JP2022008660A - 産業用制御システムのオペレータ・アクション認証 - Google Patents

産業用制御システムのオペレータ・アクション認証 Download PDF

Info

Publication number
JP2022008660A
JP2022008660A JP2021160356A JP2021160356A JP2022008660A JP 2022008660 A JP2022008660 A JP 2022008660A JP 2021160356 A JP2021160356 A JP 2021160356A JP 2021160356 A JP2021160356 A JP 2021160356A JP 2022008660 A JP2022008660 A JP 2022008660A
Authority
JP
Japan
Prior art keywords
action
communication
industrial
control system
action request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021160356A
Other languages
English (en)
Inventor
サミュエル・ガルピン
Galpin Samuel
ティモシー・クリッシュ
Clish Timothy
ジェームズ・ジー・カルヴァン
G Calvin James
アルバート・ルーヤッカーズ
Rooyakkers Albert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bedrock Automation Platforms Inc
Original Assignee
Bedrock Automation Platforms Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/446,412 external-priority patent/US10834820B2/en
Priority claimed from US14/469,931 external-priority patent/US9191203B2/en
Priority claimed from US14/519,066 external-priority patent/US10834094B2/en
Application filed by Bedrock Automation Platforms Inc filed Critical Bedrock Automation Platforms Inc
Publication of JP2022008660A publication Critical patent/JP2022008660A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Programmable Controllers (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Figure 2022008660000001
【課題】オペレータ・アクション又は他のコマンドまたはリクエストを、アクション・オリジネータから通信/制御モジュール又は他の任意の産業エレメント/コントローラまでの認証経路を介して、セキュアにする産業用制御システム、通信/制御モジュール及びリクエストされたアクションを認証する方法を提供する。
【解決手段】産業用制御システムにおいて、認証経路200は、アクション・オリジネータにより生成されアクション・リクエストへ署名するアクション認証器204を含む。宛先の通信/制御モジュール106又は他の任意の産業エレメント/コントローラ206は、署名されたアクション・リクエストを受信し、署名されたアクション・リクエストの信頼性を検査し、署名されたアクション・リクエストの信頼性が確認されたときに、リクエストされたアクションを実行する。
【選択図】図3

Description

関連する出願の相互参照
[0001] 本出願は、2013年8月6日に出願された国際出願番号PCT/US2013/053721(名称は「SECURE INDUSTRIAL CONTROL SYSTEM」)の一部継続出願である。本出願は、2014年8月27日に出願された米国特許出願シリアル番号14/469,931(名称は「SECURE INDUSTRIAL CONTROL SYSTEM」)の35USC120に基づく一部継続でもある。本出願は、2014年7月30日に出願された米国特許出願シリアル番号14/446,412(名称は「INDUSTRIAL CONTROL SYSTEM CABLE」)の35USC120に基づく一部継続でもあり、これは、2014年7月7日に出願された米国仮出願番号62/021,438(名称は「INDUSTRIAL CONTROL SYSTEM CABLE」)の優先権を35USC119(e)に基づいて主張する。米国仮出願番号62/021,438、米国特許出願シリアル番号14/446,412および14/469,931、並びに、国際出願番号PCT/US2013/053721の全体を、この参照によりここに組み入れる。
[0002] 産業制御システム、例えば、標準的な産業制御システム(ICS)やプログラマブル・オートメーション・コントローラ(PAC)は、工業生産で用いられる様々なタイプの制御装置、例えば、監視制御データ収集(SCADA)システム、分散制御システム(DCS)、プログラマブル論理コントローラ(PLC)、および、例えば、IEC1508のような安全基準を保証する産業安全システムなどを含む。これらのシステムは、電気、水および廃水、油およびガス生産および精製、化学、食品、医薬およびロボット工学を含む産業において使われる。プロセス変数を測定するための様々なタイプのセンサから集められる情報を使用して、産業制御システムからオートメーション化したおよび/またはオペレータ駆動の管理命令を、さまざまなアクチュエータ装置、例えば、制御弁、油圧アクチュエータ、磁気アクチュエータ、電気的スイッチ、モータ、ソレノイドなどへ送ることができる。これらのアクチュエータ装置は、センサおよびセンサ・システムからのデータの収集、バルブおよびブレーカの開閉、バルブおよびモータの調節、警報状態に関しての工業処理の監視などを行う。
[0003] 他の例において、SCADAシステムは、地理的に広く分離されることができるプロセス・サイトを用いる開ループ制御を使用することができる。管理データを一つ以上の制御センターに送信するために、これらのシステムは、リモート・ターミナル・ユニット(RTU)を使用する。RTUを配備するSCADAの応用は、流体パイプライン、電気分配、および大きい通信システムを含む。DCSシステムは、広帯域で低レーテンシのデータ・ネットワークを用いるリアルタイム・データ収集および連続制御に一般的に使われ、そして、例えば、油およびガス、精製、化学、医薬、食品および飲料、水および廃水、パルプおよび紙、購入電力、および鉱業および金属などのような、大きいキャンパスの工業処理プラントにおいて使われる。PLCは、より典型的には、ブールのおよび経時的なロジック・オペレーションおよびタイマーを提供し、また、連続制御を提供し、しばしば独立型機械およびロボッティクスにおいて使われる。更に、ICEおよびPACシステムは、建物、空港、船、宇宙ステーションなどの施設プロセスで使われることができる(例えば、暖房、換気、および空調(HVAC)装置およびエネルギー消費を監視および制御するため)。産業制御システムが進化するにつれて、新技術はこれらのさまざまなタイプの制御システムの特徴を兼ね備える。例えば、PACは、SCADA、DCS、およびPLCの特徴を含むことができる。
[0004] この開示の各種実施形態によれば、セキュアな産業用制御システムは、一つ以上の産業エレメント(例えば、入出力(I/O)モジュール、電力モジュール、フィールド・デバイス、スイッチ、ワークステーション、および/または物理的相互接続デバイス)を制御または駆動する一つ以上の通信/制御モジュールを含む。オペレータのアクションおよび/または他のコマンドまたは要求は、アクション発信器(オリジネータ)から通信/制御モジュールまでの認証経路を介して保護されることができる。実装において、産業用制御システムは、アクション・オリジネータにより生成されるアクション・リクエストにアクション認証器が署名することを、必要とする。宛先の通信/制御モジュールは、署名されたアクション・リクエストを受信して、その署名されたアクション・リクエストの信頼性を検査して、署名されたアクション・リクエストの信頼性が確認されたときに、リクエストされたアクションを実行するように、構成される。このように、悪意のあるまたは無許可のアクション・リクエストは処理されず、そして、かくして、システムは、破壊工作ソフト、スパイウェア、制御パラメータの無許可の変更、データへの無許可のアクセスなどから保護される。
[0005] いくつかの実施形態では、通信/制御モジュールは、少なくとも一つのプロセッサと、プロセッサによって実行可能な命令の組を坦持している非一時的な媒体とを含む。命令の組は、少なくとも、アクション・オリジネータにより開始されて、アクション認証器により署名されたアクション・リクエストを受信するため、署名されたアクション・リクエストの信頼性を検査するため、および署名されたアクション・リクエストの信頼性が確認されたときに、リクエストされたアクションを実行するための命令を含む。
[0006] 更に、リクエストされたアクションを認証する方法を開示する。方法は、アクション認証器によりアクション・リクエストに署名すること、通信/制御モジュールへ、署名されたアクション・リクエストを送ること、署名されたアクション・リクエストの信頼性を検査すること、および、署名されたアクション・リクエストの信頼性が確認されたときに通信/制御モジュールを用いてリクエストされたアクションを実行すること、を含む。
[0007] この要約は、詳細な説明において後に更に記載される概念のうちの選択したものを単純化された形態で導入するために、提供される。(この要約は、特許請求される内容の鍵となる特徴や本質的特徴を特定することを意図しておらず、また、特許請求される内容の範囲を決定する際の援助として使われることを意図していない。)
[0008] 詳細な説明は、添付の図を参照して説明される。説明および図において、異なる事例で同じ参照番号を使用している場合、それは類似または同一のものを示し得る。
[0009] 図1は、本開示の例示の実施形態に従った、産業用制御システムを例示しているブロック図である。 [0010] 図2は、本開示の例示の実施形態に従った、産業用制御システムのためのアクション認証経路を例示しているブロック図である。 [0011] 図3は、本開示の例示の実施形態に従った、アクション認証経路を更に例示しているブロック図である。 [0012] 図4は、本開示の例示の実施形態に従った、アクション・リクエストを認証する方法を示しているフロー図である。 [0013] 図5は、本開示の例示の実施形態に従った、アクション・リクエストを認証する方法を更に例示しているフロー図である。
概要
[0014] 産業用制御システムにおいて、さまざまな産業用エレメント/サブシステム(例えば、入出力(I/O)モジュール、電力モジュール、プロセス・センサおよび/またはアクチュエータ、スイッチ、ワークステーション、および/または物理的な相互接続デバイス)は、制御エレメント/サブシステム(例えば、一つ以上の通信/制御モジュール)により制御されるかまたは駆動される。制御エレメント/サブシステムは、プログラミングおよびアクション・オリジネータから受け取ったアクション・リクエスト(例えば、実行可能ソフトウェア・モジュール、制御コマンド、データ・リクエストなど)に従って動作するものであり、アクション・オリジネータは、オペレータ・インターフェイス(例えば、SCADAまたは人間・機械インターフェイス(HMI)、エンジニアリング・インターフェイス、ローカル・アプリケーション、および/またはリモート・アプリケーションを含むが、これらには限定されない。複数のアクション・オリジネータが存在する所では、産業用制御システムはデータおよび/または制御への無許可のアクセスに弱くなり得る。更に、産業用制御システムは、アップデート、アプリケーション画像、制御コマンド等の形で送信されることがある破壊工作ソフト、スパイウェア、または他の不正な/悪意のあるソフトウェアに対して弱いものであり得る。単にオペレータを認証するだけでは、悪意のある行為者や、更には、有効なログインまたは表面上有効な(例えば、ハックされた)アプリケーションまたはオペレータ/エンジニアリング・インターフェイスを介して発信されることがあり得る、意図せずに未許可となっているリクエスト/コマンドから、システムを保護するのに、十分ではないであろう。
[0015] 本開示は、無許可のアクション・リクエストが産業用制御システムで処理されることを防止するための、産業用制御システム通信/制御モジュール、サブシステム、および技術に向けられる。実施形態において、予め定義された選択されたオペレーションまたはすべてのオペレータ・アクションおよび/または他の制御アクションまたはリクエストが、アクション・オリジネータから通信/制御モジュールまでの認証経路を介して、保護される。実装において、産業用制御システムは、アクション認証器が、アクション・オリジネータにより生成されるアクション・リクエストに署名することを、要求する。アクション・リクエストは、署名が無い場合には、自動的にエラーとなるようにすることができ、通信/制御モジュールにより処理も実行もされない。通信/制御モジュールは、署名されたアクション・リクエストを受信し、署名されたアクション・リクエストの信頼性を検査し、署名されアクション・リクエストの信頼性が確認されたきに、リクエストされたアクションを実行するように、構成される。このように、悪意のある、または無許可のアクション要求は処理されず、かくして、システムは、破壊工作ソフト、スパイウェア、制御パラメータの未許可の変更、データへの無許可のアクセスなどから保護される。
実装例
[0016] 図1は、本開示の実施形態に従った産業制御システム100を例示する。実施形態において、産業制御システム100は、産業制御システム(ICS)、プログラマブル・オートメーション・コントローラ(PAC)、監視制御データ収集(SCADA)システム、分散型制御システム(DCS)、プログラマブル論理コントローラ(PLC)、およびIEC1508のような安全基準を保証する産業安全システムなどを含むことができる。図1に示すように、産業制御システム100は、分散型制御システムを実施するために通信制御アーキテクチャを使用し、分散型制御システムは、このシステム全体にわたって分散された一つ以上の制御エレメントまたはサブシステム102によって制御または駆動される一つ以上の産業エレメント(例えば、入出力モジュール、電力モジュール、フィールド・デバイス、スイッチ、ワークステーション、および/または物理的相互接続デバイス)を含む。例えば、一つ以上のI/Oモジュール104を、制御エレメント/サブシステム102を構成している一つ以上の通信/制御モジュール106に接続することができる。産業制御システム100は、I/Oモジュール104との間でデータを送信するように構成される。I/Oモジュール104は、入力モジュール、出力モジュール、および/または入出力モジュールを含むことができる。例えば、入力モジュールは、処理において、入力装置130(例えば、センサ)から情報を受信するために用いることができ、その一方で、出力モジュールは、出力デバイス(例えば、アクチュエータ)へ命令を送るために用いることができる。例えば、I/Oモジュール104は、ガス工場、精練所などの配管の圧力を測定するためのプロセス・センサに接続することができ、そして/または弁、2状態または多状態スイッチ、送信機などを制御するためのプロセス・アクチュエータに接続することができる。フィールド・デバイス130は、直接にまたはネットワーク接続を介して、IOモジュール104と通信可能に結合される。これらのデバイス130は、制御弁、油圧アクチュエータ、磁気アクチュエータ、モータ、ソレノイド、電気的スイッチ、送信機、入力センサ/受信機(例えば、照明、放射線、ガス、温度、電気、磁気、および/または音響センサ)通信サブバスなどを含むことができる。
[0017] 実装において、I/Oモジュール104は、応用において産業制御システム100がデータを収集するために使用することができ、応用は、製品の製造および製作、購入電力生成、油、ガス、および化学精製などのような重要なインフラストラクチャーおよび/または工業プロセス、医薬、食品および飲料、パルプおよび紙、金属および鉱業、および施設、および建物、空港、船、および宇宙ステーションのための大規模なキャンパスの工業処理(例えば、暖房、換気、および空調(HVAC)装置およびエネルギー消費を監視および制御するため)を含むが、これらに限定されない。
[0018] 実装において、I/Oモジュール104は、センサから受信したアナログ・データをデジタル・データに変換するように構成することができる(例えば、アナログ/デジタル・コンバータ(ADC)回路などを用いる)。I/Oモジュール104は、モータまたは調整弁または電気リレーおよび他の形のアクチュエータなどのような一つ以上のプロセス・アクチュエータに接続させることができ、そして、例えば、モータ速度、モータートルクなどのようなモータの1以上の動作特性または調整弁の位置または電気的リレーなどを制御するように構成されることができる。更に、I/Oモジュール104は、アクチュエータへの送信のためにデジタル・データをアナログ・データに変換するように構成されることができる(例えば、デジタル/アナログ(DAC)回路などを用いる)。実装において、一つ以上のI/Oモジュール104は、通信モジュールを含むことができ、通信モジュールは、イーサネット・バス、H1フィールド・バス、プロセス・フィールド・バス(PROFIBUS)、ハイウェー・アドレサブル・リモート・トランスデューサ(HART)バス、Modbusなどのような通信サブバスを介して通信するように構成される。更に、2以上のI/Oモジュール104を、さまざまなフィールド・デバイス130、例えば、制御弁、油圧アクチュエータ、磁気アクチュエータ、モータ、ソレノイド、電気的スイッチ、送信機、入力センサ/受信機(例えば、照明、放射線、ガス、温度、電気、磁気、および/または音響のセンサ)通信サブバスなどのための、フォールト・トレラントの冗長な接続を提供するために用いることができる。
[0019] 各I/Oモジュール104は、一つのI/Oモジュール104と他のI/Oモジュール104とを区別するために一意の識別子(ID)を備えることができる。実装において、I/Oモジュール104は、それが産業制御システム100に接続されたときにそのIDにより識別される。複数のI/Oモジュール104を、産業制御100と共に用いて、冗長性を提供することができる。例えば、2以上のI/Oモジュール104を、プロセス・センサおよび/またはアクチュエータに接続することができる。各I/Oモジュール104は、一つ以上のポートを含むことができ、これにより、I/Oモジュール104に含まれる印刷回路基板(PCB)などのようなハードウェアおよび回路への物理的な接続を提供することができる。例えば、各I/Oモジュール104はケーブルのための接続部を含み、これは、I/Oモジュール104のプリント配線板(PWB)にケーブルを接続する。
[0020] 一つ以上のI/Oモジュール104は、他のネットワークに接続するためのインターフェイスを含むことができ、他のネットワークは、例えば、3Gセルラ電話網、4Gセルラ電話網、またはGlobal System for Mobile Communication(GSM)ネットワークなどのような広域セルラ電話ネットワーク、例えば、Wi-Fiネットワーク(例えば、IEEE 802.11ネットワーク標準を用いて運用される無線LAN(WLAN))などのような無線コンピュータ通信ネットワーク、パーソナル・エリア・ネットワーク(PAN)(例えば、IEEE 802.15ネットワーク標準を用いて運用されるWireless PAN(WPAN))、ワイド・エリア・ネットワーク(WAN)、イントラネット、エクストラネット、網間接続網、インターネットなどを含むが、これらには限定されない。更に、一つ以上のI/Oモジュール104は、I/Oモジュール104をコンピュータ・バスなどに接続するための接続を含むことができる。
[0021] 通信/制御モジュール106は、I/Oモジュール104を監視および制御するため、および2以上のI/Oモジュール104を共に接続するために、用いることができる。開示の実施形態において、通信/制御モジュール106は、I/Oモジュール104が産業制御システム100に接続されたときに、I/Oモジュール104に関する固有IDに基づいて、ルーティング・テーブルを更新することができる。更に、複数の冗長なI/Oモジュール104が用いられたときに、各通信/制御モジュール106は、I/Oモジュール104に関して情報データベースのミラーリングを実施することができ、それらを、データがI/Oモジュール104から受信されたときおよび/またはI/Oモジュール104へ送信されたときに、更新することができる。いくつかの実施形態では、2以上の通信/制御モジュール106が用いられて冗長性が提供される。付加的なセキュリティに関して、通信/制御モジュール106は、所定のイベントや時点で互いを認証するために認証シーケンスまたはハンドシェイクを行うように構成されることができ、所定のイベントや時点は、例えば、スタートアップ、リセット、新規な制御モジュール106のインストール、通信/制御モジュール106の置換、周期的、予定された時間などを含む。
[0022] 図2および3に示すように、各通信/制御モジュール106または何れの他の産業エレメント/コントローラ206(例えば、I/Oモジュール104、アクチュエータやセンサなどのようなフィールド・デバイス130、物理的相互接続デバイス、スイッチ、電力モジュール112等)も、アクション・オリジネータ202からリクエスト/コマンドに従って少なくとも部分的に作動させられ得る。実装において、アクション・オリジネータ202は、オペレータ・インターフェイス208(例えば、SCADAまたはHMI)、エディタ212およびコンパイラ214を含むエンジニアリング・インターフェイス210、ローカル・アプリケーション220、リモート・アプリケーション216(例えば、ローカル・アプリケーション220を介してネットワーク218を通して通信する)等を含む。図2および3に示される認証経路200において、産業エレメント/コントローラ206(例えば、通信/制御モジュール106、I/Oモジュール104、アクチュエータやセンサなどのようなフィールド・デバイス130、物理的相互接続デバイス、スイッチ、電力モジュール112など)は、アクション・リクエストがアクション認証器204により署名されており、かつ/または暗号化されていたときにだけ、アクション・リクエスト(例えば、データ、制御コマンド、ファームウェア/ソフトウェア・アップデート、セット・ポイント制御、アプリケーション画像ダウンロードなどのリクエスト)を処理する。これは、有効なユーザー・プロファイルからの無許可のアクション・リクエストを妨げ、更に、無効な(例えば、ハックされた)プロフィルから来る無許可のアクション・リクエストからシステムを保護する。
[0023] アクション認証器204は、アクション・オリジネータ202とオンサイトとすることも(例えば、直接に接続されたデバイス・ライフサイクル管理システム(「DLM」)222またはセキュアなワークステーション226)、リモートに位置することもできる(例えば、ネットワーク218を介して接続されるDLM222)。一般に、アクション認証器204は、ストレージ媒体と、それに記憶されるプライベート・キーと、アクション・オリジネータ202により生成されたアクション・リクエストに対する署名および/または暗号化を、プライベート・キーを用いて行うように構成されるプロセッサとを含む。プライベート・キーは、標準的オペレータ・ログインを経てアクセスすることができないメモリに記憶される。例えば、セキュアなワークステーション226は、アクセスのために、物理的なキー、ポータブル暗号化デバイス(例えば、スマートカード、RFIDタグ等)、および/またはバイオメトリック入力を必要とするようにできる。
[0024] いくつかの実施形態では、アクション認証器204は、スマートカード224(セキュアなマイクロプロセッサを含むことができる)などのようなポータブルの暗号化デバイスを含む。ポータブルの暗号化デバイスを使用することの利点は、デバイス全体(プライベートに格納されたキーおよびそれと通信するプロセッサを含む)が、アクション・オリジネータ202のインターフェイスへのアクセスを許可されたオペレータまたはユーザに持ち運ばれるということである。アクション認証ノード204が、セキュアな又はセキュアではないワークステーションを介して認証経路200にアクセスしたとしても、アクション・オリジネータ202からのアクション・リクエストは、潜在的に安全性の低いワークステーションやクラウド・ベースのアーキテクチャの代わりにポータブル暗号化デバイスのアーキテクチャの範囲内で、セキュアに署名および/または暗号化されることができる。これは、産業制御システム100を無許可のアクションから保護する。例えば、未許可の人は、アクション・オリジネータ202を経て送られる何れのアクション・リクエストも認証できるようになる前に、スマートカード224を物理的に所有することを必要とする。
[0025] さらにまた、多層のセキュリティを用いることができる。例えば、アクション認証器204は、スマートカード・アクセスなどを介してのみアクション要求に対する署名および/または暗号化するためにアクセス可能なセキュアなワークステーション226を含むことができる。加えて、セキュアなワークステーション226は、バイオメトリックまたは多要素暗号デバイス228(例えば、指紋スキャナ、虹彩スキャナ、および/または顔認識デバイス)を介してアクセス可能とすることができる。実施形態によっては、多要素暗号デバイス228は、アクション・リクエストに署名することを可能にするようにスマートカード224または他のポータブル暗号化デバイスをイネーブルにする前に、有効なバイオメトリック入力を必要とする。
[0026] アクション・オリジネータ202により駆動されている通信/制御モジュール106または任意の他の産業エレメント/コントローラ206は、署名されたアクション・リクエストを受信し、署名されたアクション・リクエストの信頼性を検査し、署名されたアクション・リクエストの信頼性が確認されたときに、リクエストされたアクションを実行するように、構成される。実施形態によっては、産業エレメント/コントローラ206は、アクション・リクエスト(例えば、アクション・オリジネータによって送られたアプリケーション画像、制御コマンド、または他の任意のデータ)を記憶するように構成されたストレージ媒体230(例えば、SD/microSDカード、HDD、SSD、または他の任意の非一時的ストレージ・デバイス)を含む。通信/制御モジュール106または任意の他の産業エレメント/コントローラ206は、署名が確認された後にアクション・リクエストを実施/実行する(すなわち、リクエストされたアクションを実行する)プロセッサ232を更に含む。実施形態によっては、アクション・リクエストはアクション・オリジネータ202またはアクション認証器232により暗号化され、また、リクエストされたアクションが実行される前に、プロセッサ232により解読されなければならない。実装において、通信/制御モジュール106または任意の他の産業エレメント/コントローラ206は、仮想キー・スイッチ234(例えば、プロセッサ232で動いているソフトウェア・モジュール)を含み、これは、アクション・リクエストの署名が確認された後および/またはアクション・リクエストが解読された後にのみ、リクエストされたアクションをプロセッサ232が実行することを可能にする。いくつかの実施形態では、何れのアクションも、または選択された重要なアクションのそれぞれも、通信/制御モジュール106または任意の他の産業エレメント/コントローラ206で実行される前に、認証経路を通過しなければならない。
[0027] 図4および5は、本開示の例示的実施形態に従った、アクション・リクエストを認証する方法300を示す。実装において、方法300は、産業制御システム100および/または産業制御システム100の認証経路200によって明らかにされることができる。方法300は、アクション・リクエストを始めること(例えば、オペレータ/エンジニアリング・インターフェイス208/210またはリモート/ローカル・アプリケーション・インターフェイス216/220を介して)(302)、アクション認証器204を用いてアクション・リクエストに署名すること(304)、オプションとして、アクション認証器204を用いてアクション・リクエストを暗号化すること(312)、署名されたアクション・リクエストを、通信/制御モジュール106または任意の他の産業エレメント/コントローラ206に送信またはダウンロードすること(306)、署名されたアクション・リクエストの信頼性を検査すること(308)、オプションとして、通信/制御モジュール106または任意の他の産業エレメント/コントローラ206を用いてアクション・リクエストを解読すること(314)、そして、署名されたアクション・リクエストの信頼性が確認されたときに、通信/制御モジュール106または任意の他の産業エレメント/コントローラ206を用いて、リクエストされたアクションを実行すること(310)を含む。
[0028] セキュリティを強化するために、更に、通信/制御モジュール106または任意の他の産業エレメント/コントローラ206を、リクエストされたアクションが通信/制御モジュール106または任意の他の産業エレメント/コントローラ206で実行される前に、アクション認証器204(例えば、スマートカード224等を伴う)を用いて認証シーケンスを実行するように、構成することができる。例えば、いわゆる「ハンドシェイク」を、ステップ310の前、また、更には、ステップ306の前に、実行するようにできる。いくつかの実施形態では、署名および確認ステップ304および308は、より複雑な認証シーケンスと、完全に置き換えられることができる。代替的には、認証シーケンスは、より単純な署名の確認および/または解読の手段を増強するための追加的なセキュリティ手段として、実行されることができる。
[0029] いくつかの実施形態では、通信/制御モジュール106または任意の他の産業エレメント/コントローラ206により実装される認証シーケンスは、アクション認証器204へリクエスト・データグラムを送るステップであって、リクエスト・データグラムは、第1のノンス、第1のデバイス認証キー証明書(例えば、デバイス認証キーを含む第1の認証証明書)、および第1のアイデンティティ属性証明書を含むものである、ステップと、アクション認証器204から応答データグラムを受信するステップであって、応答データグラムは、第2のノンス、第1および第2のノンスと関連する第1の署名、第2のデバイス認証キー証明書(例えば、デバイス認証キーを含む第2の認証証明書)、および第2のアイデンティティ属性証明書を含むものである、ステップと、第1および第2のノンスと関連する第1の署名と、第2のデバイス認証キー証明書と、第2のアイデンティティ属性証明書とを検査することによって、応答データグラムを確認するステップと、応答データグラムが有効であるときに、アクション認証器204へ認証データグラムを送るステップであって、認証データグラムは、第1および第2のノンスと関連する第2の署名を含むものである、ステップと、を含むことができる。
[0030] 代替的には、アクション認証器204はハンドシェイクを開始することができ、その場合には、通信/制御モジュール106または任意の他の産業エレメント/コントローラ206により実装される認証シーケンスは、アクション認証器204からリクエスト・データグラムを受信するステップであって、リクエスト・データグラムは、第1ノンス、第1のデバイス認証キー証明書、および第1のアイデンティティ属性証明書を含むものである、ステップと、第1のデバイス認証キー証明書および第1のアイデンティティ属性証明書を検査することによって、リクエスト・データグラムを確認するステップと、リクエスト・データグラムが有効であるときに、アクション認証器204へ応答データグラムを送るステップであって、応答データグラムは、第2のノンス、第1および第2のノンスをと関連する第1の署名、第2のデバイス認証キー証明書、および第2のアイデンティティ属性証明書を含むものである、ステップと、アクション認証器204から認証データグラムを受信するステップであって、認証データグラムは、第1および第2のノンスと関連する第2の署名を含むものである、ステップと、第1および第2のノンスと関連する第2の署名を検査することによって、認証データグラムを確認するステップと、を含むことができる。
[0031] 通信/制御モジュール106または任意の他の産業エレメント/コントローラ206により実装されることができるハンドシェイクまたは認証シーケンスは、2014年10月20日に出願された同時係属の米国の非仮出願シリアル番号[まだ割り当てられていない](名称は「INDUSTRIAL CONTROL SYSTEM REDUNDANT COMMUNIATIONS/CONTROL MODULES AUTHENTICATION」であり、Timothy Clishその他によるものである)に更に記載されており、この参照により全てがここに組み込まれる。当業者は、冗長の通信/制御モジュール106間でのハンドシェイクから、通信/制御モジュール106または任意の他の産業エレメント/コントローラ206とアクション認証器204との間のここで説明されたハンドシェイクまでについての適応性について、理解するであろう。
[0032] アクション・オリジネータ202、アクション認証器204、および通信/制御モジュール106または任意の他の産業エレメント/コントローラ206のそれぞれは、ここに記載される機能またはオペレーション(例えば、方法300のブロックおよび認証シーケンス)を実行するようにイネーブルにされる回路および/またはロジックを含むことができる。例えば、アクション・オリジネータ202、アクション認証器204、および通信/制御モジュール106または認証の他の産業エレメント/コントローラ206のそれぞれは、非一時的な機械読み取り可能媒体に、永久的、半永久的、または一時的に記憶されたプログラム命令を実行する1以上のプロセッサを含むことができ、非一時的な機械読み取り可能媒体は、例えば、ハードディスク装置(HDD)、固体物理ディスク(SDD)、光ディスク、磁気記憶デバイス、フラッシュ・ドライブ、またはSD/microSDカードなどであるが、これらには限定されない。
[0033] 図1を再度参照すると、産業制御システム100により送信されるデータをパケット化すること、すなわち、データの個々の部分を、データ部分とネットワーク制御情報などとを含むデータ・パケットに変換することができる。産業制御システム100は、データ伝送に1以上のプロトコルを使用することができ、プロトコルは、ハイ・レベル・データ・リンク制御(HDLC)などのようなビット指向の同期データ・リンク層プロトコルを含む。いくつかの実施形態では、産業制御システム100は、国際標準化機構(ISO)13239標準に従ったHDLCなどを実装する。更に、2以上の通信/制御モジュール106を、冗長なHDLCを実装するために用いることができる。しかしながら、HDLCは、単なる例として提供されたものであり、本開示を制限することを意図していない点に、留意する必要がある。すなわち、産業制御システム100は、本開示に従って他のさまざまな通信プロトコルを使用することができる。
[0034] 1以上の通信/制御モジュール106は、1以上の制御ループ・フィードバック機構/コントローラなどのようなI/Oモジュール104を介して産業制御システム100に接続されたフィールド・デバイス130(例えば、センサおよび/またはアクチュエータ機器)を監視および/または制御するために用いられるコンポーネントと、情報を交換するように、構成されることができる。実装において、コントローラは、マイクロコントローラ/プログラマブル・ロジック・コントローラ(PLC)、Proportional-Integral-Derivative(プロポーショナル・インテグラル・デリバティブ)(PID)コントローラなどとして構成されることができる。いくつかの実施形態では、I/Oモジュール104および通信/制御モジュール106は、例えば、ネットワークを介して一つ以上のI/Oモジュール104を一つ以上のコントローラに接続するための、ネットワーク・インターフェイスを含む。実装において、ネットワーク・インターフェイスは、I/Oモジュール104をローカル・エリア・ネットワーク(LAN)に接続するためのギガビット・イーサネット・インターフェイスとして構成することができる。更に、2以上の通信/制御モジュール106を、冗長なギガビット・イーサネットを実装するために用いることができる。しかしながら、ギガビット・イーサネットは、単なる例として提供されたものであり、本開示を制限すること意図するものではない点に、留意する必要がある。すなわち、ネットワーク・インターフェイスは、通信/制御モジュール106を他のさまざまなネットワークに接続するように構成することができ、他のさまざまなネットワークは、広域セルラ電話ネットワーク(例えば、3Gセルラ電話網、4Gのセルラ電話網、またはGSMネットワークなど)、無線コンピュータ通信ネットワーク(例えば、Wi―Fiネットワーク(例えば、IEEE 802.11ネットワーク標準を使用して運用されるWLAN)、PAN(例えば、IEEE 802.15ネットワーク標準を使用して運用されるWPAN)、WAN、イントラネット、エクストラネット、網間接続網、インターネットなどを含むが、これらには限定されない。加えて、ネットワーク・インターフェイスは、コンピュータ・バスを使用して実装することができる。例えば、ネットワーク・インターフェイスは、ミニPCIインターフェイスなどのようなペリフェラル・コンポーネント・インターコネクト(PCI)カード・インターフェイス、)を含むことができる。更に、ネットワークは、異なるアクセス・ポイントにわたっての単一のネットワークまたは複数のネットワークを含むように、構成することができる。
[0035] 産業制御システム100は、複数のソースから電力を受け取ることができる。例えば、AC電源は、電力グリッド108(例えば、AC本線からの高電圧電力を使用)から供給される。また、AC電源は、ローカルの発電(例えば、現場でのタービンまたはディーゼルのローカル発電機110)を用いて供給することもできる。電源112は、電力グリッド108からの電力を、コントローラやI/Oモジュールなどのような産業制御システム100の自動化装置へ分配するために用いられる。電源112はまた、ローカルの発電機110からの電力を産業制御システムの装置へ分配するために用いることができる。産業制御システム100はまた、複数の電池モジュールを用いてDC電力を蓄積および返還するように構成される追加(バックアップ)電源を含むことができる。例えば、電源112は、UPSとして機能する。開示の実施形態において、複数の電源112を、産業制御システム100の中で分散して配置することができる(例えば、物理的に分散する)。
[0036] いくつかの実施形態では、制御エレメント/サブシステムおよび/または産業エレメント(例えば、I/Oモジュール104、通信/制御モジュール106、電源112など)は、一つ以上のバックプレーン114によって一緒に接続される。例えば、通信/制御モジュール106は、通信バックプレーン116によって、I/Oモジュール104に接続することができる。更に、電源112は、電力118により、I/Oモジュール104におよび/または通信/制御モジュール106に接続することができる。いくつかの実施形態では、物理的相互接続デバイス(例えば、限定的ではないが、米国非仮出願シリアル番号14/446,412に記載されるスイッチ、コネクタ、またはケーブルなどのようなもの)は、I/Oモジュール104、通信/制御モジュール106、電源112、および可能性としては他の産業制御システムの装置へ接続するために用いられる。例えば、或るケーブルは、通信/制御モジュール106をネットワーク120に接続するために用いることができ、他のケーブルは、電源112を電力グリッド108に接続するために用いることができ、他のケーブルは、電源112をローカルの発電機110に接続するために用いることができ、他のものも同様である。
[0037] いくつかの実施形態では、産業制御システム100は、セキュアな制御システムを実装する。例えば、産業制御システム100は、セキュリティ証明書ソース(例えば、工場122)およびセキュリティ証明書インプリメンター(実施器)(例えば、キー管理エンティティ124)を含む。セキュリティ証明書ソースは、一意のセキュリティ証明書(例えば、一意の識別子および/またはセキュリティ証明書などのような、キー、証明書など)を生成するように構成される。セキュリティ証明書インプリメンターは、セキュリティ証明書ソースにより生成された一意のセキュリティ証明書を、制御エレメント/サブシステムおよび/または産業エレメント(例えば、ケーブル、デバイス130、I/Oモジュール104、通信/制御モジュール106、電源112など)へ供給するように、構成される。
[0038] 産業制御システム100の複数の(例えば、全ての)デバイス130、I/Oモジュール104、通信/制御モジュール106、電源112、物理的相互接続デバイスなどには、業制御システム100の多数の(例えば、全ての)レベルでセキュリティを提供するために、セキュリティ証明書が提供される。またさらに、センサおよび/またはアクチュエータなどを含む制御エレメント/サブシステムおよび/または産業エレメントは、製造中(例えば、生まれた時)に一意のセキュリティ証明書(例えば、キー、証明書など)を備えさせることができ、産業制御システム100のセキュリティを推進するために、産業制御システム100のキー管理エンティティ124によって、生まれた時から管理することができる。
[0039] いくつかの実施形態では、産業制御システム100の、センサおよび/またはアクチュエータなどを含む制御エレメント/サブシステムおよび/または産業エレメントの間での通信は、認証プロセスを含む。認証プロセスは、産業制御システム100において実装される、センサおよび/またはアクチュエータなどを含む制御エレメント/サブシステムおよび/または産業エレメントを認証するために実行することができる。更に、認証プロセスは、エレメントおよび/または物理的相互接続デバイスと関連したセキュリティ証明書を用いて、そのエレメントおよび/または物理的相互接続デバイスを認証することができる。例えば、セキュリティ証明書は、暗号化キー、証明書(例えば、パブリック・キー証明書、デジタル証明書、アイデンティティ証明書、セキュリティ証明書、非対称の証明書、標準の証明書、非標準の証明書)、および/または識別番号を含むことがでる。
[0040] 実装において、産業制御システム100の複数の制御エレメント/サブシステムおよび/または産業エレメントは、それら自体の一意のセキュリティ証明書を備える。例えば、産業制御システム100の各エレメントには、エレメントが製造されるときに、それ自体の、証明書、暗号化キー、および/または識別番号の一意のセット(1または複数)が提供される(例えば、個々に対するキーおよび証明書のセットはエレメントが生まれた時に定められる)。証明書、暗号化キー、および/または識別番号のセットは、強い暗号化を提供/サポートするように構成される。暗号化キーは、アメリカ国家安全保障局(NSA)アルゴリズム、アメリカ国立標準技術研究所(NIST)アルゴリズムなどのような、標準(例えば、商用オフザシェルフ(COTS))の暗号化アルゴリズムを用いて実装することができる。
[0041] 認証プロセスの結果に基づいて、認証されているエレメントを活性化することができ、エレメントの部分的な機能を産業制御システム100の中でイネーブルまたはディスエーブルにすることができ、エレメントの完全な機能を産業制御システム100の中でイネーブルとすることができ、かつ/または、産業制御システム100の中のエレメントの機能を完全にディスエーブルにすることができる(例えば、産業制御システム100のそのエレメントと他のエレメントとの間の何れの通信も促進されない)。
[0042] 実施形態において、産業制御システム100のエレメントと関連するキー、証明書、および/または識別番号は、そのエレメントの他社ブランド製品製造業者(OEM)を特定することができる。ここで用いる「他社ブランド製品製造業者」または「OEM」という用語は、デバイス(例えば、エレメント)を物理的に製造するエンティティ、および/または或るデバイスを物理的な製造業者から購入してそのデバイスを販売するエンティティなどのような供給者として、定義することができる。すなわち、実施形態では、デバイスを、デバイスの物理的な製造業者と供給者との双方であるOEMによって、製造および供給(販売)することができる。しかしながら、他の実施形態では、デバイスを、供給者であるが物理的な製造業者ではないOEMによって供給することができる。このような実施形態では、OEMは、物理的な製造業者にデバイスを製造させることができる(例えばOEMは、物理的な製造業者からのデバイスの購入、契約、オーダーなどを行うことができる)。
[0043] 加えて、OEMが、デバイスの物理的な製造者ではない供給者を含む場合、デバイスは、物理的な製造業者のブランドの代わりに供給者のブランドを持つことがありえる。例えば、エレメント(例えば、通信/制御モジュール106)が、物理的な製造業者ではなく供給者である特定のOEMと関連する実施形態では、エレメントのキー、証明書、および/または識別番号は、その起源を特定することができる。産業制御システム100のエレメントの認証の間に、認証の対象となっているエレメントが、産業制御システム100の一つ以上の他のエレメントのOEMとは異なるエンティティによって製造または供給されたとの判定がなれたとき、そのエレメントの機能は、産業制御システム100の中で少なくとも部分的に使用不能とすることができる。例えば、産業制御システム100のそのエレメントと他のエレメントとの間での通信(例えば、データ転送)に制限を課することができ、そうすることにより、エレメントが産業制御システム100の中で作業/機能することができないようにする。産業制御システム100のエレメントの一つが置換を必要とするとき、この特徴は、産業制御システム100のユーザが、知らずにエレメントを非同種のエレメント(例えば、産業制御システム100の残りのエレメントとは異なる起源(異なるOEM)を有しているエレメント)に置き換えて、産業制御システム100でそのエレメントを実装することを、防止することができる。このように、ここに記載されている技術は、安全な産業制御システム100においての他のOEMのエレメントの置き換えを防止することができる。ある例では、元のOEMにより提供されるエレメントを同程度の機能性を持つエレメントに替える置換を防止することができるが、それは、その代替のエレメントが元のOEMのシステムで認証できず動作できないからである。他の例では、第1の再販業者に、元のOEMによる物理的および暗号的なラベルの第1セットを有するエレメントが提供され得、第1の再販業者のエレメントは、産業制御システム100に取り付けられ得る。この例では、2人目の再販業者に、同じ元のOEMによる物理的および暗号的なラベルの第2(例えば、異なる)セットを有するエレメントが提供され得る。この例では、第2の再販業者のエレメントは、産業制御システム100の中で動作することを妨げられるが、これは、それらが第1の再販業者のエレメントと共に認証することができず動作することができないからである。しかしながら、第1の再販業者と第2の再販業者とが相互に合意することができ、第1および第2のエレメントを、同じ産業制御システム100内で認証および動作するように構成することができることにも、留意されたい。更に、実施形態によっては、相互運用を許容するように再販業者間で合意することもでき、合意が、特定の顧客、顧客のグループ、施設などにのみ適用されるようにできる。
[0044] 他の事例において、ユーザは、産業制御システム100の中で誤って指定された(例えば、ミスマークされた)エレメントを実装することを試みることがありえる。例えば、ミスマークされたエレメントは、そのエレメントが産業制御システム100の他のエレメントのOEMと同じOEMと関連する、ということを誤って示す物理的な表示をマークされることがありえる。かかる事例において、産業制御システム100により実装される認証プロセスは、エレメントが偽であるということをユーザに警告することができる。このプロセスは、産業制御システム100のセキュリティの改善を促進することもできるが、これは、偽のエレメントが、しばしば、悪意のあるソフトウェアを産業制御システム100にもたらす伝達手段であるからである。実施形態において、認証プロセスは、産業制御システム100のためのセキュアなエア・ギャップを提供して、セキュアな産業制御システムがセキュアではないネットワークから物理的に分離されることを確実にする。
[0045] 実装において、セキュアな産業制御システム100は、キー管理エンティティ124を含む。キー管理エンティティ124は、暗号システムにおける暗号鍵(例えば、暗号化キー)を管理ように構成されることができる。この暗号鍵を管理すること(例えば、キー管理)は、キーの生成、交換、格納、使用、および/または置換を含むことができる。例えば、キー管理エンティティ124は、セキュリティ証明書ソースとして働くように構成され、産業制御システム100のエレメントに対してユニークなセキュリティ証明書(例えば、パブリック・セキュリティ証明書、秘密のセキュリティ証明書)を生成する。キー管理は、ユーザおよび/またはシステムのレベル(例えば、ユーザ間またはシステム間のどちらか)でキーに関係する。
[0046] 実施形態において、キー管理エンティティ124は、セキュアな施設に位置するエンティティなどのような、安全なエンティティを含む。キー管理エンティティ124は、I/Oモジュール104、通信/制御モジュール106、およびネットワーク120から離れた位置に置くことができる。例えば、ファイアウォール126は、キー管理エンティティ124を、制御エレメントまたはサブシステム102およびネットワーク120(例えば、コーポレート・ネットワーク)から分離することができる。実装において、ファイアウォール126は、ソフトウェアおよび/またはハードウェアをベースとしたネットワーク・セキュリティ・システムとすることができ、これは、ルール・セットに基づいて、データ・パケットを分析して、データ・パケットが通ることを許されるべきか否かを決定することによって、入ってくるおよび出て行くネットワーク・トラフィックを制御する。従って、ファイアウォール126は、信頼されるセキュアな内部ネットワーク(例えば、ネットワーク120)と、セキュアであり信頼性があると推定されない他のネットワーク128(例えば、クラウドおよび/またはインターネット)との間の障壁をもたらす。実施形態において、ファイアウォール126は、キー管理エンティティ124と、制御エレメントまたはサブシステム102および/またはネットワーク120の一つ以上のものとの間での選択的な(例えば、セキュアな)通信を許容する。例において、一つ以上のファイアウォールを、産業制御システム100の中のさまざまな位置で実装することができる。例えば、ファイアウォールは、ネットワーク120のスイッチおよび/またはワークステーションに組み込むことができる。
[0047] セキュアな産業制御システム100は、一つ以上の製造エンティティ(例えば、工場122)を更に含むことができる。製造エンティティは、産業制御システム100のエレメントに関しての元の装置製造業者(OEM)と関連付けすることができる。キー管理エンティティ124は、ネットワーク(例えば、クラウド)を介して、製造エンティティと通信するように接続することができる。実装において、産業制御システム100のエレメントが一つ以上の製造エンティティで製造されている場合、キー管理エンティティ124は、エレメントと通信するように接続する(例えば、エレメントへの暗号化された通信パイプラインを有する)ことができる。キー管理エンティティ124は、製造の際にセキュリティ証明書をエレメントに与える(例えば、キー、証明書、および/または識別番号をエレメントに挿入する)ために、通信パイプラインを利用することができる。
[0048] 更に、エレメントが使用(例えば、活性化)されると、キー管理エンティティ124は、ワールドワイドに個々のエレメントに通信するように結合することができ(例えば、暗号化された通信パイプラインを介する)、特定のコードの使用について確認および署名すること、いかなる特定のコードの使用も無効にする(例えば、除去する)こと、および/またはいかなる特定のコードの使用も可能にすることができる。すなわち、キー管理エンティティ124は、エレメントが元来製造される(例えば、生まれる)工場、つまり、エレメントが管理されたキーを持って生まれるような工場で、各エレメントと通信することができる。産業制御システム100の各エレメントに関してのすべての暗号化キー、証明書、および/または識別番号を含むマスタ・データベースおよび/またはテーブルは、キー管理エンティティ124により維持されることができる。キー管理エンティティ124は、エレメントとのその通信によって、キーを無効にするように構成され、それによって、コンポーネントの窃盗および再利用に対処する認証メカニズムの能力を促進させる。
[0049] 実装において、キー管理エンティティ124は、他のネットワーク(例えば、クラウドおよび/またはインターネット)およびファイアウォールを介して、制御エレメント/サブシステム、産業エレメント、および/またはネットワーク120の一つ以上のものと、通信するように結合することができる。例えば、実施形態では、キー管理エンティティ124は、集中型のシステムまたは分散型のシステムであり得る。更に、実施形態では、キー管理エンティティ124は、ローカルに、またはリモートから、管理されることができる。いくつかの実装において、キー管理エンティティ124は、ネットワーク120および/または制御エレメントまたはサブシステム102の中に位置する(例えば、それらと統合する)ことができる。キー管理エンティティ124は、さまざまな方法で、管理を行うこと、および/または管理されることができる。例えば、キー管理エンティティ124は、中央の位置の顧客によって、個々の工場の位置の顧客によって、外部の第三者管理会社によって、および/または産業制御システム100の様々な層および層に応じた様々な位置の顧客によって、実装/管理されることができる。
[0050] レベルが変化するセキュリティ(例えば、スケーラブルでユーザがコンフィギュレーション可能な量のセキュリティ)を、認証プロセスにより提供することができる。例えば、エレメントを認証して、エレメント内のコードを保護する基本レベルのセキュリティを提供することができる。他の層のセキュリティも付加することができる。例えば、通信/制御モジュール106などのようなコンポーネントへは、適切な認証が行われることなく電源投入できない、という度合いにセキュリティを実装することができる。実装において、コードの暗号化はエレメントで実装され、セキュリティ証明書(例えば、キーおよび証明書)はエレメントに実装される。セキュリティは、産業制御システム100を通して分配(例えば、流す)ことができる。例えば、セキュリティは、産業制御システム100を通して幅広くエンド・ユーザへ流れることができ、このエンド・ユーザは、その事例においてモジュールが何を制御するように設計されているかについて知っている者である。実施形態において、認証プロセスは、暗号化、セキュアな通信のためのデバイスの識別、およびシステムのハードウェアまたはソフトウェアのコンポーネントの認証(例えば、デジタル署名を介する)を提供する。
[0051] 実装において、異なる製造業者/ベンダー/供給者(例えば、OEM)により製造および/または供給されたエレメントのセキュアな産業制御システム100内でインターオペラビリティを提供および/または可能にするように、認証プロセスを実装することができる。例えば、異なる製造業者/ベンダー/供給者により製造および/または供給されるエレメント間の選択的な(例えば、幾らかの)インターオペラビリティを、イネーブルとすることができる。実施形態において、認証の間に実装されるユニークなセキュリティ証明書(例えば、キー)は、階層を形成することができ、それによって、産業制御システム100の異なるエレメントにより異なる機能が実行されることを許容する。
[0052] 更に、産業制御システム100のコンポーネントを接続する通信リンクは、その中へ置かれる(例えば、注入および/または詰め込みされる)小型パケット(例えば、64バイトより小さいパケット)などのようなデータ・パケットを用いることができ、それにより更なるレベルのセキュリティを提供する。小型パケットを用いることにより、外部の情報(例えば、虚偽のメッセージ、破壊工作ソフト(ウイルス)、データ・マイニング・アプリケーションなどのような悪意のあるコンテンツ)を通信リンクへ注入できる、ということに関する困難の度合いを上昇させることができる。例えば、小型パケットは、アクション・オリジネータ204と通信/制御モジュール106または他の任意の産業エレメント/コントローラ206との間で送信されるデータ・パケット間のギャップ内で通信リンク上に注入されることができ、それにより通信リンク上に悪意のあるコンテンツを注入する外部のエンティティの能力を妨げる。
[0053] 一般的に、ここに記載された何れの機能も、ハードウェア(例えば、集積回路のような固定ロジック回路)、ソフトウェア、ファームウェア、手動処理、またはそれらの組み合わせを用いて実装されることができる。すなわち、一般的に、上記の開示において述べられたブロックは、ハードウェア(例えば、集積回路のような固定ロジック回路)、ソフトウェア、ファームウェア、またはそれらの組み合わせを表す。ハードウェアの構成の事例において、上記の開示において述べられたさまざまなブロックは、他の機能も持つ集積回路として実装されることができる。かかる集積回路は、所与のブロック、システム、または回路の機能の全て、またはそのブロック、システム、または回路の機能の一部を、含むことができる。更に、ブロック、システム、または回路のエレメントは、複数の集積回路にわたって実装されることができる。かかる集積回路は、様々な集積回路を含むことができ、集積回路は、モノリシック集積回路、フリップチップ集積回路、マルチチップ・モジュール集積回路、および/または混合信号集積回路を含むが、必ずしもこれらに限定されない。ソフトウェアでの実装の事例において、上記の開示において述べられたさまざまなブロックは、プロセッサで実行されたときに指定された作業を遂行する実行可能命令(例えば、プログラムコード)を表す。これらの実行可能命令は、一つ以上の有形のコンピュータ読み取り可能な媒体に記憶されることができる。いくつかのかかる事例では、システム、ブロック、または回路の全体を、そのソフトウェアまたはファームウェアと等価の物を用いて実装することができる。他の事例では、所与のシステム、ブロック、または回路の一部をソフトウェアまたはファームウェアで実装することができ、他の部分はハードウェアで実装される。
[0054] 主題事項を、構造的特徴および/またはプロセス・オペレーションに特有の言語で記載したが、添付の請求の範囲において定義した主題事項が、必ずしも上記の特定の特徴や行為に限定されるというわけではないことを、理解すべきである。むしろ、上記の特定の特徴および行為は、請求したものを実装する際の例示の様態として開示されている。

Claims (20)

  1. セキュアな産業用制御システムであって、
    アクション・オリジネータと、
    前記アクション・オリジネータにより生成されたアクション・リクエストに署名するように構成されるアクション認証器と、
    一つ以上の産業エレメントと通信する通信/制御モジュールであって、署名されたアクション・リクエストを受信し、署名された前記アクション・リクエストの信頼性を検査し、署名された前記アクション・リクエストの信頼性が確認されたときに、リクエストされたアクションを実行するように構成される通信/制御モジュールと、
    を含む、産業用制御システム。
  2. 前記アクション・オリジネータは、オペレータ・インターフェイスと、エンジニアリング・インターフェイスと、ローカル・アプリケーション・インターフェイスと、リモート・アプリケーション・インターフェイスとのうちの少なくとも一つを備える、請求項1の産業用制御システム。
  3. 前記アクション認証器は、
    プライベート・キーが記憶されるストレージ媒体と、
    前記プライベート・キーを用いて前記アクション・リクエストに署名するように構成されるプロセッサと、
    を含むポータブル暗号化デバイスと、
    を含む、請求項1のセキュアな産業用制御システム。
  4. 前記プロセッサは、暗号化されたマイクロプロセッサを備える、請求項3のセキュアな産業用制御システム。
  5. 前記ポータブル暗号化デバイスは、スマートカードを備える、請求項3のセキュアな産業用制御システム。
  6. 前記アクション認証器は、セキュアにされたワークステーションを備える、請求項1のセキュアな産業用制御システム。
  7. セキュアにされた前記ワークステーションは、物理的なキーと、ポータブルの暗号化デバイスと、バイオメトリック暗号デバイスとのうちの少なくとも一つを介してアクセス可能である、請求項6のセキュアな産業用制御システム。
  8. 前記アクション認証器は、デバイス・ライフサイクル管理システムを備える、請求項1のセキュアな産業用制御システム。
  9. 前記アクション認証器は、更に、前記アクション・リクエストを暗号化するように構成される、請求項1のセキュアな産業用制御システム。
  10. 前記通信/制御モジュールは、
    プロセッサと、
    署名された前記アクション・リクエストの信頼性が確認されたときに、前記アクション・リクエストを前記プロセッサが実行することを可能にする仮想キー・スイッチと、
    を含む、請求項1のセキュアな産業用制御システム。
  11. 前記通信/制御モジュール及び前記アクション認証器は、更に、認証シーケンスを実行するように構成される、請求項1のセキュアな産業用制御システム。
  12. 一つ以上の前記産業エレメントは、通信/制御モジュールと、入出力モジュールと、電力モジュールと、フィールド・デバイスと、スイッチと、ワークステーションと、物理的相互接続デバイスと、のうちの少なくとも一つを含む、請求項1のセキュアな産業用制御システム。
  13. 通信/制御モジュールであって、
    少なくとも一つのプロセッサと、
    前記少なくとも一つのプロセッサにより実行可能な命令のセットを坦持する非一時的媒体と、
    を含み、
    前記命令のセットは、
    アクション・オリジネータにより発せられてアクション認証器により署名されたアクション・リクエストを受信するため、
    署名された前記アクション・リクエストの信頼性を検査するため、および
    署名された前記アクション・リクエストの信頼性が確認されたときに、リクエストされたアクションを実行するため
    の命令を含む、通信/制御モジュール。
  14. 署名された前記アクション・リクエストの信頼性が確認されたときに、前記アクション・リクエストを前記プロセッサが実行することを可能にする仮想キー・スイッチを更に含む、請求項11の通信/制御モジュール。
  15. 前記命令のセットは、署名された前記アクション・リクエストを解読する命令を更に含む、請求項11に記載の通信/制御モジュール。
  16. 署名された前記アクション・リクエストの信頼性が確認されたときに、前記リクエストされたアクションを実行させる前記命令は、
    通信するように結合された産業エレメントであって、通信/制御モジュールと、入出力モジュールと、電力モジュールと、フィールド・デバイスと、スイッチと、ワークステーションと、物理的相互接続デバイスと、のうちの少なくとも一つを含む産業エレメントを制御する命令を含む、
    請求項11の通信/制御モジュール。
  17. リクエストされたアクションを認証する方法であって、
    アクション認証器を用いてアクション・リクエストに署名するステップと、
    通信/制御モジュールへ、署名された前記アクション・リクエストを送るステップと、
    署名された前記アクション・リクエストの信頼性を検査するステップと、
    署名された前記アクション・リクエストの信頼性が確認されたときに、通信/制御モジュールを用いて、リクエストされたアクションを実行するステップと
    を含む、方法。
  18. 請求項17の方法であって、
    前記アクション認証器を用いて前記アクション・リクエストを暗号化するステップと、
    前記通信/制御モジュールを用いて前記アクション・リクエストを解読するステップと、
    を更に含む、方法。
  19. 前記アクション認証器が、ポータブルの暗号化デバイスと、セキュアにされたワークステーションと、デバイス・ライフサイクル管理システムとのうちの少なくとも一つを備える、請求項17の方法。
  20. 署名された前記アクション・リクエストの信頼性が確認されたときに、前記通信/制御モジュールを用いて、前記リクエストされたアクションを実行する前記ステップが、
    前記アクション・リクエストに従って前記産業エレメントを制御するステップを含み、
    前記産業エレメントは、通信/制御モジュールと、入出力モジュールと、電力モジュールと、フィールド・デバイスと、スイッチと、ワークステーションと、物理的相互接続デバイスと、のうちの少なくとも一つを含む、
    請求項17の方法。
JP2021160356A 2014-07-07 2021-09-30 産業用制御システムのオペレータ・アクション認証 Pending JP2022008660A (ja)

Applications Claiming Priority (9)

Application Number Priority Date Filing Date Title
US201462021438P 2014-07-07 2014-07-07
US62/021,438 2014-07-07
US14/446,412 2014-07-30
US14/446,412 US10834820B2 (en) 2013-08-06 2014-07-30 Industrial control system cable
US14/469,931 US9191203B2 (en) 2013-08-06 2014-08-27 Secure industrial control system
US14/469,931 2014-08-27
US14/519,066 US10834094B2 (en) 2013-08-06 2014-10-20 Operator action authentication in an industrial control system
US14/519,066 2014-10-20
JP2014243830A JP2016019281A (ja) 2014-07-07 2014-12-02 産業用制御システムのオペレータ・アクション認証

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2014243830A Division JP2016019281A (ja) 2014-07-07 2014-12-02 産業用制御システムのオペレータ・アクション認証

Publications (1)

Publication Number Publication Date
JP2022008660A true JP2022008660A (ja) 2022-01-13

Family

ID=52737562

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2014243830A Pending JP2016019281A (ja) 2014-07-07 2014-12-02 産業用制御システムのオペレータ・アクション認証
JP2021160356A Pending JP2022008660A (ja) 2014-07-07 2021-09-30 産業用制御システムのオペレータ・アクション認証

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2014243830A Pending JP2016019281A (ja) 2014-07-07 2014-12-02 産業用制御システムのオペレータ・アクション認証

Country Status (4)

Country Link
EP (2) EP2966520B1 (ja)
JP (2) JP2016019281A (ja)
CN (2) CN105278398B (ja)
CA (1) CA2875515A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10764063B2 (en) * 2016-04-13 2020-09-01 Rockwell Automation Technologies, Inc. Device specific cryptographic content protection
EP3264208B1 (de) * 2016-06-30 2021-01-06 Siemens Aktiengesellschaft Verfahren zum aktualisieren von prozessobjekten in einem engineerings-system
DE102016118613A1 (de) 2016-09-30 2018-04-05 Endress+Hauser Process Solutions Ag System und Verfahren zum Bestimmen oder Überwachen einer Prozessgröße in einer Anlage der Automatisierungstechnik
US20180129191A1 (en) * 2016-11-04 2018-05-10 Rockwell Automation Technologies, Inc. Industrial automation system machine analytics for a connected enterprise
EP3460598A1 (de) * 2017-09-22 2019-03-27 Siemens Aktiengesellschaft Speicherprogrammierbare steuerung
EP4235466A3 (en) * 2019-03-27 2023-10-04 Barclays Execution Services Limited System and method for providing secure data access
EP3845984A1 (en) * 2019-12-31 2021-07-07 Schneider Electric Systems USA, Inc. Secure network of safety plcs for industrial plants
CN111865908B (zh) * 2020-06-08 2022-05-17 杭州电子科技大学 一种基于随机加密策略的资源受限系统安全通讯方法
CN114658553A (zh) * 2022-05-25 2022-06-24 广东西电动力科技股份有限公司 一种基于scada系统控制的柴油发电机组

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001292176A (ja) * 2000-04-10 2001-10-19 Fuji Electric Co Ltd 制御・情報ネットワーク統合用ゲートウェイ装置および制御・情報ネットワーク統合方法
JP2001307055A (ja) * 1999-12-28 2001-11-02 Matsushita Electric Ind Co Ltd 情報記憶媒体、非接触icタグ、アクセス装置、アクセスシステム、ライフサイクル管理システム、入出力方法及びアクセス方法
JP2008538668A (ja) * 2005-04-21 2008-10-30 フランス テレコム 移動体端末装置に収容されたsimカードに接続する方法および接続装置
JP2009054086A (ja) * 2007-08-29 2009-03-12 Mitsubishi Electric Corp 情報提供装置
WO2013031124A1 (ja) * 2011-08-26 2013-03-07 パナソニック株式会社 端末装置、検証装置、鍵配信装置、コンテンツ再生方法、鍵配信方法及びコンピュータプログラム

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7761910B2 (en) * 1994-12-30 2010-07-20 Power Measurement Ltd. System and method for assigning an identity to an intelligent electronic device
US20020091931A1 (en) * 2001-01-05 2002-07-11 Quick Roy Franklin Local authentication in a communication system
FR2834403B1 (fr) * 2001-12-27 2004-02-06 France Telecom Systeme cryptographique de signature de groupe
KR100559958B1 (ko) * 2002-12-10 2006-03-13 에스케이 텔레콤주식회사 이동통신 단말기간의 인증도구 중계 서비스 시스템 및 방법
US20050229004A1 (en) * 2004-03-31 2005-10-13 Callaghan David M Digital rights management system and method
CN100393034C (zh) * 2004-04-30 2008-06-04 北京航空航天大学 一种应用于组播通信系统中的源认证方法
CN101005359B (zh) * 2006-01-18 2010-12-08 华为技术有限公司 一种实现终端设备间安全通信的方法及装置
JP4909626B2 (ja) * 2006-04-27 2012-04-04 株式会社Kddi研究所 属性認証システム、同システムにおける属性情報の匿名化方法およびプログラム
DE112006003953T5 (de) * 2006-07-11 2009-08-20 Abb Research Ltd. Ein Lebenszyklusmanagementsystem für intelligente elektronische Geräte
US8213902B2 (en) * 2007-08-02 2012-07-03 Red Hat, Inc. Smart card accessible over a personal area network
CN101809557A (zh) * 2007-08-15 2010-08-18 Nxp股份有限公司 具有并行操作模式的i2c总线接口
US8327130B2 (en) * 2007-09-25 2012-12-04 Rockwell Automation Technologies, Inc. Unique identification of entities of an industrial control system
US8001381B2 (en) * 2008-02-26 2011-08-16 Motorola Solutions, Inc. Method and system for mutual authentication of nodes in a wireless communication network
JP5329184B2 (ja) * 2008-11-12 2013-10-30 株式会社日立製作所 公開鍵証明書の検証方法及び検証サーバ
US20110154501A1 (en) * 2009-12-23 2011-06-23 Banginwar Rajesh P Hardware attestation techniques
CA3045817A1 (en) * 2010-01-12 2011-07-21 Visa International Service Association Anytime validation for verification tokens
KR101133262B1 (ko) * 2010-04-08 2012-04-05 충남대학교산학협력단 강인한 scada시스템의 하이브리드 키 관리방법 및 세션키 생성방법
CN102546707A (zh) * 2010-12-27 2012-07-04 上海杉达学院 客户信息管理方法和管理系统
JP5762182B2 (ja) * 2011-07-11 2015-08-12 三菱電機株式会社 電力管理システム、エネルギー管理装置、情報管理装置、制御装置
KR101543711B1 (ko) * 2011-10-11 2015-08-12 한국전자통신연구원 짧은 서명을 제공하는 경량 그룹서명 방법 및 장치
US8973124B2 (en) * 2012-04-30 2015-03-03 General Electric Company Systems and methods for secure operation of an industrial controller
US9635037B2 (en) * 2012-09-06 2017-04-25 Waterfall Security Solutions Ltd. Remote control of secure installations
US20140075186A1 (en) * 2012-09-13 2014-03-13 Texas Instruments Incorporated Multiple Access Key Fob
JP6013988B2 (ja) * 2013-07-18 2016-10-25 日本電信電話株式会社 データ収集システム、データ収集方法、ゲートウェイ装置及びデータ集約プログラム
CN103701919A (zh) * 2013-12-31 2014-04-02 曙光云计算技术有限公司 远程登录方法与系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001307055A (ja) * 1999-12-28 2001-11-02 Matsushita Electric Ind Co Ltd 情報記憶媒体、非接触icタグ、アクセス装置、アクセスシステム、ライフサイクル管理システム、入出力方法及びアクセス方法
JP2001292176A (ja) * 2000-04-10 2001-10-19 Fuji Electric Co Ltd 制御・情報ネットワーク統合用ゲートウェイ装置および制御・情報ネットワーク統合方法
JP2008538668A (ja) * 2005-04-21 2008-10-30 フランス テレコム 移動体端末装置に収容されたsimカードに接続する方法および接続装置
JP2009054086A (ja) * 2007-08-29 2009-03-12 Mitsubishi Electric Corp 情報提供装置
WO2013031124A1 (ja) * 2011-08-26 2013-03-07 パナソニック株式会社 端末装置、検証装置、鍵配信装置、コンテンツ再生方法、鍵配信方法及びコンピュータプログラム

Also Published As

Publication number Publication date
CN110376990A (zh) 2019-10-25
EP2966520B1 (en) 2020-11-25
EP3823425A1 (en) 2021-05-19
EP3823425B1 (en) 2024-02-28
CN105278398A (zh) 2016-01-27
CA2875515A1 (en) 2015-03-24
EP2966520A2 (en) 2016-01-13
CN105278398B (zh) 2019-08-16
JP2016019281A (ja) 2016-02-01
CN110376990B (zh) 2022-07-15
EP2966520A3 (en) 2016-06-29

Similar Documents

Publication Publication Date Title
US11722495B2 (en) Operator action authentication in an industrial control system
JP2022008660A (ja) 産業用制御システムのオペレータ・アクション認証
US20210135881A1 (en) Industrial control system redundant communications/control modules authentication
JP7029220B2 (ja) 多チャネル切り替え能力を有する入力/出力モジュール
US11144630B2 (en) Image capture devices for a secure industrial control system
CN105278327B (zh) 工业控制系统冗余通信/控制模块认证
JP7085826B2 (ja) 安全な産業用制御システムのためのイメージ・キャプチャ・デバイス
US11314854B2 (en) Image capture devices for a secure industrial control system
CA2920133C (en) Input/output module with multi-channel switching capability
US20220327197A1 (en) Image capture devices for a secure industrial control system

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211028

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211028

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221216

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230316

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20230622

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231023