ホーム > 特許ランキング > 住友電気工業株式会社
知財求人 - 知財ポータルサイト「IP Force」
特許7428297セキュリティ装置、管理装置、通信システムおよびセキュリティ管理方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-01-29
(45)【発行日】2024-02-06
(54)【発明の名称】セキュリティ装置、管理装置、通信システムおよびセキュリティ管理方法
(51)【国際特許分類】
H04L 41/0803 20220101AFI20240130BHJP
H04L 12/44 20060101ALI20240130BHJP
【FI】
H04L41/0803
H04L12/44 Z
【請求項の数】
14
(21)【出願番号】P 2023528422
(86)(22)【出願日】2022-10-06
(86)【国際出願番号】 JP2022037391
(87)【国際公開番号】W WO2023127222
(87)【国際公開日】2023-07-06
【審査請求日】2023-11-16
(31)【優先権主張番号】P 2021212496
(32)【優先日】2021-12-27
(33)【優先権主張国・地域又は機関】JP
【早期審査対象出願】
(73)【特許権者】
【識別番号】000002130
【氏名又は名称】住友電気工業株式会社
(74)【代理人】
【識別番号】110000682
【氏名又は名称】弁理士法人ワンディ-IPパ-トナ-ズ
(72)【発明者】
【氏名】清水 晶太
(72)【発明者】
【氏名】三好 孝典
(72)【発明者】
【氏名】伊澤 真人
(72)【発明者】
【氏名】加藤 勇夫
【審査官】岩田 玲彦
(56)【参考文献】
【文献】国際公開第2020/095520(WO,A1)
【文献】特開2009-048574(JP,A)
【文献】特開2014-092885(JP,A)
【文献】米国特許出願公開第2013/0139247(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 41/0803
H04L 12/44
(57)【特許請求の範囲】
【請求項1】
機器を接続可能な複数の通信ポートと、前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部と、
前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を取得し、前記認証情報に基づいて、前記接続命令の認証を行う認証部とを備え、
前記認証部は、前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定し、
前記接続命令は、前記通信可能範囲を示す状態情報を含み、
前記状態情報は、前記通信可能範囲として、前記接続命令の送信元の装置と前記スイッチ部を介して通信すべき前記少なくともいずれか1つの機器を示す、セキュリティ装置。
【請求項2】
前記送信元の装置は、前記機器に対して指示する動作内容を決定し、
前記状態情報の示す前記少なくともいずれか1つの機器は、前記動作内容の指示対象である、請求項1に記載のセキュリティ装置。
【請求項3】
前記セキュリティ装置は、3つ以上の前記通信ポートを備え、前記認証部は、前記認証が成功した場合における前記接続命令に応じて、3つ以上の前記機器のうちの一部による前記スイッチ部を介した通信を不可とする、請求項1または請求項2に記載のセキュリティ装置。
【請求項4】
機器を接続可能な複数の通信ポートと、
前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部と、
前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を取得し、前記認証情報に基づいて、前記接続命令の認証を行う認証部とを備え、
前記認証部は、前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定し、
前記認証部は、前記複数の機器の動作状態に応じて変化する前記接続命令を取得する、セキュリティ装置。
【請求項5】
機器を接続可能な複数の通信ポートと、
前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部と、
前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を取得し、前記認証情報に基づいて、前記接続命令の認証を行う認証部とを備え、
前記認証部は、前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定し、
前記認証部は、前記認証情報が分割された複数の部分認証情報を取得し、
前記複数の部分認証情報は、互いに異なるセキュリティで保護されている独立空間に保存されている、セキュリティ装置。
【請求項6】
機器を接続可能な複数の通信ポートと、
前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部と、
前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を取得し、前記認証情報に基づいて、前記接続命令の認証を行う認証部とを備え、
前記認証部は、前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定し、
前記接続命令は、前記通信可能範囲の変更タイミングを示すタイミング情報を含む、セキュリティ装置。
【請求項7】
機器を接続可能な複数の通信ポートと、
前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部と、
前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を取得し、前記認証情報に基づいて、前記接続命令の認証を行う認証部とを備え、
前記認証部は、前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定し、
前記認証部は、分割された前記認証情報を取得し、
前記認証部は、分割された前記認証情報の取得間隔にさらに基づいて、前記認証を行う、セキュリティ装置。
【請求項8】
前記認証部は、前記認証情報、ならびに分割された前記認証情報の取得順および前記取得間隔に基づいて、前記認証を行う、請求項7に記載のセキュリティ装置。
【請求項9】
複数の機器と通信可能であり、かつセキュリティ装置を介した各前記機器の通信可能範囲を設定可能な前記セキュリティ装置を備える通信システムにおける管理装置であって、前記管理装置は、前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を前記セキュリティ装置へ送信し、
前記管理装置は、前記複数の機器の動作状態に応じて変化する前記接続命令を前記セキュリティ装置へ送信する、管理装置。
【請求項10】
複数の機器と通信可能であり、かつセキュリティ装置を介した各前記機器の通信可能範囲を設定可能な前記セキュリティ装置を備える通信システムにおける管理装置であって、
前記管理装置は、前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を前記セキュリティ装置へ送信し、
前記管理装置は、前記認証情報が分割された複数の部分認証情報を前記セキュリティ装置へ送信し、
前記複数の部分認証情報は、互いに異なるセキュリティで保護されている独立空間に保存されている、管理装置。
【請求項11】
管理装置と、機器を接続可能な複数の通信ポートと、前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部とを含むセキュリティ装置とを備え、
前記管理装置は、前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を前記セキュリティ装置へ送信し、
前記セキュリティ装置は、前記管理装置から受信した前記接続命令に含まれる前記認証情報に基づいて、前記接続命令の認証を行い、
前記セキュリティ装置は、前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定し、
前記セキュリティ装置は、前記複数の機器の動作状態に応じて変化する前記接続命令を取得する、通信システム。
【請求項12】
管理装置と、
機器を接続可能な複数の通信ポートと、前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部とを含むセキュリティ装置とを備え、
前記管理装置は、前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を前記セキュリティ装置へ送信し、
前記セキュリティ装置は、前記管理装置から受信した前記接続命令に含まれる前記認証情報に基づいて、前記接続命令の認証を行い、
前記セキュリティ装置は、前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定し、
前記セキュリティ装置は、前記認証情報が分割された複数の部分認証情報を取得し、
前記複数の部分認証情報は、互いに異なるセキュリティで保護されている独立空間に保存されている、通信システム。
【請求項13】
機器を接続可能な複数の通信ポートと、前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部とを備えるセキュリティ装置におけるセキュリティ管理方法であって、前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を取得するステップと、
取得した前記認証情報に基づいて、前記接続命令の認証を行うステップと、
前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定するステップとを含み、
前記接続命令を取得するステップにおいて、前記複数の機器の動作状態に応じて変化する前記接続命令を取得する、セキュリティ管理方法。
【請求項14】
機器を接続可能な複数の通信ポートと、前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部とを備えるセキュリティ装置におけるセキュリティ管理方法であって、
前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を取得するステップと、
取得した前記認証情報に基づいて、前記接続命令の認証を行うステップと、
前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定するステップとを含み、
前記接続命令を取得するステップにおいて、前記認証情報が分割された複数の部分認証情報を取得し、
前記複数の部分認証情報は、互いに異なるセキュリティで保護されている独立空間に保存されている、セキュリティ管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、セキュリティ装置、管理装置、通信システムおよびセキュリティ管理方法に関する。
この出願は、2021年12月27日に出願された日本出願特願2021-212496号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。
この出願は、2021年12月27日に出願された日本出願特願2021-212496号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。
【背景技術】
【0002】
特許文献1(国際公開第2021/166321号公報)には、以下のような技術が開示されている。すなわち、セキュリティシステム情報送信装置と、対象機器を接続可能なセキュリティ装置とを備え、前記情報送信装置および前記セキュリティ装置は、ネットワークを介して互いに接続されており、前記情報送信装置は、参照用識別情報を生成するために用いる生成情報を前記セキュリティ装置へ送信し、前記セキュリティ装置は、前記ネットワークを介して前記情報送信装置から受信した前記生成情報を用いて前記参照用識別情報を生成し、前記セキュリティ装置は、自己に接続された前記対象機器の識別情報を取得し、前記セキュリティ装置は、取得した前記識別情報と、生成した前記参照用識別情報とを比較し、比較結果に基づいて、自己に接続された前記対象機器の正当性を判断する。
【先行技術文献】
【特許文献】
【0003】
【文献】国際公開第2021/166321号公報
【発明の概要】
【0004】
本開示のセキュリティ装置は、機器を接続可能な複数の通信ポートと、前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部と、前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を取得し、前記認証情報に基づいて、前記接続命令の認証を行う認証部とを備え、前記認証部は、前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定する。
【0005】
本開示の一態様は、このような特徴的な処理部を備えるセキュリティ装置として実現され得るだけでなく、かかる特徴的な処理のステップをコンピュータに実行させるためのプログラムとして実現され得る。また、本開示の一態様は、セキュリティ装置の一部または全部を実現する半導体集積回路として実現され得たり、セキュリティ装置を含むシステムとして実現され得る。
【図面の簡単な説明】
【0006】
【発明を実施するための形態】
【0007】
従来、ネットワークにおけるセキュリティを向上させるための技術が開発されている。
【0008】
[本開示が解決しようとする課題]
上述した特許文献1に記載の技術を超えて、ネットワークにおけるセキュリティに関する優れた機能を実現することが可能な技術が望まれる。
上述した特許文献1に記載の技術を超えて、ネットワークにおけるセキュリティに関する優れた機能を実現することが可能な技術が望まれる。
【0009】
本開示は、上述の課題を解決するためになされたもので、その目的は、ネットワークにおけるセキュリティに関する優れた機能を実現することが可能なセキュリティ装置、管理装置、通信システムおよびセキュリティ管理方法を提供することである。
【0010】
[本開示の効果]
本開示によれば、ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
本開示によれば、ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
【0011】
[本開示の実施形態の説明]
最初に、本開示の実施形態の内容を列記して説明する。
(1)本開示の実施の形態に係るセキュリティ装置は、機器を接続可能な複数の通信ポートと、前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部と、前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を取得し、前記認証情報に基づいて、前記接続命令の認証を行う認証部とを備え、前記認証部は、前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定する。
最初に、本開示の実施形態の内容を列記して説明する。
(1)本開示の実施の形態に係るセキュリティ装置は、機器を接続可能な複数の通信ポートと、前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部と、前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を取得し、前記認証情報に基づいて、前記接続命令の認証を行う認証部とを備え、前記認証部は、前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定する。
【0012】
このように、認証機能および経路制御機能を統合する構成により、たとえば、通常時において各機器の通信を遮断した状態において、接続命令を取得した場合であり、かつ当該接続命令の認証に成功した場合、機器のスイッチ部を介した通信経路が確保されるように通信可能範囲を設定することができる。これにより、機器がスイッチ部を介して通信可能となる時間を短くすることができるため、ある機器がマルウェア感染した場合であっても、他の機器への感染を防ぎ、インシデントの多発を抑制することができる。
【0013】
また、各機器の通信可能範囲が変化するため、セキュリティ装置および複数の機器を含むネットワークの構成が外部から理解されにくい。このため、外部からのネットワークへの不正アクセス等をより確実に防ぎ、耐タンパ性を向上させることができる。したがって、ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
【0014】
(2)上記(1)において、前記接続命令は、前記通信可能範囲を示す状態情報を含んでもよい。
【0015】
このように、接続命令の送信側において、各機器のスイッチ部を介した通信可能範囲を決定し、セキュリティ装置へ指示する構成により、セキュリティ装置において、各機器の通信可能範囲の変更を容易に行うことができる。
【0016】
(3)上記(1)または(2)において、前記接続命令は、前記通信可能範囲の変更タイミングを示すタイミング情報を含んでもよい。
【0017】
このような構成により、各機器のスイッチ部を介した通信可能範囲の変更を、適用されるシステムの運転状態等に応じたより適切なタイミングで行うことができる。また、たとえば、接続命令の送信側において、当該システムにおいて通信可能範囲の変更の異常または接続命令の認証が失敗した場合等に、当該運転状態における異常であると容易に認識することができる。また、当該運転状態に関係のない機器からの影響を防ぐことができる。
【0018】
(4)上記(1)から(3)のいずれかにおいて、前記認証部は、分割された前記認証情報を取得してもよい。
【0019】
このような構成により、たとえば、分割された認証情報の一部が他者に漏洩した場合であっても、当該他者において認証情報の全部を把握することができないため、セキュリティ性を向上させることができる。
【0020】
(5)上記(4)において、前記認証部は、分割された前記認証情報の取得順および取得間隔の少なくともいずれか一方にさらに基づいて、前記認証を行ってもよい。
【0021】
このような構成により、接続命令が認証される条件を複雑化することができるため、不正アクセス等をより確実に防ぐことができる。
【0022】
(6)上記(1)から(5)のいずれかにおいて、前記セキュリティ装置は、3つ以上の前記通信ポートを備え、前記認証部は、前記認証が成功した場合における前記接続命令に応じて、3つ以上の前記機器のうちの一部による前記スイッチ部を介した通信を不可としてもよい。
【0023】
このような構成により、接続命令の認証に成功した場合、すべての機器を通信可能とせずに、たとえば、互いに通信すべきいずれか1組の機器の通信経路のみを確保することができるため、インシデントの発生をより一層少なく抑えることができる。
【0024】
(7)本開示の実施の形態に係る管理装置は、複数の機器と通信可能であり、かつセキュリティ装置を介した各前記機器の通信可能範囲を設定可能な前記セキュリティ装置を備える通信システムにおける管理装置であって、前記管理装置は、前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を前記セキュリティ装置へ送信する。
【0025】
このように、認証情報を含む、機器に対する接続命令をセキュリティ装置へ送信する構成により、セキュリティ装置において認証機能および経路制御機能を統合することができる。このため、たとえば、通常時のセキュリティ装置において各機器の通信を遮断した状態において、接続命令を取得した場合であり、かつ当該接続命令の認証に成功した場合、機器のセキュリティ装置を介した通信経路が確保されるように通信可能範囲を設定することができる。これにより、機器がセキュリティ装置を介して通信可能となる時間を短くすることができるため、ある機器がマルウェア感染した場合であっても、他の機器への感染を防ぎ、インシデントの多発を抑制することができる。
【0026】
また、セキュリティ装置において各機器の通信可能範囲を変化させることができるため、セキュリティ装置および複数の機器を含むネットワークの構成が外部から理解されにくい。このため、外部からのネットワークへの不正アクセス等をより確実に防ぎ、耐タンパ性を向上させることができる。したがって、ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
【0027】
(8)本開示の実施の形態に係る通信システムは、管理装置と、機器を接続可能な複数の通信ポートと、前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部とを含むセキュリティ装置とを備え、前記管理装置は、前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を前記セキュリティ装置へ送信し、前記セキュリティ装置は、前記管理装置から受信した前記接続命令に含まれる前記認証情報に基づいて、前記接続命令の認証を行い、前記セキュリティ装置は、前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定する。
【0028】
このように、セキュリティ装置において認証機能および経路変更機能を統合する構成により、たとえば、通常時において各機器との経路を切断した状態において、接続命令を取得した場合であり、かつ当該接続命令の認証に成功した場合、機器との経路を接続するようにスイッチ部を介した機器の通信可能範囲を設定することができる。これにより、複数の機器が互いに接続されている時間を短くすることができるため、ある機器がマルウェア感染した場合であっても、他の機器への感染を防ぎ、インシデントの多発を抑制することができる。
【0029】
また、各機器の通信可能範囲が変化するため、セキュリティ装置および複数の機器を含むネットワークの構成が外部から理解されにくい。このため、外部からのネットワークへの不正アクセス等をより確実に防ぎ、耐タンパ性を向上させることができる。したがって、ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
【0030】
(9)本開示の実施の形態に係るセキュリティ管理方法は、機器を接続可能な複数の通信ポートと、前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部とを備えるセキュリティ装置におけるセキュリティ管理方法であって、前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を取得するステップと、取得した前記認証情報に基づいて、前記接続命令の認証を行うステップと、前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定するステップとを含む。
【0031】
このように、セキュリティ装置において認証機能および経路変更機能を統合した処理を行うことにより、たとえば、通常時において各機器との経路を切断した状態において、接続命令を取得した場合であり、かつ当該接続命令の認証に成功した場合、機器との経路を接続するようにスイッチ部を介した機器の通信可能範囲を設定することができる。これにより、複数の機器が互いに接続されている時間を短くすることができるため、ある機器がマルウェア感染した場合であっても、他の機器への感染を防ぎ、インシデントの多発を抑制することができる。
【0032】
また、各機器の通信可能範囲が変化するため、セキュリティ装置および複数の機器を含むネットワークの構成が外部から理解されにくい。このため、外部からのネットワークへの不正アクセス等をより確実に防ぎ、耐タンパ性を向上させることができる。したがって、ネットワークにおけるセキュリティに関する優れた機能を実現することができる。
【0033】
以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
【0034】
【0035】
図1を参照して、通信システム201は、ゲートウェイ装置101と、複数の機器121と、管理装置151とを備える。図1では、一例として、3つの機器121である機器121A,121B,121Cを示している。なお、通信システム201は、2つまたは4つ以上の機器121を備えてもよい。
【0036】
通信システム201は、たとえば、工場または電力プラントなどにおけるMRP(Manufacturing Resource Planning)を用いた生産管理システムに用いられる。なお、通信システム201は、住宅における通信システム、または車載通信システムなどに用いられてもよい。
【0037】
複数の機器121は、それぞれ対応のケーブルを介してゲートウェイ装置101と接続される。当該ケーブルは、たとえばイーサネット(登録商標)ケーブルである。
【0038】
ゲートウェイ装置101は、セキュリティ装置の一例であり、通信システム201におけるセキュリティを確保している。より詳細には、ゲートウェイ装置101は、認証部11と、記憶部12と、スイッチ部13と、3つの通信ポートPとを備える。認証部11は、たとえば、1または複数のプロセッサを含む処理回路(Circuitry)により実現される。記憶部12は、たとえば不揮発性メモリである。
【0039】
3つの通信ポートPである通信ポートPA,PB,PCには、機器121A,121B,121Cがそれぞれ接続されている。
【0040】
スイッチ部13は、複数の機器121間でやり取りされる情報を中継する中継処理を行う。スイッチ部13は、たとえば、複数のスイッチを含むクロスバースイッチであり、各スイッチのオンオフを切り替えることにより、スイッチ部13を介した各機器121間の接続状態、およびスイッチ部13を介した管理装置151と各機器121との間の接続状態を変更する。通常時において、スイッチ部13を介した各機器121間の経路およびスイッチ部13を介した管理装置151と各機器121との間の経路は切断されている。
【0041】
管理装置151は、機器121に対して動作内容を指示する装置であり、たとえば、機能の一部または全部が、クラウドコンピューティングによって提供されている。
【0042】
機器121は、管理装置151からの指示に従い動作するロボット、ロボットのコントローラ、アクチュエータ、またはPLC(Programmable Logic Controller)もしくは、センサが接続されたECU(Electronic Control Unit)などである。
【0043】
管理装置151は、1または複数の機器121に関する状態に応じて変化する接続命令をゲートウェイ装置101へ送信する。より詳細には、管理装置151は、たとえば、各機器121の動作状態(以下、「運転モード」とも称する。)に応じて各機器121に対して指示する動作内容を決定し、決定した動作内容に応じた接続命令をゲートウェイ装置101へ送信する。
【0044】
接続命令は、当該接続命令の認証に用いられる認証情報、スイッチ部13を介した各機器121間の接続状態、およびスイッチ部13を介した管理装置151と各機器121との間の接続状態、すなわちスイッチ部13において採用すべき各機器121の通信可能範囲CRを示す状態情報、および通信可能範囲CRの変更タイミングを示すタイミング情報を含む。タイミング情報は、たとえば、接続命令に対する相対時刻で表される、開始タイミングおよび終了タイミングを含む。なお、接続命令は、認証情報、状態情報およびタイミング情報を含むものに限らず、たとえば、認証情報として2つ以上の認証符号を含むものであってもよいし、認証情報と、状態情報およびタイミング情報のいずれか一方とを含むものであってもよい。
【0045】
ゲートウェイ装置101における認証部11は、管理装置151から送信された接続命令を受信し、受信した接続命令に含まれる認証情報に基づいて、当該接続命令の認証を行う。
【0046】
より詳細には、記憶部12には、たとえば、接続命令の認証において、認証成功と判断するための判断基準が保存されている。
【0047】
認証部11は、たとえば、記憶部12に保存されている判断基準を参照して、認証情報に基づいて接続命令の認証を行い、認証が成功した場合、当該接続命令に応じて、スイッチ部13を介した機器121の通信可能範囲CRを設定する、すなわちスイッチ部13において形成される1または複数の経路を変更する。
【0048】
より詳細には、当該接続命令に含まれる状態情報は、たとえば、動作内容の指示対象である各機器121の識別情報(以下、「機器ID」と称する。)を示す。なお、状態情報は、機器IDに限らず、たとえば各機器121に対応する通信ポートPのポート番号を示してもよい。状態情報が機器IDを示す場合、たとえば、ゲートウェイ装置101は、機器IDとポート番号との対応関係を示す情報を保持し、当該情報を用いて接続命令等の情報を宛先の機器121へ送信する。
【0049】
認証部11は、接続命令の認証が成功した場合、当該接続命令に含まれる状態情報に基づいて、スイッチ部13を含むネットワークSNに接続する機器121を特定する。そして、認証部11は、当該接続命令に含まれるタイミング情報の示す開始タイミングにおいて、特定した機器121とがスイッチ部13を介して通信可能となるように、スイッチ部13により形成される通信可能範囲CRを変更する。
【0050】
たとえば、認証部11は、スイッチ部13に3つ以上の機器121が接続されている場合、3つ以上の機器121のうちの一部の機器121のスイッチ部13を介した通信が不可となるように、通信可能範囲CRを変更する。
【0051】
また、認証部11は、通信可能範囲CRの変更が完了すると、接続完了通知を管理装置151へ送信する。
【0052】
管理装置151は、ゲートウェイ装置101から送信された接続完了通知を受信すると、たとえば、動作内容の指示対象である各機器121の機器IDおよび動作内容を示す動作情報をゲートウェイ装置101へ送信する。
【0053】
ゲートウェイ装置101におけるスイッチ部13は、管理装置151から送信された動作情報を受信すると、当該動作情報に含まれる宛先情報に基づいて、当該動作情報を1または複数の機器121へ送信する。なお、スイッチ部13は、宛先情報に関わらず、通信可能範囲CRに対応する1または複数の機器121へ動作情報を送信する構成であってもよい。
【0054】
たとえば、管理装置151は、動作内容の指示対象である機器121が、当該機器121の動作を制御するコントローラである他の機器121からの制御情報に従って動作する場合、機器121と上記他の機器121と管理装置151とが通信可能となるような通信可能範囲CRを示す状態情報を作成し、また、動作情報の示す宛先を当該コントローラに設定する。この場合、認証部11は、接続命令の認証が成功した場合、当該接続命令に含まれる状態情報に基づいて、ネットワークSNに接続する機器121および上記他の機器121を特定する。そして、認証部11は、当該接続命令に含まれるタイミング情報の示す開始タイミングにおいて、特定した機器121と他の機器121と管理装置151とが通信可能となるように、スイッチ部13により形成される通信可能範囲CRを変更する。そして、コントローラである他の機器121は、ゲートウェイ装置101からの動作情報に基づいて、動作内容の指示対象である機器121へゲートウェイ装置101経由で制御情報を送信する。
【0055】
機器121は、管理装置151から送信された動作情報、または他の機器121から送信された制御情報を受信すると、当該動作情報または当該制御情報の示す動作内容に従い動作し、応答情報をゲートウェイ装置101へ送信する。
【0056】
たとえば、動作情報が、機器121の動作開始を示す場合、当該動作情報または当該動作情報に基づく制御情報を受信した機器121は、受信した動作情報または制御情報に従って動作を開始する。また、動作情報が、機器121の動作停止を示す場合、当該動作情報または当該動作情報に基づく制御情報を受信した機器121は、受信した動作情報または制御情報に従って動作を停止する。
【0057】
ゲートウェイ装置101におけるスイッチ部13は、機器121からの応答情報を受信し、当該応答情報を管理装置151へ送信する。
【0058】
認証部11は、接続命令に含まれるタイミング情報の示す終了タイミングにおいて、当該機器121のスイッチ部13を介した通信が不可となるように、通信可能範囲CRを変更する。そして、認証部11は、通信可能範囲CRの変更が完了すると、切断完了通知を管理装置151へ送信する。
【0059】
このように、ゲートウェイ装置101では、認証および経路制御系と、通信等に用いる一般経路の系とを分離している。具体的には、認証部11およびスイッチ部13が別個に設けられている。
【0060】
ゲートウェイ装置101では、接続命令の示す通信可能範囲の対象外となる機器121は外部と接続されないことから、通信システム201のネットワークの構成が外部から理解されにくくなり、外部からのネットワークへの不正アクセス等をより確実に防ぐことができる。また、認証および経路制御系への不正アクセス等をより確実に防ぐことができる。
【0061】
なお、接続命令は、タイミング情報を含まなくてもよい。この場合、認証部11は、たとえば、接続命令の認証が成功した場合、認証を行ったタイミングから所定時間後に通信可能範囲CRを変更する。
【0062】
また、接続命令は、状態情報を含まなくてもよい。たとえば、通信システム201が2つの機器121を備えるとする。この場合、認証部11は、たとえば、接続命令の認証が成功した場合、当該接続命令に含まれるタイミング情報の示すタイミングにおいて、これら2つの機器121の各々のスイッチ部13を介した通信が可能または不可となるように通信可能範囲CRを変更する。
【0063】
また、認証部11は、たとえば、通信システム201が3つ以上の機器を備え、かつ接続命令に状態情報が含まれない場合、当該接続命令に含まれるタイミング情報の示すタイミングにおいて、これら3つ以上の機器121の各々のスイッチ部13を介した通信が可能または不可となるように通信可能範囲CRを変更する構成であってもよい。
【0064】
また、セキュリティ装置は、ゲートウェイ装置101以外の装置であってもよい。たとえば、セキュリティ装置は、複数の機器121へ電源を供給するための電源供給システムに設けられ、複数の機器121間における給電路の接続または切断を行う装置であってもよい。
【0065】
[動作の流れ]
図2、図3および図4は、本開示の第1の実施の形態に係る通信システムにおける各装置の動作手順の一例を定めたシーケンス図である。図3は、図2に示すシーケンス図の続きを示し、図4は、図3に示すシーケンス図の続きを示している。
図2、図3および図4は、本開示の第1の実施の形態に係る通信システムにおける各装置の動作手順の一例を定めたシーケンス図である。図3は、図2に示すシーケンス図の続きを示し、図4は、図3に示すシーケンス図の続きを示している。
【0066】
通信システム201における3つの機器121A,121B,121Cのうち、機器121B,121Cは、ロボットであり、機器121Aは、機器121B,121Cの動作を制御するコントローラであるとする。
【0067】
(運転準備)
図2および図3を参照して、まず、管理装置151は、スイッチ部13を介した各機器121間の経路およびスイッチ部13を介した管理装置151と各機器121との間の経路がすべて切断されており、かつ機器121B,121Cが運転を停止している状態において、運転モードとして、機器121Aが機器121B,121Cに対して運転準備を指示するとする。この場合、管理装置151は、たとえば、機器121A,121B,121Cの各々の機器IDを示す状態情報、および認証情報を含む接続命令をゲートウェイ装置101へ送信する(ステップS11)。
図2および図3を参照して、まず、管理装置151は、スイッチ部13を介した各機器121間の経路およびスイッチ部13を介した管理装置151と各機器121との間の経路がすべて切断されており、かつ機器121B,121Cが運転を停止している状態において、運転モードとして、機器121Aが機器121B,121Cに対して運転準備を指示するとする。この場合、管理装置151は、たとえば、機器121A,121B,121Cの各々の機器IDを示す状態情報、および認証情報を含む接続命令をゲートウェイ装置101へ送信する(ステップS11)。
【0068】
次に、ゲートウェイ装置101は、管理装置151から送信された接続命令を受信すると、当該接続命令に含まれる認証情報に基づいて、当該接続命令の認証を行う(ステップS12)。
【0069】
次に、ゲートウェイ装置101は、当該接続命令の認証に失敗した場合(ステップS12において「NO」)、たとえば、当該接続命令を破棄して、通信可能範囲CRの変更を行わない。
【0070】
一方、ゲートウェイ装置101は、当該接続命令の認証に成功した場合(ステップS12において「YES」)、当該接続命令に含まれる状態情報に基づいて、ネットワークSNに接続する機器121として機器121A,121B,121Cを特定する。
【0071】
そして、ゲートウェイ装置101は、当該接続命令に含まれるタイミング情報の示す開始タイミングにおいて、機器121A,121B,121Cの各々がスイッチ部13を介して通信可能となるように、通信可能範囲CRを変更する(ステップS13)。
【0072】
次に、ゲートウェイ装置101は、接続完了通知を管理装置151へ送信する(ステップS14)。
【0073】
次に、管理装置151は、ゲートウェイ装置101から送信された接続完了通知を受信すると、たとえば、機器121B,121Cの各々の機器IDおよび運転準備を示す動作情報を、機器121Aを宛先としてゲートウェイ装置101へ送信する(ステップS15)。
【0074】
次に、ゲートウェイ装置101は、管理装置151から送信された動作情報を受信すると、当該動作情報を機器121Aへ送信する(ステップS16)。
【0075】
次に、機器121Aは、ゲートウェイ装置101から送信された動作情報を受信すると、当該動作情報に従い、運転準備を指示する制御情報を、機器121B,121Cを宛先としてゲートウェイ装置101へ送信する(ステップS17)。
【0076】
次に、ゲートウェイ装置101は、機器121Aから送信された制御情報を受信すると、当該制御情報を機器121B,121Cへ送信する中継処理を行う(ステップS18)。
【0077】
次に、機器121B,121Cは、機器121Aから送信された制御情報をゲートウェイ装置101経由で受信すると、当該制御情報に従って運転準備を行い(ステップS19)、機器121Aを宛先として応答情報をゲートウェイ装置101へ送信する(ステップS20)。
【0078】
次に、ゲートウェイ装置101は、機器121B,121Cの各々から送信された応答情報を受信すると、これら応答情報を機器121Aへ送信する中継処理を行う(ステップS21)。
【0079】
次に、機器121Aは、機器121B,121Cの各々から送信された応答情報をゲートウェイ装置101経由で受信すると、管理装置151からの動作情報に対する応答情報を管理装置151を宛先としてゲートウェイ装置101へ送信する(ステップS22)。
【0080】
次に、ゲートウェイ装置101は、機器121Aから受信した応答情報を管理装置151へ送信する(ステップS23)。
【0081】
次に、ゲートウェイ装置101は、接続命令に含まれるタイミング情報の示す終了タイミングにおいて、機器121A,121B,121Cの各々のスイッチ部13を介した通信が不可となるように通信可能範囲CRを変更する(ステップS24)。
【0082】
そして、ゲートウェイ装置101は、切断完了通知を管理装置151へ送信する(ステップS25)。
【0083】
(第1の運転モード)
次に、管理装置151は、第1の運転モードとして、機器121Bに対して運転開始を指示する場合、機器121A,121Bの各々の機器IDを示す状態情報、および認証情報を含む接続命令をゲートウェイ装置101へ送信する(ステップS31)。
次に、管理装置151は、第1の運転モードとして、機器121Bに対して運転開始を指示する場合、機器121A,121Bの各々の機器IDを示す状態情報、および認証情報を含む接続命令をゲートウェイ装置101へ送信する(ステップS31)。
【0084】
次に、ゲートウェイ装置101は、管理装置151からの接続命令を受信すると、当該接続命令に含まれる認証情報を用いて、当該接続命令の認証を行う(ステップS32)。
【0085】
次に、ゲートウェイ装置101は、接続命令の認証に失敗した場合(ステップS32において「NO」)、たとえば、当該接続命令を破棄して、通信可能範囲CRの変更を行わない。
【0086】
一方、ゲートウェイ装置101は、接続命令の認証に成功した場合(ステップS32において「YES」)、当該接続命令に含まれる状態情報に基づいて、ネットワークSNに接続する機器121として機器121A,121Bを特定する。
【0087】
そして、ゲートウェイ装置101は、当該接続命令に含まれるタイミング情報の示す開始タイミングにおいて、機器121A,121Bの各々がスイッチ部13を介して通信可能となるように、通信可能範囲CRを変更する(ステップS33)。
【0088】
次に、ゲートウェイ装置101は、接続完了通知を管理装置151へ送信する(ステップS34)。
【0089】
次に、管理装置151は、ゲートウェイ装置101からの接続完了通知を受信すると、たとえば、機器121Bの機器IDおよび運転開始を示す動作情報を、機器121Aを宛先としてゲートウェイ装置101へ送信する(ステップS35)。
【0090】
次に、ゲートウェイ装置101は、管理装置151からの動作情報を受信すると、当該動作情報を機器121Aへ送信する(ステップS36)。
【0091】
次に、機器121Aは、ゲートウェイ装置101からの動作情報を受信すると、当該動作情報に従い、運転開始を指示する制御情報を、機器121Bを宛先としてゲートウェイ装置101へ送信する(ステップS37)。
【0092】
次に、ゲートウェイ装置101は、機器121Aからの制御情報を受信すると、当該制御情報を機器121Bへ送信する中継処理を行う(ステップS38)。
【0093】
次に、機器121Bは、機器121Aからの動作情報をゲートウェイ装置101経由で受信すると、当該動作情報に従って運転を開始し(ステップS39)、機器121Aを宛先として応答情報をゲートウェイ装置101へ送信する(ステップS40)。
【0094】
次に、ゲートウェイ装置101は、機器121Bからの応答情報を受信すると、当該応答情報を機器121Aへ送信する中継処理を行う(ステップS41)。
【0095】
次に、機器121Aは、機器121Bからの応答情報をゲートウェイ装置101経由で受信すると、管理装置151からの動作情報に対する応答情報を管理装置151を宛先としてゲートウェイ装置101へ送信する(ステップS42)。
【0096】
次に、ゲートウェイ装置101は、機器121Aから受信した応答情報を管理装置151へ送信する(ステップS43)。
【0097】
次に、ゲートウェイ装置101は、接続命令に含まれるタイミング情報の示す終了タイミングにおいて、機器121A,121Bの各々のスイッチ部13を介した通信が不可となるように通信可能範囲CRを変更する(ステップS44)。
【0098】
そして、ゲートウェイ装置101は、切断完了通知を管理装置151へ送信する(ステップS45)。
【0099】
(第2の運転モード)
次に、管理装置151は、第2の運転モードとして、機器121Cに対して運転開始を指示する場合、機器121Cの機器IDを示す状態情報を含む接続命令、および認証情報をゲートウェイ装置101へ送信する(ステップS51)。
次に、管理装置151は、第2の運転モードとして、機器121Cに対して運転開始を指示する場合、機器121Cの機器IDを示す状態情報を含む接続命令、および認証情報をゲートウェイ装置101へ送信する(ステップS51)。
【0100】
ステップS52からステップS65までの動作は、上述したステップS32からステップS45までの動作と同様であり、ステップS32からステップS45までの動作説明における「機器121B」を「機器121C」と読み替える。
【0101】
(機器121Bの運転終了)
次に、管理装置151は、運転モードとして、機器121Bに対して運転終了を指示する場合、機器121Bの機器IDを示す状態情報を含む接続命令、および認証情報をゲートウェイ装置101へ送信する(ステップS71)。
次に、管理装置151は、運転モードとして、機器121Bに対して運転終了を指示する場合、機器121Bの機器IDを示す状態情報を含む接続命令、および認証情報をゲートウェイ装置101へ送信する(ステップS71)。
【0102】
ステップS72からステップS85での動作は、上述したステップS32からステップS45までの動作と同様であり、ステップS32からステップS45までの動作説明における「運転開始」を「運転終了」と読み替える。
【0103】
(機器121Cの運転終了)
次に、管理装置151は、運転モードとして、機器121Cに対して運転終了を指示する場合、機器121Cの機器IDを示す状態情報を含む接続命令、および認証情報をゲートウェイ装置101へ送信する(ステップS91)。
次に、管理装置151は、運転モードとして、機器121Cに対して運転終了を指示する場合、機器121Cの機器IDを示す状態情報を含む接続命令、および認証情報をゲートウェイ装置101へ送信する(ステップS91)。
【0104】
ステップS92からステップS105までの動作は、上述したステップS32からステップS45までの動作と同様であり、ステップS32からステップS45までの動作説明における、「運転開始」を「運転終了」と読み替え、かつ「機器121B」を「機器121C」と読み替える。
【0105】
なお、ゲートウェイ装置101は、接続命令の認証に失敗した場合、通信可能範囲CRの変更を行わない構成に限定されない。ゲートウェイ装置101は、接続命令の認証に失敗した場合、たとえば、通信システム201における不正アクセスの検知等を行う図示しない監視装置のみが通信可能となるように、通信可能範囲CRを変更する構成であってもよい。
【0106】
また、機器121B,121Cは、機器121Aからの制御情報に従って動作する構成に限らず、管理装置151からの動作情報を、機器121Aを介することなく取得し、取得した動作情報に従って動作する構成であってもよい。
【0107】
また、接続命令は、接続状態およびタイミングをあわせたシーケンスを示す状態情報およびタイミング情報を含むものであってもよい。具体的には、状態情報は、スイッチ部13の接続状態を示す接続情報と、運転モード等、適用システム全体の動作状態を示す運転情報とを含む。この場合、ゲートウェイ装置101および各機器121は、管理装置151からの1つの接続命令に従い、図2、図3および図4に示すような処理を行う。
【0108】
また、スイッチ部13は、物理的なスイッチを含む構成に限定されず、たとえば、イーサネットスイッチのように、情報の出力先となるポートを選択し、選択したポートへ当該情報を出力するスイッチであってもよい。この場合、たとえば、スイッチ部13は、接続命令に含まれる状態情報およびタイミング情報に基づいて、VLANグループを変更することにより、機器121の通信可能範囲CRを設定する。
【0109】
また、通信システム201において、複数の通信可能範囲CRが並行して設けられる構成であってもよい。この場合、認証部11は、たとえば、1つの認証情報、複数の通信可能範囲CRを示す状態情報、および当該複数の通信可能範囲CRの各々の変更タイミングを示すタイミング情報を含む接続命令を管理装置151から受信し、当該接続命令の認証が成功した場合、当該複数の通信可能範囲CRを設定する。
【0110】
また、ゲートウェイ装置101は、管理装置151から受信した1つの接続命令に含まれるタイミング情報の示す開始タイミングにおいて、機器121との通信が可能となるように通信可能範囲CRを変更し、同じ接続命令に含まれるタイミング情報の示す終了タイミングにおいて、機器121との通信を切断するように通信可能範囲CRを変更する構成に限定されない。
【0111】
たとえば、ゲートウェイ装置101は、上記開始タイミングにおいて通信可能範囲CRを変更してから上記終了タイミングが到来するまでの間に他の接続命令を管理装置151から受信した場合、当該他の接続命令に基づいて、通信可能範囲CRを変更する構成であってもよい。
【0112】
より詳細には、たとえば、ゲートウェイ装置101は、図2に示す「第1の運転モード」のシーケンスにおいて、機器121A,121Bがスイッチ部13を介して通信可能となるように通信可能範囲CRを変更した後に(ステップS33)、図3に示す「第2の運転モード」のシーケンスにおける機器121Cの運転開始を指示する接続命令を管理装置151から受信した場合(ステップS51)、当該接続命令の認証処理を行う(ステップS52)。
【0113】
次に、ゲートウェイ装置101は、機器121Cの運転開始を指示する接続命令の認証に成功した場合(ステップS52においてYES)、当該接続命令に含まれる状態情報に基づいて、ネットワークSNに接続する機器121として機器121A,121Cを特定する。
【0114】
次に、ゲートウェイ装置101は、機器121Bとの通信を切断するように通信可能範囲CRを変更し、かつ機器121A,121Cがスイッチ部13を介して通信可能となるように通信可能範囲CRを変更する。
【0115】
また、ゲートウェイ装置101は、認証処理を行わずに中継処理を行う通常モードと、認証処理を行うセキュリティモードとを切り替え可能な構成であってもよい。
【0116】
次に、本開示の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。
【0117】
<第2の実施の形態>
第1の実施の形態では、ゲートウェイ装置101は、管理装置151からの接続命令に含まれる認証情報に基づいて、当該接続命令の認証を行う構成について説明した。
第1の実施の形態では、ゲートウェイ装置101は、管理装置151からの接続命令に含まれる認証情報に基づいて、当該接続命令の認証を行う構成について説明した。
【0118】
これに対して、第2の実施の形態では、認証情報が複数に分割されており、ゲートウェイ装置102は、認証情報の一部(以下、「部分認証情報」とも称する。)を複数取得し、取得した複数の部分認証情報に基づいて、管理装置151からの接続命令の認証を行う。以下で説明する内容以外は第1の実施の形態に係る通信システム201と同様である。
【0119】
たとえば、複数の部分認証情報は、互いに異なるセキュリティで保護されている独立空間に保存されている。これにより、認証情報の漏洩リスクを低減させることができる。ここでは、認証情報は、2つの部分認証情報に分割されており、第1の部分認証情報が、物理空間において保存されており、第2の部分認証情報が、サイバー空間において保存されているとする。
【0120】
具体的には、第1の部分認証情報が、第2の実施の形態に係る通信システム202の管理者が所有する、認証カードまたはROM(Read Only Memory)などに保存されているとする。また、第2の部分認証情報が、管理装置151において保存されているとする。
【0121】
[構成および動作]
図5は、本開示の第2の実施の形態に係るゲートウェイ装置の構成を示す図である。
図5は、本開示の第2の実施の形態に係るゲートウェイ装置の構成を示す図である。
【0122】
図5を参照して、第2の実施の形態に係るゲートウェイ装置102は、本開示の第1の実施の形態に係るゲートウェイ装置101と同様に、記憶部12、スイッチ部13および通信ポートPA,PB,PCを備える。また、ゲートウェイ装置102は、認証部11の代わりに認証部21を備え、入力受付部15をさらに備える。
【0123】
たとえば、入力受付部15には、通信システム202の管理者の認証カードを挿入可能である。当該認証カードには、ゲートウェイ装置102による認証において用いられる認証情報の一部である第1の部分認証情報が登録されている。
【0124】
入力受付部15は、認証カードが挿入された場合、当該認証カードに登録されている第1の部分認証情報を読み込み、当該第1の部分認証情報を認証部21へ出力する。
【0125】
管理装置151は、ゲートウェイ装置102へ接続命令を送信する場合、当該接続命令に第2の部分認証情報を含めて送信する。
【0126】
ゲートウェイ装置102における認証部21は、管理装置151から送信された接続命令を受信した場合、当該接続命令に含まれる第2の部分認証情報と、入力受付部15から出力された第1の部分認証情報とを組み合わせて認証情報を作成する。そして、認証部21は、記憶部12に保存されている判断基準を参照して、作成した認証情報に基づいて、接続命令の認証を行う。
【0127】
また、たとえば、入力受付部15に挿入された認証カードが正規の認証カードではなく、当該認証カードに、管理者が所有する正規の認証カードに登録されている第1の部分認証情報とは異なる部分認証情報が登録されているとする。この場合、認証部21により作成される認証情報に基づく認証において、認証は失敗であると判断される。
【0128】
また、ゲートウェイ装置102が管理装置151からの接続命令を受信した状況において、入力受付部15に認証カードが挿入されていないとする。この場合、認証部21は、認証情報の作成を行うことができないため、接続命令の認証において、認証は失敗であると判断する。
【0129】
なお、認証部21は、3つ以上の部分認証情報を組み合わせて認証情報を作成する構成であってもよい。
【0130】
また、認証情報に限らず、状態情報およびタイミング情報の少なくともいずれか一方が分割される構成であってもよい。この場合、入力受付部15は、部分状態情報および部分タイミング情報の少なくともいずれか一方を読み込み、認証部21へ出力する。管理装置151は、ゲートウェイ装置102へ接続命令を送信する場合、当該接続命令に第2の部分認証情報と、部分状態情報および部分タイミング情報の少なくともいずれか一方とを含めて送信する。認証部21は、管理装置151から送信された接続命令を受信した場合、当該接続命令に含まれる部分状態情報と、入力受付部15から出力された部分状態情報とを組み合わせて状態情報を作成する。また、認証部21は、管理装置151から送信された接続命令を受信した場合、当該接続命令に含まれる部分タイミング情報と、入力受付部15から出力された部分タイミング情報とを組み合わせてタイミング情報を作成する。
【0131】
また、認証符号、状態情報およびタイミング情報をまとめたデータを用いてたとえば秘密分散の技術を使用し、当該データを分散させて保管する構成であってもよい。たとえば、管理装置151に加えて、他の2つの管理装置にそれぞれ状態情報およびタイミング情報が保存される。つまり、認証部21は、認証情報に加えて、状態情報およびタイミング情報に基づいて、接続命令の認証を行う構成であってもよい。この場合、ゲートウェイ装置102は、記憶部12を備えない構成であってもよい。すなわち、認証部21は、上記判断基準を用いずに接続命令の認証を行う。
【0132】
[動作の流れ]
(a)例1
図6は、本開示の第2の実施の形態に係る通信システムにおける各装置の動作手順の一例を定めたシーケンス図である。図6は、管理装置151から送信される複数の接続命令のすべてについて認証が成功した場合における各装置の動作手順の一例を示している。
(a)例1
図6は、本開示の第2の実施の形態に係る通信システムにおける各装置の動作手順の一例を定めたシーケンス図である。図6は、管理装置151から送信される複数の接続命令のすべてについて認証が成功した場合における各装置の動作手順の一例を示している。
【0133】
ここでは、図2に示すシーケンス図と同様に、通信システム202における3つの機器121A,121B,121Cのうち、機器121B,121Cは、ロボットであり、機器121Aは、機器121B,121Cの動作を制御するコントローラであるとする。
【0134】
(運転準備)
図6を参照して、まず、ゲートウェイ装置102は、通信システム202の管理者の認証カードが挿入された場合、当該認証カードに登録されている第1の部分認証情報を読み出し、当該第1の部分認証情報を保持する。たとえば、第1の部分認証情報の認証カードからの読み出しは、認証カードが挿入された際に1回のみ行われる(ステップS111)。
図6を参照して、まず、ゲートウェイ装置102は、通信システム202の管理者の認証カードが挿入された場合、当該認証カードに登録されている第1の部分認証情報を読み出し、当該第1の部分認証情報を保持する。たとえば、第1の部分認証情報の認証カードからの読み出しは、認証カードが挿入された際に1回のみ行われる(ステップS111)。
【0135】
次に、管理装置151は、スイッチ部13を介した各機器121間の経路およびスイッチ部13を介した管理装置151と各機器121との間の経路がすべて切断されており、かつ機器121B,121Cが運転を停止している状態において、運転モードとして、機器121Aが機器121B,121Cに対して運転準備を指示する場合、機器121A,121B,121Cの各々の機器IDを示す状態情報、および第2の部分認証情報を含む接続命令をゲートウェイ装置101へ送信する(ステップS112)。
【0136】
次に、ゲートウェイ装置102は、管理装置151からの接続命令を受信すると、当該接続命令に含まれる第2の部分認証情報を取得し、取得した第2の部分認証情報と、ステップS111において認証カードから読み出した第1の部分認証情報とを組み合わせて、認証情報を作成する(ステップS113)。
【0137】
次に、ゲートウェイ装置102は、作成した認証情報を用いて、当該接続命令の認証処理を行う。ゲートウェイ装置102による接続命令の認証以降の各装置の動作(ステップS114からステップS125)は、図2に示すステップS12からステップS23までの動作と同様であるため、ここでは詳細な説明を繰り返さない。
【0138】
次に、ゲートウェイ装置102は、接続命令に含まれるタイミング情報の示す終了タイミングにおいて、機器121A,121B,121Cの各々のスイッチ部13を介した通信が不可となるように通信可能範囲CRを変更する。そして、ゲートウェイ装置102は、認証カードから読み出した第1の部分認証情報を消去する(ステップS126)。
【0139】
そして、ゲートウェイ装置101は、切断完了通知を管理装置151へ送信する(ステップS128)。
【0140】
次に、ゲートウェイ装置102は、たとえば、管理装置151への切断完了通知を送信したことを、図示しないモニタ等に表示して管理者に通知する。そして、管理者は、管理装置151への切断完了通知の送信が行われたことを把握して、ステップS111において挿入した認証カードをゲートウェイ装置102から取り外す(ステップS129)。
【0141】
(第1の運転モード)
次に、ゲートウェイ装置102は、管理者の認証カードが再び挿入されると、当該認証カードに登録されている第1の部分認証情報を読み出し、当該第1の部分認証情報を保持する(ステップS131)。
次に、ゲートウェイ装置102は、管理者の認証カードが再び挿入されると、当該認証カードに登録されている第1の部分認証情報を読み出し、当該第1の部分認証情報を保持する(ステップS131)。
【0142】
次に、管理装置151は、第1の運転モードとして、機器121Bに対して運転開始を指示する場合、機器121Bの機器IDを示す状態情報、および第2の部分認証情報を含む接続命令をゲートウェイ装置102へ送信する(ステップS132)。
【0143】
次に、ゲートウェイ装置102は、管理装置151からの接続命令を受信すると、当該接続命令に含まれる第2の部分認証情報を取得し、取得した第2の部分認証情報と、ステップS131において認証カードから読み出した第1の部分認証情報とを組み合わせて、認証情報を作成する(ステップS133)。
【0144】
次に、ゲートウェイ装置102は、作成した認証情報を用いて、当該接続命令の認証処理を行う。ゲートウェイ装置102による接続命令の認証以降の各装置の動作(ステップS134からステップS147)は、図2に示すステップS32からステップS45までの動作と同様であるため、ここでは詳細な説明を繰り返さない。
【0145】
次に、ゲートウェイ装置102は、たとえば、管理装置151への切断完了通知を送信したことを、図示しないモニタ等に表示して管理者に通知する。そして、管理者は、管理装置151への切断完了通知の送信が行われたことを把握して、ステップS131において挿入した認証カードをゲートウェイ装置102から取り外す(ステップS147)。
【0146】
図6では、管理装置151が、運転モードとして、運転準備および第1の運転モードを指示する場合における各装置の動作について説明した。管理装置151が、運転モードとして、第2の運転モード、機器121Bの運転終了、および機器121Cの運転終了を指示する場合においても、各装置は同様の動作を行う。
【0147】
(b)例2
図7は、本開示の第2の実施の形態に係る通信システムにおける各装置の動作手順の一例を定めたシーケンス図である。図7は、管理装置151から送信される複数の接続命令のうち、第1の運転モードを指示する際の接続命令の認証が失敗した場合における各装置の動作手順の一例を示している。
図7は、本開示の第2の実施の形態に係る通信システムにおける各装置の動作手順の一例を定めたシーケンス図である。図7は、管理装置151から送信される複数の接続命令のうち、第1の運転モードを指示する際の接続命令の認証が失敗した場合における各装置の動作手順の一例を示している。
【0148】
【0149】
次に、ゲートウェイ装置102は、たとえば、管理装置151への切断完了通知を送信したことを、図示しないモニタ等に表示して管理者に通知する。しかしながら、管理者は、ゲートウェイ装置102から認証カードを取り外すことを忘れたとする(ステップS227)。
【0150】
次に、管理装置151は、第1の運転モードとして、機器121Bに対して運転開始を指示する場合、機器121Bの機器IDを示す状態情報、および第2の部分認証情報を含む接続命令をゲートウェイ装置102へ送信する(ステップS231)。
【0151】
次に、ゲートウェイ装置102は、管理装置151からの接続命令を受信すると、当該接続命令に含まれる第2の部分認証情報を用いた認証情報の作成を試みるが、認証カードからの第1の部分認証情報の読み出しが行われていないため、認証情報を作成することができない。このため、ゲートウェイ装置102は、当該接続命令の認証は失敗であると判断する(ステップS232)。
【0152】
次に、運転準備が完了している機器121B,121Cは、所定時間が経過しても運転開始を示す動作情報を受信しないことから、運転準備をリセットする(ステップS233)。
【0153】
なお、ゲートウェイ装置102は、接続命令の認証に失敗した場合、各機器121に対して運転終了を指示する構成に限定されない。たとえば、ゲートウェイ装置102は、接続命令の認証に失敗した場合であっても、各機器121の動作状態を維持させる構成であってもよい。
【0154】
また、ゲートウェイ装置102は、接続命令の認証に失敗した場合、各機器121に対して運転終了を指示し、さらに、通信システム202における不正アクセスの検知等を行う監視装置とゲートウェイ装置102とが通信可能となるように、通信可能範囲CRを変更する構成であってもよい。
【0155】
その他の構成および動作は第1の実施の形態に係る通信システム201と同様であるため、ここでは詳細な説明を繰り返さない。
【0156】
[変形例1]
認証部21は、分割された認証情報の取得順にさらに基づいて、管理装置151からの接続命令の認証を行う構成であってもよい。
認証部21は、分割された認証情報の取得順にさらに基づいて、管理装置151からの接続命令の認証を行う構成であってもよい。
【0157】
この場合、たとえば、認証部21は、認証カードに登録された第1の部分認証情報を取得した後に、管理装置151からの接続命令に含まれる第2の部分認証情報を取得した場合においてのみ、これらの部分認証情報に基づく認証において成功と判断する。
【0158】
すなわち、管理装置151がゲートウェイ装置102へ接続命令を送信した後に、管理者がゲートウェイ装置102に認証カードを挿入した場合、認証部21による認証において、認証は失敗であると判断される。
【0159】
[変形例2]
認証部21は、分割された認証情報の取得間隔にさらに基づいて、管理装置151からの接続命令の認証を行う構成であってもよい。
認証部21は、分割された認証情報の取得間隔にさらに基づいて、管理装置151からの接続命令の認証を行う構成であってもよい。
【0160】
この場合、たとえば、認証部21は、第1の部分認証情報の取得タイミングと、第2の部分認証情報の取得タイミングとの時間が所定時間内である場合においてのみ、これらの部分認証情報に基づく認証において成功と判断する。
【0161】
[変形例3]
認証部21は、分割された認証情報の取得順および取得間隔の両方にさらに基づいて、管理装置151からの接続命令の認証を行う構成であってもよい。
認証部21は、分割された認証情報の取得順および取得間隔の両方にさらに基づいて、管理装置151からの接続命令の認証を行う構成であってもよい。
【0162】
この場合、たとえば、認証部21は、第1の部分認証情報を取得した後に第2の部分認証情報を取得し、かつ、第1の部分認証情報の取得タイミングから第2の部分認証情報の取得タイミングまでの時間が所定時間内である場合においてのみ、これらの部分認証情報に基づく認証において成功と判断する。
【0163】
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
【0164】
上述の実施形態の各処理(各機能)は、1または複数のプロセッサを含む処理回路により実現される。上記処理回路は、上記1または複数のプロセッサに加え、1または複数のメモリ、各種アナログ回路、各種デジタル回路が組み合わされた集積回路等で構成されてもよい。上記1または複数のメモリは、上記各処理を上記1または複数のプロセッサに実行させるプログラム(命令)を格納する。上記1または複数のプロセッサは、上記1または複数のメモリから読み出した上記プログラムに従い上記各処理を実行してもよいし、予め上記各処理を実行するように設計された論理回路に従って上記各処理を実行してもよい。上記プロセッサは、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、DSP(Digital Signal Processor)、FPGA(Field Programmable Gate Array)、およびASIC(Application Specific Integrated Circuit)等、コンピュータの制御に適合する種々のプロセッサであってよい。なお、物理的に分離した上記複数のプロセッサが互いに協働して上記各処理を実行してもよい。たとえば、物理的に分離した複数のコンピュータのそれぞれに搭載された上記プロセッサがLAN(Local Area Network)、WAN (Wide Area Network)、およびインターネット等のネットワークを介して互いに協働して上記各処理を実行してもよい。上記プログラムは、外部のサーバ装置等から上記ネットワークを介して上記メモリにインストールされても構わないし、CD-ROM(Compact Disc Read Only Memory)、DVD-ROM(Digital Versatile Disk Read Only Memory)、および半導体メモリ等の記録媒体に格納された状態で流通し、上記記録媒体から上記メモリにインストールされても構わない。
【0165】
以上の説明は、以下に付記する特徴を含む。
[付記1]
管理装置と、
機器を接続可能な複数の通信ポートと、前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部とを含むセキュリティ装置とを備え、
前記管理装置は、前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を前記セキュリティ装置へ送信し、
前記セキュリティ装置は、前記管理装置から受信した前記接続命令に含まれる前記認証情報に基づいて、前記接続命令の認証を行い、
前記セキュリティ装置は、前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定し、
前記管理装置は、1または複数の前記機器の動作状態に応じて各前記機器に対して指示する動作内容を決定し、決定した動作内容に応じた前記接続命令を前記セキュリティ装置へ送信し、
前記セキュリティ装置は、通常時において、すべての前記機器の前記スイッチ部を介した通信を不可とし、前記接続命令に応じて、前記各機器の一部または全部の通信を可能とする、通信システム。
[付記1]
管理装置と、
機器を接続可能な複数の通信ポートと、前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部とを含むセキュリティ装置とを備え、
前記管理装置は、前記複数の機器のうちの少なくともいずれか1つの前記機器に対する接続命令であって、認証情報を含む前記接続命令を前記セキュリティ装置へ送信し、
前記セキュリティ装置は、前記管理装置から受信した前記接続命令に含まれる前記認証情報に基づいて、前記接続命令の認証を行い、
前記セキュリティ装置は、前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定し、
前記管理装置は、1または複数の前記機器の動作状態に応じて各前記機器に対して指示する動作内容を決定し、決定した動作内容に応じた前記接続命令を前記セキュリティ装置へ送信し、
前記セキュリティ装置は、通常時において、すべての前記機器の前記スイッチ部を介した通信を不可とし、前記接続命令に応じて、前記各機器の一部または全部の通信を可能とする、通信システム。
【0166】
[付記2]
機器を接続可能な複数の通信ポートと、
前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部と、
処理回路とを備え、
前記処理回路は、
前記複数の機器のうちの少なくともいずれか1つに対する接続命令であって、認証情報を含む前記接続命令を取得し、前記認証情報に基づいて、前記接続命令の認証を行い、前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定する、セキュリティ装置。
機器を接続可能な複数の通信ポートと、
前記複数の通信ポートを介してそれぞれ複数の前記機器と通信可能なスイッチ部と、
処理回路とを備え、
前記処理回路は、
前記複数の機器のうちの少なくともいずれか1つに対する接続命令であって、認証情報を含む前記接続命令を取得し、前記認証情報に基づいて、前記接続命令の認証を行い、前記認証が成功した場合、前記接続命令に応じて、前記スイッチ部により形成される前記スイッチ部を介した前記少なくともいずれか1つの機器の通信可能範囲を設定する、セキュリティ装置。
【符号の説明】
【0167】
11,21 認証部
12 記憶部
13 スイッチ部
15 入力受付部
101,102 ゲートウェイ装置(セキュリティ装置)
121,121A,121B,121C 機器
151 管理装置
201,202 通信システム
P,PA,PB,PC 通信ポート
12 記憶部
13 スイッチ部
15 入力受付部
101,102 ゲートウェイ装置(セキュリティ装置)
121,121A,121B,121C 機器
151 管理装置
201,202 通信システム
P,PA,PB,PC 通信ポート
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】