＳ１０７へ進める。
　Noの場合、グループ設定部３１０は、処理をステップＳ１０８へ進める。

　接続されたのが監視カメラ１であった場合、ステップＳ１０７において、グループ設定部３１０が、識別情報パスワード設定処理を行う。
　グループ設定部３１０は、生成又は登録されたグループのＳＳＩＤ４１０及びパスワード４２０を、接続された監視カメラ１に対して設定する。

　接続されたのが端末２であった場合、ステップＳ１０８において、グループ設定部３１０が、パスワード４２０設定処理を行う。
　グループ設定部３１０は、端末２に対して、グループ毎に設定されたパスワード４２０のみを設定する。
　ここで、ユーザーは、上述のようにグループＩＤ４００をＳＳＩＤ４１０から推測可能である。このため、このグループ毎に設定されたＳＳＩＤ４１０が選択された場合、通信制御部２００は、設定されたパスワード４２０にて監視カメラ１と通信することが可能となる。

　ここで、ステップＳ１０９において、情報保存部３２０が、情報保存処理を行う。
　本実施形態において、情報保存部３２０は、情報保存ＤＢ３３０に格納されたグループＩＤ４００、ＳＳＩＤ４１０及びパスワード４２０、及び設定された監視カメラ１並びに端末２の機器ＩＤ１１０等を、外部機器に格納する。このように、管理装置３に保持する情報を格納することで、データのバックアップが可能となる。この外部機器として、いわゆるクラウド上に保存することで、多拠点での管理も可能となる。ここで、情報保存部３２０は、共通鍵３４０についても、外部機器に保存しておいてもよい。
　以上により、本発明の実施の形態に係る通信設定処理を終了する。

　次に、図１０及び図１１を参照して、監視システムＸにおいて、管理者が端末２ｂを用いて保守を行う例について説明する。
　具体的には、例えば、監視カメラ１の設定やメンテナンスを行う際に、上述のグループの設定とは関係なく、目的とする監視カメラ１と通信を行いたい場合がある。この場合、共通鍵３４０を含む保守用のアプリを、端末２ｂの主制御部２０で実行可能である。これにより、端末２ｂから監視カメラ１へのアクセスを行う。

　図１０は、端末２ｂとして、この保守用のアプリを実行する状態の機能構成を示す。この端末２ｂの制御構成は、図２の端末２と同様である。
　端末２ｂの通信制御部２００は、管理装置３に設定されたパスワード４２０に基づいて、同じグループの監視カメラ１へ接続可能である。
　これに加え、保守部２１０は、ＳＳＩＤ４１０からグループＩＤ４００を取得し、取得したグループＩＤ４００及び共通鍵３４０に基づいて、パスワード４２０を生成し、生成したパスワード４２０を用いて、監視カメラ１と通信可能である。

　図１１により、保守部２１０による別グループの監視カメラ１の通信制御部１００と通信する例について説明する。
　まず、保守部２１０は、通信したい監視カメラ１の通信制御部１００からＳＳＩＤ４１０を取得する。上述したように、このＳＳＩＤ４１０はグループＩＤ４００に基づいて生成されており、例えば、グループＩＤ４００と機器ＩＤ１１０とが連結されたものである。そこで、保守部２１０は、ＳＳＩＤ４１０からグループＩＤ４００を取得する。
　この上で、保守部２１０は、格納されたグループＩＤ４００及び共通鍵３４０に基づいて、管理装置３のグループ生成部３００と同様のアルゴリズムにて、ハッシュ化等して、パスワード４２０を生成する。保守部２１０は、生成したパスワード４２０を用いて監視カメラ１と通信する。

　このように、端末２ｂは、共通鍵３４０とＳＳＩＤ４１０とを用いて、どのグループの監視カメラ１にもアクセス可能となり、保守が容易となる。

　以上のように構成することで、以下のような効果を得ることができる。
　従来、特許文献１に記載されたように、ＳＳＩＤからパスワードを自動生成し、監視カメラ１へのアクセスを容易に行うことができる技術が存在した。特許文献１に記載の技術では、ＳＳＩＤからパスワードを生成するルールを定め、ユーザーのパスワード入力なしで監視カメラ１へアクセス可能とすることで、Wi-Fi接続の簡便化していた。
　しかしながら、特許文献１に記載されたような技術では、パスワード生成ルールを全ての監視カメラで共有していたため、グループ別にアクセス管理ができなかった。このため、便宜的にグループ分けをしたとしても、他のグループの監視カメラにもアクセスできてしまった。さらに、パスワード生成ルールが漏洩すると全ての監視カメラにアクセスできてしまうため、セキュリティー上の懸念があった。

　これに対して、本発明の実施の形態に係る監視システムＸは、監視カメラ１と、端末２と、監視カメラ１及び端末２を管理する管理装置３とを含む通信システムであって、管理装置３は、管理するためのグループを設定し、当該グループ毎にＳＳＩＤ４１０及びパスワード４２０を生成するグループ生成部３００と、グループ生成部３００により生成されたグループ毎に、ＳＳＩＤ４１０及びパスワード４２０を監視カメラ１に設定し、パスワード４２０を端末２に設定するグループ設定部３１０とを備え、監視カメラ１は、グループ毎に設定されたＳＳＩＤ４１０及びパスワード４２０にて端末２と通信する通信制御部１００を備え、端末２は、グループ毎に設定されたＳＳＩＤ４１０及びパスワード４２０にて監視カメラ１と通信する通信制御部２００を備えることを特徴とする。

　このように構成することで、グループ別に通信機器にアクセス可能となり、設定されたグループの監視カメラ１又は端末２以外にはアクセスできないようにすることができる。すなわち、監視カメラ１と端末２とのＮ対Ｎのアクセス管理を行うことができ、自グループの監視カメラ１及び端末２であればパスワード４２０入力なしで接続可能となる。さらに、パスワード４２０が漏洩しても、そのグループの機器にしかアクセスできないため、セキュリティー性も高めることができる。

　本発明の実施の形態に係る監視システムＸでは、管理装置３のグループ生成部３００は、設定されたグループのグループＩＤ４００に基づいてＳＳＩＤ４１０を生成し、グループＩＤ４００及び共通鍵３４０に基づいてパスワード４２０を生成することを特徴とする。
　このように構成することで、ＳＳＩＤ４１０から、同じグループでアクセスする監視カメラ１を容易に識別可能となる。さらに、パスワード４２０については、グループＩＤ４００及び共通鍵３４０が分からなければ推測できないため、セキュリティーを高めることができる。

　本発明の実施の形態に係る監視システムＸでは、端末２ｂは、監視カメラ１のＳＳＩＤ４１０からグループＩＤ４００を取得し、取得したグループＩＤ４００及び共通鍵３４０に基づいてパスワード４２０を生成し、生成したパスワード４２０を用いて監視カメラ１と通信する保守部２１０を更に備えることを特徴とする。
　このように構成することで、共通鍵３４０とＳＳＩＤ４１０とを用いて、どのグループの監視カメラ１にもアクセス可能となる。これにより、端末２ｂを用いた保守が容易となる。

　本発明の実施の形態に係る監視システムＸでは、管理装置３は、生成されたグループ、ＳＳＩＤ４１０並びにパスワード４２０、及び設定された監視カメラ１並びに端末２に関する情報を外部機器に格納する情報保存部３２０を更に備えることを特徴とする。
　このように構成することで、管理装置３が故障等した場合であっても、監視カメラ１及び端末２とアクセス可能とすることができる。すなわち、データのバックアップに資することができる。さらに、多拠点での管理等も可能となる。

　なお、上述の実施の形態では、監視カメラ１及び端末２について、一つのグループに設定する例について説明した。
　しかしながら、監視カメラ１及び端末２を、複数のグループに設定してもよい。この場合、監視カメラ１には、複数のＳＳＩＤ４１０及びパスワード４２０を設定可能である。
　このように構成することで、より柔軟なアクセス管理が可能となる。たとえば、複数のグループＩＤ４００のグループに接続可能な上位権限のある端末２と、それ以外の下位権限の端末２とを分けるといった構成も可能となる。

　上述の実施の形態では、グループ毎に制御可能な監視カメラ１の機能については同じであるように記載した。
　しかしながら、グループ毎に、監視カメラ１で制御可能な機能が異なっていてもよい。たとえば、グループによっては、監視カメラ１では、ズームや移動は不可能であったり、取得可能な画像データが静止画や低解像度データだけであったりといった機能的な制限を行ってもよい。または、例えば、上位権限のグループにおいては、監視カメラ１の測距データや状態データ等の内部データにアクセス可能とするようにしてもよい。さらに、上述の複数のＳＳＩＤ４１０及びパスワード４２０の設定に応じて、これらの制御可能な機能の制限やアクセスについての設定が異なるようにしてもよい。
　このように構成することで、グループ毎に役割を異ならせて、様々な環境に合わせた監視システムを提供することができる。

　上述の実施形態においては、管理装置３が有線ＬＡＮで監視カメラ１及び端末２と接続される例について記載した。
　しかしながら、管理装置３は、無線ＬＡＮで監視カメラ１及び端末２と接続可能であってもよい。この場合、設定用の特別のＳＳＩＤ４１０及びパスワード４２０を用いて通信可能としてもよい。
　さらに、上述の実施形態においては、Wi-Fiダイレクトのように、監視カメラ１がアクセスポイント（ホスト装置）として機能するように記載した。
　しかしながら、管理装置３がアクセスポイントとして機能してもよい。または、Wi-Fiのアクセスポイントとなる無線ＬＡＮ機器を別途用意して、各監視カメラ１又は端末２とは有線ＬＡＮ又は無線ＬＡＮで接続するような構成等であってもよい。
　このように構成することで、柔軟な構成に対応可能となる。

　上述の実施形態においては、グループの設定時に、管理装置３がＳＳＩＤ４１０やパスワード４２０を生成する例について記載した。
　しかしながら、管理装置３は、ＳＳＩＤ４１０やパスワード４２０を所定のタイミングで変更してもよい。このタイミングは、例えば、監視カメラ１の起動時、無線ＬＡＮ通信終了時、定期的且つ接続中を除く所定期間経過時等であってもよい。また、このようなタイミングの設定内容は、管理装置３又は端末２から設定、変更できてもよい。

　上述の実施形態においては、監視カメラ１と端末２と管理装置３とを備える構成について記載した。
　しかしながら、監視カメラ１及び／又は端末２が管理装置３の機能を備えるような構成も可能である。この場合、専用の設定アプリを用いて、監視カメラ１から端末２を設定したりしてもよい。逆に、管理用の端末２から監視カメラ１及び他の端末２にＳＳＩＤ４１０やパスワード４２０を設定したりしてもよい。
　このように構成することで、管理装置３がない環境でも、グループ毎のアクセス管理が可能となる。

　上述の実施形態においては、通信システムの一例として、監視カメラ１を通信機器として用いた監視システムＸについて説明した。
　しかしながら、監視カメラ１以外の通信システムについても、本発明を適用することが可能である。この場合、通信機器は、ＳＳＩＤ４１０及びパスワード４２０が設定されて通信可能な機器であれば、任意のものを用いることが可能であり、例えば、ＩｏＴセンサーノード機器、ドローン、操作可能な通信アンテナ等にも適用可能である。

　なお、上記実施の形態の構成及び動作は例であって、本発明の趣旨を逸脱しない範囲で適宜変更して実行することができることは言うまでもない。

１、１－１、１－２、１－３、１－４　監視カメラ２、２－１、２－２、２－３、２ｂ　端末３　管理装置１０、２０、３０　主制御部１１　カメラ１２　映像取得部１３　映像配信部１４、２４、３４　モジュール制御部１５、２５、３５　通信モジュール１６　データ制御部１７、２７、３７　主記憶部１８、２８、３８　補助記憶部２２、３２　表示部２３、３３　入力部１００、２００　通信制御部１１０　機器ＩＤ２１０　保守部３００　グループ生成部３１０　グループ設定部３２０　情報保存部３３０　情報保存ＤＢ３４０　共通鍵４００　グループＩＤ４１０　ＳＳＩＤ４２０　パスワード５００　画面例Ｐ　ヒトＸ　監視システム

Claims

　通信機器と、端末と、前記通信機器及び前記端末を管理する管理装置とを含む通信システムであって、
　前記管理装置は、
　グループを設定し、設定された前記グループのグループＩＤに基づいて、無線通信上の識別情報及びパスワードを生成するグループ生成部と、
　前記グループ生成部により生成された前記無線通信上の識別情報及びパスワードを前記通信機器に設定し、前記パスワードを前記端末に設定するグループ設定部とを備え、
　前記端末は、
　前記識別情報が設定された前記通信機器に対し、前記管理装置から設定された前記パスワードを用いて前記通信機器と通信する通信制御部を備える　ことを特徴とする通信システム。
　前記管理装置の前記グループ生成部は、
　設定された前記グループの前記グループＩＤに基づいて前記無線通信上の識別情報を生成し、
　前記グループＩＤ及び共通鍵に基づいて前記パスワードを生成し、
　前記端末は、
　前記通信機器の前記無線通信上の識別情報から前記グループＩＤを取得し、取得した前記グループＩＤ及び前記共通鍵に基づいて前記パスワードを生成し、生成したパスワードを用いて前記通信機器と通信する保守部を更に備える　ことを特徴とする請求項１の通信システム。
　前記管理装置は、
　生成された前記グループ、前記無線通信上の識別情報並びにパスワード、及び設定された前記通信機器並びに前記端末に関する情報を外部機器に格納する情報保存部を更に備える　ことを特徴とする請求項１の通信システム。