通信システム
【課題】異なる層に接続した機器間で直接通信することを可能とする通信システムを実現する。
【解決手段】第1ネットワークに接続された下位層の機器が、ゲートウェイ装置を介して第2ネットワークに接続された上位層のアプリケーションと通信する通信システムにおいて、前記第1ネットワークと前記第2ネットワークとの間に、前記ゲートウェイ装置をバイパスするトンネル装置を接続する。
【解決手段】第1ネットワークに接続された下位層の機器が、ゲートウェイ装置を介して第2ネットワークに接続された上位層のアプリケーションと通信する通信システムにおいて、前記第1ネットワークと前記第2ネットワークとの間に、前記ゲートウェイ装置をバイパスするトンネル装置を接続する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、第1ネットワークに接続された下位層の機器が、ゲートウェイを介して第2ネットワークに接続された上位層のアプリケーションと通信する通信システム、特に下位層の無線伝送器サブシステムと上位層のアプリケーションを接続する技術に関するものである。
【背景技術】
【0002】
図5は、従来の通信システムの構成例を示す機能ブロック図である。第1ネットワーク
(バックボーンネットワーク)10には、バックボーンルータ20を介して下位層の機器である無線伝送器31、32、33が接続されている。
【0003】
第1ネットワーク10には、無線伝送器31、32、33の通信資源を管理するシステム管理装置40が接続されており、無線伝送器31、32、33からの通信資源要求に対して最適な通信資源割当を配布する。
【0004】
第2ネットワーク(コントロールネットワーク)50には、上位層の機器であるアプリケーション60が接続され、第1ネットワーク10と第2ネットワーク50間にはゲートウェイ装置70が接続されている。
【0005】
図6は、図5における通信経路を説明する機能ブロック図である。下位層の機器である無線伝送器31、32、33が上位層のアプリケーション60と通信する場合には、ゲートウェイ装置70を経由する必要がある。
【0006】
ゲートウェイ装置70は、その装置を通過する全ての通信を理解し、必要があればプロトコル変換を行う。異なる層に接続された機器間で暗号化された通信を行う場合、ゲートウェイ装置を経由して通信を行う必要があるため、通信を行う機器間においてEnd to Endセキュリティを確保することができない。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2009−260451号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
従来通信システムでは次のような問題がある。
(1)異なる層に接続した機器間では、通信相手が例えばISA100.11a機器の場合には直接通信を行うことができない。また、通信を行う機器間でのEnd to End セキュリティを確保することができない。
【0009】
(2)異なる層間を中継しているゲートウェイ装置は、その装置を通過する全ての通信を理解し、必要があればプロトコル変換を行う。従って、異なる層に接続された機器間にて新たな通信を行う場合は、ゲートウェイ装置が新しい通信に対応する必要がある。
【0010】
本発明の目的は、異なる層に接続した機器間で直接通信することを可能とする通信システムを実現することにある。
【0011】
この仕組みを利用することによって、異なる層に接続された機器間の直接通信を可能とし、End to End のセキュリティを確保する。
【課題を解決するための手段】
【0012】
このような課題を達成するために、本発明は次の通りの構成になっている。
(1)第1ネットワークに接続された下位層の機器が、ゲートウェイ装置を介して第2ネットワークに接続された上位層のアプリケーションと通信する通信システムにおいて、
前記第1ネットワークと前記第2ネットワークとの間に、前記ゲートウェイ装置をバイパスするトンネル装置を接続したことを特徴とする通信システム。
【0013】
(2)前記機器は、前記トンネル装置を介して前記アプリケーションと直接通信し、End
to Endセキュリティを確保することを特徴とする(1)に記載の通信システム。
【0014】
(3)前記トンネル装置は、該トンネル装置と前記アプリケーションとの間の通信に対して暗号化処理と認証処理を実行することを特徴とする(1)または(2)に記載の通信システム。
【0015】
(4)前記トンネル装置は、該トンネル装置を経由して前記第1ネットワークと前記第2ネットワーク間で通信するデータに対して、優先度情報に基づいて優先制御処理を行う優先制御処理部を備えることを特徴とする(1)乃至(3)のいずれかに記載の通信システム。
【0016】
(5)前記トンネル装置は、該トンネル装置を経由して前記第1ネットワークと前記第2ネットワーク間で通信するデータに対して、アクセス許可情報に基づいてアクセス制御処理を行うアクセスコントロール処理部を備えることを特徴とする(1)乃至(4)のいずれかに記載の通信システム。
【0017】
(6)前記トンネル装置は、前記第1ネットワークと前記第2ネットワーク間に接続された他のトンネル装置との間で、互いの設定情報を同期して等値化するトンネル装置同期部を備えることを特徴とする(1)乃至(5)のいずれかに記載の通信システム。
【0018】
(7)前記トンネル装置は、前記ゲートウェイ装置と同一ハードウェア上に実装されていることを特徴とする(1)乃至(6)のいずれかに記載の通信システム。
【0019】
(8)前記機器は、ISA100.11aの規格に準拠する無線伝送器であることを特徴とする(1)乃至(7)のいずれかに記載の通信システム。
【発明の効果】
【0020】
本発明によれば、次のような効果を期待することができる。
(1)アプリケーションとトンネル装置との間で仮想トンネルを設定することにより、ゲートウェイ装置以下の下位層のネットワークを仮想的にアプリケーションまで延長することできる。
【0021】
(2)この結果、アプリケーションは、ゲートウェイ装置配下にある下位層のネットワークに接続された無線伝送器と直接通信することができる。例えば、ISA100.11aネットワークに接続されたアプリケーションは、ISA100.11aの仕組みを用いた無線伝送器とEnd to Endのセキュリティを確保することができる。
【0022】
(3)トンネル装置を用いることで、ゲートウェイ装置に変更は必要がない。また、この仕組みは特定のアプリケーションに特化したものではないため、新しいアプリケーションを接続する場合でも、ゲートウェイ装置の変更なしに対応することが可能である。
【0023】
(4)トンネル装置にて、暗号処理・認証処理を行うことによって、認証されたアプリケーションのみが暗号化されたセキュアな通信を行うことが可能である。
【0024】
(5)トンネル装置を経由して第1ネットワークと第2ネットワーク間で通信するデータに対して、優先度を設定する優先制御処理を実行することにより、センサデータ、制御データ等の処理を優先させ、設定データ、診断情報等の処理の優先度を下げることにより、プロセス制御における重要データの高速処理を可能とするシステムを構築することができる。
【0025】
(6)トンネル装置を経由して第1ネットワークと第2ネットワーク間で通信するデータに対して、アクセスの可否を設定するアクセスコントロール処理を実行することにより、セキュリティの脅威となる可能性のあるデータの通過をブロックし、トンネル装置を経由する通信を特定の機器のみに限定することができる。
【0026】
(7)トンネル装置を多重化し、同期処理を実行することにより、トンネル装置の耐障害性を高めることができる。
【0027】
(8)トンネル装置は、ゲートウェイ装置と物理的に一つのハードウェア上に実装することが可能である。
【図面の簡単な説明】
【0028】
【図1】本発明を適用した通信システムの一実施例を示す機能ブロック図である。
【図2】図1における通信経路を説明する機能ブロック図である。
【図3】トンネル装置の構成例を示す機能ブロック図である。
【図4】トンネル装置の他の構成例を示す機能ブロック図である。
【図5】従来の通信システムの構成例を示す機能ブロック図である。
【図6】図5における通信経路を説明する機能ブロック図である。
【発明を実施するための形態】
【0029】
以下本発明を、図面を用いて詳細に説明する。図1は、本発明を適用した通信システムの一実施例を示す機能ブロック図である。図5で説明した従来構成と同一要素には同一符号を付して説明を省略する。
【0030】
図5に示した従来構成に追加される本発明の特徴部は、第1ネットワーク10と第2ネットワーク50間に、ゲートウェイ装置70をバイパスするトンネル装置100を接続した構成にある。
【0031】
図2は、図1における通信経路を説明する機能ブロック図である。アプリケーション60がトンネル装置100に対して、ネットワーク接続要求を送信する。トンネル装置100は、アプリケーション60との間でトンネルを設定し、ネットワーク接続応答を返答する。
【0032】
トンネル装置100からネットワーク接続応答を受信したアプリケーション60が、トンネル装置100との間で仮想トンネル200を設定する。アプリケーション60は、設定された仮想トンネル200を用いて、システム管理装置40に ISA100.11a通信を用いて参加する。その後、アプリケーション60は無線伝送器31〜33と直接ISA100.11a通信を行う。
【0033】
図3は、トンネル装置の構成例を示す機能ブロック図である。トンネル装置100は、ISA100.11a通信スタック101、第1ネットワーク10とのインタフェースであるISA100.11aバックボーン通信スタック102、第2ネットワーク50とのインタフェースである上位側通信スタック103、トンネル設定管理手段104の各機能を持つ。ISA100.11a通信スタック101は、ISA100.11a仕様に準拠した通信スタックである。
【0034】
ISA100.11aバックボーン通信スタック102は、対象となるシステムのISA100.11aバックボーンネットワーク(第1ネットワーク10)にて使用される通信プロトコルのスタックである。IP(Internet Protocol)もしくはIPv6プロトコルスタックがこれにあたる。
【0035】
上位側通信スタック103は、トンネル装置100の上位側インタフェースに接続されるネットワーク(第2ネットワーク50)にて使用される通信プロトコルスタックである。この通信スタックはIPもしくはIPv6プロトコルスタックが一般的である。
【0036】
トンネル設定管理104は、アプリケーション60とトンネル装置100との間で設定される仮想トンネル200の設定・管理を行う。アプリケーション60から送信されるトンネル作成要求を処理し、トンネル装置とアプリケーションとの間でトンネルの設定を行う。
【0037】
上位側通信スタック103は、暗号化・認証処理手段105を備える。トンネル装置100にて、暗号処理・認証処理を行うことによって、認証されたアプリケーションのみが暗号化されたセキュアな通信を行うことが可能である。
【0038】
図4は、トンネル装置の他の構成例を示す機能ブロック図である。図5で説明した従来構成と同一要素には同一符号を付して説明を省略する。この構成例におけるトンネル装置300の第1の特徴は、トンネル装置を経由して第1ネットワーク10と第2ネットワーク50間で通信するデータに対して、優先度を設定する優先制御処理を実行する構成にある。
【0039】
この機能により、センサデータ、制御データ等の処理を優先させ、設定データ、診断情報等の優先度を下げることにより、重要データの高速処理を可能とするシステムを構築することができる。
【0040】
この構成例におけるトンネル装置300の第2の特徴は、トンネル装置を経由して第1ネットワーク10と第2ネットワーク50間で通信するデータに対して、アクセスの可否を設定するアクセスコントロール処理を実行する構成にある。
【0041】
この機能により、セキュリティの脅威となる可能性のあるデータの通過をブロックし、トンネル装置を経由する通信を特定の機器のみに限定することができる。
【0042】
この構成例におけるトンネル装置300の第3の特徴は、第1ネットワーク10と第2ネットワーク50間に接続された、バックアップのための他のトンネル装置600との間で、互いの設定情報を同期して等値化処理する構成にある。この機能により、トンネル装置の耐障害性を高めることができる。
【0043】
この構成例において、第2ネットワーク50には、2個のアプリケーション61,62が接続され、これらアプリケーションとトンネル装置300との間には、夫々仮想トンネル400および500が設定されている。
【0044】
アプリケーション61は第1ネットワーク10の機器31と通信し、アプリケーション62は第1ネットワーク10の機器32と通信するものとする。第1ネットワーク10と第2ネットワーク50間には、トンネル装置300をバックアップするためのトンネル装置600が接続されている。
【0045】
トンネル装置300は、下位ネットワークインタフェース301、上位ネットワークインタフェース302、トンネル処理部303、トンネル設定部304、トンネル暗号・認証処理部305、優先制御処理部306、データ判定部307、優先制御設定部308、第1アクセスコントロール処理部309、第2アクセスコントロール処理部310、アクセスコントロール設定部311、トンネル装置同期部312を備える。
【0046】
下位ネットワークインタフェース301および上位ネットワークインタフェース302は、トンネル装置300と第1ネットワーク10及び第2ネットワーク50との通信をインタフェースする。
【0047】
トンネル処理部303は、トンネル処理の基幹機能であり、第1ネットワーク10に接続される下位層の機器より、下位ネットワークインタフェース301を経由して取得されるメッセージに対し、第2ネットワーク50で使用される上位層のプロトコルスタックを付与し、上位ネットワークインタフェース302を経由して上位層のアプリケーション61,62に渡す機能を備える。
【0048】
逆に、第2ネットワーク50に接続される上位層の機器より、上位ネットワークインタフェース302を経由して取得されるメッセージに対し、上位層のプロトコルスタックを外して下位ネットワークインタフェース301を経由して下位層の機器に渡す機能を備える。
【0049】
トンネル設定部304は、アプリケーション61,62からの要求に基づき、トンネル処理部303に対してアプリケーション61に対する仮想トンネル400およびアプリケーション62に対する仮想トンネル500を定義して設定する。
【0050】
トンネル暗号・認証処理部305は、トンネル処理部303で処理されるメッセージに対して暗号化・認証処理を行う。この処理により、認証されたアプリケーションのみが暗号化されたセキュアな通信を行うことができる。
【0051】
優先制御処理部306は、トンネル装置を経由して第1ネットワーク10と第2ネットワーク50間で通信するデータに対して、優先制御設定部308により設定された優先度の順位(優先度情報)とデータ判定部307により判別されたデータ種別に基づいて優先制御処理を実行する。この優先処理により、センサデータ、制御データ等の処理を優先させ、設定データ、診断情報等の優先度を下げることでプロセス制御における重要データの高速処理を可能とするシステムを構築することができる。
【0052】
データ判定部307は、優先処理部306に入力されるデータを取得し、その種別を判定して優先処理部306に返す。優先制御設定部308は、優先処理部306に対して優先処理の順位を設定する。
【0053】
優先処理部306を挟んで上位層側に設けられた第1アクセスコントロール処理部309および下位層側に設けられた第2アクセスコントロール処理部310は、トンネル装置を経由して第1ネットワーク10と第2ネットワーク50間で通信するデータに対して、アクセスの可否を設定するアクセスコントロール処理を実行する。
【0054】
このアクセスコントロール処理により、セキュリティの脅威となる可能性のあるデータのトンネル装置300の通過をブロックし、トンネル装置を経由する通信を特定の機器のみに限定する(例えば、アプリケーション61は機器31のみと通信可能、アプリケーション61は機器31のみと通信可能)ことができる。
【0055】
アクセスコントロール設定部311は、第1アクセスコントロール処理部309および第2アクセスコントロール処理部310に対して、アクセスを許可する機器(許可情報)を設定する。なお、許可されない機器へのアクセスは拒否する。
【0056】
トンネル装置同期部312は、第1ネットワーク10と第2ネットワーク50間に接続されたバックアップ用の他のトンネル装置600との間で、互いの設定情報を同期して等値化処理する。この機能により、トンネル装置の耐障害性を高めることができる。
【0057】
以上説明した実施例において、トンネル装置100,300,600は、ゲートウェイ装置70の内部(例えば同一の筐体内)に設けられ、同一のハードウェア上に実装することが可能である。
【0058】
実施例では、下位層の機器としてISA100.11a規格に準拠する無線伝送器を示したが、本発明の適用対象はこれに限定されるものではなく、ワイヤレス・ハート規格などの他の規格に準拠する機器にも本発明を有効に適用することが可能である。
【符号の説明】
【0059】
10 第1ネットワーク
20 バックボーンルータ
31、32、33 無線伝送器
40 システム管理装置
50 第2ネットワーク
60、61、62 アプリケーション
70 ゲートウェイ装置
100 トンネル装置
101 ISA100.11a通信スタック
102 ISA100.11aバックボーン通信スタック
103 上位側通信スタック
104 トンネル設定管理手段
105 暗号化・認証処理手段
200 仮想トンネル
300 トンネル装置
301 下位ネットワークインタフェース
302 上位ネットワークインタフェース
303 トンネル処理部
304 トンネル設定部
305 トンネル暗号・認証処理部
306 優先制御処理部
307 データ判定部
308 優先制御設定部
309 第1アクセスコントロール処理部
310 第2アクセスコントロール処理部
311 アクセスコントロール設定部
312 トンネル装置同期部
400、500 仮想トンネル
600 トンネル装置
【技術分野】
【0001】
本発明は、第1ネットワークに接続された下位層の機器が、ゲートウェイを介して第2ネットワークに接続された上位層のアプリケーションと通信する通信システム、特に下位層の無線伝送器サブシステムと上位層のアプリケーションを接続する技術に関するものである。
【背景技術】
【0002】
図5は、従来の通信システムの構成例を示す機能ブロック図である。第1ネットワーク
(バックボーンネットワーク)10には、バックボーンルータ20を介して下位層の機器である無線伝送器31、32、33が接続されている。
【0003】
第1ネットワーク10には、無線伝送器31、32、33の通信資源を管理するシステム管理装置40が接続されており、無線伝送器31、32、33からの通信資源要求に対して最適な通信資源割当を配布する。
【0004】
第2ネットワーク(コントロールネットワーク)50には、上位層の機器であるアプリケーション60が接続され、第1ネットワーク10と第2ネットワーク50間にはゲートウェイ装置70が接続されている。
【0005】
図6は、図5における通信経路を説明する機能ブロック図である。下位層の機器である無線伝送器31、32、33が上位層のアプリケーション60と通信する場合には、ゲートウェイ装置70を経由する必要がある。
【0006】
ゲートウェイ装置70は、その装置を通過する全ての通信を理解し、必要があればプロトコル変換を行う。異なる層に接続された機器間で暗号化された通信を行う場合、ゲートウェイ装置を経由して通信を行う必要があるため、通信を行う機器間においてEnd to Endセキュリティを確保することができない。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2009−260451号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
従来通信システムでは次のような問題がある。
(1)異なる層に接続した機器間では、通信相手が例えばISA100.11a機器の場合には直接通信を行うことができない。また、通信を行う機器間でのEnd to End セキュリティを確保することができない。
【0009】
(2)異なる層間を中継しているゲートウェイ装置は、その装置を通過する全ての通信を理解し、必要があればプロトコル変換を行う。従って、異なる層に接続された機器間にて新たな通信を行う場合は、ゲートウェイ装置が新しい通信に対応する必要がある。
【0010】
本発明の目的は、異なる層に接続した機器間で直接通信することを可能とする通信システムを実現することにある。
【0011】
この仕組みを利用することによって、異なる層に接続された機器間の直接通信を可能とし、End to End のセキュリティを確保する。
【課題を解決するための手段】
【0012】
このような課題を達成するために、本発明は次の通りの構成になっている。
(1)第1ネットワークに接続された下位層の機器が、ゲートウェイ装置を介して第2ネットワークに接続された上位層のアプリケーションと通信する通信システムにおいて、
前記第1ネットワークと前記第2ネットワークとの間に、前記ゲートウェイ装置をバイパスするトンネル装置を接続したことを特徴とする通信システム。
【0013】
(2)前記機器は、前記トンネル装置を介して前記アプリケーションと直接通信し、End
to Endセキュリティを確保することを特徴とする(1)に記載の通信システム。
【0014】
(3)前記トンネル装置は、該トンネル装置と前記アプリケーションとの間の通信に対して暗号化処理と認証処理を実行することを特徴とする(1)または(2)に記載の通信システム。
【0015】
(4)前記トンネル装置は、該トンネル装置を経由して前記第1ネットワークと前記第2ネットワーク間で通信するデータに対して、優先度情報に基づいて優先制御処理を行う優先制御処理部を備えることを特徴とする(1)乃至(3)のいずれかに記載の通信システム。
【0016】
(5)前記トンネル装置は、該トンネル装置を経由して前記第1ネットワークと前記第2ネットワーク間で通信するデータに対して、アクセス許可情報に基づいてアクセス制御処理を行うアクセスコントロール処理部を備えることを特徴とする(1)乃至(4)のいずれかに記載の通信システム。
【0017】
(6)前記トンネル装置は、前記第1ネットワークと前記第2ネットワーク間に接続された他のトンネル装置との間で、互いの設定情報を同期して等値化するトンネル装置同期部を備えることを特徴とする(1)乃至(5)のいずれかに記載の通信システム。
【0018】
(7)前記トンネル装置は、前記ゲートウェイ装置と同一ハードウェア上に実装されていることを特徴とする(1)乃至(6)のいずれかに記載の通信システム。
【0019】
(8)前記機器は、ISA100.11aの規格に準拠する無線伝送器であることを特徴とする(1)乃至(7)のいずれかに記載の通信システム。
【発明の効果】
【0020】
本発明によれば、次のような効果を期待することができる。
(1)アプリケーションとトンネル装置との間で仮想トンネルを設定することにより、ゲートウェイ装置以下の下位層のネットワークを仮想的にアプリケーションまで延長することできる。
【0021】
(2)この結果、アプリケーションは、ゲートウェイ装置配下にある下位層のネットワークに接続された無線伝送器と直接通信することができる。例えば、ISA100.11aネットワークに接続されたアプリケーションは、ISA100.11aの仕組みを用いた無線伝送器とEnd to Endのセキュリティを確保することができる。
【0022】
(3)トンネル装置を用いることで、ゲートウェイ装置に変更は必要がない。また、この仕組みは特定のアプリケーションに特化したものではないため、新しいアプリケーションを接続する場合でも、ゲートウェイ装置の変更なしに対応することが可能である。
【0023】
(4)トンネル装置にて、暗号処理・認証処理を行うことによって、認証されたアプリケーションのみが暗号化されたセキュアな通信を行うことが可能である。
【0024】
(5)トンネル装置を経由して第1ネットワークと第2ネットワーク間で通信するデータに対して、優先度を設定する優先制御処理を実行することにより、センサデータ、制御データ等の処理を優先させ、設定データ、診断情報等の処理の優先度を下げることにより、プロセス制御における重要データの高速処理を可能とするシステムを構築することができる。
【0025】
(6)トンネル装置を経由して第1ネットワークと第2ネットワーク間で通信するデータに対して、アクセスの可否を設定するアクセスコントロール処理を実行することにより、セキュリティの脅威となる可能性のあるデータの通過をブロックし、トンネル装置を経由する通信を特定の機器のみに限定することができる。
【0026】
(7)トンネル装置を多重化し、同期処理を実行することにより、トンネル装置の耐障害性を高めることができる。
【0027】
(8)トンネル装置は、ゲートウェイ装置と物理的に一つのハードウェア上に実装することが可能である。
【図面の簡単な説明】
【0028】
【図1】本発明を適用した通信システムの一実施例を示す機能ブロック図である。
【図2】図1における通信経路を説明する機能ブロック図である。
【図3】トンネル装置の構成例を示す機能ブロック図である。
【図4】トンネル装置の他の構成例を示す機能ブロック図である。
【図5】従来の通信システムの構成例を示す機能ブロック図である。
【図6】図5における通信経路を説明する機能ブロック図である。
【発明を実施するための形態】
【0029】
以下本発明を、図面を用いて詳細に説明する。図1は、本発明を適用した通信システムの一実施例を示す機能ブロック図である。図5で説明した従来構成と同一要素には同一符号を付して説明を省略する。
【0030】
図5に示した従来構成に追加される本発明の特徴部は、第1ネットワーク10と第2ネットワーク50間に、ゲートウェイ装置70をバイパスするトンネル装置100を接続した構成にある。
【0031】
図2は、図1における通信経路を説明する機能ブロック図である。アプリケーション60がトンネル装置100に対して、ネットワーク接続要求を送信する。トンネル装置100は、アプリケーション60との間でトンネルを設定し、ネットワーク接続応答を返答する。
【0032】
トンネル装置100からネットワーク接続応答を受信したアプリケーション60が、トンネル装置100との間で仮想トンネル200を設定する。アプリケーション60は、設定された仮想トンネル200を用いて、システム管理装置40に ISA100.11a通信を用いて参加する。その後、アプリケーション60は無線伝送器31〜33と直接ISA100.11a通信を行う。
【0033】
図3は、トンネル装置の構成例を示す機能ブロック図である。トンネル装置100は、ISA100.11a通信スタック101、第1ネットワーク10とのインタフェースであるISA100.11aバックボーン通信スタック102、第2ネットワーク50とのインタフェースである上位側通信スタック103、トンネル設定管理手段104の各機能を持つ。ISA100.11a通信スタック101は、ISA100.11a仕様に準拠した通信スタックである。
【0034】
ISA100.11aバックボーン通信スタック102は、対象となるシステムのISA100.11aバックボーンネットワーク(第1ネットワーク10)にて使用される通信プロトコルのスタックである。IP(Internet Protocol)もしくはIPv6プロトコルスタックがこれにあたる。
【0035】
上位側通信スタック103は、トンネル装置100の上位側インタフェースに接続されるネットワーク(第2ネットワーク50)にて使用される通信プロトコルスタックである。この通信スタックはIPもしくはIPv6プロトコルスタックが一般的である。
【0036】
トンネル設定管理104は、アプリケーション60とトンネル装置100との間で設定される仮想トンネル200の設定・管理を行う。アプリケーション60から送信されるトンネル作成要求を処理し、トンネル装置とアプリケーションとの間でトンネルの設定を行う。
【0037】
上位側通信スタック103は、暗号化・認証処理手段105を備える。トンネル装置100にて、暗号処理・認証処理を行うことによって、認証されたアプリケーションのみが暗号化されたセキュアな通信を行うことが可能である。
【0038】
図4は、トンネル装置の他の構成例を示す機能ブロック図である。図5で説明した従来構成と同一要素には同一符号を付して説明を省略する。この構成例におけるトンネル装置300の第1の特徴は、トンネル装置を経由して第1ネットワーク10と第2ネットワーク50間で通信するデータに対して、優先度を設定する優先制御処理を実行する構成にある。
【0039】
この機能により、センサデータ、制御データ等の処理を優先させ、設定データ、診断情報等の優先度を下げることにより、重要データの高速処理を可能とするシステムを構築することができる。
【0040】
この構成例におけるトンネル装置300の第2の特徴は、トンネル装置を経由して第1ネットワーク10と第2ネットワーク50間で通信するデータに対して、アクセスの可否を設定するアクセスコントロール処理を実行する構成にある。
【0041】
この機能により、セキュリティの脅威となる可能性のあるデータの通過をブロックし、トンネル装置を経由する通信を特定の機器のみに限定することができる。
【0042】
この構成例におけるトンネル装置300の第3の特徴は、第1ネットワーク10と第2ネットワーク50間に接続された、バックアップのための他のトンネル装置600との間で、互いの設定情報を同期して等値化処理する構成にある。この機能により、トンネル装置の耐障害性を高めることができる。
【0043】
この構成例において、第2ネットワーク50には、2個のアプリケーション61,62が接続され、これらアプリケーションとトンネル装置300との間には、夫々仮想トンネル400および500が設定されている。
【0044】
アプリケーション61は第1ネットワーク10の機器31と通信し、アプリケーション62は第1ネットワーク10の機器32と通信するものとする。第1ネットワーク10と第2ネットワーク50間には、トンネル装置300をバックアップするためのトンネル装置600が接続されている。
【0045】
トンネル装置300は、下位ネットワークインタフェース301、上位ネットワークインタフェース302、トンネル処理部303、トンネル設定部304、トンネル暗号・認証処理部305、優先制御処理部306、データ判定部307、優先制御設定部308、第1アクセスコントロール処理部309、第2アクセスコントロール処理部310、アクセスコントロール設定部311、トンネル装置同期部312を備える。
【0046】
下位ネットワークインタフェース301および上位ネットワークインタフェース302は、トンネル装置300と第1ネットワーク10及び第2ネットワーク50との通信をインタフェースする。
【0047】
トンネル処理部303は、トンネル処理の基幹機能であり、第1ネットワーク10に接続される下位層の機器より、下位ネットワークインタフェース301を経由して取得されるメッセージに対し、第2ネットワーク50で使用される上位層のプロトコルスタックを付与し、上位ネットワークインタフェース302を経由して上位層のアプリケーション61,62に渡す機能を備える。
【0048】
逆に、第2ネットワーク50に接続される上位層の機器より、上位ネットワークインタフェース302を経由して取得されるメッセージに対し、上位層のプロトコルスタックを外して下位ネットワークインタフェース301を経由して下位層の機器に渡す機能を備える。
【0049】
トンネル設定部304は、アプリケーション61,62からの要求に基づき、トンネル処理部303に対してアプリケーション61に対する仮想トンネル400およびアプリケーション62に対する仮想トンネル500を定義して設定する。
【0050】
トンネル暗号・認証処理部305は、トンネル処理部303で処理されるメッセージに対して暗号化・認証処理を行う。この処理により、認証されたアプリケーションのみが暗号化されたセキュアな通信を行うことができる。
【0051】
優先制御処理部306は、トンネル装置を経由して第1ネットワーク10と第2ネットワーク50間で通信するデータに対して、優先制御設定部308により設定された優先度の順位(優先度情報)とデータ判定部307により判別されたデータ種別に基づいて優先制御処理を実行する。この優先処理により、センサデータ、制御データ等の処理を優先させ、設定データ、診断情報等の優先度を下げることでプロセス制御における重要データの高速処理を可能とするシステムを構築することができる。
【0052】
データ判定部307は、優先処理部306に入力されるデータを取得し、その種別を判定して優先処理部306に返す。優先制御設定部308は、優先処理部306に対して優先処理の順位を設定する。
【0053】
優先処理部306を挟んで上位層側に設けられた第1アクセスコントロール処理部309および下位層側に設けられた第2アクセスコントロール処理部310は、トンネル装置を経由して第1ネットワーク10と第2ネットワーク50間で通信するデータに対して、アクセスの可否を設定するアクセスコントロール処理を実行する。
【0054】
このアクセスコントロール処理により、セキュリティの脅威となる可能性のあるデータのトンネル装置300の通過をブロックし、トンネル装置を経由する通信を特定の機器のみに限定する(例えば、アプリケーション61は機器31のみと通信可能、アプリケーション61は機器31のみと通信可能)ことができる。
【0055】
アクセスコントロール設定部311は、第1アクセスコントロール処理部309および第2アクセスコントロール処理部310に対して、アクセスを許可する機器(許可情報)を設定する。なお、許可されない機器へのアクセスは拒否する。
【0056】
トンネル装置同期部312は、第1ネットワーク10と第2ネットワーク50間に接続されたバックアップ用の他のトンネル装置600との間で、互いの設定情報を同期して等値化処理する。この機能により、トンネル装置の耐障害性を高めることができる。
【0057】
以上説明した実施例において、トンネル装置100,300,600は、ゲートウェイ装置70の内部(例えば同一の筐体内)に設けられ、同一のハードウェア上に実装することが可能である。
【0058】
実施例では、下位層の機器としてISA100.11a規格に準拠する無線伝送器を示したが、本発明の適用対象はこれに限定されるものではなく、ワイヤレス・ハート規格などの他の規格に準拠する機器にも本発明を有効に適用することが可能である。
【符号の説明】
【0059】
10 第1ネットワーク
20 バックボーンルータ
31、32、33 無線伝送器
40 システム管理装置
50 第2ネットワーク
60、61、62 アプリケーション
70 ゲートウェイ装置
100 トンネル装置
101 ISA100.11a通信スタック
102 ISA100.11aバックボーン通信スタック
103 上位側通信スタック
104 トンネル設定管理手段
105 暗号化・認証処理手段
200 仮想トンネル
300 トンネル装置
301 下位ネットワークインタフェース
302 上位ネットワークインタフェース
303 トンネル処理部
304 トンネル設定部
305 トンネル暗号・認証処理部
306 優先制御処理部
307 データ判定部
308 優先制御設定部
309 第1アクセスコントロール処理部
310 第2アクセスコントロール処理部
311 アクセスコントロール設定部
312 トンネル装置同期部
400、500 仮想トンネル
600 トンネル装置
【特許請求の範囲】
【請求項1】
第1ネットワークに接続された下位層の機器が、ゲートウェイ装置を介して第2ネットワークに接続された上位層のアプリケーションと通信する通信システムにおいて、
前記第1ネットワークと前記第2ネットワークとの間に、前記ゲートウェイ装置をバイパスするトンネル装置を接続したことを特徴とする通信システム。
【請求項2】
前記機器は、前記トンネル装置を介して前記アプリケーションと直接通信し、End to Endセキュリティを確保することを特徴とする請求項1に記載の通信システム。
【請求項3】
前記トンネル装置は、該トンネル装置と前記アプリケーションとの間の通信に対して暗号化処理と認証処理を実行することを特徴とする請求項1または2に記載の通信システム。
【請求項4】
前記トンネル装置は、該トンネル装置を経由して前記第1ネットワークと前記第2ネットワーク間で通信するデータに対して、優先度情報に基づいて優先制御処理を行う優先制御処理部を備えることを特徴とする請求項1乃至3のいずれかに記載の通信システム。
【請求項5】
前記トンネル装置は、該トンネル装置を経由して前記第1ネットワークと前記第2ネットワーク間で通信するデータに対して、アクセス許可情報に基づいてアクセス制御処理を行うアクセスコントロール処理部を備えることを特徴とする請求項1乃至4のいずれかに記載の通信システム。
【請求項6】
前記トンネル装置は、前記第1ネットワークと前記第2ネットワーク間に接続された他のトンネル装置との間で、互いの設定情報を同期して等値化するトンネル装置同期部を備えることを特徴とする請求項1乃至5のいずれかに記載の通信システム。
【請求項7】
前記トンネル装置は、前記ゲートウェイ装置と同一ハードウェア上に実装されていることを特徴とする請求項1乃至6のいずれかに記載の通信システム。
【請求項8】
前記機器は、ISA100.11aの規格に準拠する無線伝送器であることを特徴とする請求項1乃至7のいずれかに記載の通信システム。
【請求項1】
第1ネットワークに接続された下位層の機器が、ゲートウェイ装置を介して第2ネットワークに接続された上位層のアプリケーションと通信する通信システムにおいて、
前記第1ネットワークと前記第2ネットワークとの間に、前記ゲートウェイ装置をバイパスするトンネル装置を接続したことを特徴とする通信システム。
【請求項2】
前記機器は、前記トンネル装置を介して前記アプリケーションと直接通信し、End to Endセキュリティを確保することを特徴とする請求項1に記載の通信システム。
【請求項3】
前記トンネル装置は、該トンネル装置と前記アプリケーションとの間の通信に対して暗号化処理と認証処理を実行することを特徴とする請求項1または2に記載の通信システム。
【請求項4】
前記トンネル装置は、該トンネル装置を経由して前記第1ネットワークと前記第2ネットワーク間で通信するデータに対して、優先度情報に基づいて優先制御処理を行う優先制御処理部を備えることを特徴とする請求項1乃至3のいずれかに記載の通信システム。
【請求項5】
前記トンネル装置は、該トンネル装置を経由して前記第1ネットワークと前記第2ネットワーク間で通信するデータに対して、アクセス許可情報に基づいてアクセス制御処理を行うアクセスコントロール処理部を備えることを特徴とする請求項1乃至4のいずれかに記載の通信システム。
【請求項6】
前記トンネル装置は、前記第1ネットワークと前記第2ネットワーク間に接続された他のトンネル装置との間で、互いの設定情報を同期して等値化するトンネル装置同期部を備えることを特徴とする請求項1乃至5のいずれかに記載の通信システム。
【請求項7】
前記トンネル装置は、前記ゲートウェイ装置と同一ハードウェア上に実装されていることを特徴とする請求項1乃至6のいずれかに記載の通信システム。
【請求項8】
前記機器は、ISA100.11aの規格に準拠する無線伝送器であることを特徴とする請求項1乃至7のいずれかに記載の通信システム。
【図3】
【図4】
【図5】
【図1】
【図2】
【図6】
【図4】
【図5】
【図1】
【図2】
【図6】
【公開番号】特開2012−253743(P2012−253743A)
【公開日】平成24年12月20日(2012.12.20)
【国際特許分類】
【出願番号】特願2012−54341(P2012−54341)
【出願日】平成24年3月12日(2012.3.12)
【出願人】(000006507)横河電機株式会社 (4,443)
【Fターム(参考)】
【公開日】平成24年12月20日(2012.12.20)
【国際特許分類】
【出願日】平成24年3月12日(2012.3.12)
【出願人】(000006507)横河電機株式会社 (4,443)
【Fターム(参考)】
[ Back to top ]