3.3 フレームワークとアプリケーションの動作
3.3.4 プロコンからコントローラへのデータアクセス
要件定義書の 2.2.4 プロコンからコントローラへのデータアクセス には、プロコンか らデータサーバを経由したコントローラへのデータアクセスと、ホストコンピュータとプ ロコンの間におけるデータのやり取りが説明されている。プロコンからコントローラへの データアクセスは、本書の3.3.2 オペコンからコントローラへのデータアクセス の解説に おけるオペコンをプロコンに置きかえれば、処理の流れは同じである。
情報系LANに接続するホストコンピュータと制御系情報LANに接続するプロコンの間 では、双方の機器からデータが送信される(図 17)。ホストコンピュータはプロコンに生 産管理等の情報を送出する。プロコンはプラントの運転データをホストコンピュータに送 出する。
32 32 32 32
情報系LAN 情報系LAN情報系LAN 情報系LAN
制御系情報LAN 制御系情報LAN 制御系情報LAN 制御系情報LAN
プロコン
ホストコンピュータ
ユーザ アプリケーション
(ホストコン ピュータ用)
プラントの 運転データ
生産管理等の情報 ホストコンピュータのユーザ
アプリケーション
ユーザ アプリケーション
(DCS用)
データ アクセス クライアント
送出
送出
制御系保護専用 ファイアウォール
データサーバを経由 してコントローラの データにアクセス コントローラへの
データアクセス
図17 プロコンとホストコンピュータ間の通信
ホストコンピュータは制御系保護専用ファイアウォールの外側にあり、フレームワーク を搭載していない。ホストコンピュータと制御系保護専用ファイアウォール間の通信を、
汎用のセキュリティ機能であるVPN(Virtual Private Network)を使用してセキュアにする 構成を図18示す。
VPNは、機器の間をトンネル化することにより仮想的な専用ネットワークを構築する。
図18では、ホストコンピュータと制御系保護専用ファイアウォールの情報系 LAN 側の通
信がVPNによりトンネル化されている。このトンネルを通る通信は、VPNにより秘匿す ることができる。ホストコンピュータと制御系保護専用ファイアウォール間は VPN が保 護し、制御系保護専用ファイアウォールとプロコン間はフレームワークが保護する。この 結果、ホストコンピュータとプロコンの間の通信は、経路のすべてでセキュアになる。
情報系LAN 情報系LAN情報系LAN 情報系LAN
制御系情報LAN 制御系情報LAN制御系情報LAN 制御系情報LAN データサーバを経由して
コントローラのデータに アクセス(フレームワー クが保護)
プロコン
制御系保護専用 ファイアウォール ホスト
コンピュータ VPN
フレームワーク フレームワーク
VPN トンネル化
VPNが保護
フレームワークが保護
図18 VPNとフレームワーク
33 33 33 33
ホストコンピュータからプロコンへの通信は、図19の(a)から(h)の順に行われる。
(a) ホストコンピュータのユーザアプリケーションは、プロコンに通信データを送信す る。
(b) ホストコンピュータのVPNは、通信データを暗号化する。
(c) 制御系保護専用ファイアウォールのVPNは、通信データを復号化する((b)のVPN による暗号化に対応する復号化)。
(d) 制御系保護専用ファイアウォールの認証フレームワークは、送信機器(制御系保護 専用ファイアウォール)から受信機器(プロコン)への通信が可能か検査する。
(e) 制御系保護専用ファイアウォールの秘匿通信フレームワークは、通信データを暗号 化する。
(f) プロコンの秘匿通信フレームワークは、通信データを復号化する((e)の秘匿通信 フレームワークによる暗号化に対応する復号化)。また、データが改ざんされてい ないか検査する。
(g) プロコンの認証フレームワークは、送信機器が正当であることを検査する。
(h) プロコンのユーザアプリケーションは、通信データを受信する。
情報系LAN 情報系LAN 情報系LAN 情報系LAN
制御系情報LAN 制御系情報LAN 制御系情報LAN 制御系情報LAN プロコン
制御系保護専用 ファイアウォール ホストコンピュータ
VPN (b)暗号化
フレームワーク
(d) 機器認証(送信先確認) (e) 暗号化
フレームワーク
(g) 機器認証(送信元確認) (f) 復号化
VPN (c)復号化 トンネル化
VPNが保護 ホストコンピュータの
ユーザアプリケーション (a) プロコンへ通信データを送信
プロコンの
ユーザアプリケーション (h) 通信データを受信
通信データの流れ
図19 ホストコンピュータからプロコンへの通信
34 34 34 34
プロコンからホストコンピュータへの通信は、図20の(a)から(h)の順に行われる。
(a) プロコンのユーザアプリケーションは、ホストコンピュータに通信データを送信す る。
(b) プロコンの認証フレームワークは、送信機器(プロコン)から受信機器(制御系保 護専用ファイアウォール)への通信が可能か検査する。
(c) プロコンの秘匿通信フレームワークは、通信データを暗号化する。
(d) 制御系保護専用ファイアウォールの秘匿通信フレームワークは、通信データを復号 化する((c)の秘匿通信フレームワークによる暗号化に対応する復号化)。また、デ ータが改ざんされていないか検査する。
(e) 制御系保護専用ファイアウォールの認証フレームワークは、送信機器が正当である ことを検査する。
(f) 制御系保護専用ファイアウォールのVPNは、通信データを暗号化する。
(g) ホストコンピュータの VPN は、通信データを復号化する((f)の VPN による暗号 化に対応する復号化)。
(h) ホストコンピュータのユーザアプリケーションは、通信データを受信する。
情報系LAN 情報系LAN 情報系LAN 情報系LAN
制御系情報LAN 制御系情報LAN 制御系情報LAN 制御系情報LAN プロコン
制御系保護専用 ファイアウォール ホストコンピュータ
VPN (g)復号化
フレームワーク
(e) 機器認証(送信元確認) (d) 復号化
フレームワーク
(b) 機器認証(送信先確認) (c) 暗号化
VPN (f)暗号化 トンネル化
VPNが保護 ホストコンピュータの
ユーザアプリケーション (h) 通信データを受信
プロコンの
ユーザアプリケーション (a) ホストコンピュータへ 通信データを送信
通信データの流れ
図20 プロコンからホストコンピュータへの通信
3535 3535
4 通信仕様 通信仕様 通信仕様 通信仕様
4.1 認証フレームワーク 認証フレームワーク 認証フレームワーク 認証フレームワーク
(1) 通信方式 通信方式 通信方式 通信方式
(i) 利用する通信プロトコル 利用する通信プロトコル 利用する通信プロトコル 利用する通信プロトコル
利用する通信プロトコルは、秘匿通信フレームワークの通信プロトコルを利用する。
(ii) セキュリティ セキュリティ セキュリティ セキュリティ
DoSやリプレイ攻撃を防ぐために プロトコルが必要とする情報(クッキー、アドレ スなど)をヘッダ情報または必要とするペイロードに含める。
(2) 通信メッセージ 通信メッセージ 通信メッセージ 通信メッセージ
(i) 制御系情報 制御系情報 制御系情報 制御系情報 LAN
制御系情報LAN専用認証フレームワークにおけるメッセージを定義する。
各エンティティ間の処理を以下に示す。これらのメッセージを送受信する場合は、秘匿 通信フレームワークでは暗号化処理等を行わないで、認証フレームワークにそのまま提供 する。
認証・秘匿通信サーバとクライアント間での認証処理
送信元機器と宛先機器間での接続処理
ここで定義するクライアントとは、認証対象機器もしくは認証対象利用者、もしくはそ の両方を指す。各エンティティ間の関係およびメッセージ・シーケンスを図 19 に示す。
ただし、送信元機器(Initiator)は、認証成立後のクライアント(Client)において実際 に送受信処理を行う機器のことを指す。
3636 3636
表13 制御系情報LANにおける認証・秘匿通信サーバと機器間でのメッセージ種別
メッセージ種別 内容 メッセージの方向
認証開始要求 クライアントから認証・秘匿通信サーバに対し
て認証処理の開始を要求するメッセージ C → AS 認証開始応答 認証開始要求を受けて認証・秘匿通信サーバか
らクライアントに返す応答メッセージ AS → C 初期認証要求 認証・秘匿通信サーバに対して初期認証処理を
要求するメッセージ C → AS
初期認証応答 初期認証要求を受けて認証・秘匿通信サーバか
らクライアントに返す応答メッセージ。 AS → C エラー通知 認証・秘匿通信サーバから送信元機器に通知さ
れるエラーメッセージ AS → C
C:Client AS:Authentication Server
表14 制御系情報LANにおける機器間でのメッセージ種別
メッセージ種別 内容 メッセージの方向
接続要求 送信元機器から宛先機器に接続を要求する要求
メッセージ I → R
接続応答 接続要求を受けて宛先機器から送信元機器に返
す応答メッセージ R → I
I:Initiator R:Responder
3737 3737 送信元機器
Initiator
認証・秘匿通信サーバ Authentication Server
認証開始要求 認証開始応答 初期認証要求 初期認証応答 宛先機器
Responder
接続要求 接続応答
図21 制御系情報LANにおけるメッセージ交換
3838 3838
(ii) 制御 制御 制御 制御 LAN
制御LAN専用認証フレームワークにおけるメッセージを定義する。
各エンティティ間の処理を以下に示す。第一のメッセージとして認証・鍵交換データ交 換に利用するパラメータ情報である SA(Security Association)を交換し、共有した SA を用いて第二のメッセージで認証・鍵交換データを交換する。第三のメッセージにおいて、
送信元機器および宛先機器の間での相互認証を行う。
これらのメッセージを送受信する場合は、秘匿通信フレームワークでは暗号化処理等を 行わないで、認証フレームワークにそのまま提供する。
送信元機器と宛先機器間での接続処理
表15 制御LANにおける機器間のメッセージ種別
メッセージ種別 内容 メッセージの方向
SA交換要求
送信元機器から宛先機器に認証・鍵交換処理で 使用するSA(Security Association)交換を要 求する要求メッセージ
I → R
SA交換応答 SA 交換要求を受けて宛先機器から送信元機器
に返す応答メッセージ R → I データ交換要求 送信元機器から宛先機器に認証・鍵交換データ
の交換を要求する要求メッセージ I → R データ交換応答 データ交換要求を受けて宛先機器から送信元機
器に返す応答メッセージ R → I 認証データ送信 送信元機器から宛先機器に認証データを送信す
るメッセージ I → R
認証データ応答 認証データ送信を受けて宛先機器から送信元機
器に返す応答メッセージ R → I
I:Initiator R:Responder