JP4738951B2 - Relay device and communication system including relay device - Google Patents
Relay device and communication system including relay device Download PDFInfo
- Publication number
- JP4738951B2 JP4738951B2 JP2005271715A JP2005271715A JP4738951B2 JP 4738951 B2 JP4738951 B2 JP 4738951B2 JP 2005271715 A JP2005271715 A JP 2005271715A JP 2005271715 A JP2005271715 A JP 2005271715A JP 4738951 B2 JP4738951 B2 JP 4738951B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- relay
- product processing
- processing device
- management server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 title claims description 109
- 238000012545 processing Methods 0.000 claims description 246
- 238000012795 verification Methods 0.000 claims description 66
- 238000000034 method Methods 0.000 claims description 20
- 230000005540 biological transmission Effects 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 17
- 238000004519 manufacturing process Methods 0.000 claims description 16
- 238000007726 management method Methods 0.000 description 104
- 230000006870 function Effects 0.000 description 26
- 238000005303 weighing Methods 0.000 description 18
- 238000012423 maintenance Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000001914 filtration Methods 0.000 description 6
- 238000004806 packaging method and process Methods 0.000 description 6
- 238000007689 inspection Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000002265 prevention Effects 0.000 description 4
- 230000009385 viral infection Effects 0.000 description 4
- 230000008520 organization Effects 0.000 description 3
- 239000000463 material Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000011109 contamination Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000004171 remote diagnosis Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
- 230000000153 supplemental effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、中継装置、特に、商品の生産に関する処理を行う商品処理装置と、その商品処理装置の管理を行う管理サーバとの間に配設され、商品処理装置と管理サーバとの間で情報の送受信を中継する中継装置、および同中継装置を含む通信システムに関する。 The present invention is arranged between a relay device, in particular, a product processing device that performs processing related to product production and a management server that manages the product processing device, and information between the product processing device and the management server. The present invention relates to a relay device that relays transmission / reception of data and a communication system including the relay device.
従来から、商品の生産ラインに並ぶ商品処理装置を専用回線やインターネット等の公衆回線を介して遠隔から管理するシステムが提案されている。例えば、特許文献1に開示されている組合せ秤システムでは、秤制御部の通信装置がインターネットを介してサーバコンピュータに接続している。そして、この特許文献1のシステムでは、制御プログラムの入れ替えが必要になったときに、サーバコンピュータから制御プログラムをダウンロードさせている。
特許文献1のように、インターネット等を介して商品処理装置を遠隔から管理するシステムが従来から提案されているが、インターネット上の通信は、盗聴、改ざん、なりすまし、ウイルス感染等の脅威に晒されている。 As in Patent Document 1, a system for remotely managing a product processing apparatus via the Internet has been proposed, but communication on the Internet is exposed to threats such as wiretapping, tampering, impersonation, and virus infection. ing.
特に、商品の生産に用いる商品処理装置には、機密の情報が含まれることがある。また、商品処理装置は、悪意を持った第3者による動作パラメータ又は動作ソフトウェアの書き換え等不正なプログラムの配布により誤動作すると、人命への危険や生産の停止につながりかねず被害が大きい。 In particular, confidential information may be included in a commodity processing apparatus used for commodity production. Further, if the merchandise processing apparatus malfunctions due to distribution of an illegal program such as rewriting of operation parameters or operation software by a malicious third party, the damage to the human life or production may be stopped.
例えば、計量装置、包装装置、商品検査装置といった商品処理装置が連なる食品の生産ラインにおいては、生産量や生産ノウハウ等の経営機密情報が各装置に存在するとともに、検査パラメータ等が悪意を持った者の手により書き換えられると検査が適切に行われなくなってしまう恐れがある。 For example, in a food production line with product processing equipment such as weighing equipment, packaging equipment, and product inspection equipment, management confidential information such as production volume and production know-how exists in each equipment, and inspection parameters etc. were malicious. If it is rewritten by a person's hand, there is a risk that the inspection will not be performed properly.
このような脅威に対する対策として、PKI(公開鍵基盤)が広く利用されているが、PKIにおいては、証明書を有する個体の正当性を完全には保証することはできない。例えば、登録された証明書を有する商品処理装置自体が盗難にあった場合や廃棄された場合、その商品処理装置を利用して内部ネットワークにアクセスすることが可能となる。 As a countermeasure against such a threat, PKI (public key infrastructure) is widely used. However, in PKI, the validity of an individual having a certificate cannot be completely guaranteed. For example, when the product processing device itself having a registered certificate is stolen or discarded, it is possible to access the internal network using the product processing device.
したがって、このような商品の生産に関する処理を行う商品処理装置を遠隔から管理するシステムにおいては、PKIによる認証だけでなく、接続する個体の正当性をもっと保証し得る、より高度なセキュリティ対策を講じる必要がある。 Therefore, in a system for remotely managing a product processing apparatus that performs processing related to the production of such products, not only authentication by PKI but also higher security measures that can further guarantee the validity of connected individuals are taken. There is a need.
本発明の課題は、商品処理装置と、それを遠隔から管理する管理サーバとの間の情報のやりとりのセキュリティを確保することができる中継装置および同中継装置を利用した通信システムを提供することにある。 An object of the present invention is to provide a relay device capable of ensuring security of information exchange between a product processing device and a management server that remotely manages the product processing device, and a communication system using the relay device. is there.
第1発明に係る中継装置は、商品の生産に関する処理を行う商品処理装置と、その商品処理装置の管理を行う管理サーバとの間に配設されており、第1および第2中継部と、第1および第2照合部と、第1および第2判断部とを備える。第1中継部は、サーバ側証明書を有する管理サーバから商品処理装置への情報である第1情報の送信を中継する。第2中継部は、処理装置側証明書を有する商品処理装置から管理サーバへの情報である第2情報の送信を中継する。第1照合部は、第1情報の送信を中継する際にサーバ側証明書について照合処理を行う。第2照合部は、第2情報の送信を中継する際に処理装置側証明書について照合処理を行う。第1判断部は、第1照合部による照合処理の結果に基づき、管理サーバとの接続を許可するかどうかを判断する。第2判断部は、第2照合部による照合処理の結果に基づき、商品処理装置との接続を許可するかどうかを判断する。 A relay device according to a first aspect of the present invention is disposed between a product processing device that performs processing related to product production and a management server that manages the product processing device, and includes a first and a second relay unit, First and second verification units, and first and second determination units are provided. The first relay unit relays transmission of first information that is information from the management server having the server-side certificate to the product processing apparatus. The second relay unit relays transmission of second information, which is information from the product processing apparatus having the processing apparatus side certificate to the management server. The first verification unit performs verification processing on the server-side certificate when relaying transmission of the first information. The second verification unit performs verification processing on the processing device side certificate when relaying transmission of the second information. The first determination unit determines whether to permit connection with the management server based on the result of the verification process by the first verification unit. The second determination unit determines whether to permit connection with the product processing device based on the result of the verification process by the second verification unit.
この中継装置により、商品処理装置と管理サーバとが直接情報のやりとりを行うことはなく、商品処理装置から管理サーバへ要求コマンド等の情報を送る際、あるいは管理サーバから商品処理装置へ新バージョンの制御プログラム等の情報を送る際に、各装置の証明書の検証を行う。 With this relay device, the product processing device and the management server do not exchange information directly. When sending information such as a request command from the product processing device to the management server, or from the management server to the product processing device When sending information such as a control program, the certificate of each device is verified.
証明書としては、例えばPKIにおいて認証局により発行された証明書がある。この証明書を利用して、接続対象となる装置の個体認証を行う。 As the certificate, for example, there is a certificate issued by a certificate authority in PKI. Using this certificate, individual authentication of the device to be connected is performed.
ここでは、PKI等における認証局による証明書の正当性の証明に加え、たとえ共通の認証局から発行され正当と認められた証明書を有する装置であっても、接続すべきでない装置(例えば廃棄或いは盗難にあった装置等)からの接続を許可しない。よって、より高度な通信セキュリティを確保することができる。 Here, in addition to proof of certificate validity by a certificate authority in PKI, etc., even a device having a certificate issued from a common certificate authority and recognized as valid is a device that should not be connected (for example, discarded) Alternatively, connection from a stolen device or the like) is not permitted. Therefore, higher communication security can be ensured.
すなわち、通信データの改ざん、中間傍受、通信におけるなりすましやウイルス感染等を未然に防ぐことができる。つまり、このような仕組みを採ることによって、例えば、商品処理装置の制御基板が盗難にあったり中継装置が盗難にあったりした場合にも、管理サーバになりすまして通信を傍受したり商品処理装置に偽の情報やウイルスを送ったりする不正アクセスによる被害を防ぐことができる。 In other words, tampering of communication data, intermediate interception, spoofing in communication, virus infection, and the like can be prevented. In other words, by adopting such a mechanism, for example, even when the control board of the product processing device is stolen or the relay device is stolen, it can be used as a management server to intercept communications or Damage caused by unauthorized access such as sending fake information or viruses can be prevented.
なお、上記の管理サーバ宛ての情報としては、アップデイト要求のコマンド、稼働率等の装置情報等を例として挙げることができ、商品処理装置宛ての情報としては、新バージョンのプログラム、リモートメンテナンスのコマンド等を例として挙げることができる。 Examples of information addressed to the management server include update request commands, device information such as operating rates, etc., and information addressed to product processing devices include new versions of programs and remote maintenance information. A command etc. can be mentioned as an example.
中継装置を介する全ての通信については暗号化を図ることがより好ましい。 It is more preferable to encrypt all communication via the relay device.
また、サーバ側証明書および処理装置側証明書は、生成主体が同じであって、出荷のときに最初から各装置に組み込まれることにより、より確実に証明書自体の偽造を防ぐことができる。 Further, the server-side certificate and the processing device-side certificate have the same generation subject and are incorporated into each device from the beginning at the time of shipment, so that the certificate itself can be prevented from being counterfeited more reliably.
第2発明に係る中継装置は、第1発明の中継装置であって、中継装置側証明書をさらに備える。中継装置側証明書は、管理サーバにおいて照合処理され、且つ前記商品処理装置において照合処理される。 A relay device according to a second invention is the relay device according to the first invention, and further includes a relay device side certificate. The relay apparatus side certificate is verified in the management server and verified in the product processing apparatus.
ここでは、中継装置自らも証明書を有することにより、管理サーバおよび商品処理装置との相互認証を可能とする。 Here, the relay device itself also has a certificate, thereby enabling mutual authentication between the management server and the product processing device.
第3発明に係る中継装置は、第1発明の中継装置であって、処理装置側証明書は、商品処理装置を特定する処理装置固有番号を含む。中継装置の第2照合部は、処理装置固有番号について照合処理を行う。第2判断部は、処理装置固有番号について照合処理の結果に基づき商品処理装置との接続を許可するかどうかを判断する。 A relay device according to a third aspect of the present invention is the relay device of the first aspect, wherein the processing device side certificate includes a processing device unique number that identifies the product processing device. The second verification unit of the relay device performs verification processing on the processing device unique number. The second determination unit determines whether or not to permit connection with the product processing device based on the result of the collation processing for the processing device unique number.
ここでは、商品処理装置の個体認証をより確実に行うことを可能とする。 Here, individual authentication of the product processing apparatus can be performed more reliably.
例えばSSLを利用する場合、証明書に一般名を記入する情報欄が設けてある。その情報欄の一部のフィールドに、ロッド番号等の商品処理装置の特定情報を含ませることにより、同証明書を受信した中継装置の第2判断部は、通信相手である商品処理装置が正当かどうかを判断できる。 For example, when SSL is used, an information field for entering a general name in the certificate is provided. By including the identification information of the product processing device such as the rod number in a part of the information column, the second determination unit of the relay device that has received the certificate is authorized by the product processing device that is the communication partner. Can be determined.
第4発明に係る中継装置は、第1発明の中継装置であって、第1情報には署名が付されている。中継装置の第1照合部は、第1情報の署名について照合処理を行う。第1判断部は、第1情報の署名についての照合処理の結果に基づき、第1情報の送信を中継するかどうかを判断する。 A relay device according to a fourth invention is the relay device according to the first invention, and the first information is signed. The first verification unit of the relay device performs verification processing on the signature of the first information. The first determination unit determines whether to relay the transmission of the first information based on the result of the collation process for the signature of the first information.
ここでは、第1情報の署名と中継装置が有する署名情報が一致した場合は、第1情報を商品処理装置へ送信し、不一致の場合は破棄する。これにより、装置ごとの認証に加えて、送信される情報の正当性も確認でき、特に情報の改ざんやなりすましをより効果的に防止することを可能とする。 Here, if the signature of the first information and the signature information of the relay device match, the first information is transmitted to the product processing device, and if it does not match, it is discarded. As a result, in addition to authentication for each device, the validity of the transmitted information can be confirmed, and in particular, it is possible to more effectively prevent information falsification and spoofing.
第5発明に係る中継装置は、第1発明の中継装置であって、第2情報には署名が付されている。中継装置の第2照合部は、第2情報の署名について照合処理を行う。第2判断部は、第2情報の署名についての照合処理の結果に基づき、第2情報の送信を中継するかどうかを判断する。 A relay device according to a fifth invention is the relay device according to the first invention, wherein the second information is signed. The second verification unit of the relay device performs verification processing on the signature of the second information. The second determination unit determines whether to relay the transmission of the second information based on the result of the collation process for the signature of the second information.
ここでは、第2情報の署名と中継装置が有する署名情報が一致した場合は、第2情報を管理サーバへ送信し、不一致の場合は破棄する。これにより、装置ごとの認証に加えて、送信される情報の正当性も確認でき、特に情報の改ざんやなりすましをより効果的に防止することを可能とする。 Here, when the signature of the second information matches the signature information of the relay device, the second information is transmitted to the management server, and when it does not match, it is discarded. As a result, in addition to authentication for each device, the validity of the transmitted information can be confirmed, and in particular, it is possible to more effectively prevent information falsification and spoofing.
第6発明に係る中継装置は、第1発明の中継装置であって、第1情報はソフトウェアである。 A relay device according to a sixth aspect of the present invention is the relay device of the first aspect, wherein the first information is software.
ここでは、特に盗聴または改ざんされた場合に甚大な被害につながる情報を明示している。 Here, information that causes serious damage especially when eavesdropping or tampering is specified.
第7発明に係る中継装置は、第1発明の中継装置であって、第2情報は商品処理装置に関する情報である。 A relay device according to a seventh aspect is the relay device according to the first aspect, wherein the second information is information relating to the product processing device.
ここでは、特に盗聴または改ざんされた場合に甚大な被害につながる情報を明示している。 Here, information that causes serious damage especially when eavesdropping or tampering is specified.
第8発明に係る中継装置は、第1発明の中継装置であって、第1判断部は、処理装置側証明書の内容に応じて、中継する第1情報の範囲を制限する。 A relay device according to an eighth invention is the relay device according to the first invention, and the first determination unit limits the range of the first information to be relayed according to the contents of the processing device side certificate.
ここでは、各顧客のニーズに応じて、管理サーバから必要な情報のみフィルタリングして送信を行うことを可能とする。 Here, according to the needs of each customer, only necessary information can be filtered and transmitted from the management server.
第9発明に係る中継装置は、第1発明の中継装置であって、第2判断部は、処理装置側証明書の内容に応じて、中継する前記第2情報の範囲を制限する。 A relay device according to a ninth aspect is the relay device according to the first aspect, wherein the second determination unit limits the range of the second information to be relayed according to the content of the processing device side certificate.
ここでは、各顧客のニーズに応じて、商品処理装置からの情報送信を必要最小限にとどめることを可能とする。 Here, according to the needs of each customer, it is possible to minimize the information transmission from the product processing apparatus.
