JP2021077340A - 産業用エッジデバイスのデータ交換を制御する方法及び装置 - Google Patents

産業用エッジデバイスのデータ交換を制御する方法及び装置 Download PDF

Info

Publication number
JP2021077340A
JP2021077340A JP2020141519A JP2020141519A JP2021077340A JP 2021077340 A JP2021077340 A JP 2021077340A JP 2020141519 A JP2020141519 A JP 2020141519A JP 2020141519 A JP2020141519 A JP 2020141519A JP 2021077340 A JP2021077340 A JP 2021077340A
Authority
JP
Japan
Prior art keywords
data
communication connection
control device
application
edge device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020141519A
Other languages
English (en)
Other versions
JP7135037B2 (ja
JP2021077340A5 (ja
Inventor
ビルク ギュンター
Birk Gunther
ビルク ギュンター
ヘフェレ マルクス
Marcus Haefele
ヘフェレ マルクス
コブ ペーター
Kob Peter
コブ ペーター
シュライ ロルフ
Schrey Rolf
シュライ ロルフ
ツェルトナー アーミン
Zeltner Armin
ツェルトナー アーミン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of JP2021077340A publication Critical patent/JP2021077340A/ja
Publication of JP2021077340A5 publication Critical patent/JP2021077340A5/ja
Application granted granted Critical
Publication of JP7135037B2 publication Critical patent/JP7135037B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/018Certifying business or products
    • G06Q30/0185Product, service or business identity fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31246Firewall
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Business, Economics & Management (AREA)
  • Automation & Control Theory (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Accounting & Taxation (AREA)
  • Development Economics (AREA)
  • Finance (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Quality & Reliability (AREA)
  • Manufacturing & Machinery (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】産業用オートメーション装置及びデータクラウドとの産業用エッジデバイスのデータ交換を制御する方法を提供する。【解決手段】エッジデバイスEDは、産業用オートメーション装置PLCに対する通信接続部KA1と、データクラウドCLのネットワークに対する通信接続部KA2と、データを交換するアプリケーションAW1、AW2を備え、交換されるデータをファイアウォールやコンテンツフィルタの形式で制御する制御デバイスKEと、を含む。エッジデバイスのデータフロー制御デバイスDKEにより、1つのアプリケーションが同時に両方の通信接続部を介して直接データを交換しないことが保証される。攻撃保護が中央の個別の制御デバイスにおいて、ファイアウォール機能やコンテンツフィルタを用いて実現され、アプリケーション又はアプリケーションのコンテナ(Dockerコンテナ)は、データの安全性に関して厳密にはチェックされない。【選択図】図1

Description

本発明は、請求項1の前段部分に係る、産業用オートメーション装置とデータクラウドとの産業用エッジデバイスのデータ交換を制御する方法関し、そして、請求項11の前段部分に係る、産業用オートメーション装置とデータクラウドとに対するデータ交換を制御するためのデバイスを有する産業用エッジデバイスに関する。
例えば個別の商品用の生産設備又はプロセスエンジニアリングの設備といった産業用オートメーション装置は、通常、プログラマブルロジックコントローラ(PLC:programmable logic controller)などのコンピュータ制御される多数のコンポーネントと、例えばHMIデバイス(HMI:Human Machine Interface)等の他の複数のデバイスとにより構成されている。様々な理由により、これらの互いにネットワーク化されたコンポーネントは、従来、例えば生産装置に対するデータ的な攻撃を回避する目的で、パブリックネットワークから、特にインターネットから、分離されている。
しかし、産業用オートメーション装置においてこれまでデータエンジニアリングの「アイランドオペレーション」で運用されていたアクティブコンポーネントに対して、パブリックネットワーク、特にデータクラウド(以下、「クラウド」とも称する)と、データを交換できるようにするという要求が、ますます高まっている。その理由は様々であり、例えば、ローカルの各種オートメーション装置を互いにネットワーク化することが目的であったり、生産稼働制御を世界中の様々な場所から行えるようにすることが目的であったり、複数の命令を複数のオートメーション装置へ送ることや生産データの読み取りが目的であったりする。
オートメーション装置間のプライベートネットワークと、パブリックネットワーク(特にクラウド)との間でデータ交換を規制し制御する目的で、プライベートネットワークとパブリックネットワークとの間の境界でエッジデバイス(末端装置:Edge Device)が使用される。このエッジデバイスのタスクは、データトラフィック制御をはるかに超え得る。特に、データエンジニアリングの点で非常に高性能なエッジデバイスは、プログラマブルロジックコントローラでは実行できないアプリケーションやプロセス(処理)を実行することができる。すなわち例えば、複雑な演算、生産データの評価、アーカイブタスク等である。特に、最近のエッジデバイスの場合、当該エッジデバイスで、カプセル化及びコンテナ化されたアプリケーション、所謂「アプリ(App)」、を実行することが可能である。これらアプリは、所謂アプリストアであるパブリックのアプリケーションストレージから取得され得る。そしてアプリは、例えば、製造経過を監視するため、パフォーマンス、生産量、エラー等に関する統計情報を作成するため、また、それら情報をクラウドサーバへ転送するために、使用することができる。これらのデータはそこに保存され、MESシステムなどの監視を行う権限部によって、そこで更に評価されたりアクセスされたりし得る。
そのタスクを実行できるように、エッジデバイスのほとんどのアプリ(アプリケーション)は、プライベートのオートメーションネットワークとデータを交換するだけではなく、クラウドと、或いはそこに配設されているサーバや通信パートナーと、データ交換を別に行うことも必要である。従来型のエッジデバイスは、したがって、少なくとも2つの別個の通信チャンネル、例えば、ネットワークカード、仮想分離されたネットワーク又はポート(この通信チャンネルの一方がプライベートオートメーションネットワークに接続され、他方がクラウドに接続される、つまり例えばインターネットコネクションに接続される)を有する。
サイバー攻撃、つまり不正アクセス、を防ぐために、例えばプログラマブルロジックコントローラやその他の敏感なデバイスを備えたプライベートネットワークであるオートメーションネットワークと、クラウド又はインターネット或いは一般的に言うパブリックネットワークとが、互いに明確に分離されていることは、産業用オートメーション装置の多くのオペレータにとって自明の要件である。一般的にはしたがって、生産データや企業秘密に対する不正(権限のない)アクセスが危惧され、更に言えば、不正アクセスや攻撃によって製品が損なわれることが危惧される。これは極端な場合には生産手段や人にとっての危険性さえ意味し得る。
この問題を解決するために、在来のPCアーキテクチャやサーバアーキテクチャをもつエッジデバイスを、通常の手段を用いて保護するのが一般的である。具体的には、ネットワークアドレス、特にTCP/IPポート、と関連させてアクセスを限定するファイアウォールをインストールすることであり、これにより通信が、例えばHTTPSサービスなどの特定のサービスに制限される。
しかし、このときに、多数のタスクを実行することができるように、そしてそれ故に、プライベートオートメーションネットワーク、すなわちオートメーション装置において多くのデータ及び情報にアクセスできるようにするために、一部のアプリケーションがオートメーションネットワークに対する自由で妨げのないアクセスを必要とする、という問題が残る。
この場合、そこにファイアウォールを用いることは難しいか不可能であり、結果的に、該当するアプリケーションに対してオートメーションネットワークに対する無制御のアクセスを許可する必要が出てくる。しかし同時に、これらアプリケーションを介してオートメーションネットワークを攻撃する機能が実現され得ることから、当該アプリケーションに、パブリックネットワーク、クラウドへの妨げのないアクセスを許可してはならない。しかし逆に、何らかの理由で必要である場合は、アプリに対してクラウド環境に対する妨げのないアクセスを許容することも当然ながら可能であるべきである。ただしこの場合、パブリックネットワークとプライベートネットワークとの間の、言い換えると、クラウドとオートメーションネットワークとの間の必要以上の直接的な接続を避けるために、アプリケーションに対してオートメーションネットワークのアクセスをブロックする必要がある。
しかし、結論として上記の対策では、クラウドともオートメーションネットワークとも通信するアプリケーションにおいてデータセキュリティを実現することが困難である。
以上の背景に鑑みて、本発明の一課題は、オートメーション装置にもデータクラウド(クラウド)にもアクセスを必要とする産業用エッジデバイスのアプリケーションにおけるデータセキュリティを改善することにある。
本発明に係る課題解決策の本質的な思想によれば、エッジデバイスが、少なくとも2つの分離した物理的ネットワーク接続部、広く言えば通信接続部、を常に有しており、その1つがデータクラウド(クラウド)への接続用であり、別の少なくとも1つが産業用オートメーション装置(ローカルネットワーク)への接続用である。これにより、1つ以上のエッジデバイスのデータ管理において、ソフトウェアコンポーネント(通例、アプリケーション)が、クラウドとの直接的なデータ交換を行うのか、或いは、産業用オートメーション装置(通例、オートメーションネットワーク)のコンポーネント(デバイス)との直接的なデータ交換を行うのか、いずれか一方を設定することができ、ただし、その両方とは同時にデータ交換を行わないように設定することができる。制御デバイスによって制御される専用の制限データアクセスが、他方のネットワークレベルへの非直接のデータ接続の都度にアクティブにされ得る。データ管理は、通信接続のデータトラフィックを管理するデータフロー制御デバイスによって行われる。しかしながら、これらコンポーネント及びアプリケーションのそれぞれと制御デバイスとデータフロー制御デバイスとは、それでも、通信するコンポーネントに直接にはルーティングされない物理的なネットワーク通信又は通信接続に対しそれぞれ少なくともファイアウォール機能を実行するスイッチングレイヤと通信可能とする。
産業用オートメーション装置とデータクラウドとに対する産業用のエッジデバイスのデータ交換を制御する方法が提案される。当方法においてエッジデバイスは、産業用オートメーション装置に対する第1の通信接続部と、データクラウドのネットワークに対する第2の通信接続部とをもち、データを交換する多数のアプリケーションを備え、そして、交換されるデータをファイアウォール形式又はコンテンツフィルタ形式(コンテンツベースフィルタリング)で制御する少なくとも1つの制御デバイスを含む。アプリケーションのそれぞれに対して、各アプリケーションの第1の通信接続部を介するデータ交換を制御デバイスにより制御すると共に第2の通信接続部を介するデータ交換を直接実行するのか、又は反対に、第1の通信接続部を介するデータ交換を直接実行すると共に第2の通信接続部を介する通信を制御デバイスにより実行するのか、を設定する。そして、エッジデバイスのデータフロー制御デバイスにより、アプリケーションが同時に両側の通信接続部を介して直接データ交換を実行しないこと、を保証する。この方法によって、アプリケーション、又はアプリケーションを備えたコンテナ(例えばDocker Container)は、データセキュリティに関して厳密にチェックする必要がなくなる。すなわち、攻撃に対する保護は、中央で個別に管理される、ファイアウォール機能又はコンテンツフィルタを備えた制御デバイスにおいて実行される。これにより特に、潜在的に脆弱性のあるソフトウェアコンポーネント(アプリケーション)が、オートメーション装置とデータクラウド(クラウド)との無制御のデータ交換を同時に実行できないこと、が保証される。
上記課題は更に、産業用のエッジデバイスによって解決され、該エッジデバイスは、産業用オートメーション装置とデータクラウドとのエッジデバイスのデータ交換を制御するデバイスを含む。該エッジデバイスは、産業用オートメーション装置に対する第1の通信接続部と、データクラウドのネットワークに対する第2の通信接続部とをもつ。該エッジデバイスは、多数のアプリケーション、すなわちデータを消費し及び/又は提供し、したがってデータを交換する多数のアプリケーションを備える。該エッジデバイスは、交換されるデータをファイアウォール形式又はコンテンツフィルタ形式で制御する少なくとも1つの制御デバイスを含む。該エッジデバイスは、データフロー制御デバイスを含み、このデータフロー制御デバイスは、アプリケーションが複数の通信接続部のうちの1つの通信接続部で直接データ交換を実行すると共に複数の通信接続部のうちの他の各通信接続部では制御デバイスを介してデータ交換を実行するように制御すべく、構成されている。且つデータフロー制御デバイスは、アプリケーションが同時に両側の通信接続部を介して直接データ交換を行わないように制御するべく、構成されている。この産業用エッジデバイスによれば、本発明の方法に関し記述した利点が実現される。
本発明の有益な態様が引用形式の請求項に示されている。これら請求項で特定されている特徴及び長所は、特に各請求項において特定される方法ステップは、該当する方法ステップを実行するように構成されることを目的とした本発明に係るエッジデバイスに対しても相応に当てはまる。該エッジデバイスにおいては、エッジデバイスのソフトウェアコンポーネント、特にデータフロー制御デバイス、が、対応するソフトウェアルーチンでプログラムされている。各構成に関して示されている方法ステップ又はデバイス特徴は、個別でも互いの適切な組み合わせでも実現される。
エッジデバイスに複数のアプリケーションがインストールされているか、複数の実行時環境(コンテナ:Docker Containers、仮想マシン)がインストールされている場合、ユーザが、エッジデバイス又はデータフロー制御デバイスのユーザインターフェースを介して通信接続部を管理又は規定できるのが有益である。すなわち、アプリケーション又は実行環境、コンテナ又は仮想マシンなどがアプリケーションと直接通信するための通信接続部、及び、同じアプリケーションなどが制御デバイスによる制御下でのみデータ交換できる通信接続部、についてである。一態様では、進行中のオペレーションでアプリケーション又はコンテナなどがこの割り当てを自発的に変更する機能を獲得することの管理を実行することさえ可能である。このことは例えば、アプリケーションが別々のアクセス要件をもつ複数の別個のモジュールから構成されている場合に、有利である。
代替的に又は追加的に、データフロー制御デバイス自体によって、複数の通信接続部のうちのどの通信接続部がアプリケーション等と直接リンクされるか、及び、複数の通信接続部のうちの他のどの通信接続部が制御デバイスを介して同じアプリケーション等とリンクされるか、を決定することもできる。このことは、一連の規則に基づいて行うのが有利である。例えば、特定のセキュリティ要件を満たしているアプリケーション等のみが、オートメーションネットワーク又はオートメーション装置へ無フィルタリングでアクセスできる権限をもつということが規定され得る。これは、例えば、それぞれのアプリケーションに割り当てられている証明書によって行い得る。この証明書がない場合は、又は証明書に瑕疵があったり期限切れである場合は、該当アプリケーションは、制御デバイスを介してのみデータを交換できるか、又は、複数の通信接続部のうちの1つを介してのみしか通信を許可されない、というように規定され得る。別の結果も規定可能であり、例えば、全ての通信接続部が制御デバイスを介して又は2つの別々の制御デバイスを介してルーティングされなければならないということが規定されてもよい。一連の規則は、アプリケーションのタイプ又はアプリケーションの製造元に基づいて決定可能である。この場合例えば、オートメーション装置のコンポーネントも提供している同じ製造元から証明されて発行されているアプリケーション(アプリ)は、オートメーションネットワークへの直接アクセスが常に許可されるなどと規定することが可能である。
制御デバイスは、アプリケーションとしてエッジデバイスにインストールするのが有益である。このことは、制御デバイス又は該デバイスで定義されるセキュリティ規則の定期的な更新を簡単に常に行えるという利点をもつ。さらに、複数の別々の制御デバイスを1つの同じエッジデバイスにインストールすることが同時に可能となり、これによれば、異なるアプリケーションに対して異なるセキュリティレベルを実施することができる。この制御デバイスは、好ましくは、所謂ファイアウォール機能をもつだけではなくて、制御対象のデータストリームのコンテンツをチェックすることもできるものとする。この目的で、好ましくは、オートメーション装置又はこれに組み込まれているコンポーネント(プログラマブルロジックコントローラ、HMIデバイスなど)の製造元から、或いは第三者から、データストリームを検査するための命令を含む記述ファイルを受け取ってインストールすることが可能である。これらの情報は、例えばXMLファイルの形式で提供され、該XMLファイルがキーワード又はマーカーを示し、これらキーワード又はマーカーは、検査対象のデータストリーム内で再検出可能であって、フィルタリング又はブロックされなければならない機密データをマークする。具体的に、有利な構成においては、例えばOPC−UAプロトコルにより送信されるパラメータクエリを、特にアプリケーションからオートメーション装置へ向けての不必要な書き込みアクセスに関して、制御し必要に応じてブロックすることも可能である。
好ましくは、1つ以上のアプリケーションが、それぞれ仮想実行環境においてそれぞれのアプリケーションコンテナでエッジデバイスにインストールされる。各コンテナにはそれぞれ1つのアプリケーションがインストールされるのが好ましく、コンテナのそれぞれは別々の仮想実行環境で実行される。これにより、該当するコンテナのそれぞれに対して直接か又は制御されたデータアクセスの割り当てを規定することが可能になる。例えば、サービスプロバイダやその他の使用者にコンテナを割り当てることができ、そしてこの使用者は、当該コンテナ内で異なるアプリケーションを交互に動作させることが可能であり、その際にデータアクセスの割り当てを繰り返し再管理しなければならないということはない。したがって、例えば、オートメーション装置に素材を提供しようとしているサービスプロバイダは、該当する在庫水準に関する情報を彼らに提供するアプリ(アプリケーション)を、独立して操作することができる。この場合、このサービスプロバイダに割り当てられているコンテナは、該当する在庫水準を読み出すことができるように、オートメーション装置に対し制限されたリード(読み出し)アクセスの権限をもち得る。
データ交換は、好ましくは、コンテナ毎に、複数の通信接続部のうちの1つの通信接続部を直接このコンテナにルーティングすること、及び、複数の通信接続部のうちの他の各通信接続部を制御デバイスを介してこのコンテナにルーティングすること、によって制御される。これは、例えば一般的なファイアウォール規則を介してか又は既述のアクセスフィルタを介して制御可能であり、又は、制御デバイスを介し許可されていれば直接のネットワーク接続が割り当てられる。通信接続部の簡潔なルーティング又は再ルーティング、すなわち、この例のコンテナにおけるような実行環境又は実行時環境に対する通信接続部の割り当てを通して、システムは容易且つ素早く管理可能である。加えて、通信接続部のルーティングによって、特に直接チャンネルで、データ交換が阻害されず、したがって非常に迅速に行われるという利点が得られる。
本発明の実施形態が以下において図面を参照して説明される。これは同時に本発明に係るエッジデバイスの実施形態の説明にも寄与する。
アプリケーションとデータ交換のコンポーネントとを含むエッジデバイスの概略図を示し、データ交換は、一方はデータクラウド(クラウド)と、他方はオートメーション装置(図中、PLC:Programmable Logic Controller)と、のデータ交換を示す。
図中、上部に、つまり破線の分割線の上側に、データクラウドCL(クラウド)のあるパブリック領域を示している。破線の分割線の下側には、プライベートドメインとしてここでは産業用オートメーション装置が示されており、当該装置のプログラマブルロジックコントローラPLCがコンポーネントの一例として図示されている。両領域の境に、通信接続部KA1,KA2を有するエッジデバイスEDが示されている。通信接続部KA1は、オートメーションネットワーク(例えばプロフィネット)用の専用ポートであり、例示されているプログラマブルロジックコントローラPLCはここに接続されている。通信接続部KA2は、パブリックネットワーク、すなわちインターネット、と接続されており、データクラウドCLのクラウドサーバ(図示せず)と通信する。この簡略化した例では2つの通信接続部KA1,KA2のみが例示されているが、実物のエッジデバイスEDにおいては、ここで提案する方法に従って動作するあらゆるタイプのたくさんの通信接続部が動作可能でもある。
エッジデバイスEDのファームウェアは、データフロー制御デバイスDKEを含んでおり、当該データフロー制御デバイスDKEは、通信接続部KA1,KA2の動作を制御し、これら通信接続部KA1,KA2を介してルーティングされるデータストリームを伝送する、具体的には別々の実行環境へデータストリームを送る。データストリームのそれぞれは双方向のデータストリームである。エッジデバイスEDは多数の仮想実行環境をもち、当該仮想実行環境において所謂Dockerコンテナがインスタンス化され、これらコンテナのそれぞれにおいてアプリケーションAW1,AW2が動作可能とされる。別のコンテナにおいて制御デバイスKEが動作し、当該制御デバイスKEは、1つ以上のデータストリームをそのアドレッシング(ファイアウォール機能)に関して及び/又はそのコンテンツ(コンテンツフィルタ)に関して制御し、必要に応じてフィルタリングするように、構成されている。
エッジデバイスED、及びこの例においては特にデータフロー制御デバイスDKEを備えたファームウェアは、ユーザインターフェース、特にウェブインターフェース、を提供し、このインターフェースを用いて、アプリケーションAW1,AW2、制御デバイスKE、及び特に通信接続部KA1,KA2のデータフローを設定することができる。
以下、アプリケーションAW1が、オートメーション装置(具体的にはプログラマブルロジックコントローラPLC)から生産データを呼び出し、そして、データクラウドCL(クラウド)の複数のSCADA(Supervisory Control And Data Acquisition System)システム(図示せず)にそのデータを提供する場合を仮定する。この場合、データフロー制御デバイスDKEのユーザインターフェースを介して管理が実行され、プログラマブルロジックコントローラPLCから通信接続部KA1を介しそして制御デバイスKEを介するデータ接続のルーティングが意図され、最終的にアプリケーションAW1に到達することが意図される。第2のデータストリームは、アプリケーションAW1とデータクラウドCLとの間で通信接続部KA2を介しルーティングされる。図中、データストリームは、該当するユニットの接続経路に従う破線で図示されている。
データフロー制御デバイスDKEのユーザインターフェースにより、制御デバイスKEは、プログラマブルロジックコントローラPLCから通信接続部KA1を経てアプリケーションAW1へ至るデータストリームが、データダイオードの方式でフィルタリングされるように管理される。このことは、プログラマブルロジックコントローラPLCの変数のクエリ(問い合わせ)に適合するクエリコマンド(例えばOPC−UAプロトコルに従う)のみが、アプリケーションAW1からプログラマブルロジックコントローラPLCへ向かう方向において送信許可される、ということを意味する。アプリケーションAW1からプログラマブルロジックコントローラPLCへ向かう方向のその他のコマンド又はメッセージの全ては、制御デバイスKEによって抑止される。反対方向について制御デバイスKEは、OPC−UAプロトコルに従うメッセージ(応答メッセージ)をもち対応する認証済みコンテンツを転送するデータパケットのみを許可する。この方式でフィルタリングされたデータがアプリケーションAW1で処理され、そして、データクラウドCLのサーバとエッジデバイスEDとの間の通信媒体としてインターネットなどのデータクラウドを介して呼び出し可能となる。これを行うために、通信接続部KA2は、従来の方式でアプリケーションAW1からアクセス可能である。このことは必ずしも、当アクセスが完全に無制御であることを意味するのではなく、例えば一般的なファイアウォールが介在し得る。ただし、この例において、データクラウドCLとアプリケーションAW1のコンポーネント間のデータトラフィックに関してコンテンツフィルタリングを行うことは意図されておらず、またその必要もない。
上述の方法により、例示の実施形態においては、産業用オートメーションシステム及び特にここに例示したデバイス(プログラマブルロジックコントローラPLC)に対するインターネットから又はデータクラウドCLからのサイバー攻撃を効果的に防御する一方、要求データをプログラマブルロジックコントローラPLCから後者によって提供すること、が保証される。
ユーザインターフェースを介する上述の管理方法の代わりに、アプリケーションAW1が証明書を備えることも可能で、当該証明書は、接続されているプログラマブルロジックコントローラPLC(又は他のコンポーネント)からのデータの呼び出しが、データダイオード方式でフィルタリングに付された上で許可されていること、及び、パブリック領域(インターネット、データクラウド、クラウド)からの無制限のアクセスも同時に同様に許可されていること、を表明する。したがって、証明書のコンテンツに基づいて、データフロー制御デバイスDKEはエッジデバイスEDのデータストリームを適切にスイッチングすることができる。同時に、証明書で定義されている要件を満たすために、制御デバイスKEもまた相応に設定され得る。

Claims (11)

  1. 産業用オートメーション装置(PLC)とデータクラウド(CL)とに対する産業用のエッジデバイス(ED)のデータ交換を制御する方法であって、
    前記エッジデバイス(ED)が、前記産業用オートメーション装置(PLC)に対する第1の通信接続部(KA1)と、前記データクラウド(CL)のネットワークに対する第2の通信接続部(KA2)とをもち、
    前記エッジデバイス(ED)が、データを交換する複数のアプリケーション(AW1,AW2)を備え、
    前記エッジデバイス(ED)が、交換されるデータをファイアウォール形式又はコンテンツフィルタ形式で制御する制御デバイス(KE)を少なくとも1つ含み、
    前記アプリケーション(AW1,AW2)ごとに、前記アプリケーション(AW1,AW2)の前記第1の通信接続部(KA1)を介するデータ交換を前記制御デバイス(KE)により制御すると共に前記第2の通信接続部(KA2)を介するデータ交換を直接行するか、又は反対に、前記第1の通信接続部(KA1)を介するデータ交換を直接実行すると共に前記第2の通信接続部(KA2)を介する通信を前記制御デバイス(KE)により実行するか、について設定し、
    前記エッジデバイス(ED)のデータフロー制御デバイス(DKE)により、前記アプリケーション(AW1,AW2)が同時に両方の前記通信接続部(KA1,KA2)を介して直接データ交換を実行しないことを保証する、方法。
  2. 前記通信接続部(KA1,KA2)のうちのどの通信接続部を介して前記アプリケーション(AW1,AW2)が直接通信し、前記通信接続部(KA1,KA2)のうちのどの通信接続部を介して同じ前記アプリケーション(AW1,AW2)が前記制御デバイス(KE)を介するデータ交換を行うか、をユーザインターフェースによって管理する、請求項1に記載の方法。
  3. 前記通信接続部(KA1,KA2)のうちのどの通信接続部が前記アプリケーション(AW1,AW2)と直接リンクされ、前記通信接続部(KA1,KA2)のうちのどの通信接続部が前記制御デバイス(KE)を介して当該アプリケーション(AW1,AW2)とリンクされるか、を規定する一連の規則に基づいて、前記データフロー制御デバイス(DKE)により決定を行う、請求項1又は2に記載の方法。
  4. 前記決定は、前記アプリケーション(AW1,AW2)のそれぞれに割り当てられている少なくとも1つの証明書に基づいて行う、請求項3に記載の方法。
  5. 前記証明書がないとき又は前記証明書に瑕疵があるとき、前記アプリケーション(AW1,AW2)は、前記制御デバイス(KE)を介してのみデータを交換することができ、及び/又は、前記通信接続部(KA1,KA2)のうちの1つの通信接続部のみとリンクされる、請求項4に記載の方法。
  6. 前記決定は、前記アプリケーション(AW1,AW2)の種類又はその製造元に基づいて行う、請求項3〜5のいずれか1項に記載の方法。
  7. 前記制御デバイス(KE)がアプリケーションとして前記エッジデバイス(ED)にインストールされている、請求項1〜6のいずれか1項に記載の方法。
  8. 前記アプリケーション(AW1,AW2)が、それぞれ仮想実行環境においてそれぞれのアプリケーションコンテナとして前記エッジデバイス(ED)にインストールされ、前記コンテナのぞれぞれには前記アプリケーション(AW1,AW2)の1つだけがインストールされ、そして該コンテナはそれぞれ別々の前記仮想実行環境で実行される、請求項1〜7のいずれか1項に記載の方法。
  9. 前記コンテナ毎に、前記通信接続部(KA1,KA2)のうちの1つの通信接続部を直接当該コンテナにルーティングし、前記通信接続部(KA1,KA2)のうちの他の通信接続部をそれぞれ前記制御デバイス(KE)を介して当該コンテナにルーティングすることによって、データ交換を制御する、請求項8に記載の方法。
  10. 前記データフロー制御デバイス(DKE)が前記エッジデバイス(ED)のファームウェアのルーチンによって提供され、該ルーチンは、前記エッジデバイス(ED)の前記通信接続部(KA1,KA2)を制御又は監視するように構成される、請求項1〜9のいずれか1項に記載の方法。
  11. 産業用のエッジデバイス(ED)であって、
    産業用オートメーション装置(PLC)とデータクラウド(CL)との該エッジデバイス(ED)のデータ交換を制御するデバイスを含み、
    当該エッジデバイス(ED)は、前記産業用オートメーション装置(PLC)に対する第1の通信接続部(KA1)と、前記データクラウド(CL)のネットワークに対する第2の通信接続部(KA2)とをもち、
    当該エッジデバイス(ED)は、データを消費及び/又は提供ししたがってデータを交換する複数のアプリケーション(AW1,AW2)を備え、
    当該エッジデバイス(ED)は、交換されるデータをファイアウォール形式又はコンテンツフィルタ形式で制御する制御デバイスを少なくとも1つ含み、
    当該エッジデバイス(ED)は、データフロー制御デバイス(DKE)を含み、
    該データフロー制御デバイス(DKE)は、前記アプリケーション(AW1,AW2)が、前記通信接続部(KA1,KA2)のうちの1つの通信接続部で直接データ交換を実行し、前記通信接続部(KA1,KA2)のうちの他の各通信接続部で前記制御デバイス(KE)を介してデータ交換を実行するように、構成されると共に、該データフロー制御デバイス(DKE)は、前記アプリケーション(AW1,AW2)が、同時に両方の前記通信接続部(KA1,KA2)を介して直接データ交換しないように、構成される、エッジデバイス。
JP2020141519A 2019-09-24 2020-08-25 産業用エッジデバイスのデータ交換を制御する方法及び装置 Active JP7135037B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP19199200 2019-09-24
EP19199200.7A EP3798767B1 (de) 2019-09-24 2019-09-24 Verfahren und anordnung zur kontrolle des datenaustauschs eines industriellen edge-gerätes

Publications (3)

Publication Number Publication Date
JP2021077340A true JP2021077340A (ja) 2021-05-20
JP2021077340A5 JP2021077340A5 (ja) 2022-03-11
JP7135037B2 JP7135037B2 (ja) 2022-09-12

Family

ID=68066607

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020141519A Active JP7135037B2 (ja) 2019-09-24 2020-08-25 産業用エッジデバイスのデータ交換を制御する方法及び装置

Country Status (5)

Country Link
US (1) US11652796B2 (ja)
EP (1) EP3798767B1 (ja)
JP (1) JP7135037B2 (ja)
KR (1) KR102247938B1 (ja)
CN (1) CN112637114B (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4142212A1 (de) * 2021-08-24 2023-03-01 Siemens Aktiengesellschaft Automatisierungssystem mit mindestens einer komponente mit mindestens einer app und fertigungsanlage
KR102424075B1 (ko) * 2021-12-02 2022-07-25 (주)소만사 컨테이너 환경에서의 트래픽 포워딩 시스템 및 방법
CN115131706B (zh) * 2022-06-30 2023-04-07 国网河北省电力有限公司电力科学研究院 一种电力作业违章数据化智能图像识别系统及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170223110A1 (en) * 2012-02-09 2017-08-03 Rockwell Automation Technologies, Inc. Cloud gateway for industrial automation information and control systems
CN107272608A (zh) * 2013-05-09 2017-10-20 洛克威尔自动控制技术股份有限公司 云平台中的工业设备和系统证明
JP2018534651A (ja) * 2015-08-27 2018-11-22 フォグホーン システムズ, インコーポレイテッドFoghorn Systems, Inc. エッジインテリジェンスプラットフォーム、およびインターネット・オブ・シングス・センサストリームシステム
US20190064787A1 (en) * 2017-08-31 2019-02-28 Rockwell Automation Technologies, Inc. Discrete manufacturing hybrid cloud solution architecture
US20190176332A1 (en) * 2017-12-08 2019-06-13 Fanuc America Corporation Robotic application equipment monitoring and predictive analytics

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088796A (en) * 1998-08-06 2000-07-11 Cianfrocca; Francis Secure middleware and server control system for querying through a network firewall
US6988105B2 (en) 2001-09-27 2006-01-17 International Business Machines Corporation Use of agents and control documents to update a database structure
WO2003105194A2 (en) 2002-03-12 2003-12-18 Ils Technology, Inc. Diagnostic system and method for integrated remote tool access, data collection, and control
US7990967B2 (en) * 2005-01-06 2011-08-02 Rockwell Automation Technologies, Inc. Firewall method and apparatus for industrial systems
US8316427B2 (en) * 2007-03-09 2012-11-20 International Business Machines Corporation Enhanced personal firewall for dynamic computing environments
DE102012205907B4 (de) 2012-04-11 2018-11-08 Trumpf Werkzeugmaschinen Gmbh + Co. Kg System und Verfahren zur Maschinenwartung
US9989958B2 (en) * 2013-05-09 2018-06-05 Rockwell Automation Technologies, Inc. Using cloud-based data for virtualization of an industrial automation environment
KR20150073625A (ko) 2013-12-23 2015-07-01 주식회사 시큐아이 애플리케이션 제어 방법 및 그 장치
CN104363221A (zh) 2014-11-10 2015-02-18 青岛微智慧信息有限公司 一种网络安全隔离文件传输控制方法
CN107209780A (zh) 2015-01-16 2017-09-26 普华永道会计事务所 医疗数据交换系统和方法
KR20150114921A (ko) 2015-08-17 2015-10-13 주식회사 엑스엔시스템즈 기업내 보안망 제공시스템 및 그 방법
EP3220599B1 (en) * 2016-03-16 2019-06-19 Panasonic Avionics Corporation System for demand -based regulation of dynamically implemented firewall exceptions
EP3270560B1 (de) * 2016-07-12 2020-03-25 Siemens Aktiengesellschaft Verfahren zum aufbau gesicherter kommunikationsverbindungen zu einem industriellen automatisierungssystem und firewall-system
US10877464B2 (en) * 2017-06-08 2020-12-29 Rockwell Automation Technologies, Inc. Discovery of relationships in a scalable industrial analytics platform
CN109150914A (zh) * 2018-10-23 2019-01-04 上海上实龙创智慧能源科技股份有限公司 物联网安全架构及其网关重定向方法、数据包握手方法
US10924419B1 (en) * 2019-08-15 2021-02-16 Juniper Networks, Inc. Underlay-overlay correlation
TWI797369B (zh) * 2019-08-15 2023-04-01 鑀錹科技股份有限公司 運用雙向通道類神經網路架構之智能工業物聯網系統

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170223110A1 (en) * 2012-02-09 2017-08-03 Rockwell Automation Technologies, Inc. Cloud gateway for industrial automation information and control systems
CN107272608A (zh) * 2013-05-09 2017-10-20 洛克威尔自动控制技术股份有限公司 云平台中的工业设备和系统证明
JP2018534651A (ja) * 2015-08-27 2018-11-22 フォグホーン システムズ, インコーポレイテッドFoghorn Systems, Inc. エッジインテリジェンスプラットフォーム、およびインターネット・オブ・シングス・センサストリームシステム
US20190064787A1 (en) * 2017-08-31 2019-02-28 Rockwell Automation Technologies, Inc. Discrete manufacturing hybrid cloud solution architecture
US20190176332A1 (en) * 2017-12-08 2019-06-13 Fanuc America Corporation Robotic application equipment monitoring and predictive analytics

Also Published As

Publication number Publication date
EP3798767B1 (de) 2022-03-02
US11652796B2 (en) 2023-05-16
KR102247938B1 (ko) 2021-05-06
KR20210036285A (ko) 2021-04-02
CN112637114B (zh) 2023-04-11
JP7135037B2 (ja) 2022-09-12
US20210092098A1 (en) 2021-03-25
EP3798767A1 (de) 2021-03-31
CN112637114A (zh) 2021-04-09

Similar Documents

Publication Publication Date Title
JP7135037B2 (ja) 産業用エッジデバイスのデータ交換を制御する方法及び装置
EP3588908B1 (en) An access control device, an access control method, a computer program product and a computer readable medium
TWI428721B (zh) 工業控制系統、在工業控制環境中之通訊方法,以及用於實施此方法之電腦可讀取媒體
JP2021057033A (ja) 産業制御システムハイパーコンバージドアーキテクチャ
JP6069717B2 (ja) ファイアウォールクラスターにおけるアプリケーション状態共有
CN113625665B (zh) 集中式安全事件生成策略
US9686316B2 (en) Layer-2 security for industrial automation by snooping discovery and configuration messages
JP2013105308A (ja) 負荷分散システム、負荷分散装置、負荷分散方法および負荷分散プログラム
US20240031370A1 (en) Authentication/authorization framework for a process control or automation system
US20240027981A1 (en) Compute fabric enabled process control
US20150222599A1 (en) Network management system
US11297563B2 (en) Communication apparatus, communication system, communication control method, and program
CN112020683A (zh) 自动化组件配置
CN113625664B (zh) 通过零接触注册的自动端点安全策略分配
Yogeshwar et al. A light-weight cyber security implementation for industrial SCADA systems in the industries 4.0
EP3719646B1 (en) Method for communicating in a network-distributed process control system and network-distributed process control system
McNeil Secure Internet of Things Deployment in the Cement Industry: Guidance for Plant Managers
JP7470320B2 (ja) ネットワーク管理装置
McNeil Secure IoT deployment in the cement industry
US20240134329A1 (en) Spoke and hub configuration for a process control or automation system
CN115191107B (zh) 用于检测通信网络中的数据流量的方法和系统
US20240039870A1 (en) Location specific communications gateway for multi-site enterprise
US20240134328A1 (en) Configuration support for a process control or automation system
Wei et al. On protecting industrial automation and control systems against electronic attacks
US20240134841A1 (en) Enterprise engineering and configuration framework for advanced process control and monitoring systems

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200904

AA79 Non-delivery of priority document

Free format text: JAPANESE INTERMEDIATE CODE: A24379

Effective date: 20210202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220302

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220302

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20220302

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20220302

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220308

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220524

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220617

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220802

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220831

R150 Certificate of patent or registration of utility model

Ref document number: 7135037

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150