知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-09-02
(45)【発行日】2022-09-12
(54)【発明の名称】産業用エッジデバイスのデータ交換を制御する方法及び装置
(51)【国際特許分類】
H04L 67/00 20220101AFI20220905BHJP
G06F 21/60 20130101ALI20220905BHJP
【FI】
H04L67/00
G06F21/60 360
【請求項の数】
11
【外国語出願】
(21)【出願番号】P 2020141519
(22)【出願日】2020-08-25
(65)【公開番号】P2021077340
(43)【公開日】2021-05-20
【審査請求日】2022-03-02
(31)【優先権主張番号】19199200
(32)【優先日】2019-09-24
(33)【優先権主張国・地域又は機関】EP
【早期審査対象出願】
(73)【特許権者】
【識別番号】390039413
【氏名又は名称】シーメンス アクチエンゲゼルシヤフト
【氏名又は名称原語表記】Siemens Aktiengesellschaft
(74)【代理人】
【識別番号】110003317
【氏名又は名称】特許業務法人山口・竹本知的財産事務所
(74)【代理人】
【識別番号】100075166
【弁理士】
【氏名又は名称】山口 巖
(74)【代理人】
【識別番号】100133167
【弁理士】
【氏名又は名称】山本 浩
(74)【代理人】
【識別番号】100169627
【弁理士】
【氏名又は名称】竹本 美奈
(72)【発明者】
【氏名】ギュンター ビルク
(72)【発明者】
【氏名】マルクス ヘフェレ
(72)【発明者】
【氏名】ペーター コブ
(72)【発明者】
【氏名】ロルフ シュライ
(72)【発明者】
【氏名】アーミン ツェルトナー
【審査官】木村 雅也
(56)【参考文献】
【文献】特表2018-534651(JP,A)
【文献】米国特許出願公開第2019/0064787(US,A1)
【文献】米国特許出願公開第2019/0176332(US,A1)
【文献】米国特許出願公開第2017/0223110(US,A1)
【文献】中国特許出願公開第107272608(CN,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 67/00
G06F 21/60
(57)【特許請求の範囲】
【請求項1】
産業用オートメーション装置(PLC)とデータクラウド(CL)とに対する産業用のエッジデバイス(ED)のデータ交換を制御する方法であって、前記エッジデバイス(ED)が、前記産業用オートメーション装置(PLC)に対する第1の通信接続部(KA1)と、前記データクラウド(CL)のネットワークに対する第2の通信接続部(KA2)とをもち、
前記エッジデバイス(ED)が、前記産業用オートメーション装置(PLC)及び前記データクラウド(CL)とデータを交換する複数のアプリケーション(AW1,AW2)を備え、
前記エッジデバイス(ED)が、交換されるデータをファイアウォール機能又はコンテンツフィルタ機能を用いて制御する制御デバイス(KE)を少なくとも1つ含み、
前記アプリケーション(AW1,AW2)ごとに、前記第1の通信接続部(KA1)を介する前記アプリケーション(AW1,AW2)と前記産業用オートメーション装置(PLC)とのデータ交換を前記制御デバイス(KE)により制御すると共に前記第2の通信接続部(KA2)を介する前記アプリケーション(AW1,AW2)と前記データクラウド(CL)とのデータ交換を直接実行するか、又は反対に、前記第1の通信接続部(KA1)を介する前記アプリケーション(AW1,AW2)と前記産業用オートメーション装置(PLC)とのデータ交換を直接実行すると共に前記第2の通信接続部(KA2)を介する前記アプリケーション(AW1,AW2)と前記データクラウド(CL)とのデータ交換を前記制御デバイス(KE)により制御するか、について設定し、
前記エッジデバイス(ED)のデータフロー制御デバイス(DKE)により、前記アプリケーション(AW1,AW2)が同時に両方の前記通信接続部(KA1,KA2)を介してデータ交換を直接実行しないことを保証する、方法。
