JP2000305621A - Monitoring control system using internet - Google Patents
Monitoring control system using internetInfo
- Publication number
- JP2000305621A JP2000305621A JP11230699A JP11230699A JP2000305621A JP 2000305621 A JP2000305621 A JP 2000305621A JP 11230699 A JP11230699 A JP 11230699A JP 11230699 A JP11230699 A JP 11230699A JP 2000305621 A JP2000305621 A JP 2000305621A
- Authority
- JP
- Japan
- Prior art keywords
- monitoring
- internet
- information
- packet
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は監視制御装置がイン
ターネットを介して設備を監視制御する監視制御システ
ムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a supervisory control system in which a supervisory control device monitors and controls equipment via the Internet.
【0002】[0002]
【従来の技術】例えば、鉄道の各駅に配設された駅設備
のように広域に分散した多数の設備を例えばターミナル
の中央管理室で一括して監視制御する監視制御システム
においては、各駅に配設された設備と遠隔に位置する監
視制御装置との間で専用回線を介して監視情報及び制御
情報が送受信される。2. Description of the Related Art For example, in a supervisory control system for monitoring and controlling a large number of facilities dispersed over a wide area, such as station facilities arranged at railway stations, in a central control room of a terminal, for example, the system is provided at each station. Monitoring information and control information are transmitted and received between the installed equipment and a monitoring control device located remotely via a dedicated line.
【0003】図7は監視制御システムの概略構成を示す
ブロック図である。例えば、各駅に配設された監視制御
対象の設備1は監視制御用伝送装置2を介してイーサー
ネットの通信プロトコルを採用した駅側のネットワーク
3に接続されている。この駅側のネットワーク3は専用
回線4を介してイーサーネットの通信プロトコルを採用
した中央管理室側のネットワーク5に接続されている。
この中央管理室側のネットワーク5に監視制御装置6が
接続されている。なお、専用回線4は線路に沿って敷設
された鉄道専用線で構成される場合が多い。FIG. 7 is a block diagram showing a schematic configuration of a monitoring control system. For example, a facility 1 to be monitored and controlled disposed in each station is connected to a station-side network 3 that employs an Ethernet communication protocol via a monitoring and control transmission device 2. The network 3 on the station side is connected via a dedicated line 4 to a network 5 on the central control room side employing an Ethernet communication protocol.
The monitoring control device 6 is connected to the network 5 on the central control room side. It should be noted that the dedicated line 4 is often configured by a railway dedicated line laid along the track.
【0004】このような構成の監視制御システムにおい
て、各設備1から監視制御装置6へ送信される監視情報
及び監視制御装置6から各設備1へ送信される制御情報
は宛先アドレス(DA)と送信元アドレス(SA)が付
された通信パケットに組込まれた状態で各ネットワーク
3,5及び専用回線4上を伝送される。In the monitoring control system having such a configuration, the monitoring information transmitted from each facility 1 to the monitoring control device 6 and the control information transmitted from the monitoring control device 6 to each facility 1 include the destination address (DA) and the transmission address. It is transmitted on each of the networks 3 and 5 and the dedicated line 4 in a state of being incorporated in a communication packet to which the original address (SA) is attached.
【0005】このように、駅側のネットワーク3と中央
管理室側のネットワーク5とを専用回線4を介して接続
することにより、各設備1と監視制御装置6との間で送
受信される監視情報及び制御情報は、外部からの盗聴、
改ざん等の不正アクセスをほぼ完全に遮断することが可
能なる。[0005] As described above, by connecting the network 3 on the station side and the network 5 on the central control room side via the dedicated line 4, the monitoring information transmitted and received between each facility 1 and the monitoring control device 6. And control information, eavesdropping from outside,
It is possible to almost completely block unauthorized access such as falsification.
【0006】なお、専用回線4の代わりにインターネッ
トを採用することも可能であるが、このインターネット
は不特定多数の人に開放されているので、外部からの盗
聴、改ざん等の不正アクセスを受けやすい。It is possible to employ the Internet instead of the dedicated line 4. However, since the Internet is open to an unspecified number of people, it is susceptible to unauthorized access such as eavesdropping and falsification from outside. .
【0007】[0007]
【発明が解決しようとする課題】しかし、図7に示した
監視制御システムにおいても、まだ改良すべき次のよう
な課題があった。However, the monitoring control system shown in FIG. 7 still has the following problems to be improved.
【0008】すなわち、前述したように、外部からの盗
聴、改ざん等の不正アクセスを遮断するために専用回線
4を敷設する必要がある。この専用回線4の敷設は、敷
設費用の問題、敷設までに長期間を要する問題、さらに
敷設されてからの維持管理が煩雑である問題等がある。
したがって、広域に分散した設備を遠隔で監視・制御す
る監視制御システムを構築する上で、専用回線4は大き
な障害となる。That is, as described above, it is necessary to lay a dedicated line 4 in order to block unauthorized access such as eavesdropping and tampering from the outside. The laying of the dedicated line 4 has a problem of laying cost, a problem that requires a long time to lay, and a problem that maintenance and management after the laying is complicated.
Therefore, when constructing a monitoring and control system for remotely monitoring and controlling equipment distributed over a wide area, the dedicated line 4 becomes a major obstacle.
【0009】本発明は、このような事情に鑑みてなされ
たものであり、ネットワークを介して送受信される監視
情報及び制御情報を通信パケットごと暗号化することに
より、たとえインターネットを採用しても、監視情報及
び制御情報に対する盗聴、改ざん等の不正アクセスを未
然に防止でき、送受信される情報の信頼性及び安全性が
十分確保された状態で、安い費用でかつ短時間でシステ
ムが構築でき、さらに、構築された後の維持管理の簡素
化を図ることができるインターネットを用いた監視制御
システムを提供することを目的とする。The present invention has been made in view of such circumstances, and encrypts monitoring information and control information transmitted and received via a network for each communication packet, so that even if the Internet is adopted, It is possible to prevent unauthorized access such as eavesdropping and tampering with monitoring information and control information beforehand, and to build a system at low cost and in a short time while ensuring the reliability and security of information transmitted and received. Another object of the present invention is to provide a monitoring and control system using the Internet, which can simplify the maintenance and management after the construction.
【0010】[0010]
【課題を解決するための手段】上記課題を解消するため
に、本発明の請求項1は、監視制御装置がインターネッ
トを介して設備を監視制御する監視制御システムにおい
て、監視制御装置とインターネットとの間及び設備とイ
ンターネットとの間に介挿され、監視制御装置又は施設
から通信パケットに組込まれて出力された制御情報又は
監視情報を通信パケットごと暗号化して、この暗号化さ
れた通信パケットを新たなIPパケットに組込んでイン
ターネットへ送出すると共に、インターネットから受信
したIPパケットに組込まれた暗号化された通信パケッ
トを、元の通信パケットに復号化して、設備又は監視制
御装置へ送出する一対の暗号化・復号化装置を備えてい
る。According to a first aspect of the present invention, there is provided a monitoring control system in which a monitoring control device monitors and controls equipment via the Internet. The control information or the monitoring information, which is inserted into the communication packet from the monitoring control device or the facility and is output from the monitoring control device or the facility, is encrypted for each communication packet, and the encrypted communication packet is newly added. A pair of IP packets received from the Internet and transmitted to the Internet, and an encrypted communication packet embedded in the IP packet received from the Internet is decrypted into the original communication packet and transmitted to the facility or the monitoring and control device. It has an encryption / decryption device.
【0011】このように構成されたインターネットを用
いた監視制御システムにおいては、監視制御装置とイン
ターネットとの間及び設備とインターネットとの間にそ
れぞれ暗号化・復号化装置が設置されている。そして、
各暗号化・復号化装置は、監視制御装置及び設備がイン
ターネットへ出力する制御情報や監視情報が組込まれ通
信パケットを通信パケットごと暗号化し、インターネッ
トから受信した通信パケットを複合化している。In the monitoring and control system using the Internet configured as described above, an encryption / decryption device is installed between the monitoring and control device and the Internet and between the facility and the Internet. And
Each encryption / decryption device incorporates control information and monitoring information output from the monitoring control device and equipment to the Internet, encrypts communication packets for each communication packet, and decrypts communication packets received from the Internet.
【0012】したがって、インターネット上には、生の
制御情報や監視情報が流れることはないので、盗聴、改
ざん等の不正アクセスが発生する確率が低下する。ま
た、既存のインターネットを用いるので、システムを間
単にかつ短時間で構築できる。Therefore, since live control information and monitoring information do not flow on the Internet, the probability of unauthorized access such as eavesdropping and falsification is reduced. In addition, since the existing Internet is used, a system can be constructed simply and in a short time.
【0013】請求項2は、上述した発明の監視制御シス
テムに対して、さらに、監視制御装置とインターネット
との間及び設備とインターネットとの間に介挿され、設
備又は監視制御装置が制御情報又は監視情報を正常に受
信したことを、インターネットを介して受信確認情報を
送受信することによって、互いに確認しあう一対の送受
信確認部を備えている。According to a second aspect of the present invention, the monitoring and control system of the present invention is further interposed between the monitoring and control device and the Internet and between the facility and the Internet, and the facility or the monitoring and control device is provided with control information or information. It has a pair of transmission / reception confirmation units that mutually confirm that the monitoring information has been normally received by transmitting / receiving reception confirmation information via the Internet.
【0014】このように構成されたインターネットを用
いた監視制御システムにおいては、結果的に、設備又は
監視制御装置が制御情報又は監視情報を正常に受信した
ことを互いに確認しあうので、情報通信の信頼性が向上
する。In the supervisory control system using the Internet configured as described above, as a result, the equipment or the supervisory control device mutually confirms that the control information or the supervisory information has been normally received. Reliability is improved.
【0015】請求項3は、上述した発明の監視制御シス
テムにおいて、受信確認情報は暗号化されてIPパケッ
トに組込まれてインターネットへ送出される。したがっ
て、より送受信される情報の機密性が維持できる。According to a third aspect of the present invention, in the monitoring and control system according to the above-described invention, the reception confirmation information is encrypted, incorporated into an IP packet, and transmitted to the Internet. Therefore, the confidentiality of information transmitted and received can be maintained.
【0016】請求項4は、上述した発明の監視制御シス
テムにおいて、一対の送受信確認部は、自己側の暗号化
・複合化装置が制御情報又は監視情報のIPパケットを
インターネットへ送出してから一定時間内に受信確認情
報を受信しないと、自己側の監視制御装置又は施設に対
して再送信要求を行う。According to a fourth aspect of the present invention, in the monitoring control system according to the above-mentioned invention, the pair of transmission / reception confirming units is configured to transmit the control information or the IP packet of the monitoring information to the Internet after the encryption / decryption device on its own side transmits the IP packet. If the reception confirmation information is not received within the time, a retransmission request is made to the monitoring and control device or the facility on the own side.
【0017】さらに、請求項5は、上述した発明の監視
制御システムにおいて、監視制御装置及び設備は、前記
再送信要求を受領すると、直前に送出した制御情報又は
監視情報を通信パケットに組込んで自己側の暗号化・複
合化装置へ再送出する。According to a fifth aspect of the present invention, in the supervisory control system according to the above-mentioned invention, when the supervisory control device and the equipment receive the retransmission request, they incorporate the control information or the supervisory information transmitted immediately before into the communication packet. It is re-sent to its own encryption / decryption device.
【0018】このように構成された監視制御システムに
おいては、たとえ、インターネット上で制御情報又は監
視情報が何らかの理由で喪失したとしても、自動的に復
旧する。In the monitoring control system configured as described above, even if the control information or the monitoring information is lost on the Internet for some reason, it is automatically restored.
【0019】請求項6は、上述した発明の監視制御シス
テムにおいて、一対の暗号化・復号化装置は、制御情報
又は監視情報のIPパケットにパケット認証用の認証子
を暗号化して組込むと共に、インターネットから受信し
たIPパケットに組込まれた認証子の状態から、監視情
報又は制御情報に対する不正アクセスを検出する。According to a sixth aspect of the present invention, in the supervisory control system according to the above invention, the pair of encryption / decryption devices encrypts and incorporates an authenticator for packet authentication into an IP packet of the control information or the supervisory information, and transmits the encrypted packet to the Internet. The unauthorized access to the monitoring information or the control information is detected from the state of the authenticator incorporated in the IP packet received from the IP.
【0020】このように構成された監視制御システムに
おいては、制御情報又は監視情報のIPパケットにパケ
ット認証用の認証子が暗号化して組込まれているので、
たとえ、不正アクセスが試みられたとしたも、その不正
アクセスを検出できる。したがって、その不正アクセス
が存在する部分を破棄すればよい。In the monitoring control system configured as described above, since the authenticator for packet authentication is encrypted and incorporated in the IP packet of the control information or the monitoring information,
Even if an unauthorized access is attempted, the unauthorized access can be detected. Therefore, the portion where the unauthorized access exists may be discarded.
【0021】[0021]
【発明の実施の形態】以下、本発明の一実施形態を図面
を用いて説明する。図1は実施形態に係るインターネッ
トを用いた監視制御システムの概略構成を示すブロック
図である。この実施形態の監視制御システムは、例え
ば、鉄道会社における各駅に配設された監視制御対象の
設備を鉄道のターミナルの中央管理室に設置された監視
制御装置で監視制御する。DESCRIPTION OF THE PREFERRED EMBODIMENTS One embodiment of the present invention will be described below with reference to the drawings. FIG. 1 is a block diagram illustrating a schematic configuration of a monitoring control system using the Internet according to the embodiment. The monitoring control system according to the present embodiment, for example, monitors and controls equipment to be monitored and controlled provided at each station in a railway company by a monitoring control device installed in a central management room of a railway terminal.
【0022】各駅に配設された監視制御対象の設備11
は監視制御用伝送装置12を介してイーサーネットの通
信プロトコルを採用した駅側のネットワーク13に接続
されている。この駅側のネットワーク13は暗号化・複
合化装置14を介してイーサーネットの通信プロトコル
を採用した別のネットワーク16に接続されている。例
えば、監視制御対象の設備11に対して通信サーバの機
能を有する暗号化・複合化装置14内には送受信確認部
15が組込まれている。ネットワーク16はルータ17
を介してインターネット18に接続されている。The equipment 11 to be monitored and controlled installed at each station
Is connected to a station-side network 13 that employs an Ethernet communication protocol via a monitoring control transmission device 12. The station-side network 13 is connected to another network 16 employing an Ethernet communication protocol via an encryption / decryption device 14. For example, a transmission / reception check unit 15 is incorporated in an encryption / decryption device 14 having a function of a communication server for the facility 11 to be monitored and controlled. The network 16 is a router 17
Is connected to the Internet 18 via the Internet.
【0023】一方、鉄道のターミナルの中央管理室に設
置された監視制御装置19は、イーサーネットの通信プ
ロトコルを採用した中央管理室側のネットワーク20に
接続されている。この中央管理室側のネットワーク20
は暗号化・複合化装置21を介してイーサーネットの通
信プロトコルを採用した別のネットワーク23に接続さ
れている。監視制御装置19に対して通信サーバの機能
を有する暗号化・複合化装置21内には送受信確認部2
2が組込まれている。ネットワーク23はルータ24を
介して前述したインターネット18に接続されている。On the other hand, the monitoring and control device 19 installed in the central control room of the railway terminal is connected to a network 20 of the central control room which employs an Ethernet communication protocol. The network 20 of the central control room
Is connected via an encryption / decryption device 21 to another network 23 employing an Ethernet communication protocol. The transmission / reception check unit 2 is provided in the encryption / decryption device 21 having the function of the communication server for the monitoring control device 19
2 are incorporated. The network 23 is connected to the Internet 18 via a router 24.
【0024】そして、設備11の監視制御用伝送装置1
2はIPアドレス[A]を有し、監視制御装置19はI
Pアドレス[B]を有し、さらに、各暗号化・複合化装
置14,21はそれぞれIPアドレス[C],[D]を
有している。The monitoring control transmission device 1 of the facility 11
2 has an IP address [A], and the monitoring control device 19
It has a P address [B], and each of the encryption / decryption devices 14 and 21 has an IP address [C] and [D], respectively.
【0025】このような構成の監視制御システムにおい
て、設備11から監視制御装置19へ監視情報を送信す
る手順及び監視制御装置19から設備11へ制御情報を
送信する手順を図2及び図3を用いて説明する。The procedure for transmitting the monitoring information from the equipment 11 to the monitoring and control apparatus 19 and the procedure for transmitting the control information from the monitoring and control apparatus 19 to the equipment 11 in the monitoring and control system having such a configuration will be described with reference to FIGS. Will be explained.
【0026】(a) 監視情報の送信 図2において、まず、装置11は監視制御用伝送装置1
2へ監視情報を送出する。監視制御用伝送装置12は、
この監視情報をデータとし、監視制御装置19のIPア
ドレスBを宛先(DA)とし、さらに自己のIPアドレ
スAを送信元(SA)とする通信パケット25を作成し
てネットワーク13へ送出する。このネットワーク13
へ送出された通信パケット25は、このネットワーク1
3に接続された暗号化・復号化装置14にて受信され
る。(A) Transmission of monitoring information In FIG. 2, first, the device 11 is a transmission device 1 for monitoring and control.
2 to send monitoring information. The monitoring control transmission device 12 includes:
This monitoring information is used as data, and a communication packet 25 with the IP address B of the monitoring control device 19 as the destination (DA) and the own IP address A as the transmission source (SA) is created and transmitted to the network 13. This network 13
The communication packet 25 transmitted to the network 1
3 is received by the encryption / decryption device 14 connected to the communication device 3.
【0027】暗号化・復号化装置14は、入力された通
信パケット25にデジタル著名技術等を利用したパケッ
ト認証のための認証子27を付加し、この通信パケット
25と認証子28との全体を暗号化する。そして、暗号
化・復号化装置14は、この暗号化された通信パケット
25及び認証子28を新たなIPパケット26に組込ん
でルータ17を介してインターネット18へ送出する。
このIPパケット26の宛先(DA)は、中央管理室側
の暗号化・複合化装置21のIPアドレスDであり、送
信元(SA)は自己のIPアドレスCである。The encryption / decryption device 14 adds an authenticator 27 for packet authentication using a digital famous technology or the like to the input communication packet 25, and combines the communication packet 25 and the authenticator 28 as a whole. Encrypt. Then, the encryption / decryption device 14 embeds the encrypted communication packet 25 and authenticator 28 into a new IP packet 26 and sends the new IP packet 26 to the Internet 18 via the router 17.
The destination (DA) of this IP packet 26 is the IP address D of the encryption / decryption device 21 in the central control room, and the source (SA) is its own IP address C.
【0028】インターネット18へ送出されたIPパケ
ット26は、ルータ24を介して、ネットワーク23へ
送出され、さらに、宛先(DA)である中央管理室側の
暗号化・複合化装置21へ入力される。暗号化・複合化
装置21は、入力されたIPパケット26の宛先(D
A)と送信元(SA)からなるIPヘッダを外して、続
いて、暗号化された元の通信パケット25と認証子27
の部分を復号化する。The IP packet 26 sent to the Internet 18 is sent to the network 23 via the router 24, and is further input to the encryption / decryption device 21 in the central control room, which is the destination (DA). . The encryption / decryption device 21 sends the destination (D
A) and the IP header consisting of the source (SA) are removed, and then the encrypted original communication packet 25 and authenticator 27
Is decrypted.
【0029】暗号化・複合化装置21は、この際、パケ
ット認証のために付加した認証子27を検査し、復号化
した通信パケット25がインターネット18を伝送され
る過程で監視情報に対して盗聴、改ざん等の不正アクセ
スが実施されていないことや、この通信パケット25が
正当な送信元(SA)である監視制御用伝送装置12か
ら送られていることを確認する。At this time, the encryption / decryption device 21 inspects the authenticator 27 added for packet authentication, and eavesdrops on the monitoring information while the decrypted communication packet 25 is transmitted through the Internet 18. It is confirmed that unauthorized access such as falsification has not been performed, and that the communication packet 25 has been sent from the monitor control transmission device 12 which is a legitimate source (SA).
【0030】暗号化・複合化装置21は、これら検査で
正しい通信パケット25であることを確認すると、この
通信パケット25を、中央管理室側のネットワーク20
へ出力する。この通信パケット25の宛先(DA)に指
定された監視制御装置19は、この監視制御用伝送装置
12からの通信パケット25を受信する。この際、監視
制御装置19は監視制御用伝送装置12からの監視情報
がインターネット18で暗号化されたことを全く意識す
る必要はない。When the encryption / decryption device 21 confirms that the communication packet 25 is correct in these inspections, the encryption / decryption device 21 transmits the communication packet 25 to the network 20 in the central control room.
Output to The monitoring control device 19 specified as the destination (DA) of the communication packet 25 receives the communication packet 25 from the monitoring control transmission device 12. At this time, the monitoring control device 19 does not need to be aware that the monitoring information from the monitoring control transmission device 12 has been encrypted on the Internet 18.
【0031】(b) 制御情報の送信 図3において、中央管理室に設置された監視制御装置1
9は、監視制御対象の設備11に対する制御情報をデー
タとし、設備11に付設された監視制御用伝送装置12
のIPアドレスAを宛先(DA)とし、さらに自己のI
PアドレスBを送信元(SA)とする通信パケット28
を作成して中央管理室側のネットワーク20へ送出す
る。このネットワーク20へ送出された通信パケット2
8は、このネットワーク28に接続された暗号化・復号
化装置21にて受信される。(B) Transmission of control information In FIG. 3, the monitoring and control device 1 installed in the central control room
Reference numeral 9 denotes control information for the equipment 11 to be monitored and controlled as data, and a monitoring control transmission device 12 attached to the equipment 11.
IP address A as the destination (DA), and its own I
Communication packet 28 with P address B as the source (SA)
And sends it to the network 20 on the central control room side. Communication packet 2 transmitted to this network 20
8 is received by the encryption / decryption device 21 connected to the network 28.
【0032】暗号化・復号化装置21は、入力された通
信パケット28にデジタル著名技術等を利用したパケッ
ト認証のための認証子29を付加し、この通信パケット
28と認証子29との全体を暗号化する。そして、暗号
化・復号化装置21は、この暗号化された通信パケット
28及び認証子29を新たなIPパケット30に組込ん
でルータ24を介してインターネット18へ送出する。
このIPパケット30の宛先(DA)は、設備側の暗号
化・複合化装置14のIPアドレスCであり、送信元
(SA)は自己のIPアドレスDである。The encryption / decryption device 21 adds an authenticator 29 for packet authentication using a digital well-known technology or the like to the input communication packet 28, and combines the communication packet 28 and the authenticator 29 as a whole. Encrypt. Then, the encryption / decryption device 21 embeds the encrypted communication packet 28 and authenticator 29 into a new IP packet 30 and sends the new IP packet 30 to the Internet 18 via the router 24.
The destination (DA) of this IP packet 30 is the IP address C of the encryption / decryption device 14 on the equipment side, and the source (SA) is its own IP address D.
【0033】インターネット18へ送出されたIPパケ
ット30は、ルータ17を介して、ネットワーク16へ
送出され、さらに、宛先(DA)である設備側の暗号化
・複合化装置14へ入力される。暗号化・複合化装置1
4は、入力されたIPパケット30の宛先(DA)と送
信元(SA)からなるIPヘッダを外して、続いて、暗
号化された元の通信パケット28と認証子29の部分を
復号化する。The IP packet 30 transmitted to the Internet 18 is transmitted to the network 16 via the router 17 and further input to the encryption / decryption device 14 on the equipment side as the destination (DA). Encryption / decryption device 1
4 removes the IP header consisting of the destination (DA) and the source (SA) of the input IP packet 30, and subsequently decrypts the encrypted original communication packet 28 and authenticator 29. .
【0034】暗号化・複合化装置14は、この際、パケ
ット認証のために付加した認証子29を検査し、復号化
した通信パケット28がインターネット18を伝送され
る過程で監視情報に対して盗聴、改ざん等の不正アクセ
スが実施されていないことや、この通信パケット28が
正当な送信元(SA)である監視制御装置19から送ら
れていることを確認する。At this time, the encryption / decryption device 14 inspects the authenticator 29 added for packet authentication, and eavesdrops on the monitoring information while the decrypted communication packet 28 is transmitted through the Internet 18. It is confirmed that unauthorized access such as tampering has not been performed, and that the communication packet 28 has been sent from the monitoring control device 19, which is a legitimate transmission source (SA).
【0035】暗号化・複合化装置14は、これら検査で
正しい通信パケット28であることを確認すると、この
通信パケット28を、設備側のネットワーク13へ出力
する。この通信パケット28の宛先(DA)に指定され
た監視制御用伝送装置12は、この監視制御装置19か
らの通信パケット28を受信する。そして、通信パケッ
ト28に含まれる制御情報を監視制御対象の設備11へ
送出する。この際、監視制御用伝送装置12は監視制御
装置19からの制御情報がインターネット18で暗号化
されたことを全く意識する必要はない。When the encryption / decryption device 14 confirms that the communication packet 28 is correct in these checks, it outputs the communication packet 28 to the network 13 on the equipment side. The monitoring control transmission device 12 specified as the destination (DA) of the communication packet 28 receives the communication packet 28 from the monitoring control device 19. Then, the control information included in the communication packet 28 is transmitted to the facility 11 to be monitored and controlled. At this time, the monitoring control transmission device 12 does not need to be aware that the control information from the monitoring control device 19 has been encrypted on the Internet 18.
【0036】また、各暗号化・復号化装置14,21内
に設けらている各送受信確認部15,22は、図4及び
図5の流れ図に従って監視情報及び制御情報の送受信の
確認処理を実施する。The transmission / reception confirmation units 15 and 22 provided in the encryption / decryption devices 14 and 21 execute the transmission / reception confirmation processing of the monitoring information and the control information in accordance with the flowcharts of FIGS. I do.
【0037】(c) 監視情報及び制御情報の送信確認
処理 図4に示すように、自己が組込まれた暗号化・復号化装
置14,21が各ネットワーク16,23を介して暗号
化した監視情報又は制御情報を含むIPパケット26,
30をインターネット18に送信したと判断すると(S
1)、IPパケット26,30の送信時刻からの経過時
間の計時を開始する。(C) Processing for confirming transmission of monitoring information and control information As shown in FIG. 4, monitoring information encrypted by the encryption / decryption devices 14 and 21 incorporated therein via the respective networks 16 and 23. Or an IP packet 26 containing control information,
30 is transmitted to the Internet 18 (S
1), counting the elapsed time from the transmission time of the IP packets 26 and 30 is started.
【0038】IPパケット26,30の送信時刻から一
定時間内に、送信先の暗号化・復号化装置21,14に
組込まれた送受信確認部22,15から暗号化された受
信確認情報が組込まれたIPパケットが送信されてこな
いと(S3)、先に送信した監視情報又は制御情報を含
むIPパケット26,30がインターネット18上で喪
失したと判断する。そして、自己側の設備11の監視制
御用伝送装置12又は監視制御装置19に対して監視情
報又は制御情報の再送信要求を行う(S4)。Within a certain period of time from the transmission time of the IP packets 26 and 30, the encrypted reception confirmation information from the transmission / reception confirmation units 22 and 15 incorporated in the encryption / decryption devices 21 and 14 of the transmission destination is incorporated. If the transmitted IP packet is not transmitted (S3), it is determined that the previously transmitted IP packets 26 and 30 including the monitoring information or the control information have been lost on the Internet 18. Then, a request for retransmission of monitoring information or control information is made to the monitoring control transmission device 12 or the monitoring control device 19 of the own facility 11 (S4).
【0039】(d) 監視情報及び制御情報の受信確認
処理 図5に示すように、自己が組込まれた暗号化・復号化装
置14,21がインターネット18を介して暗号化した
監視情報又は制御情報を含むIPパケット30,26を
受信し、このIPパケット30,26に含まれる暗号化
された通信パケット28,25を元の通信パケット2
8,25に復号化して、監視制御用伝送装置12又は監
視制御装置19に送信したと判断すると(Q1)、この
IPパケット30,26の送信元の暗号化・復号化装置
21,14に対して、受信確認情報を送信する。具体的
には、受信確認情報を暗号化してIPパケットに組込ん
でインターネット18へ送出する(Q2)。(D) Processing for confirming reception of monitoring information and control information As shown in FIG. 5, monitoring information or control information encrypted by the encrypting / decrypting devices 14 and 21 incorporated therein via the Internet 18 as shown in FIG. Are received, and the encrypted communication packets 28 and 25 included in the IP packets 30 and 26 are converted into the original communication packets 2 and 25.
When it is determined that the IP packets 30 and 26 have been decrypted and transmitted to the supervisory control transmission device 12 or the supervisory control device 19 (Q1), the encryption / decryption devices 21 and 14 as the transmission sources of the IP packets 30 and 26 are transmitted. To send the acknowledgment information. Specifically, the reception confirmation information is encrypted, incorporated into an IP packet, and transmitted to the Internet 18 (Q2).
【0040】なお、復号化された元の通信パケット2
8,25が正常に監視制御用伝送装置12又は監視制御
装置19に送信できなかった場合は、当然、受信確認情
報のIPパケットを送信しない。It should be noted that the decrypted original communication packet 2
If the transmission data 8 and 25 cannot be normally transmitted to the monitoring control transmission apparatus 12 or the monitoring control apparatus 19, the IP packet of the reception confirmation information is not transmitted.
【0041】さらに、各暗号化・復号化装置14,21
は、図6の流れ図に従って不正アクセスの監視処理を実
施する。Further, each of the encryption / decryption devices 14, 21
Performs an unauthorized access monitoring process according to the flowchart of FIG.
【0042】(e) 不正アクセスの監視処理 各暗号化・復号化装置14,21は、インターネット1
8から受信したIPパケット30,26の宛先(DA)
と送信元(SA)からなるIPヘッダを外して、続い
て、暗号化された元の通信パケット28,25と認証子
29,27の部分を復号化する。そして、このパケット
認証のために付加した認証子29,27を検査し、復号
化した通信パケット28,25がインターネット18を
伝送される過程で監視情報又は制御情報に対して盗聴、
改ざん等の不正アクセスが実施されたか否かを検査する
(R1)。(E) Monitoring process of unauthorized access Each of the encryption / decryption devices 14 and 21
(DA) of the IP packets 30 and 26 received from No. 8
Then, the IP header including the source (SA) is removed, and the encrypted communication packets 28 and 25 and the authenticators 29 and 27 are decrypted. Then, the authenticators 29 and 27 added for the packet authentication are inspected, and the decrypted communication packets 28 and 25 are eavesdropped on the monitoring information or the control information while being transmitted through the Internet 18.
It is checked whether unauthorized access such as falsification has been performed (R1).
【0043】不正アクセスが実施されていた場合(R
2)、このインターネット18から受信したIPパケッ
ト30,26を破棄する(R3)。なお、この破棄され
たIPパケット30,26に対しては、当然、受信確認
情報は送信されないので、破棄されたIPパケット3
0,26に対する正しいIPパケット30,26が再送
信される。When unauthorized access has been performed (R
2) Discard the IP packets 30, 26 received from the Internet 18 (R3). Since the reception confirmation information is not transmitted to the discarded IP packets 30 and 26, the discarded IP packets 3 and 26 are not transmitted.
Correct IP packets 30, 26 for 0, 26 are retransmitted.
【0044】このように構成されたインターネットを用
いた監視制御システムにおいては、インターネット18
の設備11側及び監視制御装置19側に、それぞれ暗号
化・符号化装置14、21を設けている。そして、この
暗号化・符号化装置14、21でインターネット18上
へ出力される監視情報又は制御情報が組込まれた通信パ
ケット25、28を暗号化している。In the monitoring and control system using the Internet configured as described above, the Internet 18
Encryption / encoding devices 14 and 21 are provided on the equipment 11 side and the monitoring control device 19 side, respectively. Then, the communication packets 25 and 28 in which the monitoring information or the control information output onto the Internet 18 are incorporated by the encryption / encoding devices 14 and 21 are encrypted.
【0045】したがって、インターネット18上には、
生の監視情報や制御情報が流れることはないので、盗
聴、改ざん等の不正アクセスが発生する確率が低下す
る。さらに、監視情報又は制御情報か組込まれた通信パ
ケット25,28ごと暗号化されているので、宛先や送
信元の監視制御装置19や設備11も、第3者は解読で
きないので、監視情報又は制御情報の安全性をさらに向
上できる。Therefore, on the Internet 18,
Since live monitoring information and control information do not flow, the probability of unauthorized access such as eavesdropping and falsification is reduced. Furthermore, since the monitoring information or the control information is encrypted for each of the embedded communication packets 25 and 28, the monitoring control device 19 and the equipment 11 at the destination and the transmission source cannot be decrypted by a third party. Information security can be further improved.
【0046】また、既存のインターネット18を用いる
ので、図7に示した専用回線4を用いた従来の監視制御
システムに比較して、システムを間単にかつ短時間で構
築できる。さらに、システムの維持管理費を低減でき
る。Since the existing Internet 18 is used, the system can be constructed simply and in a short time as compared with the conventional monitoring and control system using the dedicated line 4 shown in FIG. Further, the maintenance cost of the system can be reduced.
【0047】さらに、送受信確認部15,22を設け
て、設備11又は監視制御装置19が制御情報又は監視
情報を正常に受信したことを、受信確認情報を送受信す
ることによって、互いに確認しあうので、情報通信の信
頼性がより一層向上する。Further, transmission / reception confirmation units 15 and 22 are provided to mutually confirm that the equipment 11 or the monitoring control device 19 has normally received control information or monitoring information by transmitting / receiving reception confirmation information. In addition, the reliability of information communication is further improved.
【0048】また、この受信確認情報は暗号化されてI
Pパケットに組込まれてインターネットへ送出されるの
で、より送受信される情報の機密性が維持できる。The reception confirmation information is encrypted and I
Since the packet is incorporated into the P packet and transmitted to the Internet, the confidentiality of information transmitted and received can be maintained.
【0049】また、送信先から受信確認情報が入力され
ない場合は、制御情報又は監視情報を再送信している。
そして、たとえ、インターネット18上で制御情報又は
監視情報のIPパケット26,30が何らかの理由で喪
失したとしても、自動的に復旧する。When the reception confirmation information is not input from the transmission destination, the control information or the monitoring information is retransmitted.
Then, even if the IP packets 26, 30 of the control information or the monitoring information on the Internet 18 are lost for some reason, it is automatically restored.
【0050】さらに、制御情報又は監視情報のIPパケ
ット26,30にパケット認証用の認証子27,29が
暗号化して組込まれているので、たとえ、不正アクセス
が試みられたとしたも、その不正アクセスを検出でき
る。そして、その不正アクセスが存在するIPパケット
26,30を破棄して、再度正しいIPパケット26,
30を送信している。よって、より送受信される情報の
安全性が確保できる。Furthermore, since the authenticators 27 and 29 for packet authentication are encrypted and incorporated in the IP packets 26 and 30 of the control information or the monitoring information, even if an unauthorized access is attempted, Can be detected. Then, the IP packets 26 and 30 having the unauthorized access are discarded, and the correct IP packets 26 and
30 has been transmitted. Therefore, the security of the transmitted / received information can be further secured.
【0051】[0051]
【発明の効果】以上説明したように、本発明のインター
ネットを用いた監視制御システムにおいては、ネットワ
ークを介して送受信される監視情報及び制御情報を通信
パケットごと暗号化している。As described above, in the monitoring and control system using the Internet according to the present invention, the monitoring information and the control information transmitted and received via the network are encrypted for each communication packet.
【0052】したがって、たとえインターネットを採用
しても、監視情報及び制御情報に対する盗聴、改ざん等
の不正アクセスを未然に防止でき、送受信される情報の
信頼性及び安全性を十分確保された状態で、安い費用で
かつ短時間でシステムが構築でき、さらに、構築された
後の維持管理の簡素化を図ることができる。Therefore, even if the Internet is adopted, unauthorized access such as eavesdropping and falsification of the monitoring information and control information can be prevented beforehand, and the reliability and security of the transmitted / received information is sufficiently ensured. The system can be constructed in a short time at a low cost, and furthermore, the maintenance and management after the construction can be simplified.
【図1】本発明の一実施形態のインターネットを用いた
監視制御システムの概略構成を示すブロック図FIG. 1 is a block diagram showing a schematic configuration of a monitoring control system using the Internet according to an embodiment of the present invention.
【図2】同監視制御システムにおける監視情報の送信動
作を示す図FIG. 2 is a diagram showing a transmission operation of monitoring information in the monitoring control system.
【図3】同監視制御システムにおける制御情報の送信動
作を示す図FIG. 3 is a diagram showing a transmission operation of control information in the monitoring control system.
【図4】同監視制御システムに組込まれた送受信確認部
における監視情報及び制御情報の送信確認処理動作を示
す流れ図FIG. 4 is a flow chart showing a transmission confirmation processing operation of monitoring information and control information in a transmission / reception confirmation unit incorporated in the monitoring control system.
【図5】同監視制御システムに組込まれた送受信確認部
における監視情報及び制御情報の受信確認処理動作を示
す流れ図FIG. 5 is a flowchart showing a reception confirmation processing operation of monitoring information and control information in a transmission / reception confirmation unit incorporated in the monitoring control system;
【図6】同監視制御システムに組込まれた暗号化・復号
化装置における不正アクセスの監視処理動作を示す流れ
図FIG. 6 is a flowchart showing an unauthorized access monitoring processing operation in the encryption / decryption device incorporated in the monitoring control system.
【図7】従来の監視制御システムの概略構成を示すブロ
ック図FIG. 7 is a block diagram showing a schematic configuration of a conventional supervisory control system.
11…設備 12…監視制御用伝送装置 13,16,20,23…ネットワーク 14,21…暗号化・復号化装置 15,22…送受信確認部 17,24…ルータ 18…インターネット 19…監視制御装置 25,28…通信パケット 26,30…IPパケット 27,29…認証子 DESCRIPTION OF SYMBOLS 11 ... Equipment 12 ... Supervisory control transmission apparatus 13, 16, 20, 23 ... Network 14, 21 ... Encryption / decryption apparatus 15, 22 ... Transmission / reception confirmation part 17, 24 ... Router 18 ... Internet 19 ... Supervisory control apparatus 25 , 28 ... Communication packet 26, 30 ... IP packet 27, 29 ... Authenticator
Claims (6)
設備を監視制御する監視制御システムにおいて、 前記監視制御装置と前記インターネットとの間及び前記
設備と前記インターネットとの間に介挿され、前記監視
制御装置又は前記施設から通信パケットに組込まれて出
力された制御情報又は監視情報を前記通信パケットごと
暗号化して、この暗号化された通信パケットを新たなI
Pパケットに組込んで前記インターネットへ送出すると
共に、前記インターネットから受信したIPパケットに
組込まれた暗号化された通信パケットを、元の通信パケ
ットに復号化して、前記設備又は監視制御装置へ送出す
る一対の暗号化・復号化装置を備えたことを特徴とする
インターネットを用いた監視制御システム。1. A monitoring control system in which a monitoring control device monitors and controls equipment via the Internet, wherein the monitoring control device is interposed between the monitoring control device and the Internet and between the equipment and the Internet. The control information or the monitoring information embedded in the communication packet from the device or the facility and output is encrypted for each communication packet, and the encrypted communication packet is rewritten with a new I / O.
The packet is embedded in a P packet and sent to the Internet, and the encrypted communication packet embedded in the IP packet received from the Internet is decrypted into the original communication packet and sent to the facility or the monitoring and control device. A monitoring control system using the Internet, comprising a pair of encryption / decryption devices.
との間及び前記設備と前記インターネットとの間に介挿
され、前記設備又は監視制御装置が制御情報又は監視情
報を正常に受信したことを、前記インターネットを介し
て受信確認情報を送受信することによって、互いに確認
しあう一対の送受信確認部を備えたことを特徴とする請
求項1記載のインターネットを用いた監視制御システ
ム。2. The apparatus is interposed between the monitoring and control apparatus and the Internet and between the facility and the Internet, and notifies that the facility or the monitoring and control apparatus has normally received control information or monitoring information. 2. The monitoring control system using the Internet according to claim 1, further comprising a pair of transmission / reception confirmation units that mutually confirm each other by transmitting / receiving reception confirmation information via the Internet.
ケットに組込まれて前記インターネットへ送出されるこ
とを特徴とする請求項1記載のインターネットを用いた
監視制御システム。3. The monitoring and control system using the Internet according to claim 1, wherein the reception confirmation information is encrypted, embedded in an IP packet, and transmitted to the Internet.
号化・複合化装置が制御情報又は監視情報のIPパケッ
トを前記インターネットへ送出してから一定時間内に前
記受信確認情報を受信しないと、自己側の監視制御装置
又は施設に対して再送信要求を行うことを特徴とする請
求項2又は3記載のインターネットを用いた監視制御シ
ステム。4. The pair of transmission / reception confirmation units does not receive the reception confirmation information within a predetermined time after the encryption / decryption device on its own side transmits an IP packet of control information or monitoring information to the Internet. The monitoring and control system using the Internet according to claim 2 or 3, wherein a retransmission request is made to the monitoring and control device or facility on its own side.
再送信要求を受領すると、直前に送出した制御情報又は
監視情報を通信パケットに組込んで自己側の暗号化・複
合化装置へ再送出することを特徴とする請求項4記載の
インターネットを用いた監視制御システム。5. The monitoring control device and the equipment, upon receiving the retransmission request, embed control information or monitoring information transmitted immediately before in a communication packet and retransmit it to its own encryption / decryption device. The monitoring and control system using the Internet according to claim 4, wherein
情報又は監視情報のIPパケットにパケット認証用の認
証子を暗号化して組込むと共に、前記インターネットか
ら受信したIPパケットに組込まれた認証子の状態か
ら、前記監視情報又は制御情報に対する不正アクセスを
検出することを特徴とする請求項1乃至5のいずれか1
項記載のインターネットを用いた監視制御システム。6. The pair of encryption / decryption devices encrypts and embeds an authenticator for packet authentication in an IP packet of control information or monitoring information, and performs authentication embedded in an IP packet received from the Internet. 6. The method according to claim 1, wherein an unauthorized access to the monitoring information or the control information is detected from a status of the child.
A monitoring control system using the Internet described in the item.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11230699A JP2000305621A (en) | 1999-04-20 | 1999-04-20 | Monitoring control system using internet |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11230699A JP2000305621A (en) | 1999-04-20 | 1999-04-20 | Monitoring control system using internet |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000305621A true JP2000305621A (en) | 2000-11-02 |
Family
ID=14583383
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11230699A Pending JP2000305621A (en) | 1999-04-20 | 1999-04-20 | Monitoring control system using internet |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000305621A (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002258937A (en) * | 2001-02-28 | 2002-09-13 | Toshiba Corp | Maintenance management supporting system for various equipment |
| JP2006320024A (en) * | 2006-08-16 | 2006-11-24 | Intelligent Wave Inc | Illegal connection detection system |
| JP2007074761A (en) * | 2006-12-18 | 2007-03-22 | Trinity Security Systems Inc | Data encrypting method, data decrypting method, lan control device including illegal access prevention function, and information processing apparatus |
| US8045693B2 (en) | 2004-09-13 | 2011-10-25 | Oki Electric Industry Co., Ltd. | Message reception confirmation method, communications terminal and message reception confirmation system |
| JP2014086822A (en) * | 2012-10-22 | 2014-05-12 | Fujitsu Ltd | Unauthorized access detection method, network monitoring device, and program |
| CN104238533A (en) * | 2014-10-17 | 2014-12-24 | 成都四为电子信息股份有限公司 | Railway station building electromechanical device monitoring system |
-
1999
- 1999-04-20 JP JP11230699A patent/JP2000305621A/en active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002258937A (en) * | 2001-02-28 | 2002-09-13 | Toshiba Corp | Maintenance management supporting system for various equipment |
| US8045693B2 (en) | 2004-09-13 | 2011-10-25 | Oki Electric Industry Co., Ltd. | Message reception confirmation method, communications terminal and message reception confirmation system |
| JP2006320024A (en) * | 2006-08-16 | 2006-11-24 | Intelligent Wave Inc | Illegal connection detection system |
| JP2007074761A (en) * | 2006-12-18 | 2007-03-22 | Trinity Security Systems Inc | Data encrypting method, data decrypting method, lan control device including illegal access prevention function, and information processing apparatus |
| JP2014086822A (en) * | 2012-10-22 | 2014-05-12 | Fujitsu Ltd | Unauthorized access detection method, network monitoring device, and program |
| CN104238533A (en) * | 2014-10-17 | 2014-12-24 | 成都四为电子信息股份有限公司 | Railway station building electromechanical device monitoring system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7584505B2 (en) | Inspected secure communication protocol | |
| KR100782865B1 (en) | Data transmission controlling method and data transmission system | |
| JP3688830B2 (en) | Packet transfer method and packet processing apparatus | |
| TWI454112B (en) | Key management for communication networks | |
| EP1635502B1 (en) | Session control server and communication system | |
| US7565539B2 (en) | Method and apparatus for secure communications | |
| JP2006148982A (en) | Security method for transmission in telecommunication network | |
| JP2001265729A (en) | Multicast system, authentication server terminal, multicast recipient terminal managing method and recording medium | |
| KR100563611B1 (en) | Secure packet radio network | |
| JP2002217896A (en) | Method for cipher communication and gateway device | |
| JP2004056762A (en) | Wireless communication method and equipment, communication control program and controller, key management program, wireless lan system, and recording medium | |
| CN114143050B (en) | Video data encryption system | |
| JP2006019975A (en) | Cipher packet communication system, receiving device and transmitting device with which same is equipped , and communication method, receiving method, transmitting method, receiving program and transmitting program for cipher packet which are applied thereto | |
| US20060168292A1 (en) | Apparatus and method for receiving or transmitting contents | |
| KR101359789B1 (en) | System and method for security of scada communication network | |
| JP2000305621A (en) | Monitoring control system using internet | |
| JP2006345150A (en) | Terminal device and authentication device | |
| AU2021244972B2 (en) | Method for data transfer and communication system | |
| KR100913691B1 (en) | Railway communication method in open transmission-based systems | |
| KR102419057B1 (en) | Message security system and method of railway communication network | |
| CN103888438A (en) | Train data communication system using information safety technology | |
| JP2005217907A (en) | Remote supervisory control system, remote supervisory control method and its program | |
| JP4976794B2 (en) | Station service system and security communication method | |
| EP2728824A1 (en) | Secure group communication | |
| KR100521405B1 (en) | A automated security service method for centralized remote control system using internet |