CN105556403B - 限制工业控制中的通信 - Google Patents
限制工业控制中的通信 Download PDFInfo
- Publication number
- CN105556403B CN105556403B CN201380079530.3A CN201380079530A CN105556403B CN 105556403 B CN105556403 B CN 105556403B CN 201380079530 A CN201380079530 A CN 201380079530A CN 105556403 B CN105556403 B CN 105556403B
- Authority
- CN
- China
- Prior art keywords
- plc
- programmable logic
- logic controller
- message
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/054—Input/output
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Programmable Controllers (AREA)
Abstract
限制(42)工业控制中的通信。虚拟专用网络功能性被集成(32)在工业控制网络的可编程逻辑控制器(20)内,使得对网络接口(16)的物理访问不足以访问信息。可编程逻辑控制器(20)只接受通过虚拟专用网络接口(21、23、25、27、29、31)所提供的命令或消息,而不接受(42)直接被路由到可编程逻辑控制器(20)本身的消息,从而防止通信中的安全性违背。
Description
背景技术
本实施例涉及工业控制系统(ICS)中的通信。经由以太网网络的因特网协议(IP)网络上的传输控制协议(TCP)连接来访问可编程逻辑控制器(PLC)。能够访问以太网或IP网络的攻击者可以能够拦截至和自可编程逻辑控制器的通信。所拦截的通信业务可能揭示关于由可编程逻辑控制器所控制的工业过程的敏感信息。该敏感信息可以包括将会对攻击者有用以便进一步渗透目标系统的信息,诸如口令。能够访问网络的攻击者还可以向可编程逻辑控制器发送恶意命令以中断工业过程。
与可编程逻辑控制器的敏感通信通过对网络进行物理上防护所保护。所述网络被掩蔽或安置在不可访问的位置中。在控制网络和外部网络(例如因特网)之间的气隙(airgap)经常被采用。可以通过应用层(在开放系统互连(OSI)模型中的层7)处的加密来保护通信。在网络层(OSI模型中的层3)处提供加密的VPN网桥可以用于使保护通信。然而,仍然可能通过不安全的信道(无论是由于缺乏物理安全性还是通信安全性)提供不期望的访问。
发明内容
作为介绍,下述的优选实施例包括用于限制工业控制中的通信的方法、系统、指令和计算机可读介质。VPN功能性被集成在PLC内以使得对线缆的物理访问可能不足以访问信息。通过只接受经由VPN接口所提供的命令或消息而不接受寻址到物理接口本身的消息的可编程逻辑控制器来提供进一步的通信安全性。
在第一方面中,提供了一种用于限制工业控制中的通信的方法。在工业控制网络中建立虚拟专用网络。虚拟专用网络被建立有可编程逻辑控制器作为具有可编程逻辑控制器所提供的虚拟专用网络支持的端点。仅由向可编程逻辑控制器所支持的虚拟专用网络的端点寻址的通信允许对可编程逻辑控制器的访问。阻止对除了向虚拟专用网络的端点寻址的通信之外的通信的可编程逻辑控制器的访问。
在第二方面中,提供了一种用于限制工业控制中的通信的系统。工业控制网络的线缆连接到工业控制网络的可编程逻辑控制器的物理接口。可编程逻辑控制器被配置用于虚拟专用网络通信并且被配置成仅仅响应于虚拟专用网络通信来改变操作而不响应于在物理接口处所接收的其它网络通信来改变操作。
在第三方面中,一种非暂时性计算机可读存储介质在其中存储有表示指令的数据,所述指令通过经编程的处理器可执行以用于限制工业控制中的通信。存储介质包括用于以下的指令:在可编程逻辑控制器的物理接口处接收第一和第二消息,所述第一消息向可编程逻辑控制器寻址,所述第二消息向被可编程逻辑控制器主控的虚拟专用网络节点寻址;响应于第二消息而变更可编程逻辑控制器的设置;以及阻止通过第一消息对可编程逻辑控制器的访问。
本发明由随后的权利要求来限定,并且本章节中没有什么应当被理解为对那些权利要求的限制。本发明的另外的方面和优点在以下结合优选实施例来讨论并且可以稍后被独立地或组合地要求保护。
附图说明
组件和各图不一定是按比例的,代替地重点放在图示本发明的原理上。此外,在各图中,同样的附图标记贯穿不同的视图指明对应的部分。
图1是用于限制工业控制中的通信的系统的一个实施例的框图;以及
图2是图1的系统的工业控制网络中的可编程逻辑控制器的一个实施例的框图;
图3是用于限制工业控制中的通信的方法的一个实施例的流程图;以及
图4是具有所建立的VPN通信的图1的系统的框图。
具体实施方式
VPN通信支持被集成到可编程逻辑控制器中。集成的VPN用于忽略所有通信,除非通信经由VPN而到达。集成的VPN在网络层(即,OSI模型的层3)处提供加密。加密防护通信以免偷听和操纵。可以阻止物理攻击,其中攻击者使设备的以太网线缆断开并且替换伪可编程逻辑控制器或拦截线缆中的通信。也阻止其中攻击者模仿无线接入点或无线站的攻击。VPN能力被直接集成到可编程逻辑控制器中,而不是使用分立的VPN桥和路由器,所述VPN桥和路由器可以允许在桥和可编程逻辑控制器之间的物理断开。集成的VPN支持提供使用分离的VPN设备的益处但没有空间要求。集成的VPN不可以被物理操纵绕过。
图1示出了用于限制工业控制中的通信的系统。所述系统是使用工业控制网络的工业控制系统。工业控制网络使用现场设备来实现工业过程。例如,所述系统可以使用与现场设备(例如可编程逻辑控制器或远程终端单元)的通信来监视和控制制造过程。所述系统提供控制能力并且可以包括用于与过程的控制和数据获取交互的用户接口。
现场设备是面板、可编程逻辑控制器和/或远程终端单元。在图1的示例中,示出了三个可编程逻辑控制器20A-C、人机接口设备22和操作员站24。可以提供附加的、不同的或更少的现场设备。可以使用用于监视物理过程或特性和/或控制制造或生产的其它控制器、监视器或设备。
可编程逻辑控制器20A-C是用于机电、化学、气动、流体、电学、机械或其它过程的自动化的面板、计算机、处理器、电路或其它可编程设备。例如,可编程逻辑控制器20A-C控制组装线上的机器、加热-通风-空气调节(HVAC)、精炼流、混合或者其它设备或过程。可编程逻辑控制器20A-C响应于有限时间内的输入条件而输出。
为了操作,可编程逻辑控制器20A-C可以包括传感器和/或致动器。传感器可以是温度、压力、速率、电流、电压、电感、电容、化学、流传感器或其它传感器。可以使用任何数目的传感器。致动器可以是用于变更、移动、钻孔、焊接、混合、旋转、改变或以其它方式致动的磁性、电学、气动设备或其它设备。传感器和致动器与现场设备通信或者作为现场设备的部分以用于控制和测量。
可编程逻辑控制器20A-C可以被配置成基于编程而进行操作。可以对要执行的动作和/或针对何时执行动作的设定点进行编程。可以配置工作流或动作系列。基于用户接口处的输入和/或通过网络所提供的项目,可编程逻辑控制器20A-C被配置成基于与工业过程相关联的触发和/或报告事件来控制工业过程的一个或多个方面。
为了配置可编程逻辑控制器20A-C用于与工业过程一起操作,提供具有设定点、程序或其它信息的通信。通信去往或来自可编程逻辑控制器20A-C中的一个或多个。
图2示出了可编程逻辑控制器20A-C、人机接口设备22、操作员站24和工程站26中一个或多个的一个实施例。不要求设备是相同的。例如,可编程逻辑控制器20A-C被特意构建成经受住工业环境中的压力和力量和/或是计算机。人机接口设备22是具有通信能力的切换器或按钮、计算机或现场面板。操作员站24是现场面板或计算机。工程站26是具有用于与其它组件对接或通信的一个或多个卡的个人计算机。
组件包括处理器12、存储器14和网络接口16。这些部分提供在工业控制网络中防护通信。可以提供附加、不同或更少的部分。例如,存储器14或处理器12未被提供在人机接口24中。作为另一示例,显示器被提供用于工程站26和/或操作员站24。可以使用任何类型的显示器,诸如LED、监视器、LCD、投影仪、等离子体显示器、CRT或打印机。
处理器12是通用处理器、中央处理单元、控制处理器、图形处理器、数字信号处理器、三维渲染处理器、图像处理器、专用集成电路、现场可编程门阵列、数字电路、模拟电路、其组合、或者用于使用在工业控制网络中的其它现在已知或稍后开发的设备。处理器12是单个设备或串行、并行、或分离地操作的多个设备。处理器12可以是计算机(诸如膝上型或台式计算机)的主处理器或者可以是用于在特意构建的系统中(诸如在可编程逻辑控制器20A-C中)处理任务的处理器。由软件和/或硬件来配置处理器26。
存储器14是图形处理存储器、视频随机存取存储器、系统存储器、随机存取存储器、高速缓存存储器、硬驱动器、光学介质、磁性介质、闪速驱动器、缓冲器、数据库、其组合、或用于存储数据的其它现在已知或稍后开发的存储器设备。存储器14存储一个或多个数据集,所述数据集表示传感器读数、设定点和/或致动器状态。存储器14可以存储经计算的值或其它信息以用于在网络中报告或操作。例如,存储事件数据。存储器14可以缓冲或存储所接收的通信,诸如存储消息以供解析。
存储器14或其它存储器是存储表示指令的数据的非暂时性计算机可读存储介质,所述指令通过经编程的处理器12可执行以用于限制工业控制中的通信。在计算机可读存储介质或存储器(诸如高速缓存、缓冲器、RAM、可移除介质、硬驱动器或其它计算机可读存储介质)上提供用于实现本文中讨论的过程、方法和/或技术的指令。计算机可读存储介质包括各种类型的易失性和非易失性存储介质。响应于在计算机可读存储介质中或其上所存储的一个或多个指令集来执行本文中描述的或各图中图示的功能、动作或任务。功能、动作或任务独立于指令集、存储介质、处理器或处理策略的特定类型并且可以由单独或组合地操作的软件、硬件、集成电路、固件、微代码等等执行。同样地,处理策略可以包括多处理、多任务、并行处理等等。
在一个实施例中,指令被存储在可移除介质设备上以供本地或远程系统读取。在其它的实施例中,指令被存储在远程位置中以供通过计算机网络或通过电话线传递。在还其它的实施例中,指令被存储在给定的计算机、CPU、GPU或系统内。
网络接口16是用于联网的通信的物理连接器和相关联的电通信电路。例如,提供网络卡。在一个实施例中,网络接口16是以太网连接器和对应的电路,诸如PHY芯片。可替换地,提供无线或其它有线连接。
可编程逻辑控制器20A-C具有网络地址。网络地址对应于用于可编程逻辑控制器20A-C的物理网络接口16。工业控制网络内的通信通过网络路由至可编程逻辑控制器20A-C和从其路由。物理网络接口16将可编程逻辑控制器20A-C连接到工业控制网络以用于接收和传送通信,诸如消息。
参考图1,一个或多个线缆33互连可编程逻辑设备20A-C和其它网络设备。线缆33是以太网线缆,诸如用于直接连接到可编程逻辑控制器20A-C的接口16。在其它实施例中,使用其它线缆,诸如共享总线。代替于或附加于线缆33,可以提供无线连接。可以使用任何传输介质,诸如比如以太网或RS485的线缆,或无线电信号,诸如WiFi或蜂窝式网络,或经由光纤/露天的光学信号。
可以提供交换机和/或路由器来将通信可切换地路由到工业控制网络中的所期望的设备。线缆33提供路径用于向和/或自设备(例如,可编程逻辑控制器20A-C)的通信。交换机或路由器通过使用其它线缆或通信(例如无线的)来互连工业控制网络的节点。工业控制网络包括一个或多个通信网络。例如,现场网络互连现场设备。现场网络可以是有线和/或无线的。可以使用任何通信格式,诸如PROFINET、HTTP、FTP、以太网或Modbus TCP。现场设备进行通信以指示事件以及实现控制,诸如确定一个可编程逻辑控制器20A的操作的状态以控制具有另一可编程逻辑控制器20B的另一设备。