【請求項2】
前記通信接続部(KA1,KA2)のうちのどの通信接続部を介して前記アプリケーション(AW1,AW2)がデータ交換を直接実行し、前記通信接続部(KA1,KA2)のうちのどの通信接続部を介して同じ前記アプリケーション(AW1,AW2)が前記制御デバイス(KE)を介しデータ交換を実行するか、をユーザインターフェースによって管理する、請求項1に記載の方法。
【請求項3】
前記通信接続部(KA1,KA2)のうちのどの通信接続部が前記アプリケーション(AW1,AW2)と直接リンクされ、前記通信接続部(KA1,KA2)のうちのどの通信接続部が前記制御デバイス(KE)を介して当該アプリケーション(AW1,AW2)とリンクされるか、を規定する一連の規則に基づいて、前記データフロー制御デバイス(DKE)により決定を行う、請求項1又は2に記載の方法。
【請求項4】
前記決定は、前記アプリケーション(AW1,AW2)のそれぞれに割り当てられている少なくとも1つの証明書に基づいて行う、請求項3に記載の方法。
【請求項5】
前記証明書がないとき又は前記証明書に瑕疵があるとき、前記アプリケーション(AW1,AW2)は、前記制御デバイス(KE)を介してのみデータを交換することができ、及び/又は、前記通信接続部(KA1,KA2)のうちの1つの通信接続部のみとリンクされる、請求項4に記載の方法。
【請求項6】
前記決定は、前記アプリケーション(AW1,AW2)の種類又はその製造元に基づいて行う、請求項3~5のいずれか1項に記載の方法。
【請求項7】
前記制御デバイス(KE)がアプリケーションとして前記エッジデバイス(ED)にインストールされている、請求項1~6のいずれか1項に記載の方法。
【請求項8】
前記アプリケーション(AW1,AW2)が、それぞれ仮想実行環境においてそれぞれのアプリケーションコンテナとして前記エッジデバイス(ED)にインストールされ、前記アプリケーションコンテナのぞれぞれには前記アプリケーション(AW1,AW2)の1つだけがインストールされ、そして該アプリケーションコンテナはそれぞれ別々の前記仮想実行環境で実行される、請求項1~7のいずれか1項に記載の方法。
【請求項9】
前記アプリケーションコンテナ毎に、前記通信接続部(KA1,KA2)のうちの1つの通信接続部を直接当該アプリケーションコンテナにルーティングし、前記通信接続部(KA1,KA2)のうちの他の通信接続部をそれぞれ前記制御デバイス(KE)を介して当該アプリケーションコンテナにルーティングすることによって、データ交換を制御する、請求項8に記載の方法。
【請求項10】
前記データフロー制御デバイス(DKE)が前記エッジデバイス(ED)のファームウェアのルーチンによって提供され、該ルーチンは、前記エッジデバイス(ED)の前記通信接続部(KA1,KA2)を制御又は監視するように構成される、請求項1~9のいずれか1項に記載の方法。
【請求項11】
産業用のエッジデバイス(ED)であって、産業用オートメーション装置(PLC)とデータクラウド(CL)との該エッジデバイス(ED)のデータ交換を制御するデバイスを含み、
当該エッジデバイス(ED)は、前記産業用オートメーション装置(PLC)に対する第1の通信接続部(KA1)と、前記データクラウド(CL)のネットワークに対する第2の通信接続部(KA2)とをもち、
当該エッジデバイス(ED)は、前記産業用オートメーション装置(PLC)及び前記データクラウド(CL)とデータを交換する複数のアプリケーション(AW1,AW2)を備え、
当該エッジデバイス(ED)は、交換されるデータをファイアウォール機能又はコンテンツフィルタ機能を用いて制御する制御デバイス(KE)を少なくとも1つ含み、
当該エッジデバイス(ED)は、データフロー制御デバイス(DKE)を含み、
該データフロー制御デバイス(DKE)は、前記通信接続部(KA1,KA2)のうちの1つの通信接続部では前記アプリケーション(AW1,AW2)と前記産業用オートメーション装置(PLC)又は前記データクラウド(CL)の一方とのデータ交換が直接実行され且つ前記通信接続部(KA1,KA2)のうちの他の通信接続部では前記制御デバイス(KE)を介して前記産業用オートメーション装置(PLC)又は前記データクラウド(CL)の他方とのデータ交換が実行されるように、データトラフィックを管理するべく構成されると共に、該データフロー制御デバイス(DKE)は、同時に両方の前記通信接続部(KA1,KA2)を介して前記アプリケーション(AW1,AW2)と前記産業用オートメーション装置(PLC)及び前記データクラウド(CL)とのデータ交換が直接実行されることのないように、データトラフィックを管理するべく構成される、エッジデバイス。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、請求項1の前段部分に係る、産業用オートメーション装置とデータクラウドとの産業用エッジデバイスのデータ交換を制御する方法関し、そして、請求項11の前段部分に係る、産業用オートメーション装置とデータクラウドとに対するデータ交換を制御するためのデバイスを有する産業用エッジデバイスに関する。
【背景技術】
【0002】
例えば個別の商品用の生産設備又はプロセスエンジニアリングの設備といった産業用オートメーション装置は、通常、プログラマブルロジックコントローラ(PLC:programmable logic controller)などのコンピュータ制御される多数のコンポーネントと、例えばHMIデバイス(HMI:Human Machine Interface)等の他の複数のデバイスとにより構成されている。様々な理由により、これらの互いにネットワーク化されたコンポーネントは、従来、例えば生産装置に対するデータ的な攻撃を回避する目的で、パブリックネットワークから、特にインターネットから、分離されている。
【0003】
しかし、産業用オートメーション装置においてこれまでデータエンジニアリングの「アイランドオペレーション」で運用されていたアクティブコンポーネントに対して、パブリックネットワーク、特にデータクラウド(以下、「クラウド」とも称する)と、データを交換できるようにするという要求が、ますます高まっている。その理由は様々であり、例えば、ローカルの各種オートメーション装置を互いにネットワーク化することが目的であったり、生産稼働制御を世界中の様々な場所から行えるようにすることが目的であったり、複数の命令を複数のオートメーション装置へ送ることや生産データの読み取りが目的であったりする。
【0004】
オートメーション装置間のプライベートネットワークと、パブリックネットワーク(特にクラウド)との間でデータ交換を規制し制御する目的で、プライベートネットワークとパブリックネットワークとの間の境界でエッジデバイス(末端装置:Edge Device)が使用される。このエッジデバイスのタスクは、データトラフィック制御をはるかに超え得る。特に、データエンジニアリングの点で非常に高性能なエッジデバイスは、プログラマブルロジックコントローラでは実行できないアプリケーションやプロセス(処理)を実行することができる。すなわち例えば、複雑な演算、生産データの評価、アーカイブタスク等である。特に、最近のエッジデバイスの場合、当該エッジデバイスで、カプセル化及びコンテナ化されたアプリケーション、所謂「アプリ(App)」、を実行することが可能である。これらアプリは、所謂アプリストアであるパブリックのアプリケーションストレージから取得され得る。そしてアプリは、例えば、製造経過を監視するため、パフォーマンス、生産量、エラー等に関する統計情報を作成するため、また、それら情報をクラウドサーバへ転送するために、使用することができる。これらのデータはそこに保存され、MESシステムなどの監視を行う権限部によって、そこで更に評価されたりアクセスされたりし得る。
【0005】
そのタスクを実行できるように、エッジデバイスのほとんどのアプリ(アプリケーション)は、プライベートのオートメーションネットワークとデータを交換するだけではなく、クラウドと、或いはそこに配設されているサーバや通信パートナーと、データ交換を別に行うことも必要である。従来型のエッジデバイスは、したがって、少なくとも2つの別個の通信チャンネル、例えば、ネットワークカード、仮想分離されたネットワーク又はポート(この通信チャンネルの一方がプライベートオートメーションネットワークに接続され、他方がクラウドに接続される、つまり例えばインターネットコネクションに接続される)を有する。
【0006】
サイバー攻撃、つまり不正アクセス、を防ぐために、例えばプログラマブルロジックコントローラやその他の敏感なデバイスを備えたプライベートネットワークであるオートメーションネットワークと、クラウド又はインターネット或いは一般的に言うパブリックネットワークとが、互いに明確に分離されていることは、産業用オートメーション装置の多くのオペレータにとって自明の要件である。一般的にはしたがって、生産データや企業秘密に対する不正(権限のない)アクセスが危惧され、更に言えば、不正アクセスや攻撃によって製品が損なわれることが危惧される。これは極端な場合には生産手段や人にとっての危険性さえ意味し得る。
【0007】
この問題を解決するために、在来のPCアーキテクチャやサーバアーキテクチャをもつエッジデバイスを、通常の手段を用いて保護するのが一般的である。具体的には、ネットワークアドレス、特にTCP/IPポート、と関連させてアクセスを限定するファイアウォールをインストールすることであり、これにより通信が、例えばHTTPSサービスなどの特定のサービスに制限される。
【0008】
しかし、このときに、多数のタスクを実行することができるように、そしてそれ故に、プライベートオートメーションネットワーク、すなわちオートメーション装置において多くのデータ及び情報にアクセスできるようにするために、一部のアプリケーションがオートメーションネットワークに対する自由で妨げのないアクセスを必要とする、という問題が残る。
【0009】
この場合、そこにファイアウォールを用いることは難しいか不可能であり、結果的に、該当するアプリケーションに対してオートメーションネットワークに対する無制御のアクセスを許可する必要が出てくる。しかし同時に、これらアプリケーションを介してオートメーションネットワークを攻撃する機能が実現され得ることから、当該アプリケーションに、パブリックネットワーク、クラウドへの妨げのないアクセスを許可してはならない。しかし逆に、何らかの理由で必要である場合は、アプリに対してクラウド環境に対する妨げのないアクセスを許容することも当然ながら可能であるべきである。ただしこの場合、パブリックネットワークとプライベートネットワークとの間の、言い換えると、クラウドとオートメーションネットワークとの間の必要以上の直接的な接続を避けるために、アプリケーションに対してオートメーションネットワークのアクセスをブロックする必要がある。
【0010】
しかし、結論として上記の対策では、クラウドともオートメーションネットワークとも通信するアプリケーションにおいてデータセキュリティを実現することが困難である。
【発明の概要】
【発明が解決しようとする課題】
【0011】
以上の背景に鑑みて、本発明の一課題は、オートメーション装置にもデータクラウド(クラウド)にもアクセスを必要とする産業用エッジデバイスのアプリケーションにおけるデータセキュリティを改善することにある。
【課題を解決するための手段】
【0012】
本発明に係る課題解決策の本質的な思想によれば、エッジデバイスが、少なくとも2つの分離した物理的ネットワーク接続部、広く言えば通信接続部、を常に有しており、その1つがデータクラウド(クラウド)への接続用であり、別の少なくとも1つが産業用オートメーション装置(ローカルネットワーク)への接続用である。これにより、1つ以上のエッジデバイスのデータ管理において、ソフトウェアコンポーネント(通例、アプリケーション)が、クラウドとの直接的なデータ交換を行うのか、或いは、産業用オートメーション装置(通例、オートメーションネットワーク)のコンポーネント(デバイス)との直接的なデータ交換を行うのか、いずれか一方を設定することができ、ただし、その両方とは同時にデータ交換を行わないように設定することができる。制御デバイスによって制御される専用の制限データアクセスが、他方のネットワークレベルへの非直接のデータ接続の都度にアクティブにされ得る。データ管理は、通信接続のデータトラフィックを管理するデータフロー制御デバイスによって行われる。しかしながら、これらコンポーネント及びアプリケーションのそれぞれと制御デバイスとデータフロー制御デバイスとは、それでも、通信するコンポーネントに直接にはルーティングされない物理的なネットワーク通信又は通信接続に対しそれぞれ少なくともファイアウォール機能を実行するスイッチングレイヤと通信可能とする。
【0013】
産業用オートメーション装置とデータクラウドとに対する産業用のエッジデバイスのデータ交換を制御する方法が提案される。当方法においてエッジデバイスは、産業用オートメーション装置に対する第1の通信接続部と、データクラウドのネットワークに対する第2の通信接続部とをもち、産業用オートメーション装置及びデータクラウドとデータを交換する多数のアプリケーションを備え、そして、交換されるデータをファイアウォール機能又はコンテンツフィルタ機能(コンテンツベースフィルタリング)で制御する少なくとも1つの制御デバイスを含む。アプリケーションのそれぞれに対して、第1の通信接続部を介するアプリケーションと産業用オートメーション装置とのデータ交換を制御デバイスにより制御すると共に第2の通信接続部を介するアプリケーションとデータクラウドとのデータ交換を直接実行するのか、又は反対に、第1の通信接続部を介するアプリケーションと産業用オートメーション装置とのデータ交換を直接実行すると共に第2の通信接続部を介するアプリケーションとデータクラウドとのデータ交換を制御デバイスにより制御するのか、を設定する。そして、エッジデバイスのデータフロー制御デバイスにより、アプリケーションが同時に両側の通信接続部を介して直接データ交換を実行しないこと、を保証する。この方法によって、アプリケーション、又はアプリケーションを備えたコンテナ(例えばDocker Container)は、データセキュリティに関して厳密にチェックする必要がなくなる。すなわち、攻撃に対する保護は、中央で個別に管理される、ファイアウォール機能又はコンテンツフィルタを備えた制御デバイスにおいて実行される。これにより特に、潜在的に脆弱性のあるソフトウェアコンポーネント(アプリケーション)が、オートメーション装置とデータクラウド(クラウド)との無制御のデータ交換を同時に実行できないこと、が保証される。
【0014】
上記課題は更に、産業用のエッジデバイスによって解決され、該エッジデバイスは、産業用オートメーション装置とデータクラウドとのエッジデバイスのデータ交換を制御するデバイスを含む。該エッジデバイスは、産業用オートメーション装置に対する第1の通信接続部と、データクラウドのネットワークに対する第2の通信接続部とをもつ。該エッジデバイスは、多数のアプリケーション、すなわちデータを消費し及び/又は提供することにより産業用オートメーション装置及びデータクラウドとデータを交換する多数のアプリケーションを備える。該エッジデバイスは、交換されるデータをファイアウォール機能又はコンテンツフィルタ機能で制御する少なくとも1つの制御デバイスを含む。該エッジデバイスは、データフロー制御デバイスを含み、このデータフロー制御デバイスは、複数の通信接続部のうちの1つの通信接続部ではアプリケーションと産業用オートメーション装置又はデータクラウドの一方とのデータ交換が直接実行されると共に複数の通信接続部のうちの他の通信接続部では制御デバイスを介して産業用オートメーション装置又はデータクラウドの他方とのデータ交換が実行されるように制御すべく、構成されている。且つデータフロー制御デバイスは、同時に両側の通信接続部を介してアプリケーションと産業用オートメーション装置及びデータクラウドとのデータ交換が直接実行されることのないように制御するべく、構成されている。この産業用エッジデバイスによれば、本発明の方法に関し記述した利点が実現される。
【0015】
本発明の有益な態様が引用形式の請求項に示されている。これら請求項で特定されている特徴及び長所は、特に各請求項において特定される方法ステップは、該当する方法ステップを実行するように構成されることを目的とした本発明に係るエッジデバイスに対しても相応に当てはまる。該エッジデバイスにおいては、エッジデバイスのソフトウェアコンポーネント、特にデータフロー制御デバイス、が、対応するソフトウェアルーチンでプログラムされている。各構成に関して示されている方法ステップ又はデバイス特徴は、個別でも互いの適切な組み合わせでも実現される。
【0016】
エッジデバイスに複数のアプリケーションがインストールされているか、複数の実行時環境(コンテナ:Docker Containers、仮想マシン)がインストールされている場合、ユーザが、エッジデバイス又はデータフロー制御デバイスのユーザインターフェースを介して通信接続部を管理又は規定できるのが有益である。すなわち、アプリケーション又は実行環境、コンテナ又は仮想マシンなどがアプリケーションと直接通信するための通信接続部、及び、同じアプリケーションなどが制御デバイスによる制御下でのみデータ交換できる通信接続部、についてである。一態様では、進行中のオペレーションでアプリケーション又はコンテナなどがこの割り当てを自発的に変更する機能を獲得することの管理を実行することさえ可能である。このことは例えば、アプリケーションが別々のアクセス要件をもつ複数の別個のモジュールから構成されている場合に、有利である。
【0017】
代替的に又は追加的に、データフロー制御デバイス自体によって、複数の通信接続部のうちのどの通信接続部がアプリケーション等と直接リンクされるか、及び、複数の通信接続部のうちの他のどの通信接続部が制御デバイスを介して同じアプリケーション等とリンクされるか、を決定することもできる。このことは、一連の規則に基づいて行うのが有利である。例えば、特定のセキュリティ要件を満たしているアプリケーション等のみが、オートメーションネットワーク又はオートメーション装置へ無フィルタリングでアクセスできる権限をもつということが規定され得る。これは、例えば、それぞれのアプリケーションに割り当てられている証明書によって行い得る。この証明書がない場合は、又は証明書に瑕疵があったり期限切れである場合は、該当アプリケーションは、制御デバイスを介してのみデータを交換できるか、又は、複数の通信接続部のうちの1つを介してのみしか通信を許可されない、というように規定され得る。別の結果も規定可能であり、例えば、全ての通信接続部が制御デバイスを介して又は2つの別々の制御デバイスを介してルーティングされなければならないということが規定されてもよい。一連の規則は、アプリケーションのタイプ又はアプリケーションの製造元に基づいて決定可能である。この場合例えば、オートメーション装置のコンポーネントも提供している同じ製造元から証明されて発行されているアプリケーション(アプリ)は、オートメーションネットワークへの直接アクセスが常に許可されるなどと規定することが可能である。
【0018】
制御デバイスは、アプリケーションとしてエッジデバイスにインストールするのが有益である。このことは、制御デバイス又は該デバイスで定義されるセキュリティ規則の定期的な更新を簡単に常に行えるという利点をもつ。さらに、複数の別々の制御デバイスを1つの同じエッジデバイスにインストールすることが同時に可能となり、これによれば、異なるアプリケーションに対して異なるセキュリティレベルを実施することができる。この制御デバイスは、好ましくは、所謂ファイアウォール機能をもつだけではなくて、制御対象のデータストリームのコンテンツをチェックすることもできるものとする。この目的で、好ましくは、オートメーション装置又はこれに組み込まれているコンポーネント(プログラマブルロジックコントローラ、HMIデバイスなど)の製造元から、或いは第三者から、データストリームを検査するための命令を含む記述ファイルを受け取ってインストールすることが可能である。これらの情報は、例えばXMLファイルの形式で提供され、該XMLファイルがキーワード又はマーカーを示し、これらキーワード又はマーカーは、検査対象のデータストリーム内で再検出可能であって、フィルタリング又はブロックされなければならない機密データをマークする。具体的に、有利な構成においては、例えばOPC-UAプロトコルにより送信されるパラメータクエリを、特にアプリケーションからオートメーション装置へ向けての不必要な書き込みアクセスに関して、制御し必要に応じてブロックすることも可能である。
【0019】
好ましくは、1つ以上のアプリケーションが、それぞれ仮想実行環境においてそれぞれのアプリケーションコンテナでエッジデバイスにインストールされる。各コンテナにはそれぞれ1つのアプリケーションがインストールされるのが好ましく、コンテナのそれぞれは別々の仮想実行環境で実行される。これにより、該当するコンテナのそれぞれに対して直接か又は制御されたデータアクセスの割り当てを規定することが可能になる。例えば、サービスプロバイダやその他の使用者にコンテナを割り当てることができ、そしてこの使用者は、当該コンテナ内で異なるアプリケーションを交互に動作させることが可能であり、その際にデータアクセスの割り当てを繰り返し再管理しなければならないということはない。したがって、例えば、オートメーション装置に素材を提供しようとしているサービスプロバイダは、該当する在庫水準に関する情報を彼らに提供するアプリ(アプリケーション)を、独立して操作することができる。この場合、このサービスプロバイダに割り当てられているコンテナは、該当する在庫水準を読み出すことができるように、オートメーション装置に対し制限されたリード(読み出し)アクセスの権限をもち得る。
【0020】
データ交換は、好ましくは、コンテナ毎に、複数の通信接続部のうちの1つの通信接続部を直接このコンテナにルーティングすること、及び、複数の通信接続部のうちの他の各通信接続部を制御デバイスを介してこのコンテナにルーティングすること、によって制御される。これは、例えば一般的なファイアウォール規則を介してか又は既述のアクセスフィルタを介して制御可能であり、又は、制御デバイスを介し許可されていれば直接のネットワーク接続が割り当てられる。通信接続部の簡潔なルーティング又は再ルーティング、すなわち、この例のコンテナにおけるような実行環境又は実行時環境に対する通信接続部の割り当てを通して、システムは容易且つ素早く管理可能である。加えて、通信接続部のルーティングによって、特に直接チャンネルで、データ交換が阻害されず、したがって非常に迅速に行われるという利点が得られる。
【0021】
本発明の実施形態が以下において図面を参照して説明される。これは同時に本発明に係るエッジデバイスの実施形態の説明にも寄与する。
【図面の簡単な説明】
【0022】
【図1】アプリケーションとデータ交換のコンポーネントとを含むエッジデバイスの概略図を示し、データ交換は、一方はデータクラウド(クラウド)と、他方はオートメーション装置(図中、PLC:Programmable Logic Controller)と、のデータ交換を示す。
【発明を実施するための形態】
【0023】
図中、上部に、つまり破線の分割線の上側に、データクラウドCL(クラウド)のあるパブリック領域を示している。破線の分割線の下側には、プライベートドメインとしてここでは産業用オートメーション装置が示されており、当該装置のプログラマブルロジックコントローラPLCがコンポーネントの一例として図示されている。両領域の境に、通信接続部KA1,KA2を有するエッジデバイスEDが示されている。通信接続部KA1は、オートメーションネットワーク(例えばプロフィネット)用の専用ポートであり、例示されているプログラマブルロジックコントローラPLCはここに接続されている。通信接続部KA2は、パブリックネットワーク、すなわちインターネット、と接続されており、データクラウドCLのクラウドサーバ(図示せず)と通信する。この簡略化した例では2つの通信接続部KA1,KA2のみが例示されているが、実物のエッジデバイスEDにおいては、ここで提案する方法に従って動作するあらゆるタイプのたくさんの通信接続部が動作可能でもある。
【0024】
エッジデバイスEDのファームウェアは、データフロー制御デバイスDKEを含んでおり、当該データフロー制御デバイスDKEは、通信接続部KA1,KA2の動作を制御し、これら通信接続部KA1,KA2を介してルーティングされるデータストリームを伝送する、具体的には別々の実行環境へデータストリームを送る。データストリームのそれぞれは双方向のデータストリームである。エッジデバイスEDは多数の仮想実行環境をもち、当該仮想実行環境において所謂Dockerコンテナがインスタンス化され、これらコンテナのそれぞれにおいてアプリケーションAW1,AW2が動作可能とされる。別のコンテナにおいて制御デバイスKEが動作し、当該制御デバイスKEは、1つ以上のデータストリームをそのアドレッシング(ファイアウォール機能)に関して及び/又はそのコンテンツ(コンテンツフィルタ)に関して制御し、必要に応じてフィルタリングするように、構成されている。
【0025】
エッジデバイスED、及びこの例においては特にデータフロー制御デバイスDKEを備えたファームウェアは、ユーザインターフェース、特にウェブインターフェース、を提供し、このインターフェースを用いて、アプリケーションAW1,AW2、制御デバイスKE、及び特に通信接続部KA1,KA2のデータフローを設定することができる。
【0026】
以下、アプリケーションAW1が、オートメーション装置(具体的にはプログラマブルロジックコントローラPLC)から生産データを呼び出し、そして、データクラウドCL(クラウド)の複数のSCADA(Supervisory Control And Data Acquisition System)システム(図示せず)にそのデータを提供する場合を仮定する。この場合、データフロー制御デバイスDKEのユーザインターフェースを介して管理が実行され、プログラマブルロジックコントローラPLCから通信接続部KA1を介しそして制御デバイスKEを介するデータ接続のルーティングが意図され、最終的にアプリケーションAW1に到達することが意図される。第2のデータストリームは、アプリケーションAW1とデータクラウドCLとの間で通信接続部KA2を介しルーティングされる。図中、データストリームは、該当するユニットの接続経路に従う破線で図示されている。
【0027】
データフロー制御デバイスDKEのユーザインターフェースにより、制御デバイスKEは、プログラマブルロジックコントローラPLCから通信接続部KA1を経てアプリケーションAW1へ至るデータストリームが、データダイオードの方式でフィルタリングされるように管理される。このことは、プログラマブルロジックコントローラPLCの変数のクエリ(問い合わせ)に適合するクエリコマンド(例えばOPC-UAプロトコルに従う)のみが、アプリケーションAW1からプログラマブルロジックコントローラPLCへ向かう方向において送信許可される、ということを意味する。アプリケーションAW1からプログラマブルロジックコントローラPLCへ向かう方向のその他のコマンド又はメッセージの全ては、制御デバイスKEによって抑止される。反対方向について制御デバイスKEは、OPC-UAプロトコルに従うメッセージ(応答メッセージ)をもち対応する認証済みコンテンツを転送するデータパケットのみを許可する。この方式でフィルタリングされたデータがアプリケーションAW1で処理され、そして、データクラウドCLのサーバとエッジデバイスEDとの間の通信媒体としてインターネットなどのデータクラウドを介して呼び出し可能となる。これを行うために、通信接続部KA2は、従来の方式でアプリケーションAW1からアクセス可能である。このことは必ずしも、当アクセスが完全に無制御であることを意味するのではなく、例えば一般的なファイアウォールが介在し得る。ただし、この例において、データクラウドCLとアプリケーションAW1のコンポーネント間のデータトラフィックに関してコンテンツフィルタリングを行うことは意図されておらず、またその必要もない。
【0028】
上述の方法により、例示の実施形態においては、産業用オートメーションシステム及び特にここに例示したデバイス(プログラマブルロジックコントローラPLC)に対するインターネットから又はデータクラウドCLからのサイバー攻撃を効果的に防御する一方、要求データをプログラマブルロジックコントローラPLCから後者によって提供すること、が保証される。
【0029】
ユーザインターフェースを介する上述の管理方法の代わりに、アプリケーションAW1が証明書を備えることも可能で、当該証明書は、接続されているプログラマブルロジックコントローラPLC(又は他のコンポーネント)からのデータの呼び出しが、データダイオード方式でフィルタリングに付された上で許可されていること、及び、パブリック領域(インターネット、データクラウド、クラウド)からの無制限のアクセスも同時に同様に許可されていること、を表明する。したがって、証明書のコンテンツに基づいて、データフロー制御デバイスDKEはエッジデバイスEDのデータストリームを適切にスイッチングすることができる。同時に、証明書で定義されている要件を満たすために、制御デバイスKEもまた相応に設定され得る。
【図1】
