JP7225958B2 - 制御装置および制御システム - Google Patents
制御装置および制御システム Download PDFInfo
- Publication number
- JP7225958B2 JP7225958B2 JP2019046723A JP2019046723A JP7225958B2 JP 7225958 B2 JP7225958 B2 JP 7225958B2 JP 2019046723 A JP2019046723 A JP 2019046723A JP 2019046723 A JP2019046723 A JP 2019046723A JP 7225958 B2 JP7225958 B2 JP 7225958B2
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- unit
- control device
- control
- life
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/048—Monitoring; Safety
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/058—Safety, monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/13—Plc programming
- G05B2219/13188—Checking program data, parity, key
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/14—Plc safety
- G05B2219/14037—Fault in I-O communication
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/14—Plc safety
- G05B2219/14097—Display of error messages
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/15—Plc structure of the system
- G05B2219/15052—Communication processor, link interface
Description
本発明は、制御対象を制御する制御装置、およびその制御装置を含む制御システムに関する。
通信装置の間でのセキュア通信のため、暗号通信が従来から用いられている。たとえば国際公開第2016/147568号(特許文献1)は、事前共有鍵を用いた暗号通信を開示する。
公開鍵電子証明書が失効した場合、その失効した公開鍵電子証明書が更新されるまで、通信装置の間では暗号通信ができない。国際公開第2016/147568号に開示された通信装置は、相手方通信装置の公開鍵電子証明書が失効しているか否かを判定する失効判定部と、失効判定部によって公開鍵電子証明書が失効していると判定された場合に、公開鍵電子証明書の失効通知を相手方通信装置へ送信する失効通知部とを備える。
各種の製造設備および各設備に配置される各種装置の制御に、PLC(プログラマブルロジックコントローラ)などの制御装置が用いられている。近年のICT(Information and Communication Technology)の進歩に伴って、制御装置も様々な外部装置とネットワークで接続されるとともに、制御装置において実行される処理も高度化している。このようなネットワーク化あるいはインテリジェント化に伴って、制御装置がさまざまな脅威にさらされることが想定される。したがって想定される脅威から制御装置を守るための方策が必要である。
たとえば、制御装置の通信に上述のような暗号通信を適用することが考えられる。この場合、制御装置には電子証明書が格納される。しかし、電子証明書には期限がある。電子証明書が失効すると、暗号通信を行うことができない。
制御装置の電子証明書が有効であるか否かを常時監視することは容易ではない。そのため国際公開第2016/147568号に開示されるように、公開鍵電子証明書の失効通知を相手方通信装置へ送信することが考えられる。しかし、この場合にも、ユーザは通知を受けるまでは、証明書が失効したことを知ることができない。
本発明の目的は、制御装置に格納された証明書の寿命を、ユーザが容易に把握できるようにすることである。
本開示の一例では、制御装置は、制御対象を制御するための制御演算を実行するように構成された制御部と、証明書を利用したセキュア通信のための処理を実行する通信部と、証明書の寿命が近づいていることを検知する検知部と、証明書の寿命が近づいていることを通知する通知部とを含む。
上記によれば、制御装置に格納された証明書の寿命を、ユーザが容易に把握できる。したがってユーザは、証明書の寿命の前に証明書を更新することができる。「証明書の寿命」とは、証明書が使用できない状態を意味する。たとえば証明書の有効期限が到来することにより証明書が失効した状態が「証明書の寿命」に対応する。暗号寿命により証明書が使用できない状態も「証明書の寿命」に含まれうる。
好ましくは、証明書の寿命は証明書の有効期限であり、通知部は、証明書が失効する前の一定のタイミングにおいて、証明書の有効期限が近づいていることを通知する。
上記によれば、証明書が一定期間後に失効することをユーザに予告することができる。これにより、ユーザが証明書を更新するための時間を確保することができる。
好ましくは、制御装置は、筐体を含む。通知部は、筐体に設けられ、寿命が近づいていることを光により通知するインジケータを含む。
上記によれば、ユーザが制御装置を見ることにより、証明書の寿命が近づいていることを確認できる。ユーザは証明書の寿命を確認するためのツールを用意する必要がない。したがって、ユーザの利便性を向上させることができる。
好ましくは、通知部は、寿命が近づいていることを通知するための音を発生させる音声出力部を含む。
上記によれば、ユーザは、制御装置から発生する音により、証明書の寿命が近づいていることを確認できる。ユーザは証明書の寿命を確認するためのツールを用意する必要がない。したがって、ユーザの利便性を向上させることができる。
好ましくは、通知部は、寿命が近づいていることをメールにより通知する。
上記によれば、ユーザは、制御装置から発生する光あるいは音だけでなく、メールのメッセージからも証明書の寿命が近づいていることを確認できる。
上記によれば、ユーザは、制御装置から発生する光あるいは音だけでなく、メールのメッセージからも証明書の寿命が近づいていることを確認できる。
本開示の一例では、制御システムは、上記のいずれかに記載の制御装置と、証明書が寿命に達する前の通知のタイミングを制御装置に対して設定する設定装置とを備える。
上記によれば制御装置に格納された証明書の寿命を、ユーザが容易に把握できる。さらに、ユーザの所望のタイミングで、証明書の寿命が近づいていることを通知することができる。
好ましくは、制御装置に複数の証明書が格納されている場合、設定装置は、複数の証明書の有効期限を一括して表示する。
上記によれば、制御装置に格納された複数の証明書の各々の有効期限を、ユーザが容易に把握できるので、ユーザの利便性を向上させることができる。
本開示の一例では、制御システムは、上記のいずれかに記載の制御装置と、制御装置との間で通信を行う通信装置とを備え、制御装置は、失効期限の前に新しい証明書を受け付けて、通信装置に更新リクエストを送信し、通信装置が新しい証明書を承認すると、古い証明書を破棄することで証明書を更新する。
上記によれば、セキュア通信により制御装置に格納された証明書を更新することができる。
本発明によれば、制御装置に格納された電子証明書の寿命を、ユーザが容易に把握できる。
本発明の実施の形態について、図面を参照しながら詳細に説明する。なお、図中の同一または相当部分については、同一符号を付してその説明は繰り返さない。
<A.制御装置1>
まず、本実施の形態に従う制御装置1の構成について説明する。
まず、本実施の形態に従う制御装置1の構成について説明する。
図1は、本実施の形態に係る制御装置1の構成例を示す外観図である。図1を参照して、制御装置1は、制御ユニット100と、セキュリティユニット200と、セーフティユニット300と、1または複数の機能ユニット400と、電源ユニット450とを含む。
制御ユニット100とセキュリティユニット200との間は、任意のデータ伝送路(例えば、PCI Express(登録商標)あるいはイーサネット(登録商標)など)を介して接続されている。制御ユニット100とセーフティユニット300および1または複数の機能ユニット400との間は、図示しない内部バスを介して接続されている。
制御ユニット100は、制御装置1において中心的な処理を実行する。制御ユニット100は、任意に設計された要求仕様に従って、制御対象を制御するための制御演算を実行する。セーフティユニット300で実行される制御演算との対比で、制御ユニット100で実行される制御演算を「標準制御」とも称す。図1に示す構成例において、制御ユニット100は、1または複数の通信ポートを有している。制御ユニット100は、標準制御プログラムに従って標準制御を実行する処理実行部に相当する。
セキュリティユニット200は、制御ユニット100に接続され、制御装置1に対するセキュリティ機能を担当する。図1に示す構成例において、セキュリティユニット200は、1または複数の通信ポートを有している。セキュリティユニット200が提供するセキュリティ機能の詳細については、後述する。
セーフティユニット300は、制御ユニット100とは独立して、制御対象に関するセーフティ機能を実現するための制御演算を実行する。セーフティユニット300で実行される制御演算を「セーフティ制御」とも称す。通常、「セーフティ制御」は、IEC 61508などに規定されたセーフティ機能を実現するための要件を満たすように設計される。「セーフティ制御」は、設備や機械などによって人の安全が脅かされることを防止するための処理を総称する。
機能ユニット400は、制御装置1による様々な制御対象に対する制御を実現するための各種機能を提供する。機能ユニット400は、典型的には、I/Oユニット、セーフティI/Oユニット、通信ユニット、モーションコントローラユニット、温度調整ユニット、パルスカウンタユニットなどを包含し得る。I/Oユニットとしては、例えば、デジタル入力(DI)ユニット、デジタル出力(DO)ユニット、アナログ出力(AI)ユニット、アナログ出力(AO)ユニット、パルスキャッチ入力ユニット、および、複数の種類を混合させた複合ユニットなどが挙げられる。セーフティI/Oユニットは、セーフティ制御に係るI/O処理を担当する。
電源ユニット450は、制御装置1を構成する各ユニットに対して、所定電圧の電源を供給する。
<B.各ユニットのハードウェア構成例>
次に、本実施の形態に従う制御装置1を構成する各ユニットのハードウェア構成例について説明する。
次に、本実施の形態に従う制御装置1を構成する各ユニットのハードウェア構成例について説明する。
(b1:制御ユニット100)
図2は、本実施の形態に従う制御装置1を構成する制御ユニット100のハードウェア構成例を示す模式図である。図2を参照して、制御ユニット100は、主たるコンポーネントとして、CPU(Central Processing Unit)やGPU(Graphical Processing Unit)などのプロセッサ102と、チップセット104と、主記憶装置106と、二次記憶装置108と、通信コントローラ110と、USB(Universal Serial Bus)コントローラ112と、メモリカードインターフェイス114と、ネットワークコントローラ116,118,120と、内部バスコントローラ122と、インジケータ124とを含む。
図2は、本実施の形態に従う制御装置1を構成する制御ユニット100のハードウェア構成例を示す模式図である。図2を参照して、制御ユニット100は、主たるコンポーネントとして、CPU(Central Processing Unit)やGPU(Graphical Processing Unit)などのプロセッサ102と、チップセット104と、主記憶装置106と、二次記憶装置108と、通信コントローラ110と、USB(Universal Serial Bus)コントローラ112と、メモリカードインターフェイス114と、ネットワークコントローラ116,118,120と、内部バスコントローラ122と、インジケータ124とを含む。
プロセッサ102は、二次記憶装置108に格納された各種プログラムを読み出して、主記憶装置106に展開して実行することで、標準制御に係る制御演算、および、後述するような各種処理を実現する。プロセッサ102としては、複数のコアを有する構成を採用してもよいし、プロセッサ102を複数配置してもよい。すなわち、制御ユニット100は、1または複数のプロセッサ102、および/または、1または複数のコアを有するプロセッサ102を有している。チップセット104は、プロセッサ102と各コンポーネントとの間のデータの遣り取りを仲介することで、制御ユニット100全体としての処理を実現する。
二次記憶装置108には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作する制御プログラムが格納される。二次記憶装置108には、暗号通信のための鍵(秘密鍵や公開鍵)および証明書が格納されていてもよい。
通信コントローラ110は、セキュリティユニット200との間のデータの遣り取りを担当する。通信コントローラ110としては、例えば、PCI Expressあるいはイーサネットなどに対応する通信チップを採用できる。
USBコントローラ112は、USB接続を介して任意の情報処理装置との間のデータの遣り取りを担当する。
メモリカードインターフェイス114は、メモリカード115を着脱可能に構成されており、メモリカード115に対して制御プログラムや各種設定などのデータを書込み、あるいは、メモリカード115から制御プログラムや各種設定などのデータを読出すことが可能になっている。
ネットワークコントローラ116,118,120の各々は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ116,118,120は、EtherCAT(登録商標)、EtherNet/IP(登録商標)、DeviceNet(登録商標)、CompoNet(登録商標)などの産業用ネットワークプロトコルを採用してもよい。
内部バスコントローラ122は、制御装置1を構成するセーフティユニット300や1または複数の機能ユニット400との間のデータの遣り取りを担当する。内部バスには、メーカ固有の通信プロトコルを用いてもよいし、いずれかの産業用ネットワークプロトコルと同一あるいは準拠した通信プロトコルを用いてもよい。
インジケータ124は、制御ユニット100の動作状態などを通知するものであり、ユニット表面に配置された1または複数のLEDなどで構成される。インジケータ124は、証明書の寿命が近づいていることを通知する通知部に相当する。したがって、インジケータ124は、証明書の寿命が近いことをユーザに予告する予告手段でもある。
図2には、プロセッサ102がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASIC(Application Specific Integrated Circuit)またはFPGA(Field-Programmable Gate Array)など)を用いて実装してもよい。あるいは、制御ユニット100の主要部を、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOS(Operating System)を並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
(b2:セキュリティユニット200)
図3は、本実施の形態に従う制御装置1を構成するセキュリティユニット200のハードウェア構成例を示す模式図である。図3を参照して、セキュリティユニット200は、主たるコンポーネントとして、CPUやGPUなどのプロセッサ202と、チップセット204と、主記憶装置206と、二次記憶装置208と、通信コントローラ210と、USBコントローラ212と、メモリカードインターフェイス214と、ネットワークコントローラ216,218と、インジケータ224とを含む。
図3は、本実施の形態に従う制御装置1を構成するセキュリティユニット200のハードウェア構成例を示す模式図である。図3を参照して、セキュリティユニット200は、主たるコンポーネントとして、CPUやGPUなどのプロセッサ202と、チップセット204と、主記憶装置206と、二次記憶装置208と、通信コントローラ210と、USBコントローラ212と、メモリカードインターフェイス214と、ネットワークコントローラ216,218と、インジケータ224とを含む。
プロセッサ202は、二次記憶装置208に格納された各種プログラムを読み出して、主記憶装置206に展開して実行することで、後述するような各種セキュリティ機能を実現する。チップセット204は、プロセッサ202と各コンポーネントとの間のデータの遣り取りを仲介することで、セキュリティユニット200全体としての処理を実現する。
二次記憶装置208には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作するセキュリティシステムプログラムが格納される。二次記憶装置208には、暗号通信のための鍵(秘密鍵や公開鍵)および証明書が格納されていてもよい。
通信コントローラ210は、制御ユニット100との間のデータの遣り取りを担当する。通信コントローラ210としては、制御ユニット100に通信コントローラ210と同様に、例えば、PCI Expressあるいはイーサネットなどに対応する通信チップを採用できる。
USBコントローラ212は、USB接続を介して任意の情報処理装置との間のデータの遣り取りを担当する。
メモリカードインターフェイス214は、メモリカード215を着脱可能に構成されており、メモリカード215に対して制御プログラムや各種設定などのデータを書込み、あるいは、メモリカード215から制御プログラムや各種設定などのデータを読出すことが可能になっている。
ネットワークコントローラ216,218の各々は、ネットワークを介した任意のデバイスとの間のデータの遣り取りを担当する。ネットワークコントローラ216,218は、イーサネットなどの汎用的なネットワークプロトコルを採用してもよい。
インジケータ224は、セキュリティユニット200の動作状態などを通知するものであり、ユニット表面に配置された1または複数のLEDなどで構成される。インジケータ224は、セキュリティユニット200荷か苦悩された証明書の寿命が近づいていることを通知する通知部に相当する。したがって、インジケータ224は、証明書の寿命が近いことをユーザに予告する予告手段でもある。
図3には、プロセッサ202がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。あるいは、セキュリティユニット200の主要部を、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOSを並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
(b3:セーフティユニット300)
図4は、本実施の形態に従う制御装置1を構成するセーフティユニット300のハードウェア構成例を示す模式図である。図4を参照して、セーフティユニット300は、主たるコンポーネントとして、CPUやGPUなどのプロセッサ302と、チップセット304と、主記憶装置306と、二次記憶装置308と、メモリカードインターフェイス314と、内部バスコントローラ322と、インジケータ324とを含む。
図4は、本実施の形態に従う制御装置1を構成するセーフティユニット300のハードウェア構成例を示す模式図である。図4を参照して、セーフティユニット300は、主たるコンポーネントとして、CPUやGPUなどのプロセッサ302と、チップセット304と、主記憶装置306と、二次記憶装置308と、メモリカードインターフェイス314と、内部バスコントローラ322と、インジケータ324とを含む。
プロセッサ302は、二次記憶装置308に格納された各種プログラムを読み出して、主記憶装置306に展開して実行することで、セーフティ制御に係る制御演算、および、後述するような各種処理を実現する。チップセット304は、プロセッサ302と各コンポーネントとの間のデータの遣り取りを仲介することで、セーフティユニット300全体としての処理を実現する。
二次記憶装置308には、システムプログラムに加えて、システムプログラムが提供する実行環境上で動作するセーフティプログラムが格納される。
メモリカードインターフェイス314は、メモリカード315を着脱可能に構成されており、メモリカード315に対してセーフティプログラムや各種設定などのデータを書込み、あるいは、メモリカード315からセーフティプログラムや各種設定などのデータを読出すことが可能になっている。
内部バスコントローラ322は、内部バスを介した制御ユニット100との間のデータの遣り取りを担当する。
インジケータ324は、セーフティユニット300の動作状態などを通知するものであり、ユニット表面に配置された1または複数のLEDなどで構成される。
図4には、プロセッサ302がプログラムを実行することで必要な機能が提供される構成例を示したが、これらの提供される機能の一部または全部を、専用のハードウェア回路(例えば、ASICまたはFPGAなど)を用いて実装してもよい。あるいは、セーフティユニット300の主要部を、汎用的なアーキテクチャに従うハードウェア(例えば、汎用パソコンをベースとした産業用パソコン)を用いて実現してもよい。この場合には、仮想化技術を用いて、用途の異なる複数のOSを並列的に実行させるとともに、各OS上で必要なアプリケーションを実行させるようにしてもよい。
<C.制御システム10>
次に、本実施の形態に従う制御装置1を含む制御システム10の典型例について説明する。図5は、本実施の形態に従う制御装置1を含む制御システム10の典型例を示す模式図である。
次に、本実施の形態に従う制御装置1を含む制御システム10の典型例について説明する。図5は、本実施の形態に従う制御装置1を含む制御システム10の典型例を示す模式図である。
一例として、図5に示す制御システム10は、2つのライン(ラインAおよびラインB)を制御対象とする。典型的には、各ラインは、ワークを搬送するコンベアに加えて、コンベア上のワークに対して任意の物理的作用を与えることが可能なロボットが配置されているとする。
ラインAおよびラインBのそれぞれに制御ユニット100が配置されている。ラインAを担当する制御ユニット100に加えて、セキュリティユニット200およびセーフティユニット300が制御装置1を構成する。なお、説明の便宜上、図5には、機能ユニット400および電源ユニット450の記載を省略している。
制御装置1のセキュリティユニット200は、通信ポート242(図3のネットワークコントローラ216)を介して第1ネットワーク2に接続されている。第1ネットワーク2には、サポート装置600およびSCADA(Supervisory Control And Data Acquisition)装置700が接続されているとする。第1ネットワーク2には、イーサネットあるいはOPC-UA(Object Linking and Embedding for Process Control Unified Architecture)などを採用することができる。
サポート装置600は、少なくとも制御ユニット100にアクセス可能になっており、制御装置1に含まれる各ユニットで実行されるプログラムの作成、デバッグ、各種パラメータの設定などの機能をユーザへ提供する。サポート装置600には開発等の目的のためのツールがインストールされていてもよい。ツールはたとえばオムロン社製の「Sysmac Studio」である。
SCADA装置700は、制御装置1での制御演算によって得られる各種情報をオペレータへ提示するとともに、オペレータからの操作に従って、制御装置1に対して内部コマンドなどを生成する。SCADA装置700は、制御装置1が扱うデータを収集する機能も有している。
制御装置1の制御ユニット100は、通信ポート142(図2のネットワークコントローラ116)を介して第2ネットワーク4に接続されている。第2ネットワーク4には、HMI(Human Machine Interface)800およびデータベース900が接続されているとする。
HMI800は、パーソナルコンピュータにより実現可能である。HMI800は、制御装置1での制御演算によって得られる各種情報をオペレータへ提示するとともに、オペレータからの操作に従って、制御装置1に対して内部コマンドなどを生成する。HMI800は、制御装置1との暗号通信のための証明書を格納してもよい。HMI800は、証明書が寿命に達する前の通知のタイミングを制御装置1に対して設定する設定装置である。
HMI800は、FAの保守者が携帯可能に構成され得る。データベース900は、制御装置1から送信される各種データ(例えば、各ワークから計測されたトレーサビリティに関する情報など)を収集する。
制御装置1の制御ユニット100は、通信ポート144(図2のネットワークコントローラ118)を介して、1または複数のフィールドデバイス500と接続されている。フィールドデバイス500は、制御対象から制御演算に必要な各種情報を収集するセンサや検出器、および、制御対象に対して何らかの作用を与えるアクチュエータなどを含む。図5に示す例では、フィールドデバイス500は、ワークに対して何らかの外的な作用を与えるロボット、ワークを搬送するコンベヤ、フィールドに配置されたセンサやアクチュエータとの間で信号を遣り取りするI/Oユニットなどを含む。
同様に、ラインBを担当する制御ユニット100についても同様に、通信ポート144(図2のネットワークコントローラ118)を介して、1または複数のフィールドデバイス500と接続されている。
ここで、制御装置1の機能面に着目すると、制御ユニット100は、標準制御に係る制御演算を実行する処理実行部である制御エンジン150と、外部装置との間でデータを遣り取りする情報エンジン160とを含む。セキュリティユニット200は、後述するようなセキュリティ機能を実現するためのセキュリティエンジン250を含む。セーフティユニット300は、セーフティ制御に係る制御演算を実行する処理実行部であるセーフティエンジン350を含む。
各エンジンは、各ユニットのプロセッサなどの任意のハードウェア要素または各種プログラムなどの任意のソフトウェア要素、あるいは、それら要素の組合せによって実現される。各エンジンは任意の形態で実装できる。
さらに、制御装置1は、エンジン同士の遣り取りを仲介するブローカー170を含む。ブローカー170の実体は、制御ユニット100およびセキュリティユニット200の一方または両方に配置してもよい。
制御エンジン150は、制御対象を制御するための制御演算の実行に必要な変数テーブルおよびファンクションブロック(FB)などを保持している。変数テーブルに格納される各変数は、I/Oリフレッシュ処理により、フィールドデバイス500から取得された値で周期的に収集されるとともに、フィールドデバイス500へ各値が周期的に反映される。制御エンジン150での制御演算のログはログデータベース180に格納されてもよい。
情報エンジン160は、制御ユニット100が保持するデータ(変数テーブルで保持される変数値)に対して任意の情報処理を実行する。典型的には、情報エンジン160は、制御ユニット100が保持するデータを周期的にデータベース900などへ送信する処理を含む。このようなデータの送信には、SQLなどが用いられる。
セキュリティエンジン250は、制御装置1に発生する不正侵入の検知、検知された不正侵入に応じた処理、インシデントの発生有無判断、発生したインシデントに応じた処理などを実行する。セキュリティエンジン250の挙動は、セキュリティ情報260として保存される。
セキュリティエンジン250は、セキュリティに関する何らかのイベントが発生したこと、あるいは発生しているセキュリティに関するイベントのレベルなどを、インジケータ224で通知する。
セーフティエンジン350は、制御装置1において何らかの不正侵入が発生したか否かを検知する検知手段に相当する。セーフティエンジン350は、制御ユニット100を介して、セーフティ制御に係る制御演算の実行に必要なセーフティI/O変数を取得および反映する。セーフティエンジン350でのセーフティ制御のログはログデータベース360に格納されてもよい。
ブローカー170は、例えば、セキュリティエンジン250が何らかのイベントを検知すると、制御エンジン150、情報エンジン160およびセーフティエンジン350の動作などを変化させる。
<D.制御ユニット100の機能構成例>
図6は、本実施の形態に従う制御ユニット100が備える機能構成例を示す模式図である。図6を参照して、制御ユニット100において、記憶部109(二次記憶装置108または主記憶装置106を含む)は、OS1102、プログラム1104、鍵1106および証明書1110を格納する。鍵1106は、たとえば秘密鍵、公開鍵等である。
図6は、本実施の形態に従う制御ユニット100が備える機能構成例を示す模式図である。図6を参照して、制御ユニット100において、記憶部109(二次記憶装置108または主記憶装置106を含む)は、OS1102、プログラム1104、鍵1106および証明書1110を格納する。鍵1106は、たとえば秘密鍵、公開鍵等である。
プロセッサ102は、OS1102の元でプログラム1104を周期的に実行することにより、制御部151、通信処理部152、検知部153、通知処理部154および通知出力部155を実現する。
制御部151は、制御対象を制御するための制御演算を実行する。したがって制御部151は、制御エンジン150の主要な部分である。通信処理部152は、証明書を利用したセキュア通信のための処理を実行するための通信部を実現する。
検知部153は、証明書の寿命が近づいていることを検知する。たとえば検知部153は、証明書の有効期限を予め取得しておいて、現時点が有効期限前の一定期間内にあるかどうかを判定する。現時点が証明書の有効期限前の一定期間内にある場合に、検知部153は、証明書の有効期限が近づいていることを検知する。通知処理部154は、証明書の寿命が近づいていることを通知するための処理を実行する。通知出力部155は、通知を出力するようにインジケータ124を含む通知部を制御する。
<E.暗号通信について>
以下では本実施の形態に適用可能な規格としてOPC-UAを例示する。OPC-UAは、産業オートメーション分野、およびその他業界における、安全で信頼性あるデータ交換を目的とした相互運用を行なうための標準規格である。OPC-UAにおけるセキュリティ対策としては、メッセージの盗聴の防止、メッセージの改ざん防止、システム稼働率を低下させるメッセージ攻撃への対策等がある。
以下では本実施の形態に適用可能な規格としてOPC-UAを例示する。OPC-UAは、産業オートメーション分野、およびその他業界における、安全で信頼性あるデータ交換を目的とした相互運用を行なうための標準規格である。OPC-UAにおけるセキュリティ対策としては、メッセージの盗聴の防止、メッセージの改ざん防止、システム稼働率を低下させるメッセージ攻撃への対策等がある。
図7は、OPC-UA通信システムを示した模式図である。OPC-UAサーバ11とOPC-UAクライアント12とは、OPC-UAに従う通信を行う。OPC-UAで通信を行うには、認証のための証明書が必要になる。OPC-UAサーバ11とOPC-UAクライアント12の各々は、サーバ証明書21およびクライアント証明書22を格納する。
なお、OPC-UAサーバ11とOPC-UAクライアント12とは情報をやり取りする関係に従って定義される。たとえば制御ユニット100は、OPC-UAサーバ11として機能する。たとえばHMI800がOPC-UAクライアント12になることができる。以下では、「OPC-UAサーバ11」および「OPC-UAクライアント12」を、単に「サーバ11」および「クライアント12」と記載する。
認証のための証明書として自己署名証明書を使用する場合の手順は以下の通りである。まず、サーバ11およびクライアント12の各々に自己署名証明書が作成される。次に、サーバ11に、クライアントの自己署名証明書をインポートする。一方、クライアント12には、サーバの自己署名証明書がインポートされる。サーバ11およびOPクライアント12の各々は、自身の証明書を相手に送付する。サーバ11およびクライアント12の各々は、相手から送付された証明書とインポート済みの証明書とを照合することにより、認証を行う。
認証のための証明書としてCA(認証局)署名証明書を用いてもよい。この場合、たとえばGDS(Global Discovery Server)がCA証明書を作成する。GDSは、サーバ11およびクライアント12のCA署名証明書を作成する。サーバ11およびクライアント12は、CA署名証明書とCA証明書とを受信する。
サーバ11およびクライアント12は、お互いのCA署名証明書を送付するとともに、相手から送付されたCA署名証明書をCA証明書により照合する。これにより認証が行なわれる。証明書の受け渡しの方法は特に限定されない。たとえばメールを利用してもよく、USBメモリ等の媒体を利用してもよい。
<F.証明書の寿命に関する課題>
この実施の形態では、「証明書が寿命に達した状態」とは、証明書の有効期限の到来あるいは、暗号の脆弱性等の理由により、現在の証明書が使用できなくなることを意味する。
この実施の形態では、「証明書が寿命に達した状態」とは、証明書の有効期限の到来あるいは、暗号の脆弱性等の理由により、現在の証明書が使用できなくなることを意味する。
上記の通り、証明書には有効期限がある。有効期限が経過した場合、証明書が失効するためにOPC-UA通信ができなくなる。たとえば図5に示した制御システム10において、OPC-UA通信ができない場合、製造ラインの停止が起こりえる。
証明書の有効期限を確認する方法として、ツール(たとえば上述の「Sysmac Studio」)を用いる方法がある。しかし、この方法では、ユーザが能動的に情報を監視しなければならない。このため、ユーザが証明書の有効期限が近づいていること、あるいは有効期限が切れた(証明書が失効した)ことに気が付かない可能性を考慮する必要がある。
また、多数のOPC-UA機器(たとえばPLC)がネットワークに接続されている場合、ユーザは、各機器を監視する必要がある。証明書を更新する場合、ユーザは機器ごとに証明書を更新しなければならない。このためユーザの工数が増大する。
さらに、暗号技術には「寿命」があることも考慮する必要がある。たとえば証明書の有効期限が切れる前に、暗号の脆弱性が発見される可能性がある。このような場合には、証明書を更新する必要がある。
さらに、サーバ11とクライアント12とが、異なるメーカにより提供される可能性がある。また、OPC-UAクライアント12の数が複数の可能性もある。このような場合にも、証明書の更新のためのユーザの工数が増大する。
<G.証明書の寿命の通知>
本実施の形態では、証明書が寿命に達する前の一定のタイミングにおいて、証明書の寿命が近づいていることを通知する。たとえば証明書の有効期限が間近である場合、ユーザは、制御装置1からの通知を受けることによって、証明書が失効間近であることを知ることができる。したがって、証明書の有効期限の管理のためのユーザの工数を低減することができる。また、ツールを制御装置1に接続しなくとも、証明書の有効期限の管理を行うことができる。さらに、証明書が失効する前に通知を受けることにより、ユーザが証明書を更新するための時間を確保することができる。
本実施の形態では、証明書が寿命に達する前の一定のタイミングにおいて、証明書の寿命が近づいていることを通知する。たとえば証明書の有効期限が間近である場合、ユーザは、制御装置1からの通知を受けることによって、証明書が失効間近であることを知ることができる。したがって、証明書の有効期限の管理のためのユーザの工数を低減することができる。また、ツールを制御装置1に接続しなくとも、証明書の有効期限の管理を行うことができる。さらに、証明書が失効する前に通知を受けることにより、ユーザが証明書を更新するための時間を確保することができる。
図8は、証明書の有効期限の通知のための制御装置1の構成例を示した図である。図8を参照して、制御ユニット100は、筐体1Aを有する。証明書が期限に達する前の一定期間(たとえば30日間)、制御ユニット100は、インジケータ124(LED)を点滅させる。したがって、ユーザは制御ユニット100を見ることにより、証明書の寿命が近づいていることを容易に把握できる。なお、制御ユニット100に替えて、セキュリティユニット200が、セキュリティユニット200のインジケータ224(LED)を点滅させるのでもよい。
通知期間はユーザが設定してもよい。また、失効までの残り日数に応じて、点滅の間隔、あるいは発光色を変更させてもよい。
図8では、インジケータ124は1つのLEDとして示されているが、インジケータ124はポートごとに設けられたLEDを含んでもよい。各LEDが証明書の失効の間近になると点滅を開始するのでもよい。
図9は、証明書の有効期限の通知のための制御装置1の別の構成例を示した図である。図9を参照して、制御ユニット100は、証明書の有効期限が近づくと音を発生させてもよい。あるいは制御ユニット100は、スピーカ15から音を出力させてもよい。スピーカ15は、AIスピーカ(スマートスピーカ)であってもよい。また、制御ユニット100に替えて、セキュリティユニット200が音を発生させてもよく、セキュリティユニット200がスピーカ15から音を出力させてもよい。
また、制御ユニット100に接続される通知デバイスはスピーカと限定されない。たとえば通知デバイスは表示灯であってもよい。
また、制御ユニット100は、証明書の有効期限が近づいていることをHMI800を介して通知してもよく、SMS/メール等により通知してもよい。なお通知はサーバ側の設定だけでなく、クライアント側の設定も可能であってよい。ユーザは制御ユニット100から発生する光あるいは音だけでなく、メールのメッセージからも、証明書の寿命が近づいていることを確認できる。
図10は、通知設定の例を示した図である。図10に示したユーザインターフェイス画面850は、たとえばHMI800に表示される。ユーザインターフェイス画面850は、通信ポート、セキュアな経路(OPC-UA/VPN)、証明書のステータス、証明書の有効期限、証明書の現時点からの残りの有効期限を一覧形式で表示する。制御装置1に格納された複数の証明書の各々の有効期限をユーザが容易に把握できるので、ユーザの利便性を向上させることができる。
さらに、ユーザインターフェイス画面850は、失効通知時期の設定および詳細設定を受け付ける。失効通知時期は、通信ポートごと(言い換えると証明書ごと)に個別に設定されてもよく、一括で設定されてもよい。たとえばカラム851の「失効通知時期」の表示にマウスのカーソルを重ねてマウスをクリックする。これにより、一括設定が可能である。この場合、たとえば、通知時期が「失効30日前」に設定される。同じように、カラム852の「詳細設定」の表示にマウスのカーソルを重ねてマウスをクリックすることにより、一括設定が可能である。
図11は、通知設定の他の例を示した図である。ユーザインターフェイス画面860がたとえばHMI800に表示される。ユーザインターフェイス画面860は、タブの選択により、通知方法の選択を受け付ける。ユーザインターフェイス画面860は、LEDタブ861、HMIタブ862、およびSMSタブ863を有する。SMSタブ863が選択されると、選択タブが有効であることを指定するためのカラム865と、メールアドレスを入力するための入力カラム866と、失効時期を入力するための入力領域867とが表示される。サーバ側、クライアント側の両方について失効時期が通知できるよう、入力カラム866は、複数のメールアドレスを受け付けることができる。3以上のメールアドレスが入力可能なように入力カラム866が構成されていてもよい。
通知のタイミングは、入力された失効時期の前の所定期間(たとえば30日)にデフォルトで設定されるのでもよい。あるいは、通知タイミングについてのユーザの入力を受け付けるようにユーザインターフェイス画面860が構成されていてもよい。
なお、たとえばセキュリティホールが見つかるなど暗号そのものが寿命に達した場合には、HMI800は、暗号強度を高める必要があることをユーザに通知する表示を行ってもよい。
<H.証明書の更新>
証明書の更新は、OPC-UAサーバ側とOPC-UAクライアント側との両方に通知する必要がある。しかし、クライアント側の通知対象者がサーバ側の通知対象者と異なる可能性がある。たとえばサーバとクライアントとでメーカが異なる場合に、このような事例が生じうる。そのためサーバ側とクライアント側との両方に証明書の更新を求めるのは制御システムのユーザにとっての負担が増大する。さらに、図5に例示される制御システム10の場合、証明書の更新対象となる機器の数が多数(たとえば数百台単位)となる可能性もある。
証明書の更新は、OPC-UAサーバ側とOPC-UAクライアント側との両方に通知する必要がある。しかし、クライアント側の通知対象者がサーバ側の通知対象者と異なる可能性がある。たとえばサーバとクライアントとでメーカが異なる場合に、このような事例が生じうる。そのためサーバ側とクライアント側との両方に証明書の更新を求めるのは制御システムのユーザにとっての負担が増大する。さらに、図5に例示される制御システム10の場合、証明書の更新対象となる機器の数が多数(たとえば数百台単位)となる可能性もある。
証明書を自動的に更新する場合、上記のような負担を軽減することはできる。しかし、セキュリティ確保の点では、ユーザの認証後に証明書を更新することが望ましい。証明書の失効する前の環境であれば、セキュア通信の下で証明書を更新することができる。すなわち更新前の証明書(古い証明書)を利用したセキュア通信により、証明書を更新することができる。
図12は、OPC-UAサーバおよびOPC-UAクライアントの通常運転時の状態を説明するための模式図である。図12に示すように、サーバ11(OPC-UAサーバ)およびクライアント12(OPC-UAクライアント)の各々は、サーバ証明書21およびクライアント証明書22を有しており、サーバ11およびクライアント12の間でセキュア通信が行われる。サーバ側(あるいはOT(Operation Technology)側)ユーザ31は、サーバ11のメンテナンスを行う。一方、クライアント側(あるいはIT(Information Technology)側)ユーザ32は、クライアント12のメンテナンスを行う。
図13は、証明書の更新処理における、新証明書の発行ステップを説明するための図である。なお、以下ではサーバ証明書21の更新を代表的に説明するが、クライアント証明書22の更新も、以下に説明する手順と同様の手順により更新することができる。
新証明書の発行は、まずステップS1において、サーバ側ユーザ31は、ログイン認証を用いてサーバ11にログインする。ログインに成功すると、ステップS2において、サーバ側ユーザ31は、サーバ11のサーバ証明書を更新する。具体的には、サーバ証明書23がサーバ11に格納される。したがって、古いサーバ証明書(サーバ証明書21)と新しいサーバ証明書(サーバ証明書23)との両方が、サーバ11に格納される。古いサーバ証明書(サーバ証明書21)は、失効直前であるもののまだ有効である。したがって、サーバ11およびクライアント12の間でセキュア通信が可能である。
図14は、証明書の更新処理における、新証明書の送信ステップおよび更新リクエストの通知ステップを説明するための図である。ステップS3において、サーバ11は、セキュアな経路で新しいサーバ証明書(サーバ証明書23)をクライアント12に送付する。さらにステップS4Aにおいて、サーバ11は、サーバ証明書の更新のリクエストをクライアント12に通知する。ステップS4Bにおいて、クライアント側ユーザ32は、サーバ証明書の更新リクエストの通知をクライアント12から受ける。なお、更新リクエストの通知を受けるための方法は特に限定されない。たとえば、クライアント側ユーザ32は、クライアント12から送信されたメールにより、サーバ証明書の更新リクエストの通知を受け取ってもよい。
図15は、証明書の更新処理における新証明書の承認ステップを説明するための図である。ステップS5において、クライアント側ユーザ32は、ログイン認証を用いてクライアント12へのログインを行う。ステップS6において、クライアント側ユーザ32は、クライアント12に格納された新しいサーバ証明書(サーバ証明書23)を承認する。これにより、ステップS7において、クライアント12は、サーバ11に承認通知を送信する。
図16は、証明書の更新処理における、古い証明書の破棄ステップを説明するための図である。ステップS8において、サーバ11およびクライアント12の各々は、ログイン認証を用いてクライアント12へのログインを行う。ステップS6において、クライアント側ユーザ32は、古いサーバ証明書(サーバ証明書21)を破棄する。これにより、サーバ11およびクライアント12の各々においてサーバ証明書の更新が完了する。
図13から図16に示すように、本実施の形態では、古い証明書を利用することにより、サーバとクライアントとの間のセキュアな経路を確保しながら、証明書を更新することができる。加えて、ユーザの承認後に証明書を更新することができる。証明書の更新対象となる機器の数が多数となる場合には、有効期限が近づいている証明書をリスト化して、そのリストから選択されたものを更新してもよい。リストの中から更新対象のものをユーザが選択することによって、ユーザの承認後に証明書を更新することができるとともに、証明書を一括して更新することができる。
なお、上述のような証明書の管理あるいは更新(あるいはファームウェアのアップデート)が制御処理に影響を与えることをできるだけ避けることが好ましい。図17に示すように、制御ユニット100のプロセッサ102が複数のコア(コア102A、コア102B、・・・)を有する場合に、ユーザプログラムを実行するコアとは別のコアにより、証明書の更新処理を実行してもよい。プログラムを周期的に実行するコアでなく、システムコアにより証明書の更新処理を実行するのでもよい。
あるいは、制御ユニット100に替えてセキュリティユニット200が一括して証明書の管理を行ってもよい。したがって、プロセッサ102に替えてプロセッサ202が検知手段を実現してもよく、インジケータ124に替えてインジケータ224が通知手段を実現してもよい。
なお、上記の実施の形態ではOPC-UAを例示したが、セキュア通信として、SSL(Secure Socket Layer)を実施の形態に適用することも可能である。
<I.付記>
以上説明したように、本実施形態は以下に列挙する開示を含む。
以上説明したように、本実施形態は以下に列挙する開示を含む。
1.制御対象を制御するための制御演算を実行するように構成された制御部(151)と、
証明書を利用したセキュア通信のための処理を実行する通信部(152)と、
前記証明書の寿命が近づいていることを検知する検知部(153)と、
前記証明書の前記寿命が近づいていることを通知する通知部(124)とを含む、制御装置(1)。
証明書を利用したセキュア通信のための処理を実行する通信部(152)と、
前記証明書の寿命が近づいていることを検知する検知部(153)と、
前記証明書の前記寿命が近づいていることを通知する通知部(124)とを含む、制御装置(1)。
2.前記証明書の前記寿命は前記証明書の有効期限であり、
前記通知部は、前記証明書が失効する前の一定のタイミングにおいて、前記証明書の前記有効期限が近づいていることを通知する、1.に記載の制御装置(1)。
前記通知部は、前記証明書が失効する前の一定のタイミングにおいて、前記証明書の前記有効期限が近づいていることを通知する、1.に記載の制御装置(1)。
3.前記制御装置(1)は、筐体(1A)を含み、
前記通知部(124)は、
前記筐体(1A)に設けられ、前記寿命が近づいていることを光により通知するインジケータ(124)を含む、1.または2.に記載の制御装置(1)。
前記通知部(124)は、
前記筐体(1A)に設けられ、前記寿命が近づいていることを光により通知するインジケータ(124)を含む、1.または2.に記載の制御装置(1)。
4.前記通知部は、
前記寿命が近づいていることを通知するための音を発生させる音声出力部を含む、1.または2.に記載の制御装置(1)。
前記寿命が近づいていることを通知するための音を発生させる音声出力部を含む、1.または2.に記載の制御装置(1)。
5.前記通知部は、前記寿命が近づいていることをメールにより通知する、請求項3または請求項4に記載の制御装置(1)。
6.1.から5.のいずれかに記載の制御装置(1)と、
前記証明書が前記寿命に達する前の通知のタイミングを前記制御装置(1)に対して設定する設定装置(800)とを備える、制御システム(10)。
前記証明書が前記寿命に達する前の通知のタイミングを前記制御装置(1)に対して設定する設定装置(800)とを備える、制御システム(10)。
7.前記制御装置(1)に複数の前記証明書が格納されている場合、
前記設定装置(800)は、前記複数の証明書の有効期限を一括して表示する、6.に記載の制御システム(10)。
前記設定装置(800)は、前記複数の証明書の有効期限を一括して表示する、6.に記載の制御システム(10)。
8.1.から5.のいずれかに記載の制御装置(1)と、
前記制御装置(1)との間で通信を行う通信装置(800)とを備え、
前記制御装置(1)は、前記失効期限の前に新しい証明書を受け付けて、前記通信装置に更新リクエストを送信し、前記通信装置(800)が前記新しい証明書を承認すると、古い証明書を破棄することで前記証明書を更新する、制御システム(10)。
前記制御装置(1)との間で通信を行う通信装置(800)とを備え、
前記制御装置(1)は、前記失効期限の前に新しい証明書を受け付けて、前記通信装置に更新リクエストを送信し、前記通信装置(800)が前記新しい証明書を承認すると、古い証明書を破棄することで前記証明書を更新する、制御システム(10)。
今回開示された実施の形態はすべての点で例示であって制限的なものでないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
1 制御装置、1A 筐体、2 第1ネットワーク、4 第2ネットワーク、10 制御システム、11 OPC-UAサーバ、12 OPC-UAクライアント、15 スピーカ、21,23 サーバ証明書、22 クライアント証明書、31 サーバ側/OT側ユーザ、32 クライアント側/IT側ユーザ、100 制御ユニット、102,202,302 プロセッサ、102A,102B コア、104,204,304 チップセット、106,206,306 主記憶装置、108,208,308 二次記憶装置、109 記憶部、110,210 通信コントローラ、112,212 USBコントローラ、114,214,314 メモリカードインターフェイス、115,215,315 メモリカード、116,118,120,216,218 ネットワークコントローラ、122,322 内部バスコントローラ、124,224,324 インジケータ、142,144,242 通信ポート、150 制御エンジン、151 制御部、152 通信処理部、153 検知部、154 通知処理部、155 通知出力部、160 情報エンジン、170 ブローカー、180,360 ログデータベース、200 セキュリティユニット、250 セキュリティエンジン、260 セキュリティ情報、300 セーフティユニット、350 セーフティエンジン、400 機能ユニット、450 電源ユニット、500 フィールドデバイス、600 サポート装置、700 SCADA装置、850,860 ユーザインターフェイス画面、851,852,865 カラム、861,862,863 タブ、866 入力カラム、867 入力領域、900 データベース、1104 プログラム、1106 鍵、1110 証明書、S1~S8 ステップ。
Claims (7)
- 制御対象を制御するための制御演算を実行するように構成された制御部と、
証明書を利用したセキュア通信のための処理を実行する通信部と、
前記証明書の寿命が近づいていることを検知する検知部と、
前記証明書の前記寿命が近づいていることを通知する通知部と、
筐体とを含み、
前記通知部は、
前記制御対象に接続される通信ポートごとに前記筐体に設けられ、前記寿命が近づいていることを光により通知するインジケータを含み、前記寿命の通知時期は、前記通信ポートごとに設定され、前記インジケータは、前記寿命までの残存期間に応じて発光態様を変化させる、制御装置。 - 前記証明書の前記寿命は前記証明書の有効期限であり、
前記通知部は、前記証明書が失効する前の一定のタイミングにおいて、前記証明書の前記有効期限が近づいていることを通知する、請求項1に記載の制御装置。 - 前記通知部は、
前記寿命が近づいていることを通知するための音を発生させる音声出力部を含む、請求項1または請求項2に記載の制御装置。 - 前記通知部は、前記寿命が近づいていることをメールにより通知する、請求項2または請求項3に記載の制御装置。
- 請求項1から請求項4のいずれか1項に記載の制御装置と、
前記証明書が前記寿命に達する前の通知のタイミングを前記制御装置に対して設定する設定装置とを備える、制御システム。 - 前記制御装置に複数の前記証明書が格納されている場合、
前記設定装置は、前記複数の証明書の有効期限を一括して表示する、請求項5に記載の制御システム。 - 前記請求項1から請求項4のいずれか1項に記載の制御装置と、
前記制御装置との間で通信を行う通信装置とを備え、
前記制御装置は、前記寿命の前に新しい証明書を受け付けて、前記通信装置に更新リクエストを送信し、前記通信装置が前記新しい証明書を承認すると、古い証明書を破棄することで前記証明書を更新する、制御システム。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019046723A JP7225958B2 (ja) | 2019-03-14 | 2019-03-14 | 制御装置および制御システム |
| US17/434,187 US20220166636A1 (en) | 2019-03-14 | 2020-02-26 | Control device and control system |
| PCT/JP2020/007796 WO2020184186A1 (ja) | 2019-03-14 | 2020-02-26 | 制御装置および制御システム |
| EP20769506.5A EP3940469A4 (en) | 2019-03-14 | 2020-02-26 | CONTROL DEVICE AND CONTROL SYSTEM |
| CN202080017203.5A CN113490892A (zh) | 2019-03-14 | 2020-02-26 | 控制装置以及控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019046723A JP7225958B2 (ja) | 2019-03-14 | 2019-03-14 | 制御装置および制御システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020149391A JP2020149391A (ja) | 2020-09-17 |
| JP7225958B2 true JP7225958B2 (ja) | 2023-02-21 |
Family
ID=72425993
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019046723A Active JP7225958B2 (ja) | 2019-03-14 | 2019-03-14 | 制御装置および制御システム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20220166636A1 (ja) |
| EP (1) | EP3940469A4 (ja) |
| JP (1) | JP7225958B2 (ja) |
| CN (1) | CN113490892A (ja) |
| WO (1) | WO2020184186A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024070380A1 (ja) * | 2022-09-26 | 2024-04-04 | 日立グローバルライフソリューションズ株式会社 | プログラムおよび食材管理システム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011175566A (ja) | 2010-02-25 | 2011-09-08 | Nippon Koden Corp | リモートメンテナンスシステム及び中継ユニット |
| JP2013099859A (ja) | 2011-11-07 | 2013-05-23 | Mitsubishi Chemicals Corp | 情報表示カード |
| JP2013232190A (ja) | 2012-04-30 | 2013-11-14 | General Electric Co <Ge> | 産業用コントローラのセキュアな動作のためのシステムおよび方法 |
| JP2017195517A (ja) | 2016-04-20 | 2017-10-26 | 三菱電機株式会社 | 期限通知装置、証明書更新システム、期限通知方法および期限通知プログラム |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4693357B2 (ja) * | 2004-03-22 | 2011-06-01 | キヤノン株式会社 | 認証装置及びその制御方法 |
| JP4148246B2 (ja) * | 2005-06-30 | 2008-09-10 | ブラザー工業株式会社 | 通信システム、証明書更新装置、証明書更新プログラム、通信装置及び代替更新プログラム |
| US8046579B2 (en) * | 2005-10-04 | 2011-10-25 | Neopost Technologies | Secure gateway with redundent servers |
| US8195934B1 (en) * | 2007-05-03 | 2012-06-05 | United Services Automobile Association (Usaa) | Systems and methods for managing certificates |
| JP2009198357A (ja) * | 2008-02-22 | 2009-09-03 | Ricoh Elemex Corp | 計量器 |
| KR101681136B1 (ko) * | 2009-03-06 | 2016-12-01 | 인터디지탈 패튼 홀딩스, 인크 | 무선 장치들의 플랫폼 검증 및 관리 |
| US8776192B2 (en) * | 2009-11-17 | 2014-07-08 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for automatically verifying and populating digital certificates in an encryption keystore |
| US9197630B2 (en) * | 2010-03-08 | 2015-11-24 | Microsoft Technology Licensing, Llc | Automated certificate management |
| JP5494052B2 (ja) * | 2010-03-15 | 2014-05-14 | 株式会社リコー | 電子機器およびその制御方法 |
| CN102571340A (zh) * | 2010-12-23 | 2012-07-11 | 普天信息技术研究院有限公司 | 证书认证装置及该装置的访问和证书更新方法 |
| JP5645776B2 (ja) * | 2011-08-23 | 2014-12-24 | 三菱電機株式会社 | 認証装置及び認証システム及び認証方法 |
| EP2790350A4 (en) * | 2011-12-09 | 2015-11-04 | Alaxala Networks Corp | CERTIFICATE DISTRIBUTION DEVICE AND METHOD THEREFOR, AND COMPUTER PROGRAM |
| CN103514391B (zh) * | 2013-10-16 | 2016-08-17 | 北京旋极信息技术股份有限公司 | 一种数字证书到期提醒方法及装置 |
| JP6451965B2 (ja) | 2015-03-18 | 2019-01-16 | パナソニックIpマネジメント株式会社 | 通信装置、相手方通信装置及び通信プログラム |
| US10666637B2 (en) * | 2015-12-14 | 2020-05-26 | Amazon Technologies, Inc. | Certificate renewal and deployment |
| CN105785876A (zh) * | 2016-04-06 | 2016-07-20 | 陈昊 | 一种无人飞行器授权系统及其授权方法 |
| US20200020055A1 (en) * | 2018-07-12 | 2020-01-16 | Lindy Property Management Company | Property management system and related methods |
-
2019
- 2019-03-14 JP JP2019046723A patent/JP7225958B2/ja active Active
-
2020
- 2020-02-26 US US17/434,187 patent/US20220166636A1/en active Pending
- 2020-02-26 EP EP20769506.5A patent/EP3940469A4/en active Pending
- 2020-02-26 CN CN202080017203.5A patent/CN113490892A/zh active Pending
- 2020-02-26 WO PCT/JP2020/007796 patent/WO2020184186A1/ja active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011175566A (ja) | 2010-02-25 | 2011-09-08 | Nippon Koden Corp | リモートメンテナンスシステム及び中継ユニット |
| JP2013099859A (ja) | 2011-11-07 | 2013-05-23 | Mitsubishi Chemicals Corp | 情報表示カード |
| JP2013232190A (ja) | 2012-04-30 | 2013-11-14 | General Electric Co <Ge> | 産業用コントローラのセキュアな動作のためのシステムおよび方法 |
| JP2017195517A (ja) | 2016-04-20 | 2017-10-26 | 三菱電機株式会社 | 期限通知装置、証明書更新システム、期限通知方法および期限通知プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113490892A (zh) | 2021-10-08 |
| EP3940469A4 (en) | 2022-11-30 |
| JP2020149391A (ja) | 2020-09-17 |
| EP3940469A1 (en) | 2022-01-19 |
| US20220166636A1 (en) | 2022-05-26 |
| WO2020184186A1 (ja) | 2020-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11700232B2 (en) | Publishing data across a data diode for secured process control communications | |
| US10270745B2 (en) | Securely transporting data across a data diode for secured process control communications | |
| US10749692B2 (en) | Automated certificate enrollment for devices in industrial control systems or other systems | |
| CN110083129B (zh) | 工业控制器模块、实现其安全性的方法和计算机可读介质 | |
| US20180115517A1 (en) | Secured Process Control Communications | |
| US8327130B2 (en) | Unique identification of entities of an industrial control system | |
| US20170024586A1 (en) | Device and Method for Transmitting Data | |
| CN105629924A (zh) | 具有受保护的外部访问的过程工厂网络 | |
| US20180004949A1 (en) | Method For Updating Process Objects In An Engineering System | |
| US11412047B2 (en) | Method and control system for controlling and/or monitoring devices | |
| US11146591B2 (en) | Security unit and method for an industrial control system | |
| JP7225958B2 (ja) | 制御装置および制御システム | |
| WO2020166329A1 (ja) | 制御システム | |
| JP6575311B2 (ja) | ネットワークシステムおよび制御装置 | |
| US10063664B2 (en) | Network system and control device | |
| JP7318264B2 (ja) | コントローラシステム | |
| EP4152192A1 (en) | On-chassis backplane intrusion detection system and continuous threat detection enablement platform | |
| KR20180137827A (ko) | Opc-ua기반 설비 상태 모니터링을 위한 시스템 | |
| WO2022190422A1 (ja) | 制御システムおよびその制御方法 | |
| JP2005252947A (ja) | 遠隔保守アクセス制御システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201215 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220125 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220325 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220726 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220916 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230110 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230123 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7225958 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |