JP6069160B2 - 制御システム及び認証装置 - Google Patents
制御システム及び認証装置 Download PDFInfo
- Publication number
- JP6069160B2 JP6069160B2 JP2013209799A JP2013209799A JP6069160B2 JP 6069160 B2 JP6069160 B2 JP 6069160B2 JP 2013209799 A JP2013209799 A JP 2013209799A JP 2013209799 A JP2013209799 A JP 2013209799A JP 6069160 B2 JP6069160 B2 JP 6069160B2
- Authority
- JP
- Japan
- Prior art keywords
- control program
- authentication
- control
- signature
- development
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000011161 development Methods 0.000 claims description 56
- 238000012545 processing Methods 0.000 claims description 23
- 238000000034 method Methods 0.000 description 30
- 238000003860 storage Methods 0.000 description 15
- 238000012795 verification Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 12
- 230000008569 process Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 230000008859 change Effects 0.000 description 7
- 230000007257 malfunction Effects 0.000 description 6
- 230000005856 abnormality Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000006378 damage Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000005389 magnetism Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Description
本発明は,制御装置上で実行する制御プログラムに対する認証を行う装置,及びそのような装置を含む制御システムに関する。
プラント等の制御対象設備の安全かつ安定な運転を担保するため,制御装置上で実行する制御プログラムが適切な環境において作成され,かつそれらが実行されるまでの間に破壊や改ざんを受けていないことを担保することが求められる。
本技術分野に関連する背景技術として,特許文献1には,「本発明は,実行される環境に関連する所定の基準を満足することを確証するためにアプリケーションを試験するシステム及び方法を提供することによって,安全かつ確実なアプリケーション配布を提供する。
さらに本発明は,規則及び許可リスト,アプリケーション除去,そしてデジタル署名などの変更検出技術を使用することによって,前記アプリケーションが変更されたか否かを決定し,所定のワイヤレス装置環境において実行する許可を有するか否かを決定し,前記アプリケーションを除去することにより,試験されたあるいは試験されていないアプリケーションを安全に配布及び実行する機構を提供する。」と記載されている。
さらに本発明は,規則及び許可リスト,アプリケーション除去,そしてデジタル署名などの変更検出技術を使用することによって,前記アプリケーションが変更されたか否かを決定し,所定のワイヤレス装置環境において実行する許可を有するか否かを決定し,前記アプリケーションを除去することにより,試験されたあるいは試験されていないアプリケーションを安全に配布及び実行する機構を提供する。」と記載されている。
制御システムでは,制御プログラムの開発環境を搭載したPCやサーバなどの汎用計算機(以下,開発装置)から制御プログラムを制御装置へ配信することがある。そのような構成において,開発装置に搭載されるOSなどのソフトウェア要素やそれらによって駆動される通信手順を悪意ある部外者に利用されることにより,開発装置が誤動作する恐れがあった。
特許文献1には,開発者がサーバにアプリケーションを登録する際,電子署名を用いてプログラムの改ざんを検知できるようにすることが開示されている。しかし,この電子署名は,登録されるアプリケーションが開発者の手を離れた時点から変更されていないことを示しているに過ぎず,本発明の課題として挙げたような,開発装置自体が誤動作を起こした場合には効果が少ない。それは,例えば開発装置上の制御プログラム自体が署名生成以前に破壊されていたような場合には,破壊されている制御プログラムに対して電子署名が生成されてしまうため,そのような電子署名は破壊された制御プログラムを真正なものと判定してしまうためである。
そこで,本発明は,制御プログラムを配信する開発装置自体の異常を検出し,当該異常によって引き起こされるプログラムの破壊や改ざんを防止可能な制御システムならびに認証装置を提供することを目的とする。
上記課題を解決するために,例えば特許請求の範囲に記載の構成を採用する。
本願は上記課題を解決する手段を複数含んでいるが,その一例を挙げるならば,制御対象を制御する制御装置と,前記制御装置が実行する複数の前記制御プログラムを管理し,所定の前記制御プログラム,及び,当該制御プログラムに付随する情報をネットワークへ送信する開発装置と,前記制御プログラムに付随する情報を前記制御プログラムごとに対応させて記憶する認証リストを有する装置であって,前記制御プログラム,及び,当該制御プログラムに付随する情報を前記開発装置から受信すると,前記開発装置から受信した前記付随する情報と前記認証リストに記憶されている情報とを照合して前記開発装置が正常であるか認証を行う認証装置と,を備えることを特徴とする。
本願は上記課題を解決する手段を複数含んでいるが,その一例を挙げるならば,制御対象を制御する制御装置と,前記制御装置が実行する複数の前記制御プログラムを管理し,所定の前記制御プログラム,及び,当該制御プログラムに付随する情報をネットワークへ送信する開発装置と,前記制御プログラムに付随する情報を前記制御プログラムごとに対応させて記憶する認証リストを有する装置であって,前記制御プログラム,及び,当該制御プログラムに付随する情報を前記開発装置から受信すると,前記開発装置から受信した前記付随する情報と前記認証リストに記憶されている情報とを照合して前記開発装置が正常であるか認証を行う認証装置と,を備えることを特徴とする。
本発明によれば,制御プログラムを配信する開発装置自体の異常を検出し,当該異常によって引き起こされるプログラムの破壊や改ざんを防止することができる。
上記以外の課題,構成及び効果は,以下の実施形態の説明により明らかにされる。
以下,図面を用いて本発明の実施例を説明する。
本実施例では,本願の第一の発明である制御システムについて説明する。
<各部の機能と動作の説明>
図1は,本実施例の制御システムの全体構成図である。
<各部の機能と動作の説明>
図1は,本実施例の制御システムの全体構成図である。
本実施例の制御システムは,各種計測装置やアクチュエータ等によって構成される制御対象設備2と,制御対象設備2を制御する制御装置1と,制御装置1が実行する制御プログラムを配信する開発装置20と,開発装置20の健全性をチェックするとともに配信する制御プログラムに対して署名を作成する認証装置30と,によって構成され,制御装置1,開発装置20,及び,認証装置30はネットワーク65を介して接続される。制御装置1は,制御プログラム11を記憶するメモリ10と,制御プログラム11を実行するプロセッサ12と,認証装置から送られた署名が正しいか否かを検証する署名検証部13と,署名を作成するための署名鍵を格納する署名格納部14と,から構成され,それぞれはバスによって相互に接続されている。制御装置1は,メモリ10にロードされた制御プログラム11をプロセッサ12が実行することにより,制御対象装置2に対する制御指令値を算出する。署名検証部14は,実行対象の制御プログラム11が変更されていないことを,該制御プログラムに対応する署名と,署名鍵格納部14に格納された署名鍵40によって検証し,その結果を変更検知判定15として出力する(署名検証部14の詳細は後に説明する)。プロセッサ12は,制御プログラム11の実行開始時に変更検知判定15を参照し,変更が検出されなかった場合にのみ該制御プログラムの実行を開始する。
本実施例では,メモリ10と署名格納部14は別々の記憶装置として設ける。これによって,メモリ10に対して変更があった場合においても署名格納部14内の署名を用いることで確実に制御プログラムの健全性を判定できる。また,本実施例では,署名検証部25をプロセッサ12に処理とは別に署名検証に特化した処理部として設ける。これによって,プロセッサ12の処理負荷を高めることなく署名検証ができる。
開発装置20は,キーボード,マウス,タッチパネルなどの入力デバイスや,ディスプレイ,スピーカなどの出力デバイスで構成されるHMI(Human−Machine Interface)65と,CPU61と,メモリ62とで構成され,それぞれはバスによって相互に接続されている。CPU61は,実行する処理として制御プログラムを生成するプログラム生成制御部21を有し,メモリ62には,制御プログラム11が格納されるプログラム格納部23と,制御プログラム11に付随する情報である識別情報25が記憶される。開発装置20は,ユーザが制御プログラム11を作成し蓄積する機能を提供する。プログラム生成制御部21は,ユーザからのソースコード作成操作及びソースコードからの実行形式プログラム生成操作22を受け付け,生成物として制御プログラム11を出力する。生成された制御プログラム11は,プログラム格納部23に蓄積される。
認証装置30は,CPU63と,メモリ64と,署名を生成するための署名鍵を格納する署名鍵格納部35から構成され,それぞれはバスによって相互に接続される。CPU63は,実行する処理として開発装置20の健全性を認証する認証処理部31と,制御プログラム11に対して署名を生成する署名生成部34と,を有し,メモリ64には,認証処理部31の認証に用いる認証リスト32が記憶される。認証装置30は,認証処理部31において,認証リスト32を用いて開発装置20から提示された識別情報25を検証し,署名生成許可判定33を出力する。署名生成部34は,開発装置20から出力された制御プログラム11と,認証鍵格納部35に格納された認証鍵40を参照し,該制御プログラムに対応する署名36を生成する(署名生成部34の詳細は後に説明する)。
尚,認証装置30内の署名鍵格納部35と,制御装置1内の署名鍵格納部14には予め同一の署名鍵40が格納される。この格納処理は,各装置に直接記憶させることもできるし,ネットワーク65を介して記憶させることもできる。
<プログラムの認証>
次に,制御プログラムの認証について説明する。
<プログラムの認証>
次に,制御プログラムの認証について説明する。
開発装置20が悪意ある部外者による誤動作や乗っ取りを受けた場合,そもそも開発装置20で生成された制御プログラム11の正当性を担保することができない。そのため,まずは認証装置30において開発装置20を認証し,制御プログラム11が健全な環境で作成されたことを確認する。
本実施例では,開発装置20が誤動作や乗っ取りを受けた場合には再現が困難となるような情報を用いて認証を行う例を示す。
まず,ユーザは,作成した制御プログラム11を制御装置1にロードする際,プログラム生成制御部21に対してプログラム登録指示24を指令する。この操作は,HMI65を介して行われ,具体的にはキーボード,マウス,タッチパネルなどの入力デバイスを用いて実行される。このとき,ユーザは,ロード対象の制御プログラム11を識別するための情報であるインスタンス識別子110と,該制御プログラムのロード先となる制御装置1の装置識別子(ID,アドレスなどとも呼ばれる)111を入力するものとする。
プログラム生成制御部21は,ユーザからプログラム登録指示24が入力されると,まず,プログラム格納部23から,ユーザが入力したインスタンス識別子110に対応付けられた制御プログラムを検索し,該当するものがあればその実体である制御プログラム11を取得するとともに,該制御プログラムのバージョン番号112を取得する。
図5は,プログラム格納部23のデータ構成を示す概念図である。プログラム格納部23には,制御プログラムがツリー状に階層化されて格納されている。各階層は,案件名,システム名,コントローラ名,制御プログラムによって構成され,ユーザから入力された各階層に該当する情報を検索することで所望の制御プログラムを抽出することができる。
尚,最下層にある制御プログラムには,インスタンス識別子110,装置識別子111,バージョン番号112等が関連付けされて記憶される。
尚,最下層にある制御プログラムには,インスタンス識別子110,装置識別子111,バージョン番号112等が関連付けされて記憶される。
次に,プログラム生成制御部21は,インスタンス識別子110,装置識別子111,バージョン番号112を用いて識別情報25を生成し,メモリ62へ格納し,制御プログラム11とともに認証処理部31に提示する。ここで,制御プログラム11はパスワードをかけて暗号化することもできる。図2は,識別情報25のデータ構成を示す図である,識別情報25はインスタンス識別子110と,装置識別子111と,バージョン番号112を含んで構成される。その他,制御プログラム11に関連するパスワードや,開発装置を操作しているユーザ情報を含めることもできる。
制御システムでは,異なるIDの制御装置には異なる制御プログラムのインスタンスがロードされ,また,制御プログラムは制御パラメータなどの調整のため随時バージョンアップされることから,部外者が正規のユーザを装ってこれらの情報を正確に再現することは困難である。一方で,従来の制御システムでも,正規のユーザであればこれらの情報は周知のものであり,これらの情報を確認することで開発装置20が健全であるかどうかを判定することができる。
なお,開発装置20から認証処理部31へ識別情報25を伝達し,認証処理部31にて識別情報25を判定する手順としては,情報セキュリティ分野で知られているチャレンジ&レスポンス方式やS/Key方式などを応用することができる。
チャレンジ&レスポンス方式は,互いに共通のパスワードを有するサーバとクライアント間の認証方法であり,サーバからクライアントに乱数を送信し,クライアントは自身のパスワードを用いて乱数を暗号化したものをサーバへ返送し,サーバは返送された情報と,自身が送った乱数を自身のパスワードで暗号化したものとを照合して一致しているか否かを検証して認証を行う方式である。これによって,通信路にパスワードがそのまま流れることなく認証を行うことができる。
また,S/Key方式も同様に互いに共通のパスワードを有するサーバとクライアント間の認証方法であり,サーバでは,パスワードをハッシュ関数でN重に暗号化した情報をクライアントに送信し,クライアントはパスワードをN−1重に暗号化した情報を返送し,サーバは,受信したN−1重に暗号化した情報にハッシュ関数を掛け合わせ,自身が有するN重に暗号化した情報と比較することによって認証を行う方式である。この方法も同様に,通信路にパスワードがそのまま流すことなく認証を行うことができる。
これらの方式を用いることで,開発装置20と認証装置30の間の通信路に識別情報25をそのまま送出することを避け,通信路の盗聴などによって識別情報25が漏洩し,以降の認証時に悪用されることを防止することができる。
次に認証装置31側の処理を説明する。
図6は,認証リスト32の構成を示す図である。認証リスト32は,制御プログラムの識別情報であるインスタンス識別子に対応させて,そのプログラムを送信可能なユーザ情報,パスワード,装置識別子,バージョン番号等が記憶される。
認証処理部31の側では,開発装置20より提示された識別情報25を認証リスト32から検索し,合致する装置のエントリが存在する場合には認証成功と判定し,署名生成許可判定33を出力する。具体的には,認証処理部31は,開発装置20から送られた制御プログラム11のインスタンス識別子をキーに,認証リスト32から対応する情報を検索し,開発装置20から提示された識別子25と合致するかを判定する。
認証処理部31はさらに,制御装置1において制御プログラムの実行に失敗した場合の原因確認や,認証装置の動作状況確認のため,署名生成許可判定33を認証装置30外部に出力する。外部に出力された署名生成許可判定33は,表示装置によりユーザに提示されてもよいし,ログ情報として外部記録媒体等に記録されてもよい。
<署名の生成・検証>
次に,制御プログラム11に対応する署名の生成及び検証について,図3及び図4を参照して説明する。
<署名の生成・検証>
次に,制御プログラム11に対応する署名の生成及び検証について,図3及び図4を参照して説明する。
図3は,認証装置30において,制御プログラム11に対応する署名を生成する方法を示す図である。
開発装置20に対してユーザのプログラム登録指示24が入力されたとき,前述のように識別情報25が認証装置30に提示されるが,そのとき,プログラム格納部23から取得した制御プログラム11が署名生成部34へ出力される。
署名生成部では,プログラム格納部23より制御プログラム11が入力され,かつ認証処理部31より署名生成許可判定33が入力された場合に,制御プログラム11と,署名鍵格納部35に格納された署名鍵40を署名生成アルゴリズム66に入力し,署名36を生成する。署名生成アルゴリズム50は,情報セキュリティ分野で知られている鍵付きハッシュアルゴリズムや,ハッシュアルゴリズムの出力を暗号化した暗号化ハッシュ値のほか,同様の目的で設計されたアルゴリズムを任意に選択してよい。署名生成部34は,上記の通り生成した署名36を,制御プログラム11とともに制御装置1へ送出する。
制御装置1は,制御プログラム11と署名36を署名生成部34から取り込み,メモリ10へロードする。このとき,それぞれがロードされるアドレスは,例えば制御プログラム11がファイルとして送信される場合の付加情報として記録され,メモリ10にロードされる際に参照される。
署名検証部13は,前記のメモリ10にロードされた制御プログラム11と署名36を用いて,制御プログラム11が変更されていないか検証する。
図4は,制御装置1における制御プログラム1の検証方法を示す図である。
まず,メモリ10上の制御プログラム11と署名鍵格納部14に格納されている署名鍵40とを署名生成アルゴリズム50に入力する。ここで,署名アルゴリズム50は,認証装置63が有する署名アルゴリズム66と同様のものである。図示していないが,実際にはプロセッサ12が制御プログラム11と署名鍵40を読み込み,署名生成アルゴリズム50に入力するという手順をとる(以下同様)。署名生成アルゴリズム50は,その演算結果として検査署名51を出力する。次に,プロセッサ12は検査署名51と署名36を比較部52に入力すると,比較結果に応じた変更検知判定出力15がプロセッサ12に出力される。検査署名51と署名36が一致すれば,制御プログラム11の変更はなかったと判定され,プロセッサ12による制御プログラム11の実行が許可される。一方,検査署名51と署名36が一致しなければ,制御プログラム11の変更があったと判定され,所定の警報53が出力される。
図7は,開発装置20の処理の流れを示す処理フロー図である。開発装置20はユーザからのプログラムの登録指示を受け付けるまで待機し(S101でNO),受け付けた場合には(S101でYES),プログラム格納部23から指定された制御プログラム11を抽出する(S102)。次に,抽出した制御プログラム11から識別情報25を生成し(S103),識別情報25及び制御プログラム11を認証装置30へ送信する(S104)。
図8は,認証装置30の処理の流れを示す処理フロー図である。認証装置30は,開発装置20から識別情報25の提示があるまで待機し(S201でNO),識別情報の提示があった場合には(S201でYES),前述した識別情報の判定処理を行う(S202)。識別情報判定処理の結果正しく認証できなかった場合には(S203でNO),エラー処理を行い(S206),正しく認証できた場合には(S203でYES),制御プログラム11と,署名鍵40から署名36を生成する(S204)。次に,署名36及び制御プログラム11を制御装置1へ送信する(S205)。
図9は,制御装置1の処理の流れを示す処理フロー図である。制御装置1は,認証装置30から制御プログラム11を受信するまで待機し(S301でNO),受信した場合には(S301でYES),受信した制御プログラム11と,署名鍵格納部14に格納された署名鍵40を用いて署名を生成する(S302)。次に,署名検証部13で生成した署名と, 認証装置30から送られた署名36を照合し(S303),照合の結果,一致しなかった場合には(S304でNO),エラー処理を行う(S306)。 照合の結果,一致した場合には(S304でYES),送られた制御プログラム11は正常と判断し当該プログラムを実行する。
以上説明した動作により,本実施例の制御システムは,開発装置が健全であることを示す識別情報が提示された場合にのみ,認証装置にて開発装置で作成された制御プログラムを受け付けて該制御プログラムに対応する署名を生成する。制御装置にて,認証装置よりロードした制御プログラムと,該制御プログラムに対して前記手順で生成された署名を用いた検証を行うことで,該制御プログラムが誤動作や乗っ取りのない健全な環境で作成され,かつ制御装置にロードされるまでの間に変更を受けていないことを確認することが可能となる。これによって,開発装置の誤動作や乗っ取りによって破壊または改ざんされた制御プログラムが真正なものと誤認されて制御装置に配信され実行されることを防止することができる。なお,本実施例の変形例として,制御装置1が制御プログラム11を認証装置30からロードする代わりに開発装置20からロードする構成も考えられる。本変形例では,制御プログラム11とそれに対する署名36が完全に別の装置上にあるため,開発装置20と認証装置30の双方を乗っ取り,制御プログラム11と署名36をともに改ざんしない限り改ざんされた制御プログラム11が制御装置1上で実行されないようにでき,セキュリティがさらに向上する。
図8は,認証装置30の処理の流れを示す処理フロー図である。認証装置30は,開発装置20から識別情報25の提示があるまで待機し(S201でNO),識別情報の提示があった場合には(S201でYES),前述した識別情報の判定処理を行う(S202)。識別情報判定処理の結果正しく認証できなかった場合には(S203でNO),エラー処理を行い(S206),正しく認証できた場合には(S203でYES),制御プログラム11と,署名鍵40から署名36を生成する(S204)。次に,署名36及び制御プログラム11を制御装置1へ送信する(S205)。
図9は,制御装置1の処理の流れを示す処理フロー図である。制御装置1は,認証装置30から制御プログラム11を受信するまで待機し(S301でNO),受信した場合には(S301でYES),受信した制御プログラム11と,署名鍵格納部14に格納された署名鍵40を用いて署名を生成する(S302)。次に,署名検証部13で生成した署名と, 認証装置30から送られた署名36を照合し(S303),照合の結果,一致しなかった場合には(S304でNO),エラー処理を行う(S306)。 照合の結果,一致した場合には(S304でYES),送られた制御プログラム11は正常と判断し当該プログラムを実行する。
以上説明した動作により,本実施例の制御システムは,開発装置が健全であることを示す識別情報が提示された場合にのみ,認証装置にて開発装置で作成された制御プログラムを受け付けて該制御プログラムに対応する署名を生成する。制御装置にて,認証装置よりロードした制御プログラムと,該制御プログラムに対して前記手順で生成された署名を用いた検証を行うことで,該制御プログラムが誤動作や乗っ取りのない健全な環境で作成され,かつ制御装置にロードされるまでの間に変更を受けていないことを確認することが可能となる。これによって,開発装置の誤動作や乗っ取りによって破壊または改ざんされた制御プログラムが真正なものと誤認されて制御装置に配信され実行されることを防止することができる。なお,本実施例の変形例として,制御装置1が制御プログラム11を認証装置30からロードする代わりに開発装置20からロードする構成も考えられる。本変形例では,制御プログラム11とそれに対する署名36が完全に別の装置上にあるため,開発装置20と認証装置30の双方を乗っ取り,制御プログラム11と署名36をともに改ざんしない限り改ざんされた制御プログラム11が制御装置1上で実行されないようにでき,セキュリティがさらに向上する。
尚,制御装置1,開発装置20,及び,認証装置30が有するCPUやプロセッサは,不揮発性記憶媒体からプログラムをメモリに転送し,このプログラムを実行するものである。実行するプログラムとしては,オペレーティングシステムや,OS上で動作するアプリケーションプログラムを例示できる。
また,制御装置1,開発装置20,及び,認証装置30は,ネットワーク65との通信機能を有する。この通信機能は,CPUやプロセッサが実行するプログラムから通信要求を受け取り,ネットワーク65に対して通信する。通信機能としては,MAC(Media Access Control)チップ,PHY(物理層)チップ,MACとPHYの複合チップ,FPGA,CPLD,ASIC,及びゲートアレイといったICを例示できる。なお,これら通信機能は,CPUやプロセッサ,コンピュータ内部の情報経路を制御するチップセットに含まれていてもよい。
また,制御装置1,開発装置20,及び,認証装置30内のバスとしては,PCIバス,ISAバス,PCI Expressバス,システムバス,及びメモリバスを例示できる。
なお,本発明は上記した実施例に限定されるものではなく,様々な変形例が含まれる。
例えば,上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり,必ずしも説明した全ての構成を備えるものに限定されるものではない。また,ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり,また,ある実施例の構成に他の実施例の構成を加えることも可能である。また,各実施例の構成の一部について,他の構成の追加・削除・置換をすることが可能である。
また,上記の各構成,機能,処理部,処理手段等は,それらの一部又は全部を,例えば集積回路で設計する等によりハードウェアで実現してもよい。また,上記の各構成,機能等は,プロセッサがそれぞれの機能を実現するプログラムを解釈し,実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム,テーブル,ファイル等の情報は,半導体メモリや,ハードディスク等の記録装置,または,磁気や光を利用する記録媒体に置くことができる。
また,制御線や情報線は説明上必要と考えられるものを示しており,製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
例えば,上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり,必ずしも説明した全ての構成を備えるものに限定されるものではない。また,ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり,また,ある実施例の構成に他の実施例の構成を加えることも可能である。また,各実施例の構成の一部について,他の構成の追加・削除・置換をすることが可能である。
また,上記の各構成,機能,処理部,処理手段等は,それらの一部又は全部を,例えば集積回路で設計する等によりハードウェアで実現してもよい。また,上記の各構成,機能等は,プロセッサがそれぞれの機能を実現するプログラムを解釈し,実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム,テーブル,ファイル等の情報は,半導体メモリや,ハードディスク等の記録装置,または,磁気や光を利用する記録媒体に置くことができる。
また,制御線や情報線は説明上必要と考えられるものを示しており,製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
1 制御システム
2 制御対象設備
10 メモリ
11 制御プログラム
12 プロセッサ
13 署名検証部
14 署名鍵格納部
15 変更検知判定
20 開発装置
21 プログラム生成制御部
22 ソースコード作成・プログラム生成操作
23 プログラム格納部
24 プログラム出力指示
25 識別情報
30 認証装置
31 認証処理部
32 認証基準情報
33 署名生成許可判定
34 署名生成部
35 署名鍵格納部
40 署名鍵
61 CPU
62 メモリ
63 CPU
64 メモリ
65 ネットワーク
66 署名生成アルゴリズム
2 制御対象設備
10 メモリ
11 制御プログラム
12 プロセッサ
13 署名検証部
14 署名鍵格納部
15 変更検知判定
20 開発装置
21 プログラム生成制御部
22 ソースコード作成・プログラム生成操作
23 プログラム格納部
24 プログラム出力指示
25 識別情報
30 認証装置
31 認証処理部
32 認証基準情報
33 署名生成許可判定
34 署名生成部
35 署名鍵格納部
40 署名鍵
61 CPU
62 メモリ
63 CPU
64 メモリ
65 ネットワーク
66 署名生成アルゴリズム
Claims (6)
- 制御対象を制御する制御装置と、
前記制御装置が実行する複数の前記制御プログラムを管理し、所定の前記制御プログラム、及び、当該制御プログラムに付随する情報をネットワークへ送信する開発装置と、
前記制御プログラムに付随する情報を前記制御プログラムごとに対応させて記憶する認証リストを有する装置であって、前記制御プログラム、及び、当該制御プログラムに付随する情報を前記開発装置から受信すると、前記開発装置から受信した前記付随する情報と前記認証リストに記憶されている情報とを照合して前記開発装置が正常であるか認証を行う認証装置と、を備え、
前記認証装置は、前記認証リストを用いて前記開発装置から提示された識別情報を検証し、署名生成許可判定を出力することを特徴とする制御システム。 - 請求項1において、
前記認証装置は、前記認証の結果、前記開発装置は正常であると判断した場合には、受信した前記制御プログラムから署名を生成し、当該署名を前記制御装置へ送信することを特徴とする制御システム。 - 請求項2において、
前記制御装置は、前記開発装置又は前記認証装置から受信した前記制御プログラムを受信すると、受信した前記制御プログラムに基づいて署名を生成し、当該生成した署名と、
前記認証装置から受信した署名と、を照合して所定の照合結果が得られた場合には前記制御プログラムを実行することを特徴とする制御システム。 - 請求項3において、
前記認証装置及び前記制御装置には予め共通の署名鍵が記憶され、前記認証装置及び前記制御装置は、それぞれが記憶する前記署名鍵を用いて前記制御プログラムから署名を生成することを特徴とする制御システム。 - 請求項1において、
前記付随する情報は、前記制御プログラム識別するためのインスタンス識別子、対象となる前記制御装置を識別するための装置識別子、前記制御プログラムのバージョン情報、のいずれかを含むことを特徴とする制御システム。 - 制御対象を制御する制御装置及び制御プログラムを生成する開発装置とネットワークを介して接続され、
前記制御プログラムに付随する情報が前記制御プログラムごとに関連付けられた認証リストを記憶するメモリと、
前記開発装置が生成した前記制御プログラム、及び、当該制御プログラムに付随する情報を前記ネットワーク経由で受信すると、前記開発装置から受信した前記付随する情報が前記認証リストに記憶されているかを検索して前記開発装置が正常であるか認証を行い、前記開発装置は正常であると判断した場合には、受信した前記制御プログラムから署名を生成し、前記署名を前記制御装置へ送信する演算処理部と、
前記認証リストを用いて前記開発装置から提示された識別情報を検証し、署名生成許可判定を出力する認証処理部と、
を有することを特徴とする認証装置。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013209799A JP6069160B2 (ja) | 2013-10-07 | 2013-10-07 | 制御システム及び認証装置 |
| DE112014004611.6T DE112014004611T5 (de) | 2013-10-07 | 2014-09-05 | Steuersystem und Authentifikationsvorrichtung |
| US15/025,591 US9965625B2 (en) | 2013-10-07 | 2014-09-05 | Control system and authentication device |
| PCT/JP2014/073428 WO2015053019A1 (ja) | 2013-10-07 | 2014-09-05 | 制御システム及び認証装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013209799A JP6069160B2 (ja) | 2013-10-07 | 2013-10-07 | 制御システム及び認証装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015075801A JP2015075801A (ja) | 2015-04-20 |
| JP6069160B2 true JP6069160B2 (ja) | 2017-02-01 |
Family
ID=52812839
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013209799A Active JP6069160B2 (ja) | 2013-10-07 | 2013-10-07 | 制御システム及び認証装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9965625B2 (ja) |
| JP (1) | JP6069160B2 (ja) |
| DE (1) | DE112014004611T5 (ja) |
| WO (1) | WO2015053019A1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA3122205A1 (en) * | 2018-12-13 | 2020-06-18 | Societe Des Produits Nestle Sa | Methods for increasing fat oxidation or energy expenditure or satiety in an animal |
| US11601268B2 (en) * | 2020-08-03 | 2023-03-07 | Nuvoton Technology Corporation | Device attestation including attestation-key modification following boot event |
| JP2022162327A (ja) * | 2021-04-12 | 2022-10-24 | オムロン株式会社 | 制御装置、制御システム、管理方法およびプログラム |
| JPWO2023275947A1 (ja) * | 2021-06-28 | 2023-01-05 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7099663B2 (en) | 2001-05-31 | 2006-08-29 | Qualcomm Inc. | Safe application distribution and execution in a wireless environment |
| JP2006114020A (ja) * | 2004-09-17 | 2006-04-27 | Ricoh Co Ltd | 電子装置システムとその電子装置,制御方法,プログラム,および記録媒体 |
| US7591014B2 (en) * | 2005-03-04 | 2009-09-15 | Microsoft Corporation | Program authentication on environment |
| KR101185595B1 (ko) * | 2005-09-30 | 2012-09-24 | 삼성전자주식회사 | 스마트 카드를 이용하여 보안 기능을 수행하는 장치 및 그방법 |
| US7395187B2 (en) * | 2006-02-06 | 2008-07-01 | International Business Machines Corporation | System and method for recording behavior history for abnormality detection |
| JP2007293678A (ja) | 2006-04-26 | 2007-11-08 | Hitachi Ltd | 共用バス接続診断装置 |
| US8646056B2 (en) * | 2007-05-17 | 2014-02-04 | U.S. Cellular Corporation | User-friendly multifactor mobile authentication |
| JP5260908B2 (ja) * | 2007-07-20 | 2013-08-14 | 日本電気通信システム株式会社 | 制御装置、通信装置、制御システム、制御方法及び制御プログラム |
| JP2009151553A (ja) * | 2007-12-20 | 2009-07-09 | Mizuho Bank Ltd | 現金支払システム及び現金支払方法 |
| EP2758879B1 (en) * | 2011-09-19 | 2023-06-07 | Tata Consultancy Services Ltd. | A computing platform for development and deployment of sensor-driven vehicle telemetry applications and services |
-
2013
- 2013-10-07 JP JP2013209799A patent/JP6069160B2/ja active Active
-
2014
- 2014-09-05 WO PCT/JP2014/073428 patent/WO2015053019A1/ja active Application Filing
- 2014-09-05 US US15/025,591 patent/US9965625B2/en active Active
- 2014-09-05 DE DE112014004611.6T patent/DE112014004611T5/de not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| US9965625B2 (en) | 2018-05-08 |
| US20160239662A1 (en) | 2016-08-18 |
| DE112014004611T5 (de) | 2016-08-11 |
| WO2015053019A1 (ja) | 2015-04-16 |
| JP2015075801A (ja) | 2015-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3458999B1 (en) | Self-contained cryptographic boot policy validation | |
| US10176330B2 (en) | Global platform health management | |
| CN107077574B (zh) | 用于客户端设备的信任服务 | |
| EP3275159B1 (en) | Technologies for secure server access using a trusted license agent | |
| JP5745061B2 (ja) | 起動プロセスの際の対話型コンポーネントの使用の認証 | |
| Sadeghi et al. | TCG inside? A note on TPM specification compliance | |
| WO2018107595A1 (zh) | 一种基于度量机制的可信plc启动方法 | |
| JP2014505318A (ja) | 安全なソフトウェアの更新のためのシステム及び方法 | |
| JP2008537224A (ja) | 安全な起動方法およびシステム | |
| US20160098555A1 (en) | Program code attestation circuitry, a data processing apparatus including such program code attestation circuitry and a program attestation method | |
| US11416604B2 (en) | Enclave handling on an execution platform | |
| TW201447903A (zh) | 修復非依電性記憶體中受危害之系統資料之技術 | |
| JP6069160B2 (ja) | 制御システム及び認証装置 | |
| US11436324B2 (en) | Monitoring parameters of controllers for unauthorized modification | |
| JP2017011491A (ja) | 認証システム | |
| CN114651253A (zh) | 用于策略强制实施的虚拟环境类型验证 | |
| US9177123B1 (en) | Detecting illegitimate code generators | |
| KR102518980B1 (ko) | 컨테이너 이미지에 대한 악성 코드를 분석 및 처리하는 방법, 장치 및 컴퓨터-판독 가능 기록 매체 | |
| JP7227086B2 (ja) | 正当性確認機器 | |
| US9122878B1 (en) | Software license management with drifting component | |
| JP6149523B2 (ja) | ファイル改ざん検知システム | |
| Msgna et al. | Secure application execution in mobile devices | |
| CN106415565B (zh) | 保护软件项目 | |
| KR102089435B1 (ko) | 안전한 usb 장치를 보장하는 부트 방법 | |
| Garcia et al. | Powerful authentication regime applicable to naval OFP integrated development (PARANOID): A vision for non-circumventable code signing and traceability for embedded avionics software |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160208 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160823 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161019 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161129 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161226 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6069160 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |