[go: up one dir, main page]

JP2017215788A - Control apparatus and control system - Google Patents

Control apparatus and control system Download PDF

Info

Publication number
JP2017215788A
JP2017215788A JP2016109259A JP2016109259A JP2017215788A JP 2017215788 A JP2017215788 A JP 2017215788A JP 2016109259 A JP2016109259 A JP 2016109259A JP 2016109259 A JP2016109259 A JP 2016109259A JP 2017215788 A JP2017215788 A JP 2017215788A
Authority
JP
Japan
Prior art keywords
data
unit
transmission
control device
loopback
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016109259A
Other languages
Japanese (ja)
Inventor
中谷 博司
Hiroshi Nakatani
博司 中谷
俊也 丸地
Shunya Maruchi
俊也 丸地
裕二 梅田
Yuji Umeda
裕二 梅田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Infrastructure Systems and Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Infrastructure Systems and Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Infrastructure Systems and Solutions Corp filed Critical Toshiba Corp
Priority to JP2016109259A priority Critical patent/JP2017215788A/en
Publication of JP2017215788A publication Critical patent/JP2017215788A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Programmable Controllers (AREA)

Abstract

【課題】セキュリティ性と機能安全性とを両立させるとともに、サービス不能攻撃を受けた場合においても制御システムとしての可用性を維持する。【解決手段】セキュリティ機能とブラックチャネル診断によるセーフティ機能とを有する制御装置のセキュリティ機能部として、サービス不能攻撃の有無を判定し、サービス不能攻撃を検出した場合、当該制御装置の通信インタフェース部に受信制限を実施させるとともに、セキュリティ処置部に受信制限を行っていることを示す遮断情報データの送信データへの添付を指示する判定部と、判定部からの指示に従い、送信時にセーフティ処理部からの送信データに対し、外部装置からの受信データ中に含まれこの外部装置に送り返すフィードバック診断のための折り返しデータを遮断情報データへ付け替えるセキュリティ処置部とを有するセキュリティ処理部を備える。【選択図】図2[PROBLEMS] To achieve both security and functional safety, and maintain availability as a control system even when subjected to a denial of service attack. As a security function part of a control device having a security function and a safety function based on black channel diagnosis, the presence or absence of a denial-of-service attack is determined, and when a denial-of-service attack is detected, it is received by the communication interface unit of the control device In accordance with the instruction from the determination unit and the determination unit for instructing the security treatment unit to attach the blocking information data indicating that the reception restriction is performed and the transmission from the safety processing unit at the time of transmission A security processing unit is provided that includes a security processing unit that replaces the return data for feedback diagnosis that is included in the data received from the external device and is sent back to the external device with respect to the data. [Selection] Figure 2

Description

本発明の実施形態は、制御装置および制御システムに関する。   Embodiments described herein relate generally to a control device and a control system.

近年、プラント等を制御する制御システムでは、ネットワークを介した外部からの攻撃に備えたセキュリティ性と、故障に備えた機能安全性とを共に備えたシステムが求められている。機能安全性に関しては、従来技術として、通信相手の装置に送信したデータを相手装置から送り返し、データの正着確認を行うことで通信の完全性を確認するフィードバック診断によるものなどが知られている。また、セキュリティ性に関しては、制御システムに対する代表的なサービス不能攻撃手法であるDoS(Denial of Service)攻撃に対し、受信パケット数を監視し、パケット数が一定値以上の値になった場合にはDoS攻撃を受けているとみなし、その間は受信を制限するDoS攻撃対策が知られている。   In recent years, a control system that controls a plant or the like is required to have a system that has both security for an attack from the outside via a network and functional safety for a failure. Regarding functional safety, as a conventional technique, there is known a technique based on feedback diagnosis for confirming communication integrity by sending back data transmitted to a communication partner device from the partner device and confirming correct arrival of data. . As for security, the number of received packets is monitored against a DoS (Denial of Service) attack, which is a typical denial of service attack technique for control systems, and if the number of packets exceeds a certain value. A DoS attack countermeasure is known in which a DoS attack is considered to be received and reception is restricted during that time.

特開2013−196058号公報JP2013-196058A 特開2015−231131号公報JP 2015-231131 A

しかしながら、機能安全性とセキュリティ性を共に備えるこれまでの制御システムでは、DoS攻撃を検出し受信を制限するDoS攻撃対策を用いた場合、折り返し送信側の制御装置において受信データを使用したフィードバック診断のための正常な折り返し送信ができなくなる。このときの折り返し送信側の挙動は自発的な通信制限によるものだが、フィードバック診断を行う折り返し受信側の制御装置にとっては、折り返し送信側での自発的な受信制限による折り返しデータ不良と故障による折り返しデータ不良との区別が付かないため、いずれの場合の折り返しデータ不良も折り返し送信側の故障として検出せざるを得ず、制御システムの可用性が損なわれる課題があった。   However, in conventional control systems that have both functional safety and security, when a DoS attack countermeasure that detects DoS attacks and restricts reception is used, feedback control using received data in the control device on the return transmission side Therefore, normal return transmission cannot be performed. At this time, the behavior of the loopback transmission side is due to spontaneous communication restrictions, but for loopback reception side control devices that perform feedback diagnosis, loopback data failure due to spontaneous reception restrictions on the loopback transmission side and loopback data due to failure Since it cannot be distinguished from a failure, the return data failure in either case has to be detected as a failure on the return transmission side, and there is a problem that the availability of the control system is impaired.

本発明が解決しようとする課題は、セキュリティ性と機能安全性とを両立させるとともに、サービス不能攻撃を受けた場合においても制御システムとしての可用性を維持することができる制御装置および制御システムを提供することである。   The problem to be solved by the present invention is to provide a control device and a control system capable of achieving both security and functional safety and maintaining the availability as a control system even when subjected to a denial of service attack. That is.

実施形態の制御装置は、通信インタフェース部と、セキュリティ処理部と、セーフティ処理部を備える。通信インタフェース部は、外部装置との通信処理を行う。セキュリティ処理部は、サービス不能攻撃の有無を判定し、サービス不能攻撃を検出した場合、通信インタフェース部に受信制限を実施させるとともに、セキュリティ処置部に受信制限を行っていることを示す遮断情報データの送信データへの添付を指示する判定部と、判定部からの指示に従い、送信時にセーフティ処理部からの送信データに対し、外部装置からの受信データ中に含まれこの外部装置に送り返す折り返しデータを遮断情報データへ付け替えるセキュリティ処置部と、を有する。セーフティ処理部は、受信データに含まれる所定のデータを基に、該受信データの完全性をチェックするためのブラックチャネル診断を実施するブラックチャネル診断部と、外部装置への送信データに対し、折り返しデータを含む、ブラックチャネル診断のための所定のデータを添付し、セキュリティ処置部に渡すブラックチャネル送出部と、有する。   The control device of the embodiment includes a communication interface unit, a security processing unit, and a safety processing unit. The communication interface unit performs communication processing with an external device. The security processing unit determines whether or not there is a denial of service attack. If a denial of service attack is detected, the security processing unit causes the communication interface unit to perform reception restriction and the security processing unit indicates that blocking information data indicating that reception restriction is performed. In accordance with the instruction from the determination unit that instructs attachment to the transmission data and the determination unit, the transmission data from the safety processing unit during transmission is blocked from the return data that is included in the received data from the external device and sent back to the external device And a security treatment section for changing to information data. The safety processing unit wraps back the black channel diagnosis unit that performs black channel diagnosis for checking the integrity of the received data based on predetermined data included in the received data and the transmission data to the external device. A black channel sending unit that attaches predetermined data for black channel diagnosis including data and passes the data to the security processing unit;

図1は、第1の実施形態に係る制御システムのシステム構成図である。FIG. 1 is a system configuration diagram of a control system according to the first embodiment. 図2は、同実施形態に係る、折り返し送信側の制御装置の基本構成を示すブロック図である。FIG. 2 is a block diagram showing a basic configuration of the return transmission side control device according to the embodiment. 図3は、同実施形態に係る、折り返し受信側の制御装置の基本構成を示すブロック図である。FIG. 3 is a block diagram showing a basic configuration of a loopback receiving control apparatus according to the embodiment. 図4は、同実施形態で使用するデータフォーマットの一例を示す図である。FIG. 4 is a diagram showing an example of a data format used in the embodiment. 図5は、同実施形態における折り返し受信側の制御装置の送信フローを説明するフローチャートである。FIG. 5 is a flowchart for explaining a transmission flow of the control device on the return reception side in the embodiment. 図6は、同実施形態において、折り返しデータ保存部で保存されるデータのデータ構造例を示す図である。FIG. 6 is a diagram illustrating an example of a data structure of data stored in the return data storage unit in the embodiment. 図7は、同実施形態における折り返し受信側の制御装置の受信フローを説明するフローチャートである。FIG. 7 is a flowchart for explaining a reception flow of the control device on the return reception side in the embodiment. 図8は、同実施形態における折り返し送信側の制御装置のセキュリティ処理部に備わる判定部の処理フローの一例である。FIG. 8 is an example of a processing flow of the determination unit included in the security processing unit of the control device on the return transmission side in the embodiment. 図9は、同実施形態における折り返し送信側の制御装置での受信フローを説明するフローチャートである。FIG. 9 is a flowchart for explaining a reception flow in the control device on the return transmission side in the embodiment. 図10は、同実施形態における折り返し送信側の制御装置の折り返し送信フローを説明する図である。FIG. 10 is a diagram illustrating a return transmission flow of the return transmission side control device in the embodiment. 図11は、第2の実施形態に係る制御システムのシステム構成を示す図である。FIG. 11 is a diagram illustrating a system configuration of a control system according to the second embodiment. 図12は、同実施形態に係る折り返し受信・送信兼用の制御装置の基本構成を示すブロック図である。FIG. 12 is a block diagram showing a basic configuration of a loopback reception / transmission control apparatus according to the embodiment. 図13は、第3の実施形態に係る制御システムのシステム構成を示す図である。FIG. 13 is a diagram illustrating a system configuration of a control system according to the third embodiment. 図14は、同実施形態において、折り返し送信側の制御装置と折り返し受信側の制御装置を用いて構成する場合の折り返し受信側の制御装置の基本構成を示すブロック図である。FIG. 14 is a block diagram illustrating a basic configuration of a loopback reception side control device when configured using a loopback transmission side control device and a loopback reception side control device in the embodiment. 図15は、同実施形態において、折り返し受信・送信兼用の制御装置を用いて構成する場合の制御装置の基本構成を示すブロック図である。FIG. 15 is a block diagram showing a basic configuration of a control device in the case where the control device is configured using a loopback reception / transmission control device. 図16は、同実施形態において、折り返しデータ保存部のクライアントDB部で保存されるデータのデータ構造例を示す図である。FIG. 16 is a diagram illustrating a data structure example of data stored in the client DB unit of the return data storage unit in the embodiment.

以下、発明を実施するための諸実施形態について、図面を参照して説明する。   Hereinafter, embodiments for carrying out the invention will be described with reference to the drawings.

(第1の実施形態)
図1は、第1の実施形態に係る制御システムのシステム構成図である。 (First embodiment)
FIG. 1 is a system configuration diagram of a control system according to the first embodiment.

本実施形態に係る制御システムは、一方の制御装置から通信相手の制御装置に送信した特定のデータ(折り返しデータ)を送信先の制御装置(図では、折り返し送信側の制御装置1)から送信元の制御装置(図では、折り返し受信側の制御装置2)に送り返し、データの正着確認を行うことで通信の完全性を確認するフィードバック診断を行うシステムである。同図に示すように、本実施形態に係る制御システムは、折り返し送信側の制御装置1と折り返し受信側の制御装置2とをネットワークを介して相互に接続した構成を採る。なお、制御装置(1、2)間の送受信は、例えば、一定の間隔で行われる。   The control system according to the present embodiment transmits specific data (loopback data) transmitted from one control apparatus to a communication partner control apparatus from a transmission destination control apparatus (control apparatus 1 on the loopback transmission side in the figure). This is a system for performing feedback diagnosis to confirm the integrity of communication by sending back to the control device (in the figure, the control device 2 on the return reception side) and confirming the correct arrival of data. As shown in the figure, the control system according to the present embodiment employs a configuration in which a loopback transmission side control device 1 and a loopback reception side control device 2 are connected to each other via a network. Note that transmission / reception between the control devices (1, 2) is performed at regular intervals, for example.

図2は、本実施形態に係る、折り返し送信側の制御装置1の基本構成を示すブロック図である。   FIG. 2 is a block diagram illustrating the basic configuration of the control device 1 on the return transmission side according to the present embodiment.

図2に示す折り返し送信側の制御装置1は、通信I/F部(通信インタフェース部)11、セキュリティ処理部12A、セーフティ処理部13、および、制御処理部14の4つのブロックから構成される。これらは同一のハードウェア部品上に構成されてもよいし、別々のハードウェア部品上に構成されてもよい。   The control device 1 on the return transmission side shown in FIG. 2 includes four blocks: a communication I / F unit (communication interface unit) 11, a security processing unit 12A, a safety processing unit 13, and a control processing unit 14. These may be configured on the same hardware component or may be configured on separate hardware components.

通信I/F部11は、イーサネット(登録商標)等によるネットワークを介し自装置外からのデータ(フレーム)を受信し、受信データをセキュリティ処理部12Aに送る受信処理部111と、セキュリティ処理部12Aからの送信データを自装置外の装置(ここでは、折り返し受信側の制御装置2)に送信する送信処理部112とを備える。なお、受信処理部111は、下記の判定部121からの受信制限の指示があった場合、受信したデータ(フレーム)を破棄する。   The communication I / F unit 11 receives data (frame) from the outside of its own device via a network such as Ethernet (registered trademark), and receives the received data to the security processing unit 12A. The security processing unit 12A The transmission processing unit 112 transmits the transmission data from the device to the device outside the device itself (the control device 2 on the return reception side here). The reception processing unit 111 discards the received data (frame) when there is a reception restriction instruction from the determination unit 121 described below.

セキュリティ処理部12Aは、セキュリティ機能を実現する機能部であり、通信I/F部11の受信処理部111の受信状態を監視しDoS攻撃等のサービス不能攻撃(以下では、DoS攻撃として説明)を検出した場合に、受信処理部111に対する受信制限の指示とセキュリティ処置部123に対する安全データへの遮断情報データの添付指示を行う判定部121と、通信I/F部11から渡された暗号化などの保護処理が施された受信データに対しその保護を解除し、セーフティ処理部13に渡すセキュリティ解除部122と、送信時にセーフティ処理部13からの送信データに対し暗号化などの保護処理を加えて通信I/F部11に渡すセキュリティ処置部123と、を備える。なお、遮断情報データは、折り返し送信側の制御装置1において、外部からの攻撃に対処するため受信制限を実施していることを示すデータであり、DoS攻撃が検出された際に、折り返し受信側の制御装置2から受信済みの安全データ中の折り返しデータに代えて設定されるデータである。また、判定部121は、DoS攻撃検出後は一定間隔で受信パケット数を監視し、パケット数が所定の閾値を下回った場合に攻撃が収束したと判断して、受信処理部111へ受信制限を解除する指示を行う。   The security processing unit 12A is a functional unit that implements a security function, monitors the reception state of the reception processing unit 111 of the communication I / F unit 11, and performs a denial-of-service attack such as a DoS attack (hereinafter described as a DoS attack). If detected, the determination unit 121 that gives an instruction to restrict reception to the reception processing unit 111 and attaches the blocking information data to the safety data to the security processing unit 123, the encryption passed from the communication I / F unit 11, etc. The security data received by the security processing unit 13 is released, and the security release unit 122 passed to the safety processing unit 13 is added to the transmission data from the safety processing unit 13 during transmission. And a security processing unit 123 to be transferred to the communication I / F unit 11. The blocking information data is data indicating that reception control is performed in order to cope with an attack from the outside in the control device 1 on the return transmission side, and when the DoS attack is detected, the return reception side This data is set in place of the loopback data in the safety data received from the controller 2. In addition, the determination unit 121 monitors the number of received packets at regular intervals after detecting the DoS attack, determines that the attack has converged when the number of packets falls below a predetermined threshold, and restricts reception to the reception processing unit 111. Instruct to cancel.

セーフティ処理部13は、セーフティ機能を実現する機能部であり、セキュリティ処理部12Aからの受信データの完全性をチェックするためのブラックチャネル診断を実施するブラックチャネル診断部131と、セキュリティ処理部12Aに渡す送信データに対し受信側(相手側)でのブラックチャネル診断を実施するための安全確認データを生成し添付するブラックチャネル送出部132とを備える。   The safety processing unit 13 is a functional unit that implements a safety function, and includes a black channel diagnosis unit 131 that performs black channel diagnosis for checking the integrity of data received from the security processing unit 12A, and a security processing unit 12A. And a black channel sending unit 132 that generates and attaches safety confirmation data for performing black channel diagnosis on the receiving side (the other side) for the transmission data to be passed.

図3は、本実施形態に係る、折り返し受信側の制御装置2の基本構成を示すブロック図である。ここでは、図2に示した折り返し送信側の制御装置1の構成要素と共通する構成要素には同一の符号を附し、重複する部分についてはその説明を省略する。同図に示すように、通信I/F部11、セーフティ処理部13、および、制御処理部14は、前述の折り返し送信側の制御装置1のものと共通である。   FIG. 3 is a block diagram illustrating a basic configuration of the loopback receiving control device 2 according to the present embodiment. Here, the same reference numerals are given to the same components as the components of the control device 1 on the return transmission side shown in FIG. 2, and the description of the overlapping portions will be omitted. As shown in the figure, the communication I / F unit 11, the safety processing unit 13, and the control processing unit 14 are the same as those of the control device 1 on the return transmission side described above.

図3に示す折り返し受信側の制御装置2のセキュリティ処理部12Bは、セキュリティ解除部122と、セキュリティ処置部123と、データ置換部124と、折り返しデータ保存部125とを備える。なお、このセキュリティ処理部12Bにおける、セキュリティ解除部122およびセキュリティ処置部123は、前述の折り返し送信側の制御装置1のセキュリティ処理部12Aのものと共通である。   The security processing unit 12B of the control device 2 on the return reception side illustrated in FIG. 3 includes a security release unit 122, a security processing unit 123, a data replacement unit 124, and a return data storage unit 125. The security release unit 122 and the security processing unit 123 in the security processing unit 12B are the same as those in the security processing unit 12A of the control device 1 on the return transmission side.

データ置換部124は、受信処理部111が受信した折り返し送信側の制御装置1からの受信データから得られる安全データ中の折り返しデータの部分が遮断情報データとなっている場合、ブラックチャネル診断部131におけるフィードバック診断にて故障と診断されないよう矛盾の無いデータとするために、遮断情報データとなっている折り返しデータの部分を折り返しデータ保存部125に保存している折り返しデータに付け替える置換を行い、置換後の安全データをセーフティ処理部13に渡す。   When the return data portion in the safety data obtained from the received data from the control device 1 on the return transmission side received by the reception processing unit 111 is blocking information data, the data replacement unit 124 receives the black channel diagnosis unit 131. In order to ensure consistent data so that a failure is not diagnosed in the feedback diagnosis, the replacement is performed by replacing the part of the return data that is the cutoff information data with the return data stored in the return data storage unit 125. The subsequent safety data is passed to the safety processing unit 13.

折り返しデータ保存部125は、ブラックチャネル送出部132から受信した送信データ中の折り返しデータを保存し、データ置換部124が折り返しデータの部分の置換(上記)を行う際に、利用できるようにする機能を有する。   The loopback data storage unit 125 stores loopback data in the transmission data received from the black channel transmission unit 132 and can be used when the data replacement unit 124 replaces the loopback data portion (described above). Have

ここで、図4に、本実施形態で使用するデータフォーマットの一例を示し、その構成について説明する。   Here, FIG. 4 shows an example of the data format used in the present embodiment, and the configuration will be described.

