JP2016019281A - 産業用制御システムのオペレータ・アクション認証 - Google Patents

産業用制御システムのオペレータ・アクション認証 Download PDF

Info

Publication number
JP2016019281A
JP2016019281A JP2014243830A JP2014243830A JP2016019281A JP 2016019281 A JP2016019281 A JP 2016019281A JP 2014243830 A JP2014243830 A JP 2014243830A JP 2014243830 A JP2014243830 A JP 2014243830A JP 2016019281 A JP2016019281 A JP 2016019281A
Authority
JP
Japan
Prior art keywords
action
communication
control system
signed
industrial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014243830A
Other languages
English (en)
Other versions
JP2016019281A5 (ja
Inventor
サミュエル・ガルピン
Galpin Samuel
ティモシー・クリッシュ
Clish Timothy
ジェームズ・ジー・カルヴァン
G Calvin James
アルバート・ルーヤッカーズ
Rooyakkers Albert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bedrock Automation Platforms Inc
Original Assignee
Bedrock Automation Platforms Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/446,412 external-priority patent/US10834820B2/en
Priority claimed from US14/469,931 external-priority patent/US9191203B2/en
Priority claimed from US14/519,066 external-priority patent/US10834094B2/en
Application filed by Bedrock Automation Platforms Inc filed Critical Bedrock Automation Platforms Inc
Publication of JP2016019281A publication Critical patent/JP2016019281A/ja
Publication of JP2016019281A5 publication Critical patent/JP2016019281A5/ja
Priority to JP2021160356A priority Critical patent/JP2022008660A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Programmable Controllers (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

【課題】産業用制御システムにおいて無許可のアクション要求が処理されることを防止する。
【解決手段】オペレータ・アクションまたは他の命令またはリクエストは、アクション・オリジネータから通信/制御モジュールまたは他のいかなる産業エレメント/コントローラまでの認証経路を介して固定される。アクション・リクエストにはアクション・オリジネータによって生成した署名を含むアクション認証メッセージが構成される。署名されたアクション・リクエストの確実性が検査されるときに、署名されたアクション・リクエストを受信して、署名されたアクション・リクエストの確実性を検査して、要請されたアクションを実行するために、転送先の通信/制御モジュールまたは他のいかなる産業エレメント/コントローラも構成される。
【選択図】図1

