特許7519760通信装置、事前共有鍵の更新方法及び事前共有鍵の更新プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-11
(45)【発行日】2024-07-22
(54)【発明の名称】通信装置、事前共有鍵の更新方法及び事前共有鍵の更新プログラム
(51)【国際特許分類】
H04L 9/08 20060101AFI20240712BHJP
H04L 9/16 20060101ALI20240712BHJP
【FI】
H04L9/08 B
H04L9/08 E
H04L9/16
【請求項の数】
10
(21)【出願番号】P 2019040326
(22)【出願日】2019-03-06
(65)【公開番号】P2020145572
(43)【公開日】2020-09-10
【審査請求日】2022-02-17
【審判番号】
【審判請求日】2023-08-16
(73)【特許権者】
【識別番号】000000099
【氏名又は名称】株式会社IHI
(74)【代理人】
【識別番号】100083806
【弁理士】
【氏名又は名称】三好 秀和
(72)【発明者】
【氏名】三浦 俊宏
【合議体】
【審判長】吉田 美彦
【審判官】須田 勝巳
【審判官】大塚 俊範
(56)【参考文献】
【文献】特開2006-174306(JP,A)
【文献】特開2009-071606(JP,A)
【文献】特開2006-221563(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/08
(57)【特許請求の範囲】
【請求項1】
相手方通信装置と共有する事前共有鍵を用いた暗号通信を前記相手方通信装置との間で行う通信部と、動作モードが設定される設定部と、
携帯式の外部記憶デバイスが接続及び接続解消可能な外部接続ポートと、
前記動作モードとして第1モードが前記設定部に設定されかつ前記外部接続ポートに前記外部記憶デバイスが接続されている状態で、新規の事前共有鍵を生成して前記事前共有鍵を前記新規の事前共有鍵に更新すると共に該新規の事前共有鍵を前記外部記憶デバイスに記憶させる制御を行い、前記動作モードとして第2モードが前記設定部に設定されかつ前記外部接続ポートに前記外部記憶デバイスが接続されている状態で、前記外部記憶デバイスに記憶されている前記新規の事前共有鍵に前記事前共有鍵を更新する制御を行う制御部と、
を備える通信装置。
【請求項2】
前記動作モードは第3モードを含んでおり、前記制御部は、前記第3モードが前記設定部に設定されている状態で、前記事前共有鍵の更新を禁止する制御を行う請求項1記載の通信装置。
【請求項3】
前記第3モードは、前記通信部による前記事前共有鍵を用いた暗号通信を無効とする動作モードである請求項2記載の通信装置。
【請求項4】
前記第1モードは、前記通信部による前記事前共有鍵を用いた暗号通信を無効とする動作モードであり、前記第2モードは、前記通信部による前記事前共有鍵を用いた暗号通信を有効とするモードである請求項1、2又は3記載の通信装置。
【請求項5】
前記通信部による前記事前共有鍵を用いた暗号通信の有効又は無効を報知するインジケータをさらに備える請求項3又は4記載の通信装置。
【請求項6】
前記制御部は、前記相手方通信装置との間の通信が発生すると、前記設定部に設定されている前記動作モードに応じた制御を行う請求項1、2、3、4又は5記載の通信装置。
【請求項7】
前記設定部は、ユーザにより操作される操作部を含んでいる請求項1、2、3、4、5又は6記載の通信装置。
【請求項8】
プラントのフィールド機器の制御ユニットに設けられ、前記通信部は、前記相手方通信装置として、プラント制御システム上の動作管理機器との間で前記事前共有鍵を用いた暗号通信を行う請求項1、2、3、4、5、6又は7記載の通信装置。
【請求項9】
相手方通信装置と共有する事前共有鍵を用いた暗号通信を前記相手方通信装置との間で行う通信部の動作モードを、設定部における前記動作モードの設定状態から検出するモード検出ステップと、外部接続ポートに対して接続及び接続解消される携帯式の外部記憶デバイスの、前記外部接続ポートに対する接続の有無を検出する接続検出ステップと、
検出した前記動作モードが第1モードである状態で前記外部接続ポートに対する前記外部記憶デバイスの接続を検出すると、新規の事前共有鍵を生成すると共に前記新規の事前共有鍵を前記外部記憶デバイスに記憶させる鍵生成ステップと、
検出した前記動作モードが第2モードである状態で前記外部接続ポートに対する前記外部記憶デバイスの接続を検出すると、前記外部記憶デバイスから該外部記憶デバイスが記憶している前記新規の事前共有鍵を取得する鍵取得ステップと、
前記事前共有鍵を、前記生成した新規の事前共有鍵又は前記取得した新規の事前共有鍵に更新する鍵更新ステップと、
をコンピュータが実行する、
事前共有鍵の更新方法。
【請求項10】
相手方通信装置と共有する事前共有鍵を用いた暗号通信を前記相手方通信装置との間で行う通信部の動作モードを、設定部における前記動作モードの設定状態から検出するモード検出ステップと、外部接続ポートに対して接続及び接続解消される携帯式の外部記憶デバイスの、前記外部接続ポートに対する接続の有無を検出する接続検出ステップと、
検出した前記動作モードが第1モードである状態で前記外部接続ポートに対する前記外部記憶デバイスの接続を検出すると、新規の事前共有鍵を生成すると共に前記新規の事前共有鍵を前記外部記憶デバイスに記憶させる鍵生成ステップと、
検出した前記動作モードが第2モードである状態で前記外部接続ポートに対する前記外部記憶デバイスの接続を検出すると、前記外部記憶デバイスから該外部記憶デバイスが記憶している前記新規の事前共有鍵を取得する鍵取得ステップと、
前記事前共有鍵を、前記生成した新規の事前共有鍵又は前記取得した新規の事前共有鍵に更新する鍵更新ステップと、
をコンピュータに実行させる、
事前共有鍵の更新プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、事前共有鍵を用いた装置間通信に関する。
【背景技術】
【0002】
例えば、工場、発電所、設備、機械等のプラントには、アクチューエータ、アクチュエータの動作状態に応じた物理量を検出するセンサ、プラントの状態を計測する計測器等のフィールド機器が、多数設けられる。
【0003】
各フィールド機器には、アクチュエータの動作を制御する制御装置又はPLC(プログラマブルロジックコントローラ)がそれぞれ設けられる。制御装置又はPLC(以下、「制御装置等」ということがある。)は、センサ及び計測器等が検出したプラントの物理量を、有線又は無線のフィールドバスによって、プラントの運転状態を管理する箇所の動作管理機器に送信する。
【0004】
動作管理機器は、フィールドバスを介して入力されたプラントの物理量を参照して、動作管理機器に対して指示されたプラントの運転内容に応じたアクチュエータの制御量を決定する。そして、決定した制御量をフィールドバスを介してフィールド機器の制御装置等に送信する。
【0005】
即ち、プラントのフィールド機器の動作をプラントの管理箇所の動作管理機器で制御するプラントの制御システムでは、各フィールド機器の制御装置等と動作管理機器との通信がフィールドバス上で行われる。
【0006】
ところで、無線LAN上の通信では、無線信号の受信エリアにいるアクセス権限のない通信装置が無線LAN上の通信装置に不正アクセスする可能性がある。そこで、アクセス権限のない通信装置の不正アクセスを防止するために、認証を行うことが多い。その中でも、デバイス間認証は、認証サーバを必要としないことから広く利用されている。
【0007】
デバイス間認証では、ネットワーク上で通信装置同士が共通の暗号鍵を用いた暗号通信を行う。つまり、送信側の通信装置が暗号鍵を用いてデータを暗号化し、受信側の通信装置が同じ暗号鍵を用いて受信データを復号する。
【0008】
これに対し、通信装置をネットワークに有線接続する有線LANでは、アクセス権限のない通信装置が無秩序に有線LANに接続されることは考えづらい。このため、有線LAN上の通信において、アクセス権限のない通信装置の不正アクセスを防止する必要性は、無線LAN上の通信に比べて低い。
【0009】
しかし、有線LAN上の通信においても、通信内容の漏洩防止対策として、デバイス間認証を行うケースが見受けられる。
【0010】
特に、事前共有鍵を用いて共通の暗号鍵を生成するPSK暗号スイートによるデバイス間認証は、認証処理の所要時間が短いので、2つの通信装置間の通信が早く確立するという利点がある。しかも、認証処理に必要なメモリ使用量が少ないという利点がある。
【0011】
例えば、PSK暗号スイート(例:DHE-PSK-AES128-CBC-SHA256 )は、公開鍵(RSK)を用いて共通の暗号鍵を生成する暗号スイート(DHE-RSA-AES128-SHA256 )よりも、認証処理の所要時間が約半分、認証処理に必要なメモリ使用量が約3分の1で済む。
【0012】
このため、PSK暗号スイートによるデバイス間認証は、例えばプラントの制御システムのような、高速通信が必要な産業系の制御システムで行うのに適している。
【0013】
PSK暗号スイートによるデバイス間認証では、各通信装置に事前共有鍵(PSK)をそれぞれ持たせておき、送信側の通信装置から受信側の通信装置に、事前共有鍵を用いて暗号化プロトコルを暗号通信する。暗号化された暗号化プロトコルを受信した受信側の通信装置は、事前共有鍵により平文の暗号化プロトコルに復号する。これで、各通信装置がそれぞれ暗号化プロトコルを有する状態となる。
【0014】
そこで、送信側及び受信側の各通信装置において、事前共有鍵(PSK)を用いた暗号化プロトコルによって、共通の暗号鍵をそれぞれ生成する。すると、各通信装置が共通の暗号鍵をそれぞれ有する状態となる。
【0015】
以後、共通の暗号鍵を有する有線LAN上の各通信装置は、暗号鍵により暗号化したデータを送信し、また、受信した暗号化データを送信側と同じ暗号鍵で平文に復号する、セキュアな暗号通信を行うことになる。
【0016】
なお、PSK暗号スイートによるデバイス間認証では、事前共有鍵が不正に取得されてしまうと、その事前共有鍵を利用してアクセス権限のないデバイスがPSK暗号スイートによるデバイス間認証をクリアし、不正な通信を行う可能性がある。
【0017】
そこで、PSK暗号スイートによるデバイス間認証では、各通信装置の事前共有鍵を定期的に更新することが重要である。
【0018】
事前共有鍵の更新に関する技術の一例として、無線LAN上の無線端末が無線通信を行う有線LAN上の無線アンテナの事前共有鍵を更新する手順を提案したものがある。つまり、以下に説明する提案は、有線LANと無線LANとの併用を前提にした通信システムにおける、通信装置の事前共有鍵の更新手順である。
【0019】
なお、以下の手順で更新する無線アンテナの事前共有鍵は、無線アンテナと無線端末とが共有して無線LAN上での無線通信の際に用いるものである。
【0020】
そして、提案された更新手順とは、無線LAN上の無線端末が有する事前共有鍵の更新処理を先に行い、その正常完了後に、有線LAN上の無線アンテナが有する事前共有鍵の更新処理を行うというものである。
【0021】
具体的には、まず、有線LAN上の管理端末が生成した更新用の事前共有鍵を、有線LAN上の無線アンテナ及び無線LANを介して無線端末に送信し、無線端末の事前共有鍵を更新用の事前共有鍵に更新させる。このとき、管理端末との信号送受信状況が正常でない無線端末の存在が管理端末によって特定されたら、その無線端末を管理端末を配置した管理室に移動させる。
【0022】
次に、管理室に配置した更新専用無線アンテナ及び無線LANを介して、管理室に移動させた無線端末に、更新専用事前共有鍵を使用した暗号通信により、管理端末が生成した更新用の事前共有鍵を送信する。そして、無線端末が受信した暗号化データを、無線端末に予め設定しておいた更新専用事前共有鍵によって、更新用の事前共有鍵(平文)に復号する。そして、無線端末の事前共有鍵を、復号した更新用の事前共有鍵に更新させる。
【0023】
最後に、全ての無線端末の事前共有鍵を更新させた後、管理端末が有線LANを通じて無線アンテナに更新用の事前共有鍵を送信し、無線アンテナの事前共有鍵を更新用の事前共有鍵に更新させる(以上、例えば特許文献1)。
【先行技術文献】
【特許文献】
【0024】
【文献】特開2013-106091号公報
【発明の概要】
【発明が解決しようとする課題】
【0025】
しかしながら、上述した提案は、有線LANと無線LANとを併用したネットワーク上で通信を行う通信装置の事前共有鍵の更新手順であり、例えば、ネットワークが有線LANのみで構成されている制御システムでは運用できない。
【0026】
また、産業系の制御システムでは、プラントの作業員がプラントの各所に配置されたフィールド機器を回って制御装置又はPLCの事前共有鍵の更新作業を行うことが多い。そのため、コンピュータのメンテナンスに慣れていなくても確実に事前共有鍵の更新作業を行えることが望ましい。
【0027】
本開示は前記事情に鑑みなされたもので、本開示の目的は、ネットワークの構成による制約を受けずに運用でき、暗号通信に用いる事前共有鍵の更新を簡便な作業で行うことができるようにすることにある。
【課題を解決するための手段】
【0028】
上記目的を達成するため、本開示の第1の態様による通信装置は、
相手方通信装置と共有する事前共有鍵を用いた暗号通信を前記相手方通信装置との間で行う通信部と、
動作モードが設定される設定部と、
外部記憶デバイスが接続可能な外部接続ポートと、
前記動作モードとして第1モードが前記設定部に設定されかつ前記外部接続ポートに前記外部記憶デバイスが接続されている状態で、新規の事前共有鍵を生成して前記事前共有鍵を前記新規の事前共有鍵に更新すると共に該新規の事前共有鍵を前記外部記憶デバイスに記憶させる制御を行い、前記動作モードとして第2モードが前記設定部に設定されかつ前記外部接続ポートに前記外部記憶デバイスが接続されている状態で、前記外部記憶デバイスに記憶されている前記新規の事前共有鍵に前記事前共有鍵を更新する制御を行う制御部と、
を備える。
相手方通信装置と共有する事前共有鍵を用いた暗号通信を前記相手方通信装置との間で行う通信部と、
動作モードが設定される設定部と、
外部記憶デバイスが接続可能な外部接続ポートと、
前記動作モードとして第1モードが前記設定部に設定されかつ前記外部接続ポートに前記外部記憶デバイスが接続されている状態で、新規の事前共有鍵を生成して前記事前共有鍵を前記新規の事前共有鍵に更新すると共に該新規の事前共有鍵を前記外部記憶デバイスに記憶させる制御を行い、前記動作モードとして第2モードが前記設定部に設定されかつ前記外部接続ポートに前記外部記憶デバイスが接続されている状態で、前記外部記憶デバイスに記憶されている前記新規の事前共有鍵に前記事前共有鍵を更新する制御を行う制御部と、
を備える。
【0029】
本開示の第1の態様による通信装置によれば、設定部の動作モードを第1モードに設定して外部接続ポートに外部記憶デバイスを接続すると、現在の事前共有鍵が新しく生成された事前共有鍵に更新され、生成された事前共有鍵が外部記憶デバイスに記憶される。
【0030】
また、設定部の動作モードを第2モードに設定して、事前共有鍵が記憶された外部記憶デバイスを外部接続ポートに接続すると、現在の事前共有鍵が外部記憶デバイスに記憶された事前共有鍵に更新される。
【0031】
したがって、ネットワーク上に複数存在する通信装置のうち最初の通信装置では第1モードで外部記憶デバイスを接続し、次以降の通信装置では第2モードで外部記憶デバイスを接続すれば、各通信装置の事前共有鍵が新しい事前共有鍵に順次更新される。
【0032】
ここで、各通信装置の外部接続ポートに外部記憶デバイスをそれぞれ接続する作業はオフライン作業であり、ネットワークが有線LAN、無線LAN、あるいは、それらの複合のいずれで構成されていても、制約を受けずに実施できる作業である。
【0033】
このため、ネットワークの構成による制約を受けずに運用でき、暗号通信に用いる事前共有鍵の更新を簡便な作業で行うことができる。
【0034】
また、本開示の第2の態様による通信装置は、本開示の第1の態様による通信装置において、前記動作モードは第3モードを含んでおり、前記制御部は、前記第3モードが前記設定部に設定されている状態で、前記事前共有鍵の更新を禁止する制御を行う。
【0035】
本開示の第2の態様による通信装置によれば、本開示の第1の態様による通信装置において、設定部の動作モードを第3モードに設定すると、事前共有鍵の更新が禁止される。このため、現在の事前共有鍵を更新しないままにしておく必要がある場合に、仮に外部接続ポートに外部記憶デバイスが接続されても事前共有鍵は更新されないようにすることができる。
【0036】
さらに、本開示の第3の態様による通信装置は、本開示の第2の態様による通信装置において、前記第3モードは、前記通信部による前記事前共有鍵を用いた暗号通信を無効とする動作モードである。
【0037】
本開示の第3の態様による通信装置によれば、本開示の第2の態様による通信装置において、事前共有鍵を用いた暗号通信が無効にされると、事前共有鍵の更新が禁止された状態で、認証を省略した通信が通信装置間で行われることになる。このため、例えば、高いアクセス権限を有するユーザが操作するプログラム開発ツールを接続して通信装置のメンテナンス作業を行う場合等に、認証処理やそれに用いる事前共有鍵の更新が無用に行われて作業効率が低下するのを避けることができる。
【0038】
また、本開示の第4の態様による通信装置は、本開示の第1、第2又は第3の態様による通信装置において、前記第1モードは、前記通信部による前記事前共有鍵を用いた暗号通信を無効とする動作モードであり、前記第2モードは、前記通信部による前記事前共有鍵を用いた暗号通信を有効とするモードである。
【0039】
本開示の第4の態様による通信装置によれば、本開示の第1、第2又は第3の態様による通信装置において、第1モードでは、外部接続ポートに外部記憶デバイスを接続すると、制御部によって新しい事前共有鍵が生成される。つまり、第1モードは、現在の事前共有鍵を更新するのに必要な新しい事前共有鍵を制御部に生成させるために、外部接続ポートに外部記憶デバイスを接続することを前提に設定される動作モードである。
【0040】
したがって、動作モードが第1モードに設定されている間は、外部接続ポートに対する外部記憶デバイスの接続により制御部が新しい事前共有鍵の生成と現在の事前共有鍵の更新とをいつ開始しても良いように、事前共有鍵を用いた暗号通信が無効にされる。
【0041】
一方、第2モードでは、外部接続ポートに外部記憶デバイスを接続すれば、制御部によって現在の事前共有鍵が外部記憶デバイスの新しい事前共有鍵に更新される。しかし、外部接続ポートに外部記憶デバイスを接続しなければ、現在の事前共有鍵は更新されない。つまり、第2モードは、外部接続ポートに外部記憶デバイスを接続して現在の事前共有鍵を制御部に更新させる場合にも、外部接続ポートに外部記憶デバイスを接続せず現在の事前共有鍵を制御部に更新させない場合にも、設定され得る動作モードである。
【0042】
したがって、動作モードが第2モードに設定されている間は、事前共有鍵が更新されても更新されなくても、いつでも事前共有鍵を用いた暗号通信が行えるように、事前共有鍵を用いた暗号通信が有効にされる。
【0043】
このため、動作モードが第1モードである時と第2モードである時とに、事前共有鍵を用いた暗号通信の有効、無効の状態をそれぞれのモードに応じた状態にすることができる。
【0044】
さらに、本開示の第5の態様による通信装置は、本開示の第3又は第4の態様による通信装置において、前記通信部による前記事前共有鍵を用いた暗号通信の有効又は無効を報知するインジケータをさらに備える。
【0045】
本開示の第5の態様による通信装置によれば、本開示の第3又は第4の態様による通信装置において、暗号通信の有効、無効の状態をインジケータによって確認することで、相手方の通信装置とセキュアな通信が行える状態かどうかを判断することができる。
【0046】
また、本開示の第6の態様による通信装置は、本開示の第1、第2、第3、第4又は第5の態様による通信装置において、前記制御部は、前記相手方通信装置との間の通信が発生すると、前記設定部に設定されている前記動作モードに応じた制御を行う。
【0047】
本開示の第6の態様による通信装置によれば、本開示の第1、第2、第3、第4又は第5の態様による通信装置において、相手方通信装置との間で通信が発生するのをトリガとして、設定部の動作モードに応じた制御を制御部が行う。したがって、相手方通信装置との通信を、その時点で設定部に設定されている動作モードに応じた制御部の制御の元で実行させることができる。
【0048】
さらに、本開示の第7の態様による通信装置は、本開示の第1、第2、第3、第4、第5又は第6の態様による通信装置において、前記設定部は、ユーザにより操作される操作部を含んでいる。
【0049】
本開示の第7の態様による通信装置によれば、本開示の第1、第2、第3、第4、第5又は第6の態様による通信装置において、ユーザによる操作部の操作によって動作モードが設定部に設定される。ここで、設定部に動作モードを設定するためにユーザが操作部を操作する作業はオフライン作業である。
【0050】
このため、設定部に動作モードを設定する作業を、各通信装置の外部接続ポートに外部記憶デバイスをそれぞれ接続する作業と同じく、ネットワークの構成による制約を受けずに実施できる作業として、運用できるネットワークの対象を広げることができる。
【0051】
本開示の第8の態様による通信装置は、本開示の第1、第2、第3、第4、第5、第6又は第7の態様による通信装置において、プラントのフィールド機器の制御ユニットに設けられ、前記通信部は、前記相手方通信装置として、プラント制御システム上の動作管理機器との間で前記事前共有鍵を用いた暗号通信を行う。
【0052】
本開示の第8の態様による通信装置によれば、本開示の第1、第2、第3、第4、第5、第6又は第7の態様による通信装置において、プラントの動作管理機器とフィールド機器との間で、設定部の動作モードに応じた制御部の制御による通信が行われる。
【0053】
このため、プラント制御システムにおいてプラントの動作管理機器とフィールド機器とを接続するネットワークの構成による制約を受けずに運用でき、暗号通信に用いる事前共有鍵の更新を簡便な作業で行うことができる。
【0054】
また、上記目的を達成するため、本開示の第9の態様による事前共有鍵の更新方法は、
相手方通信装置と共有する事前共有鍵を用いた暗号通信を前記相手方通信装置との間で行う通信部の動作モードを、設定部における前記動作モードの設定状態から検出するモード検出ステップと、
外部接続ポートに対する外部記憶デバイスの接続の有無を検出する接続検出ステップと、
検出した前記動作モードが第1モードである状態で前記外部接続ポートに対する前記外部記憶デバイスの接続を検出すると、新規の事前共有鍵を生成する鍵生成ステップと、
検出した前記動作モードが第2モードである状態で前記外部接続ポートに対する前記外部記憶デバイスの接続を検出すると、前記外部記憶デバイスから該外部記憶デバイスが記憶している前記新規の事前共有鍵を取得する鍵取得ステップと、
前記事前共有鍵を、前記生成した新規の事前共有鍵又は前記取得した新規の事前共有鍵に更新する鍵更新ステップと、
を含む。
相手方通信装置と共有する事前共有鍵を用いた暗号通信を前記相手方通信装置との間で行う通信部の動作モードを、設定部における前記動作モードの設定状態から検出するモード検出ステップと、
外部接続ポートに対する外部記憶デバイスの接続の有無を検出する接続検出ステップと、
検出した前記動作モードが第1モードである状態で前記外部接続ポートに対する前記外部記憶デバイスの接続を検出すると、新規の事前共有鍵を生成する鍵生成ステップと、
検出した前記動作モードが第2モードである状態で前記外部接続ポートに対する前記外部記憶デバイスの接続を検出すると、前記外部記憶デバイスから該外部記憶デバイスが記憶している前記新規の事前共有鍵を取得する鍵取得ステップと、
前記事前共有鍵を、前記生成した新規の事前共有鍵又は前記取得した新規の事前共有鍵に更新する鍵更新ステップと、
を含む。
【0055】
さらに、上記目的を達成するため、本開示の第10の態様による事前共有鍵の更新プログラムは、
相手方通信装置と共有する事前共有鍵を用いた暗号通信を前記相手方通信装置との間で行う通信部の動作モードを、設定部における前記動作モードの設定状態から検出するモード検出ステップと、
外部接続ポートに対する外部記憶デバイスの接続の有無を検出する接続検出ステップと、
検出した前記動作モードが第1モードである状態で前記外部接続ポートに対する前記外部記憶デバイスの接続を検出すると、新規の事前共有鍵を生成する鍵生成ステップと、
検出した前記動作モードが第2モードである状態で前記外部接続ポートに対する前記外部記憶デバイスの接続を検出すると、前記外部記憶デバイスから該外部記憶デバイスが記憶している前記新規の事前共有鍵を取得する鍵取得ステップと、
前記事前共有鍵を、前記生成した新規の事前共有鍵又は前記取得した新規の事前共有鍵に更新する鍵更新ステップと、
をコンピュータに実行させる。
相手方通信装置と共有する事前共有鍵を用いた暗号通信を前記相手方通信装置との間で行う通信部の動作モードを、設定部における前記動作モードの設定状態から検出するモード検出ステップと、
外部接続ポートに対する外部記憶デバイスの接続の有無を検出する接続検出ステップと、
検出した前記動作モードが第1モードである状態で前記外部接続ポートに対する前記外部記憶デバイスの接続を検出すると、新規の事前共有鍵を生成する鍵生成ステップと、
検出した前記動作モードが第2モードである状態で前記外部接続ポートに対する前記外部記憶デバイスの接続を検出すると、前記外部記憶デバイスから該外部記憶デバイスが記憶している前記新規の事前共有鍵を取得する鍵取得ステップと、
前記事前共有鍵を、前記生成した新規の事前共有鍵又は前記取得した新規の事前共有鍵に更新する鍵更新ステップと、
をコンピュータに実行させる。
【0056】
本開示の第9の態様による事前共有鍵の更新方法によれば、通信部の動作モードが第1モードに設定され、かつ、外部接続ポートに外部記憶デバイスが接続されると、相手方通信装置との暗号通信に用いる事前共有鍵が、新規に生成された事前共有鍵に更新される。
【0057】
また、通信部の動作モードが第2モードに設定され、かつ、外部接続ポートに外部記憶デバイスが接続されると、相手方通信装置との暗号通信に用いる事前共有鍵が、外部記憶デバイスから取得された新規の事前共有鍵に更新される。
【0058】
以上のことは、本開示の第10の態様による事前共有鍵の更新プログラムにおいても同様である。
【0059】
したがって、ネットワーク上に複数存在する通信装置のうち最初の通信装置では第1モードで外部記憶デバイスを接続し、次以降の通信装置では第2モードで外部記憶デバイスを接続すれば、各通信装置の事前共有鍵が新しい事前共有鍵に順次更新される。
【0060】
ここで、各通信装置の外部接続ポートに外部記憶デバイスをそれぞれ接続する作業はオフライン作業であり、ネットワークが有線LAN、無線LAN、あるいは、それらの複合のいずれで構成されていても、制約を受けずに実施できる作業である。
【0061】
このため、ネットワークの構成による制約を受けずに運用でき、暗号通信に用いる事前共有鍵の更新を簡便な作業で行うことができる。
【発明の効果】
【0062】
本開示によれば、ネットワークの構成による制約を受けずに運用でき、暗号通信に用いる事前共有鍵の更新を簡便な作業で行うことができる。
【図面の簡単な説明】
【0063】
【発明を実施するための形態】
【0064】
以下、本開示の実施形態について図面を参照しながら説明する。図1は本開示の実施形態に係る制御システムを示す説明図である。
【0065】
図1に示す実施形態の制御システム1は、複数の組込制御装置3,3,…(通信装置に相当)を有線又は無線のLAN5に接続して構成されている。なお、LAN5には、必要に応じて、外部端末7を接続することができる。外部端末7は、例えば、携帯可能なモバイルパーソナルコンピュータで構成することができる。
【0066】
各組込制御装置3には、例えば、組込制御装置3によって動作を制御する不図示の制御対象、制御対象の動作状態等を検出する不図示のセンサ、測定器等がそれぞれ接続される。各組込制御装置3は、センサ、測定器等からの検出信号を受信し、受信した検出信号を必要に応じてLAN5を介して他の組込制御装置3(相手方通信装置に相当)に送信することができる。
【0067】
また、各組込制御装置3は、センサ、測定器等から受信した検出信号、あるいは、他の組込制御装置3がセンサ、測定器等から受信しLAN5を介して受け取った検出信号に基づいて、制御対象の制御内容を決定し制御対象に制御信号を送信することができる。
【0068】
上述した各組込制御装置3は、LAN5上で他の組込制御装置3と暗号通信を行うことができる。つまり、各組込制御装置3は、LAN5上でデバイス間認証を伴う通信を行うことができる。本実施形態では、各組込制御装置3が、LAN5上の通信でPSK暗号スイートによるデバイス間認証を行う場合について説明する。
【0069】
PSK暗号スイートによるデバイス間認証は、LAN5上で送信するデータを共通の暗号鍵(図示せず)で暗号化し、受信した暗号化データを同じ暗号鍵で復号することで行う。共通の暗号鍵は、事前共有鍵(PSK)を用いた暗号化プロトコルによって生成することができる。このため、送信側の組込制御装置3から受信側の組込制御装置3に、暗号化プロトコルを送信する必要がある。
【0070】
そこで、本実施形態の制御システム1では、各組込制御装置3に事前共有鍵をそれぞれ持たせてある。事前共有鍵は、送信側の組込制御装置3から受信側の組込制御装置3に暗号化プロトコルを暗号通信するのに用いることができる。
【0071】
なお、PSK暗号スイートによるデバイス間認証では、事前共有鍵が不正に取得されてしまうと、その事前共有鍵を利用してアクセス権限のないデバイスがPSK暗号スイートによるデバイス間認証をクリアし、LAN5上で不正な通信を行う可能性がある。
【0072】
そこで、本実施形態の制御システム1では、各組込制御装置3に、事前共有鍵を定期的に更新するための構成をそれぞれ設けている。以下、事前共有鍵を更新するために各組込制御装置3にそれぞれ設けた構成を、図2及び図3を参照して説明する。
【0073】
まず、図2は、各組込制御装置3の外観を示す説明図である。図2に示すように、各組込制御装置3は、筐体の前面にモード設定部31(設定部に相当)、USBポート33(外部接続ポートに相当)、インジケータ部35を有している。
【0074】
モード設定部31では、他の組込制御装置3との通信に関する組込制御装置3の動作モードを設定することができる。モード設定部31は、例えば、キーシリンダ37(操作部に相当)を有する構成とすることができる。キーシリンダ37は、鍵穴39にモード切替用キー41を挿入することで、「Generate」、「OFF」、「ON」の3つのキーポジションのいずれかに回転させることができる。
【0075】
このうち、キーシリンダ37が「Generate」のキーポジションにあるときには、組込制御装置3の動作モードが共有鍵生成モード(第1モードに相当)に設定される。共有鍵生成モードでは、組込制御装置3において新しい事前共有鍵(新規の事前共有鍵に相当)を生成することができる。また、共有鍵生成モードでは、LAN5上での暗号通信が無効とされる。
【0076】
また、キーシリンダ37が「OFF」のキーポジションにあるときには、組込制御装置3の動作モードが通常通信モード(第3モードに相当)に設定される。通常通信モードでは、LAN5上での暗号通信が無効とされる。通常通信モードの組込制御装置3は、データを暗号化しない通常通信のみをLAN5上で行うことができる。また、通常通信モードの組込制御装置3は、事前共有鍵の更新を禁止することができる。
【0077】
さらに、キーシリンダ37が「ON」のキーポジションにあるときには、組込制御装置3の動作モードが暗号通信モード(第2モードに相当)に設定される。暗号通信モードでは、LAN5上での暗号通信が有効とされる。暗号通信モードの組込制御装置3は、データを暗号化する暗号通信をLAN5上で行うことができる。また、暗号通信モードの組込制御装置3は、事前共有鍵の更新を行うことができる。
【0078】
USBポート33は、USB(Universal Serial Bus)規格のフラッシュメモリ43(外部記憶デバイスに相当)を接続可能な外部接続端子である。
【0079】
インジケータ部35は、「RUN」と「Com」の2つのインジケータ45,47を有している。
【0080】
「RUN」のインジケータ45(暗号通信の有効又は無効を報知するインジケータに相当)では、例えば、組込制御装置3の状態を表示することができる。「RUN」のインジケータ45による表示パターンは、例えば、LAN5上での暗号通信が有効な状態では「青色点灯」、無効な状態では「青色点滅」とすることができる。また、通信不良で制御停止の状態では「赤色点灯」、組込制御装置3の電源OFFの状態では「消灯」とすることができる。
【0081】
「Com」のインジケータ47では、例えば、組込制御装置3がLAN5上で通信中であることを表示することができる。「Com」のインジケータ47による表示パターンは、例えば、組込制御装置3がLAN5上で通信中である状態では「黄色点灯」、非通信中である状態では「消灯」とすることができる。
【0082】
図3は各組込制御装置3の制御系の構成を示すブロック図である。図3に示すように、各組込制御装置3は、CPU301(制御部に相当)、通信部303、プログラム記憶部305及びデータ記憶部307を有している。また、各組込制御装置3は、キースイッチ309、USBインタフェース311、インジケータドライバ313を有している。
【0083】
通信部303、プログラム記憶部305、データ記憶部307、キースイッチ309、USBインタフェース311及びインジケータドライバ313は、CPU301に接続されている。
【0084】
CPU301は、プログラム記憶部305のプログラムを実行することで、組込制御装置3の動作を制御する処理を実行する。CPU301が行う処理の一部は、後にフローチャートを参照して説明する。
【0085】
通信部303には、LAN5を接続することができる。通信部303は、組込制御装置3がLAN5上で行う通信を制御する通信インタフェースである。
【0086】
プログラム記憶部305には、上述したように、組込制御装置3の動作を制御する処理のプログラムファイル等が記憶される。このプログラムファイルには、組込制御装置3の暗号通信に用いる事前共有鍵の生成プログラムが含まれている。
【0087】
データ記憶部307は、例えば、不揮発メモリ(フラッシュメモリ等)、ハードディスクドライブ、又はそれらの組み合わせによって構成することができる。データ記憶部307には、他の組込制御装置3と暗号通信を行う際に用いる事前共有鍵及び共通の暗号鍵が記憶される。
【0088】
キースイッチ309は、キーシリンダ37のキーポジションに応じた信号を出力する。USBインタフェース311は、USBポート33に接続されたフラッシュメモリ43に対する信号の入出力を制御する。インジケータドライバ313は、「RUN」及び「Com」の各インジケータ45,47の点灯、消灯、点灯色を制御する。
【0089】
本実施形態の制御システム1では、各組込制御装置3において、CPU301が、モード設定部31に設定された動作モードに応じたパターンで、データ記憶部307の事前共有鍵を更新する。そこで、各組込制御装置3のCPU301がデータ記憶部307の事前共有鍵を更新するために実行する方法の手順の一例を、図4を参照して説明する。
【0090】
図4のフローチャートに示すように、本実施形態における事前共有鍵の更新方法は、モード検出、接続検出、鍵生成、鍵取得、及び、鍵更新の各ステップ(ステップS1、ステップS3、ステップS5、ステップS7及びステップS9)を含んでいる。
【0091】
【0092】
また、ステップS3の接続検出ステップは、図3のUSBインタフェース311を介して検出される図2のUSBポート33のポート電位から、USBポート33に対するフラッシュメモリ43の接続の有無を検出するステップである。
【0093】
さらに、ステップS5の鍵生成ステップは、他の組込制御装置3との暗号通信に用いる新しい事前共有鍵を生成し、USBポート33に接続されたフラッシュメモリ43に記憶させるステップである。ステップS5の鍵生成ステップは、ステップS1で検出した組込制御装置3の動作モードが共有鍵生成モードであるときに実行することができる。
【0094】
また、ステップS7の鍵取得ステップは、図2のUSBポート33に接続されたフラッシュメモリ43から、フラッシュメモリ43に記憶されている新しい事前共有鍵を取得するステップである。ステップS7の鍵取得ステップは、ステップS1で検出した組込制御装置3の動作モードが暗号通信モードであるときに実行することができる。
【0095】
即ち、事前共有鍵を更新する際に、ステップS5の鍵生成ステップとステップS7の鍵取得ステップとが一度に両方とも実行されることはない。
【0096】
最後に、ステップS9の鍵更新ステップは、図3のデータ記憶部307の事前共有鍵を、ステップS5で生成した新しい事前共有鍵、又は、ステップS7でフラッシュメモリ43から取得した新しい事前共有鍵に更新するステップである。ステップS9の鍵更新ステップは、ステップS1で検出した組込制御装置3の動作モードが共有鍵生成モード又は暗号通信モードであるときに実行することができる。
【0097】
以上の各ステップは、図4のフローチャートに示した順番通りの手順で行われるとは限らない。各ステップの全体又は一部は、図4に示した順番とは異なる手順で行うこともできる。そして、図3の各組込制御装置3のCPU301が実行するプログラム記憶部305のプログラムは、例えば、図4の全てのステップをCPU301が実行するように構成することができる。
【0098】
次に、図4に示した方法で図3のデータ記憶部307の事前共有鍵を更新するために、各組込制御装置3のCPU301がプログラム記憶部305のプログラムにしたがって実行する処理の手順の一例を、図5のフローチャートを参照して説明する。図5に示す処理の手順を各組込制御装置3のCPU301に実行させるプログラム記憶部305のプログラムは、事前共有鍵の更新プログラムに相当する。
【0099】
まず、CPU301は、通信を開始するか否かを確認する(ステップS11)。例えば、他の組込制御装置3にLAN5を介して送信する信号が発生した場合に、通信を開始するものとすることができる。通信を開始しない場合は(ステップS11でNO)、一連の処理を終了する。
【0100】
また、通信を開始する場合は(ステップS11でYES)、CPU301は、組込制御装置3の通信に関する動作モードを検出する(ステップS13)。検出した動作モードが通常通信モード(キーポジション「OFF」)の場合は(ステップS3でOFF)、後述するステップS27に処理を移行する。
【0101】
また、検出した動作モードが共有鍵生成モード(キーポジション「「Generate」」)の場合は(ステップS3で「Generate」)、CPU301は、USBポート33に対するフラッシュメモリ43の接続の有無を検出する(ステップS15)。USBポート33にフラッシュメモリ43が接続されていない場合は(ステップS15でNO)、エラー表示を行った後(ステップS16)、ステップS27に処理を移行する。なお、エラー表示は、例えば、「RUN」のインジケータ45の「赤点灯」によって行うことができる。
【0102】
一方、USBポート33にフラッシュメモリ43が接続されている場合は(ステップS15でYES)、CPU301は、新しい事前共有鍵を生成し、データ記憶部307に記憶されている事前共有鍵を新しい事前共有鍵に更新する(ステップS17)。そして、生成した新しい事前共有鍵をフラッシュメモリ43に記憶させた後(ステップS19)、ステップS27に処理を移行する。
【0103】
また、ステップS13において検出した動作モードが暗号通信モード(キーポジション「ON」)の場合(ON)は、CPU301は、USBポート33に対するフラッシュメモリ43の接続の有無を検出する(ステップS21)。
【0104】
フラッシュメモリ43が接続されていない場合は(ステップS21でNO)、後述するステップS25に処理を移行する。
【0105】
また、フラッシュメモリ43が接続されている場合は(ステップS21でYES)、CPU301は、フラッシュメモリ43から新しい事前共有鍵を取得し、データ記憶部307に記憶されている事前共有鍵を新しい事前共有鍵に更新する(ステップS23)。そして、ステップS25に処理を移行する。
【0106】
なお、USBポート33に接続されたフラッシュメモリ43に新しい事前共有鍵が記憶されていない場合は、CPU301は、ステップS23の処理を中止する。そして、CPU301は、USBポート33にフラッシュメモリ43が接続されていないものとして(ステップS21でNO)、後述するステップS25に処理を移行する。
【0107】
ステップS25では、CPU301は、他の組込制御装置3に送信する信号に対して、データ記憶部307の事前共有鍵を用いた暗号化処理を行う。そして、ステップS27に処理を移行する。
【0108】
なお、ステップS25の暗号化処理では、CPU301は、信号の受信側の組込制御装置3に、信号の暗号通信で用いる暗号化プロトコルを、データ記憶部307の事前共有鍵で暗号化して送信する。また、CPU301は、データ記憶部307の事前共有鍵を用いた暗号化プロトコルによって、共通の暗号鍵を生成する。そして、生成した共通の暗号鍵によって、他の組込制御装置3に送信する信号を暗号化する。
【0109】
以上に説明したステップS25の暗号化処理には、ステップS23で事前共有鍵が更新された場合は新しい事前共有鍵が用いられる。また、ステップS23で事前共有鍵が更新されなかった場合は今までと同じ事前共有鍵が用いられる。
【0110】
ステップS27では、CPU301は、受信側の組込制御装置3に対する信号(制御データ)の送信、受信側の組込制御装置3からの応答信号(制御データ)等の受信を、LAN5上の通信によって行う。
【0111】
なお、ステップS27における信号の送受信は、組込制御装置3の動作モードが共有鍵生成モード又は通常通信モードである場合は、暗号通信でなく通常通信によって行われる。また、組込制御装置3の動作モードが暗号通信モードである場合は、ステップS27における信号の送受信は暗号通信によって行われる。
【0112】
続いて、CPU301は、ステップS27で実行した信号の送受信の状況を、インジケータ部35の「RUN」と「Com」のインジケータ45,47によって表示する(ステップS29)。そして、一連の処理を終了する。
【0113】
以上の説明からも明らかなように、本実施形態では、図5のフローチャートにおけるステップS13~ステップS23が、制御部に対応する処理となっている。
【0114】
そして、図5中のステップS13は、図4のフローチャートにおけるステップS1のモード検出ステップの処理に対応している。また、図5中のステップS15及びステップS21は、図4中のステップS3の接続検出ステップの処理に対応している。
【0115】
さらに、図5中のステップS17は、図4中のステップS5の鍵生成ステップ及びステップS9の鍵更新ステップの各処理に対応している。また、図5中のステップS23は、図4中のステップS7の鍵取得ステップ及びステップS9の鍵更新ステップの各処理に対応している。
【0116】
以上に説明した本実施形態の制御システム1によれば、共有鍵生成モードの組込制御装置3のUSBポート33にフラッシュメモリ43を接続すると、新しい事前共有鍵が生成される。そして、新しい事前共有鍵がフラッシュメモリ43に記憶されると共に、データ記憶部307の事前共有鍵が新しい事前共有鍵に更新される。
【0117】
また、暗号通信モードの組込制御装置3のUSBポート33に、新しい事前共有鍵が記憶されたフラッシュメモリ43を接続すると、データ記憶部307の事前共有鍵が、フラッシュメモリ43から読み出された新しい事前共有鍵に更新される。
【0118】
上述したどちらのパターンでデータ記憶部307の事前共有鍵を更新する場合にも、ユーザが、事前共有鍵を更新する組込制御装置3の設置場所に出向いて2つの作業を行うことになる。そのうちの1つは、モード設定部31の鍵穴39にモード切替用キー41を挿入してキーシリンダ37を「Generate」又は「ON」のキーポジションに回転させる作業である。もう1つは、USBポート33にフラッシュメモリ43を接続する作業である。
【0119】
いずれの作業も、コンピュータの操作に不慣れな者には面倒な操作を伴うものではなく、日常でも行う程度の簡単でしかも視覚的にわかりやすい操作で済む作業である。しかも、データ記憶部307の事前共有鍵を更新する際に、他の組込制御装置3との間で特定のプロトコル又は制約の下に通信を行う必要がない。
【0120】
このため、制御システム1のLAN5が有線、無線、それらの混合等、どのような構成のものであっても、制約を受けずに適用して実施することができる。そして、組込制御装置3同士がLAN5上で行う暗号通信に用いる、データ記憶部307の事前共有鍵の更新を、簡便な作業で行うことができる。
【0121】
なお、上述した実施形態の制御システム1では、新しい事前共有鍵の生成とデータ記憶部307の事前共有鍵の更新とを、全て組込制御装置3において行うものとした。しかし、新しい事前共有鍵の生成を、必要に応じてLAN5に接続される図1の外部端末7でも行える構成としてもよい。
【0122】
以下、外部端末7において新しい事前共有鍵を生成できる構成とする場合の実施形態について説明する。
【0123】
本実施形態の制御システム1では、外部端末7が、組込制御装置3の開発環境を有しているものとする。この外部端末7は、例えば、組込制御装置3のプログラム記憶部305のプログラムファイルを編集するメンテナンス作業の際に、LAN5に接続することができる。
【0124】
外部端末7は、図3に示すように、CPU701、通信部703、記憶部705、入力部707、表示部709及びUSBインタフェース711等を有している。
【0125】
CPU701は、制御システム1へのログイン後に記憶部705のプログラムを実行することで、入力部707の入力操作に応じた内容のコマンドを生成し、LAN5を介して組込制御装置3のCPU301に出力することができる。CPU701が生成するコマンドは、組込制御装置3のCPU301に実行を要求する処理を示すコマンド(処理要求)である。
【0126】
なお、外部端末7の制御システム1へのログイン操作は、例えば、ユーザID及びパスワードの入力による、従来公知の一般的なものとすることができる。
【0127】
記憶部705は、例えば、不揮発メモリ(フラッシュメモリ)又はハードディスクドライブによって構成することができる。記憶部705には、組込制御装置3のプログラム記憶部305のプログラムファイルの編集プログラム、組込制御装置3の暗号通信に用いる事前共有鍵の生成プログラム等がインストールされている。
【0128】
プログラム記憶部305のプログラムファイルを編集するためのコマンドは、外部端末7からLAN5を介して組込制御装置3に通常通信で送信される。このため、外部端末7の編集プログラムによる組込制御装置3のプログラム記憶部305のプログラムファイルの編集は、メンテナンス対象の組込制御装置3の動作モードが通常通信モードとなっているときに行うことができる。
【0129】
入力部707は、例えば、キーボード、マウス、表示部709の画面に設けられたタッチパネル等によって構成することができる。また、入力部707の入力内容は、例えば、表示部709に表示されるUI(ユーザインタフェース)画面において確認することができる。表示部709は、例えば、液晶ディスプレイによって構成することができる。
【0130】
USBインタフェース711は、外部端末7のUSBポート713(外部接続ポートに相当)に接続されたフラッシュメモリ43に対する信号の入出力を制御する。
【0131】
次に、組込制御装置3で用いる新しい事前共有鍵を生成するために、外部端末7のCPU701が記憶部705のプログラムにしたがって実行する処理の手順の一例を、図6のフローチャートを参照して説明する。
【0132】
まず、CPU701は、新しい事前共有鍵を生成するメニューを選択する入力部707からの入力を受け付けたか否かを確認する(ステップS31)。事前共有鍵の生成メニューの選択入力を受け付けていない場合は(ステップS31でNO)、一連の処理を終了する。
【0133】
また、事前共有鍵の生成メニューの選択入力を受け付けた場合は(ステップS31でYES)、USBポート713に対するフラッシュメモリ43の接続の有無を検出する(ステップS33)。
【0134】
USBポート713にフラッシュメモリ43が接続されていない場合は(ステップS33でNO)、事前共有鍵の生成メニューの選択をキャンセルする入力部707からの入力を受け付けたか否かを確認する(ステップS35)。キャンセルの入力を受け付けていない場合は(ステップS35でNO)、ステップS33にリターンし、キャンセルの入力を受け付けた場合は(ステップS35でYES)、一連の処理を終了する。
【0135】
一方、USBポート713にフラッシュメモリ43が接続されている場合は(ステップS33でYES)、CPU701は、新しい事前共有鍵を生成する(ステップS37)。そして、生成した新しい事前共有鍵をフラッシュメモリ43に記憶させた後(ステップS39)、一連の処理を終了する。
【0136】
以上に説明した本実施形態の制御システム1では、制御システム1にログインした外部端末7で、新しい事前共有鍵を生成してフラッシュメモリ43に記憶させることができる。このため、組込制御装置3で新しい事前共有鍵を生成してフラッシュメモリ43に記憶させるために、組込制御装置3を共有鍵生成モードとする必要がなくなる。
【0137】
そして、外部端末7で新しい事前共有鍵を記憶させたフラッシュメモリ43を、暗号通信モードの組込制御装置3のUSBポート33に接続することで、組込制御装置3の事前共有鍵を新しい事前共有鍵に更新することができる。
【0138】
したがって、新しい事前共有鍵の生成から更新までを、組込制御装置3を暗号通信モードとして暗号通信を有効としたままで全て行うことができる。
【0139】
また、制御システム1のLAN5が有線、無線、それらの混合等、どのような構成のものであっても、制約を受けずに適用して実施することができる。そして、組込制御装置3同士がLAN5上で行う暗号通信に用いる、データ記憶部307の事前共有鍵の更新を、簡便な作業で行うことができる。
【0140】
以上に説明した本開示の思想は、例えば、工場、発電所、設備、機械等のプラントに設けたフィールド機器(図示せず)の動作を制御するシステムにも適用することができる。
【0141】
以下、プラントの制御システムに本開示の思想を適用した実施形態について、図面を参照しながら説明する。図7は本開示の実施形態に係るプラントの制御システムを示す説明図である。
【0142】
図7に示すプラントの制御システム51(プラント制御システムに相当)は、生産設備、製造設備等のプラントに設けたフィールド機器(図示せず)の動作を制御するシステムである。
【0143】
制御システム51は、フィールド機器の動作制御を実行する制御ユニット53、フィールド機器の制御目標を設定するエンジニアリングコンピュータ55、制御ユニット53の動作状態を監視するモニタリングコンピュータ57を有している。
【0144】
制御ユニット53、エンジニアリングコンピュータ(Engineering Unit、以下、「EU」と略記する。)55及びモニタリングコンピュータ(Monitoring Unit 、以下、「MU」と略記する。)57は、LAN59及びルータ61によって相互接続されている。本実施形態では、LAN59及びルータ61を2系統設けて、伝送システムの冗長化を図っている。しかし、伝送システムの冗長化は必須でない。
【0145】
制御ユニット53の制御対象のフィールド機器は、例えば、複数のブロックに分割することができる。図7では、一例として、複数に分割した各ブロックのフィールド機器の動作を、個別の組込制御装置63でそれぞれ制御する場合を示している。
【0146】
図7の各組込制御装置63(通信装置に相当)においては、例えば、アクチュエータ、計測器、センサ等(いずれも図示せず)を含む制御対象のフィールド機器との間で、信号の入出力が行われる。各組込制御装置63が入出力する信号は、例えば、アクチュエータに対する制御信号、計測器の出力信号、アクチュエータの動作状態を検出したセンサの出力信号等を含んでいる。
【0147】
各組込制御装置63は、EU55から入力されるコマンドに基づいて、プラントの各フィールド機器(アクチュエータ、計測器等)の制御信号を生成する。また、各組込制御装置63は、各フィールド機器(計測器、センサ等)から出力信号を取得する。
【0148】
そして、各組込制御装置63は、フィールド機器の動作制御に影響する計測器、センサ等の出力信号を参照して、生成する制御信号の内容を決定する。出力信号を参照する計測器、センサ等が他のブロックのものである場合は、他のブロックの組込制御装置63から、参照する計測器、センサ等の出力信号を取得する。
【0149】
そのために、各組込制御装置63は、2系統のLAN59及びルータ61によって、上位のEU55及びMU57だけでなく、他のブロックの組込制御装置63(相手方通信装置に相当)とも、相互に接続されている。
【0150】
そして、各組込制御装置63は、生成した制御信号を対応する各フィールド機器に出力する。また、各組込制御装置63は、各フィールド機器から取得した出力信号をEU55及びMU57、あるいは、他のブロックの組込制御装置63に出力する。
【0151】
各組込制御装置63は、例えば、以上に説明した処理を行うCPU(図示せず)と、ROM又は不揮発性のメモリ(いずれも図示せず)とを有するものとすることができる。その場合、各組込制御装置63は、CPUがROM又は不揮発性のメモリに格納されたプログラムを実行することで、各部との通信を制御することができる。
【0152】
各組込制御装置63のCPUが制御する通信には、例えば、制御対象のフィールド機器との信号の送受信、他のブロックの組込制御装置63との信号の送受信、EU55及びMU57との間のデータの送受信等を含めることができる。
【0153】
EU55(動作管理機器に相当)は、例えば、各組込制御装置63の制御対象である各ブロックのフィールド機器の動作を管理する箇所に配置される。EU55とMU57との間のデータの送受信、EU55と各組込制御装置63との信号の送受信等は、EU55のCPUがROM(いずれも図示せず)又は不揮発性のメモリ(図示せず)に格納されたプログラムにしたがって実行される。
【0154】
また、EU55のCPUは、ROM又は不揮発性のメモリのプログラムを実行することで、各ブロックのフィールド機器を動作制御するためのコマンドを生成することができる。
【0155】
そして、EU55のCPUは、生成したコマンドを、そのコマンドにより動作制御するフィールド機器が属するブロックに対応する組込制御装置63に出力する。
【0156】
MU57(動作管理機器に相当)は、例えば、各組込制御装置63の制御対象である各ブロックのフィールド機器の動作を管理する箇所に配置される。なお、MU57は、EU55と共に配置してもよく、EU55とは別個に配置してもよい。また、MU57は、必要に応じて複数台用いることができる。
【0157】
MU57では、制御システム51の運用開始後に、フィールド機器(アクチュエータ、計測器等)の動作状態を監視することができる。フィールド機器の動作状態は、各ブロックの組込制御装置63からMU57に入力される各ブロックのフィールド機器(計測器、センサ等)の出力信号によって、監視することができる。また、MU57では、動作状態を監視しながら、フィールド機器(アクチュエータ、計測器等)の運転操作を行うことができる。
【0158】
各ブロックのフィールド機器の運転操作及び動作状態の監視のための処理は、MU57のコンピュータ本体571のCPUがROM(いずれも図示せず)に格納されたプログラムにしたがって実行する。
【0159】
MU57は、コンピュータ本体571の他に、ディスプレイ573、キーボード575及びマウス577を有している。なお、ディスプレイ573はタッチパネル(図示せず)を有していてもよい。ディスプレイ573のタッチパネルは、キーボード575及びマウス577と共に、各ブロックの組込制御装置63に対応する各ブロックのフィールド機器の運転操作に利用することができる。
【0160】
上述した構成の制御システム51では、制御ユニット53の各組込制御装置63と、EU55及びMU57との間、あるいは、他のブロックの組込制御装置63との間で、事前共有鍵を用いた暗号通信を行うことができる。
【0161】
【0162】
その場合、特に、UI(ユーザインタフェース)に利用できるディスプレイ573を有するEU55及びMU57では、組込制御装置3のモード設定部31及びインジケータ部35の機能を、ディスプレイ573上のUI画面上で実現させてもよい。
【0163】
【0164】
このように構成した図7の制御システム51でも、各ブロックの組込制御装置63の事前共有鍵、EU55の事前共有鍵、MU57の事前共有鍵の更新を、簡便な作業で行うことができる。また、制御システム51のLAN59が有線、無線、それらの混合等、どのような構成のものであっても、制約を受けずに事前共有鍵の更新を行うことができる。
【符号の説明】
【0165】
1 制御システム
3,63 組込制御装置(通信装置、相手方通信装置)
5,59 LAN
7 外部端末
31 モード設定部(設定部)
33,713 USBポート(外部接続ポート)
35 インジケータ部
37 キーシリンダ(操作部)
39 鍵穴
41 モード切替用キー
43 フラッシュメモリ(外部記憶デバイス)
45 「RUN」のインジケータ(暗号通信の有効又は無効を報知するインジケータ)
47 「Com」のインジケータ
51 プラントの制御システム(プラント制御システム)
53 制御ユニット
55 エンジニアリングコンピュータ(EU、動作管理機器)
57 モニタリングコンピュータ(MU、動作管理機器)
61 ルータ
301 CPU(制御部)
303,703 通信部
305 プログラム記憶部
307 データ記憶部
309 キースイッチ
311,711 USBインタフェース
313 インジケータドライバ
571 コンピュータ本体
573 ディスプレイ
575 キーボード
577 マウス
701 CPU
705 記憶部
707 入力部
709 表示部
3,63 組込制御装置(通信装置、相手方通信装置)
5,59 LAN
7 外部端末
31 モード設定部(設定部)
33,713 USBポート(外部接続ポート)
35 インジケータ部
37 キーシリンダ(操作部)
39 鍵穴
41 モード切替用キー
43 フラッシュメモリ(外部記憶デバイス)
45 「RUN」のインジケータ(暗号通信の有効又は無効を報知するインジケータ)
47 「Com」のインジケータ
51 プラントの制御システム(プラント制御システム)
53 制御ユニット
55 エンジニアリングコンピュータ(EU、動作管理機器)
57 モニタリングコンピュータ(MU、動作管理機器)
61 ルータ
301 CPU(制御部)
303,703 通信部
305 プログラム記憶部
307 データ記憶部
309 キースイッチ
311,711 USBインタフェース
313 インジケータドライバ
571 コンピュータ本体
573 ディスプレイ
575 キーボード
577 マウス
701 CPU
705 記憶部
707 入力部
709 表示部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】