JP2017535897A - インフラストラクチャを保護するための自律制御システムおよび方法 - Google Patents

インフラストラクチャを保護するための自律制御システムおよび方法 Download PDF

Info

Publication number
JP2017535897A
JP2017535897A JP2017543314A JP2017543314A JP2017535897A JP 2017535897 A JP2017535897 A JP 2017535897A JP 2017543314 A JP2017543314 A JP 2017543314A JP 2017543314 A JP2017543314 A JP 2017543314A JP 2017535897 A JP2017535897 A JP 2017535897A
Authority
JP
Japan
Prior art keywords
input signal
control system
autonomous control
protected
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017543314A
Other languages
English (en)
Inventor
ジャスティン、ロナルド・ランス
エルデン、チャールズ
カッロ、ジャレド
タッカー、マーク
Original Assignee
テンポラル ディフェンス システムズ, エルエルシー
テンポラル ディフェンス システムズ, エルエルシー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テンポラル ディフェンス システムズ, エルエルシー, テンポラル ディフェンス システムズ, エルエルシー filed Critical テンポラル ディフェンス システムズ, エルエルシー
Publication of JP2017535897A publication Critical patent/JP2017535897A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/21Pc I-O input output
    • G05B2219/21132Window for signal

Abstract

ルールの自律行使のためのシステムは、入力信号に応じて動作する、インフラストラクチャを含む、保護されるシステムと、自律制御システムとを備えることができる。自律制御システムは、ルールの違反について入力信号をモニタするために入力信号に結合されるモニタ回路と、違反する入力信号が保護されるシステムに影響を与えることを防止する、保護されるシステムに結合されるアクション回路とを含むことができる。