特に、商品処理装置の種類によっては、その装置の制御に必要なプログラムやパラメータが含まれていて管理サーバによるメンテナンス等が必要であるという性質が備わっている一方で、その装置の稼働実績や特殊でノウハウ的なパラメータ設定の情報が内包されるという性質が備わっている。このような商品処理装置の場合、商品処理装置の使用者は、管理サーバを扱う保守会社等の関連機関であったとしても、そこに商品処理装置の稼働実績やノウハウ的なパラメータ設定が情報漏洩してしまうことを望まないこともある。 In particular, depending on the type of product processing device, it has the property that programs and parameters necessary for control of the device are included and maintenance by the management server is necessary, while the operation results and special features of the device are required. And know-how parameter setting information is included. In the case of such a product processing device, even if the user of the product processing device is a related organization such as a maintenance company that handles the management server, the operation results of the product processing device and know-how parameter settings may be leaked. Sometimes you don't want to.
第10発明に係る通信システムは、第2から第9発明の中継装置と、一以上の商品処理装置と、管理サーバとを備える。管理サーバは一以上の中継装置に接続され、各中継装置は一以上の商品処理装置に接続される。 A communication system according to a tenth invention includes the relay device according to the second to ninth inventions, one or more product processing devices, and a management server. The management server is connected to one or more relay devices, and each relay device is connected to one or more product processing devices.
商品処理装置は、第3照合部と第3判断部とを有する。第3照合部は、第1情報を受信する際に中継装置側証明書について照合処理を行う。第3判断部は、第3照合部による照合処理の結果に基づき中継装置との接続を許可するかどうかを判断する。 The merchandise processing apparatus includes a third verification unit and a third determination unit. The third verification unit performs verification processing on the relay device side certificate when receiving the first information. The third determination unit determines whether to permit connection with the relay device based on the result of the verification process by the third verification unit.
管理サーバは、第4照合部と第4判断部とを有する。第4照合部は、第2情報を受信する際に中継装置側証明書について照合処理を行う。第4判断部は、第4照合部による照合処理の結果に基づき中継装置との接続を許可するかどうかを判断する。 The management server has a fourth verification unit and a fourth determination unit. The fourth verification unit performs verification processing on the relay device side certificate when receiving the second information. The fourth determination unit determines whether to permit connection with the relay device based on a result of the verification process by the fourth verification unit.
ここでは、管理サーバ、中継装置および商品処理装置の三者が有する証明書を相互に検証する。これにより、従来のPKIのみの通信システムに比して、よりセキュリティ効果の高い通信システムが実現できる。 Here, the certificates possessed by the three parties of the management server, the relay device, and the product processing device are mutually verified. As a result, a communication system with a higher security effect can be realized as compared with a conventional communication system using only PKI.
一般的なPKIでは証明書の正当性は確認できるものの、その証明書をもつ接続相手の正当性までを完全に保証することはできない。この通信システムによれば、工場毎等に設置された中継装置を介して商品処理装置と管理サーバとの間では2度の相互認証を行うため、例えば商品処理装置についての証明書が外部に漏洩しても、外部において直接管理サーバへ接続することができない。この通信システムにより、各装置間における階層的なセキュアな認証システムが実現できるとともに、通信経路の特定が容易になる。 In general PKI, the validity of a certificate can be confirmed, but the validity of the connection partner having the certificate cannot be completely guaranteed. According to this communication system, since the mutual authentication is performed twice between the product processing device and the management server via the relay device installed at each factory or the like, for example, a certificate about the product processing device leaks to the outside. However, it is not possible to connect directly to the management server outside. With this communication system, it is possible to realize a hierarchical secure authentication system between devices and to easily specify a communication path.
第11発明に係る通信システムは、第10発明の通信システムであって、商品処理装置の第3判断部は、中継装置から開始する接続は許可しない。 A communication system according to an eleventh aspect of the invention is the communication system of the tenth aspect of the invention, in which the third determination unit of the product processing device does not permit connection starting from the relay device.
ここでは、情報の送信は常に商品処理装置側からの要求に応じて行われることになり、外部ネットワークに近い中継装置を経由した不正アクセスをより効果的に防止できる。特に、商品処理装置の動作パラメータの不測の書き換えや制御プログラムの不測の変更といった事態を抑えることができるとともに、商品処理装置にある機密情報の漏洩も回避することができる。 Here, transmission of information is always performed in response to a request from the merchandise processing device, and unauthorized access via a relay device close to the external network can be more effectively prevented. In particular, it is possible to suppress the unexpected rewrite of the operation parameters of the product processing apparatus and the unexpected change of the control program, and it is possible to avoid leakage of confidential information in the product processing apparatus.
第12発明に係る通信システムは、第10発明の通信システムであって、中継装置の第1判断部は、管理サーバから開始する接続は許可しない。 A communication system according to a twelfth aspect of the present invention is the communication system of the tenth aspect of the present invention, in which the first determination unit of the relay device does not permit connection starting from the management server.
ここでは、情報の送信は常に中継装置側(顧客側)からの要求に応じて行われることになり、外部ネットワークからの不正アクセスをより効果的に防止できる。特に、商品処理装置の動作パラメータの不測の書き換えや制御プログラムの不測の変更といった事態を未然に防ぐことができるとともに、商品処理装置にある機密情報の漏洩も回避することができる。 Here, transmission of information is always performed in response to a request from the relay device side (customer side), and unauthorized access from the external network can be more effectively prevented. In particular, it is possible to prevent unforeseen rewrites of operating parameters of the product processing apparatus and unforeseen changes in the control program, and to avoid leakage of confidential information in the product processing apparatus.
本発明によれば、従来のPKIによる認証に加え、管理サーバ、中継装置および商品処理装置の間でより確実な個体認証を行うことができるため、特になりすまし、改ざん等の不正アクセスやウイルス感染を効果的に防ぐことができ、商品処理装置と管理サーバとの間の情報のやりとりについて高度なセキュリティを確保することができる。 According to the present invention, in addition to the conventional authentication by PKI, more reliable individual authentication can be performed among the management server, the relay device, and the product processing device, so that particularly unauthorized access such as spoofing and tampering and virus infection can be prevented. This can be effectively prevented, and a high level of security can be secured for the exchange of information between the product processing apparatus and the management server.
本発明の一実施形態に係る中継装置に接続される商品生産ラインの商品処理装置41,42,43,44を、図1に示す。これらの商品処理装置41,42,43,44は、図2に示すように、中継装置40を介して遠隔にある管理サーバ20により遠隔監視や遠隔ソフトウェアアップデイトといった管理が為される。図2に示す管理サーバ20,中継装置40および商品処理装置41,42・・・から成る管理システムを、ここではセキュア通信システムと称する。
FIG. 1 shows
遠隔からの管理の対象となる商品処理装置41,42・・・は、袋詰めされる食品である商品を生産するラインにおいて、それぞれ、商品処理を行う。具体的には、図1に示す計量装置41、製袋包装装置42、シールチェック装置43、重量チェック装置44等が商品処理装置である。図1では省略しているが、商品処理装置には、その他、自動箱詰め装置、X線等による異物混入チェック装置等が含まれることもある。
The
図2に示すように、1つの物件(工場等)31に設置される一連の商品処理装置41,42・・・は、それぞれ物件31内に設置される1つの中継装置40に接続される。そして、中継装置40は、インターネット50等の公衆回線あるいは専用回線を介して、物件31から遠く離れた遠隔地にある集中管理センター10内の管理サーバ20に接続される。また、管理サーバ20は、物件31以外の物件32,33等に設置されている中継装置からの接続要求も受ける。
As shown in FIG. 2, a series of
中継装置40は、商品処理装置41,42・・・から管理サーバ20に送信される診断用データや部品発注データの中継を行ったり、管理サーバ20から商品処理装置41,42・・・に送信される新バージョンの商品処理用プログラムの中継を行ったりする。商品処理装置41,42・・・と管理サーバ20とは直接つながることはなく、両者の間のデータ(情報)のやりとりは、必ず中継装置40を介して行われる。
The
<商品処理装置の詳細構成>
商品処理装置41,42・・・について、ここでは計量装置41を例にとって説明を行う。なお、製袋包装装置42やシールチェック装置43等他の商品処理装置においても、計量装置41と同様の制御部の構成となっている。
<Detailed configuration of product processing apparatus>
Here, the
計量装置41は、主として、制御部41aと、操作パネル41bと、制御部41aに接続される駆動部やセンサー41cとから構成されている(図3参照)。駆動部やセンサー41cには、計量物を搬送するための電磁石、計量物の重量を検出する重量センサー、計量ホッパの底面を開閉するためのモータ等が含まれる。操作パネル41bは、計量に関する各種設定を入力するためのタッチパネル式の液晶画面であり、且つ、稼働状況等を表示する表示器である。この操作パネル41bは、製袋包装装置42の操作パネルを兼ねるとともに、後述する中継装置40における商品処理装置41,42・・・の機物情報の登録を行う入力装置の役割も果たす。
The weighing
計量装置41の制御部41aは、図3に示すように、CPU81、RAM82、不揮発メモリ83、通信インターフェース(以下、通信I/Fという。)84等がバスによって接続されたものである。
As shown in FIG. 3, the
CPU81は、中継装置40の電子証明書66について照合処理を行う処理装置照合部81aと、処理装置照合部81aの照合の結果に基づき判断処理を行う処理装置判断部81bとを有する。
The
不揮発メモリ83には、公開鍵を含む電子証明書61、TLS(SSL)通信用秘密鍵58、制御プログラム(図示せず)等が記憶される。電子証明書61として、中継装置40との間で接続の認証を行うために用いられる処理装置側接続認証用電子証明書61aとともに、中継装置40を介して管理サーバ20へと送られる情報のフィルタリングを中継装置40に行わせるための処理装置側フィルタリング用電子証明書61bが用意されている。TLS通信用秘密鍵58は、公開鍵暗号方式で使用される一対の鍵の組のうちの1つである。制御部41aは、中継装置40から送られてきた暗号化されたデータ(情報)を、TLS通信用秘密鍵58を使って復号する。また、制御部41aは、中継装置40に送るデータを公開鍵によって暗号化する。
The
次に説明する中継装置40と計量装置41とは、両者の通信I/F74,84を介して専用線によって接続される。なお、中継装置40と計量装置41との通信は、全てが暗号化される。
The
<中継装置の詳細構成>
中継装置40は、物件31内に設置されるセキュアプロキシであり、プログラミング機能を持っている。この中継装置40は、CPU71、RAM72、不揮発メモリ73、通信I/F74、ネットワークインターフェース(以下、ネットワークI/Fという。)75、ハードディスク(以下、HDという。)76等がバスによって接続されたものである。
<Detailed configuration of relay device>
The
中継装置40の通信I/F74は、商品処理装置41,42・・・からの情報を中継する中継部として機能し、同一の物件31内にある商品処理装置41,42・・・の通信I/F84に接続される。
The communication I /
中継装置40のネットワークI/F75は、管理サーバからの情報を中継する中継部として機能し、遠隔地にある管理サーバ20のネットワークI/F95にインターネット50を介して接続される。なお、中継装置40と管理サーバ20との通信についても、全てが暗号化される。
The network I /
上述のように、中継装置40は、商品処理装置41,42・・・と管理サーバ20との間でデータの中継を行うものであるが、その中継処理において、認証を行い、特定の経路しか受け付けない。
As described above, the
CPU71は、管理サーバ20の電子証明書68について照合処理を行う第1中継装置照合部71aaと、商品処理装置の電子証明書61について照合処理を行う第2中継装置照合部71abと、第1中継装置照合部71aaの照合の結果に基づき判断処理を行う第1中継装置判断部71baと、第2中継装置照合部71abの照合の結果に基づき判断処理を行う第2中継装置判断部71bbとを有する。
The
不揮発メモリ73には、公開鍵を含む電子証明書である中継装置側電子証明書66、TLS(SSL)通信用秘密鍵57、プログラム(図示せず)等が記憶される。中継装置40は、商品処理装置41,42・・・や管理サーバ20から送られてきた暗号化されたデータを、TLS通信用秘密鍵57を使って復号する。また、中継装置40は、商品処理装置41,42・・・や管理サーバ20に送るデータを公開鍵によって暗号化する。
The
また、不揮発メモリ73では、商品処理装置41,42・・・のロッド番号がロッド番号データベース73aに記憶される。このロッド番号データベース73aに各ロッド番号を記憶させる登録作業は、本セキュア通信システムにおいては、計量装置41の操作パネル41bを用いて行われる。
Further, in the
<管理サーバの詳細構成>
管理サーバ20は、上述のように物件31から遠く離れた遠隔地にある集中管理センター10に設置されており、商品処理装置41,42・・・から中継装置40を介して為される接続要求を受け付ける。この管理サーバ20は、各物件31,32,33にある商品処理装置41,42・・・のメンテナンスをリモートで行う機能、最新の制御プログラムを要求に応じて配信する機能、各商品処理装置の動作状況等の情報を取得して管理する(例えば、監視したり報告書を作ったりする)機能等を有している。
<Detailed configuration of management server>
As described above, the
管理サーバ20は、CPU91、RAM92、不揮発メモリ93、ネットワークI/F95、HD96等がバスによって接続されたものである。
The
CPU91は、中継装置40の電子証明書66について照合処理を行う管理サーバ照合部91aと、管理サーバ照合部91aの照合の結果に基づき判断処理を行う管理サーバ判断部91bとを有する。
The
不揮発メモリ93には、公開鍵を含む電子証明書であるサーバ側電子証明書68、TLS(SSL)通信用秘密鍵59、処理装置側電子証明書61,62,63・・・および中継装置側電子証明書66の有効期限を記憶する失効データベース93a、管理プログラム(図示せず)等が記憶される。管理サーバ20は、中継装置40から送られてきた暗号化されたデータを、TLS通信用秘密鍵59を使って復号する。また、管理サーバ20は、中継装置40に送るデータを公開鍵によって暗号化する。
The
複数の中継装置40から接続要求を受け付けるが、管理サーバ20は、それらの中継装置40を、中継装置側電子証明書66によって認識・認証する。さらに、管理サーバ20は、中継装置40を介して送られてくる商品処理装置41,42・・・からのデータについて、その中に含まれる、ロッド番号等の商品処理装置を特定する情報も確認する。例えば、ロッド番号が管理サーバ20側に登録されていないものであれば、そのデータの受信を拒否する。すなわち、中継装置40を認識して通信路特定をし、中継装置側電子証明書66の認証も終わり、通信セッションを開いた後であっても、送信されてきたデータ内にあるロッド番号が登録されていないものであれば受信拒否となる。これにより、中継装置40が盗難にあった場合でも、それを使った悪意の通信セッションを管理サーバ20との間で開けるものの、データの送受信は管理サーバ20に拒否されることになり、管理サーバ20からの機密データの漏洩が防止できる。
The
HD96の中には、各商品処理装置41,42・・・の稼働情報やメンテナンス情報を記憶する処理装置情報データベース96a、各物件31からの部品のオンライン発注に関する情報を記憶する発注データベース96b、各商品処理装置41,42・・・の種々のバージョンの制御プログラムを記憶するアップデイト用データベース96c等が存在している。各データベースの利用については、後述する。
In the
<セキュア通信システムのPKIモデル>
本セキュア通信システムは、PKIを利用したシステムであり、図6はその一例を示す。
<PKI model of secure communication system>
The secure communication system is a system using PKI, and FIG. 6 shows an example thereof.
本PKIモデルは、ルートCA証明書101を有するルートCA100と、中間CA証明書111を有する中間CAと、各電子証明書を有する管理サーバ20、中継装置40および商品処理装置41,42・・・とを備えた階層型モデルである。なお、図示は省略しているが、中間CAは装置ごとに複数設けられている。
This PKI model includes a
管理サーバ20、中継装置40および商品処理装置41,42・・・の各電子証明書はそれぞれを管理する中間CAに認証され、各中間CAはルートCAに認証される。
The electronic certificates of the
また、本PKIモデルにおいては、コード署名局120が設けられている。コード署名局は、管理サーバ20、中継装置40および商品処理装置41,42・・・間において送受信されるソフトウェア等の情報に付されるコード署名を管理する。情報に付されたコード署名が真正なものであることを確認するために、コード署名局は署名局証明書121を有し、同コード署名局を管理する中間CAに認証され、その中間CAはルートCAに認証される。
In the PKI model, a
このようなしくみをとることにより、各電子証明書や署名が信頼された機関により発行又は保証されたものであることが確認できる。 By taking such a mechanism, it can be confirmed that each electronic certificate or signature is issued or guaranteed by a trusted organization.
<セキュア通信システムの各モード>
次に、不正経路接続防止機能を持った本セキュア通信システムの各モードについて、以下に説明する。
<Each mode of secure communication system>
Next, each mode of the secure communication system having an unauthorized path connection prevention function will be described below.
(1)設定モード
このモードは、中継装置40に接続する商品処理装置41,42・・・の数が増減する場合に実行される。
(1) Setting mode This mode is executed when the number of
通信セッション開始のトリガは全て商品処理装置41,42・・・側が有しており、通信経路を特定するためには、中継装置40に商品処理装置41,42・・・に関する情報である機物情報を登録させておく。そのため、中継装置40のモードを切り替えて機物情報(ここでは、ロッド番号)の登録作業を行なう。各商品処理装置41,42・・・のロッド番号は、図4に示すように、中継装置40のロッド番号データベース73aに記憶される。
All of the triggers for starting the communication session are possessed by the
管理サーバ20は、自ら商品処理装置41,42・・・に対する通信セッションを開くことはできず、商品処理装置41,42・・・がトリガを引いた通信セッションにおいてのみ、応答の形で商品処理装置41,42・・・にアクセスすることができる。
The
(2)通信モード
通信セッション開始の操作は、全て商品処理装置41,42・・・側から行う。
(2) Communication mode All operations for starting a communication session are performed from the
通信開始時の中継装置40と商品処理装置41,42・・・との認証シーケンスについては、全てTLS技術を用いる。具体的には、公開鍵および秘密鍵、電子証明書、ハッシュ関数というセキュリティ技術を組み合わせて、認証シーケンスを行う。この際、商品処理装置41,42・・・は、上記の設定モードで登録された特定の中継装置40を介さなければ、各種サービスを提供する管理サーバ20に接続することができない。
TLS technology is used for all authentication sequences between the
TLSのハンドシェイク時に利用する処理装置側接続認証用電子証明書61aの内部の所定項目欄に商品処理装置41,42・・・の識別名とロッド番号とを埋め込み、TLSセッション開始時に、中継装置40から商品処理装置41,42・・・側に要求して得られたロッド番号と比較することで、中継許可を行うかどうかを中継装置40において判定する。
The identification names and rod numbers of the
正しい相手である場合、中継装置40は、同様の手順で、各種サービスを提供している管理サーバ20に対して接続を要求する。この接続の過程でもTLS認証を用い、通信セッション確立時には本セキュア通信システムの全通信経路において暗号化および情報完全性を保証できるようにしている。したがって、インターネット50を流れるデータは、全て、改ざん防止目的の電子署名が為されたものとなる。
If it is the correct partner, the
通信セッションが確立された後、商品処理装置41,42・・・は、処理装置側接続認証用電子証明書61aとは別の証明書である処理装置側フィルタリング用電子証明書61bを用いることで、送信情報のフィルタリングを行うことができる。このフィルタリングにより、情報(通信データ)を選択して暗号化送信することができる。このように、処理装置側フィルタリング用電子証明書61bが設けられているため、商品処理装置41,42・・・を使う顧客は、外部(管理サーバ20)に送信する必要がない機密情報をフィルタリングにより外すことができる。
After the communication session is established, the
上記のような手順を踏むため、商品処理装置41,42・・・は、特定の中継装置40のみを経由してからでなければ、各種サービスを提供する管理サーバ20への接続ができない。したがって、商品処理装置41,42・・・が廃棄されたり盗難にあったりした場合でも、双方(商品処理装置41,42・・・を使う顧客および管理サーバ20により各種サービスを提供する者)が不正なアクセスを受けるといったセキュリティ上の懸念がなくなっている。
In order to follow the above procedure, the
また、中継装置40自身は、商品処理装置41,42・・・に対する通信セッションを開始するためのトリガ機能を有していない。このため、中継装置40が廃棄や盗難等にあい商品処理装置41,42・・・に対する接続を試みられた場合でも、接続はできず情報漏洩等を防ぐことができる。よって、顧客にとってセキュリティ上の懸念がない。
Further, the
また、商品処理装置41,42・・・と中継装置40の電子証明書に関しては、その失効を接続要求毎に確認する機能が管理サーバ20に搭載されており、商品処理装置41,42・・・が中継装置40を通して管理サーバ20へ接続することを個別に無効化することができる。失効手続きは、管理サーバ20側で有効期限のチェックと無効化設定を行うことで、実現される。これにより、中継装置40と商品処理装置41,42・・・の両方で、鍵や電子証明書の悪意の二次利用が防止できる。有効期限や無効化設定の有無等の情報は、管理サーバ20の不揮発メモリ93の失効データベース93aに格納される。このような電子証明書の失効確認を管理サーバ20で行っているため、万が一、中継装置40と商品処理装置41,42・・・の制御基板とがセットで持ち出されても、失効手続きを行うことで悪意の通信を管理サーバ20側でプロテクトすることができる。
In addition, regarding the electronic certificates of the
<中継装置の各機能について>
次に、中継装置40に焦点を当てて、その各機能について整理した形で説明を行う。
<About each function of the relay device>
Next, focusing on the
(1)商品処理装置認証機能
本セキュア通信システムでは、例えばPKIを利用して暗号化通信を確立する際に相互認証を行う。この際、否認防止目的のために、電子証明書の識別名および拡張領域項目を活用して、厳重なチェックを実施している。
(1) Product Processing Device Authentication Function In the secure communication system, mutual authentication is performed when establishing encrypted communication using, for example, PKI. At this time, for the purpose of preventing non-repudiation, a strict check is performed by using the identification name and the extension area item of the electronic certificate.
管理サーバ20に情報を送信するために商品処理装置41,42・・・から中継装置40に情報が送られるときには、処理装置側接続認証用電子証明書61aが付けられ、その電子証明書61aの拡張領域項目には商品処理装置41,42・・・のロッド番号が入れられる。
When information is sent from the
中継装置40の第2中継装置照合部71bbは、登録された商品処理装置41,42・・・のロット番号と、送られてきた電子証明書61aのロット番号とを照合する。ここでロッド番号が異なる場合には、中継装置40の第2中継装置判断部71bbが、商品処理装置41,42・・・との接続を拒否する。
The second relay device collation unit 71bb of the
このような仕組みを採用しているため、例えば盗み出した商品処理装置41,42・・・の電子証明書61aをコンピュータに組み込んで別の中継装置40に悪意の接続を試みようとしても、中継装置40にはその盗まれた商品処理装置41,42・・・のロット番号が登録されていないため、通信セッションが開かれない。
Since such a mechanism is employed, for example, even if the
(2)商品処理装置情報管理機能
自身の管理下にある商品処理装置41,42・・・にのみインターネット50を介した管理サーバ20への接続許可を出す役割を果たすため、中継装置40では、セキュア通信システムの使用前に、商品処理装置41,42・・・の機物情報を登録しておく必要がある。このため、中継装置40は、各商品処理装置41,42・・・の固有情報(ロッド番号等)を保存する機能を有している。例えば、上述のように、操作パネル41bを用いた入力により、中継装置40のロッド番号データベース73aに各商品処理装置41,42・・・のロッド番号が登録される。
(2) Product processing device information management function In order to play a role of granting connection permission to the
(3)通信コンバータ機能
商品処理装置41,42・・・自身が直接インターネット50を経由して管理サーバ20等と通信を行うということがセキュリティの面から好ましくないため、中継装置40は、商品処理装置41,42・・・の通信を仲介する役割を果たす。また、中継装置40は、同時に複数の商品処理装置41,42・・・からの接続要求があったときに、それらを適切に処理する機能を有している。
(3) Communication converter function Since the
(4)証明書失効情報提供機能
通常、証明書を利用した暗号化通信では、証明書の失効情報を自身で確認する。しかし、本セキュア通信システムでは、管理サーバ20と商品処理装置41,42・・・とが直接つながることはなく、商品処理装置41,42・・・が証明書の失効情報を直接取得することはできない。したがって、中継装置40に、商品処理装置41,42・・・の代理として必要な証明書失効情報を取得して提供する機能を備えさせている。
(4) Certificate revocation information provision function Normally, in encrypted communication using a certificate, the certificate revocation information is checked by itself. However, in this secure communication system, the
<本発明に係る中継装置を含むセキュア通信システムの特徴>
最近、インターネット技術の幅広い普及に伴い、商品処理装置をネットワーク対応型のものとし、インターネットによる通信接続を使って集中管理センターの管理サーバで遠隔地の商品処理装置をサポートするサービスが広まってきている。
<Features of Secure Communication System Including Relay Device According to the Present Invention>
Recently, with the widespread use of Internet technology, product processing devices have become network-compatible, and services that support remote product processing devices with a centralized management center management server using the Internet communication connection are spreading. .
しかし、商品処理装置で取り扱う情報には顧客の経営情報が含まれている場合がある。特に、計量や包装を行う商品生産ラインや食品加工工場では、各商品処理装置内部の情報の機密性が高い。また、食品といった商品を生産するラインにおいては、食の安全のための検査も行われており、この検査を行う装置について外部から不正なアクセスが為されると、商品の安全性が損なわれる恐れも出てくる。 However, information handled by the product processing apparatus may include customer management information. In particular, in product production lines and food processing factories for weighing and packaging, the confidentiality of information inside each product processing apparatus is high. In addition, food production inspections are also performed on food production lines, and if unauthorized access is made from outside to the equipment that performs these inspections, the safety of the products may be impaired. Also come out.
したがって、管理サーバ等外部のネットワークを介して商品処理装置に通信接続を行ってデータを送受信するサービスを行おうとする場合には、通信データの改ざん、中間傍受、通信なりすまし、ウイルス感染等に対応するセキュリティ対策を万全に行って通信時の顧客情報の安全性確保を図ることが重要となる。 Therefore, when trying to perform a service to send and receive data by connecting to a product processing apparatus via an external network such as a management server, it handles tampering of communication data, intermediate interception, communication spoofing, virus infection, etc. It is important to ensure the security of customer information during communication by taking thorough security measures.
このような要望に対し、単に公開鍵暗号技術を利用することも考えられるが、鍵を記憶したメモリデバイスを含む商品処理装置や商品処理装置の制御基板が盗難される恐れも否定できない。また、偽の管理サーバを作られ、偽のプログラムを送りつけられたり商品処理装置側の極秘情報を吸い上げられたりする恐れもある。 In response to such a demand, it may be possible to simply use public key encryption technology, but there is no denying the possibility that the merchandise processing apparatus including the memory device storing the key and the control board of the merchandise processing apparatus will be stolen. There is also a possibility that a fake management server is created, a fake program is sent, or confidential information on the product processing apparatus side is sucked up.
もちろん、PKIを用いればある程度通信相手の正当性の保証は可能であるが、この技術では、意図しない経路での通信接続を検出して情報漏洩を防止する仕組みは備えていない。すなわち、商品処理装置自体が廃棄・盗難・交換されると、それを悪用して不正にネットワークに接続することが可能となる。これにより、通信当事者以外への情報漏洩の可能性が生まれてしまうことになる。 Of course, if PKI is used, it is possible to guarantee the correctness of the communication partner to some extent. However, this technology does not provide a mechanism for detecting communication connection on an unintended route and preventing information leakage. That is, when the product processing device itself is discarded, stolen, or exchanged, it can be abused to connect to the network illegally. As a result, there is a possibility of information leakage to non-communication parties.
これに対し、本実施形態の中継装置40を含むセキュア通信システムでは、不正経路接続防止機能を持つようになっており、以下のような各特徴がある。これにより、商品処理装置41,42・・・と管理サーバ20との通信の安全等を図ることができるようになっている。
On the other hand, the secure communication system including the
(1)
まず、中継装置40を介した商品処理装置41,42・・・と管理サーバ20との通信においては、完全な暗号化通信を図っている。具体的には、計量装置41等の商品処理装置41,42・・・それぞれに、TLS機能を持つモジュールを搭載している。TLS通信用秘密鍵58、電子証明書(公開鍵含む)61は、商品処理装置41,42・・・の出荷時において制御基板の内部に組み込まれている。
(1)
First, in communication between the
その上で、商品処理装置41,42・・・にはインターネット50への直接の接続をさせない構成を採っている。
In addition, the
(2)
また、商品処理装置41,42・・・と管理サーバ20とを介在するものとして、中継装置40を物件31に設置している。
(2)
Moreover, the
この中継装置40は、商品処理装置41,42・・・と同様に、出荷時においてTLS通信用秘密鍵57、電子証明書(公開鍵含む)66が最初から組み込まれている。
This
商品処理装置41,42・・・の証明書である処理装置側電子証明書61と中継装置40の証明書である中継装置側電子証明書66とは、ともに出荷時に組み込まれている。
The processing device side
さらに、管理サーバ20のサーバ側電子証明書68についても、処理装置側電子証明書61および中継装置側電子証明書66と同様に、出所が同じであって、最初から組み込まれている。
Further, the server-side
これらの電子証明書は第三者機関である認証局によって発行されたものであり、公開鍵の真正性が証明されているものである。 These electronic certificates are issued by a certificate authority that is a third-party organization, and the authenticity of the public key is proved.
(3)
上記のような高度なセキュリティと不正経路接続防止機能を有したセキュア通信システムを用いることで、従来では安全性の面から実現が難しかった遠隔地の管理サーバ20による遠隔サポートサービス、オンライン発注サービス、ソフトウェアアップデイトサービス等のインターネット50を活用した各種サービスを顧客に安全に提供することができるようになっている。
(3)
By using a secure communication system having the above-described advanced security and unauthorized path connection prevention function, remote support service, online ordering service by
<3−1:遠隔サポートサービス>
従来から、商品処理装置が導入された製造現場では、日々の生産条件により商品処理装置の稼働率が変動する問題がある。これに対してノウハウを持ったサービスパーソン・営業・技術の各メンバーが都度、現地にて対応することで、サービスの提供を行っている。
<3-1: Remote support service>
Conventionally, at a manufacturing site where a product processing apparatus is introduced, there is a problem that the operation rate of the product processing apparatus varies depending on daily production conditions. In response to this, service personnel, sales, and technical members with know-how provide services by responding locally.
本セキュア通信システムを採用すれば、暗号化通信と経路特定を行った通信路を確立することで、安全なリモート診断サービスを提供できる。 If this secure communication system is adopted, a secure remote diagnosis service can be provided by establishing a communication path in which encrypted communication and path identification are performed.
この時に、機物情報等テキストベースの文字データのみならず、商品処理装置に搭載されているカメラ映像の情報も同時に用いることが可能になるため、現場の状況を詳細に確認しながらの支援が可能となる。このため、問題発生から現地に赴く時間の無駄を解消するばかりでなく、従来よりも迅速なサービスの提供が可能となる。 At this time, it is possible to use not only text-based character data such as machine information but also camera video information installed in the product processing device at the same time. It becomes possible. For this reason, not only is it possible to eliminate the waste of time going to the site from the occurrence of a problem, but it is also possible to provide a service that is faster than before.
なお、この遠隔サポートサービスの実施のために、管理サーバ20のHD96の処理装置情報データベース96aには、各商品処理装置41,42・・・の稼働情報やメンテナンス情報が集められる。
In order to implement this remote support service, the operation information and maintenance information of each
<3−2:オンライン発注サービス>
従来、電話やFAX等で処理していたメンテナンス用部品の発注処理を、映像資料等の補足資料を添えて、安全に電子データとして処理することができるようになる。これにより、即時に在庫状況や納期のような情報を顧客側に提供することができる。
<3-2: Online ordering service>
Conventionally, the ordering process for maintenance parts, which has been processed by telephone or FAX, can be safely processed as electronic data with supplemental materials such as video materials. As a result, information such as inventory status and delivery date can be immediately provided to the customer.
なお、このオンライン発注サービスの実施のために、管理サーバ20のHD96の発注データベース96bには、部品発注に関する情報が集められる。
In order to implement this online ordering service, information related to part ordering is collected in the
<3−3:ソフトウェアアップデイトサービス>
従来、サービスパーソンが現地に出向いて商品処理装置の制御プログラムのバージョンアップ等の作業を行っているが、本セキュア通信システムを採用すれば、素早く低コストでソフトウェアのアップデートサービスを提供することができるようになる。但し、管理サーバ20側から商品処理装置41,42・・・との通信セッションを開くことをセキュリティの観点から禁止しているため、管理サーバ20は、商品処理装置41,42・・・側から要求があったときに限り、必要な制御プログラムを商品処理装置41,42・・・に送信することが可能である。
<3-3: Software update service>
Conventionally, a service person has been sent to the site to upgrade the control program of the product processing device. However, if this secure communication system is adopted, a software update service can be provided quickly and at low cost. It becomes like this. However, from the viewpoint of security, it is prohibited to open a communication session with the
なお、このソフトウェアアップデイトサービスの実施のために、管理サーバ20のHD96のアップデイト用データベース96cには、各種の商品処理装置それぞれについて古いバージョンから最新バージョンまでの制御プログラムが格納されている。
In order to implement this software update service, the
(4)
本セキュア通信システムでは、通信の主体者として、商品処理装置41,42・・・、中継装置40および管理サーバ20の三者が登場し、それぞれが電子証明書を備えている。本セキュア通信システムは、情報漏洩防止をシステムの一機能として持たせるために、顧客側の主体者を認証して経路を特定する機能を有し、管理サーバ20に対して通信のトリガを有する中継装置40と、中継装置40に対して通信のトリガを有する商品処理装置41,42・・・と、通信トリガを有しない管理サーバ20とを備える。また、本セキュア通信システムでは、TLS(SSL)通信技術と中継装置40等による相互認証機能とを融合させている。
(4)
In this secure communication system, three parties of
これにより、経路情報の特定および固定化が実現できるようになり、商品処理装置41,42・・・と中継装置40とのいずれかの機物が盗難されるといった予期せぬ状態が発生しても、それを用いた不正アクセスを防ぐことができる。
As a result, it becomes possible to identify and fix the route information, and an unexpected state occurs in which one of the products of the
<変形例>
(1)
例えば、SSLを利用した認証の場合、一般名(CN)のフィールドを利用した認証が可能である。
<Modification>
(1)
For example, in the case of authentication using SSL, authentication using a common name (CN) field is possible.
具体的には、SSLライブラリでの一般名フィールド(制限が64バイト)に、識別記号欄と特定情報欄とを設ける。その特定情報欄に、中継装置40や商品処理装置41,42・・・であれば、それらのロッド番号を記述する。
Specifically, an identification symbol field and a specific information field are provided in the general name field (limit is 64 bytes) in the SSL library. In the specific information column, if the
このように既存の電子証明書の一部のフィールドを利用して認証をし、経路特定を行うことができる。 In this way, it is possible to perform authentication by using a part of the field of the existing electronic certificate to specify the path.
(2)
上記のセキュア通信システムでは、管理サーバ20側から商品処理装置41,42・・・との通信セッションを開くことをセキュリティの観点から禁止しているが、管理サーバ20のサーバ側電子証明書68の盗難の恐れが全くない等、セキュリティの確保が十分に可能である場合には、管理サーバ20に通信のトリガを引く権限を与えることも考えられる。
(2)
In the secure communication system described above, it is prohibited from the viewpoint of security to open a communication session with the
(3)
上記のセキュア通信システムでは、制御部41aの不揮発メモリ83に処理装置側電子証明書61やTLS通信用秘密鍵58を入れているが、これらの暗号化通信のための主要機能を制御部41aから分離させて例えば計量装置に後付けする通信コンバータとして独立させることも考えられる。この場合、通信コンバータには、例えば、高速CPU、各種インターフェース、制御プログラムや稼働情報のバックアップ部等をさらに備えさせ、既存の各種商品処理装置に対応可能にしておくことが望ましい。
(3)
In the above-described secure communication system, the processing device side
(4)
上記のセキュア通信システムでは、中継装置40における商品処理装置41,42・・・の機物情報の登録を行う入力装置として、計量装置41の操作パネル41bを利用しているが、中継装置40に専用の入力装置を設けてもよい。
(4)
In the secure communication system described above, the
本発明に係る中継装置を採用する通信システムは、商品処理装置や中継装置が盗難にあった場合にも、管理サーバになりすまして通信を傍受したり商品処理装置に偽の情報を送ったりする不正アクセスによる被害を防ぐことができ、商品処理装置と管理サーバとの間の情報のやりとりのセキュリティを確保することができる。このため、本発明に係る中継装置は、商品処理装置とその商品処理装置の管理を行う管理サーバとの間で情報の中継を行う中継装置として、特に有用である。 The communication system that employs the relay device according to the present invention is an improper act of impersonating the management server to intercept communication or sending fake information to the product processing device even when the product processing device or the relay device is stolen. Damage due to access can be prevented, and security of information exchange between the product processing apparatus and the management server can be ensured. Therefore, the relay device according to the present invention is particularly useful as a relay device that relays information between the product processing device and a management server that manages the product processing device.
20 管理サーバ
40 中継装置
41 計量装置(商品処理装置)
42 製袋包装装置(商品処理装置)
43 シールチェック装置(商品処理装置)
44 重量チェック装置(商品処理装置)
61,62,63 処理装置側電子証明書
61a 処理装置側接続認証用電子証明書
61b 処理装置側フィルタリング用電子証明書
66 中継装置側電子証明書
68 サーバ側電子証明書
71 CPU
71aa 第1中継装置照合部(第1照合部)
71ab 第2中継装置照合部(第2照合部)
71ba 第1中継装置判断部(第1判断部)
71ab 第2中継装置判断部(第2判断部)
73 不揮発メモリ
74 I/F74(第2中継部)
75 ネットワークI/F(第1中継部)
81 CPU
81a 処理装置照合部(第3照合部)
81b 処理装置判断部(第3判断部)
91 CPU
91a 管理サーバ照合部(第4照合部)
91b 管理サーバ判断部(第4判断部)
100 ルートCA
110 中間CA
120 コード署名局
20
42 Bag making and packaging equipment (product processing equipment)
43 Seal check device (product processing device)
44 Weight check device (product processing device)
61, 62, 63 Processing device side
71aa 1st relay apparatus collation part (1st collation part)
71ab Second relay device verification unit (second verification unit)
71ba 1st relay apparatus judgment part (1st judgment part)
71ab Second relay device determination unit (second determination unit)
73 Non-volatile memory 74 I / F 74 (second relay unit)
75 Network I / F (first relay part)
81 CPU
81a Processing device verification unit (third verification unit)
81b Processing device judgment unit (third judgment unit)
91 CPU
91a Management server verification unit (fourth verification unit)
91b Management server determination unit (fourth determination unit)
100 root CA
110 Intermediate CA
120 Code signing authority
Claims (12)
サーバ側証明書を有する前記管理サーバから前記商品処理装置への情報である第1情報の送信を中継する第1中継部と、
処理装置側証明書を有する前記商品処理装置から前記管理サーバへの情報である第2情報の送信を中継する第2中継部と、
前記第1情報の送信を中継する際に、前記サーバ側証明書について照合処理を行う第1照合部と、
前記第2情報の送信を中継する際に、前記処理装置側証明書について照合処理を行う第2照合部と、
前記第1照合部による照合処理の結果に基づき、前記管理サーバとの接続を許可するかどうかを判断する第1判断部と、
前記第2照合部による照合処理の結果に基づき、前記商品処理装置との接続を許可するかどうかを判断する第2判断部とを備える、
中継装置。 A relay device disposed between a product processing device that performs processing related to product production and a management server that manages the product processing device;
A first relay unit that relays transmission of first information that is information from the management server having a server-side certificate to the product processing device;
A second relay unit that relays transmission of second information that is information from the product processing device having a processing device side certificate to the management server;
A first verification unit that performs verification processing on the server-side certificate when relaying transmission of the first information;
A second verification unit that performs verification processing on the processing device side certificate when relaying transmission of the second information;
A first determination unit that determines whether to permit connection with the management server based on a result of the verification process by the first verification unit;
A second determination unit that determines whether to permit connection with the product processing device based on a result of the verification process by the second verification unit;
Relay device.
請求項1記載の中継装置。 Further comprising a relay device side certificate that is collated in the management server and collated in the product processing device;
The relay apparatus according to claim 1.
前記第2照合部は、前記処理装置固有番号について照合処理を行い、
前記第2判断部は、前記処理装置固有番号について照合処理の結果に基づき前記商品処理装置との接続を許可するかどうかを判断する、
請求項1記載の中継装置。 The processing device side certificate includes a processing device unique number that identifies the product processing device,
The second verification unit performs a verification process on the processing device unique number,
The second determination unit determines whether or not to permit connection with the product processing device based on a result of a matching process with respect to the processing device unique number.
The relay apparatus according to claim 1.
前記第1照合部は、前記第1情報の署名について照合処理を行い、
前記第1判断部は、前記第1情報の署名についての照合処理の結果に基づき、前記第1情報の送信を中継するかどうかを判断する、
請求項1記載の中継装置。 The first information is signed.
The first verification unit performs verification processing on the signature of the first information,
The first determination unit determines whether to relay the transmission of the first information based on a result of a verification process on the signature of the first information;
The relay apparatus according to claim 1.
前記第2照合部は、前記第2情報の署名について照合処理を行い、
前記第2判断部は、前記第2情報の署名についての照合処理の結果に基づき、前記第2情報の送信を中継するかどうかを判断する、
請求項1記載の中継装置。 The second information is signed.
The second verification unit performs verification processing on the signature of the second information;
The second determination unit determines whether to relay the transmission of the second information based on a result of the collation process for the signature of the second information;
The relay apparatus according to claim 1.
請求項1記載の中継装置。 The first information is software;
The relay apparatus according to claim 1.
請求項1記載の中継装置。 The second information is information relating to a product processing device.
The relay apparatus according to claim 1.
請求項1記載の中継装置。 The first determination unit restricts a range of the first information to be relayed according to the content of the processing device side certificate.
The relay apparatus according to claim 1.
請求項1記載の中継装置。 The second determination unit restricts a range of the second information to be relayed according to a content of the processing device side certificate;
The relay apparatus according to claim 1.
前記中継装置に接続される一以上の前記商品処理装置と、
一以上の前記中継装置を介して、前記商品処理装置に接続される前記管理サーバと
を備え、
前記商品処理装置は、前記第1情報を受信する際に前記中継装置側証明書について照合処理を行う第3照合部と、前記第3照合部による照合処理の結果に基づき前記中継装置との接続を許可するかどうかを判断する第3判断部とを有し、
前記管理サーバは、前記第2情報を受信する際に前記中継装置側証明書について照合処理を行う第4照合部と、前記第4照合部による照合処理の結果に基づき前記中継装置との接続を許可するかどうかを判断する第4判断部とを有する、
通信システム。 A relay device according to any one of claims 2 to 9,
One or more commodity processing devices connected to the relay device;
The management server connected to the product processing device via one or more relay devices,
The merchandise processing device connects a third verification unit that performs verification processing on the certificate on the relay device side when receiving the first information, and a connection with the relay device based on a result of verification processing by the third verification unit A third determination unit that determines whether or not to allow
The management server establishes a connection between the fourth verification unit that performs verification processing for the certificate on the relay device side when receiving the second information, and the relay device based on a result of verification processing by the fourth verification unit. A fourth determination unit for determining whether to permit,
Communications system.
請求項10記載の通信システム。 The third determination unit of the product processing device does not permit connection starting from the relay device;
The communication system according to claim 10.
請求項10記載の通信システム。 The first determination unit of the relay device does not permit connection starting from the management server;
The communication system according to claim 10.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005271715A JP4738951B2 (en) | 2005-09-20 | 2005-09-20 | Relay device and communication system including relay device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005271715A JP4738951B2 (en) | 2005-09-20 | 2005-09-20 | Relay device and communication system including relay device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007088556A JP2007088556A (en) | 2007-04-05 |
| JP4738951B2 true JP4738951B2 (en) | 2011-08-03 |
Family
ID=37975135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005271715A Expired - Fee Related JP4738951B2 (en) | 2005-09-20 | 2005-09-20 | Relay device and communication system including relay device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4738951B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018173921A (en) * | 2017-03-31 | 2018-11-08 | 西日本電信電話株式会社 | Network device, authentication management system, and control methods and control programs therefor |
| JP6917618B2 (en) * | 2017-08-22 | 2021-08-11 | 株式会社イシダ | Equipment management system |
| JP7226008B2 (en) * | 2019-03-26 | 2023-02-21 | オムロン株式会社 | Management device, support device, management method, management program and recording medium |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3458770B2 (en) * | 1999-06-16 | 2003-10-20 | 日立プラント建設株式会社 | Tool management system |
| JP2002189976A (en) * | 2000-12-20 | 2002-07-05 | Hitachi Ltd | Authentication system and authentication method |
| JP2003063652A (en) * | 2001-08-29 | 2003-03-05 | Mitsubishi Electric Corp | Physical distribution management system and method, program and recording medium |
| JP2006072749A (en) * | 2004-09-02 | 2006-03-16 | Ricoh Co Ltd | Information unit, printing unit, service relay unit and service provision system |
| JP4592369B2 (en) * | 2004-09-10 | 2010-12-01 | 株式会社サスライト | Service providing server |
-
2005
- 2005-09-20 JP JP2005271715A patent/JP4738951B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007088556A (en) | 2007-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11743054B2 (en) | Method and system for creating and checking the validity of device certificates | |
| US7627125B2 (en) | Key loading systems and methods | |
| US8517262B2 (en) | Automated banking machine that operates responsive to data bearing records | |
| US7809945B2 (en) | Examination apparatus, communication system, examination method, computer-executable program product, and computer-readable recording medium | |
| JP2006139747A (en) | Communication system and safety assurance device | |
| US7418592B1 (en) | Automated banking machine system and method | |
| EP2420036B1 (en) | Method and apparatus for electronic ticket processing | |
| EP1191743B1 (en) | Method and device for performing secure transactions | |
| JP4758095B2 (en) | Certificate invalidation device, communication device, certificate invalidation system, program, and recording medium | |
| CN109787988A (en) | A kind of identity reinforces certification and method for authenticating and device | |
| CN103229452A (en) | Mobile handset identification and communication authentication | |
| JP2017175226A (en) | Program, method and system for issuing public key certificate | |
| US8588415B2 (en) | Method for securing a telecommunications terminal which is connected to a terminal user identification module | |
| CN106233342B (en) | Automatic trading apparatus and automated trading system | |
| EP3244568B1 (en) | Electronic locking system | |
| JP2008269381A (en) | Authentication server and on-line service system | |
| JP4818664B2 (en) | Device information transmission method, device information transmission device, device information transmission program | |
| CN114036490B (en) | Plug-in software interface calling security authentication method, USBKey driving device and authentication system | |
| JP4738951B2 (en) | Relay device and communication system including relay device | |
| JP2003338816A (en) | Service providing system for verifying personal information | |
| JPH1165443A (en) | Management element system for individual authentication information | |
| KR101360843B1 (en) | Next Generation Financial System | |
| JP7275186B2 (en) | Touchless PIN input method and touchless PIN input system | |
| JP2016071644A (en) | License management method and license management system | |
| JP5434956B2 (en) | Certificate invalidation device, certificate invalidation system, program, and recording medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080611 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20080613 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110419 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110427 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4738951 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140513 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |