CN112654985B - 安全系统以及维护方法 - Google Patents
安全系统以及维护方法 Download PDFInfo
- Publication number
- CN112654985B CN112654985B CN201980058532.1A CN201980058532A CN112654985B CN 112654985 B CN112654985 B CN 112654985B CN 201980058532 A CN201980058532 A CN 201980058532A CN 112654985 B CN112654985 B CN 112654985B
- Authority
- CN
- China
- Prior art keywords
- security
- key
- unit
- communication unit
- maintenance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012423 maintenance Methods 0.000 title claims abstract description 127
- 238000000034 method Methods 0.000 title claims abstract description 89
- 238000004891 communication Methods 0.000 claims abstract description 113
- 230000008569 process Effects 0.000 claims abstract description 54
- 238000012545 processing Methods 0.000 claims abstract description 37
- 238000012986 modification Methods 0.000 claims abstract description 10
- 230000004048 modification Effects 0.000 claims abstract description 10
- 238000012546 transfer Methods 0.000 claims description 80
- 230000004044 response Effects 0.000 claims description 7
- 239000000543 intermediate Substances 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 41
- 230000006870 function Effects 0.000 description 27
- 238000003860 storage Methods 0.000 description 27
- 230000010365 information processing Effects 0.000 description 16
- 230000005540 biological transmission Effects 0.000 description 12
- 230000007246 mechanism Effects 0.000 description 8
- 238000012795 verification Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 3
- 230000010354 integration Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011179 visual inspection Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
Abstract
本发明提供一种安全系统以及维护方法,可提供下述结构,即:可对按照安全程序来执行安全控制的处理执行部可靠地执行远程维护。安全系统包括:处理执行部,按照安全程序来执行安全控制;通信部,与处理执行部直接连接,并且中介针对处理执行部所保持的安全程序的外部访问;以及支持装置,与通信部进行网络连接,并且按照用户操作来执行针对安全程序的包含追加或变更的维护。支持装置及通信部以预先互换的信息来确定,收授维护所需要的数据。
Description
技术领域
本发明涉及一种针对安全系统的远程维护功能,尤其涉及一种安全系统以及维护方法。
背景技术
为了安全地使用在各种制造现场所使用的设备或机器,必须按照国际电工委员会(International Electro technical Commission,IEC)61508等国际标准来实现功能安全。
这种功能安全是通过由安全控制器执行安全程序从而实现。例如,日本专利特开2010-055652号公报(专利文献1)公开了一种安全控制器的程序开发支持装置。
现有技术文献
专利文献
专利文献1:日本专利特开2010-055652号公报
发明内容
发明所要解决的问题
通常,提供用于对按照安全程序来执行安全控制的控制器等进行各种维护的环境。这种用于对安全控制进行维护的环境必须按照IEC 62061等国际标准来构成。
其结果,与安全控制相关的维护必须在配置控制器的现场进行,而限制维护效率或生产性提高。
本发明的一个目的在于提供下述结构,即,能够对按照安全程序来执行安全控制的处理执行部可靠地执行远程维护。
解决问题的技术手段
本发明的一方面的安全系统包括:处理执行部,按照安全程序来执行安全控制;通信部,与处理执行部直接连接,并且中介针对处理执行部所保持的安全程序的外部访问;以及支持装置,与通信部进行网络连接,并且按照用户操作来执行针对安全程序的包含追加或变更的维护。支持装置及通信部以预先互换的信息来确定两者,收授维护所需要的数据。
通信部也可保持密钥作为预先互换的信息的至少一部分。支持装置也能以通信部可利用所述密钥进行解密的方式将维护所需要的数据加密,并向通信部转发。
通信部也可保持第一私钥作为密钥。支持装置也可保持与第一私钥成对的第一公钥、及对第一公钥发行的第一电子证书的至少一者。
通信部也可在能利用第一私钥将从支持装置转发的数据解密的情况下,向处理执行部转发所述经解密的数据。
通信部也可响应来自外部的请求而对第一公钥预先规定有效期后,将向支持装置给予所述第一公钥。
支持装置也可保持对与第一私钥成对的第一公钥发行的第一电子证书,且第一电子证书包含用于识别处理执行部的识别信息。支持装置也可在发送维护所需要的数据之前,判断经由通信部所获取的处理执行部的识别信息、与第一电子证书中所含的识别信息是否一致。
支持装置也能以经由通信部所获取的处理执行部的识别信息、与第一电子证书中所含的识别信息一致为条件,向通信部发送维护所需要的数据。
支持装置也可在需要发送维护所需要的数据的情况下,生成作为一次性密钥的第三密钥,利用第三密钥将维护所需要的数据加密,并且以通信部可利用密钥进行解密的方式将第三密钥加密,并向通信部发送。
支持装置也可构成为发送安全程序作为维护所需要的数据。支持装置也可保持第二私钥。通信部也可保持与第二私钥成对的第二公钥、及对第二公钥发行的第二电子证书的至少一者。支持装置也可利用第二私钥将根据安全程序算出的第一哈希值加密并向通信部发送。通信部也可判断根据从支持装置接收的安全程序算出的第二哈希值、与利用第二公钥将从支持装置接收的经加密的第一哈希值解密所得的结果是否一致。
通信部也可将根据从支持装置接收的安全程序算出的第二哈希值加密,并向支持装置发送。支持装置也可判断将从通信部接收的经加密的第二哈希值解密所得的结果、与根据安全程序算出的第一哈希值是否一致。
处理执行部及通信部也可构成为相互独立的单元。
根据本发明的另一方面,提供一种维护方法,为控制器系统的维护方法,所述控制器系统包含按照安全程序来执行安全控制的处理执行部。维护方法包括下述步骤:将支持装置与通信部进行网络连接;支持装置按照用户操作来执行针对安全程序的包含追加或变更的维护;以及支持装置及通信部以预先互换的信息来确定两者,收授维护所需要的数据。
发明的效果
根据本发明,可提供下述结构,即:可对按照安全程序来执行安全控制的处理执行部可靠地执行远程维护。
附图说明
图1为表示本实施方式的安全系统的结构例的外观图。
图2为用于说明本实施方式的安全系统的远程维护的概要的示意图。
图3为表示构成本实施方式的安全系统的控制单元的硬件结构例的示意图。
图4为表示构成本实施方式的安全系统的中继单元的硬件结构例的示意图。
图5为表示构成本实施方式的安全系统的安全单元的硬件结构例的示意图。
图6为说明针对本实施方式的安全系统的维护的条件的图。
图7为表示连接于本实施方式的安全系统的支持装置的硬件结构例的示意图。
图8为说明将本实施方式的安全系统与支持装置直接连接而进行的维护的图。
图9为用于说明从支持装置对安全系统进行远程维护的问题的图。
图10为用于说明本实施方式的从支持装置对安全系统进行远程维护的一形态的图。
图11为表示图10所示的远程维护的处理流程的序列图。
图12为用于说明本实施方式的从支持装置对安全系统进行远程维护的另一形态的图。
图13为表示图12所示的远程维护的处理流程的序列图。
图14为用于说明本实施方式的安全系统中从支持装置来看的转发目标的正当性的保证处理的图。
图15为用于说明本实施方式的安全系统中从转发目标来看的支持装置的正当性的保证处理的图。
图16为用于说明本实施方式的安全系统中用于保证中继单元与安全单元的组合的处理的图。
图17为表示本实施方式的安全系统中用于保证中继单元与安全单元的组合的处理流程的序列图。
图18为用于说明从支持装置对安全系统进行远程维护的另一问题的图。
图19为用于说明本实施方式的从支持装置对安全系统进行远程维护的进而另一形态的图。
图20为表示图19所示的远程维护的处理流程的序列图。
图21为表示本实施方式的安全系统的公钥的有效期的设定例的图。
图22为用于说明本实施方式的从支持装置对安全系统进行远程维护的进而另一形态的图。
图23为用于说明从图22所示的支持装置进行远程维护的另一形态的图。
图24为用于说明从图22所示的支持装置进行远程维护的进而另一形态的图。
图25的(A)、图25的(B)与图25的(C)为表示本实施方式的安全系统的结构的变形例的示意图。
[符号的说明]
1、1A、1B、1C、2:安全系统
4:网络
10:内部总线
50A、50B、50C:综合单元
100:控制单元
102、202、302、502:处理器
104、204、304:芯片组
106、206、306、504:主存储装置
108、208、308、510:二次存储装置
110、210:通信控制器
112:USB控制器
114、214、314:存储卡接口
115、215、315:存储卡
116、118、120、216、218:网络控制器
122、322:内部总线控制器
124、224、324:指示器
200:中继单元
212、520:通信接口
300:安全单元
380:安全设备
400:功能单元
450:电源单元
500:支持装置
506:输入部
508:输出部
512:光学驱动器
514:记录介质
518:处理器总线
590:序列编号对照处理
600:显示操作装置
700:信息处理装置
800:认证机构
5102:OS
5104:支持程序
5106:项目
5108:标准控制源程序
5110、5112:安全源程序
ATP:认证密码
CR:服务器证书
CR’:客户端证书
HS、HS#:哈希值
I:PC
INL:公钥失效列表
LS:列表
PK、PK'、PK1:公钥
SK、SK'、SK1、SK2:私钥
SAT:加密完毕认证密码
SHS、SHS#:加密完毕哈希值
SPG:安全程序
SPG#:恶意的程序
SQ100~SQ114、SQ120~SQ126、SQ130、SQ132、SQ200~SQ216、SQ300~SQ338:步骤
SRN:序列编号
SSP:加密完毕安全程序
STC、STC':加密完毕共享密钥
TCK、TCK':共享密钥
UT、UT':利用者信息
具体实施方式
一边参照附图,一边详细说明本发明的实施方式。另外,对于图中的相同或相当的部分,标注相同的符号并不再重复其说明。
<A.适用例>
首先,对本实施方式的安全系统1的整体结构进行说明。
图1为表示本实施方式的安全系统1的结构例的外观图。参照图1,安全系统1包含控制单元100、中继单元200、安全单元300、一个或多个功能单元400及电源单元450。
控制单元100与中继单元200之间经由任意的数据传输路(例如外围组件快速互连(PCI Express)或者以太网(注册商标)等)而连接。控制单元100与安全单元300及一个或多个功能单元400之间经由内部总线10(参照图2)而连接。
控制单元100在安全系统1中执行中心处理。控制单元100按照任意设计的要求规格,执行用于对控制对象进行控制的控制运算。与由后述的安全单元300执行的控制运算比对,将由控制单元100执行的控制运算也称为“标准控制”。图1所示的结构例中,控制单元100具有一个或多个通信端口。控制单元100相当于按照标准控制程序来执行标准控制的处理执行部。
中继单元200连接于控制单元100,负责与其他装置之间的通信功能。图1所示的结构例中,中继单元200具有一个或多个通信端口。关于中继单元200提供的通信功能的详细情况,将于后述。
安全单元300与控制单元100相独立,执行用于实现与控制对象相关的安全功能的控制运算。将由安全单元300执行的控制运算也称为“安全控制”。通常,“安全控制”是以满足用于实现IEC 61508等所规定的安全功能的条件的方式设计。“安全控制”为用于防止人的安全受到设备或机器等威胁的处理的总称。安全单元300相当于按照安全程序SPG来执行安全控制的处理执行部。
功能单元400提供用于实现安全系统1对各种控制对象的控制的各种功能。功能单元400典型而言可包含输入输出(Input/Output,I/O)单元,安全I/O单元、通信单元、运动控制器单元、温度调整单元及脉冲计数器单元等。作为I/O单元,例如可举出:数字输入(DI)单元、数字输出(DO)单元、模拟输出(AI)单元、模拟输出(AO)单元、脉冲捕捉输入单元及使多个种类混合而成的复合单元等。安全I/O单元负责安全控制的I/O处理。
电源单元450对构成安全系统1的各单元供给规定电压的电源。
本实施方式的安全系统1中,可对执行安全控制的安全单元300进行远程维护。
图2为用于说明本实施方式的安全系统1的远程维护的概要的示意图。参照图2,安全系统1经由中继单元200而连接于网络。支持装置500也可访问网络。
中继单元200相当通信部,此通信部与相当于处理执行部的安全单元300直接连接,并且中介针对安全单元300所保持的安全程序SPG的外部访问。
本说明书中,所谓“直接连接”,是指在连接的单元间不存在误认连接目标那样的元件。即,是指各单元能唯一地确定对象单元的状态。本实施方式的安全系统1中,作为“直接连接”的结构,例示内部总线10。但是,不限于内部总线10,也能以任意的介质或者方式连接。
支持装置500与相当于通信部的中继单元200进行网络连接,并且按照用户操作来执行针对安全程序SPG的包含追加或变更的维护。更具体而言,通过支持装置500所执行的应用,可进行由安全单元300所执行的安全程序SPG的制作、编辑处理。
本说明书中,“维护”为包括下述操作的概念,即:监测或变更负责安全控制的安全单元300的状态、或者由安全单元300执行的安全程序SPG。“维护”基本上是通过操作员(用户)操作支持装置500从而执行。本说明书中,“远程维护”的用语是指操作支持装置500的操作员在处于无法直接确认(目测)成为维护对象的安全系统1(安全单元300)的场所的状态下,执行维护。
本实施方式中,可唯一地确定成为维护对象的安全系统1。即,支持装置500及安全系统1的中继单元200以预先互换的信息来确定两者,收授维护所需要的数据。
本说明书中,所谓“预先互换”是指下述状态,即:将任一者所保持的信息的一部分或根据所述信息所派生的其他信息直接或间接地给予了另一者。所谓“预先互换的信息”,为这种状态下两者各自保持的信息的总称。“预先互换的信息”用于从支持装置500唯一地确定某个中继单元200。即,“预先互换的信息”用于防止设定错误、冒充、伪装等与和原本的连接目标不同的连接目标收授数据那样的事态。
以下的说明中,对使用电子“密钥”(典型而言为按照公钥基础设施的私钥/公钥、或者共享密钥)作为“预先互换的信息”的典型例的结构进行例示,但不限于此,只要为可唯一地确定连接目标彼此的信息,则可使用任何种类的信息。
通过使用“预先互换的信息”,从而可实现能唯一地确定的功能,由此可满足执行安全程序SPG的安全控制器所需要的条件,并且提供安全的远程维护。
<B.各单元的硬件结构例>
接下来,对构成本实施方式的安全系统1的各单元的硬件结构例进行说明。
(b1:控制单元100)
图3为表示构成本实施方式的安全系统1的控制单元100的硬件结构例的示意图。参照图3,控制单元100包含中央处理器(Central Processing Unit,CPU)或图形处理器(Graphical Processing Unit,GPU)等处理器102、芯片组104、主存储装置106、二次存储装置108、通信控制器110、通用串行总线(Universal Serial Bus,USB)控制器112、存储卡接口114、网络控制器116、118、120、内部总线控制器122以及指示器124作为主要组件。
处理器102读出保存于二次存储装置108的各种程序,在主存储装置106展开并执行,由此实现标准控制的控制运算及后述那样的各种处理。芯片组104中介处理器102与各组件之间的数据的收授,由此实现控制单元100整体的处理。
主存储装置106包含动态随机存取存储器(Dynamic Random Access Memory,DRAM)或静态随机存取存储器(Static Random Access Memory,SRAM)等易失性存储装置等。二次存储装置108例如包含硬盘驱动器(Hard Disk Drive,HDD)或固态驱动器(SolidState Drive,SSD)等非易失性存储装置等。
在二次存储装置108,除了保存系统程序以外,还保存在系统程序提供的执行环境上运行的控制程序。
通信控制器110负责与中继单元200之间的数据的收授。作为通信控制器110,例如可采用与PCI Express或以太网等对应的通信芯片。
USB控制器112经由USB连接而负责与任意的信息处理装置之间的数据的收授。
存储卡接口114构成为可装卸存储卡115,可对存储卡115写入控制程序或各种设定等的数据,或者从存储卡115读出控制程序或各种设定等的数据。
网络控制器116、118、120各自负责经由网络的与任意的设备之间的数据的收授。网络控制器116、118、120可采用以太网控制自动化技术(EtherCAT,注册商标)、以太网工业协议(EtherNet/IP,注册商标)、设备网(DeviceNet,注册商标)、康宝网(CompoNet,注册商标)等工业网络协议。
内部总线控制器122负责与构成安全系统1的安全单元300或者一个或多个功能单元400之间的数据的收授。对于内部总线10(参照图2),可使用厂商固有的通信协议,也可使用与任一工业网络协议相同或遵循所述工业网络协议的通信协议。
指示器124通知控制单元100的运行状态等,包含配置于单元表面的一个或多个发光二极管(Light Emitting Diode,LED)等。
图3中,表示了通过处理器102执行程序从而提供必要的功能的结构例,但也可使用专用的硬件电路(例如专用集成电路(Application Specific Integrated Circuit,ASIC)或现场可编程门阵列(Field-Programmable Gate Array,FPGA)等)来安装这些所提供的功能的一部分或全部。或者,也可使用按照通用架构的硬件(例如以通用个人计算机为基础的工业个人计算机)来实现控制单元100的主要部分。此时,也可使用虚拟技术来并列执行用途不同的多个操作系统(Operating System,OS),并且在各OS上执行必要的应用。
(b2:中继单元200)
图4为表示构成本实施方式的安全系统1的中继单元200的硬件结构例的示意图。参照图4,中继单元200包含CPU或GPU等处理器202、芯片组204、主存储装置206、二次存储装置208、通信控制器210、通信接口212、存储卡接口214、网络控制器216、218以及指示器224作为主要组件。
处理器202读出保存于二次存储装置208的各种程序,在主存储装置206展开并执行,由此实现后述那样的各种通信功能。芯片组204通过中介处理器202与各组件之间的数据的收授,从而实现中继单元200整体的处理。
在二次存储装置208,除了保存系统程序以外,还保存在系统程序提供的执行环境上动作的通信处理程序。
通信控制器210负责与控制单元100之间的数据的收授。作为通信控制器210,与控制单元100中通信控制器110同样地,例如可采用与PCI Express或以太网等对应的通信芯片。
通信接口212经由USB连接而负责与任意的信息处理装置之间的数据的收授。
存储卡接口214构成为可装卸存储卡215,可对存储卡215写入控制程序或各种设定等的数据,或者从存储卡215读出控制程序或各种设定等的数据。
网络控制器216、218各自负责经由网络的与任意的设备之间的数据的收授。网络控制器216、218也可采用以太网等通用的网络协议。
指示器224通知中继单元200的运行状态等,包含配置于单元表面的一个或多个LED等。
图4中,表示了通过处理器202执行程序从而提供必要的功能的结构例,但也可使用专用的硬件电路(例如ASIC或FPGA等)来安装这些提供的功能的一部或全部。或者,也可使用按照通用架构的硬件(例如以通用个人计算机为基础的工业个人计算机)来实现中继单元200的主要部分。此时,也可使用虚拟技术来并列执行用途不同的多个OS,并且在各OS上执行必要的应用。
(b3:安全单元300)
图5为表示构成本实施方式的安全系统1的安全单元300的硬件结构例的示意图。参照图5,安全单元300包含CPU或GPU等处理器302、芯片组304、主存储装置306、二次存储装置308、存储卡接口314、内部总线控制器322及指示器324作为主要组件。
处理器302读出保存于二次存储装置308的各种程序,在主存储装置306展开并执行,由此实现安全控制的控制运算及后述那样的各种处理。芯片组304中介处理器302与各组件之间的数据的收授,由此实现安全单元300整体的处理。
在二次存储装置308,除了保存系统程序以外,还保存在系统程序提供的执行环境上运行的安全程序。
存储卡接口314构成为可装卸存储卡315,可对存储卡315写入安全程序或各种设定等的数据,或者从存储卡315读出安全程序或各种设定等的数据。
内部总线控制器322控制经由内部总线10(参照图2)的与控制单元100之间的数据的收授。
指示器324通知安全单元300的运行状态等,包含配置于单元表面的一个或多个LED等。
图5中,表示了通过处理器302执行程序从而提供必要的功能的结构例,但也可使用专用的硬件电路(例如ASIC或FPGA等)来安装这些所提供的功能的一部分或全部。或者,也可使用按照通用架构的硬件(例如以通用个人计算机为基础的工业个人计算机)来实现安全单元300的主要部分。此时,也可使用虚拟技术来并列执行用途不同的多个OS,并且在各OS上执行必要的应用。
<C.针对安全系统1的维护>
接下来,对针对本实施方式的安全系统1的维护进行说明。
图6为用于说明针对本实施方式的安全系统1的维护的条件的图。图6中,作为典型例,设想下述情况,即:利用由支持装置500所制作的用户程序(安全程序SPG),来改写保存于安全单元300(以下也称为“设备”)的用户程序(安全程序SPG)。
图6所示的条件是由IEC 62061:2005的“6.11.2基于软件的参数化(SoftwareBased Parameterization)”等所规定。
1.进行维护的操作员具有权限(例如使用密码的权限确认)
2.从支持装置500向设备发送的安全程序SPG为调试完毕的程序
3.可独特地识别改写对象设备(例如,支持装置500与设备直接连接。或者,以对象设备所具有的独特的名称或序列编号来确定)
4.从支持装置500改写的文件与设备上的文件一致(例如使用校验和(checksum)的确认)
5.现场的作业者安全(例如不发生因误动作或停止而造成伤害等事态)
并非针对执行标准控制的控制单元100的维护,对于针对执行安全控制的安全单元300的维护,施行所述那样的更严格的条件。
本实施方式中,除了在配置了安全系统1的现场执行维护以外,还可操作远程地配置的支持装置500来维护安全系统1。以下,将通过操作远程地配置的支持装置500从而进行的维护也称为“远程维护”。
为了实现针对安全单元300的远程维护,特别优选考虑所述条件3。而且,优选也考虑条件1、条件4。
作为条件1的“进行维护的操作员具有权限”意味着保证安全程序SPG的发送源(或者发送者)正确。
作为条件3的“可独特地识别改写对象设备”意味着保证安全程序SPG的转发目标正确。
作为条件4的“从支持装置500改写的文件与设备上的文件一致”意味着保证向安全单元300转发后的安全程序SPG正确。
以下,对用于实现针对安全系统1的远程维护的结构进行说明。
<D.支持装置500的硬件结构例>
接下来,对连接于本实施方式的安全系统1的支持装置500的硬件结构例进行说明。
图7为表示连接于本实施方式的安全系统1的支持装置500的硬件结构例的示意图。作为一例,支持装置500是使用按照通用架构的硬件(例如通用个人计算机)来实现。
参照图7,支持装置500包含CPU或GPU等处理器502、主存储装置504、输入部506、输出部508、二次存储装置510、光学驱动器512及通信接口520。这些组件经由处理器总线518而连接。
处理器502读出保存于二次存储装置510的程序(作为一例,为OS 5102及支持程序5104),在主存储装置504展开并执行,由此实现后述那样的各种处理。
在二次存储装置510,除了保存用于实现基本功能的OS 5102以外,还保存用于提供作为支持装置500的功能的支持程序5104。支持程序5104通过由作为计算机的信息处理装置(实质上为处理器502)执行,从而实现本实施方式的支持装置500。
在二次存储装置510保存项目5106,此项目5106是在通过执行支持程序5104从而提供的开发环境中由用户制作。进而,在二次存储装置510,也可保存后述那样的密钥(私钥及公钥)或证书等。
本实施方式中,支持装置500提供可综合进行针对安全系统1中所含的各设备的设定、及由各设备执行的程序的制作的开发环境。项目5106包含通过这种综合的开发环境所生成的数据。典型而言,项目5106包含标准控制源程序5108及安全源程序5112。
标准控制源程序5108被转换为目标代码后,向控制单元100转发,并作为标准控制程序而保存。安全源程序5110被转换为目标代码后,向安全单元300转发,并作为安全程序而保存。
输入部506包含键盘或鼠标等,受理用户操作。输出部508包含显示器、各种指示器、打印机等,输出来自处理器502的处理结果等。
通信接口520经由USB或以太网等任意的通信介质,进行与安全系统1之间的数据的收授。
支持装置500具有光学驱动器512,从计算机可读取的非一次性地保存命令的记录介质514(例如数字多功能光盘(Digital Versatile Disc,DVD)等光学记录介质)读取其中所保存的程序,并安装于二次存储装置510等。
由支持装置500执行的支持程序5104等可经由计算机可读取的记录介质514而安装,但也能以从网络上的服务器装置等下载的形式安装。而且,本实施方式的支持装置500提供的功能也有时以利用OS所提供的模块的一部分的形式实现。
图7中,表示了通过处理器502执行程序从而提供作为支持装置500所需要的功能的结构例,但也可使用专用的硬件电路(例如ASIC或FPGA等)来安装这些提供的功能的一部分或全部。
另外,支持装置500也可在安全系统1运行中,从安全系统1拆卸。
<E.用于保证安全程序的转发目标正确的结构(条件3)>
首先,对用于实现作为条件3的“可独特地识别改写对象设备”的结构进行说明。
(e1:问题)
图8为用于说明将本实施方式的安全系统1与支持装置500直接连接而进行的维护的图。参照图8,在将支持装置500与安全系统1(安全单元300)在现场直接连接的情况下,操作支持装置500的操作员可通过目测来确认连接目标的设备(安全单元300),因而可通过所述目测及连接操作来独特地识别改写对象设备。
图9为用于说明从支持装置500对安全系统1进行远程维护的问题的图。参照图9,支持装置500经由网络4而与安全系统1电连接。
网络4中,安全系统1是根据对中继单元200分配的网络地址(典型而言IP地址)来确定。
支持装置500具有使预先登记的成为转发目标的设备(安全单元300)的名称、与IP地址相关联的列表LS,操作员参照列表LS,选择成为转发目标的安全单元300。图9所示的示例中,选择“192.168.250.1”(Safety_1)作为IP地址。并且,支持装置500按照操作员的操作,向具有所选择的IP地址的设备转发安全程序SPG。
此处,IP地址可对各设备任意设定,或者也有时由路由器等动态分配。因此,有可能对其他安全系统2误设定“192.168.250.1”。
或者,也有时通过冒充等而其他安全系统2伪装成转发目标。
这样,仅指定IP地址的情况下,由于错误的设定或冒充等而无法保证安全程序SPG的转发目标正确。即,有可能即便向错误的系统转发安全程序SPG也未注意到。
(e2:解决方式1)
作为针对图8所示那样的问题的解决方式1,对利用密钥进行加密的形态加以说明。
图10为用于说明本实施方式的从支持装置500对安全系统1进行远程维护的一形态的图。图10所示的结构中,安全系统1的中继单元200保持密钥作为预先互换的信息的至少一部分,支持装置500以可利用中继单元200所保持的密钥进行解密的方式,将维护所需要的数据加密,并向中继单元200转发。
更具体而言,针对安全系统1,预先准备包含按照公钥基础设施的私钥(SK、SK'、SK1、SK2)及公钥(PK、PK'、PK1、PK2)的密钥对。私钥保存于中继单元200,对应的公钥保存于支持装置500。
例如,具有“192.168.250.1”(Safety_1)作为IP地址的安全系统1(中继单元200)保存私钥SK1,对于支持装置500所保持的列表LS中的“192.168.250.1”的入口,使对应的公钥PK1相关联。另外,为了防止公钥PK1的伪装,也可将通过认证机构对公钥PK1进行认证从而生成的服务器证书保存于支持装置500。
这样,中继单元200保持私钥SK1作为成为预先互换的信息的密钥。而且,支持装置500保持与私钥SK1成对的公钥PK1、及对公钥PK1发行的服务器电子证书的至少一者。
远程维护中,支持装置500在按照操作员的操作对具有所选择的IP地址的设备转发安全程序SPG时,利用所选择的转发目标的公钥将安全程序SPG加密。将通过加密而生成的加密完毕安全程序SSP(转发数据)向转发目标转发。
在加密完毕安全程序SSP(转发数据)向作为原本的转发目标的安全系统1转发的情况下,可使用安全系统1的中继单元200所保存的私钥SK1进行解密。
另一方面,在加密完毕安全程序SSP(转发数据)向作为错误的转发目标的安全系统2转发的情况下,无法利用安全系统2的中继单元200所保存的私钥SK2进行解密。或者,安全系统2的中继单元200中,也设想未保持任何私钥,此时也无法将转发数据解密。
而且,即便通过某些方法接收了转发数据,安全系统2中也无法将转发数据解密。
这样,仅限于支持装置500向具有与所选择的转发目标预先关联的密钥的安全系统1进行转发数据的转发时,能在所述转发目标进行解密,因而不会向错误的转发目标发送安全程序SPG。由此,即便在转发目标设定错误的IP地址或有IP地址的冒充等,也可向正确的转发目标转发安全程序SPG。并且,中继单元200在可利用私钥SK1将从支持装置500转发的数据(加密完毕安全程序SSP)解密的情况下,向安全单元300转发所述经解密的数据(安全程序SPG)。
图11为表示图10所示的远程维护的处理流程的序列图。参照图11,支持装置500按照操作员对支持装置500的操作(序列SQ100),执行安全程序SPG的制作、编辑处理(序列SQ102)。
接下来,支持装置500按照操作员作出的转发目标的选择及转发的操作(序列SQ104),与所选择的中继单元200进行网络连接,利用转发目标的公钥将安全程序SPG加密而生成加密完毕安全程序SSP(转发数据)(序列SQ106)。并且,支持装置500向所选择的转发目标进行转发数据的转发(序列SQ108)。即,支持装置500按照用户操作,执行针对安全程序SPG的包含追加或变更的维护。
转发目标的中继单元200若从支持装置500接收转发数据,则利用自身设备的私钥SK1将所述接收的数据解密为安全程序SPG(序列SQ110)。接下来,中继单元200向安全单元300转发经解密的安全程序SPG(序列SQ112)。从所述中继单元200向安全单元300的安全程序SPG的转发是经由内部总线10而执行。
这样,支持装置500及中继单元200以预先互换的信息来确定两者,收授维护所需要的数据。
安全单元300保存来自中继单元200的安全程序SPG(序列SQ114)。接下来,安全单元300按照所保存的安全程序SPG来执行安全控制。
由此,从支持装置500针对安全单元300的远程维护完成。
另外,中继单元200也可对经解密的安全程序SPG执行病毒扫描等后,向安全单元300转发。这一情况考虑到在支持装置500中在即将加密之前感染病毒的可能性。
(e3:解决方式2)
所述解决方式1中,对使用转发目标的公钥来生成转发数据的结构进行了例示,但从使加密及解密的处理有效率而提高转发速度的观点来看,也可还使用共享密钥。
图12为用于说明本实施方式的从支持装置500对安全系统1进行远程维护的另一形态的图。图12所示的结构中,也与图10所示的结构同样地,针对安全系统1预先准备包含私钥及公钥的密钥对。
首先,安全程序SPG在支持装置500中,由作为每次生成的一次性密钥的共享密钥TCK进行加密,生成加密完毕安全程序SSP(转发数据)。并且,关于共享密钥TCK,通过以所选择的转发目标的公钥进行加密,从而生成加密完毕共享密钥STC。
从支持装置500向所选择的转发目标转发加密完毕安全程序SSP及加密完毕共享密钥STC。
这样,支持装置500在需要发送维护所需要的数据的情况下,生成作为一次性密钥的共享密钥TCK。接下来,支持装置500利用共享密钥TCK将维护所需要的数据加密,并且以可利用中继单元200所保持的密钥(私钥SK1)进行解密的方式将共享密钥TCK加密,向中继单元200发送。
另一方面,转发目标的安全系统1的中继单元200利用自身设备的私钥SK1将从支持装置500接收的加密完毕共享密钥STC解密为共享密钥TCK。接下来,转发目标的安全系统1的中继单元200利用经解密的共享密钥TCK将从支持装置500接收的加密完毕安全程序SSP(转发数据)解密为安全程序SPG。
另一方面,在加密完毕安全程序SSP及加密完毕共享密钥STC向错误的转发目标的安全系统2转发的情况下,无法利用安全系统2的中继单元200所保存的私钥SK2进行解密。或者,安全系统2的中继单元200中,也设想未保持任何私钥,此时也无法将转发数据解密。
而且,即便通过某些方法接收了来自支持装置500的数据,安全系统2中也无法将转发数据解密。
这样,仅限于支持装置500向具有与所选择的转发目标预先关联的密钥的安全系统1进行转发数据的转发时,可在所述转发目标中进行解密,因而不会向错误的转发目标发送安全程序SPG。由此,即便在转发目标设定错误的IP地址或有IP地址的冒充等,也可向正确的转发目标转发安全程序SPG。
图13为表示图12所示的远程维护的处理流程的序列图。参照图13,支持装置500按照操作员对支持装置500的操作(序列SQ100),执行安全程序SPG的制作、编辑处理(序列SQ102)。
接下来,支持装置500按照操作员作出的转发目标的选择及转发的操作(序列SQ104),生成共享密钥TCK作为一次性密钥(序列SQ120)。并且,支持装置500利用所生成的共享密钥TCK将安全程序SPG加密而生成加密完毕安全程序SSP(转发数据)(序列SQ122)。而且,支持装置500利用转发目标的公钥将共享密钥TCK加密而生成加密完毕共享密钥STC(序列SQ124)。
最终,支持装置500向所选择的转发目标转发加密完毕安全程序SSP及加密完毕共享密钥STC(序列SQ126)。
转发目标的中继单元200若从支持装置500接收加密完毕共享密钥STC,则利用自身设备的私钥SK1将所述接收的加密完毕共享密钥STC解密为共享密钥TCK(序列SQ130)。
接下来,中继单元200利用共享密钥TCK将加密完毕安全程序SSP(转发数据)解密为安全程序SPG(序列SQ132)。
最终,中继单元200向安全单元300转发经解密的安全程序SPG(序列SQ112)。从所述中继单元200向安全单元300的安全程序SPG的转发是经由内部总线10而执行。
安全单元300保存来自中继单元200的安全程序SPG(序列SQ114)。接下来,安全单元300按照所保存的安全程序SPG来执行安全控制。
由此,从支持装置500对安全单元300的远程维护完成。
(e4:认证机构的利用)
支持装置500利用的各设备的公钥也可从成为转发目标的安全系统1(或者中继单元200)直接或间接获取。或者,也可在认证机构(Certificate Authority,CA)登记公钥,并且将认证机构发行的针对公钥的服务器证书用作各设备的公钥。通过利用认证机构,从而可防止公钥的伪装等。
<F.相互认证>
接下来,对安全系统1(中继单元200)与支持装置500之间的相互认证的处理进行说明。更具体而言,对实现(1)从支持装置500来看的转发目标的正当性的保证、和/或(2)从转发目标来看的支持装置500的正当性的保证的方法进行说明。也可根据安全系统1的设置环境等,实施这些相互认证处理中的任一者或两者。
(f1:从支持装置500来看的转发目标的正当性的保证)
图14为用于说明本实施方式的安全系统1中从支持装置500来看的转发目标的正当性的保证处理的图。图14中,表示下述方法,即:保证向支持装置500安装针对转发目标候选的设备的、正当的公钥(服务器证书)。即,表示转发目标的公钥的生成、分发及认证等的一连串处理流程。
首先,支持装置500向作为转发目标候选的设备的中继单元200指示密钥对(私钥SK及公钥PK)的生成((1)密钥生成)。中继单元200按照所述指示,生成密钥对(私钥SK及公钥PK)。
接下来,使用用于支持服务器证书(公钥)的生成及分发等的信息处理装置700,获取中继单元200中生成的公钥PK((2)公钥获取)。公钥PK是从中继单元200向信息处理装置700通过直接方法获取。所谓直接方法,例如设想:利用USB线缆等将中继单元200与信息处理装置700直接连接,获取保存于中继单元200的公钥PK的方法;或在中继单元200安装安全数字(Secure Digital,SD)卡而获取所保存的公钥PK后,将所述SD卡安装于信息处理装置700而转移公钥PK的方法等。通过采用这种直接方法,从而可维持对象的中继单元200与公钥PK的对应关系。
信息处理装置700向认证机构800发送包含从中继单元200获取的公钥PK及利用者信息UT的证书发行请求((3)证书发行请求)。于是,认证机构800生成与公钥PK对应的服务器证书CR,对信息处理装置700作出响应((4)服务器证书发行)。
进而,从信息处理装置700对支持装置500利用直接方法转发服务器证书CR((5)服务器证书安装)。关于信息处理装置700与支持装置500之间的直接方法,也与上文所述相同,设想利用USB线缆等将信息处理装置700与支持装置500直接连接的方法、或经由USB存储器或SD卡等记录介质的方法等。通过采用这种直接方法,从而可维持对象的中继单元200与服务器证书CR的对应关系。
接着,支持装置500从中继单元200获取公钥PK((8)连接(认证))。并且,支持装置500将所获取的公钥PK及所安装的服务器证书CR发送至认证机构800,请求认证服务器证书CR的正当性((7)CA认证(服务器证书的认证))。
通过以上的(1)~(7)的流程,可保证安装于支持装置500的服务器证书CR与特定的中继单元200的公钥PK对应。即,可通过服务器证书CR来保证转发目标的中继单元200的正当性。接下来,支持装置500使用所安装的服务器证书CR(相当于公钥PK),确定安全系统1(中继单元200)而进行通信((8)连接(通信))。
另外,在信息处理装置700发行服务器证书CR,并且支持装置500本身执行服务器证书CR的认证的情况下,也可省略认证机构800。而且,认证机构800可为能经由国际互联网进行访问的公共认证机构,也可为配置于包含安全系统1的局域网的私有认证机构。
(f2:从转发目标来看的支持装置500的正当性的保证)
图15为用于说明本实施方式的安全系统1中从转发目标来看的支持装置500的正当性的保证处理的图。图15中表示下述方法,即:保证在中继单元200安装针对作为转发源的支持装置500的、正当的公钥(服务器证书)。即,表示转发源的公钥的生成、分发及认证等的一连串处理流程。
首先,支持装置500生成自身装置用的密钥对(私钥SK'及公钥PK')((1)密钥生成)。接着,支持装置500向认证机构800发送包含由自身装置生成的公钥PK'及利用者信息UT'的证书发行请求((2)证书发行请求)。于是,认证机构800生成与公钥PK'对应的客户端证书CR',对信息处理装置700作出响应((3)客户端证书发行)。
进而,从支持装置500向中继单元200利用直接方法转发客户端证书CR'((4)客户端证书安装)。关于支持装置500与中继单元200之间的直接的方法,也与上文所述相同,设想利用USB线缆等将支持装置500与中继单元200直接连接的方法、或者经由USB存储器或SD卡等记录介质的方法等。通过采用这种直接方法,从而可维持支持装置500与对象的中继单元200的对应关系。
接着,支持装置500向中继单元200发送公钥PK'((5)连接(认证))。于是,中继单元200将所发送的公钥PK'及所安装的客户端证书CR'发送至认证机构800,请求认证客户端证书CR的正当性((6)CA认证(客户端证书的认证))。
通过以上的(1)~(6)的流程,而可保证安装于中继单元200的客户端证书CR'与特定的支持装置500的公钥PK'对应。即,可通过客户端证书CR'来保证转发源的支持装置500的正当性。接下来,安全系统1(中继单元200)使用所安装的客户端证书CR'(相当于公钥PK),确定发送源的支持装置500并进行通信((7)连接(通信))。
另外,在支持装置500发行客户端证书CR',并且中继单元200本身执行客户端证书CR'的认证的情况下,也可省略认证机构800。而且,认证机构800可为能经由国际互联网进行访问的公共认证机构,也可为配置于包含安全系统1的局域网的私有认证机构。
<G.结构保证>
图1所示的安全系统1中,中继单元200保持私钥,并且从中继单元200向安全单元300经由内部总线10转发安全程序。若考虑到各种安全威胁,则也有可能在中继单元200生成私钥后,更换连接于中继单元200的安全单元300。若设想这种威胁,则优选也保证维持中继单元200与安全单元300的组合。
图16为用于说明下述处理的图,所述处理用于在本实施方式的安全系统1中保证中继单元200与安全单元300的组合。参照图16,也可在生成与安全系统1(中继单元200)保持的私钥SK1对应的服务器证书CR时,预先包含连接于中继单元200的安全单元300的识别信息(典型而言,安全单元300的序列编号等)。
如图16所示,例如也可包含安全单元300的序列编号SRN作为主体者信息的一部分。即,支持装置500保持服务器证书CR,此服务器证书CR为对与中继单元200所保持的私钥SK1成对的公钥PK1所发行的电子证书。服务器证书CR包含作为用于识别安全单元300的识别信息的一例的、安全单元300的序列编号SRN。
包含这种序列编号SRN的服务器证书CR的生成例如可通过下述方式实现,即:中继单元200在从支持装置500或其他信息处理装置受理了证书发行请求的发送指示时,在利用者信息UT中包含安全单元300的序列编号SRN并向认证机构800发送。
支持装置500利用包含安全单元300的序列编号SRN的服务器证书CR(相当于与转发目标设备对应的公钥),在转发安全程序SPG之前,确认转发目标的结构的相同性。
更具体而言,支持装置500在转发安全程序SPG之前,执行序列编号对照处理590。序列编号对照处理590中,将服务器证书CR中所含的序列编号SRN、与从转发目标的安全系统1获取的安全单元300的序列编号SRN进行比较。该这样,支持装置500在发送维护所需要的数据之前,判断经由中继单元200获取的安全单元300的识别信息(序列编号SRN)、与服务器证书CR中所含的识别信息(序列编号SRN)是否一致。
在两者一致的情况下,继续进行安全程序SPG的转发处理。即,支持装置500也能以经由中继单元200所获取的安全单元300的识别信息(序列编号SRN)、与服务器证书CR中所含的识别信息(序列编号SRN)一致为条件,向中继单元200发送维护所需要的数据。
相对于此,在两者不一致的情况下,意味着与发行服务器证书CR时的结构相比发生了变更,也可执行以下的任一处理。
(1)在序列编号SRN不一致的情况下,中止安全程序SPG的转发。并且,经由支持装置500的显示器等输出警告。
(2)一边经由支持装置500的显示器等输出警告,一边以操作员的明确操作为条件,继续进行安全程序SPG的转发处理。
(3)安全程序SPG的转发处理本身继续,并且作为日志而保存序列编号SRN的不一致等信息。
另外,也可执行这些(1)~(3)以外的处理,或也可将(1)~(3)的两个以上任意组合。
另外,作为序列编号SRN不一致的原因,不仅设想不当更换的情况,也设想因故障而更换的情况。进而,也设想由于设备改善等而安全系统1也变更组合。因此,也可不一律中止安全程序SPG的转发,而提供一边输出警告等一边可继续进行安全程序SPG的转发本身那样的结构。
图17为表示用于在本实施方式的安全系统1中保证中继单元200与安全单元300的组合的处理流程的序列图。
参照图17,支持装置500若受理操作员作出的转发目标的选择及转发的操作(序列SQ200),则对中继单元200发送用于获取安全单元300的序列编号SRN的序列编号读出请求(序列SQ202)。中继单元200向安全单元300转发来自支持装置500的序列编号读出请求(序列SQ204)。
安全单元300响应序列编号读出请求,向中继单元200发送序列编号SRN(序列SQ206)。中继单元200向支持装置500转发来自安全单元300的序列编号SRN。
支持装置500若从中继单元200获取序列编号SRN,则进行服务器证书CR中所含的序列编号SRN与所获取的序列编号SRN是否一致的对照(序列SQ210)。
若两序列编号SRN一致,则支持装置500向中继单元200转发将安全程序SPG加密而成的转发数据(序列SQ212)。中继单元200将从支持装置500接收的转发数据解密为安全程序SPG,并且向安全单元300转发安全程序SPG(序列SQ214)。接下来,安全单元300按照新接收的安全程序SPG来执行安全控制。
相对于此,若两序列编号SRN不一致,则支持装置500执行与序列编号SRN的不一致对应的错误处理(序列SQ216)。
通过采用所述那样的处理及功能,从而可保证维持中继单元200与作为实际的转发目标的安全单元300的组合。
<H.用于保证进行维护的操作员的权限的结构(条件1)、及用于保证经改写的文件的相同性的结构(条件4)>
接下来,对用于实现作为条件1的“进行维护的操作员具有权限”、及作为条件4的“从支持装置500改写的文件与设备上的文件一致”的结构进行说明。
(h1:问题)
图18为用于说明从支持装置500对安全系统1进行远程维护的另一问题的图。参照图18,设想从支持装置500向安全系统1(安全单元300)转发安全程序SPG的情况。若考虑各种安全威胁,则设想转发路上的安全程序SPG的篡改(问题1)。图18所示的示例中,表示在转发路上将安全程序SPG篡改为恶意的程序SPG#的示例。存在因这种篡改而向安全单元300转发恶意的程序SPG#的可能性。
此种情况下,也对照从安全单元300转发的程序、与支持装置500所保持的安全程序SPG的相同性。具体而言,将根据向安全单元300转发的安全程序SPG算出的哈希值送回支持装置500,由支持装置500判断哈希值的相同性。
关于所述对照处理所用的哈希值,也无法否定在转发路上被篡改的可能性。即,根据向安全单元300转发的恶意的程序SPG#而算出的哈希值HS#、与根据安全程序SPG所算出的哈希值HS不一致。但是,若在从安全单元300向支持装置500转发哈希值HS#的转发路上,哈希值HS#被篡改为原本的哈希值HS,则会错误地对照为与根据支持装置500所保持的正确的安全程序SPG所算出的哈希值HS一致。
其结果,有可能未注意到由安全单元300执行恶意的程序SPG#。另外,在根据安全程序算出的哈希值显示于配置在安全单元300的前表面的指示器的情况下,操作员可利用所述指示器来对照与支持装置500中算出的哈希值HS的一致。因此,若操作员在现场,则可目测确认是否向安全单元300转发正确的安全程序SPG。
(h2:解决方式)
作为针对图18所示那样的问题的解决方式,对利用密钥进行加密的形态加以说明。
图19为用于说明本实施方式的从支持装置500对安全系统1进行远程维护的进而另一形态的图。图19所示的结构中,对支持装置500预先准备包含私钥SK'及公钥PK'的密钥对。私钥SK'保存于支持装置500,对应的公钥PK'保存于中继单元200。另外,为了防止公钥PK'的伪装,也可将通过认证机构对公钥PK'进行认证从而生成的服务器证书保存于中继单元200。
这样,支持装置500保持私钥SK',中继单元200保持与私钥SK'成对的公钥PK'、及对公钥PK'发行的电子证书(客户端证书CR')的至少一者。
图19所示的解决方式中,在从支持装置500向安全单元300的安全程序SPG的转发、及从安全单元300向支持装置500的哈希值HS的转发(对照)的任一个中,利用密钥进行加密。以下,表示远程维护的安全程序SPG的转发的具体的流程例。即,支持装置500发送安全程序SPG作为维护所需要的数据。
首先,转发处理中,支持装置500根据安全程序SPG按照预先规定的算法算出哈希值HS((1)哈希计算)。接着,支持装置500利用自身装置的私钥SK'将所算出的哈希值HS加密而生成加密完毕哈希值SHS((2)私钥加密)。接下来,支持装置500向安全系统1(中继单元200)转发安全程序SPG及对应的加密完毕哈希值SHS((3)转发)。
接下来,验证处理中,中继单元200验证在转发路上有无安全程序SPG的篡改((4)验证处理)。更具体而言,中继单元200根据所接收的转发数据中所含的安全程序SPG算出哈希值HS。而且,中继单元200利用支持装置500的公钥PK'将所接收的转发数据中所含的加密完毕哈希值SHS解密为哈希值HS。接下来,支持装置500验证所算出的哈希值HS与经解密的哈希值HS的相同性。
如上所述,验证处理中,支持装置500利用自身装置的私钥SK'将根据安全程序SPG所算出的哈希值HS加密,并向中继单元200发送。另一方面,中继单元200判断根据从支持装置500接收的安全程序SPG算出的哈希值HS、与利用公钥PK'将从支持装置500接收的加密完毕哈希值SHS解密所得的结果是否一致。
通过这种哈希值彼此的验证,从而可保证从支持装置500向安全系统1(中继单元200)转发的转发数据未被篡改。同时,可防止转发数据的发送者的冒充。
若验证处理中确认哈希值HS的相同性,则从中继单元200向安全单元300转发安全程序SPG((5)转发)。
在支持装置500中的对照之前,支持装置500生成共享密钥TCK'作为一次性密钥((6)一次性密钥生成(对照用)),利用自身装置的私钥SK'将所生成的共享密钥TCK'加密,由此生成加密完毕共享密钥STC'((7)私钥加密)。接下来,支持装置500向中继单元200转发所生成的加密完毕共享密钥STC'。
中继单元200利用支持装置500的公钥PK'将所接收的加密完毕共享密钥STC'解密为共享密钥TCK'((9)公钥解密)。
进而,中继单元200算出所接收的安全程序SPG的哈希值HS((10)哈希值计算)。接下来,中继单元200利用之前经解密的共享密钥TCK'将所算出的哈希值HS加密而生成加密完毕哈希值SHS((11)共享密钥加密)。若中继单元200向支持装置500转发所生成的加密完毕哈希值SHS,则支持装置500利用共享密钥TCK'将加密完毕哈希值SHS解密为哈希值HS((12)哈希值转发&共享密钥解密)。
而且,支持装置500算出自身装置所保持的安全程序SPG的哈希值HS((13)哈希值计算)。最终,支持装置500判断自身装置所保持的安全程序SPG的哈希值HS、与从中继单元200接收的哈希值HS的一致((14)对照)。若两者一致,则对照成功。
此处,作为一例,设想向安全单元300转发的安全程序SPG被篡改为恶意的程序SPG#的情况。此时,中继单元200根据恶意的程序SPG#而算出哈希值HS#。接下来,哈希值HS#由共享密钥TCK'加密为加密完毕哈希值SHS#后向支持装置500转发。这样,由于转发经共享密钥TCK'加密的数据,因而无法在从安全单元300向支持装置500的转发路上篡改加密完毕哈希值SHS#。其原因在于,若在转发路上受到某些篡改,则无法进行支持装置500中的解密。
如上所述,对照处理中,中继单元200将根据从支持装置500接收的安全程序SPG而算出的哈希值HS加密,并向支持装置500发送。支持装置500判断将从中继单元200接收的加密完毕哈希值SHS解密所得的结果、与根据安全程序SPG算出的哈希值HS是否一致。
另外,从支持装置500向中继单元200转发安全程序SPG及对应的加密完毕哈希值SHS的处理((3)转发)中,也可使用所述的图12中说明那样的共享密钥TCK。通过使用共享密钥TCK,从而可提高加密强度。
图20为表示图19所示的远程维护的处理流程的序列图。参照图20,支持装置500若受理操作员作出的转发目标的选择及转发的操作(序列SQ300),则根据安全程序SPG按照预先规定的算法算出哈希值HS(序列SQ302)。接着,支持装置500利用自身装置的私钥SK'将所算出的哈希值HS加密而生成加密完毕哈希值SHS(序列SQ304)。接下来,支持装置500向中继单元200转发安全程序SPG及对应的加密完毕哈希值SHS(序列SQ306)。
中继单元200根据所接收的转发数据中所含的安全程序SPG而算出哈希值HS(序列SQ308)。而且,中继单元200利用支持装置500的公钥PK'将所接收的转发数据中所含的加密完毕哈希值SHS解密为哈希值HS(序列SQ310)。接下来,支持装置500验证所算出的哈希值HS与经解密的哈希值HS的相同性(序列SQ312)。中继单元200若确认哈希值HS的相同性,则向安全单元300转发安全程序SPG(序列SQ314)。
支持装置500生成共享密钥TCK'作为一次性密钥(序列SQ320)。接着,支持装置500利用自身装置的私钥SK'将所生成的共享密钥TCK'加密,由此生成加密完毕共享密钥STC'(序列SQ322)。并且,支持装置500向中继单元200转发所生成的加密完毕共享密钥STC'(序列SQ324)。
中继单元200利用支持装置500的公钥PK'将所接收的加密完毕共享密钥STC'解密为共享密钥TCK'(序列SQ326)。接下来,中继单元200算出所接收的安全程序SPG的哈希值HS(序列SQ328)。进而,中继单元200利用之前解密的共享密钥TCK'将所算出的哈希值HS加密而生成加密完毕哈希值SHS(序列SQ330)。接着,中继单元200向支持装置500转发所生成的加密完毕哈希值SHS(序列SQ332)。
支持装置500利用共享密钥TCK'将加密完毕哈希值SHS解密为哈希值HS(序列SQ334)。接下来,支持装置500算出自身装置所保持的安全程序SPG的哈希值HS(序列SQ336)。最终,支持装置500判断自身装置所保持的安全程序SPG的哈希值HS、与从中继单元200接收的哈希值HS的一致(序列SQ338)。
如上所述,通过利用与支持装置500相关联的密钥对(私钥SK'及公钥PK'),从而可保证经改写的文件的相同性(条件4),并且可保证进行维护的操作员的权限(条件1)。
<I.时限式的公钥>
一般来说,密钥的强度可能根据使用期间而变化。密钥的有效期越长,则密钥的强度越下降,安全风险(密钥被窃听或破解等)可能增大。因此,通过采用时限式的密钥,可降低安全风险。
图21为表示本实施方式的安全系统1的公钥的有效期的设定例的图。如图21所示,例如,安全系统1中,设想负责各种保养作业的保养人员及统管安全的责任人等。
对于保养人员,以存在某些问题时可进行远程维护的方式,设定每当发生问题时暂时赋予那样的短的有效期。另一方面,对于责任人,由于需要依次管理安全系统1,因而设定长的有效期。但是,为了不使安全风险增大,优选共用私钥。
图22为用于说明本实施方式的从支持装置500对安全系统1进行远程维护的进而另一形态的图。参照图22,也可采用如下结构,即:针对用于远程维护的支持装置500,暂时发行仅在某有限的有效的公钥PK1。
图21所示的安全系统1中,连接着受理现场的操作员的操作的、显示操作装置600。现场的操作员确认对象的设备及作业员的安全后,操作显示操作装置600,进行用于可暂时进行远程维护的操作。通过所述操作,例如可从支持装置500向安全单元300以30分钟的期间转发安全程序SPG。
更具体而言,显示操作装置600响应所述操作,向安全系统1(中继单元200)输出一次性公钥生成请求。中继单元200响应一次性公钥生成请求,基于私钥SK1而生成公钥PK1,并且向支持装置500安装所述生成的公钥PK1。
支持装置500中,通过使用公钥PK1,从而可进行针对安全系统1的远程维护(典型而言,安全程序SPG的转发等)。此时,针对公钥PK1,设定相对较短的有效期(例如30分钟)。这样,安全系统1的中继单元200响应来自外部的请求,对公钥PK1预先规定有效期后,向支持装置500给予公钥PK1。
如上所述,通过使用私钥SK1及公钥PK1,从而可实现作为条件3的“可独特地识别改写对象设备”。进而,通过采用现场的操作员操作显示操作装置600由此可进行远程维护的结构,从而可更可靠地实现作为条件5的“现场的作业者安全”。
图23为用于说明从图22所示的支持装置500进行远程维护的另一形态的图。如图23所示,对安全单元300,输入来自光幕等安全设备380的信号。这种结构中,也可为若光幕探测到某些侵入者,安全单元300执行某些安全功能,则禁止从支持装置500进行远程维护。
即,其原因在于,在安全单元300执行某些安全功能的期间中,中断所述安全功能的执行,如此而禁止安全程序SPG的改写等。
具体而言,也可为若安全单元300接到来自安全设备380的信号而开始某些安全功能,则向中继单元200发送访问无效请求。
作为实现访问失效的方法,也可使用公钥失效列表INL。若在公钥失效列表INL登记任一公钥,则所述登记的公钥即便在有效期内也失效。即,无法使用登记于公钥失效列表INL的公钥从支持装置500进行远程维护。
另外,关于公钥失效列表INL,可由中继单元200保持,也可由安全系统1外的认证机构等保持。
通过使用这种公钥失效列表INL,从而可限制可对安全系统1进行远程维护的权限,可提高安全强度。
图24为用于说明从图22所示的支持装置500进行远程维护的进而另一形态的图。如图24所示,例如操作支持装置500进行远程维护的操作员、与现场的操作员利用电话等安全的通讯部件共享密码,分别对支持装置500及显示操作装置600输入认证密码ATP。
支持装置500中,利用公钥PK1将所输入的认证密码ATP加密而生成加密完毕认证密码SAT。加密完毕认证密码SAT与加密完毕安全程序SSP一起作为转发数据向安全系统1转发。
另一方面,显示操作装置600向安全系统1(中继单元200)发送所输入的认证密码ATP。中继单元200将来自支持装置500的转发数据中所含的加密完毕认证密码SAT解密,并且对照与从显示操作装置600接收的认证密码ATP是否一致。仅限于所述认证密码ATP的对照成功的情况下,使从支持装置500的远程维护起效。
这样,通过操作支持装置500进行远程维护的操作员、与现场的操作员取得联络,从而可更可靠地实现作为条件5的“现场的作业者安全”。进而,通过使用操作员彼此共享的认证密码ATP,从而可进一步提高安全强度。即,即便从中继单元200向支持装置500提供的公钥PK被窃听,也可利用认证密码ATP来禁止不当的远程维护的实施。
<J.其他形态>
所述实施方式中,例示了下述系统,即:执行安全程序SPG的安全单元300、与在与支持装置500之间收授数据的中继单元200包含独立的单元。在使这种中继单元200与安全单元300分开的情况下,通过对现有的系统追加中继单元200,从而可容易地实现所述那样的远程维护。
但是,未必一定要使中继单元200与安全单元300分开,也可采用使两者一体化的结构。进而,也可采用使控制单元100、中继单元200及安全单元300全部一体化的结构。此时,有可使框体紧凑等优点。
图25的(A)、图25的(B)与图25的(C)为表示本实施方式的安全系统1的结构的变形例的示意图。图25的(A)、图25的(B)与图25的(C)中,表示控制单元100、中继单元200及安全单元300的一部分或全部一体化的结构例。
图25的(A)所示的安全系统1A包含使控制单元100及安全单元300一体化的综合单元50A、与中继单元200。即,安全系统1A的综合单元50A中,标准控制及安全控制在同一单元内执行。
图25的(B)所示的安全系统1B包含使中继单元200及控制单元100一体化的综合单元50B、与安全单元300。即,安全系统1B的综合单元50B中,与其他装置之间的通信处理及标准控制在同一单元内执行。
图25的(C)所示的安全系统1C包含使控制单元100、中继单元200及安全单元300一体化的综合单元50C。即,安全系统1C的综合单元50C中,与其他装置之间的通信处理、标准控制及安全控制在同一单元内执行。
这样,控制单元100,中继单元200及安全单元300负责的功能及处理的安装形态可为任何形态。进而,也可将控制单元100、中继单元200及安全单元300负责的功能的一部分彼此安装于共同的处理单元。
<K.附注>
如上所述的本实施方式包含如下所述的技术思想。
[结构1]
一种安全系统,包括:
处理执行部300,按照安全程序SPG来执行安全控制;
通信部200,与所述处理执行部直接连接,并且中介针对所述处理执行部所保持的所述安全程序的外部访问;以及
支持装置500,与所述通信部进行网络连接,并且按照用户操作来执行针对所述安全程序的包含追加或变更的维护,
所述支持装置及所述通信部以预先互换的信息SK、PK、CR来确定两者,收授所述维护所需要的数据。
[结构2]
根据结构1所记载的安全系统,其中,
所述通信部保持密钥SK作为所述预先互换的信息的至少一部分,
所述支持装置以所述通信部能够利用所述密钥进行解密的方式将所述维护所需要的数据加密,并向所述通信部转发。
[结构3]
根据结构2所记载的安全系统,其中,
所述通信部保持第一私钥SK作为所述密钥,
所述支持装置保持与所述第一私钥成对的第一公钥PK、及对所述第一公钥发行的第一电子证书CR的至少一者。
[结构4]
根据结构3所记载的安全系统,其中,所述通信部在能够利用所述第一私钥SK将从所述支持装置转发的数据解密的情况下,向所述处理执行部转发所述经解密的数据。
[结构5]
根据结构3或4所记载的安全系统,其中,所述通信部响应来自外部的请求,在对所述第一公钥PK预先规定有效期后,向所述支持装置给予所述第一公钥PK。
[结构6]
根据结构3至5中任一项所记载的安全系统,其中,
所述支持装置保持对与所述第一私钥SK成对的第一公钥PK发行的第一电子证书CR,所述第一电子证书包含用于识别所述处理执行部的识别信息SRN,
所述支持装置在发送所述维护所需要的数据之前,判断经由所述通信部所获取的所述处理执行部的识别信息SRN、与所述第一电子证书中所含的识别信息SRN是否一致。
[结构7]
根据结构6所记载的安全系统,其中,所述支持装置以经由所述通信部所获取的所述处理执行部的识别信息SRN、与所述第一电子证书CR中所含的识别信息SRN一致为条件,向所述通信部发送所述维护所需要的数据。
[结构8]
根据结构3至7中任一项所记载的安全系统,其中,所述支持装置在需要发送所述维护所需要的数据的情况下,生成作为一次性密钥的第三密钥TCK,
利用所述第三密钥TCK将所述维护所需要的数据加密,并且以所述通信部能够利用所述密钥进行解密的方式将所述第三密钥加密,并向所述通信部发送。
[结构9]
根据结构1至8中任一项所记载的安全系统,其中,
所述支持装置构成为发送所述安全程序SPG作为所述维护所需要的数据,
所述支持装置保持第二私钥SK',
所述通信部保持与所述第二私钥成对的第二公钥PK'、及对所述第二公钥发行的第二电子证书CR'的至少一者,
所述支持装置利用所述第二私钥将根据所述安全程序算出的第一哈希值HS加密,并向所述通信部发送,
所述通信部判断根据从所述支持装置接收的安全程序算出的第二哈希值HS、与利用所述第二公钥将从所述支持装置接收的经加密的所述第一哈希值解密所得的结果是否一致。
[结构10]
根据结构9所记载的安全系统,其中,
所述通信部将根据从所述支持装置接收的安全程序算出的所述第二哈希值HS加密,并向所述支持装置发送,
所述支持装置判断将从所述通信部接收的经加密的所述第二哈希值HS解密所得的结果、与根据所述安全程序算出的第一哈希值是否一致。
[结构11]
根据结构1至10中任一项所记载的安全系统,其中所述处理执行部及所述通信部构成为相互独立的单元。
[结构12]
一种维护方法,为控制器系统的维护方法,所述控制器系统包含按照安全程序SPG来执行安全控制的处理执行部300,且所述维护方法包括:
将支持装置与通信部进行网络连接的步骤SQSQ106;
所述支持装置按照用户操作来执行针对所述安全程序的包含追加或变更的维护的步骤SQ104、SQ114;以及
所述支持装置及所述通信部以预先互换的信息确定两者,收授所述维护所需要的数据的步骤SQ106~SQ110。
<L.优点>
根据本实施方式的安全系统1,在支持装置500与中继单元200之间以预先互换的信息(例如私钥/公钥)确定两者。由此,可从支持装置500唯一地确定连接目标的中继单元200。而且,反之中继单元200可唯一地确定转发源的支持装置500。由此可满足IEC 62061所规定的条件,并且实现远程维护。
其结果,可提高远程维护的效率,并且由此而提高生产设备的生产性。
应认为,此次公开的实施方式在所有方面仅为例示而非限制者。本发明的范围是由权利要求而非所述说明所示,且意图包含与权利要求均等的含义及范围内的所有变更。
Claims (11)
1.一种安全系统,包括:
处理执行部,按照安全程序来执行安全控制;
通信部,与所述处理执行部直接连接,并且中介针对所述处理执行部所保持的所述安全程序的外部访问;以及
支持装置,与所述通信部进行网络连接,并且按照用户操作来执行针对所述安全程序的包含追加或变更的维护,
所述支持装置及所述通信部以预先互换的信息来确定两者,收授维护所需要的数据,
所述支持装置保持第二私钥,并生成作为一次性密钥的共享密钥,
所述通信部保持与所述第二私钥成对的第二公钥、及对所述第二公钥发行的第二电子证书的至少一者,
所述支持装置利用所述第二私钥将所生成的所述共享密钥加密,并向所述通信部转发所生成的加密完毕共享密钥,
所述通信部将所述加密完毕共享密钥解密为所述共享密钥,并利用所述共享密钥将根据从所述支持装置接收的安全程序算出的第二哈希值加密,并向所述支持装置发送,
所述支持装置判断将从所述通信部接收的经加密的所述第二哈希值解密所得的结果、与根据所述安全程序算出的第一哈希值是否一致。
2.根据权利要求1所述的安全系统,其中,
所述通信部保持密钥作为所述预先互换的信息的至少一部分,
所述支持装置以所述通信部能够利用所述密钥进行解密的方式将所述维护所需要的数据加密,并向所述通信部转发。
3.根据权利要求2所述的安全系统,其中,
所述通信部保持第一私钥作为所述密钥,
所述支持装置保持与所述第一私钥成对的第一公钥、及对所述第一公钥发行的第一电子证书的至少一者。
4.根据权利要求3所述的安全系统,其中,所述通信部在能够利用所述第一私钥将从所述支持装置转发的数据解密的情况下,向所述处理执行部转发经解密的所述数据。
5.根据权利要求3或4所述的安全系统,其中,所述通信部响应来自外部的请求,对所述第一公钥预先规定有效期后,向所述支持装置给予所述第一公钥。
6.根据权利要求3或4所述的安全系统,其中,
所述支持装置保持对与所述第一私钥成对的第一公钥发行的第一电子证书,所述第一电子证书包含用于识别所述处理执行部的识别信息,
所述支持装置在发送所述维护所需要的数据之前,判断经由所述通信部所获取的所述处理执行部的识别信息、与所述第一电子证书中所含的识别信息是否一致。
7.根据权利要求6所述的安全系统,其中,所述支持装置以经由所述通信部所获取的所述处理执行部的识别信息、与所述第一电子证书中所含的识别信息一致为条件,向所述通信部发送所述维护所需要的数据。
8.根据权利要求7所述的安全系统,其中,所述支持装置在需要发送所述维护所需要的数据的情况下,生成作为一次性密钥的第三密钥,
利用所述第三密钥将所述维护所需要的数据加密,并且以所述通信部能够利用所述密钥进行解密的方式将所述第三密钥加密,并向所述通信部发送。
9.根据权利要求1至4中任一项所述的安全系统,其中,
所述支持装置构成为发送所述安全程序作为所述维护所需要的数据,
所述支持装置利用所述第二私钥将根据所述安全程序算出的所述第一哈希值加密,并向所述通信部发送,
所述通信部判断根据从所述支持装置接收的安全程序算出的所述第二哈希值、与利用所述第二公钥将从所述支持装置接收的经加密的所述第一哈希值解密所得的结果是否一致。
10.根据权利要求1至4中任一项所述的安全系统,其中,所述处理执行部及所述通信部构成为相互独立的单元。
11.一种维护方法,为控制器系统的维护方法,所述控制器系统包含按照安全程序来执行安全控制的处理执行部,且所述维护方法包括下述步骤:
将支持装置与通信部进行网络连接;
所述支持装置按照用户操作来执行针对所述安全程序的包含追加或变更的维护;以及
所述支持装置及所述通信部以预先互换的信息确定两者,收授维护所需要的数据,
所述支持装置保持第二私钥,并生成作为一次性密钥的共享密钥,
所述通信部保持与所述第二私钥成对的第二公钥、及对所述第二公钥发行的第二电子证书的至少一者,
所述支持装置利用所述第二私钥将所生成的所述共享密钥加密,并向所述通信部转发所生成的加密完毕共享密钥,
所述通信部将所述加密完毕共享密钥解密为所述共享密钥,并利用所述共享密钥将根据从所述支持装置接收的安全程序算出的第二哈希值加密,并向所述支持装置发送,
所述支持装置判断将从所述通信部接收的经加密的所述第二哈希值解密所得的结果、与根据所述安全程序算出的第一哈希值是否一致。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019-012603 | 2019-01-28 | ||
| JP2019012603 | 2019-01-28 | ||
| JP2019114342A JP7334492B2 (ja) | 2019-01-28 | 2019-06-20 | セーフティシステムおよびメンテナンス方法 |
| JP2019-114342 | 2019-06-20 | ||
| PCT/JP2019/050128 WO2020158247A1 (ja) | 2019-01-28 | 2019-12-20 | セーフティシステムおよびメンテナンス方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112654985A CN112654985A (zh) | 2021-04-13 |
| CN112654985B true CN112654985B (zh) | 2024-04-09 |
Family
ID=71891394
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980058532.1A Active CN112654985B (zh) | 2019-01-28 | 2019-12-20 | 安全系统以及维护方法 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP3920063B1 (zh) |
| JP (1) | JP7334492B2 (zh) |
| CN (1) | CN112654985B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113673718B (zh) * | 2021-08-23 | 2024-03-15 | 珠海优特电力科技股份有限公司 | 现场作业安全措施执行过程的管控方法和装置及存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1977256A (zh) * | 2004-01-21 | 2007-06-06 | 株式会社日立制作所 | 远程访问系统、网关、客户机、程序和存储媒体 |
| JP2009124520A (ja) * | 2007-11-16 | 2009-06-04 | Fujitsu Ltd | データ送付方法および電子機器 |
| CN102047266A (zh) * | 2008-10-10 | 2011-05-04 | 松下电器产业株式会社 | 信息处理装置、认证系统、认证装置、信息处理方法、信息处理程序、记录介质及集成电路 |
| EP2479701A1 (en) * | 2009-09-17 | 2012-07-25 | Panasonic Corporation | Information processing device, administration device, invalid-module detection system, invalid-module detection method, recording medium having an invalid-module detection program recorded thereon, administration method, recording medium having an administration program recorded thereon, and integrated circuit |
| CN103140856A (zh) * | 2011-09-13 | 2013-06-05 | 松下电器产业株式会社 | 内容再生系统、信息处理终端、媒体服务器、安全器件以及服务器安全器件 |
| JP2015039141A (ja) * | 2013-08-19 | 2015-02-26 | 富士通株式会社 | 証明書発行要求生成プログラム、証明書発行要求生成装置、証明書発行要求生成システム、証明書発行要求生成方法、証明書発行装置および認証方法 |
| JP2016072675A (ja) * | 2014-09-26 | 2016-05-09 | Kddi株式会社 | 管理装置、車両、管理方法およびコンピュータプログラム |
| JP2017163612A (ja) * | 2017-06-12 | 2017-09-14 | パナソニックIpマネジメント株式会社 | 端末認証システム、サーバ装置、及び端末認証方法 |
| JP2018117185A (ja) * | 2017-01-16 | 2018-07-26 | キヤノン株式会社 | 情報処理装置、情報処理方法 |
| CA3002280A1 (en) * | 2017-05-26 | 2018-11-26 | Honeywell International Inc. | Systems and methods for providing a secured password and authentication mechanism for programming and updating software or firmware |
| CN109214168A (zh) * | 2018-08-27 | 2019-01-15 | 阿里巴巴集团控股有限公司 | 固件升级方法及装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4807562B2 (ja) | 2005-11-25 | 2011-11-02 | 横河電機株式会社 | プラント制御システム |
| US9112891B2 (en) * | 2007-02-02 | 2015-08-18 | Sharp Laboratories Of America, Inc. | Remote firmware management for electronic devices |
| JP5895471B2 (ja) * | 2011-01-17 | 2016-03-30 | 株式会社リコー | 情報処理装置、プログラム |
| US8898480B2 (en) * | 2012-06-20 | 2014-11-25 | Microsoft Corporation | Managing use of a field programmable gate array with reprogammable cryptographic operations |
| KR20150074414A (ko) * | 2013-12-24 | 2015-07-02 | 현대자동차주식회사 | 펌웨어 업그레이드 방법 및 그 시스템 |
| JP6905697B2 (ja) | 2016-04-27 | 2021-07-21 | 学校法人東京電機大学 | 電子メールシステム |
| JP6805654B2 (ja) | 2016-09-06 | 2020-12-23 | 大日本印刷株式会社 | ソフトウェア更新システム |
-
2019
- 2019-06-20 JP JP2019114342A patent/JP7334492B2/ja active Active
- 2019-12-20 EP EP19913150.9A patent/EP3920063B1/en active Active
- 2019-12-20 CN CN201980058532.1A patent/CN112654985B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1977256A (zh) * | 2004-01-21 | 2007-06-06 | 株式会社日立制作所 | 远程访问系统、网关、客户机、程序和存储媒体 |
| JP2009124520A (ja) * | 2007-11-16 | 2009-06-04 | Fujitsu Ltd | データ送付方法および電子機器 |
| CN102047266A (zh) * | 2008-10-10 | 2011-05-04 | 松下电器产业株式会社 | 信息处理装置、认证系统、认证装置、信息处理方法、信息处理程序、记录介质及集成电路 |
| EP2479701A1 (en) * | 2009-09-17 | 2012-07-25 | Panasonic Corporation | Information processing device, administration device, invalid-module detection system, invalid-module detection method, recording medium having an invalid-module detection program recorded thereon, administration method, recording medium having an administration program recorded thereon, and integrated circuit |
| CN103140856A (zh) * | 2011-09-13 | 2013-06-05 | 松下电器产业株式会社 | 内容再生系统、信息处理终端、媒体服务器、安全器件以及服务器安全器件 |
| JP2015039141A (ja) * | 2013-08-19 | 2015-02-26 | 富士通株式会社 | 証明書発行要求生成プログラム、証明書発行要求生成装置、証明書発行要求生成システム、証明書発行要求生成方法、証明書発行装置および認証方法 |
| JP2016072675A (ja) * | 2014-09-26 | 2016-05-09 | Kddi株式会社 | 管理装置、車両、管理方法およびコンピュータプログラム |
| JP2018117185A (ja) * | 2017-01-16 | 2018-07-26 | キヤノン株式会社 | 情報処理装置、情報処理方法 |
| CA3002280A1 (en) * | 2017-05-26 | 2018-11-26 | Honeywell International Inc. | Systems and methods for providing a secured password and authentication mechanism for programming and updating software or firmware |
| JP2017163612A (ja) * | 2017-06-12 | 2017-09-14 | パナソニックIpマネジメント株式会社 | 端末認証システム、サーバ装置、及び端末認証方法 |
| CN109214168A (zh) * | 2018-08-27 | 2019-01-15 | 阿里巴巴集团控股有限公司 | 固件升级方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3920063A1 (en) | 2021-12-08 |
| JP7334492B2 (ja) | 2023-08-29 |
| JP2020120367A (ja) | 2020-08-06 |
| EP3920063A4 (en) | 2022-10-12 |
| CN112654985A (zh) | 2021-04-13 |
| EP3920063B1 (en) | 2023-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI741041B (zh) | 用於可程式化設備的統一程式設計環境 | |
| US20200153636A1 (en) | On-vehicle authentication system, communication device, on-vehicle authentication device, communication device authentication method and communication device manufacturing method | |
| US20180041341A1 (en) | Counterfeit prevention | |
| RU2690887C2 (ru) | Модульное устройство управления безопасностью | |
| US9674164B2 (en) | Method for managing keys in a manipulation-proof manner | |
| US20180375842A1 (en) | Methods and security control apparatuses for transmitting and receiving cryptographically protected network packets | |
| JP2022137171A (ja) | 通信システム、それに用いる通信装置、管理装置及び情報端末 | |
| US11171922B2 (en) | Method and system for secure data transmission with a VPN box | |
| TW201532417A (zh) | 密碼金鑰供給方法、半導體積體電路及密碼金鑰管理裝置 | |
| US9042553B2 (en) | Communicating device and communicating method | |
| US8245286B2 (en) | Information processing device, electronic certificate issuing method, and computer-readable storage medium | |
| US11916903B2 (en) | Method for setting up authorization verification for a first device | |
| WO2020158247A1 (ja) | セーフティシステムおよびメンテナンス方法 | |
| US20150047001A1 (en) | Application program execution device | |
| CN112654985B (zh) | 安全系统以及维护方法 | |
| US20220191191A1 (en) | Cryptographically protected provision of a digital certificate | |
| JP2021532686A (ja) | 暗号鍵を車内で管理するための方法 | |
| JP7127585B2 (ja) | セーフティシステムおよびメンテナンス方法 | |
| US11640468B2 (en) | Method for operating an industrial PC device and industrial PC device | |
| CN105763518A (zh) | 一种基于b/s架构的远程数据加密方法 | |
| CN113490892A (zh) | 控制装置以及控制系统 | |
| WO2022190422A1 (ja) | 制御システムおよびその制御方法 | |
| KR101527870B1 (ko) | 풍력 발전 네트워크에서 보안을 유지하는 방법 및 장치 | |
| CN110972141B (zh) | 信息验证方法、装置、电子设备及可读存储介质 | |
| Biham et al. | K7: A Protected Protocol for Industrial Control Systems that Fits Large Organizations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |