JP2010146195A - Programmable controller - Google Patents

Programmable controller Download PDF

Info

Publication number
JP2010146195A
JP2010146195A JP2008321308A JP2008321308A JP2010146195A JP 2010146195 A JP2010146195 A JP 2010146195A JP 2008321308 A JP2008321308 A JP 2008321308A JP 2008321308 A JP2008321308 A JP 2008321308A JP 2010146195 A JP2010146195 A JP 2010146195A
Authority
JP
Japan
Prior art keywords
user
access
programmable controller
information
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008321308A
Other languages
Japanese (ja)
Other versions
JP5264460B2 (en
Inventor
Hiroki Kawamoto
宏紀 川本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2008321308A priority Critical patent/JP5264460B2/en
Publication of JP2010146195A publication Critical patent/JP2010146195A/en
Application granted granted Critical
Publication of JP5264460B2 publication Critical patent/JP5264460B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a programmable controller having a security function to reduce the load on a system. <P>SOLUTION: User management information 1 for authenticating a user is separated from access control information 2 for controlling access to files in the programmable controller, and user authentication and control of access to the files are separated into two steps to reduce the load on the system. Further, the access control information 2 is set for each file, thereby suppressing an increase in the amount of information due to addition of files to be access-controlled and reducing the load on the system. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、制御対象機器をシーケンス制御するプログラマブルコントローラに関し、特にセキュリティ機能を搭載したプログラマブルコントローラに関する。   The present invention relates to a programmable controller that performs sequence control of a device to be controlled, and more particularly to a programmable controller equipped with a security function.

従来、セキュリティ機能を搭載したプログラマブルコントローラとしては、以下に説明するものが開示されている。   Conventionally, what is described below is disclosed as a programmable controller equipped with a security function.

すなわち、ユーザ名、パスワード、アクセスレベルを含むユーザ情報を記憶したユーザ認証テーブルを格納するメモリカードをプログラマブルコントローラに装着した後、該プログラマブルコントローラにアクセス可能なツールからユーザ名、パスワードを含むユーザ情報を記載したログイン要求コマンドを該プログラマブルコントローラへ送信する。そして、該ログイン要求コマンドに記載されたユーザ名、パスワードと、メモリカードのユーザ認証テーブルのユーザ名、パスワードとが一致した場合に、該プログラマブルコントローラにアクセス可能なツールによる該プログラマブルコントローラへのアクセスを許可する。さらに、該プログラマブルコントローラへのアクセスは、ユーザ認証テーブルに記憶されたアクセスレベルの許可範囲内で可能とする(例えば、特許文献1参照)。なお、特許文献1におけるアクセスレベルの定義は、プログラマブルコントローラ内の各ファイルの各エリア毎に操作(読出し、書込み、実行許可)可否を設定した情報である。   That is, after a memory card storing a user authentication table storing user information including a user name, a password, and an access level is mounted on a programmable controller, user information including a user name and a password is obtained from a tool accessible to the programmable controller. The described login request command is transmitted to the programmable controller. Then, when the user name and password described in the login request command match the user name and password in the user authentication table of the memory card, access to the programmable controller by a tool that can access the programmable controller is performed. to approve. Furthermore, the programmable controller can be accessed within the permitted range of the access level stored in the user authentication table (see, for example, Patent Document 1). In addition, the definition of the access level in Patent Document 1 is information in which operation (reading, writing, execution permission) is set for each area of each file in the programmable controller.

特開2003−167606号公報JP 2003-167606 A

前記従来の技術は、ユーザを認証するための情報とプログラマブルコントローラ内のファイルへのアクセスを制御するための情報を一つのテーブルで一括管理し、ユーザの認証とファイルへのアクセスの制御を前記テーブルで実施しているため、システムに負荷がかかっている。さらに、該情報をユーザ毎に設定しているため、例えば、ユーザによるアクセスを制御したいファイルの追加に伴い、登録されている全ユーザ数分、追加したファイルへのアクセス可否を設定する必要があり、情報量が膨大になる。このこともシステムに負荷がかかる一因となっている。   In the conventional technique, information for authenticating a user and information for controlling access to a file in the programmable controller are collectively managed in one table, and user authentication and control of access to the file are controlled by the table. The system is overloaded. Furthermore, since this information is set for each user, for example, with the addition of a file whose access is to be controlled by the user, it is necessary to set whether or not the added file can be accessed for all registered users. The amount of information becomes enormous. This also contributes to the load on the system.

この発明は、上述の課題を解決するためになされたもので、システムにかかる負荷を軽減することが可能なセキュリティ機能を搭載したプログラマブルコントローラを提供することを目的とする。   The present invention has been made to solve the above-described problems, and an object thereof is to provide a programmable controller equipped with a security function capable of reducing the load on the system.

上述した課題を解決し、目的を達成するために、本発明に係るプログラマブルコントローラは、外部からのアクセスが許可されたユーザのみがアクセス可能であるとともに、内部に存在するファイルの少なくとも一部にアクセス制御がなされているプログラマブルコントローラにおいて、ユーザ名、パスワード、およびアクセス権限のレベルであるアクセスレベルを含み、ユーザを認証するための情報として用いられるユーザ管理情報と、前記アクセスレベル毎に前記ファイルへのアクセスの可否を前記ファイルへのアクセス操作に対して定義した情報であるアクセス制御情報とが、保存された非公開メモリ、を備え、アクセス対象のファイルにアクセスを試みるユーザに対し、前記ユーザがアクセス時に入力したユーザ名およびパスワードと前記ユーザ管理情報に含まれるユーザ名およびパスワードとが一致して前記ユーザが認証され、さらに、前記ファイルに対する前記アクセス制御情報が前記非公開メモリに保存されている場合には、前記ユーザ管理情報にて設定された前記ユーザのアクセスレベルに応じて前記アクセス制御情報にて設定許可された範囲内で前記ファイルへのアクセスを許可することを特徴とする。   In order to solve the above-described problems and achieve the object, the programmable controller according to the present invention can be accessed only by a user who is permitted to access from the outside, and accesses at least a part of the files existing inside. In a programmable controller in which control is performed, user management information used as information for authenticating a user, including an access level that is a user name, a password, and an access authority level, and access to the file for each access level Access control information, which is information defining access permission for the access operation to the file, includes a stored private memory, and the user accesses the user who tries to access the file to be accessed. Username and password entered at the time If the user name and password included in the user management information match and the user is authenticated, and the access control information for the file is stored in the private memory, the user management information According to the access level set by the user, access to the file is permitted within a range permitted to be set by the access control information.

この発明によれば、ユーザ名、パスワード、およびアクセス権限のレベルであるアクセスレベルを含み、ユーザを認証するための情報として用いられるユーザ管理情報と、前記アクセスレベル毎に前記ファイルへのアクセスの可否を前記ファイルへのアクセス操作に対して定義した情報であるアクセス制御情報とを、分割して管理するようにしたので、システムにかかる負荷を軽減することができる、という効果を奏する。   According to the present invention, the user management information used as information for authenticating the user, including the access level that is the user name, password, and access authority level, and whether or not the file can be accessed for each access level Since the access control information, which is the information defined for the access operation to the file, is divided and managed, the load on the system can be reduced.

以下に、本発明に係るプログラマブルコントローラの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。   Embodiments of a programmable controller according to the present invention will be described below in detail with reference to the drawings. Note that the present invention is not limited to the embodiments.

実施の形態1.
図1は、本実施の形態に係るプログラマブルコントローラの全体構成を示す図である。以下説明するように、本実施の形態のプログラマブルコントローラ101は外部からのファイルへのアクセスを制御するセキュリティ機能を搭載している。ここでセキュリティ機能とは、例えば、悪意のあるユーザによるファイルの改竄および盗用、ユーザの誤動作による改変を防止する機能のことを指す。また、図6は、システムメモリの記憶内容を示す図である。 Embodiment 1 FIG.
FIG. 1 is a diagram showing an overall configuration of a programmable controller according to the present embodiment. As will be described below, the programmable controller 101 of this embodiment has a security function for controlling access to files from the outside. Here, the security function refers to, for example, a function that prevents a malicious user from falsifying and stealing a file, and modification due to a user malfunction. FIG. 6 is a diagram showing the contents stored in the system memory.

図1に示すように、プログラマブルコントローラ101は、MPU102、プログラムメモリ103、システムメモリ104、データメモリ105、および通信ドライバ106を備えており、さらに、外部のツール107と接続されている。   As shown in FIG. 1, the programmable controller 101 includes an MPU 102, a program memory 103, a system memory 104, a data memory 105, and a communication driver 106, and is further connected to an external tool 107.

図1において、プログラムメモリ103は、シーケンスプログラムなどのプログラマブルコントローラ101が演算するための情報が格納されたメモリである。MPU102は、プログラマブルコントローラ101の全体動作を統括制御する制御部として機能する。データメモリ105は、プログラマブルコントローラ101を制御するのに必要な環境設定データが格納されたメモリである。通信ドライバ106は、プログラマブルコントローラ101とツール107との通信を可能にするドライバである。ツール107は、プログラマブルコントローラ101にアクセス可能なツールである。システムメモリ104は、非公開メモリであり、図6に示すように、ユーザを認証するための情報であるユーザ管理情報1、各ファイルへのアクセス(例えば、読出し、書込み、表示)可否をアクセスレベル毎に定義した情報であるアクセス制御情報2、およびプログラマブルコントローラ101にログインしているユーザの情報であるログインユーザ情報テーブル3が格納されたメモリである。   In FIG. 1, a program memory 103 is a memory that stores information for the programmable controller 101 to calculate such as a sequence program. The MPU 102 functions as a control unit that controls the overall operation of the programmable controller 101. The data memory 105 is a memory in which environment setting data necessary for controlling the programmable controller 101 is stored. The communication driver 106 is a driver that enables communication between the programmable controller 101 and the tool 107. The tool 107 is a tool that can access the programmable controller 101. The system memory 104 is a private memory, and as shown in FIG. 6, user management information 1 that is information for authenticating a user, and whether or not each file can be accessed (for example, read, written, displayed) is an access level. It is a memory in which access control information 2 that is information defined for each and a login user information table 3 that is information of a user who has logged into the programmable controller 101 are stored.

図2は、本実施の形態におけるユーザ管理情報1の構成を示した図である。ユーザ管理情報1およびログインユーザ情報テーブル3には、ユーザ名、パスワード、およびアクセスレベルを記憶する。アクセスレベルは、例えば、Administrators、Developers(Level3)、Developers2(Level2)、Developers1(Level1)、Usersの5段階で表現し、プログラマブルコントローラ101にアクセスする各ユーザにプログラマブルコントローラ101内部のファイルにアクセスする権限を割り当てる。なお、ログインユーザ情報テーブル3の構成もユーザ管理情報1の構成と同様である。   FIG. 2 is a diagram showing the configuration of the user management information 1 in the present embodiment. The user management information 1 and the login user information table 3 store user names, passwords, and access levels. The access level is expressed in five levels, for example, Administrators, Developers (Level 3), Developers 2 (Level 2), Developers 1 (Level 1), and Users, and each user who accesses the programmable controller 101 has the authority to access the files inside the programmable controller 101. Assign. The configuration of the login user information table 3 is the same as that of the user management information 1.

すなわち、図2に示すユーザ管理情報1においては、ユーザ名「SATO」に対応してパスワード「Admini_MAN」および、アクセスレベル「Administrators」が記憶される。同様に、ユーザ名「SUZUKI」に対応してパスワード「User_MAN」および、アクセスレベル「Users」が記憶され、ユーザ名「TAKAHASI」に対応してパスワード「Develop_MAN」および、「Developers(Level3)」が記憶される。なお、ログインユーザ情報テーブル3の構成は、図2に示すユーザ管理情報1と同様であるが、プログラマブルコントローラ101にログインしているユーザに対してのみ情報が管理される。   That is, in the user management information 1 shown in FIG. 2, the password “Admini_MAN” and the access level “Administrators” are stored in correspondence with the user name “SATO”. Similarly, the password “User_MAN” and the access level “Users” are stored corresponding to the user name “SUZUKI”, and the password “Develop_MAN” and “Developers (Level3)” are stored corresponding to the user name “TAKAHASI”. Is done. The configuration of the login user information table 3 is the same as the user management information 1 shown in FIG. 2, but information is managed only for users who are logged in to the programmable controller 101.

図3は、本実施の形態におけるアクセス制御情報2の構成を示した図である。アクセス制御情報2には、アクセスレベル、およびプログラマブルコントローラ101内のファイルへのアクセス(読出し、書込み、表示)可否の情報を記憶する。アクセス制御情報2は、例えば、プログラマブルコントローラ101内のファイル毎に設定する。プログラマブルコントローラ101から認証されたユーザは、プログラマブルコントローラ101内の各ファイルに対して設定されたアクセス制御情報2に従ったアクセスが可能となる。ここで、アクセス対象のファイルに対して設定されたアクセス制御情報2に従ったアクセスとは、プログラマブルコントローラ101から認証されたユーザのユーザ管理情報1に設定されている「アクセスレベル」と一致するアクセス管理情報2の「アクセスレベル」に設定された「ファイルへのアクセス可否」に従ったアクセスのことを言う。   FIG. 3 is a diagram showing a configuration of the access control information 2 in the present embodiment. The access control information 2 stores information on the access level and whether or not access (reading, writing, and display) to a file in the programmable controller 101 is possible. The access control information 2 is set for each file in the programmable controller 101, for example. A user who is authenticated by the programmable controller 101 can access according to the access control information 2 set for each file in the programmable controller 101. Here, the access according to the access control information 2 set for the file to be accessed is an access that matches the “access level” set in the user management information 1 of the user authenticated by the programmable controller 101. This means access in accordance with “accessibility of file” set in “access level” of management information 2.

すなわち、図3のアクセス制御情報2においては、アクセスレベル「Administrators」に対応するユーザは、「読出し」、「書込み」、「表示」全ての操作が「許可」に設定されていることを示している。同様に、アクセスレベル「Developers(Level3)」に対応するユーザも全ての操作が「許可」に設定されていることを示し、アクセスレベル「Developers(Level2)」、「Developers(Level1)」に対応するユーザは、「読出し」、「表示」の操作が「許可」、「書込み」の操作が「禁止」に設定されていることを示し、アクセスレベル「Users」に対応するユーザは、「読出し」、「書込み」の操作が「禁止」、「表示」の操作のみ「許可」に設定されていることを示している。   That is, in the access control information 2 of FIG. 3, the user corresponding to the access level “Administrators” indicates that all operations of “read”, “write”, and “display” are set to “permitted”. Yes. Similarly, the user corresponding to the access level “Developers (Level 3)” also indicates that all operations are set to “permitted”, and corresponds to the access levels “Developers (Level 2)” and “Developers (Level 1)”. The user indicates that the “read” and “display” operations are set to “permitted” and the “write” operation is set to “prohibited”, and the user corresponding to the access level “Users” This indicates that the “write” operation is set to “permitted” only for the “prohibited” and “display” operations.

次に、図1を参照して、本実施の形態の動作について説明する。プログラマブルコントローラ101にアクセスするユーザは、ツール107から通信ドライバ106を介して、プログラムメモリ103およびデータメモリ105にアクセスできる。   Next, the operation of the present embodiment will be described with reference to FIG. A user accessing the programmable controller 101 can access the program memory 103 and the data memory 105 from the tool 107 via the communication driver 106.

該ユーザからのアクセス要求を受信したプログラマブルコントローラ101は、該ユーザを認証するために、ユーザにユーザ名とパスワードの再入力を要求するためのログイン要求依頼を起動元であるツール107に送信する。   Receiving the access request from the user, the programmable controller 101 transmits a login request request for requesting the user to re-enter the user name and password to the tool 107 that is the activation source in order to authenticate the user.

次に、プログラマブルコントローラ101からのログイン要求依頼を受信したツール107は、ログイン画面を表示させ、プログラマブルコントローラ101にアクセスするユーザにユーザ名、パスワードの入力を要求する。   Next, the tool 107 that has received the login request request from the programmable controller 101 displays a login screen and requests the user accessing the programmable controller 101 to input a user name and password.

ユーザにより、ユーザ名、パスワードの入力がされると、プログラマブルコントローラ101は、システムメモリ104に格納されているユーザ管理情報1内のユーザ名およびパスワードと入力されたユーザ名およびパスワードとを比較し、比較結果が一致した場合、アクセスしてきたユーザに対応するユーザ管理情報1内のユーザ名、パスワード、およびアクセスレベルをシステムメモリ104内のログインユーザ情報テーブル3にコピーし、アクセスを許可する。比較結果が一致しない場合には、アクセスを禁止し、再度、ログイン要求依頼を、通信ドライバ106を介して、ツール107に送信する。なお、前述のように、プログラマブルコントローラ101の制御処理はMPU102により実現されるため、具体的には上記比較処理などはMPU102によって行われ、以下同様である。   When the user inputs the user name and password, the programmable controller 101 compares the user name and password in the user management information 1 stored in the system memory 104 with the input user name and password. If the comparison results match, the user name, password, and access level in the user management information 1 corresponding to the accessing user are copied to the login user information table 3 in the system memory 104, and access is permitted. If the comparison results do not match, access is prohibited and a login request is sent again to the tool 107 via the communication driver 106. As described above, since the control process of the programmable controller 101 is realized by the MPU 102, specifically, the comparison process and the like are performed by the MPU 102, and so on.

プログラマブルコントローラ101は、ログインしているユーザがログオフ操作を実行した場合、または、ログインしているユーザからのアクセスが一定時間なかった場合、ログインユーザ情報テーブル内の該ユーザに対応する情報を削除する。   The programmable controller 101 deletes information corresponding to the user in the login user information table when the logged-in user performs a logoff operation or when there is no access from the logged-in user for a certain period of time. .

プログラマブルコントローラ101は、アクセスしてきたユーザを認証すると、プログラムメモリ103内のアクセス対象のファイルまたはデータメモリ105内のアクセス対象のファイルに対して設定されたシステムメモリ104内のアクセス制御情報2に従って、アクセスを許可する。   When the programmable controller 101 authenticates the accessing user, the programmable controller 101 accesses according to the access control information 2 in the system memory 104 set for the file to be accessed in the program memory 103 or the file to be accessed in the data memory 105. Allow.

すなわち、プログラマブルコントローラ101は、アクセスしてきたユーザを認証すると、アクセス対象であるプログラムメモリ103内のファイルまたはデータメモリ105内のファイルに対して設定されたシステムメモリ104内のアクセス制御情報を参照して、ユーザ管理情報1で設定されたアクセスレベルに対応したアクセスを許可する。   That is, when the programmable controller 101 authenticates the accessing user, the programmable controller 101 refers to the access control information in the system memory 104 set for the file in the program memory 103 to be accessed or the file in the data memory 105. The access corresponding to the access level set in the user management information 1 is permitted.

例えば、プログラマブルコントローラ101から認証されたユーザである「UserA」が、ユーザ管理情報1においてアクセスレベル「Developers(Level2)」に設定されており、アクセス対象の「ファイルA」に対して設定されたアクセス制御情報2において、「Developers(Level2)」のアクセス操作が「書込み」のみ禁止に設定されていれば(図3)、プログラマブルコントローラ101は、「UserA」の「ファイルA」に対するアクセスとして「読出し」、「表示」のみ許可し、「書込み」は禁止する。   For example, the user “UserA” who is authenticated by the programmable controller 101 is set to the access level “Developers (Level2)” in the user management information 1 and the access set to the “file A” to be accessed is set. In the control information 2, if the access operation of “Developers (Level 2)” is set to prohibit only “write” (FIG. 3), the programmable controller 101 performs “read” as access to “file A” of “UserA”. Only “display” is allowed, and “write” is prohibited.

図4は、プログラマブルコントローラ101が、ツール107を介してアクセスしてきたユーザを認証し、アクセス対象のファイルへのアクセスを許可するまでのプログラマブルコントローラ101の動作を示すフローチャートである。   FIG. 4 is a flowchart showing the operation of the programmable controller 101 until the programmable controller 101 authenticates a user who has accessed through the tool 107 and permits access to the file to be accessed.

図4に示すように、まず、プログラマブルコントローラ101は、ツール107から通信ドライバ106を介して、ログイン要求コマンドを受信すると(S1)、システムメモリ104に格納されているユーザ管理情報1中のユーザ名およびパスワードに、ユーザが入力したユーザ名およびパスワードと一致するものがあるかどうかを確認する(S2)。   As shown in FIG. 4, first, when the programmable controller 101 receives a login request command from the tool 107 via the communication driver 106 (S1), the user name in the user management information 1 stored in the system memory 104 is displayed. Then, it is confirmed whether there is a password that matches the user name and password entered by the user (S2).

S2において一致するものがなければ(S2,No)、再度、ログイン要求依頼をツール107に送信し(S3)、ユーザにユーザ名とパスワードの再入力を要求する。   If there is no match in S2 (S2, No), a login request is sent to the tool 107 again (S3), and the user is requested to re-enter the user name and password.

S2において一致するものがあれば(S2,Yes)、ログインユーザ情報テーブル3に該ユーザに対応するユーザ管理情報1内の情報(ユーザ名、パスワード、およびアクセスレベル)をコピーし(S4)、続いて、システムメモリ104を参照してアクセス対象のファイルに対してアクセス制御情報2が設定されているか否かを調べる(S5)。   If there is a match in S2 (S2, Yes), the information (user name, password, and access level) in the user management information 1 corresponding to the user is copied to the login user information table 3 (S4), then Then, it is checked whether or not the access control information 2 is set for the file to be accessed with reference to the system memory 104 (S5).

アクセス対象のファイルに対してアクセス制御情報2が設定されている場合は(S5,Yes)、設定されているアクセス制御情報2を参照し、該ユーザに設定されたアクセスレベルに合致するアクセスレベルに対して許可された範囲内で該ユーザによるアクセスを許可する(S6)。   If the access control information 2 is set for the file to be accessed (S5, Yes), the access control information 2 that has been set is referred to and the access level that matches the access level set for the user is set. On the other hand, access by the user is permitted within the permitted range (S6).

また、アクセス対象のファイルに対してアクセス制御情報2が設定されていない場合は(S5,No)、該ユーザに設定されたアクセスレベルに依らず、該ファイルへのアクセスを制限なく許可する(S7)。   If the access control information 2 is not set for the file to be accessed (S5, No), access to the file is permitted without restriction regardless of the access level set by the user (S7). ).

本実施の形態によれば、従来一括で管理していた情報(すなわち、ユーザを認証し、ファイルへのアクセスを制御するための情報)をユーザ管理情報1とアクセス制御情報2とに分割することで、システムにかかる負荷を軽減できる効果がある。   According to the present embodiment, information that is conventionally managed in a lump (that is, information for authenticating a user and controlling access to a file) is divided into user management information 1 and access control information 2. Thus, there is an effect of reducing the load on the system.

さらに、アクセス制御情報2をファイル毎に設定することで、アクセスを制御したいファイルの追加に伴って、登録されているユーザ数分、追加したファイルへのアクセス可否を設定する必要がなくなり、情報量の増大を抑制できるため、システムにかかる負荷をさらに軽減できる。   Furthermore, by setting the access control information 2 for each file, it is not necessary to set whether to access the added file for the number of registered users with the addition of the file whose access is to be controlled. Therefore, the load on the system can be further reduced.

例えば特許文献1のように、従来のユーザを認証する仕組みを搭載したプログラマブルコントローラは、ユーザを認証するための情報およびアクセス対象のファイルへのアクセスを制御するための情報を一括で管理しており、ユーザを認証してからプログラマブルコントローラ内のアクセス対象のファイルにアクセスするまでの一連の処理を単一のテーブルで実現しているため、システムに大きな負荷がかかっていた。さらに、ユーザ毎にファイルへのアクセスを制御するための情報を設定していることで、アクセスを制御したいファイルの追加に伴い、全登録ユーザ数分、追加したファイルへのアクセス可否を設定する必要があり、情報量が増大するため、システムに、より大きな負荷がかかっていた。   For example, as in Patent Document 1, a programmable controller equipped with a conventional mechanism for authenticating a user collectively manages information for authenticating the user and information for controlling access to a file to be accessed. Since a series of processes from authenticating a user to accessing a file to be accessed in the programmable controller is realized with a single table, a heavy load is imposed on the system. In addition, by setting the information for controlling access to the file for each user, it is necessary to set whether to access the added file for all registered users with the addition of the file whose access is to be controlled. As the amount of information increases, there is a greater load on the system.

本実施の形態では、従来一括で管理していたユーザを認証するための情報とプログラマブルコントローラ内のファイルへのアクセスを制御する情報とを分離し、ユーザの認証とファイルへのアクセスの制御を2段階に分けることで、システムにかかる負荷を軽減する。さらに、ファイルへのアクセスを制御するための情報をファイル毎に設定することで、アクセスを制御したいファイルの追加に伴う、情報量の増大を抑制できるため、システムにかかる負荷をより軽減することができる。   In the present embodiment, the information for authenticating the user, which has been managed collectively in the past, and the information for controlling the access to the file in the programmable controller are separated, and the user authentication and the control of the access to the file are performed in two. By dividing into stages, the load on the system is reduced. Furthermore, by setting information for controlling access to files for each file, the increase in the amount of information associated with the addition of the file whose access is to be controlled can be suppressed, so the load on the system can be further reduced. it can.

なお、特許文献1におけるアクセスレベルの定義は、本実施の形態におけるアクセスレベルの定義とは異なる。特許文献1におけるアクセスレベルの定義は、プログラマブルコントローラ内の各ファイルの各エリア毎に操作(読出し、書込み、実行許可)可否を設定した情報のことである。一方、本実施の形態におけるアクセスレベルの定義は、プログラマブルコントローラにアクセスするユーザに付与された操作権限のレベルの種類のことである。   Note that the access level definition in Patent Document 1 is different from the access level definition in the present embodiment. The definition of the access level in Patent Document 1 is information that sets whether or not an operation (reading, writing, execution permission) is permitted for each area of each file in the programmable controller. On the other hand, the definition of the access level in the present embodiment is the type of the level of operation authority given to the user who accesses the programmable controller.

実施の形態2.
管理者がパスワードを忘れてしまったため、プログラマブルコントローラのセキュリティが機能しなくなる場合がある。管理者が自身のパスワードを忘れてしまった場合の復旧手段として、メーカーに問い合わせることで、パスワードを取得する手段がある。しかしながら、この場合、メーカーは購入者を判別することは可能であるが、購入者が該プログラマブルコントローラの管理者であることは判別できないという問題がある。 Embodiment 2. FIG.
Because the administrator forgets the password, the security of the programmable controller may not work. As a recovery means when the administrator forgets his / her password, there is a means for acquiring the password by inquiring the manufacturer. However, in this case, although the manufacturer can determine the purchaser, there is a problem that it cannot be determined that the purchaser is an administrator of the programmable controller.

また、別の復旧手段として、忘れにくい解答とその質問を予め設定し、その質問に解答し、正解することでパスワードを取得する手段などがある。しかしながら、予め設定した質問に対する解答を万が一、忘れてしまった場合の復旧手段がないという問題がある。   As another recovery means, there is a means for obtaining a password by presetting an answer that is difficult to forget and its question, answering the question, and answering the question correctly. However, there is a problem that there is no recovery means in the event that an answer to a preset question is forgotten.

本実施の形態では、管理者が自身のパスワードを忘れてしまった場合でもメーカーにパスワードを問い合わせることなくそのセキュリティ機能を復旧可能なプログラマブルコントローラについて説明する。なお、本実施の形態に係るプログラマブルコントローラは、実施の形態1で説明した構成(図1、図6参照)を備えている。   In the present embodiment, a programmable controller that can recover the security function without inquiring the manufacturer for the password even when the administrator forgets his / her password will be described. Note that the programmable controller according to the present embodiment includes the configuration described in the first embodiment (see FIGS. 1 and 6).

自身のパスワードを忘れた管理者は、図1のプログラマブルコントローラ101に対して、初期化パスワードコマンドを発行することができる。プログラマブルコントローラ101は、初期化パスワードコマンドを受信すると、システムメモリ104内のログインユーザ情報テーブル3を参照して、ログイン中のユーザが存在するかどうかを確認し、存在しなければ、予め設定されたシステムメモリ104内の初期化パスワードと管理者がプログラマブルコントローラ101にアクセス時に入力した初期化パスワードとが一致するかどうかを確認する。パスワードが一致すれば、プログラマブルコントローラ101は、システムメモリ104内のユーザ管理情報1、アクセス制御情報2、およびログインユーザ情報テーブル3、ならびに、プログラムメモリ103およびデータメモリ105内の全データを削除する。   An administrator who has forgotten his password can issue an initialization password command to the programmable controller 101 of FIG. When the programmable controller 101 receives the initialization password command, the programmable controller 101 refers to the login user information table 3 in the system memory 104 to check whether or not there is a logged-in user. It is confirmed whether the initialization password in the system memory 104 matches the initialization password input by the administrator when accessing the programmable controller 101. If the passwords match, the programmable controller 101 deletes the user management information 1, the access control information 2, the login user information table 3 in the system memory 104, and all the data in the program memory 103 and the data memory 105.

図5は、管理者が自身のパスワードを忘れた場合に、プログラマブルコントローラ101が、セキュリティに関する情報(ユーザ管理情報1、アクセス制御情報2、およびログインユーザ情報テーブル3)とプログラムメモリ103およびデータメモリ105内部の全データを削除する処理順序を示すフローチャートである。   FIG. 5 shows that when the administrator forgets his / her password, the programmable controller 101 controls the security information (user management information 1, access control information 2, and login user information table 3), the program memory 103, and the data memory 105. It is a flowchart which shows the process order which deletes all the internal data.

プログラマブルコントローラ101は、ツール107から通信ドライバ106を介して、初期化パスワードコマンドを受信すると(S20)、現在プログラマブルコントローラ101にログインしているユーザがいないかどうかをシステムメモリ104内のログインユーザ情報テーブル3を参照して確認する(S21)。   When the programmable controller 101 receives an initialization password command from the tool 107 via the communication driver 106 (S20), a login user information table in the system memory 104 indicates whether or not there is a user currently logged in to the programmable controller 101. 3 to confirm (S21).

ログインしているユーザがいる場合(S21,Yes)、すなわち、ログインユーザ情報テーブル3内にユーザが登録されている場合、プログラマブルコントローラ101は、ツール107に初期化不可メッセージを送信する(S22)。   When there is a logged-in user (S21, Yes), that is, when a user is registered in the logged-in user information table 3, the programmable controller 101 transmits an initialization impossible message to the tool 107 (S22).

ログインしているユーザがいない場合(S21,No)、すなわち、ログインユーザ情報テーブル3内にユーザが登録されていない場合、受信した初期化パスワードコマンド中の初期化パスワードと予めシステムメモリ104内に記憶されている初期化パスワードとを比較し、一致するかどうかを調べる(S23)。   When there is no logged-in user (S21, No), that is, when no user is registered in the login user information table 3, the initialization password in the received initialization password command and the system memory 104 are stored in advance. The initialization password that has been set is compared to check whether they match (S23).

初期化パスワードが一致した場合(S23,Yes)、システムメモリ104内に記憶されているユーザ管理情報1、アクセス制御情報2、ログインユーザ情報テーブル3を削除するとともに、プログラムメモリ103およびデータメモリ105内に記憶されている全データを削除する(S24)。   When the initialization passwords match (S23, Yes), the user management information 1, the access control information 2, and the login user information table 3 stored in the system memory 104 are deleted, and the program memory 103 and the data memory 105 are deleted. Delete all the data stored in (S24).

初期化パスワードが一致しない場合(S23,No)、ツール107に初期化不可メッセージを送信する。なお、初期化パスワードとは、プログラマブルコントローラ101を工場出荷時の状態に戻すための予め一意に設定されたパスワードのことを指す。   If the initialization passwords do not match (S23, No), an initialization impossible message is transmitted to the tool 107. The initialization password refers to a password that is uniquely set in advance for returning the programmable controller 101 to the factory-shipped state.

上記のように、プログラマブルコントローラ101にアクセスする管理者が初期化パスワードコマンドを実行し、プログラマブルコントローラ101を工場出荷時の状態に戻すことで、万が一、管理者が自身のパスワードを忘れた場合でも、セキュリティに関する情報をプログラマブルコントローラ101に再設定することにより、再度、セキュリティ機能を搭載したプログラマブルコントローラ101として使用することができる。   As described above, the administrator who accesses the programmable controller 101 executes the initialization password command and returns the programmable controller 101 to the factory default state, so that even if the administrator forgets his password, By resetting information related to security in the programmable controller 101, it can be used again as the programmable controller 101 having the security function.

本発明に係るプログラマブルコントローラは、システム開発者を階層別に分類し、アクセス権限を割り当てるようなシステム開発に有用である。また、本発明に係るプログラマブルコントローラは、パスワードを忘れた場合の復旧手段を搭載しておかなければならないようなシステム開発に有用である。   The programmable controller according to the present invention is useful for system development in which system developers are classified by hierarchy and assigned access authority. In addition, the programmable controller according to the present invention is useful for system development in which a recovery means when a password is forgotten must be installed.

実施の形態1に係るプログラマブルコントローラの全体構成を示す図である。1 is a diagram illustrating an overall configuration of a programmable controller according to a first embodiment. 実施の形態1におけるユーザ管理情報の構成を示した図である。6 is a diagram illustrating a configuration of user management information in Embodiment 1. FIG. 実施の形態1におけるアクセス制御情報の構成を示した図である。6 is a diagram showing a configuration of access control information in Embodiment 1. FIG. 実施の形態1において、プログラマブルコントローラが、ツールを介してアクセスしてきたユーザを認証し、アクセス対象のファイルへのアクセスを許可するまでの動作を示すフローチャートである。In Embodiment 1, it is a flowchart which shows operation | movement until a programmable controller authenticates the user who accessed via the tool and permits access to the file of access object. 管理者が自身のパスワードを忘れた場合に、プログラマブルコントローラが、セキュリティに関する情報と内部の全データを削除する処理順序を示すフローチャートである。It is a flowchart which shows the process order which a programmable controller deletes the information regarding security, and all the internal data, when an administrator forgets his password. システムメモリの記憶内容の一例を示す図である。It is a figure which shows an example of the memory content of a system memory.

符号の説明Explanation of symbols

1 ユーザ管理情報
2 アクセス制御情報
3 ログインユーザ情報テーブル
101 プログラマブルコントローラ
102 MPU
103 プログラムメモリ
104 システムメモリ
105 データメモリ
106 通信ドライバ
107 ツール 1 User management information 2 Access control information 3 Login user information table 101 Programmable controller 102 MPU
103 Program memory 104 System memory 105 Data memory 106 Communication driver 107 Tool

Claims (6)

外部からのアクセスが許可されたユーザのみがアクセス可能であるとともに、内部に存在するファイルの少なくとも一部にアクセス制御がなされているプログラマブルコントローラにおいて、
ユーザ名、パスワード、およびアクセス権限のレベルであるアクセスレベルを含み、ユーザを認証するための情報として用いられるユーザ管理情報と、前記アクセスレベル毎に前記ファイルへのアクセスの可否を前記ファイルへのアクセス操作に対して定義した情報であるアクセス制御情報とが、保存された非公開メモリ、を備え、
アクセス対象のファイルにアクセスを試みるユーザに対し、前記ユーザがアクセス時に入力したユーザ名およびパスワードと前記ユーザ管理情報に含まれるユーザ名およびパスワードとが一致して前記ユーザが認証され、さらに、前記ファイルに対する前記アクセス制御情報が前記非公開メモリに保存されている場合には、前記ユーザ管理情報にて設定された前記ユーザのアクセスレベルに応じて前記アクセス制御情報にて設定許可された範囲内で前記ファイルへのアクセスを許可することを特徴とするプログラマブルコントローラ。 In a programmable controller in which only users who are permitted to access from the outside can access, and access control is performed on at least part of the files existing inside,
User management information used as information for authenticating a user, including an access level that is a user name, a password, and an access authority level, and whether or not the file can be accessed for each access level Access control information, which is information defined for the operation, includes a private memory stored,
For a user who tries to access a file to be accessed, the user name and password entered by the user at the time of access and the user name and password included in the user management information match, and the user is authenticated. If the access control information is stored in the private memory, the access control information is set within the range permitted in the access control information according to the user access level set in the user management information. A programmable controller characterized by allowing access to a file. 前記アクセス制御情報は、前記プログラマブルコントローラ内のファイル毎に設定されていることを特徴とする請求項1に記載のプログラマブルコントローラ。   The programmable controller according to claim 1, wherein the access control information is set for each file in the programmable controller. シーケンスプログラムが記憶されたプログラムメモリと、
制御処理に必要な環境設定データが記憶されたデータメモリと、
をさらに備え、
前記ユーザのアクセス対象となるファイルは、前記プログラムメモリまたは前記データメモリに保存されたファイルであることを特徴とする請求項1または2に記載のプログラマブルコントローラ。 A program memory in which a sequence program is stored;
A data memory storing environment setting data necessary for control processing;
Further comprising
The programmable controller according to claim 1, wherein the file to be accessed by the user is a file stored in the program memory or the data memory. 前記非公開メモリには、さらに、前記プログラマブルコントローラにログインしているユーザについての情報であるログインユーザ情報が記憶されていることを特徴とする請求項1〜3のいずれか1項に記載のプログラマブルコントローラ。   The programmable memory according to any one of claims 1 to 3, wherein the private memory further stores login user information that is information about a user who is logged in to the programmable controller. controller. 認証された初期化コマンドに応じて、前記非公開メモリに記憶された前記ユーザ管理情報、前記アクセス制御情報、およびログインユーザ情報を含む前記プログラマブルコントローラ内の全データを消去可能であることを特徴とする請求項4に記載のプログラマブルコントローラ。   According to the authenticated initialization command, all data in the programmable controller including the user management information, the access control information, and login user information stored in the private memory can be erased. The programmable controller according to claim 4. 前記ログイン中のユーザが存在しない場合に、全データを消去可能であることを特徴とする請求項5に記載のプログラマブルコントローラ。   The programmable controller according to claim 5, wherein all data can be erased when there is no logged-in user.
JP2008321308A 2008-12-17 2008-12-17 Programmable controller Expired - Fee Related JP5264460B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008321308A JP5264460B2 (en) 2008-12-17 2008-12-17 Programmable controller

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008321308A JP5264460B2 (en) 2008-12-17 2008-12-17 Programmable controller

Publications (2)

Publication Number Publication Date
JP2010146195A true JP2010146195A (en) 2010-07-01
JP5264460B2 JP5264460B2 (en) 2013-08-14

Family

ID=42566593

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008321308A Expired - Fee Related JP5264460B2 (en) 2008-12-17 2008-12-17 Programmable controller

Country Status (1)

Country Link
JP (1) JP5264460B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10088835B2 (en) 2014-01-06 2018-10-02 Mitsubishi Electric Corporation FA-device-configuration-design supporting apparatus and program
WO2023062753A1 (en) * 2021-10-13 2023-04-20 ファナック株式会社 Numerical control device

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10042648B2 (en) 2015-09-10 2018-08-07 Toshiba Memory Corporation Memory system, electric device, and information processing device

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03223901A (en) * 1990-01-29 1991-10-02 Canon Inc Semiconductor manufacturing equipment
JPH11184817A (en) * 1997-12-22 1999-07-09 Matsushita Electric Works Ltd Access device
JP2002024181A (en) * 2000-07-07 2002-01-25 Murata Mach Ltd Information processor
JP2003167606A (en) * 2001-11-30 2003-06-13 Omron Corp Programmable controller or programmable display unit and its user authentication method
JP2006221376A (en) * 2005-02-09 2006-08-24 Toshiba Corp Plant emergency information display system and method, and web server
JP2007316694A (en) * 2006-05-23 2007-12-06 Nec Access Technica Ltd Authentication device, electronic equipment, and program for authentication

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03223901A (en) * 1990-01-29 1991-10-02 Canon Inc Semiconductor manufacturing equipment
JPH11184817A (en) * 1997-12-22 1999-07-09 Matsushita Electric Works Ltd Access device
JP2002024181A (en) * 2000-07-07 2002-01-25 Murata Mach Ltd Information processor
JP2003167606A (en) * 2001-11-30 2003-06-13 Omron Corp Programmable controller or programmable display unit and its user authentication method
JP2006221376A (en) * 2005-02-09 2006-08-24 Toshiba Corp Plant emergency information display system and method, and web server
JP2007316694A (en) * 2006-05-23 2007-12-06 Nec Access Technica Ltd Authentication device, electronic equipment, and program for authentication

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10088835B2 (en) 2014-01-06 2018-10-02 Mitsubishi Electric Corporation FA-device-configuration-design supporting apparatus and program
WO2023062753A1 (en) * 2021-10-13 2023-04-20 ファナック株式会社 Numerical control device

Also Published As

Publication number Publication date
JP5264460B2 (en) 2013-08-14

Similar Documents

Publication Publication Date Title
CN110463161B (en) Password state machine for accessing protected resources
JP4982825B2 (en) Computer and shared password management methods
JP5402498B2 (en) INFORMATION STORAGE DEVICE, INFORMATION STORAGE PROGRAM, RECORDING MEDIUM CONTAINING THE PROGRAM, AND INFORMATION STORAGE METHOD
US20160087966A1 (en) Systems and Methods of Using a Temporary Private Key Between Two Devices
EP3267351A1 (en) Method for securely managing a docker image
JP2009522694A (en) Managing user access to objects
US10979450B2 (en) Method and system for blocking phishing or ransomware attack
KR20140041368A (en) Image forming apparatus, method for controlling image forming apparatus, and storage medium therefor
KR20170091138A (en) Information processing device, method for controlling information processing device, information processing system, and computer program
US20070271472A1 (en) Secure Portable File Storage Device
EP2410455A1 (en) Intelligent attached storage
JP5264460B2 (en) Programmable controller
JP2010097510A (en) Remote access management system and method
EP3759629B1 (en) Method, entity and system for managing access to data through a late dynamic binding of its associated metadata
WO2013190736A1 (en) Portable terminal, program, and control method
US11232220B2 (en) Encryption management for storage devices
JP2008234188A (en) Information processor
JP6937120B2 (en) Access control device, access control method, and access control program
JP6721125B2 (en) Authority determination system, secure device, determination device, authority management method, and authority determination program
JP7172609B2 (en) Information processing device and access restriction method for information processing device
JP2006065712A (en) Integrated authentication method and apparatus, and program for integrated authentication
JP2007004550A (en) Printer
JP5854070B2 (en) Access control device, terminal device, and program
JP2006190050A (en) Multitask execution system and multitask execution method
JP7205232B2 (en) Embedded control device and process request authentication method for embedded control device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110513

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120821

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120828

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121005

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130402

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130430

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5264460

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees