Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7680946B2 - Industrial network system, network management method, and network service providing system - Google Patents
[go: Go Back, main page]

JP7680946B2 - Industrial network system, network management method, and network service providing system - Google Patents

Industrial network system, network management method, and network service providing system Download PDF

Info

Publication number
JP7680946B2
JP7680946B2 JP2021203725A JP2021203725A JP7680946B2 JP 7680946 B2 JP7680946 B2 JP 7680946B2 JP 2021203725 A JP2021203725 A JP 2021203725A JP 2021203725 A JP2021203725 A JP 2021203725A JP 7680946 B2 JP7680946 B2 JP 7680946B2
Authority
JP
Japan
Prior art keywords
network
communication
local area
electronic device
industrial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021203725A
Other languages
Japanese (ja)
Other versions
JP2023088784A (en
Inventor
智久 小檜山
圭吾 藤原
昌志 大久保
昌吾 谷
貞男 佐藤
隆二 山野
一 木原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Industrial Equipment Systems Co Ltd
Original Assignee
Hitachi Industrial Equipment Systems Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Industrial Equipment Systems Co Ltd filed Critical Hitachi Industrial Equipment Systems Co Ltd
Priority to JP2021203725A priority Critical patent/JP7680946B2/en
Publication of JP2023088784A publication Critical patent/JP2023088784A/en
Application granted granted Critical
Publication of JP7680946B2 publication Critical patent/JP7680946B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Description

本発明は、産業用ネットワークシステム、ネットワーク管理方法、及びネットワークサービス提供システムに関し、OTネットワークとITネットワークとを接続する産業用ネットワークシステム、ネットワーク管理方法、及びネットワークサービス提供システムに適用して好適なものである。 The present invention relates to an industrial network system, a network management method, and a network service providing system, and is suitable for application to an industrial network system, a network management method, and a network service providing system that connects an OT network and an IT network.

近年、デジタルトランスフォーメーション(DX:Digital Transformation)化の推進により、工場等の生産現場でも、現場系のOT(Operational Technology)ネットワークとOA(Office Automation)系のIT(Information Technology)ネットワークとを接続したネットワークシステムへの要求がある。 In recent years, with the advancement of digital transformation (DX), there is a demand for network systems that connect on-site OT (Operational Technology) networks with OA (Office Automation) IT (Information Technology) networks, even at production sites such as factories.

例えば、特許文献1には、プレス本体と、プレス本体の運転パターンプログラムを保持し、当該プログラムに従ってプレス本体をシーケンス制御するプログラマブル・ロジック・コントローラ(PLC)と、公衆無線通信回線を通じてPLCをネットワークに接続する無線通信装置とを備えた熱間鍛造プレスにおいて、ネットワークに接続された保守端末からの遠隔操作により、PLCに保持されている運転パターンプログラムが更新される技術が開示されている。 For example, Patent Document 1 discloses a technology for a hot forging press equipped with a press body, a programmable logic controller (PLC) that holds an operation pattern program for the press body and sequentially controls the press body in accordance with the program, and a wireless communication device that connects the PLC to a network via a public wireless communication line, whereby the operation pattern program held in the PLC is updated by remote control from a maintenance terminal connected to the network.

特開2013-22626号公報JP 2013-22626 A

ところで、ITネットワークが情報システム部門によってセキュリティポリシーに合致した形で構築されることが従前から一般的であるのに対し、工場の現場では当初ネットワーク化が考慮されていなかったり、機器や設備のオペレーションシステム(OS)が古くてサポート対象外であったりすることで、ITネットワークと同様のセキュリティポリシーに合致させることが困難な状況も見られた。そのため、OTネットワークとITネットワークとが接続されるネットワークシステムにおいては、両ネットワークを物理的に分離して管理することが求められている。 While it has traditionally been the norm for IT networks to be constructed by information systems departments in a way that conforms to security policies, there have been cases where factory sites did not initially consider networking, or the operating systems (OS) of devices and equipment were old and not supported, making it difficult to conform to the same security policies as IT networks. For this reason, in network systems that connect OT and IT networks, it is now necessary to physically separate and manage the two networks.

ここで、工場等ではIT機器とOT機器とが混在して設置されていることが多く、ITネットワークとOTネットワークを分離する際には、機器ごとにOT側かIT側かを判断する必要がある。例えば有線接続で実現する場合には、ケーブルごとに判断して分離する必要があり、非常に煩雑である。また例えば、IEEE802.11シリーズで規定される無線LAN等による無線接続で実現する場合には、どの機器がネットワークにジョインしたかを判断し難いため、なりすましが発生しないか等について、より強固な防衛手段が求められる。強固な防衛手段としては例えば、OTネットワークとITネットワークとの境界にファイアウォールを設置する必要がある他、セキュリティレベルが高くない従来のOTネットワーク内において各スイッチ間にもファイアウォールの設置が必要になる等、コストが非常に嵩み、実用的なネットワーク構築が難しかった。 Here, in factories and the like, IT devices and OT devices are often installed together, and when separating the IT network from the OT network, it is necessary to determine whether each device is on the OT side or the IT side. For example, when realizing with a wired connection, it is necessary to determine and separate each cable, which is very cumbersome. Also, for example, when realizing with a wireless connection using a wireless LAN or the like specified in the IEEE 802.11 series, it is difficult to determine which device has joined the network, so stronger defense measures are required to prevent spoofing, etc. As a strong defense measure, for example, it is necessary to install a firewall at the boundary between the OT network and the IT network, and it is also necessary to install a firewall between each switch in a conventional OT network with a low security level, which is very costly and makes it difficult to build a practical network.

そして、特許文献1に開示された従来技術は、PLC側の無線通信装置から外部の公衆無線通信回線を介してネットワークに接続するものであるが、ITネットワークへの接続点及びOTネットワーク内におけるセキュリティの確保について特段の考慮がなされていないことから、上述した課題を解決することが出来なかった。 The conventional technology disclosed in Patent Document 1 connects to a network from a wireless communication device on the PLC side via an external public wireless communication line, but since no particular consideration is given to ensuring security at the connection point to the IT network and within the OT network, it was unable to solve the above-mentioned problem.

本発明は以上の点を考慮してなされたもので、OTネットワークにおけるセキュリティを確保しながら、OTネットワークとITネットワークとが接続されるネットワークを構築することが可能な産業用ネットワークシステム、ネットワーク管理方法、及びネットワークサービス提供システムを提案しようとするものである。 The present invention has been made in consideration of the above points, and aims to propose an industrial network system, a network management method, and a network service provision system that can build a network in which an OT network and an IT network are connected while ensuring security in the OT network.

かかる課題を解決するため本発明においては、複数のローカルエリアネットワークが分離して構築される産業用ネットワークシステムであって、自身を経由する通信を監視可能なモバイル閉域網のもとで第1の電子機器が接続される第1のローカルエリアネットワークと、前記第1のローカルエリアネットワークとは分離して構築され、第2の電子機器が接続される第2のローカルエリアネットワークと、前記第1のローカルエリアネットワークと前記第2のローカルエリアネットワークとを接続する所定の閉域網と、を備え、前記第1のローカルエリアネットワークは、前記モバイル閉域網によって前記所定の閉域網に接続され、前記第1の電子機器による通信が、前記第1のローカルエリアネットワーク内の他の第1の電子機器との通信、または前記第2の電子機器との通信の何れであっても、前記モバイル閉域網を経由し、かつ前記所定の閉域網の外に出ないよう構成されることを特徴とする産業用ネットワークシステムが提供される。 In order to solve this problem, the present invention provides an industrial network system in which a plurality of local area networks are constructed separately, the industrial network system comprising: a first local area network to which a first electronic device is connected under a mobile closed network capable of monitoring communications passing through the first local area network; a second local area network constructed separately from the first local area network and to which a second electronic device is connected; and a specified closed network connecting the first local area network and the second local area network, the first local area network being connected to the specified closed network by the mobile closed network, and the industrial network system being configured such that communications by the first electronic device, whether communications with another first electronic device in the first local area network or communications with the second electronic device, pass through the mobile closed network and do not go outside the specified closed network.

また、かかる課題を解決するため本発明においては、複数のローカルエリアネットワークが分離して構築される産業用ネットワークシステムによるネットワーク管理方法であって、前記産業用ネットワークシステムは、自身を経由する通信を監視可能なモバイル閉域網のもとで第1の電子機器が接続される第1のローカルエリアネットワークと、前記第1のローカルエリアネットワークとは分離して構築され、第2の電子機器が接続される第2のローカルエリアネットワークと、前記第1のローカルエリアネットワークと前記第2のローカルエリアネットワークとを接続する所定の閉域網と、を有し、前記第1のローカルエリアネットワークは、前記モバイル閉域網によって前記所定の閉域網に接続され、前記第1の電子機器による通信が、前記第1のローカルエリアネットワーク内の他の第1の電子機器との通信、または前記第2の電子機器との通信の何れであっても、前記モバイル閉域網を経由し、かつ前記所定の閉域網の外に出ないよう構成することを特徴とするネットワーク管理方法が提供される。 To solve this problem, the present invention provides a network management method for an industrial network system in which a plurality of local area networks are constructed separately, the industrial network system having a first local area network to which a first electronic device is connected under a mobile closed network capable of monitoring communications passing through the industrial network system, a second local area network constructed separately from the first local area network and to which a second electronic device is connected, and a predetermined closed network connecting the first local area network and the second local area network, the first local area network being connected to the predetermined closed network by the mobile closed network, and the network management method is configured so that communications by the first electronic device, whether communications with another first electronic device in the first local area network or communications with the second electronic device, pass through the mobile closed network and do not go outside the predetermined closed network.

また、かかる課題を解決するため本発明においては、顧客が利用する第1のローカルエリアネットワークを所定の閉域網のなかで構築するネットワークサービスを提供するネットワークサービス提供システムであって、前記ネットワークサービスは、前記所定の閉域網に接続し、自身を経由する通信を監視可能なモバイル閉域網と、前記所定の閉域網に接続し、前記第1のローカルエリアネットワークとは分離して構築される第2のローカルエリアネットワークと、を備え、前記ネットワークサービスを前記顧客に提供する際、前記第1のローカルエリアネットワークを前記モバイル閉域網に接続し、前記第1のローカルエリアネットワークに接続された電子機器による通信が、前記第1のローカルエリアネットワーク内の他の電子機器との通信、または前記第2のローカルエリアネットワークの電子機器との通信の何れであっても、前記モバイル閉域網を経由し、かつ前記所定の閉域網の外に出ないよう構成することを特徴とするネットワークサービス提供システムが提供される。 In order to solve the above problem, the present invention provides a network service providing system that provides a network service that constructs a first local area network used by a customer within a specified closed network, the network service comprising a mobile closed network that is connected to the specified closed network and capable of monitoring communications passing through it, and a second local area network that is connected to the specified closed network and constructed separately from the first local area network, and when providing the network service to the customer, the first local area network is connected to the mobile closed network, and the network service providing system is configured so that communications by electronic devices connected to the first local area network, whether communications with other electronic devices in the first local area network or communications with electronic devices in the second local area network, pass through the mobile closed network and do not go outside the specified closed network.

本発明によれば、OTネットワークにおけるセキュリティを確保しながら、OTネットワークとITネットワークとが接続される産業用ネットワークを構築及び提供することができる。 According to the present invention, it is possible to build and provide an industrial network in which an OT network and an IT network are connected while ensuring security in the OT network.

本発明の第1の実施形態に係る産業用ネットワークシステム100の構成例を示す図である。1 is a diagram illustrating an example of a configuration of an industrial network system 100 according to a first embodiment of the present invention. 集中管理装置31のハードウェア構成例を示すブロック図である。FIG. 2 is a block diagram showing an example of a hardware configuration of a centralized management device 31. 本発明の第2の実施形態に係る産業用ネットワークシステム200の構成例を示す図である。FIG. 11 is a diagram illustrating an example of a configuration of an industrial network system 200 according to a second embodiment of the present invention. 本発明の第3の実施形態に係る産業用ネットワークシステム300の構成例を示す図である。FIG. 13 is a diagram illustrating an example of a configuration of an industrial network system 300 according to a third embodiment of the present invention.

以下、図面を参照して、本発明の実施形態を詳述する。 The following describes an embodiment of the present invention in detail with reference to the drawings.

なお、以下では、複数ローカルエリアネットワーク(OTネットワーク,ITネットワーク)を分離して構築する産業用ネットワークシステムの一例として、1つの会社で全社的に利用するワイドエリアネットワーク(グローバルWAN40)のサービスにおいて、生産事業所の事務エリアにITネットワークが構築され、生産事業所の生産エリアにITネットワークから隔離してOTネットワークが構築される場合を想定して各実施形態を説明する。但し、本発明に係る産業用ネットワークシステムの適用先はこれに限定されるものではなく、所定のローカルエリアネットワーク(OTネットワーク)を分離して構築するネットワークサービス全般に対して適用することができる。具体的には例えば、セキュアなOTネットワークを要求する顧客に対して、閉域網を提供するサービス提供者が各実施形態に係る産業用ネットワークシステムを提供する、といったサービス提供システムに本発明を適用することができる。この場合、各実施形態で説明する生産エリアは顧客側の環境に相当し、本社エリア(及び事務エリア)はサービス提供者側の環境に相当する。 In the following, as an example of an industrial network system in which multiple local area networks (OT network, IT network) are constructed separately, each embodiment will be described assuming a case in which an IT network is constructed in the office area of a production facility and an OT network is constructed in the production area of the production facility, isolated from the IT network, in a wide area network (global WAN 40) service used throughout a single company. However, the application of the industrial network system according to the present invention is not limited to this, and it can be applied to all network services in which a specific local area network (OT network) is constructed separately. Specifically, for example, the present invention can be applied to a service provision system in which a service provider that provides a closed network provides an industrial network system according to each embodiment to a customer who requires a secure OT network. In this case, the production area described in each embodiment corresponds to the customer's environment, and the head office area (and office area) corresponds to the service provider's environment.

(1)第1の実施形態
図1は、本発明の第1の実施形態に係る産業用ネットワークシステム100の構成例を示す図である。 (1) First Embodiment FIG. 1 is a diagram showing an example of the configuration of an industrial network system 100 according to a first embodiment of the present invention.

「発明が解決しようとする課題」で前述したように、IT機器とOT機器が混在して設置され得る工場等では、OTネットワークが有線接続だと配置や入換におけるケーブルの取り扱いが煩雑となることから、無線接続に対する要求は高い。一方で、従来の無線ネットワークを利用してOTネットワークを構築するだけでは、なりすましの防止やマルウェア発生時の対応等のために、コストが嵩むという課題があった。そこで、本発明の第1の実施形態、及び後述する第2,第3の実施形態では、セキュリティを確保しながら、無線接続によるOTネットワークを構築する。 As mentioned above in the "Problem to be solved by the invention," in factories and other places where IT and OT devices may be installed together, if the OT network is wired, handling of cables during placement and switching becomes cumbersome, so there is a high demand for wireless connections. On the other hand, simply building an OT network using a conventional wireless network has the problem of high costs due to the need to prevent spoofing and respond when malware occurs. Therefore, in the first embodiment of the present invention, and the second and third embodiments described below, an OT network is built using wireless connections while ensuring security.

図1に示した産業用ネットワークシステム100において、生産事業所1には、OTネットワークが構築される1以上の生産エリア10と、ITネットワークが構築される1以上の事務エリア20とが含まれる。図1では1つの生産事業所1しか示していないが、複数の生産事業所1が存在してもよい。なお、図1(及び後述する図3,図4)に示す生産エリア10及び事務エリア20は、ネットワークの種別(OTネットワーク、ITネットワーク)及びそのネットワークに接続される電子機器群に基づいて分類した領域であって、各エリアにおける電子機器の設置場所は、必ずしも物理的に分離されている必要はない。本社エリア30は、産業用ネットワークシステム100に対する管理機能を担う管理エリアの一例であり、産業用ネットワークシステム100のコアネットワークが構築される。 In the industrial network system 100 shown in FIG. 1, the production facility 1 includes one or more production areas 10 in which an OT network is constructed, and one or more office areas 20 in which an IT network is constructed. Although only one production facility 1 is shown in FIG. 1, there may be multiple production facilities 1. Note that the production area 10 and office area 20 shown in FIG. 1 (and FIG. 3 and FIG. 4 described later) are areas classified based on the type of network (OT network, IT network) and the electronic devices connected to the network, and the locations where the electronic devices are installed in each area do not necessarily need to be physically separated. The head office area 30 is an example of a management area that handles the management function for the industrial network system 100, and is where the core network of the industrial network system 100 is constructed.

第1の実施形態において、生産エリア10、事務エリア20、及び本社エリア30に構築される各ネットワーク、並びに外部ネットワーク50は、グローバルWAN40を介して他のネットワークと接続される。外部ネットワーク50は、例えばインターネットであり、図1に示すようにクラウド60等を接続することができる。顧客は、例えば、外部ネットワーク50を介してクラウド60と連携することにより、顧客の生産事業所1で生成される検査データや製造データ等の品質情報を管理するデータレイク61を構成することができる。 In the first embodiment, each network constructed in the production area 10, the office area 20, and the head office area 30, as well as the external network 50, are connected to other networks via a global WAN 40. The external network 50 is, for example, the Internet, and can be connected to a cloud 60, etc., as shown in FIG. 1. For example, by linking with the cloud 60 via the external network 50, the customer can configure a data lake 61 that manages quality information such as inspection data and manufacturing data generated at the customer's production facility 1.

まず、生産エリア10について詳しく説明する。 First, let us explain the production area 10 in detail.

図1において、1つの生産エリア10は、1つのセグメントを意味する。本説明において「セグメント」は通信範囲を分離して管理するための区分であり、セグメントごとにOTネットワークが構築される。そして、詳細は後述するが、異なるセグメント間(すなわち、OTネットワーク同士)は直接通信できないよう、集中管理装置31によって管理される。セグメントの割り当ては、具体的には例えば、建屋ごと、あるいは部門ごとが考えられるが、これらに限定されるものではなく、製品ごとや工程ごとなど、任意の分類で行うことができる。 In FIG. 1, one production area 10 means one segment. In this explanation, a "segment" is a division for separating and managing communication ranges, and an OT network is constructed for each segment. Then, as will be described in detail later, different segments (i.e., OT networks) are managed by a centralized management device 31 so that direct communication is not possible between them. Specifically, the allocation of segments can be, for example, by building or by department, but is not limited to these, and can be done by any classification, such as by product or process.

図1に示すように、それぞれの生産エリア10(各セグメント)では、1以上の機器11が最寄りの5G端末13に、有線LANを介して接続される。 As shown in FIG. 1, in each production area 10 (each segment), one or more devices 11 are connected to the nearest 5G terminal 13 via a wired LAN.

機器11は、例えば生産エリア10で使用される製造機器や品質機器等の電子機器であって、生産エリア10内のOTネットワークに接続されるOT機器である。機器11は、個別に異なるIPアドレスを割り当てるために、SIM(Subscriber Identity Module)が組み込まれている。機器11に組み込まれるSIMは、遠隔で情報を書き込み(または書き換え)可能なeSIMであってもよい。eSIMが組み込まれる場合は、後述する集中管理装置31が、eSIMに割り当てられるIPアドレスを書き込み(または書き換え)可能とする。検査装置12は、ネットワーク通信機能を有しない装置の一例であって、このような検査装置12にはSIMを組み込む必要はなく、機器11を介してOTネットワークに接続される。 The device 11 is, for example, an electronic device such as a manufacturing device or quality control device used in the production area 10, and is an OT device connected to the OT network in the production area 10. A SIM (Subscriber Identity Module) is built into the device 11 in order to assign a different IP address to each device. The SIM built into the device 11 may be an eSIM that allows information to be written (or rewritten) remotely. When an eSIM is built into the device 11, the centralized management device 31 described later allows the IP address assigned to the eSIM to be written (or rewritten). The inspection device 12 is an example of a device that does not have a network communication function, and does not need to be built into such an inspection device 12, and is connected to the OT network via the device 11.

5G端末13は、生産エリア10を網羅するように構築されたモバイル閉域網70における通信機器の1つであって、5G回線による通信機能(5G用の周波数帯で無線通信を行う機能)を有する。5G端末13は、モバイル閉域網70のなかで、同一セグメント内に設置された5G対応の基地局14との間で5G通信を行うことにより、近傍に設置された1以上の機器11による通信の送受信パケットを基地局14との間でやり取りする。なお、図1の構成の変形例として、機器11の一部または全てが5G端末としての機能を有するように構成してもよい。 The 5G terminal 13 is one of the communication devices in the mobile closed network 70 constructed to cover the production area 10, and has a communication function via a 5G line (a function for wireless communication in a frequency band for 5G). The 5G terminal 13 exchanges transmission and reception packets of communication by one or more devices 11 installed nearby with the base station 14 by performing 5G communication with a 5G-compatible base station 14 installed in the same segment in the mobile closed network 70. Note that, as a modified example of the configuration in FIG. 1, some or all of the devices 11 may be configured to have the function as a 5G terminal.

基地局14は、モバイル閉域網70のなかで、5G端末13との間で5G通信を行う機能を有する基地局であって、第1の実施形態では、1つのセグメント(生産エリア10)につき1つが設置される。さらに、基地局14は、同一セグメント内のゲートウェイ15を介して、グローバルWAN40に有線接続される。図1(及び後述する図3,図4)には図示していないが、ゲートウェイ15に代えて、またはゲートウェイ15に加えて、L3スイッチ等が設置されてもよい。 The base station 14 is a base station that has the function of performing 5G communication with the 5G terminal 13 within the mobile closed network 70, and in the first embodiment, one base station is installed per segment (production area 10). Furthermore, the base station 14 is wired connected to the global WAN 40 via a gateway 15 in the same segment. Although not shown in FIG. 1 (and FIGS. 3 and 4 described below), an L3 switch or the like may be installed instead of or in addition to the gateway 15.

前述したように、生産エリア10は、モバイル閉域網70によって網羅される。特に第1の実施形態では、モバイル閉域網70は、セグメント単位で複数の機器11を配下に置き、セグメントごとに設置されたファイアウォール80を経由して、グローバルWAN40に接続される。 As mentioned above, the production area 10 is covered by the mobile closed network 70. In particular, in the first embodiment, the mobile closed network 70 has multiple devices 11 under its control in segments, and is connected to the global WAN 40 via a firewall 80 installed for each segment.

モバイル閉域網70は、通信事業者が独自に構築するコアネットワークであり、外部のネットワークを経由することなく、配下に接続された機器11間の通信を行う。モバイル閉域網70は、産業用ネットワークシステム100のサービスを契約した顧客の機器(生産エリア10、事務エリア20、及び本社エリア30の機器)以外のアクセスを受け付けない、セキュアなネットワークである。モバイル閉域網70は、ネットワークサービスの提供者が通信事業者からこれを借りて提供する形態であってもよい。モバイル閉域網70は、外部から物理的または論理的に分離(隔離)されており、モバイル閉域網70を経由する通信は、仕様により全てモニタリングされる。 The mobile closed network 70 is a core network constructed independently by the telecommunications carrier, and allows communication between the devices 11 connected thereto without passing through an external network. The mobile closed network 70 is a secure network that does not accept access from any device other than that of a customer who has contracted for the industrial network system 100 service (devices in the production area 10, office area 20, and head office area 30). The mobile closed network 70 may be provided by a network service provider who rents it from the telecommunications carrier. The mobile closed network 70 is physically or logically separated (isolated) from the outside, and all communications passing through the mobile closed network 70 are monitored according to specifications.

なお、以下の説明では、モバイル閉域網70は、キャリア無線通信網の1つであるローカル5Gネットワークであるとして説明するが、本発明においてOTネットワークの構築のために利用されるモバイル閉域網70はローカル5Gネットワークに限定されるものではなく、他のキャリア無線通信網であってもよい。具体的に例えば、プライベートLTEネットワーク等が挙げられる。モバイル閉域網70がプライベートLTEネットワークである場合には、「5G端末13」は、LTE(4G)通信機能を有するLTE端末に置き換えられ、5G通信機能を有する「基地局14」は、LTE通信機能を有する基地局に置き換えられる。 In the following description, the mobile closed network 70 is described as a local 5G network, which is one of the carrier wireless communication networks. However, the mobile closed network 70 used to construct the OT network in the present invention is not limited to a local 5G network, and may be another carrier wireless communication network. Specific examples include a private LTE network. When the mobile closed network 70 is a private LTE network, the "5G terminal 13" is replaced with an LTE terminal having an LTE (4G) communication function, and the "base station 14" having a 5G communication function is replaced with a base station having an LTE communication function.

ローカル5Gネットワークは、第5世代移動通信システムのネットワーク(5Gネットワーク)が限定されたローカルな環境で専用ネットワークとして展開されるものであり、無線ネットワークとして広く利用されている無線LANネットワークに比べて超高速及び超低遅延であり、多数同時接続可能という特徴を有する。また、プライベートLTE(Long Term Evolution)ネットワークは、LTEネットワークが限定されたローカルな環境で専用ネットワークとして展開されるものであり、無線LANネットワークに比べて、高速及び低遅延であり、多数同時接続可能という特徴を有する。また、プライベートLTEは、ローカル5Gネットワークと比べると、通信速度及び遅延性能では劣るものの、1つの基地局14による網羅範囲が広く、ネットワークサービスが安価であるという特徴を有する。 A local 5G network is a dedicated network in a limited local environment where a network of a fifth-generation mobile communication system (5G network) is deployed, and is characterized by ultra-high speed and ultra-low latency compared to wireless LAN networks that are widely used as wireless networks, and by the ability to connect multiple devices simultaneously. A private LTE (Long Term Evolution) network is a dedicated network in a limited local environment where an LTE network is deployed, and is characterized by high speed and low latency compared to wireless LAN networks, and by the ability to connect multiple devices simultaneously. A private LTE network is characterized by a wide coverage area per base station 14 and inexpensive network services, although it is inferior in communication speed and latency performance compared to a local 5G network.

以上のように構成されることにより、第1の実施形態における生産エリア10のOTネットワークは、セグメントごとにモバイル閉域網70によって閉じられ、1つのセグメントにつき1つの経路で、グローバルWAN40に接続される。ところで、OTネットワークは、一般にITネットワーク等に比べるとセキュリティレベルが低いことから、そのセキュリティレベルを高めるために(例えば、高度なセキュリティポリシーが適用されているITネットワークにマルウェア等が拡散しないように)、ファイアウォールを設置することが好ましい。このときファイアウォールは、OTネットワークがグローバルWAN40に接続するポイント(境界)に設置されればよい。すなわち、第1の実施形態では、OTネットワークとグローバルWAN40との接続経路はセグメントごとに1つに限定されることから、ファイアウォール80はセグメントごとに1箇所設置すればよい。 As a result of the above configuration, the OT network in the production area 10 in the first embodiment is closed off by the mobile closed network 70 for each segment, and is connected to the global WAN 40 by one route per segment. However, since the security level of an OT network is generally lower than that of an IT network, it is preferable to install a firewall to increase the security level (for example, to prevent malware from spreading in an IT network to which a high security policy is applied). In this case, the firewall may be installed at the point (boundary) where the OT network connects to the global WAN 40. In other words, in the first embodiment, the connection route between the OT network and the global WAN 40 is limited to one per segment, so that the firewall 80 may be installed at one location per segment.

次に、事務エリア20及び本社エリア30についてそれぞれ説明する。 Next, we will explain the office area 20 and the head office area 30.

事務エリア20には、一般的な有線接続によるITネットワークが構築される。具体的には例えば、1以上の機器21が有線LANを介してハブ23に接続され、ハブ23からゲートウェイ24やL3スイッチ(不図示)を介して、グローバルWAN40に有線接続される。機器21は、OA(Office Automation)化された電子機器であって、事務エリア20内のITネットワークに接続されるIT機器である。事務エリア20内のITネットワークは、既知のITネットワークと考えてよく、情報システム部門によって適切に策定されたセキュリティポリシーに合致する形で運用されている。 In the office area 20, an IT network using general wired connections is constructed. Specifically, for example, one or more devices 21 are connected to a hub 23 via a wired LAN, and the hub 23 is wired to a global WAN 40 via a gateway 24 or an L3 switch (not shown). The devices 21 are electronic devices that have been put into OA (Office Automation), and are IT devices that are connected to the IT network in the office area 20. The IT network in the office area 20 can be considered a known IT network, and is operated in accordance with a security policy appropriately formulated by the information systems department.

本社エリア30でも、事務エリアと同様に、内部ネットワークに接続された集中管理装置31及び管理者端末32が、ハブ33からゲートウェイ34やL3スイッチ(不図示)を介して、グローバルWAN40に有線接続される。 In the head office area 30, as in the administrative area, a centralized management device 31 and an administrator terminal 32 connected to an internal network are wired from a hub 33 to a global WAN 40 via a gateway 34 and an L3 switch (not shown).

集中管理装置31は、モバイル閉域網70を経由して通信を行う各機器(例えば、OTネットワーク内の各機器11)に対して通信に関する集中的な管理を行う集中管理機能を有する情報処理装置であって、専用の管理ソフトウェア(図2に示す管理ソフトウェア317)が動作するサーバ等によって実現される。集中管理装置31は、上記管理ソフトウェアの実行により、モバイル閉域網70を経由する全ての通信を監視(モニタリング)する。具体的には例えば、集中管理装置31は、生産エリア10内の機器11に組み込まれたSIMをOTネットワークへの接続の認証デバイスに利用する。また例えば、集中管理装置31は、各エリア内の各機器に割り当てられたIPアドレスに基づいて、モバイル閉域網70を経由する通信を行う機器を識別及び管理する。 The centralized management device 31 is an information processing device having a centralized management function that performs centralized management of communications for each device (e.g., each device 11 in the OT network) that communicates via the mobile closed network 70, and is realized by a server or the like on which dedicated management software (management software 317 shown in FIG. 2) runs. The centralized management device 31 monitors all communications that pass through the mobile closed network 70 by executing the management software. Specifically, for example, the centralized management device 31 uses a SIM embedded in the device 11 in the production area 10 as an authentication device for connection to the OT network. Also, for example, the centralized management device 31 identifies and manages devices that communicate via the mobile closed network 70 based on the IP address assigned to each device in each area.

管理者端末32は、通信の監視や管理を行う管理者が操作する端末であって、管理者端末32を操作することにより、集中管理装置31の集中管理機能を実行することができる。 The administrator terminal 32 is a terminal operated by an administrator who monitors and manages communications, and the centralized management function of the centralized management device 31 can be executed by operating the administrator terminal 32.

図2は、集中管理装置31のハードウェア構成例を示すブロック図である。図2に示すように、集中管理装置31は、プロセッサ311と、記憶デバイス312と、入力デバイス313と、出力デバイス314と、通信インタフェース(通信IF)315と、を有する。プロセッサ311、記憶デバイス312、入力デバイス313、出力デバイス314、および通信IF315は、内部通信線であるバス316により接続される。 Figure 2 is a block diagram showing an example of the hardware configuration of the centralized management device 31. As shown in Figure 2, the centralized management device 31 has a processor 311, a storage device 312, an input device 313, an output device 314, and a communication interface (communication IF) 315. The processor 311, the storage device 312, the input device 313, the output device 314, and the communication IF 315 are connected by a bus 316, which is an internal communication line.

プロセッサ311は、集中管理装置31を制御するプロセッサであり、例えばCPU(Central Processing Unit)やGPU(Graphics Processing Unit)である。記憶デバイス312は、プロセッサ311の作業エリアを提供するデバイスであり、各種プログラム(例えば、管理ソフトウェア317)やデータを記憶する非一時的なまたは一時的な記録媒体である。記憶デバイス312は、具体的には例えば、ROM(Read Only Memory)、RAM(Random Access Memory)、HDD(Hard Disk Drive)、またはフラッシュメモリ等である。なお、記憶デバイス312は、必ずしも集中管理装置31の内部に搭載された記録媒体である必要はなく、各種プログラム及びデータの一部またはその全てが、セキュリティが十分に確保された外部(例えばクラウド60)に記憶される構成であってもよい。集中管理装置31による集中管理機能は、プロセッサ311が管理ソフトウェア317を読み出して実行することによって実現される。入力デバイス313は、データを入力するためのデバイスであり、具体的には例えば、キーボード、マウス、タッチパネル、テンキー、スキャナ、マイク、または生体センサ等である。出力デバイス314は、データを出力するためのデバイスであり、具体的には例えば、ディスプレイ、プリンタ、またはスピーカ等である。通信IF315は、ネットワークに接続して集中管理装置31の外部とデータを送受信するインタフェースであって、具体的には例えば、NIC(Network Interface Card)である。 The processor 311 is a processor that controls the centralized management device 31, and is, for example, a CPU (Central Processing Unit) or a GPU (Graphics Processing Unit). The storage device 312 is a device that provides a working area for the processor 311, and is a non-temporary or temporary recording medium that stores various programs (for example, the management software 317) and data. The storage device 312 is, for example, a read only memory (ROM), a random access memory (RAM), a hard disk drive (HDD), or a flash memory. The storage device 312 does not necessarily have to be a recording medium mounted inside the centralized management device 31, and may be configured such that some or all of the various programs and data are stored outside (for example, the cloud 60) where security is sufficiently ensured. The centralized management function of the centralized management device 31 is realized by the processor 311 reading and executing the management software 317. The input device 313 is a device for inputting data, and is, for example, a keyboard, a mouse, a touch panel, a numeric keypad, a scanner, a microphone, or a biosensor. The output device 314 is a device for outputting data, and specifically, for example, a display, a printer, or a speaker. The communication IF 315 is an interface that connects to a network and transmits and receives data to and from the outside of the centralized management device 31, and specifically, for example, a network interface card (NIC).

グローバルWAN40は、顧客の会社が全社的に複数の拠点間で利用する広域ネットワーク(WAN:Wide Area Network)であって、生産エリア10、事務エリア20、及び本社エリア30と外部ネットワーク50と通信は、必ずグローバルWAN40を経由して行われる。グローバルWAN40は、顧客の組織の関係者のみが接続する広域通信ネットワークであり、閉域網の一種である。 The global WAN 40 is a wide area network (WAN) that the client company uses across multiple bases, and communication between the production area 10, office area 20, and head office area 30 and the external network 50 is always carried out via the global WAN 40. The global WAN 40 is a wide area communication network that is connected only to those involved in the client's organization, and is a type of closed network.

以上のような構成を備える本実施形態の産業用ネットワークシステム100において、OTネットワーク(生産エリア10)内の各機器11間の通信は、必ずモバイル閉域網70を経由して折り返すように構成される(閉域網内折り返し通信)。閉域網内折り返し通信を実現することにより、ピアツーピア(P2P)通信を排除し、モバイル閉域網70でOTネットワーク内の全ての通信をモニタリングすることができる。 In the industrial network system 100 of this embodiment having the above configuration, communication between each device 11 in the OT network (production area 10) is configured to always return via the mobile closed network 70 (return communication within the closed network). By realizing return communication within the closed network, peer-to-peer (P2P) communication can be eliminated, and all communication within the OT network can be monitored by the mobile closed network 70.

また、産業用ネットワークシステム100においては、OTネットワーク(生産エリア10)内の各機器11とITネットワーク(事務エリア20)内の各機器21との間で通信が行われる際も、必ずモバイル閉域網70を経由し、かつグローバルWAN40の内部で行われるよう構成される。このような構成により、OTネットワークとITネットワークとの接続点を限定することができる。 In addition, in the industrial network system 100, communication between each device 11 in the OT network (production area 10) and each device 21 in the IT network (office area 20) is always performed via the mobile closed network 70 and within the global WAN 40. This configuration makes it possible to limit the connection points between the OT network and the IT network.

ここで、OTネットワーク内の通信をモニタリングする際には、OTネットワークに接続するOT機器(機器11)を識別できる必要がある。 Here, when monitoring communications within an OT network, it is necessary to be able to identify the OT device (device 11) connected to the OT network.

そのために、まず、OTネットワークに接続する各機器11にはSIMが組み込まれ、機器ごとに異なるIPアドレスがSIMに割り当てられる。このSIMを認証デバイスとすることにより、管理者が発行、配布、または書き込んだ認証デバイスを備えた機器11のみが、OTネットワークにジョインできる。すなわち、機器11のSIM認証で承認された機器のみがOTネットワークに接続できることから、単に機器を調達するだけではOTネットワークには接続できず、なりすましを防止できる。 To achieve this, first, a SIM is built into each device 11 that will connect to the OT network, and a different IP address is assigned to the SIM for each device. By using this SIM as an authentication device, only devices 11 equipped with an authentication device issued, distributed, or written by an administrator can join the OT network. In other words, since only devices approved by SIM authentication of device 11 can connect to the OT network, simply procuring a device will not allow it to connect to the OT network, preventing spoofing.

集中管理装置31は、各機器11のSIMに割り当てられたIPアドレスを、IPアドレス割当テーブルに登録して管理する。さらに、集中管理装置31は、各機器11のSIMに割り当てたIPアドレスを利用して、各機器11のIPアドレスをセグメントに分けて管理する。そして、集中管理装置31は、同一セグメント内の機器11の間ではIP通信(対向通信)ができるように制御する。 The centralized management device 31 manages the IP addresses assigned to the SIM of each device 11 by registering them in an IP address allocation table. Furthermore, the centralized management device 31 manages the IP addresses of each device 11 by dividing them into segments using the IP addresses assigned to the SIM of each device 11. The centralized management device 31 then controls so that IP communication (opposite communication) is possible between devices 11 in the same segment.

なお、集中管理装置31によるIPアドレス及びセグメントの割り当て方法及び管理方法については、特定の方法に限定されず、既知の様々な方法を採用してよい。割り当て方法としては、例えば、セグメントごとにIPアドレスの割当範囲を設定し、各機器11に所属するセグメント用のIPアドレスを割り当てるようにしてもよい。この場合、セグメントごとに設定したIPアドレスの割り当て範囲内で、IPアドレスを自動割当するようにしてもよい。管理方法としては、例えば、セグメントごとにIPアドレスの割り当て範囲を管理するセグメント管理テーブルをIPアドレス割当テーブルとは別に保持してもよいし、IPアドレス割当テーブルにセグメントの割当情報も追加して保持するようにしてもよい。 The method of allocating and managing IP addresses and segments by the centralized management device 31 is not limited to a specific method, and various known methods may be adopted. As an allocation method, for example, an IP address allocation range may be set for each segment, and an IP address for the segment belonging to each device 11 may be allocated. In this case, IP addresses may be automatically allocated within the IP address allocation range set for each segment. As a management method, for example, a segment management table that manages the IP address allocation range for each segment may be stored separately from the IP address allocation table, or segment allocation information may be added to and stored in the IP address allocation table.

また、セグメントを割り当てる単位は、前述したように運用環境に応じて適宜決定すればよく、建屋ごとや部門ごとでもよいし、製品ごとや工程ごと等でもよい。例えば、製品ごとに機器11に割り当てるセグメントを分けるとすれば、物理的には隣に配置された機器11であっても、対象製品が異なれば別々のセグメントとなるため、物理的な制約を受けることなくセグメントごとに機器11間の通信を管理することができる。 As mentioned above, the unit for allocating segments can be determined appropriately according to the operational environment, and may be by building, department, product, process, etc. For example, if the segments allocated to devices 11 are divided by product, even devices 11 that are physically located next to each other will be in different segments if they are for different products, and communication between devices 11 can be managed by segment without being subject to physical constraints.

以上のように、本実施形態に係る産業用ネットワークシステム100では、OTネットワークとITネットワークとの間にモバイル閉域網70を配置し、OTネットワークとITネットワークとの間の通信だけでなく、OTネットワーク内での通信も必ずモバイル閉域網70を経由するように構成することで、OTネットワークとITネットワークとを安全に、分離して構築することができる。さらに、OTネットワーク内の機器11にSIMを組み込み、SIMに割り当てるIPアドレス及びIPアドレスが属するセグメントを集中管理装置31による集中管理機能で管理することにより、OTネットワークにおける通信を機器ごとに個別にモニタリングし、セキュアなOTネットワークを実現することができる。 As described above, in the industrial network system 100 according to this embodiment, the mobile closed network 70 is placed between the OT network and the IT network, and communication not only between the OT network and the IT network, but also within the OT network must go through the mobile closed network 70, so that the OT network and the IT network can be constructed safely and separately. Furthermore, by incorporating a SIM into the device 11 in the OT network and managing the IP address assigned to the SIM and the segment to which the IP address belongs using the centralized management function of the centralized management device 31, communication in the OT network can be monitored individually for each device, and a secure OT network can be realized.

また、産業用ネットワークシステム100は、OTネットワークにおいて従来の無線通信よりも超高速で超低遅延な5G通信を利用することから、OTネットワークの通信性能を格段に向上させることができる。 In addition, the industrial network system 100 utilizes 5G communications, which are ultra-fast and have ultra-low latency compared to conventional wireless communications, in the OT network, thereby significantly improving the communication performance of the OT network.

また、集中管理装置31は、OTネットワークに接続されるOT機器(機器11)の通信をモバイル閉域網70で集中管理することにより、機器11の何れかがマルウェアに感染した場合には、当該機器11のSIMに割り当てたIPアドレスをSIM認証で承認されないIPアドレスに変更することにより、機器ごとに個別にOTネットワークからの切り離しを容易に実現することができる。 In addition, the centralized management device 31 centrally manages the communications of OT devices (devices 11) connected to the OT network using the mobile closed network 70. If any of the devices 11 becomes infected with malware, the IP address assigned to the SIM of that device 11 can be changed to an IP address that is not approved by SIM authentication, making it easy to disconnect each device individually from the OT network.

なお、別の切り離し方法として、マルウェアに感染した機器11が属するセグメントについて、集中管理装置31が当該セグメントに割り当てられるIPアドレスを一時的に通信無効にする制御を、単独で、あるいは先の切り離し方法に先行して実行してもよい。セグメント単位で通信を無効にすることにより、OTネットワークから他のネットワーク(事務エリア20のITネットワークや本社エリア30のコアネットワーク)へのマルウェアの感染拡大を防止できるだけでなく、OTネットワーク内での機器間でのマルウェアの感染拡大も防止することができる。 As another isolation method, the centralized management device 31 may temporarily disable communication with the IP address assigned to the segment to which the malware-infected device 11 belongs, either alone or prior to the above isolation method. Disabling communication on a segment-by-segment basis not only prevents the spread of malware from the OT network to other networks (such as the IT network in the office area 20 or the core network in the head office area 30), but also prevents the spread of malware between devices within the OT network.

また、生産現場において機器11の配置換え等によってセグメント内の対象機器が入れ替えられるような場合には、集中管理装置31は、新しくセグメント内に配置される機器11に対して当該セグメントに属するIPアドレスを割り当て、当該セグメントから外れる機器11に対しては、当該セグメントに属するIPアドレス以外に変更することにより、すぐに配置換えに対応してセキュアなOTネットワークを構築することができる。 In addition, when the target devices within a segment are replaced due to the rearrangement of devices 11 at the production site, the centralized management device 31 assigns an IP address belonging to that segment to the device 11 newly placed in the segment, and changes the IP address of the device 11 that is leaving the segment to one other than the one belonging to the segment, thereby enabling a secure OT network to be built immediately in response to the rearrangement.

また、ファイアウォール80について前述したように、本実施形態では、OTネットワークとグローバルWAN40との接続経路がセグメントごとに1つに限定されるため、ファイアウォール80はセグメントごとに1箇所設置すればよい。この場合、機器11のそれぞれにファイアウォール80またはこれに準ずるセキュリティ機器を設置しなければならない構成に比べて、ファイアウォール80の必要数を大幅に軽減できることから、設置の手間を削減できる効果に加えて、セキュリティ投資とセキュリティ監視のポイントを集中させることができる。結果として、産業用ネットワークシステム100全体のセキュリティを高めながら、ネットワーク構築に要するコストも低減することができる。 As described above with respect to the firewall 80, in this embodiment, the connection path between the OT network and the global WAN 40 is limited to one per segment, so that the firewall 80 only needs to be installed at one location per segment. In this case, the number of firewalls 80 required can be significantly reduced compared to a configuration in which a firewall 80 or equivalent security device must be installed in each device 11, which not only reduces the installation effort but also allows security investments and security monitoring points to be concentrated. As a result, the security of the entire industrial network system 100 can be improved while the costs required for network construction can be reduced.

(2)第2の実施形態
図3は、本発明の第2の実施形態に係る産業用ネットワークシステム200の構成例を示す図である。なお、第2の実施形態において、生産エリア10における内部構成、及び生産エリア10のOTネットワークとグローバルWAN40との接続構成以外の構成は、第1の実施形態と同様である。そこで、共通する構成には同一の符号を付し、その説明を省略する。これは後述する第3の実施形態でも同様である。 (2) Second embodiment Fig. 3 is a diagram showing an example of the configuration of an industrial network system 200 according to a second embodiment of the present invention. Note that in the second embodiment, the configuration is the same as that of the first embodiment, except for the internal configuration in the production area 10 and the connection configuration between the OT network in the production area 10 and the global WAN 40. Therefore, the same reference numerals are used for the common configuration, and the description thereof will be omitted. This also applies to the third embodiment described later.

図3に示したように、産業用ネットワークシステム200では、OTネットワークが構築される生産エリア10は、第1の実施形態と同様にセグメント単位で管理される。但し、第2の実施形態におけるモバイル閉域網70は、第1の実施形態よりも広域な単位で、各OTネットワーク(生産エリア10の機器11)とグローバルWAN40とを接続する。図3では、この広域な単位の一例として、モバイル閉域網70が複数の生産エリア10全体を網羅している様子を示しているが、これに限定されるものではなく、例えば、生産事業所1全体を網羅する等してもよい。このようにカバーエリアを拡大することを考慮すると、第2の実施形態におけるモバイル閉域網70は、ローカル5GネットワークよりもプライベートLTEネットワークである方が好適なケースも想定される。 As shown in FIG. 3, in the industrial network system 200, the production area 10 in which the OT network is constructed is managed in segments as in the first embodiment. However, the mobile closed network 70 in the second embodiment connects each OT network (the equipment 11 in the production area 10) to the global WAN 40 in a wider area unit than in the first embodiment. In FIG. 3, as an example of this wider area unit, the mobile closed network 70 is shown covering the entirety of multiple production areas 10, but this is not limited thereto, and for example, it may cover the entirety of the production facility 1. Considering the expansion of the coverage area in this way, it is also assumed that the mobile closed network 70 in the second embodiment is preferably a private LTE network rather than a local 5G network.

上記のように、第2の実施形態では、広域な単位でOTネットワークとグローバルWAN40とを接続することから、基地局14及びゲートウェイ15(L3スイッチ等も含む)は、セグメントごとではなく、複数の生産エリア10(または生産事業所1全体)で1組が設置される。すなわち、第2の実施形態では、生産エリア10の機器11からグローバルWAN40への経路は、最寄りの5G端末13を通るまでは様々な経路であるが、その後の基地局14からゲートウェイ15の経路は、1つに限定される。 As described above, in the second embodiment, since the OT network and the global WAN 40 are connected on a wide-area basis, a set of base stations 14 and gateways 15 (including L3 switches, etc.) is installed in multiple production areas 10 (or the entire production facility 1) rather than for each segment. That is, in the second embodiment, the route from the equipment 11 in the production area 10 to the global WAN 40 is various routes until it passes through the nearest 5G terminal 13, but thereafter the route from the base station 14 to the gateway 15 is limited to one.

そして、産業用ネットワークシステム200では、第1の実施形態と同様に、OTネットワーク(生産エリア10)内における各機器11同士の通信、及びOTネットワーク内の機器11とITネットワーク(事務エリア20)内の機器21との間の通信は、何れも必ずモバイル閉域網70を経由し、かつグローバルWAN40の内部で行われるよう構成される。 In the industrial network system 200, as in the first embodiment, communication between devices 11 in the OT network (production area 10), and communication between devices 11 in the OT network and devices 21 in the IT network (office area 20) are all configured to pass through the mobile closed network 70 and take place within the global WAN 40.

さらに、産業用ネットワークシステム200では、第1の実施形態と同様に、生産エリア10の各機器11にSIMが組み込まれ、所属するセグメントに対応して個別のIPアドレスが割り当てられる。そして、集中管理装置31は、SIMに割り当てられたIPアドレス及び当該IPアドレスが属するセグメントに基づいて、各機器11を識別し、その通信を集中管理する。 Furthermore, in the industrial network system 200, as in the first embodiment, a SIM is embedded in each device 11 in the production area 10, and an individual IP address is assigned corresponding to the segment to which it belongs. The centralized management device 31 then identifies each device 11 based on the IP address assigned to the SIM and the segment to which the IP address belongs, and centrally manages the communications of the devices.

以上のような産業用ネットワークシステム200によれば、第1の実施形態に係る産業用ネットワークシステム100と同様に、OTネットワークとITネットワークとを安全に分離して構築することができ、OTネットワークにおける通信を機器ごとに個別にモニタリングし、セキュアなOTネットワークを実現することができる。また、OTネットワークの通信性能を向上させることができる。 According to the above-described industrial network system 200, like the industrial network system 100 according to the first embodiment, the OT network and the IT network can be safely separated and constructed, and communications in the OT network can be monitored individually for each device, thereby realizing a secure OT network. In addition, the communication performance of the OT network can be improved.

さらに、産業用ネットワークシステム200では、OTネットワークとグローバルWAN40との間に設置される基地局14、ゲートウェイ15、及びL3スイッチ等の数が、生産エリア10全体(または1つの生産事業所1)に1組で良いことから、第1の実施形態よりもさらに、設置の手間やコストを削減する効果に期待できる。 Furthermore, in the industrial network system 200, the number of base stations 14, gateways 15, L3 switches, etc. installed between the OT network and the global WAN 40 only needs to be one set for the entire production area 10 (or one production facility 1), so it is expected that the installation effort and costs can be reduced even more than in the first embodiment.

また、ファイアウォール80は、モバイル閉域網70とグローバルWAN40との境界に設置すればよいことから、1つの生産事業所1に対して、その設置数を1つに抑えることができる。したがって、設置の手間を削減できるだけでなく、生産事業所1ごとに、セキュリティ投資とセキュリティ監視のポイントを1点に集中させることができ、結果として産業用ネットワークシステム300全体のセキュリティをさらに高めることに期待できる。 In addition, because the firewall 80 only needs to be installed at the boundary between the mobile closed network 70 and the global WAN 40, the number of firewalls required per production facility 1 can be limited to one. This not only reduces the installation effort, but also allows security investment and security monitoring to be concentrated at one point for each production facility 1, which is expected to further improve the security of the entire industrial network system 300.

(3)第3の実施形態
図4は、本発明の第3の実施形態に係る産業用ネットワークシステム300の構成例を示す図である。 (3) Third Embodiment FIG. 4 is a diagram showing an example of the configuration of an industrial network system 300 according to a third embodiment of the present invention.

第2の実施形態では、複数の生産エリア10(または生産事業所1全体)を単位として、モバイル閉域網70がOTネットワークとグローバルWAN40とを接続するよう構成したが、第3の実施形態に係る産業用ネットワークシステム300では、この網羅範囲をさらに広げた構成例を示す。すなわち、産業用ネットワークシステム300では、複数の生産事業所1や、その外部(中央エリアと称する)までを含む広範囲を単位として、モバイル閉域網70が構築される。 In the second embodiment, the mobile closed network 70 is configured to connect the OT network and the global WAN 40 for multiple production areas 10 (or the entire production facility 1), but the industrial network system 300 according to the third embodiment shows a configuration example in which the coverage is further expanded. That is, in the industrial network system 300, the mobile closed network 70 is constructed for a wide area including multiple production facilities 1 and even the outside (referred to as the central area).

なお、第3の実施形態では、モバイル閉域網70に求められるカバーエリアが各段に拡がることから、前述したローカル5GネットワークやプライベートLTEネットワークに代えて、サービス提供者から提供される所定の産業用通信サービスを利用するようにしてもよい。このような産業用通信サービスは、一般には、使用可能な回線数及びIPアドレス数が定められているため、顧客は自身の要望に合うサービス内容を契約する。 In the third embodiment, since the coverage area required for the mobile closed network 70 is expanded, a specific industrial communication service provided by a service provider may be used instead of the local 5G network or private LTE network described above. Such industrial communication services generally have a set number of available lines and IP addresses, so that customers sign a contract for the service content that meets their needs.

図4に示したように、産業用ネットワークシステム300では、OTネットワークが構築される生産エリア10は、第1~第3の実施形態と同様に1以上のセグメントとして管理される。 As shown in FIG. 4, in the industrial network system 300, the production area 10 in which the OT network is constructed is managed as one or more segments, as in the first to third embodiments.

図4に示した産業用ネットワークシステム300では、複数の生産事業所1(例えば全社)をモバイル閉域網70の網羅範囲として、中央エリアに基地局91が1つ設置されている。このように、第3の実施形態は、第1,第2の実施形態と比較すると、全社的に必要な基地局の数をさらに削減できる可能性がある。なお、基地局91の設置数は、必ずしも1つに限定されるものではなく、生産事業所1の総数を超えない程度に複数の基地局91を設置する等の構成を採用してもよい。 In the industrial network system 300 shown in FIG. 4, one base station 91 is installed in a central area, with the mobile closed network 70 covering multiple production facilities 1 (e.g., the entire company). In this way, the third embodiment has the potential to further reduce the number of base stations required across the entire company compared to the first and second embodiments. Note that the number of base stations 91 installed is not necessarily limited to one, and a configuration may be adopted in which multiple base stations 91 are installed without exceeding the total number of production facilities 1.

図4に示すように、各生産事業所1の生産エリア10に設置された5G端末13は、モバイル閉域網70のなかで、基地局91を経由して、中央エリア側に設置された5G端末92と無線通信を行う。なお、5G端末92の設置数は、OTネットワーク側の機器11の数から必要数(必要最低数であり、これ以上であってもよい)が定まる。例えば、機器11が10台程度存在するごとに、1台の5G端末92を用意するなどである。また、OTネットワーク側の5G端末13の設置数も同様に考えてよい。 As shown in FIG. 4, the 5G terminals 13 installed in the production area 10 of each production facility 1 communicate wirelessly with the 5G terminals 92 installed in the central area via the base station 91 in the mobile closed network 70. The required number of 5G terminals 92 to be installed (this is the minimum number required, and may be more) is determined based on the number of devices 11 on the OT network side. For example, one 5G terminal 92 is prepared for every 10 devices 11. The number of 5G terminals 13 to be installed on the OT network side may be considered in the same way.

そして、複数の5G端末92は、1台のゲートウェイ93(不図示のL3スイッチ等も含む)を経由して、グローバルWAN40に接続される。ここで、第1,第2の実施形態と同様に考えれば、ファイアウォール80は、ゲートウェイ93の付近に1つを設置すれば十分となる。 The multiple 5G terminals 92 are connected to the global WAN 40 via one gateway 93 (including an L3 switch, not shown). As in the first and second embodiments, it is sufficient to install one firewall 80 near the gateway 93.

産業用ネットワークシステム300では、第1,第2の実施形態と同様に、OTネットワーク(生産エリア10)内における各機器11同士の通信、及びOTネットワーク内の機器11とITネットワーク(事務エリア20)内の機器21との間の通信は、何れも必ずモバイル閉域網70を経由し、かつグローバルWAN40の内部で行われるよう構成される。 In the industrial network system 300, as in the first and second embodiments, communication between the devices 11 in the OT network (production area 10) and communication between the devices 11 in the OT network and the devices 21 in the IT network (office area 20) are all configured to pass through the mobile closed network 70 and take place within the global WAN 40.

さらに、産業用ネットワークシステム300では、第1,第2の実施形態と同様に、生産エリア10の各機器11にSIMが組み込まれ、所属するセグメントに対応して個別のIPアドレスが割り当てられる。そして、集中管理装置31は、SIMに割り当てられたIPアドレス及び当該IPアドレスが属するセグメントに基づいて、各機器11を識別し、その通信を集中管理する。 Furthermore, in the industrial network system 300, as in the first and second embodiments, a SIM is embedded in each device 11 in the production area 10, and an individual IP address is assigned corresponding to the segment to which it belongs. The centralized management device 31 then identifies each device 11 based on the IP address assigned to the SIM and the segment to which the IP address belongs, and centrally manages the communications of the devices.

以上のような産業用ネットワークシステム300によれば、第1,第2の実施形態に係る産業用ネットワークシステム100,200と同様に、OTネットワークとITネットワークとを安全に分離して構築することができ、OTネットワークにおける通信を機器ごとに個別にモニタリングし、セキュアなOTネットワークを実現することができる。また、OTネットワークの通信性能を向上させることができる。 According to the above-described industrial network system 300, like the industrial network systems 100 and 200 according to the first and second embodiments, the OT network and the IT network can be safely separated and constructed, and communications in the OT network can be monitored individually for each device, thereby realizing a secure OT network. In addition, the communication performance of the OT network can be improved.

さらに、産業用ネットワークシステム300では、OTネットワークとグローバルWAN40との間に設置される基地局91及びゲートウェイ93の数は、複数の生産事業所1の全体で1組あればよく、5G端末13,92の設置数も、機器11の設置数よりも大幅に少なくて済む。そのため、第3の実施形態では、他の実施形態よりもさらに、設置の手間やコストを削減する効果に期待できる。 Furthermore, in the industrial network system 300, the number of base stations 91 and gateways 93 installed between the OT network and the global WAN 40 needs to be one set for all of the multiple production facilities 1, and the number of 5G terminals 13, 92 installed can be significantly less than the number of devices 11 installed. Therefore, in the third embodiment, it is expected to have the effect of reducing installation effort and costs even more than in the other embodiments.

また、ファイアウォール80は、モバイル閉域網70とグローバルWAN40との境界に設置すればよいことから、複数の生産事業所1(全社)に対して、その設置数を1つという最小数に抑えることができる。したがって、設置の手間を削減できるだけでなく、全社(複数の生産事業所1の全体)においてセキュリティ投資とセキュリティ監視のポイントを1点に集中させることができ、結果として、産業用ネットワークシステム300全体のセキュリティをより高めることに期待できる。 In addition, since the firewall 80 only needs to be installed at the boundary between the mobile closed network 70 and the global WAN 40, the number of firewalls required can be kept to a minimum of one for multiple production facilities 1 (the entire company). This not only reduces the installation effort, but also allows security investments and security monitoring to be concentrated at one point for the entire company (all of the multiple production facilities 1), which is expected to result in improved security for the entire industrial network system 300.

なお、本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 The present invention is not limited to the above-described embodiments, but includes various modified examples. For example, the above-described embodiments have been described in detail to clearly explain the present invention, and are not necessarily limited to those having all of the configurations described. It is also possible to replace part of the configuration of one embodiment with the configuration of another embodiment, and it is also possible to add the configuration of another embodiment to the configuration of one embodiment. It is also possible to add, delete, or replace part of the configuration of each embodiment with other configurations.

また、集中管理装置31が有する集中管理機能は、プロセッサが当該機能を実現するプログラムを解釈し、実行することにより管理ソフトウェアで実現するとしたが、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。 In addition, although the centralized management functions of the centralized management device 31 are realized by management software in which the processor interprets and executes a program that realizes the function, some or all of them may be realized in hardware, for example by designing an integrated circuit. In addition, information such as programs, tables, and files that realize the functions may be stored in a memory, a recording device such as a hard disk or SSD (Solid State Drive), or a recording medium such as an IC card, SD card, or DVD.

1 生産事業所
10 生産エリア
11,21 機器
12 検査装置
13,92 5G端末
14,91 基地局
15,24,34,93 ゲートウェイ
20 事務エリア
23,33 ハブ
30 本社エリア
31 集中管理装置
32 管理者端末
40 グローバルWAN
50 外部ネットワーク
60 クラウド
61 データレイク
70 モバイル閉域網
80 ファイアウォール
100,200,300 産業用ネットワークシステム
311 プロセッサ
312 記憶デバイス
313 入力デバイス
314 出力デバイス
315 通信インタフェース
316 バス
317 管理ソフトウェア
 REFERENCE SIGNS LIST 1 Production facility 10 Production area 11, 21 Equipment 12 Inspection device 13, 92 5G terminal 14, 91 Base station 15, 24, 34, 93 Gateway 20 Office area 23, 33 Hub 30 Head office area 31 Centralized management device 32 Administrator terminal 40 Global WAN
50 External network 60 Cloud 61 Data lake 70 Mobile closed network 80 Firewall 100, 200, 300 Industrial network system 311 Processor 312 Storage device 313 Input device 314 Output device 315 Communication interface 316 Bus 317 Management software

Claims (9)

複数のローカルエリアネットワークが分離して構築される産業用ネットワークシステムであって、
自身を経由する通信を監視可能なモバイル閉域網のもとで第1の電子機器が接続される第1のローカルエリアネットワークと、
前記第1のローカルエリアネットワークとは分離して構築され、第2の電子機器が接続される第2のローカルエリアネットワークと、
前記第1のローカルエリアネットワークと前記第2のローカルエリアネットワークとを接続する所定の閉域網と、
前記モバイル閉域網を経由する通信を集中管理するプログラムを実行する集中管理装置と、
を備え、
前記第1のローカルエリアネットワークは、前記モバイル閉域網によって前記所定の閉域網に接続され、
前記集中管理装置は、前記第1のローカルエリアネットワークの通信範囲をセグメントに分けて管理し、異なるセグメントに属する前記第1の電子機器の間での通信を制限し、
前記モバイル閉域網には、前記セグメントの前記第1の電子機器を代行して当該モバイル閉域網における無線通信を行う第1の通信機器と、前記所定の閉域網の側で前記第1の通信機器と前記無線通信を行う第2の通信機器と、前記第2の通信機器を中継器として、前記所定の閉域網の側で前記第1の通信機器と前記無線通信を行う第3の通信機器と、が接続され、
前記第1の通信機器及び前記第3の通信機器はそれぞれ、前記第1の電子機器の総数に基づいた所定数以上が設置され、
前記モバイル閉域網における前記第2の通信機器と前記所定の閉域網との間にファイアウォールが設置され、
前記第1の電子機器による通信が、前記第1のローカルエリアネットワーク内の他の第1の電子機器との通信、または前記第2の電子機器との通信の何れであっても、前記モバイル閉域網を経由し、かつ前記所定の閉域網の外に出ないよう構成される
ことを特徴とする産業用ネットワークシステム。 An industrial network system in which a plurality of local area networks are constructed separately,
a first local area network to which a first electronic device is connected under a mobile closed network capable of monitoring communications passing through the first local area network;
a second local area network that is constructed separately from the first local area network and to which a second electronic device is connected;
a predetermined closed network connecting the first local area network and the second local area network;
a centralized management device that executes a program for centrally managing communications via the mobile closed network;
Equipped with
the first local area network is connected to the predetermined closed network by the mobile closed network;
the centralized management device manages the communication range of the first local area network by dividing it into segments and restricting communication between the first electronic devices belonging to different segments;
A first communication device which performs wireless communication in the mobile closed network on behalf of the first electronic device of the segment, a second communication device which performs the wireless communication with the first communication device on the side of the predetermined closed network, and a third communication device which performs the wireless communication with the first communication device on the side of the predetermined closed network using the second communication device as a repeater are connected to the mobile closed network;
a predetermined number or more of the first communication devices and the third communication devices are installed based on a total number of the first electronic devices,
a firewall is installed between the second communication device in the mobile closed network and the predetermined closed network;
an industrial network system configured such that communication by the first electronic device, whether communication with another first electronic device in the first local area network or communication with the second electronic device, passes through the mobile closed network and does not go outside the specified closed network. それぞれの前記第1の電子機器には、IPアドレスを割り当て可能なSIM(Subscriber Identity Module)が組み込まれ、
前記集中管理装置は、前記第1の電子機器に組み込まれたSIMを用いて、当該第1の電子機器による前記第1のローカルエリアネットワークへの接続を認証する
ことを特徴とする請求項に記載の産業用ネットワークシステム。 Each of the first electronic devices is equipped with a Subscriber Identity Module (SIM) capable of assigning an IP address,
2. The industrial network system according to claim 1 , wherein the centralized management device authenticates the connection of the first electronic device to the first local area network using a SIM embedded in the first electronic device. それぞれの前記第1の電子機器は、自身が属する前記セグメントに設定されたIPアドレスの割当範囲のうちから、異なるIPアドレスが前記SIMに割り当てられ、
前記集中管理装置は、前記IPアドレスに基づいて、前記第1のローカルエリアネットワークに接続する前記第1の電子機器を識別し、その接続を管理する
ことを特徴とする請求項に記載の産業用ネットワークシステム。 Each of the first electronic devices is assigned a different IP address to the SIM from within an IP address assignment range set for the segment to which the first electronic device belongs;
3. The industrial network system according to claim 2 , wherein the centralized management device identifies the first electronic device connected to the first local area network based on the IP address and manages the connection. 何れかの前記第1の電子機器においてマルウェアの感染が検出された場合、
前記集中管理装置は、当該第1の電子機器のSIMに割り当てたIPアドレスを変更することによって、前記第1のローカルエリアネットワークから切り離す
ことを特徴とする請求項に記載の産業用ネットワークシステム。 When a malware infection is detected in any of the first electronic devices,
4. The industrial network system according to claim 3 , wherein the centralized management device separates the first electronic device from the first local area network by changing an IP address assigned to a SIM of the first electronic device. 前記セグメントごとに、前記第2の通信機器が1つ設置される
ことを特徴とする請求項に記載の産業用ネットワークシステム。 The industrial network system according to claim 1 , wherein one of the second communication devices is installed for each of the segments. すべての前記セグメントに対して、前記第2の通信機器が1つ設置される
ことを特徴とする請求項に記載の産業用ネットワークシステム。 The industrial network system according to claim 1 , wherein one second communication device is installed for each of the segments. 前記モバイル閉域網は、ローカル5Gネットワークである
ことを特徴とする請求項1に記載の産業用ネットワークシステム。 The industrial network system according to claim 1 , wherein the mobile closed network is a local 5G network. 前記モバイル閉域網は、プライベートLTEネットワークである
ことを特徴とする請求項1に記載の産業用ネットワークシステム。 The industrial network system according to claim 1 , wherein the mobile closed network is a private LTE network. 複数のローカルエリアネットワークが分離して構築される産業用ネットワークシステムによるネットワーク管理方法であって、
前記産業用ネットワークシステムは、
自身を経由する通信を監視可能なモバイル閉域網のもとで第1の電子機器が接続される第1のローカルエリアネットワークと、
前記第1のローカルエリアネットワークとは分離して構築され、第2の電子機器が接続される第2のローカルエリアネットワークと、
前記第1のローカルエリアネットワークと前記第2のローカルエリアネットワークとを接続する所定の閉域網と、
前記モバイル閉域網を経由する通信を集中管理するプログラムを実行する集中管理装置と、
を有し、
前記第1のローカルエリアネットワークは、前記モバイル閉域網によって前記所定の閉域網に接続され、
前記集中管理装置は、前記第1のローカルエリアネットワークの通信範囲をセグメントに分けて管理し、異なるセグメントに属する前記第1の電子機器の間での通信を制限し、
前記モバイル閉域網には、前記セグメントの前記第1の電子機器を代行して当該モバイル閉域網における無線通信を行う第1の通信機器と、前記所定の閉域網の側で前記第1の通信機器と前記無線通信を行う第2の通信機器と、前記第2の通信機器を中継器として、前記所定の閉域網の側で前記第1の通信機器と前記無線通信を行う第3の通信機器と、が接続され、
前記第1の通信機器及び前記第3の通信機器はそれぞれ、前記第1の電子機器の総数に基づいた所定数以上が設置され、
前記モバイル閉域網における前記第2の通信機器と前記所定の閉域網との間にファイアウォールが設置され、
前記第1の電子機器による通信が、前記第1のローカルエリアネットワーク内の他の第1の電子機器との通信、または前記第2の電子機器との通信の何れであっても、前記モバイル閉域網を経由し、かつ前記所定の閉域網の外に出ないよう構成する
ことを特徴とするネットワーク管理方法。
 A network management method for an industrial network system in which a plurality of local area networks are constructed separately, comprising the steps of:
The industrial network system includes:
a first local area network to which a first electronic device is connected under a mobile closed network capable of monitoring communications passing through the first local area network;
a second local area network that is constructed separately from the first local area network and to which a second electronic device is connected;
a predetermined closed network connecting the first local area network and the second local area network;
a centralized management device that executes a program for centrally managing communications via the mobile closed network;
having
the first local area network is connected to the predetermined closed network by the mobile closed network;
the centralized management device manages the communication range of the first local area network by dividing it into segments and restricting communication between the first electronic devices belonging to different segments;
A first communication device which performs wireless communication in the mobile closed network on behalf of the first electronic device of the segment, a second communication device which performs the wireless communication with the first communication device on the side of the predetermined closed network, and a third communication device which performs the wireless communication with the first communication device on the side of the predetermined closed network using the second communication device as a repeater are connected to the mobile closed network;
a predetermined number or more of the first communication devices and the third communication devices are installed based on a total number of the first electronic devices,
a firewall is installed between the second communication device in the mobile closed network and the predetermined closed network;
a network management method configured so that communication by the first electronic device, whether communication with another first electronic device in the first local area network or communication with the second electronic device, passes through the mobile closed network and does not go outside the specified closed network.
JP2021203725A 2021-12-15 2021-12-15 Industrial network system, network management method, and network service providing system Active JP7680946B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021203725A JP7680946B2 (en) 2021-12-15 2021-12-15 Industrial network system, network management method, and network service providing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021203725A JP7680946B2 (en) 2021-12-15 2021-12-15 Industrial network system, network management method, and network service providing system

Publications (2)

Publication Number Publication Date
JP2023088784A JP2023088784A (en) 2023-06-27
JP7680946B2 true JP7680946B2 (en) 2025-05-21

Family

ID=86935305

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021203725A Active JP7680946B2 (en) 2021-12-15 2021-12-15 Industrial network system, network management method, and network service providing system

Country Status (1)

Country Link
JP (1) JP7680946B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013545412A (en) 2010-11-24 2013-12-19 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Method and apparatus for enabling data transmission between a mobile device and a static destination address
JP2016184854A (en) 2015-03-26 2016-10-20 株式会社Nttドコモ Control system and control method
JP2019029939A (en) 2017-08-02 2019-02-21 日本電信電話株式会社 Address changing method, route changing method, server device, and security device
US20200259896A1 (en) 2019-02-13 2020-08-13 Telefonaktiebolaget Lm Ericsson (Publ) Industrial Automation with 5G and Beyond
JP6888179B1 (en) 2020-02-03 2021-06-16 Dmg森精機株式会社 Information processing device and information processing method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013545412A (en) 2010-11-24 2013-12-19 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Method and apparatus for enabling data transmission between a mobile device and a static destination address
JP2016184854A (en) 2015-03-26 2016-10-20 株式会社Nttドコモ Control system and control method
JP2019029939A (en) 2017-08-02 2019-02-21 日本電信電話株式会社 Address changing method, route changing method, server device, and security device
US20200259896A1 (en) 2019-02-13 2020-08-13 Telefonaktiebolaget Lm Ericsson (Publ) Industrial Automation with 5G and Beyond
JP6888179B1 (en) 2020-02-03 2021-06-16 Dmg森精機株式会社 Information processing device and information processing method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Yushan Siriwardhana et al.,Performance Analysis of Local 5G Operator Architectures for Industrial Internet,IEEE INTERNET OF THINGS JOURNAL,Vol.7, No.12,2020年12月, P.11559-11575

Also Published As

Publication number Publication date
JP2023088784A (en) 2023-06-27

Similar Documents

Publication Publication Date Title
Liang et al. An integrated architecture for software defined and virtualized radio access networks with fog computing
US8428036B2 (en) System and method for providing wireless local area networks as a service
US8467355B2 (en) System and method for providing wireless local area networks as a service
US8472920B2 (en) System and method for providing wireless networks as a service
CN116800712A (en) Communication, configuration method and related devices between virtual private cloud and under-cloud data center
JP6718966B2 (en) Methods for establishing a roaming connection
US20100293250A1 (en) Method to allow seamless connectivity for wireless devices in dhcp snooping/dynamic arp inspection/ip source guard enabled unified network
JP2016526319A (en) Control and management of virtual enterprise access points
CN114365454B (en) Distribution of stateless security functions
US20170005981A1 (en) Address identifier allocation method, related device, and system
JP2022149680A (en) Communication device and communication system
CN113612697A (en) Message forwarding control method, device, network device and wireless network system
CN106792821B (en) Access control method and device based on virtual gateway
JP6507572B2 (en) Management server route control method and management server
JP7680946B2 (en) Industrial network system, network management method, and network service providing system
CN109981437B (en) Multi-data center intercommunication method based on VPC and related equipment
US12556601B1 (en) Multi-cloud network traffic filtering service
JP5445626B2 (en) Network management system
CN109660439B (en) Terminal mutual access management system and method
CN117812046A (en) Isolation terminal DHCP (dynamic host configuration protocol) admission control method and device, electronic equipment and storage medium
JP6360012B2 (en) Network integration system and network integration method
WO2015037911A1 (en) Method, device, system and computer-readable recording medium for supporting communication between user terminal device and local host by using open flow
JP7597116B2 (en) Packet communication device, packet processing rule setting method, and program
CN114363056A (en) Network isolation configuration method, device and network management system
WO2022208823A1 (en) Relay device, relay method, and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240111

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20241128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20241203

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250131

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250422

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250509

R150 Certificate of patent or registration of utility model

Ref document number: 7680946

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150