JP6507076B2 - プラントセキュリティ装置、及びプラントセキュリティシステム - Google Patents
プラントセキュリティ装置、及びプラントセキュリティシステム Download PDFInfo
- Publication number
- JP6507076B2 JP6507076B2 JP2015209260A JP2015209260A JP6507076B2 JP 6507076 B2 JP6507076 B2 JP 6507076B2 JP 2015209260 A JP2015209260 A JP 2015209260A JP 2015209260 A JP2015209260 A JP 2015209260A JP 6507076 B2 JP6507076 B2 JP 6507076B2
- Authority
- JP
- Japan
- Prior art keywords
- unit
- data
- decryption key
- terminal
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Description
本発明の実施形態は、プラントセキュリティ装置、及びプラントセキュリティシステムに関する。
端末から外部ネットワークを経由し、発電プラントや化学プラントなどの各種産業プラント内に設置されたデータサーバに保存しているデータが取得される。この場合、データサーバにおけるデータ漏えい、および端末へデータを伝送する際の外部ネットワークにおけるデータ漏えいを防止することが、セキュリティを向上させるために、重要視されている。
一般にこれらのデータ漏えいの対策には、ユーザ認証、アクセス認証、およびデータの暗号化などが有効である。図7は、このようなデータ漏えいの対策に用いられるセキュリティ装置10の構成例を示す図である。この図7に示すように、データベース100には、検査データ及びユーザ情報がインターフェース部101により暗号化され、登録されている。端末102のユーザからデータの要求を受けた場合には、データベース100に、暗号化され、登録されたユーザ情報や検査データが、インターフェース部101により、必要に応じて復号される。ユーザ認証が行われた後、要求されたデータはデータベース100から検索される。そして、検索されたデータは、再び暗号化され、端末102へ送出される。
このように、データベース100のデータは暗号化され、データは暗号化された状態で送出される。このため、データベース100におけるデータ漏えい、および端末102へデータを伝送する際の外部ネットワークにおけるデータ漏えいが防止される。
ところが、外部ネットワークからインターフェース部101にアクセスが可能であり、インターフェース部101を介して情報が漏えいするおそれがある。また、復号機能を有するインターフェース部101もセキュリティ装置10内に存在する。このため、暗号鍵及び復号鍵が漏えいすると、セキュリティ装置10内でデータの復号が可能となり、より多くのデータ漏えいが生じてしまう。
そこで、本発明の実施形態は、このような点を考慮してなされたものであり、データを暗号化する暗号化部を外部ネットワークから遮断可能なプラントセキュリティ装置およびプラントセキュリティシステムを提供することである。
本実施形態に係るプラントセキュリティ装置は、
データ記憶部から取得されるデータを第1の暗号鍵で暗号化して出力するとともに、当該第1の暗号鍵で暗号化された暗号化データを復号するために用いる第1の復号鍵を出力する暗号化部と、
前記暗号化部から取得される前記第1の復号鍵を単一方向に伝送する第1伝送部と、
前記暗号化部から取得される前記暗号化データを単一方向に伝送する第2伝送部と、
を備えることを特徴とする。
データ記憶部から取得されるデータを第1の暗号鍵で暗号化して出力するとともに、当該第1の暗号鍵で暗号化された暗号化データを復号するために用いる第1の復号鍵を出力する暗号化部と、
前記暗号化部から取得される前記第1の復号鍵を単一方向に伝送する第1伝送部と、
前記暗号化部から取得される前記暗号化データを単一方向に伝送する第2伝送部と、
を備えることを特徴とする。
本実施形態に係るプラントセキュリティシステムは、
暗号鍵および対応する復号鍵の組を複数有する端末と、
データ記憶部から得たデータを第1の暗号鍵で暗号化して出力するとともに、当該第1の暗号鍵で暗号化された暗号化データを、復号するために用いる第1の復号鍵を出力する暗号化部と、
前記暗号化部から取得される前記第1の復号鍵を単一方向に伝送する第1伝送部と、
前記暗号化部から取得される前記暗号化データを単一方向に伝送する第2伝送部と、
前記第1伝送部を介して取得した前記第1の復号鍵を記憶し、当該第1の復号鍵の取得を要求する前記端末が認証条件を満した場合に、前記端末から取得した第2の暗号鍵で前記第1の復号鍵を暗号化して当該端末に出力する第1認証部と、
前記第2伝送部を介して取得した前記暗号化データを記憶し、当該前記暗号化データの取得を要求する前記端末が認証条件を満した場合に、前記端末から取得した第3の暗号鍵で前記暗号化データを暗号化して当該端末に出力する第2認証部と、を有するプラントセキュリティ装置と、
を備え、
前記端末は、前記第2の暗号鍵用の第2の復号鍵、前記第3の暗号鍵用の第3の復号鍵を有する端末であって、前記第2の復号鍵で前記暗号化された第1の復号鍵を復号し、前記第2認証部で暗号化された暗号化データを前記第3の復号鍵で復号し、更に当該復号した第1の復号鍵で暗号化データを復号し、前記データを取得することを特徴とする。
暗号鍵および対応する復号鍵の組を複数有する端末と、
データ記憶部から得たデータを第1の暗号鍵で暗号化して出力するとともに、当該第1の暗号鍵で暗号化された暗号化データを、復号するために用いる第1の復号鍵を出力する暗号化部と、
前記暗号化部から取得される前記第1の復号鍵を単一方向に伝送する第1伝送部と、
前記暗号化部から取得される前記暗号化データを単一方向に伝送する第2伝送部と、
前記第1伝送部を介して取得した前記第1の復号鍵を記憶し、当該第1の復号鍵の取得を要求する前記端末が認証条件を満した場合に、前記端末から取得した第2の暗号鍵で前記第1の復号鍵を暗号化して当該端末に出力する第1認証部と、
前記第2伝送部を介して取得した前記暗号化データを記憶し、当該前記暗号化データの取得を要求する前記端末が認証条件を満した場合に、前記端末から取得した第3の暗号鍵で前記暗号化データを暗号化して当該端末に出力する第2認証部と、を有するプラントセキュリティ装置と、
を備え、
前記端末は、前記第2の暗号鍵用の第2の復号鍵、前記第3の暗号鍵用の第3の復号鍵を有する端末であって、前記第2の復号鍵で前記暗号化された第1の復号鍵を復号し、前記第2認証部で暗号化された暗号化データを前記第3の復号鍵で復号し、更に当該復号した第1の復号鍵で暗号化データを復号し、前記データを取得することを特徴とする。
データを暗号化する暗号化部を外部ネットワークから遮断可能なプラントセキュリティ装置およびプラントセキュリティシステムを提供することができる。
以下、図面を参照して、本発明の実施形態について説明する。本実施形態は、本発明を限定するものではない。
(第1実施形態)
本実施形態に係るプラントセキュリティ装置は、暗号化部に第1の復号鍵を単一方向に伝送するダイオードと、データを暗号化した暗号化データを単一方向に伝送するデータダイオードとを、接続することで、暗号化部が外部ネットワークから遮断されるようにしたものである。より詳しくを、以下に説明する。
本実施形態に係るプラントセキュリティ装置は、暗号化部に第1の復号鍵を単一方向に伝送するダイオードと、データを暗号化した暗号化データを単一方向に伝送するデータダイオードとを、接続することで、暗号化部が外部ネットワークから遮断されるようにしたものである。より詳しくを、以下に説明する。
(構成)
図1に基づき第1実施形態に係るプラントセキュリティシステム1の構成を説明する。図1は、第1実施形態に係るプラントセキュリティシステム1の構成を示すブロック図である。この図1に示すように、本実施形態に係る第1実施形態に係るプラントセキュリティシステム1は、端末2と、プラントセキュリティ装置4と、プラント制御監視装置6とを、備えて構成されている。
図1に基づき第1実施形態に係るプラントセキュリティシステム1の構成を説明する。図1は、第1実施形態に係るプラントセキュリティシステム1の構成を示すブロック図である。この図1に示すように、本実施形態に係る第1実施形態に係るプラントセキュリティシステム1は、端末2と、プラントセキュリティ装置4と、プラント制御監視装置6とを、備えて構成されている。
端末2は、外部ネットワークを経由してプラント内のデータを要求する。例えばこの端末2は、2対の公開鍵暗号方式の暗号鍵と復号鍵とを備えて構成されるコンピュータである。
プラントセキュリティ装置4は、プラント内のデータを外部ネットワークから遮断した状態で端末2に出力する。すなわち、このプラントセキュリティ装置4は、暗号化部42と、ダイオード44と、ユーザ認証部46と、データダイオード48と、データサーバ50と、を備えて構成されている。
暗号化部42は、プラント内のデータを第1の暗号鍵で暗号化して暗号化データとして出力するとともに、第1の暗号鍵で暗号化された暗号化データを復号するために用いる第1の復号鍵を出力する。暗号化部42は、例えば公開鍵暗号方式の暗号鍵と復号鍵を備え、暗号鍵でデータを暗号化するコンピュータで構成されている。この公開鍵暗号方式は、暗号鍵と復号鍵の1対の鍵でデータの暗号化と復号化を行う方式である。暗号鍵で暗号化した情報は復号鍵でないと復号困難という性質があり、暗号化の方式には、DH(Diffie-Hellman)、RSA(Rivest-Shamir-Adleman)、DSA(Digital Signature Algorithm)、楕円曲線暗号(Elliptic Curve Cryptosystem)などの方式が適用される。暗号化部42で用いる暗号方式には、共通鍵暗号方式を用いてもよい。ここでの暗号化部42は、例えば、プラント内のデータを第1の暗号鍵で暗号化して出力するとともに、第1の復号鍵を出力する。
ダイオード44は、一端が暗号化部42と接続され、第1の復号鍵を単一方向に伝送する。このダイオード44は、例えば単一方向のゲートウェイであり、通信を1方方向だけに制限して外部ネットワークからの侵入を遮断する。詳細の構成を後述するが、ダイオード44では、LDやLEDなどの発光素子から光ファイバで情報を光伝送し、PDやAPDなどの受光素子で光を検出して情報を取得する。この場合、発光素子から受光素子へは情報伝送できるが、受光素子から発光素子へは物理的に情報伝送できないので、情報を単一方向に伝送できるのである。なお、本実施形態では、ダイオード44が第1伝送部に対応する。
ユーザ認証部46は、ダイオード44を介して取得した第1の復号鍵を記憶し、第1の復号鍵の取得を要求する端末2が認証条件を満した場合に、この端末2から取得した第2の暗号鍵で第1の復号鍵を暗号化して端末2に出力する。すなわち、ユーザ認証部46は、第1の復号鍵の取得を要求する端末2を認証し、正当である場合に、この端末2へ第2の暗号鍵を要求する。そして、第1の復号鍵を第2の暗号鍵で暗号化して端末2へ送信する。このユーザ認証部46は、例えばコンピュータである。なお、本実施形態では、ユーザ認証部46が第1認証部に対応する。
ここでの認証は、MAC(Media Access Control address)アドレス、ユーザID、パスワード、電子署名、SSL(Secure Socket Layer)やTLS(Transport Layer Security)のいずれか、またはこれらの1部または全てを組み合せることで行う。また、電子署名にはさらに認証局の電子証明書を付属させることでセキュリティ性をさらに向上させることが可能である。例えば、端末2でユーザIDやパスワードのハッシュ値を求めた後に暗号鍵で暗号化し、端末2からユーザ認証部46へ送信し、これとは別に暗号鍵をユーザ認証部46へ送信して電子署名とすることが可能である。ユーザ認証部46は暗号鍵で端末2の電子署名を確認でき、さらにユーザIDやパスワードで端末2をさらに確実に認証できる。ハッシュ値を求めるハッシュ関数にはMD5やSHA−1などを用いることが可能である。
データダイオード48は、一端が暗号化部42と接続され、暗号化部42で第1の暗号鍵を用いて暗号化された暗号化データを単一方向に伝送する。データダイオード48は、単一方向のゲートウェイであり、通信を1方方向だけに制限して外部ネットワークからの侵入を遮断する。データダイオード48はダイオード44と同様の構造である。ここでのデータダイオード48は、発光素子−受光素子を並列に設けて構成されている。このため、大容量のデータ伝送が可能である。なお、本実施形態では、データダイオード48が第2伝送部に対応する。
データサーバ50は、データダイオード48を介して取得した暗号化データを記憶し、暗号化データの取得を要求する端末2が認証条件を満した場合に、端末2から取得した第3の暗号鍵で暗号化データを暗号化して端末2に出力する。すなわち、データサーバ50は、暗号化データの記憶及び2重の暗号化、アクセスを要求する端末2の認証、データ送信を行うコンピュータである。このデータサーバ50は、端末2を認証した後に、端末2から送信される暗号鍵で暗号化データを2重に暗号化して送信する。端末2の認証はユーザ認証部46と同様、MAC(Media Access Control address)アドレス、ユーザID、パスワード、電子署名、電子証明書付の電子署名のいずれか、またはこれらの1部または全てを組み合せることで行う。さらに、データサーバ50から端末2へのデータ送信時に送信データのハッシュ値を付属させることでデータの改ざんを検証する。なお、本実施形態では、データサーバ50が第2認証部に対応する。
プラント制御監視装置6は、制御監視部62と、データ記憶部64を備えて構成されている。プラント制御監視装置6は、発電プラントや化学プラント等の各種産業プラントを制御監視する。
制御監視部62は、プラントを制御するために用いる監視データを監視し、プラント内の各装置を制御する。例えば、発電プラントは、ボイラ、ボイラで発生させた蒸気を用いて発電する発電機などで構成されている。この場合、制御監視部62は、発電プラントを制御するために用いる監視データを監視し、発電プラント内の各装置を制御している。例えば、これらの監視データには、発電機が発電した発電量、復水器へ冷却水を供給するポンプの冷却水温度、復水流量、給水ポンプ出口圧力などのデータがある。
データ記憶部64は、例えばデータサーバで構成され、プラント監視制御装置6が制御に用いる監視データ、およびプラントに関するデータのうちの少なくともいずれかをプラントデータ、すなわちプラント内のデータとして記憶する。例えばこれらのプラントデータは、外部の端末2でプラントを監視するために用いられたり、非常時に遠隔操作するなどのために用いられたりする。このため、プラント制御監視装置6には安全性や信頼性、経済性に加え、近年は情報セキュリティの重要性が挙げられている。セキュリティのリスクには、DoS攻撃(Denial of Service)、不正アクセス及び操作、データの傍受、漏えい、改ざんや破壊などがあり、セキュリティレベルを上げる必要があるのである。
このように、ダイオード44は、暗号化部42からユーザ認証部46への1方向伝送、すなわち単一方向伝送を行う。また、データダイオード48は、暗号化部42からデータサーバ50への1方向伝送である。このため、暗号化部42は、外部ネットワークに対して完全に隔離された状態にある。また、制御監視部62およびデータ記憶部64は暗号化部2に接続され、暗号化部2は更にダイオード44およびデータダイオード48に接続されている。このため、暗号化部2が外部ネットワークから遮断されることで、制御監視部62およびデータ記憶部64、すなわちプラント制御監視装置6も外部ネットワークから遮断されるのである。
次に図2に基づきダイオード44の構造を説明する。図2は、ダイオード44の構成を示す模式図である。この図2に示すように、このダイオード44は、波長数及び波長の順序を任意に決めた搬送波を変調して情報を1方向、つまり単一方向に伝送する。すなわち、送信部440と、復調部442とを備えて構成されている。送信部440は、複数の波長を含む光をデータ搬送波444に変調し、送信する。この送信部440は、波長幅を持つ光源を用い、時間または空間における波長毎に伝送させる情報を分散させる。この場合、波長の数と順序を設定し、各波長をデジタル変調またはアナログ変調またはその両方を行って情報を重畳するのである。そして、波長各々を時間または空間で合波し、データ搬送波444として伝送する。図2におけるデータ搬送波444は空間で合波されていない例である。データ搬送波444の波長や変調については、情報のビット単位で波長や変調量または変調手法を変えてもよいし、パケットなどの単位で波長や変調量または変調手法を変えてもよい。
復調部442は、予め設定された波長数及び波長の順序に従って変調されたデータ搬送波444を受光して復調する。すなわち、この復調部442は、データ搬送波444の波長各々が時間または空間で合波されている場合に、時間または空間で波長毎に再度分散させる。そしてデータ搬送波444を波長毎に受光して復調し、予め設定された順序で各波長の値を復元することで情報を取得する。このように、図2に示すダイオード44やデータダイオード48を用いた場合、複数以上の波長を含む光がデータ搬送波444として伝送され、これを傍受しただけでは使用波長とその波長数、再生時の順序が分からないため、情報を再生できないのである。この結果、暗号化部42は外部ネットワークから遮断されると共に、暗号化部42に接続されるデータ記憶部64からのデータ漏えいをも防止することができる。
次に、図3に基づいて伝送経路を任意に設定可能なダイオード44の構造を説明する。図3は、伝送経路を任意に設定可能なダイオード44の構成を示す模式図である。
この図3に示すように、ダイオード44は、復調部442と、偏向部446と、を備えて構成されている。上述のように復調部442は、変調されたデータ搬送波444を受光して復調する。
偏向部446は、データ搬送波444の変調と伝搬方向を設定する。復調部442と偏向部446との間の経路は、データ搬送波444の偏向部材4461〜4469で設定される。この偏向部材4461〜4469は、ミラー、プリズム、回折格子、波長板と組み合せた偏光素子などの偏向素子で構成可能である。この偏向部446は、LEDやLDなどの光源が出射する光に対して変調後、偏向部材4461〜4469の方向や角度を変え、データ搬送波444の伝搬方向を設定する。データ搬送波444を不可視光とすることで、データ搬送波444の傍受をより困難にすることが可能である。なお、本実施形態では、偏向部446が送信部440に対応する。このように、図3に示すダイオード44やデータダイオード48を用いた場合、複数以上の伝送路があり、データ搬送波444が不可視光で時間的に伝送路が変わると傍受もできないのである。この結果、暗号化部42は外部ネットワークから遮断されると共に、暗号化部42に接続されるデータ記憶部64からのデータ漏えいをも防止することができる。
次に、図4に基づいて傍受検知部72について説明する。図4は、傍受検知部72の構成を示すブロック図である。この図4に示すように、傍受検知部72は、送信部の特性測定部722と、受信部の特性測定部724と、傍受判定部726とを、備えて構成されている。送信部の特性測定部722は、送信時のデータ搬送波の特性を測定する。送信部の特性測定部722は、例えば波長、強度、偏光などの特性を測定する波長計、パワーメータ、偏光度計などで構成可能である。
受信部の特性測定部724は、受信時のデータ搬送波の特性を測定する。傍受判定部726は、送信部の特性測定部522および受信部の特性測定部724それぞれからの出力信号に基づき送受信時の変化を検出する。すなわち、傍受判定部726は、測定された特性の1つ、幾つかの組み合せまたは全ての組み合せを比較し、送受信部間での変化の有無を検出する。そして、変化量が設定値以下、或いは変化した項目が設定数以下の場合は、送受信部間で傍受が無いと判定する。このように、傍受検知部72を備えることによって傍受の有無が判定でき、傍受を受けたデータは破棄する、或いはデータ伝送を中止するなどの対応をとることができる。
(作用)
図5に基づいてプラントセキュリティシステム1全体の処理の流れを説明する。図5は、プラントセキュリティシステム1全体の処理の流れを説明するフローチャートを示す図である。この図5に示すように、まず、暗号化部42は、データ記憶部64から取得されるプラントデータを第1の暗号鍵で暗号化する(ステップS100)。そして、第1の暗号鍵で暗号化されたプラントデータはデータダイオード48を通ってデータサーバ50に記憶される。1方で、第1の暗号鍵と対となる第1の復号鍵はダイオード44を通ってユーザ認証部46に記憶される。
図5に基づいてプラントセキュリティシステム1全体の処理の流れを説明する。図5は、プラントセキュリティシステム1全体の処理の流れを説明するフローチャートを示す図である。この図5に示すように、まず、暗号化部42は、データ記憶部64から取得されるプラントデータを第1の暗号鍵で暗号化する(ステップS100)。そして、第1の暗号鍵で暗号化されたプラントデータはデータダイオード48を通ってデータサーバ50に記憶される。1方で、第1の暗号鍵と対となる第1の復号鍵はダイオード44を通ってユーザ認証部46に記憶される。
次に、外部ネットワークにある端末2が第1の復号鍵を要求した場合、ユーザ認証部46は端末2の認証を行う(ステップS102)。最初にユーザ認証部46は、端末2から第2の暗号鍵と電子証明書を取得する。そして、外部ネットワークを通じて認証局に第2の暗号鍵を確認させ、端末2を認証する。なお、第2の暗号鍵が信頼できる時は電子証明書の確認は不要である。また、認証局についてはパブリック認証局を要求してもよいし、プライベート認証局を要求してもよい。認証局が中間認証局の時にはその中間認証局についても正当性を適宜確認するようにする。
続いて、ユーザ認証部46は端末2から、第2の暗号鍵で暗号化したユーザIDとパスワード、ユーザIDとパスワードのハッシュ値を取得する。必要に応じて第2の暗号鍵で暗号化したMACアドレスとMACアドレスのハッシュ値も含めてもよい。そして、最初に取得した第2の暗号鍵に対応する第2の復号鍵でユーザIDとパスワードを復号する。暗号鍵で暗号化したものは対になっている復号鍵でしか復号できないため、この復号で端末2を認証できる。次にユーザIDとパスワードのハッシュ値を計算し、端末2から取得したハッシュ値と一致することを確認して改ざんがないことが確認できる。ハッシュ値はデータのダイジェストに相当してデータ固有の値となるため、改ざんの確認に利用される。さらに続いて、ユーザ認証部46は、端末2のユーザIDとパスワードが登録されていることを確認することで、さらに確実に端末2を認証する。必要に応じてMACアドレスも端末2の認証項目に加えてよい。
次に、ユーザ認証部46は、端末2を認証した後、保管している第1の復号鍵を端末2から送信された第2の暗号鍵で暗号化して端末2へ送信する(ステップ104)。また同時に、ユーザ認証部46はデータサーバ50のURL(Uniform Resource Locator)またはIPアドレスを第2の暗号鍵で暗号化して端末2へ送信する。なお、ユーザ認証部46と外部ネットワークの間にファイアウォールを設け、登録されたIPアドレス以外を遮断することでユーザ認証部46のセキュリティをさらに高めることもできる。
次に、外部ネットワークにある端末2がプラントデータを要求した場合、データサーバ50は端末2の認証を行う(ステップS106)。端末2は、第2の復号鍵で第1の復号鍵とデータサーバ50のURLまたはIPアドレスを取得し、取得したURLまたはIPアドレスからデータサーバ50へプラントデータを要求する。この要求に対し、データサーバ50は端末2から第3の暗号鍵と電子証明書を取得する。そして、外部ネットワークを通じて認証局に第3の暗号鍵を確認し、端末2を認証する。なお、第3の暗号鍵が信頼できる時は電子証明書の確認は不要である。また、認証局については第2の暗号鍵の電子証明書と同じ認証局を要求してもよいし、異なる認証局を要求してもよい。認証局が中間認証局の時にはその中間認証局についても正当性を適宜確認するようにする。なお、第3の暗号鍵と電子証明書に変え、第2の暗号鍵と電子証明書を用いてもよい。
さらには、データサーバ50は端末2から、第3の暗号鍵で暗号化したユーザIDとパスワード、ユーザIDとパスワードのハッシュ値を取得し、第3の復号鍵で復号して端末2をさらに確実に認証し、ハッシュ値の取得値と計算値の比較により改ざんがないことを確認してもよい。必要に応じて第3の暗号鍵で暗号化したMACアドレスとMACアドレスのハッシュ値も含めてもよい。そして、データサーバ50は端末2のユーザIDとパスワードが登録されていることを確認することで、さらに確実に端末2を認証できる。必要に応じてMACアドレスも端末2の認証項目に加えてよい。
次に、データサーバ50は、端末2を認証した後、保管している暗号化されたプラントデータを端末2から送信された第3の暗号鍵でさらに暗号化し、2重に暗号化されたプラントデータを端末2へ送信する(ステップ108)。
次に、端末2は、2重に暗号化されたプラントデータに対して予め所有する第3の復号鍵で復号し、さらに最初に取得した第1の復号鍵で復号することにより、目的のプラントデータを得る(ステップ110)。なお、データサーバ50と外部ネットワークの間にファイアウォールを設け、登録されたIPアドレス以外を遮断することでデータサーバ50のセキュリティをさらに高めることもできる。さらにはデータサーバ50と外部ネットワークの間にゲートウエィやプロキシサーバを設けてデータサーバ50のIPアドレスをプライベートアドレスとすることで、ユーザ認証部46の送信毎にデータサーバ50のIPアドレスを変更することができ、データサーバ50のセキュリティをさらに高めることができる。
このように、暗号化部42が、ダイオード44を介してユーザ認証部46に第1の復号鍵を出力するとともに、データを第1の暗号鍵で暗号化してデータダイオード48を介してデータサーバ50に出力する。続いて、ユーザ認証部46が、第1の復号鍵の取得を要求する端末2が認証条件を満した場合に、第2の暗号鍵で第1の復号鍵を暗号化して端末2に出力する。さらに続いて、データサーバ50が、暗号化データの取得を要求する端末2が認証条件を満した場合に、第3の暗号鍵で暗号化データを暗号化して出力する。そして、端末2が第2の復号鍵で暗号化された第1の復号鍵を復号し、暗号化データを第3の復号鍵で復号し、更に復号した第1の復号鍵で暗号化データを復号し、データを取得するのである。
(効果)
以上のように、本実施形態に係るプラントセキュリティ装置4によれば、暗号化部42に第1の復号鍵を単一方向に伝送するダイオード44と、データを暗号化した暗号化データを単一方向に伝送するデータダイオード48とを、接続することとした。これにより、暗号化部42が外部ネットワークから遮断され、暗号化部42を介して情報が外部に漏洩するリスクをより低減できる。また、ダイオード44を介して取得した第1の復号鍵をユーザ認証部46が第2の暗号鍵で暗号化し、データダイオード48を介して取得した暗号化されたデータを更にデータサーバ50が第3の暗号鍵で暗号化し、それぞれ異なる経路で端末2に出力することとした。これにより、外部ネットワークにおいてデータが漏えいするリスクをより低減できる。
以上のように、本実施形態に係るプラントセキュリティ装置4によれば、暗号化部42に第1の復号鍵を単一方向に伝送するダイオード44と、データを暗号化した暗号化データを単一方向に伝送するデータダイオード48とを、接続することとした。これにより、暗号化部42が外部ネットワークから遮断され、暗号化部42を介して情報が外部に漏洩するリスクをより低減できる。また、ダイオード44を介して取得した第1の復号鍵をユーザ認証部46が第2の暗号鍵で暗号化し、データダイオード48を介して取得した暗号化されたデータを更にデータサーバ50が第3の暗号鍵で暗号化し、それぞれ異なる経路で端末2に出力することとした。これにより、外部ネットワークにおいてデータが漏えいするリスクをより低減できる。
(第2実施形態)
(構成)
図6に基づいて第2実施形態に係るプラントセキュリティシステム1の構成を説明する。図6は、第2実施形態に係る計測装置プラントセキュリティシステム1の構成を説明するブロック図である。このプラントセキュリティシステム1は、この図6に示すように、プラントセキュリティ装置4が、復号鍵一時保管部74と、開閉部76と、位置取得部78とを、更に備えることで第1実施形態に係るプラントセキュリティシステム1と相違する。以下、上述した第1実施形態と異なる部分を説明する。
(構成)
図6に基づいて第2実施形態に係るプラントセキュリティシステム1の構成を説明する。図6は、第2実施形態に係る計測装置プラントセキュリティシステム1の構成を説明するブロック図である。このプラントセキュリティシステム1は、この図6に示すように、プラントセキュリティ装置4が、復号鍵一時保管部74と、開閉部76と、位置取得部78とを、更に備えることで第1実施形態に係るプラントセキュリティシステム1と相違する。以下、上述した第1実施形態と異なる部分を説明する。
復号鍵一時保管部74は、暗号化部42からダイオード44を介して伝送される第1の復号鍵に対し、保持と破棄を繰り返す。この復号鍵一時保管部74は、DRAMやSRAMなどの揮発性メモリで構成され、予め設定した時間間隔で第1の復号鍵の保持と破棄を繰り返すのである。
また、傍受検知部72で傍受が検知された場合、第1の復号鍵の破棄、もしくは電源を切ることにより第1の復号鍵の破棄をする。さらにまた、災害などの不測の事態の発生時には、第1の復号鍵の破棄、もしくは電源を切ることにより第1の復号鍵の破棄をする。このように、傍受検知部72で傍受が検知された場合、傍受されたデータの破棄、データ伝送を中止させることができ、データサーバ50からのデータ漏えいを防止することができる。なお、第1の復号鍵の破棄が確実に可能な時には不揮発性メモリで復号鍵一時保管部74を構成可能である。
開閉部76は、データサーバ50と外部ネットワークの間に接続され、端末2から要求を受けた場合に、端末2が正当である場合にデータサーバ50への接続を可能にする。すなわち、この開閉部76は、端末2を認証して端末2が正当である場合にのみデータサーバ50へのアクセスを可能にするのである。開閉部76は、機械式、光学式、電気式や磁気式の開閉回路、電子部品を使ったアナログ回路やデジタル回路で構成され、暗号化部42の指令、または予め設定した時間間隔でデータサーバ50と外部ネットワークの間の開閉を行うのである。
位置取得部78は、データサーバ50の位置を取得し、データサーバ50が所定位置にある場合にデータサーバ50に対してデータ送受信を許可する。すなわち、位置取得部58は、データサーバ50に接続され、電磁波や磁気を用いてデータサーバ50の位置を取得し、所定位置にある時に限ってデータサーバ50のデータ送受信を許可するのである。位置取得部58は、光や電波などの電磁波、磁気などをセンサで位置を検出し、測定値が設定値を超えるとデータサーバ50の、プラントデータが暗号化された暗号化データを破棄するようになっている。例えば、衛星からの電波を用いたGPS(Global Positioning System)や携帯電話の電波で位置測定を行い、規定位置と比較する。GPSでは数mの精度で位置がリアルタイムに特定でき、さらに受信可能な衛星数の変化を判定に使うことでさらに位置の変化を確実に検出することができる。なお、本実施形態では、位置取得部58が許可部に対応する。
(作用)
まず、復号鍵一時保管部74に関連する処理動作について説明する。復号鍵一時保管部74は暗号化部42の出力(送信)に同期し、予め設定した時間間隔、第1の復号鍵の保持と破棄を繰り返す。あるいは、暗号化部42の指令に従って、第1の復号鍵の保持と破棄を繰り返す。第1の復号鍵の保持時間と破棄時間の割合は任意に設定でき、処理動作を行う前に設定されている。これにより、第1の復号鍵は、破棄時間には存在しないことから、第1の復号鍵が漏えいするリスクをより低減可能である。
まず、復号鍵一時保管部74に関連する処理動作について説明する。復号鍵一時保管部74は暗号化部42の出力(送信)に同期し、予め設定した時間間隔、第1の復号鍵の保持と破棄を繰り返す。あるいは、暗号化部42の指令に従って、第1の復号鍵の保持と破棄を繰り返す。第1の復号鍵の保持時間と破棄時間の割合は任意に設定でき、処理動作を行う前に設定されている。これにより、第1の復号鍵は、破棄時間には存在しないことから、第1の復号鍵が漏えいするリスクをより低減可能である。
一方で、上述のようにユーザ認証部46は、端末2から送信された第2の暗号鍵を用い、復号鍵一時保管部74に保持されている第1の復号鍵を暗号化して端末2へ送信する。この時、復号鍵一時保管部74の復号鍵が破棄された状態の時は、再び保持されるまでユーザ認証部46は待機させられる。
次に、開閉部76に関連する処理動作について説明する。上述のように端末2は、データサーバ50へプラントデータを要求する。この時、開閉部76は、暗号化部42の送信に同期し、予め設定した時間、もしくは暗号化部42の指令に従って開状態になっている。開閉部76は、これ以外では閉状態である。データサーバ50は開閉部76によって、閉状態においては常に外部ネットワークと遮断されているので、プラントデータが暗号化された暗号化データが漏えいするリスクをより低減可能である。
次に、位置取得部78に関連する処理動作について説明する。データサーバ50を不正に持ち出したり移動させたりすると、位置取得部78が位置の変化を検出し、データサーバ50のプラントデータを破棄する。位置取得部78は、データサーバ50が所定位置にある時に限ってデータ送受信を許可し、不正に持ち出したり移動させたりするとプラントデータが暗号化された暗号化データを破棄することから、データの漏えいするリスクをより低減可能である。
(効果)
以上のように、本実施形態に係るプラントセキュリティ装置4によれば、復号鍵一時保管部74が、予め設定した時間間隔もしくは指令に従い、第1の復号鍵の保持と破棄を繰り返すこととした。これにより、第1の復号鍵が存在しない時間が生じることから、第1の復号鍵が漏えいするリスクをより低減できる。また、開閉部76が、予め設定した時間もしくは指令に従い、データサーバ50と外部ネットワークとの間の開閉を繰り返すこととした。このため、データサーバ50は、開閉部76が閉状態にある場合、常に外部ネットワークと遮断されているので、データが漏えいするリスクをより低減可能である。さらにまた、位置取得部78が、データサーバ50の不正な持ち出しや移動を検出してデータサーバ50が保持するデータを破棄することとした。これにより、データサーバ50からデータが漏えいするリスクをより低減できる。これらにより、データ記憶部64からデータが漏えいするリスク及びデータ伝送時の外部ネットワークにおいてデータが漏えいするリスクをより低減することができる。
以上のように、本実施形態に係るプラントセキュリティ装置4によれば、復号鍵一時保管部74が、予め設定した時間間隔もしくは指令に従い、第1の復号鍵の保持と破棄を繰り返すこととした。これにより、第1の復号鍵が存在しない時間が生じることから、第1の復号鍵が漏えいするリスクをより低減できる。また、開閉部76が、予め設定した時間もしくは指令に従い、データサーバ50と外部ネットワークとの間の開閉を繰り返すこととした。このため、データサーバ50は、開閉部76が閉状態にある場合、常に外部ネットワークと遮断されているので、データが漏えいするリスクをより低減可能である。さらにまた、位置取得部78が、データサーバ50の不正な持ち出しや移動を検出してデータサーバ50が保持するデータを破棄することとした。これにより、データサーバ50からデータが漏えいするリスクをより低減できる。これらにより、データ記憶部64からデータが漏えいするリスク及びデータ伝送時の外部ネットワークにおいてデータが漏えいするリスクをより低減することができる。
以上、いくつかの実施形態を説明したが、これらの実施形態は、例としてのみ提示したものであり、発明の範囲を限定することを意図したものではない。本明細書で説明した新規な装置およびシステムは、その他の様々な形態で実施することができる。また、本明細書で説明した装置およびシステムの形態に対し、発明の要旨を逸脱しない範囲内で、種々の省略、置換、変更を行うことができる。添付の特許請求の範囲およびこれに均等な範囲は、発明の範囲や要旨に含まれるこのような形態や変形例を含むように意図されている。
1:プラントセキュリティシステム、2:端末、4:プラントセキュリティ装置、6:プラント制御監視装置、42:暗号化部、44:ダイオード、46:ユーザ認証部、48:データダイオード、50:データサーバ、62:制御監視部、64:データ記憶部、72:傍受検知部、74:復号鍵一時保管部、76:開閉部、78:位置取得部、440:送信部、442:復調部、446:偏向部
Claims (10)
- データ記憶部から取得されるデータを第1の暗号鍵で暗号化して出力するとともに、当該第1の暗号鍵で暗号化された暗号化データを、復号するために用いる第1の復号鍵を出力する暗号化部と、
前記暗号化部から取得される前記第1の復号鍵を単一方向に伝送する第1伝送部と、
前記暗号化部から取得される前記暗号化データを単一方向に伝送する第2伝送部と、
前記第1伝送部を介して取得した前記第1の復号鍵を記憶し、当該第1の復号鍵の取得を要求する端末が認証条件を満した場合に、当該端末から取得した第2の暗号鍵で前記第1の復号鍵を暗号化して当該端末に出力する第1認証部と、
前記第2伝送部を介して取得した前記暗号化データを記憶し、前記暗号化データの取得を要求する端末が認証条件を満した場合に、当該端末から取得した第3の暗号鍵で前記前記暗号化データを暗号化して当該端末に出力する第2認証部と、
を備えることを特徴とするプラントセキュリティ装置。 - 前記第1伝送部及び前記第2伝送部のうちの少なくとも一方は、
入力信号を、光を用いたデータ搬送波で伝送する送信部と、
前記データ搬送波で伝送された前記入力信号を受信し、復調する復調部と、
を有することを特徴とする請求項1に記載のプラントセキュリティ装置。 - 前記送信部は、複数の波長を含む光をデータ搬送波とし、波長数及び波長の順序を変調して光伝送することを特徴とする請求項2に記載のプラントセキュリティ装置。
- 前記送信部と前記復調部との間は、複数の伝送路から構成され、当該複数の伝送路が設定可能に構成されていることを特徴とする請求項2又は3に記載のプラントセキュリティ装置。
- 前記データ搬送波の特性に基づき伝送傍受の有無を検知する傍受検知部を更に備えたことを特徴とする請求項2乃至4のいずれか一項に記載のプラントセキュリティ装置。
- 前記第1認証部は、前記暗号化部から前記第1伝送部を介して伝送される前記第1の復号鍵に対し、保持と破棄を繰り返す保持部を有することを特徴とする請求項1に記載のプラントセキュリティ装置。
- 前記端末から要求を受けた場合に、前記第2認証部への接続を可能にする開閉部を、更に備えることを特徴とする請求項1又は6に記載のプラントセキュリティ装置。
- 前記第2認証部の位置を取得し、当該位置が所定位置にある場合に第2認証部に対してデータ送受信を許可する許可部を、更に備えることを特徴とする請求項6又は7に記載のプラントセキュリティ装置。
- 前記データ記憶部は、前記暗号化部に接続され、プラント監視制御装置が制御に用いるデータ、およびプラントに関するデータのうちの少なくともいずれかを記憶することを特徴とする請求項1乃至8のいずれか一項に記載のプラントセキュリティ装置。
- 暗号鍵および対応する復号鍵の組を複数有する端末と、
データ記憶部から得たデータを第1の暗号鍵で暗号化して出力するとともに、当該第1の暗号鍵で暗号化された暗号化データを、復号するために用いる第1の復号鍵を出力する暗号化部と、
前記暗号化部から取得される前記第1の復号鍵を単一方向に伝送する第1伝送部と、
前記暗号化部から取得される前記暗号化データを単一方向に伝送する第2伝送部と、
前記第1伝送部を介して取得した前記第1の復号鍵を記憶し、当該第1の復号鍵の取得を要求する前記端末が認証条件を満した場合に、前記端末から取得した第2の暗号鍵で前記第1の復号鍵を暗号化して当該端末に出力する第1認証部と、
前記第2伝送部を介して取得した前記暗号化データを記憶し、当該前記暗号化データの取得を要求する前記端末が認証条件を満した場合に、前記端末から取得した第3の暗号鍵で前記暗号化データを暗号化して当該端末に出力する第2認証部と、を有するプラントセキュリティ装置と、
を備え、
前記端末は、前記第2の暗号鍵用の第2の復号鍵、前記第3の暗号鍵用の第3の復号鍵を有する端末であって、前記第2の復号鍵で前記暗号化された第1の復号鍵を復号し、前記第2認証部で暗号化された暗号化データを前記第3の復号鍵で復号し、更に当該復号した第1の復号鍵で暗号化データを復号し、前記データを取得することを特徴とするプラントセキュリティシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015209260A JP6507076B2 (ja) | 2015-10-23 | 2015-10-23 | プラントセキュリティ装置、及びプラントセキュリティシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015209260A JP6507076B2 (ja) | 2015-10-23 | 2015-10-23 | プラントセキュリティ装置、及びプラントセキュリティシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017085250A JP2017085250A (ja) | 2017-05-18 |
| JP6507076B2 true JP6507076B2 (ja) | 2019-04-24 |
Family
ID=58713257
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015209260A Active JP6507076B2 (ja) | 2015-10-23 | 2015-10-23 | プラントセキュリティ装置、及びプラントセキュリティシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6507076B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7451223B2 (ja) | 2020-02-25 | 2024-03-18 | 株式会社東芝 | 光通信システム、送信側装置、受信側装置及び光通信方法 |
| JP7476075B2 (ja) | 2020-10-29 | 2024-04-30 | 株式会社東芝 | セキュリティ管理システム及びセキュリティ管理方法 |
| CN116760868B (zh) * | 2023-08-16 | 2023-10-20 | 国网江苏省电力有限公司电力科学研究院 | 一种智能配电变压器的自动判定检测方法及系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1041931A (ja) * | 1996-07-25 | 1998-02-13 | Sony Corp | データ通信装置および通信方法 |
| JPH10257031A (ja) * | 1997-03-13 | 1998-09-25 | Omron Corp | 秘匿通信方法、装置および秘匿通信送受信装置 |
| KR100327494B1 (ko) * | 2000-03-24 | 2002-03-15 | 윤종용 | 다중 접근 방식을 이용한 보안 통신 시스템에서의 키 동의방법 |
| JP2003333023A (ja) * | 2002-05-09 | 2003-11-21 | Toshiba Corp | プラント監視制御用データ中継プログラムおよびシステム |
| US9473300B2 (en) * | 2011-11-03 | 2016-10-18 | Savannah River Nuclear Solutions, Llc | Authenticated sensor interface device |
| FR2994623B1 (fr) * | 2012-08-16 | 2015-11-13 | Astrium Sas | Dispositif et procede de transfert unidirectionnel de donnees |
-
2015
- 2015-10-23 JP JP2015209260A patent/JP6507076B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017085250A (ja) | 2017-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3433972B1 (en) | Cyber-physical context-dependent cryptography | |
| EP3000197B1 (en) | Incorruptible public key using quantum cryptography for secure wired and wireless communications | |
| CN102812684B (zh) | 实施计算机策略的系统和方法 | |
| KR101888629B1 (ko) | Puf-qrng 보안단말기 시스템 | |
| US20130259227A1 (en) | Information processing device and computer program product | |
| US9900296B2 (en) | Securing communication within a network endpoint | |
| JP2020530726A (ja) | サプライチェーン資産管理を保護するアプリケーションを有する遠隔サーバへのnfcタグ認証 | |
| KR101993885B1 (ko) | 양자 보안칩 탑재 누수-원격검침 lpwan 서비스 제공 양자보안 통신시스템 | |
| JP6507076B2 (ja) | プラントセキュリティ装置、及びプラントセキュリティシステム | |
| KR20190049006A (ko) | Puf-qrng 원격검침 감시 단말기 | |
| KR101575042B1 (ko) | 이종의 자동제어 시스템간의 통신 인터페이스를 지원하는 2.5계층 보안 시스템 | |
| KR101645705B1 (ko) | 장비들간의 인증방법 | |
| KR101262844B1 (ko) | 네트워크 접근제어를 위한 원격검침데이터 중계장치 및 방법 | |
| KR20190102960A (ko) | 감시카메라 자가망을 이용한 양자 보안칩 탑재 lpwan 서비스 제공 양자보안 통신시스템 | |
| KR20190102961A (ko) | 양자 보안칩 탑재 배전반 lpwan 서비스 제공 양자보안 통신시스템 | |
| KR20190102950A (ko) | 방범용 CCTV PUF(eFUSE)-Q(T)RNG 단말기를 통한 통신방법 | |
| KR20190049332A (ko) | Puf-qrng 보안단말기 탑재 cctv 영상감시장치 | |
| Kazienko et al. | SENSORLock: a lightweight key management scheme for wireless sensor networks | |
| JP2005151004A (ja) | 無線タグプライバシー保護方法、無線タグ装置、セキュリティサーバ装置、無線タグ装置用プログラムおよびセキュリティサーバ装置用プログラム | |
| GB2570292A (en) | Data protection | |
| Weber et al. | How to Prevent Misuse of IoTAG? | |
| JP2008217497A (ja) | 無線通信システム通信装置および無線通信方法 | |
| KR20190067316A (ko) | 가드온솔루션의 정보보호를 위한 비밀번호 일방향 암호화 저장방법 | |
| KR101628467B1 (ko) | 일방향 데이터 전송 장치 및 그 방법 | |
| JP2005217665A (ja) | 通信システム、送信装置、受信装置及び通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20171128 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20171129 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180312 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190108 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190219 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190301 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190401 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6507076 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |