CN101527716B - 用于以太网接收的工业控制设备的网络安全模块 - Google Patents
用于以太网接收的工业控制设备的网络安全模块 Download PDFInfo
- Publication number
- CN101527716B CN101527716B CN200910007216XA CN200910007216A CN101527716B CN 101527716 B CN101527716 B CN 101527716B CN 200910007216X A CN200910007216X A CN 200910007216XA CN 200910007216 A CN200910007216 A CN 200910007216A CN 101527716 B CN101527716 B CN 101527716B
- Authority
- CN
- China
- Prior art keywords
- data
- network
- port
- grouping
- security assembly
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种用于以太网接收的工业控制设备的网络安全模块。一种用于网络连接的工业控制的高速安全设备以先后的硬件和软件安全组件来提供混和处理。软件安全组件建立识别需要高速处理的各分组的无状态数据,并将数据表载入硬件组件。然后硬件组件可允许与数据表的数据匹配的分组绕过软件组件,同时将其它不匹配的分组传递到软件组件以进行更复杂的状态分析。
Description
技术领域
本发明总地来说涉及用于控制机器和工业处理的工业控制器,并特别地涉及对于使用普通以太网络相互连接的工业控制设备允许更高的安全性的安全模块。
背景技术
工业控制器用来控制和监视工业处理和机器设备。典型的工业控制器包括专用计算机,该专用计算机执行存储的控制程序,从而基于该控制程序的逻辑来从受控的处理读取输入以及将输出提供给该受控的处理。
工业控制器在三个方面与传统计算机不同。首先,工业控制器可被高度地定制以适应受控制的特定工业处理的需求。通常,该定制通过如下模块构造成为可能,该模块构造针对特定的应用提供可被添加到工业控制器的不同的组件来扩展该工业控制器。更通常地,这些另外的组件是对致动器提供模拟或数字信号的I/O(输入/输出)模块,或是从传感器接收模拟或数字信号的I/O(输入/输出)模块。其它普通组件包括显示器和电机驱动。
工业控制器和传统计算机的第二点区别在于:工业控制器的组件可分隔相当大的距离,例如分布在遍布工厂的网络通信上。一些专属的高速控制网络被用于该用途,这些网络包括例如ControlNet和DeviceNet、由多行业联盟ODVA(www.odva.org)管理的开放标准。
第三,与传统计算机不同,工业控制器必须提供高度可预测和可信赖的、可安全地控制物理装备的控制输出。在这点上,既迫切需要迅速地分发输出和输入,也迫切需要确保该输出和输入实际上进行通信。不允许数据通信的损坏或伪造的消息。
最近,在使用以太网协议的控制网络方面产生了浓厚兴趣。这种网络使用容易获得且低成本的以太网硬件,并添加另外的协议以满足控制网络的其它需求。这种控制网络协议包括以太网/IP(以太网工业协议)、同样由 ODVA管理的开放标准、以及Modbus/TCP等。
对以太网兼容网络的使用允许控制系统使用还连接至其它非控制计算机甚至连接至因特网的网络。这种连接增加了因恶意流量产生的熟悉的因特网安全问题的风险。这种恶意流量在工业控制环境中会比在装备不受控制的标准计算环境中造成更大破坏。因而,必须防止这种恶意流量。
限制恶意网络流量的影响的标准方法是使用防火墙和/或安全协议。简单的防火墙检查在以太网上移动的分组,以基于从单个分组采集的无状态数据、例如表示分组的来源或表示分组所导向的端口的数据,来拒绝某些分组。然而,更复杂的防火墙则从多个分组中提取状态数据,以更好地(例如在通信协议的上下文中)辨别分组,并拒绝被认定为有害的分组。这些更高级的防火墙利用执行软件的电子计算机来逻辑地处理从多个分组形成的状态信息,并评定是否应转发该分组还是将该分组阻挡在防火墙处。
作为防火墙的替代或补充,安全协议可通过在网络上通信的设备来执行,其中设备交换信息以建立例如发送设备的真实性。安全协议的一例是用来实施安全HTTP(https)。
理想地,在工业控制环境中,各控制设备会具有对来自所连接的以太网络的有害流量进行阻挡的防火墙和/或安全协议。然而,这对于不支持实施这些功能所需的成本或处理电力的旧设备或简单设备来说可能不现实。另外,复杂的因特网防火墙或安全协议会引入通信延迟和延迟中的变化(抖动),这些对于控制环境中的高速控制信号是不可接受的。
发明内容
本发明提供一种适于用在工业控制环境中的高速网络安全模块,其中在高速硬件组件和更慢但更复杂的软件组件之间划分安全任务。软件组件可与硬件组件进行通信,以在由该软件组件从分组中提取的状态数据上形成“允许列表”或“拒绝列表”。该允许列表和拒绝列表被硬件组件用来迅速地评价分组,从而没有进一步的延迟地允许已知的高速分组通过。其它分组被传给软件组件以被评价并或被允许或被拒绝。以这种方式,高速流量可被由软件组件更新的硬件组件迅速地通过,同时可由软件组件来进行分组的复杂状态分析。软件组件可作为替代或补充而执行安全协议并将已认证的分组添加至授权列表。
具体地,本发明提供一种增加工业控制系统的安全性的网络分流器。网络分流器提供了可连接至网络的第一端口,该网络携带利用工业控制协议的工业控制数据,并提供可连接至控制设备的第二端口,该控制设备与工业处理进行通信以对其进行控制。硬件安全组件接收网络数据分组并从该网络数据分组中提取分组数据,以与数据表中的允许列表进行比较。接着,如果分组数据在允许列表中,则硬件安全组件将网络数据分组传递到第二端口,否则将该网络数据分组传递到软件安全组件。
软件安全组件包括电子计算机,该电子计算机执行所存储的程序,以接收网络数据分组并根据工业控制协议来从多个分组中提取状态数据。该软件安全组件进一步:(1)识别应拒绝的分组并不将那些应拒绝的分组发送至第二端口而拒绝这些分组;(2)识别可允许的、需要高速处理的第一控制数据分组,以允许那些第一控制数据分组被传递到第二端口并将分组数据载入允许列表,该允许列表针对硬件安全组件识别未来相似的第一控制数据分组;和(3)识别可允许的、不需要高速处理的第二数据分组,以允许在不将分组数据载入允许列表的情况下使这些第二数据分组被传递到第二端口。
因此本发明的实施例的一个目的是为工业控制应用提供极高速的防火墙或安全代理服务器,而该极高速的防火墙或安全代理服务器能以复杂方式响应于指示例如作为高速控制分组的分组在控制协议内的重要性的来自分组的状态数据。
第一控制分组是用来实时地控制工业处理的输入/输出数据。
因此本发明的实施例的目的是为实时控制数据提供安全性。
分组数据可包括连接号,该连接号将分组识别到在网络上通信的预识别的硬件组件之间的预配置的连接。
因此本发明的一个实施例的目的是提供一种系统,该系统可与用于工业控制的所连接的通信系统一起工作,并使用连接标识来允许控制分组的快速检查。
分组数据包括指示该分组的源的源地址。
本发明的至少一个实施例的一个目的是允许由防火墙提供的传统的源分组过滤。
硬件安全组件被制作为现场可编程门阵列和应用特定集成电路中的至少一个。
本发明的一个实施例的目的是通过使用专用硬件电路提供极快速分组过滤。
第二端口是连接至接收控制设备的网络的网络端口。
因此本发明的一个实施例的一个目的是提供一种系统,该系统可与旧设备和具有有限计算资源的设备一起工作。
第二端口是合并了网络分流器的控制设备中的内部通信总线,且其中电子计算机还用于该控制设备的操作。
因此本发明的一个实施例的一个目的是提供一种可与控制设备共享已有的计算资源的设备。
软件安全组件通过在第一端口上通信的相应的设备来执行安全协议,以识别认证的连接,因此本发明的一个实施例的一个目的是对硬件安全组件提供一种加密密钥,其中该硬件安全组件可从以安全密钥解密并与允许列表比较的分组中提取该安全密钥。
本发明的一些实施例的另一目的是最初以能够进行复杂的状态处理的软件组件来管理安全协议,同时再将该安全协议的施行卸载至硬件电路上。
这些特定的目的和优点可仅应用于落入权利要求范围内的一些实施例,因而并不限定本发明的范围。
附图说明
图1是示出工业控制系统的例子的元件的框图,该工业控制系统使用以太网络连接,并使用本发明既作为独立式的设备、也作为嵌入控制设备的设备;
图2是可在源和目标设备之间通信的以太网分组的简化呈现;
图3是示出互相合作的硬件和软件安全元件的、图1中所示的本发明的独立式版本的框图;
图4是与图3相似的、示出图1的本发明的嵌入式版本的图;
图5是示出对于简单防火墙实施而在硬件和软件安全元件二者中执行的本发明的步骤的流程图;
图6是与图5相似的、示出对于简单安全代理服务器实施而在硬件和 软件安全元件二者中执行的步骤的图;
图7是与图3和4相似的、示出了图6的安全代理服务器的分组和硬件表的图。
具体实施方式
现在参照图1,适于提供工业处理11的实时控制的工业控制系统10可包括例如中央控制器12,该中央控制器12执行所存储的程序,以通过一个或更多输入/输出(I/O)模块14a和14b的机构来控制工业处理11。
中央控制器12可通过现有技术中公知类型的网络16来与I/O模块14a和14b通信。为了以下说明的目的,假设网络16是以太网络,于是它是本领域中目前常用的,其支持如可层叠在以太网协议上的EtherNet/IP或Modbus/TCP等以太网兼容的工业控制协议。然而应当理解本发明不限于该以太网络。
以太网络还可与其它控制设备通信,例如人机接口(HMI)19、到其它网络的桥20、引向因特网24的因特网关22和对中央控制器12提供操作员控制和程序的操作员终端26。
以太网络16至因特网24的连接带来了恶意流量的风险,该恶意流量可被连接至以太网络16并经过短的以太网插桩(stub)28而与I/O模块14a通信的防火墙18阻挡。作为替代,可将防火墙18′合并在I/O模块14b中,以通过将要说明的内部总线结构而与其通信。
现在参照图2,一般地,以太网络16准许在源设备32和目的地设备34之间进行多个分组30的通信。如在本领域中所公知的,分组30可包括多个协议元件,该协议元件以逻辑方式提供对分组的源设备32进行识别的源标识符36。可选地,源服务字段40和源对象字段42对于通信中更细微的尺度粒度(scale granularity),可识别源设备32内的软件服务44和一个或更多软件对象46。另外,分组可包括识别目的地设备34的目的地字段38。可选地,目的地服务字段40′和目的地对象字段42′可识别目的地设备34内的软件服务44和软件对象46。
为了实现应用程序之间的端对端通信,通常在以太网上层叠更高水平的协议。在标准TCP/IP套件中的实例是FTP、HTTP等。对于工业通信,设计了特定的协议以对于工业通信为最优,如EtherNet/IP、Modbus/TCP等。这种工业控制协议可允许例如“连接的消息接发”,其中例如通过对 分组30预分配缓冲存储器并预分配足以确保可靠和可预测通信的网络带宽来将网络和端设备资源预分配到特定“连接”。各连接是凭借连接对话而建立的,在该连接对话中,在源设备32和目的地设备34之间交换消息,以进行该分配。当完成该连接时,为该连接指派也嵌入在分组30内的连接标识符48。
最后,分组30还包括旨在发送例如I/O数据的各点的值的数据50。
这些字段36、38、40、40′、42、42′和48是“无状态”数据,意即可以不参照由先前或以后的分组30所建立的状态而从单个分组30进行解释。
现在参照图3,本发明的防火墙18(或18′)可提供多个端口52a、52b和52c。第一和第二端口52a和52b连接至以太网络16的介质。对于防火墙18,端口52c连接至仅引向相关联的I/O模块14a的以太网插桩28。因此应理解此处仅作为例子说明I/O模块14,而本发明不限于使用I/O模块。
如在本领域中所知,端口52a、52b和52c对以太网介质提供低级别接口,并管理定时、电压电平、以及碰撞检测和响应。端口52a直接与端口52b通信,从而以嵌入式开关的方式无修改地在其间传递数据。
端口52a和52b二者的数据可由硬件安全组件54来监视,该硬件安全组件54具有将静态信息保持在“允许列表”中的数据表56,该允许列表使分组30的一个或更多字段36、38、40、42和48匹配。硬件安全组件54对端口52c提供物理连接58,从而可将分组从硬件安全组件54直接发送至端口52c。可替代地,硬件安全组件54可经过连接60将分组传递到软件安全组件62。
软件安全组件包括与存储器66进行通信的处理器64,该存储器66保持所存储的防火墙程序68。处理器64可经过连接70与端口52c通信,以将分组传递到端口52c并最终传递到I/O模块14a。
现在参照图4,在替代的实施例中,防火墙18可合并在I/O模块14b中,并可共享用于控制I/O模块14b和防火墙18的处理器64′。这里,处理器64′可与既保持防火墙程序68又保持I/O模块操作程序74的存储器72通信。在这种情况下,处理器64′与I/O接口电路76连接,该I/O接口电路76与工业处理11直接通信,以将数据发送至控制该处理的致动器并从附着至该处理的传感器接收数据。
在本实施例中,来自硬件安全的逻辑连接60和58都连接至处理器64′,逻辑连接60与首先作为执行防火墙程序68的防火墙18的一部分的处理器64′通信,而逻辑连接58则与作为执行I/O模块操作程序74的I/O模块14b的控制器的处理器64′通信。
现在在图3和4的两个实施例中参照图5,硬件安全组件54和软件安全组件62先后工作,以提供高速控制数据的高效的防火墙处理。如判断框80所示,最初由硬件安全组件54接收分组30,该硬件安全组件54从各分组30中提取无状态数据,并企图使该无状态数据与数据表56中允许列表中的相应数据匹配。更详细地说,还可使用需要知道分组在协议中的其它分组中的上下文的“状态数据”。最初,数据表56没有数据且不做任何匹配;然而,如下面所述,该允许列表将被更新,从而在某些情况下将会有匹配。在匹配的情况下,如处理框82所示,硬件安全组件54允许分组被传递到I/O模块14。
硬件安全组件54例如可以是现场可编程门阵列(FPGA)或应用特定集成电路(ASIC),于是可按足以跟上高速控制数据的速度来进行该无状态处理。因而判断框80的执行由专用电路而不是通用处理器来执行。
如果在分组30的无状态数据和表56的允许列表之间没有匹配,则如判断框84所示,分组被传递到软件安全组件62。在判断框84处,软件安全组件62判断被硬件安全组件54拒绝的分组是否满足在旨在阻挡恶意软件或其它伪造分组的防火墙程序68中的一组基于软件的规则。防火墙程序68在其最简单情况下,提供将各分组与本领域中公知的“黑名单”或“白名单”做比较的分组过滤器,该“黑名单”或“白名单”可比硬件安全组件54所使用的数据表56中的可接受表更广泛,而被硬件使用的后者更简单。然而,优选地,防火墙程序68实施分组30的复杂状态分析,其中,根据对正在执行的特定协议的知识而考虑分组的数据以及先前分组的数据。于是,软件安全组件62可以不仅考虑字段36、38、40、42和48的无状态数据,还可考虑可由分组的序列建立的协议中的分组的意义。在防火墙程序68在通用处理器64上执行的范围内,可容易地修改特定的规则。
如果在判断框84处,分组没有通过判断框84的复杂的规则组,则如处理框88所示拒绝该分组。
软件安全组件62不仅可识别“安全”分组(在判断框84处),还可识别由工业控制协议所标识的需要高速处理的分组(根据判断框86)。具体 地,在判断框84判断出分组可被接受的情况下,防火墙程序68移至判断框86并判断分组中正在处理的特定数据是否是被认为是需要快速发送的高速数据的数据的一部分。这会再次成为多个分组的复杂状态分析,其可例如监视与连接的开口(opening)相关联的分组,该连接的开口与这样的高速数据相关联。
如果分组被判断框84认可,但不是高速数据(根据判断框86),则根据处理框82直接认可该分组。
如果根据判断框86分组是高速数据,则防火墙程序68进行至处理框87并提取所认可的高速分组的无状态数据,使得可形成不需状态分析而识别分组的“指纹”。然后将该指纹数据作为接受列表的一部分而载入硬件组件的表56,使得以后在判断框80处,不需软件安全组件62的干预而由硬件安全组件54直接传递相似的分组。
在根据处理框87进行该更新的结束处,如处理框82所示,可再次接受分组。
防火墙程序68的规则可被灵活地实施和再编程,但其执行会比硬件安全组件54的执行慢得多,因而可能不适合于使用实际可获得的处理器来处理高速I/O数据。如前述,由于在硬件安全组件54中实施的防火墙程序68中的改变仅需要改变表56的数据,因而可不改变该硬件安全组件54而采用各种各样的不同的防火墙程序68。
现在参照图6和7,同样的系统可用来创建安全代理服务器18″,其中将工业协议的安全版本用来防止不管是恶意还是非故意的未授权通信。优选地,安全协议建立安全的通信会话或关联(涉及根据本领域中公知的方法对消息源和/或目的地的认证),接着在安全会话上确保消息的发送。在安全协议下,必须检查消息以进行适当的授权,从而进行所请求的功能。
软件安全组件62负责初始安全会话建立功能,这涉及认证发起设备或用户。软件安全组件62可当该软件安全组件62与发起设备关联时启动安全会话,或可在创建安全会话时与另一发起设备合作。安全协议提供在源设备32和目的地设备34之间的、“认证”分组所需的通信。该认证可例如通常是在连接处理期间确认(由其它手段建立的)设备序列号或其它设备特征,以检验通信的各方。
建立安全会话的结果是生成安全令牌、口令等安全证明书,以下将所有这些称作识别和/或认证安全分组的“密钥”。一旦建立了安全会话,则 通常凭借其解密需要密钥的消息的全部或部分的某个形式的加密而在该安全会话上发出后续的消息。
因为加密和解密是资源密集的,所以硬件组件54的辅助可极大地改善通信性能。作为安全会话建立的一部分,软件组件62凭借认证到来消息和创建加密的外出安全消息所需的密钥来装载硬件安全组件54。接着硬件组件54可处置所需的加密和解密。
在网络分流器在安全协议下接收分组的情况下,由硬件安全组件54来接收分组,该硬件安全组件54在一般地对应于判断框80的判断框80′处分析它们,以判断该分组是否代表预授权的安全分组。该预授权的安全分组会包含通常凭借所有加密密钥来表示它们是安全的数据,该加密密钥可由硬件安全组件54用于对其它分组数据的解密。在这种情况下,硬件安全组件54′的数据表56′可包含连接标识(如前所述且用于识别安全分组)和通过解密来认证安全分组的所述密钥。其它进行识别的分组数据也可包含在表56中,该表56包括源和目的地信息。
如果给定的分组被认证为由(软件安全组件62预载入的)数据表56′中的数据所建立,则如前述,硬件安全组件54′进行到在处理框82处接受它。如果给定的分组未被认证,则将分组传递到分组可被拒绝的软件安全组件62,或在处理框90处可如上述那样实施安全协议的执行。
在网络分流器在安全协议下发起分组的情况下,由硬件安全组件54来接收分组(例如从应用程序),并且当建立安全协议时硬件安全组件54根据由软件安全组件62先前形成的密钥来对它们进行加密。硬件安全组件54存储该密钥并允许它识别与安全协议相关的连接的其它信息(例如会话ID),从而它可独立地处置包括必要的加密的更低级别的安全协议。然后在网络上发出该分组。
已根据优选实施例说明了本发明,且应认识到在权利要求的范围内除了已经明确描述的等同物、替代和修改是可能的。
Claims (10)
1.一种为工业控制系统提供安全性的网络设备,包括:
可连接至网络的第一端口,所述网络携带利用工业控制协议的工业控制数据;
可连接至控制设备的第二端口,所述控制设备与工业处理通信以对该工业处理进行控制;
硬件安全组件,所述硬件安全组件接收网络数据分组并从所述网络数据分组中提取分组数据,以与数据表中的允许和拒绝列表进行比较,如果所述分组数据在所述允许列表中且不在所述拒绝列表中,则所述硬件安全组件将所述网络数据分组传递到所述第二端口,否则将所述网络数据分组传递到软件安全组件;
所述软件安全组件包括电子计算机,所述电子计算机执行所存储的程序,以接收网络数据分组,并根据所述工业控制协议来从多个分组中提取状态数据,从而:
(1)识别可拒绝的分组,并不将所述可拒绝的分组发送至所述第二端口而拒绝所述可拒绝的分组,并将分组数据载入所述拒绝列表,所述拒绝列表针对所述硬件安全组件识别未来的相似的可拒绝的分组;
(2)识别需要高速处理的可允许的第一控制数据分组,以允许所述第一控制数据分组被传递到所述第二端口并将分组数据载入所述允许列表,所述允许列表针对所述硬件安全组件识别未来的相似的第一控制分组;以及
(3)识别不需要高速处理的可允许的第二数据分组,以允许在不将数据载入所述允许列表的情况下将所述第二数据分组传递到所述第二端口。
2.根据权利要求1所述的网络设备,其中所述第一控制分组是用来实时地控制工业处理的输入/输出数据。
3.根据权利要求1所述的网络设备,其中所述分组数据包括连接号,所述连接号将所述分组识别到在网络上通信的预识别的硬件组件之间的预配置的连接。
4.根据权利要求3所述的网络设备,其中所述网络数据分组包括从以下组中选择的分组数据:所述组包括表示所述分组的源的源地址、表示接收到所述分组的逻辑端口的端口号、以及分配给所述预配置的连接的连接标识号。
5.根据权利要求1所述的网络设备,其中所述硬件安全组件被制作为现场可编程门阵列和应用特定集成电路中的至少一种。
6.根据权利要求1所述的网络设备,其中所述第二端口是通过网络介质连接到接收控制设备的输入的网络的网络端口。
7.根据权利要求1所述的网络设备,其中所述第二端口是在合并了网络设备的控制设备中的内部通信总线,并且其中电子计算机还用于所述控制设备的操作。
8.根据权利要求1所述的网络设备,其中所述软件安全组件以在所述第一端口上进行通信的设备来执行安全协议,以识别已授权的连接,并对所述硬件安全组件提供加密密钥,其中所述硬件安全组件从以所述加密密钥解密并与允许列表比较的分组中提取安全密钥。
9.根据权利要求1所述的网络设备,其中所述软件安全组件进一步执行所存储的程序以:
(1)在所述第一端口上以对应的设备执行安全协议,以认证所述第一端口上的所述设备;
(2)与所述对应的设备共享安全码;
(3)将所述安全码载入所述数据表中;
且其中所述硬件安全组件接收数据分组并以来自所述数据表的所述安全码认证所述数据分组,且发送编码的数据分组以使用来自所述数据表的所述安全码通过远程设备进行认证。
10.根据权利要求1所述的网络设备,其中所述软件安全组件进一步执行所存储的程序以:
(1)执行安全协议以建立与在所述第一端口上通信的设备的安全通信,所述安全协议导致生成密钥,所述密钥可解码所述网络数据分组以认证该网络数据分组;以及
(2)将所述密钥添加到可由所述硬件安全组件访问的所述数据表;
其中所述硬件安全组件从所述第一端口接收网络数据分组,并且如果可以以保持在所述数据表中的密钥认证所述网络数据分组,则将所述网络数据分组传递到所述第二端口,否则将所述网络数据分组传递到所述软件安全组件,以及
其中所述硬件安全组件进一步从所述第二端口接收数据分组,并编码该数据分组以在将该数据分组传递到所述第一端口之前进行认证。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/031,288 | 2008-02-14 | ||
| US12/031,288 US8555373B2 (en) | 2008-02-14 | 2008-02-14 | Network security module for Ethernet-receiving industrial control devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101527716A CN101527716A (zh) | 2009-09-09 |
| CN101527716B true CN101527716B (zh) | 2012-11-28 |
Family
ID=40646984
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910007216XA Active CN101527716B (zh) | 2008-02-14 | 2009-02-13 | 用于以太网接收的工业控制设备的网络安全模块 |
Country Status (3)
| Country | Link |
|---|---|
| US (3) | US8555373B2 (zh) |
| EP (1) | EP2091199B1 (zh) |
| CN (1) | CN101527716B (zh) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7660910B2 (en) * | 2004-08-30 | 2010-02-09 | Lantronix, Inc. | Secure communication port redirector |
| US8094576B2 (en) | 2007-08-07 | 2012-01-10 | Net Optic, Inc. | Integrated switch tap arrangement with visual display arrangement and methods thereof |
| US8504622B1 (en) * | 2007-11-05 | 2013-08-06 | Mcafee, Inc. | System, method, and computer program product for reacting based on a frequency in which a compromised source communicates unsolicited electronic messages |
| US9047421B2 (en) * | 2008-04-30 | 2015-06-02 | Alcatel Lucent | Serial link buffer fill-level compensation using multi-purpose start of protocol data unit timing characters |
| KR20100060335A (ko) * | 2008-11-27 | 2010-06-07 | 삼성전자주식회사 | 네트워크 장치 및 그 제어 방법 |
| RU2517164C2 (ru) * | 2009-07-02 | 2014-05-27 | Абб Рисерч Лтд | СПОСОБ ОГРАНИЧЕНИЯ ОБЪЕМА СЕТЕВОГО ТРАФИКА, ПОСТУПАЮЩЕГО НА ЛОКАЛЬНЫЙ УЗЕЛ, ДЕЙСТВУЮЩИЙ СОГЛАСНО ПРОТОКОЛУ Ethernet ПРОМЫШЛЕННОГО ПРИМЕНЕНИЯ |
| US20120023552A1 (en) * | 2009-07-31 | 2012-01-26 | Jeremy Brown | Method for detection of a rogue wireless access point |
| US8737197B2 (en) | 2010-02-26 | 2014-05-27 | Net Optic, Inc. | Sequential heartbeat packet arrangement and methods thereof |
| EP2540050B1 (en) | 2010-02-26 | 2019-06-26 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Dual bypass module |
| US9019863B2 (en) | 2010-02-26 | 2015-04-28 | Net Optics, Inc. | Ibypass high density device and methods thereof |
| US9813448B2 (en) | 2010-02-26 | 2017-11-07 | Ixia | Secured network arrangement and methods thereof |
| US9749261B2 (en) | 2010-02-28 | 2017-08-29 | Ixia | Arrangements and methods for minimizing delay in high-speed taps |
| ES2445894T3 (es) | 2010-06-22 | 2014-03-05 | Siemens Aktiengesellschaft | Dispositivo de protección de red |
| JP5159852B2 (ja) * | 2010-09-28 | 2013-03-13 | 株式会社東芝 | ノード、スイッチ及びシステム |
| US9100324B2 (en) | 2011-10-18 | 2015-08-04 | Secure Crossing Research & Development, Inc. | Network protocol analyzer apparatus and method |
| US9633230B2 (en) * | 2012-10-11 | 2017-04-25 | Intel Corporation | Hardware assist for privilege access violation checks |
| CH709742A1 (de) * | 2014-06-05 | 2015-12-15 | Swisstradingbox Ag | Börsenhandelssystem. |
| EP3270560B1 (de) | 2016-07-12 | 2020-03-25 | Siemens Aktiengesellschaft | Verfahren zum aufbau gesicherter kommunikationsverbindungen zu einem industriellen automatisierungssystem und firewall-system |
| US9998213B2 (en) | 2016-07-29 | 2018-06-12 | Keysight Technologies Singapore (Holdings) Pte. Ltd. | Network tap with battery-assisted and programmable failover |
| JP6949466B2 (ja) * | 2016-08-24 | 2021-10-13 | Necプラットフォームズ株式会社 | 中継装置、通信システム、中継方法、及び中継用プログラム |
| CN107957719B (zh) * | 2016-10-18 | 2020-10-23 | 珠海格力智能装备有限公司 | 机器人及其异常监控方法和装置 |
| US10341293B2 (en) * | 2017-02-22 | 2019-07-02 | Honeywell International Inc. | Transparent firewall for protecting field devices |
| EP3451606A1 (de) | 2017-08-30 | 2019-03-06 | Siemens Aktiengesellschaft | Verfahren zur überprüfung von innerhalb eines industriellen automatisierungssystems übermittelten datagrammen und automatisierungs- und/oder kommunikationsgerät |
| US11067968B2 (en) | 2017-11-03 | 2021-07-20 | Honeywell International Inc. | IIOT (industrial internet of things) communications interface |
| EP3503493A1 (de) * | 2017-12-22 | 2019-06-26 | Siemens Aktiengesellschaft | Kommunikationsvorrichtung und verfahren zum verarbeiten eines netzwerkpakets |
| WO2021009739A1 (en) * | 2019-07-15 | 2021-01-21 | Ics Security (2014) Ltd. | System and method for protection of an ics network by an hmi server therein |
| EP3767910A1 (de) | 2019-07-19 | 2021-01-20 | Siemens Aktiengesellschaft | Verfahren zur konfiguration von firewall-einrichtungen für ein kommunikationsnetz und kommunikationsnetz-management-system |
| US11436242B2 (en) | 2019-09-20 | 2022-09-06 | Fisher-Rosemount Systems, Inc. | Edge gateway system with contextualized process plant knowledge repository |
| US10915081B1 (en) * | 2019-09-20 | 2021-02-09 | Fisher-Rosemount Systems, Inc. | Edge gateway system for secured, exposable process plant data delivery |
| US11165839B2 (en) | 2019-09-20 | 2021-11-02 | Fisher-Rosemount Systems, Inc. | Edge gateway system with data typing for secured process plant data delivery |
| CN112800408B (zh) * | 2021-04-15 | 2021-06-18 | 工业信息安全(四川)创新中心有限公司 | 一种基于主动探测的工控设备指纹提取与识别方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1558574A (zh) * | 2004-02-05 | 2004-12-29 | 浙江大学 | 一种利用手机实现无线工业监控的方法及系统 |
| CN1703046A (zh) * | 2005-06-03 | 2005-11-30 | 重庆邮电学院 | 工业控制网络的信息安全方法及安全功能块 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6141755A (en) * | 1998-04-13 | 2000-10-31 | The United States Of America As Represented By The Director Of The National Security Agency | Firewall security apparatus for high-speed circuit switched networks |
| US7599369B2 (en) * | 2001-09-27 | 2009-10-06 | Broadcom Corporation | Apparatus and methods for hardware payload header suppression, expansion, and verification in a DOCSIS network |
| JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| US7950044B2 (en) | 2004-09-28 | 2011-05-24 | Rockwell Automation Technologies, Inc. | Centrally managed proxy-based security for legacy automation systems |
| EP1878192B1 (en) | 2005-01-06 | 2011-06-22 | Rockwell Automation Technologies, Inc. | Firewall method and apparatus for industrial systems |
| US7649912B2 (en) * | 2005-04-27 | 2010-01-19 | Rockwell Automation Technologies, Inc. | Time synchronization, deterministic data delivery and redundancy for cascaded nodes on full duplex ethernet networks |
| JP2008547312A (ja) * | 2005-06-23 | 2008-12-25 | トムソン ライセンシング | マルチメディア・アクセス・デバイスの登録システム及び方法 |
| US7730040B2 (en) * | 2005-07-27 | 2010-06-01 | Microsoft Corporation | Feedback-driven malware detector |
| CN102347901A (zh) * | 2006-03-31 | 2012-02-08 | 高通股份有限公司 | 用于高速媒体接入控制的存储器管理 |
-
2008
- 2008-02-14 US US12/031,288 patent/US8555373B2/en active Active
-
2009
- 2009-02-13 EP EP09152746.5A patent/EP2091199B1/en active Active
- 2009-02-13 CN CN200910007216XA patent/CN101527716B/zh active Active
-
2013
- 2013-10-01 US US14/042,782 patent/US9438562B2/en active Active
-
2016
- 2016-09-01 US US15/254,109 patent/US9674146B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1558574A (zh) * | 2004-02-05 | 2004-12-29 | 浙江大学 | 一种利用手机实现无线工业监控的方法及系统 |
| CN1703046A (zh) * | 2005-06-03 | 2005-11-30 | 重庆邮电学院 | 工业控制网络的信息安全方法及安全功能块 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2091199A2 (en) | 2009-08-19 |
| US9674146B2 (en) | 2017-06-06 |
| US20100031340A1 (en) | 2010-02-04 |
| EP2091199B1 (en) | 2019-04-10 |
| CN101527716A (zh) | 2009-09-09 |
| US20140033295A1 (en) | 2014-01-30 |
| US9438562B2 (en) | 2016-09-06 |
| US8555373B2 (en) | 2013-10-08 |
| EP2091199A3 (en) | 2014-08-13 |
| US20160373410A1 (en) | 2016-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101527716B (zh) | 用于以太网接收的工业控制设备的网络安全模块 | |
| EP3465512B1 (en) | System and method for securely changing network configuration settings to multiplexers in an industrial control system | |
| US8132240B2 (en) | Electric field unit and method for executing a protected function of an electric field unit | |
| CN102742243B (zh) | 检查用于ied的配置修改的方法及装置 | |
| CN106664311A (zh) | 支持异构电子设备之间差异化的安全通信 | |
| KR20020092972A (ko) | 패킷 필터링과 프로세싱을 가속화하는 시스템, 장치 및방법 | |
| SE519072C2 (sv) | Metod vid behörighetskontroll inom mobil kommunikation | |
| CN110601820B (zh) | 用于现场设备的安全操作的方法和装置 | |
| CN107710676A (zh) | 网关装置及其控制方法 | |
| WO2013172743A1 (ru) | Способ защищенного взаимодействия устройства клиента с сервером по сети интернет | |
| CN104994094A (zh) | 基于虚拟交换机的虚拟化平台安全防护方法、装置和系统 | |
| Stabili et al. | Analyses of secure automotive communication protocols and their impact on vehicles life-cycle | |
| CN105577705B (zh) | 针对iec60870-5-104协议的安全防护方法及系统 | |
| JP6375962B2 (ja) | 車載ゲートウェイ装置及び電子制御装置 | |
| CN108363616B (zh) | 用于过程控制系统的操作者系统 | |
| Kleberger et al. | An in-depth analysis of the security of the connected repair shop | |
| JP2005202970A (ja) | ファイアウォールのためのセキュリティシステムおよびセキュリティ方法ならびにコンピュータプログラム製品 | |
| CN105610599B (zh) | 用户数据管理方法及装置 | |
| EP3264714B1 (de) | Verfahren zum betreiben eines sprachsteuerungssystems für eine authentifizierte sprachsteuerung, haushaltgerät, sprachsteuerungseinheit, verwaltungseinheit und sprachsteuerungssystem | |
| CN111295653B (zh) | 改进安全网络中设备的注册 | |
| CN108886529B (zh) | 用于远程地控制车辆的系统 | |
| EP1793294A1 (en) | Controller for industrial manufacturing apparatus | |
| CN117395631A (zh) | 一种通信数据处理方法、装置、车载系统及存储介质 | |
| AU2022200826A1 (en) | A Proxy And A Communication System Comprising Said Proxy | |
| US20040098626A1 (en) | Login method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: ohio Patentee after: Rockwell automation technologies Address before: ohio Patentee before: Rockwell Automation Tech Inc. |