知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6972044
(24)【登録日】2021年11月5日
(45)【発行日】2021年11月24日
(54)【発明の名称】センサ信号の改変検証
(51)【国際特許分類】
G08C 25/00 20060101AFI20211111BHJP
G05B 23/02 20060101ALI20211111BHJP
G08C 15/00 20060101ALN20211111BHJP
【FI】
G08C25/00 B
G05B23/02 Z
!G08C15/00 E
【請求項の数】15
【外国語出願】
【全頁数】18
(21)【出願番号】特願2019-5171(P2019-5171)
(22)【出願日】2019年1月16日
(65)【公開番号】特開2019-175434(P2019-175434A)
(43)【公開日】2019年10月10日
【審査請求日】2019年5月23日
(31)【優先権主張番号】18153025.4
(32)【優先日】2018年1月23日
(33)【優先権主張国】EP
(73)【特許権者】
【識別番号】390039413
【氏名又は名称】シーメンス アクチエンゲゼルシヤフト
【氏名又は名称原語表記】Siemens Aktiengesellschaft
(74)【代理人】
【識別番号】110003317
【氏名又は名称】特許業務法人山口・竹本知的財産事務所
(74)【代理人】
【識別番号】100075166
【弁理士】
【氏名又は名称】山口 巖
(74)【代理人】
【識別番号】100133167
【弁理士】
【氏名又は名称】山本 浩
(74)【代理人】
【識別番号】100169627
【弁理士】
【氏名又は名称】竹本 美奈
(72)【発明者】
【氏名】ハンス アスカウアー
(72)【発明者】
【氏名】クリスチャン ペーター ファイスト
(72)【発明者】
【氏名】アクセル プファオ
(72)【発明者】
【氏名】ダニエル シュナイダー
(72)【発明者】
【氏名】ライナー ファルク
【審査官】
菅藤 政明
(56)【参考文献】
【文献】
米国特許出願公開第2017/0023630(US,A1)
【文献】
特開平09−281168(JP,A)
【文献】
特開2012−118017(JP,A)
【文献】
特開2010−161676(JP,A)
【文献】
特開2017−097490(JP,A)
【文献】
特開2014−150458(JP,A)
【文献】
特開昭57−190212(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G08C 25/00
G05B 23/02
G08C 15/00
(57)【特許請求の範囲】
【請求項1】
センサ(101,102,103,104)の信号線(105,106,107,108)においてフィンガプリントとして加えられているノイズ信号(3003,3004)を確定し、
該ノイズ信号(3003,3004)の分析を実行し、
該分析の結果を示すチェックデータ(3005)を、前記信号線(105,106,107,108)で伝送されるセンサ信号の改変に対する確実性を検証するために伝送し、 前記チェックデータ(3005)に、前記センサ信号を処理するために使用する暗号鍵を含める、ことを含む改変検証方法。
該ノイズ信号(3003,3004)の分析を実行し、
該分析の結果を示すチェックデータ(3005)を、前記信号線(105,106,107,108)で伝送されるセンサ信号の改変に対する確実性を検証するために伝送し、 前記チェックデータ(3005)に、前記センサ信号を処理するために使用する暗号鍵を含める、ことを含む改変検証方法。
【請求項2】
前記ノイズ信号(3003,3004)を確定するときに、前記信号線(105,106,107,108)の誘導読み取りを使用して前記ノイズ信号(3003,3004)を検出する、請求項1に記載の改変検証方法。
【請求項3】
前記ノイズ信号(3003,3004)を確定するときに、前記ノイズ信号(3003,3004)をデジタル符号化する制御データ(3011)を受け取る、請求項1又は2に記載の改変検証方法。
【請求項4】
前記分析の結果の分類を、前記センサ信号の改変のタイプに関して行うことをさらに含み、前記チェックデータ(3005)がその分類を示す、請求項1〜3のいずれか1項に記載の改変検証方法。
【請求項5】
前記改変のタイプとして、前記センサ(101,102,103,104)の操作、前記信号線(105,106,107,108)の操作、低い重大度の操作、及び高い重大度の操作を少なくとも含む、請求項4に記載の改変検証方法。
【請求項6】
前記フィンガプリントとして加えられる前記ノイズ信号(3003,3004)を生成するように構成された信号発生器の信号レベル又は周波数スペクトルを示す構成データを受け取ることをさらに含み、前記ノイズ信号(3003,3004)の前記確定と前記分析実行の少なくともいずれかが、前記構成データに基づく、請求項1〜5のいずれか1項に記載の改変検証方法。
【請求項7】
前記ノイズ信号(3003,3004)を分析するときに、前記ノイズ信号(3003,3004)と所定の基準信号との比較、異常検出、及び分光分析の少なくとも1つを行う、請求項1〜6のいずれか1項に記載の改変検証方法。
【請求項8】
センサ(101,102,103,104)の信号線(105,106,107,108)において伝送されるセンサ信号(3001,3002)を受け取り、
前記信号線(105,106,107,108)においてフィンガプリントとして加えられているノイズ信号(3003,3004)の分析の結果を示すチェックデータ(3005)を受け取り、
該チェックデータ(3005)に基づいて、前記センサ信号(3001,3002)の改変に対する確実性を検証し、前記センサ信号(3001,3002)を選択的に処理し、
前記チェックデータ(3005)が暗号鍵を含み、前記センサ信号(3001,3002)を、前記暗号鍵に基づいて処理する、ことを含む改変検証方法。
前記信号線(105,106,107,108)においてフィンガプリントとして加えられているノイズ信号(3003,3004)の分析の結果を示すチェックデータ(3005)を受け取り、
該チェックデータ(3005)に基づいて、前記センサ信号(3001,3002)の改変に対する確実性を検証し、前記センサ信号(3001,3002)を選択的に処理し、
前記チェックデータ(3005)が暗号鍵を含み、前記センサ信号(3001,3002)を、前記暗号鍵に基づいて処理する、ことを含む改変検証方法。
【請求項9】
前記分析の結果に基づいて、前記センサ信号(3001,3002)の処理に関連する前記暗号鍵を消去することをさらに含む、請求項8に記載の改変検証方法。
【請求項10】
前記ノイズ信号(3003,3004)を検出し、
該ノイズ信号(3003,3004)をデジタル符号化する制御データを伝送する、ことをさらに含む、請求項8又は9に記載の改変検証方法。
該ノイズ信号(3003,3004)をデジタル符号化する制御データを伝送する、ことをさらに含む、請求項8又は9に記載の改変検証方法。
【請求項11】
センサ(101,102,103,104)の信号線(105,106,107,108)においてフィンガプリントとして加えられているノイズ信号(3003,3004)を確定し、
該ノイズ信号(3003,3004)の分析を実行し、
該分析の結果を示すチェックデータ(3005)を、前記信号線(105,106,107,108)で伝送されるセンサ信号の改変に対する確実性を検証するために伝送し、
前記チェックデータ(3005)に、前記センサ信号を処理するために使用する暗号鍵を含める、ことを実行するように構成された制御回路を含む、分析ユニット(121)。
該ノイズ信号(3003,3004)の分析を実行し、
該分析の結果を示すチェックデータ(3005)を、前記信号線(105,106,107,108)で伝送されるセンサ信号の改変に対する確実性を検証するために伝送し、
前記チェックデータ(3005)に、前記センサ信号を処理するために使用する暗号鍵を含める、ことを実行するように構成された制御回路を含む、分析ユニット(121)。
【請求項12】
前記制御回路が、請求項2〜7のいずれか1項に記載の改変検証方法を実行するように構成されている、請求項11に記載の分析ユニット(121)。
【請求項13】
センサ(101,102,103,104)の信号線(105,106,107,108)において伝送されるセンサ信号(3001,3002)を受け取り、
前記信号線(105,106,107,108)においてフィンガプリントとして加えられているノイズ信号(3003,3004)の分析の結果を示すチェックデータ(3005)を受け取り、
該チェックデータ(3005)に基づいて、前記センサ信号(3001,3002)の改変に対する確実性を検証し、前記センサ信号(3001,3002)を選択的に処理し、
前記チェックデータ(3005)が暗号鍵を含み、前記センサ信号(3001,3002)を、前記暗号鍵に基づいて処理する、ことを実行するように構成された制御回路を含む、制御ユニット(111)。
前記信号線(105,106,107,108)においてフィンガプリントとして加えられているノイズ信号(3003,3004)の分析の結果を示すチェックデータ(3005)を受け取り、
該チェックデータ(3005)に基づいて、前記センサ信号(3001,3002)の改変に対する確実性を検証し、前記センサ信号(3001,3002)を選択的に処理し、
前記チェックデータ(3005)が暗号鍵を含み、前記センサ信号(3001,3002)を、前記暗号鍵に基づいて処理する、ことを実行するように構成された制御回路を含む、制御ユニット(111)。
【請求項14】
前記制御回路は、前記分析の結果に基づいて、前記センサ信号(3001,3002)の処理に関連する前記暗号鍵を消去することをさらに実行するように構成される、請求項13に記載の制御ユニット(111)。
【請求項15】
請求項11又は12に記載の分析ユニット(121)と請求項13又は14に記載の制御ユニット(111)とを含む、システム(100)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、広く言えばセンサ読み取りに関する。具体的には、ノイズ信号に基づくセンサのセンサデータの検証に関する。
【背景技術】
【0002】
様々な物理的な観測量(例えば、温度、圧力、流量、電圧、電流、電力、位相、エネルギーなど)を測定するためにセンサが使用される。関連した測定値は、センサ信号を使って制御ユニットに送ることができる。センサ信号は、1つ以上の測定値を示す。センサ信号は、アナログ又はデジタルでありうる。センサ信号を送るために信号線を使用できる。信号線は、有線又は無線でよい。
【0003】
このセンサ信号が操作されてしまうと、破損やデータ損失などのリスクがある。例えば、自動化製造設備との関連では、センサ信号の操作によるそのような攻撃ベクトルを回避する必要がある。したがって、センサ信号に基づくシステムの確実な動作を実行するには、センサ信号を操作から保護する必要がある。例えば、デジタル符号化したセンサ信号を暗号技術によって保護する照合技術が知られている。当該技術は、アナログセンサ信号に適用することが容易ではない。
【0004】
非特許文献1は、ノイズ信号に基づくセンサ信号の確認を開示している。
【0005】
特許文献1は、デジタル装置からの通信と結びついたアナログ信号を観察し、アナログシステム(アナログ系)に少なくとも部分的に基づいてデジタル装置を特徴付けすることによるセキュリティ機能の提供を開示している。セキュリティ機能は、侵入検出セキュリティ機能でありうる。
【0006】
非特許文献2は、電力網と産業装置の装置フィンガプリントの確認を開示している。電力網上へのアクチュエータの物理的衝撃が検出され分析される。
【0007】
非特許文献3は、デジタル通信用ネットワーク装置をそのアナログ信号特性に基づいて識別することを開示している。
【0008】
これら照合技術は、幾つかの制約と短所に直面している。例えば、これら照合の実装には、制御ユニットとセンサのどちらか又は両方に、検証機能を実現するハードウェアが必要とされる。このことがシステムを複雑にし、検証機能を後付けするために機能を制限する。さらに、検証機能を様々な用途で利用する柔軟性が制限される。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】米国特許出願公開US2005/0213755A1
【非特許文献】
【0010】
【非特許文献1】"Sensor-Authentisierung anhand eines Rausch signals", Journal Technik Up2date 2012 #19, Pages 13-14, ISBN: 978-3-942905-45-9; Volume No.: 99,17.9.2012
【非特許文献2】Formby, David, et al., "Who's in Control of Your Control System? Device Fingerprinting for Cyber-Physical Systems." NDSS 2016
【非特許文献3】Gerdes, Ryan M., et al., "Device Identification via Analog Signal Fingerprinting: A Matched Filter Approach." NDSS 2006
【発明の概要】
【発明が解決しようとする課題】
【0011】
以上のとおり、検証機能を含むセンサ読み取りの先進技術が必要である。具体的には、前述した制限又は欠点の少なくとも幾つかを克服又は軽減する技術が必要である。
【課題を解決するための手段】
【0012】
上記課題は、独立形式請求項に係る特徴によって解決される。引用形式請求項に係る特徴は実施の態様を特定する。
【0013】
方法においては、ノイズ信号を確定することを含む。ノイズ信号は、センサの信号線にある。当該方法は、ノイズ信号の分析を行うことも含む。当該方法は、分析の結果を示すチェックデータを送ることも含む。
【0014】
コンピュータプログラム(コンピュータプログラムプロダクト)においては、プログラムコードを含む。プログラムコードは、制御回路によって実行される。プログラムコードを実行すると、制御回路は、ノイズ信号を確定することを含む方法を実行する。ノイズ信号は、センサの信号線にある。当該方法は、ノイズ信号の分析を実行することも含む。当該方法は、分析の結果を示すチェックデータを送ることも含む。
【0015】
例えば、チェックデータは、制御ユニットに送られる。制御ユニットは、信号線にあるセンサによって提供されるセンサ信号を処理するように構成される。これにより、制御ユニットで適切な対策をとることが容易になる。
【0016】
代替又は追加として、チェックデータは、例えばインターネットを介して、バックエンドシステムのサーバに送信される。これにより、グローバルな対策を取ること(例えば、改変されたセンサ又はシステムをブラックリストに追加するなど)が容易になる。
【0017】
例えば、上記方法は、分析ユニットによって(例えば、分析ユニットの制御回路によって)実行される。分析ユニットは、制御ユニットと物理的に別のものでもよいし、制御ユニットから離れていてもよい。他の例では、分析ユニットは、制御ユニットと同じ場所に配置される。
【0018】
チェックデータの送信は、例えば制御ユニットと分析ユニットとの間に確立される制御信号線で行われる。制御信号線は、無線通信か有線通信、又はその両方を使用して実施される。
【0019】
分析の結果を示すチェックデータを送信することにより、例えば制御ユニットと分析ユニットを使用して、ノイズ信号の分析とセンサ信号の処理を別々に実行できるようになる。このことは、当検証機能を後付けするのに役立つ。制御ユニットの修正は不要である。
【0020】
ノイズ信号は、センサ信号とは異なる。例えば、ノイズ信号とセンサ信号の両方を含んだ重畳信号である。重畳信号は、信号線に存在する。例えば、ノイズ信号は、センサ信号の信号対雑音比を低くする。例えば、ノイズ信号は、センサ信号と異なるスペクトル、センサ信号と重複するスペクトル、又はセンサ信号と一致するスペクトルを占有する。
【0021】
ノイズ信号は、少なくとも部分的にランダム又は擬似ランダムでよい。ノイズ信号は、センサとセンサの環境との間の環境相互作用から生成できる。ノイズ信号は、信号発生器を使用して生成可能である。例えば、拡散スペクトル成分を含むノイズ信号又はスペクトル拡散ノイズ信号が使用される。ノイズ信号は、センサ信号の確実性(信頼性)フィンガプリントとも呼ぶ。すなわち、センサ信号の検証、−(例えばセンサや信号線の改変による)センサ信号の操作があったかどうかの確認−が、ノイズ信号に基づいて可能になる。
【0022】
チェックデータは、暗号鍵を含みうる。暗号鍵は、センサ信号を処理するために必要とされる。
【0023】
様々な態様において、ノイズ信号を確定する各種技術が想定される。第1の態様では、ノイズ信号の確定は、信号線の誘導読み取り(非接触読み取り)などの読み取り手段を使ってノイズ信号を検出することを含む。例えば、誘導読み取りは、信号線の漂遊電磁界の検出を含む。このために信号線のすぐ近くに誘導巻線を配置し、漂遊電磁界を検出するようにする。これも後付けを容易にし、すなわち、信号線の確実性を修正せずに済み、言い換えれば、外部読み取りが可能になる。
【0024】
代替又は追加として、別の態様では、ノイズ信号の確定は、ノイズ信号をデジタル符号化する制御データを受け取ることを含む。例えば、制御データは、制御ユニットから受け取る。例えば、制御ユニットは、重畳信号に基づいてセンサ信号からノイズ信号を分離するように構成される。これは、ノイズ消去との連動で実施される。次に、制御ユニットは、例えば、ノイズ信号を示すマルチビットインジケータを使用してノイズ信号をデジタル符号化できる。当該シナリオでは、ノイズ信号を読み取るために別個のハードウェアを提供しなくてもよいことから、ハードウェアの実施態様を単純化できる。言い換えると、デジタル領域へのセンサ信号の変換とノイズ信号の変換との両方に、制御ユニットのアナログ−デジタル変換器を再使用できる。
【0025】
本方法は、さらに、複数のカテゴリに関してノイズ信号の分析結果の分類を行うことを含む。チェックデータは分類を示しうる。所定のマッピングを使用する各コードブックが、チェックデータに使用されうる。
【0026】
この技術は、分析結果が様々な詳細度で提供されうるという知見に基づく。例えば、単純なシナリオで、チェックデータは、分析結果がセンサと信号線のどちらか又は両方の改変を示すかどうか、すなわち、分析結果が確実性違反を示すかどうか、を示す。これは、1ビットの「はい」/「いいえ」フラグで実施できる。詳細度は低い。より複雑なシナリオでは、詳細度が高く情報量が多くなる。この場合、分析結果は、改変が行われたかどうかの単なる指示を越えた、センサ信号の検証機能と関連した付加情報を示すことができる。このシナリオでは、分析結果の分類を複数のカテゴリに関して行うことが有用であり、それにより、制御ユニットにおいて適切な対策をとることが容易になる。改変のタイプに応じて、様々な対策が適切となる。例えば、それらは、制御ユニットで行われる様々なアクションを必要とする、あまり重大でないカテゴリとより重大なカテゴリでありうる。カテゴリには、例えば、センサの操作、信号線の操作、低い重大度の操作、高い重大度の操作、センサの障害、及び信号線の障害が含まれる。
【0027】
他の態様では、分類は、様々な種類及び方式の操作を示す。例えば、ファームウェアの操作、関数呼び出しの操作、メモリ読み取りアドレス又はメモリ書き込みアドレスの操作、通信プロトコル又は通信インタフェースの操作などは全て、分析結果の分類に基づいて適切なカテゴリに含まれる。
【0028】
この場合、一方の外部操作と他方の固有障害とを区別できる。障害の重大度を、例えば自己完結型障害か伝搬障害かの点で判断できる。これは、適合した対策をとるのに役立つ。
【0029】
幾つかの態様によれば、信号発生器の構成を示す構成データを受け取ることができる。信号生成は、ノイズ信号を生成するように構成される。ノイズ信号の確定と分析のどちらか又は両方の実行は、構成データに基づく。
【0030】
この技術によって、一方の側のノイズ信号を生成する信号発生器と、ノイズ信号の分析を行う分析ユニットとの間の同期が達成される。これは、ノイズ信号をセンサ信号から識別するのに役立つ。例えば、ノイズ信号は、例えばノイズ信号とセンサ信号の両方を含む重畳信号からノイズ信号を分離することによって、確実に確立される。
【0031】
ここで、信号発生器の構成にノイズ信号の信号レベルを含めることができる。代替又は追加として、該構成は、ノイズ信号の周波数スペクトルを含む。これは、分析を、ノイズ信号に予想される特定の信号特性に合わせるのに役立つ。
【0032】
幾つかの態様で、分析は、ノイズ信号を所定の基準信号と比較することを含む。例えば、ノイズ信号と基準信号との間の時間領域相関が実施される。
【0033】
代替又は追加として、分析は、異常検出を含む。これは、機械学習技術を含みうる。例えば、機械学習技術を使って分類アルゴリズムがトレーニングされる。次に、この分類アルゴリズムに基づいて、センサと信号線のどちらか又は両方の改変を示す異常が検出される。
【0034】
代替又は追加として、分析は、分光分析(スペクトル分析)を含む。この場合、例えば、ノイズ信号とセンサ信号の両方を含む重畳信号の様々なスペクトル成分のスペクトルパワー密度が決定されうる。次に、パワースペクトル密度に基づいて、センサと信号線のどちらか又は両方の改変があったかどうかが判断される。
【0035】
一般に、分析のこれら技術は、当技術分野で既知であり、本明細書で述べるシナリオで容易に適用される。したがって、この点で分析に関する更なる詳細を提供する必要はない。
【0036】
方法において、センサの信号線のセンサ信号を受け取ることを含む。当該方法は、チェックデータを受け取ることも含む。チェックデータは、信号線のノイズ信号の分析結果を示す。当該方法は、チェックデータによってセンサ信号を選択的に処理することも含む。
【0037】
コンピュータプログラム(コンピュータプログラムプロダクト)においては、プログラムコードを含む。プログラムコードは、制御回路によって実行される。プログラムコードを実行すると、制御回路は、センサの信号線のセンサ信号を受け取ることを含む方法を実行する。当該方法は、チェックデータを受け取ることも含む。チェックデータは、信号線のノイズ信号の分析の結果を示す。当該方法は、チェックデータに応じてセンサ信号を選択的に処理することも含む。
【0038】
例えば、上記方法は、制御ユニットによって(例えば、制御ユニットの制御回路によって)実行される。制御ユニットは、入力インタフェースを含む。例えば、入力インタフェースは、センサ信号が信号線のアナログ領域において通信されるシナリオで、アナログ−デジタル変換器を含む。他のシナリオでは、センサ信号が信号線のデジタル領域において通信される。この場合、センサ信号は、センサの測定値をデジタル符号化する。当該シナリオでは、センサは、アナログ−デジタル変換器を含む。
【0039】
センサ信号は、重畳信号に含めることが可能であり、重畳信号は、センサ信号とノイズ信号の両方を含む。次に、特定の技術により、センサ信号を抽出するためにノイズ消去が実施される。ノイズ消去とは、一般に、センサ信号をノイズ信号から分離する技術を指す。この場合、実施の態様によっては、ノイズ信号の残留寄与分がセンサ信号内に保持され、それにより、センサ信号の信号対雑音比が規定される。
【0040】
チェックデータは、分析ユニットから受け取れる。分析ユニットは、制御ユニットから離れているか、制御ユニットとは別に実装されるか、あるいはその両方である。これにより、検証機能の後付けが容易になる。
【0041】
例えば、チェックデータが、センサ信号の確実性違反を示す場合、センサ信号の処理は実行されないか、中止される。これと異なり、チェックデータがセンサ信号の改変を示さない場合は、センサ信号の処理が実行され、継続され、又は開始される。
【0042】
ここでも、チェックデータは、複数のカテゴリに関する分析結果の分類を示すものとすることができる。具体的な分類に応じて、センサ信号の処理に関する様々な処置が取られる。例えば、センサ信号は、分類に応じて様々な方式で処理される。
【0043】
あるシナリオによれば、ノイズ信号が検出され、これは、重畳信号に基づいてセンサ信号をノイズ信号から分離するときにノイズ消去の一部として実施される。次に、該方法は、さらに、ノイズ信号をデジタル符号化する制御データを(例えば、分析ユニットに)送ることを含む。このことは、ノイズ信号の分析に関わる信号線からの別個の読み取りを実施する必要がないので、ハードウェアアーキテクチャを単純化するのに役立つ。
【0044】
例えば、チェックデータは、暗号鍵を含みうる。センサ信号は、暗号鍵に基づいて処理される。この態様は、ノイズ信号の分析に基づいて確実性違反が検出された場合に、センサ信号の処理を効果的に抑制するのに役立つ。これは、各攻撃ベクトルを低減する。
【0045】
代替又は追加として、分析の結果に基づいて、センサ信号の上記処理と関連した暗号鍵を消去できる。これは、確実性違反が検出された場合にセンサ信号が処理されてしまうのを有効に防ぐのに役立つ。該技術は、ゼロ化と呼ばれる。攻撃ベクトルが低減される。
【0046】
一態様によれば、方法において、信号発生器を動作させてノイズ信号を生成することを含む。当該方法は、さらに、ノイズ信号をセンサの信号線に送ることを含む。
【0047】
コンピュータプログラム(コンピュータプログラムプロダクト)においては、プログラムコードを含む。プログラムコードは、制御回路によって実行される。プログラムコードを実行すると、制御回路は、信号発生器を動作させてノイズ信号を生成することを含む方法を実行する。当該方法は、さらに、ノイズ信号をセンサの信号線に送ることを含む。
【0048】
この方法は、必要に応じて、センサのセンサ信号を信号線に送ることを含む。これにより、ノイズ信号とセンサ信号の両方を含む重畳信号が得られる。
【0049】
例えば、上記方法は、センサのセンサ信号に基づいて信号発生器の構成を設定することを含む。信号発生器の構成によって、センサ信号とノイズ信号との間の干渉が緩和される。例えば、ノイズ信号の信号レベルとノイズ信号の周波数スペクトルのどちらか又は両方が、信号発生器の構成によって適切に設定される。これによって、対応する制御ユニットでのノイズ消去を容易にするために、周波数分割二重化技術を実行できる。
【0050】
信号発生器の構成を示す構成データが送られる。例えば、構成データは、制御ユニットに送られ、これにより制御ユニットでのノイズ消去が容易になる。代替又は追加として、構成データは、ノイズ信号を分析するように構成された分析ユニットに送ることもでき、これによりセンサ信号が検証される。構成を示す構成データの提供は、ノイズ信号の分析を実施するのに役立つ。
【0051】
信号発生器は、暗号鍵に基づいてノイズ信号を生成するべく制御される。例えば、暗号鍵は、分析ユニットから受け取られる。それにより、ノイズ信号の生成の改変を含む攻撃ベクトルが低減される。
【0052】
分析ユニットは、センサの信号線のノイズ信号を確定するように構成された制御回路を含む。制御回路は、ノイズ信号の分析を行い、分析結果を示すチェックデータを送るようにも構成される。
【0053】
制御ユニットは、センサの信号線のセンサ信号の受け取りを行うように構成された制御回路を含む。制御回路は、さらに、チェックデータを受け取るように構成される。チェックデータは、信号線のノイズ信号の分析結果を示す。制御回路は、チェックデータに応じてセンサ信号を選択的に処理するようにも構成される。
【0054】
センサは、信号発生器を動作させてノイズ信号の生成を実行するように構成された制御回路を含む。上記方法は、さらに、センサの信号線にノイズ信号を送ることを含む。
【0055】
以上の特徴及び後述する特徴は、当然ながら、提示した各組み合わせで使われるだけではなく、本発明の範囲から逸脱しない他の組み合わせ又は単独でも使われる。
【図面の簡単な説明】
【0056】
【図1】実施形態に係るセンサ、制御ユニット及び分析ユニットを含むシステムを概略的に示す図である。
【図2】実施形態に係る方法のフローチャートである。
【図3】実施形態に係る方法のフローチャートである。
【図4】実施形態に係る方法のフローチャートである。
【図5】実施形態に係る複数のセンサと制御ユニットと分析ユニットとの間の通信を示す信号伝達図である。
【図6】実施形態に係る複数のセンサと制御ユニットと分析ユニットとの間の通信を示す信号伝達図である。
【図7】照合実装に係るシステムを概略的に示す図である。
【図8】実施形態に係るセンサ、制御ユニット及び分析ユニットを含むシステムを概略的に示す図である。
【図9】実施形態に係る分析ユニットを概略的に示す図である。
【図10】実施形態に係る制御ユニットと分析ユニットを概略的に示す図である。
【発明を実施するための形態】
【0057】
図面を参照して本発明の実施形態を以下に詳細に述べる。実施形態の以下の記述が限定の意味で解釈されるべきでないことは当然である。本発明の範囲は、単なる例示ととらえられるべき後述の実施形態又は図面によって限定されるものではない。
【0058】
図面は概略表現と見なされるべきであり、図示の要素は必ずしも一律の縮尺で示してあるわけではない。言い換えれば、各種要素は、その機能と用途が当業者に明らかであるように表される。図面に示され又は本明細書に記述された機能ブロック、装置、構成要素又は他の物理/機能ユニットの間の接続又は連結は、間接的な接続又は連結によっても実施されうる。また、構成要素間の連結は、無線接続によっても確立される。機能ブロックは、ハードウェア、ファームウェア、ソフトウェア又はこれらの組み合わせで実施されうる。
【0059】
以下に、センサ信号を検証する技術について述べる。確実性違反の検出が可能である。これは、センサとセンサの信号線のどちらか又は両方の改変を含む攻撃ベクトルを低減するのに役立つ。これにより、センサは、センサ信号を処理する制御ユニットに保護されて接続される。
【0060】
実施形態によれば、センサの信号線のノイズ信号が確定される。これは、センサ信号とノイズ信号の両方を含む重畳信号からのセンサ信号の抽出を含む。次に、分析ユニット(センサ信号を処理する制御ユニットと別でよい)が、ノイズ信号の分析を実行できる。分析結果に基づいて、チェックデータが分析ユニットから送られ、制御ユニットによって受け取られる。次に、制御ユニットは、チェックデータに基づいてセンサデータを選択的に処理できる。
【0061】
したがって、センサとセンサ信号線のどちらか又は両方が操作されたか、又は故障したか、あるいはその両方か、を確認できる。具体的には、分析ユニットを使用することによって、典型的にはセンサと制御ユニットの大幅な修正を必要とせずに、検証機能の後付けが可能になる。
【0062】
例えば、分析は、ノイズ信号を基準信号と比較することを含み、ノイズ信号の基準信号からのずれが検出された場合に、チェックデータが警告のトリガーとなる。
【0063】
原則として、検証機能に関連して様々な対策を実施できる。例えば、人−機械インタフェースを制御して警告メッセージを表示できる。代替又は追加として、影響を受けたセンサが、該センサは「存在しない」又は故障状態として検出されるように、切り離される。制御ユニットは、適切な対策をとることができ、例えば、自己完結動作モードにおいて安全状態又は自動遮断を起動することができる。このような警告の代替又は追加として、制御データは、センサと信号線のどちらか又は両方の改変が検出された場合に、センサデータの処理を中止にできる。これは、センサデータに含まれる信頼できない改変測定値の処理を防ぐのに役立つ。
【0064】
原則として、本明細書で述べるシナリオは、様々な事例に用途を見出せる。例えば、センサは、発電所、タービン、発電機、風車、機関車、インダストリ2.0製造設備、人体搬送機、医用画像装置などの医療機器といった自動システムの制御に使用される。本明細書で述べるシナリオは、これら自動システムの、信頼できるセンサ信号に基づく安全動作を容易にする。センサ信号の信頼レベルは、本明細書で述べる確実性検証によって高められる。
【0065】
図1は、複数のセンサ101,102を含むシステム100に関し概略的に示す。実施形態よっては、システム100は、単一センサのみ又は3個以上のセンサを含む。
【0066】
本明細書で述べる様々な技術に従って、センサは、物理的観測量を測定するように構成される。様々な物理的観測量(例えば、温度、圧力、加速など)が測定される。システム100の様々なセンサが、異なる物理的観測量又は同じ物理的観測量を測定できる。
【0067】
センサ101,102は、信号線105,106によって制御ユニット111と連結される。
【0068】
制御ユニット111は、制御回路を含む。例えば、制御回路は、マイクロプロセッサ、フィールドプログラマブルアレイ(FPGA)及び特定用途集積回路(ASIC)のうちの1つ以上を使って実施される。制御ユニット100は、信号線105,106でセンサ101,102からセンサ信号を受け取るように構成されたインタフェースを含む。
【0069】
センサ信号は、それぞれの測定値を示す(例えば、測定値の時間発展)。センサ信号は、デジタル領域又はアナログ領域において提供される。
【0070】
信号線105,106は、有線接続か無線接続、又はその両方として実施される。
【0071】
システム100は、分析ユニット121も含む。
【0072】
分析ユニット121もまた、例えばマイクロプロセッサ、FPGA又はASICによって実施された制御回路を含む。分析ユニット121は、制御ユニット111と通信するように構成されたインタフェースを含む。分析ユニット121は、信号線105,106のノイズ信号の分析を行うように構成される。分析ユニット121においてノイズ信号を確定するために、様々な技術を想定できる。一つのシナリオでは、分析ユニット121は、信号線105,106の読み取り、例えば、誘導読み取り(図1の点線矢印によって示されている)を使ってノイズ信号を検出できる。他のシナリオでは、ノイズ信号をデジタル符号化する制御データを制御ユニット111から受け取ることによってノイズ信号を確定できる。
【0073】
次に、ノイズ信号の分析に基づいて、チェックデータが、分析ユニット121によって送られ、制御ユニット111が受け取る。チェックデータは、分析の結果を示す。
【0074】
したがって、例えば、分析の結果が、センサ101,102と信号線105,106のどちらか又は両方の改変によるセンサ信号の確実性違反を示す場合に、必要に応じて、制御ユニット111で適切な対策をとることが可能になる。
【0075】
例えば、制御ユニット111は、チェックデータに応じて、センサ信号を処理する場合としない場合とがある。
【0076】
システム100によって提供される検証機能について、図2〜図4を参照してより詳しく説明する。図2〜図4は、センサ101,102、分析ユニット121、及び制御ユニット111によって実行されるロジックを例示する。
【0077】
図2は、実施形態に係る方法のフローチャートである。例えば、図2の方法は、図1の例に係るセンサ101,102のいずれかによって、例えばそれぞれの制御回路によって、実行される。図2は、ノイズ信号の生成に関する例を示す。
【0078】
図2のシナリオでは、ブロック5001で、信号発生器を動作させてノイズ信号を生成する。
【0079】
次に、ブロック5002で、ノイズ信号を、それぞれのセンサの信号線に送る。これにより、センサによって測定された物理的観測量を示すセンサ信号とノイズ信号とを両方とも含む重畳信号が形成される。
【0080】
図2のシナリオでは、信号発生器を動作させてノイズ信号を生成する。しかしながら、他のシナリオでは、ノイズ信号は、信号発生器を動作させて生成するのではなく、センサの環境との相互作用によって本質的に生成される。すなわち、ノイズ信号は、干渉、クロストーク、熱効果などの環境的影響によって本質的に存在する。
【0081】
実施形態によれば、ブロック5001で、ノイズ信号が、暗号鍵に基づいて生成される。例えば、ノイズ信号として、暗号鍵に基づいて擬似ランダム信号が生成される。拡張バンド(拡張帯域)信号が生成される。
【0082】
様々なシナリオにより、ノイズ信号を生成する信号発生器の柔軟な動作が可能である。例えば、信号発生器の構成は、センサのセンサ信号に基づいて設定される。例えば、当該構成により、センサ信号とノイズ信号との間のクロストーク又は干渉を低減できる。これは、当該構成を適切に選択することによって達成される。当該構成において、ノイズ信号の信号レベルを含んでいてもよい。当該構成に、ノイズ信号の周波数スペクトルを含むこともできる。そして、アナログ−デジタル変換器で適切なフィルタリングを実施できる。フィルタリングは、例えば制御ユニット111のインタフェースにおけるノイズ消去によって実施される。例えば、帯域フィルタ、低域フィルタ又は高域フィルタが実施される。
【0083】
重畳信号の成分の上記分離を容易にするために、図2の方法は、さらに、信号発生器の構成を示す構成データを送ることを含みうる。該構成データに基づいて、ノイズ消去技術を実施できる。また、ノイズ信号の分析を正確に実行できる。例えば、ノイズ信号の生成を柔軟に調整することをたまに実施することにより、新鮮さを提供でき、リプレイアタックなどの攻撃ベクトルが低減される。
【0085】
ブロック5011で、ノイズ信号が確定される。ブロック5011でノイズ信号を確定するために様々な技術を利用できる。例えば、ノイズ信号は、例えば誘導読み取りを使用して、センサのアナログ信号線から読み取る。当該シナリオは、信号線、センサ又は制御ユニットを改造することなくノイズ信号の読み取りを実施できるので、単純な後付けを容易にする。また、センサ、信号線、制御ユニットなどの既存の構成要素が、読み取りによる影響を受けないので、既存のシステムが機能試験などに合格しなくてもよい。このことは、当シナリオではノイズ信号の検出とノイズ信号の分析が安全認定ルーチンの一部でなくてもよいことから、特に安全監視システムに適切である。他方、特に安全監視システムでは、センサと信号線のどちらか又は両方の改変に関してセンサ信号を継続的に検証しなければならない。
【0086】
ブロック5011の別の例では、図3の方法を実行する分析ユニットの対応ロジックによってノイズ信号を検出しなくてもよい。言い換えると、例えばセンサ信号を処理するように構成された制御ユニットから、ノイズ信号をデジタル符号化する制御データを受け取ることができる。これは、制御ユニットが、重畳信号のセンサ信号をノイズ信号から分離するためにノイズ消去を実施することによってノイズ信号を検出するように既に構成されている場合に、有用である。この機能が、ノイズ信号を確定するために再使用される。
【0087】
次に、ブロック5012で、ノイズ信号の分析を行う。これは、例えば、ノイズ信号と基準信号の一致を確認することを含む。原則として、ブロック5012における分析は、様々な照合技術、例えば、パワースペクトル密度の分析、異常検出、フィンガプリント抽出、パターン検出、分光分析、機械学習などの統計分析に依存できる。
【0088】
幾つかのシナリオでは、本方法は、さらに、ノイズ信号を生成するように構成された信号発生器の構成を示す構成データを受け取ることを含む(図2:ブロック5001を参照)。次に、該構成データに基づいて、ブロック5012の分析とブロック5011のノイズ信号の確定のどちらか又は両方を実施する。例えば、構成データは、重畳信号の他の成分からのノイズ信号の分離を容易にする。例えば、ノイズ信号の生成を柔軟に調整することによって、新鮮さが提供され、それにより、リプレイアタックなどの攻撃ベクトルが低減される。
【0089】
単純なシナリオでは、ブロック5012における分析の結果は、センサ信号の検証成功に関する、はい/いいえの区別を示す。他のシナリオでは、分析の結果に関するより多くの情報が利用できる。分析の結果が、より高レベルの詳細度で提供される。例えば、分析の結果が分類される。この場合、分類のための各カテゴリが事前に定義される。カテゴリを例示すれば、低い重大度の操作と高い重大度の操作、基準信号からの逸脱のタイプ、センサの故障と信号線の故障、センサの操作と信号線の操作など、改変の重大度レベルに関して区別する。
【0090】
したがって、原則として、複数のカテゴリに関して分析の結果の分類が行われる。チェックデータは、分類を示す。これは、例えばセンサ信号の検証が失敗した場合に制御ユニットで実施される対策を調整するのに役立つ。例えば、検証失敗の重大度により、様々な対策を実施でき、例えば、あまり重大でないシナリオでは、警告メッセージを表示するようにグラフィカルユーザインタフェースを制御したり、より重大なシナリオでは制御システムの緊急停止を実施してもよい。
【0091】
ブロック5013で、分析の結果を示すチェックデータが送られる。例えば、チェックデータは、制御ユニット111に送られる(図1を参照)。チェックデータは、分析の結果の分類を示す。
【0092】
チェックデータは、センサ信号を検証できなかった場合に対策を容易にする。例えば、チェックデータは、対応センサを無効にできる。例えば、チェックデータは、制御ユニットが適切な対策を取るように警告メッセージを含む。
【0093】
チェックデータは、暗号鍵を含む。暗号鍵は、制御ユニット111で使用される。次に、暗号鍵は、制御ユニット111によって、復号、暗号化、署名の計算、署名の検証、鍵インスタンス化の少なくとも1つ以上のために使用される。チェックデータは、分析の結果により暗号鍵を選択的に含む。例えば、分析が、センサと信号線のどちらか又は両方の改変を示す場合、暗号鍵はチェックデータに含まれない。
【0094】
制御ユニットにチェックデータを送る代替又は追加として、チェックデータをバックエンドシステムのサーバに送ってもよい。例えば、これは、移動体通信接続に基づいて実施できる。ブラックリストの作成を実施可能である。安全制御装置にチェックデータが提供される。
【0096】
ブロック5021で、センサ信号を受け取る。例えば、ブロック5021で、センサ信号とノイズ信号を含む重畳信号を受け取ることができる。次に、ノイズ消去技術に基づいて、センサ信号を抽出する。センサ信号は、対応するセンサの信号線を介して受け取る。センサ信号は、デジタル領域又はアナログ領域で受け取られる。したがって、ブロック5021は、アナログ−デジタル変換を含みうる。
【0097】
次に、ブロック5022で、チェックデータを受け取る。チェックデータは、信号線のノイズ信号の分析の結果を示す。したがって、ブロック5022は、ブロック5013と相関する。
【0098】
ブロック5023で、ブロック5021で受け取ったセンサ信号の確実性がチェックデータによって検証されたかどうかを確認する。これによりセンサ信号は、チェックデータに従って、ブロック5024で処理されるか、又は、ブロック5025で処理されない。
【0099】
ブロック5024における処理は、チェックデータに含まれる暗号鍵の使用を含む。これは、チェックデータの受け取りをすり抜けようとする攻撃ベクトルを低減することによってセキュリティレベルを高める。
【0100】
図5は、実施形態に係るセンサ101,102、制御ユニット111、及び分析ユニット121の間の通信を示す信号伝達図である。
【0101】
4001で、センサ信号3001がセンサ101によって送られ、制御ユニット111が受け取る。4002で、センサ信号3002がセンサ102によって送られ、制御ユニット111が受け取る。
【0102】
センサ信号3001,3002は、ノイズ信号も含む各重畳信号にそれぞれ含まれる。
【0103】
4003で、ノイズ信号3003がセンサ101と制御ユニット111との間の通信から読み取られ、分析ユニット121が受け取る。同様に、4004で、ノイズ信号3004がセンサ102と制御ユニット111との間の通信から読み取られ、分析ユニット121が受け取る。
【0104】
次に、分析ユニット121が、ノイズ信号3003,3004の分析を行い、4005において対応チェックデータ3005を送る。
【0105】
図6は、センサ101、センサ102、制御ユニット111及び分析ユニット121の間の通信の信号伝達図である。
【0106】
4011は、ほぼ4001に相当する。4012は、ほぼ4002に相当する。
【0107】
4013で、ノイズ信号をデジタル符号化する制御データ3011が制御ユニット111によって送られ、分析ユニット121が受け取る。
【0108】
この場合も、分析ユニット121は、ノイズ信号の分析を行い、4014で、チェックデータ3003を制御ユニット111に送る。
【0109】
図7は、システム100に関する例である。図7のシナリオは、ほぼ図1のシナリオに対応する。図7のシナリオで、システム100は、関連信号線105〜108をもつセンサ101〜104を含む。図7では、制御ユニット111のインタフェース115及び制御回路116が示されている。
【0110】
図8も、システム100に関する例である。図8のシナリオで、分析ユニット121は、信号線105〜108の誘導読み取り201に基づいて、ノイズ信号3003,3004を検出するように構成される。図8のシナリオで、制御ユニット111は、さらに、普通はオプションである安全回路117を含む。インタフェース115、制御回路116及び安全回路117は全て、チェックデータを受け取ることができ、他のシナリオでは、構成要素115〜117のいずれかのみ、チェックデータを受け取る。
【0112】
図8のシナリオで、分析ユニット121は、インターネットやオフィスネットワークなどのオープンネットワーク131を介して、バックエンドシステムのサーバ132に接続される。チェックデータを制御ユニット111に送る代替又は追加として、分析ユニット121は、チェックデータをサーバ132に送って適切な対策をとる。
【0113】
図9は、分析ユニット121に関する例である。例えば、分析ユニット121は、ハードウェアセキュリティモジュール(HSM)として実施される。例えば、HSMは、インダストリPC(IPC)(産業用PC)に対する拡張モジュールとして実施され、RS232、PCIE、SPI又はUSBを介してIPCと接続可能である。分析ユニット121は、HSMにおいて、中央処理装置又はマイクロコントローラ上のソフトウェア又はハードウェア(例えば、FPGAによる)、あるいはその両方で実施される。好ましいシナリオでは、システムオンチップ(例えば、改ざん保護された制御回路116)が使用される。
【0114】
図9のシナリオでは、ランダムアクセスメモリ122が、バス暗号化部124を介して、それぞれの制御回路127と連結される。フラッシュメモリ123は、FLASHコントローラ125を介して、制御回路127と連結される。誘導読み取り201を容易にし、必要に応じて警告信号3091を受け取るインタフェース128が提供される。ランダムアクセスメモリ122とFLASHメモリ123のどちらか又は両方の書き込み又は読み取り、あるいはその両方の暗号化が可能である。インタフェース126は、チェックデータ3003を制御ユニット111に提供するように構成される。例えば、ノイズ信号と比較される基準信号が、フラッシュメモリ123に記憶される。
【0115】
次に、分析ユニット121は、例えば、デジタル署名やメッセージ認証コードなどの暗号チェックサムによって、ノイズ信号が基準信号と一致すること、したがって、先験的前提を確認できる。これにより、各信号線105〜108で通信され、本例ではノイズ信号と重畳された対応センサ信号を検証できる。
【0116】
1つの選択肢として、分析ユニット121は、暗号鍵を記憶し、暗号鍵をチェックデータ3003の一部として制御ユニット111に選択的に送る。次に、暗号鍵は、制御ユニット111によって、復号、暗号化、署名の計算、署名の検証、鍵インスタンス化の少なくとも1つ以上に使用される。暗号鍵の使用は、ノイズ信号の分析に基づくセンサ信号の検証が肯定的な結果を提供する場合に有効とされる。その他の選択肢では、暗号鍵は、センサ信号の検証失敗に応じて消去される。
【0117】
図10は、分析ユニット121に関する例を概略的に示す。図10のシナリオは、ほぼ図9のシナリオに対応する。しかしながら、図10のシナリオでは、誘導読み取り201を使用してノイズ信号3011を得ておらず、言い換えると、制御データ3011が、制御ユニット111のインタフェース115によって、例えば、インタフェース115のアナログ−デジタル変換器によって生成される。制御データは、インタフェース115によって検出されたノイズ信号をデジタル符号化する。次に、制御データは、制御ユニット111によって送られ、分析ユニット121が受け取る。したがって、図10のシナリオは、概して図6のシナリオに対応する。
【0118】
以上、センサ信号の確実性を検証する技術について述べた。説明した技術に基づいて、検証機能を有する制御ユニット下に1つ以上のセンサを含む既存のシステムの後付けが可能になる。これは、幾つかの実施形態によれば、別個の分析ユニットを提供することにより達成される。
【0119】
この技術は、例えば物理的に離れたセンサに応用できる。この場合、制御ユニットの近くで読み取り(例えば、誘導読み取り)を実施できる。
【0120】
本明細書で述べた技術は、制御ユニットによるセンサ信号の処理を用いたセーフティクリティカル(安全重視)の装置が、検証機能を後付けしてしまえば再検証する必要がないという利点をもつ。すなわち、典型的には、1つ以上のセンサと制御ユニットの既存システムの改造、又は大幅な改造が不要である。追加の証明は不要である。
【0121】
本明細書で述べた技術は、センサと信号線のどちらか又は両方が保護環境(例えば、アクセス制御されアラームセキュアされたケーブルファンネル)内に配置される照合実装と比較して殊に利点を有する。すなわち、ハードウェアの複雑さが大幅に低減される。
【0122】
本発明を具体的な好ましい実施形態に関して示し説明したが、本明細書を読み理解することによって他の当業者が等価と派生の形態を想到することが可能である。本発明は、そのような等価と派生を全て含み、特許請求の範囲によってのみ特定される。