プラント運用・保守端末及びプラント運用・保守の記録管理方法
【課題】プラントの運用・保守作業がどの作業者によって行われたかを特定することができると共に、運用・保守記録の改ざんや漏洩を防止することを目的とする。
【解決手段】プラントの運用・保守作業を行う運用・保守ツール21と、管理者公開鍵221と管理者秘密鍵220及び作業者公開鍵223と作業者秘密鍵222を生成する公開鍵組生成ツール24と、管理者公開鍵221及び作業者秘密鍵222を保管する鍵保管領域212と、作業者が運用・保守ツール21を用いて行ったプラントの運用・保守記録を、作業者秘密鍵222で署名すると共に管理者公開鍵221で暗号化して保管する記録保管領域211を備え、システム管理者は、記録保管領域211に保管された運用・保守記録を、管理者秘密鍵220で復号すると共に作業者公開鍵223で署名検証する。
【解決手段】プラントの運用・保守作業を行う運用・保守ツール21と、管理者公開鍵221と管理者秘密鍵220及び作業者公開鍵223と作業者秘密鍵222を生成する公開鍵組生成ツール24と、管理者公開鍵221及び作業者秘密鍵222を保管する鍵保管領域212と、作業者が運用・保守ツール21を用いて行ったプラントの運用・保守記録を、作業者秘密鍵222で署名すると共に管理者公開鍵221で暗号化して保管する記録保管領域211を備え、システム管理者は、記録保管領域211に保管された運用・保守記録を、管理者秘密鍵220で復号すると共に作業者公開鍵223で署名検証する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、プラントの制御・監視システムにおいて、プラントの運用・保守作業を実施した作業者を特定できるとともに、運用・保守記録の改ざんや漏洩を防止するプラント運用・保守端末及びプラント運用・保守の記録管理方法に関するものである。
【背景技術】
【0002】
従来、プラント点検保守記録の管理方法及び装置として、例えば、特許文献1で開示されているような管理方法及び装置が知られている。
この管理方法は、例えば、機器の点検保守の結果を記録保存手段を用いてデジタルデータとして保存する処理ステップと、点検保守管理者が前記デジタルデータを承認したのち、第1メッセージダイジェスト計算手段を用いて当該デジタルデータから認証データとしてのメッセージダイジェストを計算する処理ステップと、前記認証データを第1の通信手段を用いて認証機関に送信する処理ステップと、認証機関において、プラントから送信された前記認証データを受信する処理ステップと、この受信した認証データを受信時刻と共に認証記録保存手段に登録する処理ステップと、この認証記録保存手段に登録された認証データを第2の通信手段を用いてプラントに返信する処理ステップと、プラントにおいて、前記認証機関から返信された認証データを受信する処理ステップと、プラント内で作成された前記認証データと前記第2の通信手段を用いて受信した認証データを比較して両者の同一性を確認する処理ステップからなる。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2005−284854号公報(請求項2、図1など)
【発明の概要】
【発明が解決しようとする課題】
【0004】
プラントの監視・制御システムにおいては、プラントの点検保守だけではなく、プラントの機能追加や設定変更のために、プラント内の監視装置のプログラムの更新、プラント内の制御装置のプログラムの更新、各種設定ファイルの更新等の変更作業を行うことも多い。このような変更作業にあたっては、変更作業履歴として変更作業の記録を行う必要があるが、そのときの変更作業記録は、点検記録の様に第三者によって改ざんされていないことを保証するだけでは充分ではなく、誰によって操作されたかを保証することが重要となる。
【0005】
特に、サイバーセキュリティのターゲットとなるような原子力発電所などの重要プラントの場合、実際に行われた作業が第三者によって改ざんされていないことを保証するばかりでなく、誰によって操作されたかを検証することは非常に重要となる。
【0006】
この発明は上記のような課題を解決するためになされたものであり、プラントの運用・保守作業がどの作業者によって行われたかを特定することができると共に、運用・保守記録の改ざんや漏洩を防止することができるようにしたプラント運用・保守端末及びプラント運用・保守の記録管理方法を提供する。
【課題を解決するための手段】
【0007】
この発明によるプラント運用・保守端末は、システム管理者と作業者という異なる権限を有する二種のユーザを備えると共に、プラントの運用・保守作業を行う運用・保守ツールと、システム管理者の管理者公開鍵と管理者秘密鍵及び作業者の作業者公開鍵と作業者秘密鍵を生成する公開鍵組生成ツールと、公開鍵組生成ツールで生成した管理者公開鍵及び作業者秘密鍵を保管する鍵保管領域と、作業者が運用・保守ツールを用いて行ったプラントの運用・保守記録を、作業者秘密鍵で署名すると共に、管理者公開鍵で暗号化して保管する記録保管領域を備え、システム管理者は、記録保管領域に保管された運用・保守記録を管理者秘密鍵で復号すると共に作業者公開鍵で署名検証するものである。
【0008】
この発明によるプラント運用・保守の記録管理方法は、システム管理者の管理者公開鍵と管理者秘密鍵、並びに作業者の作業者公開鍵と作業者秘密鍵を生成するステップと、作業者がプラントの運用・保守作業を行った運用・保守記録を、作業者秘密鍵で署名すると共に管理者公開鍵で暗号化するステップと、システム管理者が、上記署名され暗号化された運用・保守記録を管理者秘密鍵で復号すると共に作業者公開鍵で署名検証するステップとを含むものである。
【発明の効果】
【0009】
この発明のプラント運用・保守端末及びプラント運用・保守の記録管理方法によれば、プラントの運用・保守作業の記録に対して、作業者秘密鍵により署名付与を行いかつ管理者公開鍵による暗号化を行うことで、作業者の特定を可能とし、かつ運用・保守記録の改ざん及び漏洩を防止することができる。
【図面の簡単な説明】
【0010】
【図1】この発明の実施の形態1によるプラントの運用・保守端末及び方法を説明するための全体構成図を示す。
【図2】この発明の実施の形態1においてシステム管理者の公開鍵組の生成と作業者の登録の手順を示すフローチャートを示す。
【図3】この発明の実施の形態1において作業者が運用・保守作業を実施する場合の手順を示すフローチャートを示す。
【図4】この発明の実施の形態1においてシステム管理者が運用・保守記録を閲覧し検証するフローチャートを示す。
【図5】この発明の実施の形態2で使用するPKIに基づく電子証明書の発行の手順を示す。
【図6】この発明の実施の形態2によるプラントの運用・保守端末を説明するための構成図である。
【図7】この発明の実施の形態3によるプラントの運用・保守端末を説明するための構成図である。
【図8】この発明の実施の形態4によるプラントの運用・保守端末を説明するための構成図である。
【図9】この発明の実施の形態5による記録サーバの動作を説明するための構成図である。
【図10】この発明の実施の形態5による作業計画データの一例を示す。
【図11】この発明の実施の形態5による操作記録の一例を示す。
【図12】この発明の実施の形態5によるログの閾値データの一例を示す。
【図13】この発明の実施の形態5によるプラントの出力するログの一例を示す。
【発明を実施するための形態】
【0011】
実施の形態1.
図1はこの発明の実施の形態1によるプラントの運用・保守端末及び運用・保守方法を説明するための全体構成図である。
図1において、10は例えば原子力発電所等のプラントであり、20はプラント10の運用・保守を実施する運用・保守端末であり、30はシステム管理者用の管理者端末である。
プラント10は、プラント全体を監視する監視装置11と、監視装置11により監視される制御装置12a〜12nを有し、ネットワーク13を介して接続されている。制御装置12a〜12nには、それぞれプラント制御機器等(図示せず)がI/Oを介して接続されている。
運用・保守端末20は、作業者がプラント10の運用・保守作業を実施する運用・保守ツール21を有している。また、運用・保守端末20は、作業者が運用・保守作業の際に使用する作業用ファイルを格納するための作業ファイル格納エリア200を有し、作業用ファイルとしての監視プログラム201、制御プログラム202、設定ファイル203を格納している。そして、作業者は、運用・保守ツール21を用いて、監視装置11に対して監視プログラム201や設定ファイル203をアップロードして更新したり、監視装置11からログを取得したりする等、各種操作を行う(図示(A))。また、作業者は、運用・保守ツール21を用いて、制御装置12a〜12nに対して制御プログラム202や設定ファイル203をアップロードして更新したり、制御装置12a〜12nからログを取得したりする等、各種操作を行う(図示(B))。
【0012】
運用・保守端末20は、システム管理者によるユーザの登録や作業者による運用・保守端末20へのログインを行うユーザ管理機能23と、システム管理者及び作業者の公開鍵と秘密鍵の組(管理者公開鍵と管理者秘密鍵、作業者公開鍵と作業者秘密鍵)を生成する公開鍵組生成ツール24を有している。また、運用・保守ツール21は、作業者により実施された運用・保守記録の署名付与及び暗号化を行うための署名付与・暗号化機能22と、作業者の秘密鍵を活性化するための秘密鍵活性化機能25を有している。
【0013】
運用・保守端末20は、システム管理者の管理者公開鍵221、作業者の作業者秘密鍵222、及び暗号化したパスフレーズ224を格納した鍵保管領域212を備える。
また、運用・保守端末20は、運用・保守ツール21の署名付与・暗号化機能22により署名付与・暗号化された運用・保守記録(操作記録211a、更新ファイル211b、ログ211c)を保管する記録保管領域211を備える。
ここで、記録保管領域211及び鍵保管領域212は、作業者を含めて第三者による鍵及びファイルの持ち出しや削除等を防止するために、システム管理者のみがアクセスできる管理者アクセス領域210に保管することが望ましい。
【0014】
運用・保守端末20は、システム管理者と作業者という権限の異なる2種類のユーザを設定できる。システム管理者は、運用・保守端末20におけるユーザ管理と、記録保管領域211に保管された運用・保守記録データの検証及び操作が可能である。作業者は、上述したように、運用・保守ツール21を用いて、プラント10の監視装置11や制御装置12a〜12nの運用・保守作業を行う。
【0015】
図2のフローチャートに基づいて、システム管理者による自己の公開鍵組の生成と作業者の登録の手順を説明する。
システム管理者は、あらかじめ公開鍵組生成ツール24を用いて、自己の管理者公開鍵221と管理者秘密鍵220の組を生成する(S100)。公開鍵組生成ツール24で生成された管理者公開鍵221は鍵保管領域212に格納される(S101)。一方、システム管理者は、管理者秘密鍵220を運用・保守端末20から管理者端末30へ取り出して管理者自身の管理下に置くと共に、管理者秘密鍵220を運用・保守端末20から削除する(S102)。
次に、システム管理者は、ユーザ管理機能23を用いて運用・保守端末20に作業者の登録を行う(S103)。ユーザ管理機能23は、指定された作業者名に基づいてユーザIDの割当を実施すると共に、指定された作業者が運用・保守端末20へログインする際に必要となるパスワードを生成する(S104)。また、ユーザ管理機能23は、公開鍵組生成ツール24を用いて作業者公開鍵223と作業者秘密鍵222の組を生成(S105)し、作業者秘密鍵222を鍵保管領域212に保管する(S106)。このとき、システム管理者は、作業者秘密鍵222を活性化するためのパスフレーズを指定する(S110)。また、システム管理者は、作業者公開鍵223を運用・保守端末20から取り出し、システム管理者の管理者端末30に保管する(S107)。
作業者秘密鍵222を活性化するためのパスフレーズは、作業者のログイン用のパスワードを用いて暗号化され、暗号化パスフレーズ224として鍵保管領域212に保管される(S108)。
【0016】
次に、図3のフローチャートに基づいて、作業者がプラント10の運用・保守作業を実施する場合の手順を説明する。
作業者は、ログインパスワードを用いて運用・保守端末20のユーザ管理機能23にログインすると、ユーザ管理機能23はログインパスワードに基づいて運用・保守ツール21を起動する(S120)。そして、運用・保守ツール21は、秘密鍵活性化機能25により、ログインした作業者のログインパスワードを使用して、作業者秘密鍵222を活性化するための暗号化パスフレーズ224を復号(S121)し、作業者秘密鍵222を活性化(S122)する。
次に、作業者は、運用・保守ツール21を使用してプラント10の運用・保守作業を行う。
作業者が、運用・保守ツール21を用いて、プラント10の監視装置11の監視プログラム及び制御装置12a〜12nの制御プログラムを更新する(S130)と、運用・保守ツール21の署名付与・暗号化機能22は、更新したプログラムに対して作業者秘密鍵222で署名を付与し、管理者公開鍵221で暗号化した後、記録保管領域211に格納する(S123)。
また、作業者が、運用・保守ツール21を用いて、設定ファイルを更新する(S131)と、運用・保守ツール21の署名付与・暗号化機能22は、更新した設定ファイルに対して作業者秘密鍵222で署名を付与し、管理者公開鍵221で暗号化した後、記録保管領域211に格納する(S124)。
また、作業者がプラント10に対して上記作業を含めて行った各種操作(S132)の操作履歴は、記録保管領域211にその都度記録される(S125)。
さらに、作業者がプラント10のログを表示する(S133)と、運用・保守ツール21の署名付与・暗号化機能22は、ログ表示用に運用・保守端末20にダウンロードされたログデータに対して作業者秘密鍵222で署名を付与し、管理者公開鍵221で暗号化した後、記録保管領域211に格納する(S126)。
作業者が運用・保守作業を終了する(S134)と、運用・保守ツール21の署名付与・暗号化機能22は、上記各種操作履歴を作業者秘密鍵222で署名を付与し、管理者公開鍵221で暗号化した後、記録保管領域211に格納する(S127)。
最後に、運用・保守ツール21は、作業者の秘密鍵活性化用の復号したパスフレーズを廃棄した後、作業者秘密鍵の非活性化を行う(S128)。
そして、作業者はログアウトする(S129)。
【0017】
図4はシステム管理者が運用・保守記録を閲覧して検証するフローチャートを示す。
システム管理者は、作業者による運用・保守作業の完了後、運用・保守端末20の記録保管領域211から作業者秘密鍵222で署名され管理者公開鍵221で暗号化された運用・保守記録(操作記録211a、更新ファイル211b、ログ211c)を管理者端末30に取り出す(S140)。そして、システム管理者は、管理者秘密鍵220により、管理者公開鍵221で暗号化された運用・保守記録を復号して(S141)、運用・保守記録の検証を行う。また、システム管理者は、復号された運用・保守記録を作業者公開鍵223を用いて作業者秘密鍵222で付与された署名の検証を行う(S142、S143)。
【0018】
以上のように本実施の形態によれば、作業者が運用・保守ツールを用いて運用・保守作業を行う際に、更新プログラム、設定ファイル、プラントのログ、及び各種操作履歴を作業者秘密鍵で署名した後、管理者公開鍵で暗号化するようにしたので、システム管理者は運用・保守作業を実施した作業者を特定することができる。また、運用・保守作業の内容及び結果が改ざんされていないことを確認できる。さらに、システム管理者だけが復号できるように暗号化しているために、運用・保守記録の内容が他に漏洩することを防止できる。
【0019】
実施の形態2.
本実施の形態ではPKI(Public Key Infrastructure)に基づく電子証明書を利用することにより、システム管理者及び作業者の正当性を第三者機関である認証局(CA:Certification Authority)によって保証することを目的とする。
【0020】
図5はこの発明の実施の形態2で使用するPKIに基づく電子証明書の発行の手順を示す。システム管理者は、実施の形態1で説明したように公開鍵組生成ツール24により、管理者公開鍵221及び管理者秘密鍵220の組と、登録する作業者(作業者W1〜作業者Wn)の作業者公開鍵(223−1〜223−n)及び作業者秘密鍵(222−1〜222−n)の組を生成する。上記生成した全ての公開鍵を認証局300に送り、証明書の発行を依頼する。認証局300は受け取った公開鍵(管理者公開鍵221、作業者公開鍵223−1〜223−n)に対して、各鍵の所有者を審査し、公開鍵(管理者公開鍵221、作業者公開鍵223−1〜223−n)を内部に格納した電子証明書(管理者証明書230、作業者証明書231−1〜231−n)を発行する。管理者証明書230は運用・保守端末20の鍵保管領域212に保管され、作業者証明書231−1〜231−nは管理者端末30で管理される。
【0021】
図6はこの発明の実施の形態2によるプラントの運用・保守端末20を説明するための構成図である。本実施の形態では、作業者が、運用・保守ツール21を用いて、監視プログラム、制御プログラム又は設定ファイルを更新したり、ログを表示したり、各種操作を実施すると、運用・保守ツール21の署名付与・暗号化機能22は、更新したプログラムやログデータ等の運用保守記録に対して作業者秘密鍵222で署名を付与すると共に、管理者公開鍵を格納した管理者証明書230で暗号化した後、記録保管領域211に格納する。このとき、署名付与・暗号化機能22は運用保守記録を暗号化する際に、認証局300に対してシステム管理者の証明書の検証を要求することが出来る。
そして、システム管理者は、管理者秘密鍵220により、管理者証明書230で暗号化された運用・保守記録を復号して、運用・保守記録の検証を行う。また、復号された運用・保守記録を作業者証明書231−1〜231−nを用いて署名の検証を行う。
なお、その他の構成及び動作は上記の実施の形態と同様であるので、説明は省略する。
【0022】
以上のように本実施の形態によれば、第三者機関である認証局(CA:Certification Authority)によってシステム管理者及び作業者の特定が可能となり、システム管理者権限搾取によるシステム管理者や作業者の詐称を防止する効果がある。
【0023】
実施の形態3.
上記実施の形態では、運用・保守端末20にログインするパスワードが漏洩したり、作業者が別の作業者に教えた場合には、第3者ユーザがログインして運用・保守作業をする危険性がある。本実施の形態では、運用・保守端末20へのログイン及び作業者の秘密鍵の活性化を行う際に、パスワードではなく、生態認証機能を用いることとする。
【0024】
図7はこの発明の実施の形態3によるプラントの運用・保守端末20を説明するための構成図である。運用・保守端末20には生態認証装置40が接続される。システム管理者は作業者を登録する際に、ユーザ管理機能23に登録した作業者W1〜Wnから、当該作業者が生態認証装置40によって認証されるための作業者生態情報41−1〜41−nを採取し、運用・保守端末20内に登録しておく。
ユーザ管理機能23は登録された作業者生態情報41−1〜41−nを用いて、作業者秘密鍵222を活性化するためのパスフレーズ224を暗号化し、鍵保管領域212に格納する。
ユーザが運用・保守端末20にログインする際に、ユーザ管理機能23は生態認証装置40から入力された作業者生態情報41と登録されている作業者生態情報41−1〜41−nを比較して同一であれば、ログインを許可する。運用・保守ツール21が起動されると、秘密鍵活性化機能25は入力された作業者生態情報41を用いて作業者秘密鍵222を活性化するためのパスフレーズ224を復号し、作業者秘密鍵222を活性化する。
なお、その他の構成及び動作は上記の実施の形態と同様であるので、説明は省略する。
【0025】
以上のように本実施の形態によれば、作業者が運用・保守端末20にログインする際にパスワードではなく生態情報を用いることにより、パスワードの漏洩による正当ユーザのなり済ましを防止し、確実に作業者を特定することが可能となる。
【0026】
実施の形態4.
上記実施の形態では、運用・保守作業の記録は運用・保守端末内の記録保管領域に格納していたが、システム管理者が運用・保守作業の結果を確認するためには運用・保守端末から管理者端末に運用・保守記録を取り出して、確認する必要があった。本実施の形態では、運用・保守作業の記録をネットワークを介して、記録サーバに保存することにより、システム管理者が運用・保守作業後に運用・保守端末から取り出すことなく記録を参照可能とする。
【0027】
図8はこの発明の実施の形態4によるプラントの運用・保守端末20を説明するための構成図である。運用・保守端末20は、ネットワーク60を介して、記録サーバ50に接続される。運用・保守端末20内の運用・保守ツール21は、運用・保守作業の記録に対して署名付与・暗号化機能22により作業者秘密鍵222で署名し管理者公開鍵で暗号化を行った後、記録送信処理26により記録サーバ50に送信し、記録サーバ50内の記録保管領域250に格納する。そして、システム管理者は、記録サーバ50に格納された運用・保守記録を管理者秘密鍵220を用いて復号し、作業者公開鍵223を用いて付与された署名を検証する。なお、ネットワーク60は、専用の保守回線を用いてもよいし、インターネットを使用してもよい。インターネットを介して運用・保守記録データを送信した場合も、システム管理者の管理者公開鍵によって暗号化されているため、運用・保守記録データの内容が漏洩することはない。
なお、その他の構成及び動作は上記の実施の形態と同様であるので、説明は省略する。
【0028】
以上のように本実施の形態によれば、システム管理者が運用・保守端末から運用・保守記録を取り出すことなく、記録サーバに格納された運用・保守記録データを用いて、運用・保守作業の結果を確認することができるという効果がある。
【0029】
実施の形態5.
図9はこの発明の実施の形態5による記録サーバ50の動作を説明するための構成図である。
記録サーバ50は、実施の形態4で説明した運用・保守端末20の記録送信処理26から送信される運用・保守記録を保管する記録保管領域250を有し、記録保管領域250には、署名付与・暗号化された更新ファイル(監視プログラム251、制御プログラム252、設定ファイル253)、操作記録254及びログ255が保管される。
また、記録サーバ50は、署名され暗号化された運用・保守記録を復号し署名検証を行う復号・署名検証機能52と、復号された運用・保守記録を基準ファイル及び基準データと比較検証する作業チェック・ログ監視機能51を有している。
さらに、記録サーバ50は、システム管理者の管理者秘密鍵220及び各作業者の作業者公開鍵223を保持する鍵保管領域270を有している。また、記録サーバ50は、基準ファイルとしての、作業者の運用・保守作業用として予め登録したファイル(監視プログラム261、制御プログラム262、設定ファイル263)と、基準データとしての、運用・保守作業の作業計画データ264及びプラント10のログ閾値データ265を格納しているファイル格納エリア260を有している。
なお、記録保管領域250及び鍵保管領域270は、作業者を含めて第三者による鍵及びファイルの持ち出しや削除等を防止するために、システム管理者のみがアクセスできる管理者アクセス領域280に保管することが望ましい。
【0030】
図10はファイル格納エリア260に格納されている作業計画データ264の一例である。作業計画264には、作業予定者、作業日、作業時間、及び作業の手順としての実施する作業と対象となるファイルや装置が記載されている。
図12はファイル格納エリア260に格納されているプラントのログ閾値データ265の一例である。プラントのログの閾値には監視対象及び当該監視対象の計測値の最小値と最大値を記載する。
【0031】
次に、本実施の形態の記録サーバ50の動作について説明する。記録サーバ50は、運用・保守端末20から送信されて記録保管領域250に保管された運用・保守記録(更新ファイル(監視プログラム251、制御プログラム252、設定ファイル253)、操作記録254及びログ255)を、復号・署名検証機能52によって、管理者秘密鍵220を用いて復号し、その後、作業者公開鍵223を用いて署名検証を行う。
記録サーバ50は上記の署名検証が完了すると、作業チェック・ログ監視機能51によって、作業計画データ264を参照し、実際の作業者が計画された作業者と同一であるかどうかを判定する。
その後、作業チェック・ログ監視機能51は、プラント10にアップロードした監視プログラム251、制御プログラム252及び設定ファイル253が、予め計画時に登録された監視プログラム261、制御プログラム262、設定ファイル263と同じであるかどうかを比較する。
また、作業チェック・ログ監視機能51は、操作記録254が作業計画データ264に記載された作業手順と合致しているかどうかを比較する。図11は運用・保守ツール21の出力する操作記録の一例を示す。操作記録254には、実行日時、実行コマンド、実行結果が記載されている。
さらに、作業チェック・ログ監視機能51は、プラントから取得したログ255について、ログ閾値データ265に基づき異常な値を検出していないかどうかを検索する。図13はプラントの出力するログ255の一例を示す。
作業チェック・ログ監視機能51は、上記の内容について異常が発見された場合、アラートを出力する。
【0032】
以上のように本実施の形態によれば、運用・保守作業の記録から実際に計画された運用・保守が実施されたかどうかを自動的に検出可能となり、設定ミスなどによる事故の防止に役立つ。
【符号の説明】
【0033】
10 プラント、11 監視装置、12a〜12n 制御装置、
20 運用・保守端末、21 運用・保守ツール、22 署名付与・暗号化機能、
23 ユーザ管理機能、24 公開鍵組生成ツール、25 秘密鍵活性化機能、
26 記録送信処理、30 管理者端末、40 生態認証装置、41 作業者生態情報、50 記録サーバ、51 作業チェック・ログ監視機能、52 復号・署名検証機能、
200 作業ファイル格納エリア、201 監視プログラム、202 制御プログラム、203 設定ファイル、210 管理者アクセス領域、211 記録保管領域、
212 鍵保管領域、220 管理者秘密鍵、221 管理者公開鍵、
222 作業者秘密鍵、223 作業者公開鍵、224 パスフレーズ、
250 記録保管領域、260 ファイル格納エリア、270 鍵保管領域、
300 認証局。
【技術分野】
【0001】
この発明は、プラントの制御・監視システムにおいて、プラントの運用・保守作業を実施した作業者を特定できるとともに、運用・保守記録の改ざんや漏洩を防止するプラント運用・保守端末及びプラント運用・保守の記録管理方法に関するものである。
【背景技術】
【0002】
従来、プラント点検保守記録の管理方法及び装置として、例えば、特許文献1で開示されているような管理方法及び装置が知られている。
この管理方法は、例えば、機器の点検保守の結果を記録保存手段を用いてデジタルデータとして保存する処理ステップと、点検保守管理者が前記デジタルデータを承認したのち、第1メッセージダイジェスト計算手段を用いて当該デジタルデータから認証データとしてのメッセージダイジェストを計算する処理ステップと、前記認証データを第1の通信手段を用いて認証機関に送信する処理ステップと、認証機関において、プラントから送信された前記認証データを受信する処理ステップと、この受信した認証データを受信時刻と共に認証記録保存手段に登録する処理ステップと、この認証記録保存手段に登録された認証データを第2の通信手段を用いてプラントに返信する処理ステップと、プラントにおいて、前記認証機関から返信された認証データを受信する処理ステップと、プラント内で作成された前記認証データと前記第2の通信手段を用いて受信した認証データを比較して両者の同一性を確認する処理ステップからなる。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2005−284854号公報(請求項2、図1など)
【発明の概要】
【発明が解決しようとする課題】
【0004】
プラントの監視・制御システムにおいては、プラントの点検保守だけではなく、プラントの機能追加や設定変更のために、プラント内の監視装置のプログラムの更新、プラント内の制御装置のプログラムの更新、各種設定ファイルの更新等の変更作業を行うことも多い。このような変更作業にあたっては、変更作業履歴として変更作業の記録を行う必要があるが、そのときの変更作業記録は、点検記録の様に第三者によって改ざんされていないことを保証するだけでは充分ではなく、誰によって操作されたかを保証することが重要となる。
【0005】
特に、サイバーセキュリティのターゲットとなるような原子力発電所などの重要プラントの場合、実際に行われた作業が第三者によって改ざんされていないことを保証するばかりでなく、誰によって操作されたかを検証することは非常に重要となる。
【0006】
この発明は上記のような課題を解決するためになされたものであり、プラントの運用・保守作業がどの作業者によって行われたかを特定することができると共に、運用・保守記録の改ざんや漏洩を防止することができるようにしたプラント運用・保守端末及びプラント運用・保守の記録管理方法を提供する。
【課題を解決するための手段】
【0007】
この発明によるプラント運用・保守端末は、システム管理者と作業者という異なる権限を有する二種のユーザを備えると共に、プラントの運用・保守作業を行う運用・保守ツールと、システム管理者の管理者公開鍵と管理者秘密鍵及び作業者の作業者公開鍵と作業者秘密鍵を生成する公開鍵組生成ツールと、公開鍵組生成ツールで生成した管理者公開鍵及び作業者秘密鍵を保管する鍵保管領域と、作業者が運用・保守ツールを用いて行ったプラントの運用・保守記録を、作業者秘密鍵で署名すると共に、管理者公開鍵で暗号化して保管する記録保管領域を備え、システム管理者は、記録保管領域に保管された運用・保守記録を管理者秘密鍵で復号すると共に作業者公開鍵で署名検証するものである。
【0008】
この発明によるプラント運用・保守の記録管理方法は、システム管理者の管理者公開鍵と管理者秘密鍵、並びに作業者の作業者公開鍵と作業者秘密鍵を生成するステップと、作業者がプラントの運用・保守作業を行った運用・保守記録を、作業者秘密鍵で署名すると共に管理者公開鍵で暗号化するステップと、システム管理者が、上記署名され暗号化された運用・保守記録を管理者秘密鍵で復号すると共に作業者公開鍵で署名検証するステップとを含むものである。
【発明の効果】
【0009】
この発明のプラント運用・保守端末及びプラント運用・保守の記録管理方法によれば、プラントの運用・保守作業の記録に対して、作業者秘密鍵により署名付与を行いかつ管理者公開鍵による暗号化を行うことで、作業者の特定を可能とし、かつ運用・保守記録の改ざん及び漏洩を防止することができる。
【図面の簡単な説明】
【0010】
【図1】この発明の実施の形態1によるプラントの運用・保守端末及び方法を説明するための全体構成図を示す。
【図2】この発明の実施の形態1においてシステム管理者の公開鍵組の生成と作業者の登録の手順を示すフローチャートを示す。
【図3】この発明の実施の形態1において作業者が運用・保守作業を実施する場合の手順を示すフローチャートを示す。
【図4】この発明の実施の形態1においてシステム管理者が運用・保守記録を閲覧し検証するフローチャートを示す。
【図5】この発明の実施の形態2で使用するPKIに基づく電子証明書の発行の手順を示す。
【図6】この発明の実施の形態2によるプラントの運用・保守端末を説明するための構成図である。
【図7】この発明の実施の形態3によるプラントの運用・保守端末を説明するための構成図である。
【図8】この発明の実施の形態4によるプラントの運用・保守端末を説明するための構成図である。
【図9】この発明の実施の形態5による記録サーバの動作を説明するための構成図である。
【図10】この発明の実施の形態5による作業計画データの一例を示す。
【図11】この発明の実施の形態5による操作記録の一例を示す。
【図12】この発明の実施の形態5によるログの閾値データの一例を示す。
【図13】この発明の実施の形態5によるプラントの出力するログの一例を示す。
【発明を実施するための形態】
【0011】
実施の形態1.
図1はこの発明の実施の形態1によるプラントの運用・保守端末及び運用・保守方法を説明するための全体構成図である。
図1において、10は例えば原子力発電所等のプラントであり、20はプラント10の運用・保守を実施する運用・保守端末であり、30はシステム管理者用の管理者端末である。
プラント10は、プラント全体を監視する監視装置11と、監視装置11により監視される制御装置12a〜12nを有し、ネットワーク13を介して接続されている。制御装置12a〜12nには、それぞれプラント制御機器等(図示せず)がI/Oを介して接続されている。
運用・保守端末20は、作業者がプラント10の運用・保守作業を実施する運用・保守ツール21を有している。また、運用・保守端末20は、作業者が運用・保守作業の際に使用する作業用ファイルを格納するための作業ファイル格納エリア200を有し、作業用ファイルとしての監視プログラム201、制御プログラム202、設定ファイル203を格納している。そして、作業者は、運用・保守ツール21を用いて、監視装置11に対して監視プログラム201や設定ファイル203をアップロードして更新したり、監視装置11からログを取得したりする等、各種操作を行う(図示(A))。また、作業者は、運用・保守ツール21を用いて、制御装置12a〜12nに対して制御プログラム202や設定ファイル203をアップロードして更新したり、制御装置12a〜12nからログを取得したりする等、各種操作を行う(図示(B))。
【0012】
運用・保守端末20は、システム管理者によるユーザの登録や作業者による運用・保守端末20へのログインを行うユーザ管理機能23と、システム管理者及び作業者の公開鍵と秘密鍵の組(管理者公開鍵と管理者秘密鍵、作業者公開鍵と作業者秘密鍵)を生成する公開鍵組生成ツール24を有している。また、運用・保守ツール21は、作業者により実施された運用・保守記録の署名付与及び暗号化を行うための署名付与・暗号化機能22と、作業者の秘密鍵を活性化するための秘密鍵活性化機能25を有している。
【0013】
運用・保守端末20は、システム管理者の管理者公開鍵221、作業者の作業者秘密鍵222、及び暗号化したパスフレーズ224を格納した鍵保管領域212を備える。
また、運用・保守端末20は、運用・保守ツール21の署名付与・暗号化機能22により署名付与・暗号化された運用・保守記録(操作記録211a、更新ファイル211b、ログ211c)を保管する記録保管領域211を備える。
ここで、記録保管領域211及び鍵保管領域212は、作業者を含めて第三者による鍵及びファイルの持ち出しや削除等を防止するために、システム管理者のみがアクセスできる管理者アクセス領域210に保管することが望ましい。
【0014】
運用・保守端末20は、システム管理者と作業者という権限の異なる2種類のユーザを設定できる。システム管理者は、運用・保守端末20におけるユーザ管理と、記録保管領域211に保管された運用・保守記録データの検証及び操作が可能である。作業者は、上述したように、運用・保守ツール21を用いて、プラント10の監視装置11や制御装置12a〜12nの運用・保守作業を行う。
【0015】
図2のフローチャートに基づいて、システム管理者による自己の公開鍵組の生成と作業者の登録の手順を説明する。
システム管理者は、あらかじめ公開鍵組生成ツール24を用いて、自己の管理者公開鍵221と管理者秘密鍵220の組を生成する(S100)。公開鍵組生成ツール24で生成された管理者公開鍵221は鍵保管領域212に格納される(S101)。一方、システム管理者は、管理者秘密鍵220を運用・保守端末20から管理者端末30へ取り出して管理者自身の管理下に置くと共に、管理者秘密鍵220を運用・保守端末20から削除する(S102)。
次に、システム管理者は、ユーザ管理機能23を用いて運用・保守端末20に作業者の登録を行う(S103)。ユーザ管理機能23は、指定された作業者名に基づいてユーザIDの割当を実施すると共に、指定された作業者が運用・保守端末20へログインする際に必要となるパスワードを生成する(S104)。また、ユーザ管理機能23は、公開鍵組生成ツール24を用いて作業者公開鍵223と作業者秘密鍵222の組を生成(S105)し、作業者秘密鍵222を鍵保管領域212に保管する(S106)。このとき、システム管理者は、作業者秘密鍵222を活性化するためのパスフレーズを指定する(S110)。また、システム管理者は、作業者公開鍵223を運用・保守端末20から取り出し、システム管理者の管理者端末30に保管する(S107)。
作業者秘密鍵222を活性化するためのパスフレーズは、作業者のログイン用のパスワードを用いて暗号化され、暗号化パスフレーズ224として鍵保管領域212に保管される(S108)。
【0016】
次に、図3のフローチャートに基づいて、作業者がプラント10の運用・保守作業を実施する場合の手順を説明する。
作業者は、ログインパスワードを用いて運用・保守端末20のユーザ管理機能23にログインすると、ユーザ管理機能23はログインパスワードに基づいて運用・保守ツール21を起動する(S120)。そして、運用・保守ツール21は、秘密鍵活性化機能25により、ログインした作業者のログインパスワードを使用して、作業者秘密鍵222を活性化するための暗号化パスフレーズ224を復号(S121)し、作業者秘密鍵222を活性化(S122)する。
次に、作業者は、運用・保守ツール21を使用してプラント10の運用・保守作業を行う。
作業者が、運用・保守ツール21を用いて、プラント10の監視装置11の監視プログラム及び制御装置12a〜12nの制御プログラムを更新する(S130)と、運用・保守ツール21の署名付与・暗号化機能22は、更新したプログラムに対して作業者秘密鍵222で署名を付与し、管理者公開鍵221で暗号化した後、記録保管領域211に格納する(S123)。
また、作業者が、運用・保守ツール21を用いて、設定ファイルを更新する(S131)と、運用・保守ツール21の署名付与・暗号化機能22は、更新した設定ファイルに対して作業者秘密鍵222で署名を付与し、管理者公開鍵221で暗号化した後、記録保管領域211に格納する(S124)。
また、作業者がプラント10に対して上記作業を含めて行った各種操作(S132)の操作履歴は、記録保管領域211にその都度記録される(S125)。
さらに、作業者がプラント10のログを表示する(S133)と、運用・保守ツール21の署名付与・暗号化機能22は、ログ表示用に運用・保守端末20にダウンロードされたログデータに対して作業者秘密鍵222で署名を付与し、管理者公開鍵221で暗号化した後、記録保管領域211に格納する(S126)。
作業者が運用・保守作業を終了する(S134)と、運用・保守ツール21の署名付与・暗号化機能22は、上記各種操作履歴を作業者秘密鍵222で署名を付与し、管理者公開鍵221で暗号化した後、記録保管領域211に格納する(S127)。
最後に、運用・保守ツール21は、作業者の秘密鍵活性化用の復号したパスフレーズを廃棄した後、作業者秘密鍵の非活性化を行う(S128)。
そして、作業者はログアウトする(S129)。
【0017】
図4はシステム管理者が運用・保守記録を閲覧して検証するフローチャートを示す。
システム管理者は、作業者による運用・保守作業の完了後、運用・保守端末20の記録保管領域211から作業者秘密鍵222で署名され管理者公開鍵221で暗号化された運用・保守記録(操作記録211a、更新ファイル211b、ログ211c)を管理者端末30に取り出す(S140)。そして、システム管理者は、管理者秘密鍵220により、管理者公開鍵221で暗号化された運用・保守記録を復号して(S141)、運用・保守記録の検証を行う。また、システム管理者は、復号された運用・保守記録を作業者公開鍵223を用いて作業者秘密鍵222で付与された署名の検証を行う(S142、S143)。
【0018】
以上のように本実施の形態によれば、作業者が運用・保守ツールを用いて運用・保守作業を行う際に、更新プログラム、設定ファイル、プラントのログ、及び各種操作履歴を作業者秘密鍵で署名した後、管理者公開鍵で暗号化するようにしたので、システム管理者は運用・保守作業を実施した作業者を特定することができる。また、運用・保守作業の内容及び結果が改ざんされていないことを確認できる。さらに、システム管理者だけが復号できるように暗号化しているために、運用・保守記録の内容が他に漏洩することを防止できる。
【0019】
実施の形態2.
本実施の形態ではPKI(Public Key Infrastructure)に基づく電子証明書を利用することにより、システム管理者及び作業者の正当性を第三者機関である認証局(CA:Certification Authority)によって保証することを目的とする。
【0020】
図5はこの発明の実施の形態2で使用するPKIに基づく電子証明書の発行の手順を示す。システム管理者は、実施の形態1で説明したように公開鍵組生成ツール24により、管理者公開鍵221及び管理者秘密鍵220の組と、登録する作業者(作業者W1〜作業者Wn)の作業者公開鍵(223−1〜223−n)及び作業者秘密鍵(222−1〜222−n)の組を生成する。上記生成した全ての公開鍵を認証局300に送り、証明書の発行を依頼する。認証局300は受け取った公開鍵(管理者公開鍵221、作業者公開鍵223−1〜223−n)に対して、各鍵の所有者を審査し、公開鍵(管理者公開鍵221、作業者公開鍵223−1〜223−n)を内部に格納した電子証明書(管理者証明書230、作業者証明書231−1〜231−n)を発行する。管理者証明書230は運用・保守端末20の鍵保管領域212に保管され、作業者証明書231−1〜231−nは管理者端末30で管理される。
【0021】
図6はこの発明の実施の形態2によるプラントの運用・保守端末20を説明するための構成図である。本実施の形態では、作業者が、運用・保守ツール21を用いて、監視プログラム、制御プログラム又は設定ファイルを更新したり、ログを表示したり、各種操作を実施すると、運用・保守ツール21の署名付与・暗号化機能22は、更新したプログラムやログデータ等の運用保守記録に対して作業者秘密鍵222で署名を付与すると共に、管理者公開鍵を格納した管理者証明書230で暗号化した後、記録保管領域211に格納する。このとき、署名付与・暗号化機能22は運用保守記録を暗号化する際に、認証局300に対してシステム管理者の証明書の検証を要求することが出来る。
そして、システム管理者は、管理者秘密鍵220により、管理者証明書230で暗号化された運用・保守記録を復号して、運用・保守記録の検証を行う。また、復号された運用・保守記録を作業者証明書231−1〜231−nを用いて署名の検証を行う。
なお、その他の構成及び動作は上記の実施の形態と同様であるので、説明は省略する。
【0022】
以上のように本実施の形態によれば、第三者機関である認証局(CA:Certification Authority)によってシステム管理者及び作業者の特定が可能となり、システム管理者権限搾取によるシステム管理者や作業者の詐称を防止する効果がある。
【0023】
実施の形態3.
上記実施の形態では、運用・保守端末20にログインするパスワードが漏洩したり、作業者が別の作業者に教えた場合には、第3者ユーザがログインして運用・保守作業をする危険性がある。本実施の形態では、運用・保守端末20へのログイン及び作業者の秘密鍵の活性化を行う際に、パスワードではなく、生態認証機能を用いることとする。
【0024】
図7はこの発明の実施の形態3によるプラントの運用・保守端末20を説明するための構成図である。運用・保守端末20には生態認証装置40が接続される。システム管理者は作業者を登録する際に、ユーザ管理機能23に登録した作業者W1〜Wnから、当該作業者が生態認証装置40によって認証されるための作業者生態情報41−1〜41−nを採取し、運用・保守端末20内に登録しておく。
ユーザ管理機能23は登録された作業者生態情報41−1〜41−nを用いて、作業者秘密鍵222を活性化するためのパスフレーズ224を暗号化し、鍵保管領域212に格納する。
ユーザが運用・保守端末20にログインする際に、ユーザ管理機能23は生態認証装置40から入力された作業者生態情報41と登録されている作業者生態情報41−1〜41−nを比較して同一であれば、ログインを許可する。運用・保守ツール21が起動されると、秘密鍵活性化機能25は入力された作業者生態情報41を用いて作業者秘密鍵222を活性化するためのパスフレーズ224を復号し、作業者秘密鍵222を活性化する。
なお、その他の構成及び動作は上記の実施の形態と同様であるので、説明は省略する。
【0025】
以上のように本実施の形態によれば、作業者が運用・保守端末20にログインする際にパスワードではなく生態情報を用いることにより、パスワードの漏洩による正当ユーザのなり済ましを防止し、確実に作業者を特定することが可能となる。
【0026】
実施の形態4.
上記実施の形態では、運用・保守作業の記録は運用・保守端末内の記録保管領域に格納していたが、システム管理者が運用・保守作業の結果を確認するためには運用・保守端末から管理者端末に運用・保守記録を取り出して、確認する必要があった。本実施の形態では、運用・保守作業の記録をネットワークを介して、記録サーバに保存することにより、システム管理者が運用・保守作業後に運用・保守端末から取り出すことなく記録を参照可能とする。
【0027】
図8はこの発明の実施の形態4によるプラントの運用・保守端末20を説明するための構成図である。運用・保守端末20は、ネットワーク60を介して、記録サーバ50に接続される。運用・保守端末20内の運用・保守ツール21は、運用・保守作業の記録に対して署名付与・暗号化機能22により作業者秘密鍵222で署名し管理者公開鍵で暗号化を行った後、記録送信処理26により記録サーバ50に送信し、記録サーバ50内の記録保管領域250に格納する。そして、システム管理者は、記録サーバ50に格納された運用・保守記録を管理者秘密鍵220を用いて復号し、作業者公開鍵223を用いて付与された署名を検証する。なお、ネットワーク60は、専用の保守回線を用いてもよいし、インターネットを使用してもよい。インターネットを介して運用・保守記録データを送信した場合も、システム管理者の管理者公開鍵によって暗号化されているため、運用・保守記録データの内容が漏洩することはない。
なお、その他の構成及び動作は上記の実施の形態と同様であるので、説明は省略する。
【0028】
以上のように本実施の形態によれば、システム管理者が運用・保守端末から運用・保守記録を取り出すことなく、記録サーバに格納された運用・保守記録データを用いて、運用・保守作業の結果を確認することができるという効果がある。
【0029】
実施の形態5.
図9はこの発明の実施の形態5による記録サーバ50の動作を説明するための構成図である。
記録サーバ50は、実施の形態4で説明した運用・保守端末20の記録送信処理26から送信される運用・保守記録を保管する記録保管領域250を有し、記録保管領域250には、署名付与・暗号化された更新ファイル(監視プログラム251、制御プログラム252、設定ファイル253)、操作記録254及びログ255が保管される。
また、記録サーバ50は、署名され暗号化された運用・保守記録を復号し署名検証を行う復号・署名検証機能52と、復号された運用・保守記録を基準ファイル及び基準データと比較検証する作業チェック・ログ監視機能51を有している。
さらに、記録サーバ50は、システム管理者の管理者秘密鍵220及び各作業者の作業者公開鍵223を保持する鍵保管領域270を有している。また、記録サーバ50は、基準ファイルとしての、作業者の運用・保守作業用として予め登録したファイル(監視プログラム261、制御プログラム262、設定ファイル263)と、基準データとしての、運用・保守作業の作業計画データ264及びプラント10のログ閾値データ265を格納しているファイル格納エリア260を有している。
なお、記録保管領域250及び鍵保管領域270は、作業者を含めて第三者による鍵及びファイルの持ち出しや削除等を防止するために、システム管理者のみがアクセスできる管理者アクセス領域280に保管することが望ましい。
【0030】
図10はファイル格納エリア260に格納されている作業計画データ264の一例である。作業計画264には、作業予定者、作業日、作業時間、及び作業の手順としての実施する作業と対象となるファイルや装置が記載されている。
図12はファイル格納エリア260に格納されているプラントのログ閾値データ265の一例である。プラントのログの閾値には監視対象及び当該監視対象の計測値の最小値と最大値を記載する。
【0031】
次に、本実施の形態の記録サーバ50の動作について説明する。記録サーバ50は、運用・保守端末20から送信されて記録保管領域250に保管された運用・保守記録(更新ファイル(監視プログラム251、制御プログラム252、設定ファイル253)、操作記録254及びログ255)を、復号・署名検証機能52によって、管理者秘密鍵220を用いて復号し、その後、作業者公開鍵223を用いて署名検証を行う。
記録サーバ50は上記の署名検証が完了すると、作業チェック・ログ監視機能51によって、作業計画データ264を参照し、実際の作業者が計画された作業者と同一であるかどうかを判定する。
その後、作業チェック・ログ監視機能51は、プラント10にアップロードした監視プログラム251、制御プログラム252及び設定ファイル253が、予め計画時に登録された監視プログラム261、制御プログラム262、設定ファイル263と同じであるかどうかを比較する。
また、作業チェック・ログ監視機能51は、操作記録254が作業計画データ264に記載された作業手順と合致しているかどうかを比較する。図11は運用・保守ツール21の出力する操作記録の一例を示す。操作記録254には、実行日時、実行コマンド、実行結果が記載されている。
さらに、作業チェック・ログ監視機能51は、プラントから取得したログ255について、ログ閾値データ265に基づき異常な値を検出していないかどうかを検索する。図13はプラントの出力するログ255の一例を示す。
作業チェック・ログ監視機能51は、上記の内容について異常が発見された場合、アラートを出力する。
【0032】
以上のように本実施の形態によれば、運用・保守作業の記録から実際に計画された運用・保守が実施されたかどうかを自動的に検出可能となり、設定ミスなどによる事故の防止に役立つ。
【符号の説明】
【0033】
10 プラント、11 監視装置、12a〜12n 制御装置、
20 運用・保守端末、21 運用・保守ツール、22 署名付与・暗号化機能、
23 ユーザ管理機能、24 公開鍵組生成ツール、25 秘密鍵活性化機能、
26 記録送信処理、30 管理者端末、40 生態認証装置、41 作業者生態情報、50 記録サーバ、51 作業チェック・ログ監視機能、52 復号・署名検証機能、
200 作業ファイル格納エリア、201 監視プログラム、202 制御プログラム、203 設定ファイル、210 管理者アクセス領域、211 記録保管領域、
212 鍵保管領域、220 管理者秘密鍵、221 管理者公開鍵、
222 作業者秘密鍵、223 作業者公開鍵、224 パスフレーズ、
250 記録保管領域、260 ファイル格納エリア、270 鍵保管領域、
300 認証局。
【特許請求の範囲】
【請求項1】
システム管理者と作業者という異なる権限を有する二種のユーザを備えたプラント運用・保守端末であって、
プラントの運用・保守作業を行う運用・保守ツールと、
上記システム管理者の管理者公開鍵と管理者秘密鍵、及び上記作業者の作業者公開鍵と作業者秘密鍵を生成する公開鍵組生成ツールと、
上記公開鍵組生成ツールで生成した上記管理者公開鍵及び上記作業者秘密鍵を保管する鍵保管領域と、
上記作業者が上記運用・保守ツールを用いて行ったプラントの運用・保守記録を、上記作業者秘密鍵で署名すると共に、上記管理者公開鍵で暗号化して保管する記録保管領域を備え、
上記システム管理者は、上記記録保管領域に保管された運用・保守記録を、上記管理者秘密鍵で復号すると共に上記作業者公開鍵で署名検証するプラント運用・保守端末。
【請求項2】
請求項1に記載のプラント運用・保守端末において、ネットワークを介して記録サーバが接続され、上記記録サーバに、上記作業者秘密鍵で署名されると共に上記管理者公開鍵で暗号化されたプラントの運用・保守記録を保管する記録保管領域を備えたプラント運用・保守端末。
【請求項3】
上記記録サーバは、上記記録保管領域に保管された運用・保守記録を、上記管理者秘密鍵を用いて復号し、上記作業者公開鍵を用いて署名検証を行う復号・署名検証機能と、上記復号した運用・保守記録を基準ファイル及び基準データと比較検証する作業チェック・ログ監視機能を備えた請求項2に記載のプラント運用・保守端末。
【請求項4】
上記作業者が上記運用・保守ツールにログインパスワードによりログインした場合、上記ログインパスワードを用いて予め登録されている暗号化パスフレーズを復号し、復号されたパスフレーズにより上記作業者秘密鍵を活性化する請求項1から請求項3のいずれか1項に記載のプラント運用・保守端末。
【請求項5】
請求項1から請求項3のいずれか1項に記載のプラント運用・保守端末において、生態認証装置が接続され、上記作業者が作業者生態情報によりログインした場合、上記生態情報を用いて予め登録されている暗号化パスフレーズを復号し、復号されたパスフレーズにより上記作業者秘密鍵を活性化するプラント運用・保守端末。
【請求項6】
上記管理者公開鍵及び上記作業者公開鍵の代わりに、上記管理者公開鍵及び上記作業者公開鍵をそれぞれ内部に格納したPKI(Public Key Infrastructure)に基づく管理者証明書及び作業者証明書を使用する請求項1から請求項5のいずれか1項に記載したプラント運用・保守端末。
【請求項7】
システム管理者の管理者公開鍵と管理者秘密鍵、並びに作業者の作業者公開鍵と作業者秘密鍵を生成するステップと、
上記作業者がプラントの運用・保守作業を行った運用・保守記録を、上記作業者秘密鍵で署名すると共に上記管理者公開鍵で暗号化するステップと、
上記システム管理者が、上記署名され暗号化された運用・保守記録を、上記管理者秘密鍵で復号すると共に上記作業者公開鍵で署名検証するステップとを含むプラント運用・保守の記録管理方法。
【請求項1】
システム管理者と作業者という異なる権限を有する二種のユーザを備えたプラント運用・保守端末であって、
プラントの運用・保守作業を行う運用・保守ツールと、
上記システム管理者の管理者公開鍵と管理者秘密鍵、及び上記作業者の作業者公開鍵と作業者秘密鍵を生成する公開鍵組生成ツールと、
上記公開鍵組生成ツールで生成した上記管理者公開鍵及び上記作業者秘密鍵を保管する鍵保管領域と、
上記作業者が上記運用・保守ツールを用いて行ったプラントの運用・保守記録を、上記作業者秘密鍵で署名すると共に、上記管理者公開鍵で暗号化して保管する記録保管領域を備え、
上記システム管理者は、上記記録保管領域に保管された運用・保守記録を、上記管理者秘密鍵で復号すると共に上記作業者公開鍵で署名検証するプラント運用・保守端末。
【請求項2】
請求項1に記載のプラント運用・保守端末において、ネットワークを介して記録サーバが接続され、上記記録サーバに、上記作業者秘密鍵で署名されると共に上記管理者公開鍵で暗号化されたプラントの運用・保守記録を保管する記録保管領域を備えたプラント運用・保守端末。
【請求項3】
上記記録サーバは、上記記録保管領域に保管された運用・保守記録を、上記管理者秘密鍵を用いて復号し、上記作業者公開鍵を用いて署名検証を行う復号・署名検証機能と、上記復号した運用・保守記録を基準ファイル及び基準データと比較検証する作業チェック・ログ監視機能を備えた請求項2に記載のプラント運用・保守端末。
【請求項4】
上記作業者が上記運用・保守ツールにログインパスワードによりログインした場合、上記ログインパスワードを用いて予め登録されている暗号化パスフレーズを復号し、復号されたパスフレーズにより上記作業者秘密鍵を活性化する請求項1から請求項3のいずれか1項に記載のプラント運用・保守端末。
【請求項5】
請求項1から請求項3のいずれか1項に記載のプラント運用・保守端末において、生態認証装置が接続され、上記作業者が作業者生態情報によりログインした場合、上記生態情報を用いて予め登録されている暗号化パスフレーズを復号し、復号されたパスフレーズにより上記作業者秘密鍵を活性化するプラント運用・保守端末。
【請求項6】
上記管理者公開鍵及び上記作業者公開鍵の代わりに、上記管理者公開鍵及び上記作業者公開鍵をそれぞれ内部に格納したPKI(Public Key Infrastructure)に基づく管理者証明書及び作業者証明書を使用する請求項1から請求項5のいずれか1項に記載したプラント運用・保守端末。
【請求項7】
システム管理者の管理者公開鍵と管理者秘密鍵、並びに作業者の作業者公開鍵と作業者秘密鍵を生成するステップと、
上記作業者がプラントの運用・保守作業を行った運用・保守記録を、上記作業者秘密鍵で署名すると共に上記管理者公開鍵で暗号化するステップと、
上記システム管理者が、上記署名され暗号化された運用・保守記録を、上記管理者秘密鍵で復号すると共に上記作業者公開鍵で署名検証するステップとを含むプラント運用・保守の記録管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2012−178074(P2012−178074A)
【公開日】平成24年9月13日(2012.9.13)
【国際特許分類】
【出願番号】特願2011−41059(P2011−41059)
【出願日】平成23年2月28日(2011.2.28)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成24年9月13日(2012.9.13)
【国際特許分類】
【出願日】平成23年2月28日(2011.2.28)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]