CN103376800B - 用于保护控制器的系统和方法 - Google Patents
用于保护控制器的系统和方法 Download PDFInfo
- Publication number
- CN103376800B CN103376800B CN201310157176.3A CN201310157176A CN103376800B CN 103376800 B CN103376800 B CN 103376800B CN 201310157176 A CN201310157176 A CN 201310157176A CN 103376800 B CN103376800 B CN 103376800B
- Authority
- CN
- China
- Prior art keywords
- certificate
- user
- controller
- icu
- control unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 230000008569 process Effects 0.000 claims abstract description 40
- 238000004891 communication Methods 0.000 claims description 20
- 241000196324 Embryophyta Species 0.000 claims description 4
- 244000277285 Cassia obtusifolia Species 0.000 claims description 3
- 235000006719 Cassia obtusifolia Nutrition 0.000 claims description 3
- 235000014552 Cassia tora Nutrition 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 description 21
- 230000008859 change Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 6
- 238000004519 manufacturing process Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 239000000567 combustion gas Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000008672 reprogramming Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Safety Devices In Control Systems (AREA)
- Programmable Controllers (AREA)
Abstract
本公开涉及用于保护控制器的系统和方法。一种系统包括控制器和认证机构。该控制器配置成控制过程。该认证机构(CA)配置成发出和撤回证书,其中该控制器配置成使用CA来相互验证用户以进入安全操作模式。
Description
技术领域
本文公开的主旨涉及用于保护设备并且更特定地用于保护控制器设备的系统和方法。
背景技术
例如传感器、泵、阀等某些设备可由控制器使用气动、液压和/或电信号来控制。例如,阀开度可基于来自控制器的4-20mA信号而受控制。控制器可使用通信网络来将信号发送到各种设备并且从各种设备接收信号。遗憾地,控制器可易于以未经授权的方式或由未经授权的用户使用。因此,保护控制器可是有益的。
发明内容
与最初要求保护的本发明在范围上相当的某些实施例在下文概述。这些实施例不意在限制要求保护的本发明的范围,而相反这些实施例只意在提供本发明的可能形式的简要描述。实际上,本发明可包含与下文阐述的实施例相似或不同的多种形式。
在第一实施例中,系统包括控制器和认证机构(certificateauthority)。该控制器配置成控制过程。该认证机构(CA)配置成发出和撤回证书,其中该控制器配置成使用CA以相互验证用户来进入安全操作模式。
在第二实施例中,非暂时性有形机器可读介质具有可执行代码。该可执行代码包括配置成通过使用第一用户认证机构(CA)证书而验证第一用户的指令。该第一用户配置成通信地耦合于第一控制器。如果该第一用户CA证书无效,则指令配置成提醒第一安全违规。然而,如果第一用户CA证书有效,指令配置成请求并且验证来自CA的CA证书。相似地,如果CA证书无效,则指令配置成提醒第二安全违规。如果CA证书有效,则指令配置成请求第一控制器CA证书并且进入安全操作模式。
在第三实施例中,方法包括接收请求以进入安全操作模式并且通过使用用户证书来验证发出请求的用户。第一用户配置成通信地耦合于第一控制器。如果用户未被验证,方法包括提醒第一安全违规。然而,如果用户被验证,方法包括请求来自CA服务器的认证机构(CA)证书并且确定CA证书是否有效。类似地,如果CA证书无效,则方法包括提醒第二安全违规。如果CA证书有效,则方法包括请求来自CA服务器的控制器证书并且进入安全操作模式。
根据本公开一方面,提供一种系统,包括:控制器,其配置成控制过程;以及认证机构CA,其配置成发出和撤回证书,其中所述控制器配置成使用所述CA以相互验证用户来进入安全操作模式。
在一个示例中,控制器配置成通过使用所述CA来证实由所述用户提供的用户证书;并且如果所述用户证书无效,提醒第一安全违规;如果所述用户证书有效,请求并且证实来自所述CA的CA证书;如果所述CA证书无效,提醒第二安全违规;如果所述CA证书有效,请求来自所述CA的新控制器证书并且然后进入所述安全操作模式。
在一个示例中,所述控制器配置成在退出所述安全操作模式时删除所述新控制器证书。
在一个示例中,系统包括工业系统,所述工业系统具有配置成设置在工厂中的CA和控制器两者。
在一个示例中,系统包括具有非暂时性机器可读存储介质的远程设备,所述非暂时性机器可读存储介质包括指令,配置成通过使用安全套接层(SSL)、传输层安全性(TLS)或其组合而通过安全连接与所述控制器通信。
在一个示例中,所述安全操作模式配置成使用基于角色访问来限制所述控制器与所述用户之间的交互。
在一个示例中,所述基于角色访问包括设备操作员角色、设备工程师角色、系统管理员角色、调试工程师角色、程序员角色或其组合。
在一个示例中,所述控制器包括具有多个处理器的冗余控制器。
在一个示例中,所述CA包括OpenCA、企业Java组件认证机构(EJBCA)、OpenSSL、X认证(XCA)或其组合。
根据本公开另一方面,提供一种包括可执行代码的非暂时性机器可读介质,所述可执行代码包括指令,配置成:通过使用第一用户CA(认证机构)证书而验证第一用户,所述第一用户配置成通信地耦合于第一控制器;如果所述第一用户CA证书无效,则提醒第一安全违规;如果所述第一用户CA证书有效,则请求并且验证来自CA的CA证书;如果所述CA证书无效,则提醒第二安全违规;以及如果所述CA证书有效,则请求第一控制器证书,并且进入安全操作模式。
在一个示例中,非暂时性有形机器可读介质包括指令,配置成:接收退出所述安全操作模式的请求;验证所述请求;如果所述请求被验证,删除所述第一控制器证书;以及退出所述安全操作模式。
在一个示例中,配置成删除所述第一控制器证书的指令包括用于指示所述CA撤回所述第一控制器证书的指令。
在一个示例中,非暂时性有形机器可读介质包括指令,配置成:通过使用第二用户CA(认证机构)证书来验证第二用户;如果所述第二用户未被验证,则提醒第三安全违规;如果所述第二用户被验证,则提交所述第一控制器证书;证实所述第一控制器证书;以及当所述第一控制器证书有效时,在所述第二用户与所述控制器之间建立安全连接,其中所述第一用户与所述第二用户不同。
在一个示例中,非暂时性有形机器可读介质包括指令,配置成:使用基于角色访问来证实由所述第一用户、所述第二用户或其组合发出的控制器命令。
在一个示例中,配置成使用所述基于角色访问的指令包括配置成检查所述第一用户的第一用户角色、所述第二用户的第二用户角色或其组合来确定所述第一用户角色、所述第二用户角色或其组合是否配置成发出所述控制器命令的指令。
根据本公开另一方面,提供一种方法,包括:接收请求以进入安全操作模式;通过使用用户证书来验证用户,所述用户配置成通信地耦合于第一控制器并且发出所述请求;如果所述用户未被验证,则提醒第一安全违规;如果所述用户被验证,则请求来自认证机构CA服务器的CA证书;确定所述CA证书是否有效;如果所述CA证书无效,则提醒第二安全违规;如果所述CA证书有效,则请求来自所述CA服务器的控制器证书并且进入所述安全操作模式。
在一个示例中,接收所述请求、验证所述用户、提醒第一和第二安全违规、请求所述CA证书、确定所述CA证书是否有效,以及请求所述控制器证书由三重模块化冗余(TMR)控制器、单个控制器、双控制器或其组合进行。
在一个示例中,方法包括使用所述CA来发出所述用户证书、所述CA证书、所述控制器证书或其组合。
在一个示例中,进入所述安全操作模式包括建立安全连接,所述安全连接配置成使用基于角色访问来证实由所述用户发出的控制器命令。
在一个示例中,所述安全连接配置成使用安全套接层(SSL)、传输层安全性(TLS)或其组合。
附图说明
当参照附图(其中类似的符号在整个附图中代表类似的部件)阅读下列详细描述时,本发明的这些和其他特征、方面和优势将变得更好理解,其中:
图1是根据本公开的方面配置成保护控制器设备的工业控制系统的实施例的示意图;
图2是图1的工业控制系统的实施例的框图,其图示控制器设备、远程设备和安全机构之间的通信;
图3是用于进入安全操作模式来保护图1的控制系统的过程的实施例的流程图;以及
图4是用于对图1的控制系统使用基于角色的访问而采用安全模式操作的过程的实施例的流程图。
具体实施方式
本发明的一个或多个特定实施例将在下文描述。为了提供这些实施例的简洁描述,可不在该说明书中描述实际实现的所有特征。应该意识到在任何这样的实际实现的开发中,如在任何工程或设计项目中,必须做出许多实现特定的决定以达到开发者的特定目标,例如遵守系统相关和业务相关的约束等(其可在实现之间变化)。此外,应该意识到这样的开发努力可能是复杂并且耗时的,但对于具有该公开的利益的那些普通技术人员仍将是设计、制作和制造的例行任务。
当介绍本发明的各种实施例的要素时,冠词“一”、“该”和“所述”意在表示存在要素中的一个或多个。术语“包括”、“包含”和“具有”意在为包括性的并且表示可存在除列出的要素外的附加要素。
公开的实施例包括适合用于通过使用相互验证(例如,双向验证)来保护一个或多个控制器(例如,工业控制器)的系统和方法。通过提供相互验证,用户,例如通过网络与控制器通信的厂操作员或厂工程师,可大致上确认控制器的标识。采用往来方式,与厂操作员或厂工程师通信的控制器可确定用户的标识。相互验证还可提供基于角色的访问(RBA),使得控制器与用户之间的交互局限于期望的交互。例如,基于用户角色(例如,系统管理员、操作者、调试工程师或程序员),交互可局限于只读交互、只写或其组合。
在某些实施例中,相互验证可通过认证机构(CA)(其包括安全的基于设施的CA,例如设计成存在于工厂中的CA服务器)的新用途而提供。本地管理的CA可通过CA服务器中的注册机构功能而建立回顾和批准过程。该回顾和批准过程可建立唯一一组可信用户和设备,其可以使用安全网络而通信。在其他实施例中,CA可包括由第三方验证服务提供的外部CA服务器(例如,由弗吉尼亚Reston的VeriSign提供的服务器)。在再其他实施例中,可使用任何双重验证(TFA)服务,其包括但不限于令牌系统、密钥系统、一次一密系统、挑战-响应系统,等。
此外,可在控制器操作期间在各种时间进行相互验证。例如,用户可请求控制器进入安全模式,使得可保护控制器以防止未经授权的使用。在控制器进入安全模式之前,用户和控制器可相互验证彼此。一旦处于安全模式,在对控制器过程做出改变之前,用户和控制器可再次相互验证彼此,来进一步保护控制器设备并且减少未经授权使用控制器的可能性。
转向图1,描绘工业过程控制系统10的实施例。远程设备12配置成执行多种现场设备配置和监视应用程序,并且提供操作员界面,工程师或技术人员可通过该操作员界面来监视工业过程控制系统10的部件。远程设备12可以是适合用于运行软件应用程序的任何类型的计算设备,例如膝上型电脑、工作站、平板电脑或手持式便携设备(例如,个人数字助理或手机)。实际上,计算机12可包括多种硬件和/或操作系统平台中的任一个。
在某些实施例中,远程设备12可持有工业自动化系统,例如人机界面(HMI)系统14、制造执行系统(MES)16、分布式控制系统(DCS)17和/或监管控制和数据采集(SCADA)系统18。此外,远程设备12通信地连接到网络总线20,其适合用于实现远程设备12与设备D122、D224和D326之间的通信。设备22、24和26可包括例如传感器、阀、致动器等适合于在工业应用中使用的现场设备。在图示的实施例中,设备22、24操作地耦合于涡轮机系统27来操作或控制涡轮机系统27。例如,涡轮机系统27可以是燃气涡轮机、蒸气涡轮机、水力涡轮机或另一个适合的涡轮机系统。另外,设备26操作地耦合于涡轮机械29来操作或控制涡轮机械29,其可以是泵、压缩机或膨胀机。还要注意设备22、24和26可包括适合于在例如家庭自动化应用等住宅应用中使用的设备。在描绘的实施例中,两个控制器28和30也连接到总线20。控制器28、30可使用总线20用于与设备22、24、26中的任何一个通信并且控制它。例如,控制器28、30可存在于工厂中并且可配置成调整与设备22、24、26有关的一个或多个过程条件。总线20可以是适合用于实现通信的任何电子和/或无线网络,并且可包括光纤介质、双绞电缆介质、无线通信硬件、以太网电缆介质(例如,Cat-5、Cat-7)等。此外,总线20可包括适合用于以100MB/秒及以上的通信速度连接系统10部件的若干子总线,例如高速以太网子总线。另外,总线20可包括输入/输出(I/O)网络,例如符合电气和电子工程师协会(IEEE)802.3标准的I/O网络。总线20还可包括适合用于以大约31.25Kb/秒的通信速度连接系统10部件的H1网络子总线。子总线可例如通过使用链接设备或网关(例如根据由德国Haar的softingAG提供的型号FG-100可用的那些网关,和/或从纽约Schenectady的GeneralElectricCo.获得的I/O组件)而彼此互通信。实际上,总线20的许多互连子总线可用于在系统10的部件之中通信。
另外,两个安全机构(例如,认证机构)32、34或提供CA的服务器连接到总线20。如图示的,该安全机构32、34可使用总线20用于与设备22、24、26、远程设备12或控制器28、30中的任一个通信。特别地,安全机构32、34可在控制系统10之中发出和撤回证书以通过使用相互验证来保护控制器28、30。在某些实施例中,安全机构32、34的数量可变化。例如,控制系统10可具有1、2、3、4个或更多的安全机构32、34。此外,如上文论述的,安全机构32、34可以是第三方安全机构或可存在于与控制器28、30相同的区域中(例如,在工厂中)。
证书可以是电子文档,其使用数字签名来核实证书持有者的标识。在某些实施例中,证书持有者可以是远程设备12;总线20;设备22、24、26;控制器28,30;安全机构32、34;和/或其的一定组合。控制系统10的各种部件使用相互验证或其他安全技术(例如,双重验证)来核实彼此的标识,这可是可取的。例如,远程设备12可请求工厂的过程条件的改变。在控制器28、30实现请求的改变之前,控制器28、30可核实远程设备12的标识。该验证可减少或消除未经授权使用远程设备12和/或控制器28、30的可能性。另外,远程设备12可核实控制器28、30的标识以进一步提高控制系统10的安全性。一般,相互验证可指第一证书持有者(例如,远程设备12)核实第二证书持有者(例如,控制器28、30)的标识,并且往来地,第二证书持有者随后核实第一证书持有者的标识。因此,相互验证可减少未经授权使用控制系统10的可能性。
要注意在图1中描绘的工业过程控制系统10为了图示目的被大大简化。部件的数量一般是描绘的部件的数量的许多倍。关于描绘的设备22、24和26的数量尤其是这样。实际上,在工业环境中,设备的数量可对于工业过程控制系统10在几百数量。因此,控制系统10的范围可基于实现它所在的位点而变化。在某些实施例中,控制系统10可安装在家中,并且部件的数量可小于在图1中描绘的数量。
图2是控制系统10的实施例的框图,该控制系统10包括通信地耦合的控制器28、30、远程设备12和安全机构32以使用相互验证而安全地操作。安全机构32可在控制系统10的部件之中发出和撤回证书40。如示出的,安全机构32包括安全服务器42(例如,认证机构服务器),其可管理证书40。例如,安全服务器42可包括软件指令,用于使用例如SHA-1等各种加密哈希算法来生成证书40。软件指令可存储在非暂时性机器可读介质中,例如服务器42的存储器43。如先前论述的,安全机构32可以是第三方验证服务,或安全机构32可存在于工厂内。在后者情况下,安全机构32连接到总线20并且在没有连接到因特网或其他外部网络的情况下管理证书40,这可是可取的,因为这可进一步保护控制系统10。另外,安全机构32可使用证书验证软件的多种开放源或第三方实现,例如OpenCA、企业Java组件认证机构(EJBCA)、OpenSSL、X认证(XCA)或其组合。
如图示的,安全服务器42配置成与远程设备12和控制器28、30通信。安全服务器42可发出和撤回用户证书44,其可用于识别远程设备12的用户46。安全服务器42还可发出和撤回控制器证书48,其可用于识别控制器28、30。另外,用户和控制器证书44、48可包括用于实现基于角色访问的属性。例如,可对用户46分配厂操作员角色、厂工程师角色、调试工程师角色、程序员角色或系统管理员角色。用户46与远程设备的交互可基于分配的角色而部分受到限制,并且分配的角色可包含在用户证书44或控制器证书48中。如上文描述的,交互可局限于只读交互、只写交互或其的一定组合。例如,厂操作员可局限于只读交互,而系统管理器可访问读和写交互。如图示的,控制器证书48可存储在控制器28、30内,并且用户证书44可存储在远程设备12的安全库50中。
远程设备12可包括配置工具52,其可与安全库50和控制器28、30通信以使用相互验证而安全地操作。配置工具52可用作用户46与控制系统10的剩余部分之间的接口。例如,用户46可经由配置工具52而请求过程条件的改变,并且如果授权用户46和用户的角色做出改变,配置工具52可改变控制器28、30上的过程条件设定点。为此,远程设备12可包括一个或多个处理器54和/或其他数据处理电路,例如存储器56,来执行用于验证用户证书44和控制器证书48的软件指令。可在可由一个或多个处理器54执行的软件程序中对这些指令编码。此外,指令可存储在有形的非暂时性计算机可读介质(例如存储器56)中。存储器56可包括,例如随机存取存储器、只读存储器、硬驱动器(harddrive)和/或光盘。在某些实施例中,存储在存储器56中的指令可配置成与控制器28、30通信来实现远程设备12与控制器28、30之间的相互验证。此外,可保护该通信以使用安全套接层(SSL)、传输层安全性(TLS)或另一个适合的加密协议来进一步增加控制系统10的安全性。例如,一个或多个处理器54和存储器56可实现远程设备安全过程58来证实用户证书44和控制器证书48。
如图示的,控制器28、30还可包括一个或多个处理器60和存储器62。如先前论述的,处理器60和存储器62可执行软件指令来验证用户证书44、控制器证书48或安全机构证书64。这些软件指令可实现服务器安全过程66来证实前面提到的证书。在某些实施例中,控制器28、30可以是具有两个或以上的处理器的冗余控制器。例如,控制器28、30可以是具有三个处理器60的三重模块化冗余(TMR)控制器。这三个处理器60可配置成提供冗余操作。例如,三个处理器60中的每个可独立地实现服务器安全过程66并且证实证书40。在一个实施例中,全部三个处理器可独立地实现服务器安全过程66并且证实证书40。在另一个实施例中,当前充当主处理器的处理器可以是实现服务器安全过程66的唯一处理器并验证证书40。在再另一个实施例中,三个处理器中的两个可独立地实现服务器安全过程66并且验证证书40。
可在这三个处理器60之中比较服务器安全过程66的结果。通过这样做,可校正三个处理器60中的不可取行为。例如,三个处理器60可采用三选二投票设置而设置。单个处理器60的错误可通过剩余两个处理器60的结果所覆盖。这可导致具有更好容错性的服务器安全过程66。在其他实施例中,控制器28、30可以是采用三选二投票设置而设置的双控制器。在再其他实施例中,控制器28、30可以是单个控制器,或单个、双以及TMR控制器的一定组合。如在下文进一步描述的,服务器安全过程66和/或远程设备安全过程58可实现相互验证,其可减少与控制系统10的未经授权交互的可能性。
图3是用于通过使用相互验证而保护控制器28、30的过程70的实施例的流程图。该过程70可部分或全部由远程设备安全过程58、服务器安全过程66或其组合来进行。用户可提交(框72)对控制器28、30进入安全模式的请求,使得用户可对控制系统10做出改变。作为响应,远程设备安全过程或线程58可验证(框74)用户46的用户证书44。用户证书44可由用户46提供。另外或备选地,可从远程设备12的安全库50检索用户证书。远程设备安全过程58然后可确定(决策76)用户证书44是否有效。在确定(决策76)用户证书44是否有效时,远程设备安全过程58可将用户证书44的某些属性与安全库50内的允许证书白名单比较。例如,如果用户证书44不包含正确的公钥(例如,控制器28、30的公钥),用户证书可是无效的。另外或备选地,如果用户证书44的签名哈希(hash)不能被控制器28、30使用安全服务器42的公钥所读取,用户证书44可是无效的。
如果远程设备安全过程58确定(决策76)用户证书44无效,则远程设备安全过程58可提醒(框79)安全违规。例如,远程设备安全过程58可提醒(框79)系统管理员未经授权的访问尝试,发起警报和/或记录安全违规。系统管理员然后可采取正确的动作来防止未来未经授权的尝试。可注意远程安全过程58可详述登录访问事件以及对中央登录设备的访问错误来提供可核查的核算和事件记录。然而,如果用户证书44有效(决策76),则控制器28、30可请求(框78)来自安全服务器42的认证机构(CA)证书64。服务器安全过程66然后可验证(框80)安全机构32,由此在接受来自安全机构32的另外的证书40之前确认安全机构32的标识。因此,服务器安全过程66可确定(决策82)CA证书是否有效。
如果CA证书64无效(决策82),则服务器安全过程或线程66可提醒(框79)安全违规,如先前论述的。然而,如果CA证书有效(决策82),控制器28、30可请求(框84)来自安全服务器42的控制器证书48。当这样做时,控制器28、30可建立与远程设备12的安全连接。该安全连接可使用例如SSL、TSL或另一个适合的加密协议而进行。控制器28、30然后可进入(框86)安全操作模式。在某些实施例中,控制器28、30可仅在已经用远程设备12的配置工具52建立安全连接时进入(框86)安全操作模式。因此,安全连接可减少或消除未经授权使用或修改控制系统10的可能性。
控制器28、30可使用相互验证而继续采用安全模式操作(框88),如在下文在图4中论述的。在某些实施例中,控制器28、30可继续使用控制器证书48来验证来自用户46的未来请求。最终,控制器28、30可接收(框90)请求来退出安全模式。作为响应,控制器28、30可删除(框92)证书,其包括CA证书64和控制器证书48。另外,控制器28、30可请求安全机构32撤回它的证书40,因此这些证书40可不被重新使用。因此,当每次请求(框78、84)CA证书64或控制证书48时,控制器28、30可接收新的证书48、64。这可进一步增加控制系统10的安全性,因为旧的证书可不用于访问控制系统10。实际上,进入安全操作模式的所有请求可导致用于后续验证的新的证书。在其他实施例中,可在验证期间使用旧的证书。在删除(框92)旧证书之后,控制器28、30可退出(框94)安全操作模式。在某些实施例中,当接收(框90)到退出安全模式的请求时,控制器28、30可再次证实用户46的用户证书44。这样做,控制器28、30可确认用户被授权请求(框90)从安全模式退出。因此,相互验证可用于请求(框90)从安全模式退出。然而,如果用户46未被授权请求(框90)从安全模式退出,控制器28、30可使用相互验证而继续采用安全模式操作(框88),如在下文在图4中描述的。
图4是用于使用相互验证以采用安全模式操作控制器28、30的过程的实施例的流程图。当控制器28、30处于安全模式时,用户46可提交(框100)与控制器28、30通信的请求。该请求可包括退出(在图3中示出的框94)安全模式的请求、改变由控制器28、30控制的过程条件的请求、改变控制器28、30的参数的请求、更新控制器28、30的固件的请求、用于对控制器28、30重新编程或可与控制器28、30进行的任何其他通信的请求。另外,用户46可提交用户证书44作为提交(框100)通信请求的一部分。在实现请求之前,控制器28、30可证实(框102)用户46的用户证书44来确定(决策104)用户证书44是否有效。如果用户证书44无效(决策104),控制器28、30可提醒(框105)安全违规。在某些实施例中,安全违规可存储在控制器28、30的存储器62中以稍后由例如系统管理员访问。然而,如果用户证书44有效(决策104),控制器28、30则可向远程设备12提交(框106)控制器证书48。远程设备可确定(决策108)控制器证书48是否有效。如果控制器证书48无效(决策108),远程设备12可提醒(框105)安全违规。然而,如果控制器证书48有效,控制器28、30可建立(框110)与远程设备12的安全连接。如先前论述的,该安全连接可使用SSL、TSL或另一个适合的加密协议。
在建立(框110)安全连接后,控制器28、30可使用基于角色访问来证实(框112)原始请求。如上文指出的,证书40可包括属性,其包括角色并且基于该角色而限制与配置工具52的交互。尽管控制器28、30可采用安全模式操作(过程88),无论是否提交请求(框100),它们可继续使用相互验证来证实(框102)用户证书44。这可进一步增加控制系统的安全性(特别当用户46以及随后用户证书44改变时)。例如,厂工程师可提交(框100)通信请求,并且可基于包含在用户证书44中的角色信息而具有读和写访问权。在稍后的时候,设备操作员可提交(框100)通信请求,并且可基于用户证书44而具有只读访问。持续的证实(框102、108、112)可确保每个用户请求在实现它之前被授权。
本发明的技术效果包括适合用于通过使用相互验证而保护一个或多个控制器的系统和方法。通过提供相互验证,用户可大致上确认控制器的标识。采用往来的方式,控制器可认定用户的标识。因此,相互验证可减少未经授权访问或修改控制器的可能性。相互验证还可包括基于角色访问,用于限制用户与控制器之间的交互,如上文论述的。另外,相互验证可在控制器操作期间在各种时间进行,例如当接收到采用安全模式操作的请求时,或当接收到通信同时采用安全模式的请求时。
该书面说明使用示例来公开本发明,其包括最佳模式,并且还使本领域内任何技术人员能够实践本发明,其包括制作和使用任何装置或系统并且进行任何包含的方法。本发明的专利范围由权利要求限定,并且可包括本领域内技术人员想到的其他示例。这样的其他示例如果它们具有不与权利要求的书面语言不同的结构要素,或者如果它们包括与权利要求的书面语言无实质区别的等同结构要素则规定在权利要求的范围内。
部件列表
Claims (19)
1.一种用于保护控制器的系统,包括:
工业控制器,其配置成控制过程;
认证机构CA,其包括硬件服务器,配置成发出和撤回证书,其中所述控制器配置成使用所述CA以相互验证用户来进入安全模式;以及
网络总线,其中所述工业控制器配置成通过所述网络总线与所述硬件服务器通信,其中所述硬件服务器、所述网络总线以及所述工业控制器配置成设置在工业工厂中,并且其中在安全模式中,所述控制器配置成相互验证提交给所述控制器的所有请求。
2.如权利要求1所述的系统,其中所述工业控制器配置成通过使用所述CA来证实由所述用户提供的用户证书;并且如果所述用户证书无效,提醒第一安全违规;如果所述用户证书有效,请求并且证实来自所述CA的CA证书;如果所述CA证书无效,提醒第二安全违规;如果所述CA证书有效,请求来自所述CA的新控制器证书并且然后进入所述安全模式。
3.如权利要求2所述的系统,其中所述工业控制器配置成在退出所述安全模式时删除所述新控制器证书。
4.如权利要求1所述的系统,其包括远程设备,所述远程设备配置成通过使用安全套接层(SSL)、传输层安全性(TLS)或其组合而通过安全连接与所述工业控制器通信,并且其中所述工业控制器包括第一证书,并且所述远程设备包括第二证书,并且其中所述CA配置成通过使用所述第一证书和所述第二证书而向所述远程设备验证所述工业控制器以及向所述工业控制器验证所述远程设备。
5.如权利要求4所述的系统,其中所述安全模式配置成使用基于角色访问来限制所述工业控制器与所述用户之间的交互,并且其中所述交互包括所述用户经由所述远程设备与所述工业控制器交互。
6.如权利要求5所述的系统,其中所述基于角色访问包括设备操作员角色、设备工程师角色、系统管理员角色、调试工程师角色、程序员角色或其组合。
7.如权利要求1所述的系统,其中所述工业控制器包括具有多个处理器的冗余控制器。
8.如权利要求1所述的系统,其中所述CA包括OpenCA、企业Java组件认证机构(EJBCA)、OpenSSL、X认证(XCA)或其组合。
9.一种通过使用认证机构CA来证实由用户提供的用户证书的方法,该方法包括:
经由网络总线将第一工业控制器通信耦合于认证机构CA而实现所述第一工业控制器与所述CA之间的通信,
通过使用第一用户CA证书而验证第一用户,所述第一用户配置成通信地耦合于所述第一工业控制器;
如果所述第一用户CA证书无效,则提醒第一安全违规;
如果所述第一用户CA证书有效,则请求并且验证来自CA的CA证书;
如果所述来自CA的CA证书无效,则提醒第二安全违规;以及
如果所述来自CA的CA证书有效,则请求第一控制器证书,并且进入安全模式,
其中所述CA、所述网络总线以及所述工业控制器配置成设置在工业工厂中,并且其中在所述安全模式中,所述控制器配置成相互验证提交给所述控制器的所有请求。
10.如权利要求9所述的方法,其包括:
接收退出所述安全模式的请求;
验证所述请求;
如果所述请求被验证,删除所述第一控制器证书;以及
退出所述安全模式。
11.如权利要求10所述的方法,其中删除所述第一控制器证书的步骤包括用于指示所述CA撤回所述第一控制器证书的步骤。
12.如权利要求9所述的方法,其包括:
通过使用第二用户CA证书来验证第二用户;
如果所述第二用户未被验证,则提醒第三安全违规;
如果所述第二用户被验证,则提交所述第一控制器证书;
证实所述第一控制器证书;以及
当所述第一控制器证书有效时,在所述第二用户与所述第一工业控制器之间建立安全连接,其中所述第一用户与所述第二用户不同。
13.如权利要求12所述的方法,其包括:
使用基于角色访问来证实由所述第一用户、所述第二用户或其组合发出的控制器命令。
14.如权利要求13所述的方法,其中使用基于角色访问的步骤包括检查所述第一用户的第一用户角色、所述第二用户的第二用户角色或其组合来确定所述第一用户角色、所述第二用户角色或其组合是否配置成发出所述控制器命令的步骤。
15.一种保护控制器的方法,包括:
经由网络总线将工业控制器通信耦合于认证机构CA来实现所述工业控制器和所述CA之间的通信;
接收请求以进入安全模式;
通过使用用户证书来验证用户,所述用户配置成通信地耦合于工业控制器并且发出所述请求;
如果所述用户未被验证,则提醒第一安全违规;
如果所述用户被验证,则请求来自认证机构CA服务器的CA证书;
确定所述CA证书是否有效;
如果所述CA证书无效,则提醒第二安全违规;
如果所述CA证书有效,则请求来自所述CA服务器的控制器证书并且进入所述安全模式,其中所述CA、所述网络总线以及所述工业控制器配置成设置在工业工厂中,并且其中在安全模式中,所述控制器配置成相互验证提交给所述控制器的所有请求。
16.如权利要求15所述的方法,其中所述工业控制器包括三重模块化冗余(TMR)控制器,其中接收所述请求、验证所述用户、提醒第一和第二安全违规、请求所述CA证书、确定所述CA证书是否有效,以及请求所述控制器证书由所述三重模块化冗余(TMR)控制器来进行。
17.如权利要求15所述的方法,包括使用所述CA来发出所述用户证书、所述CA证书、所述控制器证书或其组合。
18.如权利要求15所述的方法,其中进入所述安全模式包括建立安全连接,所述安全连接配置成使用基于角色访问来证实由所述用户发出的控制器命令。
19.如权利要求18所述的方法,其中所述安全连接配置成使用安全套接层(SSL)、传输层安全性(TLS)或其组合。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/460,759 US8707032B2 (en) | 2012-04-30 | 2012-04-30 | System and method for securing controllers |
US13/460759 | 2012-04-30 | ||
US13/460,759 | 2012-04-30 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103376800A CN103376800A (zh) | 2013-10-30 |
CN103376800B true CN103376800B (zh) | 2016-06-29 |
Family
ID=48326131
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310157176.3A Active CN103376800B (zh) | 2012-04-30 | 2013-05-02 | 用于保护控制器的系统和方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8707032B2 (zh) |
EP (1) | EP2660750B1 (zh) |
JP (1) | JP5593416B2 (zh) |
CN (1) | CN103376800B (zh) |
Families Citing this family (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9727511B2 (en) | 2011-12-30 | 2017-08-08 | Bedrock Automation Platforms Inc. | Input/output module with multi-channel switching capability |
US9467297B2 (en) * | 2013-08-06 | 2016-10-11 | Bedrock Automation Platforms Inc. | Industrial control system redundant communications/control modules authentication |
US11144630B2 (en) | 2011-12-30 | 2021-10-12 | Bedrock Automation Platforms Inc. | Image capture devices for a secure industrial control system |
US8868813B2 (en) | 2011-12-30 | 2014-10-21 | Bedrock Automation Platforms Inc. | Communications control system with a serial communications interface and a parallel communications interface |
US9191203B2 (en) | 2013-08-06 | 2015-11-17 | Bedrock Automation Platforms Inc. | Secure industrial control system |
US12061685B2 (en) | 2011-12-30 | 2024-08-13 | Analog Devices, Inc. | Image capture devices for a secure industrial control system |
US8862802B2 (en) | 2011-12-30 | 2014-10-14 | Bedrock Automation Platforms Inc. | Switch fabric having a serial communications interface and a parallel communications interface |
US10834820B2 (en) | 2013-08-06 | 2020-11-10 | Bedrock Automation Platforms Inc. | Industrial control system cable |
US9437967B2 (en) | 2011-12-30 | 2016-09-06 | Bedrock Automation Platforms, Inc. | Electromagnetic connector for an industrial control system |
US9600434B1 (en) | 2011-12-30 | 2017-03-21 | Bedrock Automation Platforms, Inc. | Switch fabric having a serial communications interface and a parallel communications interface |
US10834094B2 (en) | 2013-08-06 | 2020-11-10 | Bedrock Automation Platforms Inc. | Operator action authentication in an industrial control system |
US8971072B2 (en) | 2011-12-30 | 2015-03-03 | Bedrock Automation Platforms Inc. | Electromagnetic connector for an industrial control system |
US11314854B2 (en) | 2011-12-30 | 2022-04-26 | Bedrock Automation Platforms Inc. | Image capture devices for a secure industrial control system |
US11967839B2 (en) | 2011-12-30 | 2024-04-23 | Analog Devices, Inc. | Electromagnetic connector for an industrial control system |
US8964973B2 (en) | 2012-04-30 | 2015-02-24 | General Electric Company | Systems and methods for controlling file execution for industrial control systems |
US9046886B2 (en) | 2012-04-30 | 2015-06-02 | General Electric Company | System and method for logging security events for an industrial control system |
US8973124B2 (en) | 2012-04-30 | 2015-03-03 | General Electric Company | Systems and methods for secure operation of an industrial controller |
US9054863B2 (en) | 2012-09-04 | 2015-06-09 | Rockwell Automation Asia Pacific Business Center Pte. Ltd. | Industrial protocol system authentication and firewall |
US9397836B2 (en) * | 2014-08-11 | 2016-07-19 | Fisher-Rosemount Systems, Inc. | Securing devices to process control systems |
US10613567B2 (en) | 2013-08-06 | 2020-04-07 | Bedrock Automation Platforms Inc. | Secure power supply for an industrial control system |
US9055057B1 (en) * | 2013-09-23 | 2015-06-09 | Emc Corporation | Automatic elevation of system security |
DE102014105076A1 (de) | 2014-04-09 | 2015-10-15 | Krohne Messtechnik Gmbh | Verfahren zum gesicherten Zugriff auf ein Feldgerät |
CN103950530B (zh) * | 2014-05-14 | 2017-09-26 | 南通航海机械集团有限公司 | 一种安全网控制系统 |
CN104570721B (zh) * | 2014-12-31 | 2017-06-30 | 重庆川仪自动化股份有限公司 | 冗余控制器主从状态确定方法 |
US9891608B2 (en) * | 2015-04-07 | 2018-02-13 | Rockwell Automation Technologies, Inc. | Portable human-machine interface device |
EP3214511B1 (de) | 2016-03-04 | 2018-05-09 | Siemens Aktiengesellschaft | Kontrollierte bereitstellung von steuerungsdaten |
US10554644B2 (en) * | 2016-07-20 | 2020-02-04 | Fisher-Rosemount Systems, Inc. | Two-factor authentication for user interface devices in a process plant |
US11605037B2 (en) | 2016-07-20 | 2023-03-14 | Fisher-Rosemount Systems, Inc. | Fleet management system for portable maintenance tools |
US10764083B2 (en) | 2016-07-25 | 2020-09-01 | Fisher-Rosemount Systems, Inc. | Portable field maintenance tool with resistor network for intrinsically safe operation |
US10574167B2 (en) * | 2017-02-24 | 2020-02-25 | Fuji Electric Co., Ltd. | Load control system |
US10887107B1 (en) * | 2017-10-05 | 2021-01-05 | National Technology & Engineering Solutions Of Sandia, Llc | Proof-of-work for securing IoT and autonomous systems |
JP6997217B2 (ja) * | 2018-01-15 | 2022-01-17 | 三菱パワー株式会社 | 遠隔サービスシステム |
CN110855694A (zh) * | 2019-11-19 | 2020-02-28 | 武汉思普崚技术有限公司 | 一种改进的网络认证检测方法及系统 |
US11310273B2 (en) | 2020-01-23 | 2022-04-19 | Rockwell Collins, Inc. | Secure network aggregation protocol |
US11237534B2 (en) * | 2020-02-11 | 2022-02-01 | Honeywell International Inc. | Managing certificates in a building management system |
CN113791190A (zh) * | 2021-07-30 | 2021-12-14 | 云南黄金矿业集团股份有限公司 | 一种基于rtk开展炮孔测量、分组、取样的新方法 |
DE102021120328A1 (de) * | 2021-08-04 | 2023-02-09 | Sick Ag | Sicherheitssystem und Verfahren mit einem Sicherheitssystem |
CN116506221B (zh) * | 2023-06-25 | 2023-09-19 | 金锐同创(北京)科技股份有限公司 | 工业交换机准入的控制方法、装置、计算机设备及介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1220172A1 (en) * | 2000-12-19 | 2002-07-03 | Pijnenburg Custom Chips B.V. | A data transfer device, a transaction system and a method for exchanging data with a data processing system |
US6754829B1 (en) * | 1999-12-14 | 2004-06-22 | Intel Corporation | Certificate-based authentication system for heterogeneous environments |
CN102075541A (zh) * | 2011-01-27 | 2011-05-25 | 北京宏德信智源信息技术有限公司 | 一种分布式多安全域异构信息系统安全互操作方法 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6092202A (en) * | 1998-05-22 | 2000-07-18 | N*Able Technologies, Inc. | Method and system for secure transactions in a computer system |
US20030016819A1 (en) * | 2001-07-20 | 2003-01-23 | Lebin Cheng | Secure socket layer (SSL) load generation with handshake replay |
US7130999B2 (en) * | 2002-03-27 | 2006-10-31 | Intel Corporation | Using authentication certificates for authorization |
JP2011072046A (ja) * | 2003-09-12 | 2011-04-07 | Ricoh Co Ltd | 証明書設定方法 |
JP2005108074A (ja) * | 2003-10-01 | 2005-04-21 | Ntt Data Corp | 社内認証システムおよびそのコンピュータプログラム |
US20050193378A1 (en) * | 2004-03-01 | 2005-09-01 | Breault Richard E. | System and method for building an executable program with a low probability of failure on demand |
JP2006033340A (ja) * | 2004-07-15 | 2006-02-02 | Canon Inc | 無線通信システム及びデジタル証明書発行方法 |
JP5003118B2 (ja) | 2006-11-27 | 2012-08-15 | 横河電機株式会社 | 制御システム及びマルチキャスト通信方法 |
JP5126968B2 (ja) * | 2008-02-26 | 2013-01-23 | 日本電信電話株式会社 | 認証・認可システム、認証・認可方法 |
US20090228962A1 (en) * | 2008-03-06 | 2009-09-10 | Sharp Laboratories Of America, Inc. | Access control and access tracking for remote front panel |
US8042156B2 (en) * | 2008-12-05 | 2011-10-18 | Unisys Corporation | Mapping proprietary SSL APIs onto openssl APIs |
JP5088403B2 (ja) * | 2010-08-02 | 2012-12-05 | 横河電機株式会社 | 不正通信検出システム |
EP2521388A4 (en) * | 2010-08-20 | 2014-01-15 | Zte Corp | MUTUAL AUTHENTICATION METHOD BETWEEN NETWORK ACCESS EQUIPMENT AND NETWORK ACCESS EQUIPMENT |
US20120198541A1 (en) * | 2011-02-02 | 2012-08-02 | Reeves Randall E | Methods and apparatus for preventing network intrusion |
US9112682B2 (en) * | 2011-03-15 | 2015-08-18 | Red Hat, Inc. | Generating modular security delegates for applications |
-
2012
- 2012-04-30 US US13/460,759 patent/US8707032B2/en active Active
-
2013
- 2013-04-26 JP JP2013093297A patent/JP5593416B2/ja active Active
- 2013-04-30 EP EP13165916.1A patent/EP2660750B1/en active Active
- 2013-05-02 CN CN201310157176.3A patent/CN103376800B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6754829B1 (en) * | 1999-12-14 | 2004-06-22 | Intel Corporation | Certificate-based authentication system for heterogeneous environments |
EP1220172A1 (en) * | 2000-12-19 | 2002-07-03 | Pijnenburg Custom Chips B.V. | A data transfer device, a transaction system and a method for exchanging data with a data processing system |
CN102075541A (zh) * | 2011-01-27 | 2011-05-25 | 北京宏德信智源信息技术有限公司 | 一种分布式多安全域异构信息系统安全互操作方法 |
Also Published As
Publication number | Publication date |
---|---|
EP2660750A1 (en) | 2013-11-06 |
JP5593416B2 (ja) | 2014-09-24 |
CN103376800A (zh) | 2013-10-30 |
US20130290706A1 (en) | 2013-10-31 |
US8707032B2 (en) | 2014-04-22 |
JP2013232192A (ja) | 2013-11-14 |
EP2660750B1 (en) | 2020-01-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103376800B (zh) | 用于保护控制器的系统和方法 | |
US8670868B2 (en) | System and a method for providing safe remote access to a robot controller | |
US8327130B2 (en) | Unique identification of entities of an industrial control system | |
US8989386B2 (en) | Method and device for providing at least one secure cryptographic key | |
EP3036928B1 (en) | Mobile device authentication | |
EP2942922B1 (en) | System and method for controlled device access | |
KR101598738B1 (ko) | 제어 프로그램 관리 시스템, 및 제어 프로그램의 변경 방법 | |
EP2660751B1 (en) | System and method for securing controllers | |
CN104468113A (zh) | 用户凭证的分布 | |
US20180004949A1 (en) | Method For Updating Process Objects In An Engineering System | |
EP3094040A1 (en) | Communication device | |
US8843641B2 (en) | Plug-in connector system for protected establishment of a network connection | |
Tellabi et al. | Overview of Authentication and Access Controls for I&C systems | |
US11968309B2 (en) | Systems and methods for multi-factor digital authentication of aircraft operations | |
US20210144016A1 (en) | Method for Carrying Out Permission-Dependent Communication Between at Least one Field Device of Automation Technology and an Operating Device | |
EP3958529A1 (en) | Systems and methods for multi-factor digital authentication of aircraft operations | |
US20220400019A1 (en) | Secure data synchronization between offline and online systems | |
CN114207617A (zh) | 识别控制系统的被操纵的客户端 | |
CN114430895A (zh) | 用于以安全方式管理自动化现场设备的数据以防止操纵的系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |