控制器系统、控制单元以及控制程序
文献发布时间:2023-06-19 10:40:10
技术领域
本公开涉及一种对控制对象进行控制的控制器系统的、经由接口的数据收授。
背景技术
在使用工厂自动化(Factory Automation,FA)的生产现场等,关于各种设备及配置于各设备的各种装置的控制,可使用包含控制单元的可编程逻辑控制器(ProgrammableLogic Controller,PLC)等。控制单元具有中介与安全数字(Secure Digital,SD)存储卡等外部装置的数据收授的接口。控制单元经由接口而进行保存于外部装置的数据的读出,或向外部装置的数据的写入。
作为PLC与外部装置经由接口进行数据收授的技术的一例,日本专利特开2008-293241号公报(专利文献1)中公开“包括:操作部,受理来自用户的操作指令;第一接口,向PLC发送数据;第二接口,供连接便携式的外部存储器;以及控制部,读出连接于第二接口的外部存储器中写入的数据,并经由第一接口发送至PLC”。
现有技术文献
专利文献
专利文献1:日本专利特开2008-293241号公报
发明内容
发明所要解决的问题
若经由接口的、数据收授不受任何,则可能机密信息等重要的数据流出至控制单元的外部,或病毒等不当的数据保存于控制单元的内部,成为安全上的威胁。因此,需要可降低控制单元的安全上的威胁的技术。
本公开是鉴于所述实际情况考虑而成,提供一种可降低控制单元的安全上的威胁的技术。
解决问题的技术手段
本公开的一例中,控制器系统包括:控制单元,执行用于对控制对象进行控制的控制运算;以及安全单元,负责针对所述控制单元的安全。所述控制单元包含:第一接口,中介与外部装置的数据收授;通信控制器,负责与所述安全单元的通信;以及限制部件,若通过所述通信控制器探测到所述控制单元与所述安全单元的连接,则限制经由所述第一接口在与所述外部装置之间进行所述数据的收授。
根据本公开,控制器系统通过限制有可能成为安全上的威胁的、外部装置与控制单元的直接的数据收授,从而可降低控制单元的安全上的威胁。
本公开的一例中,所述安全单元还包含:第二接口,中介与所述外部装置的数据收授;以及管理部件,管理经由所述第二接口与所述外部装置之间进行所述数据的收授。所述管理部件在所述第一接口的使用受到所述限制部件限制的情况下,允许所述控制单元经由所述第二接口在与所述外部装置之间收授所述数据。
根据本公开,控制器系统通过使安全单元负责有可能成为安全上的威胁的、与外部装置的直接收授,从而可降低控制单元的安全上的威胁。
本公开的一例中,所述限制部件在限制所述第一接口的使用的情况下,将用于由所述控制单元经由所述第一接口向所述外部装置写入的数据通过所述通信控制器发送至所述安全单元,所述管理部件允许将所述发送的用于写入的数据经由所述第二接口向所述外部装置写入。
根据本公开,控制器系统可不变更用户程序的设定,而针对数据的写入目标选择控制单元的第一接口与安全单元的第二接口中的任一个。
本公开的一例中,所述安全单元还包括:评估部,对在与所述外部装置之间收授的数据评估安全性。所述管理部件在与所述外部装置之间收授的数据的安全性为预先规定的基准以上的情况下,向所述控制单元发送所述数据,且在所述数据的安全性小于所述基准的情况下,中止向所述控制单元发送所述数据。
根据本公开,控制器系统可根据经由第二接口从外部装置读出的数据的安全性来决定可否向控制单元发送数据,可更可靠地降低控制单元的安全上的威胁。
本公开的一例中,所述安全单元还包含:通知部件,向用户进行通知。所述通知部件在与所述外部装置之间收授的数据的安全性小于所述基准的情况下,进行通知。
根据本公开,控制器系统可对用户通知安全单元探测到安全上的安全性低的数据。
本公开的一例中,所述外部装置为可对所述第一接口及所述第二接口的至少任一个进行装卸的存储介质。
根据本公开,控制器系统可容易地经由接口进行数据的读出及写入的至少任一者。
本公开的一例中,所述限制部件进行下述中的任一个:仅进行与所述外部装置之间的数据的读出;仅进行与所述外部装置之间的数据的写入;以及禁止与所述外部装置之间的数据的读出及写入。
根据本公开,控制器系统通过使用支持装置来变更设定信息的内容,从而可针对每个接口设定与各外部装置的安全上的安全性相应的限制。
本公开的一例中,所述限制部件仅在与预先规定的所述外部装置之间进行所述数据的收授。
根据本公开,控制器系统可防止数据收授未经预先允许的外部装置所致的、安全上的威胁。
本公开的一例中,执行用于对控制对象进行控制的控制运算的控制单元包含:第一接口,中介与外部装置的数据收授;通信控制器,负责与安全单元的通信,所述安全单元负责针对所述控制单元的安全;以及限制部件,若通过所述通信控制器探测到所述控制单元与所述安全单元的连接,则限制经由所述第一接口在与所述外部装置之间进行所述数据的收授。
根据本公开,控制单元通过限制有可能成为安全上的威胁、外部装置与自身单元的直接的数据收授,从而可降低自身单元的安全上的威胁。
本公开的一例中,用于执行对控制对象进行控制的控制运算的、控制单元的控制程序使所述控制单元执行下述步骤:通过负责与安全单元的通信的通信控制器,来探测所述控制单元与所述安全单元的连接,所述安全单元负责针对所述控制单元的安全;以及维持下述状态,即,限制经由中介与外部装置的数据收授的第一接口在与所述外部装置之间进行所述数据的收授。
根据本公开,控制程序通过限制有可能成为安全上的威胁的、外部装置与控制单元的直接的数据收授,从而可降低控制单元的安全上的威胁。
发明的效果
根据本公开,可降低控制单元的安全上的威胁。
附图说明
图1为表示本实施方式的控制器系统1的结构例的外观图。
图2为表示构成本实施方式的控制器系统1的控制单元100的硬件结构例的示意图。
图3为表示构成本实施方式的控制器系统1的安全单元200的硬件结构例的示意图。
图4为对和控制单元100与安全单元200的连接状态相应的、可否利用第一接口110进行说明的图。
图5为表示控制器系统1的控制单元100与安全单元20为未连接状态的情况的处理流程的流程图。
图6为表示控制器系统1的控制单元100与安全单元200为连接状态的情况的处理流程的流程图。
图7为表示不变更用户程序的内容,而根据安全单元200的连接状态来变更数据的写入目标的图。
图8为更详细地表示数据的写入目标的变更的图。
图9为对与从外部装置读出的数据的安全性相应的、可否通信进行说明的图。
图10为表示控制器系统1的与数据的安全性相应的处理流程的流程图。
图11为对设定信息182的变更、及使用变更后的设定信息182的数据收授的限制进行说明的图。
图12为表示变更存储卡接口113的设定信息的情况的示例的图。
图13为表示变更USB控制器112的设定信息的情况的示例的图。
图14为表示变更网络控制器111的设定信息的情况的示例的图。
图15为表示变更USB控制器112的设定信息的情况的另一例的图。
具体实施方式
一边参照附图,一边详细说明本发明的实施方式。另外,对于图中的相同或相当的部分,标注相同的符号并不再重复其说明。
<A.控制器系统1>
首先,对本实施方式的控制器系统1的结构进行说明。
图1为表示本实施方式的控制器系统1的结构例的外观图。参照图1,控制器系统1包含控制单元100、安全单元200、一个或多个功能单元400及电源单元450。另外,控制器系统1也可包含能访问控制单元100及安全单元200的至少任一个的支持装置500。支持装置500包含显示图像的显示部501、及受理用户操作的操作输入部502。操作输入部502例如包含键盘及鼠标的至少任一个。
支持装置500为支持控制单元100对控制对象进行控制所需要的准备的装置。具体而言,支持装置500提供控制单元100及安全单元200的至少任一个所执行的程序的开发环境、以及用于设定连接于控制单元100及安全单元200的至少任一个的各种设备的参数(配置)的设定环境。开发环境例如包含程序制作编辑工具、分析器、编译器等。而且,支持装置500提供将后述的用户程序发送至控制单元100及安全单元200的至少任一个的功能以及在线修正、变更所述用户程序等的功能等。
控制单元100与安全单元200之间经由任意的数据传输路(例如外围组件快速互连(PCI Express)或以太网(注册商标)等)而连接。控制单元100与一个或多个功能单元400之间经由未图示的内部总线而连接。
控制单元100在控制器系统1中执行中心处理。控制单元100按照任意设计的要求规格,执行用于对控制对象进行控制的控制运算。图1所示的结构例中,控制单元100具有一个或多个接口。更具体而言,控制单元100具有通用串行总线(Universal Serial Bus,USB)控制器112、存储卡接口113以及包含网络控制器115、116、117的接口。以下,将控制单元100的网络控制器115、116、117也统称为网络控制器111。
安全单元200连接于控制单元100,负责针对控制单元100的安全。图1所示的结构例中,安全单元200具有一个或多个接口。更具体而言,安全单元200具有USB控制器212、存储卡接口213以及包含网络控制器215、216的接口。以下,将安全单元200的网络控制器215、216也统称为网络控制器211。
功能单元400提供用于实现控制器系统1对各种控制对象的控制的各种功能。功能单元400典型而言可包含输入输出(Input/Output,I/O)单元、通信单元、运动控制器单元、温度调整单元、脉冲计数器单元等。作为I/O单元,例如可举出:数字输入(DI)单元、数字输出(DO)单元、模拟输出(AI)单元、模拟输出(AO)单元、脉冲捕捉输入单元及使多个种类混合而成的复合单元等。
电源单元450对构成控制器系统1的各单元供给规定电压的电源。
<B.各单元的硬件结构例>
接下来,对构成本实施方式的控制器系统1的各单元的硬件结构例进行说明。
(b1:控制单元100)
图2为表示构成本实施方式的控制器系统1的控制单元100的硬件结构例的示意图。参照图2,控制单元100包含中央处理器(Central Processing Unit,CPU)或图形处理器(Graphical Processing Unit,GPU)等的处理器102、芯片组104、主存储装置106、二次存储装置108、通信控制器130、USB控制器112、存储卡接口113、网络控制器115、116、117、内部总线控制器122以及指示器124作为主要组件。
处理器102读出保存于二次存储装置108的各种程序,在主存储装置106展开并执行,由此实现控制运算及后述那样的各种处理。芯片组104通过在处理器102与各组件之间进行数据的交接,从而实现控制单元100整体的处理。
在二次存储装置108,除了保存后述的系统程序(例如后述的图4(b)所示的系统程序180)以外,还保存在系统程序180提供的执行环境上运行的控制程序。
通信控制器130负责与安全单元200的通信。作为通信控制器130,例如可采用与PCI Express或以太网等对应的通信芯片。
USB控制器112经由USB连接而负责与任意的信息处理装置之间的数据的收授。USB控制器112例如构成为可装卸USB存储器192。更具体而言,USB控制器112中介从USB存储器192的控制程序或各种设定等的数据的读出。或者,USB控制器112中介对USB存储器192的控制程序或各种设定等的数据的写入。
存储卡接口113负责与任意的信息处理装置之间的数据的收授。存储卡接口113例如构成为可装卸SD存储卡193。更具体而言,存储卡接口113中介从SD存储卡193的控制程序或各种设定等的数据的读出。或者,存储卡接口113中介对SD存储卡193的控制程序或各种设定等的数据的写入。
网络控制器111负责经由网络的与任意的设备之间的数据的收授。网络控制器111例如构成为可装卸本地局域网(Local Area Network,LAN)线缆191。网络控制器111也可采用以太网控制自动化技术(EtherCAT,注册商标)、以太网工业协议(EtherNet/IP,注册商标)、设备网(DeviceNet,注册商标)、康宝网(CompoNet,注册商标)等工业网络协议。
这样,USB控制器112、存储卡接口113、网络控制器111为中介针对控制单元100的与外部装置的数据收授的接口。以下,将USB控制器112、存储卡接口113、网络控制器111也统称为第一接口110。
内部总线控制器122负责与构成控制器系统1的一个或多个功能单元400之间的数据的收授。关于内部总线,可使用厂商固有的通信协议,也可使用与任一工业网络协议相同或遵循此工业网络协议的通信协议。
指示器124向用户通知控制单元100的安全上的安全性或运行状态等。包含配置于单元表面的一个或多个发光二极管(Light Emitting Diode,LED)等。
图2中,表示了通过处理器102执行程序从而提供必要功能的结构例,但也可使用专用的硬件电路(例如,专用集成电路(Application Specific Integrated Circuit,ASIC)或现场可编程门阵列(Field-Programmable Gate Array,FPGA)等)来安装这些所提供的功能的一部分或全部。或者,也可使用按照通用架构的硬件(例如以通用个人计算机为基础的工业个人计算机)来实现控制单元100的主要部分。此时,也可使用虚拟技术来并列执行用途不同的多个操作系统(Operating System,OS),并且在各OS上执行必要的应用。
(b2:安全单元200)
图3为表示构成本实施方式的控制器系统1的安全单元200的硬件结构例的示意图。参照图3,安全单元200包含CPU或GPU等的处理器202、芯片组204、主存储装置206、二次存储装置208、通信控制器230、USB控制器212、存储卡接口213、网络控制器215、216及指示器224作为主要组件。
处理器202读出保存于二次存储装置208的各种程序,在主存储装置206展开并执行,由此实现针对控制单元100的安全。芯片组204在处理器202与各组件之间进行数据的交接,由此实现安全单元200整体的处理。
在二次存储装置208,除了保存后述的系统程序(例如后述的图4(b)所示的系统程序280)以外,还保存在系统程序280提供的执行环境上运行的安全系统程序。
通信控制器230负责与控制单元100的通信。作为通信控制器230,与控制单元100中通信控制器130同样地,例如可采用与PCI Express或以太网等对应的通信芯片。
USB控制器212经由USB连接而负责与任意的信息处理装置之间的数据的收授。USB控制器212例如构成为可装卸USB存储器292。更具体而言,USB控制器212中介从USB存储器292的控制程序或各种设定等的数据。或者,USB控制器212中介对USB存储器292的控制程序或各种设定等的数据的写入。
存储卡接口213负责与任意的信息处理装置之间的数据的收授。存储卡接口213例如构成为可装卸SD存储卡293。更具体而言,存储卡接口213中介从SD存储卡293的控制程序或各种设定等的数据的读出。或者,存储卡接口213中介对SD存储卡293的控制程序或各种设定等的数据的写入。
网络控制器211负责经由网络的与任意的设备之间的数据的收授。网络控制器211例如构成为可装卸LAN线缆291。网络控制器211也可采用以太网等通用的网络协议。
这样,USB控制器212、存储卡接口213、网络控制器211为中介针对安全单元200的与外部装置的数据收授的接口。以下,将USB控制器212、存储卡接口213、网络控制器211也统称为第二接口210。
所述说明中的包含USB存储器、SD存储卡及LAN线缆的外部装置为可对第一接口110及第二接口210的至少任一个进行装卸的存储介质。由此,控制器系统1可容易地进行经由接口的数据的读出及写入的至少任一者。
指示器224向用户通知安全单元200的安全上的安全性或运行状态等。包含配置于单元表面的一个或多个LED等。
图3中,表示通过处理器202执行程序从而提供必要功能的结构例,但也可使用专用的硬件电路(例如ASIC或FPGA等)来安装这些所提供的功能的一部分或全部。或者,也可使用按照通用架构的硬件(例如以通用个人计算机为基础的工业个人计算机)来实现安全单元200的主要部分。此时,也可使用虚拟技术来并列执行用途不同的多个OS,并且在各OS上执行必要的应用。
<C.可否利用第一接口110>
接下来,对本实施方式的控制器系统1的控制单元100的降低安全上的威胁的处理进行说明。图4为对和控制单元100与安全单元200的连接状态相应的、可否利用第一接口110进行说明的图。
参照图4(a),在控制单元100与安全单元200为非电连接状态的情况下,可经由第一接口110在控制单元100与外部装置之间进行数据的收授。所谓控制单元100与安全单元200为非连接状态,包含控制单元100与安全单元200以外的其他单元电连接的状态的情况。其他单元例如为功能单元400等。
控制单元100包含使用图2所说明的二次存储装置108、第一接口110(USB控制器112、存储卡接口113及网络控制器111)、以及通信控制器130。
控制单元100的二次存储装置108含有系统程序180、设定信息182及用户程序184。
系统程序180包含驱动器190,此驱动器190为用于利用第一接口110的控制用的程序。
设定信息182为用于定义控制单元100的结构或设定的信息。更具体而言,设定信息182包含用于由后述的限制模块170决定可否经由第一接口110收授数据的信息。数据的收授是在后述的控制引擎150与外部装置之间进行。另外,设定信息182可通过使用支持装置500的用户操作而预先设定,或变更所设定的内容。关于设定信息182的变更等,将于后述。
用户程序184是根据用户的控制目的而制作。即,为根据使用控制单元100进行控制的对象的线(过程)等而任意设计的程序。用户程序184例如与序列程序协作而实现用户的控制目的。即,用户程序184通过利用由序列程序所提供的命令、函数、功能模块等,而实现所编程的动作。
而且,控制单元100包含控制引擎150及限制模块170。若对控制单元100开始从电源单元450供给电力,则处理器102从二次存储装置108获取保存于二次存储装置108的系统程序180及设定信息182,并将这些在主存储装置106展开。由此,处理器102作为控制引擎150及限制模块170发挥功能。
控制引擎150通过第一接口110的中介而进行与外部装置的数据的收授。
限制模块170通过通信控制器130来探测控制单元100与安全单元200是否连接。并且,限制模块170在未探测到控制单元100与安全单元200的连接的情况下,基于设定信息182,允许控制引擎150与外部装置经由第一接口110进行数据的收授。在设定信息182中,预先进行如下设定,即:在控制单元100与安全单元200为非连接状态的情况下,控制第一接口110的驱动器190起效,限制模块可中介控制单元100与外部装置的数据的收授。
接下来,参照图4(b),在控制单元100与安全单元200为经电连接的状态的情况下,经由第一接口110的、控制单元100与外部装置之间的数据的收授受到限制。
限制模块170通过通信控制器130来探测控制单元100与安全单元200是否连接。并且,若探测到控制单元100与安全单元200的连接,则限制模块170基于设定信息182而限制数据的收授。在设定信息182中,预先进行如下设定,即:在控制单元100与安全单元200为连接状态的情况下,控制第一接口110的驱动器190失效,不可中介控制单元100与外部装置的数据的收授。限制模块170基于设定信息182,限制经由第一接口110在控制引擎150与外部装置之间进行数据的收授。控制器系统1通过限制有可能成为安全上的威胁的、外部装置与控制单元100的直接的数据收授,从而可降低控制单元100的安全上的威胁。
图5及图6中,表示控制器系统1的和控制单元100与安全单元200的连接状态的有无相应的处理流程。
图5为表示控制器系统1中控制单元100与安全单元200为非连接状态的情况的处理流程的流程图。另外,图5的处理中,设作为安全单元200以外的其他单元的功能单元400与控制单元100为连接状态而进行说明。
参照图5,功能单元400利用来自电源单元450的电力供给而启动(步骤S100)。
接下来,控制单元100利用来自电源单元450的电力供给而启动(步骤S200)。
接下来,控制单元100通过通信控制器130来确认单元是否连接(步骤S202)。控制单元100例如通过通信控制器130而发送用于确认连接的信号。
功能单元400接收来自控制单元100的连接确认,由此对控制单元100进行响应(步骤S102)。功能单元400例如通过通信控制器发送连接响应的信号。
控制单元100通过接收连接响应从而进行型号确认(步骤S204)。更具体而言,控制单元100通过通信控制器130而发送用于确认连接着哪个单元的信号。
功能单元400通过接收来自控制单元100的型号确认,从而进行将自身单元的型号发送至控制单元100的响应(步骤S104)。
控制单元100通过接收型号响应,从而从二次存储装置108获取系统程序180且一并获取与型号相应的设定信息182(步骤S206)。
控制单元100使系统程序180中所含的驱动器190起效,可进行经由第一接口110的、控制引擎150与外部装置的数据的收授(步骤S208)。
接下来,图6为表示控制器系统1中控制单元100与安全单元200为连接状态的情况的处理流程的流程图。
参照图6,安全单元200利用来自电源单元450的电力供给而启动(步骤S101)。
而且,控制单元100利用来自电源单元450的电力供给而启动(步骤S200)。
接下来,控制单元100通过通信控制器130来确认是否连接单元(步骤S202)。控制单元100例如通过通信控制器130而发送用于确认连接的信号。
安全单元200通过从控制单元100接收连接确认,从而对控制单元100进行响应(步骤S103)。安全单元200例如通过通信控制器230发送连接响应的信号。
控制单元100通过接收连接响应从而进行型号确认(步骤S204)。更具体而言,控制单元100通过通信控制器130发送用于确认连接着哪个单元的信号。
安全单元200通过从控制单元100接收型号确认,从而进行将自身单元的型号发送至控制单元100的响应(步骤S105)。
控制单元100从二次存储装置108获取系统程序180且一并获取与型号相应的设定信息182(步骤S207)。
控制单元100使系统程序180中所含的驱动器190失效,限制经由第一接口110的控制引擎150与外部装置的数据收授(步骤S209)。控制单元100例如不可进行经由第一接口110的控制引擎150与外部装置的数据收授。控制单元100在与安全单元200连接的状态的情况下,可将自身单元的动作模式设定为提高安全上的安全性的模式。
在这样限制模块170限制控制单元100与外部装置之间的数据收授的情况下,可经由安全单元200的第二接口进行数据的收授。更具体而言,安全单元200的后述的管理模块270允许经由第二接口210在控制引擎150与外部装置之间收授数据。
再次参照图4(b),安全单元200包含使用图3所说明的二次存储装置208、第二接口210、通信控制器230及指示器224。
安全单元200的二次存储装置208包含系统程序280、设定信息282及用户程序284。
系统程序280包含驱动器290,此驱动器290为用于利用第二接口210的控制用的程序。
设定信息282为用于定义安全单元200的结构或设定的信息。更具体而言,设定信息282包含用于由后述的管理模块270决定可否经由第二接口210进行数据的收授的信息。数据的收授是在后述的安全引擎250与外部装置之间进行。
用户程序284是根据用户的控制目的而制作。即,为根据使用安全单元200进行控制的对象的线(过程)等而任意设计的程序。用户程序284例如与序列程序协作而实现用户的控制目的。即,用户程序284通过利用由序列程序提供的命令、函数、功能模块等,从而实现所编程的动作。
而且,安全单元200包含安全引擎250及管理模块270。若对安全单元200开始从电源单元450供给电力,则处理器202从二次存储装置208获取保存于二次存储装置208的系统程序280及设定信息282,并将这些在主存储装置206展开。由此,处理器202作为安全引擎250及管理模块270发挥功能。
安全引擎250通过第二接口210的中介而与外部装置进行数据的收授。
管理模块270在第一接口110的使用受到限制模块170限制的情况下,允许经由第二接口210在与外部装置之间进行数据的收授。管理模块270例如在通过通信控制器130及通信控制器230从控制引擎150向安全引擎250发送了数据的情况下,允许经由第二接口210从安全引擎250向外部装置写入所述数据。数据例如为用于从控制引擎150写入至外部装置的数据。另外,以下将通信控制器130与通信控制器230也统称为通信控制器30。
而且,管理模块270例如允许经由第二接口210从外部装置向安全引擎250读出数据。数据例如为用于从外部装置向控制引擎150读出的数据。所读出的数据通过通信控制器30从安全引擎250发送至控制引擎150。
在设定信息282中,预先进行如下设定,即:在控制单元100与安全单元200为连接状态的情况下,控制第二接口210的驱动器290起效,管理模块可中介安全单元200与外部装置的数据的收授。控制器系统1通过使安全单元200负责有可能成为安全上的威胁的、与外部装置的直接的收授,从而可降低控制单元100的安全上的威胁。
<D.第一接口110的使用受到限制的情况下的数据的写入处理>
使用图7及图8对第一接口110的使用受到限制的情况下的数据的写入处理进行说明。
图7为表示不变更用户程序的内容,而根据安全单元200的连接状态来变更数据的写入目标的图。参照图7(a),控制单元100中,处理器102执行用户程序184。用户程序184的内容为在控制引擎150与存储卡接口113之间经由第一接口110向SD存储卡193写入数据的内容。限制模块170探测是否与安全单元200连接。在与安全单元200为非连接状态的情况,限制模块170基于设定信息182,允许经由存储卡接口113向SD存储卡193写入数据。
接下来,参照图7(b),与所述的图7(a)同样地,控制单元100中,处理器102执行用户程序184。此处,在与安全单元200为连接状态的情况下,限制模块170基于设定信息182,禁止经由存储卡接口113向SD存储卡193写入数据。在这样第一接口的使用受到限制的情况下,限制模块170通过通信控制器30向安全单元200发送控制引擎150的用于写入至SD存储卡的数据。
安全单元200的管理模块270基于设定信息282,允许将通过通信控制器30所发送的数据经由存储卡接口213写入至SD存储卡293。
图7(c)为表示图7(a)及图7(b)的两者中以相同的用户程序184的内容执行写入时的功能块900的一例的图。功能块900表示用户程序184中所含的一个功能。
参照图7(c),功能块900包含输入部901~904及输出部905~909。输入部901~904受理与经由存储卡接口113向SD存储卡193的写入处理相关的设定。输出部905~909输出进行所述设定的处理的结果。
输入部901~904受理针对限制模块170的设定的输入。作为所述值的示例,如以下将说明那样,为“FileID”、“WriteBUf”或“Size”等具体的值。
以“Execute”表示的输入部901的受理用于指定是否执行处理的设定。作为一例,输入部901受理“真(True)”或“假(False)”的输入。
以“FileID”表示的输入部902受理与要写入至SD存储卡193的文件的文件ID有关的输入。作为一例,输入部902受理“%FileID”的输入。
以“WriteBuf”表示的输入部903受理与要写入至SD存储卡193的数据相关的输入。作为一例,输入部903受理“1000”的输入。
以“Size”表示的输入部904受理与要写入至SD存储卡193的元素数相关的输入。作为一例,输入部904受理“500”的输入。
在正常进行了设定的情况下,表示正常结束的信号从以“Done”表示的输出部905输出。表示设定处理中的信号从以“Busy”表示的输出部906输出。在未正常进行设定的情况下,表示异常结束的信号从输出部907输出。此时,还从输出部908输出用于识别错误内容的错误ID。而且,实际写入至SD存储卡193的元素数从输出部909输出。
包含图7(c)所示的功能块900的用户程序184在图7(a)及图7(b)的任一处理中执行。更具体而言,控制器系统1可不变更用户程序184的设定,而针对数据的写入目标选择控制单元100的第一接口110与安全单元200的第二接口210中的任一个。用户程序184的设定例如为输入至功能块900的各输入部的数据的内容。
图8为更详细地表示数据的写入目标的变更的图。图8的控制器系统的控制单元100包含使用图7等所说明的用户程序184、控制引擎150、驱动器190、第一接口110及通信控制器130。除了这些结构以外,控制单元100还包含硬件抽象层152、内核195及文件共享系统客户端194。
安全单元200包含使用图7等所说明的用户程序284、安全引擎250、驱动器290、第二接口210及通信控制器230。除了这些结构以外,安全单元200还包含硬件抽象层252、内核295及文件共享系统服务器294。
控制单元100的内核195为执行在OS上执行的计算机程序的启动的准备、或从存储器空间分配必要的存储器区域的程序。
硬件抽象层152为置于内核195与包含第一接口110的硬件之间的程序。为将视各硬件而不同的控制方法或操作方法的差异隐蔽,可由内核195按共同的规格进行控制的程序。
安全单元200的内核295具有与所述控制单元100的内核195相同的功能。而且,安全单元200的硬件抽象层252具有与控制单元100的硬件抽象层152相同的功能。即,安全单元200的内核195为执行在OS上执行的计算机程序的启动的准备、或从存储器空间分配必要的存储器区域的程序。而且,硬件抽象层252为置于内核295与包含第二接口210的硬件之间的程序。为将视各硬件而不同的控制方法或操作方法的差异隐蔽,可由内核295按共同的规格进行控制的程序。
在控制单元100中执行用户程序184。在安全单元200为非连接状态的情况下,驱动器190起效,用于写入的数据经由第一接口110而写入至SD存储卡193。此时的第一接口110例如为存储卡接口113。在这样安全单元200为非连接状态的情况下,执行虚线的箭头810所示的、执行用户程序184的处理~经由存储卡接口113写入数据的处理。
相对于此,在安全单元200为连接状态的情况下,同样地在控制单元100中执行用户程序184。但是,驱动器190并未起效,文件共享系统客户端194将用于写入的数据经由通信控制器30向安全单元200发送。文件共享系统客户端194例如相当于到此为止所说明的限制模块170的一部分功能。
安全单元200的文件共享系统服务器294将通过通信控制器30所接收的数据经由第二接口210写入至外部装置。此时的第二接口210例如为存储卡接口213。文件共享系统服务器294例如相当于到此为止所说明的管理模块270的一部分功能。安全单元200的连接状态的情况下,执行实践的箭头820所示的、执行用户程序184的处理~经由存储卡接口213写入数据的处理。由此,控制器系统1可不变更用户程序184的设定,而针对数据的写入目标选择控制单元100的第一接口110与安全单元200的第二接口210中的任一个。
<E.与数据的安全性相应的处理>
图9为对与从外部装置读出的数据的安全性相应的、可否通信进行说明的图。参照图9,安全单元200的安全引擎250包含评估部260。图9的控制器系统1的其他结构与图4(b)中说明的结构相同。
评估部260对在与外部装置之间收授的数据评估安全性。更具体而言,评估部260例如评估经由第二接口210从外部装置读出至安全引擎250的数据的安全性。
管理模块270在由评估部260所评估的数据的安全性小于预先规定的基准的情况下,如图9所示,阻断通过通信控制器30从安全引擎250向控制引擎150的数据的发送。与评估安全性的基准相关的数据例如保存于二次存储装置208,并在评估部260进行评估时读出。另外,管理模块270在由评估部260所评估的数据的安全性为预先规定的基准以上的情况下,进行通过通信控制器30的从安全引擎250向控制引擎150的数据的发送。由此,控制器系统1可根据经由第二接口210从外部装置读出的数据的安全性来决定可否向控制单元100发送数据,可更可靠地降低控制单元100的安全上的威胁。
另外,管理模块270也可根据数据的安全性是否满足预先规定的条件来判断是阻断还是允许数据的发送。管理模块270在数据的安全性不满足预先规定的条件的情况下阻断数据的发送。相对于此,管理模块270在数据的安全性满足预先规定的条件的情况下允许数据的发送。
安全单元200在由评估部260所评估的数据的安全性小于基准的情况下,使指示器224发光或一亮一灭。由此,控制器系统1可向用户通知安全单元200探测到安全上的安全性低的数据。另外,在由评估部260所评估的数据的安全性小于基准的情况下,也可代替指示器224而使设于控制单元100的指示器124发光,或一亮一灭。而且,也可使指示器224及指示器124此两个指示器发光等。进而,安全单元200也可在由评估部260所评估的数据的安全性小于基准的情况下,从设于控制器系统1的扬声器(未图示)输出音响信息而通知用户。
图10为表示控制器系统1的与数据的安全性相应的处理流程的流程图。
参照图10,安全单元200的安全引擎250从外部装置经由第二接口210受理数据(步骤S300)。安全引擎250例如从SD存储卡293经由存储卡接口213受理数据。
安全引擎250的评估部260判定所受理的数据的安全性(步骤S302)。评估部260例如执行判定数据中是否含有计算机病毒等的病毒扫描。
在由于病毒等包含于数据等而安全性小于基准的情况下(步骤S302中为是(YES)),管理模块270阻断通过通信控制器30从安全引擎250向控制引擎150的数据的发送(步骤S304)。接下来,管理模块270可解除包含SD存储卡293的外部装置的挂接,或可停止向外部装置供电。
接下来,安全引擎250使指示器224点灯或一亮一灭(步骤S306)。
回到步骤S302的处理,在由于数据中不含病毒等而安全性为基准以上的情况下(步骤S302中为否(NO)),安全单元200结束本流程图的处理。
<F.存储卡接口113的限制>
对存储卡接口113的数据收授的限制例作以下说明。
图11为对设定信息182的变更、及使用变更后的设定信息182的数据收授的限制进行说明的图。参照图11(a),控制单元100经由USB控制器112而与支持装置500进行用于变更设定信息182的数据的收授。更具体而言,控制引擎150从与USB控制器112电连接的支持装置500受理用于设定的数据,变更设定信息182。用于设定的数据是通过确认了显示于支持装置500的显示部501的设定画面的用户对操作输入部502进行操作从而生成。
参照图11(b),如上文所述,处理器102将系统程序180及设定信息182在主存储装置106展开,由此作为控制引擎150及限制模块170发挥功能。限制模块在图11(a)的设定信息182的变更前,例如禁止经由存储卡接口113的SD存储卡的读出及写入。相对于此,限制模块在设定信息182的变更后,例如允许经由存储卡接口113的SD存储卡的读出及写入。
图12为表示变更存储卡接口113的设定信息的情况的示例的图。参照图12(a),支持装置500的显示部501显示第一设定图像510。第一设定图像510为通过用户对操作输入部502进行操作从而进行设定信息182的变更的情况下显示的图像。第一设定图像510包含存储器设定项目520、USB设定项目522及网络设定项目524。存储器设定项目520为设定存储卡接口113的与数据的读出及写入相关的限制的项目。USB设定项目522为设定USB控制器112的与数据的读出及写入相关的限制的项目。网络设定项目524为设定网络控制器111的与数据的读出及写入相关的限制的项目。
对于图12(a)的第一设定图像510的存储器设定项目520,设定“Read Write NG”的项目内容。对于USB设定项目522及网络设定项目524,均设定“Not Used”的项目内容。参照图12(b),存储器设定一览610包含表示存储器设定项目520中可设定的项目的“SettingOption”、及表示可设定项目的内容的“Description”。存储器设定一览610例如保存于二次存储装置108等。存储器设定一览610通过用户对操作输入部502进行操作从而从二次存储装置108读出,存储器设定一览610的图像显示于显示部501。通过存储器设定一览610的图像显示于显示部501,从而用户可确认存储器设定项目520中可选择的项目的内容。
存储器设定一览610在“Setting Option”中,例如包含“Read Write NG”、“WriteOnly”、“Read Only”、“Read Write OK(Redirect)”及“Read Write OK”。而且,存储器设定一览610在“Description”中,表示“Setting Option”的各项目的内容。
“Read Write NG”的“Description”表示禁止控制单元100的读出及写入。“WriteOnly”的“Description”表示仅允许控制单元100的写入(禁止读出)。“Read Only”的“Description”表示仅允许控制单元的读出(禁止写入)。“Read Write OK(Redirect)”禁止控制单元100的写入。但是,表示允许利用安全单元200进行写入。“Read Write OK”的“Description”表示允许控制单元100的读出及写入。
再次参照图12(a),在第一设定图像510的项目选择栏530中所含的多个项目中,用户通过对操作输入部502进行操作从而选择任一个项目。例如若选择“Read Write OK”,则存储器设定项目520的项目的内容由“Read Write NG”变更为“Read Write OK”。所述图11(a)的使用支持装置500的设定信息182的变更是通过用户对操作输入部502进行操作而选择任一个项目从而进行。并且,通过存储器设定项目520的内容由“Read Write NG”变更为“Read Write OK”,从而所述图11(b)的经由存储卡接口113的数据的收授由“禁止控制单元100的读出及写入”,变更为“允许控制单元100的读出及写入”。
所述内容中,对限制经由存储卡接口113的数据收授的设定进行了说明,但这种设定也可适用于存储卡接口113以外的第一接口110所含的其他接口,也可适用于第二接口210所含的接口。控制器系统1通过使用支持装置500来变更设定信息182的内容,从而可针对每个接口设定与各外部装置的安全上的安全性相应的限制。
<G.USB控制器112的限制>
对USB控制器112的数据收授的限制例作以下说明。
图13为表示变更USB控制器112的设定信息的情况的示例的图。参照图13(a),支持装置500的显示部501显示第一设定图像510。对于第一设定图像510的USB设定项目522,如上文所述那样设定有“Not Used”的项目内容,通过用户对操作输入部502进行操作,从而例如变更为“Tool Only”。通过这样变更为“Tool Only”,从而控制单元100可仅在与预先规定的外部装置之间进行数据的收授。由此,控制器系统1可防止数据的收授未经预先允许的外部装置所致的、安全上的威胁。
参照图13(b),USB设定一览612包含表示USB设定项目522中可设定的项目的“Setting Option”、及说明可设定项目的内容的“Description”。USB设定一览612例如保存于二次存储装置108等。USB设定一览612是通过用户对操作输入部502进行操作从而从二次存储装置108读出,USB设定一览612的图像显示于显示部501。通过USB设定一览612的图像显示于显示部501,从而用户可确认在USB设定项目522中可选择的项目的内容。
USB设定一览612在“Setting Option”中,例如包含“Not Used”、“One-Way(Incoming Only)”、“One-Way(Outgoing Only)”及“Two Way”。而且,USB设定一览612在“Description”中,表示Setting Option”的各项目的内容。
“Not Used”的“Description”表示禁止控制单元100的读出及写入。“Tool Only”的“Description”表示控制单元100中仅允许预先规定的外部装置的读出。“All works”的“Description”表示允许控制单元100的读出及写入。所述内容中,对限制经由USB控制器112的数据收授的设定进行了说明,但这种设定也可适用于USB控制器112以外的第一接口110所含的其他接口,也可适用于第二接口210所含的接口。
<H.网络控制器111的限制>
对网络控制器111的数据收授的限制例作以下说明。
图14为表示变更网络控制器111的设定信息的情况的示例的图。参照图14(a),支持装置500的显示部501显示第一设定图像510。对于第一设定图像510的网络设定项目524,如上文所述那样设定有“Not Used”的项目内容,通过用户对操作输入部502进行操作,从而例如变更为“One-Way(Incoming Only)”。
参照图14(b),网络设定一览614包含表示网络设定项目524中可设定的项目的“Setting Option”、及说明可设定项目的内容的“Description”。网络设定一览614例如存储于二次存储装置108等。网络设定一览614是通过用户对操作输入部502进行操作从而从二次存储装置108读出,网络设定一览614的图像显示于显示部501。通过网络设定一览614的图像显示于显示部501,从而用户可确认网络设定项目524中可选择的各项目的内容。
网络设定一览614在“Setting Option”中,例如包含“Not Used”、“One-Way(Incoming Only)”、“One-Way(Outcoming Only)”及“Two-Way”。而且,USB设定一览612在“Description”中,表示Setting Option”的各项目的内容。
“Not Used”的“Description”表示禁止控制单元100的读出及写入。“One-Way(Incoming Only)”的“Description”表示控制单元100中仅允许接收(禁止发送)。“One-Way(Outcoming Only)”的“Description”表示仅ky化控制单元100的发送(禁止接收)。“Two-Way”的“Description”表示允许发送及接收的双向通信。
所述内容中,对限制经由网络控制器111的数据收授的设定进行了说明,但这种设定也可适用于网络控制器111以外的第一接口110所含的其他接口,或也可适用于第二接口210所含的接口。
<I.其他限制>
对其他数据收授的限制例作以下说明。作为其他数据收授的示例,对在USB控制器112中变更设定信息的情况的另一例进行说明。
图15为表示变更USB控制器112的设定信息的情况的另一例的图。参照图15,支持装置500的显示部501显示第二设定图像511。在第二设定图像511的设备设定项目540,示出进行USB连接的多个设备的各设定项目。通过用户对操作输入部502进行操作,从而在设备设定项目540中所含的多个设备中选择例如“Storage”的设备,从项目选择栏536中选择所述“Storege”的设定项目526的项目内容。通过使用操作输入部502的用户操作,从项目选择栏536中选择“Read Write NG”,由此变更设定项目526的内容。控制器系统1可变更进行USB连接的每个设备的设定项目。
<J.附注>
如以上那样,本实施方式包含如下公开。
[结构1]
一种控制器系统(1),包括:
控制单元(100),执行对控制对象进行控制的控制运算;以及
安全单元(200),负责针对所述控制单元的安全,
所述控制单元(100)包含:
第一接口(110),中介与外部装置的数据的收授;
通信控制器(30),负责与所述安全单元(200)的通信;以及
限制部件(170),若通过所述通信控制器(30)探测到所述控制单元(100)与所述安全单元(200)的连接,则限制经由所述第一接口(110)在与所述外部装置之间进行所述数据的收授。
[结构2]
根据结构1所记载的控制器系统,其中,所述安全单元(200)还包含:
第二接口(210),中介与所述外部装置的数据的收授;以及
管理部件(270),限制经由所述第二接口(210)在与所述外部装置之间进行所述数据的收授,
所述管理部件(270)在所述第一接口(110)的使用受所述限制部件(170)限制的情况下,允许所述控制单元(100)经由所述第二接口(210)在与所述外部装置之间进行所述数据。
[结构3]
根据结构2所记载的控制器系统,其中,
所述限制部件(170)在限制所述第一接口(110)的使用的情况下,将用于由所述控制单元(100)经由所述第一接口(110)向所述外部装置写入的数据通过所述通信控制器(30)发送至所述安全单元(200),
所述管理部件(270)允许将所述发送的用于写入的数据经由所述第二接口(210)向所述外部装置写入。
[结构4]
根据结构2或3所记载的控制器系统,其中,所述安全单元(200)还包括:
评估部(260),对在与所述外部装置之间收授的数据评估安全性,
所述管理部件(270)在与所述外部装置之间收授的数据的安全性为预先规定的基准以上的情况,向所述控制单元(100)发送所述数据,且在所述数据的安全性小于所述基准的情况下,中止向所述控制单元(100)发送所述数据。
[结构5]
根据结构4所记载的控制器系统,其中,所述安全单元(200)还包括:
通知部件(224),向用户进行通知,
所述通知部件(224)在与所述外部装置之间收授的数据的安全性小于所述基准的情况下,进行通知。
[结构6]
根据结构2至5中任一项所记载的控制器系统,其中,所述外部装置为可对所述第一接口(110)及所述第二接口(210)的至少任一个进行装卸的存储介质。
[结构7]
根据结构1至6中任一项所记载的控制器系统,其中,所述限制部件(170)进行下述中的任一个:仅进行与所述外部装置之间的数据的读出;仅进行与所述外部装置之间的数据的写入;以及禁止与所述外部装置之间的数据的读出及写入。
[结构8]
根据结构1至6中任一项所记载的控制器系统,其中,所述限制部件(170)仅在与预先规定的所述外部装置之间进行所述数据的收授。
[结构9]
一种控制单元(100),执行用于对控制对象进行控制的控制运算,且包括:
第一接口(110),中介与外部装置的数据的收授;
通信控制器(30),负责与安全单元(200)的通信,所述安全单元(200)负责针对所述控制单元(100)的安全;以及
限制部件(170),若通过所述通信控制器(30)探测到所述控制单元(100)与所述安全单元(200)的连接,则限制经由所述第一接口(110)在与所述外部装置之间进行所述数据的收授。
[结构10]
一种控制程序,为控制单元(100)的控制程序,所述控制单元(100)执行用于对控制对象进行控制的控制运算,且
所述控制程序使所述控制单元(100)执行:
通过负责与安全单元(200)的通信的通信控制器(30),来探测所述控制单元(100)与所述安全单元(200)的连接的步骤(S202),所述安全单元(200)负责针对所述控制单元(100)的安全;以及
维持下述状态的步骤(S209),即,限制经由中介与外部装置的数据收授的第一接口(110)在与所述外部装置之间进行所述数据的收授。
应认为本次公开的实施方式在所有方面为例示而非限制性。本发明的范围是由权利要求而非所述说明来表示,意指包含与权利要求均等的含意及范围内的所有变更。
符号的说明
1:控制器系统
30、130、230:通信控制器
100:控制单元
102、202:处理器
104、204:芯片组
106、206:主存储装置
108、208:二次存储装置
111、115、116、117、211、215、216:网络控制器
110:第一接口
112、212:USB控制器
113、213:存储卡接口
122:内部总线控制器
124、224:指示器
150:控制引擎
152、252:硬件抽象层
502:操作输入部
901、902、903、904:输入部
905、906、907、908、909:输出部
170:限制模块
180、280:系统程序
182、282:设定信息
184、284:用户程序
190、290:驱动器
191、291:线缆
192、292:USB存储器
193、293:SD存储卡
194:文件共享系统客户端
195、295:内核
200:安全单元
210:第二接口
250:安全引擎
260:评估部
270:管理模块
294:文件共享系统服务器
400:功能单元
450:电源单元
500:支持装置
501:显示部
510:第一设定图像
511:第二设定图像
520:存储器设定项目
522:USB设定项目
524:网络设定项目
530、536:项目选择栏
610:存储器设定一览
612:USB设定一览
614:网络设定一览
900:功能块
- 控制器系统、控制单元以及控制程序
- 可编程控制器的CPU单元、可编程控制器用的系统程序以及存储了可编程控制器用的系统程序的记录介质