知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6234804
(24)【登録日】2017年11月2日
(45)【発行日】2017年11月22日
(54)【発明の名称】通信中継装置
(51)【国際特許分類】
H04L 12/46 20060101AFI20171113BHJP
H04L 12/70 20130101ALI20171113BHJP
【FI】
H04L12/46 M
H04L12/70 Z
【請求項の数】7
【全頁数】15
(21)【出願番号】特願2013-262480(P2013-262480)
(22)【出願日】2013年12月19日
(65)【公開番号】特開2015-119386(P2015-119386A)
(43)【公開日】2015年6月25日
【審査請求日】2016年3月30日
(73)【特許権者】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110000279
【氏名又は名称】特許業務法人ウィルフォート国際特許事務所
(72)【発明者】
【氏名】遠藤 浩通
(72)【発明者】
【氏名】山田 勉
【審査官】
大石 博見
(56)【参考文献】
【文献】
米国特許出願公開第2006/0253903(US,A1)
【文献】
特開2004−140618(JP,A)
【文献】
特開2000−216849(JP,A)
【文献】
特開2013−219435(JP,A)
【文献】
国際公開第2013/035451(WO,A1)
【文献】
特開2012−175200(JP,A)
【文献】
特開2008−131466(JP,A)
【文献】
特開2013−168763(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/46
H04L 12/70
(57)【特許請求の範囲】
【請求項1】
第一通信装置により送信される通信フレーム内の複数の要素を順に受信し、前記通信フレームの受信タイミングを検出する受信部と、
前記受信タイミングに基づいて、前記通信フレームの特徴を示す特徴値を決定し、前記特徴値が条件を満たすか否かを判定する判定部と、
前記受信される複数の要素を順に伝達し、前記特徴値が前記条件を満たさないと判定された場合、前記伝達される複数の要素の一部を変更する変更部と、
前記伝達される複数の要素を順に第二通信装置へ送信する送信部と、
を備え、
前記変更部は、前記特徴値が前記条件を満たさないと判定された場合、前記伝達される複数の要素のうち、前記通信フレームのフォーマット内の第一領域に対応する要素を変更し、
前記受信される複数の要素を順に所定時間だけ遅延させて出力するバッファを更に備え、
前記変更部は、前記出力される複数の要素を順に伝達し、前記特徴値が前記条件を満たさないと判定された場合、前記出力される複数の要素のうち前記第一領域に対応する要素を変更し、
前記バッファは、シフトレジスタであり、
前記判定部は、前記シフトレジスタに保持されているビット列の特定部分を特徴値として決定し、
前記特徴値を決定するルールと前記条件とを記憶する記憶部を更に備え、
前記ルールは、前記通信フレームにおける前記特徴値の抽出開始ビット位置と、抽出するビット長とを含み、
前記判定部は、前記バッファと複数のデータ引き出し線を介して接続された出力レジスタをさらに有し、
前記判定部は、前記受信タイミングと、前記抽出開始ビット位置と、前記ビット長とに基づいて、前記出力レジスタから前記特徴値をラッチするイネーブル信号の出力タイミングを決定するとともに、前記バッファから前記出力レジスタに入力されるデータ列から抽出するビット位置を示すマスクパターンを決定し、前記バッファから前記出力レジスタに入力されるデータ列に対して前記マスクパターンを乗じ、前記出力レジスタに前記出力タイミングに従って前記イネーブル信号を出力することにより、前記特徴値を抽出する
通信中継装置。
前記受信タイミングに基づいて、前記通信フレームの特徴を示す特徴値を決定し、前記特徴値が条件を満たすか否かを判定する判定部と、
前記受信される複数の要素を順に伝達し、前記特徴値が前記条件を満たさないと判定された場合、前記伝達される複数の要素の一部を変更する変更部と、
前記伝達される複数の要素を順に第二通信装置へ送信する送信部と、
を備え、
前記変更部は、前記特徴値が前記条件を満たさないと判定された場合、前記伝達される複数の要素のうち、前記通信フレームのフォーマット内の第一領域に対応する要素を変更し、
前記受信される複数の要素を順に所定時間だけ遅延させて出力するバッファを更に備え、
前記変更部は、前記出力される複数の要素を順に伝達し、前記特徴値が前記条件を満たさないと判定された場合、前記出力される複数の要素のうち前記第一領域に対応する要素を変更し、
前記バッファは、シフトレジスタであり、
前記判定部は、前記シフトレジスタに保持されているビット列の特定部分を特徴値として決定し、
前記特徴値を決定するルールと前記条件とを記憶する記憶部を更に備え、
前記ルールは、前記通信フレームにおける前記特徴値の抽出開始ビット位置と、抽出するビット長とを含み、
前記判定部は、前記バッファと複数のデータ引き出し線を介して接続された出力レジスタをさらに有し、
前記判定部は、前記受信タイミングと、前記抽出開始ビット位置と、前記ビット長とに基づいて、前記出力レジスタから前記特徴値をラッチするイネーブル信号の出力タイミングを決定するとともに、前記バッファから前記出力レジスタに入力されるデータ列から抽出するビット位置を示すマスクパターンを決定し、前記バッファから前記出力レジスタに入力されるデータ列に対して前記マスクパターンを乗じ、前記出力レジスタに前記出力タイミングに従って前記イネーブル信号を出力することにより、前記特徴値を抽出する
通信中継装置。
【請求項2】
前記記憶部は、外部からの入力に基づいて、前記特徴値を決定する前記ルールと前記条件とを記憶する
請求項1に記載の通信中継装置。
請求項1に記載の通信中継装置。
【請求項3】
前記条件は、前記特徴値と比較するための判定値と、前記特徴値と前記判定値との間の関係演算子とを含む
請求項1又は請求項2に記載の通信中継装置。
請求項1又は請求項2に記載の通信中継装置。
【請求項4】
前記ルールは、前記フォーマット内の第二領域を示し、
前記判定部は、前記受信タイミングに基づいて、前記受信される複数の要素のうち前記第二領域に対応する要素を前記特徴値として決定する、
請求項3に記載の通信中継装置。
前記判定部は、前記受信タイミングに基づいて、前記受信される複数の要素のうち前記第二領域に対応する要素を前記特徴値として決定する、
請求項3に記載の通信中継装置。
【請求項5】
前記フォーマットにおいて、前記第一領域は前記第二領域より後である、
請求項4に記載の通信中継装置。
請求項4に記載の通信中継装置。
【請求項6】
前記第一領域に対応する要素は、誤り検査符号である、
請求項5に記載の通信中継装置。
請求項5に記載の通信中継装置。
【請求項7】
前記記憶部は、複数の前記ルールと、複数の前記ルールにそれぞれ対応する複数の条件とを記憶し、
前記判定部は、前記出力レジスタを複数備え、前記複数の出力レジスタから前記複数のルールのそれぞれに対応する複数の特徴値を抽出し、前記複数の特徴値が対応する条件をそれぞれ満たすか否かを判定し、
前記変更部は、前記複数の特徴値の何れかが対応する条件を満たさないと判定された場合、前記伝達される複数の要素のうち前記第一領域に対応する要素を変更する、
請求項6に記載の通信中継装置。
前記判定部は、前記出力レジスタを複数備え、前記複数の出力レジスタから前記複数のルールのそれぞれに対応する複数の特徴値を抽出し、前記複数の特徴値が対応する条件をそれぞれ満たすか否かを判定し、
前記変更部は、前記複数の特徴値の何れかが対応する条件を満たさないと判定された場合、前記伝達される複数の要素のうち前記第一領域に対応する要素を変更する、
請求項6に記載の通信中継装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信中継装置に関する。
【背景技術】
【0002】
プラント等の設備を制御する制御システムにおいて安全かつ安定な動作を維持する必要がある。一方、制御装置に対し、その動作を阻害したり演算能力を浪費させたりする意図で、制御システムネットワークを介して不正な内容、順序、あるいは量のデータが送られる場合がある。
【0003】
不正な通信パケットを遮断する能力を具備したファイアウォールやIntrusion Protection System(IPS)等の通信中継装置を介して防御対象の装置を制御システムネットワークに接続する手法が知られている。特許文献1には、送信装置が送信する複数のパケットを受信し、格納し、複数のパケットから組立てたデータから抽出したデータ情報に基づいて、複数のパケットを受信装置に対して送信するかどうかを判断する中継装置が記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006−148505号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
リアルタイム制御を行う制御システムの制御システムネットワークは、制御対象設備から取得した状態値や、制御対象設備へ出力する指令値、制御装置同士が協調して動作するために共有される状態値などのデータを扱う。制御対象設備を適切に制御するためには、制御システムネットワーク上の通信は可能な限り低遅延であることが求められる。
【0006】
特許文献1には、通信データのパケットを中継装置内に格納することが開示されている。この場合、パケットの中継時にメモリ等への書き込みと読み出しという少なくとも2回のメモリ操作が必要であり、中継による遅延を増大させる要因となる。メモリ素子やバスの高速化により遅延を短縮できる可能性はあるが、中継装置の大型化や消費電力の増加を招く。このような高速化は、多くの制御対象設備において制御装置の設置場所が限られていることや、制御装置の信頼性確保のために発熱量が管理されている点を考慮すると、好ましくない。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本発明の一態様である通信中継装置は、第一通信装置により送信される通信フレーム内の複数の要素を順に受信し、通信フレームの受信タイミングを検出する受信部と、受信タイミングに基づいて、通信フレームの特徴を示す特徴値を決定し、特徴値が条件を満たすか否かを判定する判定部と、受信される複数の要素を順に伝達し、特徴値が条件を満たさないと判定された場合、伝達される複数の要素の一部を変更する変更部と、伝達される複数の要素を順に第二通信装置へ送信する送信部と、を備える。
【発明の効果】
【0008】
本発明の一態様によれば、通信フレームの中継による遅延を抑えると共に、不正な通信フレームを中継する場合、中継先に通信フレームを排除させることができる。
【図面の簡単な説明】
【0009】
【図1】本発明の実施例1の制御システムの構成を示す。
【図2】実施例1の通信中継装置の構成を示す。
【図3】通信フレームのフォーマットを示す。
【図4】データ抽出バッファの構成を示す。
【図5】ルール判定部の構成を示す。
【図6】特徴値抽出ルール定義部および通過条件定義部の構成を示す。
【図7】中継有効判定部の構成を示す。
【図8】置換バッファの構成を示す。
【図9】置換バッファの動作を示すタイムチャートである。
【図10】通信中継装置から第二通信装置への送信動作を模式的に示す。
【図11】実施例1の変形例の通信中継装置の構成を示す。
【図12】実施例2の通信中継装置の構成を示す。
【図13】実施例2の変形例の通信中継装置の構成を示す。
【発明を実施するための形態】
【0010】
以下、図面を用いて本発明の実施例を説明する。
【実施例1】
【0011】
本実施例では、プラントの制御システムに適用される通信中継装置について説明する。
【0012】
<制御システム>
【0013】
制御システムの構成について説明する。
【0014】
図1は、本発明の実施例1の制御システムの構成を示す。この制御システムは、制御対象設備410と、制御装置420と、通信中継装置10と、監視制御サーバ430と、HMI装置510と、生産管理サーバ520と、端末装置610と、ファイアウォール620とを含む。制御対象設備410は、制御装置420に接続されている。制御装置420は更に、通信中継装置10および制御システムネットワーク20を介して、監視制御サーバ430に接続されている。監視制御サーバ430は更に、制御系情報ネットワーク500を介して、HMI装置510および生産管理サーバ520に接続されている。生産管理サーバ520は更に、情報系ネットワーク600を介して、端末装置610およびファイアウォール620に接続されている。ファイアウォール620は更に、インターネットなどの外部ネットワーク700に接続されている。
【0015】
ファイアウォール620は、情報系ネットワーク600と外部ネットワーク700との間の通信を中継すると共に、外部ネットワーク700から情報系ネットワーク600への不正アクセスを防ぐ。生産管理サーバ520は、プラントの生産目標や生産個数指示などの計画値を決定し、計画値を監視制御サーバ430へ送信する。端末装置610は、情報系ネットワーク600を介して生産管理サーバ520にアクセスすることにより、生産管理サーバ520へ計画値に関する情報を入力し、生産管理サーバ520から出力される実績などの情報を表示する。これにより、端末装置610の管理者は、制御システムの実績を監視することができる。監視制御サーバ430は、生産管理サーバ520から受信した計画値に基づいて、制御対象設備410の指令値を決定し、制御システムネットワーク20および通信中継装置10を介して、制御装置420へ指令値を送信する。HMI装置510は、制御系情報ネットワーク500を介して監視制御サーバ430にアクセスすることにより、監視制御サーバ430へ指令値に関する情報を入力し、監視制御サーバ430から出力される状態などの情報を表示する。これにより、HMI装置510の管理者は、制御対象設備410の状態を監視することができる。制御装置420は、監視制御サーバ430から受信した指令値に基づいて、制御対象設備410を制御する。制御対象設備410は、スイッチ、バルブ、センサなどである。指令値は例えば、スイッチやバルブの開閉などである。状態は例えば、センサにより計測される圧力、温度、回転数などである。
【0016】
<通信中継装置>
【0017】
図2は、実施例1の通信中継装置10の構成を示す。通信中継装置10は、制御システムネットワーク20を介して第一通信装置25に接続されている上流通信ポート11と、保護対象の第二通信装置30に接続されている下流通信ポート12とを具備する。通信中継装置10は下流通信ポート12を複数具備し、複数の第二通信装置30をそれぞれ接続できるようにしてもよい。第一通信装置25は例えば、監視制御サーバ43である。第二通信装置30は例えば、制御装置420である。
【0018】
通信中継装置10は更に、受信回路100と、データ抽出バッファ110と、データ引き出し線120と、置換バッファ130と、送信回路140と、ルール判定部200と、判定制御部230と、特徴値抽出ルール定義部240と、通過条件定義部250と、中継有効判定部260と、ルール設定インタフェース21とを含む。
【0019】
受信回路100は、制御システムネットワーク20および上流通信ポート11を介して接続された第一通信装置25から中継すべき通信フレーム(パケット)を示す信号を受信し、受信した信号を中継データ列に変換して順次出力する。中継データ列は、連続する複数の要素を含む。要素は例えばビットである。本実施例において、制御システムネットワーク20上の通信フレームや受信回路100から出力される中継データ列はIEEE802.3形式に基づいているが、これらは他の任意の通信規格に基づくものであってもよい。制御システムネットワーク20の伝送媒体は、電気に加えて光、電波、あるいはそれらの任意の組み合わせであってもよい。上流通信ポート11および受信回路100は、Network Interface Card(NIC)であっても良い。
【0020】
図3は、通信フレームのフォーマットを示す。IEEE802.3に従う通信フレームは、プリアンブル部と、ヘッダ部と、ペイロード部と、FCS部のフィールド(領域)を含む。プリアンブル部の末尾はStart Frame Delimiter(SFD)であり、ヘッダの開始を示す。受信回路100は、受信した信号からSFDを検出したとき、受信タイミングを示すフレーム開始信号101を出力する。本信号は、後述する通過条件の判定を実行するタイミングの基準となる。ヘッダ部は、宛先アドレス、発信元アドレス、タイプ/長さを含む。FCS部は、IEEE802.3フレームに伝送誤りがあるかどうかを受信端にて検査するための誤り検査符号である。FCS部は、各通信フレームのヘッダ部とペイロード部の内容からCyclic Redundancy Check(CRC)演算により算出される32ビットの値である。受信回路100は、通信フレームからSFDを検出することによりヘッダの開始タイミングを認識する。判定制御部230は、タイプ/長さを検出することにより、ペイロードの長さを認識し、FCS部のタイミングを認識する。
【0021】
データ抽出バッファ110は、受信回路100が出力した中継データ列を送信回路140へ順次転送するとともに、中継データ列のうち、データ抽出バッファ110の内部を通過中の部分データ列を取得し、複数のデータ引き出し線120から出力する機能を具備する。
【0022】
図4は、データ抽出バッファ110の構成を示す。この図に示すように、データ抽出バッファ110は、例えばシフトレジスタで構成されることができる。複数のデータ引き出し線120のそれぞれは、シフトレジスタの各段の出力から分岐してデータを出力する。シフトレジスタは、入力端から連続して入力されるビットを格納し、駆動クロック信号に従ってビットを出力端へシフトさせ、入力された順に出力端から置換バッファ130へ出力する。これにより、中継データ列内の各ビットは、通信中継装置10で受信されてから一定時間で送信される。データ抽出バッファ110は、このほかデュアルポートメモリやリングバッファなどの技術を用いて構成されてもよい。
【0023】
なお、データ抽出バッファ110の長さは任意である。バッファを長くすると、中継データ列からより長い部分データを取得でき、後述する特徴値抽出ルールを簡素に記述できるが、中継データ列がデータ抽出バッファ110を通過することによる遅延時間が増大する。そのため、データ抽出バッファ110の長さは、特徴値抽出ルールの複雑さと、中継が達成すべき遅延時間との兼ね合いで決定されることが望ましい。
【0024】
受信回路100、データ抽出バッファ110、置換バッファ130、送信回路140は、受信したデータを一定時間で中継するために、制御システムネットワーク20の伝送速度に同期した周波数、例えば100Mbpsのネットワークであれば100MHzの駆動クロック信号で駆動される。但し、回路構成により、駆動クロック信号は伝送速度の整数倍や整数分の1の周波数などを有していてもよい。
【0025】
<ルール判定部>
【0026】
次に、中継データ列の中継が有効か無効かを判定する動作について説明する。
【0027】
判定制御部230は、通信フレームが受信されるごとに受信回路100により出力されるフレーム開始信号101によって起動され、ルール判定部200による判定を実行するためのタイミング制御を実行する。
【0028】
具体的には、フレーム開始信号101による起動後、判定制御部230は、データ抽出バッファ110より順次出力される中継データ列に対して適用可能な特徴値抽出ルールと通過条件を、特徴値抽出ルール定義部240と通過条件定義部250からそれぞれ検索する。検索の結果、適用可能な特徴値抽出ルールと通過条件があれば、判定制御部230は、特徴値抽出部210と条件判定部220にそれぞれ設定して通過条件の判定を実行する。適用可能な特徴値抽出ルールと通過条件の組が複数存在する場合、判定制御部230は、一つの中継データ列に対してそれらをすべて適用する。
【0029】
図5は、ルール判定部200の構成を示す。ルール判定部200は、特徴値抽出部210と条件判定部220とを含む。特徴値抽出部210は、データ抽出バッファ110より中継データ列の部分データを取得し、特徴値抽出ルールに従って部分データから特定の要素を抽出し、特徴値として出力する。ルール判定部200は、複数のデータ引き出し線120から入力された部分データ列にマスクパターン211をそれぞれ乗じ、その結果を出力レジスタ212にラッチすることで所望のビット列を特徴値として抽出する。
【0030】
特徴値抽出ルールは、中継データ列の先頭であるフレーム開始信号101から数えた抽出開始ビット位置と、抽出するビット長である。判定制御部230は、フレーム開始信号101および特徴値抽出ルールに基づいて、出力レジスタ212をラッチするイネーブル信号213の出力タイミングと、データ抽出バッファ110内の抽出するビット位置を示すマスクパターン211とを決定する。例えば、IEEE802.3フレームの宛先アドレスを特徴値として抽出する場合は、抽出開始ビット位置として0、抽出するビット長として48を、特徴値抽出ルールとして与えればよい。
【0031】
条件判定部220は、特徴値抽出部210が抽出した特徴値を受け取り、特徴値を通過条件と比較し、比較結果を合否信号として出力する。通過条件は、特徴値と比較するために予め定められた判定値と、両者の間の関係演算子(等しい、等しくない、大きい、小さいなど)の組により定義される。例えば、特徴値がペイロード部のオクテット長であり、特徴値が1000バイト以下であることを通過条件とする場合、通過条件を構成する判定値には1000、関係演算子には「<=」を与える。
【0032】
通信中継装置10の管理者は、通過可否判定の対象とする通信フレームの形式に基づいて、特徴値抽出ルールおよび通過条件を特徴値抽出ルール定義部240および通過条件定義部250にそれぞれ設定しても良いし、外部のコンピュータのツールを用いて特徴値抽出ルールおよび通過条件を生成し、そのコンピュータからルール設定インタフェース21を介して特徴値抽出ルール定義部240と通過条件定義部250に設定しても良い。特徴値抽出ルール定義部240と通過条件定義部250は、例えばレジスタ、SRAM、DRAMなどの記憶素子によって構成することができる。
【0033】
なお、中継データ列の通過条件が複数の下位条件から構成されるなど、通過条件が複雑である場合や、通過可否判定の所要時間を短縮する必要がある場合などにおいては、複数のルール判定部200が通信中継装置10に設けられ、複数の通過条件を並列に評価できるようにしてもよい。この場合、中継データ列の複数の通過条件のすべてを満たす場合に、当該中継データ列は正常と判定される。
【0034】
図6は、特徴値抽出ルール定義部240および通過条件定義部250の構成を示す。特徴値抽出ルール定義部240と通過条件定義部250は、特徴値抽出ルールと通過条件をそれぞれ複数格納することができる。特徴値抽出ルールと通過条件の格納形式はこの図のようなテーブル形式のほか、データベース形式など任意に選択されてもよい。また、特徴値抽出ルール定義部240と通過条件定義部250は、特徴値抽出ルールと通過条件以外の通信中継装置10の管理のための情報を適宜格納してよい。さらに、中継データ列から抽出された特徴値と通過条件との整合性を保つために、特徴値抽出ルール定義部240内の特徴値抽出ルールと、通過条件定義部250内で対応する通過条件とに、同一のアドレス241を付与する。この図において、アドレス0001の通過条件は、宛先アドレスが条件値と等しいことである。アドレス0002の通過条件は、発信先アドレスが条件値と異なることである。アドレス0003の通過条件は、タイプ/長さが条件値以下であることである。
【0035】
図7は、中継有効判定部260の構成を示す。中継有効判定部260は、条件判定部220から出力される条件合否信号を受け、データ抽出バッファ110内を通過中の中継データ列の有効/無効を判定する。一つの中継データ列に対して、条件判定部220が複数回の通過条件の判定を実行した場合や、ルール判定部200が複数存在する場合において、中継データ列が有効であると判定されるためには、条件判定部220から出力される全ての条件合否信号が条件合致を示す必要がある。例えば、中継有効判定部260は、条件合否信号を連続して受信したときのみ発火状態となるステートマシン261及び複数の条件合否信号の論理積回路262を組み合わせることで実現可能である。
【0036】
<中継データ列の無効化>
【0037】
次に、中継有効判定部260において、中継データ列が通過条件を満たさなかった場合の動作について説明する。
【0038】
中継有効判定部260により、条件判定部220から出力される条件合否信号の何れかが条件合致を示さないと判定された場合、無効FCS生成部263は、中継データ列の末尾に配置されているFrame Check Sequence(FCS)部の値と異なるFCS値を、無効FCS値として生成し、置換データ信号132に出力する。さらに、無効FCS置換指令部264は、中継データ列のFCS部が置換バッファ130を通過する期間において、イネーブル信号131をアクティブとすることで、無効FCS値を中継データ列のFCS部に上書きする。無効FCS値は、例えば0である。
【0039】
図8は、置換バッファ130の構成を示す。置換バッファ130は、データ抽出バッファ110から出力される中継データ列を送信回路140へ伝達すると共に、中継有効判定部260からの指示に応じて、伝達する中継データ列の一部の要素を、指示された値に書き換える。イネーブル信号131及び置換データ信号132は、中継有効判定部260より置換バッファ130へ与えられる。図9は、置換バッファ130の動作を示すタイムチャートである。この図に示されているように、置換バッファ130は、イネーブル信号131がアクティブである間、中継データ列のうち置換バッファ130を通過中の部分Dを、置換データ信号132で与えられるビットパターンRに置き換える。
【0040】
送信回路140は、置換バッファ130から入力された中継データ列を所定の通信信号に変換し、下流通信ポート12を介して第二通信装置30へ送信する。本実施例では、受信回路100と同様に、データ列、通信信号ともIEEE802.3フレーム形式に基づくとするが、任意の通信規格及び伝送媒体を用いてよい。送信回路140および下流通信ポート12は、Network Interface Card(NIC)であっても良い。
【0041】
図10は、通信中継装置10から第二通信装置30への送信動作を模式的に示す。中継有効判定部260の動作により、通過条件を満たさなかった中継データ列は、置換バッファ130によりFCS部内の有効FCS値がFCSとして取り得ない無効FCS値に書き換えられ、送信回路140より通信フレームとして出力される。第二通信装置30に備えられた受信回路310は、通信中継装置10から当該通信フレームを受信し、当該通信フレームのヘッダ部およびペイロード部からFCSを算出し、算出されたFCSと受信されたFCSとを比較し、一致しなければ当該通信フレームを無効フレームと判定して廃棄する。これにより、第二通信装置30は当該通信フレームに含まれるデータを処理しない。第二通信装置30が制御装置420である場合、制御装置420の制御機能には当該通信フレームに含まれるデータが到達しない。したがって、当該データが制御装置420にとって有害なものであった場合でも、制御装置420の制御能力を損なうことを防止できる。
【0042】
通信フレームにおいて、置換バッファ130による書き換え対象は、ペイロード部内の特定の領域のデータ等、FCS部以外の部分であっても良い。なお、通信フレームの形式がIEEE802.3以外である場合も、当該通信フレームの誤り検出用符号や、当該通信フレームの形式上特定の値が設定されることを期待されているフィールドなどを、置換バッファ130による書き換え対象とすることで、FCSと同様の効果が期待できる。通信フレームにおいて、書き換え対象のビット列は、特徴値に対応するビット列より後に位置することが好ましい。これにより、特徴値に対応するビット列がデータ抽出バッファ110を通過した後に、書き換え対象のビット列を書き換えることができる。なお、無効FCS生成部263が所定の加算値を出力し、置換バッファ130がFCS部にその加算値を加えても良い。
【0043】
ファイアウォール620のように情報系ネットワークの中継装置は、通信フレームの遅延時間を示すレイテンシに比べて、単位時間当たりの伝送量を示すスループットが重視されており、中継による遅延時間を一定に保つことが困難である。ストアアンドフォワード方式を用いる中継装置は、通信フレームのすべてを受信して格納し、通信フレームを通過させるか廃棄するかを判定し、通過させると判定された通信フレームのみを送信する。即ち、この中継装置は、判定が完了するまで、通信フレームの送信を開始しない。したがって、通信フレームの長さなどによって中継の遅延時間は変動する。
【0044】
一方、本実施例の通信中継装置10は、通信フレームの各ビットを受信し、データ抽出バッファ110を通過させ、通過中の部分データにより通信フレームが正常か否かを判定し、異常であれば通信フレームの一部のビットを書き換え、受信した順に各ビットを送信する。即ち、通信中継装置10は、連続して受信する複数の通信フレームを、通信フレームの長さや通信フレームの判定結果に関わらず、一定の遅延時間で第二通信装置30へ中継する。制御システムにおいては、短い周期で通信フレームが送信されるため、中継の遅延時間が一定であることが好ましい。
【0045】
更に通信フレームがデータ抽出バッファ110を通過する間に特徴値を算出し、所定の通過条件と比較することで当該通信フレームの中継の有効/無効を判定することができる。判定の結果、当該通信フレームの中継が無効と判定された場合、送信回路140により当該通信フレームの先頭の送出が開始されている場合でも、当該通信フレームの末尾のFCS部を書き換えることで、第二通信装置30にて当該通信フレームの受信を無効とすることができ、中継の遅延時間を増大させることなく通信フレームを遮断することができる。
【0046】
制御システムネットワーク20においては、同じ形式や同じ長さの通信フレームが一定周期で送信されるという特徴がある。このような場合の通信フレームは、例えば、ペイロード中の固定長の値だけが変わるものや、スイッチのONまたはOFFを示すものである。このような場合、通過条件は通信フレームの受信時刻を用いても良い。
【0047】
図11は、実施例1の変形例の通信中継装置10の構成を示す。通信中継装置10は更に、時刻測定部270を有し、フレーム開始信号101が出力された時刻をフレーム受信時刻として測定して記憶する。特徴値抽出部210は、連続する二つの通信フレームのフレーム受信時刻の差であるフレーム受信間隔を特徴値として算出する。この場合の通過条件は、フレーム受信間隔が所定の時間範囲内にあることである。フレーム受信間隔が所定の時間範囲内にあるとは、例えば、正常値として予め定められたフレーム受信間隔に対し、算出されたフレーム受信間隔の誤差の大きさが所定の上限以下になることである。通過条件にフレーム受信間隔を用いることにより、通信フレームが一定周期で送信される制御システムにおいて、通信中継装置10は、フレーム受信間隔が異なる通信フレームを不正な通信フレームと判定することができる。また、通信フレーム内の特定の要素を特徴値とする特徴値抽出部210と、フレーム受信間隔を特徴値とする特徴値抽出部210とを組み合わせても良い。
【0048】
第二通信装置30が制御装置である場合、通信フレームの特徴値を算出して判定する機能を、制御装置に追加して、制御装置の限られた処理能力を用いて実行することは困難である。本実施例の通信中継装置10を制御装置の外部に追加することにより、制御装置を変更することなく、制御装置の負荷を増加させることなく、制御装置への攻撃を防ぐことができる。
【0049】
制御装置への攻撃を意図する者は、攻撃対象の制御装置における設計上ないし実装上の不備(脆弱性)を継続的に探し、それらを悪用した新たな攻撃手法を適用してくる恐れがある。長期にわたり稼働することが求められるインフラなどの制御システムでは、その稼働期間内において、新たな攻撃手法への防御策を継続して追加できることが望ましい。制御装置420を停止させることは困難であるため、制御装置420のプログラムの改修や、パッチ(修正プログラム)の適用などは困難である。本実施例によれば、通信中継装置10に特徴値抽出ルールおよび通過条件を設定することにより、制御システムの動作を停止させることなく、新たな攻撃手法に対応することができる。
【実施例2】
【0050】
実施例1では、制御システムネットワーク20から到来する不正データから第二通信装置30を保護することを目的とした。実際には、第二通信装置30が制御システムネットワーク20以外の経路でマルウェア感染などの攻撃を受け、第二通信装置30から制御システムネットワーク20へ向けて不正データを送出するケースも存在しうる。本実施例では、実施例1と逆向きに不正データが伝播することを防止する通信中継装置について説明する。
【0051】
図12は、実施例2の通信中継装置の構成を示す。本実施例の通信中継装置15は、中継部10a、10bを含む。本実施例の制御システムネットワーク20において、制御システムネットワーク20から第二通信装置30へ配送される通信フレームの経路(便宜的に「下り」という)と、逆に第二通信装置30から制御システムネットワーク20へ配送される通信フレームの経路(便宜的に「上り」という)とに、それぞれ中継部10a及び中継部10bが挿入されている。中継部10a及び中継部10bのそれぞれは、実施例1で述べた通信中継装置10と同様の構成を有する。
【0052】
実施例1と同様、第一通信装置25から通信中継装置15を介して第二通信装置30へ送信される通信フレームのうち、中継部10aによりFCS部を無効FCS値に書き換えられた通信フレームは、第二通信装置30により廃棄される。同様に、第二通信装置30から通信中継装置15を介して第一通信装置25へ送信される通信フレームのうち、中継部10bによりFCS部を無効FCS値に書き換えられた通信フレームは、第一通信装置25により廃棄される。これにより、外部ネットワーク700などの外部ネットワークから制御システムネットワーク20経由で到来する脅威の侵入を防止することができると共に、第二通信装置30が制御システムネットワーク20以外の経路で脅威に侵入された際に、被害が制御システムネットワーク20経由で他の装置に波及することを防止することができる。このとき、中継部10a及び中継部10bは、それぞれが個別に特徴値抽出ルールと通過条件を持つことができるため、下り経路と上り経路で異なる通過条件を定義することができ、それぞれの経路における脅威の発生状況に応じた柔軟な対策をとることが可能となる。
【0053】
なお、中継部10a内の上流通信ポート11と中継部10b内の下流通信ポート12とが一つの通信ポートであっても良く、中継部10b内の上流通信ポート11と中継部10a内の下流通信ポート12とが一つの通信ポートであっても良い。また、中継部10aと中継部10bが互いに異なる筺体に設けられていても良い。
【0054】
図13は、実施例2の変形例の通信中継装置の構成を示す。この変形例は、下り経路と上り経路とで互いに異なる通過条件を適用する必要がない場合を示す。実施例2の通信中継装置15と比較すると、この変形例の通信中継装置15−2は、中継部10aに代えて中継部10a−2bを用い、中継部10bに代えて中継部10b−2bを用いる。中継部10−2a及び中継部10−2bのそれぞれは、通信中継装置10から特徴値抽出ルール定義部240と通過条件定義部250を除いたものである。通信中継装置15−2は更に、特徴値抽出ルール定義部240bと、通過条件定義部250bと、ルール設定インタフェース21bを含む。通信中継装置15−2の管理者は、ルール設定インタフェース21bを介して特徴値抽出ルールおよび通過条件を、特徴値抽出ルール定義部240bおよび通過条件定義部250bへそれぞれ設定する。特徴値抽出ルール定義部240bは、中継部10−2a及び中継部10−2bに共通の特徴値抽出ルールを与える。通過条件定義部250bは、中継部10−2a及び中継部10−2bに共通の通過条件を与える。
【0055】
通信中継装置15−2によれば、下り経路と上り経路とに共通の特徴値抽出ルールおよび通過条件を用いることにより、下り経路と上り経路とに異なる特徴値抽出ルールおよび通過条件を用いる場合に比べて、通信中継装置15−2のハードウェアのコストを削減できると共に、特徴値抽出ルールおよび通過条件の設定の工数を削減できる。
【0056】
本発明の一態様である通信中継装置の用語について説明する。受信部は、上流通信ポート11と受信回路100などに対応する。判定部は、判定制御部130とルール判定部200と特徴値抽出ルール定義部240と通過条件定義部250と中継有効判定部260と時刻測定部270などに対応する。変更部は、置換バッファ130などに対応する。送信部は、送信回路140と下流通信ポート12などに対応する。バッファは、データ抽出バッファ110などに対応する。記憶部は、特徴値抽出ルール定義部240と通過条件定義部250などに対応する。第一領域は、FCS部などに対応する。第二領域は、宛先アドレスを示すフィールドや、ペイロード部の長さを示すフィールドなどに対応する。
【0057】
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
【0058】
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、半導体メモリや、ハードディスク等の記録装置、または、磁気や光を利用する記録媒体に置くことができる。
【0059】
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
【符号の説明】
【0060】
10、15、15−2:通信中継装置 11:上流通信ポート 12:下流通信ポート 20:制御システムネットワーク 21:ルール設定インタフェース 25:第一通信装置 30:第二通信装置 100:受信回路 101:フレーム開始信号 110:データ抽出バッファ 120:データ引き出し線 130:置換バッファ 140:送信回路 200:ルール判定部 210:特徴値抽出部 220:条件判定部 230:判定制御部 240:特徴値抽出ルール定義部 250:通過条件定義部 260:中継有効判定部 270:時刻測定部