ユーザ認証システム
【課題】システムの可用性を維持しつつセキュリティを高めることができるユーザ認証システムを実現する。
【解決手段】ローカルユーザ認証手段を有する操作監視端末と、ドメインユーザ認証手段を有し前記操作監視端末と通信するドメインコントローラとを具備する制御システムに対し、前記操作監視端末にログインするユーザを認証するユーザ認証システムにおいて、
前記操作監視端末は、
前記ドメインコントローラが正常に動作している状態時に前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、セキュリティ警報を発生するユーザ認証アラーム手段を備える。
【解決手段】ローカルユーザ認証手段を有する操作監視端末と、ドメインユーザ認証手段を有し前記操作監視端末と通信するドメインコントローラとを具備する制御システムに対し、前記操作監視端末にログインするユーザを認証するユーザ認証システムにおいて、
前記操作監視端末は、
前記ドメインコントローラが正常に動作している状態時に前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、セキュリティ警報を発生するユーザ認証アラーム手段を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ローカルユーザ認証手段を有する操作監視端末と、ドメインユーザ認証手段を有し前記操作監視端末と通信するドメインコントローラとを具備する制御システムに対し、前記操作監視端末にログインするユーザを認証するユーザ認証システムに関するものである。
【背景技術】
【0002】
図4は、プラント制御システムにおける従来のユーザ認証システムの構成例を示す機能ブロック図である。制御バス10には、2台の操作監視端末20,30が接続されている。
同様に、制御バス10には制御装置40,50,60が接続され、操作監視端末20,30と通信してプラントのフィールド機器のコントロールを実行する。
【0003】
一般に制御装置及び制御バスは冗長化されていて、プラント操業の継続性を高レベルで保証するものである。また、操作監視端末は互いに機能を代替することができ、一台の故障によってプラントの操業が不可になることはない。
【0004】
操作監視端末では、セキュリティ上の目的でログインするユーザの認証を行う。図4の構成例では、操作監視端末20及び30内にプラント制御システム独自に実装したローカルユーザ認証手段21及び31を備え、ユーザ認証は操作監視端末毎に独立した形態をとる。
【0005】
図5は、プラント制御システムにおける、従来のユーザ認証システムの他の構成例を示す機能ブロック図である。この構成例では、一般的なOSが持つ機能、例えばWindows(登録商標)のドメイン管理機構を利用したユーザ認証システムの例である。
【0006】
操作監視端末20,30は、情報ネットワーク70に接続され、この情報ネットワーク70に接続されたドメインコントローラ80と通信する。ドメインコントローラ80は、ドメインユーザ認証手段81を有し、そのドメインに属する全ユーザのユーザ名・パスワードの管理を行っている。
【0007】
操作監視端末20,30上でユーザ認証操作を行うと、ユーザが入力したユーザ名・パスワードを情報ネットワーク70を使ってドメインコントローラ80に問い合わせを実行し、妥当であればユーザ認証が成功する。
【0008】
ドメインコントローラによるユーザ認証システムでは、ユーザの管理を個々の操作監視端末20,30内で行うのではなく、ドメインコントローラ80上に集中することで、次のような利点がある。
(a)ユーザ名の重複を防止できる。
(b)システム全体でのユーザのパスワードを統一できる。
(c)システム全体に対してユーザ登録・削除・パスワード変更、アカウントのロックアウト等が速やかに伝播できる。
(d)ドメイン内でのユーザ認証の権限は、ドメインコントローラの管理者1名に限定される。従って、個々の操作監視端末の管理者権限のみでユーザの管理をすることができないので、セキュリティレベルが向上する。
【先行技術文献】
【非特許文献】
【0009】
【非特許文献1】日経バイト編、「最新パソコン技術大系2001」、日経BP社、2000年10月17日、p.311−317
【発明の概要】
【発明が解決しようとする課題】
【0010】
ドメインコントローラを使用する従来のユーザ認証システムでは、次のような問題がある。
(1)一般にドメインコントローラ80及び情報ネットワーク70は冗長化することは可能であるが、制御装置40,50,60や制御バス10ほどの高信頼性は持たない。従って、ユーザ認証をドメインコントローラにより集中管理した場合のシステム全体の可用性(availability)は、ドメインコントローラ80と情報ネットワーク70のレベルに下がってしまう可能性がある。
【0011】
(2)一方、ユーザ認証を個々の操作監視端末内に実装されているローカルユーザ認証手段で管理した場合には、その可用性は維持できるが、前述したセキュリティ上の利点が得られないという不利がある。
【0012】
本発明の目的は、システムの可用性を維持しつつセキュリティを高めることができるユーザ認証システムを実現することにある。
【課題を解決するための手段】
【0013】
このような課題を達成するために、本発明は次の通りの構成になっている。
(1)ローカルユーザ認証手段を有する操作監視端末と、ドメインユーザ認証手段を有し前記操作監視端末と通信するドメインコントローラとを具備する制御システムに対し、前記操作監視端末にログインするユーザを認証するユーザ認証システムにおいて、
前記操作監視端末は、
前記ドメインコントローラが正常に動作している状態時に前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、セキュリティ警報を発生するユーザ認証アラーム手段を備えることを特徴とするユーザ認証システム。
【0014】
(2)前記操作監視端末は、
前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、前記ドメインコントローラが正常動作中でなければ、前記ローカルユーザ認証手段によりユーザ認証することを特徴とする(1)に記載のユーザ認証システム。
【0015】
(3)前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、前記ドメインコントローラが正常動作中であれば、前記ユーザ認証アラーム手段によりアラームを発生した後に前記ローカルユーザ認証手段によりユーザ認証することを特徴とする(1)に記載のユーザ認証システム。
【0016】
(4)前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、前記ドメインコントローラの状態に係らず、前記ユーザ認証アラーム手段によりアラームを発生した後に前記ローカルユーザ認証手段によりユーザ認証することを特徴とする(1)に記載のユーザ認証システム。
【0017】
(5)前記アラームは、制御バスを介して接続されている他の操作監視端末に通知されることを特徴とする(1)乃至(4)のいずれかに記載のユーザ認証システム。
【発明の効果】
【0018】
本発明によれば、次のような効果を期待することができる。
(1)ドメインのユーザ認証が正常動作している場合には、セキュリティを保ちつつ操業が可能である。
【0019】
(2)ドメインのユーザ認証が正常動作していない場合には、緊急措置としてセキュリティの低下を受け入れつつローカル認証によってプラント操業を行うことが可能である。
【0020】
(3)ドメインのユーザ認証が正常動作しているにもかかわらずローカルユーザ認証を使用した場合には、セキュリティ侵害の可能性があるため警告を出すことができる。
【図面の簡単な説明】
【0021】
【図1】本発明を適用したユーザ認証システムの一実施例を示す機能ブロック図である。
【図2】本発明の信号処理手順を示すフローチャートである。
【図3】本発明の他の信号処理手順を示すフローチャートである。
【図4】プラント制御システムにおける、従来のユーザ認証システムの構成例を示す機能ブロック図である。
【図5】プラント制御システムにおける、従来のユーザ認証システムの他の構成例を示す機能ブロック図である。
【発明を実施するための形態】
【0022】
以下本発明を、図面を用いて詳細に説明する。図1は、本発明を適用したユーザ認証システムの一実施例を示す機能ブロック図である。図5で説明した従来構成と同一要素には同一符号を付して説明を省略する。
【0023】
本発明が適用された操作監視端末をブロック100で示す。操作監視端末100の内部バスには、操作監視手段101、制御バスインターフェース手段102、情報ネットワークインターフェース手段103、ユーザ認証手段104、このユーザ認証手段104の内部機能として動作するローカルユーザ認証手段105及びドメインユーザ認証手段106、ローカルユーザ情報保存手段107、本発明の特徴部であるユーザ認証アラーム手段200が接続されている。
【0024】
操作監視手段101乃至ローカルユーザ情報保存手段107は、一般的な操作監視端末で標準的に装備されている構成要素である。操作監視手段101は、制御装置40からのデータを表示したり制御装置40へ指示を行うユーザインタフェース及び内部的な機能を備える。
【0025】
制御バスインタフェース手段102は、制御バス10を介して制御装置40や他の操作監視端末30と通信する機能を有する。情報ネットワークインタフェース手段103は、情報ネットワーク70を介してドメインコントローラ80と通信する機能を有する。
【0026】
ユーザ認証手段104は、ユーザ認証を行う機能であり、内部的にはローカルユーザ認証手段105及びドメインユーザ認証手段106の機能を用いる。ユーザ認証手段105は、この操作監視端末で管理しているローカルユーザ情報保持手段107に問い合わせてユーザ認証を行う機能である。ドメインユーザ認証手段106は、ドメインコントローラ80に問い合わせてユーザ認証を行う機能である。
【0027】
ローカルユーザ情報保存手段107は、操作監視端末100内で管理しているユーザ情報を保存しており、情報ネットワークインタフェース手段103、ドメインコントローラ80及び情報ネットワーク70のいずれか、あるいは複数が正常に動作していない場合に利用するユーザの情報を管理している。
【0028】
以下、本発明によるユーザ認証の動作を、<動作シナリオ1>乃至<動作シナリオ4>により説明する。
<動作シナリオ1>
ここでは、ドメインコントローラ80、情報ネットワーク70を含めてシステム全体が正常に動作している場合に、ドメインコントローラのユーザ認証手段によりでユーザ認証を行う場合の動作を説明する。
【0029】
(1−1)操作監視作業を実行するため、操作監視端末100でドメインのユーザ認証操作を行う。
(1−2)ユーザ認証手段104は、ドメインユーザ認証手段106を用いてユーザ認証を試みる。
【0030】
(1−3)ドメインユーザ認証手段106は、情報ネットワークインタフェース手段103と情報ネットワーク70を用いて、ドメインコントローラ80に問い合わせる。
(1−4)ドメインコントローラ80上でユーザ情報の照合が成功すれば、ユーザ認証は成功する。
【0031】
<動作シナリオ2>
ここでは、ドメインコントローラ80、情報ネットワーク70、情報ネットワークインタフェース手段103のいずれか、または複数が利用できない場合の動作を説明する。この場合、ドメインユーザ認証を試みると、ドメインコントローラでのユーザ情報の照合ができないため、ユーザ認証は成功しない。その結果、操作監視端末が利用できず、プラントの操業に影響がでる。従って、この状況ではユーザはローカルユーザ認証を行う。
【0032】
(2−1)操作監視端末を利用するため、操作監視端末100でローカルのユーザ認証操作を行う。
(2−2)ユーザ認証手段104は、情報ネットワークインタフェース手段103と情報ネットワーク70を利用して、ドメインコントローラ80が正常動作しているかを確認する。正常動作している場合は、後述の<動作シナリオ4>を実施し、その後(2−3)に進む。正常動作していない場合は、そのまま(2−3)に進む。
【0033】
この<動作シナリオ2>の前提として、前記のように、ドメインコントローラ80、情報ネットワーク70、情報ネットワークインタフェース手段103のいずれか、または複数が利用できない状態であるため、ドメインコントローラ80は正常動作していないとみなされ、そのまま(2−3)に進む。
【0034】
(2−3)ユーザ認証手段104は、ローカルユーザ認証手段105を用いて、ローカルユーザ情報保存手段107で管理されているユーザ情報との照合を行う。照合が成功すればユーザ認証は成功する。
【0035】
<動作シナリオ3>
ここでは、ドメインコントローラ80、情報ネットワーク70を含めてシステム全体が正常に動作している場合に、ローカルユーザ認証手段105でユーザ認証を行った場合の動作を説明する。
【0036】
(3−1)操作監視端末を利用するため、操作監視端末100のローカルのユーザ認証手段105でローカルのユーザ認証操作を行う。
(3−2)ユーザ認証手段104は、情報ネットワークインタフェース手段103と情報ネットワーク70を利用して、ドメインコントローラ80が正常動作しているか否かを確認する。本シナリオの前提では正常動作しているとみなされ、後述の<動作シナリオ4>を実施し、その後(3−3)に進む。
【0037】
(3−3)ユーザ認証手段104は、ローカルユーザ認証手段105を用いて、ローカルユーザ情報保存手段107で管理されているユーザ情報との照合を行う。照合が成功すればユーザ認証は成功する。
【0038】
<動作シナリオ4>
ここでは、ドメインコントローラ80が利用可能であるにもかかわらず、ユーザがローカルユーザ認証手段105でユーザ認証を試みた場合の部分動作を説明する。
(4−1)ユーザ認証手段104は、ユーザ認証アラーム手段200に、ローカルユーザ認証が試みられたことを信号ALで通知する。
【0039】
(4−2)ユーザ認証アラーム手段200は、制御バスインタフェース手段102及び制御バス10を通じて他の操作監視端末30のアラーム管理機能に通知する。
(4−3)操作監視端末100は、この操作監視端末でローカルユーザ認証が試みられたことを表示する。
【0040】
図2は、本発明の信号処理手順を示すフローチャートであり、<動作シナリオ2>の(2−2)及び<動作シナリオ3>の(3−2)の動作をフローチャートで表したものである。
【0041】
ステップS1で処理をスタートすると、ステップS2でローカルユーザ認証であるか否かをチェックし、ドメインユーザ認証であれば、情報ネットワークを含めてドメインコントローラでのユーザ認証が正常動作している場合は、操作監視端末を利用するにあたってドメインコントローラによるユーザ認証を利用する。ステップS3でドメインコントローラで認証処理し、ステップS4で終了する。
【0042】
ステップS2のチェックで、ローカルユーザ認証である場合には、ステップS5でドメインコントローラが正常動作中か否かがチェックされる。ドメインコントローラでのユーザ認証が正常動作していない場合には、ドメインユーザ認証の機能の正常復帰を待つことなく操作監視を行う必要があるならば、緊急措置としてステップS6でローカルユーザ認証処理を実行する。
【0043】
ステップS5のチェックで、ドメインコントローラでのユーザ認証が正常動作している場合、緊急措置でもないのにローカルユーザ認証を利用することはセキュリティ上好ましくないため、ステップS7でユーザ認証アラーム発生処理を実行し、この操作監視端末でローカルユーザ認証が試みられたことをセキュリティ警告として報告する。この警告は他の操作監視端末に送信されて他のユーザに通知される。その後、ステップS6でローカルユーザ認証処理を実行する。
【0044】
セキュリティ警告の送信・通知のメカニズムは制御バス10を利用したものであり、少なくとも操業が可能な程度に制御バスが正常動作しているならば、必ず送信・通知が成功する。
【0045】
図3は、本発明の他の信号処理手順を示すフローチャートであり、図2のステップS5のチェックを省略したものである。図2では、ドメインコントローラが正常動作しているにもかかわらずローカルユーザ認証を試みたことに対してセキュリティ警告を出すものであった。これはプラント操業におけるアラーム発生の個数を抑える効果があった。
【0046】
図3のフローチャートで示す処理では、セキュリティのレベルを上げて、いかなる場合にも、ローカルユーザ認証を試みることに対してセキュリティ上の警告であるとみなす場合の処理である。
【符号の説明】
【0047】
10 制御バス
30 操作監視端末
31 ローカルユーザ認証手段
40 制御装置
70 情報ネットワーク
80 ドメインコントローラ
81 ドメインユーザ認証手段
100 操作監視端末
101 操作監視手段
102 制御バスインターフェース手段
103 情報ネットワークインターフェース手段
104 ユーザ認証手段
105 ローカルユーザ認証手段
106 ドメインユーザ認証手段
107 ローカルユーザ情報保存手段
200 ユーザ認証アラーム手段
【技術分野】
【0001】
本発明は、ローカルユーザ認証手段を有する操作監視端末と、ドメインユーザ認証手段を有し前記操作監視端末と通信するドメインコントローラとを具備する制御システムに対し、前記操作監視端末にログインするユーザを認証するユーザ認証システムに関するものである。
【背景技術】
【0002】
図4は、プラント制御システムにおける従来のユーザ認証システムの構成例を示す機能ブロック図である。制御バス10には、2台の操作監視端末20,30が接続されている。
同様に、制御バス10には制御装置40,50,60が接続され、操作監視端末20,30と通信してプラントのフィールド機器のコントロールを実行する。
【0003】
一般に制御装置及び制御バスは冗長化されていて、プラント操業の継続性を高レベルで保証するものである。また、操作監視端末は互いに機能を代替することができ、一台の故障によってプラントの操業が不可になることはない。
【0004】
操作監視端末では、セキュリティ上の目的でログインするユーザの認証を行う。図4の構成例では、操作監視端末20及び30内にプラント制御システム独自に実装したローカルユーザ認証手段21及び31を備え、ユーザ認証は操作監視端末毎に独立した形態をとる。
【0005】
図5は、プラント制御システムにおける、従来のユーザ認証システムの他の構成例を示す機能ブロック図である。この構成例では、一般的なOSが持つ機能、例えばWindows(登録商標)のドメイン管理機構を利用したユーザ認証システムの例である。
【0006】
操作監視端末20,30は、情報ネットワーク70に接続され、この情報ネットワーク70に接続されたドメインコントローラ80と通信する。ドメインコントローラ80は、ドメインユーザ認証手段81を有し、そのドメインに属する全ユーザのユーザ名・パスワードの管理を行っている。
【0007】
操作監視端末20,30上でユーザ認証操作を行うと、ユーザが入力したユーザ名・パスワードを情報ネットワーク70を使ってドメインコントローラ80に問い合わせを実行し、妥当であればユーザ認証が成功する。
【0008】
ドメインコントローラによるユーザ認証システムでは、ユーザの管理を個々の操作監視端末20,30内で行うのではなく、ドメインコントローラ80上に集中することで、次のような利点がある。
(a)ユーザ名の重複を防止できる。
(b)システム全体でのユーザのパスワードを統一できる。
(c)システム全体に対してユーザ登録・削除・パスワード変更、アカウントのロックアウト等が速やかに伝播できる。
(d)ドメイン内でのユーザ認証の権限は、ドメインコントローラの管理者1名に限定される。従って、個々の操作監視端末の管理者権限のみでユーザの管理をすることができないので、セキュリティレベルが向上する。
【先行技術文献】
【非特許文献】
【0009】
【非特許文献1】日経バイト編、「最新パソコン技術大系2001」、日経BP社、2000年10月17日、p.311−317
【発明の概要】
【発明が解決しようとする課題】
【0010】
ドメインコントローラを使用する従来のユーザ認証システムでは、次のような問題がある。
(1)一般にドメインコントローラ80及び情報ネットワーク70は冗長化することは可能であるが、制御装置40,50,60や制御バス10ほどの高信頼性は持たない。従って、ユーザ認証をドメインコントローラにより集中管理した場合のシステム全体の可用性(availability)は、ドメインコントローラ80と情報ネットワーク70のレベルに下がってしまう可能性がある。
【0011】
(2)一方、ユーザ認証を個々の操作監視端末内に実装されているローカルユーザ認証手段で管理した場合には、その可用性は維持できるが、前述したセキュリティ上の利点が得られないという不利がある。
【0012】
本発明の目的は、システムの可用性を維持しつつセキュリティを高めることができるユーザ認証システムを実現することにある。
【課題を解決するための手段】
【0013】
このような課題を達成するために、本発明は次の通りの構成になっている。
(1)ローカルユーザ認証手段を有する操作監視端末と、ドメインユーザ認証手段を有し前記操作監視端末と通信するドメインコントローラとを具備する制御システムに対し、前記操作監視端末にログインするユーザを認証するユーザ認証システムにおいて、
前記操作監視端末は、
前記ドメインコントローラが正常に動作している状態時に前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、セキュリティ警報を発生するユーザ認証アラーム手段を備えることを特徴とするユーザ認証システム。
【0014】
(2)前記操作監視端末は、
前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、前記ドメインコントローラが正常動作中でなければ、前記ローカルユーザ認証手段によりユーザ認証することを特徴とする(1)に記載のユーザ認証システム。
【0015】
(3)前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、前記ドメインコントローラが正常動作中であれば、前記ユーザ認証アラーム手段によりアラームを発生した後に前記ローカルユーザ認証手段によりユーザ認証することを特徴とする(1)に記載のユーザ認証システム。
【0016】
(4)前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、前記ドメインコントローラの状態に係らず、前記ユーザ認証アラーム手段によりアラームを発生した後に前記ローカルユーザ認証手段によりユーザ認証することを特徴とする(1)に記載のユーザ認証システム。
【0017】
(5)前記アラームは、制御バスを介して接続されている他の操作監視端末に通知されることを特徴とする(1)乃至(4)のいずれかに記載のユーザ認証システム。
【発明の効果】
【0018】
本発明によれば、次のような効果を期待することができる。
(1)ドメインのユーザ認証が正常動作している場合には、セキュリティを保ちつつ操業が可能である。
【0019】
(2)ドメインのユーザ認証が正常動作していない場合には、緊急措置としてセキュリティの低下を受け入れつつローカル認証によってプラント操業を行うことが可能である。
【0020】
(3)ドメインのユーザ認証が正常動作しているにもかかわらずローカルユーザ認証を使用した場合には、セキュリティ侵害の可能性があるため警告を出すことができる。
【図面の簡単な説明】
【0021】
【図1】本発明を適用したユーザ認証システムの一実施例を示す機能ブロック図である。
【図2】本発明の信号処理手順を示すフローチャートである。
【図3】本発明の他の信号処理手順を示すフローチャートである。
【図4】プラント制御システムにおける、従来のユーザ認証システムの構成例を示す機能ブロック図である。
【図5】プラント制御システムにおける、従来のユーザ認証システムの他の構成例を示す機能ブロック図である。
【発明を実施するための形態】
【0022】
以下本発明を、図面を用いて詳細に説明する。図1は、本発明を適用したユーザ認証システムの一実施例を示す機能ブロック図である。図5で説明した従来構成と同一要素には同一符号を付して説明を省略する。
【0023】
本発明が適用された操作監視端末をブロック100で示す。操作監視端末100の内部バスには、操作監視手段101、制御バスインターフェース手段102、情報ネットワークインターフェース手段103、ユーザ認証手段104、このユーザ認証手段104の内部機能として動作するローカルユーザ認証手段105及びドメインユーザ認証手段106、ローカルユーザ情報保存手段107、本発明の特徴部であるユーザ認証アラーム手段200が接続されている。
【0024】
操作監視手段101乃至ローカルユーザ情報保存手段107は、一般的な操作監視端末で標準的に装備されている構成要素である。操作監視手段101は、制御装置40からのデータを表示したり制御装置40へ指示を行うユーザインタフェース及び内部的な機能を備える。
【0025】
制御バスインタフェース手段102は、制御バス10を介して制御装置40や他の操作監視端末30と通信する機能を有する。情報ネットワークインタフェース手段103は、情報ネットワーク70を介してドメインコントローラ80と通信する機能を有する。
【0026】
ユーザ認証手段104は、ユーザ認証を行う機能であり、内部的にはローカルユーザ認証手段105及びドメインユーザ認証手段106の機能を用いる。ユーザ認証手段105は、この操作監視端末で管理しているローカルユーザ情報保持手段107に問い合わせてユーザ認証を行う機能である。ドメインユーザ認証手段106は、ドメインコントローラ80に問い合わせてユーザ認証を行う機能である。
【0027】
ローカルユーザ情報保存手段107は、操作監視端末100内で管理しているユーザ情報を保存しており、情報ネットワークインタフェース手段103、ドメインコントローラ80及び情報ネットワーク70のいずれか、あるいは複数が正常に動作していない場合に利用するユーザの情報を管理している。
【0028】
以下、本発明によるユーザ認証の動作を、<動作シナリオ1>乃至<動作シナリオ4>により説明する。
<動作シナリオ1>
ここでは、ドメインコントローラ80、情報ネットワーク70を含めてシステム全体が正常に動作している場合に、ドメインコントローラのユーザ認証手段によりでユーザ認証を行う場合の動作を説明する。
【0029】
(1−1)操作監視作業を実行するため、操作監視端末100でドメインのユーザ認証操作を行う。
(1−2)ユーザ認証手段104は、ドメインユーザ認証手段106を用いてユーザ認証を試みる。
【0030】
(1−3)ドメインユーザ認証手段106は、情報ネットワークインタフェース手段103と情報ネットワーク70を用いて、ドメインコントローラ80に問い合わせる。
(1−4)ドメインコントローラ80上でユーザ情報の照合が成功すれば、ユーザ認証は成功する。
【0031】
<動作シナリオ2>
ここでは、ドメインコントローラ80、情報ネットワーク70、情報ネットワークインタフェース手段103のいずれか、または複数が利用できない場合の動作を説明する。この場合、ドメインユーザ認証を試みると、ドメインコントローラでのユーザ情報の照合ができないため、ユーザ認証は成功しない。その結果、操作監視端末が利用できず、プラントの操業に影響がでる。従って、この状況ではユーザはローカルユーザ認証を行う。
【0032】
(2−1)操作監視端末を利用するため、操作監視端末100でローカルのユーザ認証操作を行う。
(2−2)ユーザ認証手段104は、情報ネットワークインタフェース手段103と情報ネットワーク70を利用して、ドメインコントローラ80が正常動作しているかを確認する。正常動作している場合は、後述の<動作シナリオ4>を実施し、その後(2−3)に進む。正常動作していない場合は、そのまま(2−3)に進む。
【0033】
この<動作シナリオ2>の前提として、前記のように、ドメインコントローラ80、情報ネットワーク70、情報ネットワークインタフェース手段103のいずれか、または複数が利用できない状態であるため、ドメインコントローラ80は正常動作していないとみなされ、そのまま(2−3)に進む。
【0034】
(2−3)ユーザ認証手段104は、ローカルユーザ認証手段105を用いて、ローカルユーザ情報保存手段107で管理されているユーザ情報との照合を行う。照合が成功すればユーザ認証は成功する。
【0035】
<動作シナリオ3>
ここでは、ドメインコントローラ80、情報ネットワーク70を含めてシステム全体が正常に動作している場合に、ローカルユーザ認証手段105でユーザ認証を行った場合の動作を説明する。
【0036】
(3−1)操作監視端末を利用するため、操作監視端末100のローカルのユーザ認証手段105でローカルのユーザ認証操作を行う。
(3−2)ユーザ認証手段104は、情報ネットワークインタフェース手段103と情報ネットワーク70を利用して、ドメインコントローラ80が正常動作しているか否かを確認する。本シナリオの前提では正常動作しているとみなされ、後述の<動作シナリオ4>を実施し、その後(3−3)に進む。
【0037】
(3−3)ユーザ認証手段104は、ローカルユーザ認証手段105を用いて、ローカルユーザ情報保存手段107で管理されているユーザ情報との照合を行う。照合が成功すればユーザ認証は成功する。
【0038】
<動作シナリオ4>
ここでは、ドメインコントローラ80が利用可能であるにもかかわらず、ユーザがローカルユーザ認証手段105でユーザ認証を試みた場合の部分動作を説明する。
(4−1)ユーザ認証手段104は、ユーザ認証アラーム手段200に、ローカルユーザ認証が試みられたことを信号ALで通知する。
【0039】
(4−2)ユーザ認証アラーム手段200は、制御バスインタフェース手段102及び制御バス10を通じて他の操作監視端末30のアラーム管理機能に通知する。
(4−3)操作監視端末100は、この操作監視端末でローカルユーザ認証が試みられたことを表示する。
【0040】
図2は、本発明の信号処理手順を示すフローチャートであり、<動作シナリオ2>の(2−2)及び<動作シナリオ3>の(3−2)の動作をフローチャートで表したものである。
【0041】
ステップS1で処理をスタートすると、ステップS2でローカルユーザ認証であるか否かをチェックし、ドメインユーザ認証であれば、情報ネットワークを含めてドメインコントローラでのユーザ認証が正常動作している場合は、操作監視端末を利用するにあたってドメインコントローラによるユーザ認証を利用する。ステップS3でドメインコントローラで認証処理し、ステップS4で終了する。
【0042】
ステップS2のチェックで、ローカルユーザ認証である場合には、ステップS5でドメインコントローラが正常動作中か否かがチェックされる。ドメインコントローラでのユーザ認証が正常動作していない場合には、ドメインユーザ認証の機能の正常復帰を待つことなく操作監視を行う必要があるならば、緊急措置としてステップS6でローカルユーザ認証処理を実行する。
【0043】
ステップS5のチェックで、ドメインコントローラでのユーザ認証が正常動作している場合、緊急措置でもないのにローカルユーザ認証を利用することはセキュリティ上好ましくないため、ステップS7でユーザ認証アラーム発生処理を実行し、この操作監視端末でローカルユーザ認証が試みられたことをセキュリティ警告として報告する。この警告は他の操作監視端末に送信されて他のユーザに通知される。その後、ステップS6でローカルユーザ認証処理を実行する。
【0044】
セキュリティ警告の送信・通知のメカニズムは制御バス10を利用したものであり、少なくとも操業が可能な程度に制御バスが正常動作しているならば、必ず送信・通知が成功する。
【0045】
図3は、本発明の他の信号処理手順を示すフローチャートであり、図2のステップS5のチェックを省略したものである。図2では、ドメインコントローラが正常動作しているにもかかわらずローカルユーザ認証を試みたことに対してセキュリティ警告を出すものであった。これはプラント操業におけるアラーム発生の個数を抑える効果があった。
【0046】
図3のフローチャートで示す処理では、セキュリティのレベルを上げて、いかなる場合にも、ローカルユーザ認証を試みることに対してセキュリティ上の警告であるとみなす場合の処理である。
【符号の説明】
【0047】
10 制御バス
30 操作監視端末
31 ローカルユーザ認証手段
40 制御装置
70 情報ネットワーク
80 ドメインコントローラ
81 ドメインユーザ認証手段
100 操作監視端末
101 操作監視手段
102 制御バスインターフェース手段
103 情報ネットワークインターフェース手段
104 ユーザ認証手段
105 ローカルユーザ認証手段
106 ドメインユーザ認証手段
107 ローカルユーザ情報保存手段
200 ユーザ認証アラーム手段
【特許請求の範囲】
【請求項1】
ローカルユーザ認証手段を有する操作監視端末と、ドメインユーザ認証手段を有し前記操作監視端末と通信するドメインコントローラとを具備する制御システムに対し、前記操作監視端末にログインするユーザを認証するユーザ認証システムにおいて、
前記操作監視端末は、
前記ドメインコントローラが正常に動作している状態時に前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、セキュリティ警報を発生するユーザ認証アラーム手段を備えることを特徴とするユーザ認証システム。
【請求項2】
前記操作監視端末は、
前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、前記ドメインコントローラが正常動作中でなければ、前記ローカルユーザ認証手段によりユーザ認証することを特徴とする請求項1に記載のユーザ認証システム。
【請求項3】
前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、前記ドメインコントローラが正常動作中であれば、前記ユーザ認証アラーム手段によりアラームを発生した後に前記ローカルユーザ認証手段によりユーザ認証することを特徴とする請求項1に記載のユーザ認証システム。
【請求項4】
前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、前記ドメインコントローラの状態に係らず、前記ユーザ認証アラーム手段によりアラームを発生した後に前記ローカルユーザ認証手段によりユーザ認証することを特徴とする請求項1に記載のユーザ認証システム。
【請求項5】
前記アラームは、制御バスを介して接続されている他の操作監視端末に通知されることを特徴とする請求項1乃至4のいずれかに記載のユーザ認証システム。
【請求項1】
ローカルユーザ認証手段を有する操作監視端末と、ドメインユーザ認証手段を有し前記操作監視端末と通信するドメインコントローラとを具備する制御システムに対し、前記操作監視端末にログインするユーザを認証するユーザ認証システムにおいて、
前記操作監視端末は、
前記ドメインコントローラが正常に動作している状態時に前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、セキュリティ警報を発生するユーザ認証アラーム手段を備えることを特徴とするユーザ認証システム。
【請求項2】
前記操作監視端末は、
前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、前記ドメインコントローラが正常動作中でなければ、前記ローカルユーザ認証手段によりユーザ認証することを特徴とする請求項1に記載のユーザ認証システム。
【請求項3】
前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、前記ドメインコントローラが正常動作中であれば、前記ユーザ認証アラーム手段によりアラームを発生した後に前記ローカルユーザ認証手段によりユーザ認証することを特徴とする請求項1に記載のユーザ認証システム。
【請求項4】
前記ユーザが前記ローカルユーザ認証手段によりユーザ認証を実行した場合に、前記ドメインコントローラの状態に係らず、前記ユーザ認証アラーム手段によりアラームを発生した後に前記ローカルユーザ認証手段によりユーザ認証することを特徴とする請求項1に記載のユーザ認証システム。
【請求項5】
前記アラームは、制御バスを介して接続されている他の操作監視端末に通知されることを特徴とする請求項1乃至4のいずれかに記載のユーザ認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2012−93949(P2012−93949A)
【公開日】平成24年5月17日(2012.5.17)
【国際特許分類】
【出願番号】特願2010−240572(P2010−240572)
【出願日】平成22年10月27日(2010.10.27)
【出願人】(000006507)横河電機株式会社 (4,443)
【Fターム(参考)】
【公開日】平成24年5月17日(2012.5.17)
【国際特許分類】
【出願日】平成22年10月27日(2010.10.27)
【出願人】(000006507)横河電機株式会社 (4,443)
【Fターム(参考)】
[ Back to top ]