CN109479056B - 用于建立到工业自动化系统的安全的通信连接的方法和防火墙系统 - Google Patents
用于建立到工业自动化系统的安全的通信连接的方法和防火墙系统 Download PDFInfo
- Publication number
- CN109479056B CN109479056B CN201780043441.1A CN201780043441A CN109479056B CN 109479056 B CN109479056 B CN 109479056B CN 201780043441 A CN201780043441 A CN 201780043441A CN 109479056 B CN109479056 B CN 109479056B
- Authority
- CN
- China
- Prior art keywords
- communication equipment
- communication
- connection
- equipment
- made requests
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 152
- 238000000034 method Methods 0.000 title claims description 23
- 238000007689 inspection Methods 0.000 claims abstract description 20
- 230000005540 biological transmission Effects 0.000 claims abstract description 17
- 238000012423 maintenance Methods 0.000 description 16
- 238000013461 design Methods 0.000 description 3
- 241000196324 Embryophyta Species 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- ATJFFYVFTNAWJD-UHFFFAOYSA-N Tin Chemical compound [Sn] ATJFFYVFTNAWJD-UHFFFAOYSA-N 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000004801 process automation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000009711 regulatory function Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25205—Encrypt communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Manufacturing & Machinery (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
为了建立到工业自动化系统的安全的通信连接,连接管理装置在权限检查结果过为正面的情况下为进行请求的用户的第一通信设备和所选择的第二通信设备提供在这两个通信设备之间建立加密的通信连接的访问管控信息。在此,连接管理装置通过在防火墙系统上运行的服务器实例形成。经由在进行请求的用户的第一通信设备和所选择的第二通信设备之间的加密的通信连接传输的数据包通过防火墙系统针对基于确定的安全规则的检查进行解密并且在常规检查的情况下以加密的方式转发至进行请求的用户的第一通信设备或转发至所选择的第二通信设备。
Description
技术领域
本发明涉及工业自动化系统领域,进一步地,本发明涉及一种用于建立到工业自动化系统的安全的通信连接的方法以及一种防火墙系统。
背景技术
工业自动化系统用于监视、控制和调节工程过程,尤其在制造自动化、过程自动化和建筑自动化领域中的工程过程,并且实现控制装置、传感器、机器和工业设施的运行,该运行应尽可能自主地且不受人类干预地进行。在此,特别重要的是实时地提供监视功能、控制功能和调节功能。对自动化设备和工业自动化系统的计算单元之间的通信连接的干扰能够引起不利地重复传输服务请求。特别地,未传输的或未完整传输的消息会防止工业自动化系统过渡到安全运行状态下,并且导致工业设施的失效。在工业自动化系统中从具有相对大量的、但是相对短的要实时传输的消息的消息通信中产生特别的问题。
从US8555373B2中已知设置在源设备和目标设备之间的防火墙,该防火墙包括用于对照允许的列表检查从数据包提取的数据的硬件安全部件。硬件安全部件还执行关于协议的基于状态的检查。防火墙能够设计为安全代理,并且借助于软件安全部件实现两个参与者之间的安全的会话。为了对待检查的包进行认证或解密以及对经检查的包进行加密,软件安全部件采用硬件安全部件。
在US7958549B2中描述具有加密处理器和虚拟服务器的防火墙。在此,加密处理器连接在虚拟服务器上游且对加密的数据包进行解密,数据包随后转发供给虚拟服务器以进行处理。沿相反的方向,加密处理器从虚拟服务器接收处理过的数据包,以便将该转发加密。
为了保护机密的信息或数据也在工业通信网络中使用VPN通信连接(虚拟专用网络)。在VPN通信连接中,进行对于在发射器和接收器之间传输的数据的端对端加密。在此,发射器能够建立和使用同时到多个接收器的多个VPN通信连接。
为了管理远程维护系统的多个VPN连接,其中,能够由多个在工业通信网络之外的远程维护计算机访问工业通信网络之内的不同的待控制的设施或设施部件,而设置有交会服务器。在此,远程监视计算机的用户例如借助其相应的用户标识在交会服务器处登陆并且在交会服务器中请求对设施、设施部件或现场设备进行访问。在成功登陆和请求之后,交会服务器静态地或动态地促使建立远程维护过程的通信参与者之间的VPN通信连接并且将其联接。由此,在远程维护计算机一方和设施、设施部件或现场设备另一方之间建立加密的端对端通信连接。然而,这种防窃听的端对端通信连接原则上防止对在远程维护过程的通信用户之间进行交换的数据或信息的控制。特别地,无法轻易检查,是否始于远程维护计算机在设施、设施部件或远程设备处执行不可靠的干预,或者是否使用允许的通信协议或自动化系统协议。
发明内容
因此,本发明的目的在于,提供一种用于建立到工业通信系统的安全的通信连接的方法,该方法实现在对传输的数据的可靠性进行检查的同时实现防窃听的数据传输,以及提供一种用于执行该方法的适当的设备。
按照根据本发明的用于建立到工业自动化系统的安全的通信连接的方法,经由连接管理装置来建立从工业自动化系统之外的第一通信设备到与工业自动化系统相关联的第二通信设备的通信连接。连接管理装置尤其能够是交会服务器。此外,第二通信设备例如能够集成到自动化设备中或者与这些自动化设备相关联。在通过第一通信设备的进行请求的用户请求建立到所选择的第二通信设备的连接时,连接管理装置相对于访问管控列表对进行请求的用户执行权限检查。访问管控列表优选包括分别在至少一个第一通信设备与至少一个第二通信设备之间的可靠的通信连接的用户独有的说明。
根据本发明,连接管理装置在权限检查结果过为正面的情况下为进行请求的用户的第一通信设备和所选择的第二通信设备提供在这两个通信设备之间建立加密的通信连接的访问管控信息。连接管理装置由在防火墙系统上运行的服务器实例形成。此外,经由在进行请求的用户的第一通信设备与所选择的第二通信设备之间的加密的通信连接传输的数据包通过防火墙系统针对基于确定的安全规则的检查进行解密。确定的安全规则尤其能够包括防火墙规则和/或关于在数据包中指明的控制命令或用于自动化设备的控制参数的可靠性的规则。防火墙系统将基于确定的安全规则检查成功的数据包以加密的方式转发至进行请求的用户的第一通信设备和/或转发至所选择的第二通信设备。借此,能够双向地检查进行请求的用户的第一通信设备与所选择的第二通信设备之间的数据传输。优选地,通过防火墙系统对从进行请求的用户的第一通信设备到所选择的第二通信设备的待检查的数据包解密、检查和在检查成功之后转发给第二通信设备,而对从所选择的第二通信设备到进行请求的用户的第一通信设备的待检查的数据包通过防火墙系统进行解密、检查,并且在检查成功之后转发给第一通信设备。防火墙系统优选布置在工业自动化系统的安全的通信网络中,并且有利地拒绝不对应于确定的安全规则的数据包。替选于拒绝不对应于确定的安全规则的数据包,例如也能够生成安全警报。
根据本发明的一个特别优选的设计方案,经由连接管理装置在第一通信设备与第二通信设备之间建立的通信连接是虚拟专用网络连接。此外,权限检查包括对照连接管理装置来认证进行请求的用户。有利地,连接管理装置仅在对进行请求的用户认证之后才将用于在进行请求的用户的第一通信设备和所选择的第二通信设备之间使用虚拟专用网络连接的访问管控信息提供给进行请求的用户。访问管控信息例如能够包括密码学密匙和/或用于VPN会话的密码或临时有效的密码。根据另一设计方案,通过防火墙系统基于确定的安全规则的方式进行的检查包括检查用于VPN会话的密码或临时有效的密码的正确性,并且其中,防火墙系统拒绝对于数据包的传输指明不正确的密码的数据包。
按照根据本发明的方法的一个有利的改进形式,连接管理装置在权限检查结果为正面的情况下分别建立到进行请求的用户的第一通信设备和到所选择的第二通信设备的加密的通信连接并且将这些通信连接彼此链接。此外,经由进行请求的用户的第一通信设备和所选择的第二通信设备之间的加密的通信连接传输的数据包优选通过防火墙系统解密,并且基于确定的安全规则进行检查,并且通过防火墙系统对在基于确定的安全规则检查成功的待转发的数据包加密。根据本发明的一个特别优选的设计方案,由防火墙系统以基于硬件的方式对数据包解密和/或加密。
根据本发明的防火墙系统设计用于执行根据之前的实施方案的方法,并且设置和设计为基于确定的安全规则对数据包进行检查。防火墙系统还设置和设计为运行至少一个服务器实例。通过服务器实例形成连接管理装置,其设置和设计为建立从工业自动化系统之外的第一通信设备到与工业自动化系统相关联的第二通信设备的通信连接。连接管理装置还设置和设计为,在通过第一通信设备的进行请求的用户请求建立到所选择的第二通信设备的连接时,根据访问管控列表对进行请求的用户执行权限检查。
此外,根据本发明,连接管理装置还设置和设计为,在权限检查结果过为正面的情况下为进行请求的用户的第一通信设备和所选择的第二通信设备提供在这两个通信设备之间建立加密的通信连接的访问管控信息。此外,防火墙系统还设置和设计为,经由在进行请求的用户的第一通信设备与所选择的第二通信设备之间的加密的通信连接传输的数据包通过防火墙系统针对基于确定的安全规则的检查进行解密。此外,防火墙系统还设置和设计为,将基于确定的安全规则检查成功的数据包以加密的方式转发至进行请求的用户的第一通信设备和/或转发至所选择的第二通信设备。
附图说明
下面,以实施例根据附图详细阐述本发明。其中示出,
附图示出具有在工业自动化系统之外的多个远程维护计算机和防火墙系统以及在工业自动化系统之内的多个自动化设备的装置。
具体实施方式
在附图中示出的装置包括多个远程维护计算机101-103,它们经由长距离通信网络400与工业自动化系统200的通信网络连接。远程维护计算机101-103例如能够设计为PC、笔记本计算机或平板PC。工业自动化系统200包括防火墙系统300以防止不可靠的消息传输,防火墙系统尤其基于确定的安全规则检查进入工业自动化系统200中的数据包。该安全规则在当前的实施例中包括通常的防火墙规则和关于在数据包中说明的控制命令或用于工业自动化系统200的自动化设备201-202的控制参数的可靠性的规则。因此,在其中布置有防火墙系统300的工业自动化系统200的通信网络以安全技术方式提供对自动化设备201-202的受控的访问可行性,并进而其受到了保护。长距离通信网络400例如能够是移动无线网络或基于IP的通信网络。
自动化设备201-202分别包括集成的或相关联的通信模块或设备并且能够是机器或工程设施的、例如机器人的或运输设备的可编程逻辑控制器或基于PC的控制装置。特别地,自动化设备201-202分别包括至少一个中央单元和输入/输出单元。输入/输出单元用于在相应的自动化设备201-202与通过自动化设备201-202控制的机器或设备之间交换控制变量以及测量变量。自动化设备201-202的中央单元尤其设置用于从检测的测量变量中确定适当的控制变量。
防火墙锡300基于计算机并且在当前的实施例中包括超级监督者301作为防火墙系统的实际存在的硬件和可安装在防火墙系统300上的能运行的操作系统之间的硬件抽象化元件。这种超级监督者301实现虚拟环境的提供,该虚拟环境包括分区的硬件资源,如处理器、存储器或外围设备。代替超级监督者301,原则上也能够将其他已知的虚拟化设计用作为用于提供在防火墙系统300上运行的服务器实例311、321的硬件抽象化元件。出于清楚的目的,超级监督者301在附图中以制图的方式从防火墙系统300取下的方式示出。
然而,超级监督者301是防火墙系统300的部件。这也适用于硬件实施的密码学部件302其在附图中以从防火墙系统300取下的方式示出,然而由防火墙系统300包括。
通过这种在防火墙系统300上运行的服务器实例形成交会服务器311作为连接管理装置。在此,交会服务器311设置和设计为建立、管理和控制从工业自动化系统200之外的第一通信设备到与工业自动化系统200相关联的第二通信设备的通信连接。在当前的实施例中,远程维护计算机101-103算作第一通信设备,而第二通信设备是与自动化设备201-202相关联的或由它们所包括的通信设备或模块。
在通过第一通信设备101的进行请求的用户请求111建立到所选择的第二通信设备201的连接时根据访问管控列表312关于所选择的自动化设备201对进行请求的用户执行权限检查。访问管控列表312包括分别在至少一个第一通信设备和至少一个第二通信设备之间的可靠的通信连接的用户独有的说明。
如果权限检查进行出正面的结果,那么交会服务器311为通信参与者提供建立进行请求的用户的第一通信设备101和所选择的第二通信设备201之间的加密的通信连接500的访问管控信息112、211。在当前的实施例中,在远程维护计算机101-103和自动化设备201-202之间建立的加密的通信连接是VPN连接(虚拟专用网络)。因此,访问管控信息112、211优选包括密码学密匙和/或用于VPN会话的密码或临时有效的密码。权限检查包括相对于交会服务器311认证进行请求的用户,该交会服务器仅在对进行请求的用户认证之后才将用于在进行请求的用户的远程维护计算机101和所选择的第二通信设备201之间使用VPN连接的访问管控信息112提供给进行请求的用户。
经由进行请求的用户的远程维护计算机101和所选择的第二通信设备201之间的VPN连接500传输的数据包113、212通过防火墙系统300解密并且基于确定的安全规则进行检查。通过防火墙系统300再次对在基于确定的安全规则检查成功的数据包进行加密,并且转发给进行请求的用户的远程维护计算机101或转发给所选择的自动化设备201。由防火墙系统300以基于硬件的方式进行对待检查的或已检查的数据包的解密或加密。对此,设置有由防火墙系统300所包括的硬件实施的密码学部件302。通过防火墙系统300拒绝不对应于确定的安全规则的数据包。
在当前的实施例中,通过防火墙系统300以基于确定的安全规则进行的检查也包括检查用于VPN会话的密码或临时有效的密码的正确性。在此,防火墙系统300拒绝对于数据包的传输指明不正确的密码的数据包。
原则上,在进行请求的用户的远程维护计算机101和所选择的第二通信设备201之间建立的VPN连接500包括两个VPN子连接,它们终止于交会服务器311。因此,交会服务器311在权限检查结果为正面的情况下分别建立到进行请求的用户的远程维护计算机101和到所选择的自动化设备201的加密的通信连接并且将这两个通信连接彼此链接。
Claims (11)
1.一种用于建立到工业自动化系统的安全的通信连接的方法,其中
-经由连接管理装置(311)建立从在所述工业自动化系统(200)之外的第一通信设备(101-103)到与所述工业自动化系统相关联的第二通信设备(201-202)的通信连接,
-在所述第一通信设备(101-103)与所述第二通信设备(201-202)之间经由所述连接管理装置(311)建立的所述通信连接是虚拟专用网络连接,
-所述连接管理装置(311)由在防火墙系统(300)上运行的服务器实例形成,
-经由在进行请求的用户的所述第一通信设备(101)与所选择的所述第二通信设备(201)之间的加密的通信连接传输的数据包(113、212)由所述防火墙系统(300)针对基于所规定的安全规则的检查进行解密,
其特征在于,
-在由所述第一通信设备(101)的进行请求的用户请求(111)建立到所选择的所述第二通信设备(201)的连接时,所述连接管理装置(311)根据访问管控列表(312)对所述进行请求的用户执行权限检查,
-所述权限检查包括相对于所述连接管理装置来认证所述进行请求的用户,
-在权限检查结果为正面的情况下,所述连接管理装置(311)为所述进行请求的用户的所述第一通信设备以及所选择的所述第二通信设备提供访问管控信息(112、211),以用于在所述进行请求的用户的所述第一通信设备(101)与所选择的所述第二通信设备(201)之间建立加密的通信连接(500),
-所述连接管理装置仅在对所述进行请求的用户进行认证之后才将用于使用在所述进行请求的用户的所述第一通信设备与所选择的所述第二通信设备之间的所述虚拟专用网络连接的访问管控信息提供给所述进行请求的用户,其中,所述访问管控信息包括密码学密匙和/或用于VPN会话的口令或临时有效的口令,
-所述防火墙系统(300)将基于所规定的安全规则被检查成功的数据包以加密的方式转发至所述进行请求的用户的所述第一通信设备(101)和/或转发至所选择的所述第二通信设备(201),
-通过所述防火墙系统基于所规定的安全规则的检查包括检查用于VPN会话的口令或临时有效的口令的正确性,
-对于数据包的传输给出不正确的口令的该数据包被所述防火墙系统拒绝。
2.根据权利要求1所述的方法,其中,所述访问管控列表包括分别在至少一个所述第一通信设备与至少一个所述第二通信设备之间的允许的通信连接的用户独有的说明。
3.根据权利要求1或2所述的方法,其中,在权限检查结果为正面的情况下,所述连接管理装置分别建立到所述进行请求的用户的所述第一通信设备以及到所选择的所述第二通信设备的加密的通信连接并且将所述加密的通信连接彼此链接。
4.根据权利要求1或2所述的方法,其中,经由在所述进行请求的用户的所述第一通信设备与所选择的所述第二通信设备之间的加密的通信连接传输的数据包由所述防火墙系统解密并基于所规定的安全规则进行检查,并且基于所规定的安全规则被检查成功的、待转发的数据包由所述防火墙系统加密。
5.根据权利要求4所述的方法,其中,通过所述防火墙系统以基于硬件的方式对数据包进行解密和/或加密。
6.根据权利要求1或2所述的方法,其中,所规定的所述安全规则包括防火墙规则和/或关于在数据包中指明的用于自动化设备的控制命令和/或控制参数的允许性的规则。
7.根据权利要求1或2所述的方法,其中,所述防火墙系统拒绝不对应于所规定的安全规则的数据包。
8.根据权利要求1或2所述的方法,其中,所述防火墙系统布置在所述工业自动化系统的安全的通信网络中。
9.根据权利要求1或2所述的方法,其中,所述连接管理装置是交会服务器。
10.根据权利要求1或2所述的方法,其中,所述第二通信设备集成在自动化设备中或者与自动化设备相关联。
11.一种用于执行根据权利要求1至10中任一项所述的方法的防火墙系统,其中,
-所述防火墙系统设置和设计用于基于所规定的安全规则对数据包(113、211)进行检查,
-所述防火墙系统还设置和设计用于运行至少一个服务器实例,
-通过所述服务器实例形成连接管理装置(311),所述连接管理装置设置和设计用于,建立从工业自动化系统之外的第一通信设备(101-103)到与所述工业自动化系统相关联的第二通信设备(201-202)的通信连接,
-在所述第一通信设备(101-103)与所述第二通信设备(201-202)之间经由所述连接管理装置(311)建立的所述通信连接是虚拟专用网络连接,
-所述连接管理装置(311)还设置和设计为,在由所述第一通信设备(101)的进行请求的用户请求(111)建立到所选择的所述第二通信设备(201)的连接时,所述连接管理装置(311)根据访问管控列表(312)对所述进行请求的用户执行权限检查,
-所述权限检查包括相对于所述连接管理装置来认证所述进行请求的用户,
-所述连接管理装置(311)还设置和设计为,在权限检查结果为正面的情况下,所述连接管理装置(311)为所述进行请求的用户的所述第一通信设备以及所选择的所述第二通信设备提供访问管控信息(112、211),以用于在所述进行请求的用户的所述第一通信设备(101)与所选择的所述第二通信设备(201)之间建立加密的通信连接(500),
-所述连接管理装置(311)还设置和设计为,仅在对所述进行请求的用户进行认证之后才将用于使用在所述进行请求的用户的所述第一通信设备与所选择的所述第二通信设备之间的所述虚拟专用网络连接的访问管控信息提供给所述进行请求的用户,其中,所述访问管控信息包括密码学密匙和/或用于VPN会话的口令或临时有效的口令,
-所述防火墙系统还设置和设计用于,针对基于所规定的安全规则的检查对经由在所述进行请求的用户的所述第一通信设备(101)与所选择的所述第二通信设备(201)之间的加密的通信连接(500)传输的数据包进行解密,
-所述防火墙系统还设置和设计用于,基于所规定的安全规则被检查成功的数据包以加密的方式转发至所述进行请求的用户的所述第一通信设备(101)和/或转发至所选择的所述第二通信设备(201),
-通过所述防火墙系统基于所规定的安全规则的检查包括检查用于VPN会话的口令或临时有效的口令的正确性,
-所述防火墙系统设置和设计用于,拒绝对于数据包的传输给出不正确的口令的该数据包。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP16179006.8A EP3270560B1 (de) | 2016-07-12 | 2016-07-12 | Verfahren zum aufbau gesicherter kommunikationsverbindungen zu einem industriellen automatisierungssystem und firewall-system |
| EP16179006.8 | 2016-07-12 | ||
| PCT/EP2017/065844 WO2018010949A1 (de) | 2016-07-12 | 2017-06-27 | Verfahren zum aufbau gesicherter kommunikationsverbindungen zu einem industriellen automatisierungssystem und firewall-system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109479056A CN109479056A (zh) | 2019-03-15 |
| CN109479056B true CN109479056B (zh) | 2019-11-19 |
Family
ID=56571133
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780043441.1A Active CN109479056B (zh) | 2016-07-12 | 2017-06-27 | 用于建立到工业自动化系统的安全的通信连接的方法和防火墙系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11209803B2 (zh) |
| EP (2) | EP3270560B1 (zh) |
| CN (1) | CN109479056B (zh) |
| WO (1) | WO2018010949A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3451606A1 (de) * | 2017-08-30 | 2019-03-06 | Siemens Aktiengesellschaft | Verfahren zur überprüfung von innerhalb eines industriellen automatisierungssystems übermittelten datagrammen und automatisierungs- und/oder kommunikationsgerät |
| DE102019005601A1 (de) * | 2018-08-13 | 2020-02-13 | Löwenstein Medical Technology S.A. | Verfahren zur sicheren Kommunikation in einem Beatmungssystem |
| CN111917689B (zh) * | 2019-05-08 | 2023-02-03 | 创升益世(东莞)智能自控有限公司 | 一种应用于工业互联网的虚拟主机系统 |
| EP3767910A1 (de) | 2019-07-19 | 2021-01-20 | Siemens Aktiengesellschaft | Verfahren zur konfiguration von firewall-einrichtungen für ein kommunikationsnetz und kommunikationsnetz-management-system |
| EP3798767B1 (de) | 2019-09-24 | 2022-03-02 | Siemens Aktiengesellschaft | Verfahren und anordnung zur kontrolle des datenaustauschs eines industriellen edge-gerätes |
| CN111142480B (zh) * | 2019-12-09 | 2023-04-25 | 南京国电南自维美德自动化有限公司 | 一种过程控制站安全通讯方法、系统及分散控制系统 |
| EP3934192A1 (de) | 2020-06-29 | 2022-01-05 | Siemens Aktiengesellschaft | Verfahren zum aufbau einer verbindung zwischen einem kommunikationsgerät und einem server und proxy |
| EP3974972A1 (de) | 2020-09-24 | 2022-03-30 | Siemens Aktiengesellschaft | Kommunikationsgerät, kommunikationssystem und verfahren zum betrieb eines kommunikationsgeräts |
| US12001874B2 (en) | 2021-07-13 | 2024-06-04 | Rockwell Automation Technologies | Digital engineering secure remote access |
| US12020056B2 (en) | 2021-07-13 | 2024-06-25 | Rockwell Automation Technologies, Inc. | Industrial automation control project conversion |
| US11863560B2 (en) * | 2021-07-15 | 2024-01-02 | Rockwell Automation Technologies, Inc. | Industrial automation secure remote access |
| US11652800B1 (en) * | 2022-10-03 | 2023-05-16 | Uab 360 It | Secure connections between servers in a virtual private network |
| DE102022125633A1 (de) | 2022-10-05 | 2024-04-11 | Tk Elevator Innovation And Operations Gmbh | Netzwerksystem zur Errichtung einer Mobilfunkverbindung in einem Aufzugschacht |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101543005A (zh) * | 2006-11-20 | 2009-09-23 | 英国电讯有限公司 | 安全网络体系结构 |
| EP2461538A2 (en) * | 2010-12-06 | 2012-06-06 | Siemens Corporation | Application layer security proxy for automation and control system networks |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6226372B1 (en) * | 1998-12-11 | 2001-05-01 | Securelogix Corporation | Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities |
| JP2003502757A (ja) * | 1999-06-10 | 2003-01-21 | アルカテル・インターネツトワーキング・インコーポレイテツド | ポリシーベースのネットワークアーキテクチャ |
| US8719562B2 (en) * | 2002-10-25 | 2014-05-06 | William M. Randle | Secure service network and user gateway |
| JP3794491B2 (ja) | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| US7346922B2 (en) * | 2003-07-25 | 2008-03-18 | Netclarity, Inc. | Proactive network security system to protect against hackers |
| JP4327630B2 (ja) * | 2004-03-22 | 2009-09-09 | 株式会社日立製作所 | インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置 |
| US9202084B2 (en) * | 2006-02-01 | 2015-12-01 | Newsilike Media Group, Inc. | Security facility for maintaining health care data pools |
| US20080062167A1 (en) * | 2006-09-13 | 2008-03-13 | International Design And Construction Online, Inc. | Computer-based system and method for providing situational awareness for a structure using three-dimensional modeling |
| US20080155647A1 (en) * | 2006-11-28 | 2008-06-26 | Toui Miyawaki | Access control system |
| US8214635B2 (en) * | 2006-11-28 | 2012-07-03 | Cisco Technology, Inc. | Transparent proxy of encrypted sessions |
| US8555373B2 (en) | 2008-02-14 | 2013-10-08 | Rockwell Automation Technologies, Inc. | Network security module for Ethernet-receiving industrial control devices |
| US9369299B2 (en) * | 2008-06-10 | 2016-06-14 | Bradford Networks, Inc. | Network access control system and method for devices connecting to network using remote access control methods |
| JP5531791B2 (ja) * | 2009-09-08 | 2014-06-25 | 株式会社リコー | 印刷システム、印刷制御装置および印刷制御方法 |
| US20120266209A1 (en) * | 2012-06-11 | 2012-10-18 | David Jeffrey Gooding | Method of Secure Electric Power Grid Operations Using Common Cyber Security Services |
| US9602498B2 (en) * | 2013-10-17 | 2017-03-21 | Fortinet, Inc. | Inline inspection of security protocols |
| US9870476B2 (en) * | 2014-09-23 | 2018-01-16 | Accenture Global Services Limited | Industrial security agent platform |
| US9998431B2 (en) * | 2015-06-09 | 2018-06-12 | Intel Corporation | System, apparatus and method for secure network bridging using a rendezvous service and multiple key distribution servers |
| GB201512022D0 (en) * | 2015-07-09 | 2015-08-19 | Level 3 Comm Uk Ltd | Dynamic packet routing |
| US11144911B2 (en) * | 2016-06-20 | 2021-10-12 | Intel Corporation | Technologies for device commissioning |
-
2016
- 2016-07-12 EP EP16179006.8A patent/EP3270560B1/de active Active
-
2017
- 2017-06-27 CN CN201780043441.1A patent/CN109479056B/zh active Active
- 2017-06-27 EP EP17734702.8A patent/EP3456026A1/de not_active Withdrawn
- 2017-06-27 WO PCT/EP2017/065844 patent/WO2018010949A1/de active Search and Examination
- 2017-06-27 US US16/316,845 patent/US11209803B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101543005A (zh) * | 2006-11-20 | 2009-09-23 | 英国电讯有限公司 | 安全网络体系结构 |
| CN101543004A (zh) * | 2006-11-20 | 2009-09-23 | 英国电讯有限公司 | 安全网络体系结构 |
| EP2461538A2 (en) * | 2010-12-06 | 2012-06-06 | Siemens Corporation | Application layer security proxy for automation and control system networks |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018010949A1 (de) | 2018-01-18 |
| EP3270560A1 (de) | 2018-01-17 |
| EP3270560B1 (de) | 2020-03-25 |
| US11209803B2 (en) | 2021-12-28 |
| EP3456026A1 (de) | 2019-03-20 |
| US20190317481A1 (en) | 2019-10-17 |
| CN109479056A (zh) | 2019-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109479056B (zh) | 用于建立到工业自动化系统的安全的通信连接的方法和防火墙系统 | |
| CN107976973B (zh) | 安全的过程控制通信 | |
| CN107976972B (zh) | 安全的过程控制通信 | |
| CN107976967B (zh) | 跨用于安全过程控制通信的数据二极管发布数据 | |
| US9306953B2 (en) | System and method for secure unidirectional transfer of commands to control equipment | |
| RU2690887C2 (ru) | Модульное устройство управления безопасностью | |
| CN1333310C (zh) | 过程自动化系统和用于过程自动化系统的过程装置 | |
| CN101350725A (zh) | 安全单元 | |
| JP5795696B2 (ja) | 操作の権利をリモート付与するためのセキュアな方法 | |
| US20180375842A1 (en) | Methods and security control apparatuses for transmitting and receiving cryptographically protected network packets | |
| US20210176223A1 (en) | Apparatus and method for transmitting data between a first and a second network | |
| EP3497522B1 (en) | Building automation system | |
| CN110225038A (zh) | 用于工业信息安全的方法、装置及系统 | |
| JP2014123816A (ja) | 通信システム、通信装置及び通信方法 | |
| CN107040508A (zh) | 用于适配终端设备的授权信息的设备和方法 | |
| Buckholtz et al. | Remote equipment security in cloud manufacturing systems | |
| US9940116B2 (en) | System for performing remote services for a technical installation | |
| KR101491084B1 (ko) | 플랜트 제어 시스템 환경에서 보안 역할에 따른 중앙 제어망에서 지역 제어망으로의 망간 데이터 전송 방법 | |
| US20220021663A1 (en) | Communication module | |
| Wang et al. | Challenges in cybersecurity | |
| US9954864B2 (en) | Providing safe operation of a subsystem within a safety-critical system | |
| Kiuchi et al. | Security technologies, usage and guidelines in SCADA system networks | |
| KR101438135B1 (ko) | 플랜트 제어 시스템 환경에서 보안 역할에 따른 중앙 제어망에서 지역 제어망으로의 망간 데이터 전송 장치 | |
| KR102681495B1 (ko) | 보안형 원격제어반 및 이를 포함하는 제로트러스트 건물관리시스템 | |
| CN116094846A (zh) | 基于tcp长连接的远程运维系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |