專利名稱:用于以太網接收的工業(yè)控制設備的網絡安全模塊的制作方法
技術領域:
本發(fā)明總地來說涉及用于控制機器和工業(yè)處理的工業(yè)控制器�,并特別 地涉及對于使用普通以太網絡相互連接的工業(yè)控制設備允許更高的安全 性的安全模塊。
背景技術:
工業(yè)控制器用來控制和監(jiān)視工業(yè)處理和機器i殳備����。典型的工業(yè)控制器 包括專用計算機,該專用計算機執(zhí)行存儲的控制程序�����,從而基于該控制程 序的邏輯來從受控的處理讀取輸入以及將輸出提供給該受控的處理��。
工業(yè)控制器在三個方面與傳統(tǒng)計算機不同�����。首先��,工業(yè)控制器可被高 度地定制以適應受控制的特定工業(yè)處理的需求���。通常���,該定制通過如下才莫 塊構造成為可能��,該模塊構造針對特定的應用提供可被添加到工業(yè)控制器 的不同的組件來擴展該工業(yè)控制器。更通常地��,這些另外的組件是對致動
器提供模擬或數(shù)字信號的1/0(輸^/輸出)模塊�����,或是從傳感器接收模擬或 數(shù)字信號的1/0(輸V輸出)模塊���。其它普通組件包括顯示器和電機驅動�����。
工業(yè)控制器和傳統(tǒng)計算機的第二點區(qū)別在于工業(yè)控制器的組件可分 隔相當大的距離����,例如分布在遍布工廠的網絡通信上�。 一些專屬的高速控 制網絡,皮用于該用途,這些網絡包括例如ControlNet和DeviceNet���、由多 行業(yè)聯(lián)盟ODVA(www.odva.org)管理的開放標準����。
第三���,與傳統(tǒng)計算機不同�,工業(yè)控制器必須提供高度可預測和可信賴 的、可安全地控制物理裝備的控制輸出�����。在這點上��,既迫切需要迅速地分 發(fā)輸出和輸入�,也迫切需要確保該輸出和輸入實際上進行通信。不允許數(shù) 據通信的損壞或偽造的消息��。
最近����,在使用以太網協(xié)議的控制網絡方面產生了濃厚興趣。這種網絡 使用容易獲得且低成本的以太網硬件�����,并添加另外的協(xié)議以滿足控制網絡 的其它需求����。這種控制網絡協(xié)議包括以太網/IP(以太網工業(yè)協(xié)議)、同樣由ODVA管理的開放標準��、以及Modbus/TCP等�。
對以太網兼容網絡的使用允許控制系統(tǒng)使用還連接至其它非控制計 算機甚至連接至因特網的網絡。這種連接增加了因惡意流量產生的熟悉的 因特網安全問題的風險��。這種惡意流量在工業(yè)控制環(huán)境中會比在裝備不受 控制的標準計算環(huán)境中造成更大破壞���。因而�,必須防止這種惡意流量��。
限制惡意網絡流量的影響的標準方法是使用防火墻和/或安全協(xié)i5C。 簡單的防火墻檢查在以太網上移動的分組����,以基于從單個分組釆集的無狀 態(tài)數(shù)據�、例如表示分組的來源或表示分組所導向的端口的數(shù)據,來拒絕某 些分組�����。然而,更復雜的防火墻則從多個分組中提取狀態(tài)數(shù)據�,以更好地 (例如在通信協(xié)議的上下文中)辨別分組�����,并拒絕祐:認定為有害的分組���。這 些更高級的防火墻利用執(zhí)行軟件的電子計算機來邏輯地處理從多個分組 形成的狀態(tài)信息����,并評定是否應轉發(fā)該分組還是將該分組阻擋在防火墻 處�。
作為防火墻的替代或補充,安全協(xié)議可通過在網絡上通信的i史備來執(zhí) 行���,其中設備交換信息以建立例如發(fā)送設備的真實性�����。安全協(xié)議的一例是 用來實施安全HTTP(https)�����。
理想地�����,在工業(yè)控制環(huán)境中�����,各控制設M具有對來自所連接的以太 網絡的有害流量進行阻擋的防火墻和/或安全協(xié)議�����。然而���,這對于不支持
實施這些功能所需的成本或處理電力的舊設備或簡單設備來說可能不現(xiàn) 實。另夕卜�,復雜的因特網防火墻或安全協(xié)議會引入通信延遲和延遲中的變 化(抖動),這些對于控制環(huán)境中的高速控制信號是不可接受的���。
發(fā)明內容
本發(fā)明提供一種適于用在工業(yè)控制環(huán)境中的高速網絡安全模塊�����,其中 在高速硬件組件和更慢但更復雜的軟件組件之間劃分安全任務���。軟件組件 可與》更件組件進行通信�����,以在由該軟件組件從分組中提取的狀態(tài)數(shù)據上形 成"允許列表"或"拒絕列表"��。該允許列表和拒絕列表被硬件組件用來 迅速地評價分組�����,從而沒有進一步的延遲地允許已知的高速分組通過�����。其 它分組被傳給軟件組件以被評價并或被允許或被拒絕�。以這種方式,高速 流量可被由軟件組件更新的硬件組件迅速地通過��,同時可由軟件組件來進 行分組的復雜狀態(tài)分析。軟件組件可作為替代或補充而執(zhí)行安全協(xié)議并將 已認證的分組添加至授權列表���。具體地���,本發(fā)明提供一種增加工業(yè)控制系統(tǒng)的安全性的網絡分流器����。 網絡分流器提供了可連接至網絡的第 一端口 �,該網絡攜帶利用工業(yè)控制協(xié) 議的工業(yè)控制數(shù)據,并提供可連接至控制設備的第二端口���,該控制設備與 工業(yè)處理進行通信以對其進行控制�����。硬件安全組件接收數(shù)據分組并從該網 絡分組中提取分組數(shù)據,以與數(shù)據表中的允許列表進行比較。接著��,如果 分組數(shù)據在允許列表中����,則多更件安全組件將網絡分組傳遞到第二端口 ,否 則將該數(shù)據分組傳遞到軟件安全組件���。
軟件安全組件包括電子計算機��,該電子計算機執(zhí)行所存儲的程序����,以
安全組件進一步(l)識別應拒絕的分組并不將那些應拒絕的分組發(fā)送至 第二端口而拒絕這些分組�;(2)識別可允許的、需要高速處理的第一控制 數(shù)據分組����,以允許那些第一控制數(shù)據分組被傳遞到第二端口并將分組數(shù)據 載入允許列表,該允許列表識別硬件組件的未來相似的第 一控制數(shù)據分 組�����;和(3)識別可允許的��、不需要高速處理的第二數(shù)據分組�����,以允許在不 將分組數(shù)據載入允許列表的情況下使這些第二分組被傳遞到第二端口 ��。
因此本發(fā)明的實施例的一個目的是為工業(yè)控制應用提供極高速的防 火墻或安全代理服務器��,而該極高速的防火墻或安全代理服務器能以復雜 方式響應于指示例如作為高速控制分組的分組在控制協(xié)"R內的重要性的 來自分組的狀態(tài)數(shù)據��。
第 一控制分組是用來實時地控制工業(yè)處理的輸^/輸出數(shù)據�。
因此本發(fā)明的實施例的目的是為實時控制數(shù)據提供安全性。
分組數(shù)據可包括連接號�,該連接號將分組識別到在網絡上通信的預識 別的硬件組件之間的預配置的連接。
因此本發(fā)明的一個實施例的目的《il:供一種系統(tǒng)�����,該系統(tǒng)可與用于工 業(yè)控制的所連接的通信系統(tǒng)一起工作����,并使用連接標識來允許控制分組的 快速檢查��。
分組數(shù)據包括指示該分組的源的源地址�。
本發(fā)明的至少一個實施例的一個目的是允許由防火墻提供的傳統(tǒng)的 源分組過濾。
硬件安全組件被制作為現(xiàn)場可編程門陣列和應用特定集成電路中的 至少一個。
7本發(fā)明的一個實施例的目的是通過使用專用硬件電路提供極快速分 組過濾�。
第二端口是連接至接收控制設備的網絡的網絡端口 。
因此本發(fā)明的一個實施例的一個目的是提供一種系統(tǒng)����,該系統(tǒng)可與舊 設備和具有有限計算資源的設備一起工作。
第二端口是合并了網絡分流器的控制設備中的內部通信總線���,且其中 電子計算機還用于該控制設備的操作��。
因此本發(fā)明的 一個實施例的 一個目的是提供一種可與控制設備共享 已有的計算資源的設備��。
軟件安全組件通過在第一端口上通信的相應的設備來執(zhí)行安全協(xié)i義��, 以識別認證的連接�,因此本發(fā)明的一個實施例的一個目的是對硬件安全組 件提供一種加密密鑰��,其中該石更件安全組件可從以安全密鑰解密并與允許 列表比較的分組中提取該安全密鑰�����。
本發(fā)明的一些實施例的另 一 目的是最初以能夠進行復雜的狀態(tài)處理 的軟件組件來管理安全協(xié)議����,同時再將該安全協(xié)議的施行卸載至硬件電路 上���。
這些特定的目的和優(yōu)點可僅應用于落入權利要求范圍內的一些實施 例,因而并不限定本發(fā)明的范圍����。
圖1是示出工業(yè)控制系統(tǒng)的例子的元件的框圖,該工業(yè)控制系統(tǒng)使用 以太網絡連接���,并4吏用本發(fā)明既作為獨立式的i殳備����、也作為嵌入控制設備
的設備�;
圖2是可在源和目標設備之間通信的以太網分組的筒化呈現(xiàn);
圖3是示出互相合作的硬件和軟件安全元件的��、圖1中所示的本發(fā)明 的獨立式版本的才匡圖4是與圖3相似的�����、示出圖1的本發(fā)明的嵌入式版本的圖5是示出對于簡單防火墻實施而在硬件和軟件安全元件二者中執(zhí) 行的本發(fā)明的步驟的流程圖6是與圖5相似的�����、示出對于簡單安全代理服務器實施而在硬件和軟件安全元件二者中執(zhí)行的步驟的圖7是與圖3和4相似的��、示出了圖6的安全代理服務器的分組和硬 件表的圖��。
具體實施例方式
現(xiàn)在參照圖1,適于提供工業(yè)處理11的實時控制的工業(yè)控制系統(tǒng)10 可包括例如中央控制器12��,該中央控制器12執(zhí)行所存儲的程序���,以通過 一個或更多輸^/輸出(I/O)模塊14a和14b的機構來控制工業(yè)處理11����。
中央控制器12可通過現(xiàn)有技術中公知類型的網絡16來與I/O模塊 14a和14b通信�����。為了以下說明的目的�����,假設網絡16是以太網絡�,于是 它是本領域中目前常用的,其支持如可層疊在以太網協(xié)議上的 EtherNet/IP或Modbus/TCP等以太網兼容的工業(yè)控制協(xié)議�����。然而應當理 解本發(fā)明不限于該以太網絡��。
以太網絡還可與其它控制設備通信,例如Ai^接口(HMI)19��、到其它 網絡的橋20�、引向因特網24的因特網關22和對中央控制器12提供操作 員控制和程序的操作員終端26。
以太網絡16至因特網24的連接帶來了惡意流量的風險���,該惡意流量 可被連接至以太網絡16并經過短的以太網插樁(stub ) 28而與I/O模塊 14a通信的防火墻18阻擋���。作為替代,可將防火墻18'合并在I/O模塊14b 中���,以通過將要i兌明的內部總線結構而與其通信�����。
現(xiàn)在參照圖2��, 一般地����,以太網絡16準許在源設備32和目的地設備 34之間進行多個分組30的通信���。如在本領域中所 i^P的�����,分組30可包 括多個協(xié)i義元件�,該協(xié)議元件以邏輯方式提供對分組的源設備32進行識 別的源標識符36�����?�?蛇x地���,源服務字段40和源對象字段42對于通信中 更細微的尺度粒度(scale granularity),可識別源設備32內的軟件服務 44和一個或更多軟件對象46�。另外�,分組可包括識別目的地i殳備34的目 的地字段38?����?蛇x地���,目的地服務字段40'和目的地對象字段42��,可識別 目的地設備34內的軟件服務44和軟件對象46�����。
為了實現(xiàn)應用程序之間的端對端通信�����,通常在以太網上層疊更高水平 的協(xié)議�����。在標準TCP/IP套件中的實例是FTP����、 HTTP等。對于工業(yè)通信���, 設計了特定的協(xié)議以對于工業(yè)通信為最優(yōu)���,如EtherNet/IP、 Modbus/TCP 等��。這種工業(yè)控制協(xié)議可允許例如"連接的消息接發(fā)"��,其中例如通iW分組30預分配緩沖存儲器并預分配足以確保可靠和可預測通信的網絡帶 寬來將網絡和端設備資源預分配到特定"連接"��。各連接是憑借連接對話 而建立的�����,在該連接對話中���,在源設備32和目的地設備34之間交換消息, 以進行該分配�。當完成該連接時,為該連接指派也嵌入在分組30內的連 接標識符48���。
最后��,分組30還包括旨在發(fā)送例如I/O數(shù)據的各點的值的數(shù)據50���。
這些字段36、 38��、 40����、 40'、 42、 42'和48是"無狀態(tài)"數(shù)據����,意即 可以不參照由先前或以后的分組30所建立的狀態(tài)而從單個分組30進行解 釋。
現(xiàn)在參照圖3�����,本發(fā)明的防火墻18(或18')可提供多個端口 52a�、 52b 和52c。第一和第二端口 52a和52b連接至以太網絡16的^h質�。對于防 火墻18,端口 52c連接至僅引向相關聯(lián)的I/0模塊14a的以太網插樁28。 因此應理解此處僅作為例子說明I/O模塊14�����,而本發(fā)明不限于使用I/O模 塊��。
如在本領域中所知���,端口 52a�����、 52b和52c對以太網^h質^^供低級別 接口���,并管理定時�、電壓電平����、以及碰撞檢測和響應。端口52a直接與端 口52b通信���,從而以嵌入式開關的方式無修改地在其間傳遞數(shù)據。
端口 52a和52b 二者的數(shù)據可由硬件安全組件54來監(jiān)視���,該硬件安 全組件54具有將靜態(tài)信息保持在"允許列表"中的數(shù)據表56,該允許列 表使分組30的一個或更多字段36�����、 38���、 40、 42和48匹配�����。硬件安全組 件54對端口 52c提供物理連接58�,從而可將分組從石更件安全組件54直 接發(fā)送至端口52c�����?����?商娲?���,》更件安全組件54可經過連接60將分組傳 遞到軟件安全組件62���。
軟件安全組件包括與存儲器66進行通信的處理器64,該存儲器66 保持所存儲的防火墻程序68�����。處理器64可經過連接70與端口 52c通信��, 以將分組傳遞到端口 52c并最終傳遞到I/O才莫塊14a�。
現(xiàn)在參照圖4��,在替代的實施例中���,防火墻18可合并在I/O模塊14b 中���,并可共享用于控制I/0模塊14b和防火墻18的處理器64�����,�����。這里�����,處 理器64'可與既保持防火墻程序68又保持I/O模塊操作程序74的存儲器 72通信。在這種情況下�����,處理器64'與I/O接口電路76連接�,該I/O接 口電路76與工業(yè)處理11直接通信,以將數(shù)據發(fā)送至控制該處理的致動器 并從附著至該處理的傳感器接收數(shù)據�。在本實施例中,來自硬件安全的邏輯連接60和58都連接至處理器 64',邏輯連接60與首先作為執(zhí)行防火墻程序68的防火墻18的一部分的 處理器64�,通信,而邏輯連接58則與作為執(zhí)行I/O模塊操作程序74的I/O 才莫塊14b的控制器的處理器64'通信��。
現(xiàn)在在圖3和4的兩個實施例中參照圖5,硬件安全組件54和軟件 安全組件62先后工作���,以提供高速控制數(shù)據的高效的防火墻處理�����。如判 斷框80所示��,最初由石更件安全組件54接收分組30�����,該*更件安全組件54 從各分組30中提取無狀態(tài)數(shù)據�,并企圖使該無狀態(tài)數(shù)據與數(shù)據表56中允 許列表中的相應數(shù)據匹配�。更詳細地說,還可使用需#道分組在協(xié)議中 的其它分組中的上下文的"狀態(tài)數(shù)據"��。最初����,數(shù)據表56沒有數(shù)據且不做 任何匹配;然而����,如下面所述���,該允許列表將被更新,從而在某些情況下 將會有匹配�����。在匹配的情況下���,如處理框82所示��,硬件安全組件54允許 分組被傳遞到I/O模塊14 �����。
硬件安全組件54例如可以是現(xiàn)場可編程門陣列(FPGA)或應用特定 集成電路(ASIC),于是可按足以跟上高速控制數(shù)據的速度來進行該無狀態(tài) 處理����。因而判斷框80的執(zhí)行由專用電路而不是通用處理器來執(zhí)行。
如果在分組30的無狀態(tài)數(shù)據和表56的允許列表之間沒有匹配�����,則如 判斷框84所示����,分組被傳遞到軟件安全組件62��。在判斷框84處�,軟件 安全組件62判斷被硬件安全組件54拒絕的分組是否滿足在旨在阻擋惡意 軟件或其它偽造分組的防火墻程序68中的一組基于軟件的規(guī)則���。防火墻 程序68在其最簡單情況下�,提供將各分組與本領域中公知的"黑名單" 或"白名單"做比較的分組過濾器�����,該"黑名單"或"白名單"可比硬件 安全組件54所使用的數(shù)據表56中的可接受表更廣泛����,而被硬件使用的后 者更簡單。然而�,優(yōu)選地,防火墻程序68實施分組30的復雜狀態(tài)分析����, 其中,根據對正在執(zhí)行的特定協(xié)議的知識而考慮分組的數(shù)據以及先前分組 的數(shù)據�����。于是,軟件安全組件62可以不僅考慮字段36���、 38��、 40�����、 42和 48的無狀態(tài)數(shù)據���,還可考慮可由分組的序列建立的協(xié)議中的分組的意義。 在防火墻程序68在通用處理器64上執(zhí)行的范圍內����,可容易地修改特定的 規(guī)則。
如果在判斷框84處�����,分組沒有通過判斷框84的復雜的規(guī)則組�����,則如 處理框88所示拒絕該分組�����。
軟件安全組件62不僅可識別"安全"分組(在判斷框84處)�,還可識 別由工業(yè)控制協(xié)議所標識的需要高速處理的分組(根據判斷框86)。具體地��,在判斷框84判斷出分組可,皮接受的情況下���,防火墻程序68移至判斷 框86并判斷分組中正在處理的特定數(shù)據是否是被認為是需要快速發(fā)送的 高速數(shù)據的數(shù)據的一部分����。這會再次成為多個分組的復雜狀態(tài)分析�,其可 例如監(jiān)視與連接的開口 (opening)相關聯(lián)的分組,該連接的開口與這樣 的高速數(shù)據相關聯(lián)���。
如果分組被判斷框84認可����,但不是高速數(shù)據(根據判斷框86)���,則根 據處理框82直接i人可該分組��。
如果根據判斷框86分組是高速數(shù)據,則防火墻程序68進行至處理框 87并提取所認可的高速分組的無狀態(tài)數(shù)據,使得可形成不需狀態(tài)分析而 識別分組的"指紋"���。然后將該指紋數(shù)據作為接受列表的一部分而載入硬 件組件的表56,使得以后在判斷框80處���,不需軟件安全組件62的干預 而由硬件安全組件54直接傳遞相似的分組����。
在根據處理框87進行該更新的結束處,如處理框82所示���,可再次接 受分組�����。
防火墻程序68的規(guī)則可被靈活地實施和再編程����,但其執(zhí)行會比硬件 安全組件54的執(zhí)行'l"曼得多����,因而可能不適合于〗吏用實際可獲得的處理器 來處理高速I/0數(shù)據��。如前述�,由于在硬件安全組件54中實施的防火墻 程序68中的改變僅需要改變表56的數(shù)據�,因而可不改變該硬件安全組件 54而采用各種各樣的不同的防火墻程序68��。
現(xiàn)在參照圖6和7����,同樣的系統(tǒng)可用來創(chuàng)建安全代理服務器18",其 中將工業(yè)協(xié)議的安全版本用來防止不管是惡意還是非故意的未授權通信���。 優(yōu)選地,安全協(xié)議建立安全的通信會話或關聯(lián)(涉及根據本領域中公知的 方法對消息源和/或目的地的認證),接著在安全會話上確保消息的發(fā)送。 在安全協(xié)議下,必須檢查消息以進行適當?shù)氖跈啵瑥亩M行所請求的功能。
軟件安全組件62負責初始安全M建立功能�,這涉及認證JL^設備 或用戶��。軟件安全組件62可當該軟件安全組件62與發(fā)^^設備關聯(lián)時啟動 安全會話,或可在創(chuàng)建安全會話時與另一發(fā)起設^^作�����。安全協(xié)議提供在 源設備32和目的地設備34之間的���、"認證"分組所需的通信。該認證可 例如通常是在連接處理期間確認(由其它手段建立的)設備序列號或其它 設備特征���,以檢驗通信的各方���。
建立安全會話的結果是生成安全令牌�����、口令等安全汪明書����,以下將所 有這些稱作識別和/或認證安全分組的"密鑰"�。 一旦建立了安全會話,則通常憑借其解密需要密鑰的消息的全部或部分的某個形式的加密而在該 安全M上發(fā)出后續(xù)的消息。
因為加密和解密是資源密集的����,所以石更件組件54的輔助可極大地改 善通信性能�����。作為安全會話建立的一部分,軟件組件62憑借認證到來消 息和創(chuàng)建加密的外出安全消息所需的密鑰來裝載硬件安全組件54。接著 石更件組件54可處置所需的加密和解密。
在網絡分流器在安全協(xié)議下接收分組的情況下����,由硬件安全組件54 來接收分組�,該硬件安全組件54在一般地對應于判斷框80的判斷框80' 處分析它們,以判斷該分組是否代表預授權的安全分組。該預授權的安全 分組會包含通常憑借所有加密密鑰來表示它們是安全的數(shù)據,該加密密鑰 可由硬件安全組件54用于對其它分組數(shù)據的解密���。在這種情況下�����,硬件 安全組件54'的數(shù)據表56��,可包含連接標識(如前所述且用于識別安全分組) 和通過解密來認證安全分組的所述密鑰。其它進行識別的分組數(shù)據也可包 含在表56中���,該表56包括源和目的地信息�����。
如果給定的分組被認證為由(軟件安全組件62預載入的)數(shù)據表56' 中的數(shù)據所建立�����,則如前述��,硬件安全組件54'進行到在處理框82處接受 它。如果給定的分組未被認證��,則將分組傳遞到分組可被拒絕的軟件安全 組件62,或在處理框卯處可如上述那樣實施安全協(xié)i5C的執(zhí)行���。
在網絡分流器在安全協(xié)議下發(fā)起分組的情況下���,由硬件安全組件54 來接收分組(例如從應用程序),并且當建立安全協(xié)i義時硬件安全組件54 才艮據由軟件安全組件62先前形成的密鑰來對它們進行加密����。石更件安全組 件54存儲該密鑰并允許它識別與安全協(xié)議相關的連接的其它信息(例如會 話ID),從而它可獨立地處置包括必要的加密的更低級別的安全協(xié)議。然 后在網絡上發(fā)出該分組����。
已根據優(yōu)選實施例說明了本發(fā)明,且應認識到在權利要求的范圍內除 了已經明確描述的等同物���、替代和修改是可能的�。
權利要求
1.一種為工業(yè)控制系統(tǒng)提供安全性的網絡設備�,包括可連接至網絡的第一端口,所述網絡攜帶利用工業(yè)控制協(xié)議的工業(yè)控制數(shù)據�����;可連接至控制設備的第二端口�,所述控制設備與工業(yè)處理通信以對該工業(yè)處理進行控制;硬件安全組件�����,所述硬件安全組件接收網絡數(shù)據分組并從所述網絡分組中提取數(shù)據��,以與數(shù)據表中的允許和拒絕列表進行比較,如果所述分組數(shù)據在所述允許列表中且不在所述拒絕列表中����,則所述硬件安全組件將所述網絡分組傳遞到所述第二端口,否則將所述網絡分組傳遞到軟件安全組件��;所述軟件安全組件包括電子計算機��,所述電子計算機執(zhí)行所存儲的程序�,以接收網絡分組,并根據所述工業(yè)控制協(xié)議來從多個分組中提取狀態(tài)數(shù)據��,從而(1)識別可拒絕的分組�����,并不將所述可拒絕的分組發(fā)送至所述第二端口而拒絕所述可拒絕的分組��,并將分組數(shù)據載入所述拒絕列表���,所述拒絕列表對于所述硬件組件識別未來的相似的可拒絕的分組���;(2)識別需要高速處理的可允許的第一控制數(shù)據分組,以允許所述第一控制數(shù)據分組被傳遞到所述第二端口并將分組數(shù)據載入所述允許列表��,所述允許列表對于所述硬件組件識別未來的相似的第一控制分組��;以及(3)識別不需要高速處理的可允許的第二數(shù)據分組���,以允許在不將數(shù)據載入所述允許列表的情況下將所述第二分組傳遞到所述第二端口�。
2. 根據權利要求l所述的網絡設備���,其中所述第一控制分組是用來 實時地控制工業(yè)處理的輸>^/輸出數(shù)據��。
3. 根據權利要求l所述的網絡設備����,其中所述分組數(shù)據包括連接號��, 所述連接號將所述分組識別到在網絡上通信的預識別的硬件組件之間的 預配置的連接�����。
4. 根據權利要求3所述的網絡設備�,其中所述數(shù)據分組包括從以下 組中選擇的分組數(shù)據所述組包括表示所述分組的源的源地址、表示接收 到所述分組的邏輯端口的端口號�、以及分配給所述通信連接的連接標識 號。
5. 根據權利要求l所述的網絡設備��,其中所述硬件安全組件被制作 為現(xiàn)場可編程門陣列和應用特定集成電路中的至少 一種。
6. 根據權利要求l所述的網絡設備�,其中所述第二端口是通過網絡 介質連接到接收控制設備的輸入的網絡的網絡端口 。
7. 根據權利要求l所述的網絡設備�,其中所述第二端口是在合并了 網絡設備的控制設備中的內部通信總線,并且其中電子計算機還用于所述 控制設備的操作��。
8. 根據權利要求l所述的網絡設備�����,其中所述軟件安全組件以在所 述第一端口上進行通信的設備來執(zhí)行安全協(xié)議�,以識別已授權的連接,并 對所述硬件安全組件提供加密密鑰����,其中所述硬件安全組件從以所述加密 密鑰解密并與允許列表比較的分組中提取安全密鑰。
9. 根據權利要求1所述的網絡設備�,其中所述軟件安全組件進一步執(zhí) 行所存儲的程序以(1) 在所述第一端口上以對應的設備執(zhí)行安全協(xié)議,以認證所述第 一端口上的所述設備����;(2) 與所M應的設備共享安全碼;(3 )將所述安全碼載入所述數(shù)據表中����;安全碼認證所述數(shù)據分組����,JUL送編碼的數(shù)據分組以使用來自所述數(shù)據表 的所述安全碼通過遠程i殳備進^i人證����。
10.根據權利要求1所述的網絡設備���,其中所述軟件安全組件進一步 執(zhí)行所存儲的程序以(1) 執(zhí)行安全協(xié)議以建立與在所述第一端口上通信的設備的安全通 信����,所述安全協(xié)i義導致生成密鑰�����,所述密鑰可解碼所述網絡分組以i人證該 網絡分l且�;以及(2) 將所述密鑰添加到可由所述硬件組件訪問的所述數(shù)據表;其中所述硬件安全組件從所述第 一端口接收網絡數(shù)據分組�����,并且如果 可以以保持在所述數(shù)據表中的密鑰認證所述網絡分組��,則將所述網絡分組 傳遞到所述第二端口 ,否則將所述網絡分組傳遞到所述軟件安全組件��,以 及其中所述硬件安全組件進一步從所述第二端口接收數(shù)據分組�����,并編碼 該數(shù)據分組以在將該數(shù)據分組傳遞到所述第 一端口之前進行認證�����。
全文摘要
本發(fā)明提供一種用于以太網接收的工業(yè)控制設備的網絡安全模塊�。一種用于網絡連接的工業(yè)控制的高速安全設備以先后的硬件和軟件安全組件來提供混和處理。軟件安全組件建立識別需要高速處理的各分組的無狀態(tài)數(shù)據�,并將數(shù)據表載入硬件組件。然后硬件組件可允許與數(shù)據表的數(shù)據匹配的分組繞過軟件組件�����,同時將其它不匹配的分組傳遞到軟件組件以進行更復雜的狀態(tài)分析�����。
文檔編號H04L29/06GK101527716SQ20091000721
公開日2009年9月9日 申請日期2009年2月13日 優(yōu)先權日2008年2月14日
發(fā)明者布賴恩·A·巴特克, 西瓦拉姆·巴拉蘇布拉馬尼安 申請人:洛克威爾自動控制技術股份有限公司