特許第6051093号(P6051093)IP Force 特許公報掲載プロジェクト 2015.5.11 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社日立製作所の特許一覧
<>
  • 特許6051093-暗号通信システム 図000002
  • 特許6051093-暗号通信システム 図000003
  • 特許6051093-暗号通信システム 図000004
  • 特許6051093-暗号通信システム 図000005
  • 特許6051093-暗号通信システム 図000006
  • 特許6051093-暗号通信システム 図000007
  • 特許6051093-暗号通信システム 図000008
  • 特許6051093-暗号通信システム 図000009
  • 特許6051093-暗号通信システム 図000010
  • 特許6051093-暗号通信システム 図000011
  • 特許6051093-暗号通信システム 図000012
  • 特許6051093-暗号通信システム 図000013
  • 特許6051093-暗号通信システム 図000014
  • 特許6051093-暗号通信システム 図000015
  • 特許6051093-暗号通信システム 図000016
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6051093
(24)【登録日】2016年12月2日
(45)【発行日】2016年12月27日
(54)【発明の名称】暗号通信システム
(51)【国際特許分類】
   H04L 9/14 20060101AFI20161219BHJP
【FI】
   H04L9/00 641
【請求項の数】9
【全頁数】16
(21)【出願番号】特願2013-85351(P2013-85351)
(22)【出願日】2013年4月16日
(65)【公開番号】特開2014-207625(P2014-207625A)
(43)【公開日】2014年10月30日
【審査請求日】2015年11月4日
(73)【特許権者】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】100100310
【弁理士】
【氏名又は名称】井上 学
(74)【代理人】
【識別番号】100098660
【弁理士】
【氏名又は名称】戸田 裕二
(74)【代理人】
【識別番号】100091720
【弁理士】
【氏名又は名称】岩崎 重美
(72)【発明者】
【氏名】内山 宏樹
(72)【発明者】
【氏名】吉田 博隆
(72)【発明者】
【氏名】鍛 忠司
(72)【発明者】
【氏名】塙 輝記
(72)【発明者】
【氏名】益子 直也
(72)【発明者】
【氏名】大久保 訓
【審査官】 金沢 史明
(56)【参考文献】
【文献】 特開2002−319936(JP,A)
【文献】 米国特許出願公開第2011/0145560(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/00− 9/38
(57)【特許請求の範囲】
【請求項1】
複数の制御装置が通信する暗号通信システムにおいて、
解析装置を更に備え、
前記解析装置は、
制御装置から1つ以上のデータを受信するデータ収集部と、
第1のデータの送信元である制御装置毎に、前記第1のデータの暗号化領域を選択する領域選択ポリシを記憶するポリシ保管部と、
前記データ収集部で収集した第1のデータから前記第1のデータを送信した制御装置を特定し、特定した前記制御装置に対応する領域選択ポリシに基づいて、前記制御装置が送信した前記第1のデータの暗号化領域を示す暗号化領域情報を生成する暗号化領域生成部と、
生成した暗号化領域情報を前記制御装置に送信する暗号化領域リスト配付部と、
を備え、
前記制御装置は、
第1のデータと第2のデータを生成する制御業務処理部と、
前記解析装置から取得した前記第1のデータの前記暗号化領域情報を記憶する暗号化領域リスト保管部と、
前記暗号化領域情報に基づいて、前記第2のデータの暗号処理を行う暗復号処理部と、 他の制御装置に、暗号化された前記第2のデータを送信する送信部と、
を備えることを特徴とする暗号通信システム。
【請求項2】
請求項1に記載の暗号通信システムであって、
前記解析装置は、更に
前記制御装置に対応する暗号化領域要求サイズを記憶するデータ長保管部を備え、
前記ポリシ保管部は、前記領域選択ポリシ毎に優先度を記憶し、
前記暗号化領域生成部は、前記優先度が一番高い領域選択ポリシに基づいて生成した前記暗号化領域のサイズが、前記データ長保管部に格納されている前記暗号化領域要求サイズより小さい場合には、前記暗号領域を除く領域において、次に高い優先度の領域選択ポリシを適用して更に暗号化領域を生成し、生成された1つ以上の暗号化領域のサイズの合計が、前記暗号化領域要求サイズになるまで繰り返す
ことを特徴とする暗号通信システム。
【請求項3】
請求項2に記載の暗号通信システムであって、
前記暗号化領域生成部は、生成された1つ以上の暗号化領域のサイズの合計が、前記データ長保管部に記憶された前記暗号化領域要求サイズより大きい場合は、前記暗号化領域要求サイズと一致するように、前記暗号化領域を生成する
ことを特徴とする暗号通信システム。
【請求項4】
請求項3に記載の暗号通信システムであって、
前記解析装置の前記暗号領域リスト配付部は、
他の制御装置にも前記暗号化領域情報を配付し、
前記他の制御装置は、
前記解析装置から、前記暗号対象領域情報を受信し、前記制御装置が送信した前記第2のデータの暗号対象領域情報データとして記憶する暗号領域リスト保管部と、
暗号化された前記第2のデータを受信した場合、前記暗号対象領域に基づいて暗号化された前記第2のデータを復号する暗復号処理部と、を備える
ことを特徴とする暗号通信システム。
【請求項5】
請求項4に記載の暗号通信システムにおいて、
前記制御装置は、更に、
前記暗号化領域情報に基づいて、前記第2のデータの暗号化領域を抽出する暗号化領域選択部を備え、
前記暗復号処理部は、暗号化領域に相当する、前記第2のデータの暗号対象データに対して、暗号処理を行う
ことを特徴とする暗号通信システム。
【請求項6】
請求項5に記載の暗号通信システムにおいて、
前記制御装置は、
さらに、暗号通信時に利用するヘッダを受信時に取得する暗号ヘッダ取得部と、暗号通信時に利用するヘッダを送信時に生成する暗号ヘッダ生成部と、
を備える
ことを特徴とする暗号通信システム。
【請求項7】
請求項6に記載の暗号通信システムにおいて、
前記ポリシは、
前記制御装置の識別情報と、領域選択方法の識別情報と、優先度を含む
ことを特徴とする暗号通信システム。
【請求項8】
請求項7に記載の暗号通信システムにおいて、
前記領域選択方法とは、
送信データが前記制御装置の動作モードを変更するといった影響が大きいデータが含まれる領域を暗号すべき領域として選択する方法又は、
前記制御装置から送信されるデータの中のデータの変化頻度に応じて暗号すべき領域として選択する方法又は、
前記制御装置から送信されるデータの中で変化量に応じて暗号すべき領域として選択する方法である
ことを特徴とする暗号通信システム。
【請求項9】
解析装置は、
複数の制御装置から1つ以上のデータを受信するステップと、
第1のデータの送信元である制御装置毎に、前記第1のデータの暗号化領域を選択する領域選択ポリシを記憶するステップと、
前記データ収集部で収集した第1のデータから前記第1のデータを送信した制御装置を特定し、特定した前記制御装置に対応する領域選択ポリシに基づいて、前記制御装置が送信した前記第1のデータの暗号化領域を示す暗号化領域情報を生成するステップと、
生成した暗号化領域情報を前記制御装置に送信するステップと、
を備え、
前記制御装置は、
第1のデータと第2のデータを生成するステップと、
前記解析装置から取得した前記第1のデータの前記暗号化領域情報を記憶するステップと、
前記暗号化領域情報に基づいて、前記第2のデータの暗号処理を行うステップと、
他の制御装置に、暗号化された前記第2のデータを送信するステップと、
を備えることを特徴とする暗号通信方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号化及び復号化システムに関する。
【背景技術】
【0002】
近年、電力、鉄道、水道、ガスといった社会インフラで利用される制御システムをターゲットとしたコンピュータウィルスが発見されており、制御システムにおいても情報システムと同様にセキュリティ対策が必要となってきている。
【0003】
また、制御システムでは、センサの情報をもとにバルブやアクチュエータといった装置を動作させ、あらかじめ設定されている圧力や温度を保つことが要求される。そして、社会インフラシステムにおいて圧力や温度を保つためには、短い処理時間内で、センサから情報を取得し、状態を確認し、必要であれば制御を行うということが必要となる。圧力や温度が予め定められた閾値を超えてしまった場合は、社会インフラシステムが正常に動かなくなり、社会への影響が大きい。
【0004】
一方、セキュリティ対策の一つとして暗号技術が知られているが、制御システム内の各装置で実行される処理は上記に示したように、ある限られた処理時間内に処理を完了させる必要があるため、暗号技術導入に伴う処理時間の増加が課題となる。
【0005】
このような課題に対し、データベースの暗号化及び復号化の処理時間を短縮を狙う技術として特許文献1に記載の技術がある。特許文献1に記載の技術では、データベースの項目単位にデータを暗号化及び復号化することが記載されている(段落0109、0193等)。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2002−55608号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
特許文献1に記載の技術では、データベースの項目を単位として、固定の項目を暗号化している。一方、制御システムでは、業務の種類によって送受信するデータフォーマットが異なる場合がある。そのため、業務によって暗号化すべき箇所が異なることがある。特許文献1では、データによって暗号化する箇所を変更することは開示されていない。そのため、安全性が確保できない。
【0008】
従って、暗号化及び復号化の処理時間を短く保ちつつ、多様なデータ種別に対応した安全性の高い暗号通信システムが望まれている。
【課題を解決するための手段】
【0009】
開示する暗号通信システムは、解析装置と複数の制御装置とをネットワークで接続する。解析装置は、制御装置からデータを受信するデータ収集部と、データの送信元である制御装置毎に、データの暗号化領域を選択する領域選択ポリシを記憶するポリシ保管部と、データ収集部で収集したデータからデータの制御装置を取得し、ポリシ保管部に記憶されている制御装置に対応する領域選択ポリシに基づいて、制御装置におけるデータの暗号領域情報を生成する暗号領域生成部と、生成した暗号領域情報を制御装置に送信する暗号領域リスト配付部と、を備え、制御装置は、解析装置から取得したデータの暗号領域情報を記憶する暗号領域リスト保管部と、暗号領域情報に基づいて、データの暗号対象データを抽出する暗号領域選択部と、暗号対象データに対して暗号処理を行う暗復号処理部と、他の制御装置に、暗号処理が行われたデータを含む送信データを送信する送信部と、を備える。
【発明の効果】
【0010】
本発明によれば、暗号化及び復号化の処理時間を短く保ちつつ、多様なデータ種別に対応した安全性の高い暗号通信システムが提供できる。
【図面の簡単な説明】
【0011】
図1】実施例1の暗号通信システムの構成図である。
図2】解析装置、制御装置のハードウェア構成図である。
図3】暗号領域を作成及び配付フローである。
図4】予め格納されている暗号化領域情報を用いて制御装置間で暗号通信を行う処理フローである。
図5】実施例2の暗号通信システムの構成図である。
図6】実施例2の各装置で保持している過去データを用いて暗号化領域情報を生成し、更新する処理フローである。
図7】実施例3の暗号通信システムの構成図である。
図8】データ送信時に過去データを用いて暗号化領域情報を生成し、暗号通信を行う処理フローである。
図9】各装置で保有するポリシの構成図である。
図10】各装置で保有する影響パターンの構成図である。
図11】各装置で保有するポリシに記載される領域選択ポリシである。
図12】各装置で保有する指定データ長を示す図である。
図13】解析装置が収集する通信データの構成図である。
図14】各装置で保有する暗号領域リストの構成図である。
図15】実施例2及び実施例3の各装置で保有する過去データの構成図である。
【発明を実施するための形態】
【0012】
以下、本発明の実施例を説明する。なお、これにより本発明が限定されるものではない。
【0013】
実施例1は、運用開始前の準備段階における処理例であり、実施例2は、運用開始後の更新処理例であり、実施例3は、実施例2において、暗号領域情報を事前送付しない場合の処理例である。
【実施例1】
【0014】
図1は、実施例1の暗号通信システムの構成図である。
【0015】
本実施形態の暗号通信システムは、図1に例示するように、解析装置10と、制御装置20(1)〜20(n)と、ネットワーク30とを含む構成である。
【0016】
解析装置10は、制御装置20(1)〜20(n)間で送受信される通信データを収集するデータ収集部101と、収集したデータを装置毎のデータに分類するフィルタ部102と、収集したデータを用いて装置毎の暗号領域を生成する暗号領域生成部103と、暗号領域を生成する際に利用するポリシを記憶するポリシ保管部104と、生成する暗号領域の長さを記憶するデータ長保管部105と、暗号領域を生成する際に利用するシステムに対して影響を及ぼすデータパターンを記憶する影響パターン保管部106と、ネットワーク30と通信を行う通信部107と、データ収集部101で収集したデータを記憶する通信データ保管部108と、暗号領域生成部103において生成した装置毎の暗号領域を記憶する暗号領域リスト保管部109と、生成した暗号領域リストをネットワーク30内の他の装置に配付する暗号領域リスト配付部110とを含む。
【0017】
制御装置20(1)〜20(n)は、他の装置から受信したデータを用いて制御業務を行う制御業務処理部201(1)〜201(n)と、予め保管されている暗号化領域情報を用いて送受信データの中で暗号や復号を行う領域を選択する暗号領域選択部202(1)〜202(n)と、暗号領域選択部202(1)〜202(n)において選択したデータに対して暗号や復号を行う暗復号処理部203(1)〜203(n)と、解析装置10から受信した暗号化領域情報を格納する暗号領域リスト保管部204(1)〜204(n)と、ネットワーク30と通信を行う通信部205(1)〜205(n)と、受信したデータの送信元を取得する送信元取得部206(1)〜206(n)とを含む。
【0018】
図2は解析装置10および制御装置20(1)〜20(n)のハードウェア構成図である。解析装置10および制御装置20(1)〜20(n)は、通信装置11と、入出力装置12と、記憶装置13と、CPU14と、メモリ15と、記憶媒体17を読み込む読取装置16と、がバスなどの内部通信線18で連結され、構成されている。
【0019】
暗号通信システムにおける処理フローについて説明する。以下に述べる処理フローは、解析装置10や制御装置20(1)〜20(n)の記憶装置に格納されたプログラムがメモリにロードされ、CPUにより実行されることにより、暗号通信システムを構成する装置上に具現化される各処理部により実行されるものである。また、各プログラムは予め記憶装置に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されても良い。
【0020】
また、以下に述べる処理フローでは、暗号化や復号に必要となる鍵情報等は予めシステム内の装置間で共有していることを前提としている。
【0021】
図3は、試運転や試験時に解析装置10において生成した暗号領域データを、運用開始前に、各装置に配付する処理フローを示した図である。ここで、試験とは、出荷前の工場で行うものであり、試運転とは、出荷後の納入先で行うものをいう。すなわち、実際に業務(運用)を開始する前に行う処理フローである。
【0022】
はじめに、制御装置20(1)は、試運転や試験のために他の装置に送信する試験用制御データ(A301)(第1のデータ)を生成する(S301)。次に、生成した試験用制御データ(A301)をネットワーク30内の他の装置に対してブロードキャストする。
【0023】
次に、解析装置10の通信部107は、受信した試験用制御データの送信元を取得する(S302)。次に、解析装置10の通信部107は、試験用制御データそのものを取得し(S303)、送信元と試験用制御データの組合せを通信データ保管部108に格納する(S304)。
【0024】
次に、制御装置20(2)〜20(n)は、試運転や試験のために他の装置に送信する試験用制御データを生成する(S305)。次に、生成した試験用制御データ(A302)をネットワーク30内の他の装置に対してブロードキャストする。
【0025】
次に、解析装置10の通信部107は、受信した試験用制御データの送信元を取得する(S306)。次に、解析装置10の通信部107は、試験用制御データそのものを取得し(S307)、送信元と試験用制御データの組合せを通信データ保管部に格納する(S308)。
【0026】
以上のフローを試運転や試験が完了するまで実施し、解析装置10の通信データ保管部にデータを格納する。
【0027】
試運転や試験が完了した段階で、解析装置10は、通信データ保管部108に格納されているデータから特定の送信元のデータ群のみを抽出する(S309)。次に、ポリシ保管部104に格納されているポリシを取得し(S310)、暗号領域生成部103が、抽出したデータ群とポリシを用いて暗号領域を生成する(S311)。
【0028】
ここで、暗号領域の生成方法は後述の図11に詳細に記載する。次に、暗号領域生成部103が、生成した暗号領域のサイズを判定し、生成した暗号領域のサイズと、指定データ長保管部105に格納されている指定データ長とを比較し、一致しているか判定する(S312)。
【0029】
データ長が指定データ長未満と判定された場合には、S311に戻り、暗号領域生成部103は、既に生成した暗号領域を除外した領域に対して、次の優先度のポリシを適用して暗号領域を追加で生成する。すなわち、暗号領域生成部は、優先度が一番高いポリシに基づいて生成した暗号化領域のサイズが、データ長保管部に格納されている暗号化領域要求サイズより小さい場合には、暗号領域を除く領域において、次に高い優先度のポリシを適用して更に暗号化領域を生成し、生成された1つ以上の暗号化領域のサイズの合計が、暗号化領域要求サイズになるまで繰り返す。暗号領域のデータ長以上である場合には、予め定めた方式で生成された暗号領域から指定データ長分の領域をビット単位で生成する。なお、ビット単位ではなく、バイト単位で生成しても良い。
【0030】
ここで、予め定めた方式とは、例えば指定データ長に達するまでデータの先頭から順に選択してゆく方式や、指定データ長に達するまで乱数を用いてランダムに選択してゆく方式などが考えられるが、これらの方式に限定されるものではない。暗号領域生成部103は、、データ長が指定データ長と一致していると判定した場合には、生成した暗号領域情報を暗号領域リスト保管部に格納する(S313)。
【0031】
次に、暗号領域生成部103は、通信データ保管部に格納されている全送信元に対して暗号領域の生成が完了したか判定する。完了していないと判定された場合にはS309に戻り、暗号領域生成部103は、次の送信元に対する暗号領域情報を生成する。一方、完了していると判断された場合には、暗号領域リスト保管部に格納されている暗号領域リスト(A303)をネットワーク30内の全装置に対して送信する。
【0032】
次に、制御装置20(1)〜20(n)は暗号領域リストを暗号領域リスト保管部に格納する(S316(1)〜S316(n))。
【0033】
図4は、実施例1の各制御装置に格納されている暗号領域リストを用いて暗号通信を行う際の処理フローである。すなわち、実際に業務を開始してから行う処理フローである。
【0034】
はじめに、制御装置20(1)は、制御データ(第2のデータ)を生成する(S401)。次に、暗号領域リスト保管部に格納されている制御装置20(1)用の暗号化領域情報を取得する(S402)。次に、取得した暗号化領域情報を用いて、制御データの中で暗号を行うデータを選択する(S403)。なお、1つの制御装置から、1種類の制御データが作成される。
【0035】
次に、選択したデータを暗号化する(S404)。例えば、暗号化領域情報とは暗号を行う領域を示すデータ列(暗号を行う部分のみ1で表した列で、(1 0 0 0 0 0 0 0 ・・・)である)を示し、暗号を行うデータとは、上記情報を用いてもとの平文(12 13 14 15 16 17 18・・・)からデータを抽出したもの(この例では12)である。
【0036】
次に、制御データ中の暗号化したデータと暗号化していないデータを結合し、部分暗号化送信データを構築する(S405)。次に、ネットワーク30内の他の装置に対して部分暗号化送信データ(A401)を送信する。
【0037】
次に、制御装置20(2)〜20(n)は、受信した部分暗号化送信データ(A401)の送信元を取得する(S406)。次に、取得した送信元情報から、暗号領域リスト保管部に格納されている送信元の暗号化領域情報を取得する(S407)。
【0038】
次に、取得した暗号化領域情報を用いて受信した部分暗号化送信データから暗号化データを選択し(S408)、復号を行う(S409)。次に、復号したデータと部分暗号化送信データのうち暗号化されていないデータを組合せて平文データを構築する(S410)。
【実施例2】
【0039】
図5は、実施例2の暗号通信システムの構成図である。
【0040】
実施例1と異なるのは、暗号領域を生成する際に利用するポリシが保管されているポリシ保管部207(1)〜207(n)と、生成する暗号領域の長さを示すデータ長保管部208(1)〜208(n)と、暗号領域を生成する際に利用するシステムに対して影響を及ぼすデータパターンが格納されている影響パターン保管部209(1)〜209(n)と、装置内に格納されている過去データを用いて暗号領域を生成する暗号領域生成部210(1)〜210(n)と、生成した暗号化領域情報をネットワーク30内の他の装置に通知する暗号領域通知部211(1)〜211(n)と、各装置から受信した平文データを格納する過去データ保管部212(1)〜212(n)と、を含む点である。
【0041】
図6は、実施例2の実運用後に各制御装置20(1)〜20(n)内で暗号化領域を生成し、他の装置に送付する場合の処理フローを示した図である。
【0042】
はじめに、制御装置20(1)は、過去データ保管部に格納されている過去データを取得する(S601)。この処理は、例えば、制御装置の起動時、管理者による指示に基づく起動、又は管理者や他の装置からの指示コマンドをトリガーとする。次に、制御装置20(1)は、ポリシ保管部に格納されているポリシを取得し(S602)、取得した過去データとポリシを用いて、暗号領域選択部202は、暗号化領域を決定する(S603)。ここで、暗号化領域の決定方法は後述の図11に詳細に記載する。
【0043】
次に、暗号領域選択部202は、生成した暗号化領域のサイズを判定し、指定データ長保管部に格納されている指定データ長との長さを比較し、一致しているか判定する(S604)。暗号化領域のデータ長が不足している場合には、次の優先度のポリシを適用して暗号化領域を追加で生成する(S603)。暗号領域のデータ長が格納された指定データ長以上の場合には、暗号領域選択部202は、予め定めた方式で生成された暗号領域から指定データ長分の領域をビット単位で生成する。なお、ビット単位ではなく、バイト単位で生成しても良い。
【0044】
ここで、予め定めた方式とは、例えば指定データ長に達するまでデータの先頭から順に選択してゆく方式や、指定データ長に達するまで乱数を用いてランダムに選択してゆく方式などが考えられるが、これらの方式に限定されるものではない。
【0045】
一方、データ長が指定データ長と一致していると判定された場合には、暗号領域選択部202は、生成された暗号領域を暗号領域リスト保管部の自装置のデータとして更新する(S605)。次に、ネットワーク30内の他の装置に対して生成した暗号化領域情報(A601)を送信する。
【0046】
次に、制御装置20(2)〜20(n)は、受信した暗号化領域情報(A601)を用いて、各装置の暗号領域リストを更新する(S606)。
【実施例3】
【0047】
図7は、実施例3の暗号通信システムの構成図である。
【0048】
実施例1と異なるのは、暗号領域を生成する際に利用するポリシが保管されているポリシ保管部207(1)〜207(n)と、生成する暗号領域の長さを示すデータ長保管部208(1)〜208(n)と、暗号領域を生成する際に利用するシステムに対して影響を及ぼすデータパターンが格納されている影響パターン保管部209(1)〜209(n)と、装置内に格納されている過去データを用いて暗号領域を生成する暗号領域生成部210(1)〜210(n)と、各装置から送信したデータの履歴を格納する過去データ保管部212(1)〜212(n)と、他の装置から受信したデータの中の暗号ヘッダを取得する暗号ヘッダ取得部213(1)〜213(n)と、データ送信時に付与する暗号ヘッダを生成する暗号ヘッダ生成部214(1)〜214(n)と、を含む点である。
【0049】
図8は、制御装置20(1)から制御装置20(2)〜20(n)に対して暗号通信を行う場合に、送信時に暗号領域を動的に生成する場合の処理フローを示した図である。
【0050】
制御装置20(1)の制御業務処理部201は、制御データを生成する(S801)。次に、暗号領域選択部202は、過去データ保管部212にデータが格納されているか判定する(S802)。その結果、過去データが格納されていないと判断された場合には、S402に遷移する(S803)。過去データが格納されていると判断された場合には、過去データを取得する(S804)。
【0051】
次に、暗号領域選択部202は、ポリシ保管部に格納されているポリシを取得し(S805)、取得した過去データと生成した制御データとポリシを用いて暗号化領域を生成する(S806)。ここで、暗号化領域の生成方法は後述の図11に詳細に記載する。次に、暗号領域選択部202は、生成した暗号化領域のサイズを判定し、指定データ長保管部に格納されている指定データ長の長さと比較する(S807)。
【0052】
暗号領域のデータ長が不足している場合には、次の優先度のポリシを適用して暗号化領域を追加で生成する。暗号領域のデータ長が、格納された指定データ長以上の場合には、予め定めた方式で生成された暗号領域から指定データ長分のデータを選択する。
【0053】
ここで、予め定めた方式とは、例えば指定データ長に達するまでデータの先頭から順に選択してゆく方式や、指定データ長に達するまで乱数を用いてランダムに選択してゆく方式などが考えられるが、これらの方式に限定されるものではない。一方、データ長が指定データ長と一致していると判定された場合には、暗復号処理部203は、生成された暗号領域を用いて制御データの中で暗号を行う領域を選択する(S808)。
【0054】
次に、暗復号処理部203は、選択した領域を暗号化する(S809)。次に、制御データ中の暗号化したデータと暗号化していないデータを結合し、部分暗号化送信データを構築する(S810)。次に、暗号化領域情報を含む暗号ヘッダを生成し(S811)、通信部205が、ネットワーク30内の他の装置に対して暗号ヘッダと部分暗号化送信データ(A801)を送信する。
【0055】
次に、制御装置20(2)〜20(n)の送信元取得部206は、受信した暗号ヘッダと部分暗号化送信データ(A801)から暗号ヘッダを取得する(S812)。次に、送信元取得部206は、取得した暗号ヘッダから、送信元の暗号化領域情報を取得する(S813)。次に、暗復号処理部203は、取得した暗号化領域情報を用いて受信した部分暗号化送信データから暗号化データを選択し(S814)、復号を行う(S815)。次に、暗復号処理部203は、復号したデータと部分暗号化送信データのうち暗号化されていないデータを組合せて平文データを構築する(S816)。
【0056】
図9は、実施例1、実施例2及び実施例3のポリシ保管部(104、209(1)〜209(n))に格納されるポリシの構成図である。
【0057】
ポリシ(A901)は、装置を識別するID(A902)と、適用するポリシの優先度を示す優先度(A903)と、領域を選択する際に利用するポリシを識別するID(A904)から構成される。ここで、ポリシ(A901)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、ポリシ(A901)の構成要素の順序は上記に限定されるものではない。
【0058】
図10は、実施例1、実施例2及び実施例3の影響パターン保管部(106、209(1)〜209(n))に格納される影響パターンの構成図である。
【0059】
影響パターン(A1001)は、装置を識別するID(A1002)と、そのデータパターンをA1002で示される装置に送信した際の影響の大きさを示す影響度(A1003)と、具体的なデータのパターン(A1004)を含む。制御システムの場合には、圧力や温度の調整を行うバルブや弁を制御する装置が多数接続されている。
【0060】
そのため、それらの装置を不正に操作することにより、制御システム全体に対して影響が広がる可能性があるため、各装置の動作モードを変更するようなデータは影響が大きいと考えられる。ここで、影響パターン(A1001)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、影響パターン(A1001)の構成要素の順序は上記に限定されるものではない。
【0061】
図11は、実施例1、実施例2及び実施例3のポリシ保管部(104、207(1)〜207(n))に格納される領域選択ポリシの図である。
【0062】
領域選択ポリシ0001(A1101)は、試運転や試験時もしくは過去データとして収集したデータを集計したもの(集計送信パケットA1102)と、影響パターン保管部(A1103)に格納されている影響パターンを比較し、影響度の高いパターンが含まれる領域から優先的に暗号化を実施するポリシである。
【0063】
領域選択ポリシ0002および領域選択ポリシ0003(A1104)は、試運転や試験時、もしくは、過去データとして収集したデータ(A1105)におけるある一定の領域ごとの各パケット間の変化率(A1106(1)〜A1106(n))を算出し、この変化率の大きさをもとに暗号化領域を選択するポリシである。アプリケーションによって変化率の大きいものから優先的に行うケースと、変化率の小さいものから優先的に行うものが存在するため、両者それぞれに領域選択ポリシIDが割り当てられている。
【0064】
領域選択ポリシ0004および領域選択ポリシ0005(A1107)は、試運転や試験時、もしくは、過去データとして収集したデータ(A1108)におけるある一定の領域ごとの各パケット間の差分(A1109(1)〜1109(n))を算出し、この差分の大きさをもとに暗号化領域を選択するポリシである。アプリケーションによって差分の大きいものから優先的に行うケースと、差分の小さいものから優先的に行うものが存在するため、両者それぞれに領域選択ポリシIDが割り当てられている。
【0065】
図12は、実施例1、実施例2及び実施例3のデータ長保管部(105、208(1)〜208(n))に格納される指定データ長の構成図である。
【0066】
指定データ長(A1201)は、装置を識別するID(A1202)と、各装置において暗号化を行う領域のサイズ(A1203)(暗号化領域要求サイズ)を含む。暗号化領域のサイズは、管理人が試験用データを送付する前に、各装置の処理性能や周期処理上で余裕がある処理時間の長さなどから決定する。すなわち、要求された処理時間内の空き時間に基づいて決定する。ここで、指定データ長(A1201)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、指定データ長(A1201)の構成要素の順序は上記に限定されるものではない。
【0067】
装置毎に暗号化を行う領域のサイズを決定することにより、制御装置の処理時間に影響を与えない範囲でデータの暗号化を行うことが可能となる。
【0068】
図13は、実施例1、実施例2及び実施例3の解析装置10によって収集される通信データの構成図である。
【0069】
通信データ(A1301)は、装置を識別するID(A1302)と、各装置から送信された制御データ(A1303)を含む。ここで、通信データ(A1301)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、通信データ(A1301)の構成要素の順序は上記に限定されるものではない。
【0070】
図14は、実施例1、実施例2及び実施例3の暗号領域リスト保管部(109、204(1)〜204(n))に格納される暗号領域リストの構成図である。
【0071】
暗号領域リスト(A1401)は、装置を識別するID(A1402)と、各装置においてデータを送信する際に暗号化する領域を示す暗号化領域(A1403)と、から構成される。ここで、暗号化領域リスト(A1401)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、暗号化領域リスト(A1401)の構成要素の順序は上記に限定されるものではない。
【0072】
図15は、実施例2及び実施例3の過去データ保管部(212(1)〜212(n))に格納される過去データの構成図である。
【0073】
過去データ(A1501)は、送信した順序を示す送信シーケンス番号(A1502)と、実際に送信したデータ(A1503)と、を含む。ここで、過去データ(A1501)の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、過去データ(A1501)の構成要素の順序は上記に限定されるものではない。
【0074】
これらの構成、手順およびデータ構造を実現することにより、部分的な暗号化によりセキュリティの確保を行うシステムにおいて、各装置で利用されるアプリケーションや各装置の利用状況に応じて、適切な部分暗号領域を選択することが可能となる。また、試運転や試験時の業務データを解析することにより部分暗号領域を選択し、各装置に配付するため、人手に頼ることなく精度の良い部分暗号領域を選択することが可能となる。
【0075】
なお、本発明は、上記の実施形態に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。
【0076】
たとえば、制御装置内にネットワークとの通信機能が含まれておらず、別の装置を経由してネットワークと通信を行う場合や、暗号領域リストやポリシやデータ長を装置内に保有せず、他の装置から取得する場合などである。
【0077】
該実施形態の場合においてもシステム全体において行う処理に本質的な変化はない。
【0078】
本発明によれば、部分的な暗号化によりセキュリティの確保を行うシステムにおいて、各装置で利用されるアプリケーションや各装置の利用状況に応じて、適切な部分暗号領域を選択することが可能となる。また、試運転や試験時のパケットデータを解析することにより部分暗号領域を選択し、各装置に配付するため、人手に頼ることなく精度の良い部分暗号領域を選択することが可能となる。
【符号の説明】
【0079】
10:解析装置、11:通信装置、12:入出力装置、13:記憶装置、14:CPU、15:メモリ、16:読取装置、17:記憶媒体、18:内部信号線、101:データ収集部、102:フィルタ部、103:暗号領域生成部、104:ポリシ保管部、105:データ長保管部、106:影響パターン保管部、107:通信部、108:通信データ保管部、109:暗号領域リスト保管部、20(1)〜20(n):制御装置、201(1)〜201(n):制御業務処理部、202(1)〜202(n):暗号領域選択部、203(1)〜203(n):暗復号処理部、204(1)〜204(n):暗号領域リスト保管部、205(1)〜205(n):通信部、206(1)〜206(n):送信元取得部、207(1)〜207(n):ポリシ保管部、208(1)〜208(n):データ長保管部、209(1)〜209(n):影響パターン保管部、210(1)〜210(n):暗号領域生成部、211(1)〜211(n):暗号領域通知部、212(1)〜212(n):過去データ保管部、213(1)〜213(n):暗号ヘッダ取得部、214(1)〜214(n):暗号ヘッダ生成部、30:ネットワーク、A301:制御データ、A302:制御データ、A303:暗号化領域情報リスト、A401:部分暗号化送信データ、A601:暗号化領域情報、A801:暗号ヘッダ、部分暗号化送信データ、A901:ポリシ、A902:装置ID、A903:優先度、A904:領域選択ポリシ、A1001:影響パターン、A1002:装置ID、A1003:影響度、A1004:データパターン、A1101:領域選択ポリシ0001、A1102:集計送信パケット、A1103:影響パターン保管部、A1104:領域選択ポリシ0002および領域選択ポリシ0003、A1105:集計送信パケット、A1106(1)〜A1106(n):変化率、A1107:領域選択ポリシ0004および領域選択ポリシ0005、A1108:集計送信パケット、A1109(1)〜A1109(n):差分、A1201:指定データ長、A1202:装置ID、A1203:暗号領域サイズ、A1301:通信データ、A1302:装置ID、A1303:制御データ、A1401:暗号領域リスト、A1402:装置ID、A1403:暗号領域、A1501:過去データ、A1502:送信シーケンス番号、A1503:送信データ
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15