JP7300845B2 - 制御装置、産業用制御システムおよび暗号鍵寿命延長方法 - Google Patents
制御装置、産業用制御システムおよび暗号鍵寿命延長方法 Download PDFInfo
- Publication number
- JP7300845B2 JP7300845B2 JP2019025256A JP2019025256A JP7300845B2 JP 7300845 B2 JP7300845 B2 JP 7300845B2 JP 2019025256 A JP2019025256 A JP 2019025256A JP 2019025256 A JP2019025256 A JP 2019025256A JP 7300845 B2 JP7300845 B2 JP 7300845B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- control device
- lifetime
- life
- encryption key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Description
本開示は、制御システムに関し、特に、分散型制御装置のセキュリティの向上に関する。
近年、石油、ガス、電力、製造などのインフラストラクチャを支える産業用制御システム(ICS:Industrial Control Systems)は外部ネットワークに接続されるようになっておきており、サイバー攻撃に対するセキュリティ対策の重要性が増している。また、産業用制御システムの一種となる例えば発電プラントや製造プラントなどのプラントの制御を行う装置として、複数の制御装置間で相互に通信しながらプラントの制御を行う分散型制御装置(DCS:Distributed Control System)が知られている。DCSは、制御ネットワークを介してプラントに設置された複数のフィールド機器に接続し、これらの制御や監視を行う(特許文献1~2参照)。また、分散型制御装置を構成する各制御装置は、プラントの操作および監視を行うためのHMI(Human Machine Interface)などとイーサネット(登録商標)などで構築された制御情報ネットワークで接続されることにより、HMIなどの装置外部のコンピュータから送信される命令に基づいて、各フィールド機器の制御を実行する。そして、このようなDCSを備える産業用制御システムに対するサイバー攻撃は、例えばDoS(Denial of Service)攻撃や、なりすまし、盗聴、改ざんなどの情報システムで広く使われる攻撃手法が行われ得る。
なお、インターネット上では、通信データを暗号化することで通信の機密性を確保するといったことが行われる。例えば、SSL通信では、通信の開始時にIKE(Internet Key Exchange)などの鍵交換プロトコルにより、一定期間(寿命を有する)だけ有効なセッション鍵(共通鍵)を交換し、セッション鍵を用いて通信データの暗号化通信を行う。また、鍵配布センター(KDC:Key Distribution Center)を設置し、各利用者の装置は、鍵配布センターからセッション鍵を取得し、装置間の暗号化通信に用いる。特許文献3には、ユーザの認証や権限等を証明するチケットの有効期限を要求により延長するサービス提供装置が開示されている。
産業用制御システムに暗号化通信に使用するセッション鍵の配信を行うサーバ(鍵配布サーバ)を導入する場合、ハードウェア故障やDoS攻撃等の悪意あるサイバー攻撃により鍵配布サーバがダウンすると、セッション鍵の寿命が尽きた時点で分散型制御装置における制御装置間の通信が不能となる。これによりHMI等からのプロセスデータの監視や操作、制御装置間の通信が、セッション鍵の寿命が尽きた時点で不能となり、制御対象を緊急停止させるインターロックが働くと制御対象の稼働率の低下を招く。
この対策として、鍵配布サーバを例えば二重化など冗長化する方法が考えられるが、全ての鍵配布サーバがダウンすると、上述のように制御対象の稼働率が低下するリスクが残る。また別の対策として、寿命制限の無い暗号鍵とすることも考えられるが、暗号化されたデータがいずれ解読されるリスクが残る。
上述の事情に鑑みて、本発明の少なくとも一実施形態は、セキュリティ性能および信頼性が向上された分散型制御装置を提供することを目的とする。
(1)本発明の少なくとも一実施形態に係る制御装置は、
通信ネットワークを介して他の装置と通信するよう構成される制御装置であって、
前記他の装置との暗号化通信を行うための、寿命期間を有する暗号鍵を前記通信ネットワークを介して鍵配布サーバから取得するよう構成された鍵取得部と、
前記寿命期間内の前記暗号鍵を用いて前記他の装置との前記暗号化通信を実行するよう構成された暗号化通信部と、
前記鍵取得部による前記暗号鍵の取得が不能な状態である鍵取得不能状態を検出するよう構成されたサーバ状態検出部と、
前記鍵取得不能状態が検出された場合に前記寿命期間を延長する延長処理を実行するよう構成された寿命延長部と、を備える。
通信ネットワークを介して他の装置と通信するよう構成される制御装置であって、
前記他の装置との暗号化通信を行うための、寿命期間を有する暗号鍵を前記通信ネットワークを介して鍵配布サーバから取得するよう構成された鍵取得部と、
前記寿命期間内の前記暗号鍵を用いて前記他の装置との前記暗号化通信を実行するよう構成された暗号化通信部と、
前記鍵取得部による前記暗号鍵の取得が不能な状態である鍵取得不能状態を検出するよう構成されたサーバ状態検出部と、
前記鍵取得不能状態が検出された場合に前記寿命期間を延長する延長処理を実行するよう構成された寿命延長部と、を備える。
上記(1)の構成によれば、制御装置は、セッション鍵などの暗号鍵を配布する鍵配布サーバから取得した暗号鍵を用いて、共に分散型制御装置を構成する他の制御装置や、HMI装置(後述)、ACS(後述)などとなる他の装置と通信を行う。また、制御装置は、上記の鍵配布サーバがハードウェア故障やサイバー攻撃などによりダウンするなどして暗号鍵の寿命期間の延長ができない状態(鍵取得不能状態)である場合には、その際に使用している暗号鍵の寿命を、鍵配布サーバと通信することなく、自動で延長する。
これによって、暗号鍵の寿命が尽きることにより、分散型制御装置を構成する複数の制御装置間でのデータ通信が不能となるのを防止することができる。このため、分散型制御装置による制御対象の制御が不能となるのを防止することができ、制御対象の稼働率が低下するのを防止することができる。同様に、HMI装置等とのデータ通信が不能となるのを防止することができ、制御装置を介した産業用制御システムの監視や操作が行えなくなることにより、プラントを停止させるような事態を防止することもできる。また、分散型制御装置を構成する制御装置間での通信が寿命制限を有する暗号鍵を用いて暗号化して行われることで、盗聴、改ざん、なりすまし等のサイバー攻撃から分散型制御装置を保護することができる。
(2)幾つかの実施形態では、上記(1)の構成において、
前記寿命期間の満了を判定するよう構成された寿命監視部を、さらに備え、
前記寿命延長部は、前記延長処理として、前記寿命監視部が前記寿命期間の満了を判定しないようにする。
前記寿命期間の満了を判定するよう構成された寿命監視部を、さらに備え、
前記寿命延長部は、前記延長処理として、前記寿命監視部が前記寿命期間の満了を判定しないようにする。
上記(2)の構成によれば、これによって、暗号鍵の寿命期間を適切に延長することができる。
(3)幾つかの実施形態では、上記(2)の構成において、
前記寿命監視部は、前記寿命期間をカウントするよう構成されており、
前記延長処理は、前記寿命監視部のカウント値を所定値だけ戻した状態にする処理である。
前記寿命監視部は、前記寿命期間をカウントするよう構成されており、
前記延長処理は、前記寿命監視部のカウント値を所定値だけ戻した状態にする処理である。
上記(3)の構成によれば、暗号鍵の寿命期間の延長処理は、寿命期間のカウント値を所定値だけ戻した状態にする処理である。これによって、暗号鍵の寿命期間を適切に延長することができる。
(4)幾つかの実施形態では、上記(1)~(3)の構成において、
前記サーバ状態検出部は、前記鍵配布サーバから周期的に送信される状態通知、または前記状態通知の通信状況に基づいて、前記鍵取得不能状態を検出する。
前記サーバ状態検出部は、前記鍵配布サーバから周期的に送信される状態通知、または前記状態通知の通信状況に基づいて、前記鍵取得不能状態を検出する。
上記(4)の構成によれば、鍵配布サーバは自装置の状態を制御装置に周期的に通知するようになっており、制御装置は、鍵配布サーバから通知される鍵配布サーバの状態情報、または、周期的に行われる状態通知の通信状況に基づいて、鍵配布サーバからの暗号鍵の取得(更新)が可能であるか否かを判定する。これによって、上述した鍵取得不能状態を適切に検出することができる。
(5)幾つかの実施形態では、上記(1)~(4)の構成において、
前記制御装置は、分散型制御装置を構成する装置であり、
前記鍵取得部によって取得された前記暗号鍵および前記寿命期間を記憶するよう構成された記憶部と、
前記分散型制御装置に新たに参入しようとする参入制御装置から送信される、前記暗号鍵を要求する鍵要求メッセージを受信するよう構成された鍵要求受信部と、
前記鍵要求メッセージを送信した前記参入制御装置に対して、前記記憶部に記憶されている前記暗号鍵および前記寿命期間を送信する鍵通知部と、をさらに備える。
前記制御装置は、分散型制御装置を構成する装置であり、
前記鍵取得部によって取得された前記暗号鍵および前記寿命期間を記憶するよう構成された記憶部と、
前記分散型制御装置に新たに参入しようとする参入制御装置から送信される、前記暗号鍵を要求する鍵要求メッセージを受信するよう構成された鍵要求受信部と、
前記鍵要求メッセージを送信した前記参入制御装置に対して、前記記憶部に記憶されている前記暗号鍵および前記寿命期間を送信する鍵通知部と、をさらに備える。
上記(5)の構成によれば、制御装置は、自装置が属する分散型制御装置に新たに参入しようとする制御装置(参入制御装置)からの要求に応じて、鍵配布サーバに代わって暗号鍵を通知する。これによって、鍵配布サーバのダウン等により鍵取得不能状態にあったとしても、参入制御装置を分散型制御装置に参入させることができる。
(6)幾つかの実施形態では、上記(5)の構成において、
前記鍵通知部は、前記サーバ状態検出部によって前記鍵取得不能状態が検出されている場合を含む規定条件が満たされる場合に、前記参入制御装置に前記暗号鍵および前記寿命期間を送信する。
前記鍵通知部は、前記サーバ状態検出部によって前記鍵取得不能状態が検出されている場合を含む規定条件が満たされる場合に、前記参入制御装置に前記暗号鍵および前記寿命期間を送信する。
上記(6)の構成によれば、制御装置は、自装置によって鍵取得不能状態を検出していることを条件に、参入制御装置に暗号鍵を送信する。これによって、鍵配布サーバが暗号鍵の配布が可能であるにもかかわらず、制御装置が参入制御装置に対して暗号鍵等を送信することを防止することができる。
(7)幾つかの実施形態では、上記(1)~(6)の構成において、
前記暗号鍵は、セッション鍵である。
上記(7)の構成によれば、上述した寿命期間だけ有効な暗号鍵は、寿命期間内であれば有効な共通鍵暗号の暗号鍵であるセッション鍵である。セッション鍵を用いることで、上記(1)~(6)と同様の効果を奏する。
前記暗号鍵は、セッション鍵である。
上記(7)の構成によれば、上述した寿命期間だけ有効な暗号鍵は、寿命期間内であれば有効な共通鍵暗号の暗号鍵であるセッション鍵である。セッション鍵を用いることで、上記(1)~(6)と同様の効果を奏する。
(8)本発明の少なくとも一実施形態に係る産業用制御システムは、
上記(1)~(7)のいずれか1項に記載された制御装置と、
前記制御装置と他の装置間で共通に用いる、寿命期間を有する暗号鍵を、前記制御装置および前記他の装置に対してそれぞれ配布する鍵配布サーバと、を備える。
上記(8)の構成によれば、上記(1)と同様の効果を奏する。
上記(1)~(7)のいずれか1項に記載された制御装置と、
前記制御装置と他の装置間で共通に用いる、寿命期間を有する暗号鍵を、前記制御装置および前記他の装置に対してそれぞれ配布する鍵配布サーバと、を備える。
上記(8)の構成によれば、上記(1)と同様の効果を奏する。
(9)幾つかの実施形態では、上記(8)の構成において、
前記鍵配布サーバは、冗長化されている。
上記(9)の構成によれば、鍵配布サーバの信頼性を向上させることができる。また、鍵配布サーバを構成する少なくとも1台の装置が適切に動作すれば、分散型制御装置に新たに参入しようとする制御装置(参入制御装置)の参入を可能とすることができる。
前記鍵配布サーバは、冗長化されている。
上記(9)の構成によれば、鍵配布サーバの信頼性を向上させることができる。また、鍵配布サーバを構成する少なくとも1台の装置が適切に動作すれば、分散型制御装置に新たに参入しようとする制御装置(参入制御装置)の参入を可能とすることができる。
(10)本発明の少なくとも一実施形態に係る暗号鍵寿命延長方法は、
通信ネットワークを介して他の装置と通信するよう構成される制御装置で実行される暗号鍵寿命延長方法であって、
前記他の装置との暗号化通信を行うための、寿命期間を有する暗号鍵を前記通信ネットワークを介して鍵配布サーバから取得する鍵取得ステップと、
前記寿命期間内の前記暗号鍵を用いて前記他の装置との前記暗号化通信を実行する暗号化通信ステップと、
前記鍵取得ステップによる前記暗号鍵の取得が不能な状態である鍵取得不能状態を検出するサーバ状態検出ステップと、
前記鍵取得不能状態が検出された場合に前記寿命期間を延長する延長処理を実行する寿命延長ステップと、を備える。
通信ネットワークを介して他の装置と通信するよう構成される制御装置で実行される暗号鍵寿命延長方法であって、
前記他の装置との暗号化通信を行うための、寿命期間を有する暗号鍵を前記通信ネットワークを介して鍵配布サーバから取得する鍵取得ステップと、
前記寿命期間内の前記暗号鍵を用いて前記他の装置との前記暗号化通信を実行する暗号化通信ステップと、
前記鍵取得ステップによる前記暗号鍵の取得が不能な状態である鍵取得不能状態を検出するサーバ状態検出ステップと、
前記鍵取得不能状態が検出された場合に前記寿命期間を延長する延長処理を実行する寿命延長ステップと、を備える。
上記(10)の構成によれば、上記(1)と同様の効果を奏する。
本発明の少なくとも一実施形態によれば、セキュリティ性能および信頼性が向上された分散型制御装置が提供される。
以下、添付図面を参照して本発明の幾つかの実施形態について説明する。ただし、実施形態として記載されている又は図面に示されている構成部品の寸法、材質、形状、その相対的配置等は、本発明の範囲をこれに限定する趣旨ではなく、単なる説明例にすぎない。
例えば、「ある方向に」、「ある方向に沿って」、「平行」、「直交」、「中心」、「同心」或いは「同軸」等の相対的或いは絶対的な配置を表す表現は、厳密にそのような配置を表すのみならず、公差、若しくは、同じ機能が得られる程度の角度や距離をもって相対的に変位している状態も表すものとする。
例えば、「同一」、「等しい」及び「均質」等の物事が等しい状態であることを表す表現は、厳密に等しい状態を表すのみならず、公差、若しくは、同じ機能が得られる程度の差が存在している状態も表すものとする。
例えば、四角形状や円筒形状等の形状を表す表現は、幾何学的に厳密な意味での四角形状や円筒形状等の形状を表すのみならず、同じ効果が得られる範囲で、凹凸部や面取り部等を含む形状も表すものとする。
一方、一の構成要素を「備える」、「具える」、「具備する」、「含む」、又は、「有する」という表現は、他の構成要素の存在を除外する排他的な表現ではない。
例えば、「ある方向に」、「ある方向に沿って」、「平行」、「直交」、「中心」、「同心」或いは「同軸」等の相対的或いは絶対的な配置を表す表現は、厳密にそのような配置を表すのみならず、公差、若しくは、同じ機能が得られる程度の角度や距離をもって相対的に変位している状態も表すものとする。
例えば、「同一」、「等しい」及び「均質」等の物事が等しい状態であることを表す表現は、厳密に等しい状態を表すのみならず、公差、若しくは、同じ機能が得られる程度の差が存在している状態も表すものとする。
例えば、四角形状や円筒形状等の形状を表す表現は、幾何学的に厳密な意味での四角形状や円筒形状等の形状を表すのみならず、同じ効果が得られる範囲で、凹凸部や面取り部等を含む形状も表すものとする。
一方、一の構成要素を「備える」、「具える」、「具備する」、「含む」、又は、「有する」という表現は、他の構成要素の存在を除外する排他的な表現ではない。
図1は本発明の一実施形態に係る産業用制御システム8(ICS)の構成を概略的に示す図である。
産業用制御システム8は、電力、ガス、水道などの社会インフラや、発電プラント、化学プラントなどのプラントの監視および制御のためのシステムである。図1に示す産業用制御システム8は、例えば発電プラントなどのプラントの監視および制御をするための制御システムであり、プラントの自動制御および現場との入出力処理を相互に通信を行いながら実行する複数の制御装置1で構成される分散型制御装置10を備える。以下では、制御装置1が、分散型制御装置10を構成する装置である場合を例に説明する。ただし、本発明はこれには限定されない。他の幾つかの実施形態では、制御装置1は、分散型制御装置10を構成する装置でなくても良い。
産業用制御システム8は、電力、ガス、水道などの社会インフラや、発電プラント、化学プラントなどのプラントの監視および制御のためのシステムである。図1に示す産業用制御システム8は、例えば発電プラントなどのプラントの監視および制御をするための制御システムであり、プラントの自動制御および現場との入出力処理を相互に通信を行いながら実行する複数の制御装置1で構成される分散型制御装置10を備える。以下では、制御装置1が、分散型制御装置10を構成する装置である場合を例に説明する。ただし、本発明はこれには限定されない。他の幾つかの実施形態では、制御装置1は、分散型制御装置10を構成する装置でなくても良い。
より詳細には、図1に示すように、各制御装置1は、制御ネットワークN1を介して、プラントに設置された複数のフィールド機器81に接続された入出力モジュール(IOM82:Input Output Module)に接続される。なお、IOM82に代えて、各制御装置1は、フィールド機器81を制御するPLC(Programmable Logic Controller)に接続されても良い。フィールド機器81は、温度、流量、圧力などを計測する各種のセンサや、バルブ(調節弁など)といった操作端などである。また、制御ネットワークN1は、このようなフィールド機器81と制御装置1とを接続する通信ネットワークNである。そして、各制御装置1は、センサから得られる計測データやイベントデータなどのプラントデータを収集すると共に、収集したプラントデータを用いて各種の演算を実行し、演算結果をIOM82などに送信することによりプラントの自動制御を実行する。
また、図1に示すように、各制御装置1は、例えばイーサネットなどで構築される制御情報ネットワークN2に接続されている。この制御情報ネットワークN2は、プラントの制御や監視、管理を行うためのコンピュータ装置と制御装置1とを接続するIPネットワークなどの通信ネットワークNであり、ファイアウォール装置85を介して企業内LANやインターネット(外部ネットワーク)などの他のネットワークN3に接続される。例えば制御情報ネットワークN2には、プラントの操作および監視を行うヒューマンマシンインタフェース(HMI)となるオペレータステーション(OPS83)や、プラントデータの大容量保存・管理を行うACS84(Accessory Station)などが接続される。そして、制御装置1は、上記のOPS83やインターネット側に接続されたリモートOPS(不図示)などから送信され、制御情報ネットワークN2を介して通信されたプラントに対する命令などを受信すると、その命令実行や応答の返信などを実行する。
上述したような産業用制御システム8は、複数の制御装置1間で暗号化通信を行うように構成される。このため、産業用制御システム8は、図1に示すように、鍵配布サーバ9をさらに備える。図1に示す実施形態では、鍵配布サーバ9は、上述した分散型制御装置10を構成する複数の制御装置1間で共通に用いる暗号鍵K(共通鍵)を、複数の制御装置1に対してそれぞれ配布する機能を有する。この鍵配布サーバ9は、周知な鍵配布センタ(KDC)であっても良い。そして、図1に示すように、各制御装置1は、この鍵配布サーバ9から暗号鍵Kの配布を受けるようになっている。これによって、各制御装置1は、暗号鍵Kを用いて通信データDを暗号化して他の制御装置1に送信すると共に、他の制御装置1から受信した暗号化された通信データDを暗号鍵Kを用いて復号化することができ、複数の制御装置1間の暗号化通信が可能となる。
なお、各制御装置1は、通信ネットワークNに接続された上述した他の制御装置1や、OPS83や、ACS84などの少なくとも1つとなる他の装置と暗号化通信を行っても良く、鍵配布サーバ9は、これらの装置間で用いる暗号鍵Kを配布しても良い。この場合、例えば制御装置1とOPS83との間、制御装置1とACS84との間で用いる暗号鍵Kは同じであっても良いし、異なっていても良い。
また、上記の暗号鍵Kは、鍵配布サーバ9によって設定された所定の寿命期間Tを有している。例えば、暗号鍵Kは、一定期間(寿命期間T)だけ有効な、共通鍵暗号を行うための周知なセッション鍵であっても良い。暗号鍵Kが寿命期間Tを有するため、各制御装置1は、上記の寿命期間Tの経過後は、その暗号鍵Kを用いた他の制御装置1等との暗号化通信を行うことができないようになる。よって、各制御装置1は、鍵配布サーバ9から既に配布を受けている暗号鍵Kの寿命期間Tが経過する前に、新しい暗号鍵Kを鍵配布サーバ9から取得する。このように暗号鍵Kが新しいものに随時更新されていくことで、暗号化通信が不正に解読されるリスクを低減しつつ、各暗号鍵Kの個々の寿命期間Tより長い長期間における制御装置1間等の通信(暗号化通信)が可能とされる。
上述したような産業用制御システム8において、鍵配布サーバ9が、ハードウェア故障やDoS攻撃等の悪意あるサイバー攻撃によりダウンするなど、何らかの理由により制御装置1が鍵配布サーバ9から上記の暗号鍵Kを取得できない場合(以下、鍵取得不能状態)が生じると、上記の暗号鍵Kの寿命期間Tが経過した時点で制御装置1間の通信が不能となる。これにより、フィールド機器81を介して、例えば火力発電プラントのガスタービンやボイラ等の制御対象を緊急停止させるインターロックが働くと制御対象の稼働率の低下を招く。そこで、制御装置1は、鍵取得不能状態を検出すると、その際に自装置が用いている最新の暗号鍵Kの寿命期間Tを自動で延長するように構成される。
以下、このような暗号鍵Kの寿命期間Tの自動延長を行う制御装置1について、図2~図5を用いて、詳細に説明する。図2は、本発明の一実施形態に係る分散型制御装置10の制御装置1の構成を概略的に示すブロック図である。以下では、複数の制御装置1間で暗号化通信を行う場合を例に説明する。
制御装置1は、複数の制御装置1が通信ネットワークNを介して接続される上述した分散型制御装置10を構成する装置であり、鍵配布サーバ9から配布された(取得された)暗号鍵Kを用いた暗号化通信により、自装置を除く1または複数の制御装置1の少なくとも一部と相互に通信データDを交換する。図2に示すように(後述する図4も同様)、制御装置1は、鍵取得部2と、暗号化通信部3と、サーバ状態検出部4と、寿命延長部5と、を備える。
制御装置1が備える上記の機能部について、暗号鍵Kがセッション鍵、鍵配布サーバ9がKDCサーバであるものとして、それぞれ説明する。
制御装置1が備える上記の機能部について、暗号鍵Kがセッション鍵、鍵配布サーバ9がKDCサーバであるものとして、それぞれ説明する。
なお、制御装置1は、例えばコンピュータで構成されている。具体的には、図示しないCPU(プロセッサ)や、ROMやRAMといったメモリ、外部記憶装置などの記憶部mを備えている。そして、主記憶装置にロードされたプログラム(制御プログラム等)の命令に従ってCPUが動作(データの演算など)することで、制御装置1が備える上記の各機能部を実現する。鍵配布サーバ9から配布された寿命期間Tを有する暗号鍵Kは、寿命期間Tと共に上記の記憶部mに記憶される。鍵配布サーバ9も同様にコンピュータで構成されている。
鍵取得部2は、上述した寿命期間Tを有するセッション鍵Kを通信ネットワークNを介して鍵配布サーバ9から取得するよう構成された機能部である。より詳細には、鍵取得部2は、セッション鍵Kを、鍵配布サーバ9から定期的などで取得するように構成される。例えば、鍵取得部2は、鍵配布サーバ9との間で、例えばRFC2409で規定されたIKE(Internet Key Exchange)などの所定の暗号鍵交換プロトコルを実行することで、セッション鍵Kを取得しても良い。図1~図2に示す実施形態では、上記の通信ネットワークNは、既に説明した制御情報ネットワークN2である。
暗号化通信部3は、上述した寿命期間T内のセッション鍵Kを用いて他の制御装置1との暗号化通信を実行するよう構成された機能部である。すなわち、各制御装置1は、他の制御装置1に対して通信データDを送信する際には、暗号化通信部3により、セッション鍵Kを用いて通信データDを暗号化して送信する。逆に、各制御装置1は、他の制御装置1から暗号化された通信データDを受信した場合には、暗号化通信部3により、暗号化に使用するのと同じセッション鍵Kを用いて復号化し、通信データDを得る。
サーバ状態検出部4は、上述した鍵取得部2によるセッション鍵Kの鍵配布サーバ9からの取得が不能な状態である鍵取得不能状態を検出するよう構成された機能部である。具体的には、鍵配布サーバ9から送信される状態通知S(後述)の内容等に基づいて、上記の鍵取得不能状態を検出しても良いし、送信したping等に対する応答の受信状況に基づいて上記の鍵取得不能状態の検出を行っても良い。あるいは、寿命期間Tの満了前に行う鍵取得部2による新たた暗号鍵Kの取得が1以上のリトライ回数失敗した場合に、鍵取得不能状態であると判定しても良い。状態通知Sの詳細については、後述する。
寿命延長部5は、サーバ状態検出部4によって鍵取得不能状態が検出された場合に寿命期間Tを延長する延長処理を実行するよう構成された機能部である。サーバ状態検出部4によって鍵取得不能状態が検出されている際には、鍵配布サーバ9との間で鍵交換プロトコルを実行できない。よって、寿命延長部5は、鍵配布サーバ9と通信することなく、後述するような処理を上記の延長処理として実行する。この延長処理によって、既に取得して使用可能となっている最新のセッション鍵の寿命期間Tが延長されるので、寿命期間Tの満了によって、他の制御装置1との間の通信ができないような事態を回避することが可能となる。
上記の構成によれば、分散型制御装置10を構成する制御装置1は、セッション鍵Kなどの暗号鍵Kを配布する鍵配布サーバ9から取得した暗号鍵Kを用いて、同じく分散型制御装置10を構成する他の制御装置1と通信を行う。また、上記の制御装置1は、上記の鍵配布サーバ9がハードウェア故障やサイバー攻撃などによりダウンするなどして暗号鍵Kの寿命期間Tの延長ができない状態(鍵取得不能状態)である場合には、その際に使用している暗号鍵Kの寿命を、鍵配布サーバ9と通信することなく、自動で延長する。
これによって、暗号鍵Kの寿命が尽きることにより、分散型制御装置10を構成する複数の制御装置1間でのデータ通信が不能となるのを防止することができる。このため、分散型制御装置10によるフィールド機器81を介して制御対象の制御が不能となるのを防止することができ、制御対象の稼働率が低下するのを防止することができる。また、分散型制御装置10を構成する制御装置1間での通信が寿命制限を有する暗号鍵Kを用いて暗号化して行われることで、盗聴、改ざん、なりすまし等のサイバー攻撃から分散型制御装置10を保護することができる。
次に、上述した寿命延長部5による延長処理について、具体的に説明する。
幾つかの実施形態では、図2に示すように、制御装置1は、上述した寿命期間Tの満了を判定するよう構成された寿命監視部6を、さらに備える。そして、寿命延長部5は、上記の延長処理として、この寿命監視部6が寿命期間Tの満了を判定しないようにする。これによって、暗号鍵Kの寿命期間Tを適切に延長することができる。
幾つかの実施形態では、図2に示すように、制御装置1は、上述した寿命期間Tの満了を判定するよう構成された寿命監視部6を、さらに備える。そして、寿命延長部5は、上記の延長処理として、この寿命監視部6が寿命期間Tの満了を判定しないようにする。これによって、暗号鍵Kの寿命期間Tを適切に延長することができる。
具体的には、幾つかの実施形態では、寿命監視部6は、カウンタを用いるなどして上述した寿命期間Tをカウントしても良い。寿命監視部6は、寿命期間Tに相当する回数をカウントアップあるいはカウントダウンによりカウントすると、寿命期間Tが満了したと判定する。
この場合において、幾つかの実施形態では、上記の寿命監視部6が寿命期間Tの満了を判定しないようにする延長処理は、上記の寿命監視部6によるカウント値を所定値だけ戻した状態にする処理であっても良い。つまり、上述した寿命延長部5は、延長処理として、上記の寿命監視部6によるカウント値を所定値だけ戻した状態にする。すなわち、寿命監視部6がカウントアップにより寿命期間Tをカウントしている場合には、カウンタの現在値(カウント値)を所定値だけ減算しても良い。寿命監視部6がカウントダウンにより寿命期間Tをカウントしている場合には、カウンタの現在値を所定値だけ加算しても良い。また、上記の所定値は、予め固定されていても良いし、例えばカウント値の半分などというように、延長処理を実行する際のカウント値に応じた値であっても良い。あるいは、上記の所定値は、延長処理を実行する際のカウント値であっても良く、カウンタ値のリセットにより延長処理を実行しても良い。
これによって、寿命監視部6は、セッション鍵Kの配布時に鍵配布サーバ9に設定されるなどした寿命期間Tで定められた期間を経過したとしても、寿命期間Tの満了を判定しないようになる。ただし、本実施形態に本発明は限定されない。他の幾つかの実施形態では、上述した寿命延長部5は、上記の寿命監視部6によるカウントを停止させることにより、延長処理を実行しても良い。その他の幾つかの実施形態では、上述した寿命延長部5は、寿命期間Tとしてカウントすべきカウンタの総数(時間)を、増大させても良い。
また、寿命延長部5は、例えば、鍵取得不能状態が解消し、鍵配布サーバ9との間で鍵交換プロトコルが適切に行えるようにるまで、上記の延長処理を1回または複数回繰返し行っても良い。具体的には、カウント値と予め定めた閾値とを比較し、カウント値がこの閾値に一致した場合に、延長処理を実行しても良い。これによって、例えば、ダウンした鍵配布サーバ9が復旧可能な復旧可能な期間まで、寿命期間Tを延長させることが可能となる。
上記の構成によれば、暗号鍵Kの寿命期間Tの延長を、寿命期間Tのカウント値を所定値だけ戻した状態にすることにより実行する。これによって、暗号鍵Kの寿命期間Tを適切に延長することができる。
他の幾つかの実施形態では、寿命延長部5は、上述した制御装置1が備える記憶部mの所定の記憶領域に記憶されている寿命期間Tを書き換えることにより、延長処理を実行しても良い。この場合には、寿命監視部6は、記憶部mに記憶された寿命期間Tの書き換えが行われた場合に、その記憶領域の再読み込みを行うようにするなどすれば、延長処理により更新された後の寿命期間Tを監視するようなる。この際、延長処理後の寿命期間Tは、延長処理前の寿命期間Tよりも長くしても良い。延長処理後の寿命期間Tは、例えば、ダウンした鍵配布サーバ9が復旧可能な復旧可能な期間など、鍵取得不能状態が解消するだけ充分長い時間としても良い。
次に、上述したサーバ状態検出部4による鍵取得不能状態の検出方法について、具体的に説明する。
幾つかの実施形態では、上述したサーバ状態検出部4は、鍵配布サーバ9から周期的に送信される状態通知S、または状態通知Sの通信状況に基づいて、鍵取得不能状態を検出(判定)しても良い。この状態通知Sは、鍵配布サーバ9が自発的に自装置の正常または異常といった状態を、通信ネットワークNを介して制御装置1などに通知するものである。この状態通知Sには、異常の場合には、その異常の内容(例えばハードウェア故障、内部異常など)が含まれていても良い。また、状態通知Sは、予め指定されているIPアドレス等の宛先となる複数の制御装置1に対してマルチキャストにより送信されても良い。たたし、本実施形態に本発明は限定されず、他の幾つかの実施形態では、状態通知Sはブロードキャストにより送信されても良い。
幾つかの実施形態では、上述したサーバ状態検出部4は、鍵配布サーバ9から周期的に送信される状態通知S、または状態通知Sの通信状況に基づいて、鍵取得不能状態を検出(判定)しても良い。この状態通知Sは、鍵配布サーバ9が自発的に自装置の正常または異常といった状態を、通信ネットワークNを介して制御装置1などに通知するものである。この状態通知Sには、異常の場合には、その異常の内容(例えばハードウェア故障、内部異常など)が含まれていても良い。また、状態通知Sは、予め指定されているIPアドレス等の宛先となる複数の制御装置1に対してマルチキャストにより送信されても良い。たたし、本実施形態に本発明は限定されず、他の幾つかの実施形態では、状態通知Sはブロードキャストにより送信されても良い。
そして、制御装置1は、鍵配布サーバ9が周期的に送信する状態通知Sの内容に基づいて、鍵取得不能状態であるか否かを判定しても良い。例えば、pingの送信に対する応答の受信状況では、鍵配布サーバ9が有する鍵配布に関する機能の正常、異常までを適切に判断できない場合が有り得るが、状態通知Sの内容に基づいて判定することで、より適切な判定が可能となる。また、制御装置1は、周期的に行われるはずの状態通知Sが1以上の一定回数受信できない場合に鍵取得不能状態であると判定するなど、状態通知Sの通信状況に応じて、鍵取得不能状態であるか否かを判定しても良い。この時、通信ネットワークN自体の異常が原因の可能性もあるため、他の制御装置1との通信が可能である場合に限って、鍵取得不能状態であると判定しても良い。なお、各制御装置1も、上述したような自装置の状態を通知する状態通知を他の制御装置1や鍵配布サーバ9に送信しても良い。
上記の構成によれば、鍵配布サーバ9は自装置の状態を制御装置1に周期的に通知するようになっており、制御装置1は、鍵配布サーバ9から通知される鍵配布サーバ9の状態情報、または、周期的に行われる状態通知Sの通信状況に基づいて、鍵配布サーバ9からの暗号鍵Kの取得(更新)が可能であるか否かを判定する。これによって、上述した鍵取得不能状態を適切に検出することができる。
以上の説明では、複数の制御装置1間で暗号化通信を行う場合を例に本発明を説明した。ただし、上述した実施形態に本発明は限定されない。他の幾つかの実施形態では、制御装置1が、通信ネットワークNに接続されたOPS83やACS84などの他の装置と暗号化通信する場合に適用しても良い。この場合、上述した説明における、制御装置1が暗号化通信を行う他の制御装置1が、OPS83やACS84などの他の装置に置き換えれば良いので、説明を省略する。
次に、上述した制御装置1が、分散型制御装置10を構成する場合に備えることが可能な他の機能部、および鍵配布サーバ9に関する幾つかの実施形態について、図3~図5を用いて説明する。図3は、本発明の一実施形態に係る鍵要求受信部71および鍵通知部72を備える制御装置1の構成を概略的に説明するブロック図である。図4は、本発明の一実施形態に係る分散型制御装置10および鍵配布サーバ9の接続形態を簡略化して示す図であり、図1の制御情報ネットワークN2における接続形態に対応する。また、図5は、本発明の一実施形態に係る参入制御装置1nの分散型制御装置10への参入時のシーケンス図である。
幾つかの実施形態では、図3に示すように、制御装置1は、鍵取得部2によって取得された暗号鍵Kおよび寿命期間Tを記憶するよう構成された記憶部m(前述)と、分散型制御装置10に新たに参入しようとする制御装置1(以下、参入制御装置1n)から送信される、暗号鍵Kを要求する鍵要求メッセージRを受信するよう構成された鍵要求受信部71と、この鍵要求メッセージRを送信した参入制御装置1nに対して、上記の記憶部mに記憶されている暗号鍵Kおよび寿命期間Tを送信する鍵通知部72と、をさらに備えても良い。
図3~図5に示す実施形態では、図4~図5に示すように、参入制御装置1nは、制御情報ネットワークN2に接続された後、分散型制御装置10に参入するために、鍵配布サーバ9との間で鍵交換プロトコルを開始する(図5のS51)。しかし、鍵配布サーバ9が例えばダウンしているため(鍵取得不能状態)、鍵配布サーバ9から、分散型制御装置10の既存の制御装置1間で用いられているのと同じセッション鍵Kを取得することができない。このような場合には、参入制御装置1nは、分散型制御装置10に参入済みの複数の制御装置1のうちの少なくとも1台の制御装置1に対して鍵要求メッセージRを送信する(図5のS52)。具体的には、参入制御装置1nは、自装置の記憶部mに予め記憶されている宛先アドレス(IPアドレスなど)を宛先とした鍵要求メッセージR(IPパケット)を送信しても良い。あるいは、参入制御装置1nは、ブロードキャストにより鍵要求メッセージRを送信しても良く、同一のブロードキャストドメインに属する参入済みの制御装置1に鍵要求メッセージRを送信することができる。
そして、この鍵要求メッセージRを受信した参入済みの制御装置1が、暗号鍵Kおよび寿命期間Tを含む鍵応答メッセージRrを送信する(図5のS53)。この際、幾つかの実施形態では、参入済みの制御装置1の鍵通知部72は、規定条件を満たしている場合に限って、参入制御装置1nに暗号鍵Kおよび寿命期間Tを送信しても良い。この規定条件は、自装置のサーバ状態検出部4によって鍵取得不能状態が検出されている場合を含んでも良い。つまり、制御装置1は、自装置によって鍵取得不能状態を検出していることを条件に、参入制御装置1nに暗号鍵Kを送信する。これによって、鍵配布サーバ9が暗号鍵Kの配布が可能であるにもかかわらず、制御装置1が参入制御装置1nに対して暗号鍵K等を送信することを防止することが可能となる。これによって、参入制御装置1nは、暗号鍵Kおよび寿命期間Tを取得することで、他の複数の制御装置1との暗号化通信が可能となり、分散型制御装置10へ参入することが可能となる。
ただし、本実施形態に本発明は限定されない。他の幾つかの実施形態では、参入制御装置1nは、鍵配布サーバ9が周期的に送信する上述した状態通知Sが受信されない場合に、上述した鍵要求メッセージRを送信しても良い。この場合、鍵配布サーバ9には、暗号鍵Kの配布先として、事前に参入制御装置1nの情報(IPアドレスなど)が登録されていても良い。
上記の構成によれば、制御装置1は、自装置が属する分散型制御装置10に新たに参入しようとする制御装置1(参入制御装置1n)からの要求に応じて、鍵配布サーバ9に代わって暗号鍵Kを通知する。これによって、鍵配布サーバ9のダウン等により鍵取得不能状態にあったとしても、参入制御装置1nを分散型制御装置10に参入させることができる。
また、幾つかの実施形態では、図4に示すように、鍵配布サーバ9は、冗長化されていても良い。図4に示す実施形態では、鍵配布サーバ9は、二重化されている。これによって、鍵配布サーバ9の信頼性を向上させることができる。また、鍵配布サーバ9を構成する少なくとも1台の装置が適切に動作すれば、分散型制御装置10に新たに参入しようとする制御装置1(参入制御装置1n)の参入を可能とすることができる。
以下、上述した制御装置1が実行する処理に対応する暗号鍵寿命延長方法について、図6を用いて説明する。図6は、本発明の一実施形態に係る暗号鍵寿命延長方法を示す図である。
暗号鍵寿命延長方法は、複数の制御装置1が通信ネットワークNを介して接続される分散型制御装置10の制御装置1で実行される方法など、上述した通信ネットワークNを介して、上述した他の装置と通信する制御装置1で実行される方法である。図6に示すように、暗号鍵寿命延長方法は、上述した寿命期間Tを有する暗号鍵Kを上述した通信ネットワークNを介して鍵配布サーバ9から取得する鍵取得ステップと、寿命期間T内の暗号鍵Kを用いて他の装置(他の制御装置1など)との暗号化通信を実行する暗号化通信ステップと、上述した鍵取得不能状態を検出するサーバ状態検出ステップと、この鍵取得不能状態が検出された場合に寿命期間Tを延長する延長処理を実行する寿命延長ステップと、を備える。これらの鍵取得ステップ、暗号化通信ステップ、サーバ状態検出ステップ、および寿命延長ステップは、それぞれ、既に説明した、鍵取得部2、暗号化通信部3、サーバ状態検出部4、寿命延長部5が実行する処理内容と同様であるため、詳細は省略する。
図6に示す実施形態では、ステップS1において鍵取得ステップを実行し、セッション鍵K(寿命期間Tおよび暗号鍵K)を取得する。ステップS2において暗号化通信ステップを実行する。すなわち、ステップS1で取得したセッション鍵Kを用いて他の装置との間で暗号化通信を実行する。そして、ステップS2で用いているセッション鍵Kが有効である際に、ステップS3において、サーバ状態検出ステップを実行する。その結果、この鍵取得不能状態が検出された場合には、ステップS4において、寿命期間Tの経過前のいずれかの時点で上述した延長処理を実行する。鍵取得不能状態の検出直後であっても良いし、寿命期間Tの満了の所定期間前であっても良い。逆に、ステップS3において、鍵取得不能状態が検出されない場合には、ステップS5において、延長処理後のセッション鍵Kを用いて、他の装置との暗号化通信を継続(実行)する。
なお、ステップS5の実行中に、鍵配布サーバ9が復旧し、セッション鍵Kの配布が可能となった場合には、復旧後に配布されたセッション鍵Kによる暗号化通信を行うことになる。
本発明は上述した実施形態に限定されることはなく、上述した実施形態に変形を加えた形態や、これらの形態を適宜組み合わせた形態も含む。
10 分散型制御装置
1 制御装置
1n 参入制御装置
m 記憶部
2 鍵取得部
3 暗号化通信部
4 サーバ状態検出部
5 寿命延長部
6 寿命監視部
71 鍵要求受信部
72 鍵通知部
8 産業用制御システム
81 フィールド機器
82 IOM
83 OPS
84 ACS
85 ファイアウォール装置
9 鍵配布サーバ
N 通信ネットワーク
N1 制御ネットワーク
N2 制御情報ネットワーク
N3 他のネットワーク
K 暗号鍵(セッション鍵)
T 寿命期間
S 状態通知
D 通信データ
R 鍵要求メッセージ
Rr 鍵応答メッセージ
1 制御装置
1n 参入制御装置
m 記憶部
2 鍵取得部
3 暗号化通信部
4 サーバ状態検出部
5 寿命延長部
6 寿命監視部
71 鍵要求受信部
72 鍵通知部
8 産業用制御システム
81 フィールド機器
82 IOM
83 OPS
84 ACS
85 ファイアウォール装置
9 鍵配布サーバ
N 通信ネットワーク
N1 制御ネットワーク
N2 制御情報ネットワーク
N3 他のネットワーク
K 暗号鍵(セッション鍵)
T 寿命期間
S 状態通知
D 通信データ
R 鍵要求メッセージ
Rr 鍵応答メッセージ
Claims (10)
- 通信ネットワークを介して他の装置と通信するよう構成される制御装置であって、
前記他の装置との暗号化通信を行うための、寿命期間を有する暗号鍵を前記通信ネットワークを介して鍵配布サーバから取得するよう構成された鍵取得部と、
前記寿命期間内の前記暗号鍵を用いて前記他の装置との前記暗号化通信を実行するよう構成された暗号化通信部と、
前記鍵取得部による前記暗号鍵の取得が不能な状態である鍵取得不能状態を検出するよう構成されたサーバ状態検出部と、
前記鍵取得不能状態が検出された場合に、前記鍵取得部によって取得された使用可能となっている前記暗号鍵の前記寿命期間を延長する延長処理を実行するよう構成された寿命延長部と、を備えることを特徴とする制御装置。 - 前記寿命期間の満了を判定するよう構成された寿命監視部を、さらに備え、
前記寿命延長部は、前記延長処理として、前記寿命監視部が前記寿命期間の満了を判定しないようにすることを特徴とする請求項1に記載の制御装置。 - 前記寿命監視部は、前記寿命期間をカウントするよう構成されており、
前記延長処理は、前記寿命監視部のカウント値を所定値だけ戻した状態にする処理であることを特徴とする請求項2に記載の制御装置。 - 前記サーバ状態検出部は、前記鍵配布サーバから周期的に送信される状態通知、または前記状態通知の通信状況に基づいて、前記鍵取得不能状態を検出することを特徴とする請求項1~3のいずれか1項に記載の制御装置。
- 前記制御装置は、分散型制御装置を構成する装置であり、
前記鍵取得部によって取得された前記暗号鍵および前記寿命期間を記憶するよう構成された記憶部と、
前記分散型制御装置に新たに参入しようとする参入制御装置から送信される、前記暗号鍵を要求する鍵要求メッセージを受信するよう構成された鍵要求受信部と、
前記鍵要求メッセージを送信した前記参入制御装置に対して、前記記憶部に記憶されている前記暗号鍵および前記寿命期間を送信する鍵通知部と、をさらに備えることを特徴とする請求項1~4のいずれか1項に記載の制御装置。 - 前記鍵通知部は、前記サーバ状態検出部によって前記鍵取得不能状態が検出されている場合を含む規定条件が満たされる場合に、前記参入制御装置に前記暗号鍵および前記寿命期間を送信することを特徴とする請求項5に記載の制御装置。
- 前記暗号鍵は、セッション鍵であることを特徴とする請求項1~6のいずれか1項に記載の制御装置。
- 請求項1~7のいずれか1項に記載された制御装置と、
前記制御装置と他の装置間で共通に用いる、寿命期間を有する暗号鍵を、前記制御装置および前記他の装置に対してそれぞれ配布する鍵配布サーバと、を備えることを特徴とする産業用制御システム。 - 前記鍵配布サーバは、冗長化されていることを特徴とする請求項8に記載の産業用制御システム。
- 通信ネットワークを介して他の装置と通信するよう構成される制御装置で実行される暗号鍵寿命延長方法であって、
前記他の装置との暗号化通信を行うための、寿命期間を有する暗号鍵を前記通信ネットワークを介して鍵配布サーバから取得する鍵取得ステップと、
前記寿命期間内の前記暗号鍵を用いて前記他の装置との前記暗号化通信を実行する暗号化通信ステップと、
前記鍵取得ステップによる前記暗号鍵の取得が不能な状態である鍵取得不能状態を検出するサーバ状態検出ステップと、
前記鍵取得不能状態が検出された場合に、前記鍵取得ステップによって取得された使用可能となっている前記暗号鍵の前記寿命期間を延長する延長処理を実行する寿命延長ステップと、を備えることを特徴とする暗号鍵寿命延長方法。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019025256A JP7300845B2 (ja) | 2019-02-15 | 2019-02-15 | 制御装置、産業用制御システムおよび暗号鍵寿命延長方法 |
| PCT/JP2019/040624 WO2020166132A1 (ja) | 2019-02-15 | 2019-10-16 | 制御装置、産業用制御システムおよび暗号鍵寿命延長方法 |
| US17/289,042 US11956355B2 (en) | 2019-02-15 | 2019-10-16 | Control device, industrial control system, and encryption key life extension method |
| CN201980077412.6A CN113169865B (zh) | 2019-02-15 | 2019-10-16 | 控制装置、工业用控制系统及加密密钥寿命延长方法 |
| DE112019005250.0T DE112019005250T5 (de) | 2019-02-15 | 2019-10-16 | Steuereinrichtung, industrielles Steuersystem und Verfahren zur Verlängerung der Gültigkeitsdauer von Verschlüsselungsschlüsseln |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019025256A JP7300845B2 (ja) | 2019-02-15 | 2019-02-15 | 制御装置、産業用制御システムおよび暗号鍵寿命延長方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020136793A JP2020136793A (ja) | 2020-08-31 |
| JP7300845B2 true JP7300845B2 (ja) | 2023-06-30 |
Family
ID=72045252
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019025256A Active JP7300845B2 (ja) | 2019-02-15 | 2019-02-15 | 制御装置、産業用制御システムおよび暗号鍵寿命延長方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11956355B2 (ja) |
| JP (1) | JP7300845B2 (ja) |
| CN (1) | CN113169865B (ja) |
| DE (1) | DE112019005250T5 (ja) |
| WO (1) | WO2020166132A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11336436B2 (en) * | 2017-05-09 | 2022-05-17 | Nippon Telegraph And Telephone Corporation | Key distribution system and method, key generation apparatus, representative user terminal, server apparatus, user terminal, and program |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005125082A1 (ja) | 2004-06-22 | 2005-12-29 | Matsushita Electric Industrial Co., Ltd. | 通信システムおよび通信装置 |
| US20070016663A1 (en) | 2005-07-14 | 2007-01-18 | Brian Weis | Approach for managing state information by a group of servers that services a group of clients |
| US20090240947A1 (en) | 2008-01-07 | 2009-09-24 | Arvind Goyal | System and method for securely accessing mobile data |
| JP2015142301A (ja) | 2014-01-30 | 2015-08-03 | 株式会社日立製作所 | 鍵管理装置および鍵管理方法 |
Family Cites Families (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2787264B1 (fr) * | 1998-12-15 | 2001-11-02 | Bull Sa | Procede de creation et gestion d'au moins une cle cryptographique et systeme pour sa mise en oeuvre |
| US7149893B1 (en) * | 1999-09-07 | 2006-12-12 | Poofaway.Com, Inc. | System and method for enabling the originator of an electronic mail message to preset an expiration time, date, and/or event, and to control processing or handling by a recipient |
| US6940979B1 (en) * | 2000-11-09 | 2005-09-06 | Nortel Networks Limited | Management of certificates for public key infrastructure |
| US7203310B2 (en) | 2001-12-04 | 2007-04-10 | Microsoft Corporation | Methods and systems for cryptographically protecting secure content |
| JP2004171524A (ja) | 2002-10-30 | 2004-06-17 | Ricoh Co Ltd | サービス提供装置、サービス提供方法、サービス提供プログラム及び記録媒体 |
| JP2004171525A (ja) | 2002-10-30 | 2004-06-17 | Ricoh Co Ltd | サービス提供装置、サービス提供方法、サービス提供プログラム及び記録媒体 |
| US20040138910A1 (en) | 2002-10-30 | 2004-07-15 | Yohichiroh Matsuno | Service providing apparatus, service providing method and computer-readable storage medium |
| US7707406B2 (en) * | 2002-11-08 | 2010-04-27 | General Instrument Corporation | Certificate renewal in a certificate authority infrastructure |
| TWI262011B (en) * | 2003-11-06 | 2006-09-11 | Buffalo Inc | System, access point and method for setting of encryption key and authentication code |
| JP4649865B2 (ja) * | 2003-11-06 | 2011-03-16 | ソニー株式会社 | 情報処理装置、情報記録媒体、および情報処理方法、並びにコンピュータ・プログラム |
| US7743069B2 (en) * | 2004-09-03 | 2010-06-22 | Sybase, Inc. | Database system providing SQL extensions for automated encryption and decryption of column data |
| WO2006033347A1 (ja) * | 2004-09-21 | 2006-03-30 | Matsushita Electric Industrial Co., Ltd. | 機密情報処理方法、機密情報処理装置、およびコンテンツデータ再生装置 |
| US8291224B2 (en) * | 2005-03-30 | 2012-10-16 | Wells Fargo Bank, N.A. | Distributed cryptographic management for computer systems |
| US8295492B2 (en) * | 2005-06-27 | 2012-10-23 | Wells Fargo Bank, N.A. | Automated key management system |
| CN1964254B (zh) * | 2005-11-11 | 2012-11-21 | 华为技术有限公司 | 一种密钥刷新的方法 |
| US8341397B2 (en) * | 2006-06-26 | 2012-12-25 | Mlr, Llc | Security system for handheld wireless devices using-time variable encryption keys |
| US8108670B2 (en) * | 2006-07-13 | 2012-01-31 | Intel Corporation | Client apparatus and method with key manager |
| CN1929373B (zh) * | 2006-10-19 | 2011-04-20 | 中控科技集团有限公司 | 工业安全控制系统及其控制方法 |
| CN100596350C (zh) * | 2006-11-29 | 2010-03-31 | 中控科技集团有限公司 | 工业控制数据的加密解密方法 |
| KR101447726B1 (ko) * | 2006-12-08 | 2014-10-07 | 한국전자통신연구원 | 이동통신시스템에서의 인증키 생성 방법 및 갱신 방법 |
| DE102007005636B4 (de) * | 2007-02-05 | 2008-11-13 | Infineon Technologies Ag | Verfahren zum Erzeugen eines Verkehr-Verschlüsselung-Schlüssels, Verfahren zum Übertragen von Daten, Einrichtungen zum Erzeugen eines Verkehr-Verschlüsselung-Schlüssels,Datenübertragungs-Anordnung |
| JP4379483B2 (ja) * | 2007-04-05 | 2009-12-09 | 富士ゼロックス株式会社 | 情報処理装置及びプログラム |
| US20090092252A1 (en) * | 2007-04-12 | 2009-04-09 | Landon Curt Noll | Method and System for Identifying and Managing Keys |
| US8681990B2 (en) * | 2008-03-28 | 2014-03-25 | International Business Machines Corporation | Renewal management for data items |
| US8423761B2 (en) * | 2008-10-31 | 2013-04-16 | Motorola Solutions, Inc. | Method and device for enabling a trust relationship using an expired public key infrastructure (PKI) certificate |
| US9130758B2 (en) * | 2009-11-10 | 2015-09-08 | Red Hat, Inc. | Renewal of expired certificates |
| JP2011221846A (ja) | 2010-04-12 | 2011-11-04 | Mitsubishi Heavy Ind Ltd | アクセス監視装置及びアクセス監視方法並びにそのプログラム |
| JP2012226680A (ja) | 2011-04-22 | 2012-11-15 | Internatl Business Mach Corp <Ibm> | 産業制御システムを管理する管理システム、管理方法および管理プログラム |
| US9087191B2 (en) * | 2012-08-24 | 2015-07-21 | Vmware, Inc. | Method and system for facilitating isolated workspace for applications |
| CN104737493B (zh) * | 2012-10-26 | 2017-11-21 | 诺基亚技术有限公司 | 移动自组织网络中用于数据安全的方法和装置 |
| US9306751B2 (en) * | 2013-04-30 | 2016-04-05 | Kathie Wilson | Secure time and crypto system |
| US9465947B2 (en) * | 2013-08-05 | 2016-10-11 | Samsung Sds America, Inc. | System and method for encryption and key management in cloud storage |
| US9251334B1 (en) * | 2014-01-30 | 2016-02-02 | Amazon Technologies, Inc. | Enabling playback of media content |
| US10320757B1 (en) * | 2014-06-06 | 2019-06-11 | Amazon Technologies, Inc. | Bounded access to critical data |
| US10003584B1 (en) * | 2014-09-02 | 2018-06-19 | Amazon Technologies, Inc. | Durable key management |
| US10110382B1 (en) * | 2014-09-02 | 2018-10-23 | Amazon Technologies, Inc. | Durable cryptographic keys |
| US9843446B2 (en) * | 2014-10-14 | 2017-12-12 | Dropbox, Inc. | System and method for rotating client security keys |
| US9552485B1 (en) * | 2014-10-21 | 2017-01-24 | Amazon Technologies, Inc. | Cryptographic material renewal |
| EP4254875A3 (en) * | 2014-11-13 | 2023-11-15 | Panasonic Intellectual Property Corporation of America | Key management method, vehicle-mounted network system, and key management device |
| US9843452B2 (en) * | 2014-12-15 | 2017-12-12 | Amazon Technologies, Inc. | Short-duration digital certificate issuance based on long-duration digital certificate validation |
| US10735200B2 (en) * | 2015-03-27 | 2020-08-04 | Comcast Cable Communications, Llc | Methods and systems for key generation |
| US10680809B2 (en) * | 2016-08-04 | 2020-06-09 | Macronix International Co., Ltd. | Physical unclonable function for security key |
| US10673628B1 (en) * | 2017-04-27 | 2020-06-02 | EMC IP Holding Company LLC | Authentication and authorization token management using life key service |
| EP3644548B1 (en) * | 2017-06-21 | 2023-07-26 | Nippon Telegraph And Telephone Corporation | Key exchange system and key exchange method |
| JP6456451B1 (ja) * | 2017-09-25 | 2019-01-23 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 通信装置、通信方法、及びプログラム |
| EP3518489A1 (de) * | 2018-01-26 | 2019-07-31 | Siemens Aktiengesellschaft | Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels |
| US10965449B2 (en) * | 2018-05-31 | 2021-03-30 | Microsoft Technology Licensing, Llc | Autonomous secrets management for a key distribution service |
| US11397823B1 (en) * | 2019-06-26 | 2022-07-26 | Amazon Technologies, Inc. | Remote hardware access service |
-
2019
- 2019-02-15 JP JP2019025256A patent/JP7300845B2/ja active Active
- 2019-10-16 WO PCT/JP2019/040624 patent/WO2020166132A1/ja active Application Filing
- 2019-10-16 CN CN201980077412.6A patent/CN113169865B/zh active Active
- 2019-10-16 DE DE112019005250.0T patent/DE112019005250T5/de active Pending
- 2019-10-16 US US17/289,042 patent/US11956355B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005125082A1 (ja) | 2004-06-22 | 2005-12-29 | Matsushita Electric Industrial Co., Ltd. | 通信システムおよび通信装置 |
| US20070016663A1 (en) | 2005-07-14 | 2007-01-18 | Brian Weis | Approach for managing state information by a group of servers that services a group of clients |
| US20090240947A1 (en) | 2008-01-07 | 2009-09-24 | Arvind Goyal | System and method for securely accessing mobile data |
| JP2015142301A (ja) | 2014-01-30 | 2015-08-03 | 株式会社日立製作所 | 鍵管理装置および鍵管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE112019005250T5 (de) | 2021-08-26 |
| US11956355B2 (en) | 2024-04-09 |
| WO2020166132A1 (ja) | 2020-08-20 |
| JP2020136793A (ja) | 2020-08-31 |
| CN113169865B (zh) | 2024-01-09 |
| US20210409212A1 (en) | 2021-12-30 |
| CN113169865A (zh) | 2021-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103053131B (zh) | 用于防篡改地传输控制数据的方法和系统 | |
| US9294270B2 (en) | Detection of stale encryption policy by group members | |
| US20190289020A1 (en) | Provision of secure communication in a communications network capable of operating in real time | |
| JP6129523B2 (ja) | 通信装置およびプログラム | |
| CN109479056B (zh) | 用于建立到工业自动化系统的安全的通信连接的方法和防火墙系统 | |
| US9674164B2 (en) | Method for managing keys in a manipulation-proof manner | |
| CN102891750A (zh) | 过程控制系统 | |
| EP2767057B1 (en) | Process installation network intrusion detection and prevention | |
| JP2012048488A (ja) | コンピュータシステム | |
| JP6456929B2 (ja) | ネットワークエンドポイント内の通信の保護 | |
| KR101538147B1 (ko) | 보안모듈이 적용된 배전자동화 시스템 및 이를 이용한 보안방법 | |
| JP2014123816A (ja) | 通信システム、通信装置及び通信方法 | |
| JP7300845B2 (ja) | 制御装置、産業用制御システムおよび暗号鍵寿命延長方法 | |
| US11368485B2 (en) | Method, apparatuses and computer program product for monitoring an encrypted connection in a network | |
| JP6407598B2 (ja) | 中継装置、中継方法、及び中継プログラム | |
| CN110892695A (zh) | 在建立连接期间检查受密码保护的通信连接的连接参数的方法、设备和计算机程序产品 | |
| Moon et al. | RTNSS: a routing trace-based network security system for preventing ARP spoofing attacks | |
| JP2021532686A (ja) | 暗号鍵を車内で管理するための方法 | |
| EP3979078B1 (en) | System and method for secure connections in a high availability industrial controller | |
| US9940116B2 (en) | System for performing remote services for a technical installation | |
| JP5826910B2 (ja) | 通信装置および鍵管理方法 | |
| CN106713295B (zh) | 一种医学影像传输方法及其装置 | |
| JP7225958B2 (ja) | 制御装置および制御システム | |
| KR20180027235A (ko) | 보안 소켓 계층 통신을 이용하는 패킷을 선택적으로 검사하는 방법 | |
| JP2006319689A (ja) | 無効判定システム及び無効判定装置及び通信装置及び無効判定方法及び無効判定プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A625 | Written request for application examination (by other person) |
Free format text: JAPANESE INTERMEDIATE CODE: A625 Effective date: 20210910 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20220126 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221122 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221215 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230110 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230210 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230613 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230620 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7300845 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |