專利名稱:工業(yè)自動化系統(tǒng)和對其進(jìn)行保護(hù)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種工業(yè)自動化系統(tǒng)和對其進(jìn)行保護(hù)的方法���。
背景技術(shù):
工業(yè)自動化系統(tǒng)包括多個(gè)用于控制機(jī)器��、傳感器等的計(jì)算機(jī)�����。工業(yè)自動化系統(tǒng)通常出于安全因素為自成一體的系統(tǒng),也就是說�����,其他部件(例如用于控制和更新已存在的系統(tǒng)部件的機(jī)器�����、設(shè)備��、計(jì)算機(jī)等)的加入因此通常與安全問題相關(guān)聯(lián)�。有時(shí),也在自動化系統(tǒng)中執(zhí)行不支持自動化系統(tǒng)的安全協(xié)議或認(rèn)證協(xié)議的設(shè)備�����。這種設(shè)備是潛在不安全的并且形成對于攻擊者可能的薄弱處。自動化系統(tǒng)的這種不安全的設(shè)備例如為具有用于應(yīng)連接到自動化系統(tǒng)處的其他的��、外部的設(shè)備的接口的部件��。所述部件例如能夠?yàn)榻粨Q機(jī)或網(wǎng)橋�����。所述設(shè)備的接口通?��;谝蕴W(wǎng)協(xié)議�����。具有用于外部設(shè)備的接口的設(shè)備能夠選擇性地以無線的或有線連接的方式與自動化系統(tǒng)的其他部件連接����。不安全的設(shè)備的另一個(gè)實(shí)例為不具備支持安全協(xié)議的能力的部件��。如果將其他的�����、外部的設(shè)備�,例如將計(jì)算機(jī)經(jīng)由接口連接到所述設(shè)備上�,那么已能對自動化系統(tǒng)的全部部件進(jìn)行訪問��,因?yàn)闆]有設(shè)置其他的安全機(jī)構(gòu)�����。因此�����,攻擊者能夠偵查出例如配置數(shù)據(jù)等�。禁止對自動化系統(tǒng)的部件的不受控的訪問的一個(gè)方案是��,為不安全的設(shè)備提供專用的端口�。此外,能夠在不安全 的設(shè)備和自動化系統(tǒng)的部件之間設(shè)置網(wǎng)關(guān)���,其中那么網(wǎng)關(guān)提供用于不安全的設(shè)備的端口�����。然而��,這兩個(gè)解決方案都導(dǎo)致下述問題��,必須提供連接到不安全的設(shè)備上的開放的�、不安全的端口。從US7�,314,169B1中已知為了提高自動化系統(tǒng)的安全性���,通過中央單元能夠?yàn)檫B接到自動化系統(tǒng)上的設(shè)備創(chuàng)建訪問標(biāo)簽或其他合適的數(shù)據(jù)結(jié)構(gòu)�����,其中訪問標(biāo)簽至少部分地基于請求單元的識別特征�。在此��,在每個(gè)請求單元的訪問標(biāo)簽中分配訪問權(quán)限�����。這種方法的缺點(diǎn)在于需要高的管理費(fèi)用���。
發(fā)明內(nèi)容
本發(fā)明的目的是���,提出一種工業(yè)自動化系統(tǒng)和對其進(jìn)行保護(hù)的方法,其中能夠以低的管理費(fèi)用提供高的安全性����。所述目的通過一種工業(yè)自動化系統(tǒng)和一種對所述工業(yè)自動化系統(tǒng)進(jìn)行保護(hù)的方法來實(shí)現(xiàn)�,其中所述工業(yè)的自動化系統(tǒng)包括:_數(shù)字指紋�,所述數(shù)字指紋分配給請求訪問所述自動化系統(tǒng)的單元,并且所述數(shù)字指紋以所述單元與所述自動化系統(tǒng)的指紋測定部件的通信的一個(gè)或多個(gè)參數(shù)為基礎(chǔ)��;-所述指紋測定部件��,所述部件在所述自動化系統(tǒng)工作時(shí)允許請求單元訪問所述自動化系統(tǒng)并且將所述請求單元的已測定的指紋與已存儲的指紋進(jìn)行比較���;在用于對工業(yè)自動化系統(tǒng)進(jìn)行保護(hù)的方法中��,其中-將指紋分配給請求訪問所述自動化系統(tǒng)的單元���,-以所述單元與所述自動化系統(tǒng)的指紋測定部件通信的一個(gè)或多個(gè)參數(shù)為基礎(chǔ)來測定所述指紋��;-所述指紋測定部件將已測定的指紋與已存儲的指紋進(jìn)行比較并且僅在比較結(jié)果為肯定的情況下允許對所述自動化系統(tǒng)進(jìn)行訪問��。有利的設(shè)計(jì)方案包含在下文中��。本發(fā)明實(shí)現(xiàn)一種包括數(shù)字指紋的工業(yè)自動化系統(tǒng)�����,所述數(shù)字指紋被分配給請求訪問自動化系統(tǒng)的單元并且以所述單元與自動化系統(tǒng)的測定指紋的部件通信的一個(gè)或多個(gè)參數(shù)為基礎(chǔ)。自動化系統(tǒng)還包括測定指紋的部件����,所述部件在自動化系統(tǒng)工作時(shí)允許請求單元訪問自動化系統(tǒng)并且將請求單元的已測定的指紋與已存儲的指紋進(jìn)行比較。在根據(jù)本發(fā)明的用于保護(hù)工業(yè)自動化系統(tǒng)的方法中�,請求訪問自動化系統(tǒng)的單元分配有指紋。以所述單元與自動化系統(tǒng)的測定指紋的部件的通信的一個(gè)或多個(gè)參數(shù)為基礎(chǔ)來測定指紋��。測定所述指紋的部件將所述指紋與已存儲的指紋進(jìn)行比較并且僅在比較結(jié)果為肯定的情況下允許對自動化系統(tǒng)訪問���。測定指紋的部件是連接到工業(yè)自動化系統(tǒng)上的����、請求單元的網(wǎng)關(guān)����。通過測定指紋的部件測定請求單元的指紋,能夠以簡單的方式提供對于自動化系統(tǒng)的自動的訪問保護(hù)�。自動化系統(tǒng)抵御不同類型的攻擊,例如主動攻擊��、自動化系統(tǒng)之內(nèi)的攻擊���、電子欺騙�、臨近攻擊或攔截攻擊(Hijack-Angriffe)。在沒有根據(jù)數(shù)字指紋對請求單元事先進(jìn)行驗(yàn)證和檢查的情況下�����,即使是連接有請求單元的開放端口也不能夠用于訪問自動化系統(tǒng)的其他部件���。尤其地���,通過本發(fā)明這種請求單元也可連接到自動化系統(tǒng)上,否則所述請求單元不具有對已授權(quán)的協(xié)議的支持����。在根據(jù)本發(fā)明的自動化系統(tǒng)的第一適當(dāng)?shù)脑O(shè)計(jì)方案中,測定指紋的部件是自動化系統(tǒng)的終端節(jié)點(diǎn)���,請求單元尤其能夠根據(jù)以太網(wǎng)協(xié)議連接到所述終端節(jié)點(diǎn)上用于經(jīng)由上述接口進(jìn)行數(shù)據(jù)交換��。測定指紋的部件例如能夠是網(wǎng)橋或交換機(jī)�,所述交換機(jī)具有至少一個(gè)用于連接請求單元的接口���。在自動化系統(tǒng)的環(huán)境中,在此通常使用按照以太網(wǎng)的連接�����,這是因?yàn)橐蕴W(wǎng)是非常廣為傳播的標(biāo)準(zhǔn)。因此���,不僅能夠連接自動化系統(tǒng)的專用的設(shè)備或機(jī)器����,而且能夠連接計(jì)算機(jī)��,所述計(jì)算機(jī)例如要用于自動化系統(tǒng)的其他部件的配置任務(wù)或控制任務(wù)�����。根據(jù)自動化 系統(tǒng)的另一個(gè)設(shè)計(jì)方案�����,測定指紋的部件為了與自動化系統(tǒng)的其他部件進(jìn)行數(shù)據(jù)交換而相對于自動化系統(tǒng)至少一次地對自身進(jìn)行認(rèn)證���。測定該指紋的部件因此是自動化系統(tǒng)的安全的部件�,所述安全的部件具有全部的與安全相關(guān)的協(xié)議和機(jī)構(gòu)����。如所闡明的��,所述部件自身承擔(dān)測定請求單元的指紋和將其與已存儲的指紋進(jìn)行比較的任務(wù)���,以便能夠?qū)崿F(xiàn)僅已授權(quán)的單元對自動化系統(tǒng)進(jìn)行訪問。在另一個(gè)適當(dāng)?shù)脑O(shè)計(jì)方案中���,測定指紋的部件以無線的或有線連接的方式與自動化系統(tǒng)的其他部件連接以用于數(shù)據(jù)交換����。尤其地��,在以無線的方式與自動化系統(tǒng)通信地連接的部件中出現(xiàn)所述部件被誤用于攻擊目的的危險(xiǎn)��。因此����,在這種部件中,提出的訪問保護(hù)是防止誤用的尤其有效的措施�。根據(jù)另一個(gè)適當(dāng)?shù)脑O(shè)計(jì)方案,請求單元之一的初始測定的指紋存儲在自動化系統(tǒng)的部件中或能夠被所述部件訪問的存儲器中���。在檢查時(shí)執(zhí)行的比較因此在已測定的指紋和儲存在存儲器中的指紋之間進(jìn)行�����。尤其地���,將已存儲的指紋分配給請求單元的單義的標(biāo)識符,尤其是MAC地址(媒體訪問控制地址)���。已存儲的指紋在此能夠選擇性地包括或不包括MAC地址�。在第一種情況下�����,指紋單義地分配給特定的請求單元����。如果MAC地址不是指紋的組成部分,那么指紋對特定的機(jī)器類型或設(shè)備種類是有效的���。在另一個(gè)適當(dāng)?shù)脑O(shè)計(jì)方案中��,指紋由單元的全部通信參數(shù)中能夠設(shè)置的部分參數(shù)來形成�。在指紋中處理的參數(shù)越多�,就能夠越單義地和越安全地驗(yàn)證特定的請求單元。然而,能夠?yàn)檫m當(dāng)?shù)氖?�,從全部參?shù)中對參數(shù)的選擇由自動化系統(tǒng)的管理員來決定�����,以便考慮到自動化系統(tǒng)的特定的特性�。此外,在部分?jǐn)?shù)量能夠設(shè)置的情況下可例如根據(jù)設(shè)備類型���、制造者等使請求單元群集����。在根據(jù)本發(fā)明的方法的一個(gè)設(shè)計(jì)方案中�����,測定指紋的單元至少在第一次對請求部件建立通信連接之后在與請求部件通信時(shí)交換預(yù)設(shè)的或任意的數(shù)據(jù)�,以及以所述通信為基礎(chǔ)測定指紋和將所述指紋存儲在自動化系統(tǒng)的部件中或能夠存儲在自動化系統(tǒng)的被所述部件訪問的存儲器中。在另一個(gè)設(shè)計(jì)方案中�,在建立請求部件至測定指紋的單元的通信連接之后,所述部件的指紋被測定和檢查�����,所述指紋是否被存儲,其中在否定的情況下(也就是說�����,沒有在存儲器中找到所述指紋)檢查��,是否能夠在人機(jī)接口上確定對所測定的指紋的肯定確認(rèn)���,和僅在存在肯定確認(rèn)的情況下進(jìn)行對指紋的存儲以及允許訪問自動化系統(tǒng)。最初測定指紋是必需的�,以便能夠?qū)⑺鲋讣y作為基準(zhǔn)而預(yù)先存在自動化系統(tǒng)的存儲器中或測定指紋的部件中。在此為了確保在最初的測定和存儲中不能夠產(chǎn)生誤用���,附加地����,需要經(jīng)由人機(jī)接口的確認(rèn)�����。這種確認(rèn)例如能夠通過自動化系統(tǒng)的管理員來進(jìn)行���,管理員通過其輸入來確認(rèn)��,連接到自動化系統(tǒng)或單元上的部件隨后能夠被授權(quán)地訪問自動化系統(tǒng)���。人機(jī)接口此外能夠聽命于單獨(dú)的安全機(jī)構(gòu)�����,例如輸入必需的密碼�����,由此管理者能夠自己相對于自動化系統(tǒng)進(jìn)行認(rèn)證�。在另一個(gè)設(shè)計(jì)方案中 ��,通過所述單元以預(yù)設(shè)的時(shí)間間隔和/或在存在特定的事件時(shí)測定連接到所述單元上的部件的指紋和將其與為所述部件存儲的指紋進(jìn)行比較�����。因此���,所述指紋不僅用于在所述部件與自動化系統(tǒng)最初連接時(shí)用于檢查�。替選地��,通過對指紋的重復(fù)測定和與已存儲的指紋的比較也能夠在正在進(jìn)行的工作中確保����,所述部件關(guān)于對自動化系統(tǒng)的訪問是被授權(quán)的并且沒有被替換��。適當(dāng)?shù)?��,此外為了測定指紋而測定全部通信參數(shù),其中由所述單元的通信的全部參數(shù)中的能夠設(shè)置的部分參數(shù)來形成指紋�。要理解的是���,指紋也能夠由請求部件的包括MAC地址在內(nèi)的全部參數(shù)形成�。全部參數(shù)適當(dāng)?shù)匕ㄒ韵聝?nèi)容:-由所述部件使用的��、用于與所述單元進(jìn)行通信的協(xié)議�����;-所述單元的由所述部件使用的�、用于通信的端口;-由所述部件在通信時(shí)詢問的地址��;-由所述部件產(chǎn)生的數(shù)據(jù)幀的長度��;-兩個(gè)數(shù)據(jù)幀的相繼發(fā)送之間的持續(xù)時(shí)間���;-所請求部件的MAC地址���。要理解的是��,原則上�����,能夠使用通信的用來表征通信的全部參數(shù)或特性來確定請求部件的指紋��。從上述描述中對本領(lǐng)域技術(shù)人員同樣明顯的是��,不必使用所有舉出的參數(shù)來測定指紋����,而是選擇較小的部分也是足夠的�。此外適當(dāng)?shù)氖牵瑴y定指紋的部件為了與自動化系統(tǒng)的其他部件進(jìn)行數(shù)據(jù)交換而相對于自動化系統(tǒng)至少一次地對自身進(jìn)行認(rèn)證���。
以下進(jìn)一步地根據(jù)實(shí)施例對本發(fā)明進(jìn)行描述�。其中:圖1示出請求單元所要連接的根據(jù)本發(fā)明的工業(yè)自動化系統(tǒng)中的通信流程的示意圖���;并且圖2示出根據(jù)本發(fā)明的工業(yè)自動化系統(tǒng)中的在自動化系統(tǒng)正常工作期間的通信流程的示意圖�。
具體實(shí)施例方式在以下描述的通信范圍中為了保護(hù)工業(yè)自動化系統(tǒng)基本上包括三個(gè)部件。請求單元用附圖標(biāo)記M標(biāo)示��。請求單元M例如能夠?yàn)槔缬糜趯ψ詣踊到y(tǒng)的部件進(jìn)行配置或更新的計(jì)算機(jī)�,或要連接到自動化系統(tǒng)上的機(jī)器或設(shè)備。用附圖標(biāo)記EK標(biāo)示出自動化系統(tǒng)的終端節(jié)點(diǎn)�����。所述終端節(jié)點(diǎn)例如能夠?yàn)榫W(wǎng)橋或路由器�,請求單元M能夠優(yōu)選地經(jīng)由終端部件EK的以太網(wǎng)連接而連接到所述路由器上。用NW標(biāo)示出自動化系統(tǒng)的其他部件�,其中NW能夠表示以合適的方式為數(shù)據(jù)交換而彼此連接的多個(gè)單獨(dú)的不同部件。終端節(jié)點(diǎn)EK和自動化系統(tǒng)的其他部件NW之間的通信能夠選擇性地以有線連接或無線的方式進(jìn)行��。在以下的描述中��,NW也被稱作自動化網(wǎng)絡(luò)自身�����。該表達(dá)方式可理解成與自動化網(wǎng)絡(luò)的部件是同義的����。 在第一步中����,相對于自動化網(wǎng)絡(luò)NW的其余部件進(jìn)行終端節(jié)點(diǎn)EK的認(rèn)證����。首先���,終端節(jié)點(diǎn)EK傳遞認(rèn)證詢問AUTH�,所述認(rèn)證詢問由自動化系統(tǒng)NW處理并且以認(rèn)證回復(fù)AUTH_ACC被答復(fù)����。在認(rèn)證時(shí),例如能夠交換自動化網(wǎng)絡(luò)NW的對于終端節(jié)點(diǎn)EK已知的機(jī)密����。認(rèn)證例如能夠在挑戰(zhàn)-應(yīng)答法(Challenge-Response-Verfahren)范疇中或者借助于其他合適的認(rèn)證法進(jìn)行。在發(fā)生的肯定的認(rèn)證之后�,終端節(jié)點(diǎn)EK能夠與自動化系統(tǒng)NW進(jìn)行通信。通信例如能夠在使用專用協(xié)議的情況下安全地進(jìn)行����。此外,現(xiàn)在的出發(fā)點(diǎn)在于���,設(shè)備(請求單元)M想要獲得對自動化網(wǎng)絡(luò)NW訪問�����。如同所闡明的����,所述連接經(jīng)由終端節(jié)點(diǎn)EK的以太網(wǎng)連接進(jìn)行。只要設(shè)備M連接在終端節(jié)點(diǎn)EK上����,就進(jìn)行設(shè)備M和終端節(jié)點(diǎn)EK之間的通信。在通信時(shí)在設(shè)備M和終端節(jié)點(diǎn)EK之間交換幀F(xiàn)RM����。在此,終端節(jié)點(diǎn)EK分析設(shè)備M的通信的類型����。例如�,終端節(jié)點(diǎn)EK確定,設(shè)備M以哪個(gè)協(xié)議進(jìn)行通信��。此外����,例如檢查��,設(shè)備M的哪些端口在與終端節(jié)點(diǎn)EK通信時(shí)被使用�。能夠檢查����,設(shè)備M的哪些地址在通信時(shí)被詢問。描述通信的另一個(gè)特征涉及由部件產(chǎn)生的數(shù)據(jù)幀F(xiàn)RM的長度以及兩個(gè)數(shù)據(jù)幀之間的相繼發(fā)送之間的時(shí)間間隔����。同樣也通過終端節(jié)點(diǎn)EK檢測設(shè)備M的MAC地址。此外���,能夠從通信中提取出通信的其他方面�����。終端節(jié)點(diǎn)EK從這些參數(shù)的全部或一部分形成指紋(B_FP)��,終端節(jié)點(diǎn)(EK)存儲所述指紋(S_FP)�����。此外����,能夠在終端節(jié)點(diǎn)EK之內(nèi)設(shè)有特有的存儲器。同樣也能夠使用自動化系統(tǒng)NW的存儲器�����,終端節(jié)點(diǎn)EK能夠以通信的方式訪問所述存儲器�����。為了確保僅存儲設(shè)備M的應(yīng)隨后真正授權(quán)地對自動化系統(tǒng)NW的網(wǎng)絡(luò)進(jìn)行訪問的指紋�,例如能夠通過自動化系統(tǒng)的管理員來確認(rèn)設(shè)備M的真實(shí)性。例如能夠通過管理員執(zhí)行在設(shè)備M和終端節(jié)點(diǎn)EK之間的待執(zhí)行的連接���,和能夠經(jīng)由通過終端節(jié)點(diǎn)EK讀出的人機(jī)接口進(jìn)行相應(yīng)的確認(rèn)����。此外����,適當(dāng)?shù)氖牵詣踊到y(tǒng)的管理員自身相對于自動化系統(tǒng)NW或終端節(jié)點(diǎn)EK進(jìn)行驗(yàn)證�����。只要存儲了設(shè)備M的指紋��,通過終端節(jié)點(diǎn)EK為所連接的設(shè)備M傳達(dá)信息C0M_ACC����,使得從現(xiàn)在開始允許與自動化系統(tǒng)NW的通信。隨后�����,設(shè)備M能夠與自動化系統(tǒng)NW交換數(shù)據(jù)幀F(xiàn)RM�。在存儲指紋時(shí),將所述指紋優(yōu)選地分配給MAC地址��,也就是說�����,分配給設(shè)備M的單義的標(biāo)識符��。指紋自身能夠就其自身而言又包括MAC地址����,使得指紋對于相應(yīng)的設(shè)備是單義的。MAC地址同樣也能夠不是指紋的組成部分���,使得指紋適用于機(jī)器的種類���、特定的設(shè)備類型等��。那么這導(dǎo)致了���,具有與在第一次測定和存儲指紋期間連接到終端節(jié)點(diǎn)上的機(jī)器相同的通信特征的、結(jié)構(gòu)相同的機(jī)器同樣也能夠獲得對自動化系統(tǒng)的訪問�。那么例如能夠有利的是,設(shè)備由于損壞而由結(jié)構(gòu)相同的設(shè)備替換�。原則上適當(dāng)?shù)氖牵紫却鎯δ軌蛴糜谛纬芍讣y的全部的已測定的參數(shù)����。然后,例如能夠通過自動化系統(tǒng)NW的管理員或預(yù)設(shè)的配置數(shù)據(jù)來確定參數(shù)中的哪一個(gè)用于測定指紋�。圖2示出為設(shè)備M存儲指紋之后的通信流程。首先終端節(jié)點(diǎn)EK又通過交換認(rèn)證詢問AUT而相對于自動化系統(tǒng)NW進(jìn)行認(rèn)證�����,和通過認(rèn)證回復(fù)AUTH_ACC進(jìn)行相應(yīng)的答復(fù)�。隨后,從現(xiàn)在開始在設(shè)備M和終端節(jié)點(diǎn)EK之間進(jìn)行已闡明的通信�����,其中又產(chǎn)生指紋(B_FP)�。在下一步的流程中,從現(xiàn)在開始能夠進(jìn)行設(shè)備M和自動化系統(tǒng)NW之間的通信��。在此���,重復(fù)地執(zhí)行跟隨的�����、由附圖標(biāo)記L標(biāo)示出的步驟��,L在此表示“循環(huán)”��,由此執(zhí)行所述步驟的有規(guī)律的重復(fù)���。在設(shè)備M和自動化系統(tǒng)NW之間執(zhí)行的通信經(jīng)由作用為網(wǎng)關(guān)的終端節(jié)點(diǎn)EK進(jìn)行。因此���,終端節(jié)點(diǎn)EK能夠分析設(shè)備M的通信特性和測定設(shè)備M的指紋(B_FP)����。隨后,將已測定的指紋與包含在用于所述設(shè)備的存儲器中的指紋進(jìn)行比較(C0MP_FP)�����。對此使用設(shè)備M的MAC地址�����,以便能夠測定從存儲器中分配的指紋����。如果比較結(jié)果是肯定的(參照附圖標(biāo)記A,“ALT”)��,那么能夠維持通信�。如果在比較中確定(參照附圖標(biāo)記E,“ELSE”)測定的指紋沒有包含在存儲器的數(shù)據(jù)庫中�����,那么由終端節(jié)點(diǎn)EK將信息STP傳送到設(shè)備M上�����,所述信息標(biāo)志著對自動化系統(tǒng)的訪問的中斷���。進(jìn)行在設(shè)備M和自動化系統(tǒng)NW之間的通信連接的中斷��。這用附圖標(biāo)記DCT標(biāo)示�����。對設(shè)備M的指紋的檢查和所述指紋與為MAC地址存儲的指紋的比較根據(jù)循環(huán)L優(yōu)選地周期性地進(jìn)行��。因此����,也能夠在正在進(jìn)行的工作中關(guān)于與自動化系統(tǒng)的通信來進(jìn)行對設(shè)備M的授權(quán)性的檢查����。在將信息STP從終端節(jié)點(diǎn)EK傳送到設(shè)備M上時(shí),例如也能夠?qū)崿F(xiàn)報(bào)警信號發(fā)送��,使得例如管理員注意到所接入 的設(shè)備M的指紋與已知設(shè)備的存儲的指紋不一致�。信號發(fā)送能夠以電子郵件、報(bào)警信息等形式實(shí)現(xiàn)����。
權(quán)利要求
1.工業(yè)的自動化系統(tǒng),包括: -數(shù)字指紋�,所述數(shù)字指紋分配給請求訪問所述自動化系統(tǒng)(NW)的單元(M)�,并且所述數(shù)字指紋以所述單元(M)與所述自動化系統(tǒng)(NW)的指紋測定部件(EK)的通信的一個(gè)或多個(gè)參數(shù)為基礎(chǔ)����; -所述指紋測定部件(EK),所述部件在所述自動化系統(tǒng)(NW)工作時(shí)允許請求單元(M)訪問所述自動化系統(tǒng)(NW)并且將所述請求單元(M)的已測定的指紋與已存儲的指紋進(jìn)行比較�。
2.根據(jù)權(quán)利要求1所述的自動化系統(tǒng),其中所述指紋測定部件(EK)是所述自動化系統(tǒng)(NW)的終端節(jié)點(diǎn)����,所述請求單元(M)能夠經(jīng)由預(yù)設(shè)的接口、尤其根據(jù)以太網(wǎng)協(xié)議連接到所述終端節(jié)點(diǎn)上以用于交換數(shù)據(jù)���。
3.根據(jù)權(quán)利要求1或2所述的自動化系統(tǒng)���,其中所述指紋測定部件(EK)為了與所述自動化系統(tǒng)(NW)的其他部件進(jìn)行數(shù)據(jù)交換而相對于所述自動化系統(tǒng)(NW)至少一次地對自身進(jìn)行認(rèn)證。
4.根據(jù)上述權(quán)利要求之一所述的自動化系統(tǒng)���,其中所述指紋測定部件(EK)為了數(shù)據(jù)交換以無線或有線連接的方式與所述自動化系統(tǒng)(NW)的其他部件連接�����。
5.根據(jù)上述權(quán)利要求之一所述的自動化系統(tǒng)���,其中將所述請求單元(M)中的一個(gè)的最初測定的指紋存儲在所述自動化系統(tǒng)(NW)的所述部件(EK)中或所述自動化系統(tǒng)(NW)的能夠被所述部件(EK)訪問的存儲器中���。
6.根據(jù)權(quán)利要求5所述的自動化系統(tǒng),其中所述已存儲的指紋被分配給所述請求單元(M)的單義的標(biāo)識符����,所述標(biāo)識符 尤其是MAC地址。
7.根據(jù)上述權(quán)利要求之一所述的自動化系統(tǒng)�,其中所述指紋由所述單元(M)的全部通信參數(shù)中的能夠配置的部分參數(shù)形成。
8.用于對工業(yè)自動化系統(tǒng)進(jìn)行保護(hù)的方法�����,其中 -將指紋分配給請求訪問所述自動化系統(tǒng)(NW)的單元(M), -以所述單元(M)與所述自動化系統(tǒng)(NW)的指紋測定部件(EK)通信的一個(gè)或多個(gè)參數(shù)為基礎(chǔ)來測定所述指紋�����; -所述指紋測定部件(EK)將已測定的指紋與已存儲的指紋進(jìn)行比較并且僅在比較結(jié)果為肯定的情況下允許對所述自動化系統(tǒng)(NW)進(jìn)行訪問����。
9.根據(jù)權(quán)利要求8所述的方法�����,其中指紋測定單元(EK)至少在與所述請求部件(M)第一次建立通信連接之后在通信中與所述請求部件交換預(yù)設(shè)的或任意的數(shù)據(jù),并且基于所述通信來測定所述指紋�����,并且將所述指紋存儲在所述自動化系統(tǒng)(NW)的所述部件(EK)中或所述自動化系統(tǒng)(NW)的能夠被所述部件(EK)訪問的存儲器中��。
10.根據(jù)權(quán)利要求9或10所述的方法�,其中在建立所述請求部件(M)至所述指紋測定單元(EK)的通信連接之后測定所述部件(M)的所述指紋,并且檢查所述指紋是否已被存儲���,其中在否定情況下檢查�,是否能夠在人機(jī)接口上查出對所測定的指紋的肯定確認(rèn)����,并且僅在存在肯定確認(rèn)的情況下,對所述指紋進(jìn)行存儲以及允許對所述自動化系統(tǒng)(NW)進(jìn)行訪問��。
11.根據(jù)權(quán)利要求8至10之一所述的方法����,其中通過所述單元(EK)以預(yù)設(shè)的時(shí)間間隔和/或在存在特定的事件時(shí)對連接到所述單元(EK)上的所述部件(M)的所述指紋進(jìn)行測定和與為所述部件(M)存儲的指紋進(jìn)行比較。
12.根據(jù)權(quán)利要求8至11之一所述的方法��,其中測定全部參數(shù)以便測定所述指紋����,其中所述指紋由所述單元(M)的全部所述通信參數(shù)中的能夠配置的部分參數(shù)形成�����。
13.根據(jù)權(quán)利要求12所述的方法���,其中所述全部參數(shù)包括以下內(nèi)容: -由所述部件(M)使用的、用于與所述單元(EK)通信的協(xié)議�����; -所述單元(EK)的由所述部件(M)使用的���、用于所述通信的端口 ; -由所述部件(M)在所述通信時(shí)詢問的地址���; -由所述部件(M)產(chǎn)生的數(shù)據(jù)幀的長度�����; -兩個(gè)數(shù)據(jù)幀的相繼發(fā)送之間的時(shí)間間隔��; -所述部件(M)的MAC地址��。
14.根據(jù)權(quán)利要求8至13之一所述的方法����,其中所述指紋測定部件(EK)為了與所述自動化系統(tǒng)(NW)的其他部件進(jìn)行數(shù)據(jù)交換而相對于所述自動化系統(tǒng)(NW)至少一次地對自身進(jìn)行認(rèn)證。
全文摘要
本發(fā)明描述一種工業(yè)自動化系統(tǒng)���。根據(jù)本發(fā)明的工業(yè)自動化系統(tǒng)包括數(shù)字指紋�,所述數(shù)字指紋被分配給請求訪問自動化系統(tǒng)(NW)的單元(M)并且以單元(M)與自動化系統(tǒng)(NW)的測定指紋的部件(EK)的通信的一個(gè)或多個(gè)參數(shù)為基礎(chǔ)����。此外,工業(yè)自動化系統(tǒng)具有測定指紋的部件(EK)��,所述部件在自動化系統(tǒng)(NM)工作時(shí)允許請求單元(M)訪問自動化系統(tǒng)(NW)并且將請求單元(M)的已測定的指紋與已存儲的指紋進(jìn)行比較���。
文檔編號H04L29/06GK103220265SQ20131002547
公開日2013年7月24日 申請日期2013年1月21日 優(yōu)先權(quán)日2012年1月19日
發(fā)明者葉海亞·阿克爾, 約爾格·米勒 申請人:西門子公司