本公开涉及将内部网络和外部网络相互连接并且对内部网络进行保护的安全系统、通信控制方法。
背景技术:
当前,通过将重要基础设施(发电、化学药品、水、石油、天然气等等)的控制网络(控制系统网络)连接到因特网,从而实现了经由因特网的远程监控、远程操作等。据此,以ip通信为基础比较容易且廉价地实现了控制网络的远程监控、远程操作等服务。此外,为了扩大这种服务业务,将控制网络连接到因特网、云端变得至关重要。另一方面,对针对这种重要基础设施(产业资产)的网络安全的要求变得日益严格。例如,在北美规定了nerccip要求(nerc:northamericanelectricreliabilitycouncil,北美电力可靠性委员会,cip:criticalinfrastructureprotection,关键基础设施保护),定义了完成重要基础设施事业时要实施的安全标准,该nerccip要求,规定了了针对发电厂等电力系统的网络安全基准。因此,迫切需要开发以低成本实现提供经由了因特网的服务和保护控制网络不受网络攻击这两方的要求的基础设施、系统。
然而,作为保护控制网络这样的内部网络不受网络攻击的技术,防火墙是众所周知的(例如,专利文献1~2)。防火墙通过设置在成为保护对象的内部网络与因特网这样的外部网络的边界,来保护内部网络不受网络攻击。例如,在专利文献1中,本地网络(内部网络)和因特网经由防火墙进行连接。而且,从因特网侧向本地网络侧输入的通信被防火墙绝对拒绝。另一方面,在从本地网络内的代理向经由因特网而连接的第2本地网络内的控制台的通信时,动态地打开防火墙的端口,许可通信。通过这种方法,在保护内部网络不受来自外部的攻击的同时,能够进行内部网络与外部网络之间的通信。
此外,在专利文献2中,在因特网与公共子网之间、以及公共子网与私有内部子网之间分别设置有路由器,通过这些路由器来过滤通过的数据包。例如,设置在公共子网与私有内部子网之间的路由器通过ieee1394将公共子网内的计算机和私有内部子网的计算机相互连接。而且,该路由器根据ieee1394的发送源id、是否是基于公共子网内的计算机与私有内部子网的计算机之间的帧缓存转发的远程操作所需要的数据包,进行数据包的过滤。此外,私有内部子网的计算机通过以一定间隔通过读取事务轮询公共子网的计算机来接收数据,并通过写入事务来发送数据。据此,即使从公共子网的计算机存在非法的大量数据发送,通过检查数据转发量,也能够检测异常的转发,并且使得在私有内部子网的计算机不会立即产生其影响。
另一方面,还已知一种称为数据二极管的装置,其以安全措施为目的,完全使网关的通信路径仅单向流过数据。通过该数据二极管,完全阻止与被许可的方向相反方向的数据流,由此能够防御来自外部的病毒攻击、黑客等的网络攻击。例如,在专利文献3中,利用这种数据二极管将计算机间进行连接,并且利用其他通用通信路径将计算机间进行连接。而且,通过其他通用通信路径进行经由数据二极管而送过来的发送数据的送达确认,由此实现使用了数据二极管的安全措施,并且确保了数据发送的可靠性。
在先技术文献
专利文献
专利文献1:jp特开2001-325163号公报
专利文献2:jp特开2000-354056号公报
专利文献3:jp特开2014-140096号公报
技术实现要素:
发明要解决的课题
但是,在专利文献1、3中,通过基于tcp/udp/ip通信的一般技术,将通信的终端装置间进行连接。因此,在操作系统、通信设备等出现任何漏洞的情况下,理论上难以完全避免对控制网络的影响。
此外,在专利文献2中,通过ieee1394连接私有内部子网内的计算机和公共子网的计算机,从而因特网侧的外部计算机和私有内部子网的计算机之间的通信由公共子网的计算机终止。
鉴于上述情况,本发明的至少一个实施方式的目的在于提供一种安全系统、通信控制方法,能够稳固地保护控制网络等内部网络不受网络攻击,并且能够进行内部网络与外部网络之间的双向通信。
用于解决课题的手段
(1)本发明的至少一个实施方式所涉及的安全系统具备:
第1网关装置,其构成为连接于外部网络;
第2网关装置,其构成为连接于内部网络,并且连接于所述第1网关装置;以及
双向通信线路,其将所述第1网关装置和所述第2网关装置连接为能够进行双向通信,
所述第1网关装置具有第1代理部,所述第1代理部构成为处理特定的应用层的协议即特定协议,
所述第2网关装置具备第2代理部,所述第2代理部构成为处理所述特定协议,
所述第1代理部构成为,若所述第1网关装置接收到从所述外部网络向所述内部网络的入站的传输数据,则在所述入站的传输数据是特定协议的传输数据的情况下,在接收到由所述入站的传输数据运送的特定协议的通信信息后,通过所述双向通信线路向所述第2网关装置发送所述特定协议的通信信息,在所述入站的传输数据不是所述特定协议的通信信息的传输数据的情况下,不向所述第2网关装置发送所述入站的传输数据,
所述第2代理部构成为,在经由所述双向通信线路从所述第1代理部接收了所述特定协议的通信信息的情况下,从所述特定协议的通信信息取得所述内部网络中的通信的目的地地址,并且对所述目的地地址发送所述特定协议的通信信息。
根据上述(1)的构成,在从外部网络向内部网络的入站通信是用于特定协议的通信信息的通信的情况下,从第1网关装置向第2网关装置进行发送(中继)。此时,第1网关装置用第1代理部接收了由入站的传输数据运送的特定协议的通信信息后,向第2网关装置进行发送(中继)。即,该特定协议的通信信息是为了与接收侧终端装置交换消息(控制命令等)而由发送侧终端装置生成的通信数据。此外,第1网关装置在使外部网络的网络层协议(例如,ip)终止后,向内部网络重新发送特定协议的通信信息。如此,通过将外部网络的发送侧终端装置与内部网络的接收侧终端装置之间在逻辑上断开,并且将能够中继该在逻辑上断开的网络的通信主体限制为能够处理特定协议的第1代理部以及第2代理部,从而特定协议以外的通信不能侵入内部。因此,能够隔断从外部网络向内部网络的攻击、非法侵入这样的非法访问,能够保护内部网络。
此外,第2网关装置的第2代理部通过基于从第1网关装置接收到的特定协议的通信信息,取得内部网络的接收侧终端装置的目的地地址(例如,目的地ip地址等),从而能够向接收侧终端装置发送特定协议的通信信息。也就是说,特定协议以外的通信,不能取得接收侧终端装置的目的地地址,不会向内部网络的接收侧终端装置进行发送(中继)。因此,通过第2网关装置,能够加强内部网络的保护。如此,安全系统能够利用第1网关装置和第2网关装置的二级构造保护内部网络,通过安全系统能够稳固地保护内部网络。此外,第1网关装置(第1代理部)以及第2网关装置(第2代理部)的通信控制不会影响发送侧终端装置以及接收侧终端装置的通信处理(ip分组化、特定的通信接口的采用等),能够构筑安全(secure)且自由度高的通信路径。
(2)在一些实施方式中,在上述(1)的构成中,
所述安全系统还具备单向通信线路,所述单向通信线路将所述第1网关装置和所述第2网关装置连接为能够进行从所述第2网关装置向所述第1网关装置的单向通信,
若所述第2网关装置接收到从所述内部网络向所述外部网络的带外传输数据,则所述带外传输数据不经由所述双向通信线路,而经由所述单向通信线路发送给所述第1网关装置。
根据上述(2)的构成,构成为出站通信必定经由单向通信线路。因此,通过单向通信线路,如数据二极管那样,能够可靠地隔断来自外部网络的攻击、非法侵入,并且能够从内部网络的发送侧终端装置向外部网络的接收侧终端装置(目的地)发送工厂的运转信息等。
(3)在一些实施方式中,在上述(2)的构成中,
所述单向通信线路是连接所述第2网关装置的发送物理端口和所述第1网关装置的接收物理端口的光纤电缆。
根据上述(3)的构成,能够容易地实现从第2网关装置向第1网关装置的单向通信线路。此外,因为通过光纤电缆进行通信,所以能够高速地通信大量的数据。例如,在内部网络是控制网络的情况下,虽然将工厂等的运转信息发送到内部网络的外部,但是在这种情况下能够进行高速通信。
(4)在一些实施方式中,在上述(2)~(3)的构成中,
在所述双向通信线路,构成为进行基于不能路由的协议的通信。
根据上述(4)的构成,通过串行通信等不能路由的协议,来连接第1网关装置和第2网关装置。也就是说,来自外部网络的入站通信会暂且变换为串行通信。因此,在内部网络以及外部网络是ip网络的情况下等,来自外部网络的入站通信不会直接经由安全系统1而路由到内部网络,能够构筑安全的通信路径。
(5)在一些实施方式中,在上述(2)~(4)的构成中,
所述外部网络以及所述内部网络是ip网络。
根据上述(5)的构成,通过内部网络和外部网络形成了ip网络,该ip网络通过第1网关装置以及第2网关装置而在逻辑上被分离。因此,来自因特网等外部网络的ip通信除了特定协议的通信以外被从内部网络隔断,能够保护内部网络不受来自以ip为基础的因特网等的网络攻击。
(6)在一些实施方式中,在上述(5)的构成中,
所述第1网关装置根据端口编号来识别所述特定协议的通信信息。
在上述(6)的构成中,通过udp、tcp的端口编号,能够容易地识别特定协议的通信。
(7)在一些实施方式中,在上述(6)的构成中,
所述第2网关装置在从所述内部网络接收到的所述出站的传输数据是udp/ip通信的情况下,使用所述单向通信线路向所述第1网关装置发送所述出站的传输数据。
根据上述(7)的构成,udp/ip是无连接型的通信,能够无来自外部网络的目的地装置的送达确认地发送数据。因此,从内部网络的发送源装置对外部网络的目的地装置,能够容易地进行使用了单向通信线路的单向通信。
(8)在一些实施方式中,在上述(1)~(7)的构成中,
所述特定协议是为被标准化的单独协议。
根据上述(8)的构成,构成为只有能够解释作为单独协议的特定协议的装置即第1网关装置以及第2网关装置能够向内部网络的目的地中继从外部网络接收到的单独协议(特定协议)的传输数据。因此,从外部网络向内部网络不能发送被标准化的应用层的协议的传输数据,能够增强对网络攻击的防御力。
(9)在一些实施方式中,在上述(1)~(8)的构成中,
所述双向通信线路是包括rs-232c的串行通信。
根据上述(9)的构成,能够通过使用了标准接口的简单的方法来进行第1网关装置和第2网关装置之间的特定协议的通信信息的收发。此外,在内部网络是控制网络的情况下,从连接于外部网络侧的远程pc(发送侧终端装置)通信的控制网络的控制请求等通信数据是小容量的,还能够针对这样的通信提供适当的通信速度。
(10)在一些实施方式中,在上述(1)~(9)的构成中,
所述第1网关装置经由第1防火墙连接于所述外部网络,
所述第2网关装置经由第2防火墙连接于所述内部网络。
根据上述(10)的构成,能够通过第1防火墙以及第2防火墙,来许可预先定义的规定通信,并且隔断从外部网络向内部网络的网络攻击,能够更稳固地保护内部网络。此外,还能够实现第1网关装置以及第2网关装置的处理负荷的减轻。
(11)本发明的至少一个实施方式所涉及的通信控制方法,是由安全系统执行的通信控制方法,所述安全系统具备:
第1网关装置,其构成为连接于外部网络;
第2网关装置,其构成为连接于内部网络,并且连接于所述第1网关装置;以及
双向通信线路,其将所述第1网关装置和所述第2网关装置相互连接,
所述通信控制方法具有:
入站数据接收步骤,所述第1网关装置接收从所述外部网络向所述内部网络的入站的传输数据;
第1入站通信处理步骤,所述第1网关装置构成为确认所述入站的传输数据的应用层的协议,在所述应用层的协议是特定协议的情况下,使用所述双向通信线路向所述第2网关装置发送所述入站的传输数据,在所述特定协议的通信信息以外的情况下,不向所述第2网关装置发送所述入站的传输数据;和
第2入站通信处理步骤,所述第2网关装置在从所述第1网关装置接收到的所述入站的传输数据是所述特定协议的通信信息的情况下,基于所述特定协议的信息,取得所述内部网络中的通信的目的地地址,并且对所述目的地地址发送所述入站的传输数据。
根据上述(11)的构成,能够获得与上述(1)同样的效果。
(12)在一些实施方式中,在上述(11)的构成中,
所述安全系统还具备单向通信线路,所述单向通信线路将所述第1网关装置和所述第2网关装置连接为能够进行从所述第2网关装置向所述第1网关装置的单向通信,
所述通信控制方法还具有:出站通信处理步骤,若所述第2网关装置接收到从所述内部网络向所述外部网络的带外传输数据,则将所述带外传输数据不经由所述双向通信线路而经由所述单向通信线路发送给所述第1网关装置。
根据上述(12)的构成,能够获得与上述(2)同样的效果。
(13)在一些实施方式中,在上述(12)的构成中,
所述单向通信线路是连接所述第2网关装置的发送物理端口和所述第1网关装置的接收物理端口的光纤电缆。
根据上述(13)的构成,能够获得与上述(3)同样的效果。
(14)在一些实施方式中,在上述(12)~(13)的构成中,
在所述双向通信线路,构成为进行基于不能路由的协议的通信。
根据上述(14)的构成,能够获得与上述(4)同样的效果。
(15)在一些实施方式中,在上述(12)~(14)的构成中,
所述外部网络以及所述内部网络是ip网络。
根据上述(15)的构成,能够获得与上述(5)同样的效果。
(16)在一些实施方式中,在上述(15)的构成中,
所述第1网关装置根据端口编号来识别所述特定协议的通信信息。
根据上述(16)的构成,能够获得与上述(6)同样的效果。
(17)在一些实施方式中,在上述(16)的构成中,
所述出站通信处理步骤具有:出站通信过滤步骤,在从所述内部网络接收到的所述出站的传输数据是udp/ip通信的情况下,许可使用了所述单向通信线路的所述出站的传输数据的发送。
根据上述(17)的构成,能够获得与上述(7)同样的效果。
(18)在一些实施方式中,在上述(11)~(17)的构成中,
所述特定协议是未被标准化的单独协议。
根据上述(18)的构成,能够获得与上述(8)同样的效果。
(19)在一些实施方式中,在上述(11)~(18)的构成中,
所述双向通信线路是包括rs-232c的串行通信。
根据上述(19)的构成,能够获得与上述(9)同样的效果。
(20)在一些实施方式中,在上述(11)~(19)的构成中,
所述第1网关装置经由第1防火墙连接于所述外部网络,
所述第2网关装置经由第2防火墙连接于所述内部网络。
根据上述(20)的构成,能够获得与上述(10)同样的效果。
发明效果
根据本发明的至少一个实施方式,能够提供一种安全系统、通信控制方法,能够稳固地保护控制网络等内部网络不受网络攻击,并且能够进行内部网络与外部网络之间的双向通信。
附图说明
图1是概略示出包括本发明的一实施方式所涉及的安全系统的网络整体的构成的图。
图2是概略示出本发明的一实施方式所涉及的安全系统的构成的图。
图3是示出本发明的一实施方式所涉及的在网络传输的带内通信的协议栈的图。
图4是示出本发明的一实施方式所涉及的在网络传输的带外通信的协议栈的图。
图5是示出本发明的一实施方式所涉及的安全系统的带内通信的通信控制流程的图。
图6是示出本发明的一实施方式所涉及的安全系统的带外通信的通信控制流程的图。
具体实施方式
以下,参照附图来说明本发明的几个实施方式。但是,“备有”、“有”、“具备”、“包括”或者“具有”一个构成要素这样的表现,不是排除存在其他构成要素的排他性的表现。
图1是概略示出包括本发明的一实施方式所涉及的安全系统1的网络整体的构成的图。此外,图2是概略示出本发明的一实施方式所涉及的安全系统1的构成的图。该安全系统1是能够进行内部网络的通信装置与外部网络的通信装置之间的端到端(e2e)通信、并且保护内部网络不受经由了外部网络的网络攻击等的系统(装置)。如后所述,例如,内部网络是发电厂等的控制网络6,外部网络是因特网5等,提供经由了外部网络的内部网络的通信装置的远程监控、远程操作等服务。而且,安全系统1在内部网络的入口(边界)许可与上述服务相关联的必要的通信,并且隔断网络攻击等非法的未被许可的通信。
为了实现这种通信控制,如图1~图2所示,安全系统1具备作为将不同的网络间进行连接的装置的第1网关装置2以及第2网关装置3、和将第1网关装置2和第2网关装置相互连接的双向通信线路41以及单向通信线路42。此外,第1网关装置2构成为连接于外部网络,第2网关装置3构成为连接成为保护对象的内部网络。如上所述,内部网络是由安全系统1进行保护的网络,外部网络是与成为保护对象的内部网络能够通信地进行连接的处于内部网络的外部的其他网络。在图1~图2所示例的实施方式中,内部网络是下述所说明的那样的控制网络6,外部网络为因特网5、基地网络7(后述)。
该控制网络6在图1~图2中成为由以太网(注册商标)构筑的局域网(lan)。此外,控制网络6是发电厂的控制网络,在控制网络6中,如图所示,连接了控制装置63、辅助站64(acs64)、操作站65(ops65)等,控制装置63是成为进行工厂的控制的控制器的处理站(mps)、作为用于进行与进行现场的制造设备的控制的装置的输入输出、各种运算处理的本地控制器的cpu模块(cps)等,辅助站64(acs64)是进行来自控制装置63等的数据收集、保存等并且成为与外部的接口的终端,操作站65(ops65)是控制装置63等的监控/操作用的设备。而且,对这些各装置(控制装置63、acs64、ops65等)、第2网关装置3分别分配了相互不同的私有ip地址,能够进行lan上的ip通信。
在图1~图2中,基地网络7是经由防火墙74连接于因特网5的网络,与因特网5一起构成了外部网络的一部分。此外,基地网络7是连接成为上述控制装置63的监控/操作用的设备的操作站72(ops72)、远程监控用的服务器、平板终端等各种装置(以下,适当称为远程pc)的企业内网络。基地网络7也是由以太网(注册商标)构筑的局域网(lan),通过对连接于基地网络7的各装置(远程pc等)分配相互不同的私有ip地址,从而能够进行lan上的ip通信。
此外,在图1~图2所示例的实施方式中,控制网络6(内部网络)和基地网络7经由因特网5中构筑的vpn(virtualprivatenetwork,虚拟专用网络)进行连接。具体而言,在基地网络7的防火墙74的内侧的vpn装置75(例如,vpn对应路由器等)与设置在第1网关装置2和因特网5的边界的第1防火墙14a的内侧的vpn装置15之间构筑了vpn,在因特网5上构筑了虚拟的隧道(vpn隧道55)。
而且,经由上述的vpn连接、和下述说明的第1网关装置2与第2网关装置3之间的连接,在控制网络6的控制装置63与远程pc之间建立e2e的通信。也就是说,将连接于基地网络7的上述ops72等各种装置作为远程pc,进行连接于控制网络6的控制装置63等的远程监控、远程控制等。该第1网关装置2与第2网关装置3之间的连接,分别通过下述说明的双向通信线路41以及单向通信线路42这两个通信线路4来进仃。
如图1~图2所示,双向通信线路41是将第1网关装置2和第2网关装置3连接为能够双向通信的通信线路4。在图1~图2所示例的实施方式中,双向通信线路41是进行rs232c等的串行通信的通信线路4,第1网关装置2和第2网关装置3通过双向通信线路41一对一地进行连接。也就是说,经由双向通信线路41的通信的目的地是直接连接的对方侧的装置,从第1网关装置2经由双向通信线路41发送的通信数据不会自动地转发给第2网关装置3以外的装置。同样,从第2网关装置3经由双向通信线路41发送的通信数据不会自动地转发给第1网关装置2以外的装置。如此,构成为经由了双向通信线路41的通信,以不进行路由的协议(不能路由的协议)进行。在图2中,第1网关装置2的外部通信接口(外部通信if23d)和第2网关装置3的外部通信if33d用rs232c电缆进行了连接。
该双向通信线路41主要是用于从远程pc(ops72)对控制网络6的控制装置63发送控制命令(后述的特定防议的通信信息)等的线路。这种控制命令的通信量比较小,通过rs232c这样的比较低速的通信线路4,能够设置通信量的限制的同时提供适当的通信速度。如后所述,经由了双向通信线路41的通信,由第1网关装置2的第1代理部21和第2网关装置3的第2代理部31进行控制,据此,实现了控制网络6(内部网络)的保护。
另一方面,如图1~图2所示,单向通信线路42是将第1网关装置2和第2网关装置3连接为能够进行从第2网关装置3向第1网关装置2的单向通信的通信线路4。该单向通信线路42例如可以通过连接第2网关装置3具有的外部通信if33s(例如,nic:networkinterfacecard)的发送物理端口和第1网关装置2具有的外部通信if23s的接收物理端口,并且不连接第1网关装置2的外部通信if23s的发送物理端口和第2网关装置3的外部通信if33s的接收物理端口,从而实现单向通信。具体而言,在图1~2中,如图2所示,单向通信线路42通过用光纤电缆连接第2网关装置3的外部通信if33d的发送物理端口(tx端口)和第1网关装置2的外部通信if23d的接收物理端口(rx端口),并且不用光纤电缆等连接第1网关装置2的外部通信if23d的发送物理端口(tx端口)和第2网关装置3的外部通信if33d的接收物理端口(rx端口)而形成。如此,通过物理地形成单向的通信线路4,从而构成了单向通信的通信线路4。
该单向通信线路42是主要用于从控制网络6的内部向外部的ops72、各种服务器等远程pc发送工厂的运转数据等大量数据的通信线路4,通过由光纤电缆构成,从而能够提供高速通信。如此,通过构成为来自外部网络的通信不能经由单向通信线路42到达控制网络6,从而实现了控制网络6(内部网络)的保护。
在上述那样的网络的整体构成中,第1网关装置2以及第2网关装置3通过控制经由了连接两装置的通信线路4(双向通信线路41和单向通信线路42)的通信,从而实现了内部网络的保护。详细而言,如图2所示,第1网关装置2具有构成为处理作为特定的应用层的协议的特定协议的第1代理部21,第2网关装置3具有构成为处理该特定协议的第2代理部31。而且,第1代理部21以及第2代理部31,如下述所说明的那样,通过对经由了双向通信线路41以及单向通信线路42的通信数据进行后述的发送处理以及接收处理(收发处理),从而进行试图通过的通信的通信控制。
这里,特定协议是用于在控制网络6的通信装置(控制装置63、acs64等)与外部网络的通信装置(远程pc)之间交换信息的协议,交换特定协议的通信信息。也就是说,特定协议的通信信息是在控制装置63等接收侧终端装置与远程pc等发送侧终端装置之间交换的e2e的通信数据(消息形式的控制命令、监控数据请求等),是发送侧终端装置生成的信息。即,远程pc(例如,ops72)、控制网络6的控制装置63、acs64具备用于进行上述特定协议的通信信息的处理(例如,控制命令的生成、解释、执行等)的专用应用(专用程序)。而且,该专用应用的进程,在各个装置的os(operatingsystem,操作系统)上动作,通过根据特定协议进行装置间的进程间通信,从而进行与特定协议的通信信息的内容相应的控制(例如,控制装置63的设定变更等)。
此外,特定协议的通信信息具有特定协议的格式。例如,可以具有头部(控制部)和数据部。此外,在该格式中,可以包括用于识别接收侧终端装置(目的地)的目的地地址信息,如后所述至少被第2代理部31利用。而且,通过由发送侧终端装置的专用程序调用套接字api,从而生成包括特定协议的通信信息的udp/ip数据包,发送到网络上。此时,通过专用程序,特定协议的通信信息可以被压缩、加密,通过将这样的通信数据进行ip分组化,从而能够提高对数据的窃听、篡改的耐受力。此外,从发送侧终端装置的专用程序发送的通信由接收侧终端装置的专用程序进行监控,通过对通信数据的解压缩、解密来进行消息的交换。另外,专用程序也可以生成tcp/ip数据包来进行通信。
在图1~图2所示例的实施方式中,特定协议是未被标准化的单独协议,其规格一般未被公开。也就是说,只有作为能够解释单独协议即特定协议的装置的第1网关装置2以及第2网关装置3构成为能够向内部网络的目的地发送(中继)从外部网络接收的单独协议(特定协议)的传输数据。因此,不能从外部网络向内部网络发送被标准化的应用层的协议的传输数据,能够增强对网络攻击的防御力。
第1代理部21以及第2代理部31(代理部)处理这样的特定协议(单独协议)的通信信息。如图2所示,这些代理部(第1代理部21以及第2代理部31)是在第1网关装置2以及第2网关装置3的平台的os上动作的应用软件的进程、线程。也就是说,第1网关装置2以及第2网关装置3具备处理器(cpu)、存储器。而且,作为代理部发挥功能的程序(软件)通过展开(加载)到主存储器从而利用os等的平台的功能的同时进行动作。具体而言,代理部构成为通过使用处理器执行程序的命令从而处理特定协议。此外,代理部构成为通过使用处理器执行程序的命令从而利用平台的通信功能(os、外部通信if等)进行与装置的外部的通信。另外,代理部可以在dos系、unix系、linux(注册商标)系、windows系等各种平台上动作。
而且,通过传输数据到达网关装置(第1网关装置2、第2网关装置3)的外部通信if(23、33),从而第1网关装置2、第2网关装置3接收传输数据。此外,在网关装置中,代理部(第1代理部21、第2代理部31)监控成为处理对象的通信数据的接收,所接收的传输数据通过网关装置的平台的通信处理部(os、外部通信if(23、33)等)的处理,被代理部接收。此时,代理部可以构成为仅接收成为处理对象的特定协议的通信信息。或者,代理部也可以构成为在接收了通过网关装置而接收的全部传输数据的通信数据之后,识别特定协议的通信信息,对成为对象的通信数据继续执行收发处理(后述),对这以外的通信数据结束处理(例如丢弃)。
通信数据是否是特定协议的通信信息的判断,可以根据ip数据包中包括的端口编号(udp端口编号或者tcp端口编号)来进行。在图1~图2的实施方式中,该判断根据端口编号来进行。根据该构成,能够根据端口编号来容易地识别特定协议的通信。通过这种方法,代理部取得特定协议的通信信息。另外,在特定协议的通信信息被分割为多个ip数据包而在网络上(内部网络、外部网络)传输的情况下,通过将被分割的ip数据包全部接收并进行组合,来由代理部取得特定协议的通信信息。
以下,使用图3~图4,将第1网关装置2以及第2网关装置3的通信控制(收发处理)分为入站的通信和出站的通信来依次进行说明。这些图对应于图1~图2,以下述情况为例进行了记载,即,在远程pc(例如,ops72、服务器)与控制网络6的控制装置63(图3)、acs64(图4)之间,进行端到端(e2e)的通信的情况。这里,入站通信是从外部网络朝向内部网络的方向的通信。此外,出站通信是从内部网络朝向外部网络的方向的通信。此外,各终端装置在通信时能够知道成为目的地的终端装置的网络上的目的地地址(ip地址),能够设定为ip通信时的目的地ip地址。
如图3所示,入站的通信对应于将外部网络的通信装置作为发送源(发送侧终端装置)、将内部网络的通信装置作为目的地(接收侧终端装置)而进行的数据通信。而且第1代理部21构成为,若第1网关装置2接收从外部网络朝向内部网络的入站的传输数据,则在入站的传输数据是特定协议的数据的情况下,在接收了由所述入站的传输数据运送的特定协议的通信信息后,通过所述双向通信线路向所述第2网关装置发送所述特定协议的通信信息。相反,第1代理部21构成为在第1网关装置2接收的入站的传输数据不是特定协议的通信信息的情况下,不向第2网关装置发送入站的传输数据。
更具体而言,图3是示出本发明的一实施方式所涉及的在网络传输的带内的传输数据的协议栈的图。在图3中,从远程pc(图3的示例中ops72)发送数据部中设置了特定协议(单独协议)的通信信息的ip数据包。在图3的示例中,来自远程pc的ip数据包在基地网络7通过以太网(注册商标)帧进行传输后,通过因特网5的vpn隧道55到达第1网关装置2,经由外部通信if23o被第1网关装置2接收。
第1代理部21若接收特定协议的通信信息则进行接收处理。该第1代理部21的接收处理,可以包括取得所接收的特定协议的通信信息的目的地地址(接收侧终端装置的地址)。基于该接收到的目的地地址,能够知道通信例如不是发往自身的而是发往双向通信线路41的前方的控制网络6中接收侧终端装置的,所以进行经由了双向通信线路41的通信。在该目的地地址的取得方法中,存在下述所说明的那样的各种方法。另外,如后所述,第2代理部31根据从第1代理部21接收的特定协议的通信信息,取得接收侧终端装置的目的地地址,这一点是相同的。
例如,在一些实施方式中,第1代理部21根据特定协议的通信信息取得目的地地址,而不是使用远程pc(ops72)发送的传输数据的目的地地址(ip数据包的目的地ip地址)。即,在特定协议的通信信息中有存储目的地地址的目的地地址字段,接收侧终端装置的目的地地址在远程pc侧预先进行设置。而且,第1代理部21通过检索该目的地地址字段来取得目的地地址。例如,可以在目的地地址字段中直接存储目的地ip地址,也可以构成为利用网关装置的内部或外部的dns(domainnamesystem,域名系统)等从目的地地址字段中所存储的地址信息(url等)取得目的地ip地址。此外,目的地地址字段可以存在于特定协议的通信信息的格式上的固定位置,也可以根据标签信息等而存在于任意位置。根据上述构成,第1代理部21难以从特定协议以外的通信信息知道目的地,能够防止根据特定协议的规格的入站的通信以外的通信通过第1网关装置2。
在其他一些实施方式中,第1代理部21通过在从os移交特定协议的通信信息时,同时接收远程pc(ops72)发送的传输数据的目的地地址(ip数据包的目的地ip地址)来取得。在该情况下,紧接远程pc生成之后的特定协议的通信信息中,也可以不包括目的地地址的信息。另外,在该情况下,第1代理部21的发送处理构成为将该取得的目的地地址与特定协议的通信信息一起经由双向通信线路41发送给第2代理部31。例如,可以通过在特定协议的通信信息的目的地地址字段等附加目的地地址等在与第1代理部21以及第2代理部31之间所决定的方法,在特定协议的通信信息中附加目的地地址。根据上述构成,能够防止根据特定协议的规格的入站的通信以外的通信通过第1网关装置2。
另外,在上述任一个实施方式中,在接收处理中也可以包括对在远程pc侧进行了压缩、加密的特定协议的通信信息进行解压缩、解密。在该情况下,第1代理部21可以将通过解压缩、解密取得正确的特定协议的通信信息作为向第2代理部31进行发送的前提。
此外,第1代理部21在上述那样的接收处理之后执行特定协议的通信信息的发送处理。具体而言,如图3所示,第1代理部21经由双向通信线路41通过串行通信(一对一连接)向第2网关装置3发送特定协议的通信信息。具体而言,基于所取得的目的地地址认识到在控制网络6存在接收侧终端装置,经由双向通信线路41向第2代理部31发送特定协议的通信信息。在该发送处理中,可以包括特定协议的通信信息的压缩、加密。在图1~图3所示例的实施方式中,第1网关装置2的第1代理部21经由rs232c的串行端口(com端口)依次发送通信数据。此外,第2网关装置3的第2代理部31经由rs232c的串行端口(com端口)依次接收通信数据,进行下述说明的收发处理。
另外,第1代理部21的收发处理不限定于上述处理。在其他一些实施方式中,第1代理部21可以以接收侧终端装置存在于双向通信线路41的前方的控制网络6为前提。也就是说,第1代理部21可以不通过接收处理来取得目的地地址,而将所接收到的特定协议的通信信息始终视为发往控制网络6来进行发送处理。在该情况下,在紧接远程pc生成之后的特定协议的通信信息中需要包括目的地地址的信息。根据这种构成,也能够将能够通过第1网关装置2的通信数据限定为特定协议的通信信息,能够阻止这以外的通信数据侵入内部网络。
另一方面,第2代理部31如上所述接收到从第1代理部21发送的通信数据后,进行接收处理。具体而言,第2代理部31构成为在经由双向通信线路41从第1代理部21接收到特定协议的通信信息的情况下,从所述特定协议的通信信息取得内部网络中的通信的目的地地址,对所述目的地地址发送所述特定协议的通信信息。即,第1代理部21和第2代理部31一对一地进行连接,在这种通信中,不需要ip数据包那样的表示几跳前方的目的地地址的信息,不是标准的。换言之,在来自外部网络的ip通信由第1网关装置2暂且终止,并且仅是将ip通信替换为rs232c等的串行通信的情况下,不需要被终止的ip通信的目的地ip地址,所以通信目的地的第2代理部31通常不能得到接收侧终端装置的目的地地址。因此,第2代理部31从由第1代理部21发送的通信信息取得地址信息。例如,如上所述,在特定协议的通信信息中存在存储目的地地址的目的地地址字段,可以通过检索该目的地地址字段来取得目的地地址。从特定协议的通信信息取得目的地地址,也包括通过附加在由远程pc生成的特定协议的通信信息的通信数据(消息),从而从第1代理部21发送目的地地址信息。
此外,第2代理部31在上述接收处理之后执行发送处理。具体而言,将通过接收处理而取得的目的地地址作为通信的目的地地址(ip数据包的目的地ip地址),将特定协议的通信信息发送给接收侧终端装置。在图3所示例的实施方式中,将由接收处理所取得的目的地地址指定到目的地ip地址字段调用套接字api,从而生成包括特定协议的通信信息的udp/ip数据包,从外部通信if33i发送到控制网络6上。该ip数据包被放置到以太网(注册商标)帧上在控制网络6内进行路由,从而被接收侧终端装置(目的地)接收。根据这种方法,接收侧终端装置(目的地)能够接收来自远程pc的通信数据。另外,第2代理部31的接收处理中,可以包括对特定协议的通信信息进行解压缩、解密,在发送处理中可以包括特定协议的通信信息的压缩、加密。
接下来,说明对带外的通信的通信控制。
如图4所示,带外的通信,对应于将内部网络的通信装置作为发送源(发送侧终端装置)、将外部网络的通信装置作为目的地(接收侧终端装置)而进行的数据通信。如上所述,安全系统1具备将第1网关装置2和第2网关装置3连接为能够进行从第2网关装置3向第1网关装置2的单向通信的单向通信线路,第2网关装置3接收的带外的传输数据不经由双向通信线路41而经由单向通信线路42向第1网关装置2进行发送。例如,在特定协议(单独协议)为http通信这样的成组地进行请求和对请求的响应这样的规格的情况下,也是带外的发送经由单向通信线路42,入站的发送经由双向通信线路41。即,出站通信构成为必定经由单向通信线路42。因此,通过单向通信线路42,如数据二极管那样,能够可靠地隔断来自外部网络的攻击、非法侵入,并且能够从内部网络的发送侧终端装置向外部网络的接收侧终端装置(目的地)发送工厂的运转信息等。
更具体而言,图4是示出本发明的一实施方式所涉及的在网络传输的带外的传输数据的协议栈的图。在图4中,从控制网络6的acs54发送在数据部设置了特定协议(单独协议)的通信信息的ip数据包。在图4的示例中,来自acs的ip数据包通过以太网(注册商标)帧经控制网络6进行传输,经由外部通信if33i被第2网关装置3接收。
而且,第2代理部31若接收基于带外通信的特定协议的通信信息,则进行接收处理以及接收处理之后的发送处理。另一方面,第1代理部21也对于从第2代理部31经由双向通信线路41而接收的带外通信进行接收处理以及发送处理。对于这种带外通信的收发处理,如下述所说明的那样,存在各种方法。
在一些实施方式中,如图4所示,第2代理部31构成为不管所接收到的出站通信的传输数据(ip数据包)的应用层的协议的种类如何,都基于传输数据的目的地地址(ip数据包的目的地ip地址)转发(发送)传输数据。在该情况下,第1代理部21也对从第2网关装置3接收到的出站的传输数据基于目的地地址向目的地终端装置发送ip数据包。即,第2代理部31以及第1代理部21对于出站的通信仅处理到ip层。据此,能够减小网关装置的处理负荷。此外,控制网络6中的经由了单向通信线路42的通信中,工厂的运转数据等通信量较多。因此,通过简化第2代理部31以及第1代理部21的收发处理,从而能够得到适当的通信速度。此外,即使如此进行了简化,经由了单向通信线路42的带外的通信也限于单向通信,所以经由了单向通信线路42的来自外部网络的网络攻击被隔断这一情况不会改变。
在其他一些实施方式中,第2代理部31的对出站通信的接收处理和发送处理,除了经由单向通信线路42进行ip通信之外,可以分别与上述说明的第1代理部21对入站通信的接收处理和发送处理相同。在该情况下,第1代理部21的对带外通信的接收处理以及发送处理,也除了经由单向通信线路42进行ip通信之外,分别与上述说明的第2代理部31对入站通信的接收处理和发送处理相同。根据上述构成,能够将经由了安全系统1的出站的通信限制为特定协议的通信,能够实现防止来自内部网络的信息泄漏。
此外,在一些实施方式中,如图4所示,可以将经由了安全系统1的出站的通信限定为udp/ip通信。即,在一些实施方式中,在从内部网络接收的出站的传输数据为udp/ip通信的情况下,第2网关装置3使用单向通信线路42向第1网关装置2发送(中继)出站的传输数据。udp/ip是无连接型的通信,是能够无来自外部网络的目的地装置的送达确认地发送数据的协议。因此,从内部网络的发送源装置对外部网络的目的地装置能够容易地进行使用了单向通信线路的单向通信。在其他一些实施方式中,第2网关装置3也可以构成为仅中继运送上述特定协议的通信信息的udp/ip数据包。据此,第2网关装置3仅处理被许可的通信,丢弃这以外的数据包等,从而能够减轻转发处理的负荷。这些过滤,既可以由第2代理部31进行,也可以由其他程序功能(过滤部)进行,还可以在过滤部进行过滤后向第2代理部31转发通信数据。此外,对于udp/ip数据包,可以利用端口编号进行数据包过滤,也可以基于预先决定的列表来进行判断。
接下来,使用图5~图6来具体说明第1网关装置2以及第2网关装置3的通信控制方法。图5是示出本发明的一实施方式所涉及的安全系统1的带内通信的通信控制流程的图。此外,图6是示出本发明的一实施方式所涉及的安全系统1的带外通信的通信控制流程的图。这些图对应于图1~图4,通过第1网关装置2、第2网关装置3具备的处理器执行来自代理部(第1代理部21、第2代理部31)的命令来进行。
若对图5进行说明,则在步骤s50中,第1网关装置2监控来自外部网络侧的入站的ip数据包(传输数据)的接收。若在步骤s51中接收到ip数据包,则第1网关装置2的通信处理部、第1代理部21进行ip数据包的处理。具体而言,在步骤s52中,利用端口编号确认ip数据包是否是特定协议(单独协议)的通信的数据包,在不是特定协议的通信的数据包的情况下,结束通信控制。例如,可以通过丢弃进行了确认的接收ip数据包从而结束通信控制。此外,在步骤s52中,在接收到的ip数据包是特定协议(单独协议)的数据包的情况下,在步骤s53中,第1代理部21对特定协议的通信信息执行上述的收发处理。
在步骤s54中,第1代理部21经由双向通信线路41向第2网关装置3的第2代理部31发送特定协议的通信信息后,在步骤s55中,第2代理部31经由双向通信线路41接收特定协议的通信信息。接收了该信息的第2代理部31,在步骤s56中,为了取得目的地地址(接收侧终端装置的ip地址)而解析特定协议的通信信息。而且,在步骤s57中,在从特定协议的通信信息取得了目的地地址的情况下,第2代理部31通过ip通信对目的地地址发送特定协议的通信信息。相反,在步骤s58中,在不能从特定协议的通信信息取得目的地地址的情况下,结束通信控制。
若对图6进行说明,则图6示出第2网关装置3(第2代理部31)不管应用层的协议的种类如何都转发所接收到的ip数据包的实施方式的通信控制流程。在图6的步骤s60中,第2网关装置3(第2代理部31)监控来自内部网络侧的出站的传输数据(数据包)的接收。若在步骤s61中接收到ip数据包,则第2网关装置3的平台的通信处理部、第2代理部31进行ip数据包的处理。具体而言,在步骤s62中,确认接收ip数据包的目的地。而且,在接收ip数据包的目的地为外部网络侧的情况下,在步骤s63中,第2网关装置3的通信控制部经由单向通信线路42向第1网关装置2发送ip数据包。相反,在步骤s62中,在接收ip数据包的目的地不是外部网络侧的情况下,在步骤s67中对ip数据包进行了处理后,结束通信控制。该步骤s67中的处理,例如可以包括:在是发往自身的ip数据包的情况下,由自身进行处理,在目的地ip地址表示内部网络内的装置的情况下,对内部网络内的目的地发送ip数据包。
在步骤s64中,第1网关装置2经由单向通信线路42从第2网关装置3接收ip数据包。而且,在步骤s65中,确认接收ip数据包的目的地。而且,在目的地地址表示外部网络侧的情况下,在步骤s66中,第1网关装置2(第1代理部21)朝向目的地地址向外部网络发送ip数据包。相反,在步骤s65中,在目的地地址不表示外部网络侧的情况下,在步骤s67中对接收ip数据包进行处理。在该步骤s67中,例如,在是发往自身的ip数据包的情况下,由自身进行处理,在这以外的情况下,例如可以丢弃ip数据包。
根据上述构成,从外部网络向内部网络的入站通信,在是用于特定协议的通信信息的通信的情况下,从第1网关装置2向第2网关装置3进行发送(中继)。此时,第1网关装置2在第1代理部21接收了由入站的传输数据运送的特定协议的通信信息后,向第2网关装置3进行发送(中继)。即,该特定协议的通信信息是为了与接收侧终端装置交换消息(控制命令等)而由发送侧终端装置生成的通信数据。此外,第1网关装置2在使外部网络的网络层协议(例如,ip)终止后,向内部网络重新发送特定协议的通信信息。如此,通过将外部网络的发送侧终端装置与内部网络的接收侧终端装置之间在逻辑上断开,并且将能够中继该逻辑上断开的网络的通信主体限制为能够处理特定协议的第1代理部21以及第2代理部31,从而特定协议以外的通信不能侵入内部。因此,能够隔断从外部网络向内部网络的攻击、非法侵入这样的非法访问,能够保护内部网络。
此外,第2网关装置3的第2代理部31能够通过基于从第1网关装置2接收到的特定协议的通信信息来取得内部网络的接收侧终端装置的目的地地址(例如,目的地ip地址等),从而向接收侧终端装置发送特定协议的通信信息。也就是说,特定协议以外的通信,不能取得接收侧终端装置的目的地地址,不会被发送(中继)到内部网络(控制网络6)的接收侧终端装置。因此,通过第2网关装置3,能够加强内部网络的保护。如此,安全系统1能够利用第1网关装置2和第2网关装置3的二级构造保护内部网络,通过安全系统1稳固地保护内部网络。此外,基于第1网关装置2(第1代理部21)以及第2网关装置3(第2代理部31)的上述通信控制,不会影响发送侧终端装置以及接收侧终端装置的通信处理(ip分组化、特定的通信接口的采用等),能够构筑安全且自由度高的通信路径。
进而,通过内部网络和外部网络形成了ip网络,该ip网络通过第1网关装置以及第2网关装置在逻辑上被分离。因此,来自因特网等外部网络的ip通信除了特定协议(单独协议)的通信以外被从内部网络隔断,能够保护内部网络不受来自以ip为基础的因特网等的网络攻击。
此外,在一些实施方式中,如图1所示,第1网关装置2经由第1防火墙14a连接于外部网络,第2网关装置3经由第2防火墙14b连接于内部网络。在图1所示例的实施方式中,在第1网关装置2与因特网5之间设置了第1防火墙14a,在第2网关装置3与控制网络6之间设置了第2防火墙14b。而且,通过这些防火墙来进行数据包的过滤,从而仅许可预先定义的规定通信。这些通信(ip数据包)的过滤,基于定义过滤条件的列表(访问列表)来进行。例如,作为过滤条件的一个项目,可以具有如下条件:许可上述特定协议(单独协议)的通过。此外,在udp通信的情况下,也可以具有如下条件:许可通过。如此在通过第1防火墙14a、第2防火墙14b进行过滤的情况下,能够省略第1网关装置2、上述第2网关装置3处的过滤。
根据上述构成,通过第1防火墙14a以及第2防火墙14b,能够许可预先定义的规定通信,并且隔断从外部网络向内部网络的网络攻击,能够更稳固地保护内部网络。此外,还能够实现第1网关装置以及第2网关装置的处理负荷的减轻。
本发明不限定于上述的实施方式,也包括在上述的实施方式中加入了变形的方式、将这些方式适当进行组合的方式。
例如,在图1所示的实施方式中远程pc(ops72等)连接于基地网络7,但是在其他一些实施方式中,远程pc也可以不连接于基地网络7,也可以通过远程访问vpn技术,在远程pc与第1防火墙14a之间构筑vpn连接。此外,也可以对远程pc等赋予全球ip地址。
此外,远程pc也可以发送将第1网关装置2作为了目的地终端装置的数据包。在该情况下,第1网关装置2以及第2网关装置3基于特定协议的通信信息中包括的目的地地址来判断转发目的地(控制网络6的控制装置63等)。
在图1所示的实施方式中,双向通信线路41、单向通信线路42是有线,但是在其他一些实施方式中,也可以至少一方的通信线路4由无线构成。在图1所示的实施方式中,双向通信线路41由rs232c构成,但是不限定于此,只要是能够进行一对一连接的通信标准,双向通信线路41也可以采用其他标准的通信标准(协议)。此外,在图1所示的实施方式中,通过物理端口的连接而形成了基于单向通信线路42的单向通信,但是不限定于此,可以变更lan电缆等的布线,例如,可以去掉从第1网关装置2向第2网关装置3的通信布线,或者使其绝缘等。该情况也包括在将物理端口间进行连接的情况中。此外,单向通信线路42在物理上使通信为单向,但是在其他一些实施方式中,可以在逻辑上(通信层l2以上)实现单向通信,也可以通过软件来实现单向通信。或者,在物理上以及逻辑上实现单向通信。
在图3~图4所示的实施方式中,作为udp/ip通信进行了记载,但是在其他一些实施方式中,也可以是tcp/ip通信。
符号说明
1安全系统
14a第1防火墙
14b第2防火墙
15vpn装置
2第1网关装置
21第1代理部
23外部通信接口
23d外部通信if
23s外部通信if
23o外部通信if
3第2网关装置
31第2代理部
33外部通信接口
33d外部通信if
33s外部通信if
33o外部通信if
4通信线路
41双向通信线路
42单向通信线路
5因特网(外部网络)
55vpn隧道
6控制网络(内部网络)
63控制装置
64辅助站(acs)
65操作站(ops)
7基地网络(外部网络)
72操作站(ops)
74防火墙
75vpn装置。