Description

関連するクロス・リファレンス
[0001] 本出願は、2013年8月6日に出願された国際出願番号PCT/US2013/053721「SECUREINDUSTRIALCONTROLSYSTEM」の一部継続出願である。本出願は、2014年8月27日に出願された米国特許出願シリアル番号14/469,931「SECURE INDUSTRIAL CONTROL SYSTEM」の米国特許法§120の一部継続でもある。本出願は、2014年7月30日に出願された米国特許出願シリアル番号14/446,412「INDUSTRIAL CONTROL SYSTEM CABLE」の米国特許法§120の一部継続でもあり、2014年7月7日に出願された米国仮出願番号62/021,438「INDUSTRIAL CONTROL SYSTEM CABLE」の特許法§119(e)の優先権を主張する。米国仮出願番号62/021,438、米国特許出願シリアル番号14/446,412および14/469,931、並びに、国際出願番号PCT/US2013/053721は、全体としてリファレンスとしてここに組み入れられる。
[0002] 産業制御システム(例えば標準産業制御システム、ICS)またはプログラム可能なオートメーション・コントローラ、PACは、工業生産(例えば安全基準(例えばIEC1508)に保証される管理制御およびデータ収集(SCADA)システム、分散制御システム(DCS)、プログラマブル論理コントローラ(社)および産業安全システム)において、使用する様々な形の制御装置を包含する。これらのシステムが、電気、水および廃水、油およびガス生産および精製、化学、食品、医薬およびロボット工学を含む産業において、使われる。プロセス変数を測定するために様々な形のセンサから集められる情報を使用して、産業制御システムからのオートメーション化したおよび/またはオペレータ駆動管理命令は、さまざまなアクチュエーター装置(例えば制御弁、油圧アクチュエータ、磁気アクチュエータ、電気的スイッチ、モーター、ソレノイド、など)に発信されることがありえる。これらのアクチュエーター装置はセンサからデータを集める。そして、センサシステム(開閉弁およびブレーカ)は弁を制御する。そして、モーターは警報状態などに関し工業処理をモニタする。
[0003] 他の例において、SCADAシステムは、地理的に広く分離されることができるプロセス・サイトを有する開ループ制御を使用することがありえる。管理データをより中心にある一つ以上の制御に送信するために、これらのシステムは、リモート・ターミナル・ユニット、Remote Terminal Units、RTUsを使用する。RTUのものを配備するSCADAアプリケーションは、流体パイプライン、電気分布および大きい通信システムを包含する。DCSシステムが、広帯域の、ロー・レーテンシ・データ・ネットワークによって、リアルタイムデータ収集および連続制御に関し全般的に使われて、大きなキャンパス工業処理プラント(例えば油およびガス、精製、化学薬品、医薬、食品および飲料、水および廃水、パルプおよび紙、有用性パワーおよび鉱業および金属)において、使われる。PLCが、より典型的にブールのおよび経時的なロジック・オペレーションおよびタイマーを提供して、連続制御と同様に、しばしば独立型機械およびロボット工学において、使われる。更に、建物、空港、船、宇宙ステーション、ヒーティング、ベンチレーションおよびエアコンディショニング(HVAC)装置およびエネルギー消費をモニタおよび制御するために、ICEおよびPACシステムが、施設プロセスで使われることがありえる。産業制御システムが進化するにつれて、新技術はこれらのさまざまなタイプの制御システムの態様を結合している。例えば、PACsは、SCADA、DCSおよびPLCの態様を包含することがありえる。
[0004] この開示の各種実施形態によれば、安全な産業用制御システムは、一つ以上の産業エレメント(例えば、入出力(I/O)モジュール、パワー・モジュール、フィールド・デバイス、スイッチ、ワークステーションおよび/または物理的な相互接続デバイス)を制御するかまたは駆動する一つ以上の通信/制御モジュールを包含する。アクションまたは他が命令するかまたは要請するオペレータは、アクション・オリジネータから通信/制御モジュールまで認証経路を介して固定されることがありえる。実装において、アクション・オリジネータにより生成されるアクション再探索に署名することを、産業用制御システムは、アクション認証メッセージが必要とする。署名されたアクション再探索の確実性が検査されるときに、署名されたアクション再探索を受信して、署名されたアクション再探索の確実性を検査して、要請されたアクションを実行するために、転送先の通信/制御モジュールは構成される。このように、悪意のあるまたは無許可のアクション要求は処理されない、そして、かくして、システムは破壊工作ソフト、スパイウェア、未許可の制御の変更パラメータ、無許可のアクセスからデータ、などまで保護されている。
[0005] いくつかの実施形態では、通信/制御モジュールは、プロセッサによって、実行可能な一組の命令を支持している少なくとも一つのプロセッサおよび非一時的な媒体を包含する。命令の一組は、少なくとも、アクション・オリジネータにより開始されて、アクション認証メッセージにより署名されるアクション再探索を受信し、署名されたアクション再探索の確実性を検査し、署名されたアクション再探索の確実性が検査されるときに、要請されたアクションを実行する、
命令を包含する。
[0006] 更に、要請されたアクションを認証する方法を開示する。方法は、アクション認証メッセージを有するアクション再探索に署名し、通信/制御モジュールに署名されたアクション再探索を送り、署名されたアクション再探索の確実性を検査し、署名されたアクション再探索の確実性が検査されるときに通信/制御モジュールを有する要請されたアクションを実行すること、を包含する。
[0007] 詳細な説明において、下に更に記載される単純化された様態の概念の選択を導くために、この要約は、提供される。(この要約は請求された内容の鍵となる特徴または基本的特徴を確認することを目的としないし、請求された内容の範囲を決定する際の援助として使われることを、それは目的としない。)
[0008] 詳細な説明は、添付の図に関して記載される。説明および図の異なる事例の同じ参照番号の使用は、類似または同一のアイテムを示すことができる。
[0009] 図1は、現在の開示の例示の実施形態に従って産業用制御システムを例示しているブロック図である。 [0010] 図2は、現在の開示の例示の実施形態に従って産業用制御システムに関しアクション認証経路を例示しているブロック図である。 [0011] 図3は、現在の開示の例示の実施形態に従って更にアクション認証経路を例示しているブロック図である。 [0012] 図4は、アクションを認証する方法が現在の開示の実施形態を例示のに従って要求することを示しているフロー図である。 [0013] 図5は、更に、現在の開示の例示の実施形態に従ってアクション・リクエストを認証する方法を例示しているフロー図である。
概要
[0014] 産業用制御システムにおいて、さまざまな産業的なエレメント/サブシステム(例えば、入出力(I/O)モジュール、パワー・モジュール、プロセス・センサおよび/またはアクチュエータ、スイッチ、ワークステーションおよび/または物理的な相互接続デバイス)は、制御エレメント/サブシステム(例えば、一つ以上の通信/制御モジュール)により制御されるかまたは駆動される。例えば動きオリジネータから受信されるが、それに限られていないプログラミングおよびアクション要求(例えば、実行可能ソフトウェア・モジュール、制御コマンド、データ要求、など)に従って、制御エレメント/サブシステムは、作動する:オペレータインタフェース(例えば、SCADAまたは人間の機械インタフェース(HMI)、エンジニアリング・インタフェース、ローカル・アプリケーションおよび/またはリモート・アプリケーション。複数の動きオリジネータがいる所で、産業用制御システムはデータおよび/または制御への無許可の接近に弱くありえる。更に、破壊工作ソフト、スパイウェアまたは最新版、アプリケーション画像、制御コマンド、等の形で送信されることがありえる他の不正な/悪意のあるソフトウェアに、産業用制御システムは、弱くありえる。有効なログインまたは表面上有効な(例えば、大幅に削られる)アプリケーションまたはオペレータ/エンジニアリング・インタフェースを介して、発明されることがありえる悪意のある行為者または意図せずに未許可のリクエスト/コマンドからさえシステムを得るのに、単にオペレータを認証することは、十分ではなくてもよい。
[0015] 無許可のアクション要求が産業用制御システムで処理されるのを防止することに関し、現在の開示は、産業用制御システム通信/制御モジュール、サブシステムおよび技術に向けられる。実施形態において、オペレーションまたはすべてのオペレータ・アクションのあらかじめ定義された選択または他は動きを制御する、または、リクエストは動きオリジネータから通信/制御モジュールまで認証経路を介して固定される。実装において、動きオリジネータにより生成される動き再探索に署名することを、産業用制御システムは、動き証人が必要とする。サインがないアクション要求は、エラーに自動的に結果としてなる場合があって、通信/制御モジュールにより処理されないかまたは実行されない。署名された動き再探索の確実性が検査されるときに、署名された動き再探索を受信して、署名された動き再探索の確実性を検査して、要請された動作を実行するために、通信/制御モジュールは構成される。このように、悪意のあるまたは無許可のアクション要求は処理されない、そして、かくして、システムは破壊工作ソフト、スパイウェア、未許可の制御の変更パラメータ、無許可のアクセスからデータ、などまで保護されている。
実装例
[0016] 図1は、現在の開示の実施形態に従って、産業制御システム100を例示する。実施形態において、産業制御システム100は産業制御システム(ICS)、プログラム可能なオートメーション・コントローラ(PAC)、管理制御およびデータ収集(SCADA)システムから成ることができる。そして、分散制御システム(DCS)、プログラマブル論理コントローラ(PLC)および産業安全システムが安全基準(例えばIEC1508等)で保証される。図1に示すように、一つ以上の制御エレメントによって制御されるかまたは駆動される一つ以上の産業エレメント(例えば、入出力モジュール、パワー・モジュール、フィールド・デバイス、スイッチ、ワークステーションおよび/または物理的な相互接続デバイス)またはシステムの全体にわたって割り当てられるサブシステム102を包含する分散制御システムを実装するために、産業制御システム100は、通信制御アーキテクチャを使用する。例えば、アップ制御エレメント/下位システムに102をしている一つ以上の通信/制御モジュール106に、一つ以上のI/Oモジュール104は接続している。業制御システム100は、I/Oモジュール104へ/から伝達するデータに構成される。I/Oモジュール104は、入力モジュール、出力モジュールおよび/または入出力モジュールを含むことがありえる。例えば、入力モジュールはその過程で入力装置130(例えば、センサ)から情報を受信するために用いることがありえる。その一方で、出力モジュールが出力デバイス(例えば、アクチュエータ)に伝達する命令に用いられることがありえる。例えば、I/Oモジュール104は、ガス工場、精練所、などに関し配管の圧力を測定することに関しプロセス・センサに接続していることがありえておよび/または弁、バイナリまたは複数のステート・スイッチ、送信機、等を制御することに関し、プロセス・アクチュエータに接続していることがありえる。フィールド・デバイス130は、直接、または、ネットワーク接続を介して、IOモジュール104に通信で連結する。これらのデバイス130は、制御弁、油圧アクチュエータ、磁気アクチュエータ、モーター、ソレノイド、電気的スイッチ、送信機、入力センサ/受信機(例えば、照明、放射線、ガス、温度、電気、磁気および/または、音響センサ)通信下位バス、などを包含することがありえる。
[0017] 実装において、モジュール104がそうであることがありえるI/Oは、システム100が集める産業制御を使用した重要なインフラおよび/または工業処理を含むが必ずしもこれに限らずアプリケーション、例えば製品製造、そして、製作、有用性パワー生成、油、ガスおよび化学精製、建物、空港、船および宇宙ステーション(例えば、HVAC装置およびエネルギー消費をモニタ及び制御するために)に関し医薬、食品、および飲料、パルプ、および紙、金属、および鉱業および施設および大規模なキャンパス工業処理で使用される。
[0018] 実装において、センサからデジタルデータ(例えばアナログ/デジタルコンバータ(ADC)回路、などを用いて)まで受信されるアナログ・データを変換するために、I/Oモジュール104は、構成されることがありえる。例えば、モジュール104がそうであることもありえるI/Oはモーターであるか調整している弁または電気リレーを一つ以上のプロセス・アクチュエータに接続した、そして、他はアクチュエータの中で形をなして、制御にモーター(例えば運動速度、運動トルクまたは電気リレーなどの調整している弁または状態の位置)の一つ以上の作動している特性を構成した。更に、アクチュエータ(例えばデジタル/アナログ(DAC)回路、などを用いて)にデジタルデータをアナログの送信のためのデータに変換するために、I/Oモジュール104が構成されることがありえる。実装において、一つ以上のI/Oモジュール104は、通信下位バス(例えばイーサネット・バス、H1フィールド・バス、プロセスフィールドバス、Process Field Bus、PROFIBUS、ハイウェーアドレス可能リモートトランスデューサ(HighwayAddressable Remote Transducer(HART)バス、Modbusなど)を介して通信することに関し構成される通信モジュールを含むことがありえる。更に、2以上のI/Oモジュール104は、さまざまなフィールド・デバイス130(例えば制御弁、油圧アクチュエータ、磁気アクチュエータ、モーター、ソレノイド、電気的スイッチ、送信機、入力センサ/受信機(例えば、照明、放射線、ガス、温度、電気、磁気および/または、音響センサ)通信下位バス、など)に関し辛抱強い漏電および冗長な接続を提供するために用いることがありえる。
[0019] 一つのI/Oモジュール104と他のI/Oモジュール104を区別することに関し、各I/Oモジュール104は、ユニーク識別子(ID)により提供されることがありえる。実装において、それが産業制御システム100に接続するときに、I/Oモジュール104はそのIDにより確認される。複数のI/Oモジュール104は、産業制御100によって、冗長性を提供するために用いることがありえる。例えば、2以上のI/Oモジュール104は、プロセス・センサおよび/またはアクチュエータに接続していることがありえる。各I/Oモジュール104は、I/Oモジュール104(例えば印刷回路基板(PCB)、など)で包含されるハードウェアおよび回路への物理的な接続に供給する一つ以上のポートを包含することがありえる。例えば、ケーブルをI/Oモジュール104のプリント配線板(PWB)に接続するケーブルに関し、各I/Oモジュール104は、接続を包含する。
[0020] 以下を含むが必ずしもこれに限らず他のネットワークに接続することに関し、以下の一つ以上のI/Oモジュール104は、インタフェースを包含することがありえる:広い領域セルラ電話ネットワーク(例えばモバイル通信(GSM)ネットワークに関し3Gセルラー電話網、4 Gのセルラー電話網またはグローバルシステム)、無線コンピュータ通信ネットワーク(例えばWi―Fiネットワーク(例えば、無線LAN(WLAN)はIEEE 802.11ネットワーク標準を使用)、パーソナルエリアネットワーク(PAN)(例えば、Wireless PAN(WPAN)はIEEE 802.15ネットワーク標準を使用)、ワイド・エリア・ネットワーク(WAN)、イントラネット、エクストラネット、インターネット、インターネット、など。I/Oモジュール104をコンピュータバスなどに接続することに関し、更なる一つ以上のI/Oモジュール104は、接続を包含することがありえる。
[0021] I/Oモジュール104をモニタして、制御して、一緒に2以上のI/Oモジュール104を接続するために、通信/制御モジュール106は、用いることがありえる。開示の実施形態において、I/Oモジュール104に関し固有IDに基づく産業用制御システム100に、I/Oモジュール104が接続しているルーティング・テーブルを、通信/制御モジュール106は、更新することがありえる。更に、複数の冗長なI/Oモジュール104が用いられるときに、データがI/Oモジュール104から受信されておよび/またはそれに発信されるにつれて、各通信/制御モジュール106はI/Oモジュール104に関して情報のデータベースのミラーリングを実装することがありえて、それらを更新することがありえる。いくつかの実施形態では、2以上の通信/制御モジュール106は、冗長性を提供するために用いる。付加的なセキュリティに関して、例えばスタートアップ(リセット)を含むあらかじめ定義されたイベントまたは新規な制御モジュール106(通信/制御モジュール106の置換)の設置が、周期的に、時間、などを予定した時間で互いを認証するために認証シーケンスまたは握手を実行するために、通信/制御モジュール106は、構成されることがありえる。
[0022] 図2および3に示すように、各通信/制御モジュール106または他のいかなる産業エレメント/コントローラ206(例えば、I/Oモジュール104、フィールド・デバイス130(例えばアクチュエータまたはセンサ、物理的な相互接続デバイス、スイッチ、パワー・モジュール112、等)も、アクション・オリジネータ202からリクエスト/命令に従って少なくとも部分的に作動されることがありえる。実装において、動きオリジネータ202は、オペレータインタフェース208(例えば、SCADAまたはHMI)、エディタ212およびコンパイラ214を含むエンジニアリング・インタフェース210、ローカル・アプリケーション220、リモート・アプリケーション216(例えば、ローカル・アプリケーション220を介してネットワーク218によって、通信する)等を包含する。図2および3に図示される認証経路200において、アクション・リクエストがアクション認証メッセージ204により署名されておよび/または暗号化されるときにだけ、産業エレメント/コントローラ206(例えば、通信/制御モジュール106、I/Oモジュール104、フィールド・デバイス130(例えばアクチュエータまたはセンサ)、物理的な相互接続デバイス、スイッチ、パワー・モジュール112、等)はアクション・リクエスト(例えば、データ、制御命令、ファームウェア/ソフトウェア・アップデート、セットされたポイント制御、アプリケーション画像ダウンロード、等に関し要請する)を処理する。これは、無許可のアクション要求に対して有効なユーザープロファイルを妨げて、更に、無効な(例えば、大幅に削られる)プロフィルから来ている無許可のアクション・リクエストから、システムを得る。
[0023] アクション認証メッセージ204は、現場でアクション・オリジネータ202(例えば、直接被接続デバイス・ライフサイクル管理システム(「DLM」)222または堅牢なワークステーション226)とありえるかまたは遠隔で位置決めされることがありえる(例えば、ネットワーク218を介して接続されるDLM222)。一般に、アクション認証メッセージ204は、その上に記憶されるプライベートなキーおよび署名しておよび/またはプライベートなキーを有する動きオリジネータ202により生成される動き再探索を暗号化するために構成されるプロセッサを有するストレージ媒体を包含する。標準オペレータ・ログインを経てアクセスされることができないメモリに、プライベートな鍵は、記憶される。例えば、堅牢なワークステーション226は、アクセスに関し物理的なキー、携帯用の暗号化デバイス(例えば、スマートカード、RFIDタグ等)および/またはバイオメトリック入力を必要とすることがありえる。
[0024] いくつかの実施形態では、アクション認証メッセージ204は、携帯用の暗号化デバイス、例えばスマートカード224、固定されたマイクロプロセッサを包含することがありえるを包含する。携帯用の暗号化デバイスを使用することの利点は、動きオリジネータ202のインタフェースへの認可されたアクセスを有するオペレータまたはユーザと、全デバイス(それとともに通信の個人的に格納されたキーおよびプロセッサを包含する)が担持されることがありえるということである。アクション認証ノード204が固定されたか締められてないワークステーションを介して認証経路200に接近するかどうか、アクション・オリジネータ202からのアクション・リクエストは潜在的により安全でないワークステーションまたはクラウド・ベースのアーキテクチャの代わりに携帯用の暗号化デバイスのアーキテクチャの範囲内で確実に署名されることがありえておよび/または暗号化されることがありえる。これは、産業用制御システム100を無許可のアクションから得る。例えば、アクション・オリジネータ202を経て送られるいかなるアクション要求も認証することが可能である前に、未許可の人は、スマートカード224の所有を物理的にとらなければならない。
[0025] さらにまた、セキュリティの多層は、使用されることがありえる。例示に関して、アクション認証メッセージ204は、署名しておよび/またはスマートカード・アクセス等を介してアクション要求を暗号化するために、アクセス可能なだけである堅牢なワークステーション226を包含することがありえる。加えて、堅牢なワークステーション226は、バイオメトリックであるか多元的な暗号デバイス228(例えば、指紋スキャナ、虹彩スキャナおよび/または顔認識デバイス)を介してアクセス可能でありえる。実施形態によっては、スマートカード224または他の携帯用の暗号化デバイスがアクション・リクエストに署名することを可能にする前に、多元的な暗号デバイス228は、有効なバイオメトリック入力を必要とする。
[0026] 署名されたアクション・リクエストの確実性が検査されるときに、署名されたアクション・リクエストを受信して、署名されたアクション・リクエストの確実性を検査して、要請されたアクションを実行するために、アクション・オリジネータ202により駆動されている通信/制御モジュール106または他のいかなる産業エレメント/コントローラ206も構成される。実施形態によっては、産業エレメント/コントローラ206は、アクション・リクエスト(例えば、アクション・オリジネータによって、送られるアプリケーション画像、制御命令または他のいかなるデータも)を記憶するために構成されるストレージ媒体230(例えば、SD/microSDカード、HDD、SSDまたは他のいかなる非一時的なストレージ・デバイスも)を包含する。シグニチャーが検査されたあと、アクション・リクエスト(すなわち、要請されたアクションを実行する)を実行して/実行するプロセッサ232を、通信/制御モジュール106または他のいかなる産業エレメント/コントローラ206も、更に含む。実施形態によっては、要請されたアクションが実行されることがありえる前に、アクション・リクエストはアクション・オリジネータ202またはアクション認証メッセージ232によって、暗号化されて、プロセッサ232によっても解読されなければならない。実装において、アクション・リクエスト・シグニチャーが検査されたあとだけ、プロセッサ232が要請されたアクションを実行することを可能にする仮想キースイッチ234(例えば、プロセッサ232で動いているソフトウェア・モジュール)を、通信/制御モジュール106または他のいかなる産業エレメント/コントローラ206も包含する、および/または、アクションの後、リクエストは解読される。いくつかの実施形態では、通信/制御モジュール106または他のいかなる産業エレメント/コントローラ206にも動く前に、どのアクションもまたは重要なアクションの選択のそれぞれは、認証経路を掃除しなければならない。
[0027] 図4および5は、アクションを認証する方法300がこれの例示的実施形態に従って開示を要求することを示す。実装において、方法300は、産業用制御システム100の産業用制御システム100および/または認証経路200によって、明らかにされることがありえる。方法300は、以下を包含する:アクション・リクエスト(例えば、オペレータ/エンジニアリング・インタフェース208/210またはリモート/ローカル・アプリケーション・インタフェース216/220を介して)を始め(302)、アクション認証メッセージ204を有するアクション・リクエストに署名し(304)、任意にアクション認証メッセージ204を有するアクション・リクエストを暗号化し(312)、(306)は、署名されたアクション・リクエストを通信/制御モジュール106または他のいかなる産業エレメント/コントローラ206にも送信するかまたはダウンロードし、署名されたアクション・リクエストの確実性を検査し(308)、任意に通信/制御モジュール106または他のいかなる産業エレメント/コントローラ206を有するもアクション・リクエストを解読し(314)、そして、
署名されたアクション・リクエストの確実性が検査されるときに、通信/制御モジュール106または他のいかなる産業エレメント/コントローラ206でも要請されたアクションを実行する(310)。
[0028] 強化されたセキュリティに関して、要請されたアクションが通信/制御モジュール106または他のいかなる産業エレメント/コントローラ206にも通される前に、アクション認証メッセージ204(例えば、スマートカード224等を有する)を有する認証シーケンスを実行するために、通信/制御モジュール106または他のいかなる産業エレメント/コントローラ206も更に構成されることがありえる。例えば、いわゆる「ハンドシェイク」は、ステップ310の前に、または、ステップ306の前にさえ実行されることがありえる。いくつかの実施形態では、シグニチャーおよび確認ステップ304および308は、より複雑な認証シーケンスと、完全に置き換えられることがありえる。別の実施形態として、より単純なシグニチャー確認または解読が測定する接頭母音に対する追加的な保安手段として、認証シーケンスは、実行されることがありえる。
[0029] いくつかの実施形態では、通信/制御モジュール106または他のいかなる産業エレメント/コントローラ206によっても実装される認証シーケンスは、以下を包含することがありえ、アクション認証メッセージ204にリクエスト・データグラムを送るステップであって、リクエスト・データグラムが第1ノンス、第1のデバイス認証キー証明書(例えば、デバイス認証キーを含む第1の認証証明書)および第1のアイデンティティ属性証明書を包含し、アクション認証メッセージ204から応答データグラムを受信するステップであって、第2のノンスを包含している応答データグラム、第1および第2のノンスを伴う第1のシグニチャー、第2のデバイス認証キー証明書(例えば、デバイス認証キーを含む第2の認証証明書)および第2のアイデンティティは、証明書に起因し、第1のシグニチャーを検査することによって、応答データグラムを確認するステップであって、第1および第2ノンス、第2のデバイス認証キー証明書および第2のアイデンティティ属性証明書と関連し、応答データグラムが有効であるときに、アクション認証メッセージ204に認証データグラムを送るステップであって、第2のシグニチャーを包含している認証データグラムは、第第1および第2のノンスと関連する。
[0030] 別の実施形態として、アクション認証メッセージ204はハンドシェイクを開始することがありえる。その場合には、通信/制御モジュール106または他のいかなる産業エレメント/コントローラ206によっても実装される認証シーケンスは以下を包含することがありえる:アクション認証メッセージ204(第1ノンス、第1のデバイス認証キー証明書および第1のアイデンティティ属性証明書を包含しているリクエスト・データグラム)からリクエスト・データグラムを受信すること、第1のデバイス認証キー証明書および第1のアイデンティティ属性証明書を検査することによって、再探索データグラムを確認すること、リクエスト・データグラムが有効であるときに、アクション認証メッセージ204に応答データグラムを送り、第2のノンスを包含している応答データグラム、第1および第2のノンスを伴う第1シグニチャー、第2のデバイス認証キー証明書および第2のアイデンティティは、証明書に起因し、アクション認証メッセージ204から認証データグラムを受信して、第2のシグニチャーを包含している認証データグラムは、第1および第2ノンスと関連し、第1および第2ノンスを伴う第2のシグニチャーを検査することによって、認証データグラムを確認する。
[0031] 通信/制御モジュール106により実装されることがありえるかまたは他のいかなる産業エレメント/コントローラ206およびアクション認証メッセージ204でもありえるハンドシェイクまたは認証シーケンスは、2014年10月20日に出願された同時係属米国の非仮出願シリアル番号[まだ割り当てられていない]「INDUSTRIAL CONTROL SYSTEM REDUNDANT COMMUNIATIONS/CONTROL MODULES AUTHENTICATION」 (Timothy Clish)に十分に記載され、リファレンスとしてここにて組み込まれる。通信/制御モジュール106または他のいかなる産業エレメント/コントローラ206もとアクション認証メッセージ204の間に本願明細書において、記載されるハンドシェイクに、当業者は、冗長な通信/制御モジュール106の間に、ハンドシェイクの適用性を認める。
[0032] アクション・オリジネータ202(アクション認証メッセージ204)の中で各々、そして、通信/制御モジュール106または他のいかなる産業エレメント/コントローラ206も、本願明細書において、記載される機能またはオペレーション(例えば、方法300のブロックおよび認証シーケンス)を実行する力を与えられる回路および/またはロジックを包含することがありえる。例えば、各々アクション・オリジネータ202、アクション認証メッセージ204および通信/制御の中で、あるいは、一時的に非一時的な機械読み取り可読媒体(例えばハードディスク装置(HDD)、固体物理ディスク(SDD)、光ディスク、磁気記憶デバイス、フラッシュドライブまたはSD/microSDカードであるが、これらに限定されない)によって、モジュール106または他のいかなる産業エレメント/コントローラ206も、永久に、半永久に記憶されるプログラム命令を実行する一つ以上のプロセッサを包含することがありえる。
[0033] 図1を再度参照して、産業制御システム100により送信されるデータはパケット化でありえる、すなわち、データの別々の部分はネットワーク制御情報、などとともにピン部から成るデータパケットに変換されることがありえる。産業制御システム100はデータ伝送に関し一つ以上のプロトコルを使用することがありえる。そして、ビットを指向する同期データリンク層プロトコル、例えばHigh―Levelデータリンク制御、HDLCを包含する。いくつかの実施形態では、産業制御システム100は、標準の国際標準化機構(ISO)13239、等に従ってHDLCを実装する。更に、2以上の通信/制御モジュール106は、冗長なHDLCを実装するために用いることがありえる。しかしながら、HDLCが例えば提供されて、現在の開示で拘束性のはずでない点に留意する必要がある。かくして、産業制御システム100は、現在の開示に従って他のさまざまな通信プロトコルを使用することがありえる。
[0034] モニタリングに関し情報を使用するコンポーネントと交換しておよび/またはI/Oモジュール104(例えば一つ以上の制御ループ・フィードバック機構/コントローラ)を介して産業制御システム100に接続しているフィールド・デバイス130(例えば、センサおよび/またはアクチュエータ計装)を制御することに関し、通信/制御モジュール106の一つ以上は、構成されることがありえる。実装において、コントローラは、マイクロコントローラ/Programmable Logic Controller(PLC)、Proportional―Integral―Derivative(PID)コントローラ、などとして構成されることがありえる。いくつかの実施形態では、例えば、ネットワークを介して一つ以上のI/Oモジュール104を一つ以上のコントローラに接続するために、I/Oモジュール104および通信/制御モジュール106は、ネットワーク・インターフェースを包含する。実装において、I/Oモジュール104をローカル・エリア・ネットワーク(LAN)に接続することに関しギガビットイーサネット・インタフェースとして、ネットワーク・インターフェースは、構成されることがありえる。更に、2以上の通信/制御モジュール106は、冗長なギガビットイーサネットを実装するために用いることがありえる。しかしながら、ギガビットイーサネットが例えば提供されて、現在の開示で拘束性のはずでない点に留意する必要がある。かくして、通信/制御モジュール106を以下を含むが必ずしもこれに限らず他のさまざまなネットワークに接続することに関し、ネットワーク・インターフェースは、構成されることがありえる:広域セルラ電話ネットワーク(例えば3Gセルラー電話網、4Gのセルラー電話網またはGSMネットワーク)、無線コンピュータ通信ネットワーク(例えばWi―Fiネットワーク(例えば、WLANはIEEE 802.11ネットワーク標準を使用して作動)、PAN(例えば、WPANはIEEE 802.15ネットワーク標準を使用して作動)、WAN、イントラネット、エクストラネット、インターネット、インターネット、など。加えて、ネットワーク・インターフェースは、コンピュータバスを使用して実装されることがありえる。例えば、ネットワーク・インターフェースは、Peripheral Component Interconnect(PCI)カードインターフェース(例えばミニPCIインターフェイスなど)を包含することがありえる。更に、異なるアクセス・ポイント全体の単一のネットワークまたは複数のネットワークを包含するために、ネットワークは、構成されることがありえる。
[0035] 産業制御システム100は、複数のソースから電力を受信することがありえる。例えば、AC電源は、パワーグリッド108(例えばAC本線からのハイ電圧パワーを使用して)から供給される。AC電源は、ローカル・パワー生成(例えば、現場でのタービンまたはディーゼル・ローカル・パワー・ジェネレータ110)を使用して供給されることもありえる。パワー供給112は、パワーグリッド108から産業制御システム100(例えばコントローラ、I/Oモジュール、など)のオートメーション装置まで電力を割り当てるために用いる。パワー供給112は、ローカル・パワー・ジェネレータ110から産業制御システム装置まで電力を割り当てるために用いることもありえる。産業制御システム100は、複数の電池モジュールを用いてストアおよび戻るDCパワーに構成される追加(バックアップ)電動電源を包含することもありえる。例えば、パワー電源112は、UPSとして機能する。開示の実施形態において、複数のパワー供給112は、産業制御システム100の中で、割り当てられることがありえる(例えば、物理的に分散する)。
[0036] いくつかの実施形態では、制御エレメント/サブシステムおよび/または産業エレメント(例えば、I/Oモジュール104、通信/制御モジュール106、パワー供給112、など)は、一つ以上のバックプレーン114によって、一緒に接続される。例えば、通信/制御モジュール106は、通信バックプレーン116によって、I/Oモジュール104に接続していることがありえる。更に、パワー供給112は、I/Oモジュール104におよび/またはパワー・バックプレーン118による通信/制御モジュール106に接続していることがありえる。いくつかの実施形態では、物理的な相互接続デバイス(例えば、限定的ではないが米国非仮出願シリアル番号14/446,412に記載されるそれらのようなスイッチ、コネクタまたはケーブル)は、I/Oモジュール104、通信/制御モジュール106、パワー供給112およびおそらく他の産業制御システム装置に接続するために用いる。例えば、ケーブルは通信/制御モジュール106をネットワーク120に接続するために用いることがありえる、他のケーブルはパワー供給112をパワーグリッド108に接続するために用いることがありえる、他のケーブルはパワー供給112をローカル・パワー・ジェネレータ110、などに接続するために用いることがありえる。
[0037] いくつかの実施形態では、産業制御システム100は、安全な制御システムを実装する。例えば、産業制御システム100は、セキュリティ証明書ソース(例えば、工場122)およびセキュリティ証明書メーカー(例えば、キー管理エンティティ124)を包含する。固有のセキュリティ証明書(例えば、キー、証明書など(例えばユニーク識別子および/またはセキュリティ証明書)を生成するために、セキュリティ証明書ソースは、構成される。固有のセキュリティ証明書を有する制御エレメント/サブシステムおよび/または産業エレメント(例えば、ケーブル、デバイス130、I/Oモジュール104、通信/制御モジュール106、パワー供給112、など)がセキュリティ証明書ソースによって、生成した供給に、セキュリティ証明書メーカーは、構成される。
[0038] 産業制御システム100の複数の(例えば、全て)レベルでセキュリティを提供することに関し、複数の(例えば、あらゆる)デバイス130、I/Oモジュール104、通信/制御モジュール106、パワー供給112、物理的な相互接続デバイスなどは、セキュリティ証明書によって、産業制御システム100の中で配給されることがありえる。またさらに、などセンサおよび/またはアクチュエータを包含している制御エレメント/サブシステムおよび/または産業エレメントは、製造(例えば、出生時)の間、ユニークなセキュリティ証明書(例えば、などキー、証明書)により配給されることがありえて、産業制御システム100の安全を進めることに関し、産業制御システム100のキー管理エンティティ124によって、発生から管理されることがありえる。
[0039] いくつかの実施形態、センサおよび/またはアクチュエータを含む制御エレメント/サブシステムおよび/または産業エレメント間の通信などにおいて、産業制御システム100は認証プロセスを包含する。センサおよび/またはアクチュエータなどを包含している制御エレメント/下位システムおよび/または産業エレメントを認証することに関し、認証プロセスは実行されることがありえる。そして、産業制御システム100において、実装される。更に、そのエレメントおよび/または物理的な相互接続デバイスを認証することに関し、認証プロセスは、エレメントおよび/または物理的な相互接続デバイスと関連したセキュリティ証明書を利用することがありえる。例えば、セキュリティ証明書は、暗号化キー、証明書(例えば、一般のキー証明書、デジタル証明書、アイデンティティ証明書、セキュリティ証明書、非対称の証明書、標準証明書、非標準証明書)および/または識別番号を包含することがありえる。
[0040] 実装において、複数の制御エレメント/サブシステムおよび/またはシステム100がそうである産業制御の産業エレメントは、それらの自分のものによって、ユニークなセキュリティ証明書に配給した。例えば、エレメントが製造される(例えば、キーおよび証明書の個々のセットはエレメントの発生で定められる)ときに、産業制御システム100の各エレメントは証明書、暗号化キーおよび/または識別番号のそれ自身のユニークなセットにより配給されることができる。証明書、暗号化キーおよび/または識別番号のセットは、強い暗号化を提供して/サポートに関し構成される。暗号化キーは、標準(例えば、市販在庫品(COTS)暗号化アルゴリズム(例えば国家安全保障局(NSA)アルゴリズム、国立標準技術研究所(NIST)アルゴリズム等)によって、実装することがありえる。
[0041] 認証プロセスの結果に基づいて、認証されているエレメントは活性化されることがありえる、エレメントの部分的な機能は産業制御システム100の中で使用可能または使用不可にされることがありえる、エレメントの完全な機能は産業制御システム100の中で許可されることがありえる、および/または、産業制御システム100の中のエレメントの機能は完全に使用不能でありえる(例えば、産業制御システム100のそのエレメントと他のエレメントの間に促進される通信でない)。
[0042] 実施形態において、産業制御システム100のエレメントと関連したキー、証明書および/または識別番号は、そのエレメントのオリジナルの装置製造業者(OEM)を特定することがありえる。本明細書において、デバイス(例えば、エレメント)および/またはデバイス(例えばデバイスを物理的な製造業者から購入して、デバイスを販売するエンティティ)の供給元を物理的に製造するエンティティとして、条件「相手先商標製造会社」または「OEM」は、定義されることがありえる。かくして、実施形態で、物理的な製造業者およびデバイスの供給元であるOEMによって、デバイスは、製造および供給されることがありえる(販売される)。しかしながら、他の実施形態では、デバイスは、供給元であるOEMによって、割り当てられることがありえるが、物理的な製造業者でない。このような実施形態では、OEMは、デバイスに物理的な製造業者によって、製造させられることがありえる(例えばOEMは、購入、契約、オーダーなどができ、デバイスは物理的な製造業者から得る)。
[0043] 加えて、OEMがデバイスの物理的な製造者でない供給元から成る所で、デバイスは物理的な製造業者のブランドの代わりに供給元のブランドを支持することがありえる。例えば、エレメント(例えば、通信/制御モジュール106)が物理的な製造業者でなく供給元である特定のOEMを伴う実施形態で、エレメントのキー、証明書および/または識別番号は、その起源を特定することがありえる。産業制御システム100のエレメントの認証の間、判定がそれをされるときに、産業制御システム100の一つ以上の他のエレメントのOEMとは異なるエンティティによって、認証されているエレメントは製造されたかまたは出力された、そして、そのエレメントの機能は産業制御システム100の中で少なくとも部分的に使用不能でありえる。例えば、限定は産業制御システム100のそのエレメントと他のエレメントの間に通信(例えば、データ転送)に置かれることがありえる。そうすると、エレメントは働くことができなくて/産業制御システム100の中で機能することができない。産業制御システム100のエレメントの一つが置換を必要とするときに、知らずに非同種のエレメント(例えば、産業制御システム100の残りのエレメントより異なる起源(異なるOEM)を有しているエレメント)にエレメントを置き換えて、産業制御システム100のエレメントを実装するのを、この特徴は産業制御システム100のユーザが防止することがありえる。このように、本願明細書において、記載される技術は、安全な産業制御システム100に、他のOEMのエレメントの置換を防止することがありえる。ある例では、始まっているOEMにより提供されるエレメントの代わりに、同程度の機能性に供給するエレメントの置換は防止されることがありえる。これは、次のことの故である。置換されたエレメントは始まっているOEMのシステムを認証することができなくて、それの範囲内で作動することができない。他の例では、第1の再販業者はエレメントが始まっているOEMによって、物理的および暗号ラベルの1セットめを有して提供されることがありえる。そして、第1の再販業者のエレメントは産業制御システム100に取り付けられることがありえる。この例では、エレメントがOEMを発明している同じことによって、物理的および暗号ラベルの中でセットされる第2のもの(例えば、異なるもの)を有し、2人目の再販業者が提供されることがありえる。この例では、第2の再販業者のエレメントは産業制御システム100の中で作動するのを防止されることができる。これは、それらは第1の再販業者のエレメントを認証することができなくて、それによって、作動することができないからである。しかしながら、また、第1の再販業者および第2の再販業者が双方の合意を結ぶことができることは注意すべきである。ここで、同じ産業制御システム100を認証して、それの範囲内で作動するために、第1および第2のエレメントは構成されることがありえる。更に、実施形態によっては、合意が特定の顧客、顧客のグループ、施設などに適用するだけであるように、相互運用を許容する再販業者間の合意は実装されることもありえる
[0044] 他の事例において、ユーザは、産業制御システム100の中で誤って指定された(例えば、ミスマーク)エレメントを実装することを試みることがありえる。例えば、エレメントが産業制御システム100の他のエレメントのOEMと同じOEMを伴うことを、不正に示すそれにマークされる物理的な表示を、ミスマークエレメントを有することがありえる。かかる事例において、システム100がそうすることがありえる産業制御により実装される認証プロセスは、エレメントが偽であるという警報を出されるユーザを生じさせる。このプロセスは産業制御システム100に関し改良された保安を促進することもありえる。これは、次のことの故である。偽のエレメントはしばしば、悪意のあるソフトウェアが産業制御システム100にもたらされることがありえるビークルである。実施形態において、認証プロセスは産業制御システム100に関し安全なエアギャップを提供する。そして、安全な産業制御システムが不安定なネットワークから物理的に分離されることを確実にする。
[0045] 実装において、安全な産業制御システム100は、キー管理エンティティ124を包含する。暗号法の暗号鍵(例えば、暗号化キー)を管理することに関し、キー管理エンティティ124は、構成されることがありえる。この暗号鍵(例えば、キー管理)を管理することは、キーの生成、交換、ストレージ、使用および/または置換を包含することがありえる。例えば、キー管理エンティティ124はセキュリティ証明書ソースとして役立つために構成される。そして、産業制御システム100のエレメントに関しユニークなセキュリティ証明書(例えば、一般のセキュリティ証明書、秘密のセキュリティ証明書)を生成する。キー管理は、ユーザおよび/またはシステム・レベル(例えば、ユーザまたはシステム間のどちらか)でキーに関係する。
[0046] 実施形態において、キー管理エンティティ124は、安全なエンティティ(例えば安全な施設に位置決めされるエンティティ)から成る。キー管理エンティティ124は、I/Oモジュール104、通信/制御モジュール106およびネットワーク120から遠隔で位置決めされることがありえる。例えば、ファイアウォール126は、制御エレメントまたはサブシステム102からのキー管理エンティティ124およびネットワーク120(例えば、コーポレート・ネットワーク)を分離することがありえる。実装において、ルールセットに基づいて、ファイアウォール126は、データパケットを分析して、データパケットが許されるべきかどうか決定することによって、徹底的なおよび出て行くネットワーク・トラフィックを制御するソフトウェアまたはハードウェア・ベースのネットワークセキュリティシステムでありえる。ファイアウォール126は、固定されているとみなされなくて、信頼される(例えば、クラウドおよび/またはインターネット)信頼された、安全な内部ネットワーク(例えば、ネットワーク120)と他のネットワーク128の間の障壁をかくしてもたらす。実施形態において、ファイアウォール126は、キー管理エンティティ124と制御エレメントまたはサブシステム102および/またはネットワーク120の一つ以上の間に選択的な(例えば、安全な)通信を許容する。例において、一つ以上のファイアウォールは、産業制御システム100の中でさまざまな位置で実装されることがありえる。例えば、ファイアウォールは、ネットワーク120のスイッチおよび/またはワークステーションに集積されることがありえる。
[0047] 安全な産業制御システム100は、一つ以上の製造エンティティ(例えば、工場122)を更に含むことがありえる。製造エンティティは、産業制御システム100のエレメントに関し、オリジナルの装置製造業者(OEM)と関係していることがありえる。キー管理エンティティ124は、ネットワーク(例えば、クラウド)を介して、製造エンティティに通信で連結することがありえる。実装において、産業制御システム100のエレメントが一つ以上の製造エンティティで製造されるときに、(例えば、暗号化された通信パイプラインを有することがありえる)エレメントに、キー管理エンティティ124は通信で連結することがありえる。製造の際にセキュリティ証明書(例えば、キー、証明書および/または識別番号をエレメントに挿入する)を有するエレメントに配給することに関し、キー管理エンティティ124は、通信パイプラインを利用することがありえる。
[0048] 更に、エレメントが使用(例えば、活性化される)に入れられるときに、キー管理エンティティ124は世界的に個々のエレメントに通信で連結することがありえ(例えば、暗号化された通信パイプラインを介して)、特定のコードの使用を確認することがありえて、署名することがありえて、いかなる特定のコードの使用も無効にすることがありえて(例えば、取り除く)、および/または、いかなる特定のコードの使用も可能にすることがありえる。かくして、エレメントが最初は製造される(例えば、生まれる)工場で、キー管理エンティティ124は各エレメントと通信することがありえる。そうすると、エレメントは管理されたキーで支えられる。産業制御システム100の各エレメントに関しすべての暗号化キー、証明書および/または識別番号を包含しているマスタデータベースおよび/またはテーブルは、キー管理エンティティ124により維持されることがありえる。キー管理エンティティ124は、エレメントとのその通信によって、キーを無効にすることに関し構成される。それによって、コンポーネントの窃盗および再利用に対処する認証メカニズムの能力を進める。
[0049] 実装において、キー管理エンティティ124は、他のネットワーク(例えば、クラウドおよび/またはインターネット)およびファイアウォールで制御エレメント/サブシステム、産業エレメントおよび/またはネットワーク120の一つ以上に、通信で連結することがありえる。例えば、実施形態で、キー管理エンティティ124は、集中化したシステムまたは分散処理システムでありえる。そのうえ、実施形態で、キー管理エンティティ124は、ローカルに、または、遠隔で管理されることがありえる。いくつかの実装において、(例えば、統合された)ネットワーク120または制御エレメントまたはサブシステム102の範囲内で、キー管理エンティティ124は、位置決めされることがありえる。キー管理エンティティ124は、管理を提供することがありえておよび/またはさまざまな方法で管理されることがありえる。例えば、キー管理エンティティ124は、実装されることがありえて/管理されることがありえる。中央位置の顧客によって、個々の工場位置の顧客によって、外部の第三者管理会社によって、および/または産業用なものの異なる層の顧客によって、そして、層によって、異なる位置で、システム100を制御する。
[0050] セキュリティ(例えば、計測可能な、ユーザを構成された量のセキュリティ)の様々なレベルは、認証プロセスにより提供されることがありえる。例えば、エレメントを認証して、エレメントの範囲内でコードを保護するベースは、セキュリティで水平に提供されることがありえる。セキュリティの他の層は、同様に加えられることがありえる。例えば、コンポーネント(例えば通信/制御モジュール106)が適当な認証が発生しなくて強化することができないかかる程度に、セキュリティは、実装されることがありえる。実装において、コードの暗号化はエレメントで実装される。その一方で、セキュリティ証明書(例えば、キーおよび証明書)はエレメントに実装される。セキュリティは、産業制御システム100で、割り当てられることがありえる(例えば、フロー)。例えば、セキュリティはエンドユーザにずっと産業制御システム100の中を流れることがありえる。そして、モジュールがその事例において、何を制御するように設計されているかについて知られている。実施形態において、認証プロセスは、暗号化(安全な通信に関しデバイスの識別およびシステム・ハードウェアまたはソフトウェア構成要素(例えば、デジタル署名を介して)の認証)を提供する。
[0051] 実装において、異なる製造業者/ベンダー/供給元(例えば、OEM)により製造されておよび/または供給されるエレメントの安全な産業制御システム100の中でインターオペラビリティを提供しておよび/または可能にするために、認証プロセスは、実装されることがありえる。例えば、異なる製造業者/ベンダー/供給元により製造されておよび/または供給されるエレメント間の選択的な(例えば、少し)インターオペラビリティは、許可されることがありえる。実施形態において、認証の間、実装されるユニークなセキュリティ証明書(例えば、キー)は階層を形成することがありえる。それによって、異なる機能が産業制御システム100の異なるエレメントにより実行されるのを許す。
[0052] そこに配置され(例えば、射出しておよび/または押し込んだ)、産業制御システム100のコンポーネントを接続している通信リンクはデータパケット(例えば小型パケット(例えば、64バイトより小さいパケット)を更に使用することがありえる。そして、セキュリティの加算レベルを提供する。外側の情報(例えば、悪意のあるコンテンツ(例えばなど虚偽のメッセージ、破壊工作ソフト(ウイルス)、データマイニング・アプリケーション)が通信リンク上に射出されることがありえる問題点のレベルをラント・パケットの使用が上昇させる。例えば、通信リンク上に悪意のあるコンテンツを射出する外部の実体の能力を妨げるために動きオリジネータ204と通信/制御モジュール106または他のいかなる産業エレメント/コントローラ206の間にも送信されるデータパケット間のギャップの範囲内で、小型パケットは、通信リンク上に射出されることがありえる。
[0053] 全般的に、本願明細書において、記載される機能のいずれか、ハードウェア(例えば、固定ロジック回路(例えば集積回路)、ソフトウェア、ファームウェア、手動処理またはそれらの組み合わせを用いて実装されることがありえる。かくして、全般的に上記の開示において、述べられるブロックは、ハードウェア(例えば、固定ロジック回路(例えば集積回路)、ソフトウェア、ファームウェアまたはそれらの組み合わせを表す。ハードウェアの構成の事例において、上記の開示において、述べられるさまざまなブロックは、他の機能と一緒の集積回路として実装されることができる。かかる集積回路は、伝えられたブロック(システムまたは回路)の機能またはブロック(システム)の一部の機能または回路の全てを包含できる。更に、ブロック、システムまたは回路のエレメントは、複数の集積回路全体に実装されることができる。モノリシック集積回路、フリップチップ集積回路、マルチチップ・モジュール集積回路および/または混合信号集積回路を含むが必ずしもこれに限らず、かかる集積回路は、さまざまな集積回路から成ることができる。ソフトウェア実装の事例において、上記の開示において、述べられるさまざまなブロックは、オン・プロセッサを実行するときに、指定された作業を遂行する実行可能命令(例えば、プログラムコード)を表す。これらの実行可能命令は、一つ以上の有形のコンピューター読み取り可能な媒体に記憶されることがありえる。いくつかにおいて、かかる事例、全システム、ブロックまたは回路は、そのソフトウェアまたはファームウェア等価物を用いて実装されることができる。他の例において、一つの部の所与のシステム、ブロックまたは回路はソフトウェアまたはファームウェアで実装されることができる。その一方で、他の部分はハードウェアにおいて、実装される。
[0054] 内容が構造特徴および/またはプロセス・オペレーションに特有の言語で記載されたにもかかわらず、添付の請求の範囲において、定められる内容が上で記載される特定の特徴または行為に必ずしも限られているというわけではないことを理解すべきである。むしろ、上で記載される特定の特徴および行為は、請求を実装することの例示の様態として開示される。

Claims (20)

  1. 安全な産業用制御システムであって、
    アクション・オリジネータと、
    アクション・リクエストがアクション・オリジネータによって、生成したサインに構成されるアクション認証メッセージと、
    一つ以上の産業エレメントと通信する通信/制御モジュールと、
    を有し、
    通信/制御モジュールは、署名されたアクション・リクエストを受信し、署名されたアクション・リクエストの確実性を検査し、署名されたアクション・リクエストの確実性が検査されるとき、要請されたアクションを実行するために構成される、
    ことを特徴とする安全な産業用制御システム。
  2. アクション・オリジネータは、オペレータインタフェース、エンジニアリング・インタフェース、ローカル・アプリケーション・インタフェース、または遠隔アプリケーション・インタフェースのうちの少なくとも一つを備えることを特徴とする請求項1の産業用制御システム。
  3. アクション認証メッセージは、
    記憶されるプライベートなキーを有するストレージ媒体と、
    プライベートなキーを有するアクション・リクエストに署名するために構成されるプロセッサと、
    を包含しているポータブル暗号化デバイスから成る、ことを特徴とする請求項1の安全な産業用制御システム。
  4. プロセッサは、暗号化されたマイクロプロセッサを備えることを特徴とする請求項3に記載の安全な産業用制御システム。
  5. ポータブル暗号化デバイスは、スマートカードを備えることを特徴とする請求項3に記載の安全な産業用制御システム。
  6. アクション認証メッセージは、堅牢なワークステーションを備えることを特徴とする請求項1に記載の安全な産業用制御システム。
  7. 堅牢なワークステーションは、物理的なキー、ポータブル暗号化デバイス、または、バイオメトリック暗号デバイス、の少なくとも一つを介してアクセス可能であることを特徴とする請求項6の安全な産業用制御システム。
  8. アクション認証メッセージは、デバイス・ライフサイクル管理システムを備えることを特徴とする請求項1に記載の安全な産業用制御システム。
  9. アクション認証メッセージはよりはるかに、アクション・リクエストを暗号化するために構成されるであることを特徴とする請求項1に記載の安全な産業用制御システム。
  10. 通信/制御モジュールは、
    プロセッサと、
    署名されたアクション・リクエストの確実性が検査されるときに、プロセッサがアクション・リクエストを走らせることを可能にする仮想キースイッチと、
    を包含することを特徴とする請求項1の安全な産業用制御システム。
  11. 通信/制御モジュール及びアクション認証メッセージは、更に、認証シーケンスを実行するために構成されるである請求項1に記載の安全な産業用制御システム。
  12. 一つ以上の産業エレメントは、通信/制御モジュールと、入出力モジュールと、パワー・モジュールと、フィールド・デバイスと、スイッチと、ワークステーションと、または、物理的な相互接続デバイスと、
    の少なくとも一つを包含することを特徴とする請求項1の安全な産業用制御システム。
  13. 通信/制御モジュールは、
    少なくとも一つのプロセッサと、
    少なくとも一つのプロセッサによって、実行可能な命令のセットを支持している非一時的な媒体と、を含み、
    前記命令のセットは、
    アクション・オリジネータにより開始されて、アクション認証メッセージにより署名されるアクション・リクエストを受信し、
    署名されたアクション・リクエストの確実性を検査し、
    署名されたアクション・リクエストの確実性が検査されるときに、要請されたアクションを実行する
    ことを包含することを特徴とする通信/制御モジュール。
  14. 署名されたアクション・リクエストの確実性が検査されるとき、プロセッサがアクション・リクエストを走らせることを可能にする仮想キースイッチを更に含むことを特徴とする請求項11の通信/制御モジュール。
  15. 命令のセットは、署名された動きリクエストを解読する命令を更に含む請求項11に記載の通信/制御モジュール。
  16. 署名されたアクション・リクエストの確実性が検査される要請されたアクションを実行する命令は、
    通信/制御モジュールと、入出力モジュールと、パワー・モジュールと、フィールド・デバイスと、スイッチと、ワークステーションと、または、物理的な相互接続デバイスと、
    の少なくとも一つを包含している通信で結合された産業エレメントを制御する命令を包含する、ことを特徴とする請求項11の通信/制御モジュール。
  17. 要請されたアクションを認証する方法であって、
    アクション認証メッセージを有するアクション再探索に署名するステップと、
    通信/制御モジュールに署名されたアクション再探索を送るステップと、
    署名されたアクション再探索の確実性を検査するステップと、
    署名されたアクション再探索の確実性が検査されるときに通信/制御モジュールを有する要請されたアクションを実行するステップと、
    を有することを特徴とする方法。
  18. 請求項17の方法は、
    アクション認証メッセージを有するアクション再探索を暗号化するステップと、
    通信/制御モジュールを有するアクション再探索を解読するステップと、
    を更に含む方法。
  19. アクション認証メッセージが、ポータブル暗号化デバイスと、堅牢なワークステーションと、または、デバイス・ライフサイクル管理システムと、
    の少なくとも一つを備えることを特徴とする請求項17の方法。
  20. 署名されたアクション再探索の確実性が検査されるときに、通信/制御モジュールを有する要請されたアクションを実行するステップが、
    アクション再探索に従って産業エレメントを制御することを包含し、
    産業エレメントが、通信/制御モジュールと、入出力モジュールと、パワー・モジュールと、フィールド・デバイスと、スイッチと、ワークステーションと、または、物理的な相互接続デバイスと、
    少なくとも一つを包含することを特徴とする請求項17の方法。
JP2014243830A 2014-07-07 2014-12-02 産業用制御システムのオペレータ・アクション認証 Pending JP2016019281A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021160356A JP2022008660A (ja) 2014-07-07 2021-09-30 産業用制御システムのオペレータ・アクション認証

Applications Claiming Priority (8)

Application Number Priority Date Filing Date Title
US201462021438P 2014-07-07 2014-07-07
US62/021,438 2014-07-07
US14/446,412 2014-07-30
US14/446,412 US10834820B2 (en) 2013-08-06 2014-07-30 Industrial control system cable
US14/469,931 US9191203B2 (en) 2013-08-06 2014-08-27 Secure industrial control system
US14/469,931 2014-08-27
US14/519,066 US10834094B2 (en) 2013-08-06 2014-10-20 Operator action authentication in an industrial control system
US14/519,066 2014-10-20

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2021160356A Division JP2022008660A (ja) 2014-07-07 2021-09-30 産業用制御システムのオペレータ・アクション認証

Publications (2)

Publication Number Publication Date
JP2016019281A true JP2016019281A (ja) 2016-02-01
JP2016019281A5 JP2016019281A5 (ja) 2020-09-17

Family

ID=52737562

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2014243830A Pending JP2016019281A (ja) 2014-07-07 2014-12-02 産業用制御システムのオペレータ・アクション認証
JP2021160356A Pending JP2022008660A (ja) 2014-07-07 2021-09-30 産業用制御システムのオペレータ・アクション認証

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2021160356A Pending JP2022008660A (ja) 2014-07-07 2021-09-30 産業用制御システムのオペレータ・アクション認証

Country Status (4)

Country Link
EP (2) EP3823425B1 (ja)
JP (2) JP2016019281A (ja)
CN (2) CN110376990B (ja)
CA (1) CA2875515A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180129191A1 (en) * 2016-11-04 2018-05-10 Rockwell Automation Technologies, Inc. Industrial automation system machine analytics for a connected enterprise

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10764063B2 (en) * 2016-04-13 2020-09-01 Rockwell Automation Technologies, Inc. Device specific cryptographic content protection
EP3264208B1 (de) * 2016-06-30 2021-01-06 Siemens Aktiengesellschaft Verfahren zum aktualisieren von prozessobjekten in einem engineerings-system
DE102016118613A1 (de) * 2016-09-30 2018-04-05 Endress+Hauser Process Solutions Ag System und Verfahren zum Bestimmen oder Überwachen einer Prozessgröße in einer Anlage der Automatisierungstechnik
EP3460598A1 (de) * 2017-09-22 2019-03-27 Siemens Aktiengesellschaft Speicherprogrammierbare steuerung
EP4235466A3 (en) * 2019-03-27 2023-10-04 Barclays Execution Services Limited System and method for providing secure data access
EP3845984A1 (en) * 2019-12-31 2021-07-07 Schneider Electric Systems USA, Inc. Secure network of safety plcs for industrial plants
CN111865908B (zh) * 2020-06-08 2022-05-17 杭州电子科技大学 一种基于随机加密策略的资源受限系统安全通讯方法
CN114658553A (zh) * 2022-05-25 2022-06-24 广东西电动力科技股份有限公司 一种基于scada系统控制的柴油发电机组

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001292176A (ja) * 2000-04-10 2001-10-19 Fuji Electric Co Ltd 制御・情報ネットワーク統合用ゲートウェイ装置および制御・情報ネットワーク統合方法
JP2001307055A (ja) * 1999-12-28 2001-11-02 Matsushita Electric Ind Co Ltd 情報記憶媒体、非接触icタグ、アクセス装置、アクセスシステム、ライフサイクル管理システム、入出力方法及びアクセス方法
JP2005513956A (ja) * 2001-12-27 2005-05-12 フランス テレコム グループ署名のための暗号システム
JP2008538668A (ja) * 2005-04-21 2008-10-30 フランス テレコム 移動体端末装置に収容されたsimカードに接続する方法および接続装置
JP2011223544A (ja) * 2010-04-08 2011-11-04 Industry & Academic Cooperation In Chungnam National Univer (Iac) 強力なscadaシステムのハイブリッドキー管理方法及びセッションキー生成方法
JP2013021798A (ja) * 2011-07-11 2013-01-31 Mitsubishi Electric Corp 電力管理システム、エネルギー管理装置、情報管理装置、制御装置
US20140068712A1 (en) * 2012-09-06 2014-03-06 Waterfall Security Solutions Ltd. Remote control of secure installations
JP2015023375A (ja) * 2013-07-18 2015-02-02 日本電信電話株式会社 データ収集システム、データ収集方法、ゲートウェイ装置及びデータ集約プログラム

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7761910B2 (en) * 1994-12-30 2010-07-20 Power Measurement Ltd. System and method for assigning an identity to an intelligent electronic device
US20020091931A1 (en) * 2001-01-05 2002-07-11 Quick Roy Franklin Local authentication in a communication system
KR100559958B1 (ko) * 2002-12-10 2006-03-13 에스케이 텔레콤주식회사 이동통신 단말기간의 인증도구 중계 서비스 시스템 및 방법
US20050229004A1 (en) * 2004-03-31 2005-10-13 Callaghan David M Digital rights management system and method
CN100393034C (zh) * 2004-04-30 2008-06-04 北京航空航天大学 一种应用于组播通信系统中的源认证方法
CN101005359B (zh) * 2006-01-18 2010-12-08 华为技术有限公司 一种实现终端设备间安全通信的方法及装置
JP4909626B2 (ja) * 2006-04-27 2012-04-04 株式会社Kddi研究所 属性認証システム、同システムにおける属性情報の匿名化方法およびプログラム
WO2008007160A2 (en) * 2006-07-11 2008-01-17 Abb Research Ltd. A life cycle management system for intelligent electronic devices
US8213902B2 (en) * 2007-08-02 2012-07-03 Red Hat, Inc. Smart card accessible over a personal area network
EP2179364B1 (en) * 2007-08-15 2011-01-12 Nxp B.V. 12c-bus interface with parallel operational mode
JP4858360B2 (ja) * 2007-08-29 2012-01-18 三菱電機株式会社 情報提供装置
US8327130B2 (en) * 2007-09-25 2012-12-04 Rockwell Automation Technologies, Inc. Unique identification of entities of an industrial control system
US8001381B2 (en) * 2008-02-26 2011-08-16 Motorola Solutions, Inc. Method and system for mutual authentication of nodes in a wireless communication network
JP5329184B2 (ja) * 2008-11-12 2013-10-30 株式会社日立製作所 公開鍵証明書の検証方法及び検証サーバ
US20110154501A1 (en) * 2009-12-23 2011-06-23 Banginwar Rajesh P Hardware attestation techniques
BR112012017000A2 (pt) * 2010-01-12 2016-04-05 Visa Int Service Ass método
CN102546707A (zh) * 2010-12-27 2012-07-04 上海杉达学院 客户信息管理方法和管理系统
WO2013031124A1 (ja) * 2011-08-26 2013-03-07 パナソニック株式会社 端末装置、検証装置、鍵配信装置、コンテンツ再生方法、鍵配信方法及びコンピュータプログラム
KR101543711B1 (ko) * 2011-10-11 2015-08-12 한국전자통신연구원 짧은 서명을 제공하는 경량 그룹서명 방법 및 장치
US8973124B2 (en) * 2012-04-30 2015-03-03 General Electric Company Systems and methods for secure operation of an industrial controller
US20140075186A1 (en) * 2012-09-13 2014-03-13 Texas Instruments Incorporated Multiple Access Key Fob
CN103701919A (zh) * 2013-12-31 2014-04-02 曙光云计算技术有限公司 远程登录方法与系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001307055A (ja) * 1999-12-28 2001-11-02 Matsushita Electric Ind Co Ltd 情報記憶媒体、非接触icタグ、アクセス装置、アクセスシステム、ライフサイクル管理システム、入出力方法及びアクセス方法
JP2001292176A (ja) * 2000-04-10 2001-10-19 Fuji Electric Co Ltd 制御・情報ネットワーク統合用ゲートウェイ装置および制御・情報ネットワーク統合方法
JP2005513956A (ja) * 2001-12-27 2005-05-12 フランス テレコム グループ署名のための暗号システム
JP2008538668A (ja) * 2005-04-21 2008-10-30 フランス テレコム 移動体端末装置に収容されたsimカードに接続する方法および接続装置
JP2011223544A (ja) * 2010-04-08 2011-11-04 Industry & Academic Cooperation In Chungnam National Univer (Iac) 強力なscadaシステムのハイブリッドキー管理方法及びセッションキー生成方法
JP2013021798A (ja) * 2011-07-11 2013-01-31 Mitsubishi Electric Corp 電力管理システム、エネルギー管理装置、情報管理装置、制御装置
US20140068712A1 (en) * 2012-09-06 2014-03-06 Waterfall Security Solutions Ltd. Remote control of secure installations
JP2015023375A (ja) * 2013-07-18 2015-02-02 日本電信電話株式会社 データ収集システム、データ収集方法、ゲートウェイ装置及びデータ集約プログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180129191A1 (en) * 2016-11-04 2018-05-10 Rockwell Automation Technologies, Inc. Industrial automation system machine analytics for a connected enterprise

Also Published As

Publication number Publication date
CA2875515A1 (en) 2015-03-24
CN105278398A (zh) 2016-01-27
CN105278398B (zh) 2019-08-16
EP2966520B1 (en) 2020-11-25
EP3823425A1 (en) 2021-05-19
EP2966520A3 (en) 2016-06-29
EP3823425B1 (en) 2024-02-28
CN110376990A (zh) 2019-10-25
EP2966520A2 (en) 2016-01-13
CN110376990B (zh) 2022-07-15
JP2022008660A (ja) 2022-01-13

Similar Documents

Publication Publication Date Title
US11722495B2 (en) Operator action authentication in an industrial control system
US11429710B2 (en) Secure industrial control system
US20210135881A1 (en) Industrial control system redundant communications/control modules authentication
JP6425984B2 (ja) 産業用制御システム冗長通信/制御モジュール認証
JP7029220B2 (ja) 多チャネル切り替え能力を有する入力/出力モジュール
JP2016019281A (ja) 産業用制御システムのオペレータ・アクション認証
CN105531635B (zh) 安全工业控制系统
JP6960715B2 (ja) 産業用制御システムに関する安全な電源
JP2021184608A (ja) 安全な産業用制御システム
US12032675B2 (en) Secure industrial control system

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171204

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180823

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180921

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20181218

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20190221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190710

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191008

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200318

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20200720

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20200720

C11 Written invitation by the commissioner to file amendments

Free format text: JAPANESE INTERMEDIATE CODE: C11

Effective date: 20200804

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20200904

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20200907

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20201204

C211 Notice of termination of reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C211

Effective date: 20201208

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20201215

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20210405

C13 Notice of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: C13

Effective date: 20210630

C609 Written withdrawal of request for trial/appeal

Free format text: JAPANESE INTERMEDIATE CODE: C609

Effective date: 20211001