为了建立安全通信,通过软件和/或硬件将工程站26和现场设备配置成执行各种功能。工程站26被配置成将操作程序下载到现场设备。不同的现场设备(例如可编程逻辑控制器20A-C)可以在它们自己之间通信或者与工业控制网络内的其它设备通信。可以与其它网络中的设备或工业控制网络外的设备发生通信。
代替于使用工业控制网络或物理网络地址来路由通信,建立VPN。VPN隧道被创建并维护或者在需要时被动态地创建。虚拟网络覆盖工业控制网络。该虚拟网络建立一个或多个点对点通信隧道以用于安全通信。所有通信使用VPN,或者一些通信也可以使用基础工业控制网络。在可替换的实施例中,一个或多个设备不使用VPN。
VPN的端点21、23、25、27、29、31管理VPN。对于可编程逻辑控制器20A-C而言,用于VPN的端点21、23、25是可编程逻辑控制器20A-C本身。可编程逻辑控制器20A-C被配置成支持虚拟专用网络通信并且在工业控制网络中操作。例如,处理器12与接口16以及传感器和致动器直接或间接地连接以控制工业处理,并且处理器还管理VPN通信。
通过硬件(例如芯片)和/或软件将可编程逻辑控制器20A-C配置成支持VPN通信。在可编程逻辑控制器20A-C的外壳外没有添加的组件(例如桥)的情况下,该集成的VPN支持允许可编程逻辑控制器20A-C接受和处理VPN通信。
可以使用任何VPN和对应的支持。例如,可编程逻辑控制器20A-C被预加载有或获得证书或密钥以用于加密和解密。VPN连接的端点共享允许通信的加密和解密的公共密钥或信息。可以使用其它安全性。在一个实施例中,通过使用唯一的VPN寻址来提供安全性。当需要时或当仅仅在共享VPN的端点之间形成和提供隧道时创建VPN地址。可以使用SSL/TLS、IPsec、或其它安全通信。支持可以是用以建立VPN和/或作为VPN端点而操作的算法。
可编程逻辑控制器20A-C可以从不同的网络接收通信。例如,在工业控制网络上接收向可编程逻辑控制器20A-C寻址和针对可编程逻辑控制器20A-C而被格式化的消息,以及在VPN上接收向由可编程逻辑控制器20A-C主控的VPN端点寻址和针对所述VPN端点而被格式化的消息。类似地,可编程逻辑控制器20A-C传送针对工业控制网络或VPN的使用而寻址和格式化的消息。传送和接收使用可编程逻辑控制器20A-C的相同物理接口16而发生,但是具有不同的寻址、安全性和/或格式化。
为了提供附加的安全性,可编程逻辑控制器20A-C被配置成仅仅响应于VPN通信来改变操作而不响应于在物理接口16处所接收的其它网络通信来改变操作。如果消息是VPN通信(例如,针对VPN而被寻址、防护和/或格式化的),则可编程逻辑控制器20A-C作用于所述消息。可以发送响应,可以解析消息,可以改变设置,可以改变序列,或者可以发生操作中的其它改变。操作中的改变是相对于网络(例如VPN或工业控制网络)上的交互和/或工业过程的。如果消息是VPN通信,则可编程逻辑控制器20A-C可以变更可编程逻辑控制器20A-C所实现的过程发生什么、何时发生或如何发生。如果消息是VPN通信,则可编程逻辑控制器20A-C可以对消息进行响应或处理。
如果消息是除了VPN通信之外的,诸如通过使用工业控制网络而非VPN端点地址来寻址,则通信不用于改变操作。可以不发送响应。可以不改变设置或过程,尽管消息请求改变。消息被丢弃,不被缓冲,不被解析,和/或不被作用于其上。在其它实施例中,非VPN消息被保存和/或被传送以供分析作为错误或异常。
当手动或自动设立工业控制网络时,可能不存在VPN。可以允许用于配置工业控制网络的消息。类似地,可以允许用于配置或设立VPN的消息。一旦VPN存在于功能网络骨干(例如工业控制网络)上,消息传递就被限制于仅VPN通信。在其它实施例中,对于仅VPN通信的限制只适用于消息的一个或多个类。例如,仅VPN的限制适用于与工业过程控制相关联的任何消息。与网络维护、配置或使用相关联的消息不限于仅VPN。可以使用相反的(例如,仅VPN限制用于网络,而不是工业控制消息)。消息的其它类可以具有相同或不同的限制。
图3示出用于限制工业控制中的通信的方法。所述方法由图1的系统、图2的组件或另一系统和/或组件来实现。以所示出的次序或其它次序来执行动作。例如,动作38和42作为相同过程的部分同时执行。
可以提供附加的、不同的或更少的动作。例如,图3的动作聚焦于可编程逻辑控制器的操作。针对使用VPN通信的工业控制网络的其它设备提供附加的或不同的动作。例如,用于限制通信或基于通信的处理的动作38和42是或不是针对或由其它端点或其它现场设备来执行的。
对工业控制网络进行调试(commission)。安置并连接组件。使联网的组件通电并且执行任何测试来确认组件和网络的操作。执行用于供应工业控制系统(工业控制网络)的任何动作。调试可以发生在已知良好的环境中。联网的组件被配置成在没有工业控制系统外部的连接的情况下操作。可替换地,调试可以在其中网络与另一网络连接的环境中发生。
调试可以包括用来安排和交换安全性令牌以用于建立安全通信的动作。在其它实施例中,完成调试,并且在调试之后且在工业控制过程的操作之前发生安全性令牌的交换。在还其它的实施例中,工业控制网络不使用安全性令牌。
可以在工业控制网络中建立在可编程逻辑控制器20A-C、人机接口设备22、工程站26和/或操作员站24之间的对等。为了建立对等,从现场设备读取标识。消息传递可以用于获得标识。因为工程站26可以能够访问网络上的所有现场设备,因此工程站26从每一个现场设备检索物理或逻辑标识符。可替换地,广播、近邻发现或查询系统用于确定标识。现场设备可以被编程以搜寻出工业控制网络的特定其它设备。
一旦针对工业控制网络建立和/或防护通信,就可以使用工业控制网络来建立一个或多个虚拟专用网络(VPN)。在动作30中,在对等体之间建立一个或多个VPN。例如,图4示出了图1的工业控制网络,但是具有针对其而将在工业控制过程的正常操作中发生通信的连接。可编程逻辑控制器20A和20B将通信。可编程逻辑控制器20C将与操作员站24通信。工程站26或其它监督者或管理员控制可以与所有设备通信。可以形成多于两个设备的群组。
针对对等群组而建立VPN。针对不同的群组提供不同的VPN。在群组内,使用单个VPN。可替换地,在群组内可以使用多于一个VPN。例如,三个设备将通信。创建三个单独的点对点VPN来提供通信。
在所述工业控制网络或其它工业控制网络中建立一个或多个VPN。工业控制网络的设备用于主控VPN的虚拟节点。工业控制网络的骨干(例如,布线和/或通信信道)用于传送和接收VPN通信。
可编程逻辑控制器和其它设备被建立作为VPN的端点。在动作32中,可编程逻辑控制器提供VPN支持。VPN软件和/或硬件被包括在可编程逻辑控制器中或与其集成。用于创建VPN的隧道传输、协商、验证或其它动作至少部分地由可编程逻辑控制器的处理器或其它组件执行。通过具有VPN支持,可编程逻辑控制器能够主控VPN的端点。通过可编程逻辑控制器来对受防护的VPN通信进行解密,因此没有拦截或插入非加密消息的间隙。
相同的处理器控制工业过程或作为控制工业工程的部分并支持VPN。可编程逻辑控制器的资源被共享以用于工业控制和VPN支持二者。支持VPN的软件和/或硬件处于与可编程逻辑控制器的其余部分相同的外壳中。在相同的可编程逻辑控制器中,不同的处理器可以用于VPN支持和工业控制。
在动作34中,针对VPN创建点对点连接。创建隧道以提供在两个端点之间的通信。不同的设备主控端点。在开放系统互连网络或数据链路层处建立VPN。可编程逻辑控制器的物理接口被用于VPN。
由于正创建虚拟网络,所以VPN的端点被指派或创建分离的地址。主控设备具有用于基础网络(例如工业控制网络)和用于虚拟网络的不同地址。这些VPN地址用于在VPN中通信。
VPN支持对其它的端点进行认证,诸如通过证书交换、来自可信源的校验、从表中查找或其它认证。可以使用任何认证。
可编程逻辑控制器的VPN支持供应用于VPN的安全性和/或格式化。可以通过密钥、证书或令牌的交换来供应加密和解密。预存储的信息、而不是交换可以用于供应安全性。在一个实施例中,按照因特网协议安全性(IPsec)或传输层安全性(SSL/TLS)来建立用于VPN的通信的安全性。可以使用其它协议。
在一个实施例中,使用密钥交换。可以使用任何密钥交换算法。可以使用HTTPS、IPSEC、SSL、PKI或其它密码学方法。例如,VPN支持随机地生成密钥对。一个私有密钥由组件保存并且另一个公共密钥被发送到对等体。每个对等体接收用于加密消息和/或数字签名的密钥。密钥是安全性令牌。可以使用对称或不对称的(例如RSA)密钥算法。在另一示例中,使用握手过程来协商状态性连接。前导(lead)端点向其它端点发送数字证书。其它端点可以或可以不同样地向前导端点发送数字证书。证书可以用于生成在端点之间共享的秘密以供稍后的认证和/或加密。共享的秘密和/或证书是安全性令牌。在又一示例中,工程站充当PKI系统中的认证服务器。作为另一示例,使用预加载和经协商的密钥,并且交换算法使用预加载的密钥来确认可操作性。
在动作36中,使用所建立的VPN和/或控制网络而发生通信。可编程逻辑控制器可以对将传送到可编程逻辑控制器所主控的VPN端点的消息进行路由。消息通过VPN而从可编程逻辑控制器传送,而不是利用工业控制网络的寻址、安全性和/或格式。可替换地,消息使用工业控制网络的不同的寻址、安全性和/或格式。
类似地,在物理接口处接收去往可编程逻辑控制器的消息。所接收的消息是针对工业控制网络或针对VPN节点而被寻址、防护和/或格式化的。针对VPN而寻址的消息可以包括工业控制网络地址信息,而且还包括VPN地址。相反,针对工业控制网络的消息不包括VPN信息。
一个或多个所接收的消息被解密,如果被加密的话。所使用的解密基于用于通信的寻址或网络。适合于工业控制网络的消息的格式和/或安全性(例如,加密的类型、密钥或安全性的其它方面)可能不适合于VPN,并且反之亦然。即使使用相同类型的加密,VPN也使用与工业控制网络不同的密钥或证书。使用错误密钥的解密阻止对消息的使用,因此应用适合于消息类型的解密。针对VPN在适当时解密VPN消息。
在动作38和42中,允许或不允许对可编程逻辑控制器的访问。访问可以是进一步的消息处理,诸如使用可编程逻辑控制器的资源来解析和读取消息。访问可以是对于可编程逻辑控制器的设置或操作的。例如,变更设定点、事件日志读出、配置、或其它工业控制特性。访问可以是对于网络配置的。例如,可编程逻辑控制器被改变成使用不同的格式、地址、对等体或与通过网络的通信相关联的其它操作。访问可以是针对控制网络管理的。从可编程逻辑控制器读取数据、从可编程逻辑控制器得出响应或改变可编程逻辑控制器的操作的任何能力使用对控制器的访问。
针对访问的请求被包括在一个或多个消息中。消息可以请求信息、请求操作中的改变、或包括依赖于对可编程逻辑控制器的访问的其它信息。消息可以是命令消息。
在动作38中,针对VPN上所接收的消息允许访问。与工业控制网络相对的、针对VPN而寻址、防护和/或格式化的消息被处理以便允许访问。针对VPN消息传递准许可编程逻辑控制器的消息处理。消息被解密且被解析。由可编程逻辑控制器执行对应于消息内容或有效载荷的动作。可编程逻辑控制器根据消息进行操作。
在动作40中,可编程逻辑控制器的操作根据访问而改变。响应于一个或多个消息而变更设置。设置是设定点、过程、配置、或变更可编程逻辑控制器的操作的变量的其它值。基于消息中所提供的值而改变对工业装备或过程的控制。可以变更网络、通信、管理或其它操作。
在动作42中,访问被阻止。针对除了VPN通信之外的通信阻止对可编程逻辑控制器的访问。如果消息的地址、安全性和/或格式化用于所述工业控制网络或其它工业控制网络而不是用于由网络所主控的VPN,则访问被阻止。消息不被解析或处理。即使被解析或处理,对操作的工业控制方面的访问也被阻止。即使消息包括请求或指示变更的有效载荷,也不响应于消息而变更设定点或其它控制处理。仅响应于经由VPN所接收的消息而准予访问。
其它消息可以被丢弃、不被处理、被处理但不被实现、或按照例外过程来被处置。例如,非VPN通信被忽略。如果地址是对可编程逻辑控制器而不是由控制器主控的VPN的端点的,则消息不被处理或对其进行操作。
阻止是针对由可编程逻辑控制器使用除了VPN之外的其它通信所接收的所有消息的。可替换地,阻止是针对特定类型的所有消息的。对应于网络管理、工业过程控制或网络通信的消息可以具有不同的访问和阻止控制。例如,在动作38和42中、针对处理工业过程控制的所有消息允许和阻止消息传递。不同的标准、诸如仅允许针对非VPN消息的访问,可以用于其它类型的消息,诸如用于工业控制网络的网络管理消息。
虽然以上已经通过参考各种实施例来描述了本发明,但是应当理解的是,可以做出许多改变和修改而不脱离本发明的范围。因此所意图的是前述详细描述被视为说明性的而不是限制性的,并且理解的是,正是包括所有等同物的以下权利要求旨在限定本发明的精神和范围。
Claims (20)
1.一种用于限制工业控制中的通信的方法,所述方法包括:
在工业控制网络中建立(30)虚拟专用网络,所述虚拟专用网络建立有可编程逻辑控制器(20)作为具有由可编程逻辑控制器(20)提供的虚拟专用网络支持的端点;
仅由向可编程逻辑控制器(20)所支持的虚拟专用网络的端点寻址的通信允许(38)对可编程逻辑控制器(20)的访问并且根据所述访问改变(40)可编程逻辑控制器(20)的操作,可编程逻辑控制器(20)的设置仅响应于寻址到虚拟专用网络的端点的通信而变更;以及
阻止(42)对除了向虚拟专用网络的端点寻址的通信之外的通信的可编程逻辑控制器(20)的访问。
2.根据权利要求1所述的方法,其中建立(30)包括利用与针对可编程逻辑控制器(20)针对端点的分离的地址来创建(34)点对点连接。
3.根据权利要求1所述的方法,其中建立(30)包括通过可编程逻辑控制器(20)来供应加密和解密。
4.根据权利要求1所述的方法,其中建立(30)包括利用处理器所操作的可编程逻辑控制器(20)来支持(32)虚拟专用网络,所述处理器被配置成还操作可编程逻辑控制器(20)以用于工业控制。
5.根据权利要求1所述的方法,其中建立(30)包括在开放系统互连网络或数据链路层处建立(30)虚拟专用网络。
6.根据权利要求1所述的方法,其中建立(30)包括利用被集成为可编程逻辑控制器(20)的外壳中的软件、硬件、或软件和硬件的支持来建立(30)。
7.根据权利要求1所述的方法,其中建立(30)包括按照因特网协议安全性(IPsec)或传输层安全性(SSL/TLS)来建立(30)。
8.根据权利要求1所述的方法,其中建立(30)包括通过可编程逻辑控制器(20)的虚拟专用网络支持来认证。
9.根据权利要求1所述的方法,其中阻止(42)包括忽略向除了虚拟专用网络的端点的地址之外的可编程逻辑控制器(20)的地址寻址的通信。
10.根据权利要求1所述的方法,其中阻止(42)包括丢弃除了在由虚拟专用网络支持所建立的虚拟专用网络接口上之外的去往可编程逻辑控制器(20)的通信。
11.一种用于实施根据权利要求1至10之一所述的用于限制工业控制中的通信的方法的系统,所述系统包括:
工业控制网络的可编程逻辑控制器(20);以及
连接到可编程逻辑控制器(20)的物理接口的工业控制网络的传输介质(33);
其中可编程逻辑控制器(20)被配置用于虚拟专用网络通信并且被配置成仅仅响应于虚拟专用网络通信来改变操作,可编程逻辑控制器(20)的设置仅响应于虚拟专用网络通信而变更,并且不响应于在物理接口处所接收的其它网络通信来改变操作。
12.根据权利要求11所述的系统,其中所述传输介质(33)包括以太网线缆。
13.根据权利要求11所述的系统,其中所述可编程逻辑控制器(20)被配置成对虚拟专用网络通信进行加密和解密。
14.根据权利要求11所述的系统,其中所述可编程逻辑控制器(20)包括处理器,所述处理器可操作以改变用于工业控制的可编程逻辑控制器(20)的操作并且支持虚拟专用网络通信。
15.根据权利要求11所述的系统,其中所述可编程逻辑控制器(20)被配置成丢弃所述其它网络通信并且对向对应于可编程逻辑控制器(20)的并且不同于可编程逻辑控制器(20)的物理接口的地址的虚拟专用网络地址寻址的虚拟专用网络通信进行响应。
16.一种存储有表示指令的数据的非暂时性计算机可读存储介质,所述指令能通过经编程的处理器(12)执行来实施根据权利要求1至10之一所述的用于限制工业控制中的通信的方法,其中所述存储介质包括用于以下的指令:
在可编程逻辑控制器(20)的物理接口处接收(36)第一和第二消息,第一消息向可编程逻辑控制器(20)寻址,第二消息向由可编程逻辑控制器(20)主控的虚拟专用网络节点寻址;
响应于第二消息而变更(40)可编程逻辑控制器(20)的设置;以及
阻止(42)通过第一消息对可编程逻辑控制器(20)的访问。
17.根据权利要求16所述的非暂时性计算机可读存储介质,其中变更(40)包括仅仅响应于经由虚拟专用网络的、包括第二消息的消息而准予(38)访问。
18.根据权利要求16所述的非暂时性计算机可读存储介质,其中变更(40)设置包括基于第二消息中所提供的值来变更(40)工业装备的控制。
19.根据权利要求16所述的非暂时性计算机可读存储介质,其中阻止(42)包括丢弃第一消息。
20.根据权利要求16所述的非暂时性计算机可读存储介质,还包括按照虚拟专用网络的加密来对第二消息进行解密(38)。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2013/059639 WO2015038142A1 (en) | 2013-09-13 | 2013-09-13 | Restricting communications in industrial control |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105556403A CN105556403A (zh) | 2016-05-04 |
| CN105556403B true CN105556403B (zh) | 2019-11-19 |
Family
ID=49253427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380079530.3A Expired - Fee Related CN105556403B (zh) | 2013-09-13 | 2013-09-13 | 限制工业控制中的通信 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10356046B2 (zh) |
| EP (1) | EP3044641B1 (zh) |
| CN (1) | CN105556403B (zh) |
| WO (1) | WO2015038142A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102010041804A1 (de) * | 2010-09-30 | 2012-04-05 | Siemens Aktiengesellschaft | Verfahren zur sicheren Datenübertragung mit einer VPN-Box |
| US9368025B2 (en) * | 2011-08-29 | 2016-06-14 | Lutron Electronics Co., Inc. | Two-part load control system mountable to a single electrical wallbox |
| CN105556403B (zh) | 2013-09-13 | 2019-11-19 | 西门子公司 | 限制工业控制中的通信 |
| US9870462B2 (en) * | 2014-09-22 | 2018-01-16 | Intel Corporation | Prevention of cable-swap security attack on storage devices |
| US9985984B1 (en) * | 2014-10-27 | 2018-05-29 | National Technology & Engineering Solutions Of Sandia, Llc | Dynamic defense and network randomization for computer systems |
| US10122589B2 (en) * | 2016-04-08 | 2018-11-06 | Cisco Technology, Inc. | Configuring the design of an industrial automation network |
| US10485043B2 (en) * | 2016-10-28 | 2019-11-19 | Hewlett Packard Enterprise Development Lp | Multi-connection access point |
| CN107370839A (zh) * | 2017-06-29 | 2017-11-21 | 北京东土科技股份有限公司 | 工业现场设备的寻址方法及相关装置、系统 |
| US10423151B2 (en) | 2017-07-07 | 2019-09-24 | Battelle Energy Alliance, Llc | Controller architecture and systems and methods for implementing the same in a networked control system |
| CN108243186B (zh) * | 2017-12-22 | 2021-07-23 | 深圳市汇川技术股份有限公司 | 远程操作可编程逻辑控制器的系统和方法 |
| EP3541009A1 (de) * | 2018-03-15 | 2019-09-18 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zur sicherstellung einer kryptographisch geschützten datenübertragung zwischen einem ersten gerät und einem zweiten gerät |
| JP7131455B2 (ja) * | 2019-03-27 | 2022-09-06 | オムロン株式会社 | ユニット、ユニットの制御方法、および、ユニットの制御プログラム |
| EP3862824B1 (de) * | 2020-02-04 | 2023-01-11 | Siemens Aktiengesellschaft | Schnittstellenmodul zur konfiguration und parametrierung eines feldbusteilnehmers |
| CN111381553B (zh) * | 2020-02-19 | 2022-05-17 | 北京航天智造科技发展有限公司 | 一种基于vpn技术的设备及远程维护plc的方法和系统 |
| CN113775936B (zh) * | 2021-08-18 | 2023-10-24 | 国家管网集团大连液化天然气有限公司 | 一种lng接收站辅助系统多主采集方法 |
| CN115022123A (zh) * | 2022-08-08 | 2022-09-06 | 成都卫士通信息产业股份有限公司 | 一种通信管理设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7536548B1 (en) * | 2002-06-04 | 2009-05-19 | Rockwell Automation Technologies, Inc. | System and methodology providing multi-tier-security for network data exchange with industrial control components |
| CN101802732A (zh) * | 2007-06-29 | 2010-08-11 | 通快机床两合公司 | 用于控制机器的装置和远程通信系统 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6453210B1 (en) * | 1998-07-23 | 2002-09-17 | Vulcan Engineering Company, Inc. | Autonomous control method and process for an investment casting shell |
| US8041840B2 (en) * | 2001-04-20 | 2011-10-18 | Rockwell Automation Technologies, Inc. | Industrial control system with autonomous web server |
| US7149604B2 (en) * | 2002-11-25 | 2006-12-12 | Honda Giken Kogyo Kabushiki Kaisha | Method and system for backing up programmable logic controllers over network |
| US7644290B2 (en) | 2003-03-31 | 2010-01-05 | Power Measurement Ltd. | System and method for seal tamper detection for intelligent electronic devices |
| DE10319323B3 (de) * | 2003-04-29 | 2004-12-16 | Siemens Ag | Verfahren zur automatischen Konfiguration einer Kommunikationseinrichtung |
| DE10331310A1 (de) | 2003-07-10 | 2005-02-10 | Siemens Ag | Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz sowie Teilnehmer zur Durchführung des Verfahrens |
| JP4107213B2 (ja) * | 2003-10-06 | 2008-06-25 | 松下電工株式会社 | パケット判定装置 |
| US7761923B2 (en) * | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
| US7314169B1 (en) * | 2004-09-29 | 2008-01-01 | Rockwell Automation Technologies, Inc. | Device that issues authority for automation systems by issuing an encrypted time pass |
| ATE398305T1 (de) * | 2005-04-22 | 2008-07-15 | Trumpf Laser Gmbh & Co Kg | Vorrichtung für sicheren fernzugriff |
| US20070073850A1 (en) * | 2005-09-29 | 2007-03-29 | Rockwell Automation Technologies, Inc. | Industrial control device configuration and discovery |
| JP4829684B2 (ja) | 2006-06-02 | 2011-12-07 | 株式会社エフエムディ | 医療用ガイドワイヤ |
| US7812682B2 (en) * | 2009-03-05 | 2010-10-12 | Nel Frequency Controls, Inc. | Crystal-based oscillator for use in synchronized system |
| JP4892076B2 (ja) * | 2010-04-20 | 2012-03-07 | シャープ株式会社 | 通信制御装置、通信制御方法及びプログラム、記録媒体 |
| JP5372057B2 (ja) * | 2011-03-31 | 2013-12-18 | 三菱電機株式会社 | 通信システム及び通信方法 |
| JP5754704B2 (ja) * | 2011-04-19 | 2015-07-29 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 複数の産業制御システム間の通信を制御するシステム |
| US20140157334A1 (en) * | 2012-11-30 | 2014-06-05 | Alexandros Cavgalar | Dvr module for system having a gateway |
| US9594619B2 (en) * | 2012-10-08 | 2017-03-14 | Hewlett Packard Enterprise Development Lp | Robust hardware fault management system, method and framework for enterprise devices |
| US8997202B2 (en) * | 2012-12-06 | 2015-03-31 | Owl Computing Technologies, Inc. | System for secure transfer of information from an industrial control system network |
| KR20140147583A (ko) * | 2013-06-20 | 2014-12-30 | 한국전자통신연구원 | 산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법 |
| WO2015020631A1 (en) * | 2013-08-06 | 2015-02-12 | Bedrock Automation Platforms Inc. | Methods for consolidating module types for industrial control systems |
| CN105556403B (zh) | 2013-09-13 | 2019-11-19 | 西门子公司 | 限制工业控制中的通信 |
-
2013
- 2013-09-13 CN CN201380079530.3A patent/CN105556403B/zh not_active Expired - Fee Related
- 2013-09-13 US US15/028,850 patent/US10356046B2/en not_active Expired - Fee Related
- 2013-09-13 WO PCT/US2013/059639 patent/WO2015038142A1/en active Application Filing
- 2013-09-13 EP EP13767202.8A patent/EP3044641B1/en not_active Revoked
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7536548B1 (en) * | 2002-06-04 | 2009-05-19 | Rockwell Automation Technologies, Inc. | System and methodology providing multi-tier-security for network data exchange with industrial control components |
| CN101802732A (zh) * | 2007-06-29 | 2010-08-11 | 通快机床两合公司 | 用于控制机器的装置和远程通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10356046B2 (en) | 2019-07-16 |
| EP3044641A1 (en) | 2016-07-20 |
| EP3044641B1 (en) | 2019-08-28 |
| CN105556403A (zh) | 2016-05-04 |
| US20160269363A1 (en) | 2016-09-15 |
| WO2015038142A1 (en) | 2015-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105556403B (zh) | 限制工业控制中的通信 | |
| WO2019100691A1 (zh) | 面向工业嵌入式系统的网络信息安全防护单元和防护方法 | |
| CN104737513B (zh) | 具有用于安全网络通信的内部生成的工业控制系统 | |
| EP2768202B1 (en) | Secure electronic device application connection to an application server | |
| US20210176223A1 (en) | Apparatus and method for transmitting data between a first and a second network | |
| US20170126623A1 (en) | Protected Subnet Interconnect | |
| CN103119910B (zh) | 利用vpn盒来进行安全数据传输的方法和系统 | |
| KR101538147B1 (ko) | 보안모듈이 적용된 배전자동화 시스템 및 이를 이용한 보안방법 | |
| CN110998527A (zh) | 对计算设备的远程控制 | |
| CN105991562A (zh) | IPSec加速方法、装置及系统 | |
| JP2023510002A (ja) | エアギャッピングハードウェアプロトコルを使用したセキュアなデータ転送のためのシステムおよび方法 | |
| EP3010199B1 (en) | Secure remote desktop | |
| JP2016535884A (ja) | ネットワークエンドポイント内の通信の保護 | |
| JP6407598B2 (ja) | 中継装置、中継方法、及び中継プログラム | |
| CN108924157A (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
| CN111245604B (zh) | 一种服务器数据安全交互系统 | |
| CN103701589A (zh) | 基于虚拟桌面系统的信息传输方法、装置及相关设备 | |
| JP7544706B2 (ja) | 通信モジュール | |
| US10356226B2 (en) | Secure connection with protected facilities | |
| US20070058654A1 (en) | Arrangement and coupling device for securing data access | |
| US11032250B2 (en) | Protective apparatus and network cabling apparatus for the protected transmission of data | |
| WO2017122950A1 (ko) | 암복호화 장치 및 방법 | |
| CN114938304B (zh) | 一种工业物联网数据安全传输的方法和系统 | |
| JP7566650B2 (ja) | 通信装置及び通信システム | |
| CN102148704A (zh) | 一种加密型交换机通用网管接口的软件实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20191119 |