JP6757348B2 - 監視装置、監視方法及びプログラム - Google Patents

監視装置、監視方法及びプログラム Download PDF

Info

Publication number
JP6757348B2
JP6757348B2 JP2018041794A JP2018041794A JP6757348B2 JP 6757348 B2 JP6757348 B2 JP 6757348B2 JP 2018041794 A JP2018041794 A JP 2018041794A JP 2018041794 A JP2018041794 A JP 2018041794A JP 6757348 B2 JP6757348 B2 JP 6757348B2
Authority
JP
Japan
Prior art keywords
puf information
puf
change value
time
monitoring device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018041794A
Other languages
English (en)
Other versions
JP2019159466A (ja
Inventor
成寿 亀尾
成寿 亀尾
安西 史圭
史圭 安西
西前 悦史
悦史 西前
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Heavy Industries Ltd
Original Assignee
Mitsubishi Heavy Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Heavy Industries Ltd filed Critical Mitsubishi Heavy Industries Ltd
Priority to JP2018041794A priority Critical patent/JP6757348B2/ja
Priority to US16/267,632 priority patent/US10747639B2/en
Publication of JP2019159466A publication Critical patent/JP2019159466A/ja
Application granted granted Critical
Publication of JP6757348B2 publication Critical patent/JP6757348B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0781Error filtering or prioritizing based on a policy defined by the user or on a policy defined by a hardware/software module, e.g. according to a severity level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • G06F11/327Alarm or error message display
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Small-Scale Networks (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Description

本発明は、監視装置、監視方法及びプログラムに関する。
例えば、ガスタービン等のように制御を必要とする装置(制御対象装置)は制御装置によって制御される。悪意のある者が制御装置の一部又は全部を交換するか、外部から不正アクセスして制御装置に関する接続先情報を不正に書換えると、制御対象装置を制御する制御装置が切替えられてしまう。この場合、切替えられた制御装置の不正な制御により制御対象装置が異常動作を行い、重大な事故が生じる可能性がある。また、不正な制御により技術の流出、プログラム及びデータの改ざん等が行われる可能性もある。
従って、制御装置の不正な切替えを検出し、防止する必要性が存在する。従来技術では、不正な切替えの検出及び防止の為の様々な技術が知られている。例えば、特許文献1には、物理的複製困難関数(Physically Unclonable Function;PUF)と呼ばれる、電子機器(半導体チップ等)の製造ばらつき、物理特性の違い等の物理量を利用し、不正な切替えの検出及び防止を行う技術が開示されている。具体的には、特許文献1では、PUFを電子機器の固有値として照合を行うことにより、電子機器の不正な切替えの検出及び防止する技術を提案している。
特許第5183517号公報
しかしながら、制御対象装置が異常動作を行い、重大な事故を生じる原因は、制御装置の不正な切替えによる不正な制御に限らず、制御装置の経時劣化による異常な制御が原因になる場合もある。従来技術を用いて制御装置の経時劣化を検出する場合には、制御装置の不正な切替えを検出する為の装置とは別の装置を導入する必要がある。また、制御装置の経時劣化を防止する為には、装置構成を二重化する等の対策をとる必要がある。従って、従来技術を用いて、監視対象機器である制御装置の不正な切替えの検出及び防止と経時劣化の検出及び防止とを共に行う場合には、装置構成が複雑になり、コストが嵩んでしまう可能性が存在する。
本発明の目的は、単純な装置構成及び低廉な費用で、監視対象機器の不正な切替えの検出、経時劣化の検出を共に行うことができる監視装置、監視方法及びプログラムを提供することにある。
本発明の第1の態様によれば、監視装置は、PUF(Physically Unclonable Function)回路を有する所定の監視対象機器を監視する監視装置であって、前記PUF回路に所定の入力値を入力することにより前記PUF回路から出力されるPUF情報を取得するPUF情報取得部と、前回取得したPUF情報から今回取得したPUF情報までの変化の度合を第1のPUF情報変化値として算出する第1のPUF情報変化値算出部と、初期のPUF情報から前記今回取得したPUF情報までの変化の度合を第2のPUF情報変化値として算出する第2のPUF情報変化値算出部と、前記第1のPUF情報変化値を第1の閾値と比較し、前記第1のPUF情報変化値が前記第1の閾値より大きい場合に、前記所定の監視対象機器に不正があると判定する不正判定部と、前記第2のPUF情報変化値を第2の閾値と比較し、前記第2のPUF情報変化値が前記第2の閾値より大きい場合に、前記所定の監視対象機器が劣化していると判定する劣化判定部と、を備える。
また、本発明の第2の態様によれば、前記第1のPUF情報変化値は、前記前回取得したPUF情報と前記今回取得したPUF情報との差異の度合である。
また、本発明の第3の態様によれば、前記第1のPUF情報変化値は、前記前回取得したPUF情報から前記今回取得したPUF情報までのPUF情報の時間変化率である。
また、本発明の第4の態様によれば、前記第2のPUF情報変化値は、前記初期のPUF情報と前記今回取得したPUF情報との差異の度合である。
また、本発明の第5の態様によれば、前記第2のPUF情報変化値は、前記初期のPUF情報から前記今回取得したPUF情報までのPUF情報の時間変化率である。
また、本発明の第6の態様によれば、前記所定の監視対象機器に不正がある場合に警告する不正警告部を更に備える。
また、本発明の第7の態様によれば、前記所定の監視対象機器が劣化している場合に警告する劣化警告部を更に備える。
また、本発明の第8の態様によれば、前記劣化警告部は、前記第2のPUF情報変化値の変化の度合に応じて警告レベルを段階的に変更して警告する。
また、本発明の第9の態様によれば、前記PUF情報取得部は、所定の周期時間で定期的に前記PUF情報を取得する。
また、本発明の第10の態様によれば、取得した前記PUF情報の時間変化率が大きくなる傾向にある場合には前記所定の周期時間が小さくなるように変更する、または、取得した前記PUF情報の時間変化率が小さくなる傾向にある場合には前記所定の周期時間が大きくなるように変更する周期変更部を更に備える。
また、本発明の第11の態様によれば、監視方法は、監視装置によってPUF(Physically Unclonable Function)回路を有する所定の監視対象機器を監視する監視方法であって、前記監視装置のPUF情報取得部が、前記PUF回路に所定の入力値を入力することにより前記PUF回路から出力されるPUF情報を取得するステップと、前記監視装置の第1のPUF情報変化値算出部が、前回取得したPUF情報から今回取得したPUF情報までの変化の度合を第1のPUF情報変化値として算出するステップと、前記監視装置の第2のPUF情報変化値算出部が、初期のPUF情報から前記今回取得したPUF情報までの変化の度合を第2のPUF情報変化値として算出するステップと、前記監視装置の不正判定部が、前記第1のPUF情報変化値を第1の閾値と比較し、前記第1のPUF情報変化値が前記第1の閾値より大きい場合に、前記所定の監視対象機器に不正があると判定するステップと、前記監視装置の劣化判定部が、前記第2のPUF情報変化値を第2の閾値と比較し、前記第2のPUF情報変化値が前記第2の閾値より大きい場合に、前記所定の監視対象機器が劣化していると判定するステップと、を備える。
また、本発明の第12の態様によれば、プログラムは、PUF(Physically Unclonable Function)回路を有する所定の監視対象機器を監視する監視装置を、前記PUF回路に所定の入力値を入力することにより前記PUF回路から出力されるPUF情報を取得するPUF情報取得部、前回取得したPUF情報から今回取得したPUF情報までの変化の度合を第1のPUF情報変化値として算出する第1のPUF情報変化値算出部、初期のPUF情報から前記今回取得したPUF情報までの変化の度合を第2のPUF情報変化値として算出する第2のPUF情報変化値算出部、前記第1のPUF情報変化値を第1の閾値と比較し、前記第1のPUF情報変化値が前記第1の閾値より大きい場合に、前記所定の監視対象機器に不正があると判定する不正判定部、前記第2のPUF情報変化値を第2の閾値と比較し、前記第2のPUF情報変化値が前記第2の閾値より大きい場合に、前記所定の監視対象機器が劣化していると判定する劣化判定部、として機能させる。
上述の発明の各態様によれば、単純な装置構成及び低廉な費用で、監視対象である制御装置の不正な切替えの検出、経時劣化の検出を共に行うことができる。
第1の実施形態に係る監視システムの全体構成を示す図である。 第1の実施形態に係る監視装置の機能構成を示す図である。 第1の実施形態に係る監視対象機器の機能構成を示す図である。 第1の実施形態に係る監視装置の処理フローを示す図である。 第1の実施形態に係る第1のPUF情報変化値算出部の処理を説明する説明図である。 第1の実施形態に係るPUF情報を説明する第1の説明図である。 第1の実施形態に係る監視装置が監視する監視対象機器の不正の切替えを説明する説明図である。 第1の実施形態に係るPUF情報を説明する第2の説明図である。 第2の実施形態に係る監視装置の機能構成を示す図である。 第2の実施形態に係る監視装置の処理フローを示す図である。 第2の実施形態に係る監視装置の周期変更の処理を説明する第1の説明図である。 第2の実施形態に係る監視装置の周期変更の処理を説明する第2の説明図である。
<第1の実施形態>
以下、第1の実施形態に係る監視システム及び監視対象機器について、図1〜図を参照しながら説明する。
(監視システムの全体構成)
図1は、第1の実施形態に係る監視システムの全体構成を示す図である。
図1に示す監視システム1は、制御を必要とする装置(制御対象装置)であるガスタービン20を制御する制御装置30を監視するためのシステムである。具体的には、監視システム1は、制御装置30が不正に切替えられているか否かと、制御装置30が経時劣化しているか否かを監視する。
図1に示すように、監視システム1は、監視装置10と、制御装置30と、ガスタービン20と、を備えている。監視装置10と制御装置30とは、広域通信網(例えば、インターネット回線等)を通じて、互いに通信可能に接続されている。また、制御装置30とガスタービン20とは、専用回線を通じて、互いに通信可能に接続されている。なお、監視装置10と制御装置30との間、及び制御装置30とガスタービン20との間は、上述した以外の通信網又は回線を介して通信可能に接続されていてもよい。
制御装置30は、監視システム1の監視装置10が監視対象とする監視対象機器である。本実施形態に係る監視装置10は、例えば、発電プラント等に設置されるガスタービン20を制御する制御装置30を監視対象としているが、ガスタービン20以外を制御する制御装置30を監視対象としてよい。例えば、監視装置10は、蒸気タービン、ボイラー等、ITS(Intelligent Transport Systems)、冷熱システム(大型冷凍機、空気調和機)、特殊車両等を制御する制御装置を監視対象としてもよい。また、監視装置10は、制御装置以外の装置を監視対象としてもよい。
監視対象機器である制御装置30は、PUF(Physically Unclonable Function)回路を有する。「PUF」とは、電子機器(半導体チップ等)の製造ばらつき、物理特性の違い等の物理量である。「PUF回路」は、回路固有の性質(PUF)を利用し、所定の入力値が入力されると所定の出力値を出力するように構成されている回路である。PUF回路は、例えば、回路固有の信号遅延差を利用したアービターPUF(Arbiter PUF)、グリッチPUF(Glitch PUF)等であってよい。
(監視装置の機能構成)
図2は、第1の実施形態に係る監視装置10の機能構成を示す図である。
図2に示すように、監視装置10は、CPU100と、ROM101と、RAM102と、通信インタフェース103と、記録媒体104とを備えている。
CPU100は、監視装置10の動作全体を司るプロセッサである。CPU100は、予め用意されたプログラムに従って動作することで、後述する各種機能を発揮する。
ROM101は、書き換え不能の不揮発性メモリである。ROM101には、監視装置10を起動する為のブートプログラムが記録されている。
RAM102は、書き換え可能な揮発性メモリである。RAM102は、主記憶装置とも呼ばれ、CPU100が各種機能を発揮して動作するためのプログラムが展開されている。
通信インタフェース103は、広域通信網を通じて監視対象とする制御装置30と通信するためのインタフェースである。本実施形態において、通信インタフェース103を介した通信の態様(有線又は無線、グローバルネットワーク又はローカルネットワーク等)は、特に限定しない。
記録媒体104は、監視装置10に内蔵される大容量記憶装置(不揮発性メモリ)であって、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)等である。記録媒体104は、補助記憶装置とも呼ばれ、取得されたPUF情報(後述)が記録されている。
CPU100は、所定のプログラムに従って動作することで、PUF情報取得部1000、第1のPUF情報変化値算出部1001、第2のPUF情報変化値算出部1002、不正判定部1003、劣化判定部1004、不正警告部1005、及び、劣化警告部1006としての機能を発揮する。
PUF情報取得部1000は、監視対象機器30(制御装置30)に向けて所定の入力値を送信して後述するPUF回路302に入力し、PUF回路302から所定の入力値に対応するPUF情報を取得する。「所定の入力値」とは、PUF回路302から対応する出力値(PUF情報)を得るための入力値であって、予め定められた128ビットのデータである。「PUF情報」は、所定の入力値に対応してPUF回路302が一意に出力する128ビットのデータである。本実施形態では、所定の入力値及びPUF情報は128ビットのデータであるが、PUF回路302の設定に応じて、所定の入力値及びPUF情報が、例えば、128ビット以外のビット数のデータでもよい。
第1のPUF情報変化値算出部1001は、PUF情報取得部1000が前回取得したPUF情報から今回取得したPUF情報までの変化の度合を第1のPUF情報変化値として算出する。本実施形態では、第1のPUF情報変化値算出部1001は、PUF情報取得部1000が前回取得したPUF情報と今回取得したPUF情報との差異の度合を第1のPUF情報変化値として算出する。「第1のPUF情報変化値」及び第1のPUF情報変化値算出部1001の算出処理については後述する。
第2のPUF情報変化値算出部1002は、初期のPUF情報からPUF情報取得部1000が前回取得したPUF情報までの変化の度合を第2のPUF情報変化値として算出する。本実施形態では、第2のPUF情報変化値算出部1002は、PUF情報取得部1000が1回目に取得したPUF情報(初期のPUF情報)と今回取得したPUF情報との差異の度合を第2のPUF情報変化値として算出する。「第2のPUF情報変化値」及び第2のPUF情報変化値算出部1002の算出処理については後述する。
不正判定部1003は、第1のPUF情報変化値算出部1001が算出した第1のPUF情報変化値に基づいて監視対象機器30に不正があるか否かを判定する。
劣化判定部1004は、第2のPUF情報変化値算出部1002が算出した第2のPUF情報変化値に基づいて監視対象機器30が劣化しているか否かを判定する。
不正警告部1005は、不正判定部1003の判定結果に基づいて監視対象機器30に不正がある場合に警告する。本実施形態では、不正警告部1005は、例えば、監視装置10を運用するユーザ等の所定の送信先に不正警告メッセージを送信することにより警告を行うが、その他の方法によって警告が行われてよい。
劣化警告部1006は、劣化判定部1004の判定結果に基づいて監視対象機器30が劣化している場合に警告する。本実施形態では、劣化警告部1006は、例えば、監視装置10を運用するユーザ等の所定の送信先に劣化警告信号を送信することにより警告を行うが、その他の方法によって警告が行われてよい。
通信インタフェース103は、広域通信網を通じて監視装置10と通信するためのインタフェースである。
(監視対象機器の機能構成)
図3は、第1の実施形態に係る監視対象機器30(制御装置30)の機能構成を示す図である。
図3に示すように、監視対象機器30は、CPU300と、ROM301と、PUF回路302と、RAM303と、第1の通信インタフェース304と、第2の通信インタフェース305と、を備えている。
CPU300は、監視対象機器30の動作全体を司るプロセッサである。CPU300は、予め用意されたプログラムに従って動作することで、後述する各種機能を発揮する。
ROM301は、書き換え不能の不揮発性メモリである。ROM301には、監視対象機器30を起動する為のブートプログラムが記録されている。
PUF回路302は、監視対象機器30の製造時に組込まれている集積回路である。PUF回路302は、128ビットのデータが入力値として入力されると、入力値に一意に対応する128ビットのデータを出力値(PUF情報)として出力する。入力値に対応して出力される出力値は、PUF回路302内で生じる信号遅延差等の物理的個体差に依存して定まるため、PUF回路302の論理的回路構成が同一であったとしても、製品(監視対象機器30)が異なっていれば、同一の入力値に対して同一の出力値を出力することができない。本実施形態では、PUF回路302が監視対象機器30の製造時に組込まれている集積回路である場合について説明するが、例えば、製造後において所望の論理回路を形成可能な集積回路であるFPGA(Field-Programmable Gate Array)にPUF回路302が形成されてもよい。なお、PUF回路302は、入力値及び出力値が128ビット以外のビット数のデータとなるように設計されてもよい。
RAM303は、書き換え可能な揮発性メモリである。RAM303は、CPU300が各種機能を発揮して動作するためのプログラムが展開される。
第1の通信インタフェース304は、広域通信網を通じて監視装置10と通信するためのインタフェースである。
第2の通信インタフェース305は、専用回線を通じて制御対象装置であるガスタービン20と通信するためのインタフェースである。
CPU300は、予め用意されたプログラムに従って動作することで、制御部3000及びPUF情報処理部3001としての機能を発揮する。
制御部3000は、ガスタービン20を制御する。例えば、制御部3000は、ガスタービン20に取り付けられるIO機器(各種センサ、アクチュエータ等)を制御する。制御部3000は、ガスタービン20を制御する為のその他の制御動作を行ってよい。
PUF情報処理部3001は、監視装置10から受信した所定の入力値をPUF回路302に入力し、当該所定の入力値に対応してPUF回路302から出力されたPUF情報を監視装置10に送信する。
(監視装置の処理フロー)
図4は、第1の実施形態に係る監視装置10が行う監視処理の処理フローを示す図である。
図4に示す監視処理の処理フローは、監視装置10に接続された監視対象機器30の運用開始時(初めて起動された時点)から開始される。
監視対象機器30の運用が開始されると、図4に示すように、監視装置10のPUF情報取得部1000は、初期のPUF情報ID(0)を取得する(ステップS101)。なお、監視処理を開始してからの時間t(単位は時間)経過後に取得されたPUF情報をID(t)と表し、監視処理の開始時(t=0)のPUF情報IDである初期のPUF情報IDをID(0)と表す。
具体的には、監視装置10は、以下のようにして初期のPUF情報ID(0)を取得する。監視装置10のPUF情報取得部1000が、所定の入力値である128ビットのデータを監視対象機器30のPUF回路302に送信する。監視対象機器30のPUF情報処理部3001は、監視装置10から所定の入力値を受信すると、PUF回路302に入力する。PUF回路302は、入力された所定の入力値に対応するPUF情報(初期のPUF情報ID(0))を出力する。PUF情報処理部3001は、PUF回路302から出力された初期のPUF情報ID(0)を監視装置10に送信する。これにより、PUF情報取得部1000は、初期のPUF情報ID(0)を取得する。PUF情報取得部1000は、取得した初期のPUF情報ID(0)を記録媒体104に記憶する。
なお、本実施形態では、運用開始時に監視装置10のPUF情報取得部1000が初期のPUF情報ID(0)を取得する場合について説明するが、初期のPUF情報ID(0)を予め取得し、記録媒体104に予め記憶しておいてもよい。例えば、監視対象機器30の製造時等に、PUF回路に所定の入力値を入力して出力されるPUF情報を、初期のPUF情報ID(0)として取得しておき、記録媒体104に予め記憶してよい。このように初期のPUF情報ID(0)を記録媒体104に予め記憶しておく場合には、上述したステップS101は省略される。
前回のPUF情報ID(tn−1)の取得から所定の周期時間が経過する(ステップS102)と、監視装置10のPUF情報取得部1000は、今回のPUF情報ID(t)を取得する(ステップS103)。PUF情報取得部1000は、今回取得したPUF情報ID(t)を記録媒体104に記憶する。
ここで、nを自然数とし、監視処理を開始してからn回目にPUF情報を取得した時間をtと表す。従って、監視処理を開始してからのPUF情報の取得が今回n回目である場合には、今回取得されるPUF情報がID(t)と表される。また、前回n−1回目に取得されたPUF情報はID(tn−1)と表される。図4に示すように、上述したステップS101の処理は監視処理が開始されてから1回限りのみ行われる処理であるが、ステップS102〜S109の処理は繰返される。従って、以下では、説明を一般化してn回目の処理が行われる場合について説明する。
「所定の周期時間」は、監視装置10が不正及び劣化に関して監視対象機器30を定期的に監視する間隔時間を示す。本実施形態では、所定の周期時間が1時間である。しかしながら、「所定の周期時間」は、例えば、監視対象機器30の動作の時間スケール等、監視対象機器30の動作条件に応じて、秒、分、日、又は月単位等、その他の適切な値であってよい。具体的には、監視対象機器30(制御装置30)が秒単位で制御動作を行っている場合には、所定の周期時間は、例えば、1秒であってよい。また、監視対象機器30が月単位で変動する制御対象装置を制御対象としている場合には、所定の周期時間は、例えば、1月であってよい。なお、本実施形態では、監視装置10のPUF情報取得部1000は、所定の周期時間で定期的にPUF情報ID(t)を取得するが、PUF情報取得部1000は、不定期にPUF情報ID(t)を取得してもよい。
ステップS103では、監視装置10のPUF情報取得部1000は、ステップS101と同様にして今回のPUF情報ID(t)を取得する。具体的には、PUF情報取得部1000が所定の入力値を監視対象機器30のPUF回路302に送信する。監視対象機器30のPUF情報処理部3001は、監視装置10から所定の入力値を受信すると、PUF回路302に入力する。PUF回路302は、入力された所定の入力値に対応するPUF情報(今回のPUF情報ID(t))を出力する。PUF情報処理部3001は、PUF回路302から出力された今回のPUF情報ID(t)を監視装置10に送信する。これにより、PUF情報取得部1000は、今回のPUF情報ID(t)を取得する。PUF情報取得部1000は、取得した今回のPUF情報ID(t)を記録媒体104に記憶する。
次に、監視装置10の第1のPUF情報変化値算出部1001は、記録媒体104を参照し、前回取得したPUF情報ID(tn−1)と今回取得したPUF情報ID(tn)との差異の度合を第1のPUF情報変化値ΔID(tn−1)として算出する(ステップS104)。
図5〜図7を用いて第1のPUF情報変化値算出部1001による算出処理を説明する。
図5は、第1の実施形態に係る第1のPUF情報変化値算出部1001の処理を説明する説明図である。図6は、第1の実施形態に係る監視装置10が取得するPUF情報ID(t)を説明する第1の説明図である。図6では、監視装置10が監視する監視対象機器30が不正に切替えられている例を示している。図7は、第1の実施形態に係る監視装置10が監視する監視対象機器30の不正の切替えを説明する説明図である。
図5に示すように、本実施形態では、第1のPUF情報変化値算出部1001は、前回取得したPUF情報ID(tn−1)を構成する128ビットのデータと、今回取得したPUF情報ID(t)の128ビットのデータとの間で相異するビットの個数を第1のPUF情報変化値ΔID(tn−1)として算出する。図5に示す例では、PUF情報ID(tn−1)とPUF情報ID(t)との1桁目のビットは0と1とで相異しておりX印が示されている。一方、2桁目のビットは、共に同じ1でありO印が示されている。第1のPUF情報変化値算出部1001は、128ビットの全ての桁について、PUF情報ID(tn−1)とPUF情報ID(t)との間のビットの異同を確認し、異なるビットの総数を算出する。図5に示す場合には、前回取得したPUF情報ID(tn−1)と今回取得したPUF情報ID(t)とは、128ビットの桁のうち、80ビットが相違するので、第1のPUF情報変化値算出部1001は、第1のPUF情報変化値ΔID(tn−1)を80と算出する。第1のPUF情報変化値算出部1001は、算出した第1のPUF情報変化値ΔID(tn−1)を不正判定部1003に入力する。
図6を用いて、第1のPUF情報変化値算出部1001が算出した第1のPUF情報変化値ΔID(tn−1)の有する性質について説明する。
図6の横軸は、監視処理を開始してからの時間t(単位は時間)を示す。図6には、監視処理を開始してから時間tの経過後にPUF回路302が出力するPUF情報ID(t)と初期のPUF情報ID(0)とのビットの一致数が実線で示されている(便宜上、当該実線の関数をID(t)と示す)。図6の縦軸は、PUF情報ID(t)と初期のPUF情報ID(0)とのビットの一致数を示す。本実施形態のPUF情報ID(t)は、128ビットのデータであるので、完全に一致している場合の一致数である128から全く一致していない場合の一致数0まで、129段階で示されることになる。なお、図6を用いた説明では、縦軸がPUF情報ID(t)と初期のPUF情報ID(0)との「ビットの一致数」を示す場合について説明するが、「ビットの一致数」をビットの総数128で除算した「ビットの一致率」としても、以下の説明と同様の処理を達成することができる。
さらに、図6には、PUF情報取得部1000が取得した初期のPUF情報ID(0)の一致数と、PUF情報取得部1000が1回目、2回目、3回目、・・・、n−1回目、及びn回目(今回)に取得したPUF情報ID(t)、ID(t)、ID(t)、・・・ID(tn−1)、及びID(tの一致数とが各々、示されている。なお、時間t、t、t、・・・tn−1、及びtは、各々、監視処理を開始してからの経過時間を示す。
後述するように、監視処理を開始してから時間tn−1の経過時に、制御装置30が制御装置40に不正に切替えられる為、PUF情報ID(t)の一致数は、ID(tn−1の一致数とID(tの一致数との間で連続していないが、図6では、PUF情報ID(t)の一致数を一連の関数として示す為にID(tn−1の一致数とID(tの一致数とを、便宜上、直線で接続している。
監視処理開始時(t=0)におけるPUF情報ID(t)は初期のPUF情報ID(0)であり、当然に初期のPUF情報ID(0)と完全に一致するので縦軸の値(ビットの一致数)は128となる。なお、PUF情報ID(t)は、所定の入力値に対応してPUF回路302が一意に出力するデータであり、理論的には一定である。しかしながら、実際にはPUF回路302が経時劣化して例えば論理回路が変形又は変質等して変化する。この為、所定の入力値に対応してPUF回路302が出力するPUF情報ID(t)は時間tの経過とともに変化し、初期のPUF情報ID(0)と不一致のビットが増加していく。具体的には、図6に示すように、PUF情報ID(t)、ID(t)、ID(t)、・・・は、時間tの経過とともに縦軸の値(ビットの一致数)が128から緩やかに下がっていく。
監視装置10の監視する監視対象機器30が不正に切替えられた状況について、図7を用いて説明する。図7に示すように、監視処理を開始してから時間tn−1の経過時に、悪意のある者が監視対象機器30(制御装置30)に関するネットワーク上の接続先情報を不正に書き換えている。これにより、図7の矢印Aで示すように、ガスタービン20の接続先が制御装置30から制御装置40に不正に切替えられ、ガスタービン20が制御装置40により不正に制御されるようになる。同様に、監視装置10の監視対象が監視対象機器30から監視対象機器40に不正に切替えられる。
仮に悪意ある者が偽装を図り、不正に切替えられた後の監視対象機器40(制御装置40)が切替えられる前の監視対象機器30(制御装置30)と同様にPUF回路を有する場合には、切替えられた後もPUF情報を取得することができる。しかしながら、上述したように各PUF回路の出力するPUF情報は回路固有の値である為、不正に切替えられた後にPUF回路が出力するPUF情報ID(t)は、切替えられる前にPUF回路が出力するID(tn−1)とは異なるものであり、図6に示すように大きく変化する。即ち、PUF情報取得部1000が取得したPUF情報ID(t)は、前回取得したID(tn−1)に比べ、初期のPUF情報ID(0)とのビットの不一致の個数が急激に増大する。従って、図6に示すように、前回取得したPUF情報ID(tn−1)と今回取得したPUF情報ID(t)との差異の度合を示す第1のPUF情報変化値ΔID(tn−1)は不正に切替えられたことに起因しているので、例えば経時劣化のみに起因するPUF情報ID(t)とPUF情報ID(t2)との差異の度合等に比べて非常に大きくなる。
図4に示すように、不正判定部1003は、第1のPUF情報変化値算出部1001から入力された第1のPUF情報変化値ΔID(tn−1)を第1の閾値ΔIDTh1と比較し(ステップS105)、第1のPUF情報変化値ΔID(tn−1)が第1の閾値ΔIDTh1より大きい場合に、監視対象機器30に不正があると判定する(ステップS105のYES)。この場合、処理はステップS106に進む。
ここで、「不正がある」とは、監視対象機器30が不正に交換されていること、監視対象機器30が不正に切替えられていること、及びPUF情報に基づいて判定可能なその他全ての不正行為が発生していることを意味する。
一方、不正判定部1003は、第1のPUF情報変化値算出部1001から入力された第1のPUF情報変化値ΔID(tn−1)を第1の閾値ΔIDTh1と比較し(ステップS105)、第1のPUF情報変化値ΔID(tn−1)が第1の閾値ΔIDTh1と同じか第1の閾値ΔIDTh1より小さい場合に、監視対象機器30に不正がないと判定する(ステップS105のNO)。この場合、処理はステップS107に進む。
本実施形態では、第1の閾値ΔIDTh1は50に予め設定されているので、図5に示す場合には、第1のPUF情報変化値ΔID(tn−1)の値80が第1の閾値ΔIDTh1の50より大きくなっている。従って、不正判定部1003は、監視対象機器30に不正があると判定し(ステップS105のYES)、不正警告部1005に判定結果を入力してステップS106に進む。
なお、第1の閾値ΔIDTh1は、第1のPUF情報変化値ΔID(tn−1)が第1の閾値ΔIDTh1よりも大きい場合に監視対象機器30に不正があると判定可能な任意の値に予め設定されてよい。
不正警告部1005は、不正判定部1003から判定結果が入力されると、不正があると警告する(ステップS106)。具体的には、不正警告部1005は、例えば、監視装置10を運用するユーザ等の所定の送信先に、監視装置10に不正があることを通知する不正警告メッセージを送信することにより警告を行う。次に処理は、ステップS107に進む。
次に、監視装置10の第2のPUF情報変化値算出部1002は、記録媒体104を参照し、初期のPUF情報ID(0)と今回取得したPUF情報ID(t)との差異の度合を第2のPUF情報変化値ΔID(0)として算出する(ステップS107)。
本実施形態では、第2のPUF情報変化値算出部1002は、図5及び6を用いて上述した第1のPUF情報変化値算出部1001による第1のPUF情報変化値ΔID(tn−1)の算出手順と同様にしてPUF情報変化値ΔID(0)を算出する。
具体的には、本実施形態では、第2のPUF情報変化値算出部1002は、初期のPUF情報ID(0)を構成する128ビットのデータと、今回取得したPUF情報ID(t)の128ビットのデータとの間で相異するビットの個数を第2のPUF情報変化値ΔID(0)として算出する。算出手順は、図5を用いて上述した場合と同様である。第2のPUF情報変化値算出部1002は、算出した第2のPUF情報変化値ΔID(0)を劣化判定部1004に入力する。
図8を用いて、第2のPUF情報変化値算出部1002が算出した第2のPUF情報変化値ΔID(0)の有する性質について説明する。図8は、図6と同様に、第1の実施形態に係るPUF情報を説明する第2の説明図である。図8は、図6と同様に縦軸及び横軸が規定され、PUF回路302が出力するPUF情報ID(t)と初期のPUF情報ID(0)とのビットの一致数が時間tの関数として実線で示されている(便宜上、当該実線の関数をID(t)と示す)。図8は、図6の場合と異なり、監視装置10が監視する監視対象機器30は不正に切替えられていない例を示し、図8においてPUF情報ID(t)の一致数を示す実線は、ID(tn−1の一致数とID(tの一致数との間連続している。
本実施形態で、第2のPUF情報変化値算出部1002により算出される第2のPUF情報変化値ΔID(0)は、初期のPUF情報ID(0)とn回目に取得したPUF情報ID(t)との差異の度合である。即ち、第2のPUF情報変化値ΔID(0)は、初期のPUF情報ID(0)から今回取得したPUF情報ID(t )までの間のPUF情報ID(t)の総合的な変化を示す。
図4に示すように、劣化判定部1004は、第2のPUF情報変化値算出部1002から入力された第2のPUF情報変化値ΔID(0)を第2の閾値ΔIDTh2と比較し(ステップS108)、第2のPUF情報変化値ΔID(0)が第2の閾値ΔIDTh2より大きい場合に、監視対象機器30に劣化があると判定する(ステップS108のYES)。この場合、処理はステップS109に進む。
ここで、「劣化がある」とは、例えば、監視対象機器30が時劣化していること、監視対象機器30が周囲の環境に起因して劣化していること、及びPUF情報に基づいて判定可能なその他全ての劣化を意味する。
一方、劣化判定部1004は、第2のPUF情報変化値算出部1002から入力された第2のPUF情報変化値ΔID(0)を第2の閾値ΔIDTh2と比較し(ステップS108)、第2のPUF情報変化値ΔID(0)が第2の閾値ΔIDTh2と同じか第2の閾値ΔIDTh2より小さい場合に、監視対象機器30は劣化していないと判定する(ステップS108のNO)。この場合、図4に示すように、ステップS102に戻って上述したステップS102〜S109の処理が繰返される。
本実施形態では、第2の閾値ΔIDTh2は20に予め設定されているので、図8に示す場合には、第2のPUF情報変化値ΔID(0)の値28が第2の閾値ΔIDTh2の20より大きくなっている。従って、劣化判定部1004は、監視対象機器30に劣化があると判定し(ステップS108のYES)、劣化警告部1006に判定結果を入力してステップS109に進む。
なお、第2の閾値ΔIDTh2は、第2のPUF情報変化値ΔID(0)が第2の閾値ΔIDTh2よりも大きい場合に監視対象機器30に劣化があると判定可能な任意の値に予め設定されてよい。
劣化警告部1006は、劣化判定部1004から判定結果が入力されると、劣化があると警告する(ステップS109)。具体的には、劣化警告部1006は、例えば、監視装置10を運用するユーザ等の所定の送信先に、監視装置10が劣化していることを通知する劣化警告メッセージを送信することにより警告を行う。次に処理は、図4に示すように、ステップS102に戻って上述したステップS102〜S109の処理が繰返される。
(作用、効果)
以上のとおり、第1の実施形態に係る監視装置10は、PUF回路302を有する所定の監視対象機器30を監視する監視装置10であって、PUF回路302に所定の入力値を入力することによりPUF回路302から出力されるPUF情報ID(t)を取得するPUF情報取得部1000と、前回取得したPUF情報ID(tn−1)から今回取得したPUF情報ID(t)までの変化の度合を第1のPUF情報変化値ΔID(tn−1)として算出する第1のPUF情報変化値算出部1001と、初期のPUF情報ID(0)から今回取得したPUF情報ID(t)までの変化の度合を第2のPUF情報変化値ΔID(0)として算出する第2のPUF情報変化値算出部1002と、第1のPUF情報変化値ΔID(tn−1)を第1の閾値ΔIDTh1と比較し、第1のPUF情報変化値ΔID(tn−1)が第1の閾値ΔIDTh1より大きい場合に、所定の監視対象機器30に不正があると判定する不正判定部と1003と、第2のPUF情報変化値ΔID(0)を第2の閾値ΔIDTh2と比較し、第2のPUF情報変化値ΔID(0)が第2の閾値ΔIDTh2より大きい場合に、所定の監視対象機器30が劣化していると判定する劣化判定部1004と、を備える。
以上のような構成によれば、所定の監視対象機器30が有するPUF回路302から出力されるPUF情報ID(t)を利用し、監視対象機器30の不正判定及び劣化判定を共に行うことができる。従って、単純な装置構成及び低廉な費用で、監視対象機器30の不正な切替えの検出、監視対象機器30の経時劣化の検出を共に行うことができる。
また、上記構成によれば、不正の判定は、前回取得したPUF情報ID(tn−1)から今回取得したPUF情報ID(t)までの変化の度合を示す第1のPUF情報変化値ΔID(tn−1)に基づいて行っているのに対し、劣化の判定は、初期のPUF情報ID(0)から今回取得したPUF情報ID(t)までの変化の度合を示す第2のPUF情報変化値ΔID(0)に基づいて行っているので、短期間で変化が生じる不正と長期間で変化が生じる劣化との各々の性質に応じた判定を精度よく行うことができる。
また、第1のPUF情報変化値ΔID(tn−1)は、前回取得したPUF情報ID(tn−1)と今回取得したPUF情報ID(t)との差異の度合である。
このようにすることで、第1のPUF情報変化値ΔID(tn−1)を非常に容易に算出することができ、第1のPUF情報変化値算出部1001の実装が非常に容易となる。
また、第2のPUF情報変化値ΔID(0)は、初期のPUF情報ID(0)と今回取得したPUF情報ID(t)との差異の度合である。
このようにすることで、第2のPUF情報変化値ΔID(0)を非常に容易に算出することができ、第2のPUF情報変化値算出部1002の実装が非常に容易となる。
また、第1の実施形態に係る監視装置10は、所定の監視対象機器30に不正がある場合に警告する不正警告部1005を更に備える。
このようにすることで、不正が発生した事態を警告して早急な不正対策を促し、不正による損害の発生を防止すると共に、不正を放置することによる損害の拡大を防止することができる。
また、第1の実施形態に係る監視装置10は、所定の監視対象機器30が劣化している場合に警告する劣化警告部1006を更に備える。
このようにすることで、劣化が発生した事態を警告して早急な劣化対策を促し、劣化による損害の発生を防止することができる。
(第1の実施形態の変形例)
以上、第1の実施形態に係る監視システム1及び監視装置10について詳細に説明したが、監視システム1及び監視装置10の具体的な態様は、上述のものに限定されることはなく、要旨を逸脱しない範囲内において種々の設計変更等を加えることは可能である。
(第1の実施形態の第1の変形例)
例えば、第1の実施形態に係る監視装置10において、図4のステップS109で、劣化警告部1006は、劣化判定部1004から判定結果が入力されると、劣化があると警告するものとして説明した。
ここで、第1の実施形態の第1の変形例として、劣化警告部1006は、第2のPUF情報変化値ΔID(0)の変化の度合に応じて警告レベルを段階的に変更して警告してもよい。例えば、第2のPUF情報変化値ΔID(0)が21〜40である場合を第1の警告レベル、41〜80である場合を第2の警告レベル、81〜128である場合を第3の警告レベルに設定することができる。
上述した例において第1の警告レベル、第2の警告レベル、及び第3の警告レベルに該当する場合は、いずれも第2のPUF情報変化値ΔID(0)が第2の閾値ΔIDTh2の値20より大きいが、第1の警告レベルに該当する場合(第2のPUF情報変化値ΔID(0)が21〜40である場合)には、初期のPUF情報ID(0)と今回取得したPUFID(t)との変化の度合(差異の度合)が小さいので、経時劣化の度合が軽いと考えられる。従って、劣化警告部1006は、記録媒体104を参照し、第2のPUF情報変化値ΔID(0)が21〜40である場合には、警告レベルを第1の警告レベルに変更して警告する。第1の警告レベルに該当する場合、劣化警告部1006は、監視装置10を運用するユーザ等の所定の送信先に、最も警告度合の低い劣化警告メッセージを送信することにより警告を行う。最も警告度合の低い劣化警告メッセージとしては、例えば、単に監視装置10が劣化している可能性があるので注意して経過を観察するように通知する劣化警告メッセージ等である。
一方、劣化警告部1006は、記録媒体104を参照し、第2のPUF情報変化値ΔID(0)が81〜128である場合には、警告レベルを第3の警告レベルに変更して警告する。第3の警告レベルに該当する場合、監視装置10を運用するユーザ等の所定の送信先に、最も警告度合の高い劣化警告メッセージを送信することにより警告を行う。最も警告度合の高い劣化警告メッセージとしては、例えば、監視装置10が劣化により正常な制御ができない可能性があるので即時交換するように通知する劣化警告メッセージ等であってよい。
さらに、劣化警告部1006は、記録媒体104を参照し、第2のPUF情報変化値ΔID(0)が41〜80である場合には、警告レベルを第2の警告レベルに変更して警告する。第2の警告レベルに該当する場合、監視装置10を運用するユーザ等の所定の送信先に、二番目に警告度合の高い劣化警告メッセージを送信することにより警告を行う。二番目に警告度合の高い劣化警告メッセージとしては、例えば、監視装置10が劣化しているので確認の上、必要に応じて対応するように通知する劣化警告メッセージ等であってよい。
このようにすることで、監視装置10を用いて監視するユーザは、段階的な警告レベルで警告されるので、緊急性の高い(警告レベルが高い)場合には、警告に即時対応することができ、緊急性の低い(警告レベルが低い)場合には、余裕を持って警告に対応することができ、警告レベルに応じて適切に対応することができるので、時間的及び作業的な効率が向上する。
なお、上述した例では、劣化警告部1006は、劣化警告メッセージで警告する場合について説明したが、例えば、警告音で警告してもよい。この場合には、劣化警告部1006は、例えば、警告音の種類を変更することで警告レベルを段階的に変更して警告してもよい。
(第1の実施形態の第2の変形例)
また、例えば、第1の実施形態に係る監視装置10において、図4のステップS104で、第1のPUF情報変化値算出部1001は、第1のPUF情報変化値を、前回取得したPUF情報ID(tn−1)と今回取得したPUF情報ID(t)との差異の度合をΔID(tn−1)として算出するものとして説明した。
ここで、第1の実施形態の第2の変形例として、第1のPUF情報変化値算出部1001が算出する第1のPUF情報変化値は、前回取得したPUF情報ID(tn−1)から今回取得したPUF情報ID(t)までのPUF情報ID(t)の時間変化率であってよい。
具体的には、前回取得したPUF情報ID(tn−1)から今回取得したPUF情報ID(t)までのPUF情報ID(t)の時間変化率(第1のPUF情報変化値)は、前回取得したPUF情報ID(tn−1)と今回取得したPUF情報ID(t)との差異の度合ΔID(tn−1)を経過時間(t−tn−1)で除算したΔID(tn−1)/(t−tn−1)であってよい。或いは、前回取得したPUF情報ID(tn−1)から今回取得したPUF情報ID(t)までのPUF情報ID(t)の時間変化率(第1のPUF情報変化値)は、PUF情報ID(t)の時間tn−1における微分値dID(tn−1)/dtであってもよい。なお、この場合に、PUF情報ID(t)は、PUF情報取得部1000が1回目、2回目、3回目、・・・、n−1回目、及びn回目(今回)に取得したPUF情報ID(t)、ID(t)、ID(t)、・・・ID(tn−1)、及びID(t)を通る近似曲線として求めてから微分値dID(tn−1)/dtを求めてよい。
第1の実施形態の第2の変形例に係る不正判定部1003は、図4のステップS105で不正判定に用いる第1の閾値ΔIDTh1が、PUF情報ID(t)の時間変化率である第1のPUF情報変化値ΔID(tn−1)/(t−tn−1)等に対応する値に設定される。
このようにすることで、監視装置10の不正判定部1003は、PUF情報ID(t)の時間変化率に応じて監視対象機器30に不正があるか否かを判定することができるので、PUF情報ID(t)が急激に変化し始めた段階で監視対象機器30に不正があると判定することができる。また、監視装置10の不正判定部1003は、PUF情報ID(t)が急激に変化している場合と、緩やかに変化している場合とを区別して監視対象機器30に不正があるか否かを判定することができる。これにより、監視装置10は、監視対象機器30の不正の判定を適切に行うことができる。
(第1の実施形態の第3の変形例)
また、例えば、第1の実施形態に係る監視装置10において、図4のステップS107で、第2のPUF情報変化値算出部1002は、第2のPUF情報変化値を、初期のPUF情報ID(0)と今回取得したPUF情報ID(t)との差異の度合をΔID(0)として算出するものとして説明した。
ここで、第1の実施形態の第3の変形例として、第2のPUF情報変化値算出部1002が算出する第2のPUF情報変化値は、初期のPUF情報ID(0)から今回取得したPUF情報ID(t)までのPUF情報ID(t)の時間変化率であってよい。
具体的には、初期のPUF情報ID(0)から今回取得したPUF情報ID(t)までのPUF情報ID(t)の時間変化率(第2のPUF情報変化値)は、初期のPUF情報ID(0)と今回取得したPUF情報ID(t)との差異の度合ΔID(0)を経過時間(t−0)で除算したΔID(0)/tであってよい。或いは、初期のPUF情報ID(0)から今回取得したPUF情報ID(t)までのPUF情報ID(t)の時間変化率(第2のPUF情報変化値)は、PUF情報ID(t)の時間tにおける微分値dID(t)/dtであってもよい。なお、この場合に、PUF情報ID(t)は、PUF情報取得部1000が1回目、2回目、3回目、・・・、n−1回目、及びn回目(今回)に取得したPUF情報ID(t)、ID(t)、ID(t)、・・・ID(tn−1)、及びID(t)を通る近似曲線として求めてから微分値dID(t)/dtを求めてよい。
第1の実施形態の第3の変形例に係る劣化判定部1004は、図4のステップS108で劣化判定に用いる第2の閾値ΔIDTh2が、PUF情報ID(t)の時間変化率である第2のPUF情報変化値ΔID(0)/t等に対応する値に設定される。
このようにすることで、監視装置10の劣化判定部1004は、PUF情報ID(t)の時間変化率に応じて監視対象機器30が劣化しているか否かを判定することができるので、PUF情報ID(t)が急激に変化し始めた段階で監視対象機器30に劣化があると判定することができる。また、監視装置10の劣化判定部1004は、PUF情報ID(t)が急激に変化している場合と、緩やかに変化している場合とを区別して監視対象機器30に劣化しているか否かを判定することができる。これにより、監視装置10は、監視対象機器30の劣化の判定を適切に行うことができる。
<第2の実施形態>
次に、第2の実施形態に係る監視システム及び監視対象機器について、図9〜図12を参照しながら説明する。
(監視対象機器の機器構成)
図9は、第2の実施形態に係る監視装置10の機能構成を示す図である。
図9に示すように、第2の実施形態に係る監視装置10のCPU100は、第1の実施形態に加え、更に、周期変更部1007としての機能を発揮する。従って、第2の実施形態に係る監視装置10が備える周期変更部1007以外の各構成要素は、特に言及する場合を除き、第1の実施形態に係る監視装置10の各構成要素と同様に構成され、機能する。
周期変更部1007は、PUF情報取得部1000が取得したPUF情報ID(t)の時間変化率が大きくなる傾向にある場合には所定の周期時間が小さくなるように変更し、取得したPUF情報ID(t)の時間変化率が小さくなる傾向にある場合には所定の周期時間が大きくなるように変更する。
(監視装置の処理フロー)
図10は、第2の実施形態に係る監視装置10の処理フローを示す図である。
図10に示す第2の実施形態に係る監視装置10の処理フローは、ステップS201〜S204が更に追加されている点で、図4に示す第1の実施形態に係る監視装置10の処理フローと相違する。第2の実施形態に係る監視装置10は、ステップS201〜S204以外の処理は、第1の実施形態に係る監視装置10の処理と同様であるので、以下では、相違する処理について説明する。
図10に示すように、ステップS108又はS109の処理の次に、ステップS201の処理が行われる。即ち、監視装置10の周期変更部1007は、PUF情報取得部1000が取得したPUF情報ID(t)の時間変化率が大きくなる傾向にあるか否かを判定する(ステップS201)。
ステップS201の処理の具体的な手順について、図11及び12を用いて説明する。図11及び図12は、第2の実施形態に係る監視装置10の周期変更の処理を各々説明する第1及び第2の説明図である。図11及び12は、図6と同様に縦軸及び横軸が規定され、PUF回路302が出力するPUF情報ID(t)と初期のPUF情報ID(0)とのビットの一致数が時間tの関数として実線で示されている(便宜上、当該実線の関数をID(t)と示す)。図11及び12に示す場合には、PUF情報取得部1000は、所定の周期時間として1週間が設定されているものとする。また、PUF情報取得部1000が今回取得したPUF情報ID(t)がID(t3)であるものとする。従って、PUF情報取得部1000は、1週間経過する度に定期的にPUF情報ID(t1)、ID(t2)、ID(t3)を取得している。
ステップS201において、周期変更部1007は、記録媒体104を参照し、初期のPUF情報ID(0)、PUF情報取得部1000が今回取得したPUF情報ID(t3)、前回取得したPUF情報ID(t2)、及び前々回取得したPUF情報ID(t1)を取得する。次に、周期変更部1007は、取得したPUF情報ID(0)、PUF情報ID(t1)、PUF情報ID(t2)、及びPUF情報ID(t3の一致数を通る近似曲線を算出する。周期変更部1007は、算出した近似曲線について、時間t2における微分値dID(t2)/dtを算出し、その絶対値を「前回のPUF情報ID(t2)の時間変化率」とする。同様に、周期変更部1007は、算出した近似曲線について、時間tにおける微分値dID(t)/dtを算出し、その絶対値を「今回のPUF情報ID(t)の時間変化率」とする。
周期変更部1007は、算出した「前回のPUF情報ID(t2)の時間変化率」と「今回のPUF情報ID(t)の時間変化率」とを比較し、「今回のPUF情報ID(t)の時間変化率」が「前回のPUF情報ID(t2)の時間変化率」よりも大きい場合に、PUF情報取得部1000が取得したPUF情報ID(t)の時間変化率が大きくなる傾向にあると判定する(ステップS201のYES)。一方、「今回のPUF情報ID(t)の時間変化率」が「前回のPUF情報ID(t2)の時間変化率」以下である場合には、処理が次のステップS203に進む(ステップS201のNO)。
図11に示す場合には、PUF情報ID(t)の一致数の時間t3における傾き(微分値の絶対値)が、時間t2における傾き(微分値の絶対値)よりも大きいので、PUF情報取得部1000が取得したPUF情報ID(t)の時間変化率が大きくなる傾向にあると判定し(ステップS201のYES)、処理は次のステップS203に進む。
周期変更部1007は、所定の周期時間が小さくなるように変更する(ステップS202)。例えば、図11の場合には、周期変更部1007は、所定の周期時間が小さくなるように所定の周期時間を1週間から1日に変更する。これにより、図11の場合には、時間t3以後、PUF情報取得部1000は、1日経過する度に定期的にPUF情報ID(t)、ID(t)、・・・を取得する。図10に示すように、ステップS202の後、処理は、ステップS102に戻る。
一方、ステップS203において、周期変更部1007は、ステップS201で算出した「前回のPUF情報ID(t2)の時間変化率」と「今回のPUF情報ID(t)の時間変化率」とを比較し、「今回のPUF情報ID(t)の時間変化率」が「前回のPUF情報ID(t2)の時間変化率」よりも小さい場合に、PUF情報取得部1000が取得したPUF情報ID(t)の時間変化率が小さくなる傾向にあると判定する(ステップS203のYES)。一方、「今回のPUF情報ID(t)の時間変化率」が「前回のPUF情報ID(t2)の時間変化率」以上である場合には、処理は、ステップS102に戻る(ステップS203のNO)。
図12に示す場合には、PUF情報ID(t)の一致数の時間t3における傾き(微分値の絶対値)が、時間t2における傾き(微分値の絶対値)よりも小さいので、PUF情報取得部1000が取得したPUF情報ID(t)の時間変化率が小さくなる傾向にあると判定し(ステップS203のYES)、処理は次のステップS204に進む。
周期変更部1007は、所定の周期時間が大きくなるように変更する(ステップS204)。例えば、図12の場合には、周期変更部1007は、所定の周期時間が大きくなるように所定の周期時間を1週間から1月に変更する。これにより、図12の場合には、時間t3以後、PUF情報取得部1000は、1月経過する度に定期的にPUF情報ID(t)、・・・を取得する。図10に示すように、ステップS204の後、処理は、ステップS102に戻る。
なお、上述した説明では、「前回のPUF情報ID(t2)の時間変化率」及び「今回のPUF情報ID(t)の時間変化率」を算出する際に、周期変更部1007が近似曲線を算出してから微分値を算出する場合について説明したが、周期変更部1007は、例えば、前々回取得したPUF情報ID(t1)と前回取得したPUF情報ID(t2)と差異の度合ΔID(t2)を経過時間(t2−t)で除算したΔID(t2)/(t2−t)を前回のPUF情報ID(t2)の時間変化率として求めてもよい。同様にして、周期変更部1007は、前回取得したPUF情報ID(t2)と今回取得したPUF情報ID(t3)と差異の度合ΔID(t3)を経過時間(t3−t2)で除算したΔID(t3)/(t3−t2)を今回のPUF情報ID(t3)の時間変化率として求めてもよい。
(作用、効果)
以上のとおり、第2の実施形態に係る監視装置10は、取得したPUF情報ID(t)の時間変化率が大きくなる傾向にある場合には所定の周期時間が小さくなるように変更し、取得したPUF情報ID(t)の時間変化率が小さくなる傾向にある場合には所定の周期時間が大きくなるように変更する周期変更部1007を更に備える。
以上のような態様とすることで、例えば図11に示すように、監視対象機器30の劣化が急激に進行する場合等、取得したPUF情報ID(t)の時間変化率が大きくなる傾向にある場合には、PUF情報取得部1000によるPUF情報ID(t)を取得する所定の周期時間が小さくなるように変更し、監視対象機器30の監視を適切に強化することができる。また、逆に、例えば図12に示すように、監視対象機器30の劣化が落ち着いてきた場合等、取得したPUF情報ID(t)の時間変化率が小さくなる傾向にある場合には、PUF情報取得部1000によるPUF情報ID(t)を取得する所定の周期時間が大きくなるように変更し、監視対象機器30による監視処理の処理負荷及び処理費用を低減し、費用対効果を向上させることができる。
なお、第2の実施形態では、周期変更部1007が、取得したPUF情報ID(t)の時間変化率が大きくなる傾向にある場合には所定の周期時間が小さくなるように変更し、且つ、取得したPUF情報ID(t)の時間変化率が小さくなる傾向にある場合には所定の周期時間が大きくなるように変更する場合について説明したが、周期変更部1007は、いずれか一方だけの変更を行うように構成されていてよい。即ち、周期変更部1007は、取得したPUF情報ID(t)の時間変化率が大きくなる傾向にある場合に所定の周期時間が小さくなるように変更する構成であってもよいし、または、取得したPUF情報ID(t)の時間変化率が小さくなる傾向にある場合に所定の周期時間が大きくなるように変更する構成であってよい。この場合には、実装される構成に応じて上述の効果(監視の適切な強化、監視処理の処理負荷及び処理費用の低減による費用対効果の向上)が得られる。
なお、上述の各実施形態においては、上述した監視装置10の各種処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって上記各種処理が行われる。また、コンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
上記プログラムは、上述した機能の一部を実現するためのものであってもよい。更に、上述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
また、他の実施形態においては、第1及び第2の実施形態(及びその変形例)で説明した監視装置10が有する各機能の一部を、ネットワークで接続された他のコンピュータが具備する態様であってもよい。
以上のとおり、本発明に係るいくつかの実施形態を説明したが、これら全ての実施形態は、例として提示したものであり、発明の範囲を限定することを意図していない。これらの実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で種々の省略、置き換え、変更を行うことができる。これらの実施形態及びその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
1 監視システム
10 監視装置
20 ガスタービン
30 制御装置(監視対象機器)
40 制御装置(監視対象機器)
1000 PUF情報取得部
1001 第1のPUF情報変化値算出部
1002 第2のPUF情報変化値算出部
1003 不正判定部
1004 劣化判定部
1005 不正警告部
1006 劣化警告部
1007 周期変更部
100 CPU
101 ROM
102 RAM
103 通信インタフェース
104 記録媒体
300 CPU
301 ROM
302 PUF回路
303 RAM
304 第1の通信インタフェース
305 第2の通信インタフェース

Claims (12)

  1. PUF(Physically Unclonable Function)回路を有する所定の監視対象機器を監視する監視装置であって、
    前記PUF回路に所定の入力値を入力することにより前記PUF回路から出力されるPUF情報を取得するPUF情報取得部と、
    前回取得したPUF情報から今回取得したPUF情報までの変化の度合を第1のPUF情報変化値として算出する第1のPUF情報変化値算出部と、
    初期のPUF情報から前記今回取得したPUF情報までの変化の度合を第2のPUF情報変化値として算出する第2のPUF情報変化値算出部と、
    前記第1のPUF情報変化値を第1の閾値と比較し、前記第1のPUF情報変化値が前記第1の閾値より大きい場合に、前記所定の監視対象機器に不正があると判定する不正判定部と、
    前記第2のPUF情報変化値を第2の閾値と比較し、前記第2のPUF情報変化値が前記第2の閾値より大きい場合に、前記所定の監視対象機器が劣化していると判定する劣化判定部と、
    を備える監視装置。
  2. 前記第1のPUF情報変化値は、前記前回取得したPUF情報と前記今回取得したPUF情報との差異の度合である
    請求項1に記載の監視装置。
  3. 前記第1のPUF情報変化値は、前記前回取得したPUF情報から前記今回取得したPUF情報までのPUF情報の時間変化率である
    請求項1に記載の監視装置。
  4. 前記第2のPUF情報変化値は、前記初期のPUF情報と前記今回取得したPUF情報との差異の度合である
    請求項1から請求項3のいずれか一項に記載の監視装置。
  5. 前記第2のPUF情報変化値は、前記初期のPUF情報から前記今回取得したPUF情報までのPUF情報の時間変化率である
    請求項1から請求項3のいずれか一項に記載の監視装置。
  6. 前記所定の監視対象機器に不正がある場合に警告する不正警告部を更に備える
    請求項1から請求項5のいずれか一項に記載の監視装置。
  7. 前記所定の監視対象機器が劣化している場合に警告する劣化警告部を更に備える
    請求項1から請求項6のいずれか一項に記載の監視装置。
  8. 前記劣化警告部は、前記第2のPUF情報変化値の変化の度合に応じて警告レベルを段階的に変更して警告する
    請求項7に記載の監視装置。
  9. 前記PUF情報取得部は、所定の周期時間で定期的に前記PUF情報を取得する
    請求項1から請求項8のいずれか一項に記載の監視装置。
  10. 取得した前記PUF情報の時間変化率が大きくなる傾向にある場合には前記所定の周期時間が小さくなるように変更する、または、取得した前記PUF情報の時間変化率が小さくなる傾向にある場合には前記所定の周期時間が大きくなるように変更する周期変更部を更に備える
    請求項9に記載の監視装置。
  11. 監視装置によってPUF(Physically Unclonable Function)回路を有する所定の監視対象機器を監視する監視方法であって、
    前記監視装置のPUF情報取得部が、前記PUF回路に所定の入力値を入力することにより前記PUF回路から出力されるPUF情報を取得するステップと、
    前記監視装置の第1のPUF情報変化値算出部が、前回取得したPUF情報から今回取得したPUF情報までの変化の度合を第1のPUF情報変化値として算出するステップと、
    前記監視装置の第2のPUF情報変化値算出部が、初期のPUF情報から前記今回取得したPUF情報までの変化の度合を第2のPUF情報変化値として算出するステップと、
    前記監視装置の不正判定部が、前記第1のPUF情報変化値を第1の閾値と比較し、前記第1のPUF情報変化値が前記第1の閾値より大きい場合に、前記所定の監視対象機器に不正があると判定するステップと、
    前記監視装置の劣化判定部が、前記第2のPUF情報変化値を第2の閾値と比較し、前記第2のPUF情報変化値が前記第2の閾値より大きい場合に、前記所定の監視対象機器が劣化していると判定するステップと、
    を備える監視方法。
  12. PUF(Physically Unclonable Function)回路を有する所定の監視対象機器を監視する監視装置を、
    前記PUF回路に所定の入力値を入力することにより前記PUF回路から出力されるPUF情報を取得するPUF情報取得部、
    前回取得したPUF情報から今回取得したPUF情報までの変化の度合を第1のPUF情報変化値として算出する第1のPUF情報変化値算出部、
    初期のPUF情報から前記今回取得したPUF情報までの変化の度合を第2のPUF情報変化値として算出する第2のPUF情報変化値算出部、
    前記第1のPUF情報変化値を第1の閾値と比較し、前記第1のPUF情報変化値が前記第1の閾値より大きい場合に、前記所定の監視対象機器に不正があると判定する不正判定部、
    前記第2のPUF情報変化値を第2の閾値と比較し、前記第2のPUF情報変化値が前記第2の閾値より大きい場合に、前記所定の監視対象機器が劣化していると判定する劣化判定部、
    として機能させるプログラム。
JP2018041794A 2018-03-08 2018-03-08 監視装置、監視方法及びプログラム Active JP6757348B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018041794A JP6757348B2 (ja) 2018-03-08 2018-03-08 監視装置、監視方法及びプログラム
US16/267,632 US10747639B2 (en) 2018-03-08 2019-02-05 Monitoring device, monitoring method, and non-transitory computer-readable medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018041794A JP6757348B2 (ja) 2018-03-08 2018-03-08 監視装置、監視方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2019159466A JP2019159466A (ja) 2019-09-19
JP6757348B2 true JP6757348B2 (ja) 2020-09-16

Family

ID=67843995

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018041794A Active JP6757348B2 (ja) 2018-03-08 2018-03-08 監視装置、監視方法及びプログラム

Country Status (2)

Country Link
US (1) US10747639B2 (ja)
JP (1) JP6757348B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11823739B2 (en) 2020-04-06 2023-11-21 Crossbar, Inc. Physically unclonable function (PUF) generation involving high side programming of bits
US11450384B2 (en) * 2020-04-06 2022-09-20 Crossbar, Inc. Distinct chip identifier sequence utilizing unclonable characteristics of resistive memory on a chip
US20210119812A1 (en) * 2020-12-23 2021-04-22 Intel Corporation Time-based multi-dimensional key recreation mechanism using puf technologies

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5183517B2 (ja) 2009-02-05 2013-04-17 三菱電機株式会社 情報処理装置及びプログラム
US20160028544A1 (en) * 2012-11-15 2016-01-28 Elwha Llc Random number generator functions in memory
US9653161B2 (en) * 2014-11-21 2017-05-16 Panasonic Intellectual Property Management Co., Ltd. Tamper-resistant non-volatile memory device comprising an arithmetic circuit that, in operation, calculates a binary reference value based on at least a part of the pieces of resistance value information, a read circuit that, in operation, selectively assigns, based on the binary reference value, one of two values to each of the pieces of resistance value information, and a write circuit that, in operation, performs a write operation corresponding to one of the two values among memory cells
US9741230B2 (en) * 2014-12-08 2017-08-22 Kabushiki Kaisha Toshiba Plant monitoring system, plant monitoring method, and program storage medium
US9876645B1 (en) * 2015-02-17 2018-01-23 Amazon Technologies, Inc. Tamper detection for hardware devices
CN107924645B (zh) * 2015-08-06 2021-06-25 本质Id有限责任公司 具有物理不可克隆功能的加密设备
JP6651394B2 (ja) 2016-03-25 2020-02-19 ルネサスエレクトロニクス株式会社 半導体装置及び寿命予測方法
JP6692792B2 (ja) * 2017-12-28 2020-05-13 三菱重工業株式会社 監視装置、監視システム、監視方法及びプログラム
US20190042480A1 (en) * 2018-02-05 2019-02-07 Intel Corporation Method for non-volatile memory and memory controller secured and authenticated pairing

Also Published As

Publication number Publication date
US10747639B2 (en) 2020-08-18
JP2019159466A (ja) 2019-09-19
US20190278687A1 (en) 2019-09-12

Similar Documents

Publication Publication Date Title
JP6757348B2 (ja) 監視装置、監視方法及びプログラム
JP5049288B2 (ja) 改竄検出システム、改竄検出方法、改竄検出プログラム、記録媒体、集積回路、認証情報生成装置及び改竄検出装置
CN100437502C (zh) 基于安全芯片的防病毒方法
TWI640863B (zh) 測試隨機性的儀器以及方法
JPWO2018230645A1 (ja) 異常検知装置、異常検知方法、およびプログラム
WO2013016845A1 (en) Method and device for detecting clogging of a filter
US10571313B2 (en) Device and method for calibrating a digital sensor
US20200134075A1 (en) System and method for anomaly characterization based on joint historical and time-series analysis
WO2017061028A1 (ja) 異常検知装置
JP7038185B2 (ja) レジスタ内容のインテグリティを検証するシステム、および、その方法
WO2021260984A1 (ja) 情報処理装置、情報処理方法及びプログラム
KR101433724B1 (ko) 하위 구성요소의 상태가 반영된 플랜트의 건강지수 측정방법 및 그 방법을 수행하기 위한 프로그램이 저장된 컴퓨터 판독 가능한 저장매체
KR101325638B1 (ko) 하위 구성요소의 상태가 반영된 플랜트의 건강지수 측정방법 및 그 방법을 수행하기 위한 프로그램이 저장된 컴퓨터 판독 가능한 저장매체
EP2422417A1 (en) A method and a device for supervising the sensitivity of a protection function
US11397005B2 (en) Flow measurement device
JP6591832B2 (ja) ソフトウェア改ざん検知システム、及びネットワークセキュリティシステム
WO2020170500A1 (ja) 検知ルール群調整装置および検知ルール群調整プログラム
JP2021143867A (ja) 判定システムおよび判定方法
JP7483174B2 (ja) 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム
AU2021419833B2 (en) Falsification detection device, falsification detection method, and falsification detection program
WO2022153415A1 (ja) 改竄検知装置、改竄検知方法および改竄検知プログラム
KR102488094B1 (ko) 발전소 보호계통의 가변형 설정치 결정 방법, 컴퓨터 프로그램 및 장치
US20220309169A1 (en) Security device and methods of operating a security device
US20240080325A1 (en) Method and architecture for providing integrated design of cyber-physical system with watermarking
CN115096460A (zh) 设置保护动作的方法、装置、存储介质和电子设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190212

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200123

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200204

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200319

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200818

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200828

R150 Certificate of patent or registration of utility model

Ref document number: 6757348

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150