JP6913482B2 - ネットワークシステム - Google Patents

ネットワークシステム Download PDF

Info

Publication number
JP6913482B2
JP6913482B2 JP2017033159A JP2017033159A JP6913482B2 JP 6913482 B2 JP6913482 B2 JP 6913482B2 JP 2017033159 A JP2017033159 A JP 2017033159A JP 2017033159 A JP2017033159 A JP 2017033159A JP 6913482 B2 JP6913482 B2 JP 6913482B2
Authority
JP
Japan
Prior art keywords
security
node
information
security device
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017033159A
Other languages
English (en)
Other versions
JP2018139344A (ja
Inventor
朋範 板垣
朋範 板垣
浅野 晃
晃 浅野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kyosan Electric Manufacturing Co Ltd
Original Assignee
Kyosan Electric Manufacturing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kyosan Electric Manufacturing Co Ltd filed Critical Kyosan Electric Manufacturing Co Ltd
Priority to JP2017033159A priority Critical patent/JP6913482B2/ja
Publication of JP2018139344A publication Critical patent/JP2018139344A/ja
Application granted granted Critical
Publication of JP6913482B2 publication Critical patent/JP6913482B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Train Traffic Observation, Control, And Security (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ネットワークシステムに係り、例えば、同一ネットワーク内に保安機器と非保安機器が混在するネットワークシステムに関する。
鉄道信号分野の保安機器と非保安機器の混在するネットワークにおいて、保安情報の安全性を確保するために、非保安機器による保安機器への成り済まし防止技術が知られている。ここで、「非保安機器による保安機器への成り済まし」とは、非保安機器の情報が、故障による誤動作等によって保安機器の情報へ変換されてしまうことを想定する。保安機器は、列車運送の安全を確保する機器である。したがって、保安機器の扱う情報は、「高い信頼性」が要求される。
鉄道分野の通信技術の規格(IEC62280)において、成り済まし防止のために暗号技術で対応することが規定されている。一般に、秘匿には、現状で広く利用されているAES(NIST FIPS197)が使用される。
また、複数ネットワーク接続する伝送装置システムにおいて、ネットワーク・トポロジーをリング状にして、システムの均等化及びタンデム接続可能に、非同期ランダムアクセスの可変長情報フレームを、情報フレームの衝突及び廃棄を行うことなく、非蓄積伝送することができる伝送装置がある(例えば、特許文献1参照)。
具体的には、例えば図1に示すようなネットワークシステム101の技術が開示されている。このネットワークシステム101では、複数の伝送端末装置(ゲートウェイ装置)が、より具体的にはノード(#1)121〜ノード(#6)126が直列に接続し1周させたリング状にネットワークを構成している。このネットワークを使用して情報を授受したい装置を「ホスト」と呼び、このネットワーク回線を介して他のホストと通信する。保安機器は、FSCPU(フェイルセイフCPU)を備え、故障時等に検定を行う機能を備え、故障時に異常動作を継続する可能性が排除されている。一方、非保安機器は、ノーマルCPUを備え、FSCPUのような検定機能を有さない。
伝送端末装置(ノード(#1)121〜ノード(#6)126)には、保安制御装置(保安系ホスト(#1)111、保安系ホスト(#2)112)や非保安制御装置(非保安系ホスト131)がイーサネット(登録商標)191で接続される。図1(a)では、ノード(#1)121に保安系ホスト(#1)111が接続される。ノード(#1)121〜ノード(#6)126のいずれかが、周期監視ノードとして機能し、所定の周期で情報フレーム(伝送フレーム)を出力する。ここで、ノード(#1)121のIPアドレスが「192.168.1.1」で、保安系ホスト(#1)111のIPアドレスが「192.168.1.10」である。ノード(#4)124のIPアドレスが「192.168.4.1」で、保安系ホスト(#2)112のIPアドレスが「192.168.4.10」である。
図2に保安系ホスト(#1)111から保安系ホスト(#2)112へ情報を送信する場合に用いられる情報フレームの関係を示している。図示のように、保安系ホスト(#1)111から「192.168.4.10」宛ての情報が出力されると、ノード(#1)121は、宛先からノード(#4)124へ送る情報であると判断する。ノード(#1)121は、宛先(#4へ)の指定及び自ノードの位置情報(#1のフレーム番号)を使用して、情報フレームへ書き込む。ノード(#4)124は、情報フレームの中から自ノード宛て(#4宛て)の情報(ここでは、「192.168.4.10」宛ての情報)を取り出し、保安系ホスト(#2)112へ出力する。
特開2002−353970号公報
ところで、保安機器は、FSCPU(フェイルセイフCPU)を備え故障時等に検定を行う機能を備えるが、ノーマルCPUを備える非保安機器は、FSCPUのような機能を有さず故障時に異常動作を継続する可能性がある。そのため、非保安機器が同一ネットワーク内の保安機器に成り済ますことが可能であり、それによって保安情報を改ざんできてしまう虞がある。例えば、図1(b)に示すように、保安系ホスト(#1)111から「ノード(#4)124(保安系ホスト(#2)112)」宛てに出力された情報「a」が、非保安系ホスト131が接続されたノード(#3)123で破壊されてしまうことかある。この場合は、FSCPUを備える保安系ホスト(#2)112が異常を検知することから、情報が破棄され、誤った情報が保安情報として用いられることは無い。一方、図1(b)に示すように、非保安系ホスト131から出力された非保安系情報「b」がノード(#3)123で保安系情報「b」として成り済ましされてしまうと、保安系ホスト(#2)12は成り済ましの保安系情報「b」を正常と判断し、誤用してしまう虞がある。
このような理由によって、鉄道信号で使用するネットワークでは、保安機器(保安系ホスト)と非保安機器(非保安系ホスト)とをそれぞれ別の専用回線で運営し、それら専用回線を中継する中継装置を設ける複雑な構成となっていた。
本発明は、このような状況に鑑みなされたものであって、上記課題を解決する技術を提供することにある。
本発明は、保安機器と非保安機器とが混在してネットワークで接続されたネットワークシステムであって、前記保安機器と前記非保安機器とは、それぞれノード装置によって前記ネットワークに接続されており、前記保安機器は、異常動作の検定を行う検定機能と、情報を暗号化した暗号文の作成及び送信する機能と、受信した前記暗号文を復号する機能と、情報が暗号されない状態である平文を作成及び送信する機能と、を備え、前記非保安機器は、前記検定機能を備えず、前記平文の作成及び送信をする機能と、前記平文を受信する機能と、を備え、前記保安機器同士が通信を行う場合には、前記暗号文による送受信を行い、前記保安機器前記非保安機器へ送信する場合は、前記平文を送信し、前記非保安機器同士の通信には、前記平文による送受信を行い、前記保安機器と前記ノード装置は、前記暗号文を伝送する経路である暗号化経路、前記平文を伝送する経路である非暗号化経路の各々で接続され、前記非保安機器と前記ノード装置は、前記非暗号化経路で接続され、前記保安機器と接続している前記ノード装置は、取得した情報を当該保安機器に送信する際に、当該情報が他の前記保安機器からの情報であると判断した場合は、前記暗号化経路を選択して当該保安機器に送信し、取得した情報が前記非保安機器からの情報であると判断した場合は、前記非暗号化経路を選択して当該保安機器に送信する
また、前記保安機器は、接続された前記ノード装置から前記平文を受信した場合には、当該平文の情報を破棄してもよい。
また、前記ネットワークは、前記ノード装置が環状に接続されて構成されており、前記ノード装置のうちの一つは一定の周期で情報フレームを出力する周期監視ノードを設定し、前記ネットワークに断線が発生した場合に、接続している前記ノード装置のうちのいずれか1つが、情報フレームの出力を開始して、前記周期監視ノードと同じ周期を維持してもよい
また、前記保安機器は共に前記ノード装置の一つである保安機器側第1ノード装置、保安機器側第2ノード装置と、それぞれ前記暗号化経路及び前記非暗号化経路で接続され、前記非保安機器は共に前記ノード装置の一つである非保安機器側第1ノード装置、非保安機器側第2ノード装置と、それぞれ前記非暗号化経路で接続され、前記保安機器と前記非保安機器とは、前記保安機器側第1ノード装置と前記非保安機器側第1ノード装置を介した第1のネットワーク、及び前記保安機器側第2ノード装置と前記非保安機器側第2ノード装置を介した第2のネットワークで接続され、前記暗号文及び前記平文の前記第1のネットワーク、前記第2のネットワークにおける伝送の向きが互いに逆向きとされていてもよい。
また、前記保安機器と前記ノード装置との接続、及び前記非保安機器と前記ノード装置との接続には、それぞれ標準的な通信規格のインタフェイスが用いられてもよい。
本発明によると、保安機器と非保安機器とが混在するネットワークにおいて、保安情報に成り済ました情報の影響を排除する技術を実現できる。
背景技術に係る、ネットワークシステムの概略構成を示す図である。 背景技術に係る、保安系ホスト同士の通信における情報フレームの関係を示す図である。 本実施形態に係る、非保安機器による保安機器への成り済ましを防止する機能の概要を説明する図である。 本実施形態に係る、ネットワークシステムの構成を示す図である。 本実施形態に係る、保安系ホストとノードの構成を示す図である。 本実施形態に係る、非保安系ホストとノードの構成を示す図である。 本実施形態に係る、IPアドレスの設定ルールを説明する図である。 本実施形態に係る、非保安系ホストから保安系ホストへの伝送ルート例を示す図である。 本実施形態に係る、非保安系ホストから保安系ホストへの伝送ルート例を示す図である。 本実施形態に係る、二重化されたネットワークシステムの構成を示す図である。 本実施形態に係る、二重化されたネットワークシステムにおける伝送ルート例を示す図である。
次に、本発明を実施するための形態(以下、単に「実施形態」という)を、図面を参照して具体的に説明する。
まず、図3を参照して本実施形態の概要を説明する。本実施形態では、保安系ホスト10(保安機器)には秘密鍵暗号のAESによる秘匿機能が実装される。一方、非保安系ホスト30にはAESによる秘匿機能が実装されない。なお、保安系ホスト10には、FSCPU61(図5等を参照。)が実装され、上述の秘匿機能をサポートする。一方、非保安系ホスト30には、FSCPU61ではなくノーマルCPU(以下、「nCPU71」と称する。)(図6等を参照。)が実装され、上述の秘匿機能をサポートすることはない。保安系ホスト10、非保安系ホスト30における通信には、イーサネットフレームが用いられる。
図3(a)は、保安系ホスト10から保安系ホスト10への暗号文による通信の例を示している。保安系ホスト10は、AESによる秘匿機能を実装するため、送信する情報の暗号化及び受信した情報の復号が可能である。図3(b)は、保安系ホスト10から非保安系ホスト30への平文による通信の例を示している。保安系ホスト10における暗号文と平文の選択は、FSCPU61が行う。図3(c)は、非保安系ホスト30から非保安系ホスト30への平文による通信の例を示している。非保安系ホスト30は暗号化及び復号が出来ないため、平文による通信となる。
図3(d)は非保安系ホスト30が保安系ホスト10に成り済ました「非保安系ホスト成り済まし保安系ホスト」30xから保安系ホスト10への通信の例を示している。非保安系ホスト30にはAESによる秘匿機能が実装されないため、平文の出力となる。平文を受信した保安系ホスト10は、平文に対して復号処理を施すため、意味をなさない文(データ)となり、それを破棄する。
図3(e)は非保安系ホスト30が保安系ホスト10に成り済ました「非保安系ホスト成り済まし保安系ホスト」30xから暗号文による情報送信の例を示している。上述のように、非保安系ホスト30にはAESによる秘匿機能が実装されないため、暗号文による情報送信は不可能となる。
このように、故障等に起因して非保安系ホスト30が保安系ホスト10に成り済ました場合でも、情報を受信した保安系ホスト10は、復号失敗により電文破棄することで、保安情報の改ざんを防止する。
保安系ホスト10には、通信チャネルとして完全に独立した2チャネル用意する。具体的には、保安系ホスト10は、保安系ホスト10同士の暗号文による通信に使用する「保安機器用通信チャネル(後述のCryptoチャネル52)」と、非保安系ホスト30との平文による通信に使用する「非保安機器用通信チャネル(後述のNormalチャネル51)」を用意し、保安機器用通信チャネル(後述のCryptoチャネル52)にのみAESによる秘匿機能を実装する。非保安系ホスト30は、通信チャネルとして1チャネルのみ用意する。すなわち、非保安系ホスト30は、保安系ホスト10または別の非保安系ホスト30との通信に、いずれの場合でも、非保安機器用通信チャネル(後述のNormalチャネル51)を使用して、平文(暗号化されていないデータ)で電文受信する。
そのため、非保安系ホスト30が保安系ホスト10に成り済まして情報を送信したときには、保安機器用通信チャネルから平文で電文受信した保安系ホスト10は、復号できず受信した電文を破棄する。より具体的には、復号処理後の電文は、イーサネットフレームを構成していないため、破棄される。これによって、非保安系ホスト30の保安系ホスト10への成り済ましによる保安情報の改ざんを防止でき、かつ、回線数を大幅に削減することができる。以下、より具体的に説明する。
図4は、本実施形態に係るネットワークシステム1の概略構成を示すブロック図である。このネットワークシステム1は、複数の伝送端末装置(ノード(#1)21〜ノード(#6)26)が直列に接続し1周させたリング状にネットワーク2を構成している。なおノード(#1)21〜ノード(#6)26を区別しない場合には、単に「ノード20」と称する。
このネットワーク2を使用して情報を授受する装置を「ホスト」と呼び、ノード20に接続することで、他のホストと通信する。ホストとして、保安系ホスト10と非保安系ホスト30とがある。ノード20と各ホスト(保安系ホスト10、非保安系ホスト30)との接続にはイーサネット91が用いられる。
図示では、保安系ホスト(#1)11がノード(#1)21に接続されている。また、保安系ホスト(#2)12がノード(#4)24に接続されている。非保安系ホスト(#1)31が、ノード(#3)23に接続されている。
本実施形態のネットワークシステム1では、定周期性を有する特徴を備え、ネットワーク2とノード20間における情報の周期性が保証され、例えば「周期が500μs」で設定されていれば、ノード20間は500μsで情報伝送される。
ノード(#1)21〜ノード(#6)26のいずれかが、周期監視ノードとして機能し、所定の周期で情報フレーム(伝送フレーム)を出力する。ここでは、ノード(#1)21が初期の周期監視ノードとして設定される。
このような「定周期リフレッシュ方式」により、情報伝送の定周期性が保証される。定周期リフレッシュ方式とは、特別に定められた周期を監視するノード20が1台のみあり、その周期を監視するノード20が作り出した周期によって情報フレームを循環させるリング結線のネットワーク方式である。情報フレームとは,各ノードが情報を載せるための枠であり、各ノード20は情報フレームの与えられた箇所を使用して情報を授受する。
定周期リフレッシュ方式では、ネットワーク2に断線が発生した場合であっても、可能な限り定周期性を維持する。すなわち、一部断線の状態となっても、残された正常に接続されている回線で定周期送信が継続されるために、断線により定周期に情報フレームを受信できなくなったノード20は、周期監視ノードと同じ周期で周期監視を始める。それまで周期監視していたノード20は、自ノード20以外が周期監視を開始したことにより、周期監視を停止して、他ノード20と同等の動作を開始する。これにより、断線に影響しないノード20間の情報授受に関しては、定周期リフレッシュ方式の機能を継続する。
断線後に新たに周期の監視を開始するノード20が更新されると、そのノード20を確認できるため,断線箇所を検知することが可能である。すなわち、どのノード20間で断線したかを検知することができる。
ホスト(保安系ホスト10、非保安系ホスト30)は、IPパケットを使用して、所望の宛先アドレスに情報を送信する。ノード20は、ホストから取得した情報を、IPパケットから読み取った宛先ノード番号に対して、所定の伝送フレーム位置に載せたIPパケットを出力する。
自ノード宛のデータを受け取ったノード20は、情報の中身であるIPパケットをホストに送る。以上により、ホスト間でのイーサネット通信が成立する。したがって、ホスト機器を追加してもノード20間での自動的な接続確認(「ARP(Address Resolution Protocol)」とも言う)により接続可能となるため、追加したホスト機器とノード20の設定のみで対応可能となる。
また、従来のネットワークでは、情報量や送信周期が異なる機器(保安系ホスト10と非保安系ホスト30)を同一のネットワークに混在させることはできなかった。しかし、このネットワークシステム1ではイーサネット91という標準的な通信網を使用した通信であるため、全ての機器を同一のネットワーク2に接続することが可能となる。その場合、保安系ホスト10と非保安系ホスト30とを同一のネットワーク2に接続するための安全性を考慮しなくてはならない。ここでは、非保安系ホスト30の保安系ホスト10への干渉を防ぐために、保安系ホスト10同士の保安情報の授受には上述の暗号化が行われる。
ホスト及びノードに設定されるIPアドレスは次の通りである。なお、IPアドレスの設定ルールについては、図7で後述する。ノード(#1)21のIPアドレスが「192.168.1.1」で、それに接続される保安系ホスト(#1)11のIPアドレスが「192.168.1.10」(非保安機器用通信チャネル)及び「192.168.101.10」(保安機器用通信チャネル)である。ノード(#3)23のIPアドレスが「192.168.3.1」で、それに接続される非保安系ホスト(#1)31のIPアドレスが「192.168.3.10」(非保安機器用通信チャネル)である。ノード(#4)24のIPアドレスが「192.168.4.1」で、それに接続される保安系ホスト(#2)112のIPアドレスが「192.168.4.10」(非保安機器用通信チャネル)及び「192.168.104.10」(保安機器用通信チャネル)である。
ここで、図4(a)では、図3(a)の保安系ホスト10から保安系ホスト10への暗号文による通信の例に対応している。保安系ホスト(#1)11において保安情報81は暗号化され暗号化保安情報81xに変換される。暗号化保安情報81xの送信元IPアドレスは、「192.168.101.10」であって、ノード(#4)24に接続する保安系ホスト(#2)12のIPアドレス「192.168.104.10」を送信先IPアドレスとなっている。
暗号化保安情報81xは、ノード(#1)21、ノード(#2)22、ノード(#3)23を経由し、ノード(#4)24で保安系ホスト(#2)12に取り込まれる。ここで取り込まれた情報は暗号化保安情報81xであるため、適正に復号処理が行われ、受信成功となる。
図4(b)では、図3(d)の「非保安系ホスト成り済まし保安系ホスト」30xから保安系ホスト10への通信の例を示している。ここでは、ノード(#3)23に接続する非保安系ホスト(#1)31から非保安情報82が保安系ホスト(#2)12に対して出力される。
すなわち、故障等によって、送信先が、本来では非保安系ホスト30からの送信先として設定されることがないIPアドレス「192.168.104.10」に設定されている。ここでノード(#4)24を介して保安系ホスト(#2)12に取り込まれた非保安情報82は、保安系ホスト(#2)12により復号処理され非保安情報82zとなる。このとき、非保安情報82は、暗号化された情報ではないため、復号処理により意味をなさないデータとなり破棄される。
つづいて、保安系ホスト10、非保安系ホスト30及びノード20の構成を説明する。図5は保安系ホスト10とノード20の概略構成を示している。保安系ホスト10は、FSCPU61を備えるVital機器60と二つの通信ボード(平文用ボード50aと暗号化ボード50b)とを備える。
Vital機器60は、ノード20との接続において暗号化ボード50bを経由する。Vital機器60が作成する情報を「バイタル情報(Vital情報)」と呼ぶ。Vital機器60は、バイタル情報に関して、例えば、IEC61508で示される、高頻度モードにおける安全度水準(SIL)4に相当する信頼性/安全性を確保する。また、NVital機器70(図6参照)が作成する情報を「ノンバイタル情報(NVital情報)」と呼ぶ。
平文用ボード50aは、Normalチャネル51を備える。暗号化ボード50bは、Cryptoチャネル52と、暗号制御部53とを備える。
Normalチャネル51は、外部のホストとの通信において平文が用いられるチャネルであって、ノード20のCh_A41にイーサネット91によって接続される。Cryptoチャネル52は、外部のホストとの通信において暗号文が用いられるチャネルであって、ノード20のCh_B42にイーサネット91によって接続される。
暗号制御部53は、Cryptoチャネル52を制御する。すなわち、暗号制御部53はAESを用いた秘匿化処理を実行する。
ノード20は、CPU43と、FPGA44と、Ch_A41と、Ch_B42と、光I/F45とを備える。
Ch_A41は、上述のように平文用ボード50aのNormalチャネル51とイーサネット91によって接続される。Ch_B42は、Cryptoチャネル52とイーサネット91によって接続される。
光I/F45は、他のノード20に光ケーブル等によって接続される。ノード20が他のノード20と通信を行う場合には、Ch_A41及びCh_B42と光I/F45との間に設けられたFPGA44を経由する。FPGA44は、「ノード番号読取り機能」や「フレームへの情報実装機能」を備え、所望の情報の授受を行う。すなわち、情報フレームの適正位置への書き込み及び自身に接続する保安系ホスト10へ送られてきた情報の抽出を行う。また、FPGA44は、例えばDIPスイッチの切り替え等によって、接続されるホストに応じて、Ch_B42を用いるか否かを設定することができる。
図6は非保安系ホスト30とノード20の概略構成を示している。ノード20の構成は図5で示した構成と同じであるが、FPGA44の設定により、Ch_B42は使用不可能になっている。
非保安系ホスト30は、nCPU71を備えるNVital機器70と平文用ボード50aで構成されるが、保安系ホスト10との共通化のために暗号化ボード50bとを混在させてもよい。ただし、暗号化ボード50bは、図5で示した構成と同じであるが、ノード20との接続にはCryptoチャネル52が使用されない。すなわち、Normalチャネル51とCh_A41とのイーサネット91によって接続される非保安機器用通信チャネルのみが用いられる。
なお、装置の共通化の観点から、平文用ボード50aと暗号化ボード50bの機能が一つの通信ボードに搭載された構成が採用されてもよい。
図7は、IPアドレスの設定ルールを示した図である。第1〜第3オクテットがネットワークセグメントとなる。第1オクテットは「192」の固定値である。第2オクテットは、回線番号1〜4に対して「168」〜「171」が割り当てられる。本実施形態では、回線番号1の「168」が設定されている。第3オクテットについては、Ch_A41を用いる場合、「ノード番号」が、Ch_B42を用いる場合は、「ノード番号+100」が設定される。第4オクテットについては、ノード20であれば「1」、ホスト(保安系ホスト10、非保安系ホスト30)であれば「2〜255」が設定される。
ネットワーク管理上で、ホスト機器(保安系ホスト10、非保安系ホスト30)のIPアドレスの設定において、ネットワーク番号は、接続するノード20のノード番号に合わせる。例えば、ノード20のIPアドレスが「192.168.N.1」(Nは自然数)であれば、それに接続する保安系ホスト10のIPアドレスは「192.168.N.10」となる。保安系ホスト10は、ゲートウェイとして、接続しているノード20を登録する(ゲートウェイ:192.168.N.1)。そのため、ネットワーク番号が異なる場合はノード20をゲートウェイとして使用できないことになる。
図8及び図9は、非保安系ホスト30から保安系ホスト10への伝送ルートを示した図である。より具体的には、図5、6で示した保安系ホスト10、ノード20及び非保安系ホスト30において、非保安系ホスト30から保安系ホスト10へどのようなチャネルで情報が伝達するかを具体的に説明している。図8及び図9の接続では、ノード番号「N」のノード(#N)20Nに保安系ホスト10が接続されている。また、ノード番号「M」のノード(#M)20Mに非保安系ホスト30が接続されている。なお、図示では、暗号化ボード50の暗号制御部53を省略している。
図8及び図9において、NVital機器70から出力された平文の情報は、平文用ボード50aのNormalチャネル51を介して、ノード(#M)20Mへ伝送される。ノード(#M)20Mでは、Ch_A41、FPGA44、光I/F45を介して、ノード(#N)20Nへ伝送される。
ノード(#N)20Nでは、FPGA44が光I/F45を介して取得した情報が、保安系ホストからの情報であるか非保安系ホストの情報であるかを、送信元のIPアドレスを参照して判断する。
保安系ホストの情報であると判断した場合、図8に示すように、FPGA44は、保安系ホスト10と通信を行うチャネルとしてCh_B42を選択する。
保安系ホスト10では、暗号化ボード50bのCryptoチャネル52がノード(#N)20NのCh_B42を介して情報を取得する。このとき、非保安系ホスト30から出力された情報は平文のデータであるため、Cryptoチャネル52は復号を失敗し、その情報を破棄する(電文破棄)。したがって、Vital機器60には、成り済ましの情報は伝達されない。
非保安系ホストの情報であると判断した場合、図9に示すように、FPGA44は、保安系ホスト10との通信を行うチャネルとしてCh_A41を選択する。
図9に示すように、保安系ホスト10では、平文用ボード50aのNormalチャネル51がノード(#N)20NのCh_A41を介して情報を取得する。Vital機器60に成り済ました情報にも拘わらず平文の情報(Normalチャネル51への情報)であることから、平文用ボード50a(Normalチャネル51)はその情報を破棄する(電文破棄)。したがって、このルートでも、Vital機器60には、成り済ましの情報は伝達されない。
以上、本実施形態のネットワークシステム1によると、同一のネットワーク2に保安系ホスト10と非保安系ホスト30とを混在して設置した場合でも、非保安系ホスト30が保安系ホスト10に成り済ました場合の影響を排除することができ、保安情報の健全性を担保することができる。
非保安系ホスト30が保安系ホスト10に成り済ますためには、次の条件(1)から(3)に加え、(4)または(5)を満たす必要がある。
条件(1):非保安系ホスト30のIPアドレスが保安系ホスト10のIPアドレスと同じになる。
条件(2):非保安系ホスト30が接続するノード20(「非保安系ノード」という)のIPアドレスが保安系ホスト10が接続するノード20(「保安系ノード」という)のIPアドレスと同じになる。ここでは、情報フレームの保安系ノードの情報箇所を使用する。
条件(3):非保安系ホスト30のデフォルトゲートウェイが、条件(2)のノード20になる。
条件(4):非保安系ホスト30に暗号化機能が実装される。
条件(5):成り済ました非保安情報が、偶然に暗号化されたデータと同じデータ配列になる。
上記条件の中で、条件(1)(3)は、ホストCPU、条件(2)はノードCPUに因るもので、複数CPUに誤りがなければならない。条件(1)〜(3)を満たすことで、「成り済ませる状況」となる。条件(4)は、設備導入時の手配ミスなどの物理的な誤りが発生しなければならず、鉄道分野においては検査・検収が非常に厳しい(多重に行われる)ことから、実質的には起こりえない。条件(5)は1時間あたりの発生確率が、6.2×10−21であり、上述したIEC61508で示される高頻度モードにおける安全度水準(SIL)4と比較して充分な安全性を持つ。
以上により、保安情報と非保安情報の混在が可能である。
ここで、NVital機器70の不具合等により、連続送信(回線の占有による負荷増加)が発生し、Vital機器60の処理負荷が増加し正常動作に支障をきたす状態を想定する。
ケース1:ノード20のハードウェア(FPGA44)故障により、情報フレーム中で誤った単位データ番号を使用する場合を想定する。回線構成が1重回線で、NVital機器70が成り済ましたVital機器60(偽Vital機器60)の下流にある場合、Vital機器60の情報に上書きされるため、Vital機器60のVital情報が伝わらなくなる。ただし、この情報は破棄されVital情報としては採用されないため、保安への影響はない。
ケース2:NVital機器70が暴走して、Vital機器60宛にNVital情報を発し続ける場合を想定する。NVital情報であるため保安への影響はないが、Vital機器60が処理するNVital情報の総量が増加し、FSCPU61等の負荷が増えることで悪影響が考えられる。しかし、1周期に1電文しか送信できないため、複数のNVital機器70が同じ故障状態にならない限り、誤った電文を毎周期送信したとしても処理負荷としては大きな影響にはならない。
従来の信号LANでは、LANの情報に「管理者(ユーザ)の設定誤りによる誤動作を防ぐハードウェア上の制約」がなく、ホスト(保安系ホスト10、非保安系ホスト30)は情報フレーム上の全ての情報位置を使用して情報の授受ができる構造だった。そのため、保安情報の授受においては、故障時に異常データを出力しないことが前提であるFSCPU61のみが接続されている「専用の保安伝送LAN」でなければならなかった。また、LAN自体の伝送容量が小さかったため、保安情報も保安系ホスト10ごとの専用LANとして個別設定により使用していた(ATC用LAN、電子連動用LAN等)。
このネットワークシステム1では、伝送容量を大きく向上させることにより、各ノード20が専用のデータ位置を使用する制約を与え、基本的に1対1通信とすることで情報の信頼性を向上させる。既存の信号LANでは、保安情報が使用するべき場所に、非保安情報を上書きすることが可能である。一方、このネットワークシステム1では、保安情報を載せるべきノード20と、非保安情報を載せるべきノード20が異なるため、CPUの誤りに起因する情報の混信が発生しない。
インタフェースに汎用性の高いイーサネット91を採用しつつ保安系ホスト10の情報網として使用可能な信頼性を確保したネットワークシステム1を実現できる。すなわち、保安系ホスト10(Vital機器60)と非保安系ホスト30(NVital機器70)の情報を混在可能にしたことにより、あらゆる機器を同一ネットワークに接続することができ、様々な情報をやり取りすることが可能となる。また、ネットワークシステム1の導入当初は最小構成の機器のみであっても、新規機器の導入や設備更新が容易となる。
また、ノード20及びそれに接続される保安系ホスト10又は非保安系ホスト30は、一般に、接続される機器をセットとして同一スペースに配置される。このとき、その接続にイーサネット91を用いていることから、光ケーブルに限定されずメタルケーブルも使用でき、通信ケーブルの引き回しが容易となり、設置の自由度を高くすることができる。
図10は、上述のネットワークシステム1を多重化(ここでは二重化)したネットワークシステム101を示している。このネットワークシステム101では、保安系ホスト110と非保安系ホスト130とが、ネットワーク(A)2Aとネットワーク(B)2Bに接続されている。ネットワーク(A)2Aとネットワーク(B)2Bは、上述のネットワーク2と同様に、それぞれ環状に構成される。ネットワーク(A)2Aでは、図示で時計回りに電送が行われる。ネットワーク(B)2Bでは、図示で反時計回りに電送が行われる。
保安系ホスト110は、ノード(#N1)20N1を介してネットワーク(A)2Aに接続し、ノード(#N2)20N2を介してネットワーク(B)2Bに接続する。非保安系ホスト130は、ノード(#M1)20M1を介してネットワーク(A)2Aに接続し、ノード(#M2)20M2を介してネットワーク(B)2Bに接続する。
ノード(#N1)20N1、ノード(#N2)20N2、ノード(#M1)20M1、及びノード(#M2)20M2の構成は、上述のノード20と同様であり、ここでは、上述のCPU43やFPGA44の図示を省略している。また、ノード数や保安系ホスト110や非保安系ホスト130の数は、システム構成に応じて設定される。
保安系ホスト110は、ひとつのVital機器60と、それがネットワーク(A)2Aとネットワーク(B)2Bに接続するための二つの通信ボード(平文用ボード50a、及び暗号化ボード50b)を備える。
平文用ボード50aは、ネットワーク(A)2Aに接続するNormalチャネル(1)51_1とネットワーク(B)2Bに接続するNormalチャネル(2)51_2とを備える。ここで、Normalチャネル(1)51_1は、ノード(#N1)20N1のCh_B42と接続する。Normalチャネル(2)51_2は、ノード(#N2)20N2のCh_B42と接続する。
暗号化ボード50bは、ネットワーク(A)2Aに接続するCryptoチャネル(1)52_1とネットワーク(B)2Bに接続するCryptoチャネル(2)52_2と、それぞれに対応した暗号制御部(図示せず)を備える。ここで、Cryptoチャネル(1)52_1は、ノード(#N1)20N1のCh_A41と接続する。Cryptoチャネル(2)52_2はノード(#N2)20N2のCh_A41と接続する。
非保安系ホスト30は、NVital機器(1)70_1、NVital機器(2)70_2、平文用ボード(1)50a_1、及び平文用ボード(2)50a_2とを備える。
NVital機器(1)70_1は、平文用ボード(1)50a_1を介してネットワーク(A)2Aやネットワーク(B)2Bと接続する。NVital機器(2)70_2は、平文用ボード(2)50a_2を介してネットワーク(A)2Aやネットワーク(B)2Bと接続する。
具体的には、平文用ボード(1)50a_1のNormalチャネル(1)51_1はノード(#M1)20M1のCh_A41に接続し、Normalチャネル(2)51_2はノード(#M2)20M2のCh_A41に接続する。また、平文用ボード(2)50a_2のNormalチャネル(1)51_1はノード(#M1)20M1のCh_B42に接続し、Normalチャネル(2)51_2はノード(#M2)20M2のCh_B42に接続する。
ネットワークシステム101における通信では、図7で上述したIPアドレスの設定ルールを用いる。ただし、二重化されていることから、ネットワーク(A)2Aとネットワーク(B)2Bの二つの系統のIPアドレスを指定する。
図11は、保安系ホスト110から非保安系ホスト130の伝送ルートを説明する図である。ここでは、保安系ホスト110のVital機器60から非保安系ホスト130のNVital機器(1)70_1へ平文を送信した場合の経路を説明する(ただし、光I/F45は省略して説明する)。
ネットワーク(A)2Aを用いる経路(太い実線)では、Vital機器60、平文用ボード50aのNormalチャネル(1)51_1、ノード(#N1)20N1のCh_B42、ネットワーク(A)2Aの図中で時計回り経路、ノード(#M1)20M1のCh_A41、非保安系ホスト130の平文用ボード(1)50a_1のNormalチャネル(1)51_1、NVital機器(1)70_1の経路となる。
ネットワーク(B)2Bを用いる経路(太い一点破線)では、Vital機器60、平文用ボード50aのNormalチャネル(2)51_2、ノード(#N2)20N2のCh_B42、ネットワーク(B)2Bの図中で反時計回りの経路、ノード(#M2)20M2のCh_A41、非保安系ホスト130の平文用ボード(1)50a_1のNormalチャネル(2)51_2、NVital機器(1)70_1の経路となる。
通信ボードでは、複数のチャネルに対応可能に構成され、DIPスイッチ等で機能・設定等を選択する製品が用いられることがある。そのような場合に、このネットワークシステム101の構成を採用することで、未使用のチャネル(例えば、図6の暗号化ボード50b)が発生することを回避することができ、効率的なシステム構成を実現できる。
以上、本発明を実施形態をもとに説明した。この実施形態は例示であり、それらの各構成要素の組み合わせにいろいろな変形例が可能なこと、また、そうした変形例も本発明の範囲にあることは当業者に理解されるところである。
1、101 ネットワークシステム
2 ネットワーク
2A ネットワーク(A)
2B ネットワーク(B)
10、110 保安系ホスト
11 保安系ホスト(#1)
12 保安系ホスト(#2)
20 ノード
20M ノード(#M)
20M1 ノード(#M1)
20M2 ノード(#M2)
20N ノード(#N)
20N1 ノード(#N1)
20N2 ノード(#N2)
21〜26 ノード(#1)〜ノード(#6)
30、130 非保安系ホスト
31 非保安系ホスト(#1)
41 Ch_A
42 Ch_B
43 CPU
44 FPGA
45 光I/F
50 暗号化ボード
51 Normalチャネル
51_1 Normalチャネル(1)
51_2 Normalチャネル(2)
52 Cryptoチャネル
52_1 Cryptoチャネル(1)
52_2 Cryptoチャネル(2)
53 暗号制御部
60 Vital機器
61 FSCPU
91 イーサネット

Claims (5)

  1. 保安機器と非保安機器とが混在してネットワークで接続されたネットワークシステムであって、
    前記保安機器と前記非保安機器とは、それぞれノード装置によって前記ネットワークに接続されており、
    前記保安機器は、異常動作の検定を行う検定機能と、情報を暗号化した暗号文の作成及び送信する機能と、受信した前記暗号文を復号する機能と、情報が暗号されない状態である平文を作成及び送信する機能と、を備え、
    前記非保安機器は、前記検定機能を備えず、前記平文の作成及び送信をする機能と、前記平文を受信する機能と、を備え、
    前記保安機器同士が通信を行う場合には、前記暗号文による送受信を行い、
    前記保安機器前記非保安機器へ送信する場合は、前記平文を送信し、
    前記非保安機器同士の通信には、前記平文による送受信を行い、
    前記保安機器と前記ノード装置は、前記暗号文を伝送する経路である暗号化経路、前記平文を伝送する経路である非暗号化経路の各々で接続され、
    前記非保安機器と前記ノード装置は、前記非暗号化経路で接続され、
    前記保安機器と接続している前記ノード装置は、取得した情報を当該保安機器に送信する際に、当該情報が他の前記保安機器からの情報であると判断した場合は、前記暗号化経路を選択して当該保安機器に送信し、取得した情報が前記非保安機器からの情報であると判断した場合は、前記非暗号化経路を選択して当該保安機器に送信することを特徴とするネットワークシステム。
  2. 前記保安機器は、接続された前記ノード装置から前記平文を受信した場合には、当該平文の情報を破棄することを特徴とする請求項1に記載のネットワークシステム。
  3. 前記ネットワークは、前記ノード装置が環状に接続されて構成されており、
    前記ノード装置のうちの一つは一定の周期で情報フレームを出力する周期監視ノードを設定し、
    前記ネットワークに断線が発生した場合に、接続している前記ノード装置のうちのいずれか1つが、情報フレームの出力を開始して、前記周期監視ノードと同じ周期を維持することを特徴とする請求項1又は2に記載のネットワークシステム。
  4. 前記保安機器は共に前記ノード装置の一つである保安機器側第1ノード装置、保安機器側第2ノード装置と、それぞれ前記暗号化経路及び前記非暗号化経路で接続され、
    前記非保安機器は共に前記ノード装置の一つである非保安機器側第1ノード装置、非保安機器側第2ノード装置と、それぞれ前記非暗号化経路で接続され、
    前記保安機器と前記非保安機器とは、前記保安機器側第1ノード装置と前記非保安機器側第1ノード装置を介した第1のネットワーク、及び前記保安機器側第2ノード装置と前記非保安機器側第2ノード装置を介した第2のネットワークで接続され、
    前記暗号文及び前記平文の前記第1のネットワーク、前記第2のネットワークにおける伝送の向きが互いに逆向きとされたことを特徴とする請求項1から請求項3までのいずれか1項に記載のネットワークシステム。
  5. 前記保安機器と前記ノード装置との接続、及び前記非保安機器と前記ノード
    装置との接続には、それぞれ標準的な通信規格のインタフェイスが用いられて
    いることを特徴とする請求項1からまでのいずれかに記載のネットワークシ
    ステム。
JP2017033159A 2017-02-24 2017-02-24 ネットワークシステム Active JP6913482B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017033159A JP6913482B2 (ja) 2017-02-24 2017-02-24 ネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017033159A JP6913482B2 (ja) 2017-02-24 2017-02-24 ネットワークシステム

Publications (2)

Publication Number Publication Date
JP2018139344A JP2018139344A (ja) 2018-09-06
JP6913482B2 true JP6913482B2 (ja) 2021-08-04

Family

ID=63451083

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017033159A Active JP6913482B2 (ja) 2017-02-24 2017-02-24 ネットワークシステム

Country Status (1)

Country Link
JP (1) JP6913482B2 (ja)

Also Published As

Publication number Publication date
JP2018139344A (ja) 2018-09-06

Similar Documents

Publication Publication Date Title
JP6126980B2 (ja) ネットワーク装置およびネットワークシステム
US20190289020A1 (en) Provision of secure communication in a communications network capable of operating in real time
JP5190586B2 (ja) Ttイーサネットメッセージの効率的かつ安全な伝送のためのコミュニケーション方法及び装置
US8577036B2 (en) Method and device for transmitting messages in real time
JPH03505149A (ja) 安全保護システム回路網
US20110162081A1 (en) Method and device for protecting the integrity of data transmitted over a network
US9521120B2 (en) Method for securely transmitting control data from a secure network
US10560286B2 (en) Gateway device and control method for the same
US11134066B2 (en) Methods and devices for providing cyber security for time aware end-to-end packet flow networks
WO2003107626A2 (en) Method for establishing secure network communications
US20080098234A1 (en) Fault-containment and/or failure detection using encryption
WO2009027756A2 (en) Real-time communication security for automation networks
KR102603512B1 (ko) Can 컨트롤러에 의해 버스에 연결된 노드를 이용하여 can 버스에서의 조작을 방지하기 위한 방법 및 장치
JP2017121091A (ja) Ecu、及び車用ネットワーク装置
JP2007039166A (ja) エレベータの遠隔監視システム
JP6913482B2 (ja) ネットワークシステム
CN114326364B (zh) 用于高可用性工业控制器中的安全连接的系统和方法
CN110679129B (zh) 保护第一与第二通信装置之间的通信的方法和通信装置
CN100596350C (zh) 工业控制数据的加密解密方法
WO2005060168A1 (ja) 通信制御システム
CN101478428B (zh) 软硬件协同的以太网故障安全通信系统和数据传输方法
Craven et al. Security of ATCS wireless railway communications
US11032250B2 (en) Protective apparatus and network cabling apparatus for the protected transmission of data
JP6541004B2 (ja) 通信システム
JP2013088826A (ja) 冗長系システムにおけるデータ入力方式

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200128

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210112

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210622

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210712

R150 Certificate of patent or registration of utility model

Ref document number: 6913482

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150