CN101867566B - 为接口访问控制提供分层的安全防护的方法和设备 - Google Patents
为接口访问控制提供分层的安全防护的方法和设备 Download PDFInfo
- Publication number
- CN101867566B CN101867566B CN201010151782.0A CN201010151782A CN101867566B CN 101867566 B CN101867566 B CN 101867566B CN 201010151782 A CN201010151782 A CN 201010151782A CN 101867566 B CN101867566 B CN 101867566B
- Authority
- CN
- China
- Prior art keywords
- client application
- end points
- server
- resource
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 129
- 230000004044 response Effects 0.000 claims abstract description 18
- 238000009826 distribution Methods 0.000 claims abstract description 16
- 238000004886 process control Methods 0.000 claims description 94
- 238000012369 In process control Methods 0.000 claims description 13
- 238000010965 in-process control Methods 0.000 claims description 13
- 230000007246 mechanism Effects 0.000 claims description 13
- 238000012546 transfer Methods 0.000 claims description 6
- 230000006854 communication Effects 0.000 description 27
- 238000004891 communication Methods 0.000 description 26
- 230000008569 process Effects 0.000 description 21
- 238000003860 storage Methods 0.000 description 20
- 230000006870 function Effects 0.000 description 19
- 230000000875 corresponding effect Effects 0.000 description 15
- 238000005516 engineering process Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000001276 controlling effect Effects 0.000 description 6
- 238000007726 management method Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 239000002828 fuel tank Substances 0.000 description 3
- 239000013307 optical fiber Substances 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 102100021399 Bargin Human genes 0.000 description 1
- 101710050909 Bargin Proteins 0.000 description 1
- 101000911390 Homo sapiens Coagulation factor VIII Proteins 0.000 description 1
- 238000003723 Smelting Methods 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000000507 anthelmentic effect Effects 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000008571 general function Effects 0.000 description 1
- 102000057593 human F8 Human genes 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000009533 lab test Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- NJPPVKZQTLUDBO-UHFFFAOYSA-N novaluron Chemical compound C1=C(Cl)C(OC(F)(F)C(OC(F)(F)F)F)=CC=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F NJPPVKZQTLUDBO-UHFFFAOYSA-N 0.000 description 1
- 244000045947 parasite Species 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000003908 quality control method Methods 0.000 description 1
- 229940047431 recombinate Drugs 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000000344 soap Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Manufacturing & Machinery (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了为接口访问控制提供分层的安全防护的示例方法和装置。公开的示例方法包括:在第一服务器上从客户应用接收连接消息以访问至少一个服务器端点;响应于接收该连接消息,如果会话被授权开启,则开启客户应用和至少一个服务器端点之间的会话;从客户应用接收请求以开启对至少一种资源提供读访问、写访问、或订阅访问中的至少一种访问的端点;在确定客户应用被授权通过端点访问至少一种资源之后,开启开放的会话内的端点;从客户应用接收请求以向端点分配所选择的至少一种授权的资源;向端点分配至少一种所选择的资源,并准许客户应用通过端点访问至少一种资源。
Description
相关申请
本申请要求2009年4月14日递交的第61/169,199号美国临时申请的利益,该申请通过引用被整体并入。
技术领域
本公开一般涉及数据系统,以及,更特别地,涉及为接口访问控制提供分层的安全防护(layeredsecurity)的方法和设备。
背景技术
数据系统如过程控制系统、制造自动化系统和其它工业系统,像在化学、石油或其他过程中使用的那些系统,典型地包括一个或更多集中的过程控制器,这些集中的过程控制器通过模拟、数字或组合的模拟/数字总线通信地耦合到至少一个主机、操作员和/或用户工作站以及耦合到一个或更多现场设备。这些系统利用访问控制来根据用户身份(identity)准许对系统的访问。访问控制技术典型地包括用户认证、加密、和/或特定用户访问控制列表。访问控制列表识别哪些系统资源可以被读、写、执行等。此外,访问控制列表可识别用户能够访问(例如,读、写、和/或执行)系统的哪些资源。这些资源可包括例如数据、警报、事件、和/或功能。典型地,根据正在被访问的资源类型,将系统程序、功能、和/或过程组织到端点(endpoint)中。例如,存在独立的端点来访问警报、事件、和数据的当前值。也存在独立的端点来访问警报、事件和数据的历史值。
由于同可连接到互联网和/或一个或更多专用网的路由器、服务器、交换机、和/或工作站没有物理和/或无线连通性,数据系统或过程控制系统可被设计成与外部网络通信隔离。其它数据系统或过程控制系统可有意地包括与互联网和/或一个或更多专用网的连通性,以允许远程监视系统监视过程的进展、质量、和/或控制操作。此外,数据系统或过程控制系统与外部网络的外部连通性允许控制系统的单个组件接收周期性的和/或有计划的更新,如固件更新或修改的控制程序。尽管一个或更多系统的外部连通性可允许外部监视和控制,这样的外部连通性可增加网络入侵对系统的威胁。
发明内容
描述了为接口访问控制提供分层的安全防护的示例方法和装置。在一个实施例中,方法包括,在第一服务器上从客户应用接收连接消息以访问至少一个服务器端点,并响应于接收连接消息,如果会话被授权开启(open),则开启客户应用和至少一个服务器端点之间的会话。示例方法还包括,从客户应用接收请求以开启提供对至少一种资源的读访问、写访问、或订阅访问中的至少一种访问的端点,在确定客户应用被授权通过端点访问至少一种资源之后,开启开放的会话内的端点,以及从客户应用接收请求以向端点分配所选择的至少一种授权的资源。此外,示例方法包括向端点分配至少一种所选择的资源,并准许客户应用通过端点访问至少一种资源。
示例装置包括第一服务器,该第一服务器被编程为从客户应用接收连接消息以访问至少一个服务器端点,以及,响应于接收连接消息,如果会话被授权开启,则开启客户应用和至少一个服务器端点之间的会话。示例装置也可用来接收来自客户应用的请求,以开启提供对至少一种资源的读访问、写访问、或订阅访问中的至少一种访问的端点,并在确定客户应用被授权通过端点访问至少一种资源之后,开启开放的会话内的端点。进一步地,示例装置用来从客户应用接收请求以向端点分配所选择的至少一种授权的资源,向端点分配至少一种所选择的资源,并准许客户应用通过端点访问至少一种资源。
附图说明
图1为示例过程控制环境的框图。
图2为图1的示例服务器发现服务器和资源发现服务器的功能框图。
图3为描述图1和图2的示例服务器发现服务器和资源发现服务器所提供的示例分层的安全防护的图示。
图4A和4B为流程图,描述了可被用来实现图1、2和/或3的示例过程控制环境、示例服务器发现服务器、示例资源发现服务器、和/或示例客户应用的示例过程。
图5是可被用来实现在此描述的方法和装置的示例处理器系统的框图。
具体实施方式
尽管以下描述了示例方法和装置,除其他组件,其还包括在硬件上执行的固件和/或软件,应当注意到,这样的系统仅仅是示意性的,并不应当被认为是限制。例如,设想任何或所有这些硬件、软件、和固件组件可专门地在硬件、专门地在软件、或在硬件和软件的任何组合中体现。相应地,尽管以下描述了示例方法和装置,本领域的普通技术人员将容易认识到,所提供的实施例不是实现这样的方法和装置的唯一方式。
对系统的访问控制典型地是基于用户身份。访问控制技术典型地包括用户认证、加密、和/或特定用户访问控制列表。访问控制列表识别哪些系统资源可以被读、写、执行等。此外,访问控制列表可识别用户能够访问(例如读、写、和/或执行等)系统的哪些资源,如功能、数据、警报、和/或事件。
端点提供系统和/或服务的一个或更多访问点。客户应用向系统和/或服务的端点发送消息,以访问与系统和/或服务关联的资源。端点包括地址、绑定单元、和/或合同单元。端点的地址是托管服务的应用程序用来通知该服务的位置。例如,地址可包括包含目录名称的统一资源定位符(URL),该目录包括与作为端点的那个服务关联的文件的名称和服务。绑定单元指定可用来访问服务的传送机制和/或协议。例如,绑定单元可指定basicHttpBinding作为用来访问服务的协议。合同单元指示可在服务内部访问的操作和/或用来访问资源的参数,该资源可经过端点来访问。
端点可通过面向对象的技术、基于表述性状态转移(representationalstatetransfer,REST)的接口、和/或服务合同接口来实现。典型地,根据正在被访问的资源类型,将程序、功能、和/或过程组织到端点。例如,存在独立的端点来访问警报、事件、或数据的当前值和/或警报、事件或数据的历史值。
当前,对端点的威胁正在增加。威胁包括病毒、木马、蠕虫、分布式拒绝服务(DDos)攻击、和/或间谍软件。这些威胁可让未认证的第三方浏览、复制、和/或破坏过程控制系统内的数据。系统可被威胁扰乱,该威胁可降低系统所产生的生产能力、效率、和/或收益。
传统地,使用依赖于被保护的资源的安全机制来保护端点。这些安全机制包括用户认证、授权、和/或加密。例如,为保护提供对当前数据值的访问的端点,用户可被认证然后可根据访问控制列表被允许对指定的数据进行读或写。此外,加密可被用来保护正在被访问的数据的机密性。这个典型的方法要求端点支持的所有操作使用相同的安全机制。例如,如果使用认证作为安全机制,则在每一次消息交换中实现认证。类似地,如果使用加密作为安全机制,则对每一次消息传递实现加密。然而,与这些安全机制关联的性能恶化经常导致系统用户和/或操作员关闭或以其他方式停用该安全机制,从而,使端点为开放的并容易受到攻击。
在此描述的示例方法和装置实现由它们的安全要求来定义和组织的端点。例如,被典型地定义成提供数据访问的端点可被重组成独立的读访问端点、写访问端点、和/或订阅访问端点。读、订阅、和/或写端点可用来检索和/或更新数据、警报、事件等。读端点提供使用一种或更多方法(例如,程序)在服务器内检索(例如,读、获得等)数据、警报、和/或事件的客户应用。订阅端点提供使用一种或更多方法(例如轮询(poll)、召回(callback)等)在服务器内周期性地检索数据变化、警报、和/或事件的客户应用。写端点提供使用一种或更多方法来改变(例如,写、放入、更新、修改、确认、执行等)服务器内的功能和/或事件、警报、数据的值或状态的客户应用。
在此描述的示例方法和装置实现了根据安全标准对端点进行访问控制,该安全标准包括请求者的身份和/或角色、请求者的位置、请求者所使用的计算机和/或工作站的身份、请求工作站和/或计算机的网络地址、请求应用的身份和/或类型、请求应用用来访问端点的协议、和/或端点接收到请求的时间。端点访问控制可认证和/或授权请求消息,使得该请求消息可被接收端点处理。此外,端点访问控制授权将列表的内容提供给请求客户应用、操作员、和/或用户。这些内容可包括与资源发现端点和/或资源发现服务器相关联的资源,该资源发现服务器与资源发现端点相关联。在一些实施例中,端点访问控制可向请求客户应用和/或工作站发送安全验证消息,以证实客户应用和/或工作站的身份。在其他实施例中,端点访问控制可向第三方计算机(例如,Windows活动目录服务器)发送安全消息来获得关于请求者的安全信息。
在此描述的示例方法和装置通过服务器发现服务器和/或一个或更多资源发现服务器提供分层的安全防护。服务器发现服务器定位资源发现服务器。此外,服务器发现服务器维护资源发现服务器列表并可使用访问控制标准来确定哪些请求者访问每个资源发现服务器。服务器发现服务器列出资源发现服务器,请求者(例如,客户、操作员等)可能选择资源发现服务器来访问与资源发现服务器相关联的资源。每个资源发现服务器可通过相应的资源发现端点被访问。服务器发现服务器可向请求者提供资源发现端点,或者,可选择地,服务器发现服务器可向请求者提供每个资源发现服务器里的端点,其中资源发现服务提供资源发现端点。
在请求者访问资源发现端点时,资源发现服务器确定哪些资源是请求者可用的,并列出那些资源和/或对那些资源的端点。资源发现服务器可使用被用来访问端点的访问控制标准,以确定请求者可访问哪些资源。请求者然后可通过注册来选择可用资源中的一个或更多,以读、写、订阅、和/或执行该资源。资源发现服务器然后通过允许请求者通过读、写、和/或订阅端点而访问资源来准许注册者请求,这些读、写、和/或订阅端点可被创建、开启、和/或与请求者所选择的资源相关联。
在此描述的方法和装置限制了通过资源发现端点来访问资源。资源可通过资源发现端点被发现并注册以进行访问。资源发现服务器提供请求者信息,该请求者信息对开启和/或创建读、写和/或订阅端点并向该读、写、和/或订阅端点分配注册资源以访问所注册的资源是必须的。当请求者已经给读和/或订阅端点分配了资源后,该请求者可浏览与那种资源相关联的数据。此外,当请求者已经给写端点分配了资源后,请求者可向那种资源写数据,或以其它方式根据通过该写端点可获得的功能修改或执行该资源。在一些实施例中,读、写、和/或订阅端点可在请求者选择想要的资源时创建。在其它实施例中,读、写、和/或订阅端点可由服务器创建和/或预先配置,并由请求者开启。
示例方法和装置使得请求者能够使用与资源发现端点相关联的读、写、和/或订阅端点,直到请求者终止与资源发现端点的对话。在请求者终止对话后,除了与所选择的资源关联的难以理解的标识符,在会话情境内被创建和/或开启的读、写、和/或订阅端点也被从会话删除。请求者随后可访问资源发现服务器以创建新的会话来访问资源。
在此描述的示例方法和装置利用难以理解的动态分配标识符来为所选择的资源和它们的相关读、写、和/或订阅端点起别名。这个别名为每个读端点、写端点、订阅端点、和/或通过读、写、和/或订阅端点可访问的资源提供了不同的标识符。请求者和/或资源发现服务器使用标识符来访问端点,以浏览和/或更新与所选择的资源相关联的数据。资源标识符在资源注册的过程中创建,以及端点标识符在端点的开启和/或创建的过程中创建。此外,标识符(例如,资源标识符和/或端点标识符)不可用来标识会话情境外部的资源和/或对应的读、写、和/或订阅端点。用来标识资源和/或端点的难以理解的标识符使得在操作员和/或用户与系统之间的通信过程中,窥伺(snoop)和/或发觉(sniff)应用将数据值与相关资源关联起来更加困难。因此,这些难以理解的标识符使得窥伺和/或发觉应用引起安全漏洞更加困难。例如,使用标识符拦截消息的第三方将不能识别正被标识的是哪种资源和/或怎样拦截正被传递的数据值。
此外,难以理解的标识符安全可通过在一段时间之后刷新难以理解的标识符得到增强。标识符的刷新使得操作员、用户、和/或客户应用能够定期更新与资源相关联的难以理解的标识符,以禁止可由窥伺和/或发觉应用导致的流量分析。而且,服务器发现端点和/或资源发现端点可在与请求者的通信中使用加密,以防止资源和/或与每种资源相关联的难以理解的标识符的公开。
图1为可用来实现在此描述的示例方法和装置的示例过程控制环境100的框图。过程控制环境100包括具有三个过程控制系统104a-c的过程控制场所(processcontrolplant)102。在其它实施例中,过程控制场所102可包括更少的过程控制系统或额外的过程控制系统。此外,过程控制场所102包括通过局域网(LAN)112通信地耦合到服务器发现服务器108的本地工作站106。在其它实施例中,过程控制场所102可包括额外的本地工作站、服务器、和/或计算机。
示例过程控制场所102代表在一个或更多批处理和/或批量阶段的过程中可产生一个或更多产品的示例场所。在其它实施例中,过程控制场所102可包括发电设施、工业设施、和/或包括控制和监视系统或信息技术系统的任何其它设施类型。示例本地工作站106可用作场所102的操作员和/或用户接口,并可通过LAN112通信地连接到过程控制系统104a-c中的一个或更多。
示例过程控制环境100包括通过广域网(WAN)120耦合到过程控制场所102的远程工作站116和118。WAN120可包括公共电话交换网络(PSTN)系统、公共陆地移动网络(PLMN)系统、无线分布系统、有线或电缆分布系统、同轴电缆分布系统、光纤到户(fiber-to-the-home)网络、光纤到路边(fiber-to-the-curb)网络、光纤到基座(fiber-to-the-pedestal)网络、光纤到地下(fiber-to-the-vault)网络、光纤到邻域(fiber-to-the-neighborhood)网络、超高频(UHF)/特高频(VHF)射频系统、卫星或其他地球外系统、蜂窝分布系统、电力线广播系统、和/或这些设备、系统和/或网络的组合和/或混合中的任何类型。
此外,过程控制场所102包括防火墙110,以根据一条或更多规则确定是否允许来自远程工作站116和118的通信进入过程控制场所102。示例远程工作站116和118可为不在过程控制场所102内的操作员和/或用户提供对过程控制场所102内的资源的访问。例如,位于美国的过程控制工程师可使用远程工作站116检查位于墨西哥的过程控制场所102内的生产线(例如,资源)的状态。在其它的示例实现中,防火墙可位于每一个过程控制系统104a-c和工作站106、116和/或118之间。
示例工作站106、116和/或118可配置成执行与一个或更多信息技术应用、用户交互应用、和/或通信应用相关联的操作。此外,工作站106、116和/或118可包括任何计算设备,该计算设备包括个人计算机、笔记本电脑、服务器、控制器、个人数字助理(PDA)、微型计算机等。
示例资源发现服务器114a-c可配置成执行与一个或更多应用、用户交互应用、通信应用、和/或在相关联的过程控制系统104a-c内的一个或更多功能块相关联的操作。例如,资源发现服务器114a-c可配置成执行与过程控制相关的应用和通信应用相关联的操作,其使得资源发现服务器114a-c和各自的控制器(例如,控制器122)能够使用任何通信介质(例如,无线、硬接线等)和协议(例如,HTTP、SOAP等)与其它设备和/或系统通信。在其它实施例里,过程控制系统104a-c中的每一个可包括一个或更多资源发现服务器。
每个资源发现服务器114a-c通信地耦合到控制器(例如,控制器122)。示例控制器122可执行一个或更多过程控制程序,所述过程控制程序已经由场所管理者、过程控制工程师、系统工程师、控制系统管理员、和/或负责场所102和/或整个过程控制环境100的运行其它操作员和/或用户配置和/或设计。控制器122可以是例如EmersonProcessManagementTM公司的Fisher-RosemountSystems有限公司出售的DeltaTM控制器。然而,可以用任何其它的控制器作为替代。进一步地,尽管图1中只显示了一个控制器122,任何类型或类型组合的额外的控制器可耦合到资源发现服务器114a-c中的每一个。尽管图1被示出的实施例部分地描述了过程控制系统,但在此描述的方法和装置也可应用到测试和测量环境,如实验室测试、审查测试、和/或质量控制分析。
控制器122可通过控制总线128和/或I/O设备124耦合到多个现场设备126a-b和130。在过程控制程序的执行期间,控制器122可与现场设备128a-b和130交换信息(例如,命令、配置信息、测量信息、状态信息等)。例如,可向控制器122提供过程控制程序,该程序在被控制器122执行的时候引起控制器122向现场设备126a-b发送命令,该命令引起现场设备126a-b执行特定的操作(例如,执行测量、打开/关闭阀门、开启/关闭过程泵等)和/或通过控制器122交流信息(例如,测量数据)。此外,控制器122可引起现场设备126a-b和130获得测量值(例如,压力值、温度值、流量值、电压值、电流值等)、执行算法或计算(例如,积分、求导、加、减等)、控制仪器(例如,打开/关闭阀门、熔炉调整、锅炉调整等)、和/或执行任何其它功能。
服务器发现服务器108和资源发现服务器114a-c为工作站106、116和/或118提供到被控制器(例如,控制器122)管理的过程控制资源的分层的访问。服务器发现服务器108可包括端点访问控制,其限制对它本身的访问和对它的与资源发现服务器114a-c相关联的资源发现端点114a-c列表的访问。根据服务器发现服务器108实现的端点访问控制的级别,服务器发现服务器108为每个用户和/或工作站106、116和/或118提供与资源发现服务器114a-c相关联的资源发现端点列表。例如,远程工作站116的用户和/或操作员可能被指定仅能访问过程控制系统104b和/或访问包括在过程控制系统104b内的指定的资源发现服务器(例如,服务器114b)。结果,当远程工作站116的用户和/或操作员请求资源发现端点的列表时,服务器发现服务器108提供仅包括资源发现服务器114b的资源发现端点的列表。可选择地,服务器发现服务器108可为每个用户和/或工作站106、116和/或118提供资源发现服务器的端点(例如,与资源发现服务器114a-c关联的端点)的列表。用户和/或工作站106、116和/或118然后可使用这些端点直接从资源发现服务器114a-c检索资源发现端点的列表。
示例服务器发现服务器108可向授权的工作站(例如,工作站106、116和/或118)提供与资源发现服务器114a-c相关联的资源发现端点的列表。可选择地,示例服务器发现服务器108可向授权的工作站(例如,工作站106、116和/或118)提供与资源发现服务器114a-c相关联的端点的列表。授权的工作站然后可使用端点的列表来检索资源发现端点。一旦工作站106、116和/或118已经接收到所选择的资源发现服务器(例如,资源发现服务器114a)的资源发现端点,则工作站106、116和/或118然后可使用资源发现端点访问资源发现服务器(例如,服务器114a)。在一些实施例中,资源发现服务器114a可确定工作站106、116和/或118是否被授权访问资源发现端点。在工作站106、116和/或118通过相关资源发现端点访问资源发现服务器114a时,资源发现服务器114a可实现端点访问控制,以确定授权将被工作站106、116和/或118访问的资源。资源发现服务器114a可包括与现场设备126a-b和130相关联的资源。任何工作站106、116和/或118的用户或操作员可选择授权的资源。
当工作站106、116和/或118首次访问资源发现端点时,相关的资源发现服务器114a创建一个会话。通过工作站106、116和/或118选择一个或更多由资源发现服务器114a提供的资源,工作站106、116和/或118请求资源发现服务器114a创建由工作站106、116和/或118用来访问所选择的资源的读、写、和/或订约端点。如果工作站106、116和/或118打算读取资源,则工作站106、116和/或118从资源发现服务器114a请求读端点。如果工作站106、116和/或118打算更新和/或执行(例如,写)资源,则工作站106、116和/或118从资源发现服务器114a请求写端点。如果工作站106、116和/或118打算订阅资源,则工作站106、116和/或118从资源发现服务器114a请求订阅端点。
资源发现服务器114a向工作站106、116和/或118提供这些端点,使用别名标识符掩盖端点的身份,并使用别名标识符掩盖即将通过端点访问的每种资源的身份。资源的别名可由工作站106、116和/或118提出,并由资源发现服务器114a确认。工作站106、116和/或118可使用端点标识符访问读、写、和/或订阅端点,并使用所选择资源的资源标识符浏览和/或修改这些资源。如果会话因为包括工作站106、116和/或118请求在内的任何原因即将被关闭,则资源发现服务器114a终止会话并删除和/或关闭任何开启的读、写、和/或订阅端点、与端点相关联的标识符、和/或与注册的资源相关联的标识符。在会话已经关闭之后,在工作站106、116和/或118能够再次访问资源发现服务器114a之前,工作站106、116和/或118可能被要求建立与资源发现服务器114a的新的会话。
服务器发现服务器108和/或资源发现服务器114a-c也可实现针对加密、散列标记、和/或与工作站106、116和/或118的签名通信的安全协议。与资源标识符一起使用的安全协议进一步保护过程控制场所102,使出其免于未授权的各方和/或实体试图浏览和/或修改从资源发现服务器114a-c和工作站106、116和/或118传送的过程控制数据。
在一个实施例中,本地工作站106上的用户和/或操作员向服务器发现服务器108发送发现服务器请求消息,以定位资源发现服务器,工作站106可使用该资源发现服务器获得对泵现场设备130的泵速的访问(例如,资源)。服务器发现服务器108确定操作员、用户、和/或工作站106被授权访问的资源发现服务器114a-c。服务器发现服务器108确定工作站106可访问资源发现服务器114a并提供列表,所述列表包括资源发现服务器114a的资源发现端点和/或资源发现服务器114a内的端点,工作站106可访问该端点以检索资源发现服务器114a的资源发现端点。
工作站106然后传送请求消息(例如,连接消息)来开启与资源发现服务器114a的会话。工作站106将这个消息发送到新获得的资源发现端点的地址,到请求消息的地址字段内的那个服务器114a。资源发现服务器114a接收请求消息并在执行任何端点访问控制以确定会话是否被授权之后开启会话。工作站106然后传送一系列消息(例如,发现资源请求消息、开启端点请求消息、和/或注册者请求消息)以发现工作站106、操作员、和/或用户被授权访问的资源。资源发现服务器114a向工作站106提供列表内的资源,包括泵速资源。泵速资源可通过泵的名称“PDT:P321”来识别,或者,可选择地,通过一些其他的名称如泵速参数的名称来识别。
一旦工作站106选择泵速资源并请求读端点来访问泵速资源,资源发现服务器114a创建和/或开启读端点,并将泵速与这个新创建和/或开启的读端点关联起来。在其他实施例中,资源发现服务器114a可将泵速与已经创建和/或开启的读端点关联起来。可选择地,工作站106可首先请求创建和/或开启读端点,然后分别地将泵速参数关联到读端点。可选择地,工作站106可首先将泵速参数添加到参数列表中,然后将参数列表添加到读端点。可选择地,如果工作站106上的用户和/或操作员被授权创建和/或开启读和/或订阅端点,则可从工作站106向资源发现服务器114a发送请求,来创建和/或开启写和/或订阅端点并将泵速与新创建和/或开启的读端点关联起来。
而且,资源发现服务器114a可产生标识符如“1621545”来读取泵速资源并将标识符传送给工作站106。可选择地,工作站106可提供标识符。在另一示例实现中,两个标识符可用于优化目的。例如,当工作站106向服务器114a发送泵速请求时,工作站106可使用标识符来识别泵速,以及服务器114a可使用不同的标识符来向工作站106发送值。此外,服务器114a可针对读、写、和/或订阅要求独立的标识符,或者,可选择地,相同的标识符可用于读、写、和/或订阅。在图1的实施例中,服务器114a使用相同的泵速标识符(例如1621545)来对泵速进行读和写。可选择地,资源发现服务器114a可为新创建和/或开启的读端点产生如“36285”的标识符,为新创建和/或开启的写端点产生如“88732”的标识符,并将那些标识符传送给工作站106。
工作站106上的用户和/或操作员可通过向资源发现服务器114a发送包括泵速标识符(例如,1621545)和消息中的读端点标识符(例如,36285)的消息来读取泵速资源。资源发现服务器114a访问控制器112来获得当前的泵速值(如果服务器114a还没有储存泵速值),并使用泵速标识符(例如1621545)在消息中向工作站106传送泵速值。此外,工作站106上的用户和/或操作员可通过产生带有新的泵速、泵速标识符(例如1621545)和写端点标识符(例如88732)的消息并向资源发现服务器114a传送该消息,来改变泵速。一旦接收到消息,资源发现服务器114a向控制器122传送新的泵速,来将泵130的速度设置成新的指定泵速。工作站106上的用户和/或操作员然后可关闭与资源发现服务器114a的会话。一旦关闭,资源发现服务器114a终止会话并删除资源、读端点、写端点、和/或订阅端点的标识符。
提供示例过程控制系统104a来示出系统的一种类型,其中可方便地利用以下被更加详细描述的示例方法和装置。然而,在此描述的示例方法和装置可以,但不限于,方便地用在比图1中显示的示例过程控制系统104a更加复杂或更不复杂和/或不同类型的系统中。而且,读、写、和/或订阅端点可使用与检索和/或更新数据、事件和警报相关的额外的方法和装置实现,所述方法和装置包括例如轮询和召回机制。
图2为图1的示例资源发现服务器114a和示例服务器发现服务器108的框图。服务器发现服务器108和资源发现服务器114a通信地耦合到客户应用202。示例客户应用202可包括任何过程控制应用和/或数据系统应用,该数据系统应用可被用来访问信息,该信息中心与提供对当前或历史数据值、事件、和警报的访问的系统的资源相关联。例如,客户应用202可以是DeltaVTM读/写控制应用。
客户应用202被用来代表操作员、用户、和/或自动化用户访问资源。示例客户应用202可包括与客户应用202的用户相关联的标识信息。客户应用202可运行在工作站106、116和/或118的任何一个之上,并可包括标识信息。而且,客户应用202可通过图1的WAN120和/或LAN112耦合到服务器发现服务器108和/或资源发现服务器114a。
图2的示例客户应用202向服务器发现服务器108和/或资源发现服务器114a传送请求消息。该请求消息可包括访问端点以定位过程控制系统104a内资源的消息。此外,客户应用202可分配特定会话的难以理解的标识符来选择资源、读端点、写端点、和/或订阅端点。可选择地,客户应用202可为任何资源、读端点、写端点、和/或订阅端点从资源发现服务器114a接收特定会话的难以理解的标识符分配。可替换地,客户应用202和资源发现服务器114a可交换各自的特定会话的难以理解的标识符。客户应用202存储分配给相应的资源、读端点、写端点、和/或订阅端点的标识符。这样,客户应用202接收的资源数据与相应的资源标识符关联起来,客户应用可使用该资源标识符识别资源和/或与编码的资源数据相关联的端点。而且,客户应用202可包括加密解密能力,以从资源发现服务器114a接收加密的数据。尽管图2显示单个客户应用202,在其他实施例中,多个客户应用可访问服务器108和114a。
为提供安全措施,如对与客户应用202的通信的端点访问控制和/或加密,示例服务器发现服务器108包括安全处理器204a。此外,为提供安全,如对与客户应用202的通信的端点访问控制措施和/或加密,示例资源发现服务器114a包括安全处理器204b。示例安全处理器204a-b可包括加密处理器和/或数字签名产生器,以保护来自未授权的第三方的外发的通信。加密处理器可使用任何类型的加密编码器来将去往客户应用202的通信格式化成未授权的用户不可读的格式。数字签名产生器保护通信不受到未授权的第三方的干预。数字签名产生器可使用任何类型的密码安全签名产生器(例如,哈希码),该签名产生器使得能够检测被客户应用202和服务器108和/或114a之间的未授权的第三方修改的值。此外,安全处理器204a-b可包括其他形式的通信安全,包括认证机制和/或访问控制。
示例安全控制器204a-b可对源自客户应用202的加密的、和/或签名的通信进行解码。一旦解码该通信,安全处理器204a-b将通信传送至各个服务器108和114a内的预定目的地。此外,安全处理器204a可通过标识信息过滤源自客户应用202的请求消息,使得只有授权的用户可访问服务器发现服务器108。可选择地,在一些示例实现中,服务器108和114a可不包括安全处理器204a-b。在这些实施例中,与安全处理器204a-b相关联的安全功能可被包括在防火墙内(例如,防火墙110)和/或包括在过程控制场所102内的其它地方。
为管理资源发现服务器的发现,示例服务器发现服务器108包括服务器发现端点处理器206。示例服务器发现端点处理器206处理来自客户应用202的请求,使得只有授权的请求者可发现资源发现服务器。服务器发现端点处理器206接收来自包括示例客户应用202的客户应用的请求消息(例如,发现服务器请求消息)以发现资源发现服务器。
一旦接收到请求消息,服务器发现端点处理器206使用请求消息内的和/或与请求消息相关联的信息,来确定使用客户应用202的用户和/或操作员的身份、和/或运行客户应用202的工作站的身份、和/或与执行端点访问控制相关联的其它信息。例如,服务器发现端点处理器206可检查请求消息内的用户标识字段,以确定用户标识值是否对应授权的用户。可选择地,示例服务器发现端点处理器206可检查请求消息内的协议类型、工作站标识值、客户应用类型、客户应用序列号、和/或客户应用位置。此外,示例服务器发现端点处理器206可检查与消息和/或客户应用202相关的其它信息,以协助消息的授权过程(例如,如果消息从集中式安全计算机被传送)。
服务器发现端点处理器206可使用访问控制列表来确定哪些资源发现服务器是为客户应用202可用的。可选择地,服务器发现端点处理器206可实现其他功能来确定与接收到的消息相关联的安全属性。访问控制列表和/或其它功能可包括参照资源发现端点的被批准的用户的列表,每个被批准的请求被授权访问该资源发现端点。例如,分配给过程控制系统104a的系统操作员和/或用户可被授权访问与过程控制系统104a相关联的资源发现端点。此外,访问控制列表可包括工作站和/或客户应用的列表,该列表参照每个工作站和/或客户应用被授权访问的资源发现端点。访问控制列表可由过程控制系统104a-c和/或过程控制场所102的控制器和/或管理员预先确定。
一旦将请求消息内的标识信息参照到访问控制列表,服务器发现端点处理器206向客户应用202返回授权的资源发现端点的列表。该资源发现端点的列表可包括资源发现端点的名称、为端点提供访问的系统的名称、和/或端点提供的信息类型。此外,根据请求端点列表的客户应用,列表中提供的关于每个资源发现端点的信息量可能被服务器发现端点处理器206所限制。这个限制使得第三方和/或闯入者对资源发现端点的恶意配置相对困难。恶意配置可包括检查潜在目标(例如,资源发现服务器114a)的属性,以构造对目标的入侵。例如,如果客户应用202根据过程控制场所102远程定位,服务器发现端点处理器206仅可为列出的每个资源发现端点列表提供参考名称。每个列出的资源发现端点对应于过程控制环境100内的资源发现服务器114a。例如,服务器发现端点处理器206可为客户应用202提供对应于资源发现服务器114a-c的资源发现端点的列表。
图2的示例服务器发现端点处理器206为客户应用提供资源发现端点的列表。服务器发现端点处理器206可返回提交请求所必需的信息(例如,连接消息),以在资源发现服务器114内开启会话,或者,可选择地,服务器发现端点处理器206可返回资源发现端点的身份,使得客户应用202能够选择资源发现端点。客户应用202一旦选择了一个或更多资源发现端点,服务器发现端点处理器206向客户应用202传送信息,以开启与每个所选择的资源发现端点的会话。
为管理对资源、资源发现端点、读端点、写端点、和/或订阅端点的访问,示例资源发现服务器114a包括会话控制器208、资源发现端点处理器210和读/写/订阅端点处理器212。图2仅显示了耦合到客户应用202的资源发现服务器114a。在其它实施例中,客户应用202可耦合到资源发现服务器114b-c,其可包括它们自己的会话控制器208、资源发现端点处理器210和读/写/订阅端点处理器212。客户应用202从服务器发现端点处理器206接收与资源发现端点相关联的信息和/或位置。客户应用202使用这个信息访问资源发现服务器114a,以向与资源发现服务器114a相关联的资源发现端点发送请求消息(例如,连接消息)。
图2的示例会话控制器208为客户应用202管理资源访问会话。会话代表客户应用202和资源发现服务器114a之间的通信联合的实例。此外,会话控制器208可为可访问资源发现服务器114a的其它客户应用管理会话。一旦从客户应用202接收到连接消息,会话控制器208启动一个会话来开启与和服务器114相关联的资源发现端点的会话。会话控制器可拒绝来自客户应用202的任何其它请求,直到会话控制器208开启会话。在会话开启的同时,会话控制器208将来自客户应用202的每个请求消息路由到资源发现端点处理器210。
如果客户应用202从资源发现端点处理器210选择资源和/或资源端点,并请求创建读、写、和/或订阅端点来访问所选择的资源(或向之前创建和/或开启的读、写、或订阅端点分配所选择的资源),资源发现端点处理器210存储对于所选择的资源和相关的读、写、和/或订阅端点的参照。此外,会话控制器208可存储对于所选择的资源和它们的相关的读或写端点的参照。
读/写/订阅端点处理器(例如,读/写/订阅端点处理器212)可被创建和/或用于客户应用202创建和/或开启的每一个读、写、和/或订阅端点。对这些读/写/订阅端点处理器中的每一个,也可创建和/或使用安全处理器和/或会话控制器。创建和/或使用处理器可包括分派服务器的部分去执行与处理器相关联的功能。可选择地,创建和/或使用处理器可包括激活一个或更多相邻服务器上的处理器,来执行与每个新创建的处理器相关联的功能。通过为不同客户应用的不同会话在资源发现端点处理器210之间分离所传送的消息的通信路径,为每个读/写/订阅端点处理器创建和/或使用安全处理器和/或会话控制器提供了额外的安全性。此外,分离通信路径为传送至和/或来自资源发现端点处理器210的消息和传送至和/或来自读端点、写端点、和/或订阅端点的消息提供了额外的安全性。读/写/订阅端点处理器212可在独立的计算介质而不是安全处理器204b和/或会话控制器208上实现,以提供另一个独立的安全层。可选择地,读/写/订阅端点处理器212可被用来提供对每个读、写、和/或订阅端点的访问。
对每个读/写/订阅端点处理器212,资源发现端点处理器210和/或会话控制器208可将客户应用202选择的资源和/或那些资源的相关的难以理解的标识符传送至相应的读/写/订阅端点处理器212。这些难以理解的标识符可由客户应用202、由资源发现端点处理器210或、可选择地由这二者分配。
通过存储标识符参考信息,示例读/写/订阅端点处理器212为每个客户应用202管理哪个标识符对应哪种资源。这样,读/写/订阅端点处理器212和客户应用202之间的通信可使用标识符作为保护形式,来对抗可能企图监视该通信的未授权的第三方或实体。在一些实施例中,多个客户应用可对于不同的资源使用相同的标识符。类似地,相同的客户可对于通过不同端点可访问的不同的资源使用相同的标识符。可选择地,相同资源的不同的标识符可被相同的客户用来通过不同的端点访问资源。在这些实施例中,资源发现端点处理器210管理这些标识符向资源和/或向读/写/订阅端点处理器212的分配。读/写/订阅端点处理器212为每个客户应用202管理标识符的使用,以访问相关联的资源。
示例会话控制器208也可为客户应用202管理读端点、写端点、和/或订阅端点的难以理解的标识符。例如,会话控制器208可存储每个读、写、和/或订阅端点以及相应的难以理解的标识符,该标识符由资源发现端点处理器212分配。
而且,示例会话控制器208验证并指挥来自客户应用202的请求消息。验证确保在请求消息中识别的会话是有效的和/或被授权访问预期的处理器210和/或212。拟针对服务器114a的资源发现端点的有效的请求消息可被会话控制器208路由至资源发现端点处理器210。类似地,拟针对读端点、写端点、和/或订阅端点的有效的请求消息可被会话控制器208路由至适当的读/写/订阅端点处理器212。此外,会话控制器208可通过确定在消息内所识别的会话是否有效和/或通过确定与读、写、和/或订阅端点相关联的难以理解的标识符是否有效,来验证请求消息。拟针对读、写、和/或订阅端点的有效的请求消息然后被会话控制器208路由至相应的读/写/订阅端点处理器212。
当客户应用202发送消息指示客户应用202终止对资源发现服务器114a的访问时,图2的示例会话控制器208终止会话。一旦接收到终止消息,会话控制器208删除存储的会话信息,包括资源、读端点、写端点和/或相应的标识符。如果客户应用202企图从删除的会话访问任何资源和/或端点,则客户应用202将被要求启动新的会话并为每种资源注册。
为管理和/或控制对资源和相关端点的访问,图2的示例资源发现服务器114a包括资源发现端点处理器210。示例资源发现端点处理器210通过会话控制器208从客户应用202接收请求消息(例如,发现资源请求消息、开启端点请求消息、和/或注册请求消息)。一旦接收到请求消息,资源发现端点处理器210可使用该请求消息内的和/或与该请求消息相关联的信息,来控制对客户应用202可能发现并随后访问的资源的访问。例如,服务器发现端点处理器206可检查请求消息内的用户标识字段,以确定客户应用202被授权访问哪些资源。可选择地,示例资源发现端点处理器210可检查请求消息内的工作站标识值、客户应用类型、客户应用序列号、客户应用地点、和/或协议类型。
示例资源发现端点处理器210可使用访问列表来确定客户应用可访问哪些资源。访问列表可包括授权的用户、工作站和/或客户应用的列表,该表中的每一个参照资源列表。在一些示例实现中,资源列表可包括对应一组资源的代码。一旦确定客户应用202被授权访问哪些资源,资源发现端点处理器210向客户应用202提供那个资源列表。列表可包括资源名称、包括在资源内的信息、和/或关于资源的编码信息。在一些实施例中,列表可包括组合在一起成为集合的资源。在这些实施例里,客户应用可通过选择集合访问该集合内一些或全部资源。
如果被授权,示例资源发现端点处理器210向客户应用202提供读、写、和/或订阅端点,可分配一个或更多所选择的资源给上述端点。此外,资源发现端点处理器210将每个所选择的资源添加到读、写、和/或订阅端点上,该读、写、和/或订阅端点由相应的会话控制器(例如,会话控制器208)和/或共享的读/写/订阅端点处理器212管理。资源发现端点处理器210可传送每个所选择的资源,使得读/写/订阅端点处理器212可将每个资源添加到读、写、和/或订阅端点上。
而且,示例资源发现端点处理器210为每个所选择的资源产生标识符并向客户应用202传送该标识符。例如,如果客户应用202选择油箱资源,资源发现端点处理器210可为该油箱资源分配难以理解的标识符“DM45”。资源发现端点处理器210向客户应用202传送这个标识符DM45。当提及该油箱资源时,客户应用202和资源发现服务器114a之间随后的通信可使用标识符DM45。
示例资源发现端点处理器210接收注册请求消息和/或开启端点请求消息,来创建和/或开启一个或更多读、写、和/或订阅端点,所选择的资源可被添加到这些端点。资源发现端点处理器210确定产生注册请求消息的客户应用202是否被授权读、写、和/或订阅所选择的资源。通常地,如果给客户应用202提供对资源的访问,则该客户应用202被允许对该资源的读和/或订阅访问。然而,客户应用202可能不能对该资源进行写访问。
资源发现端点处理器210也通过使用资源访问控制来确定客户应用202是否被授权写访问。例如,端点访问控制可利用可包括授权用户和/或客户应用202列表的访问控制列表。如果客户应用202被授权写访问,则资源发现端点处理器210按照请求,为客户应用202选择的资源创建和/或开启一个或更多授权的写端点。资源发现端点处理器210然后添加所选择的资源,客户应用202被授权将其写入新创建和/或开启的写端点。
为管理读端点、写端点、订阅端点和对过程控制资源的访问,图2的示例资源发现服务器114a包括读/写/订阅端点处理器212。该读/写/订阅端点处理器212通过使用对请求访问资源的消息的端点访问控制,来确定客户应用202是否被授权读、写、和/或订阅访问。例如,端点访问控制可利用可包括授权用户和/客户应用202列表的访问控制列表。如果读/写/订阅端点处理器212接收对给定资源的读、写、或订阅请求,则读/写/订阅端点处理器212确认客户应用202被授权对那个资源的读、写、和/或订阅访问。
此外,示例读/写/订阅端点处理器212提供和/或准许通过通信路径214对资源的访问。例如,所选择的资源可位于图1的控制器122中。当客户应用202传送消息来读、写、和/或订阅所选择的资源时,示例读/写/订阅端点处理器212使用消息中难以理解的标识符来访问控制器122内的资源。对发送给读端点的消息,读/写/订阅端点处理器212检索想要的资源(例如,值、警报、和/或事件)。类似地,对发送给写端点的消息,读/写/订阅端点处理器212向资源(例如,图1的控制器122)写数据。
为存储由服务器发现端点处理器206使用的端点访问控制信息,资源发现端点处理器210、和/或读/写/订阅端点处理器212、图2的示例服务器108和114a被通信地耦合到访问控制数据库220。在一些实施例中,访问控制数据库220可被包括在服务器108和/或114a中。可选择地,示例访问控制数据库220可被包括在过程控制系统104a-c中和/或包括在图1的过程控制场所102中。而且,访问控制数据库220可被包括在过程控制场所102的中央访问控制系统中。示例访问控制数据库220可由EEPROM、RAM、ROM、和/或任何其他类型的存储器实现。此外,访问控制数据库220可由结构化查询语言(SQL)服务器和/或任何其他数据库技术实现。安全管理员或其他授权用户可访问该访问控制数据库220,以更新、添加、删除、和/或修改访问控制列表中的授权用户和他们的访问级别。
尽管图2中描述了实现服务器发现服务器108和资源发现服务器114a的示例方式,图2中所示出的接口、数据结构、单元、过程和/或设备中的一个或更多可被结合、划分、重组、省略和/或以任何其他方式施行。例如,图2中示出的安全处理器204a-b、示例服务器发现端点处理器206、示例会话控制器208、示例资源发现端点处理器210、示例读/写/订阅端点处理器212、和/或示例访问控制数据库220可使用例如由一个或更多计算设备和/或计算平台(例如图5的示例处理平台500)执行的机器可访问或可读的指令,来单独实现和/或在任何组合中实现。
进一步地,示例安全处理器204a-b、示例服务器发现端点处理器206、示例会话控制器208、示例资源发现端点处理器210、示例读/写/订阅端点处理器212、示例访问控制数据库220和/或,更一般地,服务器发现服务器108和/或资源发现服务器114a,可由硬件、软件、固件和/或硬件、软件和/或固件的任何组合实现。这样,例如,示例安全处理器204a-b、示例服务器发现端点处理器206、示例会话控制器208、示例资源发现端点处理器210、示例读/写/订阅端点处理器212、示例访问控制数据库220和/或,更一般地,服务器发现服务器108和/或资源发现服务器114a中的任何一个,可由一个或更多电路、可编程处理器、专用集成电路(ASIC)、可编程逻辑设备(PLD)和/或现场可编程逻辑设备(FPLD)等来实现。
图3是描述由图1和2的示例服务器发现服务器108和资源发现服务器114a提供的示例分层的安全防护的图300。分层的安全防护图300包括访问服务器发现端点302、资源发现端点304、读端点306、写端点308、和订阅端点310的图2的客户应用202。分层的安全防护图300描述客户应用202访问过程控制系统104a中的资源的示例过程。
初始时,图3的客户应用202访问图1和2的服务器发现服务器108的服务器发现端点302。服务器发现端点302包括客户应用202可利用的资源发现服务器列表。此外,与服务器发现端点302中的服务器的列表相邻的哈希框(hashedbox)代表图2的安全处理器204a。资源发现服务器列表可通过将客户应用202匹配到该客户应用202被授权访问的资源发现服务器来确定。客户应用202可选择列出的服务器中的一个或更多。通过选择列出的服务器,服务器发现端点302向客户应用202提供针对所选择的服务器的端点。可选择地,服务器发现端点302可同时向客户应用202提供每个资源发现服务器的资源发现端点304。
下一步,客户应用202使用服务器发现端点302提供的端点来访问资源发现端点304。可选择地,在客户应用202被初始地配置有端点和/或资源发现端点304的地址的实施例中,客户应用304可在没有首先访问服务器发现端点302的情况下,访问资源发现端点304。资源发现端点304包括可被客户应用202访问的资源列表。该资源列表可包括资源组和/或个体资源。此外,与资源发现端点304中的服务器列表相邻的哈希框代表图2的安全处理器204b。在示例实现中,客户应用202可从可用资源列表选择一个或更多资源来注册。在这些实施例中,客户应用202请求资源发现端点304创建和/或开启一个或更多读端点306、一个或更多写端点308、和/或一个或更多订阅端点310。此外,客户应用指定所选择的资源中的哪一个将被与新创建和/或开启的读端点306、新创建和/开启的写端点308、和/或新创建和/或开启的订阅端点310相关联。客户应用可在端点被创建和/或开启时、在端点被创建和/或开启之后、和/或在端点被创建和/或开启的期间指定资源。
一旦客户应用202创建和/或开启读端点306、写端点308、和/或订阅端点310,资源发现端点304向客户应用202提供与每个新创建和/或开启的端点306-310相关联的难以理解的标识符。此外,一旦选择资源并向读端点306、写端点308、和/或订阅端点310分配该资源,所选择的资源被包括在读端点306、写端点308、和/或订阅端点310中的选择资源列表内。
对添加到读端点306、写端点308、和/或订阅端点310的每个资源,对应于该资源的难以理解的标识符或者,可选择地,难以理解的标识符对(例如,一个由客户应用202分配以及一个由资源发现端点304分配)被资源发现端点304传送给客户应用202。客户应用202可以通过经由读端点306访问资源数据来读取与所选择的资源相关联的数据(例如,值、警报、和/或事件)。类似地,客户应用202可通过经由写端点308访问资源来向资源写入数据。客户应用202也可通过经由订阅端点310访问资源来订阅资源数据。
图4A和4B为流程图,描述可被执行来实现图1、2和/或3的示例服务发现服务器108、示例资源发现服务器114a-c、示例客户应用202、和/或示例过程控制环境100的示例过程。图4A和4B的示例过程可由处理器、控制器和/或其他适当的处理设备来执行。例如,图4A和4B的示例过程可在编码指令中体现,该编码指令存储在任何可触知的计算机可读的介质中,如闪存、CD、DVD、软盘、ROM、RAM、可编程ROM(PROM)、电子可编程ROM(EPROM)、电子可擦除PROM(EEPROM)、光学存储盘、光学存储设备、磁存储盘、磁存储设备、和/或可用来携带或存储以方法、过程或数据结构形式存在的程序编码和/或指令的任何其他介质中,该介质可被处理器、通用或专用计算机、或带有处理器的其他机器(例如,以下结合图5讨论的示例处理器平台500)访问。以上介质的组合也包括在计算机可读介质的范围内。
过程包括例如引起处理器、通用计算机、专用计算机、或专用处理机器实现一个或更多特定过程的指令。可选择地,图4A和/或4B的示例操作中的一些或全部可使用ASIC、PLD、FPLD、离散逻辑、硬件、固件等的任何组合来实现。
此外,图4A和/或4B的示例操作中的一个或更多可使用一个或更多手动操作或如任何上述技术的任何组合来实现,例如,固件、软件、离散逻辑和/或硬件的任何组合。进一步地,可利用实现图4A和/或4B的示例操作的任何其他过程。例如,可改变方框(block)的执行顺序,和/或可改变、消除、再分割、或组合所描述的方框中的一个或更多。此外,例如通过独立的处理线程、处理器、设备、离散逻辑、电路等,图4A和/4B中的任何或所有示例操作可顺序执行和/或并列执行。
图4A和4B的示例过程400为图1的示例过程控制环境100中的接口访问控制提供分层的安全防护。此外,示例过程400可为包括制造自动化系统、工业系统等的其他类型的数据系统的接口访问控制提供分层的安全防护。而且,示例过程400可针对每个访问服务器发现服务器(例如,图1的服务器发现服务器108)中的端点的请求来执行。对访问服务器发现服务器108的每个请求,示例过程400可与示例过程400的其他实例串行和/或并行。
示例过程400在接收到访问服务器发现服务器108中的端点的发现服务器请求消息时开始(方框402)。请求消息可源自位于远程工作站(例如,远程工作站116和/118)上的客户应用或,可选择地,源自本地工作站(例如,本地工作站106)。示例过程400通过检查与请求消息相关联的特权,确定服务器发现服务器108是否是该消息可访问的或可用的(方框404)。例如,过程400可检查请求消息中的用户标识字段来确定用户标识值是否对应于授权用户。可选择地,示例过程400可检查工作站标识值、客户应用类型、客户应用序列号、客户应用位置、和/或用于传递消息的协议来确定请求消息的发起者是否被授权来访问服务器发现服务器404。
如果示例过程400确定请求消息未被授权访问服务器发现服务器108(方框404),过程400产生和/或传送响应消息给客户应用(406)。响应消息可拒绝访问服务器发现服务器108的请求。一旦产生和传送响应消息(方框406),示例过程400结束。
然而,如果示例过程400确定请求消息被授权访问服务器发现服务器108(方框404),该请求消息在服务器发现服务器108内被接收(方框408)。示例过程400然后确定哪些资源发现服务器(例如,资源发现服务器114a-c)被授权由与请求消息相关联的客户应用来访问(方框410)。客户应用可用的资源发现服务器可基于请求消息内的和/或与请求消息相关联的标识字段、工作站标识值、客户应用类型、客户应用序列号、客户应用位置、和/或协议。
如果示例过程400确定没有授权的资源发现服务器(例如,空的资源发现端点列表),指示没有可用的资源发现服务器的消息被产生和/或被传送给客户应用(方框414)。一旦传送消息(方框414),示例过程400结束。
然而,如果存在至少一个授权的资源发现服务器(方框412),示例过程400向客户应用提供批准和/或授权的资源发现端点(例如,资源发现服务器114a-c的资源发现端点)的列表(方框416)。在其他实施例中,可为向客户应用提供资源发现端点列表的每个资源发现服务器提供端点。下一步,客户应用选择列表资源发现端点中的一个或更多(方框418)。在其他实施例中,客户应用可以不选择资源发现端点和/或可以结束示例过程400。
当接收到访问所选择的资源发现端点(例如,资源发现服务器114a)的请求消息时,示例过程400继续(方框420)。可选择地,在客户应用被初始地配置有资源发现端点的实施例中,示例过程400可在接收到访问资源发现端点的请求消息(例如,连接消息)时开始(方框420)。请求消息由客户应用产生和/或传送。此外,当示例过程400接收访问资源发现端点的请求消息,示例过程400为客户应用开启会话。在其它实施例中,客户应用可选择多个资源发现端点。在这些实施例中,示例过程400可为每个选择的资源发现端点开启会话。此外,对每个选择资源发现端点,示例过程400可运行方框420-446的独立的实例。
一旦接收到访问资源发现端点的请求消息(方框420),示例过程400确定所选择的资源发现端点的哪些资源是客户应用可用的(方框422)。客户应用可用的资源可基于请求消息内的和/或与请求消息相关联的标识字段、工作站标识值、客户应用类型、客户应用序列号、客户应用位置、和/或协议。此外,可由过程控制场所102的操作员、管理员、和/或用户为客户应用预先定义可用的资源。示例过程400然后确定是否有与请求消息相关联的可用资源(方框424)。如果没有可用和/或授权的资源,示例过程400可再次提供资源发现端点列表,使得客户应用可选择另一个资源发现端点(方框416)。此外,示例过程可关闭与客户应用的会话。
如果存在至少一个可用的资源(方框424),示例过程400然后向客户应用提供可用资源的列表(方框426)。下一步,客户应用可请求注册来访问列出的资源之一(方框428)。可选择地,客户应用可在同一请求中请求注册来访问多于一个的列出的资源。在其它示例实现中,客户应用可选择另一个资源发现端点或结束示例过程400。
一旦选择了资源来注册(方框428),客户应用向资源发现端点传送针对所选择资源的标识符(方框430)。该标识符仅为客户应用和包括所选择资源的资源发现端点的资源发现服务器所知。当资源发现端点从客户应用接收标识符时,与该资源发现端点相关联的资源发现服务器存储为会话情境内的资源所传送的标识符。这些标识符对企图访问客户应用(例如,工作站106、116和/或118)和资源发现服务器(例如,资源发现服务器114a-c)之间的通信的未授权用户是难以理解的。下一步,示例过程400确定客户应用是否已经请求了额外的资源(方框432)。如果客户应用已经请求了其它资源,该客户应用向资源发现端点发送针对该资源的请求(方框428)。在其它实施例中,一旦客户应用选择了资源(方框428),示例过程400可向客户应用传送针对所选择资源的标识符(方框430)。然后,一旦接收到标识符,客户应用使用该标识符与资源发现服务器通信。
如果客户应用不选择额外的资源来注册(方框432),示例过程400确定客户应用是否已经请求创建和/或开启读、写、和/或订阅端点(方框434)。如果客户应用不请求创建和/或开启端点,示例过程400确定客户应用是否请求向已经创建的端点分配一个或更多资源(方框442)。
然而,如果客户应用请求创建和/或开启读、写、和/或订阅端点(方框434),客户应用发送请求来创建和/或开启端点。当示例过程400接收到请求,示例过程400通过根据安全标准确定客户应用是否被授权创建和/或开启端点来处理该请求(方框436)。安全标准可包括请求者的身份和/或工作职责、请求工作站和/或计算机的网络地址、客户应用的身份和/或类型、客户应用用来访问资源发现端点的协议、和/或端点接收到请求的时间。如果示例过程400授权客户应用,示例方法400创建和/或开启所请求的端点并向客户应用传送相关标识符(方框438)。标识符可以是会话专用并可仅为资源发现端点和客户应用所知。
下一步,示例过程400确定客户应用是否已经请求创建和/或开启另一个读、写、和/或订阅端点(方框440)。如果客户应用已经请求额外的端点,示例过程400处理该请求(方框436)。在一些实施例中,客户应用可被授权选择资源并向读端点、写端点、和/或订阅端点分配那些资源。在这些情形中,示例过程400确定客户应用是否已经请求向所请求的读、写、和/或订阅端点分配一个或更多资源(方框442)。如果客户应用已经请求分配一个或更多资源,示例过程400通过授权该请求并向请求开启和/或创建的端点分配所选择的资源来处理该请求(方框444)。示例过程400然后通过标识符提供和/或准许对所选择资源的访问,直到客户应用请求终止会话(方框446)。此外,如果客户应用尚未请求分配一个或更多资源(方框442),示例过程400通过标识符提供和/或准许对资源的访问(方框466)。进一步地,客户应用可在会话开启的同时递交额外的请求,如在方框428、434、和/或442中所描述的。一旦接收到终止会话的请求,示例过程终止会话和对端点和相关资源的访问(方框448)。示例过程400然后结束。
图5是可被用来实现在此描述的示例方法和装置的示例处理器系统500的框图。例如,与示例处理器系统500类似或等同的处理器系统可被用来实现图1和/或图2的示例服务器发现服务器108、示例资源发现服务器114a-c、示例客户应用202、示例安全处理器204a-b、示例服务器发现端点处理器206、资源发现端点处理器210、和/或读/写/订阅端点处理器212。尽管示例处理器系统500在以下被描述成包括多个外围设备、接口、芯片、存储器等,但那些单元中的一个或更多在用来实现示例服务器发现服务器108、示例资源发现服务器114a-c、示例客户应用202、示例安全处理器204a-b、示例服务器发现端点处理器206、资源发现端点处理器210、和/或读/写/订阅端点处理器212中的一个或更多的其它示例处理器系统中可被省略。
如图5中所显示的,处理器系统500包括耦合到互连总线514的处理器512。处理器512包括寄存器组或寄存器空间516,其在图5中被描述成完全在芯片上,但是可选择地,其可完全或部分不在芯片上,并可通过专用电气连接和/或互连总线514直接耦合到处理器512。处理器512可以是任何适当的处理器、处理单元或微处理器。尽管图5中未显示,系统500可以是多处理器系统并且,从而可包括一个或更多额外的处理器,该额外的处理器等同于或类似于处理器512并通信地耦合到互连总线514。
图5的处理器512耦合到芯片组518,其包括存储器控制器520和外围输入输出(I/O)控制器522。众所周知,芯片组典型地提供I/O和存储器管理功能以及多个通用和/或专用的寄存器、时钟等,该多个通用和/或专用的寄存器、时钟等对于耦合到芯片组518的一个或多个处理器是可用的或可被其使用。存储器控制器520执行使处理器512(或者多个处理器,如果有多个的话)能够访问系统存储器524和大容量存储存储器(massstoragememory)525的功能。
系统存储器524可包括任何想要类型的易失性和/或非-易失性存储器,例如静态随机访问存储器(SRAM)、动态随机访问存储器(DRAM)、闪存、只读存储器(ROM)等。大容量存储存储器525可包括任何想要类型的大容量存储设备。例如,如果示例处理器系统500被用来实现服务器发现服务器108和/或资源发现服务器114a(图1),则大容量存储存储器525可包括硬盘驱动器、光学驱动器、磁带存储设备等。可选择地,如果示例处理器系统500被用来实现访问控制数据库220,则大容量存储存储器525可包括固态存储器(例如,闪存、RAM存储器等)、磁存储器(例如,硬驱动器)、或适合用于访问控制数据库220中的大容量存储的任何其它存储器。
外围I/O控制器522执行使处理器512能够通过外围I/O总线532与外围输入/输出(I/O)设备526和528以及网络接口530通信的功能。I/O设备526和528可以是任何想要类型的I/O设备,例如键盘、显示器(例如,液晶显示器(LCD)、阴极射线管(CRT)显示器等)、导航设备(例如,鼠标、跟踪球、电容性触摸板、操纵杆等)等。网络接口可以是使处理器系统500能够与另一个处理器系统通信的设备,例如,以太网设备、异步传输模式(ATM)设备、802.11设备、DSL调制解调器、电缆调制解调器、蜂窝调制解调器等。
尽管存储器控制器520和I/O控制器522在图5中被描述为芯片组518内独立的功能方框,这些方框执行的功能可集成在单个半导体电路中或可使用两个或更多独立的集成电路来实现。
以上所描述的示例方法和/或装置中的至少一些由运行在计算机处理器上的一个或更多软件和/或固件程序来实现。然而,包括但不限于专用集成电路、可编程逻辑阵列和其他硬件设备的专用硬件实现同样可被构造成整体或部分实现在此描述的一些或所有示例方法和/或装置。而且,包括但不限于分布式处理或组件/对象分布式处理、并行处理、或虚拟机器处理的可选择的软件实现也可被构造成实现在此描述的示例方法和/或系统。
应当注意到在此描述的示例软件和/或固件实现被存储在可触知的存储介质中,如:磁介质(例如,磁盘或磁带);磁-光或光学介质如光学盘;或固态介质如存储卡或包含一个或更多只读(非易失性)存储器、随机访问存储器、或其它可擦写(易失性)存储器的其它封装。相应地,在此描述的示例软件和/或固件可存储在可触知的存储介质中,如以上描述的那些介质或后续的存储媒介。在一定程度上,以上的说明书参照特定的标准和协议描述了示例组件和功能,应理解,本专利的范围并不限于这样的标准和协议。例如,针对互联网和其它分组-交换网络传输的每一个标准(例如,传输控制协议(TCP)/互联网协议(IP)、用户数据报协议(UDP)/IP、超文本标记语言(HTML)、超文本传输协议(HTTP))代表技术的当前状态的例子。这样的标准被具有相同通用功能的更快或更有效的等同物周期性地取代。具有相同功能的替代标准和协议是本专利所设想的等同物,旨在被包括在附属的权利要求的范围内。
此外,尽管这个专利公开了包括在硬件上执行的固件或软件的示例装置和方法,应当注意到,这样的系统仅仅是示意性的,并不应当被作为限定。例如,设想这些硬件和软件组件中的任何或所有可以完全包含在硬件中、完全包含在软件中、完全包含在固件中或在硬件、固件和/或软件的一些组合中。相应地,尽管以上的说明书描述了示例方法、系统、和机器可访问的介质,但所述实施例不是实现这样的系统、方法和机器可访问的介质的唯一方式。因而,尽管在此已经描述了某些示例方法、系统、和机器可访问的介质,本专利的覆盖范围并不局限于此。相反,本专利覆盖真正地或根据等同原则清楚地落入所附权利要求范围内的所有方法、系统、和机器可访问的介质。
Claims (40)
1.一种方法,用于为过程控制系统中的接口访问控制提供分层的安全防护,所述方法包括:
在第一服务器从客户应用接收连接消息以访问至少一个服务器端点,其中所述至少一个服务器端点包括地址、绑定单元、或合同单元中至少之一,其中所述端点的所述地址是托管服务的应用程序用来通知该服务的位置,其中所述绑定单元指定用来访问服务的传送机制或协议中至少之一,并且其中所述合同单元指示在服务内部访问的操作或需要用来访问资源的参数中至少之一,所述资源能经过所述服务器端点来访问;
响应于接收所述连接消息,在会话被授权开启时,开启所述至少一个服务器端点和所述客户应用之间的所述会话;
从所述客户应用接收请求以开启资源端点,该资源端点提供对至少一种过程控制资源的从读访问、写访问、或订阅访问的组中选择的至少一种访问,所述资源端点由安全要求基于所述资源端点所提供的访问的类型来组织;
在确定所述客户应用被授权通过所述资源端点访问所述至少一种过程控制资源之后,开启开放的会话中的所述资源端点;
从所述客户应用接收请求以向所述资源端点分配至少一种所授权的过程控制资源的选择;
向所述资源端点分配至少一种所选择的过程控制资源;以及
准许所述客户应用通过所述资源端点对所述至少一种过程控制资源的访问。
2.如权利要求1所述的方法,还包括,如果所述至少一种过程控制资源授权被所述客户应用访问,则向所述客户应用提供所述至少一种过程控制资源的列表。
3.如权利要求2所述的方法,其中向所述客户应用提供所述至少一种过程控制资源的列表是响应于在所述第一服务器从所述客户应用接收发现资源请求消息,以发现与所述至少一个服务器端点相关联的所述至少一种过程控制资源。
4.如权利要求1所述的方法,其中所述资源端点是响应于在所述第一服务器从所述客户应用接收开启端点请求消息而被开启。
5.如权利要求1所述的方法,其中准许所述客户应用对所述至少一种过程控制资源的访问包括准许所述客户应用写访问、读访问、或订阅访问中的至少一种访问。
6.如权利要求1所述的方法,其中开启所述资源端点包括选择所述资源端点或创建所述资源端点中的至少一种。
7.如权利要求1所述的方法,还包括:
在所述第一服务器接收所述连接消息之前,在第二服务器从所述客户应用接收发现服务器请求消息,以发现所述第一服务器的所述至少一个服务器端点;
响应于接收所述发现服务器请求消息,确定授权被所述客户应用访问的所述至少一个服务器端点;以及
向所述客户应用提供至少一个所确定的服务器端点。
8.如权利要求7所述的方法,其中确定所述客户应用是否被授权访问所述至少一个服务器端点或所述至少一种过程控制资源中的至少一个包括,通过访问控制列表授权所述客户应用,所述访问控制列表使所述客户应用的工作站网络地址、所述客户应用的用户的身份、所述客户应用的工作站的位置、所述客户应用的身份、或所述客户应用所使用的协议中的至少一个有效。
9.如权利要求1所述的方法,还包括:
向至少一种所选择的过程控制资源分配一对标识符或一个标识符中的至少一个;
将所述一对标识符或一个标识符中的所述至少一个与所述会话相关联;以及
向所述客户应用传送所述一对标识符或一个标识符中的所述至少一个。
10.如权利要求9所述的方法,其中所述标识符是动态分配的别名标识符,该别名标识符保护由所述标识符标识的所述至少一种过程控制资源不被第三方确定。
11.如权利要求1所述的方法,还包括,在一时间段或来自所述客户应用的终止所述会话的终止请求消息中的至少一个之后,终止所述会话。
12.如权利要求1所述的方法,还包括:
通过所述资源端点从所述客户应用接收信息;以及
通过所述资源端点将所述信息存储到相应的至少一种所选择的过程控制资源。
13.如权利要求12所述的方法,其中所述信息包括执行行动的请求或数据中的至少一种。
14.如权利要求1所述的方法,还包括通过所述资源端点向所述客户应用发送数据、事件、或警报中的至少一种。
15.如权利要求1所述的方法,其中所述至少一种过程控制资源包括数据、警报、或事件中的至少一种。
16.如权利要求1所述的方法,还包括如果所述至少一种过程控制资源未授权被所述客户应用访问,则拒绝所述客户应用对可通过所述服务器端点而获得的所述至少一种过程控制资源的访问。
17.一种装置,用于为接口访问控制提供分层的安全防护,所述装置包括:
第一服务器,所述第一服务器编程为:
从客户应用接收连接消息以访问至少一个服务器端点,其中所述至少一个服务器端点包括地址、绑定单元、或合同单元中至少之一,其中所述端点的所述地址是托管服务的应用程序用来通知该服务的位置,其中所述绑定单元指定用来访问服务的传送机制或协议中至少之一,并且其中所述合同单元指示在服务内部访问的操作或需要用来访问资源的参数中至少之一,所述资源能经过所述服务器端点来访问;
响应于接收所述连接消息,在会话被授权开启时,开启所述至少一个服务器端点和所述客户应用之间的所述会话;
从所述客户应用接收请求以开启资源端点,该资源端点提供对至少一种过程控制资源的从读访问、写访问、或订阅访问的组中选择的至少一种访问,所述资源端点由安全要求基于所述资源端点所提供的访问的类型来组织;
在确定所述客户应用被授权通过所述资源端点访问所述至少一种过程控制资源之后,开启开放的会话中的所述资源端点;
从所述客户应用接收请求以向所述资源端点分配至少一种所授权的过程控制资源的选择;
向所述资源端点分配至少一种所选择的过程控制资源;以及
准许所述客户应用通过所述资源端点对所述至少一种过程控制资源的访问。
18.如权利要求17所述的装置,其中所述第一服务器用来在所述至少一种过程控制资源授权被所述客户应用访问时,向所述客户应用提供所述至少一种过程控制资源的列表。
19.如权利要求18所述的装置,其中所述第一服务器响应于从所述客户应用接收发现资源请求消息来向所述客户应用提供所述至少一种过程控制资源的列表,以发现与所述至少一个服务器端点相关联的所述至少一种过程控制资源。
20.如权利要求17所述的装置,其中所述第一服务器响应于在所述第一服务器从所述客户应用接收创建端点请求消息来开启所述资源端点。
21.如权利要求17所述的装置,其中所述第一服务器用来通过准许所述客户应用写访问、读访问、或订阅访问中的至少一种访问来准许所述客户应用对所述至少一种过程控制资源的访问。
22.如权利要求17所述的装置,其中所述第一服务器用来通过选择所述资源端点或创建所述资源端点中的至少一种来开启所述资源端点。
23.如权利要求17所述的装置,其中所述装置还包括第二服务器,用于:
从所述客户应用接收发现服务器请求消息,以发现所述第一服务器的所述至少一个服务器端点;
响应于接收所述发现服务器请求消息,确定授权被所述客户应用访问的所述至少一个服务器端点;以及
向所述客户应用提供至少一个所确定的服务器端点。
24.如权利要求17所述的装置,其中所述第一服务器用于通过经由访问控制列表授权所述客户应用来确定所述客户应用是否被授权访问所述至少一种过程控制资源,所述访问控制列表使所述客户应用的工作站网络地址、所述客户应用的用户的身份、所述客户应用的工作站的位置、所述客户应用的身份、或所述客户应用所使用的协议中的至少一个有效。
25.如权利要求17所述的装置,其中所述第一服务器用来:
向至少一种所选择的过程控制资源分配一对标识符或一个标识符中的至少一个;
将所述一对标识符或一个标识符中的所述至少一个与所述会话相关联;以及
向所述客户应用传送所述一对标识符或一个标识符中的所述至少一个。
26.如权利要求17所述的装置,其中所述第一服务器用来在一时间段或来自所述客户应用的终止所述会话的终止请求消息中的至少一个之后,终止所述会话。
27.如权利要求17所述的装置,其中所述第一服务器用来:
通过所述资源端点从所述客户应用接收信息;以及
通过所述资源端点将所述信息存储到相应的至少一种所选择的过程控制资源。
28.如权利要求17所述的装置,其中所述第一服务器用来通过所述资源端点向所述客户应用发送数据、事件、或警报中的至少一种。
29.如权利要求17所述的装置,其中如果所述至少一种过程控制资源未授权被所述客户应用访问,则所述第一服务器拒绝所述客户应用对可通过所述服务器端点获得的所述至少一种过程控制资源的访问。
30.一种系统,用于为接口访问控制提供分层的安全防护,所述系统包括:
在第一服务器从客户应用接收连接消息以访问至少一个服务器端点的连接消息接收装置,其中所述至少一个服务器端点包括地址、绑定单元、或合同单元中至少之一,其中所述端点的所述地址是托管服务的应用程序用来通知该服务的位置,其中所述绑定单元指定用来访问服务的传送机制或协议中至少之一,并且其中所述合同单元指示在服务内部访问的操作或需要用来访问资源的参数中至少之一,所述资源能经过所述服务器端点来访问;
响应于接收所述连接消息,在会话被授权开启时开启所述至少一个服务器端点和所述客户应用之间的所述会话的会话开启装置;
从所述客户应用接收请求以开启资源端点的资源端点开启装置,该资源端点提供对至少一种过程控制资源的从读访问、写访问、或订阅访问的组中选择的至少一种访问,所述资源端点由安全要求基于所述资源端点所提供的访问的类型来组织;
在确定客户应用被授权通过所述资源端点访问所述至少一种过程控制资源之后,开启开放的会话中的所述资源端点;
从所述客户应用接收请求以向所述资源端点分配至少一种所授权的过程控制资源的选择的选择分配装置;
向所述资源端点分配至少一种所选择的过程控制资源;以及
准许所述客户应用通过所述资源端点对所述至少一种过程控制资源的访问。
31.如权利要求30所述的系统,其中在所述至少一种过程控制资源授权被所述客户应用访问时,所述客户应用被提供有所述至少一种过程控制资源的列表。
32.如权利要求31所述的系统,其中响应于从所述客户应用接收发现资源请求消息,所述客户应用被提供有所述至少一种过程控制资源的列表,以发现与所述至少一个服务器端点相关联的所述至少一种过程控制资源。
33.如权利要求30所述的系统,其中所述资源端点响应于从所述客户应用接收开启端点请求消息而开启。
34.如权利要求30所述的系统,其中通过准许所述客户应用写访问、读访问、或订阅访问中的至少一种访问,所述客户应用被准许对所述至少一种过程控制资源的访问。
35.如权利要求30所述的系统,其中所述资源端点通过选择所述资源端点或创建所述资源端点中的至少一种而开启。
36.如权利要求30所述的系统,其中在接收所述连接消息之前,发现服务器请求消息从所述客户应用被接收,以发现所述至少一个服务器端点;
响应于接收所述发现服务器请求消息,授权被所述客户应用访问的所述至少一个服务器端点被确定;以及
至少一个所确定的服务器端点被提供给所述客户应用。
37.如权利要求36所述的系统,其中确定被做出以通过经由访问控制列表授权所述客户应用来确定所述客户应用是否被授权访问所述至少一个服务器端点或所述至少一种过程控制资源中的至少一个,所述访问控制列表使所述客户应用的工作站网络地址、所述客户应用的用户的身份、所述客户应用的工作站的位置、所述客户应用的身份、或所述客户应用所使用的协议中的至少一个有效。
38.如权利要求30所述的系统,其中一对标识符或一个标识符中的至少一个被分配给所述至少一种所选择的过程控制资源;
所述一对标识符或一个标识符中的所述至少一个与所述会话相关联;以及
所述一对标识符或一个标识符中的所述至少一个被传送至所述客户应用。
39.如权利要求30所述的系统,其中来自所述客户应用的信息通过所述资源端点被接收;以及
所述信息通过所述资源端点被存储到相应的至少一种所选择的过程控制资源。
40.如权利要求30所述的系统,其中数据、事件、或警报中的至少一种通过所述资源端点被发送至所述客户应用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610495450.1A CN106161438B (zh) | 2009-04-14 | 2010-04-14 | 为接口访问控制提供分层的安全防护的方法和设备 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16919909P | 2009-04-14 | 2009-04-14 | |
| US61/169,199 | 2009-04-14 | ||
| US12/637,439 US8887242B2 (en) | 2009-04-14 | 2009-12-14 | Methods and apparatus to provide layered security for interface access control |
| US12/637,439 | 2009-12-14 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610495450.1A Division CN106161438B (zh) | 2009-04-14 | 2010-04-14 | 为接口访问控制提供分层的安全防护的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101867566A CN101867566A (zh) | 2010-10-20 |
| CN101867566B true CN101867566B (zh) | 2016-08-03 |
Family
ID=42235968
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610495450.1A Active CN106161438B (zh) | 2009-04-14 | 2010-04-14 | 为接口访问控制提供分层的安全防护的方法和设备 |
| CN201010151782.0A Active CN101867566B (zh) | 2009-04-14 | 2010-04-14 | 为接口访问控制提供分层的安全防护的方法和设备 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610495450.1A Active CN106161438B (zh) | 2009-04-14 | 2010-04-14 | 为接口访问控制提供分层的安全防护的方法和设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8887242B2 (zh) |
| EP (1) | EP2242230B1 (zh) |
| JP (2) | JP5723105B2 (zh) |
| CN (2) | CN106161438B (zh) |
| GB (1) | GB2469557B (zh) |
Families Citing this family (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9871767B2 (en) * | 2005-07-18 | 2018-01-16 | Mutualink, Inc. | Enabling ad hoc trusted connections among enclaved communication communities |
| US9654200B2 (en) | 2005-07-18 | 2017-05-16 | Mutualink, Inc. | System and method for dynamic wireless aerial mesh network |
| US8887242B2 (en) | 2009-04-14 | 2014-11-11 | Fisher-Rosemount Systems, Inc. | Methods and apparatus to provide layered security for interface access control |
| US9122764B2 (en) | 2010-03-24 | 2015-09-01 | Fisher-Rosemount Systems, Inc. | Methods and apparatus to access process data stored on a server |
| US20110239109A1 (en) * | 2010-03-24 | 2011-09-29 | Mark Nixon | Methods and apparatus to display process data |
| US8868732B2 (en) | 2011-05-31 | 2014-10-21 | General Electric Company | Systems and methods for facilitating communication with foundation fieldbus linking devices |
| US8769072B2 (en) | 2011-05-31 | 2014-07-01 | General Electric Company | Systems and methods for identifying foundation fieldbus linking devices |
| US8713166B2 (en) | 2011-05-31 | 2014-04-29 | General Electric Company | Systems and methods for facilitating communication with foundation fieldbus linking devices |
| US8762528B2 (en) * | 2011-05-31 | 2014-06-24 | General Electric Company | Systems and methods for write protecting foundation fieldbus linking devices |
| US9130853B2 (en) | 2011-05-31 | 2015-09-08 | General Electric Company | Systems and methods for identifying foundation fieldbus linking devices |
| US8949350B2 (en) * | 2011-08-26 | 2015-02-03 | International Business Machines Corporation | Tracking desktop application referrals to content distributed over a network |
| JP5687239B2 (ja) * | 2012-05-15 | 2015-03-18 | 株式会社オプティム | オペレータ認証機能を備えたオペレータ認証サーバ、オペレータシステム、オペレータ認証方法、及び、プログラム |
| US9613330B2 (en) * | 2012-09-26 | 2017-04-04 | EMC IP Holding Company LLC | Identity and access management |
| US10866952B2 (en) | 2013-03-04 | 2020-12-15 | Fisher-Rosemount Systems, Inc. | Source-independent queries in distributed industrial system |
| US9397836B2 (en) * | 2014-08-11 | 2016-07-19 | Fisher-Rosemount Systems, Inc. | Securing devices to process control systems |
| US10909137B2 (en) | 2014-10-06 | 2021-02-02 | Fisher-Rosemount Systems, Inc. | Streaming data for analytics in process control systems |
| US9665088B2 (en) | 2014-01-31 | 2017-05-30 | Fisher-Rosemount Systems, Inc. | Managing big data in process control systems |
| US9558220B2 (en) | 2013-03-04 | 2017-01-31 | Fisher-Rosemount Systems, Inc. | Big data in process control systems |
| US10649449B2 (en) | 2013-03-04 | 2020-05-12 | Fisher-Rosemount Systems, Inc. | Distributed industrial performance monitoring and analytics |
| US10223327B2 (en) | 2013-03-14 | 2019-03-05 | Fisher-Rosemount Systems, Inc. | Collecting and delivering data to a big data machine in a process control system |
| US10282676B2 (en) | 2014-10-06 | 2019-05-07 | Fisher-Rosemount Systems, Inc. | Automatic signal processing-based learning in a process plant |
| US10386827B2 (en) | 2013-03-04 | 2019-08-20 | Fisher-Rosemount Systems, Inc. | Distributed industrial performance monitoring and analytics platform |
| US10678225B2 (en) | 2013-03-04 | 2020-06-09 | Fisher-Rosemount Systems, Inc. | Data analytic services for distributed industrial performance monitoring |
| US10649424B2 (en) | 2013-03-04 | 2020-05-12 | Fisher-Rosemount Systems, Inc. | Distributed industrial performance monitoring and analytics |
| GB2513706B (en) * | 2013-03-15 | 2020-09-23 | Fisher Rosemount Systems Inc | Method for initiating or resuming a mobile control session in a process plant |
| GB2513707B (en) * | 2013-03-15 | 2020-07-22 | Fisher Rosemount Systems Inc | Method for initiating or resuming a mobile control session in a process plant |
| WO2014145801A2 (en) | 2013-03-15 | 2014-09-18 | Fisher-Rosemount Systems, Inc. | Data modeling studio |
| US11112925B2 (en) | 2013-03-15 | 2021-09-07 | Fisher-Rosemount Systems, Inc. | Supervisor engine for process control |
| US10599860B2 (en) * | 2014-05-22 | 2020-03-24 | Tata Consultancy Services Limited | Accessing enterprise data |
| US10168691B2 (en) | 2014-10-06 | 2019-01-01 | Fisher-Rosemount Systems, Inc. | Data pipeline for process control system analytics |
| KR102410291B1 (ko) | 2014-11-14 | 2022-06-17 | 콘비다 와이어리스, 엘엘씨 | 허가 기반 리소스 및 서비스 발견 |
| WO2017007480A1 (en) * | 2015-07-09 | 2017-01-12 | Siemens Aktiengesellschaft | Self-defending smart field device and architecture |
| WO2017078723A1 (en) * | 2015-11-05 | 2017-05-11 | Hewlett-Packard Development Company, L.P. | Local compute resources and access terms |
| US10503483B2 (en) | 2016-02-12 | 2019-12-10 | Fisher-Rosemount Systems, Inc. | Rule builder in a process control network |
| CN110022310B (zh) * | 2019-03-15 | 2021-09-14 | 北京星网锐捷网络技术有限公司 | 基于云计算开放网络操作系统的授权方法及装置 |
| CN110827003B (zh) * | 2019-11-11 | 2022-03-29 | 北京网聘咨询有限公司 | 基于虚拟化技术的服务器与招聘客户端的整合方法 |
| US11601289B2 (en) * | 2020-01-07 | 2023-03-07 | Microsoft Technology Licensing, Llc | Securely rotating a server certificate |
| CN112286102A (zh) * | 2020-03-16 | 2021-01-29 | 陈力 | 智能家居权限控制方法、智能家居系统及服务器 |
| CN114726572A (zh) * | 2022-02-28 | 2022-07-08 | 南京第壹时间信息科技有限公司 | 互联网设备的访问方法及系统 |
| WO2024086008A1 (en) * | 2022-10-20 | 2024-04-25 | Fisher-Rosemount Systems, Inc. | Authentication/authorization framework for a process control or automation system |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5764915A (en) | 1996-03-08 | 1998-06-09 | International Business Machines Corporation | Object-oriented communication interface for network protocol access using the selected newly created protocol interface object and newly created protocol layer objects in the protocol stack |
| US5978850A (en) | 1997-07-02 | 1999-11-02 | National Instruments Corporation | System and method for accessing parameters in a fieldbus network using a tag parameters interface |
| US6715082B1 (en) | 1999-01-14 | 2004-03-30 | Cisco Technology, Inc. | Security server token caching |
| US7035850B2 (en) * | 2000-03-22 | 2006-04-25 | Hitachi, Ltd. | Access control system |
| US6850979B1 (en) | 2000-05-09 | 2005-02-01 | Sun Microsystems, Inc. | Message gates in a distributed computing environment |
| AU2001278328A1 (en) * | 2000-07-26 | 2002-02-05 | David Dickenson | Distributive access controller |
| US6986040B1 (en) | 2000-11-03 | 2006-01-10 | Citrix Systems, Inc. | System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel |
| US8073967B2 (en) * | 2002-04-15 | 2011-12-06 | Fisher-Rosemount Systems, Inc. | Web services-based communications for use with process control systems |
| JP2002366415A (ja) | 2001-06-06 | 2002-12-20 | Nippon Telegr & Teleph Corp <Ntt> | リダイレクトシステムおよびリダイレクト装置 |
| JP2003023676A (ja) | 2001-07-10 | 2003-01-24 | Hitachi Ltd | 遠隔操作システム |
| US20030061515A1 (en) | 2001-09-27 | 2003-03-27 | Timothy Kindberg | Capability-enabled uniform resource locator for secure web exporting and method of using same |
| JP2003140704A (ja) | 2001-11-06 | 2003-05-16 | Yamatake Sangyo Systems Co Ltd | プロセス制御装置 |
| JP4040886B2 (ja) * | 2002-02-15 | 2008-01-30 | 三菱電機株式会社 | コンテンツ管理システムおよびコンテンツ管理方法 |
| JP3751584B2 (ja) * | 2002-08-05 | 2006-03-01 | 株式会社デジタル | 制御用表示装置、および、そのプログラムが記録された記録媒体、並びに、制御システム |
| JP2004127172A (ja) | 2002-10-07 | 2004-04-22 | Matsushita Electric Ind Co Ltd | コンテンツ閲覧制限装置、コンテンツ閲覧制限方法およびコンテンツ閲覧制限プログラム |
| US7143288B2 (en) * | 2002-10-16 | 2006-11-28 | Vormetric, Inc. | Secure file system server architecture and methods |
| US7237109B2 (en) | 2003-01-28 | 2007-06-26 | Fisher- Rosemount Systems, Inc. | Integrated security in a process plant having a process control system and a safety system |
| US7502323B2 (en) * | 2003-05-28 | 2009-03-10 | Schneider Electric Industries Sas | Access control system for automation equipment |
| US20050160161A1 (en) | 2003-12-29 | 2005-07-21 | Nokia, Inc. | System and method for managing a proxy request over a secure network using inherited security attributes |
| JP2007536634A (ja) * | 2004-05-04 | 2007-12-13 | フィッシャー−ローズマウント・システムズ・インコーポレーテッド | プロセス制御システムのためのサービス指向型アーキテクチャ |
| PL1715395T3 (pl) * | 2005-04-22 | 2008-11-28 | Trumpf Laser Gmbh Co Kg | Urządzenie do bezpiecznego dostępu zdalnego |
| US9871767B2 (en) * | 2005-07-18 | 2018-01-16 | Mutualink, Inc. | Enabling ad hoc trusted connections among enclaved communication communities |
| US20070143827A1 (en) | 2005-12-21 | 2007-06-21 | Fiberlink | Methods and systems for intelligently controlling access to computing resources |
| US8380979B2 (en) * | 2005-12-22 | 2013-02-19 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for invoking trust-controlled services via application programming interfaces (APIs) respectively associated therewith |
| US20070219908A1 (en) * | 2006-03-02 | 2007-09-20 | Yahoo! Inc. | Providing syndicated media to authorized users |
| JP2007323340A (ja) | 2006-05-31 | 2007-12-13 | Toshiba Corp | アカウントリンクシステム,アカウントリンク用コンピュータ,およびアカウントリンク方法 |
| US8290949B2 (en) * | 2006-07-24 | 2012-10-16 | International Business Machines Corporation | Resource name reconciliation in a configuration database |
| JP4935274B2 (ja) | 2006-09-27 | 2012-05-23 | 大日本印刷株式会社 | サーバ及びプログラム |
| US7950045B2 (en) * | 2006-12-13 | 2011-05-24 | Cellco Partnership | Techniques for managing security in next generation communication networks |
| US8141143B2 (en) | 2007-05-31 | 2012-03-20 | Imera Systems, Inc. | Method and system for providing remote access to resources in a secure data center over a network |
| US7996896B2 (en) * | 2007-10-19 | 2011-08-09 | Trend Micro Incorporated | System for regulating host security configuration |
| US8887242B2 (en) | 2009-04-14 | 2014-11-11 | Fisher-Rosemount Systems, Inc. | Methods and apparatus to provide layered security for interface access control |
-
2009
- 2009-12-14 US US12/637,439 patent/US8887242B2/en active Active
-
2010
- 2010-04-08 GB GB1005809.7A patent/GB2469557B/en active Active
- 2010-04-13 JP JP2010092131A patent/JP5723105B2/ja active Active
- 2010-04-14 CN CN201610495450.1A patent/CN106161438B/zh active Active
- 2010-04-14 CN CN201010151782.0A patent/CN101867566B/zh active Active
- 2010-04-14 EP EP10159915.7A patent/EP2242230B1/en active Active
-
2014
- 2014-12-01 JP JP2014242890A patent/JP5938088B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN101867566A (zh) | 2010-10-20 |
| JP2015097091A (ja) | 2015-05-21 |
| JP5938088B2 (ja) | 2016-06-22 |
| EP2242230A3 (en) | 2012-03-07 |
| JP2010250825A (ja) | 2010-11-04 |
| EP2242230A2 (en) | 2010-10-20 |
| GB2469557B (en) | 2014-10-01 |
| GB2469557A (en) | 2010-10-20 |
| JP5723105B2 (ja) | 2015-05-27 |
| EP2242230B1 (en) | 2017-02-22 |
| US20100263025A1 (en) | 2010-10-14 |
| US8887242B2 (en) | 2014-11-11 |
| GB201005809D0 (en) | 2010-05-26 |
| CN106161438B (zh) | 2019-07-12 |
| CN106161438A (zh) | 2016-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101867566B (zh) | 为接口访问控制提供分层的安全防护的方法和设备 | |
| CN104718526A (zh) | 安全移动框架 | |
| US7117529B1 (en) | Identification and authentication management | |
| CN102346832B (zh) | 电子通信的增强的安全性 | |
| EP1640836B1 (en) | Centrally managed proxy-based security for legacy automation systems | |
| EP2368339B1 (en) | Secure transaction authentication | |
| CN108011862A (zh) | 镜像仓库授权、访问、管理方法及服务器和客户端 | |
| JP2020536304A (ja) | 単一の産業ネットワーク上の多テナント・データアクセスを可能にすること | |
| CN108259432A (zh) | 一种api调用的管理方法、设备及系统 | |
| Ghosh et al. | SoftAuthZ: a context-aware, behavior-based authorization framework for home IoT | |
| CN103179106A (zh) | 对未授权的访问请求使用假肯定响应的网络安全 | |
| CN107426174A (zh) | 一种可信执行环境的访问控制系统及方法 | |
| CN106027463A (zh) | 一种数据传输的方法 | |
| WO2021260495A1 (en) | Secure management of a robotic process automation environment | |
| Ahmed et al. | A Method for Eliciting Security Requirements from the Business Process Models. | |
| KR101213287B1 (ko) | 빌딩 에너지 통합 관제 장치 및 방법 | |
| Vernotte et al. | In-depth modeling of the UNIX operating system for architectural cyber security analysis | |
| Elkhawas et al. | Security perspective in rami 4.0 | |
| Shen et al. | An Improved Security Method for Mobile Agent System by Using Trusted Computing Platform | |
| Shen et al. | Trust management for mobile agent system based on trusted computing platforms | |
| Eustice et al. | Enabling Secure Ubiquitous Interactions. | |
| Camek et al. | Providing security to a smart grid prosumer system based on a service oriented architecture in an office environment | |
| Huda et al. | Privacy protection in mobile agent based service domain | |
| Carruthers | Account Security | |
| Ezziyyani et al. | Security techniques and specifications for the resources protection in mediation systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |