CN102317876B - 具有网络隔离和通信过滤器的通信模块 - Google Patents
具有网络隔离和通信过滤器的通信模块 Download PDFInfo
- Publication number
- CN102317876B CN102317876B CN200980156848.0A CN200980156848A CN102317876B CN 102317876 B CN102317876 B CN 102317876B CN 200980156848 A CN200980156848 A CN 200980156848A CN 102317876 B CN102317876 B CN 102317876B
- Authority
- CN
- China
- Prior art keywords
- address
- permission
- packet
- source
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/052—Linking several PLC's
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/4026—Bus for use in automation systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明的各个方面提供用于保护可编程逻辑控制器(PLC)201和工厂网络203免受越权访问以及用于提供鲁棒的预期的通信的装置、系统,以及计算机可读介质。通信模块211在不使用外部的基础设施网络设备的情况下,仅提供在工厂网络和控制网络/办公网络205之间的预期的通信并阻挡在这两者之间的所有未预期的通信。通信模块包括以太网交换机303和电耦合CPU模块209、工厂网络,以及控制/办公网络的端口以及通过基于配置信息406和504转发数据包来控制从控制/办公网络到PLC和工厂网络的通信,其中通过端口接收数据包。通信模块仅在相关的源地址和目的地址与配置信息一致时才传递数据包。通信模块还可基于数据包流量限制来传递数据包。
Description
背景
以太网技术被广泛使用在住宅、办公和工业部门。由于以太网网络和信息技术变得更加流行和更加成熟,趋势为在许多工业通信和自动化应用中使用以太网技术作为主要的通信接口。因为过程控制工业和自动化工业认识到以太网技/TCP/IP的重要性,以太网网络协议成为在过程级和控制级的主导通信技术。
可编程逻辑控制器(PLC)和分布式控制系统(DCS)的许多生产商生产包含内置的以太网接口的产品,其能够被使用以连接PLC、以太网I/O,以及其它工业仪器。因此,以太网技术从非重要的办公环境转移到重要的但几乎不可预测的工业环境。然而,传统的现成的以太网设备典型地不能达到工业应用的高可靠性要求。
工业网络可能因此易受到内部的和外部的网络攻击和仍然能破坏系统的性能/操作的非有意的行为的影响。作为防止外部的网络攻击的措施,可采取防火墙或其它安全措施以从将工业网络与其它网络隔离。然而,工业网络仍然比较脆弱,因为安全措施在预防由病毒、蠕虫、木马程序和其它形式的恶意代码的外部攻击以及可出现的计算机黑客入侵、侵入、内部攻击、错误,以及疏漏方面并非十分安全的。此外,例如,受感染的PC或系统能够通过使用调制解调器、直接的连接,或通过虚拟专用网络(VPN)连接到工业网络来绕开防火墙。PC或系统然后可引入蠕虫或其它形式的恶意代码到工业网络中。另外,PC或系统可被直接地连接到在防火墙之后的网络。上述所有的场景可导致工业自动化环境中的降低的性能或可造成该环境的通信失败。虽然在办公环境中的通信失败可能仅仅造成较小的不便,但在工业环境中即使短暂的通信失败也可造成安全隐患和极大的资产损失。
除此之外,经常用于重要的工业系统的管理,例如,发电和配电、石油生产、运输、制造和卫生服务的PLC(可编程逻辑控制)、输入/输出设备、HMI(人机接口)、DCS(分布式控制系统)、监测控制和数据采集(SCADA),以及自动化控制设备通过普及的通信技术的使用而变得日益互连,所述通信技术例如,以太网、TCP/IP和网络服务。虽然SCADA的网络体系和自动化控制设备以改进的数据流和效率的形式带来了相当大的利益,但其也暴露了这些系统受病毒、黑客和恐怖分子的攻击的可能性,如一旦隔离的设备和网络可从外界访问时。在全球可能存在许多未被充分保护的控制系统。这些设备可能承担重要的系统和基础设施的安全操作,例如,电力传输变电站、天然气管道、制造工厂等,但同时对于可能以它们为攻击目的的恶意人员处于主要的无保护状态。
除了安全考虑,控制系统对于可破坏系统的性能/操作的非有意的行为是比较脆弱的。例如,合法地连接到控制系统的设备可使用到控制系统内的另外的设备的消息来充满网络。因此,在控制系统中的具有时间关键的通信要求的其它设备可受到不利的影响。
根据现有技术,解决以上问题的一种方法为监控工业网络的事件和相应地提出警告。工业网络可执行风险评估和依照风险评估做出响应。涉及关于工业网络的性能、健康和安全信息的很多状况以及反映工业网络外部的状况的其它因素可被考虑。然而,警报的监控为可用于触发阻止访问的行动的预警能力,但所述行动通过其自身不能阻止访问。
传统的安全解决方案也是基于保护不安全的内部设备或计算机接触外部世界的中央防火墙。然而该方法通常不解决工业控制领域的要求。存在的控制器典型地不提供验证、完整性或保密机制以及可由能够找到或“Ping”网络以及相关的设备的任何个人完全地控制。除此之外,传统的安全解决方案典型地不能被容易地修补和不具有附加到它们的安全特性。一旦病毒或黑客设法通过传统的防火墙(或已经在其内部),则由防火墙保护的设备,例如,典型的可编程逻辑控制器(PLC)或分布式控制系统(DCS)成为简单的攻击目的。
概述
本发明的一个方面提供用于保护可编程逻辑控制器(PLC)和工厂网络免受越权访问以及用于提供鲁棒的预期的通信的装置和计算机可读介质。以太网通信接口模块设计在不使用工业自动化领域的外部的基础设施网络设备的情况下,保护工厂网络并仅提供在工厂网络和控制网络/办公网络之间的预期的通信且阻挡这两者之间的所有未预期的通信。
根据本发明的另一方面,在可编程逻辑控制器(PLC)中的通信模块包括以太网交换机和电耦合CPU模块、工厂网络,以及控制/办公网络的端口。模块通过基于配置信息传递数据包控制从控制/办公网络到PLC和工厂网络的通信,其中数据包通过端口和以太网交换机被接收。通信模块仅在相关的源地址和目的地址与配置信息一致时传递数据包。通信模块还可基于数据包流量限制传递数据包。
根据本发明的另一方面,通信模块基于利用源地址、目的地址和应用识别(应用协议)的标准过滤数据包。过滤可发生在开放式系统互联(OSI)基本参考模型的层2或层3。在满足标准时,数据包被转发到目的地址。
附图简述
本发明的更加完整的理解及其优势可通过参考以下描述并结合附图来获得,其中相同的参考数字表示相同的特征,以及其中:
图1示出根据现有技术的控制系统。
图2示出了根据本发明的实施方式的控制系统。
图3示出了根据本发明的实施方式的可编程逻辑控制器的方框图。
图4示出了根据本发明的实施方式在OSI层2操作的保护块的流程图。
图5示出了根据本发明的实施方式在OSI层3操作的保护块的流程图。
图6示出了根据本发明的实施方式的通信模块的方框图。
详细描述
在以下各种实施方式的描述中,参考形成其一部分的附图,以及通过示例示出本发明可被实践的各种实施方式。应该理解,其它实施方式可被利用以及在不偏离本发明的范围的情况下可进行结构和功能的修改。
图1示出了根据现有技术的控制系统100。可编程逻辑控制器(PLC)101通常控制工业环境中的自动化过程,其包括通信模块111、CPU模块109、电源107和背板127。通信模块111提供在PLC101和工厂网络103和控制网络105(通过路由器121)之间的通信接口。工厂网络103为工厂设备113和115提供网络连接以及通过接收输出信息和发送输入信息与PLC101进行通信而与直接操作自动化操作相关联。背板127提供在专用的功能模块之间的通信,例如,通信模块111,以及CPU模块111。电源107通过背板127供应电力到CPU模块109和通信模块111。
控制网络105连接控制/办公设备117和119,其典型地负责监控、配置,以及监督控制。控制/办公设备117和119典型地不参与自动化操作但是监控工厂活动。同样,控制网络105通过防火墙123连接到互联网服务提供者(ISP)125。
系统100的网络类型通常不会将控制网络105与工厂网络103和PLC101隔离。因此,对到和来自控制105的过量的消息的处理可破坏由PLC101和工厂网络103支持的自动化过程。
图2示出了根据本发明的实施方式的控制系统200。可编程逻辑控制器(PLC)以太网通信接口模块设计防御PLC201和工厂网络203的越权进入以及提供健全的预期的通信。以太网通信接口模块设计在不使用典型地包括在传统的工业自动化系统的外部的基础设施网络设备的情况下,保护工厂网络203,并仅提供在工厂网络203和控制网络/办公网络205之间的预期的通信,并阻挡在这两者之间的所有未预期的通信。
可编程逻辑控制器(PLC)201包括电源207、CPU模块209,以及专用的接口模块(例如,通信模块211)。电源207使用背板233供应电力到CPU模块209和通信模块211。此外,背板233支持在CPU模块209和专用的功能模块之间的通信。
专用的功能模块为CPU模块209提供专用的功能。实例包括数字输入模块、数字输出模块、模拟输入模块、模拟输出模块、以太网/IP接口模块,以及以太网接口模块。
工厂网络203提供支持在工厂设备213和215和PLC201之间的通信的网络拓扑结构。工厂设备典型地为直接地或间接地参与自动化操作的决策制定过程以及典型地负责自动化操作的设备。设备213和215与PLC201通信以及接收输出信息和发送输入信息用于自动化操作。
工厂设备213和215的实例包括配置工程工具(CET),人机接口(HMI)、输入设备、输出设备、远程输入/输出设备、远程PLC,以及其它现场总线网关。在CPU模块209和工厂网络设备之间的数据流典型地为时间关键的,因为这些设备参与工业自动化操作。
控制网络205为控制/办公设备217和219提供通信,从而监控、配置,以及执行系统200的管理控制。设备217和219典型地不直接地参与自动化操作但是监控工厂活动。设备217和219也可与PLC201通信。控制设备的实例包括(但不限制为)管理控制和数据采集(SCADA)、工厂监控站、维修站、库存系统、会计站和互联网服务器。在控制网络205和PLC201之间的通信典型地不像在工厂网络203和PLC201之间的通信一样时间关键。
如将进一步讨论的,通信模块211支持用于在控制/办公设备217和219(对应端口227)、工厂设备213和215(对应端口225)和CPU模块209之间(对应端口229和231)通信的不同的以太网端口。除此之外,一些服务的通信可通过背板233在通信模块211和CPU模块209之间被支持。同样,虽然图2仅描述了两个控制/办公设备和两个工厂设备,本发明的实施方式典型地在每个网络上支持多于两个设备。
图3示出了根据本发明的实施方式的可编程逻辑控制器201的方框图。PLC201包括以太网通信接口组件211,其包括以太网交换机303、OSI层2组件305、OSI层3组件307、OSI层4到6组件309、OSI层7应用组件311、应用协议接口(API)313、通信接口模块服务组件315、背板233、背板接口317,以及保护控制管理器318。
开放式系统互联基本参考模型(OSI参考模型或OSI模型)为用于分层的通信和计算机网络协议设计的概要的描述。OSI参考模型将网络体系结构分为七层,从顶部到底部,为应用层(层7)、表示层(层6)、会话层(层5)、传输层(层4)、网络层(层3)、数据链路层(层2),以及物理层(层1)。层为概念类似的功能的集合,其提供服务到其上面的一层以及从其下面的一层接收服务。例如,在网络间提供无误差通信的层提供由在其上的应用需要的路径,同时其调用下一个更低的层来发送和接收组成路径的内容的数据包。
模块211通过在不同的层处理数据包流来执行用于网络保护的数据包流的过滤。首先,数据包到达以太网端口225a、225b、227a、227b,或229以及在交换机303的存储器中被存储。交换机过滤器327随后从交换机存储器接收数据包。数据包过滤块327识别数据包以及根据配置转发或丢弃数据包。层2过滤器319从交换机303接收数据包以及随后识别和检查带宽利用率。层2过滤器319根据配置转发或丢弃数据包。层3过滤器321从层2接收数据包,从APDU(应用协议数据单元,未被示出)提取信息,基于IP地址和应用协议验证所有基于IP的服务和带宽利用率,以及在应用协议的范围内(例如,不论数据包是否为以太网/IP类型)验证更详细的信息。过滤器321能够提取和检查明确的和暗含的消息类型以及提取和检查CIP(通用工业协议)服务类型以及检查目标类型和目标属性。因此,过滤器321能够从APDU在信息的最深可用层次提取和检查。如果根据配置数据包被指定用于模块211、CPU模块209,或其目的地址,层3过滤器321根据配置转发数据包到层7。层3过滤器321根据控制管理器318的配置转发或丢弃数据包。层7组件(应用层)311通过层4和6组件309从层3接收数据包。数据包将被转发到应用协议接口313。数据包典型地穿过过滤器的不同的层从而到达其目的地址,因此禁止未授权的访问和在PLC201和工厂网络203之间创建健全的通信。
以太网交换机303包括端口229、225a、225b和227a、227b、数据包过滤块327,以及以太网交换机管理器329。端口225a和225b对应端口225(如在图2中所示)以及端口227a和227b对应端口227以及提供用于增强鲁棒性的冗余度。端口229、225a、225b、227a和227b典型地与OSI层2相关联以及由以太网交换机303管理,从而连接到交换机303的物理网络。
保护控制管理器318通过配置工具301提供与用户的接口。在图3中所示的实施方式,用户通过配置工具301键入配置数据到组件318,从而配置所有过滤器和保护块。用户典型地配置访问控制、限制对设备的访问、带宽利用率控制、在其最深层次的应用协议过滤器、ARP突袭保护、数据包突袭保护,以及拒绝服务(DOS)攻击保护。控制管理器318支持在交换层、层2,以及层3的配置信息。
以太网交换机303支持根据以太网规范的端口对。交换机303典型地支持数据包过滤和端口速率限制功能。以太网交换机管理器329由用户通过配置工具301配置,其发送配置信息322到以太网交换机管理器329。数据包过滤块327在交换级过滤数据包。关于一个实施方式,数据包过滤块327位于交换机303内从而减少微处理器处理时间。通过在最初等级过滤数据包,可在更高层处理时节约处理时间和资源。
数据包过滤块327在以太网交换层处理通过端口229、225a、225b、227a和227b接收的数据包。如果数据包过滤块327确定数据包与配置数据322一致,其传递过滤的数据包到OSI层2组件305以用于通过保护块319进行的进一步处理,如将在图4中所示的流程图中讨论的。如果保护块327确定依照层2保护配置信息323数据包应被丢弃,则数据包被丢弃;否则,数据包被传递到OSI层3组件307。
OSI层2组件305在交换等级之后执行数据包的过滤。交换机303通常不能过滤所有不需要的数据包流量。组件305包括保护块319,其由用户利用配置工具301通过配置信息323进行配置。因此,保护块319根据配置来过滤访问的数据包流量。例如,组件305可通过计算传入的数据包速率来提供速率限制功能以及控制数据包流。根据本发明的实施方式,如果传入的数据包速率高于层配置信息323允许的速率,则数据包被丢弃。工厂网络203典型地具有最高的可用带宽。组件305的操作结合在图4中所示的流程图319进一步被讨论。
OSI层3组件307在IP层执行数据包的过滤。保护块321根据配置识别IP信息以及过滤IP数据包以允许或拒绝访问PLC201或工厂网络设备213和215。保护块321从保护控制管理器318获得层3配置信息325。组件307也确定服务协议和根据配置传递数据包到指定的目的或丢弃数据包。在与配置信息325一致时,该行为允许组件307通过转发数据包批准或拒绝基于IP协议的数据包到预期的目的设备。因此,组件307在控制网络/办公网络205、PLC201,以及工厂网络203之间提供有限的网络透明度。
到模块服务315的数据包可由OSI层4-6组件309处理以及由OSI层7组件311进一步处理。组件311典型地不提供任何过滤,以及处理可表示应用协议的数据包(不限制但包括以太网/IP、MODBUSTCP、FTP、SNMP、SMTP、NTP以及其它应用协议)来与PLC209或由模块211或另外的接口模块提供的模块服务通信。
应用协议接口313提供在应用协议311和模块服务315之间的接口。通信接口模块服务315为提供在应用协议和模块服务之间的必要的接口的软件组件。在一个实施方式中,组件315充当在应用接口313和背板233之间的数据桥接器。组件315从应用接口313提取数据以及转换数据以使其对于CPU模块209为可理解的,反之亦然。到模块接口317的背板提供在背板233和模块服务315之间的接口服务。背板233提供在CPU模块209和其它专用功能模块例如,通信模块211之间的接口。在一个实施方式中,在CPU模块209和模块211之间的通信仅通过背板233发生。CPU模块209能够使用以太网端口231或229被编程、配置或监控。
图4示出了根据本发明的实施方式的在OSI层2操作的保护块的流程图319。块319在媒体访问控制(介质访问控制)(MAC)数据通信协议子层操作,其为在七层OSI模型中指定的数据链路层(层2)的子层。MAC子层典型地提供寻址和通道访问控制机制,其中MAC地址与主机的链路层(硬件)地址相关联。在步骤401,保护块319从以太网交换机303接收数据包。在步骤402,保护块319解析数据包从而提取目的MAC地址、源MAC地址,以及服务协议类型。步骤402还确定与提取的源MAC地址、目的MAC地址,以及服务协议类型相关联的当前的数据包速率。数据包速率典型地在预先确定的时间段进行平均。(服务协议类型的实例包括地址解析协议(ARP)、点对点协议、反向地址解析协议、数据链路层、帧中继、网关GPRS支持节点、高级数据链路控制、IEEE802.2、链路控制协议,以及媒体访问控制。)步骤403还可确定数据包流的数据包速率的改变。
根据本发明的实施方式,步骤404还解析标签协议标识符(TPID)和标签控制信息和用户优先权(TCI),其可能在网络203和205支持虚拟局域网络(VLAN)时被包括,。
来自步骤401-404的访问信息随后由决策引擎451基于配置信息406j进行处理,该配置信息对应来自如在图3中所示的保护控制管理器318的层3配置信息323。步骤405和407以及416依照配置数据406执行。配置信息406可基于服务协议和/或MAC地址。
在一个实施方式中,如在图4中所示,层2配置数据406包括优先权表格、数据包流流量活动的预先确定的阈值(例如,最大速率和上升速率),以及支持的服务协议。配置数据406典型地取决于MAC源地址和目的地址。
提取的目的MAC目的地址和源地址与包含在步骤407-409中的允许的MAC地址对进行比较。如果地址对不被允许,数据包在步骤414被丢弃。否则,提取的数据由步骤410-411处理以确定数据包流活动等级(例如,在数据包被接收的时间的数据包速率和增大的数据包速率)是否超过在配置信息406中指定的配置限制(例如,预先确定的阈值)。如果是,数据包在步骤414被丢弃。
在步骤412,如果数据包排队,则依照优先权等级(对应TCI)发送数据包。如果数据包在交换层被转发,如由步骤413确定的,数据包在步骤416被转发到指定的MAC地址。例如,与一些服务例如,地址解析协议(ARP)、互联网控制消息协议(ICMP),以及实时流传输协议(RSTP)相关联的数据包在层3不会被处理。否则,数据包在步骤415在OSI层3由保护块321(如在图5中所示)进一步处理。
图5示出了根据本发明的实施方式的在OSI层3操作的保护块的流程图321。在块415确定数据包还应该在层3被处理时,步骤501从保护块415接收数据包。在步骤502,目的IP地址、源IP地址,以及服务协议类型(应用协议典型地包含在层3的数据包域)从数据包中提取。步骤502还确定包含数据包的数据包流的当前数据包速率。
从数据包提取的信息由决策引擎551依照层3配置信息504进行处理,该配置信息504对应如在图318中所示的保护控制管理器318的配置信息325。步骤505-507确定目的IP地址和源IP地址对是否为允许的。如果不是,数据包在步骤511被丢弃。否则,数据包由步骤508进一步处理以确定数据包是否与在目的IP地址和源IP地址之间的允许的应用协议类型相关联。如果不是,数据包在步骤511被丢弃。
步骤509还确定当前的数据包流量活动等级是否与配置信息504一致。如果不是,数据包在步骤511被丢弃。否则,步骤510确定数据包是否还应该通过步骤512在OSI层4-7(对应在图3中所示的组件309)被处理。例如,数据包可与由模块服务315(由IP目的地址识别的)支持的服务相关联,其中数据包还由OSI层7应用组件311处理。然而,与不被通信模块211支持的其它服务相关联的数据包可由步骤513通过在以太网交换机303上的端口被传递到目的IP地址。
在一个实施方式中,如在图5中所示的,层3配置信息406包括在允许的IP源地址和IP目的地址之间的映射以及可取决于应用服务的类型的数据包流流量活动限制。
如以上描述的,通信模块211通过控制与控制/办公网络205的通信提供在PLC201和工厂网络203之间鲁棒的以太网通信。为了访问PLC201和工厂网络203,控制网络设备/办公网络设备217和219通过模块11通信。该网络拓扑结构提供在工厂网络203和控制网络/办公网络205之间的网络隔离。
模块211具有集成的可管理的以太网交换机(交换机303)。集成的交换机创建了在模块211内的在工厂网络203和控制网络/办公网络205之间的物理隔离和逻辑隔离。该隔离对工厂网络203提供了防止未授权的访问数据和操作的数据和自动化操作保护。
在本发明的实施方式中,模块211在工厂网络203和控制/办公网络205之间提供用于工厂监控、管理控制和其它工业自动化预期的活动的预期的通信的可配置的通信透明度。模块211提供由数据包突袭造成的资源耗竭保护。这可增加模块211的效率以及显著地增加预期的数据包传递的概率。模块211也能够防御拒绝服务(DOS)和ARP突袭且也能够过滤广播和防御广播突袭。
模块211也支持集成的用户可配置的OSI层3过滤器功能(对应保护块321)。层3过滤器功能可过滤应用协议以及还可过滤应用协议内的服务参数。
模块211能够被配置以通过保护控制模块318提供IP过滤。在控制网络/办公网络205上的设备能够仅根据配置访问PLC201和在工厂网络203上的设备。在控制网络/办公网络205上的设备能够仅根据配置从PLC201和工厂网络203上的设备发送/接收以太网/IP请求响应。此外,在控制网络/办公网络205上的设备能够仅根据配置从PLC201和工厂网络203上的设备发送/接收以太网/IP不同的服务请求响应。在控制网络/办公网络205上的设备能够仅根据配置从PLC201和工厂网络203上的设备发送/接收与应用层7服务和工业现场总线协议(例如,以太网/IP、MODBUSTCP、HTTP、FTP、SMTP、NTP、SNMP以及其它应用服务)相关联的数据包。
模块211也支持基于网络服务和工业现场总线协议(例如,FTP和以太网/IP)的带宽利用率。该功能可预防工厂网络203和PLC201的过载。在控制网络/办公网络205上的设备217能够发送每秒配置数量的数据包到PLC201和在工厂网络205上的设备213和215。如果设备217以大于每秒配置的数据包的数据包速率发送,则模块211丢弃额外接收的数据包。
模块211根据配置也支持在工厂网络设备213和215与控制网络设备/办公网络设备213和215之间的点对点通信。模块211提供从控制网络/办公网络205到工厂网络203的越权数据访问的访问保护。
图6示出了根据本发明的实施方式的通信模块211的方框图600。计算设备601在通过以太网交换机603接收的数据包上执行过程319和321。过程319和321都依照从配置管理器609获得的配置信息分别在层2和层3执行数据包的过滤。经处理的数据包基于应用被丢弃或通过背板接口或以太网交换机603被转发到指定的目的地。
本发明的实施方式可包括计算机可读介质的形式。计算机可读介质包括能够通过计算设备601从存储器607访问的任何可用介质。计算机可读介质可包括存储介质和通信介质。存储介质包括在用于信息存储的任何方法或技术中实施的易失性的和非易失性、可移除的和非可移除的介质,所述信息例如,计算机可读指令、目标代码、数据结构、程序模块,或其它数据。通信介质包括任何信息传递介质且通常以调制的数据信号诸如载波或其它传送机制包含数据。
虽然没有要求,但本领域的普通技术人员将理解到,在此描述的各个方面可被实现为方法、数据处理系统,或存储计算机可执行指令的计算机可读介质。例如,设想了存储使处理器执行依照本发明的一个方面的方法的步骤的指令的计算机可读介质。在此公开的方法步骤的方面可在计算设备601上的处理器上执行。该处理器可执行存储在计算机可读介质上的计算机可执行指令。
如能够被本领域技术人员理解的,具有包含用于控制计算机系统的指令的相关的计算机可读介质的计算机系统能够被利用以执行在此公开的示例的实施方式。计算机系统可包括至少一个计算机,例如,微处理器、数字信号处理器,以及相关联的外围电子电路。
虽然本发明描述了关于包括执行本发明的目前优选的方式的具体的实例,但那些本领域技术人员将理解到存在落入在随附的权利要求中提出的本发明的精神和范围内的以上描述的系统和技术的许多变化和序列。
Claims (15)
1.一种在可编程逻辑控制器中的接口模块,包括:
以太网交换机;
第一端口,其通过所述以太网交换机电耦合到所述可编程逻辑控制器的CPU模块;
第二端口,其通过所述以太网交换机电耦合到工厂网络;
第三端口,其通过所述以太网交换机电耦合到控制/办公网络;以及
处理器,其被配置以通过以下步骤控制从所述控制/办公网络到所述可编程逻辑控制器和所述工厂网络的通信:
从数据包提取允许的源介质存取控制地址、允许的目的介质存取控制地址,以及服务协议类型,其中所述允许的源介质存取控制地址和所述允许的目的介质存取控制地址被包括在用户配置表格的地址表格中;
确定开放式系统互联基本参考模型OSI层2的数据包活动等级;
基于开放式系统互联基本参考模型OSI层2的配置信息、提取的允许的源介质存取控制地址、允许的目的介质存取控制地址和提取的服务协议类型,以及所确定的开放式系统互联基本参考模型OSI层2的数据包活动等级确定是否传递所述数据包用于在开放式系统互联基本参考模型OSI层3做进一步处理;
在所述数据包在开放式系统互联基本参考模型OSI层3被处理时,从所述数据包提取允许的源IP地址、允许的目的IP地址,以及允许的应用服务指示符;
确定开放式系统互联基本参考模型OSI层3的数据包活动等级;
基于开放式系统互联基本参考模型OSI层3的配置信息、所提取的允许的源IP地址、允许的目的IP地址和在信息的最深层次的所提取的允许的应用服务指示符,以及所确定的开放式系统互联基本参考模型OSI层3的数据包活动等级确定是否传递所述数据包,其中所述数据包通过所述端口中的一个被转发到所述允许的目的IP地址或在所述允许的目的IP地址对应所述接口模块时,被发送到较高的层进行处理;以及
根据在应用协议的最深层次所配置的进行过滤。
2.根据权利要求1所述的接口模块,还包括:
配置管理器,其被配置以提供所述配置信息。
3.根据权利要求1所述的接口模块,其中所述处理器被配置为
仅在所述配置信息指示所述数据包被允许用于包含在所述数据包中的所述允许的源介质存取控制地址和所述允许的目的介质存取控制地址时,才传递所述数据包到所述允许的目的介质存取控制地址;以及
仅在所述配置信息指示所述数据包被允许用于包含在所述数据包中的所述允许的源IP地址和所述允许的目的IP地址时,才传递所述数据包到所述允许的目的IP地址。
4.根据权利要求3所述的接口模块,其中所述处理器被配置为仅在所述配置信息还指示与所述数据包相关的服务类型被允许时,才传递所述数据包。
5.根据权利要求1所述的接口模块,其中所述处理器被配置为仅在所述配置信息指示数据包流量活动等级在用于服务的预先确定的数据包阈值以下时,才传递所述数据包到所述允许的目的介质存取控制地址和所述允许的目的IP地址。
6.根据权利要求1所述的接口模块,其中所述处理器在开放式系统互联基本参考模型OSI层2处理所述数据包以确定是否传递所述数据包。
7.根据权利要求1所述的接口模块,其中所述处理器在开放式系统互联基本参考模型OSI层3处理所述数据包以确定是否传递所述数据包。
8.根据权利要求1所述的接口模块,其中所述处理器还被配置以在所述允许的目的IP地址不对应所述接口模块时,通过所述以太网交换机转发所述数据包到所述允许的目的IP地址。
9.根据权利要求1所述的接口模块,其中所述处理器还被配置以:
将多个预定的数据包流流量活动限制映射到多个允许的地址对,其中所述允许的地址对中的一个地址对包括允许的源地址和允许的目的地址;
响应于数据包流量活动等级相对于所述允许的地址对中相应的一个地址对低于所述预定的数据包流流量活动限制,将所述数据包从所述允许的源地址传递到所述允许的目的地址;
在对于所述允许的源地址或所述允许的目的地址而言达到所述预定的数据包流流量活动限制时丢弃所述数据包
其中所述允许的源地址和所述允许的目的地址分别为所述允许的源介质存取控制地址和所述允许的目的介质存取控制地址,或者所述允许的源地址和所述允许的目的地址分别为所述允许的源IP地址和所述允许的目的IP地址。
10.根据权利要求1所述的接口模块,其中所述处理器还被配置以:
将多个预定的数据包流流量活动限制映射到多个允许的地址对,其中所述允许的地址对中的一个地址对包括所述允许的源地址和所述允许的目的地址;
响应于数据包流量活动等级相对于所述允许的地址对中相应的一个地址对低于所述预定的数据包流流量活动限制,将所述数据包从所述允许的源地址传递到所述允许的目的地址;
其中所述数据包流流量活动限制包括数据包速率的增加量,
其中所述允许的源地址和所述允许的目的地址分别为所述允许的源介质存取控制地址和所述允许的目的介质存取控制地址,或者所述允许的源地址和所述允许的目的地址分别为所述允许的源IP地址和所述允许的目的IP地址。
11.一种通信方法,包括:
在通信模块通过以太网交换机的端口接收从允许的源地址到允许的目的地址的数据包,其中所述以太网交换机支持到工厂网络的第一端口、到控制/办公网络的第二端口,以及到可编程逻辑控制器的CPU模块的第三端口;
从所述数据包提取允许的源介质存取控制地址、允许的目的介质存取控制地址,以及服务协议类型,其中所述允许的源介质存取控制地址和所述允许的目的介质存取控制地址被包括在用户配置表格的地址表格中;
确定开放式系统互联基本参考模型OSI层2的数据包活动等级;
基于开放式系统互联基本参考模型OSI层2的配置信息、所提取的允许的源介质存取控制地址、允许的目的介质存取控制地址、所提取的服务协议类型、以及所确定的开放式系统互联基本参考模型OSI层2的数据包活动等级确定是否传递所述数据包用于在开放式系统互联基本参考模型OSI层3做进一步处理;
在所述数据包在开放式系统互联基本参考模型OSI层3被处理时,从所述数据包提取允许的源IP地址、允许的目的IP地址,以及允许的应用服务指示符;
确定开放式系统互联基本参考模型OSI层3的数据包活动等级;
基于开放式系统互联基本参考模型OSI层3的配置信息、所提取的允许的源IP地址和在信息的最深层次上的所提取的允许的应用服务指示符、以及所确定的开放式系统互联基本参考模型OSI层3的数据包活动等级确定是否传递所述数据包到所提取的允许的目的IP地址,其中所述数据包通过所述端口中的一个被转发到所述允许的目的IP地址或在所述允许的目的IP地址对应所述通信模块时,被发送到较高的层进行处理;以及
根据在应用协议的最深层次所配置的进行过滤。
12.根据权利要求11所述的通信方法,还包括:
仅在所述配置信息指示所述数据包被允许用于所述允许的源介质存取控制地址和所述允许的目的介质存取控制地址时,才传递所述数据包到所述允许的目的介质存取控制地址;以及
仅在所述配置信息指示所述数据包被允许用于所述允许的源IP地址和所述允许的目的IP地址时,才传递所述数据包到所述允许的目的IP地址。
13.根据权利要求12所述的通信方法,还包括:
仅在所述配置信息还指示与所述数据包相关的所述服务协议类型被允许时,才传递所述数据包。
14.根据权利要求12所述的通信方法,还包括:
仅在所述配置信息指示所述数据包活动等级在预先确定的数据包阈值以下时,才传递所述数据包到所述允许的目的介质存取控制地址和所述允许的目的IP地址。
15.根据权利要求11所述的通信方法,还包括:
在所述允许的目的IP地址不对应所述通信模块时,通过所述数据包交换机转发所述数据包到所述允许的目的IP地址。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/347,320 | 2008-12-31 | ||
| US12/347,320 US8737398B2 (en) | 2008-12-31 | 2008-12-31 | Communication module with network isolation and communication filter |
| PCT/US2009/069779 WO2010078398A1 (en) | 2008-12-31 | 2009-12-30 | Communication module with network isolation and communication filter |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102317876A CN102317876A (zh) | 2012-01-11 |
| CN102317876B true CN102317876B (zh) | 2016-02-24 |
Family
ID=41683328
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980156848.0A Active CN102317876B (zh) | 2008-12-31 | 2009-12-30 | 具有网络隔离和通信过滤器的通信模块 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8737398B2 (zh) |
| EP (1) | EP2382512B1 (zh) |
| CN (1) | CN102317876B (zh) |
| BR (1) | BRPI0924066A2 (zh) |
| WO (1) | WO2010078398A1 (zh) |
Families Citing this family (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110022978A1 (en) * | 2009-07-23 | 2011-01-27 | Rockwell Automation Technologies, Inc. | Intelligent device framework |
| EP2622496B1 (en) * | 2010-09-30 | 2018-07-18 | Saudi Arabian Oil Company | System and method for controlling access to a plant network |
| DE102010063437A1 (de) * | 2010-12-17 | 2012-06-21 | Siemens Aktiengesellschaft | Verfahren zur Konfiguration eines oder mehrerer Geräte in einem Ethernet-basierten Kommunikationsnetz |
| EP2506521A1 (de) * | 2011-03-31 | 2012-10-03 | Siemens Aktiengesellschaft | Kommunikation in einem Automatisierungsnetzwerk |
| DE102011006668B3 (de) * | 2011-04-01 | 2012-09-13 | Siemens Aktiengesellschaft | Schnittstellenmodul für ein modulares Steuerungsgerät |
| CN102546461B (zh) * | 2011-12-13 | 2014-06-25 | 中国电子科技集团公司第十五研究所 | 多层级消息中间件系统及其消息转发控制方法和装置 |
| US8812466B2 (en) | 2012-02-10 | 2014-08-19 | International Business Machines Corporation | Detecting and combating attack in protection system of an industrial control system |
| US20130212668A1 (en) * | 2012-02-13 | 2013-08-15 | International Business Machines Corporation | Suspension of Processes in Industrial Control System When an Anomaly Occurs |
| EP2832070B1 (en) | 2012-03-29 | 2020-05-20 | Arilou Information Security Technologies Ltd. | Device for protecting a vehicle electronic system |
| CN103095519A (zh) * | 2012-12-07 | 2013-05-08 | 大连奥林匹克电子城咨信商行 | 一种对通讯窗口传出数据进行监控的网络流量监控方法 |
| CN103051629B (zh) * | 2012-12-24 | 2017-02-08 | 华为技术有限公司 | 一种基于软件定义网络中数据处理的系统、方法和节点 |
| US9203748B2 (en) | 2012-12-24 | 2015-12-01 | Huawei Technologies Co., Ltd. | Software defined network-based data processing method, node, and system |
| WO2014150567A1 (en) * | 2013-03-15 | 2014-09-25 | Asguard Networks, Inc. | Industrial network security |
| US9160663B2 (en) * | 2013-03-15 | 2015-10-13 | Google Inc. | Dynamic congestion control |
| DE102013209914A1 (de) * | 2013-05-28 | 2014-12-04 | Siemens Aktiengesellschaft | Filtern eines Datenpaketes mittels einer Netzwerkfiltereinrichtung |
| KR20140147583A (ko) * | 2013-06-20 | 2014-12-30 | 한국전자통신연구원 | 산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법 |
| US9998426B2 (en) | 2014-01-30 | 2018-06-12 | Sierra Nevada Corporation | Bi-directional data security for control systems |
| US9531669B2 (en) | 2014-01-30 | 2016-12-27 | Sierra Nevada Corporation | Bi-directional data security for supervisor control and data acquisition networks |
| US20150350303A1 (en) * | 2014-05-29 | 2015-12-03 | Chia-I Lin | Manufacturing optimization platform and method |
| NO20140740A1 (no) * | 2014-06-13 | 2015-06-08 | Mhwirth As | Fremgangsmåte for forbedret redundans og oppetid i SCADA nettverk |
| CN105991454A (zh) * | 2015-01-28 | 2016-10-05 | 上海远动科技有限公司 | 一种plc调控工业级交换机的方法 |
| US11363035B2 (en) | 2015-05-22 | 2022-06-14 | Fisher-Rosemount Systems, Inc. | Configurable robustness agent in a plant security system |
| KR101870492B1 (ko) | 2015-06-22 | 2018-06-22 | 엘에스산전 주식회사 | Plc 시스템 |
| US10432754B2 (en) | 2015-09-16 | 2019-10-01 | Profire Energy, Inc | Safety networking protocol and method |
| US10514683B2 (en) | 2015-09-16 | 2019-12-24 | Profire Energy, Inc. | Distributed networking system and method to implement a safety state environment |
| WO2017050431A1 (de) * | 2015-09-22 | 2017-03-30 | Rhebo GmbH | Verfahren und vorrichtung zur überwachung von steuerungssystemen |
| US10148618B2 (en) | 2016-06-07 | 2018-12-04 | Abb Schweiz Ag | Network isolation |
| CN105897936B (zh) * | 2016-06-23 | 2019-04-26 | 北京东土科技股份有限公司 | 基于工业互联网的控制配置信息的处理方法、装置及系统 |
| JP6949466B2 (ja) * | 2016-08-24 | 2021-10-13 | Necプラットフォームズ株式会社 | 中継装置、通信システム、中継方法、及び中継用プログラム |
| JP2018045399A (ja) * | 2016-09-14 | 2018-03-22 | 株式会社日立産機システム | プログラマブルコントローラ |
| US10551815B2 (en) * | 2017-09-13 | 2020-02-04 | Fisher-Rosemount Systems, Inc. | Systems and methods for enhanced modular controller port to port communication |
| JP7087378B2 (ja) * | 2017-12-25 | 2022-06-21 | オムロン株式会社 | 制御システムおよび制御装置 |
| US11025663B1 (en) * | 2018-01-08 | 2021-06-01 | United Services Automobile Association (Usaa) | Automated network policy management |
| JP7078889B2 (ja) * | 2018-01-22 | 2022-06-01 | オムロン株式会社 | 制御装置、制御方法、および制御プログラム |
| GB2578268B (en) * | 2018-01-29 | 2021-12-29 | Ge Aviat Systems Ltd | Configurable network switch for industrial control systems including deterministic networks |
| FR3079046B1 (fr) * | 2018-03-14 | 2021-04-23 | Safran Aircraft Engines | Dispositifs et procede de telemaintenance securises de telemaintenance d'equipements industriels |
| US11868970B2 (en) * | 2018-03-16 | 2024-01-09 | Rockwell Automation Technologies Inc. | Lifecycle management of industrial automation devices |
| US20200059474A1 (en) * | 2018-08-17 | 2020-02-20 | Schlumberger Technology Corporation | System and method for control system cybersecurity |
| RU2716871C1 (ru) * | 2019-03-19 | 2020-03-17 | Дмитрий Михайлович Михайлов | Система и способ защиты электронных систем управления транспортных средств от несанкционированного вторжения |
| US11050650B1 (en) * | 2019-05-23 | 2021-06-29 | Juniper Networks, Inc. | Preventing traffic outages during address resolution protocol (ARP) storms |
| CN110187684A (zh) * | 2019-05-24 | 2019-08-30 | 北京卫星环境工程研究所 | 航天器ait中心的网络功能区结构 |
| CN110426971B (zh) * | 2019-06-26 | 2021-07-20 | 北京全路通信信号研究设计院集团有限公司 | 一种轨道交通控制网络数据采集和管理方法及系统 |
| EP3828653A1 (en) * | 2019-11-28 | 2021-06-02 | Siemens Aktiengesellschaft | Methods and systems for providing data from an internal data processing system of an industrial plant to an external data processing system |
| CN113225253B (zh) * | 2020-01-21 | 2022-08-09 | 华为技术有限公司 | 一种报文转发方法及装置 |
| US10911418B1 (en) | 2020-06-26 | 2021-02-02 | Tempered Networks, Inc. | Port level policy isolation in overlay networks |
| CN112087461B (zh) * | 2020-09-11 | 2022-12-20 | 工业互联网创新中心(上海)有限公司 | Modbus/tcp协议的数据在tsn网络中流转的系统、方法、装置及设备 |
| JP7114769B2 (ja) * | 2021-03-05 | 2022-08-08 | Necプラットフォームズ株式会社 | 通信システム |
| US11716224B2 (en) * | 2021-05-11 | 2023-08-01 | Airmar Technology Corporation | Networking module for instrumentation and control devices |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6321272B1 (en) | 1997-09-10 | 2001-11-20 | Schneider Automation, Inc. | Apparatus for controlling internetwork communications |
| US6047325A (en) * | 1997-10-24 | 2000-04-04 | Jain; Lalit | Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks |
| DE10214539A1 (de) | 2002-04-02 | 2003-10-23 | Siemens Ag | Produktionsmaschine mit einer in einem Webserver integrierten Steuerung |
| US7426634B2 (en) * | 2003-04-22 | 2008-09-16 | Intruguard Devices, Inc. | Method and apparatus for rate based denial of service attack detection and prevention |
| US7246156B2 (en) | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
| US7860874B2 (en) * | 2004-06-08 | 2010-12-28 | Siemens Industry, Inc. | Method for searching across a PLC network |
| WO2006074436A2 (en) * | 2005-01-06 | 2006-07-13 | Rockwell Automation Technologies, Inc. | Firewall method and apparatus for industrial systems |
| CN101160825B (zh) * | 2005-02-01 | 2011-04-27 | 香港应用科技研究院有限公司 | 有效处理通信流量的系统和方法 |
| CA2623120C (en) | 2005-10-05 | 2015-03-24 | Byres Security Inc. | Network security appliance |
| US7827316B2 (en) | 2005-12-27 | 2010-11-02 | Siemens Aktiengesellschaft | Automation network, access service proxy for an automation network and method for transmitting operating data between a programmable controller and a remote computer |
| US20070186011A1 (en) * | 2006-02-03 | 2007-08-09 | Rockwell Automation Technologies, Inc. | Industrial protocol and gateway |
| CN101501587B (zh) * | 2006-08-08 | 2012-01-25 | 西门子工业公司 | 与plc通信的装置、系统和方法 |
-
2008
- 2008-12-31 US US12/347,320 patent/US8737398B2/en active Active
-
2009
- 2009-12-30 BR BRPI0924066A patent/BRPI0924066A2/pt not_active Application Discontinuation
- 2009-12-30 CN CN200980156848.0A patent/CN102317876B/zh active Active
- 2009-12-30 EP EP09799474.3A patent/EP2382512B1/en active Active
- 2009-12-30 WO PCT/US2009/069779 patent/WO2010078398A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| BRPI0924066A2 (pt) | 2017-07-11 |
| US20100165878A1 (en) | 2010-07-01 |
| EP2382512A1 (en) | 2011-11-02 |
| US8737398B2 (en) | 2014-05-27 |
| CN102317876A (zh) | 2012-01-11 |
| WO2010078398A1 (en) | 2010-07-08 |
| EP2382512B1 (en) | 2018-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102317876B (zh) | 具有网络隔离和通信过滤器的通信模块 | |
| CN102904749B (zh) | 采用安全设备保护网络装置的方法、安全设备和数据网络 | |
| US10326796B1 (en) | Dynamic security mechanisms for mixed networks | |
| EP3206356B1 (en) | Controlling transmission security of industrial communications flow in a sdn architecture | |
| US8756411B2 (en) | Application layer security proxy for automation and control system networks | |
| US10938819B2 (en) | Poisoning protection for process control switches | |
| CN107852359A (zh) | 安全系统、通信控制方法 | |
| US20170310706A1 (en) | Tunneling For Network Deceptions | |
| JP5411916B2 (ja) | 保護継電器とこれを備えるネットワークシステム | |
| EP2945350B1 (en) | Protocol splitter and corresponding communication method | |
| Flaus | Cybersecurity of industrial systems | |
| US20080080543A1 (en) | Network switch with controller i/o capability | |
| JP2015050767A (ja) | ホワイトリスト基盤のネットワークスイッチ | |
| EP3611899B1 (en) | A secure network system and method for automatic security response using one-way links | |
| US9686316B2 (en) | Layer-2 security for industrial automation by snooping discovery and configuration messages | |
| CN110326268A (zh) | 用于保护现场设备的透明防火墙 | |
| US8918859B2 (en) | Process for establishing a VPN connection between two networks | |
| WO2019123523A1 (ja) | 通信装置、通信システム、通信制御方法、プログラム | |
| JP2008219149A (ja) | トラヒック制御システムおよびトラヒック制御方法 | |
| CN105580323A (zh) | 通过网络过滤装置过滤数据包 | |
| US20150341315A1 (en) | Network Security Device | |
| CN108011825B (zh) | 一种基于软件定义网络的多网络设备互联现实方法及系统 | |
| CN114600424A (zh) | 用于过滤数据流量的安全系统和方法 | |
| McNeil | Secure IoT deployment in the cement industry | |
| JP2006252109A (ja) | ネットワークアクセス制御装置、遠隔操作用装置及びシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |