JP2015018477A - 電子計量システム及び電子計量器のプログラム改竄処理方法 - Google Patents
電子計量システム及び電子計量器のプログラム改竄処理方法 Download PDFInfo
- Publication number
- JP2015018477A JP2015018477A JP2013146350A JP2013146350A JP2015018477A JP 2015018477 A JP2015018477 A JP 2015018477A JP 2013146350 A JP2013146350 A JP 2013146350A JP 2013146350 A JP2013146350 A JP 2013146350A JP 2015018477 A JP2015018477 A JP 2015018477A
- Authority
- JP
- Japan
- Prior art keywords
- program
- repeater
- electronic
- measuring instrument
- electronic measuring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】ある電子計量器にプログラム改竄を検知した場合、周辺の電子計量器のプログラム改竄を自動的に検査する。【解決手段】電子計量器に設置場所に応じた電力供給制御ルールを設定しておき、その設置場所に応じてプログラム改竄検知処理の実行を管理する。電子計量器でプログラムの改竄を検知した時に、この電力供給制御ルールに従って電力の供給維持及び停止を判断する。また、改竄検知を中継器又は管理サーバ等の上位システムへ通知して、上位システムが改竄を検知した電子計量器の周辺の電子計量器へプログラム改竄検知の実行を指示する。【選択図】図1
Description
本発明は、電子計量システム及び電子計量器のプログラム改竄処理方法に係り、特に電気、ガス、水道等の供給状態の計量及び制御を実施するシステムにおける電子計量器のアプリケーションプログラムの改竄の検知処理に関する。
電気、ガス、水道等の社会インフラシステムにおいては、検針員による計量器の直接的な検針の作業が減り、ネットワーク経由で計量器の監視制御をおこなうAdvanced Metering Infrastructure(AMI)と呼ばれる自動検針システムが普及し始めている。これにより詳細な監視制御が実施可能となる。例えば、気候や発電状況に応じて動的かつリアルタイムに需要家(社会インフラを利用する利用者)の電力需給状態を調整することで、電力使用の効率化への取組みを実施する傾向にある。
電気、ガス、水道等の計量器が高性能、多機能になると、計量器及びそれを利用するために敷設されたネットワークへのサイバー攻撃のリスクが高まり、その対策も重要となりつつある。サイバー攻撃の中で特に危険度が高いものが、攻撃者が計量器や関連機器のプログラムを改竄することである。プログラムの改竄によって攻撃が成功すると、攻撃者の意のままに計量器を操作可能となり得る。例えば電力システムの場合、電気料金の詐称、停電、漏電等の問題が発生する可能性がある。
この問題の対策としては、機器自体を耐タンパな構成にして攻撃耐性を持たせるとともに、通信路上に流れるデータに暗号化と改竄検知処理を施すことが考えられる。ここで、耐タンパ領域は、は物理的な攻撃に耐性を持つ不揮発性メモリである。特に、機器のプログラム改竄が問題になることから、例えば、特許文献1に記載のように、電子計量器の起動時に、起動プログラムがプログラムバイナリのハッシュ値を計算し、事前に記録してある認証済みハッシュ値を比較し、一致すれば起動し、そうでなければ異常であると判断して、表示部に異常である旨を表示して、動作を停止する電力計量器が提案されている。
特許文献1では、電子計量器が起動中にプログラムを書き換えられた場合に検出できず、様々な不正利用が発生する可能性がある。また、ある電子計量器のプログラムが改竄された場合、周辺の電子計量器も同等な脅威にさらされている可能性があるがそれを検知する手段にならない。
さらに、計量システムの運用中にプログラムの書き換えを検知した場合、一律に電力供給を停止する案も考えられるが、病院等の重要施設に設置された電子計量器の場合は、医療機器等に損害を与え、人命にかかわる問題が発生する。他方、電子計量器は大量に製造されて各所に設置されることから、製造コストの制約によりハードウェアの性能が限られる。したがって、危険度が高いから取って、頻繁にプログラムの改竄検知処理を実行すると、本来の計量及び制御動作に悪影響を与える可能性がある。
本発明の目的は、電子計量器がプログラム改竄を検知した場合、他の電子計量器のプログラム改竄を自動的に検査することにある。
本発明に係る電子計量システムは、好ましくは、需要家の施設に設置され、社会インフラ資源の利用状況の監視と供給制御を行う複数の電子計量器と、該電子計量器による社会インフラ資源の計量値を収集して管理を行う管理サーバと、複数の該電子計量器にネットワークを介して接続されると共に該管理サーバにネットワークを介して接続される中継器とを含む電子計量システムであって、
該電子計量器は、社会インフラ資源の利用状況を計測する計量部と、社会インフラ資源の供給を制御する制御部と、該管理サーバと通信する通信部と、該電子計量器の動作に必要なプログラムやデータ及び社会インフラ資源の供給制御ルールを保存するデータ蓄積部と、該電子計量器のプログラム改竄を検知するプログラム改竄検知部と、該プログラム改竄検知に際して使用するハッシュ値を記憶する耐タンパ領域を有し、
該管理サーバは、データ蓄積部と、該電子計量器を制御する電子計量器制御部と、該電子計量器及び該中継器へプログラムを配信するプログラム配信部と、該電子計量器と該中継器のプログラム改竄を検知した場合に対策を実施するプログラム改竄対策部を有し、該データ蓄積部は、該電子計量器を動作させるための必要なデータと、該社会インフラ資源の供給制御ルールを保持する供給制御ルールテーブルと、該電子計量器が使用するプログラムと、該中継器が使用するプログラムを保持し、
該中継器は、該電子計量器及び該管理サーバとの間で通信を行う通信部と、該中継器のプログラムの改竄を検知する中継器プログラム改竄検知部と、該電子計量器で改竄が検知された場合対応を行う改竄検知対応部と、データ蓄積部を有し、データ蓄積部は電子計量器プログラムと中継器のプログラムのハッシュ値を記憶し、
該電子計量器の該プログラム改竄検知部は、自電子計量器内のプログラム全体のハッシュ値を計算し、耐タンパ領域に記憶された該ハッシュ値と比較して、その比較結果に応じてプログラムが改竄されたと判断すると、該制御部は該社会インフラ資源の供給制御ルールに従って社会インフラ資源の供給を制御することを特徴とする電子計量システムとして構成される。
また、本発明は、上記電子計量システムにおける電子計量器のプログラム改竄処理方法としても把握される。
該電子計量器は、社会インフラ資源の利用状況を計測する計量部と、社会インフラ資源の供給を制御する制御部と、該管理サーバと通信する通信部と、該電子計量器の動作に必要なプログラムやデータ及び社会インフラ資源の供給制御ルールを保存するデータ蓄積部と、該電子計量器のプログラム改竄を検知するプログラム改竄検知部と、該プログラム改竄検知に際して使用するハッシュ値を記憶する耐タンパ領域を有し、
該管理サーバは、データ蓄積部と、該電子計量器を制御する電子計量器制御部と、該電子計量器及び該中継器へプログラムを配信するプログラム配信部と、該電子計量器と該中継器のプログラム改竄を検知した場合に対策を実施するプログラム改竄対策部を有し、該データ蓄積部は、該電子計量器を動作させるための必要なデータと、該社会インフラ資源の供給制御ルールを保持する供給制御ルールテーブルと、該電子計量器が使用するプログラムと、該中継器が使用するプログラムを保持し、
該中継器は、該電子計量器及び該管理サーバとの間で通信を行う通信部と、該中継器のプログラムの改竄を検知する中継器プログラム改竄検知部と、該電子計量器で改竄が検知された場合対応を行う改竄検知対応部と、データ蓄積部を有し、データ蓄積部は電子計量器プログラムと中継器のプログラムのハッシュ値を記憶し、
該電子計量器の該プログラム改竄検知部は、自電子計量器内のプログラム全体のハッシュ値を計算し、耐タンパ領域に記憶された該ハッシュ値と比較して、その比較結果に応じてプログラムが改竄されたと判断すると、該制御部は該社会インフラ資源の供給制御ルールに従って社会インフラ資源の供給を制御することを特徴とする電子計量システムとして構成される。
また、本発明は、上記電子計量システムにおける電子計量器のプログラム改竄処理方法としても把握される。
本発明によれば、電子計量器のプログラム改竄を検知した場合、同じ中継器に接続された電子計量器のプログラム改竄を実施することができるので、改竄を検知した電子計量器の周囲にある電子計量器の安全性を早期に検査できる。
図1は電子計量システムの構成を示す。
電子計量システムは、電力の利用状況を計測制御する多数の電子計量器を遠隔監視及び制御するシステムである。尚、電子計量器が監視制御する対象は電力の他にガスや水道でも適用できる。以下の説明では、電子計量器は電力の利用状況を計測制御するものとする。
電子計量システムは、電力の利用状況を計測制御する多数の電子計量器を遠隔監視及び制御するシステムである。尚、電子計量器が監視制御する対象は電力の他にガスや水道でも適用できる。以下の説明では、電子計量器は電力の利用状況を計測制御するものとする。
電子計量システムは、電子計量器管理サーバ(以下単に管理サーバという)103にネットワーク124を介して1又は複数の中継器111が接続され、更に各中継器111にはネットワーク125を介して1又は複数の電子計量器101が接続して構成される。以下、電子計量器101、管理サーバ103、中継器111の順でそれらの構成を説明する。
電子計量器101は需要家が保有する施設に設置され、利用電力量の計測と電力供給制御を行う。電子計量器101は、耐タンパ領域102、計量部112、制御部113、データ蓄積部114、電子計量器プログラム改竄検知部118、通信部131、及びプログラム更新部138を有して構成される。耐タンパ領域102は物理的な攻撃に耐性を持つ不揮発性メモリであり、プログラムのハッシュ値132を有する。
ここで、計量部112は電力量計が設置された施設へ供給される電力量を計測する。制御部113は電子計量器が設置された施設の電力供給を制御する。電子計量器プログラム改竄検知部118は電子計量器のプログラムを検査し改竄を検知する。通信部131は管理サーバ103と電子計量器101の間の通信を制御する。プログラム更新部138は、中継器111又は管理サーバ103からの指示によって電子計量器101内のプログラムを更新する。
データ蓄積部114はデータベースであり、電子計量器の動作に必要なデータ、例えば計量データ115、制御データ116、設定データ117、電子計量器用電力供給制御ルール119を保持する。計量データ115は電子計量器が測定した計測データであり、管理サーバ103へ送信される。制御データ116は管理サーバから送信されて受信した、電子計量器が電力供給を制御する際に使用されるデータである。電子計量器設定データ117は管理サーバ103から電子計量器101に設定されるデータであり、管理サーバ内の電子計量器設定データ110と同じデータである。電子計量器用電力供給制御ルール119は電子計量器でプログラムの改竄が検出された時に制御指針を決定するデータである。プログラムのハッシュ値132は電子計量器プログラム改竄検知部118で参照する、改竄が無い状態でのプログラムのハッシュ値である。
管理サーバ103は多数の電子計量器101を管理するサーバであり、データ蓄積部104、電子計量器制御部105、計測データ遠隔収集部106、プログラム配信部121、プログラム改竄対策部122を有し、全ての電子計量器を監視・制御する。
ここで、電子計量器制御部105は電子計量器101の制御を行う。例えば、電子計量器の電力供給スイッチの開閉制御を行う。計測データ遠隔収集部106は電子計量器が収集したデータをネットワーク経由で収集し、データ蓄積部104に保存する。
プログラム配信部121は、データ蓄積部103に保存された、中継器111及び電子計量器101用のプログラムをネットワーク経由で中継器111及び電子計量器101へ配信する。プログラム改竄対策部122は、中継器111を介して電子計量器101から改竄検知の通知を受けると、対策を実施する。対策としては例えば、データ蓄積部のプログラム配布、改竄発生地域の電子計量器の改竄チェック指示等がある。
データ蓄積部104はデータベースであり、電子計量システムが動作するために必要なデータを保持する。一例ではデータ蓄積部104は、計量データ107、電子計量器プログラム108、電力供給制御ルールテーブル109、電子計量器設定データ110、ログ120、中継器プログラム123、中継器設定データ134、及び設置場所情報テーブル135を保存する。(なお、電力供給制御ルールテーブル109及び設置場所情報テーブル135については、図11乃至図10を参照して後述する)。
ここで、計量データ107は電子計量器101が計量したデータである。電子計量器プログラム108は電子計量器に配信されるプログラムである。電力供給制御ルール管理テーブル(以下単にルール管理テーブルという)109は電子計量器で改竄を検知した場合の制御ルールを記録したテーブルであり、各電子計量器に本テーブル内のデータが設定される(詳細は図11を参照して後述)。電子計量器設定データ110は電子計量器が動作するために必要な設定情報群である。ログ120はアクセス要求識別部が判断に利用するルール群である。中継器プログラム123は中継器111へ配信するプログラムである。中継器設定データ134は中継器に設定されるデータである。設置場所情報テーブル135は電子計量器が設置される場所の情報を格納する。
なお、図示していないが、管理サーバ103には管理者用の端末がネットワークを介して接続され、改竄の検知やその対応の状況を端末に表示することができる。
なお、図示していないが、管理サーバ103には管理者用の端末がネットワークを介して接続され、改竄の検知やその対応の状況を端末に表示することができる。
中継器111は、通信部126、中継器プログラム改竄対策部127、中継器プログラム改竄検知部128、データ蓄積部129、及びプログラム更新部137、改竄検知対応部139を有し、電子計量器101と管理サーバ103間のデータ通信を仲介すると共に、それに接続される1又は複数の電子計量器101の状態を管理する。
ここで、通信部126は管理サーバと電子計量器の通信を制御する。中継器プログラム改竄対策部127は、中継器111内のプログラム改竄あるいは電子計量器からプログラム改竄を通知されたときに対策を実施する。中継器プログラム改竄検知部128は中継器のプログラムを検査し改竄を検知する。プログラム更新部137は、管理サーバ103からの指示によって中継器111内のプログラムを更新する。改竄検知対応部139は、電子計量器101から改竄検知の通知を受けたら、当該中継器の配下にある電子計量器に対して改竄検知を実行させる。
ここで、通信部126は管理サーバと電子計量器の通信を制御する。中継器プログラム改竄対策部127は、中継器111内のプログラム改竄あるいは電子計量器からプログラム改竄を通知されたときに対策を実施する。中継器プログラム改竄検知部128は中継器のプログラムを検査し改竄を検知する。プログラム更新部137は、管理サーバ103からの指示によって中継器111内のプログラムを更新する。改竄検知対応部139は、電子計量器101から改竄検知の通知を受けたら、当該中継器の配下にある電子計量器に対して改竄検知を実行させる。
データ蓄積部129はデータベースであり、中継器が動作するために必要なデータ、即ち電子計量器プログラム130、プログラムハッシュ値133、及び中継器設定データ136を保存する。電子計量器プログラム130は電子計量器に配信されるプログラムである。プログラムのハッシュ値133は中継器プログラム改竄検知部127で参照する、改竄が無い状態でのプログラムのハッシュ値である。これは例えばプログラムを電子計量器101にインストールした直後に生成される。中継器設定データ136は管理サーバ103から中継器136に設定されるデータであり、管理サーバ内の中継器データ134と同じデータである。
なお、管理サーバ103に接続される複数の中継器111の中には、改竄検知対応部139を持たないものもある。このような中継器については、管理サーバがその対応を代行することになる。
なお、管理サーバ103に接続される複数の中継器111の中には、改竄検知対応部139を持たないものもある。このような中継器については、管理サーバがその対応を代行することになる。
図10は電子計量器の設置場所情報テーブル135の構成を示す。
識別ID1001は情報を一意に識別する識別子である。分類1002は電子計量器を設置する場所の分類である。設置場所名1003は電子計量器を設置する場所の名称である。設置施設の重要度1004は電子計量器を設置する施設の重要度を示す。環境安全度レベル1005は施設周辺環境の安全性を示す。例えば、「識別ID」が「1」の住宅は、設置施設の重要度1004が「低」であり、環境安全度レベル1005が「1」である。また、「識別ID」が「2」でのマンションは、設置施設の重要度1004が「中」であり、環境安全度レベル1005が「3」である。「識別ID」が「3」の病院は、設置施設の重要度1004が「高」であり、「環境安全度レベル」は「2」である。
識別ID1001は情報を一意に識別する識別子である。分類1002は電子計量器を設置する場所の分類である。設置場所名1003は電子計量器を設置する場所の名称である。設置施設の重要度1004は電子計量器を設置する施設の重要度を示す。環境安全度レベル1005は施設周辺環境の安全性を示す。例えば、「識別ID」が「1」の住宅は、設置施設の重要度1004が「低」であり、環境安全度レベル1005が「1」である。また、「識別ID」が「2」でのマンションは、設置施設の重要度1004が「中」であり、環境安全度レベル1005が「3」である。「識別ID」が「3」の病院は、設置施設の重要度1004が「高」であり、「環境安全度レベル」は「2」である。
図11は電力供給制御ルール管理テーブル109の構成例を示す。
電力供給制御ルール管理テーブル109は、電子計量器で改竄が検出された場合の電力制御のルールを電子計量器及びその設置場所ごと登録する。計量器ID1101は電子計量器を一意に識別する識別子である。設置場所ID1102は設置場所を識別する識別子である。制御1103はプログラムの改竄が検出され場合の電子計量器の電力制御ルール(例えば電力供給の状態維持や供給停止等)である。
電力供給制御ルール管理テーブル109は、電子計量器で改竄が検出された場合の電力制御のルールを電子計量器及びその設置場所ごと登録する。計量器ID1101は電子計量器を一意に識別する識別子である。設置場所ID1102は設置場所を識別する識別子である。制御1103はプログラムの改竄が検出され場合の電子計量器の電力制御ルール(例えば電力供給の状態維持や供給停止等)である。
図2は、中継器111の設置から稼働開始までの動作を示す。図中、システム(ハードウェア)が行う動作を実線で示し、人間(管理者等)が行う動作を点線で示す。
まず、管理者が中継器111の設置場所(例えば電柱や地下の送電箇所等)を決定して(ステップ201)、その場所に中継器を適宜設置する(ステップ202)。(以下、ステップをSと略す。)
システムが構築されると、中継器111は中継器のプログラムが改竄されたかをチェックする(S203)。後で詳述するが、この改竄の検知のためにプログラムのハッシュ値133を使用して行われる。チェックの結果、プログラムの改竄が検出されたか否か調べる(S204)。その結果、改竄が検出されれば、システムを停止する(S205)。一方、改竄が検出されなければ、中継器と管理サーバ103が通信開始する(S206)。そして、中継器の設置完了を管理サーバ103へ通知する(S207)。これにより中継器の設置が完了する。
まず、管理者が中継器111の設置場所(例えば電柱や地下の送電箇所等)を決定して(ステップ201)、その場所に中継器を適宜設置する(ステップ202)。(以下、ステップをSと略す。)
システムが構築されると、中継器111は中継器のプログラムが改竄されたかをチェックする(S203)。後で詳述するが、この改竄の検知のためにプログラムのハッシュ値133を使用して行われる。チェックの結果、プログラムの改竄が検出されたか否か調べる(S204)。その結果、改竄が検出されれば、システムを停止する(S205)。一方、改竄が検出されなければ、中継器と管理サーバ103が通信開始する(S206)。そして、中継器の設置完了を管理サーバ103へ通知する(S207)。これにより中継器の設置が完了する。
図3は電子計量器の設置から電力供給までの動作を示す。
これは、管理者が必要な情報を電子計量器に設定し、その電子計量器を需要家の施設に設置し、電力の計量及び供給を制御する動作である。なお、点線は管理者が行う動作を示す。
管理者はまず、それぞれの計量器の設定データに固有の識別情報である計量器IDを設定する(S301)。そして、各電子計量器の設置場所と設置施設を決定し、設置場所に固有の情報である設置場所IDとその制御方法を含む電力制御ルールを決めて、ルール管理テーブル109に登録する(S302)。ルール管理テーブル109への情報の登録は管理サーバ103が有する管理端末(図示省略)より関係する情報を入力することで行われる。ルール管理テーブル109の構成については、図11を参照して後述するが、電子計量器の設置場所によって電力の供給を維持するか停止するか電力供給制御ルールが登録される。
その後、管理者は各電子計量器を需要家宅(需要家の施設)に設置して、その電子計量器をネットワーク125に接続する(S303)。これにより電力の電子計量システムが構築される。
これは、管理者が必要な情報を電子計量器に設定し、その電子計量器を需要家の施設に設置し、電力の計量及び供給を制御する動作である。なお、点線は管理者が行う動作を示す。
管理者はまず、それぞれの計量器の設定データに固有の識別情報である計量器IDを設定する(S301)。そして、各電子計量器の設置場所と設置施設を決定し、設置場所に固有の情報である設置場所IDとその制御方法を含む電力制御ルールを決めて、ルール管理テーブル109に登録する(S302)。ルール管理テーブル109への情報の登録は管理サーバ103が有する管理端末(図示省略)より関係する情報を入力することで行われる。ルール管理テーブル109の構成については、図11を参照して後述するが、電子計量器の設置場所によって電力の供給を維持するか停止するか電力供給制御ルールが登録される。
その後、管理者は各電子計量器を需要家宅(需要家の施設)に設置して、その電子計量器をネットワーク125に接続する(S303)。これにより電力の電子計量システムが構築される。
システムが構築されると、電子計量器101が中継器111経由で管理サーバ103へ接続完了を通知する(S304)。管理サーバは、接続完了を確認すると、電力供給制御ルールをルール管理テーブルから読み出して(S305)、中継器経由で対象とする電子計量器へ送信する(S306)。電力供給制御ルールを受信した電子計量器101は、自計量器内の電力供給制御ルール119に受信したルールを登録する。このようにして各電子計量器101に電力供給制御ルールが設定される。
その後、電子計量器が自計量器内のプログラムが改竄されているかの検出処理を実行する(S308)。後述するが、この改竄の検知のためにプログラムのハッシュ値132を使用して行われる。プログラムの改竄検出の結果に従って、管理サーバが電子計量器へ電力供給開始を指示し、電子計量器は電力供給開始する(S309)。
図4はフィールド機器の改竄検知の概要を示す。
中継器111や電子計量器101をフィールド機器(FAN機器)という。フィールド機器において、耐タンパ領域402は物理的な攻撃に耐性を持つ不揮発性メモリであり、プログラムのハッシュ値405から構成されている。不揮発性メモリ403はFAN機器の動作に必要なプログラム404を記録して構成される。プログラム404はFAN機器の動作プログラムであり、プログラム改竄検知部118による改竄検知の対象となる。この動作プログラムは、管理サーバ103が保持する電子計量器プログラム108であり、管理サーバから配信される。プログラムのハッシュ値405は電子計量器プログラム改竄検知部118(或いは中継器111の中継器プログラム改竄検知部128)で参照する、改竄が無い状態でのプログラムのハッシュ値である。
中継器111や電子計量器101をフィールド機器(FAN機器)という。フィールド機器において、耐タンパ領域402は物理的な攻撃に耐性を持つ不揮発性メモリであり、プログラムのハッシュ値405から構成されている。不揮発性メモリ403はFAN機器の動作に必要なプログラム404を記録して構成される。プログラム404はFAN機器の動作プログラムであり、プログラム改竄検知部118による改竄検知の対象となる。この動作プログラムは、管理サーバ103が保持する電子計量器プログラム108であり、管理サーバから配信される。プログラムのハッシュ値405は電子計量器プログラム改竄検知部118(或いは中継器111の中継器プログラム改竄検知部128)で参照する、改竄が無い状態でのプログラムのハッシュ値である。
電子計量器101及び中継器111は、これらの機器の製造後出荷前にプログラム全体のハッシュ値を計算する。計算されたハッシュ値は外部から情報の抜き取りが困難な耐タンパモジュールに格納される。プログラム改竄検知部118は、一定期間ごと自ら又は上位システム(中継器又は管理サーバ)からの指示により、プログラム全体のハッシュ値を計算し、そのハッシュ値と耐タンパモジュールに格納されたハッシュ値と照合することで改竄を検出する。
図5は中継器における改竄検査の処理動作を示す。
この処理は、中継器プログラム改竄検知部128によって実行される。
まず、外部(管理サーバ103)からの実行指示により改竄検知処理を開始する(S501)。なお、改竄検知の実行頻度は、例えば、以前に改竄を検出した場合や、設置場所情報の環境安全度レベル1005が低い場合、更には設置施設の重要度1004が高い場合には、管理サーバからの実行指示の周期を短く設定して(頻繁に行う)行うことができる。
この処理は、中継器プログラム改竄検知部128によって実行される。
まず、外部(管理サーバ103)からの実行指示により改竄検知処理を開始する(S501)。なお、改竄検知の実行頻度は、例えば、以前に改竄を検出した場合や、設置場所情報の環境安全度レベル1005が低い場合、更には設置施設の重要度1004が高い場合には、管理サーバからの実行指示の周期を短く設定して(頻繁に行う)行うことができる。
次に実行モードが緊急モードかどうか調べる(S502)。その結果、実行モードが緊急モードであればS503へ進み、実行モードが緊急モードでなければS504へ進む。緊急モードの場合、中継器プログラム改竄検知部のOS実行優先度を高くする(S503)。一方、緊急モードでなければ、プログラム改竄検知部のOS実行優先度を低くする。
その後、中継器プログラム改竄検知部128は、中継器内プログラムのハッシュ値を計算する(S505)。なお、この処理において、電力供給制御ルール109の重要度に応じて、計量部、制御部等重要性が高い機能を実現するプログラムのみ改竄検知を実施することもできる。
ハッシュ値が計算されると、そのハッシュ値と耐タンパ領域に記録されたハッシュ値とを比較する(S506)。比較の結果、ハッシュ値が一致かどうか調べる(S507)。その結果、ハッシュ値が一致すれば、S510へ進み、改竄なしと判断する。一方、ハッシュ値が一致しなければ、S508へ進み、改竄ありと判断して、その旨を管理サーバ103へ通知する(S509)。
ハッシュ値が計算されると、そのハッシュ値と耐タンパ領域に記録されたハッシュ値とを比較する(S506)。比較の結果、ハッシュ値が一致かどうか調べる(S507)。その結果、ハッシュ値が一致すれば、S510へ進み、改竄なしと判断する。一方、ハッシュ値が一致しなければ、S508へ進み、改竄ありと判断して、その旨を管理サーバ103へ通知する(S509)。
図6は電子計量器の改竄検査の処理動作を示す。
まず、外部(管理サーバ)は実行指示/定期実行タイミング/イベント発生を行う(S601)。ここで、定期実行タイミングとは、1日から数日の周期で定期的に改竄検知処理を実行することを意味する。例えば、以前に改竄を検出した場合や、設置場所情報の安環境安全度レベル1005が低い場合、設置施設の重要度1004が高い場合には実行周期を短くすることができる。また、イベント発生とは、例えば電子計量器にカバー開閉検知機能を搭載し、カバー開閉を検知した場合をいう。
まず、外部(管理サーバ)は実行指示/定期実行タイミング/イベント発生を行う(S601)。ここで、定期実行タイミングとは、1日から数日の周期で定期的に改竄検知処理を実行することを意味する。例えば、以前に改竄を検出した場合や、設置場所情報の安環境安全度レベル1005が低い場合、設置施設の重要度1004が高い場合には実行周期を短くすることができる。また、イベント発生とは、例えば電子計量器にカバー開閉検知機能を搭載し、カバー開閉を検知した場合をいう。
電子計量器101が中継器111を介して上記実行指示等を受けると、電子計量器101の電子計量器プログラム改竄検知部118は、実行モードが緊急モードかどうか調べる(S602)。その結果、実行モードが緊急モードであれば、S603へ進み、プログラム改竄検知部のOS実行優先度を高くする。一方、実行モードが緊急モードでなければ、S604へ進み、プログラム改竄検知部のOS実行優先度を低くする。
その後、電子計量器プログラム改竄検知部118は電子計量器内プログラムのハッシュ値を計算する(S605)。なお、この処理において、電力供給制御ルールの重要度に応じて、計量部、制御部等重要性が高い機能を実現するプログラムのみ改竄検知を実施することもできる。
ハッシュ値が計算されると、そのハッシュ値と耐タンパ領域に記録されたハッシュ値と比較する(S606)。そして、ハッシュ値が一致かどうか調べる(S607)。その結果、ハッシュ値が一致すれば、改竄なしと判断し(S610)、ハッシュ値が一致でなければ、改竄ありと判断する(S608)。改竄ありの場合、通信部131はその旨を中継器111へ通知する(S609)。
ハッシュ値が計算されると、そのハッシュ値と耐タンパ領域に記録されたハッシュ値と比較する(S606)。そして、ハッシュ値が一致かどうか調べる(S607)。その結果、ハッシュ値が一致すれば、改竄なしと判断し(S610)、ハッシュ値が一致でなければ、改竄ありと判断する(S608)。改竄ありの場合、通信部131はその旨を中継器111へ通知する(S609)。
図7は電子計量器から改竄検知の通知を受けた中継器の処理動作を示す。
中継器111が、電子計量器101からプログラム改竄検知の通知を受信すると(S701)、中継器が改竄検知対応部139を持っているかを調べる(S702)。その結果、中継器が改竄検知対応部を持っていなければ、S710へ進み、管理サーバ103へ電子計量器の改竄検出を通知する(S710)。この場合、以後管理サーバ103が改竄検知の対応を行うことになる。
中継器111が、電子計量器101からプログラム改竄検知の通知を受信すると(S701)、中継器が改竄検知対応部139を持っているかを調べる(S702)。その結果、中継器が改竄検知対応部を持っていなければ、S710へ進み、管理サーバ103へ電子計量器の改竄検出を通知する(S710)。この場合、以後管理サーバ103が改竄検知の対応を行うことになる。
中継器が改竄検知対応部139を持っている場合、改竄検知対応部139はその中継器111の配下にある(当該中継器111に接続された)全て電子計量器101に対して改竄検知処理の実施を通知する(S703)。この指示により電子計量器101はプログラムの改竄検知処理を実行し(S7040)、その結果、改竄を検出した場合(S705:Yes)、その電子計量器は中継器11へ改竄検知を通知する(S706)。通知を受けた中継器111は管理サーバ103へ、その電子計量器がプログラムの改竄検出した旨(当該電子計量器の識別IDを伴って)を通知する(S707)。
そして、中継器111の改竄検知対応部139は、改竄されたプログラムの修復のために、データ蓄積部129に保管された電子計量器プログラム130を電子計量器へ配信する(S708)。電子計量器プログラムの配信を受けた電子計量器101は、電力供給制御ルールに基づきプログラムの更新処理を実行する(S709)。その更新処理の実行が完了すると、電子計量器は中継器に対して更新処理完了を通知する。中継器111はこの処理をその配下にある全ての電子計量器101に対して行う。
そして中継器の改竄検知対応部139がその配下にある全ての電子計量器へ改竄検知処理の指示を完了したかを確認する(S711)。確認の結果、配下の全ての電子計量器への指示が完了であれば(S711:Yes)、管理サーバに対して改竄検知のあった電子計量器の改竄検知通知を送信する。
管理サーバ103では、改竄検知通知を受信し、ログ120として記録する(S712)。管理サーバは、定期的にログに記録された改竄検知の通知の数を統計し、増加傾向にあれば、管理者の端末に警告を表示することができる。
管理サーバ103では、改竄検知通知を受信し、ログ120として記録する(S712)。管理サーバは、定期的にログに記録された改竄検知の通知の数を統計し、増加傾向にあれば、管理者の端末に警告を表示することができる。
図8は中継器から改竄検知の通知を受けた管理サーバの処理動作を示す。
管理サーバ103が中継器111から改竄検知通知を受信すると(S801)、中継器で改竄を検知したか否かを調べる(S802)。その結果、中継器で改竄を検知していると認識すれば、中継器へ中継器プログラム123を送信して(S809)、中継器のプログラム更新部137がプログラムを更新する(S810)。
上記処理S802において、中継器111で改竄を検知していないと認識すれば、中継器が改竄検知対応部139を持っているかを調べる(S803)。その結果、中継器111が改竄検知対応部を持っていると判断すれば、改竄検知の発生をログ120に記録する(S808)。
管理サーバ103が中継器111から改竄検知通知を受信すると(S801)、中継器で改竄を検知したか否かを調べる(S802)。その結果、中継器で改竄を検知していると認識すれば、中継器へ中継器プログラム123を送信して(S809)、中継器のプログラム更新部137がプログラムを更新する(S810)。
上記処理S802において、中継器111で改竄を検知していないと認識すれば、中継器が改竄検知対応部139を持っているかを調べる(S803)。その結果、中継器111が改竄検知対応部を持っていると判断すれば、改竄検知の発生をログ120に記録する(S808)。
一方、中継器が改竄検知対応部139を持っていないと判断すれば、プログラム改竄対策部122は中継器111へその配下にある全て電子計量器の改竄検知の実行を通知する(S804)。そして、改竄を検出した電子計量器のプログラムを更新するために、電子計量器プログラム108を中継器111へ送信する(S805)。中継器111は、受信した電子計量器プログラムを、改竄が検出された電子計量器へ配信する(S806)。電子計量器プログラムの配信を受けた電子計量器は、電力供給制御ルール119に基づいて自電子計量器の回復処理実行する(S807)。
図9は電子計量器の回復処理動作を示す。
この処理は、電子計量器でプログラム改竄が発生し、その後中継器又は管理サーバからプログラムの配信を受けた場合の処理である。
この処理は、電子計量器でプログラム改竄が発生し、その後中継器又は管理サーバからプログラムの配信を受けた場合の処理である。
電子計量器101が中継器111から電子計量器のプログラムを受信すると(S901)、制御部113は、電力供給制御ルール119の改竄検知時の制御方針をチェックする(S902)。なお、この処理において例えば、制御方針に加えて、設置位置、機種、プログラムのバージョンなどもチェックして、処理を切り替える方法も考えられる。
上記制御方針のチェックの結果、改竄検知時の制御方針が“維持”かを調べる(S903)。もし改竄検知時の制御方針が“維持”であれば、制御部113は電力供給状態を維持する(S904)。この処理において、電力供給中であれば供給を継続し、電力供給を停止していれば、停止状態を維持する。即ち、制御部113は、設置場所IDに対応する設置場所の重要度が病院等のように「高」であれば、電力供給の「状態維持」とするように制御する。
そして、制御部113は、通信部131を介して、上位システム(中継器及び管理サーバ)へプログラム更新不可を通知する(S905)。プログラム更新不可を受信した、中継器111はその通知を管理サーバ103へ転送する(S912)。管理サーバ111はその通知を受信すると、管理者の端末(図示せず)へその旨を通知する(S907)。この後、管理者は例えば工事業者に依頼して、電子計量器の保守点検などを行わせることになる。
上記制御方針の確認(S903)の結果、もし改竄検知時の制御方針が“維持”でなければ(S903:No)、改竄検知時の制御方針が“更新”かを調べる(S908)。その結果、もし改竄検知時の制御方針が“更新”であれば、S911へ進み、電子計量器が需要家設備への電力供給を停止する(S911)。そして、プログラム更新部138は電子計量器内に保持していたプログラムを、新たに中継器から送信され受信したプログラムに更新する(S912)。その後、電子計量器が需要家設備への電力供給を再開して(S914)、制御部113は通信部131を介して、更新完了を上位システムへ通知する(S914)。
上記制御方針の確認(S908)の結果、もし改竄検知時の制御方針が“更新”でなければ、制御部113は需要家設備への電力供給を停止する(S909)。そして、制御部113は通信部131を介して、電力供給停止を上位システムへ通知する(S910)。
なお、上記例の代替例として、電力供給制御ルールを中継器或いは管理サーバに配置し、上記処理をこれらで実施して電子計量器を遠隔から制御するようにしてもよい。
なお、上記例の代替例として、電力供給制御ルールを中継器或いは管理サーバに配置し、上記処理をこれらで実施して電子計量器を遠隔から制御するようにしてもよい。
以上説明したように、上記実施例によれば、電子計量器の設置場所に応じた電力供給制御ルールを設定することにより、その電子計量器においてプログラムの改竄を検知しても、設置場所が病院等の重要な施設の場合は、電力供給を維持して停電を防止することが可能である。
また、電子計量器の設置環境の安全性に応じてプログラム改竄検知処理の実行頻度を変更することにより、電子計量器の改竄検知プログラムの実行負担を制御し、計量部及び制御部のプログラムの実行に与える影響を軽減することが可能となる。
また、電子計量器の設置環境の安全性に応じてプログラム改竄検知処理の実行頻度を変更することにより、電子計量器の改竄検知プログラムの実行負担を制御し、計量部及び制御部のプログラムの実行に与える影響を軽減することが可能となる。
また、電力に限らず、ガスや水道等の社会インフラシステムにも上述と同様の実施例を適用することができる。この場合、上記電力供給制御ルール109,119等は、ガスや水道の社会インフラ資源の供給制御ルールとなる。
101:電子計量器
102:耐タンパ領域
103:電子計量器管理サーバ
104:データ蓄積部
105:電子計量器制御部
106:計測データ遠隔収集部
107:計量データ
108:電子計量器プログラム
109:電力供給制御ルール管理テーブル
110:電子計量器設定データ
111:中継器
112:計量部
113:制御部
114:データ蓄積部
115:計量データ
116:制御データ
117:設定データ
118:電子計量器プログラム改竄検知部
119:電力供給制御ルール
121:プログラム配信部
122:プログラム改竄対策部
123:中継器プログラム
124、125:ネットワーク
126、131:通信部
127:中継器プログラム改竄対策部
128:中継器プログラム改竄検知部
129:データ蓄積部
130:電子計量器プログラム
132:プログラムのハッシュ値
133:プログラムのハッシュ値
134:中継器設定データ
135:設置場所情報テーブル
137、138:プログラム更新部
139:改竄検知対応部
102:耐タンパ領域
103:電子計量器管理サーバ
104:データ蓄積部
105:電子計量器制御部
106:計測データ遠隔収集部
107:計量データ
108:電子計量器プログラム
109:電力供給制御ルール管理テーブル
110:電子計量器設定データ
111:中継器
112:計量部
113:制御部
114:データ蓄積部
115:計量データ
116:制御データ
117:設定データ
118:電子計量器プログラム改竄検知部
119:電力供給制御ルール
121:プログラム配信部
122:プログラム改竄対策部
123:中継器プログラム
124、125:ネットワーク
126、131:通信部
127:中継器プログラム改竄対策部
128:中継器プログラム改竄検知部
129:データ蓄積部
130:電子計量器プログラム
132:プログラムのハッシュ値
133:プログラムのハッシュ値
134:中継器設定データ
135:設置場所情報テーブル
137、138:プログラム更新部
139:改竄検知対応部
Claims (10)
- 需要家の施設に設置され、社会インフラ資源の利用状況の監視と供給制御を行う複数の電子計量器と、該電子計量器による社会インフラ資源の計量値を収集して管理を行う管理サーバと、複数の該電子計量器にネットワークを介して接続されると共に該管理サーバにネットワークを介して接続される中継器とを含む電子計量システムであって、
該電子計量器は、社会インフラ資源の利用状況を計測する計量部と、社会インフラ資源の供給を制御する制御部と、該管理サーバと通信する通信部と、該電子計量器の動作に必要なプログラムやデータ及び社会インフラ資源の供給制御ルールを保存するデータ蓄積部と、該電子計量器のプログラム改竄を検知するプログラム改竄検知部と、該プログラム改竄検知に際して使用するハッシュ値を記憶する耐タンパ領域を有し、
該管理サーバは、データ蓄積部と、該電子計量器を制御する電子計量器制御部と、該電子計量器及び該中継器へプログラムを配信するプログラム配信部と、該電子計量器と該中継器のプログラム改竄を検知した場合に対策を実施するプログラム改竄対策部を有し、該データ蓄積部は、該電子計量器を動作させるための必要なデータと、該社会インフラ資源の供給制御ルールを保持する供給制御ルールテーブルと、該電子計量器が使用するプログラムと、該中継器が使用するプログラムを保持し、
該中継器は、該電子計量器及び該管理サーバとの間で通信を行う通信部と、該中継器のプログラムの改竄を検知する中継器プログラム改竄検知部と、該電子計量器で改竄が検知された場合対応を行う改竄検知対応部と、データ蓄積部を有し、データ蓄積部は電子計量器プログラムと中継器のプログラムのハッシュ値を記憶し、
該電子計量器の該プログラム改竄検知部は、自電子計量器内のプログラム全体のハッシュ値を計算し、耐タンパ領域に記憶された該ハッシュ値と比較して、その比較結果に応じてプログラムが改竄されたと判断すると、該制御部は該社会インフラ資源の供給制御ルールに従って社会インフラ資源の供給を制御することを特徴とする電子計量システム。 - 該中継器の該中継器プログラム改竄検知部は、プログラムの改竄を定期的に検査して、改竄を検知すると該管理サーバに通知する、請求項1に記載の電子計量システム。
- 該中継器の該改竄検知対応部は、該中継器に接続された該電子計量器から改竄検知の通知を受信すると、該中継器に接続されている他の該電子計量器へプログラムの改竄検知処理の実行を指示する、請求項1乃至2のいずれかの項に記載の電子計量システム。
- 該管理サーバの該供給制御ルールテーブルは、該電子計量器が設置される施設の重要度に関する情報を含み、該重要度が高いほどプログラムの改竄検知処理の実行頻度を頻繁に行う、請求項1に記載の電子計量システム。
- 該供給制御ルールテーブルは、該電子計量器がプログラム改竄を検知した場合の社会インフラ資源の供給について、「供給状態を維持」、「供給を停止」「プログラム更新時のみ停止」の判断基準を保持する、請求項1に記載の電子計量システム。
- 該中継器が、該電子計量器からプログラムの改竄検知の通知を受信した後、該データ蓄積部に記憶された該電子計量器プログラムを該電子計量器へ送信し、
該電子計量器は、改竄が検知されたプログラムを該受信したプログラムに更新する、請求項1乃至5のいずれかの項に記載の電子計量システム。 - 該管理サーバが、該中継器からプログラムの改竄検知の通知を受信すると、該中継器へ該該データ蓄積部に保持された中継器プログラムを該中継器に送信し、
該中継器は、改竄されたプログラムを該受信した中継器プログラムに更新する、請求項1乃至6のいずれかの項記載の電子計量システム。 - 該管理サーバが該中継器から改竄検知の通知を受信すると、該管理サーバは管理者用の端末に警告を表示する、請求項1乃至7のいずれかの項記載の電子計量システム。
- 該管理サーバに接続される複数の中継器のうちには前記改竄検知対応部を有しない中継器が存在することがあり、
該中継器が、該電子計量器からプログラムの改竄の検知を受信したとき、自中継器が該改竄検知対応部を有するかを判断し、該中継器が該改竄検知対応部を有する場合は、該改竄検知対応部が該中継器の配下にある全ての該電子計量器に対して、プログラムの改竄検知処理を実施し、
該中継器が該改竄検知対応部を有しない場合は、該管理サーバが該中継器の配下にある全ての該電子計量器に対して、プログラムの改竄検知処理を実施する、
請求項1乃至8のいずれかの項記載の電子計量システム。 - 需要家の施設に設置され、社会インフラ資源の利用状況の監視と供給制御を行う複数の電子計量器と、該電子計量器による社会インフラ資源の計量値を収集して管理を行う管理サーバと、複数の該電子計量器にネットワークを介して接続されると共に該管理サーバにネットワークを介して接続される中継器とを含む電子計量システムにおける電子計量器のプログラム改竄処理方法であって、
該電子計量器は、社会インフラ資源の利用状況を計測すると共に社会インフラ資源の供給を制御し、
データ蓄積部に該電子計量器の動作に必要なプログラムやデータ及び社会インフラ資源の供給制御ルールを保存し、
耐タンパ領域に該プログラム改竄検知に際して使用するハッシュ値を記憶し、
該電子計量器のプログラム改竄を検知し、
該管理サーバは、該データ蓄積部に、該電子計量器を動作させるための必要なデータと、該社会インフラ資源の供給制御ルールを保持する供給制御ルールテーブルと、該電子計量器が使用するプログラムと、該中継器が使用するプログラムを保持し、
該電子計量器と該中継器のプログラム改竄を検知した場合に対策を実施して、該電子計量器及び該中継器へプログラムを配信し、
該中継器は、データ蓄積部に電子計量器プログラムと中継器のプログラムのハッシュ値を記憶し、
該中継器のプログラムの改竄を検知し、該電子計量器で改竄が検知された場合対応を行い、
該電子計量器は、自電子計量器内のプログラム全体のハッシュ値を計算し、耐タンパ領域に記憶された該ハッシュ値と比較して、その比較結果に応じてプログラムが改竄されたと判断すると、該制御部は該社会インフラ資源の供給制御ルールに従って社会インフラ資源の供給を制御することを特徴とする電子計量器のプログラム改竄処理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013146350A JP2015018477A (ja) | 2013-07-12 | 2013-07-12 | 電子計量システム及び電子計量器のプログラム改竄処理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013146350A JP2015018477A (ja) | 2013-07-12 | 2013-07-12 | 電子計量システム及び電子計量器のプログラム改竄処理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2015018477A true JP2015018477A (ja) | 2015-01-29 |
Family
ID=52439394
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013146350A Pending JP2015018477A (ja) | 2013-07-12 | 2013-07-12 | 電子計量システム及び電子計量器のプログラム改竄処理方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2015018477A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017033225A (ja) * | 2015-07-31 | 2017-02-09 | 大日本印刷株式会社 | 中継装置、プログラム及び情報処理システム |
WO2023148951A1 (ja) * | 2022-02-07 | 2023-08-10 | 日本電気株式会社 | 情報通信システム、情報通信方法、および記録媒体 |
-
2013
- 2013-07-12 JP JP2013146350A patent/JP2015018477A/ja active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017033225A (ja) * | 2015-07-31 | 2017-02-09 | 大日本印刷株式会社 | 中継装置、プログラム及び情報処理システム |
WO2023148951A1 (ja) * | 2022-02-07 | 2023-08-10 | 日本電気株式会社 | 情報通信システム、情報通信方法、および記録媒体 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10108168B2 (en) | Industrial control system smart hardware monitoring | |
US9613523B2 (en) | Integrated hazard risk management and mitigation system | |
US9203859B2 (en) | Methods and systems for cyber-physical security modeling, simulation and architecture for the smart grid | |
US20170184675A1 (en) | Prognostic and health monitoring systems for circuit breakers | |
US10679491B1 (en) | Fire control panel configuration | |
Chen | Survey of cyber security issues in smart grids | |
Gawanmeh et al. | Taxonomy analysis of security aspects in cyber physical systems applications | |
JP2017111532A (ja) | 制御装置及び統合生産システム | |
Ali et al. | ICS/SCADA system security for CPS | |
JPWO2020067376A1 (ja) | データ管理サーバ、データ利用サーバ、データ流通システム、データ管理方法及びプログラム | |
JP2018207690A (ja) | データ管理システム | |
JP2015018477A (ja) | 電子計量システム及び電子計量器のプログラム改竄処理方法 | |
CA3009816A1 (en) | Systems and methods for testing ground fault circuit interrupter breakers within enclosures | |
CN114629677A (zh) | 一种用于火电机组电量计费系统的安全防护系统及方法 | |
WO2020166329A1 (ja) | 制御システム | |
KR102231648B1 (ko) | 소방시설의 점검 이력 정보 관리 방법, 장치 및 컴퓨터-판독가능 기록 매체 | |
JP2014191515A (ja) | 保守管理装置、保守管理方法および保守管理プログラム | |
JP6308511B1 (ja) | ユーザに作業指示を与えることに関連するサービスを提供するためのサーバ装置、そのサーバ装置において実行される方法およびプログラム | |
JP6238849B2 (ja) | プラント計装システム | |
CN103425118A (zh) | 用于识别过程控制系统的完整性降级的方法和装置 | |
KR20220085160A (ko) | 클라우드 기반 재난 감지 방법 및 이를 수행하는 재난 분석 시스템 | |
JP5955165B2 (ja) | 管理装置、管理方法及び管理プログラム | |
KR101646329B1 (ko) | 지역 기반 사이버 침해 대응 분석 시스템 및 그 방법 | |
CN113448799A (zh) | 计算机系统和/或控制系统的鲁棒监测 | |
JP2019083478A (ja) | 通信システム、制御装置、ゲートウェイ、通信制御方法、及びプログラム |