TOP
|
特許
|
意匠
|
商標
特許ウォッチ
Twitter
他の特許を見る
10個以上の画像は省略されています。
公開番号
2025097201
公報種別
公開特許公報(A)
公開日
2025-06-30
出願番号
2023213356
出願日
2023-12-18
発明の名称
ゲートウェイ装置及び通信システム
出願人
株式会社東芝
代理人
個人
,
個人
,
個人
,
個人
主分類
H04L
12/66 20060101AFI20250623BHJP(電気通信技術)
要約
【課題】被制御装置への攻撃を検知可能とするゲートウェイ装置を提供する。
【解決手段】本実施形態に係るゲートウェイ装置は、通信ネットワークを介して外部装置から制御信号データを受信し、前記制御信号データを被制御装置に中継するゲートウェイ装置であって、前記外部装置に応答を要求する要求データを送信する送信部と、前記要求データに対する応答を示す応答データを受信する受信部と、前記要求データと前記応答データとに基づき前記外部装置との通信状態を算出する通信状態算出部と、算出された通信状態が前記被制御装置の制御を行う制御装置との通常の通信状態と異なる場合に、前記外部装置が前記制御装置と異なる偽制御装置であり、前記偽制御装置から前記制御信号データを介して前記被制御装置へ攻撃を行われていることを検知する攻撃検知部と、を備え、前記通信状態は、平均通信時間、パケットロス率、ジッタ、バンド幅、及びポップ数の少なくとも1つを含む。
【選択図】図1
特許請求の範囲
【請求項1】
通信ネットワークを介して外部装置から制御信号データを受信し、前記制御信号データを被制御装置に中継するゲートウェイ装置であって、
前記外部装置に応答を要求する要求データを送信する送信部と、
前記要求データに対する応答を示す応答データを受信する受信部と、
前記要求データと前記応答データとに基づき前記外部装置との通信状態を算出する通信状態算出部と、
算出された通信状態が前記被制御装置の制御を行う制御装置との通常の通信状態と異なる場合に、前記外部装置が前記制御装置と異なる偽制御装置であり、前記偽制御装置から前記制御信号データを介して前記被制御装置へ攻撃を行われていることを検知する攻撃検知部と、
を備え、
前記通信状態は、平均通信時間、パケットロス率、ジッタ、バンド幅、及びポップ数の少なくとも1つを含む
ゲートウェイ装置。
続きを表示(約 1,000 文字)
【請求項2】
前記攻撃検知部は、前記制御装置の動作状態を管理する状態管理装置から前記制御装置の動作状態を示す情報を取得し、
取得した前記動作状態を示す前記情報に基づき前記制御装置が正常か否かを判断し、前記制御装置が正常でないと決定した場合、前記算出された通信状態が前記通常の通信状態と同じ場合であっても、前記偽制御装置により前記被制御装置への攻撃が行われていることを検知する、
請求項1に記載のゲートウェイ装置。
【請求項3】
前記攻撃検知部は、前記算出された通信状態が前記通常の通信状態と異なっていても、前記制御装置が正常あると決定した場合、前記偽制御装置により前記被制御装置への攻撃は行われていないことを決定する
請求項2に記載のゲートウェイ装置。
【請求項4】
前記攻撃検知部によって前記被制御装置への攻撃が検知されたときにアラートを出力する出力部
を備えた請求項1に記載のゲートウェイ装置。
【請求項5】
前記攻撃検知部は、前記被制御装置への攻撃を検知したとき、前記被制御装置の稼働を停止する
請求項1に記載のゲートウェイ装置。
【請求項6】
前記要求データは、シーケンス番号、及び、前記要求データの送信時刻を含み、
前記応答データは、前記シーケンス番号、及び前記要求データの受信時刻を含む
請求項1に記載のゲートウェイ装置。
【請求項7】
被制御装置を制御するための制御信号データを送信する制御装置と、
通信ネットワークを介して前記制御信号データを受信し、前記制御信号データを前記被制御装置に中継するゲートウェイ装置と、を備え、
前記ゲートウェイ装置は、
前記制御信号データの送信元装置に応答を要求する要求データを送信する送信部と、
前記要求データに対する応答を示す応答データを受信する受信部と、
前記要求データと前記応答データとに基づき前記送信元装置との通信状態を算出する通信状態算出部と、
算出された通信状態が前記制御装置との通常の通信状態と異なる場合に、前記送信元装置が前記制御装置と異なる偽制御装置であり、前記偽制御装置から前記制御信号データを介して前記被制御装置へ攻撃を行われていることを検知する攻撃検知部と、
を備え、
前記通信状態は、平均通信時間、パケットロス率、ジッタ、バンド幅、及びポップ数の少なくとも1つを含む
通信システム。
発明の詳細な説明
【技術分野】
【0001】
本実施形態は、ゲートウェイ装置及び通信システムに関する。
続きを表示(約 2,400 文字)
【背景技術】
【0002】
工場における工業プロセス、機械、製造装置等を自動制御するために産業用コントローラが用いられる。一般的に産業用コントローラ(以下、コントローラ)は工場の製造現場に設置されるが、近年、ネットワーク上のクラウド環境にコントローラを設置する形態が考えられている。クラウド環境にコントローラを設置することには、遠隔接続によりどこからでも作業が可能になる事や、故障時の代替機交換が短時間で可能になる事、など複数の利点がある。
【0003】
クラウド環境に設置されるコントローラ(以下、クラウド型コントローラ)は、製造現場に設置される制御中継装置を介して、製造現場に設置されるモータやバルブ等の被制御装置と通信する。クラウド型コントローラは、制御中継装置との通信にインターネットを介するため、サイバー攻撃を受ける可能性がある。攻撃者は、クラウド環境に制御装置(クラウド型コントローラ)を模倣した偽制御装置を設置し、偽制御装置から制御中継装置に不正接続することにより、被制御装置の異常制御、誤動作、破壊などの攻撃を行う。一般的に攻撃者はクラウド環境におけるクラウド型コントローラが設置された場所とは離れた場所(海外など)のクラウド環境に偽制御装置を構築する場合が多い。
【0004】
従来のクラウド型コントローラは攻撃検知機能を備えていないため、偽制御装置から被制御装置に行われる不正制御を防御することはできない。一般的な攻撃検知技術として、ネットワークに流れるパケットをパターンマッチングすることにより攻撃を検知するものが知られているが、クラウド型コントローラでは、独自の通信プロトコルを使用するため、パターンマッチングによって攻撃を検知することはできない。ネットワークのパケット数を基準としてサービス不能攻撃(DoS攻撃)を検知する技術も知られているが、パケット数を基準とした判定では、不正な接続先からのアクセスを検知することはできない。
【先行技術文献】
【特許文献】
【0005】
特許第5959452号公報
特開2006-121679号公報
特開2005-210601号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本実施形態は、被制御装置への攻撃を検知可能とするゲートウェイ装置及び通信システムを提供する。
【課題を解決するための手段】
【0007】
本実施形態に係るゲートウェイ装置は、通信ネットワークを介して外部装置から制御信号を受信し、前記制御信号データを被制御装置に中継するゲートウェイ装置であって、前記外部装置に応答を要求する要求データを送信する送信部と、前記要求データに対する応答を示す応答データを受信する受信部と、前記要求データと前記応答データとに基づき前記外部装置との通信状態を算出する通信状態算出部と、算出された通信状態が前記被制御装置の制御を行う制御装置との通常の通信状態と異なる場合に、前記外部装置が前記制御装置と異なる偽制御装置であり、前記偽制御装置から前記制御信号データを介して前記被制御装置へ攻撃を行われていることを検知する攻撃検知部と、を備え、前記通信状態は、平均通信時間、パケットロス率、ジッタ、バンド幅、及びポップ数の少なくとも1つを含む。
【図面の簡単な説明】
【0008】
第1実施形態に係る通信システムの例を示す図。
偽制御装置が制御装置とは別のクラウド環境に設けられている例を示す図。
(A)はクラウド側共有メモリ、(B)は現場側共有メモリの配置領域例をそれぞれ示す図。
送信データフォーマット例を示す図。
送受信管理テーブルの一例を示す図。
受信応答データフォーマット例を示す図。
送信部の処理フローの一例を示す図。
受信部の処理フローの一例を示す図。
通信状態算出部の処理フローの一例を示す図。
攻撃検知部の処理フローの一例を示す。
第2実施形態に係る通信システムの例を示す図。
第2実施形態に係る通信状態算出部の処理フローの例を示す図。
第2実施形態に係る攻撃検知部の処理フローの例を示す図。
第3実施形態に係る通信システムの例を示す図。
第3実施形態に係る攻撃検知部の処理フローの例を示す図。
第4実施形態に係る通信システムの例を示す図。
【発明を実施するための形態】
【0009】
以下、図面を参照しつつ、本発明の実施形態について説明する。
【0010】
(第1実施形態)
図1は、第1実施形態に係る通信システムの例を示す。クラウド環境に制御装置311が設けられており、現場環境に制御中継装置321、I/O装置322、及び被制御装置323が設けられている。被制御装置323は制御装置311の制御対象となる装置である。制御装置311と制御中継装置321はインターネット331を介して接続されており、制御中継装置321は、制御装置311から被制御装置323へアクセスするためのゲートウェイ装置として機能する。インターネット331は通信ネットワークの一例であり、インターネット331以外の通信ネットワークが用いられてもよい。本システムは、インターネット331を介して偽制御装置が被制御装置323を不正制御しようとする場合のこの不正制御を攻撃として検知することを可能にするものである。制御装置311及び偽制御装置は、制御中継装置321の外部装置である。
(【0011】以降は省略されています)
この特許をJ-PlatPatで参照する
関連特許
株式会社東芝
電子機器
18日前
株式会社東芝
遮断装置
17日前
株式会社東芝
回転電機
24日前
株式会社東芝
搬送装置
18日前
株式会社東芝
判定装置
19日前
株式会社東芝
配線治具
10日前
株式会社東芝
半導体装置
23日前
株式会社東芝
電磁流量計
12日前
株式会社東芝
主幹制御器
3日前
株式会社東芝
半導体装置
24日前
株式会社東芝
操作盤カバー
16日前
株式会社東芝
ディスク装置
12日前
株式会社東芝
アンテナ装置
16日前
株式会社東芝
水中洗浄装置
3日前
株式会社東芝
紙葉類処理装置
1か月前
株式会社東芝
計算機システム
12日前
株式会社東芝
磁気ディスク装置
16日前
株式会社東芝
磁気ディスク装置
16日前
株式会社東芝
磁気ディスク装置
18日前
株式会社東芝
磁気ディスク装置
16日前
株式会社東芝
バックアップ回路
1か月前
株式会社東芝
コイル及び磁性部品
3日前
株式会社東芝
RAID保守システム
16日前
株式会社東芝
RAID保守システム
16日前
株式会社東芝
タービン軸シール装置
17日前
株式会社東芝
制御装置及び制御方法
9日前
株式会社東芝
接合方法及び接合装置
24日前
株式会社東芝
脂質粒子の品質評価方法
18日前
株式会社東芝
データ転送装置及び方法
26日前
株式会社東芝
制御方法及び電力変換装置
9日前
株式会社東芝
測定方法及び測定システム
3日前
株式会社東芝
学習データの権利管理システム
9日前
株式会社東芝
標的細胞作製方法及びシステム
18日前
株式会社東芝
半導体装置及び半導体モジュール
3日前
株式会社東芝
磁気ヘッド、及び、磁気記録装置
3日前
株式会社東芝
ICモジュール、及びICカード
17日前
続きを見る
他の特許を見る