知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-10-11
(45)【発行日】2022-10-19
(54)【発明の名称】通信装置、通信システム、通信制御方法、プログラム
(51)【国際特許分類】
H04L 12/46 20060101AFI20221012BHJP
【FI】
H04L12/46 E
【請求項の数】
7
(21)【出願番号】P 2019559887
(86)(22)【出願日】2017-12-18
(86)【国際出願番号】 JP2017045379
(87)【国際公開番号】W WO2019123523
(87)【国際公開日】2019-06-27
【審査請求日】2020-06-12
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成27年度、国立研究開発法人新エネルギー・産業技術総合開発機構「国際研究開発・実証プロジェクト/コファンド事業/日本-イスラエル研究開発協力事業/サイバー・フィジカル統合セキュリティ基盤の研究開発」委託研究、産業技術力強化法第19条の適用を受ける特許出願
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100080816
【弁理士】
【氏名又は名称】加藤 朝道
(74)【代理人】
【識別番号】100098648
【弁理士】
【氏名又は名称】内田 潔人
(72)【発明者】
【氏名】森田 陽一郎
(72)【発明者】
【氏名】関谷 かや人
【審査官】羽岡 さやか
(56)【参考文献】
【文献】特開2004-336501(JP,A)
【文献】特開2014-007588(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/46
H04L 45/42
H04Q 9/00
H04L 41/00
H04L 43/00
(57)【特許請求の範囲】
【請求項1】
PLC(Programmable Logic Controller)とフィールド機器を含む計装システムに接続する1又は複数のポートと、前記計装システムの運用のための入力及び/又は出力を行う第1の系統に接続する1又は複数のポートとを備え、パケットのアドレス又は前記パケットのネットワーク識別に基づきポート間の転送を制御する通信装置であって、前記計装システムの保守時に、前記通信装置に接続され、前記計装システムや現場機器に対する保守の入力及び/又は出力を行う保守端末を含む第2の系統のポート接続に関して、前記通信装置のポートのうち、前記計装システムに接続するポートを除くポートの中から、前記第1の系統による前記ポートの使用履歴に基づき、前記第1の系統が使用した前記ポートを除いたポートから、前記第2の系統で使用可能なポートを設定する制御手段を備え、
前記第1の系統が使用した前記ポートであって前記第2の系統での使用が不可とされた前記ポートは、前記第2の系統が前記通信装置のポートに接続されたのちも、前記第1の系統による前記計装システムの運用のための入力及び/又は出力が可能とされる、ことを特徴とする通信装置。
【請求項2】
前記第1の系統の前記使用履歴に基づき、前記計装システムに接続するポートを除くポートのうち、前記第1の系統が使用した前記ポートに対して前記第2の系統によるアクセスを不許可とし、
前記第1の系統が使用した前記ポートを除いたポートに対して、前記第2の系統のアクセスの設定範囲とするフィルタ規則を自動生成する手段を備えるか、又は、前記手段に接続可能とされ、
前記制御手段は、前記フィルタ規則に基づき、前記第2の系統からの通信の許可、遮断を制御する、ことを特徴とする請求項1に記載の通信装置。
【請求項3】
PLC(Programmable Logic Controller)とフィールド機器を含む計装システムと、前記計装システムに接続する1又は複数のポートと、前記計装システムの運用のための入力及び/又は出力を行う第1の系統に接続する1又は複数のポートとを備え、パケットのアドレス又は前記パケットのネットワーク識別に基づきポート間の転送を制御する通信装置と、前記第1の系統による前記ポートの使用履歴を記憶する記憶装置と、を含む通信システムの前記通信装置における通信制御を設定する制御設定装置であって、
前記通信装置に対して、
前記計装システムの保守時に、前記通信装置に接続され、前記計装システムや現場機器に対する保守の入力及び/又は出力を行う保守端末を含む第2の系統のポート接続に関して、前記通信装置のポートのうち、前記計装システムに接続するポートを除くポートの中から、前記第1の系統による前記ポートの使用履歴に基づき、前記第1の系統が使用した前記ポートを前記第2の系統によるアクセスを不許可とし、前記第1の系統が使用した前記ポートを除いたポートを、前記第2の系統により使用可能な設定範囲として、前記通信装置に設定する、ことを特徴とする制御設定装置。
【請求項4】
請求項1又は2に記載の通信装置と、前記第1の系統の前記使用履歴を記憶する記憶装置と、
を備えた通信システム。
【請求項5】
PLC(Programmable Logic Controller)とフィールド機器を含む計装システムに接続する1又は複数のポートと、前記計装システムの運用のための入力及び/又は出力を行う第1の系統に接続する1又は複数のポートとを備え、パケットのアドレス又は前記パケットのネットワーク識別に基づきポート間の転送を制御する通信装置による通信制御方法であって、前記通信装置は、
前記計装システムの保守時に、前記通信装置に接続され、前記計装システムや現場機器に対する保守の入力及び/又は出力を行う保守端末を含む第2の系統のポート接続に関して、
前記通信装置のポートのうち、前記計装システムに接続するポートを除くポートの中から、前記第1の系統による前記ポートの使用履歴に基づき、前記第1の系統が使用した前記ポートを除いたポートから、前記第2の系統で使用可能なポートを設定し、
前記第1の系統が使用した前記ポートであって前記第2の系統での使用が不可とされた前記ポートは、前記第2の系統が前記通信装置のポートに接続されたのちも、前記第1の系統による前記計装システムの運用のための入力及び/又は出力が可能とする、ことを特徴とする通信制御方法。
【請求項6】
前記通信装置は、前記第1の系統の前記使用履歴に基づき、前記計装システムに接続するポートを除くポートのうち、前記第1の系統が使用した前記ポートに対して前記第2の系統によるアクセスを不許可とし、
前記第1の系統が使用した前記ポートを除いたポートを、前記第2の系統によるアクセスの設定範囲とするフィルタ規則を自動生成し、
前記通信装置では、前記フィルタ規則に基づき、前記第2の系統からの通信の許可、遮断を制御する、ことを特徴とする請求項5に記載の通信制御方法。
【請求項7】
PLC(Programmable Logic Controller)とフィールド機器を含む計装システムに接続する1又は複数のポートと、前記計装システムの運用のための入力及び/又は出力を行う第1の系統に接続する1又は複数のポートとを備え、パケットのアドレス又は前記パケットのネットワーク識別に基づきポート間の転送を制御する通信装置のコンピュータに、前記計装システムの保守時に、前記通信装置に接続され、前記計装システムや現場機器に対する保守の入力及び/又は出力を行う保守端末を含む第2の系統のポート接続に関して、
前記通信装置のポートのうち、前記計装システムに接続するポートを除くポートの中から、前記第1の系統による前記ポートの使用履歴に基づき、前記第1の系統が使用した前記ポートを除いたポートから、前記第2の系統で使用可能なポートを設定し、
前記第1の系統が使用した前記ポートであって前記第2の系統での使用が不可とされた前記ポートは、前記第2の系統が前記通信装置のポートに接続されたのちも、前記第1の系統による前記計装システムの運用のための入力及び/又は出力が可能とする処理を、実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は通信装置、通信システム、通信制御方法、プログラムに関する。
【背景技術】
【0002】
PLC(Programmable Logic Controller)などを用いた計装システムに対しては、一般に、2つの入出力系統が接続される。図1は、関連技術の計装システムの典型例を模式的に説明する図である。図1において、系統1(1)はシステムに備え付けのハードウェアやソフトウェアである。これらは、稼働状況を観測し、正常な稼働を維持するため、常に、予め定められた条件に従って、情報収集や命令伝達を行う。
【0003】
系統2(2)は、例えば保守担当者等が保守点検時等にシステムに接続するハードウェア機器やソフトウェアである。これらは、設定変更や機器交換などのため、一時的に、保守員等の指示に従って、情報収集や命令伝達を行う。なお、以下では、系統1(1)、系統2(2)について、図面の参照符号1、2は付けず、系統1、系統2という。
【0004】
系統1、2の入出力の制御方針には、下記の違いがある。系統1は、計装システム3の正常稼働にとって常に必要な入出力である。これらは、例えばシステムの可用性を最重要視する観点から、仮に何らかの問題が発生した場合でも、入出力を維持し、基本的に、計装システム3と系統1間の通信は、原則、遮断はしない。
【0005】
系統2は、一時的な作業にとって必要な入出力であり、通常時は不要な入出力である。系統2は、システム保護などのセキュリティを重視する観点から、一時的に通過を許可し、通常時は、遮断するというアクセス制御を行う。
【0006】
系統1、2の入出力に通信経路を提供するネットワークリソース(ネットワークスイッチなどのハードウェアやソフトウェア)は、コストや、設置にかかる容積などの都合上、必ずしも独立していず、一部または全部を系統間で共有する場合がある。
【0007】
図2Aは、このような構成例を説明する図である(なお、図2Aは、本発明の一形態の説明においても参照される)。図2Aに示す例では、共有される通信経路の一部として、ネットワークスイッチ(単に、「スイッチ」という)等の通信機器4が、系統1と系統2で共有されている。なお、共有される通信経路としては、例えばスイッチ間の通信回線、通信ノード等を含むようにしてもよい。以下では、説明の簡単化のため、通信機器4をスイッチとした例について説明する。
【0008】
系統2は、例えば保守端末(携帯型情報端末又はPC(Personal Computer)等)を含む。保守作業時に、スイッチ4に接続して、PLC、又はPLCとフィールドバスを介して接続する現場機器等のモニタ、パラメータ設定等の調整を行う。
【0009】
図2Bは、図2Aにおけるスイッチ4におけるアクセスコントロール機能を説明する図である。なお、図2Bには、説明の容易化のため、1台のスイッチ4が例示されているが、スイッチは、複数を備えてもよいことは勿論である。
【0010】
スイッチ4におけるアクセスコントロール機能5は、系統1、2と、計装システム3間の通信の許可、遮断を行う。なお、アクセスコントロール機能5は例えばパケットフィルタ等で構成されてもよい。アクセスコントロール機能5は、例えばアクセスコントロールリスト(ACL)に設定された規則(「フィルタ規則」ともいう)に基づき、スイッチ4で受信したパケットの許可、遮断等の制御を行う。ACLには、例えば、パケット(フレーム)の所定のヘッダ情報と照合される条件と、該条件に一致した場合に当該パケットに対して行われる動作(ACTION:例えば、パケットの通過の許可、遮断(廃棄)等)とを規定した規則が設定される。
【0011】
スイッチ4において、系統2からのアクセスは、セキュリティポリシー等に基づき、アクセスコントロールリスト(ACL)に設定された規則(図2Bのaccess-list #2)にしたがって、計装システム3へのパケット転送の許可・遮断の制御が行われる。
【0012】
ACLの規則は同じ番号のものを複数設定可能とされ、例えば、先に記述したもの程優先度を高くしてもよい。この場合、スイッチ4でパケットを受信すると、アクセスコントロール機能5(パケットフィルタ等)は、ACLの規則を上から順番に判断し、マッチした条件に対応する動作を実行される。ACLの最後の規則までマッチしなかった場合は、暗黙のdeny(default-deny)により、パケットは遮断される。すなわち、ACLに明示的に許可されていないものはすべて拒否する(これをdefault-denyポリシーともいう)。暗黙のdenyの環境では、ACLに何も規則がない場合、事実上、系統2はネットワークから遮断される(系統2からの計装システム3へのアクセスは遮断される)。このように、暗黙のdenyでは、ACLにセキュリティポリシーの規則を記述しない限り、通信は許可されないが、逆に、明示されていないものを許可とする暗黙の許可(default-permit)に、設定を変更するようにしてもよい。
【0013】
図2Bに示す例では、通常動作時、ACL1によるアクセス制御が行われ、系統1からのパケットは全て許可とされる(図2Bのaccess-list #1 permit any)。系統2からのアクセスは遮断される。なお、図2Bの端末(ホスト)1-1、1-2の数字198.14.1.1、198.14.2.1等はIPv4(Internet Protocol version 4)のIP(Internet Protocol)アドレスを表している(ただし、数値は架空の値である)。なお、アドレス等として,IPv4以外 (IPv6や,計装システム向けプロトコル等) のアドレス等を用いてもよいことは勿論である。
【0014】
図2Bにおいて、ACL2は、系統2からの計装システム3の保守作業を可能とするためにスイッチ4に設定されるACLの一例を示している。保守作業時には、スイッチ4において、ACL2に基づくアクセス制御が行われ、access-list #2で許可(permit)された系統2の端末からのパケットが許可される。ACL2では、系統1からのパケットは全て許可とされる。なお、図2Bでは、ACLにおいて、パケットの送信元IP(Internet Protocol)アドレス等に基づくアクセスコントロールを例示しているが、OSI(Open Systems Interconnection)参照モデル(7階層)のレイヤ2のスイッチ等において、スイッチ4のポート単位に許可、遮断を制御するポートベースのACLやVLAN(Virtual Local Area Network)単位に、通過、許可を制御するVLANベースのACL等を用いてもよい。
【0015】
【0016】
系統2の入出力の制御が、系統1に影響を与えることは、システムの可用性の観点から許容できない。
【0017】
このため、系統2に対する制御が、系統1に影響しない仕組みが必要となる。例えば、通信経路を提供するスイッチ4などの機器や、通信回線等の部分的な故障により、系統2が使用するポートが使用不能となり、スイッチ4の別のポートへ変更するような場合において、系統1に影響する可能性を排除する仕組みが必要となる。あるいは、保守要員が、系統2の保守端末を、本来接続すべきポートとは異なるポートに接続して保守作業等を行おうとした場合にも、系統1に影響する可能性を排除する観点から、系統2からのアクセスを遮断することが好ましい。
【0018】
以上のように、スイッチ4において、系統2の接続時に、系統1に影響する可能性を排除するための仕組みが必要となる。例えば、スイッチ4内のACLを書き換える作業を人手で行おうとした場合、スイッチ4のポートの数、ネットワーク内のスイッチ4の個数によって、多大の工数を要する。このため、迅速な保守の実現を困難としている。また、ネットワーク構成の把握が必要とされ、系統1の可用性に影響を及ぼさないことを検証することも難しい。
【0019】
なお、特許文献1には、複数のリンクと相互接続された複数の転送デバイスを含むネットワークを介して、新規データストリームを送信元から宛先へルーティングするためのコンピュータ実施方法が開示されている。この方法は、
(a)新規データストリームのために複数の前記相互接続された転送デバイスを通るパスを作成するよう求める要求を、制御デバイスで受信する段階と、
(b)前記新規データストリームのタイプを決定する段階と、
(c)決定された前記タイプに基づいて、前記決定されたタイプを有する複数のデータストリームの複数の使用履歴特性を決定する段階と、
(d)前記決定されたタイプを有する複数のデータストリームの前記複数の使用履歴特性に基づいて、前記複数の相互接続された転送デバイスを通る、前記送信元から前記宛先への、要求された前記パスを決定する段階と、
(e)前記パスに沿ったそれぞれの転送デバイスについて、前記転送デバイスのどのポートが、(d)で決定された前記パスに沿って前記新規データストリームからのデータをルーティングするかを示すルーティングテーブルを決定する段階と、
(f)それぞれの前記転送デバイスの各々について、(e)で決定された前記ルーティングテーブルを送信し、前記転送デバイスを構成する段階と、を備える。
(a)新規データストリームのために複数の前記相互接続された転送デバイスを通るパスを作成するよう求める要求を、制御デバイスで受信する段階と、
(b)前記新規データストリームのタイプを決定する段階と、
(c)決定された前記タイプに基づいて、前記決定されたタイプを有する複数のデータストリームの複数の使用履歴特性を決定する段階と、
(d)前記決定されたタイプを有する複数のデータストリームの前記複数の使用履歴特性に基づいて、前記複数の相互接続された転送デバイスを通る、前記送信元から前記宛先への、要求された前記パスを決定する段階と、
(e)前記パスに沿ったそれぞれの転送デバイスについて、前記転送デバイスのどのポートが、(d)で決定された前記パスに沿って前記新規データストリームからのデータをルーティングするかを示すルーティングテーブルを決定する段階と、
(f)それぞれの前記転送デバイスの各々について、(e)で決定された前記ルーティングテーブルを送信し、前記転送デバイスを構成する段階と、を備える。
【0020】
また、特許文献2には、ネットワークを介して接続され、互いに異なるゾーンに区分けされている安全計装システム及び上位システムを備え、前記ゾーン毎に設けられ、自ゾーンに対する外部からのサイバー攻撃を検知する検知手段と、前記検知手段の検知結果に基づいて、前記ゾーン間の通信或いは前記ゾーン内の通信を制限する対策を行う防御手段と、を備えた統合生産システムが開示されている。
【0021】
しかしながら、特許文献1、2には、系統1と系統2が通信経路を共有する場合であっても、系統2に対する制御が、系統1に影響しないようにする手段は開示されていない。
【先行技術文献】
【特許文献】
【0022】
【文献】特表2017-511068号公報
【文献】特開2017-111540号公報
【発明の概要】
【発明が解決しようとする課題】
【0023】
前述したように、系統1と系統2が通信経路を共有する場合であっても、系統2に対する制御が、系統1に影響しない仕組みが必要となる。例えば、系統1と系統2が通信経路を共有可能とする構成において、系統2が系統1の通信性能、動作特性、可用性(システムが継続して稼働できる能力)等に影響を与える可能性を排除する機構を自動設定することが望まれる。
【0024】
したがって、本発明は、上記課題に鑑みて創案されたものであって、その目的は、複数の系統が通信経路を介して計装システムに接続する場合に、ある系統の接続が他の系統に与える影響を排除する仕組みを自動で設定可能とする装置、システム、方法、プログラムを提供することにある。
【課題を解決するための手段】
【0025】
本発明の1つの形態によれば、第1、第2の系統と計装システムとの間の通信経路に関して、前記第1の系統による通信経路の使用履歴に基づき、前記第1の系統が使用した通信経路を除いた通信経路から、前記第2の系統で使用可能な通信経路を設定する制御手段を備えた、ことを特徴とする通信装置が提供される。
【0026】
本発明の1つの形態によれば、前記第1の系統の使用履歴第1、第2の系統と計装システムとの間の通信経路に関して、前記第1の系統による通信経路の使用履歴に基づき、前記第1の系統の使用履歴第1の系統が使用した通信経路を除いた通信経路から、前記第2の系統で使用可能な通信経路を設定する手段を備えた通信装置と、前記第1の系統の前記使用履歴を記憶する手段と、を備えた通信システムが提供される。
【0027】
本発明の1つの形態によれば、第1、第2の系統と計装システムとの間の通信経路に関して、前記第1の系統による通信経路の使用履歴に基づき、前記第1の系統の使用履歴第1の系統が使用した通信経路を除いた通信経路から、前記第2の系統で使用可能な通信経路を設定する通信制御方法が提供される。
【0028】
本発明の1つの形態によれば、第1、第2の系統と計装システムとの間の通信経路に関して、前記第1の系統による通信経路の使用履歴に基づき、前記第1の系統の使用履歴第1の系統が使用した通信経路を除いた通信経路から、前記第2の系統で使用可能な通信経路を設定する処理をコンピュータに実行させるプログラムが提供される。
【0029】
本発明によれば、上記プログラムを記憶したコンピュータ読み出し可能な記録媒体(例えばRAM(Random Access Memory)、ROM(Read Only Memory)、又は、EEPROM(Electrically Erasable and Programmable ROM))等の半導体ストレージ、HDD(Hard Disk Drive)、CD(Compact Disc)、DVD(Digital Versatile Disc)等の非一時的コンピュータ読み出し可能な記録媒体(non-transitory computer readable recording medium)が提供される。
【発明の効果】
【0030】
本発明によれば、複数の系統が通信経路を介して計装システムに接続する場合に、ある系統の接続が他の系統に与える影響を排除する仕組みを自動で設定可能としている。
【図面の簡単な説明】
【0031】
【図1】関連技術の典型的なシステム構成を説明する図である。
【図2A】関連技術及び本発明の一形態を説明する図である。
【図2B】関連技術を説明する図である。
【図3】本発明の一実施形態を説明する図である。
【図4】本発明の一実施形態を説明する図である。
【図5】本発明の一実施形態を説明する図である。
【図6】本発明の一実施形態の変形例を説明する図である。
【図7】本発明の一実施形態の変形例を説明する図である。
【図8】本発明の一実施形態の手順を説明する流れ図である。
【図9】本発明の一形態のコンピュータ装置の構成を説明する図である。
【発明を実施するための形態】
【0032】
本発明の実施形態について説明する。本発明は、例えば図2A、図2B等のシステム構成に対して、適用可能とされる。本発明の一形態によれば、通信機器4におけるアクセスコントロール機能5が、図2A、図2B等を参照して説明した課題を解決する構成とされている。本発明の一形態によれば、図2Aにおいて、通信機器4(通信装置)は、系統1による通信経路の使用履歴に基づき、利用可能な通信経路のうち、系統1が使用した通信経路を除いた通信経路を、系統2の設定範囲とする。すなわち、通信機器4は、系統1が使用した通信経路については系統2による使用を不許可とし、系統2に対して、系統1が使用した通信経路を除いた通信経路に対して、系統2の設定範囲を設定する制御を行う。この設定範囲は、系統2からのアクセスを許可とするか、あるいは拒否するアクセス制御を行うようにしてもよい。
【0033】
<実施形態>
図3は、本発明の一実施形態を説明する図である。図3は、基本的に、図2Bの構成に対応している。図3において、系統1、系統2、スイッチ4、計装システム3は、図2A、図2Bの系統1、系統2、通信機器4、計装システム3に対応している。図3において、通信機器制御設定部6は、スイッチ4において、系統1が使用した通信経路(例えばポート)は、系統2では使用できないようにスイッチ4に対して設定する。なお、通信機器4と通信機器制御設定部6を一つのユニットとして構成してもよいし、通信手段を介して接続する別のユニットとして構成してもよい。
図3は、本発明の一実施形態を説明する図である。図3は、基本的に、図2Bの構成に対応している。図3において、系統1、系統2、スイッチ4、計装システム3は、図2A、図2Bの系統1、系統2、通信機器4、計装システム3に対応している。図3において、通信機器制御設定部6は、スイッチ4において、系統1が使用した通信経路(例えばポート)は、系統2では使用できないようにスイッチ4に対して設定する。なお、通信機器4と通信機器制御設定部6を一つのユニットとして構成してもよいし、通信手段を介して接続する別のユニットとして構成してもよい。
【0034】
なお、計装システム3には、3台のPLC1-3(31-1~31-3)と、これらに接続する機器(フィールド機器)32が例示されている。PLC1-3(31-1~31-3)は、NIC(Network Interface Card)33-1~33-3によりスイッチ4のポートD、E、Fにそれぞれ接続する。なお、スイッチ4は、受信したフレームの転送先のポートを決定するためのテーブル(ポートとその先に接続するMAC(Media Access Control)アドレスの対応表(MACアドレステーブル))を有する。スイッチ4は、受信したフレームの宛先MACアドレスをキーとしてMACアドレステーブルを検索して出力ポートを決定する。なお、宛先アドレスがMACアドレステーブルに登録されていない場合は、例えば受信ポートを除く全てのポートに当該フレームを出力する(フラッディング)。なお、PLC等の台数は3に制限されるものでないことは勿論である。スイッチ4には、他の機器が接続される構成であってもよく、また、PLCから、マルチドロップ方式、T分岐方式、ツリー分岐のバス接続を介して機器に接続する構成としてもよい。また、スイッチ4は、簡単のため1台が例示されているが、複数台備えた構成としてもよい。
【0035】
特に制限されないが、スイッチ4は、例えばポート(レイヤ2スイッチのポート)単位でのアクセス制御を行うようにしてもよい(ポートベースのACL)。
【0036】
この場合、スイッチ4のポートに着信するトラフィック(フレーム)に対して、ポート単位に、ACLに指定されたアクセス制御を行うことができる。通信機器制御設定部6では、スイッチ4のポートのうち、系統1が使用したポートについて、系統2からのアクセスを不許可とする規則を含むACLをスイッチ4に対して設定する。このため、系統2の接続が系統1の可用性等に与える影響を排除する仕組みを自動で設定することができる。
【0037】
あるいは、スイッチ4において、ポートVLANに基づくアクセス制御を行うようにしてもよい。すなわち、スイッチ4のポートにVLAN ID(Identifier)(VLAN番号)を割り付け、VLAN毎のアクセス制御を行うようにしてもよい。この場合、スイッチ4のポートにパケット(フレーム)が到着すると、該パケット(フレーム)の属するVLAN番号を判別し、スイッチ4は、該ポートに設定されたVLAN番号(VLAN ID)に一致する場合、出力ポート(同一のVLAN番号のポート)にパケット(フレーム)を転送する。パケット(フレーム)の属するVLAN番号とポートに設定されたVLAN番号(VLAN ID)が不一致の場合、パケット(フレーム)は廃棄される。
【0038】
通信機器制御設定部6では、系統1によるスイッチ4のポートの使用履歴に基づき、スイッチ4におけるポートのVLAN番号の割り付け、更新等を行うようにしてもよい。図3のスイッチ4において、例えばポートA、B、D、Eを、系統1のVLAN、ポートC、Fを系統2のVLANとして割り当てるようにしてもよい。この場合、系統1と、スイッチ4のポートA、B、D、Eと、計装システム3のノード(例えばNIC33-1、33-2等)が1つのVLANを構成し、系統2とスイッチ4のポートCと計装システム3のノード(例えばNIC33-3等)が別のVLAN2を構成する。その結果、系統2からは、系統1のVLANはアクセスできない。
【0039】
あるいは、スイッチ4が、レイヤ2の中継を行う場合、ポートが接続するMACアドレスに基づきアクセス制御を行うようにしてもよい。例えば本来、ポートCに接続する系統2の保守端末が、ポートBにアクセスした場合、系統2の保守端末のMACアドレスが当該ポートBに対して割り付けられたMACアドレスと一致しないため、系統2の保守端末からポートBに送信されたフレームは廃棄される。
【0040】
あるいは、例えば、系統1においてスイッチ4に接続するノードのMACアドレスと、計装システム3のPLC1、PLC2のNIC33-1、33-2のMACアドレスを一つのVLANに含め、系統2の保守端末と、該保守端末が接続可能なPLC3のNIC33-3のMACアドレスを別のVLANとし、系統2をPLC1、2から切り離すようにしてもよい。この場合、系統2の保守端末等がPLC1やPLC2にアクセスしようとしても、スイッチ4において拒否される。すなわち、系統2の保守端末等から計装システム3のPLC1やPLC2宛てのフレームはスイッチ4において廃棄される。
【0041】
あるいは、スイッチ4が、レイヤ3の中継を行う場合、図2BのACL1、2等に示したように、ポートで受信したパケットの送信元IPアドレスに基づき、アクセス制御を行うようにしてもよい。この場合、該送信元IPアドレスのノードからのパケットは、別のスイッチ(例えばレイヤ3スイッチ)等を介して、該スイッチ4に到着するものであってもよい。
【0042】
図4は、本発明の一実施形態を説明する図である。図4を参照すると、系統2の制御設定部7は、系統2に対するアクセス制御の設定を行う。系統2の制御設定部7は、系統1が使用中、又は使用したことのある通信経路を、系統2の設定範囲から外す。なお、系統2の設定範囲は、系統1に影響を与えずに、系統2に都合等によって、系統2に対して許可(permit)も拒否(deny)も設定可能な範囲である。通信機器制御設定部6は、スイッチ等の通信機器4において、系統2で使用可能な設定範囲に対応するアクセスコントロールを実施可能とするように通信機器4を設定する。
【0043】
図4では、系統2は通信機器4のポートP3への接続は不許可とされる。例えば、系統2の保守端末を通信機器4のポートP3に接続して通信を行う場合、系統2の保守端末からのフレーム(パケット)は遮断(廃棄)される。
【0044】
図5は、図4の実施形態の一例を説明する図である。図5を参照すると、図4の構成に加えて、系統1使用履歴記憶部8が設けられている。系統1使用履歴記憶部8は、系統1による通信経路の使用履歴を記憶する。系統1使用履歴記憶部8はRAM(Random Access Memory)、EEPROM(Electrically Erasable Programmable Read-Only Memory)、USB(Universal Serial Bus)メモリ、HDD(Hard Disk Drive)等であってもよい。
【0045】
系統1使用履歴記憶部8は、系統1の不図示のノード装置(端末)からの通信機器4のポートへのアクセスの履歴を記憶する。系統1の不図示のノード装置(端末)からの通信機器4のポートへのアクセスは、ポートから受信したフレーム(パケット)の送信元アドレスであるMACアドレス(IPアドレス)等に基づき、履歴を集計するようにしてもよい。
【0046】
特に制限されないが、使用履歴は、例えば、フレーム(パケット)のヘッダから抽出された、
・送信元MACアドレス、
・宛先MACアドレス、
・プロトコル、
・送信元IPアドレス、
・宛先IPアドレス、
・上位プロトコルがTCP(Transmission Control Protocol)とUDP(User Datagram Protocol)の場合、送信元ポート番号、宛先ポート番号
に加えて、
・ログ時刻、
・送信・受信インタフェース、
・同一フローのパケット数、
等を記憶するようにしてもよい。
・送信元MACアドレス、
・宛先MACアドレス、
・プロトコル、
・送信元IPアドレス、
・宛先IPアドレス、
・上位プロトコルがTCP(Transmission Control Protocol)とUDP(User Datagram Protocol)の場合、送信元ポート番号、宛先ポート番号
に加えて、
・ログ時刻、
・送信・受信インタフェース、
・同一フローのパケット数、
等を記憶するようにしてもよい。
【0047】
送信・受信インタフェースとして、
・レイヤ2での中継の場合、INとOUTのポート番号やVLAN ID等、
・レイヤ3での中継の場合、VLAN ID等、
を記憶するようにしてもよい。
・レイヤ2での中継の場合、INとOUTのポート番号やVLAN ID等、
・レイヤ3での中継の場合、VLAN ID等、
を記憶するようにしてもよい。
【0048】
なお、ポート番号等のポートID(Identifier)のかわりに、アリアス名等、論理的な要素で記憶管理してもよい。
【0049】
使用履歴の取得は、通信機器4が具備するログ機能を利用してもよい。あるいは、系統1側の情報収集、命令伝達の履歴を時系列で記憶する機能(例えば「ヒストリアン」と称呼される)を用いて取得するようにしてもよい。あるいは、パケットキャプチャ機能を用いて、系統1と通信機器4との間で転送されるパケット(フレーム)を収集するようにしてもよい。
【0050】
系統1使用履歴記憶部8は、不図示のネットワーク管理装置等のストレージ装置を用いてもよい。あるいは、系統1使用履歴記憶部8は通信機器4内に備えた構成としてもよい。
【0051】
系統2の制御設定部7は、系統1使用履歴記憶部8に記憶された系統1の使用履歴を参照して、系統2で使用可能な設定範囲(図4ではポートP5からP6)を決定し、通信機器制御設定部6に通知する。通信機器制御設定部6は、系統2で使用可能な設定範囲に対応するアクセスコントロールを実施可能とするように、例えばアクセスコントロールリスト(ACL)を通信機器4に設定する。
【0052】
図6は、図5の構成の変形例を説明する図である。図5では、系統2の制御設定部7が、系統1の使用履歴情報に基づき、系統2の通信経路の設定範囲を決定しているが、図6の構成では、系統2の制御は、図1、図2A、図2Bの構成等からの変更を要しない。
【0053】
図6を参照すると、通信機器制御設定部6は、系統1使用履歴記憶部8と系統2の制御設定部7からの情報に基づき、系統2で使用可能な設定範囲に対応するアクセスコントロールを実施可能とするようにACLを生成し、通信機器4に対して設定する。
【0054】
図7は、図5の構成の変形例を説明する図である。図7では、通信機器制御設定選択部9を新たに備えている。通信機器制御設定選択部9は、系統2の制御設定部7の設定情報を、系統1使用履歴記憶部8の使用履歴に基づき、フィルタ機能を設定し、通信機器4内部の通信機器制御設定部6に設定する。系統2の制御は図1、図2A、図2Bの構成等から変更しない。
【0055】
図8は、本発明の一実施形態の手順(方法)を説明する図である。通信機器4の利用可能なポートを取得する(ステップS1)。例えば通信機器4のMACアドレステーブルを参照して、現在、接続先のMACアドレスが系統1のノードのMACアドレスであるポートは、系統2で利用可能なポートではない。また、現在、系統2のある端末があるポートに接続されている場合も、該ポートは利用可能なポートではない。この処理は系統2の制御設定部で行うようにしてもよい。
【0056】
次に、系統1の使用履歴情報を取得する(ステップS2)。例えば通信機器4の空きポートのうち、以前に系統1のノード(端末)に接続されたポートの情報を取得する。
【0057】
次に、利用可能な通信経路から系統1で使用した通信経路を除いた通信経路を系統2に設定可能な通信経路として選択する(ステップS3)。系統2の制御設定部7、通信機器制御設定部6、又は、通信機器制御設定選択部9で行われる。
【0058】
通信機器4は、系統2からのフレーム(パケット)に対して、設定範囲内でのみ許可するように制御する。
【0059】
図9は、本発明の一形態の構成を説明する図である。通信機器(スイッチ)4の機能をコンピュータ装置300に実装してもよい。図9を参照すると、コンピュータ装置300は、プロセッサ(CPU(Central Processing Unit)、データ処理装置)301、半導体メモリ(例えばRAM(Random Access Memory)、ROM(Read Only Memory)、又は、EEPROM(Electrically Erasable and Programmable ROM)等)、HDD(Hard Disk Drive)、CD(Compact Disc)、DVD(Digital Versatile Disc)等の少なくともいずれかを含む記憶装置302と、通信インタフェース303を備えている。通信インタフェース303はスイッチのポートに対応し例えばNIC等で構成される。
【0060】
記憶装置302は、少なくとも、通信機器制御設定部6の機能を実現するプログラムを記憶する構成としてもよい。プロセッサ301が、該プログラムを読み出して実行することで、系統1の使用履歴に基づき、利用可能な通信経路のうち、系統1が使用した通信経路以外の通信経路を系統2に対して、設定可能(許可(permit)、拒否(deny)が設定可能)な通信経路とする処理を実行する。なお、記憶装置302には、通信機器4で管理するMACアドレステーブル等を記憶するようにしてもよい。また、系統1使用履歴記憶部8を記憶装置302に設けるようにしてもよい。
【0061】
本実施形態によれば、系統2の接続制御が、系統1に影響しない仕組みの提供が可能となる。これにより、系統2の接続制御が系統1に対する影響を排除するとともに、系統2に対する制御を行う機能についても、制御の度に、系統1に対する影響を考慮することなく、通常通りの制御が適用可能となる。
【0062】
この結果、本実施形態によれば、系統2の設定変更において、系統2の管理者の承認のみで実施可能となる。
【0063】
本実施形態によれば、系統2の設定変更において、系統1の管理者の承認を経る必要が無くなるか、承認は必要であるが、該変更に必要な検証等の手間を削減することを可能としている。
【0064】
したがって、系統2の設定変更について、
・前例の無い内容への変更、
・情報収集結果と連動した動的な変更、
・新しい情報収集機能の追加や削除、
・時間的・空間的に細分化された多量の設定、
・リードタイムの極端な短縮
等を可能としている。
・前例の無い内容への変更、
・情報収集結果と連動した動的な変更、
・新しい情報収集機能の追加や削除、
・時間的・空間的に細分化された多量の設定、
・リードタイムの極端な短縮
等を可能としている。
【0065】
これにより、本実施形態によれば、系統1と系統2の制御に用いる通信機器について、物理的に分離する必要性を低下させる。その結果、論理化、IT(Intelligent Technology)化、オープン化した際の見た目による区別が付かないことに伴う問題の発生を抑制し、通信機器の論理化、IT化、共通化、集約化などの促進が可能となる。
【0066】
上記の通り、本実施形態によれば、可用性を最重要視する系統1と、システム保護などのセキュリティを重視する系統2という、異なる制御方針に基づいた、異なる系統の管理機能の共存を可能としている。
【0067】
なお、上記実施形態では、系統1と系統2の2つの系統からなるシステムについて説明したが、3つ以上の系統を含むシステムについても、上記実施形態と同様なアクセス制御を行うことが可能である。
【0068】
なお、上記の特許文献1、2の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ乃至選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
【符号の説明】
【0069】
1 系統1
1-1、1-2 端末(ホスト)
2 系統2
3 計装システム
4 通信機器(スイッチ)
5 アクセスコントロール機能(パケットフィルタ)
6 通信機器制御設定部
7 系統2の制御設定部
8 系統1使用履歴記憶部
9 通信機器制御設定選択部
1-1、1-2 端末(ホスト)
2 系統2
3 計装システム
4 通信機器(スイッチ)
5 アクセスコントロール機能(パケットフィルタ)
6 通信機器制御設定部
7 系統2の制御設定部
8 系統1使用履歴記憶部
9 通信機器制御設定選択部
【図1】
【図2A】
【図2B】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】