JP2018139344A - Network system - Google Patents
Network system Download PDFInfo
- Publication number
- JP2018139344A JP2018139344A JP2017033159A JP2017033159A JP2018139344A JP 2018139344 A JP2018139344 A JP 2018139344A JP 2017033159 A JP2017033159 A JP 2017033159A JP 2017033159 A JP2017033159 A JP 2017033159A JP 2018139344 A JP2018139344 A JP 2018139344A
- Authority
- JP
- Japan
- Prior art keywords
- node
- information
- host
- security
- secure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、ネットワークシステムに係り、例えば、同一ネットワーク内に保安機器と非保安機器が混在するネットワークシステムに関する。 The present invention relates to a network system, for example, a network system in which security devices and non-security devices are mixed in the same network.
鉄道信号分野の保安機器と非保安機器の混在するネットワークにおいて、保安情報の安全性を確保するために、非保安機器による保安機器への成り済まし防止技術が知られている。ここで、「非保安機器による保安機器への成り済まし」とは、非保安機器の情報が、故障による誤動作等によって保安機器の情報へ変換されてしまうことを想定する。保安機器は、列車運送の安全を確保する機器である。したがって、保安機器の扱う情報は、「高い信頼性」が要求される。 In a network in which safety devices in the railway signal field and non-security devices coexist, in order to ensure safety of security information, there is a known technique for preventing impersonation of non-security devices into safety devices. Here, “impersonation of a non-secure device as a secure device” assumes that information on the non-secure device is converted into information on the secure device due to a malfunction due to a failure or the like. Security equipment is equipment that ensures the safety of train transportation. Therefore, the information handled by the security device is required to have “high reliability”.
鉄道分野の通信技術の規格(IEC62280)において、成り済まし防止のために暗号技術で対応することが規定されている。一般に、秘匿には、現状で広く利用されているAES(NIST FIPS197)が使用される。 In the railway communication technology standard (IEC62280), it is stipulated that encryption technology is used to prevent spoofing. Generally, AES (NIST FIPS197) widely used at present is used for secrecy.
また、複数ネットワーク接続する伝送装置システムにおいて、ネットワーク・トポロジーをリング状にして、システムの均等化及びタンデム接続可能に、非同期ランダムアクセスの可変長情報フレームを、情報フレームの衝突及び廃棄を行うことなく、非蓄積伝送することができる伝送装置がある(例えば、特許文献1参照)。 In addition, in a transmission apparatus system connected to multiple networks, the network topology is made ring-shaped so that system equalization and tandem connection are possible, so that variable length information frames of asynchronous random access can be performed without collision and discard of information frames. There is a transmission apparatus that can perform non-accumulated transmission (see, for example, Patent Document 1).
具体的には、例えば図1に示すようなネットワークシステム101の技術が開示されている。このネットワークシステム101では、複数の伝送端末装置(ゲートウェイ装置)が、より具体的にはノード(#1)121〜ノード(#6)126が直列に接続し1周させたリング状にネットワークを構成している。このネットワークを使用して情報を授受したい装置を「ホスト」と呼び、このネットワーク回線を介して他のホストと通信する。保安機器は、FSCPU(フェイルセイフCPU)を備え、故障時等に検定を行う機能を備え、故障時に異常動作を継続する可能性が排除されている。一方、非保安機器は、ノーマルCPUを備え、FSCPUのような検定機能を有さない。
Specifically, for example, a technique of a
伝送端末装置(ノード(#1)121〜ノード(#6)126)には、保安制御装置(保安系ホスト(#1)111、保安系ホスト(#2)112)や非保安制御装置(非保安系ホスト131)がイーサネット(登録商標)191で接続される。図1(a)では、ノード(#1)121に保安系ホスト(#1)111が接続される。ノード(#1)121〜ノード(#6)126のいずれかが、周期監視ノードとして機能し、所定の周期で情報フレーム(伝送フレーム)を出力する。ここで、ノード(#1)121のIPアドレスが「192.168.1.1」で、保安系ホスト(#1)111のIPアドレスが「192.168.1.10」である。ノード(#4)124のIPアドレスが「192.168.4.1」で、保安系ホスト(#2)112のIPアドレスが「192.168.4.10」である。 The transmission terminal devices (node (# 1) 121 to node (# 6) 126) include security control devices (security host (# 1) 111, security host (# 2) 112) and non-security control devices (non-security). A secure host 131) is connected via Ethernet (registered trademark) 191. In FIG. 1A, the secure host (# 1) 111 is connected to the node (# 1) 121. Any of the node (# 1) 121 to the node (# 6) 126 functions as a cycle monitoring node and outputs an information frame (transmission frame) at a predetermined cycle. Here, the IP address of the node (# 1) 121 is “192.168.1.1”, and the IP address of the secure host (# 1) 111 is “192.168.1.10”. The IP address of the node (# 4) 124 is “192.168.4.1”, and the IP address of the secure host (# 2) 112 is “192.168.4.10”.
図2に保安系ホスト(#1)111から保安系ホスト(#2)112へ情報を送信する場合に用いられる情報フレームの関係を示している。図示のように、保安系ホスト(#1)111から「192.168.4.10」宛ての情報が出力されると、ノード(#1)121は、宛先からノード(#4)124へ送る情報であると判断する。ノード(#1)121は、宛先(#4へ)の指定及び自ノードの位置情報(#1のフレーム番号)を使用して、情報フレームへ書き込む。ノード(#4)124は、情報フレームの中から自ノード宛て(#4宛て)の情報(ここでは、「192.168.4.10」宛ての情報)を取り出し、保安系ホスト(#2)112へ出力する。 FIG. 2 shows the relationship of information frames used when information is transmitted from the secure host (# 1) 111 to the secure host (# 2) 112. As shown in the figure, when information addressed to “192.168.4.10” is output from the secure host (# 1) 111, the node (# 1) 121 sends it from the destination to the node (# 4) 124. Judge as information. The node (# 1) 121 uses the designation of the destination (to # 4) and the position information of the own node (frame number of # 1) to write to the information frame. The node (# 4) 124 extracts information addressed to its own node (addressed to # 4) (in this case, information addressed to “192.168.4.10”) from the information frame, and the security host (# 2) To 112.
ところで、保安機器は、FSCPU(フェイルセイフCPU)を備え故障時等に検定を行う機能を備えるが、ノーマルCPUを備える非保安機器は、FSCPUのような機能を有さず故障時に異常動作を継続する可能性がある。そのため、非保安機器が同一ネットワーク内の保安機器に成り済ますことが可能であり、それによって保安情報を改ざんできてしまう虞がある。例えば、図1(b)に示すように、保安系ホスト(#1)111から「ノード(#4)124(保安系ホスト(#2)112)」宛てに出力された情報「a」が、非保安系ホスト131が接続されたノード(#3)123で破壊されてしまうことかある。この場合は、FSCPUを備える保安系ホスト(#2)112が異常を検知することから、情報が破棄され、誤った情報が保安情報として用いられることは無い。一方、図1(b)に示すように、非保安系ホスト131から出力された非保安系情報「b」がノード(#3)123で保安系情報「b」として成り済ましされてしまうと、保安系ホスト(#2)12は成り済ましの保安系情報「b」を正常と判断し、誤用してしまう虞がある。
By the way, the security device is equipped with an FSCPU (fail-safe CPU) and has a function of performing a test in the event of a failure, etc. However, a non-security device equipped with a normal CPU does not have a function like an FSCPU and continues to operate abnormally at the time of failure. there's a possibility that. Therefore, it is possible for a non-security device to be imitated as a security device in the same network, which may tamper with security information. For example, as shown in FIG. 1B, the information “a” output from the secure host (# 1) 111 to “node (# 4) 124 (secure host (# 2) 112)” The node (# 3) 123 to which the
このような理由によって、鉄道信号で使用するネットワークでは、保安機器(保安系ホスト)と非保安機器(非保安系ホスト)とをそれぞれ別の専用回線で運営し、それら専用回線を中継する中継装置を設ける複雑な構成となっていた。 For this reason, in a network used for railway signals, a security device (security host) and a non-security device (non-security host) are operated on separate dedicated lines, and the relay device relays these dedicated lines. It was a complicated configuration.
本発明は、このような状況に鑑みなされたものであって、上記課題を解決する技術を提供することにある。 This invention is made | formed in view of such a condition, Comprising: It is providing the technique which solves the said subject.
本発明は、保安機器と非保安機器とが混在してネットワークで接続されたネットワークシステムであって、前記保安機器と前記非保安機器とは、それぞれノード装置によって前記ネットワークに接続されており、前記保安機器は、異常動作の検定を行う検定機能を備え、前記非保安機器は、前記検定機能を備えず、前記保安機器同士が通信を行う場合には、暗号化を施した暗号文による通信を行い、前記保安機器と前記非保安機器との通信、または前記非保安機器同士の通信には、非暗号化の状態の平文による通信を行う。
また、前記ネットワークは、前記ノード装置が環状に接続されて構成されており、定周期リフレッシュ方式による監視機能を備えてもよい。
また、前記保安機器は、暗号化された通信が伝送される暗号化経路と、暗号化されていない通信が伝送される非暗号化経路とを備え、前記非保安機器は、暗号化された通信が伝送される暗号化経路を備えなくともよい。
また、前記保安機器と前記ノード装置との接続、及び前記非保安機器と前記ノード装置との接続には、それぞれ標準的な通信規格のインタフェイスが用いられてもよい。
The present invention is a network system in which a security device and a non-security device are mixed and connected by a network, and the security device and the non-security device are each connected to the network by a node device, The security device has a verification function for verifying an abnormal operation, and the non-security device does not have the verification function, and when the security devices communicate with each other, communication using encrypted ciphertext is performed. The communication between the security device and the non-security device, or the communication between the non-security devices, is performed in plain text in a non-encrypted state.
The network may be configured such that the node devices are connected in a ring shape and may have a monitoring function using a periodic refresh method.
The security device includes an encrypted path through which encrypted communication is transmitted and a non-encrypted path through which unencrypted communication is transmitted, and the non-security device includes the encrypted communication. It is not necessary to provide an encryption path for transmitting.
Further, a standard communication standard interface may be used for the connection between the security device and the node device and the connection between the non-security device and the node device.
本発明によると、保安機器と非保安機器とが混在するネットワークにおいて、保安情報に成り済ました情報の影響を排除する技術を実現できる。 According to the present invention, it is possible to realize a technology that eliminates the influence of information that has become security information in a network in which security devices and non-security devices coexist.
次に、本発明を実施するための形態(以下、単に「実施形態」という)を、図面を参照して具体的に説明する。 Next, modes for carrying out the present invention (hereinafter, simply referred to as “embodiments”) will be specifically described with reference to the drawings.
まず、図3を参照して本実施形態の概要を説明する。本実施形態では、保安系ホスト10(保安機器)には秘密鍵暗号のAESによる秘匿機能が実装される。一方、非保安系ホスト30にはAESによる秘匿機能が実装されない。なお、保安系ホスト10には、FSCPU61(図5等を参照。)が実装され、上述の秘匿機能をサポートする。一方、非保安系ホスト30には、FSCPU61ではなくノーマルCPU(以下、「nCPU71」と称する。)(図6等を参照。)が実装され、上述の秘匿機能をサポートすることはない。保安系ホスト10、非保安系ホスト30における通信には、イーサネットフレームが用いられる。
First, the outline of the present embodiment will be described with reference to FIG. In the present embodiment, the security host 10 (security device) is provided with a secret function using AES of secret key encryption. On the other hand, the
図3(a)は、保安系ホスト10から保安系ホスト10への暗号文による通信の例を示している。保安系ホスト10は、AESによる秘匿機能を実装するため、送信する情報の暗号化及び受信した情報の復号が可能である。図3(b)は、保安系ホスト10から非保安系ホスト30への平文による通信の例を示している。保安系ホスト10における暗号文と平文の選択は、FSCPU61が行う。図3(c)は、非保安系ホスト30から非保安系ホスト30への平文による通信の例を示している。非保安系ホスト30は暗号化及び復号が出来ないため、平文による通信となる。
FIG. 3A shows an example of communication by ciphertext from the
図3(d)は非保安系ホスト30が保安系ホスト10に成り済ました「非保安系ホスト成り済まし保安系ホスト」30xから保安系ホスト10への通信の例を示している。非保安系ホスト30にはAESによる秘匿機能が実装されないため、平文の出力となる。平文を受信した保安系ホスト10は、平文に対して復号処理を施すため、意味をなさない文(データ)となり、それを破棄する。
FIG. 3D shows an example of communication from the “non-secure host impersonated secure host” 30 x in which the
図3(e)は非保安系ホスト30が保安系ホスト10に成り済ました「非保安系ホスト成り済まし保安系ホスト」30xから暗号文による情報送信の例を示している。上述のように、非保安系ホスト30にはAESによる秘匿機能が実装されないため、暗号文による情報送信は不可能となる。
FIG. 3E shows an example of information transmission by ciphertext from the “non-secure host impersonated secure host” 30 x in which the
このように、故障等に起因して非保安系ホスト30が保安系ホスト10に成り済ました場合でも、情報を受信した保安系ホスト10は、復号失敗により電文破棄することで、保安情報の改ざんを防止する。
In this way, even when the
保安系ホスト10には、通信チャネルとして完全に独立した2チャネル用意する。具体的には、保安系ホスト10は、保安系ホスト10同士の暗号文による通信に使用する「保安機器用通信チャネル(後述のCryptoチャネル52)」と、非保安系ホスト30との平文による通信に使用する「非保安機器用通信チャネル(後述のNormalチャネル51)」を用意し、保安機器用通信チャネル(後述のCryptoチャネル52)にのみAESによる秘匿機能を実装する。非保安系ホスト30は、通信チャネルとして1チャネルのみ用意する。すなわち、非保安系ホスト30は、保安系ホスト10または別の非保安系ホスト30との通信に、いずれの場合でも、非保安機器用通信チャネル(後述のNormalチャネル51)を使用して、平文(暗号化されていないデータ)で電文受信する。
The
そのため、非保安系ホスト30が保安系ホスト10に成り済まして情報を送信したときには、保安機器用通信チャネルから平文で電文受信した保安系ホスト10は、復号できず受信した電文を破棄する。より具体的には、復号処理後の電文は、イーサネットフレームを構成していないため、破棄される。これによって、非保安系ホスト30の保安系ホスト10への成り済ましによる保安情報の改ざんを防止でき、かつ、回線数を大幅に削減することができる。以下、より具体的に説明する。
Therefore, when the
図4は、本実施形態に係るネットワークシステム1の概略構成を示すブロック図である。このネットワークシステム1は、複数の伝送端末装置(ノード(#1)21〜ノード(#6)26)が直列に接続し1周させたリング状にネットワーク2を構成している。なおノード(#1)21〜ノード(#6)26を区別しない場合には、単に「ノード20」と称する。
FIG. 4 is a block diagram showing a schematic configuration of the
このネットワーク2を使用して情報を授受する装置を「ホスト」と呼び、ノード20に接続することで、他のホストと通信する。ホストとして、保安系ホスト10と非保安系ホスト30とがある。ノード20と各ホスト(保安系ホスト10、非保安系ホスト30)との接続にはイーサネット91が用いられる。
A device that transmits and receives information using this
図示では、保安系ホスト(#1)11がノード(#1)21に接続されている。また、保安系ホスト(#2)12がノード(#4)24に接続されている。非保安系ホスト(#1)31が、ノード(#3)23に接続されている。 In the figure, the secure host (# 1) 11 is connected to the node (# 1) 21. The secure host (# 2) 12 is connected to the node (# 4) 24. A non-secure host (# 1) 31 is connected to the node (# 3) 23.
本実施形態のネットワークシステム1では、定周期性を有する特徴を備え、ネットワーク2とノード20間における情報の周期性が保証され、例えば「周期が500μs」で設定されていれば、ノード20間は500μsで情報伝送される。
The
ノード(#1)21〜ノード(#6)26のいずれかが、周期監視ノードとして機能し、所定の周期で情報フレーム(伝送フレーム)を出力する。ここでは、ノード(#1)21が初期の周期監視ノードとして設定される。 Any of the node (# 1) 21 to the node (# 6) 26 functions as a cycle monitoring node and outputs an information frame (transmission frame) at a predetermined cycle. Here, the node (# 1) 21 is set as the initial period monitoring node.
このような「定周期リフレッシュ方式」により、情報伝送の定周期性が保証される。定周期リフレッシュ方式とは、特別に定められた周期を監視するノード20が1台のみあり、その周期を監視するノード20が作り出した周期によって情報フレームを循環させるリング結線のネットワーク方式である。情報フレームとは,各ノードが情報を載せるための枠であり、各ノード20は情報フレームの与えられた箇所を使用して情報を授受する。
Such a “fixed-cycle refresh method” ensures a fixed-cycle of information transmission. The fixed-cycle refresh method is a ring-connected network method in which only one
定周期リフレッシュ方式では、ネットワーク2に断線が発生した場合であっても、可能な限り定周期性を維持する。すなわち、一部断線の状態となっても、残された正常に接続されている回線で定周期送信が継続されるために、断線により定周期に情報フレームを受信できなくなったノード20は、周期監視ノードと同じ周期で周期監視を始める。それまで周期監視していたノード20は、自ノード20以外が周期監視を開始したことにより、周期監視を停止して、他ノード20と同等の動作を開始する。これにより、断線に影響しないノード20間の情報授受に関しては、定周期リフレッシュ方式の機能を継続する。
In the fixed cycle refresh method, even if a disconnection occurs in the
断線後に新たに周期の監視を開始するノード20が更新されると、そのノード20を確認できるため,断線箇所を検知することが可能である。すなわち、どのノード20間で断線したかを検知することができる。
When the
ホスト(保安系ホスト10、非保安系ホスト30)は、IPパケットを使用して、所望の宛先アドレスに情報を送信する。ノード20は、ホストから取得した情報を、IPパケットから読み取った宛先ノード番号に対して、所定の伝送フレーム位置に載せたIPパケットを出力する。
Hosts (
自ノード宛のデータを受け取ったノード20は、情報の中身であるIPパケットをホストに送る。以上により、ホスト間でのイーサネット通信が成立する。したがって、ホスト機器を追加してもノード20間での自動的な接続確認(「ARP(Address Resolution Protocol)」とも言う)により接続可能となるため、追加したホスト機器とノード20の設定のみで対応可能となる。
The
また、従来のネットワークでは、情報量や送信周期が異なる機器(保安系ホスト10と非保安系ホスト30)を同一のネットワークに混在させることはできなかった。しかし、このネットワークシステム1ではイーサネット91という標準的な通信網を使用した通信であるため、全ての機器を同一のネットワーク2に接続することが可能となる。その場合、保安系ホスト10と非保安系ホスト30とを同一のネットワーク2に接続するための安全性を考慮しなくてはならない。ここでは、非保安系ホスト30の保安系ホスト10への干渉を防ぐために、保安系ホスト10同士の保安情報の授受には上述の暗号化が行われる。
Further, in the conventional network, devices (
ホスト及びノードに設定されるIPアドレスは次の通りである。なお、IPアドレスの設定ルールについては、図7で後述する。ノード(#1)21のIPアドレスが「192.168.1.1」で、それに接続される保安系ホスト(#1)11のIPアドレスが「192.168.1.10」(非保安機器用通信チャネル)及び「192.168.101.10」(保安機器用通信チャネル)である。ノード(#3)23のIPアドレスが「192.168.3.1」で、それに接続される非保安系ホスト(#1)31のIPアドレスが「192.168.3.10」(非保安機器用通信チャネル)である。ノード(#4)24のIPアドレスが「192.168.4.1」で、それに接続される保安系ホスト(#2)112のIPアドレスが「192.168.4.10」(非保安機器用通信チャネル)及び「192.168.104.10」(保安機器用通信チャネル)である。 The IP addresses set for the host and node are as follows. The IP address setting rule will be described later with reference to FIG. The IP address of the node (# 1) 21 is “192.168.1.1”, and the IP address of the secure host (# 1) 11 connected to the node (# 1) 21 is “192.168.1.10” (non-secure device) Communication channel) and "192.168.101.10." (Security device communication channel). The IP address of the node (# 3) 23 is “192.168.3.1”, and the IP address of the non-secure host (# 1) 31 connected to the node (# 3) 23 is “192.168.3.10” (non-secure Device communication channel). The IP address of the node (# 4) 24 is “192.168.4.1”, and the IP address of the secure host (# 2) 112 connected to it is “192.168.4.10” (non-secure device) Communication channel) and “192.168.104.10” (security device communication channel).
ここで、図4(a)では、図3(a)の保安系ホスト10から保安系ホスト10への暗号文による通信の例に対応している。保安系ホスト(#1)11において保安情報81は暗号化され暗号化保安情報81xに変換される。暗号化保安情報81xの送信元IPアドレスは、「192.168.101.10」であって、ノード(#4)24に接続する保安系ホスト(#2)12のIPアドレス「192.168.104.10」を送信先IPアドレスとなっている。
Here, FIG. 4A corresponds to an example of communication by ciphertext from the
暗号化保安情報81xは、ノード(#1)21、ノード(#2)22、ノード(#3)23を経由し、ノード(#4)24で保安系ホスト(#2)12に取り込まれる。ここで取り込まれた情報は暗号化保安情報81xであるため、適正に復号処理が行われ、受信成功となる。
The
図4(b)では、図3(d)の「非保安系ホスト成り済まし保安系ホスト」30xから保安系ホスト10への通信の例を示している。ここでは、ノード(#3)23に接続する非保安系ホスト(#1)31から非保安情報82が保安系ホスト(#2)12に対して出力される。
FIG. 4B shows an example of communication from the “non-secure host impersonated secure host” 30 x in FIG. 3D to the
すなわち、故障等によって、送信先が、本来では非保安系ホスト30からの送信先として設定されることがないIPアドレス「192.168.104.10」に設定されている。ここでノード(#4)24を介して保安系ホスト(#2)12に取り込まれた非保安情報82は、保安系ホスト(#2)12により復号処理され非保安情報82zとなる。このとき、非保安情報82は、暗号化された情報ではないため、復号処理により意味をなさないデータとなり破棄される。
That is, the transmission destination is set to the IP address “192.168.104.10” which is not originally set as the transmission destination from the
つづいて、保安系ホスト10、非保安系ホスト30及びノード20の構成を説明する。図5は保安系ホスト10とノード20の概略構成を示している。保安系ホスト10は、FSCPU61を備えるVital機器60と二つの通信ボード(平文用ボード50aと暗号化ボード50b)とを備える。
Next, the configuration of the
Vital機器60は、ノード20との接続において暗号化ボード50bを経由する。Vital機器60が作成する情報を「バイタル情報(Vital情報)」と呼ぶ。Vital機器60は、バイタル情報に関して、例えば、IEC61508で示される、高頻度モードにおける安全度水準(SIL)4に相当する信頼性/安全性を確保する。また、NVital機器70(図6参照)が作成する情報を「ノンバイタル情報(NVital情報)」と呼ぶ。
The
平文用ボード50aは、Normalチャネル51を備える。暗号化ボード50bは、Cryptoチャネル52と、暗号制御部53とを備える。
The
Normalチャネル51は、外部のホストとの通信において平文が用いられるチャネルであって、ノード20のCh_A41にイーサネット91によって接続される。Cryptoチャネル52は、外部のホストとの通信において暗号文が用いられるチャネルであって、ノード20のCh_B42にイーサネット91によって接続される。
The
暗号制御部53は、Cryptoチャネル52を制御する。すなわち、暗号制御部53はAESを用いた秘匿化処理を実行する。
The
ノード20は、CPU43と、FPGA44と、Ch_A41と、Ch_B42と、光I/F45とを備える。
The
Ch_A41は、上述のように平文用ボード50aのNormalチャネル51とイーサネット91によって接続される。Ch_B42は、Cryptoチャネル52とイーサネット91によって接続される。
光I/F45は、他のノード20に光ケーブル等によって接続される。ノード20が他のノード20と通信を行う場合には、Ch_A41及びCh_B42と光I/F45との間に設けられたFPGA44を経由する。FPGA44は、「ノード番号読取り機能」や「フレームへの情報実装機能」を備え、所望の情報の授受を行う。すなわち、情報フレームの適正位置への書き込み及び自身に接続する保安系ホスト10へ送られてきた情報の抽出を行う。また、FPGA44は、例えばDIPスイッチの切り替え等によって、接続されるホストに応じて、Ch_B42を用いるか否かを設定することができる。
The optical I /
図6は非保安系ホスト30とノード20の概略構成を示している。ノード20の構成は図5で示した構成と同じであるが、FPGA44の設定により、Ch_B42は使用不可能になっている。
FIG. 6 shows a schematic configuration of the
非保安系ホスト30は、nCPU71を備えるNVital機器70と平文用ボード50aで構成されるが、保安系ホスト10との共通化のために暗号化ボード50bとを混在させてもよい。ただし、暗号化ボード50bは、図5で示した構成と同じであるが、ノード20との接続にはCryptoチャネル52が使用されない。すなわち、Normalチャネル51とCh_A41とのイーサネット91によって接続される非保安機器用通信チャネルのみが用いられる。
The
なお、装置の共通化の観点から、平文用ボード50aと暗号化ボード50bの機能が一つの通信ボードに搭載された構成が採用されてもよい。
Note that a configuration in which the functions of the
図7は、IPアドレスの設定ルールを示した図である。第1〜第3オクテットがネットワークセグメントとなる。第1オクテットは「192」の固定値である。第2オクテットは、回線番号1〜4に対して「168」〜「171」が割り当てられる。本実施形態では、回線番号1の「168」が設定されている。第3オクテットについては、Ch_A41を用いる場合、「ノード番号」が、Ch_B42を用いる場合は、「ノード番号+100」が設定される。第4オクテットについては、ノード20であれば「1」、ホスト(保安系ホスト10、非保安系ホスト30)であれば「2〜255」が設定される。
FIG. 7 is a diagram showing an IP address setting rule. The first to third octets are network segments. The first octet is a fixed value of “192”. In the second octet, “168” to “171” are assigned to the
ネットワーク管理上で、ホスト機器(保安系ホスト10、非保安系ホスト30)のIPアドレスの設定において、ネットワーク番号は、接続するノード20のノード番号に合わせる。例えば、ノード20のIPアドレスが「192.168.N.1」(Nは自然数)であれば、それに接続する保安系ホスト10のIPアドレスは「192.168.N.10」となる。保安系ホスト10は、ゲートウェイとして、接続しているノード20を登録する(ゲートウェイ:192.168.N.1)。そのため、ネットワーク番号が異なる場合はノード20をゲートウェイとして使用できないことになる。
In network management, in setting the IP address of the host device (
図8及び図9は、非保安系ホスト30から保安系ホスト10への伝送ルートを示した図である。より具体的には、図5、6で示した保安系ホスト10、ノード20及び非保安系ホスト30において、非保安系ホスト30から保安系ホスト10へどのようなチャネルで情報が伝達するかを具体的に説明している。図8及び図9の接続では、ノード番号「N」のノード(#N)20Nに保安系ホスト10が接続されている。また、ノード番号「M」のノード(#M)20Mに非保安系ホスト30が接続されている。なお、図示では、暗号化ボード50の暗号制御部53を省略している。
8 and 9 are diagrams showing a transmission route from the
図8及び図9において、NVital機器70から出力された平文の情報は、平文用ボード50aのNormalチャネル51を介して、ノード(#M)20Mへ伝送される。ノード(#M)20Mでは、Ch_A41、FPGA44、光I/F45を介して、ノード(#N)20Nへ伝送される。
8 and 9, plaintext information output from the
ノード(#N)20Nでは、FPGA44が光I/F45を介して取得した情報が、保安系ホストからの情報であるか非保安系ホストの情報であるかを、送信元のIPアドレスを参照して判断する。
In the node (#N) 20N, the information acquired by the
保安系ホストの情報であると判断した場合、図8に示すように、FPGA44は、保安系ホスト10と通信を行うチャネルとしてCh_B42を選択する。
If it is determined that the information is the security host information, the
保安系ホスト10では、暗号化ボード50bのCryptoチャネル52がノード(#N)20NのCh_B42を介して情報を取得する。このとき、非保安系ホスト30から出力された情報は平文のデータであるため、Cryptoチャネル52は復号を失敗し、その情報を破棄する(電文破棄)。したがって、Vital機器60には、成り済ましの情報は伝達されない。
In the
非保安系ホストの情報であると判断した場合、図9に示すように、FPGA44は、保安系ホスト10との通信を行うチャネルとしてCh_A41を選択する。
If it is determined that the information is information on the non-secure host, the
図9に示すように、保安系ホスト10では、平文用ボード50aのNormalチャネル51がノード(#N)20NのCh_A41を介して情報を取得する。Vital機器60に成り済ました情報にも拘わらず平文の情報(Normalチャネル51への情報)であることから、平文用ボード50a(Normalチャネル51)はその情報を破棄する(電文破棄)。したがって、このルートでも、Vital機器60には、成り済ましの情報は伝達されない。
As shown in FIG. 9, in the
以上、本実施形態のネットワークシステム1によると、同一のネットワーク2に保安系ホスト10と非保安系ホスト30とを混在して設置した場合でも、非保安系ホスト30が保安系ホスト10に成り済ました場合の影響を排除することができ、保安情報の健全性を担保することができる。
As described above, according to the
非保安系ホスト30が保安系ホスト10に成り済ますためには、次の条件(1)から(3)に加え、(4)または(5)を満たす必要がある。
条件(1):非保安系ホスト30のIPアドレスが保安系ホスト10のIPアドレスと同じになる。
条件(2):非保安系ホスト30が接続するノード20(「非保安系ノード」という)のIPアドレスが保安系ホスト10が接続するノード20(「保安系ノード」という)のIPアドレスと同じになる。ここでは、情報フレームの保安系ノードの情報箇所を使用する。
条件(3):非保安系ホスト30のデフォルトゲートウェイが、条件(2)のノード20になる。
条件(4):非保安系ホスト30に暗号化機能が実装される。
条件(5):成り済ました非保安情報が、偶然に暗号化されたデータと同じデータ配列になる。
In order for the
Condition (1): The IP address of the
Condition (2): The IP address of the
Condition (3): The default gateway of the
Condition (4): The encryption function is implemented in the
Condition (5): The prepared non-security information becomes the same data array as the data encrypted by chance.
上記条件の中で、条件(1)(3)は、ホストCPU、条件(2)はノードCPUに因るもので、複数CPUに誤りがなければならない。条件(1)〜(3)を満たすことで、「成り済ませる状況」となる。条件(4)は、設備導入時の手配ミスなどの物理的な誤りが発生しなければならず、鉄道分野においては検査・検収が非常に厳しい(多重に行われる)ことから、実質的には起こりえない。条件(5)は1時間あたりの発生確率が、6.2×10−21であり、上述したIEC61508で示される高頻度モードにおける安全度水準(SIL)4と比較して充分な安全性を持つ。
以上により、保安情報と非保安情報の混在が可能である。
Among the above conditions, the conditions (1) and (3) depend on the host CPU, and the condition (2) depends on the node CPU, and there must be an error in a plurality of CPUs. By satisfying the conditions (1) to (3), it becomes a “situation to be realized”. In condition (4), physical errors such as arrangement mistakes at the time of facility introduction must occur, and inspection and acceptance are very strict in the railway field (multiple operations are performed). It can't happen. Condition (5) has an occurrence probability per hour of 6.2 × 10 −21 , and is sufficiently safe as compared to the safety level (SIL) 4 in the high frequency mode indicated by IEC61508 described above. .
As described above, security information and non-security information can be mixed.
ここで、NVital機器70の不具合等により、連続送信(回線の占有による負荷増加)が発生し、Vital機器60の処理負荷が増加し正常動作に支障をきたす状態を想定する。
Here, it is assumed that continuous transmission (increase in load due to line occupancy) occurs due to a malfunction of the
ケース1:ノード20のハードウェア(FPGA44)故障により、情報フレーム中で誤った単位データ番号を使用する場合を想定する。回線構成が1重回線で、NVital機器70が成り済ましたVital機器60(偽Vital機器60)の下流にある場合、Vital機器60の情報に上書きされるため、Vital機器60のVital情報が伝わらなくなる。ただし、この情報は破棄されVital情報としては採用されないため、保安への影響はない。
Case 1: It is assumed that an incorrect unit data number is used in an information frame due to a hardware (FPGA 44) failure of the
ケース2:NVital機器70が暴走して、Vital機器60宛にNVital情報を発し続ける場合を想定する。NVital情報であるため保安への影響はないが、Vital機器60が処理するNVital情報の総量が増加し、FSCPU61等の負荷が増えることで悪影響が考えられる。しかし、1周期に1電文しか送信できないため、複数のNVital機器70が同じ故障状態にならない限り、誤った電文を毎周期送信したとしても処理負荷としては大きな影響にはならない。
Case 2: It is assumed that the
従来の信号LANでは、LANの情報に「管理者(ユーザ)の設定誤りによる誤動作を防ぐハードウェア上の制約」がなく、ホスト(保安系ホスト10、非保安系ホスト30)は情報フレーム上の全ての情報位置を使用して情報の授受ができる構造だった。そのため、保安情報の授受においては、故障時に異常データを出力しないことが前提であるFSCPU61のみが接続されている「専用の保安伝送LAN」でなければならなかった。また、LAN自体の伝送容量が小さかったため、保安情報も保安系ホスト10ごとの専用LANとして個別設定により使用していた(ATC用LAN、電子連動用LAN等)。
In the conventional signal LAN, there is no “restriction in hardware that prevents malfunction due to an administrator (user) setting error” in the LAN information, and the host (
このネットワークシステム1では、伝送容量を大きく向上させることにより、各ノード20が専用のデータ位置を使用する制約を与え、基本的に1対1通信とすることで情報の信頼性を向上させる。既存の信号LANでは、保安情報が使用するべき場所に、非保安情報を上書きすることが可能である。一方、このネットワークシステム1では、保安情報を載せるべきノード20と、非保安情報を載せるべきノード20が異なるため、CPUの誤りに起因する情報の混信が発生しない。
In this
インタフェースに汎用性の高いイーサネット91を採用しつつ保安系ホスト10の情報網として使用可能な信頼性を確保したネットワークシステム1を実現できる。すなわち、保安系ホスト10(Vital機器60)と非保安系ホスト30(NVital機器70)の情報を混在可能にしたことにより、あらゆる機器を同一ネットワークに接続することができ、様々な情報をやり取りすることが可能となる。また、ネットワークシステム1の導入当初は最小構成の機器のみであっても、新規機器の導入や設備更新が容易となる。
It is possible to realize the
また、ノード20及びそれに接続される保安系ホスト10又は非保安系ホスト30は、一般に、接続される機器をセットとして同一スペースに配置される。このとき、その接続にイーサネット91を用いていることから、光ケーブルに限定されずメタルケーブルも使用でき、通信ケーブルの引き回しが容易となり、設置の自由度を高くすることができる。
The
図10は、上述のネットワークシステム1を多重化(ここでは二重化)したネットワークシステム101を示している。このネットワークシステム101では、保安系ホスト110と非保安系ホスト130とが、ネットワーク(A)2Aとネットワーク(B)2Bに接続されている。ネットワーク(A)2Aとネットワーク(B)2Bは、上述のネットワーク2と同様に、それぞれ環状に構成される。ネットワーク(A)2Aでは、図示で時計回りに電送が行われる。ネットワーク(B)2Bでは、図示で反時計回りに電送が行われる。
FIG. 10 shows a
保安系ホスト110は、ノード(#N1)20N1を介してネットワーク(A)2Aに接続し、ノード(#N2)20N2を介してネットワーク(B)2Bに接続する。非保安系ホスト130は、ノード(#M1)20M1を介してネットワーク(A)2Aに接続し、ノード(#M2)20M2を介してネットワーク(B)2Bに接続する。
The
ノード(#N1)20N1、ノード(#N2)20N2、ノード(#M1)20M1、及びノード(#M2)20M2の構成は、上述のノード20と同様であり、ここでは、上述のCPU43やFPGA44の図示を省略している。また、ノード数や保安系ホスト110や非保安系ホスト130の数は、システム構成に応じて設定される。
The configuration of the node (# N1) 20N1, the node (# N2) 20N2, the node (# M1) 20M1, and the node (# M2) 20M2 is the same as that of the
保安系ホスト110は、ひとつのVital機器60と、それがネットワーク(A)2Aとネットワーク(B)2Bに接続するための二つの通信ボード(平文用ボード50a、及び暗号化ボード50b)を備える。
The
平文用ボード50aは、ネットワーク(A)2Aに接続するNormalチャネル(1)51_1とネットワーク(B)2Bに接続するNormalチャネル(2)51_2とを備える。ここで、Normalチャネル(1)51_1は、ノード(#N1)20N1のCh_B42と接続する。Normalチャネル(2)51_2は、ノード(#N2)20N2のCh_B42と接続する。
The
暗号化ボード50bは、ネットワーク(A)2Aに接続するCryptoチャネル(1)52_1とネットワーク(B)2Bに接続するCryptoチャネル(2)52_2と、それぞれに対応した暗号制御部(図示せず)を備える。ここで、Cryptoチャネル(1)52_1は、ノード(#N1)20N1のCh_A41と接続する。Cryptoチャネル(2)52_2はノード(#N2)20N2のCh_A41と接続する。
The
非保安系ホスト30は、NVital機器(1)70_1、NVital機器(2)70_2、平文用ボード(1)50a_1、及び平文用ボード(2)50a_2とを備える。
The
NVital機器(1)70_1は、平文用ボード(1)50a_1を介してネットワーク(A)2Aやネットワーク(B)2Bと接続する。NVital機器(2)70_2は、平文用ボード(2)50a_2を介してネットワーク(A)2Aやネットワーク(B)2Bと接続する。 The NVital device (1) 70_1 is connected to the network (A) 2A and the network (B) 2B via the plaintext board (1) 50a_1. The NVital device (2) 70_2 is connected to the network (A) 2A and the network (B) 2B via the plaintext board (2) 50a_2.
具体的には、平文用ボード(1)50a_1のNormalチャネル(1)51_1はノード(#M1)20M1のCh_A41に接続し、Normalチャネル(2)51_2はノード(#M2)20M2のCh_A41に接続する。また、平文用ボード(2)50a_2のNormalチャネル(1)51_1はノード(#M1)20M1のCh_B42に接続し、Normalチャネル(2)51_2はノード(#M2)20M2のCh_B42に接続する。 Specifically, the Normal channel (1) 51_1 of the plaintext board (1) 50a_1 is connected to Ch_A41 of the node (# M1) 20M1, and the Normal channel (2) 51_2 is connected to Ch_A41 of the node (# M2) 20M2. . Also, the normal channel (1) 51_1 of the plaintext board (2) 50a_2 is connected to Ch_B42 of the node (# M1) 20M1, and the Normal channel (2) 51_2 is connected to Ch_B42 of the node (# M2) 20M2.
ネットワークシステム101における通信では、図7で上述したIPアドレスの設定ルールを用いる。ただし、二重化されていることから、ネットワーク(A)2Aとネットワーク(B)2Bの二つの系統のIPアドレスを指定する。
In communication in the
図11は、保安系ホスト110から非保安系ホスト130の伝送ルートを説明する図である。ここでは、保安系ホスト110のVital機器60から非保安系ホスト130のNVital機器(1)70_1へ平文を送信した場合の経路を説明する(ただし、光I/F45は省略して説明する)。
FIG. 11 is a diagram for explaining a transmission route from the
ネットワーク(A)2Aを用いる経路(太い実線)では、Vital機器60、平文用ボード50aのNormalチャネル(1)51_1、ノード(#N1)20N1のCh_B42、ネットワーク(A)2Aの図中で時計回り経路、ノード(#M1)20M1のCh_A41、非保安系ホスト130の平文用ボード(1)50a_1のNormalチャネル(1)51_1、NVital機器(1)70_1の経路となる。
In the route using the network (A) 2A (thick solid line), the
ネットワーク(B)2Bを用いる経路(太い一点破線)では、Vital機器60、平文用ボード50aのNormalチャネル(2)51_2、ノード(#N2)20N2のCh_B42、ネットワーク(B)2Bの図中で反時計回りの経路、ノード(#M2)20M2のCh_A41、非保安系ホスト130の平文用ボード(1)50a_1のNormalチャネル(2)51_2、NVital機器(1)70_1の経路となる。
In the route using the network (B) 2B (thick one-dot broken line), the
通信ボードでは、複数のチャネルに対応可能に構成され、DIPスイッチ等で機能・設定等を選択する製品が用いられることがある。そのような場合に、このネットワークシステム101の構成を採用することで、未使用のチャネル(例えば、図6の暗号化ボード50b)が発生することを回避することができ、効率的なシステム構成を実現できる。
The communication board is configured to be compatible with a plurality of channels, and a product that selects functions / settings with a DIP switch or the like may be used. In such a case, by adopting the configuration of the
以上、本発明を実施形態をもとに説明した。この実施形態は例示であり、それらの各構成要素の組み合わせにいろいろな変形例が可能なこと、また、そうした変形例も本発明の範囲にあることは当業者に理解されるところである。 The present invention has been described based on the embodiments. This embodiment is an exemplification, and it is understood by those skilled in the art that various modifications are possible for the combination of each of those components, and such modifications are also within the scope of the present invention.
1、101 ネットワークシステム
2 ネットワーク
2A ネットワーク(A)
2B ネットワーク(B)
10、110 保安系ホスト
11 保安系ホスト(#1)
12 保安系ホスト(#2)
20 ノード
20M ノード(#M)
20M1 ノード(#M1)
20M2 ノード(#M2)
20N ノード(#N)
20N1 ノード(#N1)
20N2 ノード(#N2)
21〜26 ノード(#1)〜ノード(#6)
30、130 非保安系ホスト
31 非保安系ホスト(#1)
41 Ch_A
42 Ch_B
43 CPU
44 FPGA
45 光I/F
50 暗号化ボード
51 Normalチャネル
51_1 Normalチャネル(1)
51_2 Normalチャネル(2)
52 Cryptoチャネル
52_1 Cryptoチャネル(1)
52_2 Cryptoチャネル(2)
53 暗号制御部
60 Vital機器
61 FSCPU
91 イーサネット
1, 101
2B network (B)
10, 110
12 Security host (# 2)
20
20M1 node (# M1)
20M2 node (# M2)
20N node (#N)
20N1 node (# N1)
20N2 node (# N2)
21-26 node (# 1) to node (# 6)
30, 130
41 Ch_A
42 Ch_B
43 CPU
44 FPGA
45 Hikari I / F
50
51_2 Normal channel (2)
52 Crypto channel 52_1 Crypto channel (1)
52_2 Crypto channel (2)
53
91 Ethernet
Claims (4)
前記保安機器と前記非保安機器とは、それぞれノード装置によって前記ネットワークに接続されており、
前記保安機器は、異常動作の検定を行う検定機能を備え、
前記非保安機器は、前記検定機能を備えず、
前記保安機器同士が通信を行う場合には、暗号化を施した暗号文による通信を行い、
前記保安機器と前記非保安機器との通信、または前記非保安機器同士の通信には、非暗号化の状態の平文による通信を行う
ことを特徴とするネットワークシステム。 A network system in which security devices and non-security devices are mixed and connected via a network,
The security device and the non-security device are each connected to the network by a node device,
The security device has a verification function to verify abnormal operation,
The non-security device does not have the verification function,
When the security devices communicate with each other, perform communication using encrypted ciphertext,
A communication in plain text in a non-encrypted state is performed for communication between the security device and the non-security device or between the non-security devices.
暗号化された通信が伝送される暗号化経路と、
暗号化されていない通信が伝送される非暗号化経路とを備え、
前記非保安機器は、暗号化された通信が伝送される暗号化経路を備えないことを特徴とする請求項1または2に記載のネットワークシステム。 The security device is
An encrypted path through which encrypted communication is transmitted;
A non-encrypted path through which unencrypted communication is transmitted,
The network system according to claim 1, wherein the non-secure device does not include an encryption path through which encrypted communication is transmitted.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017033159A JP6913482B2 (en) | 2017-02-24 | 2017-02-24 | Network system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017033159A JP6913482B2 (en) | 2017-02-24 | 2017-02-24 | Network system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018139344A true JP2018139344A (en) | 2018-09-06 |
JP6913482B2 JP6913482B2 (en) | 2021-08-04 |
Family
ID=63451083
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017033159A Active JP6913482B2 (en) | 2017-02-24 | 2017-02-24 | Network system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6913482B2 (en) |
-
2017
- 2017-02-24 JP JP2017033159A patent/JP6913482B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP6913482B2 (en) | 2021-08-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11134064B2 (en) | Network guard unit for industrial embedded system and guard method | |
US20190289020A1 (en) | Provision of secure communication in a communications network capable of operating in real time | |
JP6126980B2 (en) | Network device and network system | |
EP1427162B1 (en) | Security processor mirroring | |
US9749011B2 (en) | Physical unidirectional communication apparatus and method | |
US9300467B2 (en) | Real-time communication security for automation networks | |
US11134066B2 (en) | Methods and devices for providing cyber security for time aware end-to-end packet flow networks | |
KR102603512B1 (en) | Method and device for preventing manipulation on a CAN bus using nodes connected to the bus by a CAN controller | |
EP4270867A1 (en) | Secure communication method, apparatus, and system for dc interconnection | |
JP2017121091A (en) | Ecu and network device for vehicle | |
JP2007039166A (en) | Remote monitoring system for elevator | |
JP4645839B2 (en) | Security communication apparatus and sequence number management method | |
CN110679129B (en) | Method for securing communication between a first and a second communication device and communication device | |
EP3979078B1 (en) | System and method for secure connections in a high availability industrial controller | |
JP6913482B2 (en) | Network system | |
CN114326364B (en) | System and method for secure connection in high availability industrial controllers | |
Glanzer et al. | Increasing security and availability in KNX networks | |
US20180145952A1 (en) | Protective apparatus and network cabling apparatus for the protected transmission of data | |
KR102247621B1 (en) | Network environment management system and method for detecting compromised switches and bypass attacks | |
CN111327394B (en) | Message sending method and device | |
US20150127702A1 (en) | Method for the Transmission of Messages in a Computer Network and Computer Network | |
JP2020141414A (en) | Ecu and network device | |
JP2014203231A (en) | Plant control network system | |
KR20220135899A (en) | Apparatus for electronic control of vehicle, apparatus for gateway and vehicle including them | |
JPH11220495A (en) | Encryption communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200128 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201111 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201117 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210112 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210622 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210712 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6913482 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |