検疫システム、ゲートウェイ装置、設備機器および設備系LAN構築方法
【課題】既存の情報系LANにも容易に導入可能であり、かつ、管理している設備機器以外の機器が設備系LANに接続されても情報系LANへの影響を防ぐ。
【解決手段】設備機器は、他の設備機器から発報されたMACアドレスの解決要求には応じず、SGW7は、情報系・設備系共有LAN1に接続された所定の設備機器のMACアドレスおよびIPアドレスを含む対象物件機器リスト702aを格納する対象物件機器リスト格納部702と、MACアドレスの解決要求に対して、対象物件機器リスト702aに基づいて応答するかを判断した上で、当該解決要求先の設備機器に代理してMACアドレスの解決応答を行うMACアドレス解決部708と、解決要求元の設備機器に解決応答を通知するフレーム送信処理部711とを備えた。
【解決手段】設備機器は、他の設備機器から発報されたMACアドレスの解決要求には応じず、SGW7は、情報系・設備系共有LAN1に接続された所定の設備機器のMACアドレスおよびIPアドレスを含む対象物件機器リスト702aを格納する対象物件機器リスト格納部702と、MACアドレスの解決要求に対して、対象物件機器リスト702aに基づいて応答するかを判断した上で、当該解決要求先の設備機器に代理してMACアドレスの解決応答を行うMACアドレス解決部708と、解決要求元の設備機器に解決応答を通知するフレーム送信処理部711とを備えた。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、ビル管理システム(Building Automation System:BAS)を実現する設備系LANを情報系LANと共有した検疫システム、ゲートウェイ装置、設備機器および設備系LAN構築方法に関するものである。
【背景技術】
【0002】
BASを実現する設備系LANは、各種設備機器を接続する基幹LANと、各種計装機器などを接続するフィールドバスとから構成される。近年の基幹LANはオープンな通信規格BACnet/IPが主流であり、この規格はEthernet(登録商標/以下記載を省略する)上のIP通信を元とする規格である。
【0003】
設備系LANの工事費用は、ビル物件が小規模であるほど費用対効果が割高になる。このことが、小規模ビルへのBASの普及を阻害する一因となっている。他方、情報系LANは、社員PCを繋ぐためにすべてのビルで確実に導入される。また、情報系LANはEthernetにより構築される。よって、設備系LANの基幹LAN部分を情報系LANと共有できれば、設備系LANの施工コストを削減することが可能である。
【0004】
情報系LANを設備系LANと共有する従来技術の1つとして、図13に示すように、VLANスイッチとホワイトリストとを併用した通信制御装置100による解決が考えられる(例えば非特許文献1参照)。すなわち、情報系LANと設備系LANとをVLANスイッチによって論理的に分離すると共に、保守会社(管理センタ101)で管理している設備機器(監視端末102やローカルコントローラ103など)をホワイトリストに登録する。これにより、設備系LANに不正な機器が接続された場合でも、ホワイトリストに登録されていない当該機器は隔離され、情報系LAN(情報系PC103)への脅威を防ぐことが可能になる。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】是友春樹,“VPN/VLAN教科書”、アスキー出版局,(Sep 1999).
【発明の概要】
【発明が解決しようとする課題】
【0006】
非特許文献1に開示された従来技術では、情報系LANと設備系LANとを共有するために、VLANスイッチを用いている。しかしながら、既存の情報系LANにVLANスイッチを導入することはネットワーク機器の設定を変えることとなり、作業が煩雑になるという課題がある。
【0007】
また、情報系LANと設備系LANとを共有するためには、設備系LANが情報系LANのサービスを阻害しないことが求められる。この阻害要因の一例としては、第一に、保守会社で管理している設備機器以外の機器が勝手に接続されるという課題がある。これにより、保守会社が維持するBASの品質が保てなくなったり、悪意のある第三者が設備系LANを経由して情報系LANに接続するための足掛かりを与えるおそれがある。また、第二に、設備機器に成りすました第三者から情報系LANを保護できないという課題もある。
【0008】
この発明は、上記のような課題を解決するためになされたもので、既存の情報系LANに対しても容易に導入可能であり、かつ、保守会社等が管理している設備機器以外の機器が設備系LANに接続されても情報系LANへの影響を防ぐことができる検疫システム、ゲートウェイ装置、設備機器および設備系LAN構築方法を提供することを目的としている。
【課題を解決するための手段】
【0009】
この発明に係る検疫システムは、所定物件内のLANに接続された設備機器と、設備機器の検疫を行うゲートウェイ装置とを備え、LANは、情報系LANおよび設備系LANを共有したものであり、設備機器は、LANに接続された他の設備機器から発報されたMACアドレスの解決要求には応じず、ゲートウェイ装置は、LANに接続された所定の設備機器のMACアドレスおよびIPアドレスを含むリストを格納するリスト格納部と、MACアドレスの解決要求に対して、リスト格納部に格納されたリストに基づいて応答するかを判断した上で、当該解決要求先の設備機器に代理してMACアドレスの解決応答を行うMACアドレス解決部と、MACアドレス解決部により解決応答がなされた場合に、解決要求元の設備機器に当該解決応答を通知する通知部とを備えたものである。
【発明の効果】
【0010】
この発明によれば、上記のように構成したので、既存の情報系LANに対しても容易に導入可能であり、かつ、保守会社等が管理している設備機器以外の機器が設備系LANに接続されても情報系LANへの影響を防ぐことができる。また、設備系LANにより構築されるBASの保守性を向上することができる。さらに、設備系LAN施工時のコストを削減することができる。
【図面の簡単な説明】
【0011】
【図1】この発明の実施の形態1に係る検疫システムの構成を示す図である。
【図2】この発明の実施の形態1に係る検疫システムの動作を示す図である。
【図3】この発明の実施の形態1に係るSGWの内部構成を示す図である。
【図4】この発明の実施の形態1におけるフレーム受信処理部の動作を示すフローチャートである。
【図5】この発明の実施の形態1における機器リスト管理部の動作を示すフローチャートである。
【図6】この発明の実施の形態1における設定情報の内訳を示す図である。
【図7】この発明の実施の形態1における対象物件機器リストのエントリの内訳を示す図である。
【図8】この発明の実施の形態1におけるMACアドレス解決部の動作を示すフローチャートである。
【図9】この発明の実施の形態1における中継判断部の動作を示すフローチャートである。
【図10】この発明の実施の形態1におけるフレーム送信処理部の動作を示すフローチャートである。
【図11】この発明の実施の形態2に係る検疫システムの動作を示す図である。
【図12】この発明の実施の形態3に係る検疫システムの動作を示す図である。
【図13】従来の検疫システムの構成を示す図である。
【発明を実施するための形態】
【0012】
以下、この発明の実施の形態について図面を参照しながら詳細に説明する。
実施の形態1.
図1はこの発明の実施の形態1に係る検疫システムの構成を示す図である。
検疫システムのビル(対象物件)側には、図1に示すように、情報系・設備系(基幹)共有LAN1が設けられている。情報系・設備系共有LAN1は、このビル内の社員PC(情報系PC2)を繋ぐための情報系LANと、BASを実現するための設備系LANの基幹LAN部分とを共有したものである。そして、この情報系・設備系共有LAN1は、情報系LANとして情報系PC2と接続されている。また、設備系LANの基幹LAN部分として、ビル内においてBASを監視する監視端末3や、フィールドバス5を介して接続された計装機器6を管理するローカルコントローラ4などの設備機器と接続されている。
【0013】
ここで、悪意を持つ不正な機器やユーザは、情報系・設備系共有LAN1と接続し、このLAN1上の機器の接続状態を把握するため、MACアドレス解決要求フレームを大量に発報する。こうした攻撃に対処するため、監視端末3やローカルコントローラ4などの設備機器は、MACアドレス解決要求に応答しないように構成されている。また、情報系PC2は、ウイルス対策ソフトを搭載した一般的なPCを想定している。ウイルス対策ソフトは通常、MACアドレス解決要求に応答しないように構成されている。ただし、本発明を実施する際、情報系PC2にMACアドレス解決要求に応答しないウイルス対策ソフトを導入することは必須ではない。
なお、本方式に述べるMACアドレス解決通信は、IPv4であればARP通信に対応し、IPv6であればICMPv6通信の近隣要請(Neighbor Solicitation)および近隣通知(Neighbor Advertisement)に対応する。
【0014】
また、情報系・設備系共有LAN1と外部ネットワーク(遠隔管理網9)との接続点には、セキュリティ機能を有するゲートウェイ装置(SGW:セキュアゲートウェイ)7が設けられている。SGW7は、保守会社がビルの管理者と遠隔管理サービスを締結した後にビル内に設置する機器であり、IP通信に先立つMACアドレス解決通信を制御することによって、情報系・設備系共有LAN1に接続された設備機器の検疫を実現するものである。このSGW7の詳細については後述する。
【0015】
一方、検疫システムのセンタ(保守会社)側には、管理センタ8が設けられている。管理センタ8は、遠隔管理網9を介してSGW7と接続されるものであり、管理サーバ801を有している。管理サーバ801は、物件毎に監視端末3およびローカルコントローラ4を管理するための物件別機器リスト801aを有している。そして、管理サーバ801は、この物件別機器リスト801aに基づいて、SGW7に対して、後述する対象物件機器リスト702aに関する設定情報を提供する。
【0016】
次に、SGW7の概要について説明する。
SGW7は、図2に示すように、対象物件機器リスト702aを有している。この対象物件機器リスト702aには、情報系・設備系共有LAN1に接続された所定の設備機器(保守対象機器)のMACアドレスおよびIPアドレスの組を示すリスト(設備系LANリスト)と、情報系・設備系共有LAN1に接続された情報系PC2のうちSGW7の透過を許可する情報系PC2(透過許可対象機器)のMACアドレスおよびIPアドレスの組を示すリスト(情報系LANリスト)とが含まれている。
設備系LANリストは、管理サーバ801から提供された対象物件機器リスト702aに関する設定情報に基づいて設定・更新を行う。他方、情報系LANリストは、保守会社が関知するものではないため、物件毎に現地にて設定・更新を行う。なお、情報系PC2毎に設定を行うことは煩雑であるため、通常は情報系PC2が情報系LANからインターネットに接続するためのWebアクセス用のProxyサーバなどの設定を行う。
【0017】
SGW7は、この対象物件機器リスト702aを用いて情報系・設備系共有LAN1に接続された機器のアドレスを確認することによって、不正な機器が外部ネットワークと通信することを防止する。そのため、情報系PC2のウイルス対策ソフトがMACアドレスの解決要求に応答してしまう場合や対策ソフトを導入していない場合など、万が一情報系PC2が不正な機器などに検出された場合であっても、検出したMACアドレスが外部に通知され流出することを防ぐことできる。
【0018】
ここで、IPv6ではMACアドレスを元にグローバルアドレスが生成される場合が一般的である。そのため、MACアドレスの流出を防ぐことはセキュリティ上、重要である。
また、不正な機器の遠隔管理網9との通信を阻止する機能は、情報系・設備系共有LAN1内から機密情報が漏えいすることを防ぐ効果をも有している。
【0019】
そして、SGW7は、プロミスキャス動作を行い(情報系・設備系共有LAN1上の全ての通信を受信し)、MACアドレスの解決に関与して以下のように動作する。
まず、図2の矢印Aに示すように、情報系・設備系共有LAN1上の任意の設備機器(図2では監視端末3)がMACアドレス解決要求フレームを発報する。なお、MACアドレス解決要求フレームには、送信元のMACアドレスおよびIPアドレスと、宛先(解決要求先)のIPアドレスとが含まれている。
【0020】
次いで、SGW7は、MACアドレス解決要求フレームの送信元MACアドレスを精査する。そして、送信元アドレスが、対象物件機器リスト702aのうち設備系LANリストに登録されたMACアドレス(管理センタ8が管理している設備機器のMACアドレス)ではない場合、このMACアドレス解決要求フレームを廃棄する。
【0021】
一方、送信元MACアドレスが、対象物件機器リスト702aのうち設備系LANリストに登録されたMACアドレスである場合、SGW7は、MACアドレス解決要求フレームの宛先である設備機器に代理して、対象物件機器リスト702aの情報を用いてMACアドレスの解決応答を行う。そして、矢印Bに示すように、MACアドレス解決要求フレームの送信元である設備機器にMACアドレス解決応答フレームを通知する。
次いで、矢印Cに示すように、送信元である設備機器は、MACアドレスが解決された設備機器(図2ではローカルコントローラ4)との間で通常の通信を開始する。
【0022】
次に、SGW7の内部構成について図3を参照しながら説明する。
SGW7は、図3に示すように、現地設定入出力部701、対象物件機器リスト格納部702、LAN側ポート703、WAN側ポート704、受信調停処理部705、フレーム受信処理部706、機器リスト管理部707、MACアドレス解決部708、中継判断部709、送信調停処理部710およびフレーム送信処理部(通知部)711から構成されている。
【0023】
現地設定入出力部701は、管理端末10から対象物件機器リスト702aに関する設定情報を受け取り、機器リスト管理部707に渡すものである。なお、管理端末10は、SGW7が設置されたビルにおいて、対象物件機器リスト格納部702に格納された対象物件機器リスト702aのうちSGW7の透過を許可するエントリを設定するものである。
【0024】
LAN側ポート703は、情報系・設備系共有LAN1と接続され、情報系PC2や設備機器との間で通信フレームの送受信を行うものである。そして、LAN側ポート703は、情報系・設備系共有LAN1から受け取った通信フレームを受信調停処理部705を経由してフレーム受信処理部706に渡す。
【0025】
WAN側ポート704は、遠隔管理網9と接続され、管理センタ8やその他の外部機器との間で通信フレームの送受信を行うものである。そして、WAN側ポート704は、遠隔管理網9から受け取った通信フレームを受信調停処理部705を経由してフレーム受信処理部706に渡す。
【0026】
受信調停処理部705は、LAN側ポート703またはWAN側ポート704から受け取った通信フレームに対して、ラウンドロビン動作にて調停処理を行った上でフレーム受信処理部706に渡すものである。
【0027】
フレーム受信処理部706は、受信調停処理部705から受け取った通信フレームを解釈するものである。ここで、フレーム受信処理部706は、通信フレームが管理サーバ801からの対象物件機器リスト702aに関する設定情報であると判断した場合には、この通信フレームを機器リスト管理部707に渡す。また、MACアドレス解決要求フレームであると判断した場合には、この通信フレームをMACアドレス解決部708に渡す。また、それ以外であると判断した場合には、この通信フレームを中継判断部709に渡す。
【0028】
機器リスト管理部707は、現地設定入出力部701またはフレーム受信処理部706から受け取った対象物件機器リスト702aに関する設定情報に基づいて、対象物件機器リスト格納部702に格納された対象物件機器リスト702aを更新するものである。
【0029】
MACアドレス解決部708は、フレーム受信処理部706から受け取った通信フレーム(MACアドレス解決要求フレーム)に対して、対象物件機器リスト格納部702に格納された対象物件機器リスト702aに基づいて応答するかを判断した上で、解決要求先の設備機器に代理してMACアドレスの解決応答を行うものである。ここで、MACアドレス解決部708は、MACアドレス解決応答フレームを作成した場合には、送信調停処理部710を経由してフレーム送信処理部711に渡す。
【0030】
中継判断部709は、フレーム受信処理部706から受け取った通信フレームに対して、対象物件機器リスト格納部702に格納された対象物件機器リスト702aに基づいてSGW7を透過してもよいフレームであるかを判断するものである。ここで、中継判断部709は、SGW7を透過してもよいと判断した場合には、この通信フレームを送信調停処理部710を経由してフレーム送信処理部711に渡す。
【0031】
送信調停処理部710は、MACアドレス解決部708または中継判断部709から受け取った通信フレームに対して、ラウンドロビン動作にて調停処理を行った上でフレーム送信処理部711に渡すものである。
【0032】
フレーム送信処理部711は、送信調停処理部710から受け取った通信フレームに対する送信処理を行うものである。ここで、通信フレームがMACアドレス解決応答フレームであると判断した場合には、この通信フレームをLAN側ポート703に送信する。また、MACアドレス解決応答フレームではないと判断した場合には、この通信フレームをLAN側ポート703およびWAN側ポート704の両方に送信する。
【0033】
次に、上記のように構成されたSGW7内の各機能部の動作について説明する。
まず、フレーム受信処理部706の動作について図4を参照しながら説明する。
フレーム受信処理部706の動作では、図4に示すように、まず、受信調停処理部705を経由してLAN側ポート703またはWAN側ポート704から受け取った通信フレームが、管理サーバ801からの対象物件機器リスト702aに関する設定情報であるかを判断する(ステップST401)。
このステップST401において、通信フレームが対象物件機器リスト702aに関する設定情報であると判断した場合には、この通信フレームを機器リスト管理部707に渡す(ステップST402)。
【0034】
一方、ステップST401において、通信フレームが対象物件機器リスト702aに関する設定情報ではないと判断した場合には、MACアドレス解決要求フレームであるかを判断する(ステップST403)。
このステップST403において、通信フレームがMACアドレス解決要求フレームであると判断した場合には、この通信フレームをMACアドレス解決部708に渡す(ステップST404)。
【0035】
一方、ステップST403において、通信フレームがMACアドレス解決要求フレームではないと判断した場合には、この通信フレームを中継判断部709に渡す(ステップST405)。
【0036】
次に、機器リスト管理部707の動作(機器リスト管理ステップ)について図5を参照しながら説明する。なお、機器リスト管理部707が扱う対象物件機器リスト702aに関する設定情報には、図6に示すように、処理フラグ(対象物件機器リスト702aへのエントリ設定:0、対象物件機器リスト702aからのエントリ削除:1)、エントリ分類(設備系LANの保守対象機器に関するエントリ:0、情報系LANの透過許可対象機器に関するエントリ:1)、MACアドレスおよびIPアドレスの組が含まれている。
【0037】
機器リスト管理部707の動作では、図5に示すように、まず、対象物件機器リスト702a内に、設定情報のMACアドレスおよびIPアドレスの組と同一のアドレスの組を持つエントリが存在するかを判断する(ステップST501)。
このステップST501において、対象物件機器リスト702a内に、設定情報のMACアドレスおよびIPアドレスの組と同一のアドレスの組を持つエントリが存在すると判断した場合には、設定情報の処理フラグの値が1であるかを判断する(ステップST502)。
【0038】
このステップST502において、設定情報の処理フラグの値が1であると判断した場合には、対象物件機器リスト702a内の該当エントリを削除する(ステップST503)。
一方、ステップST502において、設定情報の処理フラグの値が1ではないと判断した場合には、シーケンスは終了する。
【0039】
一方、ステップST501において、対象物件機器リスト702a内に、設定情報のMACアドレスおよびIPアドレスの組と同一の組を持つエントリが存在しないと判断した場合には、設定情報の処理フラグの値が0であるかを判断する(ステップST504)。
【0040】
このステップST504において、設定情報の処理フラグの値が0であると判断した場合には、設定情報に基づいて、対象物件機器リスト702aに新たなエントリを書き込む(ステップST505)。ここで、対象物件機器リスト702aに書き込まれるエントリには、図7に示すように、番号、エントリ分類(設備系LANの保守対象機器に関するエントリ:0、情報系LANの透過許可対象機器に関するエントリ:1)、MACアドレスおよびIPアドレスの組が含まれる。
一方、ステップST504において、設定情報の処理フラグの値が0ではないと判断した場合には、シーケンスは終了する。
【0041】
次に、MACアドレス解決部708の動作(MACアドレス解決ステップ)について図8を参照しながら説明する。なお、MACアドレス解決部708が扱うMACアドレス解決要求フレームには、送信元のMACアドレスおよびIPアドレスと、宛先(解決要求先)のIPアドレスとが含まれている。
【0042】
MACアドレス解決部708の動作では、まず、MACアドレス解決要求フレームから送信元MACアドレスを取得する(ステップST801)。
次いで、対象物件機器リスト702a内から1つのエントリを読み出して(ステップST802)、このエントリのエントリ分類の値が0であるかを判断する(ステップST804)。すなわち、読み出したエントリが、設備系LANの保守対象機器に関するエントリであるかを判断する。
【0043】
このステップST804において、エントリ分類の値が0ではないと判断した場合には、シーケンスはステップST802に戻り、次のエントリの精査に移行する。
一方、ステップST804において、エントリ分類の値が0であると判断した場合には、送信元MACアドレスがエントリのMACアドレスと一致するかを判断する(ステップST805)。
【0044】
このステップST805において、送信元MACアドレスがエントリのMACアドレスとは一致しないと判断した場合には、シーケンスはステップST802に戻り、次のエントリの精査に移行する。
なお、ステップST803において、対象物件機器リスト702a内におけるエントリの終端に達したと判断した場合には、MACアドレス解決要求フレームを廃棄する(ステップST806)。すなわち、MACアドレス解決要求フレームの送信元である設備機器が、保守対象機器(管理センタ8が管理している設備機器)以外の機器であると判断できるため、このMACアドレス解決要求フレームを廃棄する。
【0045】
一方、ステップST805において、送信元MACアドレスがエントリのMACアドレスと一致すると判断した場合には、MACアドレス解決要求フレームから宛先IPアドレスを取得する(ステップST807)。
次いで、対象物件機器リスト702a内から1つのエントリを読み出して(ステップST808)、このエントリのエントリ分類の値が0であるかを判断する(ステップST810)。
【0046】
このステップST810において、エントリ分類の値が0ではないと判断した場合には、シーケンスはステップST808に戻り、次のエントリの精査に移行する。
一方、ステップST810において、エントリ分類の値が0であると判断した場合には、宛先IPアドレスがエントリのIPアドレスと一致するかを判断する(ステップST811)。
【0047】
このステップST811において、宛先IPアドレスがエントリのIPアドレスとは一致しないと判断した場合には、シーケンスはステップST808に戻り、次のエントリの精査に移行する。
なお、ステップST809において、対象物件機器リスト702a内におけるエントリの終端に達したと判断した場合には、MACアドレス解決要求フレームを廃棄する(ステップST812)。すなわち、対象物件機器リスト702a内に該当IPアドレスが存在しない場合、MACアドレス解決応答フレームを作成することができず、また解決応答を行う必要もないため、MACアドレス解決要求フレームを廃棄する。
【0048】
一方、ステップST811において、宛先IPアドレスがエントリのIPアドレスと一致すると判断した場合には、MACアドレス解決応答フレームを作成して、送信調停処理部710を経由してフレーム送信処理部711に渡す(ステップST813)。
【0049】
次に、中継判断部709の動作について図9を参照しながら説明する。
中継判断部709の動作では、まず、通信フレームから送信元のMACアドレスおよびIPアドレスの組を取得する(ステップST901)。
次いで、対象物件機器リスト702a内から1つのエントリを読み出して(ステップST902)、このエントリのエントリ分類の値が1であるかを判断する(ステップST904)。すなわち、このエントリが情報系LANの透過許可対象機器に関するエントリであるかを判断する。
【0050】
このステップST904において、エントリ分類の値が1ではないと判断した場合には、シーケンスはステップST902に戻り、次のエントリの精査に移行する。
一方、ステップST904において、エントリ分類の値が1であると判断した場合には、エントリのMACアドレスおよびIPアドレスの組が、送信元のアドレスの組と一致するかを判断する(ステップST905)。
【0051】
このステップST905において、エントリのMACアドレスおよびIPアドレスの組が、送信元のアドレスの組とは一致しないと判断した場合には、シーケンスはステップST902に戻り、次のエントリの精査に移行する。
なお、ステップST903において、対象物件機器リスト702a内におけるエントリの終端に達したと判断した場合には、当該通信フレームを廃棄する(ステップST906)。すなわち、通信フレームの送信元機器が、透過許可対象機器以外の機器であると判断できるため、この通信フレームをSGW7の外部に流出させないように廃棄する。
【0052】
一方、ステップST905において、エントリのMACアドレスおよびIPアドレスの組が、送信元のアドレスの組と一致すると判断した場合には、通信フレームを送信調停処理部710を経由してフレーム送信処理部711に渡す(ステップST907)。
【0053】
次に、フレーム送信処理部711の動作(通知ステップ)について図10を参照しながら説明する。
フレーム送信処理部711の動作では、まず、通信フレームがMACアドレス解決応答フレームであるかを判断する(ステップST1001)。
このステップST1001において、通信フレームがMACアドレス解決応答フレームであると判断した場合には、この通信フレームをLAN側ポート703に送信する(ステップST1002)。
一方、ステップST1001において、通信フレームがMACアドレス解決応答フレームではないと判断した場合には、この通信フレームをLAN側ポート703およびWAN側ポート704に送信する(ステップST1003)。
【0054】
以上のように、この実施の形態1によれば、対象物件機器リスト702aに基づいて、保守対象機器(管理センタ8が管理している設備機器)以外の機器が情報系・設備系共有LAN1に接続された場合に、他の設備機器との通信が確立できないように構成したので、保守会社が管理する設備機器以外の機器が設備系LANに接続されても、設備系LANが情報系LANのサービスを阻害する要因を排除することができる。また、設備系LANにより構築される検疫システムの保守性を向上することができる。また、偽装コントローラが情報系・設備系共有LAN1に設置されても、SGW7を越えて情報系・設備系共有LAN1内の機密情報を外部に通知することができず、情報系LANの保護に繋がる。
【0055】
また、施工面で導入の容易な方式を可能とする。すなわち、設備系LANの無いビルに後からBASを構築することを容易とすることから、アドオン性の高いBASを構築できる。さらに、コスト面で導入の容易な方式を可能とする。すなわち、設備系LAN施工時のコスト(新設ビルの施工コスト、設備系LANの無い既設ビルにおいてBASを構築する際の施行コスト)を削減することができる。
【0056】
また、図3に示すSGW7の現地設定入出力部701において、現地毎の設定をもネットワーク経由で可能とする方式も考えられる。その際、現地設定入出力部701の一例として、設定画面をWeb画面などで提供することが考えられる。
【0057】
実施の形態2.
実施の形態1では、SGW7自身が、MACアドレスの解決要求先である設備機器に代理して、解析応答を行う場合について示した。それに対して、実施の形態2では、SGW7がMACアドレス解決要求フレームの送信元を精査した後、解決要求先である設備機器に対してMACアドレスの解決応答を行うよう指示し、設備機器に、解決応答を行うエージェント機能を搭載する場合について示す。なお、SGW7の内部構成は、図3に示す実施の形態1に係るSGW7と同様である。
【0058】
この場合、SGW7(MACアドレス解決部708)は以下のように動作する。
まず、図11の矢印Aに示すように、情報系・設備系共有LAN1上の任意の設備機器(図11では監視端末3)がMACアドレス解決要求フレームを発報する。
【0059】
次いで、SGW7は、MACアドレス解決要求フレームの送信元MACアドレスを精査する。そして、送信元MACアドレスが、対象物件機器リスト702aのうち設備系LANリストに登録されたMACアドレスではない場合には、このMACアドレス解決要求フレームを廃棄する。
【0060】
一方、送信元MACアドレスが、対象物件機器リスト702aのうち設備系LANリストに登録されたMACアドレスである場合には、矢印Bに示すように、SGW7は、MACアドレス解決要求フレームの宛先IPアドレスと同一のIPアドレスを有する設備機器(図11ではローカルコントローラ4)内のエージェントに対して、MACアドレス解決要求に応答するよう指示する。
【0061】
次いで、SGW7から指示を受けた設備機器内のエージェントは、MACアドレスの解決応答を行う。そして、矢印Cに示すように、MACアドレス解決要求フレームの送信元である設備機器にMACアドレス解決応答フレームを通知する。
次いで、矢印Dに示すように、送信元である設備機器は、MACアドレスが解決された設備機器(ローカルコントローラ4)との間で通常の通信を開始する。
【0062】
以上のように、この実施の形態2によれば、SGW7(MACアドレス解決部708)は、MACアドレスの解決応答に代えて、解決要求先である設備機器にMACアドレスの解決応答を行うよう指示し、指示された設備機器は、解決応答を行って解決要求元である設備機器に通知するように構成したので、実施の形態1と同様に、保守会社の管理センタ8が管理している機器でなければ他の設備機器と通信が確立できないため、保守性が向上し、情報系LANの保護も図ることができる。
【0063】
実施の形態3.
実施の形態1,2では、不正な機器がLAN1に接続されてMACアドレス解決要求フレームが発報された場合に、このフレームを廃棄する場合について示した。それに対して、実施の形態3では、不正な機器を情報系・設備系共有LAN1とは異なるおとりLAN11に誘導する場合について示す。なお、SGW7の内部構成は、図3に示す実施の形態1に係るSGW7と同様である。
【0064】
この場合、SGW7(MACアドレス解決部708)は以下のように動作する。なお、SGW7が有する対象物件機器リスト702aには、予め、おとりLAN11に接続されたおとりPC(おとり機器)1101のMACアドレスおよびIPアドレスの組が設定されている。
まず、図12の矢印Aに示すように、情報系・設備系共有LAN1に接続された不正な機器(図12では偽装コントローラ)がMACアドレス解決要求フレームを発報する。
【0065】
次いで、SGW7は、MACアドレス解決要求フレームの送信元MACアドレスを精査する。ここで、この送信元MACアドレスは、対象物件機器リスト702aのうち設備系LANリストに登録されたMACアドレスではないため、矢印Bに示すように、おとりPC1101のMACアドレスを解決応答として返す。
これにより、矢印Cに示すように、偽装コントローラは、おとりPC1101との間で通信を開始する。
【0066】
以上のように、この実施の形態3によれば、SGW7(MACアドレス解決部708)は、対象物件機器リスト702a内の設備系LANリストに、解決要求元のMACアドレスと同一のMACアドレスを有するエントリが存在しない場合に、おとりPC1101のMACアドレスを解決応答とするように構成したので、実施の形態1と同様の保守性の向上・情報系LANの保護に加えて、不正と疑わしい機器からの通信をおとりLAN11に引き込むことができる。これにより、不正な機器かどうかを詳細に調査することや、不正者の挙動の解析などが可能になる。
【0067】
実施の形態4.
実施の形態1では、SGW7が外部に設けられた管理サーバ801からの設定情報に基づいて対象物件機器リスト702aを設定する場合について示した。それに対して、実施の形態4では、検疫システムの保守作業員や対象物件の管理者が、管理端末10を経由して、対象物件機器リスト702aに関する設定情報を現地にて設定する場合について示す。なお、対象物件機器リスト702aに関する設定情報が現地にて設定可能であることは、実施の形態1のみならず、他の全ての実施の形態に対しても同様であるとする。
【0068】
この場合、管理センタ8から独立して対象物件機器リスト702aが更新されるため、保守会社の管理センタ8が管理している設備機器以外の機器も他の設備機器と通信が確立できるという効果が得られる。一方、その弊害として、対象物件機器リスト702aに関する設定情報を現地にて設定できる人員を限定する必要がある。限定する方法の一例としては、SGW7の対象物件機器リスト702aを更新するためのパスワードを設ける方法などが考えられる。
また、この実施の形態4によれば、SGW7を運用する際に管理センタ8との接続が不要になるため、外部ネットワークと独立したビルであっても情報系LANと設備系LANとを共有することが可能になるという効果が得られる。
【0069】
なお、本願発明はその発明の範囲内において、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
【符号の説明】
【0070】
1 情報系・設備系共有LAN、2 情報系PC、3 監視端末、4 ローカルコントローラ、5 フィールドバス、6 計装機器、7 SGW(ゲートウェイ装置)、8 管理センタ、9 遠隔管理網、10 管理端末、11 おとりLAN、701 現地設定入出力部、702 対象物件機器リスト格納部、702a 対象物件機器リスト、703 LAN側ポート、704 WAN側ポート、705 受信調停処理部、706 フレーム受信処理部、707 機器リスト管理部、708 MACアドレス解決部、709 中継判断部、710 送信調停処理部、711 フレーム送信処理部(通知部)、801 管理サーバ、801a 物件別機器リスト、1101 おとりPC(おとり機器)。
【技術分野】
【0001】
この発明は、ビル管理システム(Building Automation System:BAS)を実現する設備系LANを情報系LANと共有した検疫システム、ゲートウェイ装置、設備機器および設備系LAN構築方法に関するものである。
【背景技術】
【0002】
BASを実現する設備系LANは、各種設備機器を接続する基幹LANと、各種計装機器などを接続するフィールドバスとから構成される。近年の基幹LANはオープンな通信規格BACnet/IPが主流であり、この規格はEthernet(登録商標/以下記載を省略する)上のIP通信を元とする規格である。
【0003】
設備系LANの工事費用は、ビル物件が小規模であるほど費用対効果が割高になる。このことが、小規模ビルへのBASの普及を阻害する一因となっている。他方、情報系LANは、社員PCを繋ぐためにすべてのビルで確実に導入される。また、情報系LANはEthernetにより構築される。よって、設備系LANの基幹LAN部分を情報系LANと共有できれば、設備系LANの施工コストを削減することが可能である。
【0004】
情報系LANを設備系LANと共有する従来技術の1つとして、図13に示すように、VLANスイッチとホワイトリストとを併用した通信制御装置100による解決が考えられる(例えば非特許文献1参照)。すなわち、情報系LANと設備系LANとをVLANスイッチによって論理的に分離すると共に、保守会社(管理センタ101)で管理している設備機器(監視端末102やローカルコントローラ103など)をホワイトリストに登録する。これにより、設備系LANに不正な機器が接続された場合でも、ホワイトリストに登録されていない当該機器は隔離され、情報系LAN(情報系PC103)への脅威を防ぐことが可能になる。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】是友春樹,“VPN/VLAN教科書”、アスキー出版局,(Sep 1999).
【発明の概要】
【発明が解決しようとする課題】
【0006】
非特許文献1に開示された従来技術では、情報系LANと設備系LANとを共有するために、VLANスイッチを用いている。しかしながら、既存の情報系LANにVLANスイッチを導入することはネットワーク機器の設定を変えることとなり、作業が煩雑になるという課題がある。
【0007】
また、情報系LANと設備系LANとを共有するためには、設備系LANが情報系LANのサービスを阻害しないことが求められる。この阻害要因の一例としては、第一に、保守会社で管理している設備機器以外の機器が勝手に接続されるという課題がある。これにより、保守会社が維持するBASの品質が保てなくなったり、悪意のある第三者が設備系LANを経由して情報系LANに接続するための足掛かりを与えるおそれがある。また、第二に、設備機器に成りすました第三者から情報系LANを保護できないという課題もある。
【0008】
この発明は、上記のような課題を解決するためになされたもので、既存の情報系LANに対しても容易に導入可能であり、かつ、保守会社等が管理している設備機器以外の機器が設備系LANに接続されても情報系LANへの影響を防ぐことができる検疫システム、ゲートウェイ装置、設備機器および設備系LAN構築方法を提供することを目的としている。
【課題を解決するための手段】
【0009】
この発明に係る検疫システムは、所定物件内のLANに接続された設備機器と、設備機器の検疫を行うゲートウェイ装置とを備え、LANは、情報系LANおよび設備系LANを共有したものであり、設備機器は、LANに接続された他の設備機器から発報されたMACアドレスの解決要求には応じず、ゲートウェイ装置は、LANに接続された所定の設備機器のMACアドレスおよびIPアドレスを含むリストを格納するリスト格納部と、MACアドレスの解決要求に対して、リスト格納部に格納されたリストに基づいて応答するかを判断した上で、当該解決要求先の設備機器に代理してMACアドレスの解決応答を行うMACアドレス解決部と、MACアドレス解決部により解決応答がなされた場合に、解決要求元の設備機器に当該解決応答を通知する通知部とを備えたものである。
【発明の効果】
【0010】
この発明によれば、上記のように構成したので、既存の情報系LANに対しても容易に導入可能であり、かつ、保守会社等が管理している設備機器以外の機器が設備系LANに接続されても情報系LANへの影響を防ぐことができる。また、設備系LANにより構築されるBASの保守性を向上することができる。さらに、設備系LAN施工時のコストを削減することができる。
【図面の簡単な説明】
【0011】
【図1】この発明の実施の形態1に係る検疫システムの構成を示す図である。
【図2】この発明の実施の形態1に係る検疫システムの動作を示す図である。
【図3】この発明の実施の形態1に係るSGWの内部構成を示す図である。
【図4】この発明の実施の形態1におけるフレーム受信処理部の動作を示すフローチャートである。
【図5】この発明の実施の形態1における機器リスト管理部の動作を示すフローチャートである。
【図6】この発明の実施の形態1における設定情報の内訳を示す図である。
【図7】この発明の実施の形態1における対象物件機器リストのエントリの内訳を示す図である。
【図8】この発明の実施の形態1におけるMACアドレス解決部の動作を示すフローチャートである。
【図9】この発明の実施の形態1における中継判断部の動作を示すフローチャートである。
【図10】この発明の実施の形態1におけるフレーム送信処理部の動作を示すフローチャートである。
【図11】この発明の実施の形態2に係る検疫システムの動作を示す図である。
【図12】この発明の実施の形態3に係る検疫システムの動作を示す図である。
【図13】従来の検疫システムの構成を示す図である。
【発明を実施するための形態】
【0012】
以下、この発明の実施の形態について図面を参照しながら詳細に説明する。
実施の形態1.
