JP2018502352A - 自律的な制御のシステムおよび方法 - Google Patents

自律的な制御のシステムおよび方法 Download PDF

Info

Publication number
JP2018502352A
JP2018502352A JP2017522133A JP2017522133A JP2018502352A JP 2018502352 A JP2018502352 A JP 2018502352A JP 2017522133 A JP2017522133 A JP 2017522133A JP 2017522133 A JP2017522133 A JP 2017522133A JP 2018502352 A JP2018502352 A JP 2018502352A
Authority
JP
Japan
Prior art keywords
control system
input signal
protection system
protection
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017522133A
Other languages
English (en)
Inventor
ジャスティン、ロナルド・ランス
エルデン、チャールズ
カッロ、ジャレド
タッカー、マーク
Original Assignee
テンポラル ディフェンス システムズ, エルエルシー
テンポラル ディフェンス システムズ, エルエルシー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テンポラル ディフェンス システムズ, エルエルシー, テンポラル ディフェンス システムズ, エルエルシー filed Critical テンポラル ディフェンス システムズ, エルエルシー
Publication of JP2018502352A publication Critical patent/JP2018502352A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B11/00Automatic controllers
    • G05B11/01Automatic controllers electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24015Monitoring

Abstract

ルールの自律的な実施のためのシステムは、入力信号に応答して動作可能な保護システムと、自律的な制御システムとを備えているかもしれない。自律的な制御システムは、ルールの違反に関して入力信号を監視するように入力信号に結合される監視回路と、違反する入力信号が保護システムに影響を及ぼすことを阻止する、保護システムに結合されるアクション回路とを備えているかもしれない。【選択図】図1

Description

優先権の主張
この出願は、2014年10月24日に出願された米国非仮特許出願番号第14/523,577に対して優先権を主張しており、その内容は、参照によってここに組み込まれている。
図1は、本発明の実施形態にしたがった、保護システム、自律的な制御システム、および入力デバイスである。 図2は、本発明の実施形態にしたがった、直列にインタフェースされた自律的な制御システムである。 図3は、本発明の実施形態にしたがった制御方法を図示するフローダイヤグラムである。 図4は、本発明の実施形態にしたがった、直列にインタフェースされた自律的な制御システムである。 図5は、本発明の実施形態にしたがった、直列にインタフェースされた自律的な制御システムの動作を図示する概略的なダイヤグラムである。 図6は、本発明の実施形態にしたがった、直列にインタフェースされた自律的な制御システムである。 図7は、本発明の実施形態にしたがった、並列にインタフェースされた自律的な制御システムである。 図8は、本発明の実施形態にしたがった、並列にインタフェースされた自律的な制御システムである。 図9は、本発明の実施形態にしたがった、並列にインタフェースされた自律的な制御システムの動作を図示する概略的なダイヤグラムである。 図10は、本発明の実施形態にしたがった、直列および並列にインタフェースされた自律的な制御システムである。 図11は、本発明の実施形態にしたがった、通信バスを備える自律的な制御システムである。 図12は、本発明の実施形態にしたがった、半導体マルチチップモジュールを備える自律的な制御システムである。 図13は、本発明の実施形態にしたがった、インタポーザPCB上に外部的に据え付けられている自律的な制御システムである。 図14は、本発明の実施形態にしたがった、自律的な制御システムの改竄防止機能を図示するフローダイヤグラムである。 図15は、本発明の実施形態にしたがって、安全な共同処理のために、ホストCPUに対するシステムサービスとして自律的な制御システムを使用するプロセスフローを示している。
いくつかの実施形態の詳細な説明
電子的システム、機械的システム、化学的システム、および生物学的システムは、破局故障へとつながることがある状態または状態のシーケンスを有しているかもしれない。そのような致命的な状態は、内部の自然な力、外部の偶発的な力、または外部の意図的に敵意のある力から生じることがある。産業システムにおいて、遠隔制御および監視下で作動するデバイスまたはシステムは、誤動作、ユーザエラー、または、悪意のある動作もしくは敵意のある動作の結果として、制御システムによって許容されることがある既知の有害な状態を有しているかもしれない。作動するデバイスは、そのようなコマンドまたは限度外の信号を受け入れて実行するかもしれず、関連するシステム全体が、そのような誘導される状態から、害され、劣化させられ、または破壊させられる。例えば、誘導される有害なシステム状態は、高速過ぎるまたは低速過ぎるプロセススピードや、開き過ぎているまたは閉まり過ぎているバルブや、あるいは、高過ぎるまたは低過ぎる圧力または温度である。多くのデバイスは、これらの限度外の動作を物理的または電子的に阻止するための、それら自身の内部安全装置を欠いているかもしれない。
ここで説明するシステムおよび方法は、システムに重要なコンポーネントを保護するために、ビジネスルールおよび/またはセキュリティルールにしたがって入力信号および/または出力信号を監視して修正またはブロックすることができる自律的な制御を提供する。望ましくないシステム影響を最小化するため、または阻止するために、信号の修正および/またはブロックにより、確実に、デバイス間およびデバイス内あるいはシステム間およびシステム内での限度外の接続状態が生じないようにするか、あるいは、取るに足らない時間量の間のみ生じるようにするかのいずれかにするかもしれない。(接続状態は、物理レイヤレベルでの特定の瞬間における、2つ以上のデバイスまたはシステムの間の任意の監視される信号レベルまたはコマンドであるかもしれない。物理レイヤは、例えば、デバイスまたはシステムの、生信号が転送される最も低いハードウェイアレイヤである。)ルールに違反する信号が検出されたときに、自律的な制御システム(例えば、回路)は、信号を内部でスイッチオフすることによって、違反する信号をブロックすることができる。代わりに、回路は信号を送らなくてもよく、または、自律的な制御システムによる保護下の任意のデバイスまたはシステムである保護システムに、フェールセーフ信号を送ってもよい。回路は、例えば、システムアップグレードに設計することによって、または、システムに後付けすることによって、レガシーシステムとともに使用するために構成することができる。
ここで説明するシステムおよび方法は、プロセッサと呼ばれることもある1つ以上のコンピュータを備えている。コンピュータは、算術演算および/または論理演算を実行可能な、任意のプログラム可能な1つ以上の機械であるかもしれない。いくつかの実施形態において、コンピュータは、プロセッサ、メモリ、データ記憶デバイス、ならびに/あるいは、他の一般的に知られているコンポーネントまたは新しいコンポーネントを備えている。これらのコンポーネントは、物理的に接続されていてもよく、あるいは、ネットワークまたはワイヤレスリンクを通して接続されていてもよい。コンピュータは、上述したコンポーネントの動作を指示することができるソフトウェアも備えているかもしれない。コンピュータは、サーバ、PC、移動体デバイス、ルータ、スイッチ、データセンタ、分散コンピュータ、および他の用語のような、当業者によって一般的に使用される用語で呼んでもよい。コンピュータは、ユーザおよび/または他のコンピュータの間の通信を容易にし、データベースを提供し、データの解析および/または変換を実行し、ならびに/あるいは、他の機能を実行する。ここで使用するこれらの用語が交換可能であり、説明する機能を実行することができる任意のコンピュータを使用してもよいことが、当業者によって理解されるだろう。コンピュータは、1つ以上のネットワークを介して互いにリンクされていてもよい。ネットワークは、完全にまたは部分的に相互接続されている任意の複数のコンピュータであるかもしれず、コンピュータのいくつかまたはすべてが互いに通信することができる。コンピュータ間の接続が、いくつかのケースにおいては(例えば、イーサネット(登録商標)、同軸、光学、または他のワイヤードの接続を介した)ワイヤードであってもよく、あるいは、(例えば、Wi−Fi(登録商標)、WiMax(登録商標)、または他のワイヤレスの接続を介した)ワイヤレスであってもよいことが、当業者によって理解されるだろう。コンピュータ間の接続は、TCPのような接続指向のプロトコル、または、UDPのような無接続のプロトコルを含む、任意のプロトコルを使用してもよい。それを通して少なくとも2つのコンピュータがデータを交換することができる任意の接続を、ネットワークの基礎とすることができる。
図1は、保護システム100を図示している。保護システム100は、入力デバイス102と通信することができる。入力デバイス102は、保護システム100に信号を送り、および/または、保護システム100から信号を受け取る。入力デバイスは、例えば、アナログまたはデジタルの信号ポート、制御ノブ、タッチディスプレイ、キーボード、マウス、および/または、他の何らかの周辺デバイスである。入力デバイス102はまた、保護システム100またはネットワーク上のデバイスに対するホストデバイスであってもよい。専用の監視およびアクションデバイス(DMAD)と呼ぶことがある自律的な制御システム104は、入力デバイス102と保護システム100との間に直列に、および/または、入力デバイス102および保護システム100と並列に位置付けられている。下記でより詳細に説明するように、自律的な制御システム104のさまざまな実施形態は、ソフトウェアを実行するように構成されている電子回路、プロセッサおよびメモリ、あるいは、それらを組み合わせたものを備えている。自律的な制御システム104は、(例えば、暗号化能力および改竄防止能力を含み)内部で安全であるかもしれない。自律的な制御システム104はまた、入力デバイス/ホスト102と保護システム100との間のデータ接続と、データフローの両方の方向において直列にまたは並列に現されてもよく、自律的な制御システム104は、保護システム100に到来する入力信号と、保護システム100から到来する出力信号とを監視することができる。
いくつかの実施形態において、自律的な制御システム104は、ルールを実施するための決定論的なレースコンディションを作成する。決定論的なレースコンディションは、注入される信号と到来する信号との間の意図的に誘導されるレースコンディションであってもよく、注入される信号のみが出力に影響を及ぼすだろう高いレベルの確実性が存在する。保護システム100へのまたは保護システム100からのデータバス上にルールに違反する信号が現れるときに、自律的な制御システム104が、違反を検出するようにレースし、直列にインタフェースされている場合には内部で信号をスイッチオフしてフェールセーフ信号に置換し、あるいは、並列にインタフェースされている場合には信号を修正しようと試行するかもしれない。到来信号および/または送出信号をバッファリングして、より多くの検出時間を提供し、有効性確認された信号のみが自律的な制御システム104によって保護システム100に送信され逆もまた同様であることを保証してもよい。
いくつかの実施形態において、自律的な制御システム104は、シリコンダイオンダイ、集積回路パッケージオンパッケージ、モジュール化システムモジュールオンモジュール、光ファイバ、無線周波数、ワイヤ、プリント回路基板のトレース、量子エンタングルメント、または、分子、熱、原子、もしくは化学的な接続のようなさまざまな方法で、保護システム100中に物理的に現されていてもよい、あるいは、保護システム100または制御デバイスに物理的に接続されていてもよい。
いくつかの実施形態において、自律的な制御システム104は、1つ以上のデバイスまたはシステム(例えば、入力デバイス102と保護システム100)の間で直列に、並列に、または直列と並列との両方で接続する物理インタフェースを備えている。各物理接続のタイプは、有機、電子、または無線周波数のような、所定のアプリケーションおよびシステムタイプに対する異なるセットの設計の考慮事項およびトレードオフを有しているかもしれない。例えば、電子システムでは、接続方法を決定するために、電圧インタフェースレベル、信号完全性、駆動力、改竄防止、および/または、誘導される伝播遅延が評価される。
いくつかの実施形態において、自律的な制御システム104は、特有のセキュリティルールおよびビジネスルールをホストシステムまたはデバイス上で自律的に実施するように設計されている、プログラムされている、および位置付けられている、暗号化されたメモリ記憶機能と改竄防止機能とを有するコンピュータシステムである。自律的な制御システム104は、処理論理、メモリ記憶装置、入力/出力バッファ、通信ポート、および/または再プログラミングポートのようなコンポーネントを備えているかもしれない。自律的な制御システム104は、任意の数のデバイスまたはシステムの間の接続状態をリアルタイムで絶えず解析することができ、予め定義されたビジネスルールおよびセキュリティルールを実施することができる。限度外の状態が検出されたときに、自律的な制御システム104は、禁止された接続状態をブロックする、無効にする、または既知の良好な状態に変更することができる。類似する方法を、例えば、電気、光学、電子機械、電磁気、熱、生物、化学、分子、重力、原子、または量子機械のシステムに適用することができる。
いくつかの実施形態において、自律的な制御システム104は、刺激に決定論的に応答して自律的に挙動するようにプログラムできるプログラム可能デバイスを備えている。例えば、自律的な制御システム104は、フィールドプログラム可能ゲートアレイ(FPGA)、マイクロ制御装置(MCU)、マイクロプロセッサ(MPU)、ソフトウェア定義無線、電気光学デバイス、量子計算デバイス、有機化合物、プログラム可能な素材、またはプログラム可能生物学的ウイルスを備えている。自律的な制御システム104は、保護システム100に直接接続されていてもよく、または、保護システム100上で動作する1つ以上の制御デバイスに接続されていてもよい。自律的な制御システム104は、例えば、シリコンダイオンダイ、集積回路パッケージオンパッケージ、モジュール化システムモジュールオンモジュール、光ファイバ、無線周波数、ワイヤ、プリント回路基板のトレース、量子エンタングルメント、または、分子、熱、原子、もしくは化学的な手段によって、物理的に接続されている。
いくつかの実施形態において、自律的な制御システム104は、保護システム100メモリから離れて(暗号証明書またはシステムログのような)データを安全に記憶させ、保護システム100が提供するよりも強力な認証方法およびアクセス制御によってのみデータがアクセスまたは修正できるようにする。例えば、セキュリティスコアリング方法論を実現するために、自律的な制御システム104をコンピュータシステムによって使用する(例えば、自律的な制御システム104を、セキュリティ証明書および要件情報の記憶のために使用する)。さらに、セキュリティスコアリング方法は、セキュリティスコア情報に基づく、外側のリソースの有効性確認/検証、認証、および認可のために、自律的な制御システム104を活用することができる。例えば、記憶されるデータを、他のシステムと組み合わせてセキュリティ完全性の検証のために使用してもよい。
いくつかの実施形態では、内部システムのコンポーネントの、データの、および/または、外部インタフェースされたデバイスの、完全性および真正性を確実にするために、自律的な制御システム104を使用して電子暗号パブリックキーインフラストラクチャ(PKI)を電子システムの内側で実現する。加えて、これらの証明書を、安全な通信のために活用して、メッセージの気密性、完全性、および/または真正性を確実にするようにしてもよい。例えば、電子暗号PKIを実現および実施する自律的な制御システム104は、システムの初期製造の間にプログラムできる、パブリックキーまたはグローバル一意識別子(GUID)を収容するリードオンリーメモリ(ROM)パーティションを含んでいる。その場合、自律的な制御システム104の最初の起動の際に、例えば、RSAおよびX.509の証明書のような業界標準の暗号方法を使用して、自律的な制御システム104によってプライベートキーが内部で発生されるかもしれない。その後、このプライベートキーを使用して証明書要求を発生させることができ、証明書要求は、製造者の証明機関(CA)または承認された第3者CAによってサインされるかもしれない。サインされた証明書は、その後、自律的な制御システム104のROM上に安全に記憶させてもよい。この証明書は、その後、データのデジタルサインおよび暗号化/解読を可能にするために使用することができる。電子暗号PKIを実現する自律的な制御システム104は、そのような能力を追加するために、電子暗号PKIを実現しない保護システム100に後付けしてもよい。このことは、追加されたセキュリティに関して、保護システム100がアクセス不可能なロケーション中にプライベートキーを記憶させておく利点を有している。
いくつかの実施形態では、内部保護システム100のコンポーネントが真正であることを有効性確認するために、自律的な制御システム104を電子暗号PKIとともに使用してもよく、他(内部保護システム100および/または外部入力デバイス102)のコンポーネントがまた、公開鍵を交換、記憶、および認証できるように、PKIを実現することができる。PKIを実現する保護システム100または入力デバイス102のコンポーネントが改竄され偽造バージョンに代替されていた場合は、偽造デバイスの署名が存在していないか、または、オリジナルのものとは異なっているかのいずれかであるので、自律的な制御システム104が偽造を検出することができるかもしれない。
いくつかの実施形態において、保護システム100内および他(例えば、外部入力デバイス102)のシステムコンポーネント内でのデータの完全性を確実にするために、自律的な制御システム104は(PKIのような)暗号方法を利用する。自律的な制御システムはまた、データが何らかの方法で変えられていないことを確認する暗号方法を実現してもよい。加えて、データの発信者が判明するときに、または有効性確認されるときに、データの真正性は保証されるかもしれない。例えば、自律的な制御システム104は、周辺装置のパブリックキーを使用して、周辺装置に向けられているメッセージを暗号化し、周辺装置から受け取られるメッセージを検証する。
いくつかの実施形態では、自律的な制御システム104は、電子暗号PKIを実現し、また、仮想システム(または、そのコンポーネント)の暗号でサインされたハッシュを発生させてそれらのハッシュを記憶させることによって、(一般的に、“仮想システム”と呼ばれる)仮想機械および/またはハイパーバイザの完全性および真正性を確実にすることができる。その場合、自律的な制御システム104は、ハッシュを再計算し、それと記憶されている値とを比較することによって、仮想システムの真正性および完全性を有効性確認することができる。さらに、自律的な制御システム104は、全時間で、予め定められたまたはランダム化された時間期間において、ならびに/あるいは、予め定められたまたはランダム化された持続時間の間、受け取られる任意のコマンドが保護システム100に到達しないように、保護システム100をエミュレートするかもしれず、これにより、保護システム100上での影響が阻止される。この動作モードは、テストのために使用されるかもしれず、または、悪意のある意図が実際には保護システム100において決して作動されなかったときに、攻撃が成功したという印象を攻撃者に与えるために、使用されるかもしれない。自律的な制御システム104は、禁止された接続状態、コマンド、および/またはコマンドのシーケンスが検出されたときに脅威を無効にできる攻撃的手段を備えていてもよい。例えば、認可されていない接続がUSBポート上で検出された場合に、自律的な制御システム104は、USB周辺入力デバイス102に信号を注入して、それを損傷させるまたは無効にすることができる。
いくつかの実施形態において、自律的な制御システム104は、システムの性能および機能上へのごくわずかな影響しかないような方法で、制御デバイス中の第2の集積回路チップの物理インタフェースに直列に接続されているかもしれない、集積回路チップ上の電子回路設計である。同時に、第1の集積回路チップは、第2の集積回路チップに対するある接続状態を禁止することができるかもしれない。接続状態は、すべてのデジタルI/O接続上での電圧レベルのような、所定の瞬間における2つのデバイス間のすべての接続ポイント上での信号レベルであるかもしれない。代替的に、1つ以上の電子デバイスまたはシステムの間の信号レベルまたは信号状態のいくつかまたはすべての外部一定監視を備え、望ましくないシステム影響が生じないように、確実に、デバイス間またはシステム間での限度外の信号状態が生じないようにするか、あるいは、取るに足らない時間量の間のみ生じるようにするかのいずれかにするように動作する電子デバイスを、信号インタフェースにおいて挿入してもよい、または、信号インタフェース上に追加してもよい。この方法を実現する電子デバイスは、1つ以上のデバイスまたはシステムの間で直列に、並列に、または直列と並列の両方で接続してもよく、コンピュータにより実現されるセキュリティスコアリング方法により、独立的にあるいは外部監視および制御とともに機能することができる。
いくつかの実施形態において、自律的な制御システム104は、ハードウェアベースの直列の“中間者”(MITM)として動作する。保護システム100と入力デバイス102(例えば、周辺装置)との間の通信は通常、予めプログラムされている禁止された信号パターン、パケット、またはアクセス試行を、自律的な制御システム104の監視論理が信号ライン上で検出するまで継続する。禁止された信号が検出されたときに、自律的な制御システム104は、代替の信号バス(または、中断バス)を選択することによって、主信号バスを完全にディセーブルするかもしれない。代替の信号バスは、記録、中断、または、周辺装置からの総切断のために使用してもよい。例えば、保護システム100にそれが攻撃下にあることを通知するために、保護システム100との通信を維持しつつ代替の信号バスを選択してもよい。例えば、保護システム100にプログラムされている特定用途向けの監視およびアクション論理によってそのチャネル選択ラインが制御される、内部のパラメータ化されたマルチプレクサインスタンシエーションを使用することによって、自律的な制御システム104はこの通信を維持するかもしれない。
図2は、(示していない)入力デバイス102と(示していない)保護システム100との直列の配置における、プロセッサ200とメモリ202とを備える自律的な制御システム104の実施形態を図示している。プロセッサ200は、ノード204上で入力信号を受け取る。ノード204は、入力デバイス102に接続されているかもしれない。プロセッサは、ノード206上で出力信号を発生させる。ノード206は、保護システム100にルーティングされているかもしれない。メモリ202は、禁止された入力信号状態を記憶することができる。プロセッサ200は、入力信号と禁止された入力信号状態とを比較し、一致信号または不一致信号を生成させることができる。不一致信号に応答して、入力信号が保護システム100に供給されるかもしれない。一致信号に応答して、置換入力信号が保護システム100に供給されるかもしれない。置換入力信号は、保護システム100に損傷を生じさせない信号である。例えば、保護システム100のモーターにその最高スピードで動作するように指示する保護システム100への入力は、特定のプロセス動作に対して有害であるかもしれず、許容されるべきではない。そのようなコマンドが入力デバイス102から入力される場合に、自律的な制御システム104は、信号をインターセプトし、認可されていない状態を阻止するための即時のアクションをとることができる。この例では、自律的な制御システム104は、スピード選択の制御を完全にとり、以前の認可されているスピード選択を維持する適切な信号を保護システム100に送る。加えて、自律的な制御システム104は、ログエントリを作成してもよく、または、認可されていない接続状態が試行されたというアラートを送ってもよい。自律的な制御システム104の応答は、アプリケーション依存であってもよく、予めプログラムされていてもよい。自律的な制御システム104はまた、現在のスピードを保持する代わりに、例えば、物理プロセスを停止させるようにプログラムされていてもよい。
図3は、本発明の実施形態にしたがった制御方法を図示するフローダイヤグラムである。このダイヤグラムは、上記で説明した直列の自律的な制御システム104の実施形態に対する例示的なプロセスフローを提示している。例示的なプロセスフローは、図2のプロセッサ200とメモリ202とを備えている、または備えていない、以下で説明する追加的な直列および/または並列の自律的な制御システム104の実施形態にも適用することができる。自律的な制御システム104が、保護システム100と入力デバイス102との間の接続状態を監視する1405。状態がチェックされて、限度外であるか否かが決定される1410(例えば、上記の図2の例から、最大スピードコマンド)。状態が許容される場合は、監視が通常通り継続する1405。状態が限度外である場合は、自律的な制御システム104は、(例えば、コマンドされたスピードよりも低いスピードにスピードを設定することによって、または、保護システム100にそれの現在のスピードを維持するように命令することによって)状態に対してアクションをとる1415。自律的な制御システム104は、それの介入が保護システム100を許容可能な状態に設定または回復させたか否かを決定する1420。例えば、自律的な制御システム104は、より低いスピードにモーターが損傷なく実際に復帰されたか否かを決定する。保護システム100がOKである場合は、監視が通常通り継続する1405。しかしながら、いくつかのケースでは、保護システム100を許容可能な状態に復帰させることは不可能であるかもしれない。例えば、保護システム100がロックされており、かつ、(例えば、以下の図7に関して説明するような並列配置において)自律的な制御システム104が介入できるより前に、ロック解除するコマンドをそれが受け取る場合には、ロックによって制御されるドアは既に開かれているかもしれない。ロックを再度ロックすることは、この状況を修復しないだろう。このケースでは、さらなる外部入力から保護システム100を分離し、アラートを発生させる1425。
図4は、本発明の実施形態にしたがった、保護システム100と入力デバイス102との間に直列インタフェースにより接続されている自律的な制御システム104のブロックダイヤグラムである。この実施形態は、上記で説明した図2の実施形態と同様に機能することができるが、自律的な制御システム104内のプロセッサ200とメモリ202に加えて他のエレメントを有していてもよく、および/または、プロセッサ200とメモリ202の代わりに他のエレメントを有していてもよい。この例において、自律的な制御システム104は、監視論理140を提供する、プログラム可能論理デバイス(PLD)または他のデバイス(例えば、回路、プロセッサ等)を備えている。監視論理140は通常、保護システム100と周辺装置102との間のすべての信号を、双方向マルチプレクサ(MUX)160を通過させる。同一の信号が、制御論理150を提供する監視およびアクション回路にも供給されるかもしれない。制御論理150を提供する監視およびアクション回路は、監視論理140を提供するPLD、回路、またはプロセッサの一部であってもよい、あるいは、監視論理140から離れていてもよい(例えば、離れたPLD、回路、プロセッサ等)。この図面中で図示する実施形態は、自律的な制御システム104の、ハードウェアベースの直列の“中間者”(MITM)インプリメンテーションである。この実施形態では、保護システム100と周辺装置102との間の通信は通常、予めプログラムされている禁止された信号パターン、パケット、またはアクセス試行を、監視論理140が信号ライン上で検出するまで継続する。禁止された信号が検出されたときに、自律的な制御システム104中の制御論理150が、記録、中断、または、周辺装置102からの総切断のために、代替の内部I/Oバス(または、中断バス)を選択することによって、主周辺装置I/Oバスを完全にディセーブルすることができる。この方法は、保護システム100にそれが攻撃下にあることを通知するために、保護システム100との通信を維持しつつ自律的な制御システム104中で実現してもよい。保護システム100にプログラムされている特定用途向け監視およびアクション論理によってそのチャネル選択ラインが制御される、内部のパラメータ化されたマルチプレクサインスタンシエーションを使用することによって、自律的な制御システム104はこの通信を維持するかもしれない。
保護システム100CPUと、保護システム100の内部または外部にあることがある接続されている周辺装置102との間の物理レイヤにおいて、図4の自律的な制御システム104は直列に接続されているかもしれない。通信バスは、所定のアプリケーションに対するルールに違反する信号を検出するようにプログラムされている、監視論理140とMUX160とを備える自律的な制御システム104を通過するかもしれない。そのような信号が検出されたときに、自律的な制御システム104は、それらが保護システム100に到達することを妨げるかもしれない、または、それらが保護システム100においてプロセスに対して望ましくない長さの時間の間アサートすることを、少なくとも阻止するかもしれない。図4の例において、バスAが通常、保護システム100CPUと周辺装置102との間の自律的な制御システム104を通過し、保護システム100CPUに信号を伝える、および、保護システム100CPUから信号を伝える。そのようにする際に、バスAは、自律的な制御システム104の出力マルチプレクサを通過するかもしれない。保護システム100にバスAが到達するかまたはバスBが到達するかは、マルチプレクサの“S0”制御ポートによって決定することができる。S0ポートが論理0であるときは、バスAが通過するかもしれない。S0ポートが論理1であるときは、バスBが通過するかもしれない。バスBの各ラインの値は、ルールを実施するように構成されている、自律的な制御システム104の状態機械制御論理150によって制御される。この例において、バスAのラインのすべてがハイであるときに、S0は論理1にアサートすることができる。応答として、4入力ANDゲートが、バスBにスイッチするようにS0をトグルするかもしれない。ANDゲートはハードウェアゲートであってもよく、ハードウェアANDゲートを通した伝播時間はナノ秒のオーダーであるかもしれない。それゆえ、ほぼ瞬間的なスイッチを実行することができる。S0はまた、S0に供給される2入力ORゲートを介して、自律的な制御システム104の状態機械論理150によって直接制御することができる。さまざまなインタフェース上でさまざまなルールを実施するために、自律的な制御システム104の複数のインスタンスを、保護システム100および入力デバイス102のさまざまな入力および/または出力の間に置くことができる。
図4では、データを記憶および暗号化することができる安全なメモリも示されている。メモリは、ホストCPUに対する自律的な制御システム104のシステムサービスとして用いてもよく、ならびに/あるいは、安全なアプリケーションまたは外部周辺装置から読み出されるかもしれないルール違反イベントのログのような、ホストCPUから分離されたデータを収容していてもよい。
監視されるラインに対して自律的な制御システム104を通して誘導される信号伝播遅延が、システムタイミング要件に対してごくわずかであるという機能を有するプログラム可能論理デバイスを使用して、図4の例において図示される自律的な制御システム104は直列インタフェースにおいて配置されているかもしれない。自律的な制御システム104中のPLDは、小量の伝播遅延、例えば20ナノ秒のオーダーでの遅延を追加する通常の“通過”モードを含んでいるかもしれない。追加される遅延は、多くのシステムに対して取るに足らないものであり、したがって、通常のシステム動作に影響を及ぼさない。
図4の例において図示される自律的な制御システム104の直列インタフェースは、改竄防止手段として、保護システム100を電気的に分離するように保護システム100を周辺装置102から部分的にまたは完全に切断することができる。その後、自律的な制御システム104は、攻撃するまたは誤動作する周辺装置102に対して、何らかの攻撃的、防御的、または診断/修復の信号を出力するかもしれない、あるいは、状態を単に保持するかもしれない。
図5は、本発明の実施形態にしたがって、直列インタフェースを有する電子的な自律的な制御システム104が、認可されていない接続状態を阻止する動作を図示する、概略的なダイヤグラムである。自律的な制御システム104は、スピード選択入力デバイス(周辺装置102)と、物理プロセスに適用されるバイナリエンコードされたスピードを受け入れる作動デバイス(保護システム100)との間に位置付けられている。自律的な制御システム104は、入力を監視してそれらをマルチプレクサ(MUX)またはスイッチ160にパスする監視論理140を備えている。入力が許容される場合は、それらはMUX160から保護システム100に進行するかもしれない。入力が許容されない場合は、代わりに、状態機械の監視および制御アクション論理150が介入し、状態機械の監視および制御アクション論理150によって発生された出力を、MUX160に保護システム100へとパスさせるかもしれない。この例において、バイナリ“1111”によって表される最高のスピードは、特定のプロセス動作に対して有害であり、許容されるべきではない。図5において図示されるデバイスは、広範な異なる機能をエンコードする非常に多数の接続状態上で監視および動作するようにスケーリングすることができる。この例における自律的な制御システム104はまた、例えば、最低許容スピードから最高許容スピードに即時にジャンプするような、認可されていないスピード選択のシーケンスを阻止するようにプログラムしてもよい。自律的な制御システム104論理は、アプリケーション特有のものであってもよく、ゆえに、この例では“1111”が禁じられている入力である一方で、他の実施形態では他の入力が禁じられていてもよい。自律的な制御システム104への入力は、この例の4ビットの実施形態に限定されるものではない。
図5.1において、スピード選択バスは、自律的な制御システム104を通して信号を直列にパスし、自律的な制御システム104の“バススイッチ”を介して作動デバイス上にパスする。自律的な制御システム104は、プログラム可能な認可されていないスピード(接続状態)に関してスピード選択バスを監視し、予めプログラムされているアクションをとることができ、この例では、バススイッチを制御する。図5.1では、選択されたスピードは認可されているスピードであり、したがって、自律的な制御システム104により、選択が作動デバイスへと通過することができる。
図5.2は、入力デバイス102を通して自律的な制御システム104に、偶然にかまたは悪意をもってかのいずれかで送信される、スピードに対する認可されていない信号“1111”を図示している。自律的な制御システム104は、信号をインターセプトし、認可されていない状態を阻止するための即時のアクションをとることができる。この例では、自律的な制御システム104がスピード選択の制御を完全にとり以前の認可されているスピード選択を維持する適切な信号を保護システム100に送るようにバススイッチをトグルするための、予めプログラムされているアクション論理を、自律的な制御システム104は備えているかもしれない。加えて、自律的な制御システム104は、ログエントリを作成してもよく、または、認可されていない接続状態が試行されたというアラートを送ってもよい。自律的な制御システム104の応答は、アプリケーション依存のものであってもよく、予めプログラムされていてもよい。自律的な制御システム104はまた、現在のスピードを保持する代わりに、例えば、物理プロセスを停止させるようにプログラムされていてもよい。
図5.3は、認可されているスピードを選択するようにユーザまたは制御システムによって入力デバイス102が再調整されるときに、バススイッチをデフォルトの安定状態の位置に戻すようにトグルすることによって、自律的な制御システム104論理が入力デバイス102に制御を戻すようにスイッチすることができることを図示している。
図6は、図5の実施形態に類似するが、ハードウェア論理の代わりにプロセッサ200とメモリ202とを有する自律的な制御システム104の実施形態を図示している。この実施形態において、ノード204上の入力信号は、リンク300を介してプロセッサ200にルーティングされている。プロセッサ200は、入力信号と、メモリ202中に記憶されている禁止された入力信号状態とを比較し、一致信号または不一致信号を生成させることができる。プロセッサ200は、ライン302上に選択信号を生成させ、選択信号がMUX304を制御することができる。不一致信号の場合には、選択信号により、ライン204上の信号が保護システム100へとマルチプレクサ304を通過することができるかもしれない。一致信号の場合には、置換入力信号がライン306に適用され、ライン302上の選択信号が、MUX304を通して置換入力信号を通過させるかもしれない。
図7は、本発明の実施形態にしたがって、並列インタフェースにより保護システム100に接続されている、プログラム可能論理デバイス(PLD)を備える自律的な制御システム104のブロックダイヤグラムである。自律的な制御システム104中のPLDの入力を介して、または、自律的な制御システム104中に組み込まれているプロセッサを介して、保護システム100の入力および/または出力を監視することができる。図5において示した実施形態において、自律的な制御システム104は、並列インタフェースにより保護システム100に接続されていてもよく、少なくとも1つの双方向信号ドライバを備えていてもよい。少なくとも1つの双方向信号ドライバは、入力を監視し、出力に対する状態を内部で変更させ、および、追加の接続が必要でない場合に中断を生じさせることができる。ドライバのスイッチ160を介して受け取られる入力が監視されるように、ドライバは監視論理140に結合されているかもしれない。入力が許容される場合は、ドライバはそれの状態を維持するかもしれない。入力が許容されない場合は、アクション論理150がスイッチ160をアクションバス出力に入れるかもしれない。アクションバス出力は、例えば、接地されていてもよく、または高信号であってもよい。上記で説明した直列インタフェースの例におけるように、保護システム100と周辺装置102との間の通信は通常、認可されていない信号パターン、パケット、またはアクセス試行を監視論理が検出するまで進行する。並列コンフィギュレーションでは、制御論理は、記録、中断、または、周辺装置102からの総切断のために代替I/Oパスにおいてスイッチすることによって、I/Oバスを内部で再ルーティングすることまたは切断することができない。代わりに、保護下のデバイス100への信号が、スイッチ160によって接地される、または高く設定される。しかしながら、伝播遅延が容認されないかもしれない通信スピードおよび信号スピードによる非常に高スピードのシステム(例えば、GHzのレンジで動作するシステム)に対しては、並列アプローチが有用であるかもしれない。さらに、並列の自律的な制御システム104は、(すべての入力に対して一致出力を必要とする)それ自身を通して信号をパスする必要がないので、直列インタフェースよりも少ない全I/O接続を必要とするかもしれない。
図8は、並列インタフェースにより保護システム100に接続され、(図7のスイッチの代わりに)少なくとも1つのトライステート出力160を備えている自律的な制御システム104の実施形態のブロックダイヤグラムである。少なくとも1つのトライステート出力160は、自律的な制御システム104からの周辺バスに接続され、コマンドされるときにI/O中断を生じさせようとして論理ハイまたはローにトグルすることができる。このトライステート出力は、双方向I/Oインタフェースを有していない自律的な制御システム104に対して使用することができる。
図9は、本発明の実施形態にしたがった、並列インタフェースを有する電子的な自律的な制御システム104の動作を図示する概略的なダイヤグラムである。入力デバイス102と保護デバイス100との間の信号が自律的な制御システム104を直接通過しない並列インタフェースを、自律的な制御システム104は備えている。代わりに、自律的な制御システム104は、図9.1において示しているように、電気的に高インピーダンスの入力により各ラインのタップオフをして入力信号を監視する。認可されていない入力試行が行われたときに、並列の自律的な制御システム104は、ホストバスを無効にするのに適した駆動力(電流シンキングおよびソーシング)を有する出力バスにバススイッチをトグルすることによって、認可されていない入力を中断することができる。図9.2の例において、スピード_選択_3ラインを内部で接地することは、最高のプロセススピードを次に選択する論理ハイ状態にそれが到達することを阻止するかもしれない。図9.2において、自律的な制御システム104は、自律的な制御システム104のアクションバス出力からの干渉なしで入力デバイス102からの入力を監視するために、バススイッチを位置3に戻すように周期的にトグルする。認可されているスピードが選択されていることを自律的な制御システム104が検出したときに、図9.3に示しているように、それは安定状態に戻るように移動することができる。直列インタフェースを有する自律的な制御システム104とは異なり、並列インタフェースを有する自律的な制御システム104は、信号を同時に監視しないかもしれない。
図10は、直列インタフェースと並列インタフェースとの両方を利用して自律的な制御システム104が保護システム100に接続されている実施形態のブロックダイヤグラムである。直列インタフェースは、監視論理140Aとアクション論理150Aとスイッチ160Aとを備えている。並列インタフェースは、監視論理140Bとアクション論理150Bとスイッチ160Bとを備えている。この実施形態では、ある通信パスが速過ぎて通常のシステム動作を劣化させることなしに直列にパスすることができないときに、それらのパスを並列インタフェースによって取り扱うことができる。より遅いパスは、直列インタフェースによって取り扱うことができる。
図11は、自律的な制御システム104と保護システム100との間に、自律的な制御システム104がインタフェースにかかわらず通信バス170を備えている実施形態のブロックダイヤグラムである。通信バス170は、悪意のあるまたは認可されていない意図が検出された場合にオプション的に保護システム100にフラグするための機能を備えていてもよい。通信バスは、少なくとも1つの周辺装置102をログ記録するための、少なくとも1つの周辺装置102にアラートするための、または、少なくとも1つの周辺装置102をディセーブルするための機能も備えていてもよい。さらに、通信バス170は、イベントを自律的にログ記録し、コンピュータにより実現されるセキュリティスコアリングシステムにそのようなイベントを報告してもよい。
図12は、自律的な制御システム104が半導体マルチチップモジュールを備えている実施形態のダイヤグラムである。半導体マルチチップモジュールは、スタック状にまたは平面アレイにおいて機能的に接続されている、少なくとも2つの相互接続されているプロセッサダイを備えているかもしれない。モジュールは、単一の半導体パッケージの内側に、プリント回路基板(PCB)に直接据え付けられるインタポーザボードおよび/またはダイレクトワイヤボンディングも備えているかもしれない。この配置により、悪意のある改竄に対する保護を提供することができる自律的な制御システム104を視覚的に検出することが難しくなるかもしれない。
図13は、自律的な制御システム104がインタポーザPCB上に外部的に据え付けられている実施形態のダイヤグラムである。インタポーザPCBは、保護システム100より上かまたは保護システム100より下かのいずれかに、スタック状に機能的に配置されているかもしれないカスタムソケットアセンブリを備えているかもしれない。この実施形態では、自律的な制御システム104を使用して、既存のCPUをセキュリティ保護し、CPUに対して作られている既存のマザーボードおよびソケットを使用することができる。このインプリメンテーションは、2つの個々にパッケージされているコンポーネントを接続して1つを形成することを伴うので、パッケージオンパッケージのインプリメンテーションと呼ばれることがある。
いくつかの実施形態において、保護システム100を備えているかもしれないプリント回路基板(PCB)上に据え付けられている表面であるかもしれない電子回路を、自律的な制御システム104は備えている。自律的な制御システム104は、例えば、1つ以上のPCBトレース、フライングリード、同軸ケーブル、または光ファイバを使用して、保護システム100に動作可能に接続されている。
いくつかの実施形態において、自律的な制御システム104は、保護システム100上に動作可能に据え付けられているかもしれないモジュラースタッカブルシングルボードコンピューティングプラットフォームを備えている。例えば、プラットフォームは、PC104、EPIC、EBX、Raspberry Pi、Parallella、または類似するモジュラーコンピューティングプラットフォームである。この実施形態では、モジュラーコンピューティングスタックヘッダに取り付けられ、上記で説明したセキュリティ保護機能を実行するモジュラーキャリアを、自律的な制御システム104は備えているかもしれない。これは、モジュールオンモジュールのインプリメンテーションと呼ばれることがある。
図14は、本発明の実施形態にしたがった、自律的な制御システム104の改竄防止機能を図示するフローダイヤグラムである。上記で着目したように、自律的な制御システム104の暗号改竄防止チェックを可能とするためのデータを記憶させてもよい。周期的に、または、ユーザの要求の際に、改竄防止チェックが開始される1305。自律的な制御システム104が、自律的な制御システム104と通信するシステム(すなわち、自律的な制御システム104のチェックを実行するシステム)へのメッセージに、プライベートキーによりサインする1310。チェックを実行するシステムが、署名の有効性確認をしようと試行する1315。署名が無効である場合は、自律的な制御システム104が改竄されているかもしれないことを示すアラートが発生される1320。署名が有効である場合は、チェックを実行するシステムが、プライベートキーによりメッセージにサインする1325。自律的な制御システム104が、署名の有効性確認をしようと試行する1330。署名が無効である場合は、チェックを実行するシステムが改竄されているかもしれないことを示すアラートが発生される1335。署名が有効である場合は、改竄チェックがすべてセーフであると宣言される(すなわち、チェックシステムと自律的な制御システム104との両方が改竄がないかもしれない)1340。このように、相互セキュリティを提供するために、自律的な制御システム104は、別のシステムをチェックし、そのシステムによってチェックされる。
図15は、本発明の実施形態にしたがって、安全な共同処理のために、ホストCPUに対するシステムサービスとして自律的な制御システム104を使用するプロセスフローを示している。自律的な制御システム104のプロセッサが自律的な制御システムの複数のインスタンシエーションを有していてもよいので、自律的な制御システム104に対して上記で説明したアーキテクチャはまた、ホストCPUに対するシステムサービスとしての安全な処理を可能にすることができる。この実施形態において、自律的な制御システム104が命令を受け取る1505。自律的な制御システム104が、自律的な制御システム104のメモリサブシステムに関係付けられているメモリ中に存在する予めプログラムされているオペコードとの一致を発見するために、コンパイラによって機械言語へと低減された、すなわち、オペコードへと低減された、(例えば、入力デバイス102から)受け取った命令を比較する1510。一致が存在する場合は、自律的な制御システム104がオペコードの予めプログラムされている機能を実行し1515、保護システム100はオペコードを受け取らないかもしれない。自律的な制御システム104が安全な記憶装置にアクセスし1520、結果を返す1525。代わりに、自律的な制御システム104の予めプログラムされているメモリ内で、受け取ったオペコードとの一致が存在しない場合は、オペコードが実行のために保護システム100にパスされ1530、保護システム100が結果を返す1535。自律的な制御システム104とともに働くように特に設計されている、入力デバイス102上で実行されるソフトウェアアプリケーションが、自律的な制御システム104の安全な共同処理能力にアクセスするための、自律的な制御システム104に特有のオペコードまたは命令セットを収容するために必要とされるかもしれない。例えば、そのような自律的な制御システム104に特有のオペコードまたは一連のオペコードがデータセット上で暗号署名を要求する場合に、プロセッサ200がデータセット上で暗号ハッシュをまず実行することによって応答する。その後、プロセッサ200は、(安全な記憶装置202中に記憶されている)それのプライベートキーを使用して、ハッシュされたデータセットにデジタル的にサインをし、その後、入力デバイス102を介して、問題のオペコードを発生させた自律的な制御システム104に特有のアプリケーションに戻すように、サインされたデータセットを返すかもしれない。
さまざまな実施形態を上記で説明してきたが、それらは例として提示したものであり、限定されるものではないことを理解すべきである。精神および範囲から逸脱することなく、形態および詳細においてさまざまな変更をそこで行うことができることが、当業者には明白となろう。事実、上記の説明を読んだ後に、代替的な実施形態の実現の仕方が当業者に明白となろう。
加えて、機能性および利点を際立たせる任意の図面は、例示的な目的のためのみに提示していることを理解すべきである。開示した方法論およびシステムは各々、十分に柔軟なものであり、示した以外の方法でそれらを利用できるように構成可能である。
用語“少なくとも1つ”をしばしば明細書、特許請求の範囲、および図面中で使用しているが、用語“a”、“an”、“the”、“said”等はまた、明細書、特許請求の範囲、および図面中で“少なくとも1つ”または“前記少なくも1つ”を表す。
最後に、表現言語“ための手段”または“ためのステップ”を含む請求項のみが米国特許法第112条(f)の下で解釈されるべきであることが出願人の意図である。フレーズ“ための手段”または“ためのステップ”を明示的に含まない請求項は、米国特許法第112条(f)の下で解釈するべきではない。

Claims (36)

  1. ルールの自律的な実施のためのシステムにおいて、
    入力信号に応答して動作可能な保護システムと、
    自律的な制御システムとを具備し、
    前記自律的な制御システムは、
    前記ルールの違反に関して前記入力信号を監視するように、前記入力信号に結合される監視回路と、
    違反する入力信号が前記保護システムに影響を及ぼすことを阻止する、前記保護システムに結合されるアクション回路とを備えるシステム。
  2. 前記入力信号は、前記アクション回路を通過し、前記ルールに違反する入力信号を前記監視回路が検出するときに、前記アクション回路によって、前記保護システムに到達することからブロックされる請求項1記載のシステム。
  3. 前記自律的な制御システムは、前記保護システムと並列に前記入力信号に結合される請求項1記載のシステム。
  4. 前記監視回路および前記アクション回路は、
    前記ルールを記憶するためのメモリと、
    前記入力信号を受け取り、前記ルールを前記入力信号に適用し、前記ルールに違反する入力信号が前記保護システムに影響を及ぼすことを阻止するプロセッサとを含む請求項1記載のシステム。
  5. 前記アクション回路は、違反する入力信号に応答して、入力信号を代替信号に置換する請求項1記載のシステム。
  6. 前記代替信号は、違反する入力信号を適用する試行を前記保護システムに示す請求項5記載のシステム。
  7. 前記アクション回路は、違反する入力信号に応答して、前記保護回路をディセーブルする請求項1記載のシステム。
  8. 前記自律的な制御システムはメモリを含み、前記自律的な制御システムは、違反する入力信号を前記メモリ中に記憶させる請求項1記載のシステム。
  9. 前記入力信号を受け取り、前記ルールの違反が検出されないことに応答して、前記入力信号を前記保護システムにパスするマルチプレクサを、前記アクション回路は含む請求項1記載のシステム。
  10. 前記マルチプレクサは、前記入力信号が前記ルールに違反することに応答して、代替信号を前記保護システムに提供する請求項9記載のシステム。
  11. 前記アクション回路は、前記入力信号のうちの少なくとも第1の信号に関して、前記保護システムと直列に、前記入力信号のうちの少なくとも第2の信号に関して、前記保護システムと並列に接続されている請求項1記載のシステム。
  12. 前記保護システムと前記制御システムとの間に配置される通信バスをさらに具備し、
    前記制御システムは、前記ルールに違反する入力信号に応答して、前記通信バスを通して前記保護システムにシグナリングする請求項1記載のシステム。
  13. 前記制御システムは、前記保護システムと共通のパッケージに含まれる請求項1記載のシステム。
  14. 前記制御システムは、前記制御システム中に配置される制御システムプライベートキーを含み、前記制御システムは、前記制御システムプライベートキーによりメッセージにサインし、前記制御システムがサインしたメッセージをソースに送り、前記ソースは、前記制御システムが改竄されているか否かを決定する請求項1記載のシステム。
  15. 前記ソースは、前記ソース内に配置されるソースプライベートキーを含み、前記ソースは、前記ソースプライベートキーによりメッセージにサインし、前記ソースがサインしたメッセージを前記制御システムに送り、前記制御システムは、前記ソースが改竄されているか否かを決定する請求項14記載のシステム。
  16. 前記監視回路は、前記ルールの違反に関して前記保護回路の出力信号を監視するように、前記出力信号に結合され、前記アクション回路は、違反する出力信号に応答して、前記出力信号の配信を阻止する請求項1記載のシステム。
  17. 前記制御システムは、前記保護システムによって利用されるよりも強度のアクセス制御を実施する請求項1記載のシステム。
  18. 前記制御システムは、前記保護システムの物理レイヤに接続されている請求項1記載のシステム。
  19. 保護システムを保護するための方法において、
    前記保護システムへの入力信号に結合される、自律的な制御システムの監視回路により、ルールに違反する入力信号に関して前記入力信号を監視することと、
    前記保護システムに結合される、前記自律的な制御システムのアクション回路により、違反する入力信号が前記保護システムに影響を及ぼすことを阻止することとを含む方法。
  20. 前記ルールに違反する入力信号を前記監視回路が検出することに応答して、前記アクション回路が前記保護システムへの入力信号をブロックすることをさらに含む請求項19記載の方法。
  21. 前記自律的な制御システムを、前記保護システムと並列に前記入力信号に結合させることをさらに含む請求項19記載の方法。
  22. 前記監視回路および前記アクション回路のメモリ中に前記ルールを記憶させることと、
    前記監視回路および前記アクション回路のプロセッサが、前記入力信号を受け取り、前記ルールを前記入力信号に適用し、前記ルールに違反する入力信号が前記保護システムに影響を及ぼすことを阻止することとをさらに含む請求項19記載の方法。
  23. 前記アクション回路が、違反する入力信号に応答して、入力信号を代替信号に置換することをさらに含む請求項19記載の方法。
  24. 前記代替信号は、違反する入力信号を適用する試行を前記保護システムに示す請求項23記載の方法。
  25. 前記アクション回路が、違反する入力信号に応答して、前記保護回路をディセーブルすることをさらに含む請求項19記載の方法。
  26. 前記自律的な制御システムのメモリ中に、違反する入力信号を記憶させることをさらに含む請求項19記載の方法。
  27. 前記アクション回路のマルチプレクサによって前記入力信号を受け取ることと、前記マルチプレクサが、前記ルールの違反が検出されないことに応答して、前記入力信号を前記保護システムにパスすることとをさらに含む請求項19記載の方法。
  28. 前記マルチプレクサが、前記ルールが違反されるときに、代替信号を前記保護システムに提供することをさらに含む請求項27記載の方法。
  29. 前記アクション回路を、前記入力信号のうちの少なくとも第1の信号に関して、前記保護回路と直列に、前記入力信号のうちの少なくとも第2の信号に関して、前記保護システムと並列に接続することをさらに含む請求項19記載の方法。
  30. ルールに違反する入力信号に応答して、前記保護システムと前記制御システムとの間に配置される通信バスを通して、前記制御システムが前記保護システムにシグナリングすることをさらに含む請求項19記載の方法。
  31. 前記制御システムと前記保護システムとを共通のパッケージにパッケージングすることをさらに含む請求項19記載の方法。
  32. 前記制御システムが、前記制御システム内に配置される制御システムプライベートキーによりメッセージにサインすることと、前記制御システムがサインしたメッセージをソースに送ることとをさらに含み、前記ソースは、前記制御システムが改竄されているか否かを決定する請求項19記載の方法。
  33. 前記ソースが、前記ソース内に配置されるソースプライベートキーによりメッセージにサインすることと、前記ソースがサインしたメッセージを前記制御システムに送ることとをさらに含み、前記制御システムは、前記ソースがサインしたメッセージから、前記ソースが改竄されているか否かを決定する請求項32記載の方法。
  34. 前記監視回路により、前記ルールに違反する出力信号に関して前記保護システムの出力信号を監視することと、
    前記アクション回路により、違反する出力信号の、前記保護システムからの配信を阻止することとをさらに含む請求項19記載の方法。
  35. 前記制御システムは、前記保護システムによって利用されるよりも強度のアクセス制御を実施する請求項19記載の方法。
  36. 前記制御システムを前記保護システムの物理レイヤに接続することをさらに含む請求項19記載の方法。
JP2017522133A 2014-10-24 2015-10-20 自律的な制御のシステムおよび方法 Pending JP2018502352A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/523,577 2014-10-24
US14/523,577 US20160116893A1 (en) 2014-10-24 2014-10-24 Autonomous control systems and methods
PCT/US2015/056496 WO2016064898A1 (en) 2014-10-24 2015-10-20 Autonomous control systems and methods

Publications (1)

Publication Number Publication Date
JP2018502352A true JP2018502352A (ja) 2018-01-25

Family

ID=55761432

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017522133A Pending JP2018502352A (ja) 2014-10-24 2015-10-20 自律的な制御のシステムおよび方法

Country Status (8)

Country Link
US (1) US20160116893A1 (ja)
EP (1) EP3210151A4 (ja)
JP (1) JP2018502352A (ja)
KR (1) KR20170073669A (ja)
CN (1) CN107148630A (ja)
AU (1) AU2015336090A1 (ja)
CA (1) CA2965140A1 (ja)
WO (1) WO2016064898A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10374792B1 (en) * 2016-09-29 2019-08-06 EMC IP Holding Company LLC Layout-independent cryptographic stamp of a distributed dataset
US10289840B2 (en) * 2017-06-02 2019-05-14 Silicon Laboratories Inc. Integrated circuit with tamper protection and method therefor
EP3901720A1 (de) * 2020-04-22 2021-10-27 Siemens Aktiengesellschaft Integritätsprüfung bei leitsystemen technischer anlagen

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7124302B2 (en) * 1995-02-13 2006-10-17 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US20010039624A1 (en) * 1998-11-24 2001-11-08 Kellum Charles W. Processes systems and networks for secured information exchange using computer hardware
EP1381928B1 (en) * 2001-01-10 2008-12-31 Cisco Technology, Inc. Computer security and management system
TWI220344B (en) * 2002-10-23 2004-08-11 Winbond Electronics Corp Manufacture and method for accelerating network address translation
US7735095B2 (en) * 2003-05-02 2010-06-08 Microsoft Corporation Network device drivers using a communication transport
US20060168273A1 (en) * 2004-11-03 2006-07-27 Ofir Michael Mechanism for removing data frames or packets from data communication links
US7756933B2 (en) * 2004-12-13 2010-07-13 Collactive Ltd. System and method for deterring rogue users from attacking protected legitimate users
US7735136B2 (en) * 2005-04-18 2010-06-08 Vmware, Inc. 0-touch and 1-touch techniques for improving the availability of computer programs under protection without compromising security
US7286437B2 (en) * 2005-06-17 2007-10-23 International Business Machines Corporation Three dimensional twisted bitline architecture for multi-port memory
US7735116B1 (en) * 2006-03-24 2010-06-08 Symantec Corporation System and method for unified threat management with a relational rules methodology
US8010786B1 (en) * 2006-10-30 2011-08-30 Citigroup Global Markets Inc. Systems and methods for managing digital certificate based communications
GB2448118B (en) * 2007-04-03 2011-08-24 Advanced Risc Mach Ltd Error recovery following erroneous execution with an instruction processing pipeline
US8839349B2 (en) * 2011-10-18 2014-09-16 Mcafee, Inc. Integrating security policy and event management
CN103905786A (zh) * 2012-12-27 2014-07-02 龙永贤 一种无线网络监控系统
US10129284B2 (en) * 2013-09-25 2018-11-13 Veracode, Inc. System and method for automated configuration of application firewalls
US8667589B1 (en) * 2013-10-27 2014-03-04 Konstantin Saprygin Protection against unauthorized access to automated system for control of technological processes

Also Published As

Publication number Publication date
EP3210151A4 (en) 2018-10-03
EP3210151A1 (en) 2017-08-30
AU2015336090A1 (en) 2017-05-18
KR20170073669A (ko) 2017-06-28
CN107148630A (zh) 2017-09-08
AU2015336090A8 (en) 2017-06-08
WO2016064898A1 (en) 2016-04-28
US20160116893A1 (en) 2016-04-28
CA2965140A1 (en) 2016-04-28

Similar Documents

Publication Publication Date Title
US9298917B2 (en) Enhanced security SCADA systems and methods
US9887984B2 (en) Autonomous system for secure electric system access
EP3286688B1 (en) Isolation of trusted input/output devices
Trimberger et al. Security of FPGAs in data centers
CN111656747B (zh) 集成电路
KR102332467B1 (ko) 로그 데이터의 무결성 보호
JP2018502352A (ja) 自律的な制御のシステムおよび方法
US20160219079A1 (en) Autonomous control systems and methods for protecting infrastructure
Nisarga et al. System-level tamper protection using MSP MCUs
Shila et al. FIDES: Enhancing trust in reconfigurable based hardware systems
CA2966745A1 (en) Autonomous control systems and methods for protecting infrastructure
Shila et al. Unraveling the security puzzle: A distributed framework to build trust in FPGAs
Güneysu et al. Securely sealing multi-FPGA systems
Plappert et al. Evaluating the applicability of hardware trust anchors for automotive applications
JP2017535871A (ja) 安全なアクセスのための自律的なシステム及び方法
Beavers et al. Intelligence at the edge part 4: edge node security
CN112154623B (zh) 安全消息路由
Katerina Malicious Hardware
Ntouska Malicious hardware
TW202240591A (zh) 唯讀記憶體(rom)安全性
Rahmatian Intrusion Detection for Embedded System Security
Capillon et al. Combining security assurance and high performance in hostile environments
Kornaros et al. Hardware-assisted Security in Electronic Control Units