CN109564603B - 用于安全地更改工业控制系统中的多路复用器的网络配置设置的系统和方法 - Google Patents

Abstract

安全控制系统包括多路复用器的网络，其控制基础设施系统(如电力网)的终端/现场装置。多路复用器具有默认安全锁定状态，其防止远程访问多路复用器上的数据并防止修改多路复用器的软件或固件。一个或多个多路复用器包括物理认证装置，其在请求远程访问时确认可信个人的物理接近。用户通过登录凭证远程访问网络和多路复用器的一个。可信个人确认远程用户身份并操作与该多路复用器连接并接近其的物理认证装置，从而确认可以信任该远程用户访问数据并重新配置多路复用器。与物理认证装置连接的多路复用器生成令牌，该令牌被传递到远程用户需要访问的每个多路复用器。令牌可以指定一时间段，在该时间段之后，多路复用器将重新进入安全锁定模式。

Description

用于安全地更改工业控制系统中的多路复用器的网络配置设 置的系统和方法

技术领域

本公开涉及用于授权访问工业控制系统的安全系统，更具体地，涉及仅向可信个人提供远程访问的安全系统。

背景技术

诸如电力分配系统、天然气管道、化学工厂、炼油厂、运输系统、电信系统、化学制造和加工厂、市政供水和下水道系统等的关键基础设施系统通常需要计算机化的工业控制系统。这种系统需要高度可靠，以便为企业和个人提供持续的服务。基础设施系统的破坏可能会产生严重的经济后果，并可能使个人的健康面临风险。

基础设施系统可能也需要检修和维护。技术人员可能需要访问控制系统的组件来修复问题、维护和升级软件组件，以利用现有技术的发展，并通过对基础设施系统的更改根据需要重新配置控制系统。工程师通常经由电子通信网络远程访问这些控制系统。恶意个人将经由通信网络访问控制系统并破坏或威胁破坏基础设施系统运行的风险越来越受到关注。

工业控制系统通常包括管理计算机系统和连接到工业现场/终端装置的多路复用器的网络。例如，对于电力公用事业和配电行业，工业现场装置包括断路器、继电器、以及电流和电压传感器。这些现场装置和传感器经由可编程逻辑控制器(“PLC”)或远程终端单元(“RTU”)提供数据和接收操作命令。PLC或RTU转变到计算机系统或来自计算机系统的数据信号，以向控制系统提供操作数据并实现命令(例如，关闭或打开断路器)。多路复用器可以与多个现场装置连接，使得来自管理计算机系统的控制信号可以有效地路由到适当的现场装置。多路复用器还在网络上的节点之间提供通信电路以承载语音、数据和视频信号，并在节点之间提供电话服务。

工业控制系统上的网络攻击正在成为全世界日益关注的问题。攻击者可能是试图破坏关键的基础设施系统的恐怖分子，以煽动恐惧和焦虑。或者，攻击者可能通过制造他们可以破坏这些系统的威胁并索要作为赎金的付款来寻求金钱收益。攻击者还可能试图入侵系统以收集敏感的商业、金融或军事信息。

攻击者可以使用的一种方法是在管理计算机系统上启动代码，该代码直接干扰基础设施系统，或者窃取授权用户的凭证并将它们传送给攻击者。此类代码可能是附加到发送给公司控制基础设施系统的员工的电子邮件上的蠕虫或病毒。可以诱导员工打开链接、或下载附加到所谓的“网络钓鱼”电子邮件上的程序，“网络钓鱼”电子邮件将恶意代码递送到公司计算机系统。黑客也可能能够通过使用弱密码在系统上查找帐户来获得访问权限。可以由心怀不满或处境不利的员工或前员工制造攻击或辅助攻击，该员工或前员工使用计算机系统的知识通过与黑客共享他或她的登录凭证或者他或她自己进行攻击来故意破坏计算机系统的安全性。

一旦在公司计算机系统上启动恶意代码，它就会破坏安全系统。该代码可以包括键盘记录器，该键盘记录器记录合法用户的包括合法用户的登录信息的击键。然后代码将该信息远程发送给黑客。黑客可以使用该信息来访问包含关键基础设施控制系统的网络。一旦黑客获得对控制系统的访问权，黑客就可以操纵现场装置来破坏系统或索要支付赎金。

用于防止对工业控制系统的未授权访问的当前方法包括防火墙，其将到系统的连接限制为仅来自可信位置的连接。例如，防火墙可以包括可允许的因特网协议地址的列表，访问可以从可允许的因特网协议地址进行。这可以防止黑客从未经授权的计算机系统访问网络。但是，如果黑客能够访问作为可信站点列表的一部分的计算机系统，则黑客可能能够通过防火墙。

大多数网络攻击是远程发生的。黑客通常位于远离攻击地点的位置。这减少了识别黑客的机会。可以从与基础设施系统所在的国家不同的国家发起攻击。该国可能执法资源有限，这允许攻击者保持未发现，以及如果发现攻击者，则允许攻击者避免受到惩罚。这使得难以识别网络攻击者，并限制执法人员阻止攻击的能力。

装置登录凭证通常是工业控制系统中唯一的认证形式。如果黑客获知装置登录凭证，他们可能会获得对控制系统和潜在敏感数据的访问权，并可能通过更改设置或添加其他进入途径来进一步降低安全措施。

公开内容

本公开提供了用于认证计算机网络的用户的系统和方法。根据本公开的一个方面，提供了一种用于控制现场/终端装置的多路复用器的网络。多路复用器经由防火墙与公司计算机系统连接。多路复用器包括与多路复用器物理连接的认证装置。为了使合法用户(例如，通信工程师)远程访问多路复用器的网络，可信个人(例如，控制室技术人员)必须操作物理上位于多路复用器中的一个的附近的认证装置。技术人员例如通过电话或视频会议确认寻求访问多路复用器的人员的身份。如果远程用户是可信的并且具有访问多路复用器的合法需要，则技术人员操作认证装置。这确保了在授权访问时，至少一个可信个人物理上存在于多路复用器附近。一旦在一个多路复用器处确认授权，该多路复用器就会生成一个令牌，该令牌可以被发送到经由多路复用器网络连接的其他多路复用器，允许通信工程师访问系统的执行维护、服务或操作基础设施网络所需的其他任务所需的部分。

根据本公开的一个方面，工业控制系统包括互连的多个多路复用器，多个多路复用器形成网络。多路复用器可以与工业现场装置通信和/或控制工业现场装置，并且可以彼此远程定位。每个多路复用器都有默认的安全锁定模式，用于防止对多路复用器的设置的任何更改。该系统包括物理认证装置，用于指示接近控制多路复用器的人员的物理存在，该控制多路复用器是多个多路复用器的一个。物理认证装置可以包括识别装置，以识别接近控制多路复用器的人员是可信个人。网络管理计算机连接到网络并适于与多路复用器通信。网络管理计算机运行网络管理应用，该网络管理应用具有用于认证用户的第一用户认证模块；并且令牌生成器适于生成令牌，该令牌用于指示至少一个所选多路复用器退出安全锁定模式，以允许用户对至少一个所选多路复用器的设置进行更改。用户可以远离多路复用器的网络，并且可以经由通信网络对多路复用器进行更改。

根据本公开的另一方面，识别装置包括生物识别传感器。所述生物识别传感器可以为指纹传感器、视网膜图案传感器、虹膜图案传感器、静脉图案传感器、手几何传感器、耳垂几何传感器、语音模式分析器、DNA分析器、笔迹分析器、签名分析器、和/或面部识别传感器等。认证装置还可以包括通用串行总线(USB)密钥卡型装置、串行端口装置、并行端口装置和/或专用电缆等。

根据本公开的又一方面，可以加密由令牌生成器生成的令牌。令牌还可以包括指示所选多路复用器在第一预定时间段之后重新进入安全锁定模式的时间限制。每个多路复用器还可以包括默认定时器，默认定时器控制多路复用器在第二预定时间段之后重新进入安全锁定模式。

根据本公开的又一方面，操作工业控制系统的方法包括以下步骤：(i)提供互连的多个多路复用器，所述多个多路复用器形成网络，每个多路复用器具有默认的安全锁定模式，用于防止对所述多路复用器的设置的任何更改；(ii)提供物理认证装置，所述物理认证装置用于指示接近控制多路复用器的人员的物理存在，所述控制多路复用器是所述多个多路复用器中的一个；(iii)提供网络管理计算机，所述网络管理计算机连接到所述网络并适于与所述多路复用器通信，所述网络管理计算机运行网络管理应用，所述网络管理应用具有用于认证远程用户的第一用户认证模块；(iv)提供令牌生成器，所述令牌生成器适于生成令牌，所述令牌用于指示至少一个所选多路复用器退出所述安全锁定模式，以允许所述用户对所述至少一个所选多路复用器的设置进行更改；(v)由所述远程用户经由通信网络接触所述网络管理计算机；(vi)操作所述第一认证装置认证所述远程用户，其中所述远程用户登录到所述网络；(vii)建立所述远程用户与接近所述控制多路复用器的所述人员之间的通信，其中所述人员确认所述远程用户的身份为可信个人；(ix)由所述人员操作所述物理认证装置；(x)生成所述令牌；以及(xi)将所述令牌传输到所述网络的所述所选多路复用器，其中所述所选多路复用器退出安全锁定模式。所述令牌可以包括时间限制，所述时间限制指示所述所选多路复用器在第一预定时间段之后重新进入安全锁定模式，并且所述方法还可以包括以下步骤：在所述第一预定时间段到期时，重新建立所述所选多路复用器的安全锁定模式。每个多路复用器可以包括默认定时器，所述默认定时器控制所述多路复用器在第二预定时间段之后重新进入安全锁定模式，并且所述方法还包括以下步骤：在所述第二预定时间段到期时，重新建立所述所选多路复用器的安全锁定模式。

附图说明

当结合附图考虑时，通过参考以下详细描述，将更容易理解本公开的更完整的理解及其许多伴随的优点，其中：

图1是根据本公开的实施例的示出控制系统的示意图；

图2是根据本公开的实施例的示出认证装置的示意图；

图3是根据本公开的实施例的多路复用器的示意图；

图4示出了根据本公开的实施例的使用便携式计算机配置的多路复用器；以及

图5a至图5c示出了根据本公开的实施例的被访问的多路复用器的网络。

具体实施方式

就本申请而言，术语“代码”、“软件”、“程序”、“应用”、“软件代码”、“软件模块”、“模块”、“固件”和“软件程序”是可互换地用于表示可由处理器执行的软件指令。

图1示出了根据本公开的实施例的计算机网络100。示例性的网络环境包括公司网络102，公司网络102包括路由器104及各种服务器、客户端工作站、和其他装置105a至105c。路由器104将网络102与公共网络103连接，公共网络103可以包括因特网。远程计算机101可以经由公共网络103与公司网络102进行通信，该远程计算机101可以由负责维护、升级或修改网络的工程师操作。

公司网络102通过防火墙110与工业控制系统网络106连接。工业控制系统106包括四个多路复用器112、114、116、118的网络，四个多路复用器112、114、116、118通过诸如以太网连接的数据链路彼此连接。多路复用器分别与现场/终端装置113a和113b、115a和115b、117a和117b、以及119a和119b连接。现场/终端装置可以是诸如电流传感器、电压传感器或温度传感器的数据收集装置，或者它们可以是诸如继电器或远程保护断路致动器的致动器。除了现场装置之外，元件113a和113b、115a和115b、117a和117b、以及119a和119b还可以包括可配置的接口单元，其能够在多路复用器之间进行诸如电话、视频通信等的通信。

根据本公开的一个实施例，多路复用器以环形配置连接。环形配置可以在任何两个多路复用器之间的通信链路丢失的情况下是有优势的。如果任何两个多路复用器之间的连接丢失，则信号可以围绕环形以另一方式路由，从而绕过丢失的通信链路。替代地，多路复用器可以以网格配置连接以提供多个通信路径。

根据一个实施例，每个多路复用器可以位于不同的地理位置。例如，在本公开的实施例控制电力网的情况下，多路复用器中的一个多路复用器112可以位于控制室中。其他多路复用器114、116、118可以位于配电网的电力变电站。

通过防火墙110与多路复用器112、114、116、118的网络进行通信。根据一个实施例，防火墙110包括可信地址的列表，来自可信地址的通信是可接受的。未包括在该列表中的到达防火墙的任何通信都将被拒绝，并且不会建立通信会话。

管理计算机108运行网络管理软件以管理多路复用器、从与多路复用器连接的现场装置收集数据、以及远程操作现场装置。如图1所示，计算机108通过防火墙110与公司网络108和网络106两者分离。根据另一个实施例，计算机108是公司计算机网络102的一部分并且通过防火墙110与网络106分离。

根据一个实施例，计算机108、公司网络102和控制系统网络106经由广域网(WAN)、局域网(LAN)上的以太网连接进行通信。每个多路复用器112、114、116、118提供控制网络106与一个或多个现场装置之间的接口。如下面将描述的，该接口可以允许网络106使用各种通信协议(例如，以太网、以太网/IP、TDM等)与现场装置通信。

多路复用器112、114、116、118和管理计算机108中的一个或多个包括图2中示意性示出的认证系统200的组件。系统200包括管理各种通信电路(例如，连接到工业现场装置113a和113b、115a和115b、117a和117b、119a和119b的通信电路)的计算机40。计算机40可以是多路复用器112、114、116、118中的一个或多个的组件。计算机40也可以是管理多路复用器网络的管理计算机108。如下所述的用于授权访问多路复用器112、114、116、118的软件可以在管理计算机108中、在每个多路复用器112、114、116、118中、或者在管理计算机和多路复用器的组合中存储和运行，其中代码的某些部分位于管理计算机中，并且代码的其他部分位于各个多路复用器中。

计算机40通过诸如以太网接口的I/O接口42连接到通信链路52，I/O接口42从通信链路52接收信息并通过通信链路52将信息发送到其他连接的装置，诸如其他多路复用器112、114、116、118，路由器，或管理计算机108。计算机40包括处理器(CPU)46、存储器44、程序存储器48以及诸如硬盘的数据存储器50，存储器44可以是随机存取存储器(RAM)、只读存储器(ROM)或其他电子存储器，程序存储器48可以是RAM、ROM或EEPROM。这些组件通常通过总线53彼此连接。

程序存储器48可以存储网络管理应用54等，该网络管理应用54在查看网络和工业现场装置时与用户交互，并且在更改网络和工业现场装置的设置时与用户交互。网络管理应用54可以是监控和数据采集(SCADA)系统的一部分，以监视、管理和操作工业过程或市政系统，例如电力网。应用54可以包括用于实现允许用户经由输入装置12、14(例如，键盘和鼠标)和输出装置11(例如，LCD监视器)与系统进行交互的图形用户界面(GUI)的指令。程序存储器48还包括令牌生成器56和令牌认证器58。程序存储器48中的软件程序模块和来自数据存储器50的数据根据需要被传送到存储器44，并且经由总线53由CPU 46执行。

系统200还包括物理认证装置20。物理认证装置20与计算机40电连接。认证装置20可以直接有线连接到与CPU 46连接的电路(例如，总线53)，或者可以与系统200的与CPU通信的其他电路连接。根据一个实施例，物理认证装置20也与容纳计算机40的结构牢固地物理连接。例如，认证装置20可以焊接到计算机40的壳体。根据另一实施例，认证装置20是与计算机40连接的输入装置12、14(例如，键盘或触摸屏)中的一个。

认证装置20可以是多路复用器单元上的按钮或拨动开关，操作员致动该按钮或拨动开关作为认证过程的一部分。当操作人员致动装置时，这确认操作员物理上位于系统200附近。认证装置20还可以确认操作员的身份。根据另一实施例，认证装置20是键盘或小键盘，其接收验证用户身份的代码的输入。根据另一实施例，认证装置20包括与系统200连接的通信端口。将在通信端口中插入由授权用户携带的端口访问装置(例如，通用串行总线(USB)密钥卡类型装置、串行端口装置、并行端口装置、或专用电缆)作为身份验证过程的一部分，。将用户向键盘输入的密码信息或端口访问装置上的数据与存储在数据存储器50中的记录进行比较，该数据存储器50与可信个人相关联。

根据又一实施例，认证装置20包括生物识别传感器，诸如指纹传感器、视网膜或虹膜图案传感器、静脉图案传感器、手几何传感器、耳垂几何传感器、语音模式分析器、DNA分析器、笔迹或签名分析器、面部识别传感器等。操作员例如通过将手指触摸指纹传感器来提供他或她的生物特征。计算机40将操作员提供的生物识别数据与存储在数据存储器50中的可信个人的生物识别标识符的预先记录的样本进行比较。输入到认证装置20中的生物识别数据与先前记录的样本匹配，则确认可信个人的身份并确保个人在物理上位于计算机40附近。

除了系统200之外，多路复用器112、114、116、118包括与工业现场装置连接的组件，以从那些装置接收数据、配置那些装置以及与网络106中的其他装置进行通信。根据本公开的一个实施例，多路复用器112、114、116、118包括与由RFL Electronics,Inc.制造的

3500 IP访问多路复用器类似的功能和组件，其中添加了根据本公开的方面。

认证系统200包括存储在程序存储器48中并由CPU 46运行的安全锁定管理器60。如下所述，安全锁定管理器60防止任何用户访问多路复用器112、114、116、118或管理计算机108以检索数据或修改软件，除非并且直到寻求访问的用户已被认证。根据一个实施例，默认情况下，安全锁定管理器60将系统置于不允许访问数据或修改软件的安全锁定模式。

图3示出了示例性多路复用器300的组件的示意图，该多路复用器300可以是网络106的多路复用器112、114、116和118中的一个或全部。多路复用器的CPU 302设置有随机存取存储器(“RAM”)形式的存储器304和闪存306。RAM 304存储程序运行时间数据，以及用于操作系统内核(例如，Linux内核)的运行时间数据。闪存306存储应用以及操作系统内核。闪存306还可以存储用于以太网交换机312、TDM引擎310和插槽308a至308g的设置的数据库。CPU 302与USB端口314连接，USB端口314使技术人员能够例如使用便携式计算机加载数据并配置多路复用器300，如图4所示。这可以包括用于多路复用器300的装置IP地址的初始供应。CPU 302经由安全锁定接口316与认证装置(例如，图2中所示的物理认证装置20)通信。

CPU 302经由配置总线307与插槽308a至308g通信。诸如图1中所示的113a和113b、115a和115b、117a和117b、119a和119b的工业现场装置可以经由槽308a至308g与多路复用器连接。与工业现场装置的通信可以使用包括通用工业协议(CIP)的各种通信协议。另外，插槽308a至308d可以保持可配置的接口单元。接口单元可配置为通过以太网和传统接口(如T1/E1、RS-232、RS-530/422、V.35、X.21、G.703、C37.94和各种语音接口)以及本地IP解决方案传输语音、串行和以太网数据通信。

TDM引擎310经由TDM总线314利用经由插槽308a至308g连接的接口单元和现场装置管理通信信号的时分复用(“TDM”)。TDM引擎310经由以太网交换机312将TDM信号转换为可以经由网络106传输的以太网数据包。TDM引擎310还从网络106接收以太网数据包，然后将其转换为TDM信号，以控制与插槽308a至308g连接的现场装置。配置总线307对与插槽308a至308g连接的模块进行编程，并从这些模块检索数据。插槽以太网总线318用于编程和监视经由以太网协议进行通信的模块。这种模块可以包括被配备成使用诸如以太网/IP的协议的现场装置，其经由以太网数据包发送和接收工业数据和命令。

CPU 302运行存储在随机存取存储器304和闪存306中的代码以执行多路复用器300的功能。由CPU 302运行的代码可以包括模块管理器，其编程和监视经由插槽308a至308g连接的装置。代码还可以包括用于编程和监视TDM引擎310的TDM管理器以及用于编程、监视和操作以太网交换机312的以太网管理器。CPU 302和TDM引擎310分别经由CPU以太网连接320和TDM以太网连接322与以太网交换机312进行通信。代码还可以包括SNMP管理器，以监视和管理多路复用器112、114、116、118以及管理计算机108之间的通信。SNMP管理器从关于图2描述的网络管理软件54中接收读和写请求。

CPU 302可以与上面关于系统200描述的CPU 46相同。在这种情况下，CPU 302既控制多路复用器300又认证访问网络的用户。替代地，多路复用器300可以包括单独的系统认证装置200，其具有其自己的如上关于图2所述的CPU和组件。

如关于图2所描述的，认证装置200包括令牌生成器模块56和令牌认证器模块58，认证装置200可以使用CPU 302实现，或者可以是多路复用器300内的单独计算机系统。生成器56和认证器58可以实现为由CPU 302运行的安全锁定管理器代码，以与包括其他多路复用器112、114、116、118和管理计算机108的网络106的其他元件发送和接收令牌。根据优选实施例，令牌被加密。在默认情况下，安全锁定管理器60将多路复用器置于安全锁定模式。在该模式中，网络106外部的任何装置都无法对软件进行修改。这确保多路复用器网络免受对多路复用器软件、固件或设置的未授权修改，并防止对现场装置的未授权操作或修改。

图4示出了根据本发明一个实施例的多路复用器300。多路复用器300包括内置在多路复用器外壳中的小键盘350，用于由位于多路复用器的人员输入物理认证码。多路复用器300可以经由端口352与便携式计算机354连接，以进行初始编程和维护。端口352可以是以上关于图3描述的USB端口314。为了确保多路复用器300的安全性，可以限制与计算机354的接口以防止技术人员以可能损害装置安全性的方式修改软件。根据一个实施例，在多路复用器300使用Linux操作系统操作的情况下，可以防止计算机354经由Linux提示命令行访问多路复用器。

如上所述，安全锁定接口316将CPU 302与认证装置20连接。认证装置20可以是按钮或拨动开关，其提供可信人员在多路复用器附近的保证；或者认证装置20可以是生物识别传感器或其他物理认证装置，其既识别可信个人又确保个人接近多路复用器300。

如下所述，当用户已经被物理认证时，安全锁定管理器60使多路复用器退出安全锁定模式，允许访问数据并对用于该多路复用器的软件和固件进行更改。安全锁定管理器60可以使网络管理器使用令牌生成器56生成令牌。生成的令牌可以被加密并经由网络106发送到管理计算机108和/或其他多路复用器112、114、116、118。根据一个实施例，一旦操作员已经经由多路复用器提供认证，该多路复用器就向管理计算机108发送信号，并且由管理计算机108创建令牌并将该令牌发送到多路复用器112、114、116、118中的一个或多个。根据优选实施例，加密令牌由网络106上的多路复用器创建，并且仅发送到网络106上的其他多路复用器，并且只能由其他多路复用器解密而不能由管理计算机108解密。在该实施例中，由于加密令牌保留在防火墙110后面，因此增强了网络的安全性。当多路复用器经由网络106接收到令牌时，该接收多路复用器解密令牌并且使用令牌认证器58对其进行认证。一旦令牌被认证，该接收多路复用器就退出安全锁定模式，使得可以对其进行修改。

根据本公开的一个实施例，令牌包括时间限制，例如，30分钟。在时间限制到期时，安全锁定管理器60将装置置于安全锁定模式。安全锁定管理器60还可以包括覆写计时器，其在预定时间(例如，一小时)之后将接收恢复到装置以确保锁定模式。覆写计时器确保无论令牌时间限制如何，装置都不会无限期地保持在不安全的状态。

图5a至图5c示出了根据本公开的实施例的用于修改网络上的装置的示例性过程。该网络用于操作诸如配电网的基础设施系统。多路复用器512位于配电网的控制室。多路复用器514、516、518位于电网上的远离控制室的变电站处。一个或多个工业现场装置可以与多路复用器512、514、516、518连接。此外，多路复用器包括可配置接口，以允许跨网络106的多路复用器之间的通信，例如电话通信。

如图5a所示，多路复用器512、514、516、518经由环形配置中的以太网连接而连接成为网络506。网络506经由防火墙510连接到公司虚拟专用网络(VPN)502，这里由VPN路由器504表示。诸如计算机、路由器、打印机和装置的其他装置也可以连接到公司网络502。VPN502可以是公司计算机网络，例如图1中所示的网络102。

运行网络管理软件的管理计算机508位于控制室中。管理计算机508经由防火墙510连接到多路复用器网络506和公司网络502。控制室员工509具有对管理计算机508和控制室多路复用器512的物理访问权限。公司VPN 502可经由网络503(其可以是公共网络，例如因特网)进行远程访问。由通信工程师501操作的远程计算机505也经由公共网络503连接到公司VPN 502。

在该示例中，假设操作配电网的公用事业公司想要在位于控制室的多路复用器512和位于远程变电站的多路复用器514之间增加新的DS0同步电路。如图5a所示，每个多路复用器512、514、516、518被“锁定”，即处于安全锁定模式。

通信工程师501登录到计算机505并经由公共网络503与公司VPN网络502远程连接。工程师提供登录信息，例如用户名和密码。然后，通信工程师经由防火墙510连接到管理计算机508。如上所述，防火墙510将阻止从不在已知IP地址列表上的装置接收的通信。管理计算机508可以要求工程师提供进一步的凭证，例如，另一密码，以访问在管理计算机508上运行网络管理应用的网络管理软件。

然后，通信工程师501可以输入另一个密码以使用网络管理应用登录到多路复用器512、514、516、518中的一个或多个上。根据一个实施例，用于每个多路复用器的工程师ID和密码是相同的，在这种情况下，工程师可以在一个步骤中同时登录所有多路复用器。根据另一实施例，每个多路复用器需要不同的登录信息，并且工程师510登录到执行任务所需的每个单独的多路复用器。在该示例中，仅在两个多路复用器之间建立连接，并且工程师可以仅登录到多路复用器112和114。

然后，通信工程师501接触物理上位于多路复用器512附近的控制室员工509。例如，工程师501可以向控制室员工509发出电话呼叫，或者工程师501可以建立视频会议会话。控制室员工基于识别他或她的语音、视频图像或其他识别信息来确认工程师501的身份。

一旦技术人员509肯定地识别了工程师501，技术人员就使用与控制室中的多路复用器512连接的物理认证装置550来认证他或她自己。根据一个实施例，在认证装置550是与多路复用器512连接的小键盘的情况下，控制室员工输入密码代码。在装置550包括生物识别传感器(例如，指纹扫描仪)的情况下，控制室员工提供他或她的指纹。如果密码代码和/或生物特征信息与预先存储的用于员工509的信息匹配，则如图2所示的多路复用器的安全锁定管理器60将该装置从安全锁定模式中退出预定时间段。如图5b所示，多路复用器512现在“解锁”并且将在该时间段内保持这样。这提供了工程师可以对该多路复用器进行更改的一段时间。

安全锁定管理器还可以生成具有到期时间的令牌。该令牌可用于解锁网络上的其他多路复用器514、516、518的一个或多个。在该示例中，因为需要对多路复用器512和多路复用器514两者进行更改，所以安全令牌是仅解锁多路复用器514的令牌。

然后，多路复用器512将数据发送到已经生成令牌的管理计算机508。运行网络管理软件的管理计算机508通知通信工程师501已从多路复用器512移除安全锁定。

根据一个实施例，通信工程师501然后从多路复用器512检索解锁令牌并指示管理计算机508将其发送到多路复用器514。根据另一个更优选的实施例，令牌不被发送到管理计算机508，而是经由网络506直接从多路复用器512发送到多路复用器514。这避免了将安全令牌暴露在网络506外部，安全令牌在网络506外部可能被黑客拦截和使用。多路复用器512和514将被解锁，直到令牌的时间限制到期、或直到达到覆写计时器的时间限制。

一旦多路复用器512、514被解锁，如图5c所示，通信工程师可以修改固件以在多路复用器之间安装新的DS0同步电路。当更改已经被做出时，通信工程师向多路复用器512、514发送消息，通过网络管理应用在解锁令牌到期之前将它们设置为安全锁定模式。系统的配置返回到图5a中所示的状态，其中所有多路复用器处于安全锁定模式。

虽然以上已经描述和说明了本公开的说明性实施例，但是应该理解，这些是本公开的示例，并且不应被视为限制。在不脱离本公开的精神或范围的情况下，可以进行添加、删除、替换和其他修改。因此，本公开不应被视为受前述描述的限制。

Claims (14)

1.一种工业控制系统，包括：

互连的多个多路复用器，所述多个多路复用器形成网络，每个多路复用器具有默认的安全锁定模式，用于防止对所述多路复用器的设置的任何更改；

物理认证装置，其用于指示接近控制多路复用器的人员的物理存在，所述控制多路复用器是所述多个多路复用器中的一个；

网络管理计算机，其连接到所述网络并适于与所述多路复用器通信，所述网络管理计算机运行网络管理应用，所述网络管理应用具有用于认证用户的第一用户认证模块；以及

令牌生成器，其适于生成令牌，所述令牌用于指示至少一个所选多路复用器退出所述安全锁定模式，以允许所述用户对所述至少一个所选多路复用器的设置进行更改。

2.根据权利要求1所述的控制系统，其中，所述多路复用器彼此远程定位。

3.根据权利要求1所述的控制系统，其中，所述多路复用器中的一个或多个与工业现场装置通信或控制所述工业现场装置。

4.根据权利要求1所述的控制系统，其中，所述物理认证装置包括识别装置，用以将所述人员识别为可信个人。

5.根据权利要求4所述的控制系统，其中，所述识别装置包括生物识别传感器。

6.根据权利要求5所述的控制系统，其中，所述生物识别传感器为指纹传感器、视网膜图案传感器、虹膜图案传感器、静脉图案传感器、手几何传感器、耳垂几何传感器、语音模式分析器、DNA分析器、笔迹分析器、签名分析器和面部识别传感器中的一个或多个。

7.根据权利要求4所述的控制系统，其中，所述物理认证装置包括通用串行总线(USB)密钥卡型装置、串行端口装置、并行端口装置和专用电缆中的一个或多个。

8.根据权利要求1所述的控制系统，其中，所述用户远离所述多路复用器的网络，并且经由连接到通信网络的用户计算机进行通信。

9.根据权利要求1所述的控制系统，其中，所述令牌是加密的。

10.根据权利要求1所述的控制系统，其中，所述令牌包括时间限制，所述时间限制指示所选多路复用器在第一预定时间段之后重新进入安全锁定模式。

11.根据权利要求1所述的控制系统，其中，每个多路复用器还包括默认定时器，所述默认定时器控制所述多路复用器在第二预定时间段之后重新进入安全锁定模式。

12.一种操作工业控制系统的方法，包括以下步骤：

提供互连的多个多路复用器，所述多个多路复用器形成网络，每个多路复用器具有默认的安全锁定模式，用于防止对所述多路复用器的设置的任何更改；

提供物理认证装置，所述物理认证装置用于指示接近控制多路复用器的人员的物理存在，所述控制多路复用器是所述多个多路复用器中的一个；

提供网络管理计算机，所述网络管理计算机连接到所述网络并适于与所述多路复用器通信，所述网络管理计算机运行网络管理应用，所述网络管理应用具有用于认证远程用户的第一用户认证模块；

提供令牌生成器，所述令牌生成器适于生成令牌，所述令牌用于指示至少一个所选多路复用器退出所述安全锁定模式，以允许所述用户对所述至少一个所选多路复用器的设置进行更改；

由所述远程用户经由通信网络接触所述网络管理计算机；

操作所述第一用户认证模块 认证所述远程用户，其中所述远程用户登录到所述网络；

建立所述远程用户与接近所述控制多路复用器的所述人员之间的通信，其中所述人员确认所述远程用户的身份为可信个人；

由所述人员操作所述物理认证装置；

生成所述令牌；以及

将所述令牌传输到所述网络的所选多路复用器，其中所选多路复用器退出安全锁定模式。

13.根据权利要求12所述的方法，其中，所述令牌包括时间限制，所述时间限制指示所选多路复用器在第一预定时间段之后重新进入安全锁定模式，并且所述方法还包括以下步骤：在所述第一预定时间段到期时，重新建立所选多路复用器的安全锁定模式。

14.根据权利要求12所述的方法，其中，每个多路复用器还包括默认定时器，所述默认定时器控制所述多路复用器在第二预定时间段之后重新进入安全锁定模式，并且所述方法还包括以下步骤：在所述第二预定时间段到期时，重新建立所选多路复用器的安全锁定模式。

Images