図1はこの発明の実施の形態1に係る検疫システムの構成を示す図である。
検疫システムのビル(対象物件)側には、図1に示すように、情報系・設備系(基幹)共有LAN1が設けられている。情報系・設備系共有LAN1は、このビル内の社員PC(情報系PC2)を繋ぐための情報系LANと、BASを実現するための設備系LANの基幹LAN部分とを共有したものである。そして、この情報系・設備系共有LAN1は、情報系LANとして情報系PC2と接続されている。また、設備系LANの基幹LAN部分として、ビル内においてBASを監視する監視端末3や、フィールドバス5を介して接続された計装機器6を管理するローカルコントローラ4などの設備機器と接続されている。
【0013】
ここで、悪意を持つ不正な機器やユーザは、情報系・設備系共有LAN1と接続し、このLAN1上の機器の接続状態を把握するため、MACアドレス解決要求フレームを大量に発報する。こうした攻撃に対処するため、監視端末3やローカルコントローラ4などの設備機器は、MACアドレス解決要求に応答しないように構成されている。また、情報系PC2は、ウイルス対策ソフトを搭載した一般的なPCを想定している。ウイルス対策ソフトは通常、MACアドレス解決要求に応答しないように構成されている。ただし、本発明を実施する際、情報系PC2にMACアドレス解決要求に応答しないウイルス対策ソフトを導入することは必須ではない。
なお、本方式に述べるMACアドレス解決通信は、IPv4であればARP通信に対応し、IPv6であればICMPv6通信の近隣要請(Neighbor Solicitation)および近隣通知(Neighbor Advertisement)に対応する。
【0014】
また、情報系・設備系共有LAN1と外部ネットワーク(遠隔管理網9)との接続点には、セキュリティ機能を有するゲートウェイ装置(SGW:セキュアゲートウェイ)7が設けられている。SGW7は、保守会社がビルの管理者と遠隔管理サービスを締結した後にビル内に設置する機器であり、IP通信に先立つMACアドレス解決通信を制御することによって、情報系・設備系共有LAN1に接続された設備機器の検疫を実現するものである。このSGW7の詳細については後述する。
【0015】
一方、検疫システムのセンタ(保守会社)側には、管理センタ8が設けられている。管理センタ8は、遠隔管理網9を介してSGW7と接続されるものであり、管理サーバ801を有している。管理サーバ801は、物件毎に監視端末3およびローカルコントローラ4を管理するための物件別機器リスト801aを有している。そして、管理サーバ801は、この物件別機器リスト801aに基づいて、SGW7に対して、後述する対象物件機器リスト702aに関する設定情報を提供する。
【0016】
次に、SGW7の概要について説明する。
SGW7は、図2に示すように、対象物件機器リスト702aを有している。この対象物件機器リスト702aには、情報系・設備系共有LAN1に接続された所定の設備機器(保守対象機器)のMACアドレスおよびIPアドレスの組を示すリスト(設備系LANリスト)と、情報系・設備系共有LAN1に接続された情報系PC2のうちSGW7の透過を許可する情報系PC2(透過許可対象機器)のMACアドレスおよびIPアドレスの組を示すリスト(情報系LANリスト)とが含まれている。
設備系LANリストは、管理サーバ801から提供された対象物件機器リスト702aに関する設定情報に基づいて設定・更新を行う。他方、情報系LANリストは、保守会社が関知するものではないため、物件毎に現地にて設定・更新を行う。なお、情報系PC2毎に設定を行うことは煩雑であるため、通常は情報系PC2が情報系LANからインターネットに接続するためのWebアクセス用のProxyサーバなどの設定を行う。
【0017】
SGW7は、この対象物件機器リスト702aを用いて情報系・設備系共有LAN1に接続された機器のアドレスを確認することによって、不正な機器が外部ネットワークと通信することを防止する。そのため、情報系PC2のウイルス対策ソフトがMACアドレスの解決要求に応答してしまう場合や対策ソフトを導入していない場合など、万が一情報系PC2が不正な機器などに検出された場合であっても、検出したMACアドレスが外部に通知され流出することを防ぐことできる。
【0018】
ここで、IPv6ではMACアドレスを元にグローバルアドレスが生成される場合が一般的である。そのため、MACアドレスの流出を防ぐことはセキュリティ上、重要である。
また、不正な機器の遠隔管理網9との通信を阻止する機能は、情報系・設備系共有LAN1内から機密情報が漏えいすることを防ぐ効果をも有している。
【0019】
そして、SGW7は、プロミスキャス動作を行い(情報系・設備系共有LAN1上の全ての通信を受信し)、MACアドレスの解決に関与して以下のように動作する。
まず、図2の矢印Aに示すように、情報系・設備系共有LAN1上の任意の設備機器(図2では監視端末3)がMACアドレス解決要求フレームを発報する。なお、MACアドレス解決要求フレームには、送信元のMACアドレスおよびIPアドレスと、宛先(解決要求先)のIPアドレスとが含まれている。
【0020】
次いで、SGW7は、MACアドレス解決要求フレームの送信元MACアドレスを精査する。そして、送信元アドレスが、対象物件機器リスト702aのうち設備系LANリストに登録されたMACアドレス(管理センタ8が管理している設備機器のMACアドレス)ではない場合、このMACアドレス解決要求フレームを廃棄する。
【0021】
一方、送信元MACアドレスが、対象物件機器リスト702aのうち設備系LANリストに登録されたMACアドレスである場合、SGW7は、MACアドレス解決要求フレームの宛先である設備機器に代理して、対象物件機器リスト702aの情報を用いてMACアドレスの解決応答を行う。そして、矢印Bに示すように、MACアドレス解決要求フレームの送信元である設備機器にMACアドレス解決応答フレームを通知する。
次いで、矢印Cに示すように、送信元である設備機器は、MACアドレスが解決された設備機器(図2ではローカルコントローラ4)との間で通常の通信を開始する。
【0022】
次に、SGW7の内部構成について図3を参照しながら説明する。
SGW7は、図3に示すように、現地設定入出力部701、対象物件機器リスト格納部702、LAN側ポート703、WAN側ポート704、受信調停処理部705、フレーム受信処理部706、機器リスト管理部707、MACアドレス解決部708、中継判断部709、送信調停処理部710およびフレーム送信処理部(通知部)711から構成されている。
【0023】
現地設定入出力部701は、管理端末10から対象物件機器リスト702aに関する設定情報を受け取り、機器リスト管理部707に渡すものである。なお、管理端末10は、SGW7が設置されたビルにおいて、対象物件機器リスト格納部702に格納された対象物件機器リスト702aのうちSGW7の透過を許可するエントリを設定するものである。
【0024】
LAN側ポート703は、情報系・設備系共有LAN1と接続され、情報系PC2や設備機器との間で通信フレームの送受信を行うものである。そして、LAN側ポート703は、情報系・設備系共有LAN1から受け取った通信フレームを受信調停処理部705を経由してフレーム受信処理部706に渡す。
【0025】
WAN側ポート704は、遠隔管理網9と接続され、管理センタ8やその他の外部機器との間で通信フレームの送受信を行うものである。そして、WAN側ポート704は、遠隔管理網9から受け取った通信フレームを受信調停処理部705を経由してフレーム受信処理部706に渡す。
【0026】
受信調停処理部705は、LAN側ポート703またはWAN側ポート704から受け取った通信フレームに対して、ラウンドロビン動作にて調停処理を行った上でフレーム受信処理部706に渡すものである。
【0027】
フレーム受信処理部706は、受信調停処理部705から受け取った通信フレームを解釈するものである。ここで、フレーム受信処理部706は、通信フレームが管理サーバ801からの対象物件機器リスト702aに関する設定情報であると判断した場合には、この通信フレームを機器リスト管理部707に渡す。また、MACアドレス解決要求フレームであると判断した場合には、この通信フレームをMACアドレス解決部708に渡す。また、それ以外であると判断した場合には、この通信フレームを中継判断部709に渡す。
【0028】
機器リスト管理部707は、現地設定入出力部701またはフレーム受信処理部706から受け取った対象物件機器リスト702aに関する設定情報に基づいて、対象物件機器リスト格納部702に格納された対象物件機器リスト702aを更新するものである。
【0029】
MACアドレス解決部708は、フレーム受信処理部706から受け取った通信フレーム(MACアドレス解決要求フレーム)に対して、対象物件機器リスト格納部702に格納された対象物件機器リスト702aに基づいて応答するかを判断した上で、解決要求先の設備機器に代理してMACアドレスの解決応答を行うものである。ここで、MACアドレス解決部708は、MACアドレス解決応答フレームを作成した場合には、送信調停処理部710を経由してフレーム送信処理部711に渡す。
【0030】
中継判断部709は、フレーム受信処理部706から受け取った通信フレームに対して、対象物件機器リスト格納部702に格納された対象物件機器リスト702aに基づいてSGW7を透過してもよいフレームであるかを判断するものである。ここで、中継判断部709は、SGW7を透過してもよいと判断した場合には、この通信フレームを送信調停処理部710を経由してフレーム送信処理部711に渡す。
【0031】
送信調停処理部710は、MACアドレス解決部708または中継判断部709から受け取った通信フレームに対して、ラウンドロビン動作にて調停処理を行った上でフレーム送信処理部711に渡すものである。
【0032】
フレーム送信処理部711は、送信調停処理部710から受け取った通信フレームに対する送信処理を行うものである。ここで、通信フレームがMACアドレス解決応答フレームであると判断した場合には、この通信フレームをLAN側ポート703に送信する。また、MACアドレス解決応答フレームではないと判断した場合には、この通信フレームをLAN側ポート703およびWAN側ポート704の両方に送信する。
【0033】
次に、上記のように構成されたSGW7内の各機能部の動作について説明する。
まず、フレーム受信処理部706の動作について図4を参照しながら説明する。
フレーム受信処理部706の動作では、図4に示すように、まず、受信調停処理部705を経由してLAN側ポート703またはWAN側ポート704から受け取った通信フレームが、管理サーバ801からの対象物件機器リスト702aに関する設定情報であるかを判断する(ステップST401)。
このステップST401において、通信フレームが対象物件機器リスト702aに関する設定情報であると判断した場合には、この通信フレームを機器リスト管理部707に渡す(ステップST402)。
【0034】
一方、ステップST401において、通信フレームが対象物件機器リスト702aに関する設定情報ではないと判断した場合には、MACアドレス解決要求フレームであるかを判断する(ステップST403)。
このステップST403において、通信フレームがMACアドレス解決要求フレームであると判断した場合には、この通信フレームをMACアドレス解決部708に渡す(ステップST404)。
【0035】
一方、ステップST403において、通信フレームがMACアドレス解決要求フレームではないと判断した場合には、この通信フレームを中継判断部709に渡す(ステップST405)。
【0036】
次に、機器リスト管理部707の動作(機器リスト管理ステップ)について図5を参照しながら説明する。なお、機器リスト管理部707が扱う対象物件機器リスト702aに関する設定情報には、図6に示すように、処理フラグ(対象物件機器リスト702aへのエントリ設定:0、対象物件機器リスト702aからのエントリ削除:1)、エントリ分類(設備系LANの保守対象機器に関するエントリ:0、情報系LANの透過許可対象機器に関するエントリ:1)、MACアドレスおよびIPアドレスの組が含まれている。
【0037】
機器リスト管理部707の動作では、図5に示すように、まず、対象物件機器リスト702a内に、設定情報のMACアドレスおよびIPアドレスの組と同一のアドレスの組を持つエントリが存在するかを判断する(ステップST501)。
このステップST501において、対象物件機器リスト702a内に、設定情報のMACアドレスおよびIPアドレスの組と同一のアドレスの組を持つエントリが存在すると判断した場合には、設定情報の処理フラグの値が1であるかを判断する(ステップST502)。
【0038】
このステップST502において、設定情報の処理フラグの値が1であると判断した場合には、対象物件機器リスト702a内の該当エントリを削除する(ステップST503)。
一方、ステップST502において、設定情報の処理フラグの値が1ではないと判断した場合には、シーケンスは終了する。
【0039】
一方、ステップST501において、対象物件機器リスト702a内に、設定情報のMACアドレスおよびIPアドレスの組と同一の組を持つエントリが存在しないと判断した場合には、設定情報の処理フラグの値が0であるかを判断する(ステップST504)。
【0040】
このステップST504において、設定情報の処理フラグの値が0であると判断した場合には、設定情報に基づいて、対象物件機器リスト702aに新たなエントリを書き込む(ステップST505)。ここで、対象物件機器リスト702aに書き込まれるエントリには、図7に示すように、番号、エントリ分類(設備系LANの保守対象機器に関するエントリ:0、情報系LANの透過許可対象機器に関するエントリ:1)、MACアドレスおよびIPアドレスの組が含まれる。
一方、ステップST504において、設定情報の処理フラグの値が0ではないと判断した場合には、シーケンスは終了する。
【0041】
次に、MACアドレス解決部708の動作(MACアドレス解決ステップ)について図8を参照しながら説明する。なお、MACアドレス解決部708が扱うMACアドレス解決要求フレームには、送信元のMACアドレスおよびIPアドレスと、宛先(解決要求先)のIPアドレスとが含まれている。
【0042】
MACアドレス解決部708の動作では、まず、MACアドレス解決要求フレームから送信元MACアドレスを取得する(ステップST801)。
次いで、対象物件機器リスト702a内から1つのエントリを読み出して(ステップST802)、このエントリのエントリ分類の値が0であるかを判断する(ステップST804)。すなわち、読み出したエントリが、設備系LANの保守対象機器に関するエントリであるかを判断する。
【0043】
このステップST804において、エントリ分類の値が0ではないと判断した場合には、シーケンスはステップST802に戻り、次のエントリの精査に移行する。
一方、ステップST804において、エントリ分類の値が0であると判断した場合には、送信元MACアドレスがエントリのMACアドレスと一致するかを判断する(ステップST805)。
【0044】
このステップST805において、送信元MACアドレスがエントリのMACアドレスとは一致しないと判断した場合には、シーケンスはステップST802に戻り、次のエントリの精査に移行する。
なお、ステップST803において、対象物件機器リスト702a内におけるエントリの終端に達したと判断した場合には、MACアドレス解決要求フレームを廃棄する(ステップST806)。すなわち、MACアドレス解決要求フレームの送信元である設備機器が、保守対象機器(管理センタ8が管理している設備機器)以外の機器であると判断できるため、このMACアドレス解決要求フレームを廃棄する。
【0045】
一方、ステップST805において、送信元MACアドレスがエントリのMACアドレスと一致すると判断した場合には、MACアドレス解決要求フレームから宛先IPアドレスを取得する(ステップST807)。
次いで、対象物件機器リスト702a内から1つのエントリを読み出して(ステップST808)、このエントリのエントリ分類の値が0であるかを判断する(ステップST810)。
【0046】
このステップST810において、エントリ分類の値が0ではないと判断した場合には、シーケンスはステップST808に戻り、次のエントリの精査に移行する。
一方、ステップST810において、エントリ分類の値が0であると判断した場合には、宛先IPアドレスがエントリのIPアドレスと一致するかを判断する(ステップST811)。
【0047】
このステップST811において、宛先IPアドレスがエントリのIPアドレスとは一致しないと判断した場合には、シーケンスはステップST808に戻り、次のエントリの精査に移行する。
なお、ステップST809において、対象物件機器リスト702a内におけるエントリの終端に達したと判断した場合には、MACアドレス解決要求フレームを廃棄する(ステップST812)。すなわち、対象物件機器リスト702a内に該当IPアドレスが存在しない場合、MACアドレス解決応答フレームを作成することができず、また解決応答を行う必要もないため、MACアドレス解決要求フレームを廃棄する。
【0048】
一方、ステップST811において、宛先IPアドレスがエントリのIPアドレスと一致すると判断した場合には、MACアドレス解決応答フレームを作成して、送信調停処理部710を経由してフレーム送信処理部711に渡す(ステップST813)。
【0049】
次に、中継判断部709の動作について図9を参照しながら説明する。
中継判断部709の動作では、まず、通信フレームから送信元のMACアドレスおよびIPアドレスの組を取得する(ステップST901)。
次いで、対象物件機器リスト702a内から1つのエントリを読み出して(ステップST902)、このエントリのエントリ分類の値が1であるかを判断する(ステップST904)。すなわち、このエントリが情報系LANの透過許可対象機器に関するエントリであるかを判断する。
【0050】
このステップST904において、エントリ分類の値が1ではないと判断した場合には、シーケンスはステップST902に戻り、次のエントリの精査に移行する。
一方、ステップST904において、エントリ分類の値が1であると判断した場合には、エントリのMACアドレスおよびIPアドレスの組が、送信元のアドレスの組と一致するかを判断する(ステップST905)。
【0051】
このステップST905において、エントリのMACアドレスおよびIPアドレスの組が、送信元のアドレスの組とは一致しないと判断した場合には、シーケンスはステップST902に戻り、次のエントリの精査に移行する。
なお、ステップST903において、対象物件機器リスト702a内におけるエントリの終端に達したと判断した場合には、当該通信フレームを廃棄する(ステップST906)。すなわち、通信フレームの送信元機器が、透過許可対象機器以外の機器であると判断できるため、この通信フレームをSGW7の外部に流出させないように廃棄する。
【0052】
一方、ステップST905において、エントリのMACアドレスおよびIPアドレスの組が、送信元のアドレスの組と一致すると判断した場合には、通信フレームを送信調停処理部710を経由してフレーム送信処理部711に渡す(ステップST907)。
【0053】
次に、フレーム送信処理部711の動作(通知ステップ)について図10を参照しながら説明する。
フレーム送信処理部711の動作では、まず、通信フレームがMACアドレス解決応答フレームであるかを判断する(ステップST1001)。
このステップST1001において、通信フレームがMACアドレス解決応答フレームであると判断した場合には、この通信フレームをLAN側ポート703に送信する(ステップST1002)。
一方、ステップST1001において、通信フレームがMACアドレス解決応答フレームではないと判断した場合には、この通信フレームをLAN側ポート703およびWAN側ポート704に送信する(ステップST1003)。
【0054】
以上のように、この実施の形態1によれば、対象物件機器リスト702aに基づいて、保守対象機器(管理センタ8が管理している設備機器)以外の機器が情報系・設備系共有LAN1に接続された場合に、他の設備機器との通信が確立できないように構成したので、保守会社が管理する設備機器以外の機器が設備系LANに接続されても、設備系LANが情報系LANのサービスを阻害する要因を排除することができる。また、設備系LANにより構築される検疫システムの保守性を向上することができる。また、偽装コントローラが情報系・設備系共有LAN1に設置されても、SGW7を越えて情報系・設備系共有LAN1内の機密情報を外部に通知することができず、情報系LANの保護に繋がる。
【0055】
また、施工面で導入の容易な方式を可能とする。すなわち、設備系LANの無いビルに後からBASを構築することを容易とすることから、アドオン性の高いBASを構築できる。さらに、コスト面で導入の容易な方式を可能とする。すなわち、設備系LAN施工時のコスト(新設ビルの施工コスト、設備系LANの無い既設ビルにおいてBASを構築する際の施行コスト)を削減することができる。
【0056】
また、図3に示すSGW7の現地設定入出力部701において、現地毎の設定をもネットワーク経由で可能とする方式も考えられる。その際、現地設定入出力部701の一例として、設定画面をWeb画面などで提供することが考えられる。
【0057】
実施の形態2.
実施の形態1では、SGW7自身が、MACアドレスの解決要求先である設備機器に代理して、解析応答を行う場合について示した。それに対して、実施の形態2では、SGW7がMACアドレス解決要求フレームの送信元を精査した後、解決要求先である設備機器に対してMACアドレスの解決応答を行うよう指示し、設備機器に、解決応答を行うエージェント機能を搭載する場合について示す。なお、SGW7の内部構成は、図3に示す実施の形態1に係るSGW7と同様である。
【0058】
この場合、SGW7(MACアドレス解決部708)は以下のように動作する。
まず、図11の矢印Aに示すように、情報系・設備系共有LAN1上の任意の設備機器(図11では監視端末3)がMACアドレス解決要求フレームを発報する。
【0059】
次いで、SGW7は、MACアドレス解決要求フレームの送信元MACアドレスを精査する。そして、送信元MACアドレスが、対象物件機器リスト702aのうち設備系LANリストに登録されたMACアドレスではない場合には、このMACアドレス解決要求フレームを廃棄する。
【0060】
一方、送信元MACアドレスが、対象物件機器リスト702aのうち設備系LANリストに登録されたMACアドレスである場合には、矢印Bに示すように、SGW7は、MACアドレス解決要求フレームの宛先IPアドレスと同一のIPアドレスを有する設備機器(図11ではローカルコントローラ4)内のエージェントに対して、MACアドレス解決要求に応答するよう指示する。
【0061】
次いで、SGW7から指示を受けた設備機器内のエージェントは、MACアドレスの解決応答を行う。そして、矢印Cに示すように、MACアドレス解決要求フレームの送信元である設備機器にMACアドレス解決応答フレームを通知する。
次いで、矢印Dに示すように、送信元である設備機器は、MACアドレスが解決された設備機器(ローカルコントローラ4)との間で通常の通信を開始する。
【0062】
以上のように、この実施の形態2によれば、SGW7(MACアドレス解決部708)は、MACアドレスの解決応答に代えて、解決要求先である設備機器にMACアドレスの解決応答を行うよう指示し、指示された設備機器は、解決応答を行って解決要求元である設備機器に通知するように構成したので、実施の形態1と同様に、保守会社の管理センタ8が管理している機器でなければ他の設備機器と通信が確立できないため、保守性が向上し、情報系LANの保護も図ることができる。
【0063】
実施の形態3.
実施の形態1,2では、不正な機器がLAN1に接続されてMACアドレス解決要求フレームが発報された場合に、このフレームを廃棄する場合について示した。それに対して、実施の形態3では、不正な機器を情報系・設備系共有LAN1とは異なるおとりLAN11に誘導する場合について示す。なお、SGW7の内部構成は、図3に示す実施の形態1に係るSGW7と同様である。
【0064】
この場合、SGW7(MACアドレス解決部708)は以下のように動作する。なお、SGW7が有する対象物件機器リスト702aには、予め、おとりLAN11に接続されたおとりPC(おとり機器)1101のMACアドレスおよびIPアドレスの組が設定されている。
まず、図12の矢印Aに示すように、情報系・設備系共有LAN1に接続された不正な機器(図12では偽装コントローラ)がMACアドレス解決要求フレームを発報する。
【0065】
次いで、SGW7は、MACアドレス解決要求フレームの送信元MACアドレスを精査する。ここで、この送信元MACアドレスは、対象物件機器リスト702aのうち設備系LANリストに登録されたMACアドレスではないため、矢印Bに示すように、おとりPC1101のMACアドレスを解決応答として返す。
これにより、矢印Cに示すように、偽装コントローラは、おとりPC1101との間で通信を開始する。
【0066】
以上のように、この実施の形態3によれば、SGW7(MACアドレス解決部708)は、対象物件機器リスト702a内の設備系LANリストに、解決要求元のMACアドレスと同一のMACアドレスを有するエントリが存在しない場合に、おとりPC1101のMACアドレスを解決応答とするように構成したので、実施の形態1と同様の保守性の向上・情報系LANの保護に加えて、不正と疑わしい機器からの通信をおとりLAN11に引き込むことができる。これにより、不正な機器かどうかを詳細に調査することや、不正者の挙動の解析などが可能になる。
【0067】
実施の形態4.
実施の形態1では、SGW7が外部に設けられた管理サーバ801からの設定情報に基づいて対象物件機器リスト702aを設定する場合について示した。それに対して、実施の形態4では、検疫システムの保守作業員や対象物件の管理者が、管理端末10を経由して、対象物件機器リスト702aに関する設定情報を現地にて設定する場合について示す。なお、対象物件機器リスト702aに関する設定情報が現地にて設定可能であることは、実施の形態1のみならず、他の全ての実施の形態に対しても同様であるとする。
【0068】
この場合、管理センタ8から独立して対象物件機器リスト702aが更新されるため、保守会社の管理センタ8が管理している設備機器以外の機器も他の設備機器と通信が確立できるという効果が得られる。一方、その弊害として、対象物件機器リスト702aに関する設定情報を現地にて設定できる人員を限定する必要がある。限定する方法の一例としては、SGW7の対象物件機器リスト702aを更新するためのパスワードを設ける方法などが考えられる。
また、この実施の形態4によれば、SGW7を運用する際に管理センタ8との接続が不要になるため、外部ネットワークと独立したビルであっても情報系LANと設備系LANとを共有することが可能になるという効果が得られる。
【0069】
なお、本願発明はその発明の範囲内において、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
【符号の説明】
【0070】
1 情報系・設備系共有LAN、2 情報系PC、3 監視端末、4 ローカルコントローラ、5 フィールドバス、6 計装機器、7 SGW(ゲートウェイ装置)、8 管理センタ、9 遠隔管理網、10 管理端末、11 おとりLAN、701 現地設定入出力部、702 対象物件機器リスト格納部、702a 対象物件機器リスト、703 LAN側ポート、704 WAN側ポート、705 受信調停処理部、706 フレーム受信処理部、707 機器リスト管理部、708 MACアドレス解決部、709 中継判断部、710 送信調停処理部、711 フレーム送信処理部(通知部)、801 管理サーバ、801a 物件別機器リスト、1101 おとりPC(おとり機器)。
【特許請求の範囲】
【請求項1】
所定物件内のLANに接続された設備機器と、前記設備機器の検疫を行うゲートウェイ装置とを備えた検疫システムにおいて、
前記LANは、情報系LANおよび設備系LANを共有したものであり、
前記設備機器は、前記LANに接続された他の設備機器から発報されたMACアドレスの解決要求には応答せず、
前記ゲートウェイ装置は、
前記LANに接続された所定の設備機器のMACアドレスおよびIPアドレスを含むリストを格納するリスト格納部と、
前記MACアドレスの解決要求に対して、前記リスト格納部に格納されたリストに基づいて応答するかを判断した上で、当該解決要求先の設備機器に代理してMACアドレスの解決応答を行うMACアドレス解決部と、
前記MACアドレス解決部により解決応答がなされた場合に、前記解決要求元の設備機器に当該解決応答を通知する通知部とを備えた
ことを特徴とする検疫システム。
【請求項2】
前記MACアドレス解決部は、前記リスト内に、前記解決要求元のMACアドレスと同一のMACアドレスを有するエントリが存在し、かつ、当該解決要求先のIPアドレスと同一のIPアドレスを有するエントリが存在する場合に、解決応答を行う
ことを特徴とする請求項1記載の検疫システム。
【請求項3】
前記MACアドレス解決部は、前記リスト内に、前記解決要求元のMACアドレスと同一のMACアドレスを有するエントリが存在せず、または、当該解決要求先のIPアドレスと同一のIPアドレスを有するエントリが存在しない場合に、当該解決要求を示すフレームを廃棄する
ことを特徴とする請求項1または請求項2記載の検疫システム。
【請求項4】
前記MACアドレス解決部は、前記リスト内に、前記解決要求元のMACアドレスと同一のMACアドレスを有するエントリが存在し、かつ、当該解決要求先のIPアドレスと同一のIPアドレスを有するエントリが存在する場合に、解決応答に代えて当該IPアドレスを有する設備機器に解決応答を行うよう指示し、
前記設備機器は、前記MACアドレス解決部から解決応答を行うよう指示された場合に、解決応答を行い前記解決要求元の設備機器に通知する
ことを特徴とする請求項1記載の検疫システム。
【請求項5】
おとりLANと、
前記おとりLANに接続されたおとり機器とを備え、
前記MACアドレス解決部は、前記リスト内に、前記解決要求元のMACアドレスと同一のMACアドレスを有するエントリが存在しない場合に、前記おとり機器のMACアドレスを解決応答とする
ことを特徴とする請求項1記載の検疫システム。
【請求項6】
前記ゲートウェイ装置は、
外部に設けられた管理センタからの設定情報に基づいて、前記リスト格納部に格納されたリストを更新する機器リスト管理部を備えた
ことを特徴とする請求項1から請求項5のうちのいずれか1項記載の検疫システム。
【請求項7】
前記ゲートウェイ装置は、
前記物件に設けられた管理端末からの設定情報に基づいて、前記リスト格納部に格納されたリストを更新する機器リスト管理部を備えた
ことを特徴とする請求項1から請求項5のうちのいずれか1項記載の検疫システム。
【請求項8】
所定物件内の情報系LANおよび設備系LANを共有したLANに接続された設備機器の検疫を行うゲートウェイ装置において、
前記LANに接続された所定の設備機器のMACアドレスおよびIPアドレスを含むリストを格納するリスト格納部と、
前記LANに接続された設備機器から発報されたMACアドレスの解決要求に対して、前記リスト格納部に格納されたリストに基づいて応答するかを判断した上で、当該解決要求先の設備機器に代理してMACアドレスの解決応答を行うMACアドレス解決部と、
前記MACアドレス解決部により解決応答がなされた場合に、前記解決要求元の設備機器に当該解決応答を通知する通知部と
を備えたことを特徴とするゲートウェイ装置。
【請求項9】
所定物件内の情報系LANおよび設備系LANを共有したLANに接続され、ゲートウェイ装置により検疫される設備機器において、
前記設備機器は、前記LANに接続された他の設備機器から発報されたMACアドレスの解決要求には応答しない
ことを特徴とする設備機器。
【請求項10】
所定物件内の情報系LANおよび設備系LANを共有したLANに接続された設備機器と、前記設備機器の検疫を行うゲートウェイ装置とを備えた検疫システムによる設備系LAN構築方法において、
前記LANに接続された所定の設備機器のMACアドレスおよびIPアドレスを含むリストを格納するリスト格納ステップと、
前記LANに接続された設備機器から発報されたMACアドレスの解決要求に対して、前記リスト格納ステップにおいて格納したリストに基づいて応答するかを判断した上で、当該解決要求先の設備機器に代理してMACアドレスの解決応答を行うMACアドレス解決ステップと、
前記MACアドレス解決ステップにおいて解決応答がなされた場合に、前記解決要求元の設備機器に当該解決応答を通知する通知ステップと
を有することを特徴とする設備系LAN構築方法。
【請求項1】
所定物件内のLANに接続された設備機器と、前記設備機器の検疫を行うゲートウェイ装置とを備えた検疫システムにおいて、
前記LANは、情報系LANおよび設備系LANを共有したものであり、
前記設備機器は、前記LANに接続された他の設備機器から発報されたMACアドレスの解決要求には応答せず、
前記ゲートウェイ装置は、
前記LANに接続された所定の設備機器のMACアドレスおよびIPアドレスを含むリストを格納するリスト格納部と、
前記MACアドレスの解決要求に対して、前記リスト格納部に格納されたリストに基づいて応答するかを判断した上で、当該解決要求先の設備機器に代理してMACアドレスの解決応答を行うMACアドレス解決部と、
前記MACアドレス解決部により解決応答がなされた場合に、前記解決要求元の設備機器に当該解決応答を通知する通知部とを備えた
ことを特徴とする検疫システム。
【請求項2】
前記MACアドレス解決部は、前記リスト内に、前記解決要求元のMACアドレスと同一のMACアドレスを有するエントリが存在し、かつ、当該解決要求先のIPアドレスと同一のIPアドレスを有するエントリが存在する場合に、解決応答を行う
ことを特徴とする請求項1記載の検疫システム。
【請求項3】
前記MACアドレス解決部は、前記リスト内に、前記解決要求元のMACアドレスと同一のMACアドレスを有するエントリが存在せず、または、当該解決要求先のIPアドレスと同一のIPアドレスを有するエントリが存在しない場合に、当該解決要求を示すフレームを廃棄する
ことを特徴とする請求項1または請求項2記載の検疫システム。
【請求項4】
前記MACアドレス解決部は、前記リスト内に、前記解決要求元のMACアドレスと同一のMACアドレスを有するエントリが存在し、かつ、当該解決要求先のIPアドレスと同一のIPアドレスを有するエントリが存在する場合に、解決応答に代えて当該IPアドレスを有する設備機器に解決応答を行うよう指示し、
前記設備機器は、前記MACアドレス解決部から解決応答を行うよう指示された場合に、解決応答を行い前記解決要求元の設備機器に通知する
ことを特徴とする請求項1記載の検疫システム。
【請求項5】
おとりLANと、
前記おとりLANに接続されたおとり機器とを備え、
前記MACアドレス解決部は、前記リスト内に、前記解決要求元のMACアドレスと同一のMACアドレスを有するエントリが存在しない場合に、前記おとり機器のMACアドレスを解決応答とする
ことを特徴とする請求項1記載の検疫システム。
【請求項6】
前記ゲートウェイ装置は、
外部に設けられた管理センタからの設定情報に基づいて、前記リスト格納部に格納されたリストを更新する機器リスト管理部を備えた
ことを特徴とする請求項1から請求項5のうちのいずれか1項記載の検疫システム。
【請求項7】
前記ゲートウェイ装置は、
前記物件に設けられた管理端末からの設定情報に基づいて、前記リスト格納部に格納されたリストを更新する機器リスト管理部を備えた
ことを特徴とする請求項1から請求項5のうちのいずれか1項記載の検疫システム。
【請求項8】
所定物件内の情報系LANおよび設備系LANを共有したLANに接続された設備機器の検疫を行うゲートウェイ装置において、
前記LANに接続された所定の設備機器のMACアドレスおよびIPアドレスを含むリストを格納するリスト格納部と、
前記LANに接続された設備機器から発報されたMACアドレスの解決要求に対して、前記リスト格納部に格納されたリストに基づいて応答するかを判断した上で、当該解決要求先の設備機器に代理してMACアドレスの解決応答を行うMACアドレス解決部と、
前記MACアドレス解決部により解決応答がなされた場合に、前記解決要求元の設備機器に当該解決応答を通知する通知部と
を備えたことを特徴とするゲートウェイ装置。
【請求項9】
所定物件内の情報系LANおよび設備系LANを共有したLANに接続され、ゲートウェイ装置により検疫される設備機器において、
前記設備機器は、前記LANに接続された他の設備機器から発報されたMACアドレスの解決要求には応答しない
ことを特徴とする設備機器。
【請求項10】
所定物件内の情報系LANおよび設備系LANを共有したLANに接続された設備機器と、前記設備機器の検疫を行うゲートウェイ装置とを備えた検疫システムによる設備系LAN構築方法において、
前記LANに接続された所定の設備機器のMACアドレスおよびIPアドレスを含むリストを格納するリスト格納ステップと、
前記LANに接続された設備機器から発報されたMACアドレスの解決要求に対して、前記リスト格納ステップにおいて格納したリストに基づいて応答するかを判断した上で、当該解決要求先の設備機器に代理してMACアドレスの解決応答を行うMACアドレス解決ステップと、
前記MACアドレス解決ステップにおいて解決応答がなされた場合に、前記解決要求元の設備機器に当該解決応答を通知する通知ステップと
を有することを特徴とする設備系LAN構築方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2013−46214(P2013−46214A)
【公開日】平成25年3月4日(2013.3.4)
【国際特許分類】
【出願番号】特願2011−182553(P2011−182553)
【出願日】平成23年8月24日(2011.8.24)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成25年3月4日(2013.3.4)
【国際特許分類】
【出願日】平成23年8月24日(2011.8.24)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]