Description

関連出願
この出願は、参照によって全体がこの中に組み込まれる、2014年11月6日に出願された米国仮特許出願第62/076,164号の出願日の利益を請求する。この出願は、また、参照により、その全体において、2014年10月24日に出願された米国特許出願第14/523,577号を組み込む。
図1は、本発明の実施形態に係る、保護されたシステム、自律制御システム、および、入力デバイスである。 図2は、本発明の実施形態に係る、シリアルにインターフェースされた自律制御システムである。 図3は、本発明の実施形態に係る、制御方法を示すフロー図である。 図4は、本発明の実施形態に係る、シリアルにインターフェースされた自律制御システムである。 図5は、本発明の実施形態に係る、シリアルにインターフェースされた自律制御システムの動作を示す概略図である。 図6は、本発明の実施形態に係る、シリアルにインターフェースされた自律制御システムである。 図7は、本発明の実施形態に係る、パラレルにインターフェースされた自律制御システムである。 図8は、本発明の実施形態に係る、パラレルにインターフェースされた自律制御システムである。 図9は、本発明の実施形態に係る、パラレルにインターフェースされた自律制御システムの動作を示す概略図である。 図10は、本発明の実施形態に係る、シリアルに、および、パラレルにインターフェースされた自律制御システムである。 図11は、本発明の実施形態に係る、通信バスを備えた自律制御システムである。 図12は、本発明の実施形態に係る、半導体マルチチップモジュールを含む自律制御システムである。 図13は、本発明の実施形態に係る、インタポーザPCB上で外部に設けられた自律制御システムである。 図14は、本発明の実施形態に係る、自律制御システムの耐タンパ機能を示すフロー図である。 図15は、本発明の実施形態に係る、安全な共調処理のために、ホストCPUへのシステムサービスとして自律制御システムを使用する処理フローを示す。 図16は、本発明の実施形態に係る、認証/攪乱(disrupt)/修復ロジックを有するシリアルにインターフェースされた自律制御システムである。 図17は、本発明の実施形態に係る、マルチインターフェース自律制御システムである。 図18は、本発明の実施形態に係る、メモリマッピングされた周辺機器を含むエンドポイントである。
詳細な説明
電子的、機械的、化学的、および、生物学的システムは、致命的な障害につながり得る状態または一連の状態を有し得る。このような致命的な状態は、内部の自然的な影響力、外部の偶発的な影響力、または、外部の意図的な敵対する影響力から生じる可能性がある。産業システムにおいて、遠隔の制御や監視下にある作動デバイスまたはシステムは、故障、ユーザエラー、または、悪意のある、または、敵対する行為の結果として、制御システムによって許容され得る既知の有害な状態を有し得る。作動デバイスは、全体的な関連するシステムを、そのような引き起こされる状態から、損害を被らせ、劣化させ、または、自壊させつつ、そのようなコマンドまたは制限を超えた信号を受け入れ、実行し得る。例えば、引き起こされた有害なシステム状態は、速すぎるまたは遅すぎるプロセス速度、あまりにも大きく開いたり、または、あまりにもきつく閉じたりしているバルブ、または、高すぎるか、または、低すぎる圧力または温度であってもよい。多くのデバイスは、物理的または電子的に、これらの制限を超えた動作を防止するために、独自の内部的な安全策を欠いている可能性がある。
この中で記載されるシステムおよび方法は、システムの重要なコンポーネントを保護するために、ビジネスおよび/またはセキュリティルールに従って、入力および/または出力信号を監視し、修正または遮断し得る自律的な制御を提供することができる。信号修正および/または遮断は、望まれないシステムへの影響を最小限に抑えるか、または、防止するために、デバイスまたはシステム間の、および、デバイスまたはシステム内の制限を超えた接続信号が生じない、または、重要でない量の時間の間に生じるのみであることを保証し得る。(接続状態は、物理的な層レベルで特定の瞬時における、2つまたはそれより多くのデバイスまたはシステム間の監視された信号レベルまたはコマンドであってよい。物理的な層は、例えば、生の信号が伝送されるデバイスまたはシステムの最も低いハードウェア層であってよい。)ルールに違反する信号が検出されると、自律制御システム(例えば、回路)は、内部的にそれらをスイッチオフにすることによって、違反している信号を遮断し得る。回路は、代わりに、自律制御システムによる保護下の任意のデバイスまたはシステムであり得る、保護されたシステムに、信号を送らない、または、フェイルセーフ信号を送ることができる。回路は、例えば、システムのアップグレードに設計されること、または、システムに後付けされることにより、レガシーシステムとともに使用するために構成され得る。
この中に記載されるシステムおよび方法は、プロセッサとも呼ぶことができる、1つまたは複数のコンピュータを備え得る。コンピュータは、算術および/または論理演算を実行することができる任意のプログラム可能なマシンまたは複数のマシンであってよい。いくつかの実施形態では、コンピュータは、プロセッサ、メモリ、データ記憶デバイス、および/または、他の一般的に知られているか、または、新規のコンポーネントを備え得る。これらのコンポーネントは、物理的に、または、ネットワークまたは無線リンクを介して接続され得る。コンピュータは、また、上述のコンポーネントの動作を指示することができるソフトウェアを備え得る。コンピュータは、サーバ、PC、モバイルデバイス、ルータ、交換機、データセンター、分散コンピュータ、および、他の用語等、関連する分野において通常の技量を有する者によって一般的に使用される用語で呼ばれてよい。コンピュータは、ユーザ間および/または他のコンピュータ間の通信を容易にすることができ、データベースを提供することができ、データの分析および/またはデータの変換を実行することができ、および/または、他の機能を実行する。この中で使用されるそれらの用語が置き換え可能であり、記載された機能を実行することができる任意のコンピュータが使用され得ることは、通常の技量の者によって理解される。コンピュータは、ネットワークまたは複数のネットワークを介して相互にリンクされることができる。ネットワークは、コンピュータのいくつかまたはすべてが互いに通信することが可能であるような、完全にまたは部分的に相互接続された任意の複数のコンピュータであってよい。これは、コンピュータ間の通信がある場合には有線であってよいこと(例えば、イーサネット(登録商標)、同軸、光、または、他の有線接続を介して)、または、無線(例えば、WiFi、WiMax、または、他の無線接続)であってよいことが、通常の技量を有する者によって理解される。コンピュータ間の接続は、TCP等の都度接続を確立する(コネクション指向)プロトコル、または、UDP等の、無接続型(コネクションレス)プロトコルを含む、任意のプロトコルを使用することができる。少なくとも2つのコンピュータがデータを交換し得る任意の接続は、ネットワークの基礎であることができる。
この中に記載された、いくつかの実施形態は、インターネット、または、工業制御システム(Industrial Control Systems:ICS)および/または監視制御およびデータ収集(Supervisory Control and Data Acquisition:SCADA)システムへの他のネットワーク技術を上で接続された重要なインフラストラクチャを保護することができる。例えば、自律制御システムは、ICS/SCADAシステム(例えば、制御システムと、物理的プロセスのエンドポイントアクチュエータであるか、または、インテリジェントデバイスとのインターフェースにおいて制御システムに埋め込まれたインテリジェントデバイスとの間の接続)の最も低いレベルに置かれ得る。パデュー大企業参照アーキテクチャ(Purdue Enterprise Reference Architecture:PERA)条項では、これはレベル0とレベル1のインターフェースであり、いくつかの場合では、悪意のある行為、または、物理的なプロセス上のユーザエラーやシステム誤作動に対する最後の可能な防御ラインである。
図1は、保護されるシステム100を図示する。保護されるシステム100は、入力デバイス102との通信をしている。入力デバイス102は、保護されるシステム100に信号を送り、および/または、保護されるシステム100から信号を受け取る。入力デバイスは、例えば、アナログまたはデジタル信号ポート、制御ノブ、タッチディスプレイ、キーボード、マウス、および/または、いくつかの他の周辺デバイスであってよい。入力デバイス102は、また、保護されたシステム100のためのホストデバイス、または、ネットワーク上のデバイスであってもよい。いくつかの実施形態では、保護されるシステム100は、ICS/SCADAエンドポイントであってよく、入力デバイス102は、プログラム可能な論理デバイス(programmable logic device:PLD)、フィールド・プログラマブル・ゲート・アレイ(field programmable gate array:FPGA)、複合型のプログラム可能な論理デバイス(complex programmable logic device:CPLD)等を含み得るICS/SCADAシステムインターフェースであってよい。専用監視および作動デバイス(dedicated monitoring and action device:DMAD)と呼ばれ得る自律制御システム104は、入力デバイス102と保護されるシステム100との間にシリアルに、および/または、入力デバイス102と保護されるシステム100とにパラレルに、位置付けられ得る。以下でより詳細に記載されるように、自律制御システム104の様々な実施形態は、電子回路、ソフトウェアを実行するように構成されたプロセッサおよびメモリ、または、それらの組み合わせを備え得る。自律制御システム104は、内部的に安全である(例えば、暗号化や耐タンパ能力を含む)。自律制御システム104は、また、データの流れの両方向において、入力デバイス/ホスト102と保護されるシステム100との間のデータ接続にシリアルまたはパラレルに明示され得、自律制御システム104は、保護されるシステムに来る入力信号と保護されるシステム100から来る出力信号を監視することができる。
いくつかの実施形態では、自律制御システム104は、ルールを適用する決定論的競合状態を作成し得る。決定論的競合状態は、注入された信号のみが出力に影響を与える高い確実性のレベルが存在するように、注入された信号と到来する信号との間で意図的に誘起された競合状態であってよい。ルールに違反する信号が、保護されたシステム100へ、または、保護されたシステム100から、データバス上に現れる場合、自律制御システム104は、違反を検出するために競合(race)でき、シリアルにインターフェースされる場合には、信号を内部的にオフに切り替え、フェイルセーフ信号に置き換えるか、または、パラレルにインターフェースされる場合には、信号を修正しようと企てるかのいずれかをし得る。入ってくる、および/または、出ていく信号は、より多くの検出時間を与えるためにバッファされ、正当と認められた信号のみが、自律制御システム104によって保護されるシステム100に、または、その逆に送信されることを保証し得る。
いくつかの実施形態では、自律制御システム104は、保護されたシステム100において物理的に現れ、または、ダイ上のシリコンダイ、パッケージ上の集積回路パッケージ、モジュール上のモジュール化されたシステムモジュール、光ファイバ、無線周波数、ワイヤ、印刷回路基板トレース、量子エンタングルメント、または、分子、熱、原子または化学的な接続、等の様々な方法で、保護されたシステム100または制御デバイスに物理的に接続され得る。
いくつかの実施形態では、自律制御システム104は、1つまたは複数のデバイスまたはシステム(例えば、入力デバイス102や保護されるシステム100)との間をシリアル、パラレル、または、シリアルとパラレルの両方で接続する物理的なインターフェースを含み得る。物理的な接続タイプの各々は、有機的、電子的、または、無線周波数等の所与のアプリケーションやシステムタイプのための設計上の考慮事項とトレードオフの異なるセットを有し得る。例えば、電子システム、電圧インターフェースレベル、信号の完全性、ドライブ強度、耐タンパ性、および/または、誘起される伝搬遅延が、接続方法を決定するために評価され得る。
いくつかの実施形態では、自律制御システム104は、ホストシステムまたはデバイス上で特定のセキュリティやビジネスのルールを自律的に行使するために設計され、プログラムされ、および、位置付けられ得る耐タンパ態様と暗号化されたメモリストレージを有するコンピュータシステムであってよい。自律制御システム104は、処理ロジック、メモリストレージ、入力/出力バッファ、通信ポート、および/または、再プログラミングポート等のコンポーネントを含み得る。自律制御システム104は、任意の数のデバイスまたはシステムの間のリアルタイムの接続状態を絶えず分析し得、予め定義されたビジネスやセキュリティのルールを行使し得る。範囲外の状態が検出されると、自律制御システム104は、禁止された接続状態をブロックし、無視し、または、既知の良好な状態に変更し得る。同様な方法は、例えば、電子的な、光学的な、電子−機械的な、電磁的な、熱的な、生物学的な、化学的な、分子の、重力の、原子の、または、量子力学のシステムに適用されることができる。
いくつかの実施形態では、自律制御システム104は、刺激に決定論的に応答して自律的にふるまうようにプログラムされ得るプログラム可能なデバイスを含み得る。例えば、自律制御システム104は、FPGA、マイクロコントローラ(microcontroller:MCU)、マイクロプロセッサ(microprocessor:MPU)、ソフトウェアによって定義・制御可能な無線(software-defined radio)、電気光学デバイス、量子コンピューティングデバイス、有機化合物、プログラム可能な物、または、プログラム可能な生物学的ウイルスを含み得る。自律制御システム104は、保護されるシステム100に直接に、または、保護されるシステム100上で動作する1つまたは複数の制御デバイスに接続されることができる。自律制御システム104は、ダイ上のシリコンダイ、パッケージ上の集積回路パッケージ、モジュール上のモジュール化されたシステムモジュール、光ファイバ、無線周波数、ワイヤ、プリント回路基板トレース、量子もつれ、分子、熱、原子、または、化学的手段によって等、物理的に接続され得る。
いくつかの実施形態において、自律制御システム104は、それが、保護されるシステム100が提供するよりも強力な認証方法とアクセス制御を用いてアクセスされ、または、変更され得るのみであるように、保護されるシステム100のメモリから隔離したデータ(暗号化証明書またはシステム記録等)を安全に格納することができる。例えば、自律制御システム104は、セキュリティスコアリング方法を実装するためにコンピュータシステムによって使用され得る(例えば、自律制御システム104は、セキュリティ証明書と要件情報の記憶のために使用され得る)。さらに、セキュリティスコアリング方法は、セキュリティスコア情報に基づいて、外部のリソースの妥当性確認/検証、認証、および、認可のために自律制御システム104を利用し得る。保存されたデータは、例えば、他のシステムと組み合わせて、セキュリティの完全性の検証のために使用することができる。
いくつかの実施形態では、自律制御システム104は、内部システムコンポーネント、データ、および/または、外部インターフェースデバイスの完全性と真正性を保証するために、電子的なシステムの内部に、電子的暗号公開鍵基盤(cryptographic public-key infrastructure:PKI)を実装するために使用され得る。加えて、これらの証明書は、メッセージの機密性、完全性、および/または、真正性を保証して、安全な通信のために利用し得る。例えば、電子的暗号PKIを実装し、行使する自律制御システム104は、システムの初期製造中にプログラムされ得る公開鍵またはグローバル一意識別子(Globally Unique Identifier:GUID)を含む読み出し専用メモリ(read-only memory:ROM)パーティションを含むことができる。そして、秘密鍵は、自律制御システム104の最初の起動時に、例えば、RSAおよびX.509証明書等の業界標準の暗号化方法を用いて、自律制御システム104によって内部的に生成され得る。次に、この秘密鍵は、メーカーの証明機関(certificate authority:CA)または承認された第三者CAによって署名され得る、証明書要求を生成するために使用され得る。そして、署名された証明書は、自律制御システム104のROMに安全に記憶され得る。次に、この証明書は、データのデジタル署名と暗号化/復号化を可能にするために使用され得る。電子的暗号PKIを実装する自律制御システム104は、このような機能を追加するために、電子的暗号PKIを実装しない保護されるシステム100の中に後付けすることができる。これは、加えられた安全性にために保護されるシステム100にアクセスできない場所に記憶される秘密鍵を有するという利点を有し得る。
いくつかの実施形態では、自律制御システム104は、内部の保護されるシステム100のコンポーネントが真正であり、他(内部の保護されるシステム100および/または外部入力デバイス102)のコンポーネントもPKIを実装し得、公開鍵が交換され、記憶され、認証され得ることを正当と認めるために、電子的暗号PKIとともに用いられ得る。PKIを実装する保護されるシステム100または入力デバイス102のコンポーネントが不正に干渉されていた、および、偽造バージョンで置き換えられた場合、自律制御システム104は、偽造のデバイスの署名が、非存在であるか、または、現物の署名とは異なるかのいずれかであるから、偽造を検出することが可能であり得る。
いくつかの実施形態では、自律制御システム104は、保護されるシステム100と他(例えば、外部入力デバイス102)のシステムのコンポーネント内のデータ完全性を保証するために、暗号化方法(PKI等)を利用することがでる。自律制御システムは、また、何らかの方法で変更されていないデータを保証する暗号化方法を実装することができる。加えて、データの発信元が証明され、または、正当と認められ得るので、データの真正性が保証され得る。例えば、自律制御システム104は、周辺機器に向けられるメッセージを暗号化し、周辺機器から受け取られるメッセージを検証するために、周辺機器の公開鍵を使用してもよい。
いくつかの実施形態では、自律制御システム104は、電子的暗号PKIを実装し得、仮想システムの暗号署名されたハッシュを生成し、それらのハッシュを記憶することによって、仮想マシンおよび/またはハイパーバイザ(一般に、「仮想システム」と呼ばれる)の完全性と真正性を保証することもできる。そして、自律制御システム104は、ハッシュを再計算し、それを記憶された値と比較することにより、仮想システムの真正性および完全性を検証することができる。さらに、自律制御システム104は、受け取られた任意のコマンドが保護されるシステム100に到達しないように、フルタイムで、予め定められた、または、ランダム化された時間期間で、および/または、予め定められた、または、ランダム化された持続期間の間、保護されるシステム100をエミュレートすることができ、それによって保護されるシステム100への影響を防止する。この動作のモードは、テストのために、または、実際に、悪意が保護されるシステム100において決して動かされない場合、攻撃が成功したという印象を攻撃者に与えるために、使用され得る。自律制御システム104は、禁止された接続状態、コマンド、および/または、コマンドのシーケンスが検出された場合、脅威を無力化し得る攻撃的手段を含み得る。例えば、権限のない接続がUSBポート上で検出された場合、自律制御システム104は、それに損傷を与えるか、または、無力化するために、USB周辺入力デバイス102に信号を注入し得る。
いくつかの実施形態では、自律制御システム104は、それがシステム性能と機能上に無視できる効果を有するような方法で、制御デバイスにおける第2の集積回路チップの物理インターフェースにシリアルに接続され得る集積回路チップ上の電子回路設計であってよい。同時に、第1の集積回路チップは、第2の集積回路チップへのある接続状態を禁止することができ得る。接続状態は、デジタル入/出力接続毎の電圧レベル等、所与の時間の瞬間における2つのデバイス間の接続点毎の信号レベルであってよい。代替的に、電子デバイスは、デバイスまたはシステム間の制限を超えた信号状態が生じないか、または、望まれないシステムの影響が生じないような重要でない時間量の間のみ生じるかのいずれかであることを確実にするために、1つまたは複数の電子デバイスまたはシステムと動作の間の信号レベルまたは状態のいくつかまたはすべての外部の絶え間ないモニタリングを含み得る。この方法を実装する電子デバイスは、1つまたは複数のデバイスまたはシステムの間を、シリアルに、パラレルに、または、シリアルとパラレルの両方で接続され得、独立に、または、コンピュータに実装されたセキュリティスコアリング方法を用いることを含む外部のモニタリングと制御とともに機能することができる。
いくつかの実施形態において(例えば、図4に示され、以下に記載されるように)、自律制御システム104は、ハードウェアベースのシリアルな「中間者」(“man-in-the-middle”:MITM)として動作することができる。自律制御システム104のモニタリングロジックが、信号線上の予めプログラムされた禁止された信号パターン、パケット、または、アクセスの企てを検出するまで、保護されるシステム100と入力デバイス102(例えば、周辺機器)との間の通信は正常に継続することができる。禁止された信号が検出されると、自律制御システム104は、代替信号バス(または、攪乱バス)を選択することにより、主信号バスを完全に無効にし得る。代替信号バスは、記録、攪乱、または、周辺機器からの全断のために使用することができる。例えば、保護されるシステム100に、それが攻撃下にあることを通知するために、通信が保護されるシステム100と維持される間、代替信号バスが選択され得る。そのチャネル選択線が、例えば、保護されるシステム100の中にプログラムされる特定用途モニタリングおよびアクションロジックによって制御される、内部的にパラメータ化されたマルチプレクサインスタンスを使用することにより、自律制御システム104はこの通信を維持することができる。
図2は、入力デバイス102(図示されず)と保護されるシステム100(図示されず)とのシリアル配置におけるプロセッサ100とメモリ202を備える自律制御システム104の実施形態を示す。プロセッサ200は、入力デバイス102に接続され得るノード204上で入力信号を受け取り得る。プロセッサは、保護されるシステム100に経路を取りえるノード206上で出力信号を生成し得る。メモリ202は、禁止された入力信号状態を記憶し得る。プロセッサ200は、入力信号を、禁止された入力信号状態と比較し、一致信号または不一致信号を生成することができる。入力信号は、不一致信号に応答して、保護されるシステム100に供給され得る。代替の入力信号が、一致信号に応答して、保護されるシステム100に供給され得る。代替の入力信号は、保護されるシステム100に損害を生じさせない信号であってよい。例えば、保護されるシステム100のモータに最高速で動作するよう指示する、保護されるシステム100への入力は、特定プロセスの動作に有害であり得、許容されるべきではない。そのようなコマンドが入力デバイス102から入力された場合、自律制御システム104は、信号を奪い、権限を与えられない状態を防ぐために、直ちにアクションを取り得る。この例では、自律制御システム104は、速度選択全体を支配して、以前の権限を与えられた速度選択を維持する保護されるシステム100に、好適な信号を送り得る。加えて、自律制御システム104は、記録エントリを作成し、または、権限のない接続状態が企てられたとの警告を送ることができる。自律制御システム104の応答は用途依存であってよく、事前にプログラムされてもよい。自律制御システム104は、また、例えば、現在の速度を保つ代わりに、物理的プロセスを停止するようにプログラムされ得る。
図3は、本発明の実施形態に係る制御方法を示すフロー図である。この図は、上述のシリアル自律制御システム104の実施形態についての例示的なプロセスフローを表す。例示的なプロセスフローは、図2のプロセッサ200およびメモリ202を含んでも含まなくてもよい、以下に記載される追加のシリアルおよび/またはパラレル自律制御システム104の実施形態に適用することができる。自律制御システム104は、保護されるシステム100と入力デバイス102との間の接続状態をモニタする(1405)。状態は、それが制限を超えるかどうかを決定するためにチェックされ得る(例えば、上記図2の例からは最大速度コマンド)(1410)。状態が許されている場合、モニタリングは、通常通り継続する(1405)。状態が制限を超える場合、自律制御システム104は、その状態に対してアクションをとる(例えば、指令された速度よりも低い速度に速度を設定することにより、または、その現在の速度を維持するように保護されるシステム100に指示することにより)(1415)。自律制御システム104は、その介入が、保護されるシステム100を、許容される状態に設定したか、または、修復したか否かを決定し得る(1420)。例えば、自律制御システム104は、モータが、何ら損傷が起こらず、実際により低い速度に戻ったか否かを決定することができる。保護されるシステム100がOKであれば、モニタリングが通常通り継続し得る(1405)。しかし、いくつかの場合には、保護されるシステム100を許容される状態に戻すことは不可能であり得る。例えば、保護されるシステム100がロックされ、自律制御システム104が介入する前に、それがアンロックコマンドを受けた場合(例えば、以下の図7に関して記載されたパラレル配置において)、ロックによって制御されるドアが既に開かれている可能性がある。ロックを再び締めることはこの状態を修正しない。この場合、保護されるシステム100は、さらなる外部入力から隔離され得、警告が発せられ得る(1425)。
図4は、本発明の実施形態に係る、保護されるシステム100と入力デバイス102との間のシリアルインターフェースに接続された自律制御システム104のブロック図である。この実施形態は、上述の図2の実施形態と同様に機能することができるが、自律制御システム104内に、プロセッサ200とメモリ202に加えて、および/または代わりに、他のエレメントを有する。この例では、自律制御システム104は、モニタリングロジック140を提供するPLDまたは他のデバイス(例えば、回路、プロセッサ、等)を含み得る。モニタリングロジック140は、通常、保護されるシステム100と周辺機器102との間で、双方向マルチプレクサ(multiplexor:MUX)160を介してすべての信号を渡し得る。また、モニタリングロジック140を提供するPLD、回路、または、プロセッサの一部であってもよい、または、モニタリングロジック140から分離してもよい(例えば、別個のPLD、回路、プロセッサ、等)、制御ロジック150を提供するモニタリングおよびアクション回路に、同じ信号が供給され得る。この図に示された実施形態は、自律制御システム104のハードウェアベースのシリアル「中間者」(“man-in-the-middle”:MITM)実装である。この実施形態では、保護されるシステム100と周辺機器102との間の通信は、モニタリングロジック140が、信号線上で、予めプログラムされた禁止された信号パターン、パケット、または、アクセスの企てを検出するまで、通常通り継続し得る。禁止された信号が検出されると、自律制御システム104における制御ロジック150は、記録、攪乱、または、周辺機器102からの全断のために代替の内部入/出力バスを選択することにより、主周辺入/出力バスを完全に無効にすることができる。保護されるシステム100に、それが攻撃下にあることを通知するために、通信が自律制御システム104とで維持されるが、この方法が自律制御システム104に実装され得る。自律制御システム104は、そのチャネル選択線が、保護されるシステム100の中にプログラムされる、用途特定モニタリングおよびアクションロジックによって制御される、内部のパラメータ化されたマルチプレクサインスタンスを使用することによって、この通信を維持することができる。
図4の自律制御システム104は、保護されるシステム100の内部または外部であり得る、保護されるシステム100−CPUと接続された周辺機器102との間で、物理的な層でシリアルに接続され得る。通信バスは、モニタロジックと、所与の用途のためのルールに違反する信号を検知するようプログラムされるMUX160とを備える自律制御システム104を通して通じ得る。このような信号が検出されると、自律制御システム104は、信号を保護されるシステム100に到達することから止めるか、または、少なくとも、信号が、プロセスのために望ましくない時間の長さの間、保護されるシステム100に行使することを防止するか、をし得る。図4の例において、バスAは、保護されるシステム100−CPUと周辺機器102との間で、自律制御システム104を介して通常に経路を取り得、保護されるシステム100−CPUへの/からの信号を搬送することができる。そうすることにおいて、バスAは、自律制御システム104の出力マルチプレクサを通して経路を取りえる。バスAまたはBが保護されるシステム100に到達するかは、マルチプレクサの「S0」制御ポートによって決定され得る。S0ポートが論理0である場合、バスAが通じ得る。S0ポートが論理1である場合、バスBが通じ得る。バスBの各線の値は、ルールを行使するよう構成され得る自律制御システム104の状態マシン制御ロジック150によって制御され得る。この例では、S0は、バスAの線の全てが[high」であると、論理1にアサートし得る。4入力ANDゲートは、応答してバスBに切り替えるために、S0切り替えることができる。ANDゲートは、ハードウェアゲートであってもよく、ハードウェアANDゲートを介する伝搬時間はナノ秒のオーダーであり得、そのため、ほぼ瞬時の切り替えが実行され得る。S0は、また、S0を供給する2入力ORゲートを介して、自律制御システム104の状態マシンロジック150によって直に制御され得る。自律制御システム104の複数のインスタンスは、様々なインターフェース上での様々なルールを行使するために、保護されるシステム100と入力デバイス102の様々な入力および/または出力との間に介在させられ得る。
また、図4に示されるのは、データを記憶し、暗号化し得る安全なメモリである。メモリは、ホストCPUへの自律制御システム104のシステムサービスとして使用されることができ、および/または、安全なアプリケーションまたは外部の周辺機器から読み出され得るルール違反イベントの記録等、ホストCPUから隔離されたデータを含むことができる。
モニタされる線についての自律制御システム104を通した引き起こされた信号の伝搬遅延が、システムタイミング要件にとって無視することができるとの特徴をもったプログラム可能なロジックデバイスを使用して、図4の例に示された自律制御システム104はシリアルインターフェースに配置され得る。自律制御システム104におけるPLDは、小さい量の伝搬遅延、例えば、20ナノ秒のオーダーの遅延、を加える通常の「通過(pass-through)」モードを含み得る。加えられた遅延は、多くのシステムにとって重要でなくあり得、したがって、通常のシステム動作に影響を与え得ない。
図4の例に示された自律制御システム104のシリアルインターフェースは、耐タンパ対策として、保護されるシステム100を電気的に隔離するために、周辺機器102から保護されるシステム100を部分的にまたは簡単に切断することができ得る。そして、自律制御システム104は、攻撃している、または、故障している周辺機器102に、攻撃、防御、または、診断/修復の信号を出力し得、または、単に状態を保持し得る。
図5は、本発明の実施形態に係る、権限のない接続を防止するシリアルインターフェースを備えた電子的自律制御システム104の動作を示す概略図である。自律制御システム104は、速度選択入力デバイス(周辺機器102)と物理的プロセスに適用するために2値に符号化された速度を受け入れる作動装置(保護されるシステム100)との間に配置され得る。自律制御システム104は、入力をモニタするために、モニタリングロジックを含み、それらをマルチプレクサ(multiplexer:MUX)またはスイッチ160に渡し得る。入力が許容される場合、それらはMUX160から保護されるシステム100に進み得る。入力が許容されない場合、状態マシンモニタおよび制御アクションロジック150が介入し、MUX160に対し、状態マシンモニタおよび制御アクションロジック150によって生成された出力を、代わりに、保護されるシステム100に渡させるようさせ得る。この例では、2値「1111」で表される最高速度は、特定プロセスの動作に有害であり、許容されるべきではない。図5に示されたデバイスは、広範囲の異なる機能をエンコードする多数の接続状態をモニタし、それら応じて動作するように規模変更され得る。この例における自律制御システム104は、また、例えば、最低から最高までの許容される速度を直ちにジャンプする等の速度選択の権限のないシーケンスを防止するようにプログラムされ得る。自律制御システム104のロジックは用途特定であり、そのため、「1111」はこの例では禁止された入力であるが、他の入力が、他の実施形態では禁止されてもよい。自律制御システム104への入力は、この例の4ビットの実施形態に限定されるものではない。
図5.1において、速度選択バスは、自律制御システム104を通して、および、自律制御システム104の「バススイッチ」を介して作動デバイス上に、信号をシリアルに渡す。自律制御システム104は、プログラム可能な権限を与えられない速度について速度選択バス(接続状態)をモニタし、この例ではバススイッチを制御するというように、予めプログラムされたアクションをとることができる。図5.1において、選択された速度は権限を与えられた速度であり、したがって、自律制御システム104は、選択を、作動デバイスに通過させることを許可する。
図5.2は、不注意で、または悪意をもって、のいずれかで、入力デバイス102を介して自律制御システム104に送信される、速度用の権限のない信号、「1111」、を示す。自律制御システム104は、信号を奪い、権限のない状態を防ぐために直ちに動作を取ることができる。この例では、自律制御システム104は、自律制御システム104が、速度選択全体を支配し、以前に権限を与えられた速度選択を維持する保護されるシステム100への適切な信号を送るようにバススイッチを切り替えるために、予めプログラムされたアクションロジックを含み得る。加えて、自律制御システム104は、記録エントリを作成したり、または、権限のない接続状態が企てられたことの警告を送ったりすることができる。自律制御システム104の応答は用途依存であってよく、事前にプログラムされてもよい。自律制御システム104は、また、例えば、現在の速度を保つ代わりに、物理的プロセスを停止するようにプログラムされてもよい。
図5.3は、入力デバイス102が、権限が与えられた速度を選択するようにユーザまたは制御システムによって再調整されたときに、自律制御システム104のロジックが、デフォルトの定常状態の位置に戻るようにバススイッチを切り替えることにより、制御を入力デバイス102に切り替え戻し得ることを示す。
図6は、図5の実施形態と同様だが、ハードウェアロジックの代わりにプロセッサ200とメモリ202とを有した自律制御システム104の実施形態を示す。この実施形態では、ノード204上の入力信号は、リンク300を介して、プロセッサ200に経路をとられる。プロセッサ200は、入力信号を、メモリ202に記憶された禁止された入力信号状態と比較し、一致信号または不一致信号を生成することができる。プロセッサ200は、MUX304を制御し得る、線302上の選択信号を生成し得る。選択信号は、不一致信号の場合には、線204上の信号が、マルチプレクサ304を通して保護されるシステム100に通過することを許可し得る。一致信号の場合には、代替の入力信号が線306に与えられ得、線302上の選択信号が、MUX304を通して代替の入力信号を通過させ得る。
図7は、本発明の実施形態に係る、保護されるシステム100にパラレルインターフェースで接続されたプログラム可能なロジックデバイス(programmable logic device:PLD)を含む、自律制御システム104のブロック図である。保護されるシステム100の入力および/または出力は、自律制御システム104におけるPLDの入力を介して、または、自律制御システム104内に埋め込まれたプロセッサを介して、モニタされ得る。図5に示された実施形態において、自律制御システム104は、保護されるシステム100に、パラレルインターフェースで接続され得、入力をモニタし、出力への状態を内部的に変更し、必要のされる追加の接続なしに攪乱を引き起こすことはできる少なくとも1つの双方向信号ドライバを含み得る。ドライバは、ドライバのスイッチ160を介して受け取られた入力をモニタするために、モニタロジック140に結合され得る。入力が許可される場合、ドライバはその状態を維持し得る。入力が許可されない場合、アクションロジック150は、例えば、「接地」または「high」の信号であってもよい、アクションバス出力にスイッチ160を動かす。保護されるシステム100と周辺機器102との間の通信は、モニタリングロジックが、シリアルインターフェースの上記例にあったように、権限を与えられない信号パターン、パケット、または、アクセスの企てを検出するまで、通常通りに進行し得る。パラレル構成では、制御ロジックは、記録、攪乱、または、周辺機器102からの全断のために代替の入/出力経路において切り替えることによって、入/出力バスを内部的に再経路付けし、または、切断することはできない。代わりに、保護下にあるデバイス100への信号は、スイッチ160によって、「接地」されるか、または、「high」に設定される。しかし、パラレルのアプローチは、伝搬遅延が許容されないことがあり得る、通信および信号速度をもった非常に高速なシステム(例えば、ギガヘルツ(GHz)範囲で動作するシステム)にとって有用であり得る。さらに、パラレルの自律制御システム104は、それがそれ自身を通して信号を通過させる(入力毎に一致有無出力を必要とする)必要がないので、シリアルインターフェースより全体的に少ない入/出力接続しか必要としない。
図8は、保護されるシステム100へのパラレルインターフェースに接続され、および、入/出力攪乱を引き起こすための企てにおいてコマンドが出されたときに論理「high」または「low」に切り替え得る、(図7のスイッチに代わる)自律制御システム104からの周辺バスに接続された少なくとも1つの3状態出力(tri-state output)160を含む、自律制御システム104の実施形態のブロック図である。この3状態出力は、双方向の入/出力インターフェースを持たない自律制御システム104のために使用され得る。
図9は、本発明の実施形態に係る、パラレルインターフェースを備えた電子的自律制御システム104の動作を示す概略図である。自律制御システム104は、入力デバイス102と保護されるデバイス100との間の信号が、自律制御システム104を直接に通過しないパラレルインターフェースを含み得る。代わりに、自律制御システム104は、図9.1に示されたような入力信号をモニタするために、電気的に高インピーダンスの入力で、各線のタップオフができる。権限が与えられない入力の企てがなされると、パラレル自律制御システム104は、ホストバスを上書きするのに適したドライブ−強度(電流シンクおよびソース)を有する出力バスにバススイッチを切り替えることにより、権限のない入力を攪乱し得る。図9.2の例において、線 Speed_Sel_3を内部で「接地」することは、それが、入れ替わって最高速のプロセス速度を選択する論理「high」の状態に達することを防止し得る。図9.2において、自律制御システム104は、自律制御システム104のアクションバス出力からの介入なく、入力デバイス102からの入力をモニタするために、周期的に、バススイッチを「位置3」に切り替え戻し得る。自律制御システム104が、権限を与えられない速度が選択されたことを検出すると、それは、図9.3に示されるように、定常状態に戻って動くことができる。パラレルインターフェースを備えた自律制御システム104は、シリアルインターフェースを備えた自律制御システム104とは異なり、信号を同時にモニタしなくてもよい。
図10は、自律制御システム104が、シリアルおよびパラレルの両方のインターフェースを利用する保護されるシステム100に接続される実施形態のブロック図である。シリアルインターフェースは、モニタロジック140A、アクションロジック150A、および、スイッチ160Aを含む。パラレルインターフェースは、モニタロジック140B、アクションロジック150B、および、スイッチ160Bを含む。この実施形態では、ある通信経路が、通常のシステム動作を劣化させることなくシリアルに通るには速すぎる場合、それらの回路は、パラレルインターフェースによって扱われ得る。より遅い経路は、シリアルインターフェースによって扱われ得る。
図11は、インターフェースにかかわらず、自律制御システム104が、自律制御システム104と保護されるシステム100との間の通信バス170を含む実施形態のブロック図である。通信バス170は、自律制御システム104の機能が、悪意のある、または、権限が与えられない意図が検出された場合に、保護されるシステム100を任意にフラグ付けすることを可能にし得る。通信バスは、また、記録、警告、または、少なくとも1つの周辺機器102を非動作にするための、自律制御システム104の機能を可動にする。さらに、通信バス170は、自律制御システム104が、自律的にイベントを記録し、コンピュータに実装されたセキュリティスコアリングシステムにそのようなイベントを報告することを可能にし得る。
図12は、自律制御システム104が、積層された、または、平面のアレイにおいて機能的に接続された少なくとも2つの相互接続されたプロセッサダイを含み得る、半導体マルチチップモジュールを含む実施形態の図である。モジュールは、印刷回路基板(printed circuit board:PCB)に直接搭載する単一の半導体パッケージの内側の中継(インタポーザ:interposer)基板および/またはダイレクトワイヤボンディング(direct wire bonding)を含み得る。この配置は、悪意のタンパに対する保護を提供することができる、自律制御システム104を可視的に検出することを困難にし得る。
図13は、自律制御システム104が、保護されるシステム100の上または下のいずれかで積層に機能的に配置され得るカスタムソケットアセンブリを含み得る、中継PCB上に外付けされる実施形態の図である。この実施形態では、自律制御システム104は、既存のCPUを安全にし、CPUのために作られた既存のマザーボードとソケットを使うために使用され得る。この実装は、それが、実装を形成するために、2つの個別にパッケージされたコンポーネントを接続することを含むので、パッケージオンパッケージ実装と呼ばれ得る。
いくつかの実施形態では、自律制御システム104は、保護されるシステム100を含み得る印刷回路基板(printed circuit board:PCB)上に表面実装され得る電子回路を含み得る。自律制御システム104は、例えば、1つまたは複数のPCBトレース、フライングリード、同軸ケーブル、または、光ファイバを使用する保護されるシステム100に動作可能に接続され得る。
いくつかの実施形態では、自律制御システム104は、保護されるシステム100上に動作可能に搭載され得る、モジュール積層可能な単一基板コンピューティングプラットフォームを含むことができる。例えば、プラットフォームは、PC104、EPIC、EBX、ラズベリーパイ(Raspberry Pi)、Parallella、パッケージオンチップ(package on chip:POC)、または、同様のモジュールコンピューティングプラットフォームであってよい。この実施形態において、自律制御システム104は、モジュールのコンピューティングスタックヘッダに付随し、上述された安全化機能を実行することができるモジュールキャリアを含み得る。これは、モジュールオンモジュール実装と呼ばれ得る。
図14は、本発明の実施形態に係る、自律制御システム104の耐タンパ態様を示すフロー図である。上述されたように、データは、自律制御システム104の暗号の耐タンパチェックを可能にするために記憶され得る。定期的に、または、ユーザ要求に応じて、耐タンパチェックが開始され得る(1305)。自律制御システム104は、秘密鍵を用いて、自律制御システム104と通信状態にあるシステム(即ち、自律制御システム104のチェックを実行するシステム)へのメッセージに署名し得る(1310)。チェックを実行するシステムは、署名を正当と認めるための企てをし得る(1315)。署名が無効である場合、自律制御システム104が不正な干渉をされている可能性があることを示して、警告が生成され得る(1320)。署名が有効である場合、チェックを行うシステムは、秘密鍵を用いてメッセージに署名する(1325)。自律制御システム104は、署名を正当と認めるための企てを行い得る(1330)。署名が無効である場合、チェックを行っているシステムが干渉されている可能性があることを示して、警告が生成され得る(1335)。署名が有効な場合、タンパチェックはすべて安全であること(即ち、チェックするシステムと自律制御システム104との両方がタンパなしであり得る)と宣言することができる(1340)。したがって、自律制御システム104は、別のシステムをチェックし、相互の安全性を提供するために、当該システムによりチェックされ得る。
図15は、本発明の実施形態に係る、安全な共処理のためのホストCPUへのシステムサービスとして自律制御システム104を使用するプロセスフローを示す。自律制御システム104に関して上述されたアーキテクチャは、また、自律制御システム104のプロセッサが、自律制御システムの複数のインスタンスを有し得るので、ホストCPUへのシステムサービスとして、安全な処理を可能にし得る。本実施形態では、自律制御システム104は命令を受け得る。自律制御システム104は、自律制御システム104のメモリサブシステムに関連付けられたメモリの中に在る予めプログラムされたオペレーションコード(opcode)への一致を見出すために、コンパイラによって機械語に低減された(例えば、入力デバイス102から)受け取られた命令、または、オペレーションコードを比較し得る。一致がある場合、自律制御システム104は、オペレーションコードの予めプログラムされた機能を実行し得(1515)、保護されるシステム100は、オペレーションコードを受け取らない。自律制御システム104は、安全にされた記憶装置をアクセスし(1520)、結果を戻す(1525)。代替的に、自律制御システム104の予めプログラムされたメモリの中で受け取られたオペレーションコードへの一致がない場合、オペレーションコードが実行のために保護されるシステムに渡され得(1530)、保護されるシステム100は結果を戻し得る(1535)。入力デバイス102上で実行する自律制御システム104とともに働くよう特別に設計されたソフトウェアアプリケーションは、自律制御システム104の安全な共処理機能にアクセスするために、自律制御システム104の特定のオペレーションコードまたは命令セットを含むことを必要とされ得る。例えば、そのような自律制御システム104の特定のオペレーションコード、または、一連のオペレーションコードが、データセット上の暗号署名を要求することができたとしたら、プロセッサ200は、そのデータセット上で暗号ハッシュをまず行うことによって応答し得る。そして、プロセッサ200は、(安全にされた記憶装置202に記憶された)その暗号化鍵を用いて、ハッシュされたデータセットにデジタル的に署名し、その後、入力デバイス102を介して問題となったオペレーションコードを生成していた自律制御システム104の特定のアプリケーションに署名されたデータセットを戻し得る。
図16は、本発明の実施形態に係る、認証/攪乱/修復ロジックを有する、シリアルにインターフェースされた自律制御システムである。自律制御システム104は、ICS/SCADAネットワーク102と保護されるエンドポイント100との間でシリアルにインターフェースされ得る。自律制御システム104は、認証/攪乱/修復ロジック1610および/または安全にされたメモリ1620を含み得る。安全にされたメモリ1620は、例えば、電子的暗号PKI、秘密鍵、デジタル真正性、および/または、セキュリティスコア証明書を保持し得る。そのような証明書は、外部デバイスとシステムコンポーネントとのメッセージをデジタル的に署名し、暗号化するために使用され得る。例えば、ICS/SCADAインターフェースデバイス102および/または保護されるエンドポイント100がPKIを実装する場合、自律制御システム104は、2つのデバイスが接続することを許可する前に、真正性を保証し得る。また、PKIを有する自律制御システム104は、同様のPKIを実装する他のデバイスとの暗号化された通信を行い得る。
双方向のバスインターフェースは、自律制御システム104の認証/攪乱/修復ロジック1610からICS/SCADAデバイス102までに与えられる。このロジック1610とバスは、モニタロジック140が望まれない接続状態を検出すると、上述された認証対策のために、および/または、さらなる攻撃または防御対策のために使用され得る。例えば、望まれない接続状態が検出された場合、認証/攪乱/修復ロジック1610は、保護されるエンドポイント100をエミュレートし得る。アクションロジック150は、望まれない接続状態の企ての間、(例えば、上記されるように、用途のために適切な以前の状態または新しい状態を保つことにより)保護されるエンドポイント100の制御を引き受け得、認証/攪乱/修復ロジック1610は、保護されるエンドポイント100があたかも状態を変化させたかのごとく、期待された応答をISC/SCADAデバイス102に送ることによって、保護されるエンドポント100をエミュレートし得る。安全性/根本原因分析の監査が、望まれない接続状態の企ての意図は誤りからのものであったか、または、悪意を持ったものであったかを推測するために、さらなるコマンドを記録するために行われ得る。また、安全性/根本原因分析は、安全性違反に起因してエミュレータと現在通信していることをSCADA/ICSデバイス102に通知するために、SCADA/ICSデバイス102に応答またはエラーメッセージを送ることにより、保護されるエンドポイント100を既知の良好な状態に回復するのを助けるために使用され得る。自律制御システム104は、保護されるエンドポイント100に接続された外部の暗号化されたインターフェースバス1630を含み得る。いくつかの実施形態では、自律制御システム104は、安全性/根本原因分析を実行している間、インターフェースバス1630を介して、保護されるエンドポイント100の動作を停止することができる。他の実施形態では、最後の権限を与えられた接続状態(例えば、最後の許容され得るコマンドから生じた状態)が、安全性/根本原因分析の間に保持され得る。
図17は、本発明の実施形態に係る、マルチインターフェース自律制御システムである。自律制御システム104は、シリアルおよびパラレルインターフェースの両方を介して、保護されるエンドポイント100に接続され得る。上述されるように、これは、ある通信経路が、通常のシステム動作を劣化させることなくシリアルに通るには速すぎる場合に有用であり得る。これらの高速通信経路は、自律制御システム104の通常は高インピーダンスの攪乱出力へのパラレル接続を与えられる。また、シリアルおよびパラレルインターフェースは、信号が自律制御システム104にとって高すぎる電圧レベルを持つとき、使用され得る。例えば、いくつかの実施形態における自律制御システム104は、5ボルト(V)またはそれより小さい信号上で動作し得る。自律制御システム104は、入力デバイス102Aとエンドポイント100A間の通信が、低電圧スイッチ160Aで許可または禁止され得るように、低電圧入力デバイス102Aと低電圧の保護されるエンドポイント100Aと直列に接続され得る。また、自律制御システム104は、入力デバイス102Bとエンドポイント100Bとの間の通信が、高電圧スイッチ160Bで許可または禁止され得るように、高電圧入力デバイス102Bと高電圧エンドポイント100Bと並列に接続され得る。シリアルおよびパラレルインターフェースは、一般的に、他の実施形態に関して上述されたように機能し得る。しかし、自律制御システム104が、パラレル線上で信号をモニタすることを可能とするために、レベルシフタ1700(例えば、抵抗ラダー、光結合素子、等)が、パラレル線とモニタロジック140との間に配置され得る。レベルシフタ1700は、より高い電圧を降圧し得、したがって、自律制御システム104は、それ自体に損傷を与えることなく、安全にモニタし、パラレルインターフェースに応じて動作することができる。望まれない接続状態が検出されると、自律制御システム104は、図17に示された絶縁されたゲートバイポーラトランジスタ(insulated gate bipolar transistor:IGBT)160B等の高電力スイッチを使用することによって高電圧バス全体をショートし得る。いくつかの実施形態では、レベルシフタ1700を備える自律制御システム104は、例えば、システムにおけるモニタリングのために利用可能な唯一の信号が高電圧信号であるとき、並列のみで接続され得る。
図18は、本発明の実施形態に係る、メモリマップされた周辺機器を含むエンドポイントである。自律制御システム104は、様々なパラレルインターフェースであってよい、メモリマップされた入/出力を使用するICS/SCADAエンドポイント100におけるメモリマップされた周辺機器としてインターフェースされ得る。
ICS/SCADAデバイス102は、エンドポイント100のCPU1800と通信することができる。この実施形態において、自律制御システム104は、バス通信を聴取し、その通信から、どの周辺機器1810A、1810B、1810Cがアクセスされているか、それらは何をするように指示されているかを決定し得る。望まれない接続状態が検出されると、自律制御システム104は、バスと競合する(即ち、上述されたように信号を無視する)ことによって、または、CPU1800に割り込み、悪い状態であることをそれに知らせることによって、のいずれかで動作し得る。この実施形態における自律制御システム104は、自律制御システム104が、アドレス空間において周辺機器1810A、1810B、1810Cを自律的にモニタし、直接制御することができる、IBM POWER8のコヒーレントアクセラレータプロセッサインターフェース(Coherent Accelerator Processor Interface:CAPI)バス等のメモリマップされたスキームで使用され得る。
様々な実施形態が上記されたが、それらは例示によるもので限定ではなく提示されていることが理解されるべきである。真髄や範囲から逸脱することなく、形態や細部における様々な変更がその中でなされることができることが、関連の技術において技量を有する者には明らかである。実際には、上の記載を読んだ後、どのように代替の実施形態を実装するかは、関連技術に技量を有する者に明らかである。
加えて、機能性および利点を強調する任意の特徴は、例示の目的のみのために提示されることが理解されるべきである。開示された方法およびシステムは、それぞれ、それらが、示されたもの以外の方法で利用され得るように、十分に柔軟で構成可能である。
「少なくとも1つ(at least one)」の用語がしばしば明細書、特許請求の範囲、および、図面において使用されるが、「a」、「an」、「the」、「said」等の用語も、また、明細書、特許請求の範囲、および、図面中の「少なくとも1つ(“at least one”または“the at least one”)」を意味する。
最後に、「のための手段(means for)」または「のためのステップ(step for)」の明示的な文言を含む請求項のみが、米国特許法112条(f)項(35 U.S.C. 112(f))に基づいて解釈されることが出願人の意図である。「のための手段(means for)」または「のためのステップ(step for)」の語句を明示的には含まない請求項は、米国特許法112条(f)項(35 U.S.C. 112(f))に基づいて解釈されるべきではない。
最後に、「のための手段(means for)」または「のためのステップ(step for)」の明示的な文言を含む[Cのみが、米国特許法112条(f)項(35 U.S.C. 112(f))に基づいて解釈されることが出願人の意図である。「のための手段(means for)」または「のためのステップ(step for)」の語句を明示的には含まない[Cは、米国特許法112条(f)項(35 U.S.C. 112(f))に基づいて解釈されるべきではない。
以下、本願出願当初の特許請求の範囲に記載された発明を付記する。
[C1]
ルールの自律的行使のためのシステムであって、
入力信号に応答して動作するIndustrial Control Systems(ICS)および/またはSupervisory Control and Acqusition(SCADA)のネットワークの物理的な信号インターフェースにおいて保護されるシステムと
前記ルールの違反について前記入力信号をモニタするために前記入力信号に結合されるモニタ回路と、前記保護されるシステムに結合され、違反する前記入力信号が前記保護されるシステムに影響を与えることを防止するアクション回路とを含む自律制御システムと、
を備えるシステム。
[C2]
前記入力信号は、前記アクション回路を通り、前記モニタ回路が前記ルールに違反する入力信号を検出すると、前記アクション回路によって、前記保護されるシステムに到達することからブロックされる、[C1]に記載のシステム。
[C3]
前記自律制御システムは、前記保護されるシステムと並列に、前記入力信号に結合される、[C1]に記載のシステム。
[C4]
前記モニタ回路と前記アクション回路は、
前記ルールを記憶するためのメモリと、
前記入力信号を受け取り、前記入力信号に前記ルールを適用し、前記ルールに違反する入力信号が前記保護されるシステムに影響を与えることを防止するプロセッサと、を含む、[C1]に記載のシステム。
[C5]
前記アクション回路は、違反する入力信号に応答して、入力信号を代替信号に置き換える、[C1]に記載のシステム。
[C6]
前記代替信号は、前記保護されるシステムに対し、違反する入力信号を与えようとする企てを示す、[C5]に記載のシステム。
[C7]
前記アクション回路は、違反する入力信号に応答して、前記保護される回路を非動作にする、[C1]に記載のシステム。
[C8]
前記自律制御システムは、メモリを含み、
前記自律制御システムは、違反する入力信号を前記メモリに記憶する、
[C1]に記載のシステム。
[C9]
前記アクション回路は、
前記入力信号を受け取り、ルールの無違反が検出されることに応答して、前記入力信号を前記保護されるシステムに渡すマルチプレクサ
を含む、[C1]に記載のシステム。
[C10]
前記マルチプレクサは、前記ルールに違反する前記入力信号に応答して、代替信号を前記保護されるシステムに与える、[C9]に記載のシステム。
[C11]
前記アクション回路は、前記入力信号の少なくとも第1の入力信号について、前記保護されるシステムと直列に、および、前記入力信号の少なくとも第2の入力信号について、前記保護されるシステムと並列に、接続される、[C1]に記載のシステム。
[C12]
前記保護されるシステムと前記自律制御システムとの間に配置された通信バスをさらに含み、
前記自律制御システムは、前記通信バス上で前記ルールに違反する入力信号に応答して、前記保護されるシステムに信号を送る、
[C1]に記載のシステム。
[C13]
前記自律制御システムは、前記保護されるシステムと共通のパッケージに含まれる、[C1]に記載のシステム。
[C14]
前記自律制御システムは、前記自律制御システムに配置された制御システム秘密鍵を含み、
前記自律制御システムは、前記制御システム秘密鍵を用いてメッセージに署名し、ソースに対して制御システム署名がされた前記メッセージを送り、
前記ソースは、前記自律制御システムが不正に干渉されているかを決定する、[C1]に記載のシステム。
[C15]
前記ソースは、前記ソースに配置されたソース秘密鍵を含み、
前記ソースは、前記ソース秘密鍵を用いてメッセージに署名し、ソース署名された前記メッセージを前記自律制御システムに送り
前記自律制御システムは、前記ソースが不正に干渉されているかを決定する、[C14]に記載のシステム。
[C16]
前記モニタ回路は、前記ルールの違反について出力信号をモニタするために、前記保護される回路の前記出力信号に結合され、
前記アクション回路は、違反する出力信号に応答して、前記出力信号の散布を防止する、
[C1]に記載のシステム。
[C17]
前記自律制御システムは、前記保護されるシステムによって利用されるものより強力なアクセス制御を行使する、[C1]に記載のシステム。
[C18]
前記自律制御システムは、前記保護されるシステムの物理的な層に接続される、[C1]に記載のシステム。
[C19]
保護されるシステムを保護するための方法であって、
ルールに違反する入力信号について、入力信号を供給するIndustrial Control Systems(ICS)および/またはSupervisory Control and Acqusition(SCADA)のネットワークに結合される自律制御システムのモニタ回路を用いて、前記保護されるシステムへの前記入力信号をモニタすることと、
前記保護されるシステムに結合される前記自律制御システムのアクション回路を用いて、違反する入力信号が前記保護されるシステムに影響を与えることを防止することと、を備える方法。
[C20]
アクション回路が、前記ルールに違反する入力信号を検出する前記モニタ回路に応答して、前記保護されるシステムへの入力信号をブロックすることをさらに備える、[C19]に記載の方法。
[C21]
前記自律制御システムを、前記保護されるシステムと並列に、前記入力信号に結合することをさらに備える、[C19]に記載の方法。
[C22]
前記モニタ回路と前記アクション回路のメモリに前記ルールを記憶することと、
前記モニタ回路と前記アクション回路のプロセッサが、前記入力信号を受け取り、前記入力信号に前記ルールを適用し、前記ルールに違反する入力信号が前記保護されるシステムに影響を与えることを防止することと、
をさらに備える、[C19]に記載の方法。
[C23]
前記アクション回路が、違反する入力信号に応答して、入力信号を代替信号に置き換えることをさらに備える、[C19]に記載の方法。
[C24]
前記代替信号は、前記保護されるシステムに対し、違反する入力信号を与えようとする企てを示す、[C23]に記載の方法。
[C25]
前記アクション回路が、違反する入力信号に応答して、前記保護される回路を非動作にすることをさらに備える、[C19]に記載の方法。
[C26]
前記自律制御システムのメモリに、違反する入力信号を記憶することをさらに備える、[C19]に記載の方法。
[C27]
前記アクション回路のマルチプレクサによって前記入力信号を受け取ることと、
前記マルチプレクサが、前記ルールの無違反が検出されることに応答して、前記入力信号を前記保護されるシステムに渡すことと、
をさらに備える、[C19]に記載の方法。
[C28]
前記ルールが違反されたとき、前記マルチプレクサが、代替信号を前記保護されるシステムに与えることをさらに備える、[C27]に記載の方法。
[C29]
前記アクション回路を、前記入力信号の少なくとも第1の入力信号について、前記保護されるシステムと直列に、および、前記入力信号の少なくとも第2の入力信号について、前記保護されるシステムと並列に、接続することを更に備える、[C19]に記載の方法。
[C30]
前記自律制御システムが、前記保護されるシステムと前記自律制御システムとの間に配置された通信バス上でルールに違反する入力信号に応答して、前記保護されるシステムに信号を送ることをさらに備える、[C19]に記載の方法。
[C31]
前記自律制御システムと前記保護されるシステムとを共通のパッケージにひとまとめにすることをさらに備える、[C19]に記載の方法。
[C32]
前記自律制御システムが、前記自律制御システムの中に配置された制御システム秘密鍵を用いてメッセージに署名し、ソースに対して制御システム署名がされた前記メッセージを送ることと、
前記ソースが、前記自律制御システムが不正に干渉されているかを決定することと、をさらに備える、[C19]に記載の方法。
[C33]
前記ソースが、前記ソースの中に配置されたソース秘密鍵を用いてメッセージに署名し、ソース署名された前記メッセージを前記自律制御システムに送ることと、
前記自律制御システムが、ソース署名された前記メッセージから、前記ソースが不正に干渉されているかを決定することと、
をさらに備える、[C32]に記載の方法。
[C34]
前記ルールに違反する出力信号について、前記モニタ回路を用いて、前記保護されるシステムの出力信号をモニタすることと、
前記アクション回路を用いて、前記保護されるシステムからの違反する出力信号の散布を防止することと、
をさらに備える、[C19]に記載の方法。
[C35]
前記自律制御システムは、前記保護されるシステムによって利用されるものより強力なアクセス制御を行使する、[C19]に記載の方法。
[C36]
前記自律制御システムを、前記保護されるシステムの物理的な層に接続することをさらに備える、[C19]に記載の方法。
[C37]
ルールの自律的な行使のためのシステムであって、
入力信号に応答して動作する保護されるシステムと、
自律制御システムであって
前記ルールの違反について前記入力信号をモニタするために、前記入力信号のソースと前記保護されるシステムとの間に直列に結合されるモニタ回路と、
違反する前記入力信号が前記保護されるシステムに影響を与えることを防止する、前記保護されるシステムに結合されたアクション回路と、
違反する入力信号の検出に応答して前記入力信号の前記ソースにメッセージを送る認証/攪乱/修復ロジックと、
を含む自律制御システムと、
を備えるシステム。
[C38]
前記メッセージは、前記保護されるシステムをエミュレートする、[C37]に記載のシステム。
[C39]
前記メッセージは、エラーメッセージを含む、[C37]に記載のシステム。
[C40]
前記入力信号は、前記アクション回路を通り、前記モニタ回路が前記ルールに違反する入力信号を検出すると、前記保護されるシステムに到達することから前記アクション回路によってブロックされる、[C37]に記載のシステム。
[C41]
前記モニタ回路と前記アクション回路は、
前記ルールを記憶するためのメモリと、
前記入力信号を受け取り、前記入力信号に前記ルールを適用し、前記ルールに違反する入力信号が前記保護されるシステムに影響を与えることを防止するプロセッサと、を含む、[C37]に記載のシステム。
[C42]
前記アクション回路は、違反する入力信号に応答して、入力信号を代替信号に置き換える、[C37]に記載のシステム。
[C43]
前記代替信号は、前記保護されるシステムに対し、違反する入力信号を与えようとする企てを示す、[C42]に記載のシステム。
[C44]
前記アクション回路は、違反する入力信号に応答して、前記保護される回路を非動作にする、[C37]に記載のシステム。
[C45]
前記自律制御システムは、メモリを含み、
前記自律制御システムは、違反する入力信号を前記メモリに記憶する、
[C37]に記載のシステム。
[C46]
前記自律制御システムはメモリを含み、
前記自律制御システムは、前記メモリに認証データを記憶し、
前記自律制御システムは、前記入力信号の前記ソースと前記保護されるシステムとの間で接続を確立するために前記認証データを使用する、
[C37]に記載のシステム。
[C47]
前記アクション回路は、
前記入力信号を受け取り、ルールの無違反が検出されることに応答して、前記入力信号を前記保護されるシステムに渡すマルチプレクサ
を含む、[C37]に記載のシステム。
[C48]
前記マルチプレクサは、前記ルールに違反する前記入力信号に応答して、代替信号を前記保護されるシステムに与える、[C47]に記載のシステム。
[C49]
前記アクション回路は、前記入力信号の少なくとも第1の入力信号について、前記保護されるシステムと直列に、および、前記入力信号の少なくとも第2の入力信号について、前記保護されるシステムと並列に、接続される、[C37]に記載のシステム。
[C50]
前記保護されるシステムと前記自律制御システムとの間に配置された通信バスをさらに含み、
前記自律制御システムは、前記通信バス上で前記ルールに違反する入力信号に応答して、前記保護されるシステムに信号を送る、
[C37]に記載のシステム。
[C51]
前記自律制御システムは、前記保護されるシステムと共通のパッケージに含まれる、[C37]に記載のシステム。
[C52]
前記自律制御システムは、前記自律制御システムに配置された制御システム秘密鍵を含み、
前記自律制御システムは、前記制御システム秘密鍵を用いてメッセージに署名し、ソースに対して制御システム署名がされた前記メッセージを送り、
前記ソースは、前記自律制御システムが不正に干渉されているかを決定する、[C37]に記載のシステム。
[C53]
前記ソースは、前記ソースの中に配置されたソース秘密鍵を含み、
前記ソースは、前記ソース秘密鍵を用いてメッセージに署名し、ソース署名された前記メッセージを前記自律制御システムに送り、
前記自律制御システムは、前記ソースが不正に干渉されているかを決定する、[C52]に記載のシステム。
[C54]
前記モニタ回路は、前記ルールの違反について出力信号をモニタするために、前記保護される回路の前記出力信号に結合され、
前記アクション回路は、違反する出力信号に応答して、前記出力信号の散布を防止する、
[C37]に記載のシステム。
[C55]
前記自律制御システムは、前記保護されるシステムによって利用されるものより強力なアクセス制御を行使する、[C37]に記載のシステム。
[C56]
前記自律制御システムは、前記保護されるシステムの物理的な層に接続される、[C37]に記載のシステム。
[C57]
前記自律制御システムから前記保護されるシステムにメッセージを送るために、前記自律制御システムと前記保護されるシステムとの間のインターフェースバスをさらに備える、[C37]に記載のシステム。
[C58]
保護されるシステムを保護するための方法であって、
ルールに違反する入力信号について、前記入力信号のソースと前記保護されるシステムとの間で前記入力信号に直列に結合される自律制御システムのモニタ回路を用いて、前記保護されるシステムへの前記入力信号をモニタすることと、
前記保護されるシステムに結合される前記自律制御システムのアクション回路を用いて、違反する入力信号が前記保護されるシステムに影響を与えることを防止することと、
認証/攪乱/修復ロジック回路を用いて、違反する入力信号の検出に応答して、前記入力信号の前記ソースにメッセージを送ることと、
を備える方法。
[C59]
前記メッセージは、前記保護されるシステムをエミュレートする、[C58]に記載のシステム。
[C60]
前記メッセージはエラーメッセージを含む、[C58記載のシステム。
[C61]
アクション回路が、前記ルールに違反する入力信号を検出する前記モニタ回路に応答して、前記保護されるシステムへの入力信号をブロックすることをさらに備える、[C58]に記載の方法。
[C62]
前記モニタ回路と前記アクション回路のメモリに前記ルールを記憶することと、
前記モニタ回路と前記アクション回路のプロセッサが、前記入力信号を受け取り、前記入力信号に前記ルールを適用し、前記ルールに違反する入力信号が前記保護されるシステムに影響を与えることを防止することと、
をさらに備える、[C58]に記載の方法。
[C63]
前記アクション回路が、違反する入力信号に応答して、入力信号を代替信号に置き換えることをさらに備える、[C58]に記載の方法。
[C64]
前記代替信号は、前記保護されるシステムに対し、違反する入力信号を与えようとする企てを示す、[C63]に記載の方法。
[C65]
前記アクション回路が、違反する入力信号に応答して、前記保護される回路を非動作にすることをさらに備える、[C58]に記載の方法。
[C66]
前記自律制御システムのメモリに、違反する入力信号を記憶することをさらに備える、[C58]に記載の方法。
[C67]
前記自律制御システムのメモリに認証データを記憶することと、
前記入力信号の前記ソースと前記保護されるシステムとの間の接続を確立するために、前記認証データを使用することと、
をさらに備える、[C58]に記載の方法。
[C68]
前記アクション回路のマルチプレクサによって前記入力信号を受け取ることと、
前記マルチプレクサが、前記ルールの無違反が検出されることに応答して、前記入力信号を前記保護されるシステムに渡すことと、
をさらに備える、[C58]に記載の方法。
[C69]
前記ルールが違反されたとき、前記マルチプレクサが、代替信号を前記保護されるシステムに与えることをさらに備える、[C68]に記載の方法。
[C70]
前記アクション回路を、前記入力信号の少なくとも第1の入力信号について、前記保護されるシステムと直列に、および、前記入力信号の少なくとも第2の入力信号について、前記保護されるシステムと並列に、接続することを更に備える、[C58]に記載の方法。
[C71]
前記自律制御システムが、前記保護されるシステムと前記自律制御システムとの間に配置された通信バス上でルールに違反する入力信号に応答して、前記保護されるシステムに信号を送ることをさらに備える、[C58]に記載の方法。
[C72]
前記自律制御システムと前記保護されるシステムとを共通のパッケージにひとまとめにすることをさらに備える、[C58]に記載の方法。
[C73]
前記自律制御システムが、前記自律制御システムの中に配置された制御システム秘密鍵を用いてメッセージに署名し、ソースに対して制御システム署名がされた前記メッセージを送ることと、
前記ソースが、前記自律制御システムが不正に干渉されているかを決定することと、をさらに備える、[C58]に記載の方法。
[C74]
前記ソースが、前記ソースの中に配置されたソース秘密鍵を用いてメッセージに署名し、ソース署名された前記メッセージを前記自律制御システムに送ることと、
前記自律制御システムが、ソース署名された前記メッセージから、前記ソースが不正に干渉されているかを決定することと、
をさらに備える、[C73]に記載の方法。
[C75]
前記ルールに違反する出力信号について、前記モニタ回路を用いて、前記保護されるシステムの出力信号をモニタすることと、
前記アクション回路を用いて、前記保護されるシステムからの違反する出力信号の散布を防止することと、
をさらに備える、[C58]に記載の方法。
[C76]
前記自律制御システムは、前記保護されるシステムによって利用されるものより強力なアクセス制御を行使する、[C58]に記載の方法。
[C77]
前記自律制御システムを、前記保護されるシステムの物理的な層に接続することをさらに備える、[C58]に記載の方法。
[C78]
前記自律制御システムと前記保護されるシステムとの間のインターフェースバスを介して、前記自律制御システムから前記保護されるシステムにメッセージを送ることをさらに備える、[C58]に記載の方法。
[C79]
ルールの自律的な行使のためのシステムであって、
入力信号に応答して動作する保護されるシステムと、
自律制御システムであって、
前記ルールの違反について前記入力信号をモニタするために、前記保護されるシステムと並列に前記入力信号に結合されるモニタ回路と、
違反する前記入力信号が前記保護されるシステムに影響を与えることを防止する、前記保護されるシステムに結合されたアクション回路と、
を含む自律制御システムと、
前記保護されるシステムによって使用可能な第1の電圧から前記自律制御システムによって利用可能な第2の電圧に前記入力信号をシフトするために、前記入力信号と前記保護される信号に前記自律制御システムを結合するレベルシフタと、
を備えるシステム。
[C80]
前記モニタ回路と前記アクション回路は、
前記ルールを記憶するメモリと、
前記入力信号を受け取り、前記ルールを前記入力信号に適用し、前記ルールに違反する入力信号が前記保護されるシステムに影響を与えることを防止するプロセッサと、を含む、[C79]に記載のシステム。
[C81]
前記アクション回路は、違反する入力信号に応答して、入力信号を代替信号に置き換える、[C79]に記載のシステム。
[C82]
前記代替信号は、前記保護されるシステムに対し、違反する入力信号を与えようとする企てを示す、[C81]に記載のシステム。
[C83]
前記自律制御システムは、メモリを含み、
前記自律制御システムは、違反する入力信号を前記メモリに記憶する、
[C79]に記載のシステム。
[C84]
前記アクション回路は、また、前記入力信号の少なくとも第1の入力信号について、前記保護されるシステムと直列に接続される、[C79]に記載のシステム。
[C85]
前記入力信号の前記少なくとも第1の入力信号は、前記アクション回路を通り、前記モニタ回路が前記ルールに違反する入力信号を検出したら、前記アクション回路によって前記保護されるシステムに到達することからブロックされる、[C84]に記載のシステム。
[C86]
前記アクション回路は、違反する入力信号に応答して、前記保護される回路を非動作にする、[C84]に記載のシステム。
[C87]
前記アクション回路は、
前記入力信号の前記少なくとも第1の入力信号を受け取り、ルールの無違反が検出されることに応答して、前記入力信号の少なくとも第1の信号を前記保護されるシステムに渡すマルチプレクサ
を含む、[C84]に記載のシステム。
[C88]
前記マルチプレクサは、前記ルールに違反する前記入力信号に応答して、代替信号を前記保護されるシステムに与える、[C87]に記載のシステム。
[C89]
前記保護されるシステムと前記自律制御システムとの間に配置された通信バスをさらに含み、
前記自律制御システムは、前記通信バス上で前記ルールに違反する入力信号に応答して、前記保護されるシステムに信号を送る、
[C79]に記載のシステム。
[C90]
前記自律制御システムは、前記保護されるシステムと共通のパッケージに含まれる、[C79]に記載のシステム。
[C91]
前記自律制御システムは、前記自律制御システムに配置された制御システム秘密鍵を含み、
前記自律制御システムは、前記制御システム秘密鍵を用いてメッセージに署名し、ソースに対して制御システム署名がされた前記メッセージを送り、
前記ソースは、前記自律制御システムが不正に干渉されているかを決定する、[C79]に記載のシステム。
[C92]
前記ソースは、前記ソースの中に配置されたソース秘密鍵を含み、
前記ソースは、前記ソース秘密鍵を用いてメッセージに署名し、ソース署名された前記メッセージを前記自律制御システムに送り、
前記自律制御システムは、前記ソースが不正に干渉されているかを決定する、[C91]に記載のシステム。
[C93]
前記モニタ回路は、前記ルールの違反について出力信号をモニタするために、前記保護される回路の前記出力信号に結合され、
前記アクション回路は、違反する出力信号に応答して、前記出力信号の散布を防止する、
[C79]に記載のシステム。
[C94]
前記自律制御システムは、前記保護されるシステムによって利用されるものより強力なアクセス制御を行使する、[C79]に記載のシステム。
[C95]
前記自律制御システムは、前記保護されるシステムの物理的な層に接続される、[C79]に記載のシステム。
[C96]
保護されるシステムを保護するための方法であって、
前記保護されるシステムによって使用可能な第1の電圧から自律制御システムによって使用可能な第2の電圧に入力信号をレベルシフトすることと、
ルールに違反する入力信号について、前記入力信号にレベルシフタを介して前記保護されるシステムと並列に接続された、前記自律制御システムのモニタ回路を用いて、前記保護されるシステムへのレベルシフトされた前記入力信号をモニタすることと、
前記保護されるシステムに結合される前記自律制御システムのアクション回路を用いて、違反する入力信号が前記保護されるシステムに影響を与えることを防止することと、を備える方法。
[C97]
前記モニタ回路と前記アクション回路のメモリに前記ルールを記憶することと、
前記モニタ回路と前記アクション回路のプロセッサが、前記入力信号を受け取り、前記入力信号に前記ルールを適用し、前記ルールに違反する入力信号が前記保護されるシステムに影響を与えることを防止することと、
をさらに備える、[C96]に記載の方法。
[C98]
前記アクション回路が、違反する入力信号に応答して、入力信号を代替信号に置き換えることをさらに備える、[C96]に記載の方法。
[C99]
前記代替信号は、前記保護されるシステムに対し、違反する入力信号を与えようとする企てを示す、[C98]に記載の方法。
[C100]
前記自律制御システムのメモリに、違反する入力信号を記憶することをさらに備える、[C96]に記載の方法。
[C101]
前記入力信号の少なくとも第1の入力信号について、前記保護される回路と直列に前記アクション回路を接続することをさらに備える、[C96]に記載の方法。
[C102]
前記アクション回路が、前記ルールに違反する入力信号を検出する前記モニタ回路に応答して、前記保護されるシステムへの前記入力信号の前記少なくとも第1の入力信号をブロックすることをさらに備える、[C101]に記載の方法。
[C103]
前記アクション回路が、違反する入力信号に応答して、前記保護される回路を非動作にすることをさらに備える、[C101]に記載の方法。
[C104]
前記アクション回路のマルチプレクサによって前記入力信号の前記少なくとも第1の入力信号を受け取ることと、
前記マルチプレクサが、前記ルールの無違反が検出されることに応答して、前記入力信号の前記少なくとも第1の入力信号を前記保護されるシステムに渡すことと、をさらに備える、[C101]に記載の方法。
[C105]
前記ルールが違反されたとき、前記マルチプレクサが、代替信号を前記保護されるシステムに与えることをさらに備える、[C104]に記載の方法。
[C106]
前記自律制御システムが、前記保護されるシステムと前記自律制御システムとの間に配置された通信バス上でルールに違反する入力信号に応答して、前記保護されるシステムに信号を送ることをさらに備える、[C96]に記載の方法。
[C107]
前記自律制御システムと前記保護されるシステムとを共通のパッケージにひとまとめにすることをさらに備える、[C96]に記載の方法。
[C108]
前記自律制御システムが、前記自律制御システムの中に配置された制御システム秘密鍵を用いてメッセージに署名し、ソースに対して制御システム署名がされた前記メッセージを送ることと、
前記ソースが、前記自律制御システムが不正に干渉されているかを決定することと、をさらに備える、[C96]に記載の方法。
[C109]
前記ソースが、前記ソースの中に配置されたソース秘密鍵を用いてメッセージに署名し、ソース署名された前記メッセージを前記自律制御システムに送ることと、
前記自律制御システムが、ソース署名された前記メッセージから、前記ソースが不正に干渉されているかを決定することと、
をさらに備える、[C108]に記載の方法。
[C110]
前記ルールに違反する出力信号について、前記モニタ回路を用いて、前記保護されるシステムの出力信号をモニタすることと、
前記アクション回路を用いて、前記保護されるシステムからの違反する出力信号の散布を防止することと、
をさらに備える、[C96]に記載の方法。
[C111]
前記自律制御システムは、前記保護されるシステムによって利用されるものより強力なアクセス制御を行使する、[C96]に記載の方法。
[C112]
前記自律制御システムを、前記保護されるシステムの物理的な層に接続することをさらに備える、[C96]に記載の方法。
[C113]
ルールの自律的な行使のためのシステムであって、
入力信号に応答して動作する保護されるシステムであって、入/出力(I/O)バスと、I/Oバスに結合された複数の周辺機器を含む保護されるシステムと、
自律制御システムであって、
前記ルールの違反について前記I/Oバス上の前記入力信号をモニタするために、および、前記複数の周辺機器のどれが前記入力信号によってアドレスされているかを決定するために、前記I/Oバスに結合されるモニタ回路と、
違反する前記入力信号が前記保護されるシステムに影響を与えることを防止する、前記保護されるシステムに結合されたアクション回路と、
を含む自律制御システムと、
を備えるシステム。
[C114]
前記自律制御システムは、前記複数の周辺機器と並列に前記入力信号に結合される、[C113]に記載のシステム。
[C115]
前記モニタ回路と前記アクション回路は、
前記ルールを記憶するメモリと、
前記入力信号を受け取り、前記ルールを前記入力信号に適用し、前記ルールに違反する入力信号が前記保護されるシステムに影響を与えることを防止するプロセッサと、を含む、[C113]に記載のシステム。
[C116]
前記アクション回路は、違反する入力信号に応答して、入力信号を代替信号に置き換える、[C113]に記載のシステム。
[C117]
前記代替信号は、前記保護されるシステムに対し、違反する入力信号を与えようとする企てを示す、[C116]に記載のシステム。
[C118]
前記代替信号は、前記複数の周辺機器のどの周辺機器が違反する前記入力信号によってアドレスされているかに基づいて選ばれる、[C116]に記載のシステム。
[C119]
前記アクション回路は、違反する入力信号に応答して、前記保護される回路を非動作にする、[C113]に記載のシステム。
[C120]
前記自律制御システムは、メモリを含み、
前記自律制御システムは、前記メモリに違反する入力信号を記憶する、
[C113]に記載のシステム。
[C121]
前記自律制御システムは、前記保護されるシステムと共通のパッケージに含まれる、[C113]に記載のシステム。
[C122]
前記自律制御システムは、前記自律制御システムに配置された制御システム秘密鍵を含み、
前記自律制御システムは、前記制御システム秘密鍵を用いてメッセージに署名し、ソースに対して制御システム署名がされた前記メッセージを送り
前記ソースは、前記自律制御システムが不正に干渉されているかを決定する、[C113]に記載のシステム。
[C123]
前記ソースは、前記ソースの中に配置されたソース秘密鍵を含み、
前記ソースは、前記ソース秘密鍵を用いてメッセージに署名し、ソース署名された前記メッセージを前記自律制御システムに送り、
前記自律制御システムは、前記ソースが不正に干渉されているかを決定する、[C122]に記載のシステム。
[C124]
前記モニタ回路は、前記ルールの違反について出力信号をモニタするために、前記複数の周辺機器の前記出力信号に結合され、
前記アクション回路は、違反する出力信号に応答して、前記出力信号の散布を防止する、
[C113]に記載のシステム。
[C125]
前記自律制御システムは、前記保護されるシステムによって利用されるものより強力なアクセス制御を行使する、[C113]に記載のシステム。
[C126]
前記自律制御システムは、前記保護されるシステムの物理的な層に接続される、[C113]に記載のシステム。
[C127]
保護されるシステムを保護するための方法であって、
ルールに違反する入力信号について、入/出力(I/O)バスに結合された、自律制御システムのモニタ回路を用いて、前記保護されるシステムの前記I/Oバス上の入力信号をモニタし、前記I/Oバスに結合された複数の周辺機器のどれが前記入力信号によってアドレスされているかを決定することと、
前記保護されるシステムに結合された前記自律制御システムのアクション回路を用いて、違反する入力信号が前記保護されるシステムに影響を与えることを防止することと、を備える方法。
[C128]
前記複数の周辺機器と並列に、前記自律制御システムを前記入力信号に結合することをさらに備える、[C127]に記載の方法。
[C129]
前記ルールを前記モニタ回路と前記アクション回路のメモリに記憶することと、
前記モニタ回路と前記アクション回路のプロセッサが、前記入力信号を受け取り、前記ルールを前記入力信号に適用し、前記ルールに違反する入力信号が前記保護されるシステムに影響を与えることを防止することと、
をさらに備える、[C127]に記載の方法。
[C130]
前記アクション回路が、違反する入力信号に応答して、入力信号を代替信号に置き換えることをさらに備える、[C127]に記載の方法。
[C131]
前記代替信号は、前記複数の周辺機器のどの周辺機器が違反する前記入力信号によってアドレスされているかに基づいて選ばれる、[C130]に記載の方法。
[C132]
前記代替信号は、前記保護されるシステムに対し、違反する入力信号を与えようとする企てを示す、[C130]に記載の方法。
[C133]
前記アクション回路が、違反する入力信号に応答して、前記保護される回路を非動作にすることをさらに備える、[C127]に記載の方法。
[C134]
違反する入力信号を前記自律制御システムのメモリに記憶することをさらに備える、[C127]に記載の方法。
[C135]
前記自律制御システムと前記保護されるシステムとを共通のパッケージにひとまとめにすることをさらに備える、[C127]に記載の方法。
[C136]
前記自律制御システムが、前記自律制御システムに配置された制御システム秘密鍵を用いてメッセージに署名し、ソースに対して制御システム署名がされた前記メッセージを送ることと、
前記ソースが、前記自律制御システムが不正に干渉されているかを決定することと、をさらに備える、[C127]に記載の方法。
[C137]
前記ソースが、前記ソースの中に配置されたソース秘密鍵を用いてメッセージに署名し、ソース署名された前記メッセージを前記自律制御システムに送ることと、
前記自律制御システムが、前記ソースが不正に干渉されているかを決定することと、をさらに備える、[C136]に記載の方法。
[C138]
前記ルールに違反する出力信号について、前記モニタ回路を用いて前記複数の周辺機器の出力信号をモニタすることと、
前記アクション回路を用いて、前記保護されるシステムからの違反する出力信号の散布を防止することと、
をさらに備える、[C127]に記載の方法。
[C139]
前記自律制御システムは、前記保護されるシステムによって利用されるものより強力なアクセス制御を行使する、[C127]に記載の方法。
[C140]
前記保護されるシステムの物理的な層に前記自律制御システムを接続することをさらに備える、[C127]に記載の方法。

Claims (140)

  1. ルールの自律的行使のためのシステムであって、
    入力信号に応答して動作するIndustrial Control Systems(ICS)および/またはSupervisory Control and Acqusition(SCADA)のネットワークの物理的な信号インターフェースにおいて保護されるシステムと、
    前記ルールの違反について前記入力信号をモニタするために前記入力信号に結合されるモニタ回路と、前記保護されるシステムに結合され、違反する前記入力信号が前記保護されるシステムに影響を与えることを防止するアクション回路とを含む自律制御システムと、
    を備えるシステム。
  2. 前記入力信号は、前記アクション回路を通り、前記モニタ回路が前記ルールに違反する入力信号を検出すると、前記アクション回路によって、前記保護されるシステムに到達することからブロックされる、請求項1に記載のシステム。
  3. 前記自律制御システムは、前記保護されるシステムと並列に、前記入力信号に結合される、請求項1に記載のシステム。
  4. 前記モニタ回路と前記アクション回路は、
    前記ルールを記憶するためのメモリと、
    前記入力信号を受け取り、前記入力信号に前記ルールを適用し、前記ルールに違反する入力信号が前記保護されるシステムに影響を与えることを防止するプロセッサと、
    を含む、請求項1に記載のシステム。
  5. 前記アクション回路は、違反する入力信号に応答して、入力信号を代替信号に置き換える、請求項1に記載のシステム。
  6. 前記代替信号は、前記保護されるシステムに対し、違反する入力信号を与えようとする企てを示す、請求項5に記載のシステム。
  7. 前記アクション回路は、違反する入力信号に応答して、前記保護される回路を非動作にする、請求項1に記載のシステム。
  8. 前記自律制御システムは、メモリを含み、
    前記自律制御システムは、違反する入力信号を前記メモリに記憶する、
    請求項1に記載のシステム。
  9. 前記アクション回路は、
    前記入力信号を受け取り、ルールの無違反が検出されることに応答して、前記入力信号を前記保護されるシステムに渡すマルチプレクサ
    を含む、請求項1に記載のシステム。
  10. 前記マルチプレクサは、前記ルールに違反する前記入力信号に応答して、代替信号を前記保護されるシステムに与える、請求項9に記載のシステム。
  11. 前記アクション回路は、前記入力信号の少なくとも第1の入力信号について、前記保護されるシステムと直列に、および、前記入力信号の少なくとも第2の入力信号について、前記保護されるシステムと並列に、接続される、請求項1に記載のシステム。
  12. 前記保護されるシステムと前記自律制御システムとの間に配置された通信バスをさらに含み、
    前記自律制御システムは、前記通信バス上で前記ルールに違反する入力信号に応答して、前記保護されるシステムに信号を送る、
    請求項1に記載のシステム。
  13. 前記自律制御システムは、前記保護されるシステムと共通のパッケージに含まれる、請求項1に記載のシステム。
  14. 前記自律制御システムは、前記自律制御システムに配置された制御システム秘密鍵を含み、
    前記自律制御システムは、前記制御システム秘密鍵を用いてメッセージに署名し、ソースに対して制御システム署名がされた前記メッセージを送り、
    前記ソースは、前記自律制御システムが不正に干渉されているかを決定する、
    請求項1に記載のシステム。
  15. 前記ソースは、前記ソースに配置されたソース秘密鍵を含み、
    前記ソースは、前記ソース秘密鍵を用いてメッセージに署名し、ソース署名された前記メッセージを前記自律制御システムに送り、
    前記自律制御システムは、前記ソースが不正に干渉されているかを決定する、
    請求項14に記載のシステム。
  16. 前記モニタ回路は、前記ルールの違反について出力信号をモニタするために、前記保護される回路の前記出力信号に結合され、
    前記アクション回路は、違反する出力信号に応答して、前記出力信号の散布を防止する、
    請求項1に記載のシステム。
  17. 前記自律制御システムは、前記保護されるシステムによって利用されるものより強力なアクセス制御を行使する、請求項1に記載のシステム。
  18. 前記自律制御システムは、前記保護されるシステムの物理的な層に接続される、請求項1に記載のシステム。
  19. 保護されるシステムを保護するための方法であって、
    ルールに違反する入力信号について、入力信号を供給するIndustrial Control Systems(ICS)および/またはSupervisory Control and Acqusition(SCADA)のネットワークに結合される自律制御システムのモニタ回路を用いて、前記保護されるシステムへの前記入力信号をモニタすることと、
    前記保護されるシステムに結合される前記自律制御システムのアクション回路を用いて、違反する入力信号が前記保護されるシステムに影響を与えることを防止することと、
    を備える方法。
  20. アクション回路が、前記ルールに違反する入力信号を検出する前記モニタ回路に応答して、前記保護されるシステムへの入力信号をブロックすることをさらに備える、請求項19に記載の方法。
  21. 前記自律制御システムを、前記保護されるシステムと並列に、前記入力信号に結合することをさらに備える、請求項19に記載の方法。
  22. 前記モニタ回路と前記アクション回路のメモリに前記ルールを記憶することと、
    前記モニタ回路と前記アクション回路のプロセッサが、前記入力信号を受け取り、前記入力信号に前記ルールを適用し、前記ルールに違反する入力信号が前記保護されるシステムに影響を与えることを防止することと、
    をさらに備える、請求項19に記載の方法。
  23. 前記アクション回路が、違反する入力信号に応答して、入力信号を代替信号に置き換えることをさらに備える、請求項19に記載の方法。
  24. 前記代替信号は、前記保護されるシステムに対し、違反する入力信号を与えようとする企てを示す、請求項23に記載の方法。
  25. 前記アクション回路が、違反する入力信号に応答して、前記保護される回路を非動作にすることをさらに備える、請求項19に記載の方法。
  26. 前記自律制御システムのメモリに、違反する入力信号を記憶することをさらに備える、請求項19に記載の方法。
  27. 前記アクション回路のマルチプレクサによって前記入力信号を受け取ることと、
    前記マルチプレクサが、前記ルールの無違反が検出されることに応答して、前記入力信号を前記保護されるシステムに渡すことと、
    をさらに備える、請求項19に記載の方法。
  28. 前記ルールが違反されたとき、前記マルチプレクサが、代替信号を前記保護されるシステムに与えることをさらに備える、請求項27に記載の方法。
  29. 前記アクション回路を、前記入力信号の少なくとも第1の入力信号について、前記保護されるシステムと直列に、および、前記入力信号の少なくとも第2の入力信号について、前記保護されるシステムと並列に、接続することを更に備える、請求項19に記載の方法。
  30. 前記自律制御システムが、前記保護されるシステムと前記自律制御システムとの間に配置された通信バス上でルールに違反する入力信号に応答して、前記保護されるシステムに信号を送ることをさらに備える、請求項19に記載の方法。
  31. 前記自律制御システムと前記保護されるシステムとを共通のパッケージにひとまとめにすることをさらに備える、請求項19に記載の方法。
  32. 前記自律制御システムが、前記自律制御システムの中に配置された制御システム秘密鍵を用いてメッセージに署名し、ソースに対して制御システム署名がされた前記メッセージを送ることと、
    前記ソースが、前記自律制御システムが不正に干渉されているかを決定することと、
    をさらに備える、請求項19に記載の方法。
  33. 前記ソースが、前記ソースの中に配置されたソース秘密鍵を用いてメッセージに署名し、ソース署名された前記メッセージを前記自律制御システムに送ることと、
    前記自律制御システムが、ソース署名された前記メッセージから、前記ソースが不正に干渉されているかを決定することと、
    をさらに備える、請求項32に記載の方法。
  34. 前記ルールに違反する出力信号について、前記モニタ回路を用いて、前記保護されるシステムの出力信号をモニタすることと、
    前記アクション回路を用いて、前記保護されるシステムからの違反する出力信号の散布を防止することと、
    をさらに備える、請求項19に記載の方法。
  35. 前記自律制御システムは、前記保護されるシステムによって利用されるものより強力なアクセス制御を行使する、請求項19に記載の方法。
  36. 前記自律制御システムを、前記保護されるシステムの物理的な層に接続することをさらに備える、請求項19に記載の方法。
  37. ルールの自律的な行使のためのシステムであって、
    入力信号に応答して動作する保護されるシステムと、
    自律制御システムであって、
    前記ルールの違反について前記入力信号をモニタするために、前記入力信号のソースと前記保護されるシステムとの間に直列に結合されるモニタ回路と、
    違反する前記入力信号が前記保護されるシステムに影響を与えることを防止する、前記保護されるシステムに結合されたアクション回路と、
    違反する入力信号の検出に応答して前記入力信号の前記ソースにメッセージを送る認証/攪乱/修復ロジックと、
    を含む自律制御システムと、
    を備えるシステム。
  38. 前記メッセージは、前記保護されるシステムをエミュレートする、請求項37に記載のシステム。
  39. 前記メッセージは、エラーメッセージを含む、請求項37に記載のシステム。
  40. 前記入力信号は、前記アクション回路を通り、前記モニタ回路が前記ルールに違反する入力信号を検出すると、前記保護されるシステムに到達することから前記アクション回路によってブロックされる、請求項37に記載のシステム。
  41. 前記モニタ回路と前記アクション回路は、
    前記ルールを記憶するためのメモリと、
    前記入力信号を受け取り、前記入力信号に前記ルールを適用し、前記ルールに違反する入力信号が前記保護されるシステムに影響を与えることを防止するプロセッサと、
    を含む、請求項37に記載のシステム。
  42. 前記アクション回路は、違反する入力信号に応答して、入力信号を代替信号に置き換える、請求項37に記載のシステム。
  43. 前記代替信号は、前記保護されるシステムに対し、違反する入力信号を与えようとする企てを示す、請求項42に記載のシステム。
  44. 前記アクション回路は、違反する入力信号に応答して、前記保護される回路を非動作にする、請求項37に記載のシステム。
  45. 前記自律制御システムは、メモリを含み、
    前記自律制御システムは、違反する入力信号を前記メモリに記憶する、
    請求項37に記載のシステム。
  46. 前記自律制御システムはメモリを含み、
    前記自律制御システムは、前記メモリに認証データを記憶し、
    前記自律制御システムは、前記入力信号の前記ソースと前記保護されるシステムとの間で接続を確立するために前記認証データを使用する、
    請求項37に記載のシステム。
  47. 前記アクション回路は、
    前記入力信号を受け取り、ルールの無違反が検出されることに応答して、前記入力信号を前記保護されるシステムに渡すマルチプレクサ
    を含む、請求項37に記載のシステム。
  48. 前記マルチプレクサは、前記ルールに違反する前記入力信号に応答して、代替信号を前記保護されるシステムに与える、請求項47に記載のシステム。
  49. 前記アクション回路は、前記入力信号の少なくとも第1の入力信号について、前記保護されるシステムと直列に、および、前記入力信号の少なくとも第2の入力信号について、前記保護されるシステムと並列に、接続される、請求項37に記載のシステム。
  50. 前記保護されるシステムと前記自律制御システムとの間に配置された通信バスをさらに含み、
    前記自律制御システムは、前記通信バス上で前記ルールに違反する入力信号に応答して、前記保護されるシステムに信号を送る、
    請求項37に記載のシステム。
  51. 前記自律制御システムは、前記保護されるシステムと共通のパッケージに含まれる、請求項37に記載のシステム。
  52. 前記自律制御システムは、前記自律制御システムに配置された制御システム秘密鍵を含み、
    前記自律制御システムは、前記制御システム秘密鍵を用いてメッセージに署名し、ソースに対して制御システム署名がされた前記メッセージを送り、
    前記ソースは、前記自律制御システムが不正に干渉されているかを決定する、
    請求項37に記載のシステム。
  53. 前記ソースは、前記ソースの中に配置されたソース秘密鍵を含み、
    前記ソースは、前記ソース秘密鍵を用いてメッセージに署名し、ソース署名された前記メッセージを前記自律制御システムに送り、
    前記自律制御システムは、前記ソースが不正に干渉されているかを決定する、
    請求項52に記載のシステム。
  54. 前記モニタ回路は、前記ルールの違反について出力信号をモニタするために、前記保護される回路の前記出力信号に結合され、
    前記アクション回路は、違反する出力信号に応答して、前記出力信号の散布を防止する、
    請求項37に記載のシステム。
  55. 前記自律制御システムは、前記保護されるシステムによって利用されるものより強力なアクセス制御を行使する、請求項37に記載のシステム。
  56. 前記自律制御システムは、前記保護されるシステムの物理的な層に接続される、請求項37に記載のシステム。
  57. 前記自律制御システムから前記保護されるシステムにメッセージを送るために、前記自律制御システムと前記保護されるシステムとの間のインターフェースバスをさらに備える、請求項37に記載のシステム。
  58. 保護されるシステムを保護するための方法であって、
    ルールに違反する入力信号について、前記入力信号のソースと前記保護されるシステムとの間で前記入力信号に直列に結合される自律制御システムのモニタ回路を用いて、前記保護されるシステムへの前記入力信号をモニタすることと、
    前記保護されるシステムに結合される前記自律制御システムのアクション回路を用いて、違反する入力信号が前記保護されるシステムに影響を与えることを防止することと、
    認証/攪乱/修復ロジック回路を用いて、違反する入力信号の検出に応答して、前記入力信号の前記ソースにメッセージを送ることと、
    を備える方法。
  59. 前記メッセージは、前記保護されるシステムをエミュレートする、請求項58に記載のシステム。
  60. 前記メッセージはエラーメッセージを含む、請求項58記載のシステム。
  61. アクション回路が、前記ルールに違反する入力信号を検出する前記モニタ回路に応答して、前記保護されるシステムへの入力信号をブロックすることをさらに備える、請求項58に記載の方法。
  62. 前記モニタ回路と前記アクション回路のメモリに前記ルールを記憶することと、
    前記モニタ回路と前記アクション回路のプロセッサが、前記入力信号を受け取り、前記入力信号に前記ルールを適用し、前記ルールに違反する入力信号が前記保護されるシステムに影響を与えることを防止することと、
    をさらに備える、請求項58に記載の方法。
  63. 前記アクション回路が、違反する入力信号に応答して、入力信号を代替信号に置き換えることをさらに備える、請求項58に記載の方法。
  64. 前記代替信号は、前記保護されるシステムに対し、違反する入力信号を与えようとする企てを示す、請求項63に記載の方法。
  65. 前記アクション回路が、違反する入力信号に応答して、前記保護される回路を非動作にすることをさらに備える、請求項58に記載の方法。
  66. 前記自律制御システムのメモリに、違反する入力信号を記憶することをさらに備える、請求項58に記載の方法。
  67. 前記自律制御システムのメモリに認証データを記憶することと、
    前記入力信号の前記ソースと前記保護されるシステムとの間の接続を確立するために、前記認証データを使用することと、
    をさらに備える、請求項58に記載の方法。
  68. 前記アクション回路のマルチプレクサによって前記入力信号を受け取ることと、
    前記マルチプレクサが、前記ルールの無違反が検出されることに応答して、前記入力信号を前記保護されるシステムに渡すことと、
    をさらに備える、請求項58に記載の方法。
  69. 前記ルールが違反されたとき、前記マルチプレクサが、代替信号を前記保護されるシステムに与えることをさらに備える、請求項68に記載の方法。
  70. 前記アクション回路を、前記入力信号の少なくとも第1の入力信号について、前記保護されるシステムと直列に、および、前記入力信号の少なくとも第2の入力信号について、前記保護されるシステムと並列に、接続することを更に備える、請求項58に記載の方法。
  71. 前記自律制御システムが、前記保護されるシステムと前記自律制御システムとの間に配置された通信バス上でルールに違反する入力信号に応答して、前記保護されるシステムに信号を送ることをさらに備える、請求項58に記載の方法。
  72. 前記自律制御システムと前記保護されるシステムとを共通のパッケージにひとまとめにすることをさらに備える、請求項58に記載の方法。
  73. 前記自律制御システムが、前記自律制御システムの中に配置された制御システム秘密鍵を用いてメッセージに署名し、ソースに対して制御システム署名がされた前記メッセージを送ることと、
    前記ソースが、前記自律制御システムが不正に干渉されているかを決定することと、
    をさらに備える、請求項58に記載の方法。
  74. 前記ソースが、前記ソースの中に配置されたソース秘密鍵を用いてメッセージに署名し、ソース署名された前記メッセージを前記自律制御システムに送ることと、
    前記自律制御システムが、ソース署名された前記メッセージから、前記ソースが不正に干渉されているかを決定することと、
    をさらに備える、請求項73に記載の方法。
  75. 前記ルールに違反する出力信号について、前記モニタ回路を用いて、前記保護されるシステムの出力信号をモニタすることと、
    前記アクション回路を用いて、前記保護されるシステムからの違反する出力信号の散布を防止することと、
    をさらに備える、請求項58に記載の方法。
  76. 前記自律制御システムは、前記保護されるシステムによって利用されるものより強力なアクセス制御を行使する、請求項58に記載の方法。
  77. 前記自律制御システムを、前記保護されるシステムの物理的な層に接続することをさらに備える、請求項58に記載の方法。
  78. 前記自律制御システムと前記保護されるシステムとの間のインターフェースバスを介して、前記自律制御システムから前記保護されるシステムにメッセージを送ることをさらに備える、請求項58に記載の方法。
  79. ルールの自律的な行使のためのシステムであって、
    入力信号に応答して動作する保護されるシステムと、
    自律制御システムであって、
    前記ルールの違反について前記入力信号をモニタするために、前記保護されるシステムと並列に前記入力信号に結合されるモニタ回路と、
    違反する前記入力信号が前記保護されるシステムに影響を与えることを防止する、前記保護されるシステムに結合されたアクション回路と、
    を含む自律制御システムと、
    前記保護されるシステムによって使用可能な第1の電圧から前記自律制御システムによって利用可能な第2の電圧に前記入力信号をシフトするために、前記入力信号と前記保護される信号に前記自律制御システムを結合するレベルシフタと、
    を備えるシステム。
  80. 前記モニタ回路と前記アクション回路は、
    前記ルールを記憶するメモリと、
    前記入力信号を受け取り、前記ルールを前記入力信号に適用し、前記ルールに違反する入力信号が前記保護されるシステムに影響を与えることを防止するプロセッサと、
    を含む、請求項79に記載のシステム。
  81. 前記アクション回路は、違反する入力信号に応答して、入力信号を代替信号に置き換える、請求項79に記載のシステム。
  82. 前記代替信号は、前記保護されるシステムに対し、違反する入力信号を与えようとする企てを示す、請求項81に記載のシステム。
  83. 前記自律制御システムは、メモリを含み、
    前記自律制御システムは、違反する入力信号を前記メモリに記憶する、
    請求項79に記載のシステム。
  84. 前記アクション回路は、また、前記入力信号の少なくとも第1の入力信号について、前記保護されるシステムと直列に接続される、請求項79に記載のシステム。
  85. 前記入力信号の前記少なくとも第1の入力信号は、前記アクション回路を通り、前記モニタ回路が前記ルールに違反する入力信号を検出したら、前記アクション回路によって前記保護されるシステムに到達することからブロックされる、請求項84に記載のシステム。
  86. 前記アクション回路は、違反する入力信号に応答して、前記保護される回路を非動作にする、請求項84に記載のシステム。
  87. 前記アクション回路は、
    前記入力信号の前記少なくとも第1の入力信号を受け取り、ルールの無違反が検出されることに応答して、前記入力信号の少なくとも第1の信号を前記保護されるシステムに渡すマルチプレクサ
    を含む、請求項84に記載のシステム。
  88. 前記マルチプレクサは、前記ルールに違反する前記入力信号に応答して、代替信号を前記保護されるシステムに与える、請求項87に記載のシステム。
  89. 前記保護されるシステムと前記自律制御システムとの間に配置された通信バスをさらに含み、
    前記自律制御システムは、前記通信バス上で前記ルールに違反する入力信号に応答して、前記保護されるシステムに信号を送る、
    請求項79に記載のシステム。
  90. 前記自律制御システムは、前記保護されるシステムと共通のパッケージに含まれる、請求項79に記載のシステム。
  91. 前記自律制御システムは、前記自律制御システムに配置された制御システム秘密鍵を含み、
    前記自律制御システムは、前記制御システム秘密鍵を用いてメッセージに署名し、ソースに対して制御システム署名がされた前記メッセージを送り、
    前記ソースは、前記自律制御システムが不正に干渉されているかを決定する、
    請求項79に記載のシステム。
  92. 前記ソースは、前記ソースの中に配置されたソース秘密鍵を含み、
    前記ソースは、前記ソース秘密鍵を用いてメッセージに署名し、ソース署名された前記メッセージを前記自律制御システムに送り、
    前記自律制御システムは、前記ソースが不正に干渉されているかを決定する、
    請求項91に記載のシステム。
  93. 前記モニタ回路は、前記ルールの違反について出力信号をモニタするために、前記保護される回路の前記出力信号に結合され、
    前記アクション回路は、違反する出力信号に応答して、前記出力信号の散布を防止する、
    請求項79に記載のシステム。
  94. 前記自律制御システムは、前記保護されるシステムによって利用されるものより強力なアクセス制御を行使する、請求項79に記載のシステム。
  95. 前記自律制御システムは、前記保護されるシステムの物理的な層に接続される、請求項79に記載のシステム。
  96. 保護されるシステムを保護するための方法であって、
    前記保護されるシステムによって使用可能な第1の電圧から自律制御システムによって使用可能な第2の電圧に入力信号をレベルシフトすることと、
    ルールに違反する入力信号について、前記入力信号にレベルシフタを介して前記保護されるシステムと並列に接続された、前記自律制御システムのモニタ回路を用いて、前記保護されるシステムへのレベルシフトされた前記入力信号をモニタすることと、
    前記保護されるシステムに結合される前記自律制御システムのアクション回路を用いて、違反する入力信号が前記保護されるシステムに影響を与えることを防止することと、
    を備える方法。
  97. 前記モニタ回路と前記アクション回路のメモリに前記ルールを記憶することと、
    前記モニタ回路と前記アクション回路のプロセッサが、前記入力信号を受け取り、前記入力信号に前記ルールを適用し、前記ルールに違反する入力信号が前記保護されるシステムに影響を与えることを防止することと、
    をさらに備える、請求項96に記載の方法。
  98. 前記アクション回路が、違反する入力信号に応答して、入力信号を代替信号に置き換えることをさらに備える、請求項96に記載の方法。
  99. 前記代替信号は、前記保護されるシステムに対し、違反する入力信号を与えようとする企てを示す、請求項98に記載の方法。
  100. 前記自律制御システムのメモリに、違反する入力信号を記憶することをさらに備える、請求項96に記載の方法。
  101. 前記入力信号の少なくとも第1の入力信号について、前記保護される回路と直列に前記アクション回路を接続することをさらに備える、請求項96に記載の方法。
  102. 前記アクション回路が、前記ルールに違反する入力信号を検出する前記モニタ回路に応答して、前記保護されるシステムへの前記入力信号の前記少なくとも第1の入力信号をブロックすることをさらに備える、請求項101に記載の方法。
  103. 前記アクション回路が、違反する入力信号に応答して、前記保護される回路を非動作にすることをさらに備える、請求項101に記載の方法。
  104. 前記アクション回路のマルチプレクサによって前記入力信号の前記少なくとも第1の入力信号を受け取ることと、
    前記マルチプレクサが、前記ルールの無違反が検出されることに応答して、前記入力信号の前記少なくとも第1の入力信号を前記保護されるシステムに渡すことと、
    をさらに備える、請求項101に記載の方法。
  105. 前記ルールが違反されたとき、前記マルチプレクサが、代替信号を前記保護されるシステムに与えることをさらに備える、請求項104に記載の方法。
  106. 前記自律制御システムが、前記保護されるシステムと前記自律制御システムとの間に配置された通信バス上でルールに違反する入力信号に応答して、前記保護されるシステムに信号を送ることをさらに備える、請求項96に記載の方法。
  107. 前記自律制御システムと前記保護されるシステムとを共通のパッケージにひとまとめにすることをさらに備える、請求項96に記載の方法。
  108. 前記自律制御システムが、前記自律制御システムの中に配置された制御システム秘密鍵を用いてメッセージに署名し、ソースに対して制御システム署名がされた前記メッセージを送ることと、
    前記ソースが、前記自律制御システムが不正に干渉されているかを決定することと、
    をさらに備える、請求項96に記載の方法。
  109. 前記ソースが、前記ソースの中に配置されたソース秘密鍵を用いてメッセージに署名し、ソース署名された前記メッセージを前記自律制御システムに送ることと、
    前記自律制御システムが、ソース署名された前記メッセージから、前記ソースが不正に干渉されているかを決定することと、
    をさらに備える、請求項108に記載の方法。
  110. 前記ルールに違反する出力信号について、前記モニタ回路を用いて、前記保護されるシステムの出力信号をモニタすることと、
    前記アクション回路を用いて、前記保護されるシステムからの違反する出力信号の散布を防止することと、
    をさらに備える、請求項96に記載の方法。
  111. 前記自律制御システムは、前記保護されるシステムによって利用されるものより強力なアクセス制御を行使する、請求項96に記載の方法。
  112. 前記自律制御システムを、前記保護されるシステムの物理的な層に接続することをさらに備える、請求項96に記載の方法。
  113. ルールの自律的な行使のためのシステムであって、
    入力信号に応答して動作する保護されるシステムであって、入/出力(I/O)バスと、I/Oバスに結合された複数の周辺機器を含む保護されるシステムと、
    自律制御システムであって、
    前記ルールの違反について前記I/Oバス上の前記入力信号をモニタするために、および、前記複数の周辺機器のどれが前記入力信号によってアドレスされているかを決定するために、前記I/Oバスに結合されるモニタ回路と、
    違反する前記入力信号が前記保護されるシステムに影響を与えることを防止する、前記保護されるシステムに結合されたアクション回路と、
    を含む自律制御システムと、
    を備えるシステム。
  114. 前記自律制御システムは、前記複数の周辺機器と並列に前記入力信号に結合される、請求項113に記載のシステム。
  115. 前記モニタ回路と前記アクション回路は、
    前記ルールを記憶するメモリと、
    前記入力信号を受け取り、前記ルールを前記入力信号に適用し、前記ルールに違反する入力信号が前記保護されるシステムに影響を与えることを防止するプロセッサと、
    を含む、請求項113に記載のシステム。
  116. 前記アクション回路は、違反する入力信号に応答して、入力信号を代替信号に置き換える、請求項113に記載のシステム。
  117. 前記代替信号は、前記保護されるシステムに対し、違反する入力信号を与えようとする企てを示す、請求項116に記載のシステム。
  118. 前記代替信号は、前記複数の周辺機器のどの周辺機器が違反する前記入力信号によってアドレスされているかに基づいて選ばれる、請求項116に記載のシステム。
  119. 前記アクション回路は、違反する入力信号に応答して、前記保護される回路を非動作にする、請求項113に記載のシステム。
  120. 前記自律制御システムは、メモリを含み、
    前記自律制御システムは、前記メモリに違反する入力信号を記憶する、
    請求項113に記載のシステム。
  121. 前記自律制御システムは、前記保護されるシステムと共通のパッケージに含まれる、請求項113に記載のシステム。
  122. 前記自律制御システムは、前記自律制御システムに配置された制御システム秘密鍵を含み、
    前記自律制御システムは、前記制御システム秘密鍵を用いてメッセージに署名し、ソースに対して制御システム署名がされた前記メッセージを送り、
    前記ソースは、前記自律制御システムが不正に干渉されているかを決定する、
    請求項113に記載のシステム。
  123. 前記ソースは、前記ソースの中に配置されたソース秘密鍵を含み、
    前記ソースは、前記ソース秘密鍵を用いてメッセージに署名し、ソース署名された前記メッセージを前記自律制御システムに送り、
    前記自律制御システムは、前記ソースが不正に干渉されているかを決定する、
    請求項122に記載のシステム。
  124. 前記モニタ回路は、前記ルールの違反について出力信号をモニタするために、前記複数の周辺機器の前記出力信号に結合され、
    前記アクション回路は、違反する出力信号に応答して、前記出力信号の散布を防止する、
    請求項113に記載のシステム。
  125. 前記自律制御システムは、前記保護されるシステムによって利用されるものより強力なアクセス制御を行使する、請求項113に記載のシステム。
  126. 前記自律制御システムは、前記保護されるシステムの物理的な層に接続される、請求項113に記載のシステム。
  127. 保護されるシステムを保護するための方法であって、
    ルールに違反する入力信号について、入/出力(I/O)バスに結合された、自律制御システムのモニタ回路を用いて、前記保護されるシステムの前記I/Oバス上の入力信号をモニタし、前記I/Oバスに結合された複数の周辺機器のどれが前記入力信号によってアドレスされているかを決定することと、
    前記保護されるシステムに結合された前記自律制御システムのアクション回路を用いて、違反する入力信号が前記保護されるシステムに影響を与えることを防止することと、
    を備える方法。
  128. 前記複数の周辺機器と並列に、前記自律制御システムを前記入力信号に結合することをさらに備える、請求項127に記載の方法。
  129. 前記ルールを前記モニタ回路と前記アクション回路のメモリに記憶することと、
    前記モニタ回路と前記アクション回路のプロセッサが、前記入力信号を受け取り、前記ルールを前記入力信号に適用し、前記ルールに違反する入力信号が前記保護されるシステムに影響を与えることを防止することと、
    をさらに備える、請求項127に記載の方法。
  130. 前記アクション回路が、違反する入力信号に応答して、入力信号を代替信号に置き換えることをさらに備える、請求項127に記載の方法。
  131. 前記代替信号は、前記複数の周辺機器のどの周辺機器が違反する前記入力信号によってアドレスされているかに基づいて選ばれる、請求項130に記載の方法。
  132. 前記代替信号は、前記保護されるシステムに対し、違反する入力信号を与えようとする企てを示す、請求項130に記載の方法。
  133. 前記アクション回路が、違反する入力信号に応答して、前記保護される回路を非動作にすることをさらに備える、請求項127に記載の方法。
  134. 違反する入力信号を前記自律制御システムのメモリに記憶することをさらに備える、請求項127に記載の方法。
  135. 前記自律制御システムと前記保護されるシステムとを共通のパッケージにひとまとめにすることをさらに備える、請求項127に記載の方法。
  136. 前記自律制御システムが、前記自律制御システムに配置された制御システム秘密鍵を用いてメッセージに署名し、ソースに対して制御システム署名がされた前記メッセージを送ることと、
    前記ソースが、前記自律制御システムが不正に干渉されているかを決定することと、
    をさらに備える、請求項127に記載の方法。
  137. 前記ソースが、前記ソースの中に配置されたソース秘密鍵を用いてメッセージに署名し、ソース署名された前記メッセージを前記自律制御システムに送ることと、
    前記自律制御システムが、前記ソースが不正に干渉されているかを決定することと、
    をさらに備える、請求項136に記載の方法。
  138. 前記ルールに違反する出力信号について、前記モニタ回路を用いて前記複数の周辺機器の出力信号をモニタすることと、
    前記アクション回路を用いて、前記保護されるシステムからの違反する出力信号の散布を防止することと、
    をさらに備える、請求項127に記載の方法。
  139. 前記自律制御システムは、前記保護されるシステムによって利用されるものより強力なアクセス制御を行使する、請求項127に記載の方法。
  140. 前記保護されるシステムの物理的な層に前記自律制御システムを接続することをさらに備える、請求項127に記載の方法。
JP2017543314A 2014-11-06 2015-11-05 インフラストラクチャを保護するための自律制御システムおよび方法 Pending JP2017535897A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201462076164P 2014-11-06 2014-11-06
US62/076,164 2014-11-06
PCT/US2015/059287 WO2016073751A1 (en) 2014-11-06 2015-11-05 Autonomous control systems and methods for protecting infrastructure

Publications (1)

Publication Number Publication Date
JP2017535897A true JP2017535897A (ja) 2017-11-30

Family

ID=55909817

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017543314A Pending JP2017535897A (ja) 2014-11-06 2015-11-05 インフラストラクチャを保護するための自律制御システムおよび方法

Country Status (7)

Country Link
EP (1) EP3215970A4 (ja)
JP (1) JP2017535897A (ja)
KR (1) KR20170078734A (ja)
CN (1) CN107209486A (ja)
AU (1) AU2015343009A1 (ja)
CA (1) CA2966745A1 (ja)
WO (1) WO2016073751A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108765822A (zh) * 2018-06-12 2018-11-06 广西科技师范学院 红外线家居安防系统

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4405983A (en) * 1980-12-17 1983-09-20 Bell Telephone Laboratories, Incorporated Auxiliary memory for microprocessor stack overflow
US4368483A (en) * 1981-06-22 1983-01-11 Rca Corporation Video signal defect replacement circuitry
US7979172B2 (en) * 1997-10-22 2011-07-12 Intelligent Technologies International, Inc. Autonomous vehicle travel control systems and methods
AU5025600A (en) * 1999-05-17 2000-12-05 Foxboro Company, The Process control configuration system with parameterized objects
ES2427817T3 (es) * 2005-08-01 2013-11-04 Pioneer-Hi-Bred International, Inc. Sistema sensor, método y producto de programa informático para la medición del fenotipo de plantas en entornos agrícolas
US8505086B2 (en) * 2007-04-20 2013-08-06 Innovation First, Inc. Managing communications between robots and controllers
GB0921909D0 (en) * 2009-12-16 2010-01-27 Psymetrix Ltd Generator control apparatus and method
KR101918104B1 (ko) * 2010-08-03 2018-11-14 포리 오토메이션, 인코포레이티드 무인운반차량(agv)과 함께 사용하기 위한 센서 시스템 및 방법
US9094385B2 (en) * 2011-08-05 2015-07-28 Battelle Memorial Institute Intelligent sensor and controller framework for the power grid
US8982768B2 (en) * 2011-10-14 2015-03-17 Bluetick, Inc. System and method to monitor and control remote sensors and equipment

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108765822A (zh) * 2018-06-12 2018-11-06 广西科技师范学院 红外线家居安防系统

Also Published As

Publication number Publication date
CA2966745A1 (en) 2016-05-12
AU2015343009A1 (en) 2017-05-25
EP3215970A4 (en) 2018-06-27
KR20170078734A (ko) 2017-07-07
CN107209486A (zh) 2017-09-26
EP3215970A1 (en) 2017-09-13
WO2016073751A1 (en) 2016-05-12

Similar Documents

Publication Publication Date Title
US9298917B2 (en) Enhanced security SCADA systems and methods
EP3286688B1 (en) Isolation of trusted input/output devices
CN111444519B (zh) 保护日志数据的完整性
CN116366341A (zh) 集成电路
Konstantinou et al. Taxonomy of firmware trojans in smart grid devices
CN114868365A (zh) 信息处理装置、异常检测方法以及计算机程序
JP2018502352A (ja) 自律的な制御のシステムおよび方法
JP2017535897A (ja) インフラストラクチャを保護するための自律制御システムおよび方法
US20160219079A1 (en) Autonomous control systems and methods for protecting infrastructure
Shila et al. FIDES: Enhancing trust in reconfigurable based hardware systems
Venugopalan et al. Detecting and thwarting hardware trojan attacks in cyber-physical systems
Lazzaroni et al. Computer security aspects in industrial instrumentation and measurements
Burmester A trusted computing architecture for critical infrastructure protection
Griscioli et al. USBCaptchaIn: Preventing (un) conventional attacks from promiscuously used USB devices in industrial control systems
JP2017535871A (ja) 安全なアクセスのための自律的なシステム及び方法
Griscioli et al. Securing promiscuous use of untrusted usb thumb drives in industrial control systems
Wu et al. Industrial control trusted computing platform for power monitoring system
Rauter et al. Integrating integrity reporting into industrial control systems: A reality check
Kohnhäuser Advanced Remote Attestation Protocols for Embedded Systems
Jenkins et al. Protecting infrastructure assets from real-time and run-time threats
Zhang et al. NeuCloud: enabling privacy-preserving monitoring in cloud computing
Rahmatian Intrusion Detection for Embedded System Security