DE112019005250T5 - Steuereinrichtung, industrielles Steuersystem und Verfahren zur Verlängerung der Gültigkeitsdauer von Verschlüsselungsschlüsseln - Google Patents

Steuereinrichtung, industrielles Steuersystem und Verfahren zur Verlängerung der Gültigkeitsdauer von Verschlüsselungsschlüsseln Download PDF

Info

Publication number
DE112019005250T5
DE112019005250T5 DE112019005250.0T DE112019005250T DE112019005250T5 DE 112019005250 T5 DE112019005250 T5 DE 112019005250T5 DE 112019005250 T DE112019005250 T DE 112019005250T DE 112019005250 T5 DE112019005250 T5 DE 112019005250T5
Authority
DE
Germany
Prior art keywords
key
control device
validity period
validity
period
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112019005250.0T
Other languages
English (en)
Inventor
Minoru Nakaide
Shinichi Toda
Yoshikane Yamanaka
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Heavy Industries Ltd
Original Assignee
Mitsubishi Power Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Power Ltd filed Critical Mitsubishi Power Ltd
Publication of DE112019005250T5 publication Critical patent/DE112019005250T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Eine Steuervorrichtung ist konfiguriert, eine Kommunikation mit einer anderen Vorrichtung über ein Kommunikationsnetzwerk durchzuführen. Die Steuervorrichtung ist bereitgestellt mit: einer Schlüsselerfassungseinheit, die konfiguriert ist, von einem Schlüsselerfassungsserver über das Kommunikationsnetzwerk einen Verschlüsselungsschlüssel mit einer Gültigkeitsdauer zum Ausführen einer verschlüsselten Kommunikation mit der anderen Vorrichtung zu erfassen; einer Verschlüsselungskommunikationseinheit, die konfiguriert ist, die verschlüsselte Kommunikation mit der anderen Vorrichtung unter Verwendung des Verschlüsselungsschlüssels innerhalb der Gültigkeitsdauer auszuführen; einer Serverzustandsdetektionseinheit, die konfiguriert ist, einen Schlüsselerfassungs-Deaktivierungszustand zu erfassen, der ein Zustand ist, in dem die Erfassung des Verschlüsselungsschlüssels durch die Schlüsselerfassungseinheit nicht ausgeführt werden kann; und einer Gültigkeitsdauerverlängerungseinheit, die konfiguriert ist, eine Verlängerungsverarbeitung zum Verlängern der Gültigkeitsdauer auszuführen, wenn der Schlüsselerfassungs-Deaktivierungszustand detektiert wird.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Offenbarung betrifft ein Steuersystem, und insbesondere die Verbesserung der Sicherheit einer verteilten Steuervorrichtung.
  • STAND DER TECHNIK
  • In den letzten Jahren sind industrielle Steuersysteme (Industrial Control System, ICS), die Infrastrukturen wie Erdöl, Gas, Strom und Fertigung unterstützen, mit externen Netzwerken verbunden, und Sicherheitsmaßnahmen gegen Cyberangriffe werden immer wichtiger. Als Vorrichtung zur Steuerung einer Anlage wie z.B. eines Kraftwerks oder einer Fertigungsanlage, die eine Art des industriellen Steuersystems ist, ist eine verteilte Steuervorrichtung (Distributed Control System, DCS) bekannt, die die Anlage mit einer Vielzahl von miteinander kommunizierenden Steuergeräten steuert. Das DCS ist mit einer Vielzahl von in der Anlage installierten Feldvorrichtungen über ein Steuernetzwerk verbunden, das diese Vorrichtungen steuert und überwacht (siehe Patentdokumente 1 und 2). Darüber hinaus sind die Steuervorrichtungen, die die verteilte Steuervorrichtung bilden, mit einer Mensch-Maschine-Schnittstelle (Human Machine Interface HMI) zum Bedienen und Überwachen der Anlage über ein Steuerinformationsnetzwerk verbunden, das z.B. durch das Ethernet, das ein eingetragenes Warenzeichen der Xerox Corporation war, aufgebaut ist, die Steuerung jeder Feldvorrichtung auf der Grundlage einer Anweisung durchzuführen, die von einem Computer wie der HMI außerhalb der Vorrichtung übertragen wird. Als Cyber-Angriff auf das industrielle Steuersystem, das ein solches DCS enthält, kann z.B. ein Denial-of-Service (DoS)-Angriff oder eine in einem Informationssystem weit verbreitete Angriffsmethode wie Spoofing, Lauschangriff und Manipulation durchgeführt werden.
  • Im Internet wird die Vertraulichkeit der Kommunikation durch die Verschlüsselung der Kommunikationsdaten sichergestellt. Beispielsweise wird bei der SSL-Kommunikation ein Sitzungsschlüssel (gemeinsamer Schlüssel), der für einen bestimmten Zeitraum gültig ist (der eine bestimmte Lebens- bzw. Gültigkeitsdauer hat), durch ein Schlüsselaustauschprotokoll wie dem Internetschlüsselaustausch (Internet Key Exchange, IKE) zu Beginn der Kommunikation ausgetauscht, um eine verschlüsselte Kommunikation von Kommunikationsdaten unter Verwendung des Sitzungsschlüssels durchzuführen. Ferner wird ein Schlüsselverteilungszentrum (Key Distribution Center, KDC) installiert, und jede Vorrichtung des Benutzers bezieht einen Sitzungsschlüssel von dem Schlüsselverteilungszentrum und verwendet ihn für die verschlüsselte Kommunikation zwischen den Vorrichtungen. Patentdokument 3 offenbart eine dienstleistende Vorrichtung, die das Ablaufdatum eines Tickets, das die Benutzerauthentifizierung, Autorität oder Ähnliches bescheinigt, als Reaktion auf eine Anforderung verlängert.
  • Zitatliste
  • Patentliteratur
    • Patentdokument 1: JP2011-221846A
    • Patentdokument 2: JP2012-226680A
    • Patentdokument 2: JP2004-171524A
  • ZUSAMMENFASSUNG
  • Zu lösende Probleme
  • Wenn bei der Installation eines Servers (Schlüsselverteilungsserver), der einen Sitzungsschlüssel für die verschlüsselte Kommunikation in einem industriellen Steuersystem verteilt, der Schlüsselverteilungsserver aufgrund eines Hardwarefehlers oder eines böswilligen Cyberangriffs, wie z.B. eines DoS-Angriffs, ausfällt, wird die Kommunikation zwischen den Steuervorrichtungen, die die verteilte Steuervorrichtung bilden, zu dem Zeitpunkt unmöglich, an dem die Gültigkeitsdauer des Sitzungsschlüssels abläuft. Infolgedessen werden die Prozessdatenüberwachung und -bedienung von der HMI und die Kommunikation zwischen den Steuervorrichtungen unmöglich, wenn die Gültigkeitsdauer des Sitzungsschlüssels abläuft, und eine Verriegelung, die eine Notabschaltung des Steuerziels bewirkt, reduziert die Verfügbarkeit des Steuerziels.
  • Als Gegenmaßnahme ist es z.B. denkbar, den Schlüsselverteilungsserver durch Duplikation redundant zu machen, aber wenn alle Schlüsselverteilungsserver ausfallen, bleibt das Risiko bestehen, dass die Verfügbarkeit des gesteuerten Ziels wie oben beschrieben reduziert wird. Als alternative Gegenmaßnahme ist es auch denkbar, einen Verschlüsselungsschlüssel ohne Gültigkeitsdauer zu verwenden, aber es bleibt ein Risiko, dass verschlüsselte Daten entschlüsselt werden.
  • In Anbetracht der obigen Ausführungen ist es ein Ziel mindestens einer Ausführungsform der vorliegenden Erfindung, eine verteilte Steuervorrichtung mit verbesserter Sicherheitsleistung und Zuverlässigkeit bereitzustellen.
  • Lösung der Probleme
  • (1) Eine Steuervorrichtung gemäß mindestens einer Ausführungsform der vorliegenden Erfindung ist konfiguriert, mit einer anderen Vorrichtung über ein Kommunikationsnetzwerk zu kommunizieren, und umfasst:
    • eine Schlüsselerfassungseinheit, die konfiguriert ist, von einem Schlüsselerfassungsserver über das Kommunikationsnetzwerk einen Verschlüsselungsschlüssel mit einer Gültigkeitsdauer zum Ausführen einer verschlüsselten Kommunikation mit der anderen Vorrichtung zu erfassen;
    • eine Verarbeitungseinheit für verschlüsselte Kommunikation, die konfiguriert ist, die verschlüsselte Kommunikation mit der anderen Vorrichtung unter Verwendung des Verschlüsselungsschlüssels innerhalb der Gültigkeitsdauer auszuführen;
    • eine Serverzustandserkennungseinheit, die konfiguriert ist, einen Schlüsselerfassungs-Deaktivierungszustand zu erkennen, in dem die Erfassung des Verschlüsselungsschlüssels durch die Schlüsselerfassungseinheit deaktiviert ist; und
    • eine Gültigkeitsverlängerungseinheit, die konfiguriert ist, eine Verlängerungsverarbeitung zum Verlängern der Gültigkeitsdauer auszuführen, wenn der Schlüsselerfassungs-Deaktivierungszustand detektiert wird.
  • Mit der obigen Konfiguration (1) kommuniziert die Steuervorrichtung unter Verwendung des von dem Schlüsselerfassungsserver, der den Verschlüsselungsschlüssel wie einen Sitzungsschlüssel verteilt, erworbenen Verschlüsselungsschlüssels mit einer anderen Vorrichtung wie einer Vorrichtung, die zusammen eine verteilte Steuervorrichtung, eine HMI-Vorrichtung (später beschrieben) oder ein ACS (später beschrieben) bildet. Außerdem verlängert die Steuervorrichtung in einem Zustand, in dem die Gültigkeitsdauer des Verschlüsselungsschlüssels nicht verlängert werden kann, weil der Schlüsselerfassungsserver aufgrund eines Hardwarefehlers oder eines Cyberangriffs ausgefallen ist (Schlüsselerfassungs-Deaktivierungszustand), automatisch die Gültigkeitsdauer des zu diesem Zeitpunkt verwendeten Verschlüsselungsschlüssels, ohne mit dem Schlüsselerfassungsserver zu kommunizieren.
  • Dadurch kann verhindert werden, dass die Datenkommunikation zwischen den Steuervorrichtungen, die die verteilte Steuervorrichtung bilden, aufgrund des Ablaufs der Gültigkeitsdauer des Verschlüsselungsschlüssels unmöglich wird. Dadurch kann verhindert werden, dass das Steuerziel durch die verteilte Steuervorrichtung unkontrollierbar wird, und es kann verhindert werden, dass die Verfügbarkeit des Steuerziels sinkt. Ebenso kann verhindert werden, dass die Datenkommunikation mit anderen Vorrichtungen, wie z.B. einer HMI-Vorrichtung, unmöglich wird und dass die Anlage stillsteht, weil das industrielle Steuersystem nicht über die Steuervorrichtung überwacht und bedient werden kann. Da die Kommunikation zwischen den Steuervorrichtungen, die die verteilte Steuervorrichtung bilden, mit dem Verschlüsselungsschlüssel verschlüsselt wird, der eine Gültigkeitsdauer hat, kann die verteilte Steuervorrichtung außerdem vor Cyberangriffen wie Lauschangriffen, Manipulationen und Spoofing geschützt werden.
  • (2) In einigen Ausführungsformen umfasst die Steuervorrichtung in der obigen Konfiguration (1) ferner eine Gültigkeitsdauerüberwachungseinheit, die konfiguriert ist, den Ablauf der Gültigkeitsdauer zu bestimmen. Die Gültigkeitsverlängerungseinheit verhindert, dass die Gültigkeitsdauerüberwachungseinheit den Ablauf der Gültigkeitsdauer als die Verlängerungsverarbeitung bestimmt.
  • Mit der obigen Konfiguration (2) ist es möglich, die Gültigkeitsdauer des Verschlüsselungsschlüssels angemessen zu verlängern.
  • (3) In einigen Ausführungsformen ist in der obigen Konfiguration (2) die Gültigkeitsdauerüberwachungseinheit konfiguriert, die Gültigkeitsdauer zu zählen, und die Verlängerungsverarbeitung setzt einen Zählwert der Gültigkeitsdauerüberwachungseinheit um einen vorbestimmten Wert zurück.
  • Bei der obigen Konfiguration (3) setzt die Erweiterungsverarbeitung der Gültigkeitsdauer des Verschlüsselungsschlüssels den Zählwert der Gültigkeitsdauer um den vorbestimmten Wert zurück. Somit ist es möglich, die Gültigkeitsdauer des Verschlüsselungsschlüssels angemessen zu verlängern.
  • 4) In einigen Ausführungsformen, in einer der obigen Konfigurationen (1) bis (3), detektiert die Serverzustandserkennungseinheit den Schlüsselerfassungs-Deaktivierungszustand, basierend auf der Zustandsmeldung, die periodisch vom Schlüsselerfassungsserver übertragen wird, oder auf dem Kommunikationsstatus der Zustandsmeldung.
  • Bei der obigen Konfiguration (4) benachrichtigt der Schlüsselerfassungsserver die Steuervorrichtung periodisch über den Zustand des Servers, und die Steuervorrichtung bestimmt, ob der Verschlüsselungsschlüssel von dem Schlüsselerfassungsserver erworben (aktualisiert) werden kann, basierend auf der Zustandsinformation des Schlüsselerfassungsservers, die von dem Schlüsselerfassungsserver benachrichtigt wird, oder dem Kommunikationsstatus der Zustandsbenachrichtigung, die periodisch durchgeführt wird. So ist es möglich, den Schlüsselerfassungs-Deaktivierungszustand angemessen zu detektieren.
  • (5) In einigen Ausführungsformen, in einer der obigen Konfigurationen (1) bis (4), ist die Steuervorrichtung eine Vorrichtung, die eine verteilte Steuervorrichtung bildet, und die Steuervorrichtung umfasst weiterhin:
    • eine Speichereinheit, die konfiguriert ist, den Verschlüsselungsschlüssel und die Gültigkeitsdauer zu speichern, die von der Schlüsselerfassungseinheit erfasst wurden;
    • eine Schlüsselanforderungsempfangseinheit, die konfiguriert ist, eine Schlüsselanforderungsnachricht zu empfangen, die den Verschlüsselungsschlüssel anfordert und von einer beitretenden Steuervorrichtung übertragen wird, die beabsichtigt, der verteilten Steuervorrichtung neu beizutreten; und
    • eine Schlüsselmitteilungseinheit, die konfiguriert ist, den Verschlüsselungsschlüssel und die Gültigkeitsdauer, die in der Speichereinheit gespeichert sind, an die beitretende Steuervorrichtung zu übertragen, die die Schlüsselanforderungsnachricht übertragen hat.
  • Mit der obigen Konfiguration (5) benachrichtigt die Steuervorrichtung den Verschlüsselungsschlüssel anstelle des Schlüsselerfassungsservers als Antwort auf die Anforderung von der anderen Steuervorrichtung (beitretende Steuervorrichtung), die beabsichtigt, der verteilten Steuervorrichtung, zu der die Steuervorrichtung gehört, neu beizutreten. Auf diese Weise kann die beitretende Steuervorrichtung der verteilten Steuervorrichtung beitreten, selbst wenn die Schlüsselerfassung deaktiviert ist, weil z.B. der Schlüsselerfassungsserver ausgefallen ist.
  • (6) In einigen Ausführungsformen überträgt die Schlüsselbenachrichtigungseinheit in der obigen Konfiguration (5) den Verschlüsselungsschlüssel und die Gültigkeitsdauer an die beitretende Steuervorrichtung, wenn eine bestimmte Bedingung erfüllt ist, die beinhaltet, dass der Schlüsselerfassungs-Deaktivierungszustand von der Serverzustandserkennungseinheit erkannt wird.
  • Mit der obigen Konfiguration (6) überträgt die Steuervorrichtung den Verschlüsselungsschlüssel an die beitretende Steuervorrichtung, wenn die Steuervorrichtung den Schlüsselerfassungs-Deaktivierungszustand erkennt. Dadurch wird verhindert, dass die Steuervorrichtung den Verschlüsselungsschlüssel usw. an die beitretende Steuervorrichtung überträgt, obwohl der Schlüsselerfassungsserver den Verschlüsselungsschlüssel verteilen kann.
  • (7) In einigen Ausführungsformen, in der obigen Konfiguration (1) bis (6), ist der Verschlüsselungsschlüssel ein Sitzungsschlüssel.
  • Bei der obigen Konfiguration (7) ist der nur für die Gültigkeitsdauer gültige Verschlüsselungsschlüssel ein Sitzungsschlüssel in einem Gemeinsamer-Schlüssel-Verschlüsselungssystem (bzw. Common-Key-Kryptosystem), der innerhalb der Gültigkeitsdauer gültig ist. Mit dem Sitzungsschlüssel wird der gleiche Effekt erzielt wie in den obigen (1) bis (6).
  • (8) Ein industrielles Steuersystem gemäß mindestens einer Ausführungsform der vorliegenden Erfindung umfasst:
    • die in einer der obigen (1) bis (7) beschriebene Steuervorrichtung; und
    • einen Schlüsselerfassungsserver, der konfiguriert ist, einen Verschlüsselungsschlüssel mit einer Gültigkeitsdauer, die zwischen der Steuervorrichtung und einer anderen Vorrichtung geteilt wird, an die Steuervorrichtung und die andere Vorrichtung zu verteilen.
    • Mit der obigen Konfiguration (8) wird derselbe Effekt wie in der obigen (1) erreicht.
  • (9) In einigen Ausführungsformen ist in der obigen Konfiguration (8) der Schlüsselerfassungsserver redundant. Mit der obigen Konfiguration (9) ist es möglich, die Zuverlässigkeit des Schlüsselerfassungsservers zu verbessern. Ferner kann, wenn mindestens eine Vorrichtung, die den Schlüsselerfassungsserver bildet, angemessen arbeitet, die Steuervorrichtung (beitretende Steuervorrichtung), die beabsichtigt, der verteilten Steuervorrichtung neu beizutreten, beitreten.
  • (10) Ein Verfahren zur Verlängerung der Gültigkeitsdauer von Verschlüsselungsschlüsseln gemäß mindestens einer Ausführungsform der vorliegenden Erfindung wird von einer Steuervorrichtung durchgeführt, die zur Kommunikation mit einer anderen Vorrichtung über ein Kommunikationsnetzwerk konfiguriert ist, und umfasst:
    • einen Schlüsselerfassungsschritt des Erfassens, von einem Schlüsselerfassungsserver über das Kommunikationsnetzwerk, eines Verschlüsselungsschlüssels mit einer Gültigkeitsdauer zum Ausführen einer verschlüsselten Kommunikation mit der anderen Vorrichtung;
    • einen Verschlüsselte-Kommunikation-Schritt des Ausführens der verschlüsselten Kommunikation mit der anderen Vorrichtung unter Verwendung des Verschlüsselungsschlüssels innerhalb der Gültigkeitsdauer;
    • einen Serverzustandserkennungsschritt des Erkennens eines Schlüsselerfassungs-Deaktivierungszustand, in dem die Erfassung des Verschlüsselungsschlüssels durch den Schlüsselerfassungsschritt deaktiviert ist; und
    • einen Gültigkeitsdauerverlängerungsschritt des Ausführens einer Verlängerungsverarbeitung zum Verlängern der Gültigkeitsdauer, wenn der Schlüsselerfassungs-Deaktivierungszustand erkannt wird.
  • Mit der obigen Konfiguration (10) wird der gleiche Effekt erzielt wie in der obigen (1).
  • Vorteilhafte Wirkungen
  • Mindestens eine Ausführungsform der vorliegenden Erfindung stellt eine verteilte Steuervorrichtung mit verbesserter Sicherheitsleistung und Zuverlässigkeit bereit.
  • Figurenliste
    • 1 ist ein schematisches Konfigurationsdiagramm eines industriellen Steuersystems (ICS) gemäß einer Ausführungsform der vorliegenden Erfindung.
    • 2 ist ein schematisches Konfigurationsblockdiagramm einer Steuervorrichtung einer verteilten Steuervorrichtung gemäß einer Ausführungsform der vorliegenden Erfindung.
    • 3 ist ein schematisches Konfigurationsblockdiagramm einer Steuervorrichtung mit einer Schlüsselanforderungsempfangseinheit und einer Schlüsselmeldungseinheit gemäß einer Ausführungsform der vorliegenden Erfindung.
    • 4 ist ein Diagramm, das eine vereinfachte Verbindungsform zwischen einer verteilten Steuervorrichtung und einem Schlüsselerfassungsserver gemäß einer Ausführungsform der vorliegenden Erfindung zeigt, die der Verbindungsform im Steuerinformationsnetzwerk von 1 entspricht.
    • 5 ist ein Sequenzdiagramm, wenn eine beitretende Steuervorrichtung einer verteilten Steuervorrichtung gemäß einer Ausführungsform der vorliegenden Erfindung beitritt.
    • 6 ist ein Diagramm, das ein Verfahren zur Verlängerung der Gültigkeitsdauer von Verschlüsselungsschlüsseln gemäß einer Ausführungsform der vorliegenden Erfindung zeigt.
  • DETAILLIERTE BESCHREIBUNG
  • Ausführungsformen der vorliegenden Erfindung werden nun im Detail unter Bezugnahme auf die beigefügten Zeichnungen beschrieben. Es ist jedoch beabsichtigt, dass, sofern nicht besonders gekennzeichnet, Abmessungen, Materialien, Formen, relative Positionen und dergleichen von Komponenten, die in den Ausführungsformen beschrieben werden, nur als illustrativ interpretiert werden und nicht beabsichtigt, den Umfang der vorliegenden Erfindung zu begrenzen.
  • So ist z.B. ein Ausdruck für eine relative oder absolute Anordnung wie „in einer Richtung“, „entlang einer Richtung“, „parallel“, „orthogonal“, „zentriert“, „konzentrisch“ und „koaxial“ nicht so zu verstehen, dass damit nur die Anordnung im strengen Wortsinn gemeint ist, sondern schließt auch einen Zustand ein, bei dem die Anordnung um eine Toleranz oder um einen Winkel oder einen Abstand relativ verschoben ist, wodurch es möglich ist, die gleiche Funktion zu erreichen.
  • Zum Beispiel ist ein Ausdruck eines gleichen Zustands wie „gleich“ „gleich“ und „einheitlich“ nicht so zu verstehen, dass er nur den Zustand angibt, in dem das Merkmal streng gleich ist, sondern auch einen Zustand einschließt, in dem es eine Toleranz oder einen Unterschied gibt, mit dem immer noch die gleiche Funktion erreicht werden kann.
  • Ferner ist beispielsweise ein Ausdruck wie „rechteckige Form“ oder „zylindrische Form“ nicht so zu verstehen, dass damit nur die geometrisch strenge Form gemeint ist, sondern umfasst auch eine Form mit Unebenheiten oder abgeschrägten Ecken innerhalb des Bereichs, in dem die gleiche Wirkung erzielt werden kann.
  • Andererseits sind Ausdrücke wie „umfassen“, „einschließen“, „haben“, „enthalten“ und „bilden“ nicht so zu verstehen, dass sie andere Komponenten ausschließen.
  • 1 ist ein schematisches Konfigurationsdiagramm eines industriellen Steuersystems 8 (ICS) gemäß einer Ausführungsform der vorliegenden Erfindung.
  • Das industrielle Steuersystem 8 ist ein System zur Überwachung und Steuerung von sozialer Infrastruktur, wie z.B. Strom, Gas und Wasser, oder einer Anlage, wie z.B. einer Stromerzeugungsanlage und einer chemischen Anlage. Das in 1 dargestellte industrielle Steuersystem 8 ist ein Steuersystem zur Überwachung und Steuerung einer Anlage, wie z.B. einer Energieerzeugungsanlage, und umfasst eine verteilte Steuervorrichtung 10, die aus einer Vielzahl von Steuervorrichtungen 1 besteht, die eine automatische Steuerung der Anlage und eine Ein-/Ausgabeverarbeitung mit dem Standort durchführen und dabei miteinander kommunizieren. Im Folgenden wird beispielhaft der Fall beschrieben, dass die Steuervorrichtung 1 eine Vorrichtung ist, die die verteilte Steuervorrichtung 10 bildet. Die vorliegende Erfindung ist jedoch nicht darauf beschränkt. In einigen Ausführungsformen kann die Steuervorrichtung 1 nicht eine Vorrichtung sein, die die verteilte Steuervorrichtung 10 bildet.
  • Genauer gesagt ist, wie in 1 gezeigt, jede Steuervorrichtung 1 mit einem Eingangs-/Ausgangsmodul (IOM 82) verbunden, das mit einer Vielzahl von in der Anlage installierten Feldvorrichtungen 81 über ein Steuernetzwerk N1 verbunden ist. Anstelle des IOM 82 kann jede Steuervorrichtung 1 auch an eine speicherprogrammierbare Steuerung (SPS) angeschlossen sein, die die Feldvorrichtungen 81 steuert. Bei den Feldvorrichtungen 81 handelt es sich um Stellglieder, zu denen verschiedene Sensoren zur Messung von Temperatur, Durchfluss oder Druck sowie Ventile (Regelventil etc.) gehören. Das Steuernetzwerk N1 ist ein Kommunikationsnetzwerk N, das solche Feldvorrichtungen 81 und die Steuervorrichtungen 1 verbindet. Ferner sammelt jede Steuervorrichtung 1 Anlagendaten wie Messdaten und Ereignisdaten, die vom Sensor erhalten werden, führt verschiedene Berechnungen unter Verwendung der gesammelten Anlagendaten aus und überträgt das Berechnungsergebnis z.B. an das IOM 82, um eine automatische Steuerung der Anlage durchzuführen.
  • Ferner ist, wie in 1 gezeigt, jede Steuervorrichtung 1 mit einem Steuerinformationsnetzwerk N2 verbunden, das z.B. durch das Ethernet aufgebaut ist, das ein eingetragenes Warenzeichen der Xerox Corporation ist. Das Steuerinformationsnetzwerk N2 ist ein Kommunikationsnetzwerk N, wie z.B. ein IP-Netzwerk, das die Steuervorrichtung 1 und eine Rechenvorrichtung zur Steuerung, Überwachung und Verwaltung der Anlage verbindet, und ist über eine Firewall-Vorrichtung 85 mit einem anderen Netzwerk N3, wie z.B. einem Firmen-LAN oder dem Internet (externes Netzwerk), verbunden. Das Steuerinformationsnetzwerk N2 ist beispielsweise mit einer Bedienerstation (OPS 83), die eine Mensch-Maschine-Schnittstelle (HMI) zum Bedienen und Überwachen der Anlage ist, und mit einer ACS 84 (Zubehörstation) zum Speichern und Verwalten einer großen Menge von Anlagendaten verbunden. Wenn die Steuervorrichtung 1 eine Anweisung empfängt, die von der OPS 83 oder einer entfernten OPS (nicht dargestellt) übertragen wird, die mit dem Internet verbunden ist und über das Steuerungsinformationsnetzwerk N2 kommuniziert, führt die Steuervorrichtung 1 die Anweisung aus oder reagiert darauf, z.B.
  • Das industrielle Steuersystem 8, wie oben beschrieben, ist konfiguriert, eine verschlüsselte Kommunikation zwischen den Steuervorrichtungen 1 durchzuführen. Zu diesem Zweck umfasst das industrielle Steuersystem 8 ferner einen Schlüsselerfassungsserver 9, wie in 1 dargestellt. In der in 1 dargestellten Ausführungsform hat der Schlüsselerfassungsserver 9 die Funktion, einen zwischen den Steuervorrichtungen 1, die die verteilte Steuervorrichtung 10 bilden, geteilten Chiffrier- bzw. Verschlüsselungsschlüssel K (gemeinsamer Schlüssel) an jede der Steuervorrichtungen 1 zu verteilen. Bei dem Schlüsselerfassungsserver 9 kann es sich um ein allgemein bekanntes Schlüsselverteilungszentrum (KDC) handeln. Wie in 1 dargestellt, erhält jede Steuervorrichtung 1 den Verschlüsselungsschlüssel K vom Schlüsselerfassungsserver 9 verteilt. Dadurch kann jede Steuervorrichtung 1 Kommunikationsdaten D an die andere Steuervorrichtung 1 unter Verwendung des Verschlüsselungsschlüssels K verschlüsselt übertragen und die von der anderen Steuervorrichtung 1 empfangenen verschlüsselten Kommunikationsdaten D unter Verwendung des Verschlüsselungsschlüssels K entschlüsseln, um eine Verschlüsselung zwischen den Steuervorrichtungen 1 durchzuführen.
  • Jede Steuervorrichtung 1 kann eine verschlüsselte Kommunikation mit mindestens einer anderen Vorrichtung, wie der oben beschriebenen anderen Steuervorrichtung 1, die an das Kommunikationsnetzwerk N angeschlossen ist, der OPS 83 und dem ACS 84, durchführen, und der Schlüsselerfassungsserver 9 kann den verwendeten Verschlüsselungsschlüssel K zwischen diesen Vorrichtungen verteilen. In diesem Fall können z.B. der zwischen der Steuervorrichtung 1 und der OPS 83 verwendete Verschlüsselungsschlüssel K und der zwischen der Steuervorrichtung 1 und dem ACS 84 verwendete Verschlüsselungsschlüssel K gleich oder unterschiedlich sein.
  • Der Verschlüsselungsschlüssel K hat eine Gültigkeitsdauer T, die von dem Schlüsselerfassungsserver 9 festgelegt wird. Der Verschlüsselungsschlüssel K kann z.B. ein für Common-Key-Kryptosysteme bekannter Sitzungsschlüssel sein, der für eine bestimmte Zeit (Gültigkeitsdauer T) gültig ist. Da der Verschlüsselungsschlüssel K die Gültigkeitsdauer T hat, kann jede Steuervorrichtung 1 nach Ablauf der Gültigkeitsdauer T keine verschlüsselte Kommunikation mit der anderen Steuervorrichtung 1 unter Verwendung des Verschlüsselungsschlüssels K durchführen. Daher erwirbt jede Steuervorrichtung 1 vor Ablauf der Gültigkeitsdauer T des vom Schlüsselerfassungsserver 9 verteilten Verschlüsselungsschlüssels K einen neuen Verschlüsselungsschlüssel K vom Schlüsselerfassungsserver 9. Indem der Verschlüsselungsschlüssel K bei Bedarf auf einen neuen aktualisiert wird, ist es möglich, die Kommunikation (verschlüsselte Kommunikation) zwischen den Steuervorrichtungen 1 und anderen über einen langen Zeitraum durchzuführen, der länger ist als die individuelle Gültigkeitsdauer T jedes Verschlüsselungsschlüssels K, während das Risiko einer unbefugten Entschlüsselung der verschlüsselten Kommunikation reduziert wird.
  • Wenn in dem industriellen Steuersystem 8, wie oben beschrieben, die Steuervorrichtung 1 den Verschlüsselungsschlüssel K von dem Schlüsselerfassungsserver 9 aus irgendeinem Grund nicht erwerben kann, z.B. weil der Schlüsselerfassungsserver 9 aufgrund eines Hardwarefehlers oder eines böswilligen Cyberangriffs, wie z.B. eines DoS-Angriffs, ausgefallen ist (im Folgenden als Schlüsselerfassungs-Deaktivierungszustand bezeichnet), wird die Kommunikation zwischen den Steuervorrichtungen 1 unmöglich, wenn die Gültigkeitsdauer T des Verschlüsselungsschlüssels K abläuft. Dies hat zur Folge, dass bei einer Verriegelung, die eine Notabschaltung des Steuerziels, wie z.B. einer Gasturbine oder eines Kessels eines Wärmekraftwerks, über die Feldvorrichtung 81 bewirkt, die Verfügbarkeit des Steuerziels reduziert wird. Um dieses Problem zu lösen, ist die Steuervorrichtung 1 konfiguriert, bei Erkennung des Schlüsselerfassungs-Deaktivierungszustands automatisch die Gültigkeitsdauer T des letzten von der Vorrichtung verwendeten Verschlüsselungsschlüssels K zu verlängern.
  • Die Steuervorrichtung 1, die so konfiguriert ist, die Gültigkeitsdauer T des Verschlüsselungsschlüssels K automatisch zu verlängern, wird nun unter Bezugnahme auf die 2 bis 5 im Detail beschrieben. 2 ist ein schematisches Konfigurationsblockdiagramm der Steuervorrichtung 1 der verteilten Steuervorrichtung 10 gemäß einer Ausführungsform der vorliegenden Erfindung. Im Folgenden wird die vorliegende Erfindung unter Bezugnahme auf den Fall beschrieben, in dem die verschlüsselte Kommunikation zwischen den Steuervorrichtungen 1 durchgeführt wird.
  • Die Steuervorrichtung 1 ist eine Vorrichtung, die die verteilte Steuervorrichtung 10 bildet, in der eine Vielzahl von Steuervorrichtungen 1 über das Kommunikationsnetzwerk N verbunden sind, und tauscht Kommunikationsdaten D mit einer anderen Steuervorrichtung 1 oder zumindest einem Teil der Steuervorrichtungen 1 mit Ausnahme von sich selbst durch verschlüsselte Kommunikation unter Verwendung des Verschlüsselungsschlüssels K, der von dem Schlüsselerfassungsserver 9 verteilt (erworben) wird. Wie in 2 gezeigt (dasselbe gilt für 4, die später beschrieben wird), umfasst die Steuervorrichtung 1 eine Schlüsselerfassungseinheit 2, eine Verarbeitungseinheit für verschlüsselte Kommunikation 3, eine Serverzustandsdetektionseinheit 4 und eine Gültigkeitsverlängerungseinheit 5.
  • Jede Funktionseinheit der Steuervorrichtung 1 wird in Verbindung mit einem Beispiel beschrieben, bei dem der Verschlüsselungsschlüssel K ein Sitzungsschlüssel ist und der Schlüsselerfassungsserver 9 ein KDC-Server ist.
  • Die Steuervorrichtung 1 kann z.B. aus einem Computer bestehen. Insbesondere umfasst die Steuervorrichtung eine CPU (Prozessor, nicht dargestellt) und eine Speichervorrichtung m wie einen Speicher, z.B. ROM und RAM, und eine externe Speichervorrichtung. Die CPU arbeitet (z.B. Berechnung von Daten) in Übereinstimmung mit Programmanweisungen (Steuerprogramm), die in eine Hauptspeichereinrichtung geladen wurden, und dadurch werden die Funktionseinheiten der Steuervorrichtung 1 implementiert. Der vom Schlüsselerfassungsserver 9 verteilte Verschlüsselungsschlüssel K mit der Gültigkeitsdauer T wird in der Speichereinheit m gespeichert. Der Schlüsselerfassungsserver 9 kann auch einen Computer umfassen.
  • Die Schlüsselerfassungseinheit 2 ist eine Funktionseinheit, die konfiguriert ist, den Sitzungsschlüssel K mit der Gültigkeitsdauer T von dem Schlüsselerfassungsserver 9 über das Kommunikationsnetzwerk N zu erfassen. Zum Beispiel kann die Schlüsselerfassungseinheit 2 den Sitzungsschlüssel K erwerben, indem sie ein vorbestimmtes Verschlüsselungs-Schlüsselaustauschprotokoll wie IKE (Internet Key Exchange), das durch RFC 2409 definiert ist, mit dem Schlüsselerfassungsserver 9 ausführt. In der in den 1 und 2 dargestellten Ausführungsform ist das Kommunikationsnetzwerk N das oben beschriebene Steuerinformationsnetzwerk N2.
  • Die Verarbeitungseinheit 3 für verschlüsselte Kommunikation ist eine Funktionseinheit, die konfiguriert ist, eine verschlüsselte Kommunikation mit einer anderen Steuervorrichtung 1 unter Verwendung des Sitzungsschlüssels K innerhalb der Gültigkeitsdauer T durchzuführen. Insbesondere, wenn jede Steuervorrichtung 1 die Kommunikationsdaten D an die andere Steuervorrichtung 1 überträgt, verschlüsselt die Verarbeitungseinheit 3 für verschlüsselte Kommunikation die Kommunikationsdaten D unter Verwendung des Sitzungsschlüssels K, um die Kommunikationsdaten D zu übertragen. Andererseits, wenn jede Steuervorrichtung 1 die verschlüsselten Kommunikationsdaten D von der anderen Steuervorrichtung 1 empfängt, entschlüsselt die Verarbeitungseinheit 3 für verschlüsselte Kommunikation die Kommunikationsdaten D unter Verwendung des gleichen Sitzungsschlüssels K, der für die Verschlüsselung verwendet wurde, um die Kommunikationsdaten D zu erhalten.
  • Die Serverzustandsdetektionseinheit 4 ist eine Funktionseinheit, die konfiguriert ist, den Schlüsselerfassungs-Deaktivierungszustand zu erkennen, bei dem der Sitzungsschlüssel K nicht von dem Schlüsselerfassungsserver 9 durch die Schlüsselerfassungseinheit 2 erfasst werden kann. Insbesondere kann der Schlüsselerfassungs-Deaktivierungszustand basierend auf dem Inhalt der Zustandsbenachrichtigung S (später beschrieben), die vom Schlüsselerfassungsserver 9 übertragen wird, erkannt werden, oder der Schlüsselerfassungs-Deaktivierungszustand kann basierend auf dem Empfangsstatus der Antwort auf den übertragenen Ping oder ähnlichem erkannt werden. Alternativ kann der Schlüsselerfassungs-Deaktivierungszustand festgestellt werden, wenn die Schlüsselerwerbseinheit 2 den neuen Verschlüsselungsschlüssel K infolge eines oder mehrerer Wiederholungsversuche vor Ablauf der Gültigkeitsdauer T nicht erwerben kann. Die Zustandsbenachrichtigung S wird weiter unten im Detail beschrieben.
  • Die Gültigkeitsverlängerungseinheit 5 ist eine Funktionseinheit, die konfiguriert ist, eine Verlängerungsverarbeitung zur Verlängerung der Gültigkeitsdauer T durchzuführen, wenn der Schlüsselerfassungs-Deaktivierungszustand von der Serverzustandsdetektionseinheit 4 erkannt wird. Wenn der Schlüsselerfassungs-Deaktivierungszustand von der Serverzustandsdetektionseinheit 4 erkannt wird, kann ein Schlüsselaustauschprotokoll mit dem Schlüsselerfassungsserver 9 nicht ausgeführt werden. Daher führt die Gültigkeitsverlängerungseinheit 5 die folgende Verarbeitung als Verlängerungsverarbeitung durch, ohne mit dem Schlüsselerfassungsserver 9 zu kommunizieren. Diese Verlängerungsverarbeitung verlängert die Gültigkeitsdauer T des letzten verfügbaren, bereits erworbenen Sitzungsschlüssels, wodurch die Situation vermieden werden kann, dass die Kommunikation mit einer anderen Steuervorrichtung 1 aufgrund des Ablaufs der Gültigkeitsdauer T nicht durchgeführt werden kann.
  • Mit der obigen Konfiguration kommuniziert die Steuervorrichtung 1, die die verteilte Steuervorrichtung 10 bildet, unter Verwendung des Verschlüsselungsschlüssels K, der von dem Schlüsselerfassungsserver 9 erworben wurde, der den Verschlüsselungsschlüssel K wie einen Sitzungsschlüssel K verteilt, mit einer anderen Vorrichtung 1, die ebenfalls die verteilte Steuervorrichtung 10 bildet. Ferner verlängert die Steuervorrichtung 1 in einem Zustand, in dem die Gültigkeitsdauer T des Verschlüsselungsschlüssels K nicht verlängert werden kann, weil der Schlüsselerfassungsserver 9 aufgrund eines Hardwarefehlers oder eines Cyberangriffs ausgefallen ist (Schlüsselerfassungs-Deaktivierungszustand), automatisch die Gültigkeitsdauer des zu diesem Zeitpunkt verwendeten Verschlüsselungsschlüssels K, ohne mit dem Schlüsselerfassungsserver 9 zu kommunizieren.
  • Dadurch kann verhindert werden, dass die Datenkommunikation zwischen den Steuervorrichtungen 1, die die verteilte Steuervorrichtung 10 bilden, aufgrund des Ablaufs der Gültigkeitsdauer des Verschlüsselungsschlüssels K unmöglich wird. Da die Kommunikation zwischen den die verteilte Steuervorrichtung 10 bildenden Vorrichtungen 1 mit dem Verschlüsselungsschlüssel K, der eine Gültigkeitsdauer hat, verschlüsselt wird, kann die verteilte Steuervorrichtung 10 außerdem vor Cyberangriffen wie Abhören, Manipulationen und Spoofing geschützt werden.
  • Als nächstes wird die Gültigkeitsdauer-Verarbeitung durch die Gültigkeitsverlängerungseinheit 5 speziell beschrieben.
  • In einigen Ausführungsformen, wie in 2 gezeigt, enthält die Steuervorrichtung 1 außerdem eine Gültigkeitsdauerüberwachungseinheit 6, die konfiguriert ist, den Ablauf der Gültigkeitsdauer T zu bestimmen. Ferner verhindert die Gültigkeitsverlängerungseinheit 5, dass die Gültigkeitsdauerüberwachungseinheit 6 den Ablauf der Gültigkeitsdauer T als Verlängerungsverarbeitung bestimmt. Dadurch ist es möglich, die Gültigkeitsdauer T des Verschlüsselungsschlüssels K angemessen zu verlängern.
  • Insbesondere kann die Gültigkeitsdauerüberwachungseinheit 6 in einigen Ausführungsformen die Gültigkeitsdauer T beispielsweise mit einem Zähler zählen. Wenn die Gültigkeitsdauerüberwachungseinheit 6 die der Gültigkeitsdauer T entsprechende Zahl durch Auf- oder Abwärtszählen gezählt hat, stellt sie fest, dass die Gültigkeitsdauer T abgelaufen ist.
  • In diesem Fall kann in einigen Ausführungsformen die Verlängerungsverarbeitung, um zu verhindern, dass die Gültigkeitsdauerüberwachungseinheit 6 den Ablauf der Gültigkeitsdauer T feststellt, darin bestehen, den Zählwert der Gültigkeitsdauerüberwachungseinheit 6 um einen vorbestimmten Wert zurückzusetzen. Mit anderen Worten, die Gültigkeitsverlängerungseinheit 5 kann den Zählwert der Gültigkeitsdauerüberwachungseinheit 6 um einen vorbestimmten Wert als die Erweiterungsverarbeitung zurücksetzen. Insbesondere, wenn die Gültigkeitsdauerüberwachungseinheit 6 die Gültigkeitsdauer T durch Hochzählen zählt, kann der aktuelle Wert (Zählwert) des Zählers um den vorbestimmten Wert subtrahiert werden. Wenn die Gültigkeitsdauerüberwachungseinheit 6 die Gültigkeitsdauer T durch Abwärtszählen zählt, kann der aktuelle Wert des Zählers um den vorbestimmten Wert addiert werden. Der vorbestimmte Wert kann im Voraus festgelegt werden oder ein Wert sein, der einem Zählwert zu dem Zeitpunkt entspricht, an dem die Erweiterungsverarbeitung ausgeführt wird, z.B. die Hälfte des Zählwertes. Alternativ kann der vorbestimmte Wert ein Zählwert zu dem Zeitpunkt sein, an dem die Erweiterungsverarbeitung ausgeführt wird, und die Erweiterungsverarbeitung kann durch Rücksetzen des Zählwerts ausgeführt werden.
  • Somit stellt die Gültigkeitsdauerüberwachungseinheit 6 den Ablauf der Gültigkeitsdauer T auch dann nicht fest, wenn der durch die Gültigkeitsdauer T festgelegte Zeitraum, der beispielsweise im Schlüsselerfassungsserver 9 bei der Verteilung des Sitzungsschlüssels K eingestellt wird, abläuft. Die vorliegende Erfindung ist jedoch nicht auf diese Ausführungsform beschränkt. In einigen Ausführungsformen kann die Gültigkeitsverlängerungseinheit 5 die Verlängerungsverarbeitung durchführen, indem sie die Zählung der Gültigkeitsdauerüberwachungseinheit 6 stoppt. Alternativ kann in einigen Ausführungsformen die Gültigkeitsverlängerungseinheit 5 die Gesamtzahl der zu zählenden Zähler (Zeit) als Gültigkeitsdauer T erhöhen.
  • Ferner kann die Gültigkeitsverlängerungseinheit 5 die Verlängerungsverarbeitung einmal oder mehrmals durchführen, bis der Schlüsselerfassungs-Deaktivierungszustand behoben ist und das Schlüsselaustauschprotokoll beispielsweise mit dem Schlüsselerfassungsserver 9 ordnungsgemäß durchgeführt werden kann. Insbesondere kann der Zählwert mit einem vorgegebenen Schwellenwert verglichen werden, und wenn der Zählwert mit dem Schwellenwert übereinstimmt, kann die Verlängerungsverarbeitung durchgeführt werden. Als Ergebnis kann die Gültigkeitsdauer T beispielsweise auf einen wiederherstellbaren Zeitraum verlängert werden, in dem der ausgefallene Schlüsselerfassungsserver 9 wiederhergestellt werden kann.
  • Mit der obigen Konfiguration kann die Gültigkeitsdauer T des Verschlüsselungsschlüssels K verlängert werden, indem der Zählwert der Gültigkeitsdauer T um den vorgegebenen Wert zurückgesetzt wird. Auf diese Weise ist es möglich, die Gültigkeitsdauer T des Verschlüsselungsschlüssels K in geeigneter Weise zu verlängern.
  • In einigen Ausführungsformen kann die Gültigkeitsverlängerungseinheit 5 die Verlängerungsverarbeitung durchführen, indem sie die Gültigkeitsdauer T, die in einem vorbestimmten Speicherbereich der in der Steuervorrichtung 1 vorgesehenen Speichereinheit m gespeichert ist, neu schreibt. In diesem Fall, wenn die in der Speichereinheit m gespeicherte Gültigkeitsdauer T neu geschrieben wird, kann die Gültigkeitsdauerüberwachungseinheit 6 den Speicherbereich neu laden, um die Gültigkeitsdauer T zu überwachen, die durch die Verlängerungsverarbeitung aktualisiert wurde. Zu diesem Zeitpunkt kann die Gültigkeitsdauer T nach der Erweiterungsverarbeitung länger sein als die Gültigkeitsdauer T vor der Erweiterungsverarbeitung. Die Gültigkeitsdauer T nach der Erweiterungsverarbeitung kann eine ausreichend lange Zeit sein, damit der Schlüsselerfassungs-Deaktivierungszustand aufgelöst werden kann; beispielsweise kann es eine wiederherstellbare Zeitspanne sein, in der der ausgefallene Schlüsselerfassungsserver 9 wiederhergestellt werden kann.
  • Als nächstes wird das Verfahren zur Erkennung des Schlüsselerfassungs-Deaktivierungszustand durch die Serverzustandsdetektionseinheit 4 genauer beschrieben.
  • In einigen Ausführungsformen kann die Serverzustandsdetektionseinheit 4 den Schlüsselerfassungs-Deaktivierungszustand erkennen (bestimmen), basierend auf der Zustandsmeldung S, die periodisch vom Schlüsselerfassungsserver 9 übertragen wird, oder auf dem Kommunikationsstatus der Zustandsmeldung S. In der Zustandsmeldung S informiert der Schlüsselerfassungsserver 9 die Steuervorrichtung 1 freiwillig über einen Zustand wie Normalität oder Abnormalität des Servers über das Kommunikationsnetzwerk N. Im Falle einer Abnormalität kann die Zustandsmeldung S den Inhalt der Abnormalität enthalten (z.B. einen Hardwarefehler, eine interne Abnormalität usw.). Des Weiteren kann die Zustandsmeldung S per Multicast an eine Vielzahl von Steuervorrichtungen 1 übertragen werden, die z.B. Ziele von vorbestimmten IP-Adressen sind. Die vorliegende Erfindung ist jedoch nicht auf die vorliegende Ausführungsform beschränkt. In einigen Ausführungsformen kann die Zustandsmeldung S per Broadcast übertragen werden.
  • Ferner kann die Steuervorrichtung 1 bestimmen, ob sie sich in dem Schlüsselerfassungs-Deaktivierungszustand, basierend auf dem Inhalt der Zustandsbenachrichtigung S, die periodisch von dem Schlüsselerfassungsserver 9 übertragen wird. Zum Beispiel kann der Empfangsstatus der Antwort auf die Übertragung von ping es nicht ermöglichen, angemessen zu bestimmen, ob die Schlüsselverteilungsfunktion des Schlüsselerfassungsservers 9 normal oder abnormal ist, aber die Bestimmung basierend auf dem Inhalt der Zustandsbenachrichtigung S ermöglicht eine angemessenere Bestimmung. Des Weiteren kann die Steuervorrichtung 1 bestimmen, ob sie sich im Schlüsselerfassungs-Deaktivierungszustand befindet, und zwar entsprechend dem Kommunikationsstatus der Zustandsmeldung S, indem sie beispielsweise bestimmt, dass sie sich im Schlüsselerfassungs-Deaktivierungszustand befindet, wenn die Zustandsmeldung S, die periodisch ausgeführt werden sollte, eine bestimmte Anzahl von Malen nicht empfangen werden kann, insbesondere einmal oder öfter. Da zu diesem Zeitpunkt die Möglichkeit besteht, dass die Ursache eine Störung im Kommunikationsnetzwerk N selbst ist, kann der Schlüsselerfassungs-Deaktivierungszustand nur dann festgestellt werden, wenn eine Kommunikation mit der anderen Steuervorrichtung 1 durchgeführt werden kann. Jede Steuervorrichtung 1 kann auch eine Zustandsmeldung zur Mitteilung ihres eigenen Status wie oben beschrieben an die andere Steuervorrichtung 1 oder den Schlüsselerfassungsserver 9 senden.
  • Mit der obigen Konfiguration benachrichtigt der Schlüsselerfassungsserver 9 die Steuervorrichtung 1 periodisch über den Zustand des Servers, und die Steuervorrichtung 1 bestimmt, ob der Verschlüsselungsschlüssel K vom Schlüsselerfassungsserver 9 erworben (aktualisiert) werden kann, basierend auf der Zustandsinformation des Schlüsselerfassungsservers 9, die vom Schlüsselerfassungsserver 9 benachrichtigt wird, oder auf dem Kommunikationsstatus der periodisch durchgeführten Zustandsbenachrichtigung S. So ist es möglich, den Schlüsselerfassungs-Deaktivierungszustand angemessen zu erkennen.
  • In der obigen Beschreibung wurde die vorliegende Erfindung mit Bezug auf den Fall beschrieben, in dem eine verschlüsselte Kommunikation zwischen den Steuervorrichtungen 1 durchgeführt wird. Die vorliegende Erfindung ist jedoch nicht auf diese Ausführungsform beschränkt. In einigen Ausführungsformen kann sie auf den Fall angewendet werden, in dem die Steuervorrichtung 1 eine verschlüsselte Kommunikation mit anderen Vorrichtungen wie der OPS 83 und dem ACS 84 durchführt, die mit dem Kommunikationsnetzwerk N verbunden sind. Dieser Fall wird hier nicht beschrieben, da die andere Steuervorrichtung 1, mit der die Steuervorrichtung 1 in der obigen Beschreibung eine verschlüsselte Kommunikation durchführt, durch die Vorrichtungen wie die OPS 83 oder das ACS 84 ersetzt werden kann.
  • Als Nächstes werden Ausführungsformen beschrieben, die sich auf andere Funktionseinheiten beziehen, die in der Steuervorrichtung 1 enthalten sein können, wenn die Steuervorrichtung 1 die verteilte Steuervorrichtung 10 und den Schlüsselerfassungsserver 9 bildet, und zwar unter Bezugnahme auf die 3 bis 5 beschrieben. 3 ist ein schematisches Konfigurationsblockdiagramm der Steuervorrichtung 1 mit einer Schlüsselanforderungsempfangseinheit 71 und einer Schlüsselbenachrichtigungseinheit 72 gemäß einer Ausführungsform der vorliegenden Erfindung. 4 ist ein Diagramm, das eine vereinfachte Verbindungsform zwischen der verteilten Steuervorrichtung 10 und dem Schlüsselerfassungsserver 9 gemäß einer Ausführungsform der vorliegenden Erfindung zeigt, die der Verbindungsform im Steuerinformationsnetz N2 von 1 entspricht. 5 ist ein Sequenzdiagramm, wenn eine beitretende Steuervorrichtung 1n der verteilten Steuervorrichtung 10 gemäß einer Ausführungsform der vorliegenden Erfindung beitritt.
  • In einigen Ausführungsformen, wie in 3 gezeigt, kann die Steuervorrichtung 1 ferner umfassen: eine Speichereinheit m (oben beschrieben), die konfiguriert ist, den Verschlüsselungsschlüssel K und die Gültigkeitsdauer T zu speichern, die von der Schlüsselerfassungseinheit 2 erfasst wurden; eine Schlüsselanforderungsempfangseinheit 71, die konfiguriert ist, eine Schlüsselanforderungsnachricht R zu empfangen, die den Verschlüsselungsschlüssel K anfordert und von einer Steuervorrichtung 1 (im Folgenden als beitretende Steuervorrichtung 1n bezeichnet) gesendet wird, die beabsichtigt, der verteilten Steuervorrichtung 10 neu beizutreten; und eine Schlüsselmitteilungseinheit 72, die konfiguriert ist, den Verschlüsselungsschlüssel K und die Gültigkeitsdauer T, die in der Speichereinheit m gespeichert sind, an die beitretende Steuervorrichtung 1n zu senden, die die Schlüsselanforderungsnachricht R gesendet hat.
  • In den in 3 bis 5 gezeigten Ausführungsformen, wie in 4 und 5, nachdem die beitretende Steuervorrichtung 1n mit dem Steuerinformationsnetzwerk N2 verbunden ist, beginnt ein Schlüsselaustauschprotokoll zwischen der beitretenden Steuervorrichtung 1n und dem Schlüsselerfassungsserver 9, um der verteilten Steuervorrichtung 10 beizutreten (S51 von 5). Da jedoch beispielsweise der Schlüsselerfassungsserver 9 außer Betrieb ist (Schlüsselerfassungs-Deaktivierungszustand), kann derselbe Sitzungsschlüssel K, der zwischen den vorhandenen Steuervorrichtungen 1 der verteilten Steuervorrichtung 10 verwendet wird, nicht vom Schlüsselerfassungsserver 9 erworben werden. In einem solchen Fall sendet die beitretende Steuervorrichtung In eine Schlüsselanforderungsnachricht R an mindestens eine der Steuervorrichtungen 1, die der verteilten Steuervorrichtung 10 bereits beigetreten sind (S52 in 5). Insbesondere kann die beitretende Steuervorrichtung In die Schlüsselanforderungsnachricht R (IP-Paket) an eine Zieladresse (z.B. IP-Adresse) senden, die im Voraus in ihrer Speichereinheit m gespeichert wurde. Alternativ kann die beitretende Steuervorrichtung In die Schlüsselanforderungsnachricht R durch Rundsenden übertragen, wodurch die Schlüsselanforderungsnachricht R an die beitretende Steuervorrichtung 1, die zur gleichen Rundsende-Domäne gehört, übertragen werden kann.
  • Dann sendet die angeschlossene Steuervorrichtung 1, die die Schlüsselanforderungsnachricht R empfangen hat, eine Schlüsselantwortnachricht Rr, die den Verschlüsselungsschlüssel K und die Gültigkeitsdauer T enthält (S53 von 5). In einigen Ausführungsformen überträgt die Schlüsselbenachrichtigungseinheit 72 der angeschlossenen Steuervorrichtung 1 zu diesem Zeitpunkt den Verschlüsselungsschlüssel K und die Gültigkeitsdauer T nur dann an die angeschlossene Steuervorrichtung 1n, wenn eine bestimmte Bedingung erfüllt ist. Die spezifizierte Bedingung kann beinhalten, dass der Schlüsselerfassungs-Deaktivierungszustand von der Serverzustandsdetektionseinheit 4 erkannt wird. Mit anderen Worten: Die Steuervorrichtung 1 überträgt den Verschlüsselungsschlüssel K an die beitretende Steuervorrichtung 1n, wenn der Schlüsselerfassungs-Deaktivierungszustand erkannt wird. Dadurch wird verhindert, dass die Steuervorrichtung 1 den Verschlüsselungsschlüssel K usw. an die beitretende Steuervorrichtung 1n überträgt, obwohl der Schlüsselerfassungsserver 9 den Verschlüsselungsschlüssel K verteilen kann. Somit erwirbt die beitretende Steuervorrichtung 1n den Verschlüsselungsschlüssel K und die Gültigkeitsdauer T, so dass die beitretende Steuervorrichtung In eine verschlüsselte Kommunikation mit den anderen Steuervorrichtungen 1 ermöglicht und sich der verteilten Steuervorrichtung 10 anschließt.
  • Die vorliegende Erfindung ist jedoch nicht auf die vorliegende Ausführungsform beschränkt. In einigen Ausführungsformen kann die beitretende Steuervorrichtung In die Schlüsselanforderungsnachricht R senden, wenn die vom Schlüsselerfassungsserver 9 periodisch übertragene Zustandsmeldung S nicht empfangen wird. In diesem Fall können Informationen (z.B. IP-Adresse) über die beitretende Steuervorrichtung 1n im Voraus im Schlüsselerfassungsserver 9 als Verteilungsziel des Verschlüsselungsschlüssels K registriert werden.
  • Mit der obigen Konfiguration teilt die Steuervorrichtung 1 den Verschlüsselungsschlüssel K anstelle des Schlüsselerfassungsservers 9 als Antwort auf die Anfrage der anderen Steuervorrichtung 1 (beitretende Steuervorrichtung 1n) mit, die beabsichtigt, der verteilten Steuervorrichtung 10, zu der die Steuervorrichtung 1 gehört, neu beizutreten. Somit kann die beitretende Steuervorrichtung 1n der verteilten Steuervorrichtung 10 beitreten, selbst wenn die Schlüsselerfassung deaktiviert ist, weil der Schlüsselerfassungsserver 9 z.B. ausgefallen ist.
  • Ferner kann in einigen Ausführungsformen, wie in 4 gezeigt, der Schlüsselerfassungsserver 9 redundant sein. In der in 4 gezeigten Ausführungsform ist der Schlüsselerfassungsserver dupliziert. Dadurch ist es möglich, die Zuverlässigkeit des Schlüsselerfassungsservers 9 zu verbessern. Ferner kann die Steuervorrichtung 1 (beitretende Steuervorrichtung 1n), die beabsichtigt, der verteilten Steuervorrichtung 10 neu beizutreten, wenn mindestens eine Vorrichtung, die den Schlüsselerfassungsserver 9 bildet, ordnungsgemäß arbeitet, beitreten.
  • Nachfolgend wird das Verfahren zur Verlängerung der Gültigkeitsdauer von Verschlüsselungsschlüsseln, das dem von der Steuervorrichtung 1 durchgeführten Prozess entspricht, unter Bezugnahme auf 6 beschrieben. 6 ist ein Diagramm, das das Verfahren zur Verlängerung der Gültigkeitsdauer von Verschlüsselungsschlüsseln gemäß einer Ausführungsform der vorliegenden Erfindung zeigt.
  • Das Verfahren zur Verlängerung der Gültigkeitsdauer von Verschlüsselungsschlüsseln wird von der Steuervorrichtung 1 durchgeführt, die mit einer anderen Vorrichtung über das Kommunikationsnetzwerk N kommuniziert, wie z.B. die Steuervorrichtung 1 der verteilten Steuervorrichtung 10, in der eine Vielzahl von Steuervorrichtungen 1 über das Kommunikationsnetzwerk N verbunden sind. Wie in 6 gezeigt, umfasst das Verfahren zur Verlängerung der Gültigkeitsdauer von Verschlüsselungsschlüsseln: einen Schlüsselerfassungsschritt zum Erfassen des Verschlüsselungsschlüssels K mit der Gültigkeitsdauer T von dem Schlüsselerfassungsserver 9 über das Kommunikationsnetzwerk N; einen Verschlüsselte-Kommunikation-Schritt zum Durchführen einer verschlüsselten Kommunikation mit einer anderen Vorrichtung (z.B., einen Verschlüsselte-Kommunikation-Schritt zum Durchführen einer verschlüsselten Kommunikation mit einer anderen Vorrichtung (z.B. einer anderen Steuervorrichtung 1) unter Verwendung des Verschlüsselungsschlüssels K innerhalb der Gültigkeitsdauer T; einen Serverzustands-Erfassungsschritt zum Erfassen des Schlüsselerfassungs-Deaktivierungszustands, in dem die Erfassung des Verschlüsselungsschlüssels durch den Schlüsselerfassungsschritt deaktiviert ist; und einen Gültigkeitsdauerverlängerungsschritt zum Durchführen einer Verlängerungsverarbeitung zum Verlängern der Gültigkeitsdauer T, wenn der Schlüsselerfassungs-Deaktivierungszustand erfasst wird. Der Schlüsselerfassungsschritt, der Verschlüsselte-Kommunikation-Schritt, der Serverzustandserkennungsschritt und der Gültigkeitsdauerverlängerungsschritt sind die gleichen wie die Prozesse, die von der Schlüsselerfassungseinheit 2, der Verarbeitungseinheit für verschlüsselte Kommunikation 3, der Serverzustandsdetektionseinheit 4 bzw. der Gültigkeitsdauerverlängerungseinheit 5 durchgeführt werden, und die Details werden weggelassen.
  • In der in 6 dargestellten Ausführungsform wird der Schlüsselerfassungsschritt in Schritt S1 durchgeführt, um den Sitzungsschlüssel K (Gültigkeitsdauer T und Verschlüsselungsschlüssel K) zu erfassen. In Schritt S2 wird die verschlüsselte Kommunikation durchgeführt. Insbesondere wird die verschlüsselte Kommunikation mit einer anderen Vorrichtung unter Verwendung des in Schritt S1 erworbenen Sitzungsschlüssels K durchgeführt. Wenn der in Schritt S2 verwendete Sitzungsschlüssel K gültig ist, wird der Serverzustandserkennungsschritt in Schritt S3 ausgeführt. Wenn der Schlüsselerfassungs-Deaktivierungszustand in Schritt S4 erkannt wird, wird die Erweiterungsverarbeitung zu einem beliebigen Zeitpunkt vor dem Ablauf der Gültigkeitsdauer T durchgeführt. Dies kann unmittelbar nach der Erkennung des Schlüsselerfassungs-Deaktivierungszustands oder vor dem Ablauf der Gültigkeitsdauer T sein. Umgekehrt wird in Schritt S3, wenn der Schlüsselerfassungs-Deaktivierungszustand nicht erkannt wird, in Schritt S5 die verschlüsselte Kommunikation mit der anderen Vorrichtung unter Verwendung des Sitzungsschlüssels K nach der Erweiterungsverarbeitung fortgesetzt (durchgeführt).
  • Wenn der Schlüsselerfassungsserver 9 wiederhergestellt wird und während der Ausführung von Schritt S5 in der Lage ist, den Sitzungsschlüssel K zu verteilen, wird die verschlüsselte Kommunikation unter Verwendung des nach der Wiederherstellung verteilten Sitzungsschlüssels K durchgeführt.
  • Die vorliegende Erfindung ist nicht auf die oben beschriebenen Ausführungsformen beschränkt, sondern umfasst Modifikationen der oben beschriebenen Ausführungsformen und Ausführungsformen, die aus Kombinationen dieser Ausführungsformen bestehen.
  • Bezugszeichenliste
    • 10
    Verteilte Steuervorrichtung
    1
    Steuervorrichtung
    1n
    beitretende Steuervorrichtung
    M
    Speichereinheit
    2
    Schlüsselerfassungseinheit
    3
    Verarbeitungseinheit für verschlüsselte Kommunikation
    4
    Serverzustandsdetektionseinheit
    5
    Gültigkeitsdauerverlängerungseinheit
    6
    Gültigkeitsdauerüberwachungseinheit
    71
    Schlüsselanforderungsempfangseinheit
    72
    Schlüsselbenachrichtigungseinheit
    8
    industrielles Steuersystem
    81
    Feldvorrichtung
    82
    IOM
    83
    OPS
    84
    ACS
    85
    Firewall-Vorrichtung
    9
    Schlüsselerfassungsserver
    N
    Kommunikationsnetzwerk
    N1
    Steuerungsnetzwerk
    N2
    Steuerinformationsnetz
    N3
    anderes Netzwerk
    K
    Verschlüsselungsschlüssel (Sitzungsschlüssel)
    T
    Gültigkeitsdauer
    S
    Zustandsmeldung
    D
    Kommunikationsdaten
    R
    Schlüsselanforderungsnachricht
    Rr
    Schlüsselantwortnachricht
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2011221846 A [0003]
    • JP 2012226680 A [0003]
    • JP 2004171524 A [0003]

Claims (10)

  1. Steuervorrichtung, die konfiguriert ist, mit einer anderen Vorrichtung über ein Kommunikationsnetzwerk zu kommunizieren, wobei die Steuervorrichtung umfasst: eine Schlüsselerfassungseinheit, die konfiguriert ist, von einem Schlüsselerfassungsserver über das Kommunikationsnetzwerk einen Verschlüsselungsschlüssel mit einer Gültigkeitsdauer zum Durchführen einer verschlüsselten Kommunikation mit der anderen Vorrichtung zu erfassen; eine Verarbeitungseinheit für verschlüsselte Kommunikation, die konfiguriert ist, die verschlüsselte Kommunikation mit der anderen Vorrichtung unter Verwendung des Verschlüsselungsschlüssels innerhalb der Gültigkeitsdauer auszuführen; eine Serverzustandsdetektionseinheit, die konfiguriert ist, einen Schlüsselerfassungs-Deaktivierungszustand zu detektieren, in dem die Erfassung des Verschlüsselungsschlüssels durch die Schlüsselerfassungseinheit deaktiviert ist; und eine Gültigkeitsdauerverlängerungseinheit, die konfiguriert ist, eine Verlängerungsverarbeitung zum Verlängern der Gültigkeitsdauer durchzuführen, wenn der Schlüsselerfassungs-Deaktivierungszustand erfasst wird.
  2. Steuervorrichtung nach Anspruch 1, ferner umfassend eine Gültigkeitsdauerüberwachungseinheit, die konfiguriert ist, den Ablauf der Gültigkeitsdauer zu bestimmen, wobei die Gültigkeitsdauerverlängerungseinheit die Gültigkeitsüberwachungseinheit daran hindert, den Ablauf der Gültigkeitsdauer als die Verlängerungsbearbeitung zu bestimmen.
  3. Die Steuervorrichtung nach Anspruch 2, wobei die Gültigkeitsdauerüberwachungseinheit konfiguriert ist, die Gültigkeitsdauer zu zählen, und wobei die Verlängerungsverarbeitung einen Zählwert der Gültigkeitsdauerüberwachungseinheit um einen vorbestimmten Wert zurücksetzt.
  4. Steuervorrichtung nach einem der Ansprüche 1 bis 3, wobei die Serverzustandsdetektionseinheit den Schlüsselerfassungs-Deaktivierungszustand detektiert, basierend auf der Zustandsbenachrichtigung, die periodisch von dem Schlüsselerfassungsserver übertragen wird, oder dem Kommunikationsstatus der Zustandsbenachrichtigung.
  5. Steuervorrichtung nach einem der Ansprüche 1 bis 4, wobei die Steuervorrichtung eine Vorrichtung ist, die eine verteilte Steuervorrichtung bildet, und wobei die Steuervorrichtung ferner umfasst: eine Speichereinheit, die konfiguriert ist, den Verschlüsselungsschlüssel und die Gültigkeitsdauer, die von der Schlüsselerfassungseinheit erfasst wurden, zu speichern eine Schlüsselanforderungsempfangseinheit, die konfiguriert ist, eine Schlüsselanforderungsnachricht zu empfangen, die von einer beitretenden Steuervorrichtung übertragen wird, die beabsichtigt, der verteilten Steuervorrichtung neu beizutreten, wobei die Schlüsselanforderungsnachricht den Verschlüsselungsschlüssel anfordert; und eine Schlüsselbenachrichtigungseinheit, die konfiguriert ist, den Verschlüsselungsschlüssel und die Gültigkeitsdauer, die in der Speichereinheit gespeichert sind, an die beitretende Steuervorrichtung zu übertragen, die die Schlüsselanforderungsnachricht übertragen hat.
  6. Steuervorrichtung nach Anspruch 5, wobei die Schlüsselbenachrichtigungseinheit den Verschlüsselungsschlüssel und die Gültigkeitsdauer an die beitretende Steuervorrichtung überträgt, wenn eine spezifizierte Bedingung erfüllt ist, die einschließt, dass der Schlüsselerfassungs-Deaktivierungszustand durch die Serverzustandsdetektionseinheit erkannt wird.
  7. Steuervorrichtung nach einem der Ansprüche 1 bis 6, wobei der Verschlüsselungsschlüssel ein Sitzungsschlüssel ist.
  8. Ein industrielles Steuersystem, umfassend: die Steuervorrichtung nach einem der Ansprüche 1 bis 7; und einen Schlüsselerfassungsserver, die konfiguriert ist, einen Verschlüsselungsschlüssel mit einer Gültigkeitsdauer, die zwischen der Steuervorrichtung und einer anderen Vorrichtung geteilt wird, an die Steuervorrichtung und die andere Vorrichtung zu verteilen.
  9. Industrielles Steuersystem nach Anspruch 8, wobei der Schlüsselerfassungsserver redundant ist.
  10. Verfahren zur Verlängerung der Gültigkeitsdauer von Verschlüsselungsschlüsseln, das von einer Steuervorrichtung durchgeführt wird, die zur Kommunikation mit einer anderen Vorrichtung über ein Kommunikationsnetzwerk konfiguriert ist, wobei das Verfahren umfasst: einen Schlüsselerfassungsschritt des Erfassens, von einem Schlüsselerfassungsserver über das Kommunikationsnetzwerk, eines Verschlüsselungsschlüssels mit einer Gültigkeitsdauer zur Durchführung einer verschlüsselten Kommunikation mit der anderen Vorrichtung; einen Verschlüsselte-Kommunikation-Schritt zum Durchführen der verschlüsselten Kommunikation mit der anderen Vorrichtung unter Verwendung des Verschlüsselungsschlüssels innerhalb der Gültigkeitsdauer; einen Serverzustandserfassungsschritt zum Erfassen eines Schlüsselerfassungs-Deaktivierungszustands, in dem die Erfassung des Verschlüsselungsschlüssels durch den Schlüsselerfassungsschritt deaktiviert ist; und einen Gültigkeitsdauerverlängerungsschritt zum Durchführen einer Verlängerungsverarbeitung zum Verlängern der Gültigkeitsdauer, wenn der Schlüsselerfassungs-Deaktivierungszustand erkannt wird.
DE112019005250.0T 2019-02-15 2019-10-16 Steuereinrichtung, industrielles Steuersystem und Verfahren zur Verlängerung der Gültigkeitsdauer von Verschlüsselungsschlüsseln Pending DE112019005250T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2019025256A JP7300845B2 (ja) 2019-02-15 2019-02-15 制御装置、産業用制御システムおよび暗号鍵寿命延長方法
JP2019-025256 2019-02-15
PCT/JP2019/040624 WO2020166132A1 (ja) 2019-02-15 2019-10-16 制御装置、産業用制御システムおよび暗号鍵寿命延長方法

Publications (1)

Publication Number Publication Date
DE112019005250T5 true DE112019005250T5 (de) 2021-08-26

Family

ID=72045252

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112019005250.0T Pending DE112019005250T5 (de) 2019-02-15 2019-10-16 Steuereinrichtung, industrielles Steuersystem und Verfahren zur Verlängerung der Gültigkeitsdauer von Verschlüsselungsschlüsseln

Country Status (5)

Country Link
US (1) US11956355B2 (de)
JP (1) JP7300845B2 (de)
CN (1) CN113169865B (de)
DE (1) DE112019005250T5 (de)
WO (1) WO2020166132A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3624393B1 (de) * 2017-05-09 2022-06-01 Nippon Telegraph and Telephone Corporation Schlüsselverteilungssystem und -verfahren, schlüsselerzeugungsvorrichtung, repräsentatives benutzerendgerät, servervorrichtung, benutzerendgerät und programm
US12073095B2 (en) 2021-11-16 2024-08-27 Samsung Electronics Co., Ltd. Storage device performing a data protection operation and operation method thereof

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004171524A (ja) 2002-10-30 2004-06-17 Ricoh Co Ltd サービス提供装置、サービス提供方法、サービス提供プログラム及び記録媒体
JP2011221846A (ja) 2010-04-12 2011-11-04 Mitsubishi Heavy Ind Ltd アクセス監視装置及びアクセス監視方法並びにそのプログラム
JP2012226680A (ja) 2011-04-22 2012-11-15 Internatl Business Mach Corp <Ibm> 産業制御システムを管理する管理システム、管理方法および管理プログラム

Family Cites Families (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2787264B1 (fr) * 1998-12-15 2001-11-02 Bull Sa Procede de creation et gestion d'au moins une cle cryptographique et systeme pour sa mise en oeuvre
US7149893B1 (en) * 1999-09-07 2006-12-12 Poofaway.Com, Inc. System and method for enabling the originator of an electronic mail message to preset an expiration time, date, and/or event, and to control processing or handling by a recipient
US6940979B1 (en) * 2000-11-09 2005-09-06 Nortel Networks Limited Management of certificates for public key infrastructure
US7203310B2 (en) 2001-12-04 2007-04-10 Microsoft Corporation Methods and systems for cryptographically protecting secure content
US20040138910A1 (en) 2002-10-30 2004-07-15 Yohichiroh Matsuno Service providing apparatus, service providing method and computer-readable storage medium
JP2004171525A (ja) 2002-10-30 2004-06-17 Ricoh Co Ltd サービス提供装置、サービス提供方法、サービス提供プログラム及び記録媒体
US7707406B2 (en) * 2002-11-08 2010-04-27 General Instrument Corporation Certificate renewal in a certificate authority infrastructure
US7522729B2 (en) * 2003-11-06 2009-04-21 Buffalo Inc. Encryption key setting system, access point, encryption key setting method, and authentication code setting system
JP4649865B2 (ja) * 2003-11-06 2011-03-16 ソニー株式会社 情報処理装置、情報記録媒体、および情報処理方法、並びにコンピュータ・プログラム
JP4365733B2 (ja) * 2004-06-22 2009-11-18 パナソニック株式会社 通信システムおよび通信装置
US7743069B2 (en) * 2004-09-03 2010-06-22 Sybase, Inc. Database system providing SQL extensions for automated encryption and decryption of column data
JP4758904B2 (ja) * 2004-09-21 2011-08-31 パナソニック株式会社 機密情報処理方法
US8291224B2 (en) * 2005-03-30 2012-10-16 Wells Fargo Bank, N.A. Distributed cryptographic management for computer systems
US8295492B2 (en) * 2005-06-27 2012-10-23 Wells Fargo Bank, N.A. Automated key management system
US7827262B2 (en) * 2005-07-14 2010-11-02 Cisco Technology, Inc. Approach for managing state information by a group of servers that services a group of clients
CN1964254B (zh) * 2005-11-11 2012-11-21 华为技术有限公司 一种密钥刷新的方法
US8341397B2 (en) * 2006-06-26 2012-12-25 Mlr, Llc Security system for handheld wireless devices using-time variable encryption keys
US8108670B2 (en) * 2006-07-13 2012-01-31 Intel Corporation Client apparatus and method with key manager
CN1929373B (zh) * 2006-10-19 2011-04-20 中控科技集团有限公司 工业安全控制系统及其控制方法
CN100596350C (zh) * 2006-11-29 2010-03-31 中控科技集团有限公司 工业控制数据的加密解密方法
KR101447726B1 (ko) * 2006-12-08 2014-10-07 한국전자통신연구원 이동통신시스템에서의 인증키 생성 방법 및 갱신 방법
DE102007005636B4 (de) * 2007-02-05 2008-11-13 Infineon Technologies Ag Verfahren zum Erzeugen eines Verkehr-Verschlüsselung-Schlüssels, Verfahren zum Übertragen von Daten, Einrichtungen zum Erzeugen eines Verkehr-Verschlüsselung-Schlüssels,Datenübertragungs-Anordnung
JP4379483B2 (ja) * 2007-04-05 2009-12-09 富士ゼロックス株式会社 情報処理装置及びプログラム
CA2684229A1 (en) 2007-04-12 2008-10-23 Ncipher Corporation Ltd. Method and system for identifying and managing keys
US8402552B2 (en) * 2008-01-07 2013-03-19 Antenna Vaultus, Inc. System and method for securely accessing mobile data
US8681990B2 (en) * 2008-03-28 2014-03-25 International Business Machines Corporation Renewal management for data items
US8423761B2 (en) * 2008-10-31 2013-04-16 Motorola Solutions, Inc. Method and device for enabling a trust relationship using an expired public key infrastructure (PKI) certificate
US9130758B2 (en) * 2009-11-10 2015-09-08 Red Hat, Inc. Renewal of expired certificates
US9087191B2 (en) * 2012-08-24 2015-07-21 Vmware, Inc. Method and system for facilitating isolated workspace for applications
EP2912799B1 (de) * 2012-10-26 2021-08-18 Nokia Technologies Oy Verfahren und vorrichtung für datensicherheit in mobilen ad-hoc-netzwerken
US9306751B2 (en) * 2013-04-30 2016-04-05 Kathie Wilson Secure time and crypto system
US9465947B2 (en) * 2013-08-05 2016-10-11 Samsung Sds America, Inc. System and method for encryption and key management in cloud storage
JP6043738B2 (ja) * 2014-01-30 2016-12-14 株式会社日立製作所 鍵管理装置および鍵管理方法
US9251334B1 (en) * 2014-01-30 2016-02-02 Amazon Technologies, Inc. Enabling playback of media content
US10320757B1 (en) * 2014-06-06 2019-06-11 Amazon Technologies, Inc. Bounded access to critical data
US10110382B1 (en) * 2014-09-02 2018-10-23 Amazon Technologies, Inc. Durable cryptographic keys
US10003584B1 (en) * 2014-09-02 2018-06-19 Amazon Technologies, Inc. Durable key management
US9843446B2 (en) * 2014-10-14 2017-12-12 Dropbox, Inc. System and method for rotating client security keys
US9552485B1 (en) * 2014-10-21 2017-01-24 Amazon Technologies, Inc. Cryptographic material renewal
EP3605943B1 (de) * 2014-11-13 2021-02-17 Panasonic Intellectual Property Corporation of America Schlüsselverwaltungsverfahren, fahrzeugmontiertes netzwerksystem und schlüsselverwaltungsvorrichtung
US9843452B2 (en) * 2014-12-15 2017-12-12 Amazon Technologies, Inc. Short-duration digital certificate issuance based on long-duration digital certificate validation
US10735200B2 (en) * 2015-03-27 2020-08-04 Comcast Cable Communications, Llc Methods and systems for key generation
US10680809B2 (en) * 2016-08-04 2020-06-09 Macronix International Co., Ltd. Physical unclonable function for security key
US10673628B1 (en) * 2017-04-27 2020-06-02 EMC IP Holding Company LLC Authentication and authorization token management using life key service
JP6882705B2 (ja) * 2017-06-21 2021-06-02 日本電信電話株式会社 鍵交換システムおよび鍵交換方法
JP6456451B1 (ja) * 2017-09-25 2019-01-23 エヌ・ティ・ティ・コミュニケーションズ株式会社 通信装置、通信方法、及びプログラム
EP3518489A1 (de) * 2018-01-26 2019-07-31 Siemens Aktiengesellschaft Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels
US10965449B2 (en) * 2018-05-31 2021-03-30 Microsoft Technology Licensing, Llc Autonomous secrets management for a key distribution service
US11397823B1 (en) * 2019-06-26 2022-07-26 Amazon Technologies, Inc. Remote hardware access service

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004171524A (ja) 2002-10-30 2004-06-17 Ricoh Co Ltd サービス提供装置、サービス提供方法、サービス提供プログラム及び記録媒体
JP2011221846A (ja) 2010-04-12 2011-11-04 Mitsubishi Heavy Ind Ltd アクセス監視装置及びアクセス監視方法並びにそのプログラム
JP2012226680A (ja) 2011-04-22 2012-11-15 Internatl Business Mach Corp <Ibm> 産業制御システムを管理する管理システム、管理方法および管理プログラム

Also Published As

Publication number Publication date
JP2020136793A (ja) 2020-08-31
CN113169865A (zh) 2021-07-23
US20210409212A1 (en) 2021-12-30
US11956355B2 (en) 2024-04-09
WO2020166132A1 (ja) 2020-08-20
JP7300845B2 (ja) 2023-06-30
CN113169865B (zh) 2024-01-09

Similar Documents

Publication Publication Date Title
DE102012217743B4 (de) Überprüfung einer Integrität von Eigenschaftsdaten eines Gerätes durch ein Prüfgerät
EP3295646B1 (de) Prüfung einer konsistenz zwischen referenzdaten eines fertigungsobjektes und daten eines digitalen zwillings des fertigungsobjektes
DE102011108003B4 (de) Prozessleitsystem
DE102011004978A1 (de) Verfahren, Steuerungseinrichtung und System zum Nachweis von Verletzungen der Authentzität von Anlagekomponenten
DE102018103772A1 (de) Überwachungssystem für eine Schutzeinrichtung und Schutzeinrichtung
EP2165507A2 (de) Verfahren und architektur zur sicherung von echtzeitdaten
EP2586178A1 (de) Verfahren zur manipulationsgesicherten schlüsselverwaltung
DE112019005250T5 (de) Steuereinrichtung, industrielles Steuersystem und Verfahren zur Verlängerung der Gültigkeitsdauer von Verschlüsselungsschlüsseln
EP2863610A2 (de) Verfahren und System zum manipulationssicheren Bereitstellen mehrerer digitaler Zertifikate für mehrere öffentliche Schlüssel eines Geräts
EP3582033A1 (de) Verfahren und vorrichtung zur gesicherten bedienung eines feldgeräts
DE102016115193A1 (de) Verfahren zur sicheren Datenhaltung in einem Computernetzwerk
EP3734930A1 (de) Angriffserkennung auf computersysteme
EP3718263B1 (de) Verfahren und steuersystem zum steuern und/oder überwachen von geräten
EP3525390A1 (de) Einrichtung und verfahren zum bereitstellen mindestens eines sicheren kryptographischen schlüssels für den durch ein steuergerät initiierten kryptographischen schutz von daten
EP3985532B1 (de) Zertifikatsmanagement für technische anlagen
EP3105898B1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
DE102014225418A1 (de) Verfahren und Vorrichtung zur Überwachung einer Zertifizierungsstelle
WO2015185505A1 (de) Verfahren zur verteilung von tasks zwischen computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
EP2850860B1 (de) Sicherung eines energiemengenzählers gegen unbefugten zugriff
DE102013108073B4 (de) Datenverarbeitungsanordnung und verfahren zur datenverarbeitung
EP3541009A1 (de) Verfahren und vorrichtung zur sicherstellung einer kryptographisch geschützten datenübertragung zwischen einem ersten gerät und einem zweiten gerät
WO2018145798A1 (de) Netzwerksystem und verfahren zur überprüfung der funktionsfähigkeit einer cloud-basierten steuerungsfunktion
EP4009683A1 (de) Verfahren zur synchronisation von uhren von mindestens zwei geräten
WO2022022997A1 (de) Kanalbasierte kommunikation in einem iot-netzwerk
DE102016106638B4 (de) Verfahren zum Freischalten einer Funktion einer Mess- und/oder Stellvorrichtung sowie entsprechend ausgebildete Mess- und/oder Stellvorrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R083 Amendment of/additions to inventor(s)
R081 Change of applicant/patentee

Owner name: MITSUBISHI HEAVY INDUSTRIES, LTD., JP

Free format text: FORMER OWNER: MITSUBISHI POWER, LTD., YOKOHAMA-SHI, KANAGAWA, JP