电梯连接设备确认系统和电梯连接设备确认方法与流程

1.本发明涉及电梯连接设备确认系统和电梯连接设备确认方法。


背景技术：

2.在电梯系统中，多个控制器经由各种信道连接。对于该信道能够连接各种各样的设备，但对于信道连接了并未设想在电梯系统中连接的设备、即不符合电梯系统的规格的非正规设备的情况下，存在对于该电梯系统的动作产生妨碍的可能性。
3.作为与电梯系统连接的代表性的设备之一，有维护作业等中使用的维修工具。与电梯系统连接的维修工具并非符合电梯规格的正规设备的情况下，存在不仅对于使用维修工具的维护作业、也对于电梯系统整体的动作产生妨碍的可能性。
4.通过使用确认维修工具是否为正规设备的维修工具认证信息管理系统，能够在对电梯系统连接了非正规设备的情况下检测出该情况。例如，专利文献1中，公开了一种维修工具认证信息管理系统，其包括能够以存储多个命令的方式工作的存储介质；以及构成为对网络服务器发送认证信息请求，并执行用维修工具访问设备控制装置的命令的至少1个处理器。
5.现有技术文献
6.专利文献
7.专利文献1：日本特开2019-23868号公报


技术实现要素：

8.发明要解决的课题
9.然而，为了采用专利文献1中记载的维修工具认证信息管理系统，需要新设置用于监视和/或控制设备构成要素的设备控制装置、管理认证信息的网络服务器、将设备控制装置和网络服务器之间连接的通信路径，采用成本提高。
10.本发明是考虑上述状况得出的，本发明的目的在于无需追加新的装置或信道，就能够确认与电梯系统连接的外部设备是否为正规设备。
11.用于解决课题的技术方案
12.本发明的一个方式的电梯连接设备确认系统是一种包括多个控制器的、用于确认与电梯系统连接的外部设备的电梯连接设备确认系统。由多个控制器中的任一个控制器构成的主控制器包括：选择多个控制器中的任一个作为副控制器的选择部；加密部，其使用从外部设备获取的加密密钥，对至少包含副控制器的识别信息的信息进行加密来生成加密信息；将加密信息发送至外部设备的发送部；和判别部，其对将由外部设备识别出的控制器作为发送源发送来的信息组的发送源信息、与由选择部选择的副控制器的信息进行比较，在两者不一致的情况下判别为外部设备是不符合电梯系统的规格的非正规设备，其中外部设备是基于外部设备对加密信息进行解密而得到的副控制器的识别信息来识别出控制器的。
13.另外，本发明的一个方式的电梯连接设备确认方法是一种用包括多个控制器的、
用于确认与电梯系统连接的外部设备的电梯连接设备确认系统执行的电梯连接设备确认方法。本发明的一个方式的电梯连接设备确认方法包括：由多个控制器中的任一个控制器构成的主控制器选择多个控制器中的任一个作为副控制器的步骤；主控制器使用从外部设备获取的加密密钥对至少包含副控制器的识别信息的信息进行加密来生成加密信息的步骤；主控制器将加密信息发送至外部设备的步骤；和主控制器对将由外部设备识别出的控制器作为发送源发送来的信息组的发送源信息、与选择出的副控制器的信息进行比较，在两者不一致的情况下判别为外部设备是不符合电梯系统的规格的非正规设备的步骤，其中外部设备是基于外部设备对加密信息进行解密而得到的副控制器的识别信息来识别出控制器的。
14.发明效果
15.根据本发明的至少一个方式，无需追加新的装置或信道，就能够确认与电梯系统连接的外部设备是否为正规设备。
16.上述以外的课题、结构和效果，将通过以下实施方式的说明而说明。
附图说明
17.图1是表示本发明的一个实施方式的电梯系统的概略结构例的图。
18.图2是表示本发明的一个实施方式的节点、主控制器和副控制器的控制系统的结构例的框图。
19.图3是表示本发明的一个实施方式的构成电梯系统的各装置的硬件结构例的框图。
20.图4是表示本发明的一个实施方式的电梯系统进行的电梯连接设备确认处理的流程例的流程图。
21.图5是表示本发明的一个实施方式的电梯系统进行的电梯连接设备确认处理中的初始通信处理和一次通信处理的流程例的流程图。
22.图6是表示本发明的一个实施方式的初始信息组的结构例的图。
23.图7是表示本发明的一个实施方式的一次信息组的结构例的图。
24.图8是表示本发明的一个实施方式的电梯系统进行的电梯连接设备确认处理中的二次通信处理和三次通信处理的流程例的流程图。
25.图9是表示本发明的一个实施方式的二次信息组的结构例的图。
26.图10是表示本发明的一个实施方式的三次信息组的结构例的图。
27.图11是表示本发明的一个实施方式的电梯系统进行的电梯连接设备确认处理中的判别处理的流程例的流程图。
28.图12是表示本发明的一个实施方式的判断为追加的节点是非正规设备的情况下的主控制器中的处理例(1)的流程的流程图。
29.图13是表示本发明的一个实施方式的判断为追加的节点是非正规设备的情况下的主控制器中的处理例(2)的流程的流程图。
30.图14是表示本发明的一个实施方式的临时数据的生成例和副控制器的决定例(1)的流程例的流程图。
31.图15是表示本发明的一个实施方式的临时数据的生成例和副控制器的决定例(2)
的流程例的流程图。
32.图16是表示本发明的一个实施方式的临时数据的生成例和副控制器的决定例(3)的流程例的流程图。
33.图17是表示本发明的一个实施方式的临时数据的生成例和副控制器的决定例(4)的流程例的流程图。
34.图18是表示本发明的一个实施方式的临时数据的生成例和副控制器的决定例(5)的流程例的流程图。
35.图19是表示本发明的一个实施方式的临时数据的生成例和副控制器的决定例(6)的流程例的流程图。
具体实施方式
36.以下，对于用于实施本发明的方式(以下称为“实施方式”)的例子，参考附图进行说明。本发明不限定于实施方式，实施方式中的各种数值等是示例。另外，本说明书和附图中，对于同一构成要素或实质上具有同一功能的构成要素附加同一附图标记，省略重复的说明。
37.＜电梯系统的概略结构＞
38.首先，参考图1，对于本发明的一个实施方式的电梯系统100(电梯连接设备确认系统的一例)的结构进行说明。图1是表示电梯系统100的概略结构例的图。
39.如图1所示，电梯系统100包括中心装置1、通信控制器3、群管理控制器4、电梯15、维护终端19和管理终端20。
40.中心装置1设置在与电梯15所设置在的建筑物相隔较远的场所，是进行经由网络2连接的电梯15的管理、监视、维护等的装置。网络2例如由专用线路这样的闭路网络或互联网这样的公共线路等构成。
41.维护终端19是电梯15的维护作业人员(省略图示)持有的便携终端，与网络2连接。维护终端19按照维护作业人员进行的操作，获取电梯15故障时的运行数据或者在画面上显示作业检查内容等。
42.管理终端20是监视、操作电梯15的运行的设备，由通用pc(personal computer：个人计算机)或专用设备构成。管理终端20例如设置在电梯15所设置在的建筑物的管理室(省略图示)等中，与信道17连接。
43.通信控制器3是控制中心装置1与电梯15之间的数据交换、用于执行维护终端19进行的远程操作和远程维护的通信等的控制器，与网络2和信道17连接。
44.群管理控制器4是将多个电梯15的集合作为电梯组18一并管理、运用的控制器，与信道17和信道16连接。电梯组18例如按电梯15的设置场所和用途、电梯15所设置在的建筑物等单位来设置。
45.电梯控制器5对于多个电梯15分别设置，是控制电梯15的动作的控制器，与信道16和信道12连接。电梯控制器5例如通过控制电梯15的主机即电动机6，对将轿厢7与平衡配重8连接的吊索9的运动进行操作，来使轿厢7升降移动或停止，由此对使用者提供升降移动的服务。
46.另外，轿厢7在图1中仅图示了1个，但在多个电梯15中分别设置了1台或多台。
47.电梯控制器5经由信道16与群管理控制器4连接，经由信道12与轿厢控制器10和楼层控制器11连接。图1中，楼层控制器11仅图示了1个，但实际上与建筑物内的楼层(floor)的数量对应地设置了多个。
48.轿厢控制器10监视使用者(省略图示)对轿厢7内设置的目的地楼层按钮和门开闭按钮13的操作状况，将获取的操作内容视为操作的状况变化对电梯控制器5通知。
49.楼层控制器11例如监视各楼层中的使用者对各楼层(省略图示)中设置的上下按钮14的操作状况，将获取的操作内容视为操作的状况变化对电梯控制器5通知。
50.作为对于电梯系统100新连接的节点30，例如有进行电梯系统100的维护检查的维护终端、用于对电梯系统100提供新数据的传感器或摄像机、提供新的处理和功能等的边缘控制器、用于与未图示的其他系统或网络连接的通信控制器等。作为新数据，例如有轿厢7内或楼层内的人数的测定值等，作为新的处理和功能，例如有使用ai(artificial intelligence：人工智能)的人流量预测的结果、即有多少乘客要使用电梯15的推论结果等。另外，节点30不限定于提供这些信息和处理、功能的设备。
51.新追加的节点30可以与信道12、信道16和信道17中的1个以上连接。另外，图1所示的各信道组成的网络结构是一例，本发明的网络结构不限定于图1所示的例子。另外，本发明的电梯系统的设备结构也不限定于图1所示的例子。
52.本实施方式中，通信控制器3、群管理控制器4、电梯控制器5、轿厢控制器10、楼层控制器11、维护终端19和管理终端20中的任一者被设定为主控制器50或副控制器60(都参考图2)。另外，电梯系统中包括除此以外的控制器的情况下，该控制器也可能被设定为主控制器50或副控制器60。
53.主控制器50是执行新追加的节点30的认证处理的控制器。副控制器60是构成节点30的认证用的信息组的通信路径的控制器，由主控制器50选择。主控制器50对副控制器60的选择，基于电梯15的运行信息的加工信息(以运行信息所示的值为种子的随机数等)进行。主控制器50对副控制器60的选择方法在后文中叙述。
54.＜节点、主控制器、副控制器的控制系统的结构＞
55.接着，参考图2，对于节点30、主控制器50和副控制器60的控制系统的结构进行说明。图2是表示节点30、主控制器50和副控制器60的控制系统的结构例的框图。节点30、主控制器50和副控制器60分别经由信道12、信道16和信道17中的任一者即通信路径nt相互可通信地连接。
56.[节点]
[0057]
新与电梯系统100(参考图1)连接的节点30具有公开密钥31、和与该公开密钥31成对的私有密钥n32。另外，节点30具有解密部33、信息组生成部34和通信部35。
[0058]
解密部33对从主控制器50发送的一次信息组p2(参考图7)中包括的、使用公开密钥31加密的加密数据进行解密，将解密得到的信息输出至信息组生成部34。
[0059]
信息组生成部34在对于电梯系统100的任意通信路径连接了节点30的情况下，生成包括公开密钥31和本节点的识别信息的初始信息组p1(参考图6)，将该初始信息组p1输出至通信部35。另外，信息组生成部34使用从解密部33输入的信息生成二次信息组p3(参考图9)，将该二次信息组p3输出至通信部35。
[0060]
通信部35进行将用信息组生成部34生成的初始信息组p1发送至主控制器50的处
理、接收从主控制器50发送来的一次信息组p2并输出至解密部33的处理、和将用信息组生成部34生成的二次信息组p3发送至副控制器60的处理。
[0061]
[主控制器]
[0062]
主控制器50具有私有密钥m53。私有密钥m53(第二私有密钥的一例)是仅由主控制器50保持的共享密钥。另外，主控制器50具有临时数据生成部51、通信路径选择部52、加密部54、信息组生成部55、通信部56、地址判断部57、解密部58和判别部59。
[0063]
临时数据生成部51(临时信息生成部的一例)使用经由通信路径nt获取的电梯15(参考图1)的运行信息，生成临时数据(临时信息的一例)。临时数据是运行数据(运行信息的一例)的加工信息，例如有以作为运行数据的轿厢7的位置(轿厢位置)为种子的随机数的值、或对规定的散列函数输入轿厢位置而得到的散列值等。另外，临时数据也可以是运行数据本身(加工前的数据)。
[0064]
通信路径选择部52(选择部的一例)基于经由通信路径nt获取的电梯15的运行信息，选择构成节点30的认证用的信息组(一次信息组p2、二次信息组p3、三次信息组p4(参考图10))的通信路径的副控制器60。例如，通信路径选择部52能够参考作为运行数据的呼叫信息，选择没有呼叫登记(没有发生呼叫)的楼层的楼层控制器11(参考图1)作为副控制器60。对于通信路径选择部52对副控制器60的选择例，参考图14～图19在后文中叙述。
[0065]
加密部54对于由通信路径选择部52选择的副控制器60的识别信息(以下称为“副信息”)和用临时数据生成部51生成的临时数据，使用从节点30获取的公开密钥31进行加密，生成加密临时数据(参考图7)。
[0066]
信息组生成部55生成包括用加密部54生成的加密临时数据的一次信息组p2(参考图7)，并将该一次信息组p2输出至通信部56。对于一次信息组p2的结构例，参考后述的图7详细叙述。
[0067]
通信部56(发送部的一例)进行接收从节点30发送来的初始信息组p1(参考图6)的处理、将用信息组生成部55生成的一次信息组p2(参考图7)发送至节点30的处理、和接收从副控制器60发送来的二次信息组p3并输出至地址判断部57的处理。
[0068]
地址判断部57通过参照从节点30发送来的初始信息组p1中包括的节点30的识别信息，来判断节点30是否为符合电梯系统100的规格的正规设备。然后，地址判断部57将判断结果输出至解密部58。
[0069]
解密部58对于从副控制器60发送来的二次信息组p3(参考图9)中包括的加密临时数据，使用私有密钥m53进行解密。然后，解密部58将解密得到的临时数据输出至判别部59。
[0070]
判别部59通过对用解密部58解密后的三次信息组p4内的信息与主控制器50具有的信息进行比较，来判别节点30是否为符合电梯系统100的规格的正规设备。即，判别部59进行节点30的认证(判别)处理。另外，判别部59判别为节点30是非正规设备的情况下，进行对其他控制器通知该消息的处理和使运行中的电梯15的轿厢7在最近楼层停止的指示等。
[0071]
关于判别部59对节点30的判别处理，参考后述的图11详细叙述，关于判断为节点30是非正规设备的情况下的判别部59进行的处理，参考后述的图12和图13详细叙述。
[0072]
[副控制器]
[0073]
副控制器60具有通信部61和信息组传输部62。通信部61进行接收从节点30发送来的二次信息组p3并输出至信息组传输部62的处理、和将用信息组传输部62生成的三次信息
组p4(参考图10)发送至主控制器50的处理。
[0074]
信息组传输部62从由节点30发送来的二次信息组p3中提取加密临时数据，生成包括该加密临时数据和自身(副控制器60)的识别信息的三次信息组p4(参考图10)，并将该三次信息组p4输出至通信部61。
[0075]
＜计算机的硬件结构例＞
[0076]
接着，对于构成图1所示的电梯系统100的各装置(通信控制器3、群管理控制器4、电梯控制器5、轿厢控制器10、楼层控制器11、维护终端19和管理终端20)的控制系统的结构(硬件结构)，参考图3进行说明。
[0077]
图3是表示构成电梯系统100的各装置的硬件结构例的框图。图3所示的计算机200是用作所谓计算机的硬件。
[0078]
计算机200具有与总线b分别连接的cpu(central processing unit：中央处理器)201、rom(read only memory：只读存储器)202、ram(random access memory：随机存取存储器)203、非易失性存储204和通信i/f(interface：接口)205。
[0079]
cpu201从rom202读取实现本实施方式的各功能的软件的程序代码并部署至ram203并执行。或者，也存在cpu201从rom202直接读取程序代码并直接执行的情况。另外，计算机200也可以代替cpu201地具备mpu(micro-processing unit：微处理单元)等处理装置。
[0080]
在ram203中，暂时性地写入cpu201进行的运算处理的途中产生的变量和参数等。
[0081]
节点30的解密部33、信息组生成部34、主控制器50的临时数据生成部51、通信路径选择部52、加密部54、信息组生成部55、地址判断部57、解密部58、判别部59、副控制器60的信息组传输部62各功能，是通过cpu201从rom202读取并执行用于实现该各功能的程序而实现的。
[0082]
作为非易失性存储204，例如能够使用hdd(hard disk drive：硬盘驱动器)、ssd(solid state drive：固态硬盘)、软盘、光盘、磁光盘、cd-rom、cd-r、非易失性的存储卡等。在该非易失性存储204中，记录os(operating system：操作系统)、各种参数、以及用于使计算机200工作的程序等。另外，程序也可以保存在rom202中。
[0083]
程序以计算机能够读取的程序代码的方式保存，cpu201逐次执行符合该程序代码的动作。即，rom202或非易失性存储204被用作保存了由计算机执行的程序的、计算机可读取的非暂时性的记录介质的一例。
[0084]
另外，在非易失性存储204中，也写入各控制器中生成的、或经由信道nt(参考图2)从其他控制器获取的电梯15的运行数据。作为电梯15的运行数据，例如有轿厢7的位置信息、轿厢速度信息、轿厢7的载荷信息、轿厢7的移动(输送)人数信息、电梯15的运行次数信息、电梯15的目的地楼层信息、各楼层中的电梯15的停止次数信息等。
[0085]
通信i/f205由进行与其他装置之间进行的通信的控制的通信设备等构成。作为通信i/f205进行通信控制的网络，例如有rs-485这样的多点方式的串行通信、和以太网(注册商标)这样的提供多种拓扑结构的信道。作为提供多种拓扑结构的信道，有作为有线信道的lan(local area network：局域网)、wan(wide area network：广域网)、作为无线信道的ran(radio area network：无线区域网)等。
[0086]
另外，例如作为通信i/f205进行通信控制的网络，有wi-fi(注册商标)这样的无线
和无线通信基础设施中的无线等。节点30的通信部35、主控制器50的通信部56、副控制器60的通信部61的功能由通信i/f205实现。
[0087]
＜电梯连接设备确认处理的概要＞
[0088]
接着，参考图4，对于电梯系统100进行的电梯连接设备确认处理的概要进行说明。图4是表示电梯系统100进行的电梯连接设备确认处理的流程的例子的流程图。
[0089]
首先，节点30(参考图2)执行初始通信处理而生成初始信息组p1，将生成的初始信息组p1发送至主控制器50(步骤s1)。接着，主控制器50基于接收到的初始信息组p1中包括的信息执行一次通信处理而生成一次信息组p2，将生成的一次信息组p2发送至节点30(步骤s2)。接着，节点30使用接收到的一次信息组p2中包括的信息执行二次通信处理而生成二次信息组p3，将生成的二次信息组p3发送至副控制器60(步骤s3)。
[0090]
接着，副控制器60基于接收到的二次信息组p3中包括的信息执行三次通信处理而生成三次信息组p4，将生成的三次信息组p4发送至主控制器50(步骤s4)。接着，主控制器50基于接收到的三次信息组p4中包括的信息执行判别处理(步骤s5)。
[0091]
＜电梯连接设备确认处理的详情＞
[0092]
接着，参考图5、图8、图11，对于电梯系统100进行的电梯连接设备确认处理的详情进行说明。图5是表示电梯系统100进行的电梯连接设备确认处理中的初始通信处理和一次通信处理的流程的例子的流程图。图8是表示电梯系统100进行的电梯连接设备确认处理中的二次通信处理和三次通信处理的流程的流程图。图11是表示电梯系统100进行的电梯连接设备确认处理中的判别处理的流程的例子的流程图。
[0093]
[初始通信处理和一次通信处理]
[0094]
首先，参考图5，对于电梯连接设备确认处理中的初始通信处理和一次通信处理进行说明。首先，节点30的通信部35(参考图2)判断是否已与电梯系统100的信道nt(参考图2)连接(步骤sa1)。在步骤sa1中，判断为尚未与信道nt连接的情况(步骤sa1判断为否的情况)下，通信部35反复步骤sa1的判断。
[0095]
另一方面，步骤sa1中，判断为已与信道nt连接的情况(步骤sa1判断为是的情况)下，信息组生成部34生成包括公开密钥信息的初始信息组p1并发送至主控制器50(步骤sa2)。步骤sa1和步骤sa2的处理是图4的步骤s1的初始通信处理。
[0096]
[初始信息组的结构]
[0097]
此处，参考图6，对于初始信息组p1的结构进行说明。图6是表示初始信息组p1的结构例的图。
[0098]
如图6所示，初始信息组p1具有发送源信息字段f1、发送目的地信息字段f2、公开密钥信息字段f3、节点识别信息字段f4和校验数据字段f5。
[0099]
在发送源信息字段f1中，保存初始信息组p1的发送源即自身(节点30)的信息(发送源信息)。在发送目的地信息字段f2中，保存初始信息组p1的发送目的地即主控制器50的信息(发送目的地信息)。
[0100]
发送源信息例如在进行符合rs-485的通信的情况下，是设备id。另外，在进行使用以太网(注册商标)的通信的情况下，是设备的mac(media access control：媒体访问控制)地址、或ip(internet protocol：互联网协议)地址。发送目的地信息可以用与发送源信息同样的信息构成，但在通过广播通信进行信息组的传输的网络中，在发送目的地信息中保
存广播的地址。
[0101]
在公开密钥信息字段f3中保存公开密钥31(参考图2)。在节点识别信息字段f4中保存本节点(节点30)的识别信息(节点识别信息)。作为节点识别信息，例如有节点30的型号、序列号等。在校验数据字段f5中保存校验和等错误检测码。
[0102]
初始信息组p1由明文构成，设想用未加密的通信传输，但也可以对信息组加密，并且也可以用加密通信传输。同样地，也可以对一次信息组p2～三次信息组p4自身加密，也可以用加密通信传输。
[0103]
另外，存在节点30是故意执行非法行为的节点的情况、在与信道nt连接之后执行dos(denial of services：拒绝服务)攻击的情况。从而，在由节点30发送的初始信息组p1的发送次数过大(规定阈值次数以上)的情况下，可以在此时立即将该节点30判断为非法的节点。
[0104]
返回图5继续说明。主控制器50接收步骤sa2中从节点30发送的初始信息组p1(步骤sb1)。接着，主控制器50的通信路径选择部52(参考图2)基于电梯15的运行数据，选择特定的控制器作为副控制器60(步骤sb2)。
[0105]
例如，通信路径选择部52能够获取呼叫信息作为运行数据，选择呼叫登记最少的控制器作为副控制器60。
[0106]
另外，本实施方式中，举出以接收初始信息组p1为触发来进行主控制器50对副控制器60的选择处理的例子，但本发明不限定于此。也可以在主控制器50中设定的每个规定周期、或在电梯15的运行次数达到规定阈值运行次数的时机等、达成某一条件的时机执行。或者，也可以按随机的时间单位执行。通过进行这样的处理，能够使第三者对执行节点30的认证处理的检测变得更困难。
[0107]
接着，主控制器50的临时数据生成部51使用运行数据生成临时数据(步骤sb3)。例如，临时数据生成部51生成以轿厢位置等运行数据为种子的随机数、或对规定的散列函数输入运行数据而得到的散列值等，将其作为临时数据。
[0108]
接着，主控制器50的加密部54通过对步骤sb3中生成的临时数据使用私有密钥m53进行加密，来生成加密临时数据(步骤sb4)。接着，主控制器50的信息组生成部55对步骤sb4中生成的加密临时数据和步骤sb2中选择的副控制器60的信息(副信息)，使用步骤sb1中接收到的初始信息组p1中包括的公开密钥进行加密，生成加密数据(加密信息的一例)(步骤sb5)。
[0109]
接着，主控制器50的信息组生成部55生成包括步骤sb5中生成的加密数据和自身(主控制器50)的信息的一次信息组p2(步骤sb6)。然后，通信部56将该一次信息组p2发送至节点30(步骤sb7)。步骤sb1～sb7的处理是图4的步骤s2的一次通信处理。
[0110]
另外，图5所示的例子中，举出了主控制器50进行副控制器60的选择之后生成临时数据的例子，但本发明不限定于此。主控制器50也可以在生成临时数据之后进行副控制器60的选择。
[0111]
[一次信息组的结构]
[0112]
此处，参考图7，对于一次信息组p2的结构进行说明。图7是表示一次信息组p2的结构例的图。
[0113]
如图7所示，一次信息组p2具有发送源信息字段f21、发送目的地信息字段f22、加
密数据字段f23和校验数据字段f24。
[0114]
在发送源信息字段f21中，保存一次信息组p2的发送源即自身(主控制器50)的信息(发送源信息)。在发送目的地信息字段f22中，保存一次信息组p2的发送目的地即节点30的信息(发送目的地信息)。
[0115]
在加密数据字段f23中，保存用主控制器50的加密部54生成的加密数据。加密数据由副控制器60的识别信息(副信息)和加密临时数据构成。在校验数据字段f24中保存校验和等错误检测码。
[0116]
[二次通信处理和三次通信处理]
[0117]
接着，参考图8，对于电梯连接设备确认处理中的二次通信处理和三次通信处理进行说明。首先，节点30的通信部35(参考图2)接收从主控制器50发送来的一次信息组p2(步骤sa3)。接着，节点30的解密部33对于步骤sa3中接收到的一次信息组p2中包括的加密数据，使用与公开密钥31对应的私有密钥n32进行解密(步骤sa4)。
[0118]
接着，节点30的信息组生成部34从步骤sa4中解密后的加密数据中提取加密临时数据，并保存在二次信息组p3中(步骤sa5)。接着，信息组生成部34将步骤sa4中解密后的加密数据中包括的副信息(副控制器60的识别信息)设定至二次信息组p3的发送目的地信息字段f32(参考图9)(步骤sa6)。
[0119]
接着，节点30的通信部35将二次信息组p3发送至副控制器60(步骤sa7)。步骤sa1～sa7的处理是图4的步骤s3的二次通信处理，在步骤sa7的处理之后，节点30进行的全部处理(初始通信处理和二次通信处理)结束。
[0120]
[二次信息组的结构]
[0121]
此处，参考图9，对于二次信息组p3的结构进行说明。图9是表示二次信息组p3的结构例的图。
[0122]
如图9所示，二次信息组p3具有发送源信息字段f31、发送目的地信息字段f32、主控制器识别信息字段f33、加密临时数据字段f34和校验数据字段f35。
[0123]
在发送源信息字段f31中保存二次信息组p3的发送源即自身(节点30)的信息(发送源信息)。在发送目的地信息字段f32中保存二次信息组p3的发送目的地即副控制器60的信息(发送目的地信息)。
[0124]
在主控制器识别信息字段f33中保存主控制器50的识别信息。主控制器50的识别信息在接收了二次信息组p3的副控制器60中用作所生成的三次信息组p4的发送目的地的信息。在加密临时数据字段f34中保存从一次信息组p2中提取出的加密临时数据。在校验数据字段f35中保存校验和等错误检测码。
[0125]
返回图8继续说明。副控制器60的通信部61(参考图2)接收步骤sa5中从节点30发送来的二次信息组p3(步骤sc1)。接着，副控制器60的信息组传输部62生成包括步骤sc1中接收到的二次信息组p3中包括的加密临时数据和发送源信息的三次信息组p4(步骤sc2)。接着，副控制器60的通信部61将该三次信息组p4发送至主控制器50(步骤sc3)。步骤sc1～sc3的处理是图4的步骤s4的三次通信处理，在步骤sc3的处理之后，副控制器60进行的处理结束。
[0126]
[三次信息组的结构]
[0127]
此处，参考图10，对于三次信息组p4的结构进行说明。图10是表示三次信息组p4的
结构例的图。
[0128]
如图10所示，三次信息组p4具有发送源信息字段f41、发送目的地信息字段f42、加密临时数据字段f43和校验数据字段f44。
[0129]
在发送源信息字段f41中保存三次信息组p4的发送源即自身(副控制器60)的信息(发送源信息)。在发送目的地信息字段f42中保存三次信息组p4的发送目的地即住控制器50的信息(发送目的地信息)。在加密临时数据字段f43中保存从二次信息组p3提取出的加密临时数据。在校验数据字段f44中保存校验和等错误检测码。
[0130]
[判别处理]
[0131]
接着，参考图11，对于电梯连接设备确认处理中的判别处理进行说明。首先，主控制器50的判别部59(参考图2)判断是否在规定阈值时间以内从副控制器60接收了三次信息组p4(步骤sb8)。判断是否在阈值时间以内，是从主控制器50在图5的步骤sb7中对节点30发送一次信息组p2起的经过时间。
[0132]
在节点30不是正规设备的情况下，该节点30不能正确地执行二次通信处理。即，不能对从主控制器50发送来的一次信息组p2中包括的加密数据进行解密，不能获取加密数据中包括的副控制器60的信息。另外，非正规设备的节点30也不能获取加密数据中包括的加密临时数据。
[0133]
从而，非正规设备的节点30不能执行基于从主控制器50发送来的一次信息组p2生成发送目的地是副控制器60、且包括加密临时数据的二次信息组p3、并将该二次信息组p3发送至副控制器60的二次通信处理。因此，副控制器60也不能执行基于从节点30接收到的二次信息组p3生成三次信息组p4并发送至主控制器50的三次通信处理。
[0134]
即，节点30是非正规设备的情况下，主控制器50在对节点30发送一次信息组p2之后规定阈值时间内不会从副控制器60接收三次信息组p4。因此，在对节点30发送一次信息组p2之后规定阈值时间内未能接收三次信息组p4的情况下，能够判断为节点30是非正规设备。
[0135]
在步骤sb8中，判断为在阈值时间内没有从副控制器60接收到三次信息组p4的情况(步骤sb8判断为否的情况)下，主控制器50的判别部59判断为追加的节点30是不符合规格的节点、即非正规设备的节点(步骤sb9)。在步骤sb9的处理之后，主控制器50结束判别处理。
[0136]
另一方面，在步骤sb8中，在判断为在规定阈值时间以内从副控制器60接收了三次信息组p4的情况(步骤sb8中判断为是的情况)下，判别部59判断三次信息组p4中包括的发送源信息与图5的步骤sb2中选择的副控制器60的信息是否一致(步骤sb10)。在步骤sb10中，判断为两个信息不一致的情况(步骤sb10判断为否的情况)下，判别部59进行步骤sb9的处理。即，判断为追加的节点30是非正规设备。
[0137]
另一方面，在步骤sb10中，在判断为两个信息一致的情况(步骤sb10判断为是的情况)下，判别部59对于从副控制器60接收到的三次信息组p4中包括的加密临时数据，使用私有密钥m53(参考图2)进行解密(步骤sb11)。
[0138]
接着，判别部59判断解密后的加密数据中包括的临时数据与图5的步骤sb3中生成的临时数据是否一致(步骤sb12)。在步骤sb12中，在判断为两个数据不一致的情况(步骤sb12判断为否的情况)下，进行步骤sb9的处理。即，判断为追加的节点30是非正规设备。
[0139]
另一方面，在步骤sb12中，在判断为两个数据一致的情况(步骤sb12判断为是的情况)下，判别部59判断为追加的节点是符合规格的节点、即正规设备(步骤sb13)。步骤sb8～sb13的处理是图4的步骤s5的判别处理，在步骤sb9或步骤sb13的处理之后，主控制器50进行的全部处理(一次通信处理和判别处理)结束。
[0140]
[检测出非正规设备时的处理]
[0141]
接着，对于判断为追加的节点30是非正规设备的情况下的主控制器50中的处理，参考图12和图13进行说明。图12是表示判断为追加的节点30是非正规设备的情况下的主控制器50中的处理例(1)的流程的流程图。图13是表示判断为追加的节点30是非正规设备的情况下的主控制器50中的处理例(2)的流程的流程图。
[0142]
首先，参考图12对于处理例(1)进行说明。首先，主控制器50的判别部59(参考图2)在判断为节点30不是正规设备、即为非正规设备的情况下，将判断为非正规设备的节点30(以下也称为非法节点30)的信息存储为非法信息(步骤s11)。非法信息至少包括非法节点30的信息(识别信息等)，例如由设备id、序列号、mac地址、ip地址等构成。
[0143]
接着，主控制器50的判别部59将步骤s11中存储的非法信息经由通信部56对其他控制器告知(步骤s12)。告知(通知)例如在信道nt(参考图2)中以多点方式连接了多个装置的情况下，用串行通信以与信道nt连接的全部控制器为对象进行。
[0144]
另外，在信道nt中基于以太网(注册商标)等规格进行通信的情况下，非法信息的通知经由广播通信、对于与信道nt连接的全部控制器进行。接收了非法信息的各控制器例如能够基于接收的非法信息中包括的节点30的信息，进行拒绝与该节点30的通信等处理。
[0145]
通过用主控制器50和其他控制器进行这样的处理，无论非正规设备的节点30进行什么动作，在电梯系统100一方都能够忽略。从而，根据本实施方式，在对于信道nt连接了非正规设备的情况下，也能够使电梯15(参考图1)的运行继续。
[0146]
另外，根据本实施方式，在连接了非正规设备的节点30的情况下，该情况会被主控制器50立即检测到，所以能够防止因连接非正规设备的节点30而在电梯系统100的动作等中发生故障。另外，节点30是为了非法行为目的而追加的非正规设备的情况下，也能够通过进行拒绝与节点30的通信等处理，从而防止执行非法行为。
[0147]
接着，参考图13对于处理例(2)进行说明。首先，主控制器50的判别部59判断为节点30是非正规设备的情况下，对于对应的控制器，进行使电梯15的轿厢7(参考图1)在最近楼层停止的指示(步骤s21)。
[0148]
例如，对于图1的信道17连接了非法节点30的情况下，主控制器50对于群管理控制器4指示使轿厢7在最近楼层停止，对于信道16连接了非法节点30的情况下，主控制器50对电梯控制器5指示使轿厢7在最近楼层停止。另外，对于信道12连接了非法节点30的情况下，主控制器50对电梯控制器5指示使轿厢7在最近楼层停止。通过进行这样的处理，在连接了非法节点30的情况下，也能够确保电梯15的使用者的安全。
[0149]
接着，主控制器50的判别部59经由通信部56对上级控制器通知发生非法行为(步骤s22)。例如，对于图1的信道17连接了非法节点30的情况下，主控制器50对通信控制器3通知发生非法行为，对于信道16连接了非法节点30的情况下，主控制器50对群管理控制器4通知发生非法行为。另外，对于信道12连接了非法节点30的情况下，主控制器50对电梯控制器5通知发生非法行为。接收了发生非法行为的通知的控制器，通过进而对上级控制器传输发
生非法行为的通知，能够使发生非法行为的通知迅速到达最上级的中心装置1。
[0150]
[临时数据的生成例和副控制器的决定例]
[0151]
接着，参考图14～图19，对于主控制器50的临时数据生成部51(参考图2)进行的临时数据生成例和主控制器50的通信路径选择部52对副控制器60的选择例进行说明。
[0152]
图14是表示临时数据的生成例和副控制器60的决定例(1)的流程的例子的流程图，图15是表示临时数据的生成例和副控制器60的决定例(2)的流程的例子的流程图。图16是表示临时数据的生成例和副控制器60的决定例(3)的流程的例子的流程图，图17是表示临时数据的生成例和副控制器60的决定例(4)的流程的例子的流程图。图18是表示临时数据的生成例和副控制器60的决定例(5)的流程的例子的流程图，图19是表示临时数据的生成例和副控制器60的决定例(6)的流程的例子的流程图。
[0153]
[例(1)：临时数据用的运行数据＝轿厢位置信息，副控制器60选择用的运行数据＝呼叫信息]
[0154]
首先，参考图14，对于主控制器50对临时数据的生成例和副控制器60的决定例(1)进行说明。
[0155]
首先，主控制器50的临时数据生成部51(参考图2)经由通信部56获取轿厢7(参考图1)的位置信息(轿厢信息)，作为电梯15的运行数据(步骤s31)。
[0156]
接着，主控制器50的临时数据生成部51生成以步骤s31中获取的轿厢位置信息为输入值的临时数据(步骤s32)。临时数据例如能够通过对随机数生成函数或散列值函数等输入轿厢位置信息而生成。即，临时数据生成部51能够得到以轿厢位置信息为输入值的随机数或散列值等作为临时数据。
[0157]
接着，主控制器50的通信路径选择部52获取呼叫信息作为运行数据(步骤s33)。
[0158]
接着，通信路径选择部52基于步骤s33中获取的呼叫信息，选择规定的控制器作为副控制器60(步骤s34)。例如，通信路径选择部52能够对最小值函数输入呼叫信息中包括的各轿厢7的呼叫登记信息，基于得到的输出值来选择控制器。由此，呼叫登记最少的控制器被选择为副控制器60。
[0159]
通过由通信路径选择部52进行这样的处理，来选择控制包括呼叫登记是零的轿厢7的、呼叫登记最少的轿厢7的动作的轿厢控制器10作为副控制器60。即，处理有余力的轿厢控制器10被选择为构成信息组的传输路径的副控制器60。因此，通过执行本实施方式的电梯连接设备确认方法，能够将对电梯15的通常运行造成的影响抑制在最小限度。
[0160]
[例(2)：临时数据用的运行数据＝轿厢速度信息，副控制器60选择用的运行数据＝呼叫信息]
[0161]
接着，参考图15，对于主控制器50对临时数据的生成例和副控制器60的决定例(2)进行说明。
[0162]
首先，主控制器50的临时数据生成部51经由通信部56获取轿厢7的速度信息(轿厢速度信息)，作为电梯15的运行数据(步骤s41)。
[0163]
接着，主控制器50的临时数据生成部51生成以步骤s41获取的轿厢速度信息为输入值的临时数据(步骤s42)。临时数据例如能够通过对随机数生成函数或散列值函数等输入轿厢速度信息而生成。即，临时数据生成部51能够得到以轿厢速度信息为输入值的随机数或散列值等作为临时数据。
[0164]
接着，主控制器50的通信路径选择部52获取轿厢7的目的地楼层信息作为运行数据(步骤s43)。
[0165]
接着，通信路径选择部52基于步骤s43中获取的目的地楼层信息，选择规定的控制器作为副控制器60(步骤s44)。例如，通信路径选择部52能够对最小值函数输入目的地楼层信息中包括的目的地楼层，基于得到的输出值来选择副控制器60。由此，目的地楼层的登记最少的控制器被选择为副控制器60。
[0166]
通过由通信路径选择部52进行这样的处理，而选择包括目的地楼层的登记是零的楼层的、目的地楼层登记最少的楼层中设置的楼层控制器11作为副控制器60。即，处理有余力的楼层控制器11被选择为构成信息组的传输路径的副控制器60。因此，通过执行本实施方式的电梯连接设备确认方法，能够将对电梯15的通常运行造成的影响抑制在最小限度。
[0167]
[例(3)：临时数据用的运行数据和副控制器60选择用的运行数据＝轿厢载荷信息]
[0168]
接着，参考图16，对于主控制器50对临时数据的生成例和副控制器60的决定例(3)进行说明。
[0169]
首先，主控制器50的临时数据生成部51经由通信部56获取轿厢7的载荷信息(轿厢载荷信息)，作为电梯15的运行数据(步骤s51)。
[0170]
接着，主控制器50的临时数据生成部51生成以步骤s51获取的轿厢载荷信息为输入值的临时数据(步骤s52)。临时数据例如能够通过对随机数生成函数或散列值函数等输入轿厢载荷信息而生成。即，临时数据生成部51能够得到以轿厢载荷信息为输入值的随机数或散列值等作为临时数据。
[0171]
接着，主控制器50的通信路径选择部52基于步骤s52中生成的以轿厢载荷信息为输入值的随机数或散列值的分布位置的信息，选择规定的控制器作为副控制器60(步骤s53)。具体而言，通信路径选择部52对可能生成随机数或散列值的数值区间按副控制器60的个数进行分割，根据实际生成的随机数或散列值属于哪个数据区间来选择副控制器60。
[0172]
[例(4)：临时数据用的运行数据和副控制器60选择用的运行数据＝运行次数信息]
[0173]
接着，参考图17，对于主控制器50对临时数据的生成例和副控制器60的决定例(4)进行说明。
[0174]
首先，主控制器50的临时数据生成部51经由通信部56获取电梯15的运行次数的信息，作为电梯15的运行数据(步骤s61)。
[0175]
接着，主控制器50的临时数据生成部51生成以步骤s61获取的运行次数信息为输入值的临时数据(步骤s62)。临时数据例如能够通过对随机数生成函数或散列值函数等输入运行次数信息而生成。即，临时数据生成部51能够得到以运行次数信息为输入值的随机数或散列值等作为临时数据。
[0176]
接着，主控制器50的通信路径选择部52基于运行次数的值的大小，选择规定的控制器作为副控制器60(步骤s63)。例如，通信路径选择部52能够选择运行次数最小的电梯15的电梯控制器5作为副控制器60。
[0177]
另外，通信路径选择部52也可以选择运行次数是中间值或最大的电梯15的电梯控制器5作为副控制器60。即，用于选择副控制器60的值只要是能够选择任意的电梯控制器5
的值，就可以是任意的值。
[0178]
[例(5)：临时数据用的运行数据和副控制器60选择用的运行数据＝移动人数信息]
[0179]
接着，参考图18，对于主控制器50对临时数据的生成例和副控制器60的决定例(5)进行说明。
[0180]
首先，主控制器50的临时数据生成部51经由通信部56获取电梯15的移动(输送)人数的信息，作为电梯15的运行数据(步骤s71)。
[0181]
接着，主控制器50的临时数据生成部51生成以步骤s71获取的移动人数信息为输入值的临时数据(步骤s72)。临时数据例如能够通过对随机数生成函数或散列值函数等输入移动人数信息而生成。即，临时数据生成部51能够得到以移动人数信息为输入值的随机数或散列值等作为临时数据。
[0182]
接着，主控制器50的通信路径选择部52基于移动人数的多少来选择规定的控制器作为副控制器60(步骤s73)。例如，通信路径选择部52能够选择移动人数最少的电梯15的电梯控制器5作为副控制器60。另外，通信路径选择部52也可以选择移动人数是中间值或最多的电梯15的电梯控制器5作为副控制器60。即，用于选择副控制器60的值只要是能够选择任意的电梯控制器5的值，就可以是任意的值。
[0183]
[例(6)：临时数据用的运行数据和副控制器60选择用的运行数据＝电梯的停止次数信息]
[0184]
接着，参考图19，对于主控制器50对临时数据的生成例和副控制器60的决定例(6)进行说明。
[0185]
首先，主控制器50的临时数据生成部51经由通信部56获取各楼层中的轿厢7的停止次数的信息，作为电梯15的运行数据(步骤s81)。
[0186]
接着，主控制器50的临时数据生成部51生成以步骤s81获取的停止次数信息为输入值的临时数据(步骤s82)。临时数据例如能够通过对随机数生成函数或散列值函数等输入停止次数信息而生成。即，临时数据生成部51能够得到以停止次数信息为输入值的随机数或散列值等作为临时数据。
[0187]
接着，主控制器50的通信路径选择部52基于停止次数的多少，选择规定的控制器作为副控制器60(步骤s83)。例如，通信路径选择部52能够选择轿厢7的停止次数最少的楼层的楼层控制器11作为副控制器60。另外，通信路径选择部52也可以选择电梯15的停止次数是中间值或最多的楼层的楼层控制器11作为副控制器60。即，用于选择副控制器60的值只要是能够选择任意的楼层控制器11的值，就可以是任意的值。
[0188]
另外，上述例(1)～(6)中的临时数据和副控制器60的组合只是例子，临时数据和副控制器60的组合的例子并不限定于这些。另外，临时数据也可以基于例(1)～(6)所示的运行数据以外的运行数据生成。
[0189]
＜各种效果＞
[0190]
上述实施方式中，电梯系统100的主控制器50包括通信路径选择部52、加密部54、通信部56和判别部59(都参考图2)。通信路径选择部52选择多个控制器中的任一个作为副控制器60。加密部54对于至少包括副控制器60的识别信息的信息，使用从节点30获取的公开密钥31进行加密，由此生成加密数据。通信部56将加密数据发送至节点30。判别部59对将
由节点30识别出的控制器作为发送源发送来的信息组的发送源信息、与由通信路径选择部52选择的副控制器60的信息进行比较，其中节点30是基于节点30对加密数据进行解密而得到的副控制器60的识别信息来识别出控制器的。然后，通信路径选择部52在两个信息不一致的情况下，判断为节点30是不符合电梯系统100的规格的非正规设备。
[0191]
因此，根据本实施方式，无需追加新的装置或信道，仅使用现有的结构，就能够确认与电梯系统100连接的外部设备(节点30)是否为正规设备。从而，能够节省用于新追加节点30的认证用的机构的费用。
[0192]
另外，上述实施方式中，通过由主控制器50选择副控制器60来动态地生成主控制器50、副控制器60和节点30的组合。然后，通过在这些装置之间传输信息组(初始信息组p1～三次信息组p4)来进行节点30的认证。因此，根据本实施方式，能够使想要执行非法行为的第三者对节点30的认证方法的分析变得困难。
[0193]
另外，上述实施方式中，主控制器50的通信路径选择部52基于从电梯系统100获取的电梯15的运行信息或运行信息的加工信息，选择多个控制器中的任一个作为副控制器60。即，本实施方式中，构成用于认证节点30的各种信息组的通信路径的副控制器60是基于随时流动地变化的数据、即运行数据来决定的。从而，能够降低节点30认证用的信息组的通信路径被第三者检测到的概率。
[0194]
另外，上述实施方式中，主控制器50的判别部59对临时数据生成部51生成的临时数据、与从由副控制器60发送的三次信息组p4中提取并解密后的临时数据进行比较，在两个信息不一致的情况下，判断为节点30是非正规设备。本实施方式中，临时数据是使用随时流动地变化的数据、即运行数据或该运行数据的加工数据生成的。即，本实施方式中，不使用节点30的序列号、mac地址等固定的信息进行认证。从而，根据本实施方式，即使在追加了伪装复制这些信息的非正规设备的节点的情况下，也能够防止将该节点误认证为正规设备。
[0195]
另外，上述实施方式中，对于在主控制器50中使用从节点30获取的公开密钥31加密的加密数据，在节点30中使用与公开密钥31对应的私有密钥n32解密。即，当节点30是非正规设备时，因为节点30并不持有公开密钥31，所以既不能进行主控制器50中的加密数据的生成，也不能进行节点30对加密数据的解密，不能进行之后的认证处理。从而，根据本实施方式，主控制器50的判别部59在追加了非正规设备的节点的情况下也能够容易地判断为该节点是非正规设备。
[0196]
另外，上述实施方式中，主控制器50的加密部54将使用私有密钥m53加密后的临时数据(加密临时数据)包括在加密数据中，解密部58对于从副控制器60发送来的三次信息组p4中包括的加密临时数据，使用私有密钥m53进行解密。节点30是非正规设备、不能适当地处理从主控制器50发送的一次信息组p2的情况下，不会从副控制器60对主控制器50发送包括加密临时数据的三次信息组p4。即，根据本实施方式，主控制器50的判别部59在追加了非正规设备的节点的情况下，也能够容易地判断为该节点是非正规设备。
[0197]
另外，上述实施方式中，主控制器50的判别部59在从通信部56对节点30发送包括加密数据的一次信息组p2、到从副控制器60接收三次信息组p4的时间超过了规定阈值时间的情况下，判断为节点30是非正规设备。节点30是非正规设备的情况下，从节点30对副控制器60发送二次信息组p3的二次通信处理和从副控制器60对主控制器50发送三次信息组p4
的三次通信处理不会被适当地执行。因此，主控制器50的通信部56不能在从主控制器50对节点30发送一次信息组p2之后规定阈值时间内接收发送源是副控制器60的三次信息组p4。
[0198]
从而，根据本实施方式，主控制器50的判别部59也能够根据从主控制器50对节点30发送一次信息组p2到接收三次信息组p4的时间，容易地判断节点30是否正规设备。
[0199]
另外，上述实施方式为了易于理解地说明本发明而详细且具体地说明了装置和系统的结构，并不限定于必须具有说明的全部结构。
[0200]
另外，图1～图3中用实线表示的控制线或信息线示出了认为说明上必要的，并不一定示出了产品上全部的控制线和信息线。实际上也可以认为几乎全部结构都相互连接。
[0201]
另外，本说明书中，描述时序的处理的处理步骤包括按记载的顺序时序地执行的处理，也包括不一定时序地处理、而是并行地或个别地执行的处理(例如并行处理或对象进行的处理)。
[0202]
进而，关于上述本发明的一个实施方式的电梯系统的各构成要素，只要各自的硬件能够经由网络相互发送接收信息，就可以由任意的硬件实现。另外，由某个处理部实施的处理，可以用1个硬件实现，也可以用多个硬件进行的分布式处理实现。
[0203]
附图标记说明
[0204]1…
中心装置，3
…
通信控制器，4
…
群管理控制器，5
…
电梯控制器，10
…
轿厢控制器，11
…
楼层控制器，12
…
信道，15
…
电梯，16
…
信道，17
…
信道，19
…
维护终端，20
…
管理终端，30
…
节点，31
…
公开密钥，33
…
解密部，34
…
信息组生成部，35
…
通信部，50
…
主控制器，51
…
临时数据生成部，52
…
通信路径选择部，54
…
加密部，55
…
信息组生成部，56
…
通信部，57
…
地址判断部，58
…
解密部，59
…
判别部，60
…
副控制器，61
…
通信部，62
…
信息组传输部，100
…
电梯系统，m53
…
私有密钥，n32
…
私有密钥，p1
…
初始信息组，p2
…
一次信息组，p3
…
二次信息组，p4
…
三次信息组。

技术特征：
1.一种包括多个控制器的电梯连接设备确认系统，用于确认与电梯系统连接的外部设备，其特征在于：由所述多个控制器中的任一个控制器构成的主控制器包括：选择多个所述控制器中的任一个作为副控制器的选择部；加密部，其使用从所述外部设备获取的加密密钥，对至少包含所述副控制器的识别信息的信息进行加密来生成加密信息；将所述加密信息发送至所述外部设备的发送部；和判别部，其对将由所述外部设备识别出的控制器作为发送源发送来的信息组的发送源信息、与由所述选择部选择的所述副控制器的信息进行比较，在两者不一致的情况下判别为所述外部设备是不符合所述电梯系统的规格的非正规设备，其中所述外部设备是基于所述外部设备对所述加密信息进行解密而得到的所述副控制器的识别信息来识别出控制器的。2.如权利要求1所述的电梯连接设备确认系统，其特征在于：所述选择部基于从所述电梯系统获取的电梯的运行信息或所述运行信息的加工信息，来选择多个所述控制器中的任一个作为所述副控制器。3.如权利要求2所述的电梯连接设备确认系统，其特征在于：所述主控制器还包括临时信息生成部，其使用从所述电梯系统获取的电梯的运行信息或所述运行信息的加工信息来生成临时信息，所述加密部将由所述临时信息生成部生成的所述临时信息包含在所述加密信息中，所述信息组中包含加密后的所述临时信息，所述判别部对所述临时信息生成部生成的所述临时信息与从所述信息组中提取并解密后的所述临时信息进行比较，在两者不一致的情况下判断为所述外部设备是所述非正规设备。4.如权利要求3所述的电梯连接设备确认系统，其特征在于：所述加密密钥是公开密钥，所述外部设备对所述加密信息的解密是使用与所述公开密钥对应的私有密钥进行的。5.如权利要求4所述的电梯连接设备确认系统，其特征在于：所述加密部将使用与所述私有密钥不同的第二私有密钥加密后的所述临时信息包含在所述加密信息中，还包括解密部，该解密部使用所述第二私有密钥对所述信息组中包含的加密后的所述临时信息进行解密并将其输出至所述判别部。6.如权利要求5所述的电梯连接设备确认系统，其特征在于：所述选择部或所述判别部使用的所述电梯的运行信息中包含所述电梯的轿厢的位置信息、所述轿厢的速度信息、所述轿厢的载荷信息、所述电梯的呼叫信息、所述电梯的目的地楼层信息、所述电梯的运行次数、所述电梯的输送人数中的至少1项。7.如权利要求6所述的电梯连接设备确认系统，其特征在于：所述判别部在从所述发送部对所述外部设备发送所述加密信息到接收所述信息组为止的时间超过了规定的阈值时间的情况下，判断为所述外部设备是所述非正规设备。8.如权利要求1～7中任一项所述的电梯连接设备确认系统，其特征在于：
所述判别部在判断为所述外部设备是非正规设备的情况下，对多个控制器的每一个通知该外部设备是非正规设备的情况。9.如权利要求8所述的电梯连接设备确认系统，其特征在于：所述判别部在判断为所述外部设备是所述非正规设备的情况下，对控制所述电梯的运行的控制器进行使所述电梯的轿厢在最近楼层停止的指示。10.一种用包括多个控制器的电梯连接设备确认系统执行的电梯连接设备确认方法，用于确认与电梯系统连接的外部设备，其特征在于，包括：由所述多个控制器中的任一个控制器构成的主控制器选择多个所述控制器中的任一个作为副控制器的步骤；所述主控制器使用从所述外部设备获取的加密密钥对至少包含所述副控制器的识别信息的信息进行加密来生成加密信息的步骤；所述主控制器将所述加密信息发送至所述外部设备的步骤；和所述主控制器对将由所述外部设备识别出的控制器作为发送源发送来的信息组的发送源信息、与选择出的所述副控制器的信息进行比较，在两者不一致的情况下判别为所述外部设备是不符合所述电梯系统的规格的非正规设备的步骤，其中所述外部设备是基于所述外部设备对所述加密信息进行解密而得到的所述副控制器的识别信息来识别出控制器的。

技术总结
本发明提供一种电梯连接设备确认系统和电梯连接设备确认方法，无需追加新的装置或信道就能够确认外部设备是否正规设备。本发明的一个方式的电梯系统(100)的主控制器(50)包括：选择多个控制器中的任一个作为副控制器(60)的通信路径选择部(52)；加密部(54)，其使用从节点(30)获取的公开密钥(31)，对至少包括副控制器(60)的识别信息的信息进行加密来生成加密数据；和判别部(59)，其在将被节点(30)识别出的控制器作为发送源发送来的信息组的发送源信息与副控制器(60)的信息不一致的情况下，判断为节点(30)是非正规设备。判断为节点(30)是非正规设备。判断为节点(30)是非正规设备。


技术研发人员：纳谷英光 羽鸟贵大 助川祐太
受保护的技术使用者：株式会社日立制作所
技术研发日：2023.01.17
技术公布日：2023/8/23