折り返し送信側の制御装置1と折り返し受信側の制御装置2の間をデータが伝送される際には、そのデータは暗号化などの保護処理が施されたセキュリティ対策データ301の状態にある(図4)。このセキュリティ対策データ301が制御装置(1または2)にて受信され、セキュリティ解除部122によってその保護の解除処理(復号など)が施された状態が安全データ302である。なお、セキュリティ対策データ301は、イーサネットフレーム等のデータ部に含まれるものであり、送受信されるデータ(フレーム)には、セキュリティ対策データ301の他に、宛先アドレス、送信元アドレス、タイプ等の情報が付加される。   When data is transmitted between the control device 1 on the return transmission side and the control device 2 on the return reception side, the data is in the state of the security countermeasure data 301 subjected to protection processing such as encryption (see FIG. 4). The security data 302 is a state where the security countermeasure data 301 is received by the control device (1 or 2) and the protection cancellation processing (decryption or the like) is performed by the security cancellation unit 122. The security countermeasure data 301 is included in a data portion such as an Ethernet frame. In addition to the security countermeasure data 301, information such as a destination address, a transmission source address, and a type is included in the data (frame) transmitted and received. Is added.

安全データ302は、制御データ303、折り返しデータ304、および、安全チェックコード305から構成される。   The safety data 302 includes control data 303, loopback data 304, and safety check code 305.

制御データ303は、安全かつセキュアに伝送したい制御データの本体である。   The control data 303 is the main body of control data to be transmitted safely and securely.

折り返しデータ304は、送信元の制御装置(ここでは、折り返し受信側の制御装置2)がフィードバック診断のために添付するデータであり、送信元の制御装置2は、この折り返しデータ304を用いて制御データ303の送達確認を行う(フィードバック診断)。送信元の制御装置2が添付した折り返しデータ304は、送信先の制御装置(ここでは、折り返し送信側の制御装置1)からの折り返し送信データに再度添付され、送信元に戻される。送信元は自身が送付した折り返しデータ304が通信相手から返送されることをもって、先の送信が通信相手の制御装置1に正しく受信されたことを確認できる。   The loopback data 304 is data attached for feedback diagnosis by the transmission source control device (in this case, the loopback reception-side control device 2), and the transmission source control device 2 performs control using the loopback data 304. Delivery confirmation of the data 303 is performed (feedback diagnosis). The return data 304 attached by the transmission source control device 2 is attached again to the return transmission data from the transmission destination control device (in this case, the control device 1 on the return transmission side) and returned to the transmission source. The transmission source can confirm that the previous transmission is correctly received by the control device 1 of the communication partner by returning the return data 304 sent by itself from the communication partner.

安全チェックコード305は、制御装置(1、2)が備える機能安全性に関わる異常診断機能として、フィードバック診断以外の診断を行うためのチェックコードである。安全チェックコード305には、通信シーケンス番号、送信元および送信先アドレス、タイムスタンプ、エラー検出符号などを含めることができる。受信側の制御装置(1、2)はセーフティ処理部13のブラックチャネル診断部131で安全チェックコード305を検査することで、制御データ303が正しく受信できたことを確認する。以下では、折り返しデータ304と安全チェックコード305をまとめて、安全確認データ306と呼ぶこととする。   The safety check code 305 is a check code for performing a diagnosis other than the feedback diagnosis as an abnormality diagnosis function related to the functional safety of the control devices (1, 2). The safety check code 305 can include a communication sequence number, a transmission source and transmission destination address, a time stamp, an error detection code, and the like. The receiving side control devices (1, 2) check the safety check code 305 by the black channel diagnosis unit 131 of the safety processing unit 13 to confirm that the control data 303 has been correctly received. Hereinafter, the return data 304 and the safety check code 305 are collectively referred to as safety confirmation data 306.

続いて、以上の構成による本実施形態の制御システムにおける折り返し受信側と折り返し送信側の制御装置(1、2)の動作について図5〜6を用いて説明する。本実施形態の制御システムでは、(a)折り返し受信側の制御装置2での送信、(b)折り返し送信側の制御装置1での受信、(c)折り返し送信側の制御装置1での折り返し送信、(d)折り返し受信側の制御装置2での受信の順に、送受信が実行される。   Next, the operations of the loopback reception side and loopback transmission side control devices (1, 2) in the control system of the present embodiment having the above-described configuration will be described with reference to FIGS. In the control system of the present embodiment, (a) transmission at the loop-back receiving side control device 2, (b) reception at the loop-back transmission side control device 1, and (c) loop-back transmission at the loop-back transmission side control device 1. (D) Transmission / reception is executed in the order of reception by the control device 2 on the return reception side.

図5は、折り返し受信側の制御装置2の送信フローを説明するフローチャートである。   FIG. 5 is a flowchart for explaining the transmission flow of the control device 2 on the return reception side.

折り返し受信側の制御装置2では、制御処理部14において制御データ303が生成され(S101)、セーフティ処理部13において安全確認データ306がS101で生成された制御データ303に添付されることで安全データ302が完成する(S102)。   In the control device 2 on the return reception side, the control data 303 is generated in the control processing unit 14 (S101), and the safety confirmation data 306 is attached to the control data 303 generated in S101 in the safety processing unit 13 so that safety data is obtained. 302 is completed (S102).

セキュリティ処理部12Bの折り返しデータ保存部125では、完成した安全データ302に含まれる安全確認データ306中の折り返しデータ304が、後に図7を用いて説明する折り返しデータ304の付け替え用に、安全データ302と関連付けて保存される(S103)。ここでは、例えば、図6に例示するように、通信シーケンス番号等の安全データ識別情報と、安全確認データ306中の折り返しデータ304とが対応付けられて保存される。   In the return data storage unit 125 of the security processing unit 12B, the return data 304 in the safety confirmation data 306 included in the completed safety data 302 is used to replace the return data 304 described later with reference to FIG. (S103). Here, for example, as illustrated in FIG. 6, safety data identification information such as a communication sequence number and return data 304 in the safety confirmation data 306 are stored in association with each other.

セキュリティ処置部123では、安全データ302に暗号化等の保護処理を加えることでセキュリティ対策データ301が生成される(S104)。生成されたセキュリティ対策データ301は、通信I/F部11の送信処理部112から送信され(S105)、折り返し受信側の制御装置2は受信待ちに入る(図7:S106)。   The security processing unit 123 generates security countermeasure data 301 by adding a protection process such as encryption to the safety data 302 (S104). The generated security countermeasure data 301 is transmitted from the transmission processing unit 112 of the communication I / F unit 11 (S105), and the control device 2 on the return reception side waits for reception (FIG. 7: S106).

図7は、折り返し受信側の制御装置2の受信フローを説明するフローチャートである。   FIG. 7 is a flowchart for explaining the reception flow of the control device 2 on the return reception side.

折り返し受信側の制御装置2は、受信待ちの状態において(S106)、折り返し送信側の制御装置1から送信されてきたセキュリティ対策データ301を受信すると(S107)、セキュリティ処理部12Bのセキュリティ解除部122において、セキュリティ対策データ301に復号等の保護解除処理を加えて安全データ302を生成する(S108)。   The control device 2 on the return reception side receives the security countermeasure data 301 transmitted from the control device 1 on the return transmission side (S106) while waiting for reception (S106), and then releases the security release unit 122 of the security processing unit 12B. In step S108, the security countermeasure data 301 is subjected to protection cancellation processing such as decryption to generate safety data 302 (S108).

保護解除処理後の安全データ302が規定のフォーマットを維持していない場合(S109でYes)、保護解除処理の失敗扱いとなり、受信した安全データ302は使用されない。この場合は、この安全データ302は破棄し、異常ログに記録するようにする(S110)。   If the safety data 302 after the protection cancellation process does not maintain the prescribed format (Yes in S109), the protection cancellation process is treated as a failure, and the received safety data 302 is not used. In this case, the safety data 302 is discarded and recorded in the abnormality log (S110).

一方、保護解除処理後の安全データ302が規定のフォーマットを維持している場合、安全データ302は正常と判定され(S109でNo)、データ置換部124において、折り返しデータ304の内容が折り返し送信側の制御装置1により添付された遮断情報データ307となっているか、判定が行われる(S111)。   On the other hand, when the safety data 302 after the protection release processing maintains the prescribed format, it is determined that the safety data 302 is normal (No in S109), and the content of the return data 304 is returned on the return transmission side in the data replacement unit 124. It is determined whether or not the blocking information data 307 is attached by the control device 1 (S111).

ここで、折り返しデータ304が遮断情報データ307となっている場合(S111でYes)、折り返し送信側の制御装置1がDoS攻撃等により、意図的に受信制限を行っており、受信制限の実施を示す遮断情報データ307を折り返しデータ304に添付したことを意味する。この場合、折り返し受信側の制御装置2のデータ置換部124は、安全データ302の折り返しデータ304の部分に入っている遮断情報データ307を、先に折り返しデータ保存部125で保存していた折り返しデータに付け替えると共に(S112)、安全チェックコード305を、付け替えた折り返しデータ304に合わせて修正し(S113)、修正後の安全データ302をブラックチャネル診断部131に送る。なお、安全データ302の折り返しデータ304の部分が遮断情報データ307でない場合(すなわち、折り返しデータ304そのものである場合)(S111でNo)、データ置換部124は、置換処理は行わず安全データ302をブラックチャネル診断部131に送る。   Here, when the return data 304 is the blocking information data 307 (Yes in S111), the control device 1 on the return transmission side intentionally limits reception due to a DoS attack or the like, and the reception limitation is performed. This means that the interruption information data 307 shown is attached to the return data 304. In this case, the data replacement unit 124 of the loopback receiving control device 2 returns the blocking information data 307 included in the loopback data 304 portion of the safety data 302 to the loopback data previously stored in the loopback data storage unit 125. (S112), the safety check code 305 is corrected in accordance with the changed return data 304 (S113), and the corrected safety data 302 is sent to the black channel diagnosis unit 131. Note that if the loopback data 304 portion of the safety data 302 is not the blocking information data 307 (that is, the loopback data 304 itself) (No in S111), the data replacement unit 124 does not perform the replacement process and stores the safety data 302. This is sent to the black channel diagnosis unit 131.

ブラックチャネル診断部131では、渡された安全データ302の安全確認データ306をチェックする(S114)。ここで、安全データ302の安全チェックコード305に通信シーケンス番号を備えるようにした場合、ブラックチャネル診断部131は、セキュリティ対策データ301が適切な順番で折り返し受信側の制御装置2に到着したか否かを確認することができる。また、安全チェックコード305に送信元および送信先アドレスを備えるようにした場合、ブラックチャネル診断部131は、受信データが正しい送信元から送信されていることを確認することができる。なお、この場合、折り返し受信側の制御装置2は、ブラックチャネル診断部131で、正しい送信元のアドレスおよび自装置のアドレスを保持するようにする。また、安全チェックコード305にタイムスタンプを備えるようにした場合、ブラックチャネル診断部131は、セキュリティ対策データ301が適切なタイミングで折り返し受信側の制御装置2に到着したか否かを確認することができる。また安全チェックコード305にエラー検出符号を備えるようにした場合、ブラックチャネル診断部131は、ビットエラーの有無を確認することができる。   The black channel diagnosis unit 131 checks the safety confirmation data 306 of the passed safety data 302 (S114). Here, when the safety check code 305 of the safety data 302 is provided with a communication sequence number, the black channel diagnosis unit 131 determines whether or not the security countermeasure data 301 arrives at the control device 2 on the receiving side in an appropriate order. Can be confirmed. When the safety check code 305 is provided with a transmission source and a transmission destination address, the black channel diagnosis unit 131 can confirm that the received data is transmitted from the correct transmission source. In this case, the control device 2 on the return reception side causes the black channel diagnosis unit 131 to hold the correct transmission source address and the own device address. Further, when the safety check code 305 is provided with a time stamp, the black channel diagnosis unit 131 may confirm whether or not the security countermeasure data 301 has arrived at the control device 2 on the return reception side at an appropriate timing. it can. When the safety check code 305 is provided with an error detection code, the black channel diagnosis unit 131 can confirm the presence or absence of a bit error.

S114での安全確認データ306のチェック結果が正常ならば(S115でYes)、制御データ303を正しいデータと見做すこととし、制御処理部14で受信した制御データ303が制御処理に使用される(S116)。一方、安全確認データ306のチェック結果が異常ならば(S115でNo)、安全データ302は破棄する(S117)。   If the check result of the safety confirmation data 306 in S114 is normal (Yes in S115), the control data 303 is regarded as correct data, and the control data 303 received by the control processing unit 14 is used for control processing. (S116). On the other hand, if the check result of the safety confirmation data 306 is abnormal (No in S115), the safety data 302 is discarded (S117).

次に、折り返し送信側の制御装置1における送受信の際の動作について説明する。   Next, the operation at the time of transmission / reception in the control device 1 on the return transmission side will be described.

図8は、折り返し送信側の制御装置1のセキュリティ処理部12Aに備わる判定部121の処理フローの一例である。   FIG. 8 is an example of a processing flow of the determination unit 121 provided in the security processing unit 12A of the control device 1 on the return transmission side.

判定部121の役割は、折り返し送信側の制御装置1がDoS攻撃を受ける際の処理能力の枯渇を防ぐため、DoS攻撃の有無の判定と攻撃があった場合に受信制限を行うための制御をすることである。判定部121は、折り返し送信側の制御装置1の受信処理部111を監視し、受信処理部111が管理している受信数情報を定期的に取得している。なお、受信したデータは受信処理部111のキューに蓄えられており、受信処理部111は、そのデータ数の情報を受信数情報として管理している。判定部121は、取得した受信数情報から、前回取得時の値と今回の値の差分を計算し、監視周期(一定時間)内に受信したデータ数(受信数)を算出する(S121)。   The role of the determination unit 121 is to determine whether or not there is a DoS attack and to control reception when there is an attack in order to prevent the processing capability when the control device 1 on the return transmission side receives a DoS attack. It is to be. The determination unit 121 monitors the reception processing unit 111 of the control device 1 on the return transmission side, and periodically acquires the reception number information managed by the reception processing unit 111. The received data is stored in a queue of the reception processing unit 111, and the reception processing unit 111 manages information on the number of data as reception number information. The determination unit 121 calculates the difference between the previous acquisition value and the current value from the acquired reception number information, and calculates the number of data (reception number) received within the monitoring period (fixed time) (S121).

この算出値が所定の閾値以上の場合(S122でYes)、判定部121は通信I/F部11がDoS攻撃を受けていると見做し、受信処理部111に受信を制限するよう指示を送る(S123)。   When the calculated value is equal to or greater than the predetermined threshold (Yes in S122), the determination unit 121 considers that the communication I / F unit 11 is under a DoS attack and instructs the reception processing unit 111 to restrict reception. Send (S123).

この受信制限中にも判定部121は定周期(監視周期)で受信数を監視し、上記の算出値が閾値未満に収まった場合(S122でNo)、判定部121は通信I/F部11に対するDoS攻撃が収束したと判断し、受信処理部111での受信を許可する指令を出す(S124)。   Even during this reception restriction, the determination unit 121 monitors the number of receptions at a constant cycle (monitoring cycle), and when the calculated value falls below the threshold (No in S122), the determination unit 121 determines that the communication I / F unit 11 Is determined to have converged, and a command for permitting reception by the reception processing unit 111 is issued (S124).

なお、判定部121でのDoS攻撃の有無の判定手法としては、図8に示すような受信数と閾値を用いた手法以外に、受信処理部111やセキュリティ解除部122での処理負荷を取得し、その値について閾値を設け、同様の判定を行うことにより、DoS攻撃の有無を判定する手法を採用してもよい。   As a method for determining the presence or absence of a DoS attack in the determination unit 121, the processing load in the reception processing unit 111 or the security release unit 122 is acquired in addition to the method using the number of receptions and the threshold as illustrated in FIG. A method of determining the presence or absence of a DoS attack by providing a threshold value for the value and performing the same determination may be adopted.

図9は、折り返し送信側の制御装置1での受信フローを説明するフローチャートである。   FIG. 9 is a flowchart for explaining a reception flow in the control device 1 on the return transmission side.

まず、受信制限中でない場合(S201でNo)、折り返し送信側の制御装置1は、受信待ちの状態となっている(S202)。そして、折り返し受信側の制御装置2からセキュリティ対策データ301の受信があると、折り返し送信側の制御装置1のセキュリティ処理部12Aは、折り返し受信側の制御装置2から送信されてきたセキュリティ対策データ301を、受信処理部111から受信する(S203)。   First, when the reception is not restricted (No in S201), the control device 1 on the return transmission side is in a reception waiting state (S202). When the security countermeasure data 301 is received from the loopback receiving control device 2, the security processing unit 12A of the loopback transmitting control device 1 sends the security countermeasure data 301 transmitted from the loopback receiving control device 2. Is received from the reception processing unit 111 (S203).

そして、セキュリティ解除部122が、セキュリティ対策データ301に復号化等の保護解除処理を加えて安全データ302を生成する(S204)。   Then, the security release unit 122 adds a protection release process such as decryption to the security countermeasure data 301 to generate the safety data 302 (S204).

このとき、保護解除処理後の安全データ302が規定のフォーマットを維持していない場合、すなわち、安全データ302が正常でない場合(S205でNo)、セキュリティ解除部122は、この安全データ302についてセキュリティ異常ないし保護解除処理の失敗扱いとして、この安全データ302を破棄し、結果を異常ログに記録する(S207)。   At this time, when the safety data 302 after the protection cancellation processing does not maintain the prescribed format, that is, when the safety data 302 is not normal (No in S205), the security cancellation unit 122 performs security abnormality on the safety data 302. Alternatively, the safety data 302 is discarded as a failure handling of the protection release processing, and the result is recorded in the abnormality log (S207).

一方、安全データ302が規定のフォーマットを維持している場合、すなわち、安全データ302が正常である場合(S205でYes)、セキュリティ解除部122は、安全データ302をセーフティ処理部13に送る。   On the other hand, when the safety data 302 maintains the prescribed format, that is, when the safety data 302 is normal (Yes in S205), the security release unit 122 sends the safety data 302 to the safety processing unit 13.

セーフティ処理部13のブラックチャネル診断部131は、セキュリティ解除部122から受信した安全データ302中の安全確認データ306のチェックを行う(S206)。ここで、安全データ302の安全チェックコード305に通信シーケンス番号を備えるようにした場合、ブラックチャネル診断部131は、セキュリティ対策データ301が適切な順番で折り返し送信側の制御装置1に到着したか否かを確認することができる。また、安全チェックコード305に送信元および送信先アドレスを備えるようにした場合、ブラックチャネル診断部131は受信データが正しい送信元から送信されていることを確認することができる。なお、この場合、折り返し送信側の制御装置1は、ブラックチャネル診断部131で、正しい送信元のアドレスおよび自装置のアドレスを保持するようにする。また、安全チェックコード305にタイムスタンプを備えるようにした場合、ブラックチャネル診断部131は、セキュリティ対策データ301が適切なタイミングで折り返し送信側の制御装置1に到着したか否かを確認することができる。また安全チェックコード305にエラー検出符号を備えるようにした場合、ブラックチャネル診断部131は、ビットエラーの有無を確認することができる。   The black channel diagnosis unit 131 of the safety processing unit 13 checks the safety confirmation data 306 in the safety data 302 received from the security release unit 122 (S206). Here, when the safety check code 305 of the safety data 302 is provided with a communication sequence number, the black channel diagnosis unit 131 determines whether the security countermeasure data 301 arrives at the control device 1 on the return transmission side in an appropriate order. Can be confirmed. When the safety check code 305 is provided with a transmission source and a transmission destination address, the black channel diagnosis unit 131 can confirm that the received data is transmitted from the correct transmission source. In this case, the control device 1 on the return transmission side uses the black channel diagnosis unit 131 to hold the correct transmission source address and the own device address. Further, when the safety check code 305 is provided with a time stamp, the black channel diagnosis unit 131 may confirm whether or not the security countermeasure data 301 has arrived at the control device 1 on the return transmission side at an appropriate timing. it can. When the safety check code 305 is provided with an error detection code, the black channel diagnosis unit 131 can confirm the presence or absence of a bit error.

S206での安全確認データ306のチェック結果が正常ならば(S208でYes)、ブラックチャネル診断部131は、制御データ303を正しいデータと見做すこととし、安全データ302に含まれる制御データ303を制御処理部14に送信する。制御処理部14では、受信した制御データ303が制御処理に使用される(S209)。また、ブラックチャネル診断部131は、受信した安全データ302に含まれる折り返しデータ304を使用し、折り返し送信の準備に入る。一方、チェック結果が異常ならば(S208でNo)、ブラックチャネル診断部131は、安全データ302を破棄する(S210)。なお、制御データ303を使用できない状況では、制御処理部14は、制御データ303の前回値を用いるか、制御対象を安全停止させるように制御する。   If the check result of the safety confirmation data 306 in S206 is normal (Yes in S208), the black channel diagnosis unit 131 considers the control data 303 as correct data, and uses the control data 303 included in the safety data 302. It transmits to the control processing unit 14. In the control processing unit 14, the received control data 303 is used for control processing (S209). Further, the black channel diagnosis unit 131 uses the loopback data 304 included in the received safety data 302 and enters preparation for loopback transmission. On the other hand, if the check result is abnormal (No in S208), the black channel diagnosis unit 131 discards the safety data 302 (S210). In a situation where the control data 303 cannot be used, the control processing unit 14 controls to use the previous value of the control data 303 or to safely stop the control target.

なお、受信制限中の場合は(S201でYes)、処理は、図10のS211へ移行する。   If reception is being restricted (Yes in S201), the process proceeds to S211 in FIG.

図10は、折り返し送信側の制御装置1の折り返し送信フローを説明する図である。   FIG. 10 is a diagram for explaining a return transmission flow of the control device 1 on the return transmission side.

まず、制御処理部14が、送信用の(帰りの)制御データ303を生成し(S211)、ブラックチャネル送出部132が、セキュリティ処理部12Aから受信した最新の有効な(行きの)安全確認データ306から折り返しデータ304を抽出する(S212)。そして、ブラックチャネル送出部132は、制御処理部14が生成した制御データ303と、抽出した折り返しデータ304とから安全チェックコード305を生成し(S213)、この制御データ303と折り返しデータ304と安全チェックコード305とで折り返し送信用の(帰りの)安全データ302を完成させる。   First, the control processing unit 14 generates (return) control data 303 for transmission (S211), and the latest valid (outbound) safety confirmation data received by the black channel transmission unit 132 from the security processing unit 12A. Return data 304 is extracted from 306 (S212). Then, the black channel transmission unit 132 generates a safety check code 305 from the control data 303 generated by the control processing unit 14 and the extracted return data 304 (S213). The control data 303, the return data 304, and the safety check are generated. The code 305 is used to complete the safety data 302 for return transmission (return).

このとき、折り返し送信側の制御装置1が受信制限中の場合(S214でYes)、折り返しデータ304は適正な値とはなっていない。そこで、この場合、セキュリティ処置部123は、先に完成させた安全データ302中の折り返しデータ304の中身を遮断情報データ307に付け替え(S215)、制御データ303とこの遮断情報データ307から、安全チェックコード305を再生成し(S216)、折り返し送信用の安全データ302を完成させる。一方、折り返し送信側の制御装置1が受信制限中でない場合(S214でNo)、折り返しデータ304は適正な値であるので、先に完成させた安全データ302を用いることとする。   At this time, if the return-transmission-side control device 1 is receiving restriction (Yes in S214), the return data 304 is not an appropriate value. Therefore, in this case, the security processing unit 123 replaces the contents of the return data 304 in the previously completed safety data 302 with the blocking information data 307 (S215), and performs a safety check from the control data 303 and the blocking information data 307. The code 305 is regenerated (S216), and the safety data 302 for return transmission is completed. On the other hand, when the return transmission side control device 1 is not receiving restriction (No in S214), since the return data 304 is an appropriate value, the previously completed safety data 302 is used.

そしてセキュリティ処置部123は、完成させた安全データ302に暗号化等の保護処理を加えることでセキュリティ対策データ301を生成する(S217)。   Then, the security processing unit 123 generates the security countermeasure data 301 by adding a protection process such as encryption to the completed safety data 302 (S217).

生成された(帰りの)セキュリティ対策データ301は通信I/F部11の送信処理部112に送信され、この送信処理部112から折り返し受信側の制御装置2に送信する(S218)。   The generated (returned) security countermeasure data 301 is transmitted to the transmission processing unit 112 of the communication I / F unit 11, and is transmitted from the transmission processing unit 112 to the control device 2 on the return reception side (S218).

以上のように、折り返し送信側の制御装置1および折り返し受信側の制御装置2は動作する。以下では、折り返し送信側の制御装置1がDoS攻撃を受けた際の、折り返し送信側の制御装置1および折り返し受信側の制御装置2間の動作について説明する。   As described above, the control device 1 on the return transmission side and the control device 2 on the return reception side operate. Hereinafter, an operation between the control device 1 on the return transmission side and the control device 2 on the return reception side when the control device 1 on the return transmission side is subjected to the DoS attack will be described.

折り返し送信側の制御装置1がDoS攻撃を受けている場合、受信処理部111はDoS攻撃の攻撃用パケットにより、正規のセキュリティ対策データ301以外の受信データを大量に受信した状態にある。このとき折り返し送信側の制御装置1では、受信数が閾値以上となり、図8の判定部121の処理フローに示す処理により、折り返し送信側の制御装置1は、受信処理部111での受信制限を開始する。   When the control device 1 on the return transmission side is subjected to a DoS attack, the reception processing unit 111 is in a state where a large amount of received data other than the regular security countermeasure data 301 is received by a DoS attack attack packet. At this time, in the control device 1 on the return transmission side, the number of receptions is equal to or greater than the threshold value, and the control device 1 on the return transmission side restricts reception by the reception processing unit 111 by the processing shown in the processing flow of the determination unit 121 in FIG. Start.

受信制限中、折り返し送信側の制御装置1はセキュリティ対策データ301の受信を行わずに、図10の送信フローに示す処理により、折り返しデータ304の中身を遮断情報データ307に付け替えた(帰りの)セキュリティ対策データ301を生成し、折り返し受信側の制御装置2に送信する。   During reception restriction, the control device 1 on the return transmission side does not receive the security countermeasure data 301 and replaces the contents of the return data 304 with the blocking information data 307 by the process shown in the transmission flow of FIG. 10 (return). The security countermeasure data 301 is generated and transmitted to the control device 2 on the return reception side.

折り返し受信側の制御装置2は、図7の受信フローに示す処理により、安全データ302の折り返しデータ304の部分が遮断情報データ307であることを確認すると、すなわち、折り返し送信側の制御装置1が受信制限中であることを認識すると、セーフティ処理部13のブラックチャネル診断部131による故障検出を行わせないよう、データ置換部124が、受信した安全データ302に含まれている遮断情報データ307を、折り返しデータ保存部125で保存していた折り返しデータに付け替える。さらに、データ置換部124は、安全チェックコード305を、付け替えた折り返しデータ304に合わせて修正する。これにより、折り返し受信側の制御装置2は、折り返し送信側の制御装置1がDoS攻撃を受けている場合でも、従来ではこの制御装置1側の故障と検出してしまうセーフティ処理部13のブラックチャネル診断部131による故障検出を回避することができる。   The control device 2 on the return reception side confirms that the return data 304 portion of the safety data 302 is the blocking information data 307 by the processing shown in the reception flow of FIG. 7, that is, the control device 1 on the return transmission side When recognizing that the reception is being restricted, the data replacement unit 124 sets the blocking information data 307 included in the received safety data 302 so that the black channel diagnosis unit 131 of the safety processing unit 13 does not detect the failure. Then, the return data stored in the return data storage unit 125 is replaced. Further, the data replacement unit 124 corrects the safety check code 305 in accordance with the replaced folded data 304. As a result, the control device 2 on the return reception side can detect the black channel of the safety processing unit 13 that conventionally detects a failure on the control device 1 side even when the control device 1 on the return transmission side is under a DoS attack. Failure detection by the diagnosis unit 131 can be avoided.

したがって、折り返し送信側の制御装置1は、DoS攻撃により折り返し送信側の制御装置1が、折り返し受信側の制御装置2から送られたセキュリティ対策データ301を受信できずとも、折り返し受信側の制御装置2のブラックチャネル診断部131による故障検出を回避させるセキュリティ対策データ301を、折り返し受信側の制御装置2に対して送信することができる。   Accordingly, the control device 1 on the return transmission side can control the control device on the return reception side even if the control device 1 on the return transmission side cannot receive the security countermeasure data 301 sent from the control device 2 on the return reception side due to the DoS attack. The security countermeasure data 301 for avoiding failure detection by the second black channel diagnosis unit 131 can be transmitted to the control device 2 on the return reception side.

また、折り返し送信側の制御装置1や、折り返し送信側の制御装置1と折り返し受信側の制御装置2間の通信路が、物理的・電気的に異常となった場合は、図7の受信フローに示す処理によりセキュリティ異常あるいは安全性異常を検出することにより、不正なまたは誤った制御データ303が制御処理部14で制御に使用されることを避けることができる。   If the communication path between the loopback transmission side control device 1 or the loopback transmission side control device 1 and the loopback reception side control device 2 becomes physically and electrically abnormal, the reception flow of FIG. By detecting the security abnormality or the safety abnormality by the process shown in FIG. 8, it is possible to avoid using the control processing unit 14 with the incorrect or incorrect control data 303.

前述のように、従来は、本実施形態におけるような制御装置にセーフティ機能とセキュリティ機能を共存させた場合、DoS攻撃からの保護機能による返信された折り返しデータ304の不良を通信相手側の故障として検出することによって、制御システムの可用性が損なわれる問題があった。この問題に対して、本実施形態にかかる制御システムは、正常動作ではあるが上記問題となる検出を避けるための処理機能を、制御装置(1、2)がそのセキュリティ処理部(12A、12B)側に備えるので、安全性を担保するため変更を加えることが好ましくないセーフティ処理部13側の構成に変更を加える必要がなく、かつ、DoS攻撃を受けた場合でも可用性を損なわずにセキュリティ機能とセーフティ機能の両方を実現することが可能となる。   As described above, conventionally, when the safety function and the security function coexist in the control device as in the present embodiment, the failure of the return data 304 returned by the protection function from the DoS attack is regarded as a failure on the communication partner side. There is a problem that the availability of the control system is impaired by the detection. In response to this problem, the control system according to the present embodiment has a processing function for avoiding the detection that causes the above problem, although the control device (1, 2) has a security processing unit (12A, 12B). The security function is not required to be changed in order to ensure safety, and it is not necessary to change the configuration on the safety processing unit 13 side. Both safety functions can be realized.

(第2の実施形態)
次に、第2の実施形態に係る制御システムについて、図面を参照して説明する。なお、前述の第1の実施形態で説明した構成と共通する部分については同一の符号を用いその説明は省略する。 (Second Embodiment)
Next, a control system according to a second embodiment will be described with reference to the drawings. In addition, the same code | symbol is used about the part which is common in the structure demonstrated in the above-mentioned 1st Embodiment, and the description is abbreviate | omitted.

図11は、本実施形態に係る制御システムのシステム構成を示す図である。   FIG. 11 is a diagram illustrating a system configuration of a control system according to the present embodiment.

前述の第1の実施形態に係る制御システムは、折り返し送信側の制御装置1と折り返し受信側の制御装置2によって構成されたが、本実施形態では、図11に示すように、2台の折り返し受信・送信兼用の制御装置3が相互に接続された構成を採る。つまり、本実施形態に係る制御システムは、折り返し受信・送信兼用の制御装置3の一種類の制御装置を用いて構成される。   The control system according to the first embodiment described above is configured by the control device 1 on the return transmission side and the control device 2 on the return reception side, but in this embodiment, as shown in FIG. A configuration is adopted in which control devices 3 for both reception and transmission are connected to each other. That is, the control system according to the present embodiment is configured using one type of control device for the loopback reception / transmission control device 3.

図12は、本実施形態に係る折り返し受信・送信兼用の制御装置3の基本構成を示すブロック図である。   FIG. 12 is a block diagram showing a basic configuration of the loopback reception / transmission control apparatus 3 according to the present embodiment.

図12に示す折り返し受信・送信兼用の制御装置3は、セキュリティ処理部12Cに、判定部121、セキュリティ解除部122、セキュリティ処置部123、データ置換部124、および、折り返しデータ保存部125を備えることにより、前述の折り返し送信側の制御装置1と折り返し受信側の制御装置2に備わる全ての構成要素を内包するものとなっている。この制御装置3の各構成要素の機能および個別の動作は、第1の実施形態の同一符号が示すそれと同様である。   The loopback reception / transmission control device 3 shown in FIG. 12 includes a determination unit 121, a security release unit 122, a security treatment unit 123, a data replacement unit 124, and a loopback data storage unit 125 in the security processing unit 12C. Thus, all the components included in the control device 1 on the return transmission side and the control device 2 on the return reception side are included. Functions and individual operations of each component of the control device 3 are the same as those indicated by the same reference numerals in the first embodiment.

第1の実施形態においては、折り返し受信側の制御装置2の送信、折り返し送信側の制御装置1の受信、折り返し送信側の制御装置1の折り返し送信、折り返し受信側の制御装置2の折り返し受信の順に、これらの送受信が実行される。一方、本実施形態では、2台の折り返し受信・送信兼用の制御装置3の何れもが、上記送信、受信、折り返し送信、折り返し受信の能力を有する。本実施形態では、この構成をとったことにより、1台目の折り返し受信・送信兼用の制御装置3の送信、2台目の折り返し受信・送信兼用の制御装置3の受信、2台目の折り返し受信・送信兼用の制御装置3の折り返し送信、1台目の折り返し受信・送信兼用の制御装置3の受信の順に、第1の実施形態で前述した一連の送受信フローが実行される。1台目と2台目の折り返し受信・送信兼用の制御装置3は、互いに送受信役を交換することができるため、一定の時間内に1台目の折り返し受信・送信兼用の制御装置3の送信から始まる送受信フローと、2台目の折り返し受信・送信兼用の制御装置3の送信から始まる送受信フローの双方が実行可能である。   In the first embodiment, transmission of the loop receiving side control device 2, reception of the loop back transmission side control device 1, loop back transmission of the loop back transmission side control device 1, and loop back reception of the loop back reception side control device 2 are performed. These transmissions and receptions are executed in order. On the other hand, in this embodiment, each of the two loopback reception / transmission control devices 3 has the transmission, reception, loopback transmission, and loopback reception capabilities. In this embodiment, by adopting this configuration, transmission of the first loopback reception / transmission control device 3 is received, reception of the second loopback reception / transmission control device 3 is received, and second loopback is performed. The series of transmission / reception flows described above in the first embodiment are executed in the order of loopback transmission of the control device 3 for both reception and transmission and reception of the first loopback reception / transmission control device 3. Since the first and second loopback reception / transmission control devices 3 can exchange the transmission / reception roles with each other, the transmission of the first loopback reception / transmission control device 3 within a certain period of time. The transmission / reception flow starting from the transmission and the transmission / reception flow starting from the transmission of the second loopback reception / transmission control device 3 can be executed.

ここで、折り返し受信・送信兼用の制御装置3が、DoS攻撃を受けた際の、2台の制御装置3の間の動作について説明する。   Here, the operation between the two control devices 3 when the loop reception / transmission control device 3 receives a DoS attack will be described.

何れの折り返し受信・送信兼用の制御装置3がDoS攻撃を受けた場合でも、この攻撃を受けた側の折り返し受信・送信兼用の制御装置3は、前述の第1の実施形態の折り返し送信側の制御装置1と同様に、折り返しデータ304の中身を遮断情報データ307に付け替えて、セキュリティ対策データ301をもう1台の折り返し受信・送信兼用の制御装置3に送信する。もう1台の折り返し受信・送信兼用の制御装置3は、第1の実施形態の折り返し受信側の制御装置2と同様に、受信データに含まれる折り返しデータ304の部分が遮断情報データ307であることを認識すると、通信相手の折り返し受信・送信兼用の制御装置3がDoS攻撃により自発的に受信制限を行っていることを認識し、折り返しデータ304の付け替えを行ってブラックチャネル診断部131による故障検出を回避する。   Regardless of which loopback reception / transmission control device 3 is subjected to a DoS attack, the loopback reception / transmission control device 3 on the side that has received this attack is the loopback transmission side of the first embodiment. Similar to the control device 1, the contents of the return data 304 are replaced with the blocking information data 307, and the security countermeasure data 301 is transmitted to the other control device 3 for return reception / transmission. In the other loopback reception / transmission control apparatus 3, the loopback data 304 included in the received data is the blocking information data 307, as in the loopback reception-side control apparatus 2 of the first embodiment. Is recognized, the control device 3 for returning reception / transmission of the communication partner voluntarily restricts reception due to the DoS attack, and the failure detection by the black channel diagnosis unit 131 is performed by replacing the return data 304. To avoid.

以上に説明したように、本実施形態では、相互に接続された折り返し受信・送信兼用の制御装置3がそれぞれ、第1の実施形態で説明した送信、受信、折り返し送信、および、折り返し受信を行うことができ、折り返しデータ304の付替え(折り返し送信側となっている折り返し受信・送信兼用の制御装置3での遮断情報データ307への付替え、折り返し受信側となっている折り返し受信・送信兼用の制御装置3での元の折り返しデータ304への付替え)を行う機能、通信相手側での受信制限を認識する機能を有する。これにより、何れの折り返し受信・送信兼用の制御装置3がDoS攻撃を受けた場合でも、もう一方の折り返し受信・送信兼用の制御装置3が被攻撃装置の受信制限を認識しブラックチャネル診断部131による故障検出を回避することができる。つまり、従来のセーフティ機能とセキュリティ機能とを制御装置に共存させた場合の、DoS攻撃からの保護機能による折り返しデータ不良を故障として検出してしまい、システムの可用性が損なわれる問題に対して、本実施形態は、第1の実施形態における効果に加え、何れの折り返し受信・送信兼用の制御装置3がDoS攻撃を受けても、システムの可用性を損なわずにセキュリティとセーフティの機能の両方を実現することが可能となる効果を有する。   As described above, in this embodiment, the mutually connected loopback reception / transmission control devices 3 perform the transmission, reception, loopback transmission, and loopback reception described in the first embodiment, respectively. The return data 304 can be replaced (returned reception side / transmission side of the return reception side / transmission control device 3 on the return transmission side, and the return reception side / transmission side return side can also be used. (Replacement to original loopback data 304) in the control device 3 and a function of recognizing reception restrictions on the communication partner side. As a result, regardless of which loopback reception / transmission control device 3 is subjected to a DoS attack, the other loopback reception / transmission control device 3 recognizes the reception restriction of the attacked device, and the black channel diagnosis unit 131. Failure detection due to can be avoided. In other words, when the conventional safety function and security function coexist in the control device, the loopback data failure due to the protection function from the DoS attack is detected as a failure, and the system availability is impaired. In addition to the effects of the first embodiment, the embodiment realizes both security and safety functions without impairing the availability of the system even if any loopback reception / transmission control device 3 is subjected to a DoS attack. It has the effect that becomes possible.

(第3の実施形態)
次に、第3の実施形態に係る制御システムについて、図面を参照して説明する。なお、前述の第1の実施形態および第2の実施形態で説明した構成と共通する部分については同一の符号を用い、その説明は省略する。 (Third embodiment)
Next, a control system according to a third embodiment will be described with reference to the drawings. In addition, the same code | symbol is used about the part which is common in the structure demonstrated in the above-mentioned 1st Embodiment and 2nd Embodiment, The description is abbreviate | omitted.

図13は、本実施形態に係る制御システムのシステム構成を示す図である。   FIG. 13 is a diagram illustrating a system configuration of a control system according to the present embodiment.

本実施形態では、折り返し送信側の制御装置1と折り返し受信側の制御装置2は1対多、あるいは多対多の関係で接続される構成を採る。また、図13に示す折り返し送信側の制御装置1と折り返し受信側の制御装置2の代わりに、第2の実施形態における折り返し受信・送信兼用の制御装置3を用いた構成をとることも可能である。   In the present embodiment, the control device 1 on the return transmission side and the control device 2 on the return reception side are connected in a one-to-many or many-to-many relationship. Further, instead of the loopback transmission side control device 1 and the loopback reception side control device 2 shown in FIG. 13, it is possible to adopt a configuration using the loopback reception / transmission control device 3 in the second embodiment. is there.

図14は、本実施形態において、折り返し送信側の制御装置1と折り返し受信側の制御装置2を用いて構成する場合の折り返し受信側の制御装置2の基本構成を示すブロック図である。   FIG. 14 is a block diagram illustrating a basic configuration of the loopback reception side control device 2 in the present embodiment when configured using the loopback transmission side control device 1 and the loopback reception side control device 2.

図14に示す構成では、折り返し受信側の制御装置2は、前述の第1の実施形態における構成に加え、折り返しデータ保存部125の内部にクライアントDB部126を備える構成とする。   In the configuration illustrated in FIG. 14, the control device 2 on the return reception side includes a client DB unit 126 inside the return data storage unit 125 in addition to the configuration in the first embodiment described above.

図15は、本実施形態において、折り返し受信・送信兼用の制御装置3を用いて構成する場合の制御装置3の基本構成を示すブロック図である。   FIG. 15 is a block diagram showing a basic configuration of the control device 3 in the case where the control device 3 is configured to be used for loopback reception / transmission in the present embodiment.

図15に示す構成では、折り返し受信・送信兼用の制御装置3は、前述の第2の実施形態における構成に加え、本実施形態における上記の折り返し受信側の制御装置2と同様に、折り返しデータ保存部125の内部にクライアントDB部126を備える構成とする。   In the configuration shown in FIG. 15, the loopback reception / transmission control device 3 stores loopback data in the same manner as the loopback reception side control device 2 in the present embodiment, in addition to the configuration in the second embodiment described above. It is assumed that the client DB unit 126 is provided inside the unit 125.

ここで、本実施形態における折り返し受信側の制御装置(2または3)の機能および動作について説明する。   Here, functions and operations of the control device (2 or 3) on the return reception side in the present embodiment will be described.

基本的な動作は、図5を用いて前述した送信フローおよび図7を用いて前述した受信フローに準じた動作となる。ただし、本実施形態では、折り返し受信側となっている制御装置(2または3)の送信相手となる折り返し送信側となる制御装置(1または3)が、単一ではなく複数となる。そこで、本実施形態では、安全確認データ306中の折り返しデータ304は、全ての送信相手の制御装置(1または3)に対して共通のデータとはせず、送信相手の制御装置(1または3)毎に別々の折り返しデータ304を用意する(もちろん、折り返しデータ304として共通のデータを用いることもできる)。そして、セキュリティ処理部(12B、12C)の折り返しデータ保存部125では、図5のS103で安全確認データ306中の折り返しデータ304を安全データ302と関連付けて保存する際、図7のS112で行う折り返しデータ304の付け替え用に、さらに送信相手毎に安全データ302と関連付けて、折り返しデータ保存部125の内部に備えたクライアントDB部126に保存するようにする。ここでは、図16に例示するように、IPアドレス等の送信先識別情報と、通信シーケンス番号等の安全データ識別情報と、安全確認データ306中の折り返しデータ304とが対応付けられて保存される。なお、送信相手である折り返し送信側となる制御装置(1または3)毎の別々の折り返しデータ304を添付した送信データの送信は、ピアtoピアの送信となる(共通の折り返しデータ304を用いる場合は、ブロードキャストも可能である)。   The basic operation is the same as the transmission flow described above with reference to FIG. 5 and the reception flow described above with reference to FIG. However, in the present embodiment, the control device (1 or 3) serving as the return transmission side of the control device (2 or 3) serving as the return reception side is not a single but a plurality of control devices (1 or 3). Therefore, in this embodiment, the loopback data 304 in the safety confirmation data 306 is not common data to all the transmission partner control devices (1 or 3), but is the transmission partner control device (1 or 3). ) To prepare separate return data 304 (of course, common data can be used as the return data 304). Then, when the return data storage unit 125 of the security processing unit (12B, 12C) stores the return data 304 in the safety confirmation data 306 in association with the safety data 302 in S103 of FIG. 5, the return is performed in S112 of FIG. In order to replace the data 304, each transmission partner is further associated with the safety data 302 and stored in the client DB unit 126 provided in the return data storage unit 125. Here, as illustrated in FIG. 16, transmission destination identification information such as an IP address, safety data identification information such as a communication sequence number, and loopback data 304 in the safety confirmation data 306 are stored in association with each other. . It should be noted that transmission of transmission data attached with separate loopback data 304 for each control device (1 or 3) on the loopback transmission side that is the transmission partner is peer-to-peer transmission (in the case of using common loopback data 304). Broadcast is also possible).

クライアントDB部126に保存された折り返しデータ304は、図7に示す受信フローのS112で、データ置換部124が、安全データ302の折り返しデータ304の部分に入っている遮断情報データ307を、先に折り返しデータ保存部125のクライアントDB部126が保存していた折り返しデータに付け替える際に利用される。この置換の際は、データ置換部124は、遮断情報データ307を折り返しデータへ置換する際、折り返し送信してきた送信相手に対応する、クライアントDB部126で保存されている送信相手毎の折り返しデータを用いる。   The return data 304 stored in the client DB unit 126 is the data received by the data replacement unit 124 in step S112 of the reception flow shown in FIG. This is used when replacing the return data stored in the client DB unit 126 of the return data storage unit 125. At the time of this replacement, the data replacement unit 124 replaces the return data for each transmission partner stored in the client DB unit 126 corresponding to the transmission partner that has transmitted the return by replacing the blocking information data 307 with the return data. Use.

以上に説明したように、本実施形態における折り返し送信側の制御装置1と折り返し受信側の制御装置2、あるいは折り返し受信・送信兼用の制御装置3は、通信相手の制御装置毎に別々の折り返しデータ304を保持し、通信相手となる制御装置毎に、送信する送信データに必要に応じた別々の折り返しデータを付与することができる。このことから、本実施形態では、1対多、あるいは多対多の接続構成において、通信相手の制御装置毎に個別の機能安全性に係る異常および故障の診断を実施することが可能となる。また、1対多、あるいは多対多の接続構成において、制御システムとして多用な用途への適用が容易になるとともに、システム規模の増大による異常および故障の診断機能の精度低下を防ぐことが可能となる。また、本実施形態に係る制御システムが、第1の実施形態および第2の実施形態に係る制御システムが有する効果をもつことは言うまでもない。   As described above, the control device 1 on the return transmission side and the control device 2 on the return reception side, or the control device 3 for return reception / transmission in the present embodiment have different return data for each control device of the communication partner. 304 is held, and for each control device that is a communication partner, it is possible to give separate return data as necessary to the transmission data to be transmitted. Therefore, in the present embodiment, it is possible to diagnose abnormality and failure related to individual functional safety for each control device of the communication partner in a one-to-many or many-to-many connection configuration. In addition, in a one-to-many or many-to-many connection configuration, it can be easily applied to various uses as a control system, and it is possible to prevent deterioration in accuracy of abnormality and failure diagnosis functions due to an increase in system scale. Become. Needless to say, the control system according to the present embodiment has the effects of the control systems according to the first and second embodiments.

以上説明したとおり、第1から第3の実施形態によれば、DoS攻撃に対処するため意図的な受信制限を行うとき、フィードバック診断による故障検出を行わせないようにすることで、被攻撃時においても制御システムとしての可用性を維持しつつ、機能安全性(セーフティ)のためのフィードバック診断を含む診断機能とセキュリティのためのDoS攻撃対策機能の双方を両立させることができる。   As described above, according to the first to third embodiments, when intentional reception restriction is performed in order to cope with a DoS attack, failure detection by feedback diagnosis is not performed, so that an attack is not performed. However, while maintaining the availability as a control system, both a diagnostic function including a feedback diagnosis for functional safety and a DoS attack countermeasure function for security can be made compatible.

本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。例えば、上述の第1の実施形態において、折り返し送信側の制御装置1を第2の実施形態における折り返し受信・送信兼用の制御装置3に置き換えることも可能であり、折り返し受信側の制御装置2を第2の実施形態における折り返し受信・送信兼用の制御装置3に置き換えることも可能である。また、上述の第2の実施形態において、折り返し送信側となる折り返し受信・送信兼用の制御装置3を第1の実施形態における折り返し送信側の制御装置1に置き換えることも可能であり、折り返し受信側となる折り返し受信・送信兼用の制御装置3を第1の実施形態における折り返し受信側の制御装置2に置き換えることも可能である。また、各実施形態において通信I/F部11およびセキュリティ処理部(12A、12B、12C)を別の機能部として記述しているが、同一の機能部として構成することも可能である。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。   Although several embodiments of the present invention have been described, these embodiments are presented by way of example and are not intended to limit the scope of the invention. These novel embodiments can be implemented in various other forms, and various omissions, replacements, and changes can be made without departing from the scope of the invention. For example, in the first embodiment described above, the control device 1 on the return transmission side can be replaced with the control device 3 for both return reception and transmission in the second embodiment. It is also possible to replace the control device 3 for both loopback reception and transmission in the second embodiment. In the second embodiment described above, the loopback reception / transmission control device 3 serving as the loopback transmission side can be replaced with the loopback transmission side control device 1 in the first embodiment. It is also possible to replace the loopback reception / transmission control device 3 with the control device 2 on the loopback reception side in the first embodiment. In each embodiment, the communication I / F unit 11 and the security processing unit (12A, 12B, 12C) are described as separate functional units, but may be configured as the same functional unit. These embodiments and modifications thereof are included in the scope and gist of the invention, and are included in the invention described in the claims and the equivalents thereof.

1 (折り返し送信側)制御装置
2 (折り返し受信側)制御装置
3 (折り返し受信・送信兼用)制御装置
11 通信I/F部
12A、12B、12C セキュリティ処理部
13 セーフティ処理部
14 制御処理部
111 受信処理部
112 送信処理部
121 判定部
122 セキュリティ解除部
123 セキュリティ処置部
124 データ置換部
125 折り返しデータ保存部
126 クライアントDB部
131 ブラックチャネル診断部
132 ブラックチャネル送出部 DESCRIPTION OF SYMBOLS 1 (Return transmission side) Control apparatus 2 (Return reception side) Control apparatus 3 (Return reception / transmission combined use) Control apparatus 11 Communication I / F part 12A, 12B, 12C Security processing part 13 Safety processing part 14 Control processing part 111 Reception Processing unit 112 Transmission processing unit 121 Judgment unit 122 Security cancellation unit 123 Security treatment unit 124 Data replacement unit 125 Returned data storage unit 126 Client DB unit 131 Black channel diagnosis unit 132 Black channel transmission unit

Claims (8)

外部装置との通信処理を行う通信インタフェース部、
サービス不能攻撃の有無を判定し、サービス不能攻撃を検出した場合、前記通信インタフェース部に受信制限を実施させるとともに、セキュリティ処置部に受信制限を行っていることを示す遮断情報データの送信データへの添付を指示する判定部と、
前記判定部からの指示に従い、送信時にセーフティ処理部からの送信データに対し、前記外部装置からの受信データ中に含まれこの外部装置に送り返す折り返しデータを前記遮断情報データへ付け替えるセキュリティ処置部と、
を有するセキュリティ処理部、および、
受信データに含まれる所定のデータを基に、該受信データの完全性をチェックするためのブラックチャネル診断を実施するブラックチャネル診断部と、
前記外部装置への送信データに対し、前記折り返しデータを含む、ブラックチャネル診断のための所定のデータを添付し、前記セキュリティ処置部に渡すブラックチャネル送出部と、
を有するセーフティ処理部、
を備える制御装置。 A communication interface unit that performs communication processing with an external device,
When a denial of service attack is determined and a denial of service attack is detected, the communication interface unit performs reception restriction, and the security treatment unit performs reception restriction. A determination unit for instructing attachment;
In accordance with an instruction from the determination unit, a security processing unit that replaces return data that is included in received data from the external device and sent back to the external device with respect to transmission data from the safety processing unit at the time of transmission,
A security processing unit, and
A black channel diagnosis unit that performs black channel diagnosis for checking the integrity of the received data based on predetermined data included in the received data;
A black channel sending unit that attaches predetermined data for black channel diagnosis, including the loopback data, to the transmission data to the external device, and passes it to the security treatment unit,
A safety processing section,
A control device comprising: 外部装置との通信処理を行う通信インタフェース部、
受信データに含まれる所定のデータを基に、該受信データの完全性をチェックするためのブラックチャネル診断を実施するブラックチャネル診断部と、
前記外部装置への送信データに対し、前記外部装置に送り返させる折り返しデータを含む、ブラックチャネル診断のための所定のデータを添付し、セキュリティ処置部に渡すブラックチャネル送出部と、
を有するセーフティ処理部、および、
前記外部装置への送信時に、前記ブラックチャネル送出部から渡された送信データ中の折り返しデータを保存する折り返しデータ保存部と、
折り返し送信側となっている前記外部装置からの受信データ中の折り返しデータ部分が、受信制限を行っていることを示す遮断情報データである場合、前記ブラックチャネル診断部へ渡すデータに対し、この遮断情報データを前記折り返しデータ保存部で保存している折り返しデータに置換するとともに、置換後のデータを用いて、ブラックチャネル診断で用いる所定のデータを修正するデータ置換部と、
を有するセキュリティ処理部、
を備える制御装置。 A communication interface unit that performs communication processing with an external device,
A black channel diagnosis unit that performs black channel diagnosis for checking the integrity of the received data based on predetermined data included in the received data;
A black channel sending unit that attaches predetermined data for black channel diagnosis, including return data to be sent back to the external device, with respect to transmission data to the external device,
A safety processing unit having, and
A loopback data storage unit that stores loopback data in transmission data passed from the black channel transmission unit during transmission to the external device;
When the loopback data portion in the received data from the external device on the loopback transmission side is blocking information data indicating that reception is restricted, this blocking is performed on the data to be passed to the black channel diagnostic unit. A data replacement unit that replaces the information data with the loopback data stored in the loopback data storage unit, and uses the data after the replacement to correct predetermined data used in the black channel diagnosis;
A security processing unit,
A control device comprising: 前記セキュリティ処理部は、
前記外部装置への送信時に、前記ブラックチャネル送出部から渡された送信データ中の折り返しデータを保存する折り返しデータ保存部と、
折り返し送信側となっている前記外部装置からの受信データ中の折り返しデータ部分が前記遮断情報データである場合、この遮断情報データを前記折り返しデータ保存部で保存している折り返しデータに置換するとともに、前記ブラックチャネル診断部で用いる前記所定のデータを修正するデータ置換部と、
をさらに有する請求項1に記載の制御装置。 The security processing unit
A loopback data storage unit that stores loopback data in transmission data passed from the black channel transmission unit during transmission to the external device;
When the loopback data portion in the received data from the external device that is the loopback transmission side is the blocking information data, the blocking information data is replaced with the loopback data stored in the loopback data storage unit, A data replacement unit for correcting the predetermined data used in the black channel diagnosis unit;
The control device according to claim 1, further comprising: 前記判定部は、前記通信インタフェース部での受信データ数を監視し、この受信データ数が一定時間内に予め規定された閾値を超えた場合、前記通信インタフェース部に対する受信制限の指示を行い、前記受信データ数が前記閾値以下の場合は、前記通信インタフェース部に対し前記受信制限を解除する指示を行う、請求項1または請求項3に記載の制御装置。   The determination unit monitors the number of received data in the communication interface unit, and when the number of received data exceeds a predetermined threshold value within a predetermined time, instructs the communication interface unit to limit reception, 4. The control device according to claim 1, wherein when the number of received data is equal to or less than the threshold value, the control device instructs the communication interface unit to release the reception restriction. 前記折り返しデータ保存部は、折り返し受信側となる複数の送信相手毎の別々の折り返しデータを保存し、
前記データ置換部は、前記遮断情報データの折り返しデータへの置換を行う際、折り返し送信してきた送信相手に対応する、前記折り返しデータ保存部で保存されている送信相手毎の折り返しデータを用いる、
請求項2または請求項3に記載の制御装置。 The return data storage unit stores separate return data for each of a plurality of transmission partners on the return reception side,
The data replacement unit uses the loopback data for each transmission partner stored in the loopback data storage unit corresponding to the transmission partner that transmitted the loopback when replacing the blocking information data with loopback data.
The control device according to claim 2 or claim 3. 前記セキュリティ処理部は、セキュリティに係る保護処理が施された受信データから当該保護を解除するセキュリティ解除部をさらに有し、
前記セキュリティ処置部は、
送信時に送信データに対し、セキュリティに係る保護処理を施す、
請求項1から請求項5のいずれか1項に記載の制御装置。 The security processing unit further includes a security release unit that releases the protection from received data subjected to security protection processing;
The security treatment unit
Apply security protection processing to the transmitted data during transmission.
The control device according to any one of claims 1 to 5. 前記所定のデータは、通信シーケンス番号、送信元および送信先アドレス、タイムスタンプ、エラー検出符号のいずれか又は複数種の情報を含む、請求項1から請求項6のいずれか1項に記載の制御装置。   The control according to any one of claims 1 to 6, wherein the predetermined data includes any one of a communication sequence number, a transmission source and transmission destination address, a time stamp, an error detection code, or a plurality of types of information. apparatus. 1または複数の折り返し送信側としての請求項1または請求項3に記載の制御装置と、折り返し受信側としての請求項2または請求項3に記載の制御装置とから構成される制御システム。   A control system comprising: the control device according to claim 1 or 3 as one or a plurality of return transmission sides; and the control device according to claim 2 or 3 as a return reception side.
JP2016109259A 2016-05-31 2016-05-31 Control apparatus and control system Pending JP2017215788A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016109259A JP2017215788A (en) 2016-05-31 2016-05-31 Control apparatus and control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016109259A JP2017215788A (en) 2016-05-31 2016-05-31 Control apparatus and control system

Publications (1)

Publication Number Publication Date
JP2017215788A true JP2017215788A (en) 2017-12-07

Family

ID=60577057

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016109259A Pending JP2017215788A (en) 2016-05-31 2016-05-31 Control apparatus and control system

Country Status (1)

Country Link
JP (1) JP2017215788A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020158227A1 (en) * 2019-01-30 2020-08-06 オムロン株式会社 Controller system, control unit, and control program
US12524537B2 (en) 2021-02-19 2026-01-13 Hitachi Astemo, Ltd. Electronic control system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020158227A1 (en) * 2019-01-30 2020-08-06 オムロン株式会社 Controller system, control unit, and control program
JP2020123104A (en) * 2019-01-30 2020-08-13 オムロン株式会社 Controller system, control unit, and control program
JP7251171B2 (en) 2019-01-30 2023-04-04 オムロン株式会社 Controller system, control unit and control program
US12093408B2 (en) 2019-01-30 2024-09-17 Omron Corporation Controller system, control unit, and non-transitory computer readable medium
US12524537B2 (en) 2021-02-19 2026-01-13 Hitachi Astemo, Ltd. Electronic control system

Similar Documents

Publication Publication Date Title
KR101593168B1 (en) Physical one direction communication device and method thereof
US11251898B2 (en) Device and method for the unidirectional transmission of data
KR102603512B1 (en) Method and device for preventing manipulation on a CAN bus using nodes connected to the bus by a CAN controller
US20050165939A1 (en) System, communication network and method for transmitting information
EP2641358B1 (en) Electronic device for communication in a data network including a protective circuit for identifying unwanted data
US20130305347A1 (en) Methods, Systems, and Computer Readable Media for Adaptive Assignment of an Active Security Association Instance in a Redundant Gateway Configuration
CN107852415B (en) Method and apparatus for non-reactive transfer of data between networks
US11689543B2 (en) System and method for detecting transmission of a covert payload of data
JP2017103677A (en) Control device
US20170118230A1 (en) Communication system, control device, and control method
EP1954005A1 (en) Method and system for processing network communication
JP2008278357A (en) Communication line disconnecting apparatus
JP2017215788A (en) Control apparatus and control system
KR101380015B1 (en) Collaborative Protection Method and Apparatus for Distributed Denial of Service
KR102067186B1 (en) Apparatus for supporting communication between seperate networks and method for the same
EP2680502B1 (en) Network based on data transmission with time slots
JP5520741B2 (en) Communication device
US20150180604A1 (en) Unidirectional multicast system
US11489865B2 (en) Control device, communication system, control method, and computer program
JP3850841B2 (en) Method and apparatus for monitoring safe transmission of data packet
CN114600424B (en) Security system, method, and computer-readable storage medium for filtering data traffic
JP5028202B2 (en) Control network system
KR101804633B1 (en) Apparatus and method for processing communication packet
US20180234334A1 (en) Redirecting flow control packets
KR102029985B1 (en) Data delivery method using multipath and duplicated packet

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20170911

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20170912