CN109587109A - 过程控制交换机的中毒保护 - Google Patents
过程控制交换机的中毒保护 Download PDFInfo
- Publication number
- CN109587109A CN109587109A CN201811149334.XA CN201811149334A CN109587109A CN 109587109 A CN109587109 A CN 109587109A CN 201811149334 A CN201811149334 A CN 201811149334A CN 109587109 A CN109587109 A CN 109587109A
- Authority
- CN
- China
- Prior art keywords
- group
- equipment
- interchanger
- address
- process control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004886 process control Methods 0.000 title claims abstract description 153
- 231100000572 poisoning Toxicity 0.000 title description 2
- 230000000607 poisoning effect Effects 0.000 title description 2
- 238000004891 communication Methods 0.000 claims abstract description 183
- 238000000034 method Methods 0.000 claims description 129
- 230000008569 process Effects 0.000 claims description 72
- 238000013507 mapping Methods 0.000 claims description 23
- 230000004044 response Effects 0.000 claims description 22
- 238000001514 detection method Methods 0.000 claims description 8
- 238000011161 development Methods 0.000 claims description 3
- 230000006855 networking Effects 0.000 claims 1
- 230000006870 function Effects 0.000 description 25
- 230000003068 static effect Effects 0.000 description 16
- 241000196324 Embryophyta Species 0.000 description 14
- 230000005540 biological transmission Effects 0.000 description 12
- 230000008859 change Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 10
- 238000012369 In process control Methods 0.000 description 8
- 238000007792 addition Methods 0.000 description 8
- 230000032683 aging Effects 0.000 description 8
- 238000010965 in-process control Methods 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 7
- 238000013461 design Methods 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 6
- 238000003860 storage Methods 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 5
- 241000723353 Chrysanthemum Species 0.000 description 4
- 235000007516 Chrysanthemum Nutrition 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000002708 enhancing effect Effects 0.000 description 4
- 235000013399 edible fruits Nutrition 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 238000003745 diagnosis Methods 0.000 description 2
- 230000033001 locomotion Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 239000000126 substance Substances 0.000 description 2
- 230000001052 transient effect Effects 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 102100029272 5-demethoxyubiquinone hydroxylase, mitochondrial Human genes 0.000 description 1
- 241000209202 Bromus secalinus Species 0.000 description 1
- 241001269238 Data Species 0.000 description 1
- 238000006424 Flood reaction Methods 0.000 description 1
- 101000770593 Homo sapiens 5-demethoxyubiquinone hydroxylase, mitochondrial Proteins 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000036626 alertness Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000012010 growth Effects 0.000 description 1
- 206010022000 influenza Diseases 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000002156 mixing Methods 0.000 description 1
- 238000000465 moulding Methods 0.000 description 1
- 239000003208 petroleum Substances 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000004064 recycling Methods 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 239000011800 void material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/407—Bus networks with decentralised control
- H04L12/413—Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/028—Dynamic adaptation of the update intervals, e.g. event-triggered updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
- G05B19/41855—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication by local area network [LAN], network structure
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25022—LAN local area network for controllers
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31151—Lan local area network
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31255—Verify communication parameters, if wrong, refuse communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/4026—Bus for use in automation systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/74591—Address table lookup; Address filtering using content-addressable memories [CAM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Manufacturing & Machinery (AREA)
- Automation & Control Theory (AREA)
- Small-Scale Networks (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
- Safety Devices In Control Systems (AREA)
- Selective Calling Equipment (AREA)
Abstract
一种智能过程控制交换机可以实现锁定例程,以锁定其专门供具有已知物理地址的设备使用的通信端口,从而使得智能过程控制交换机能够防止新的、有可能恶意的设备与智能过程控制交换机所连接的其它设备通信。另外,智能过程控制交换机可以实现地址映射例程,以识别经由智能过程控制交换机的端口进行通信的每个设备的物理地址和网络地址的“已知对”。因此,即使新的恶意设备能够欺骗已知物理地址以试图绕过锁定的端口,智能过程控制交换机也可以通过对照针对“已知对”的预期网络地址检查恶意设备的网络地址来检测恶意设备。
Description
技术领域
本公开总体上涉及过程控制系统,并且更具体地,涉及用于锁定智能 过程控制交换机的端口的技术。
背景技术
诸如分布式或可扩展的过程控制系统(如同发电、化学、石油或其它 过程中使用的过程控制系统)这样的过程控制系统通常包括一个或多个过 程控制器,这些过程控制器彼此通信耦合,经由过程控制网络与至少一个 主机或操作员工作站通信耦合并且经由模拟、数字或组合的模拟/数字总线 与一个或更多个现场设备通信耦合。
可以是例如阀、阀定位器、交换机和变送器(例如,温度、压力和流 量传感器)的现场设备执行诸如打开或闭合阀、打开和关闭设备和测量过 程参数这样的过程或设备内的功能。
通常位于过程工厂环境内的过程控制器接收指示由现场设备产生或者 与现场设备关联的过程测量值或过程变量的信号和/或与现场设备有关的 其它信息,并且执行控制器应用或例程。每个控制器使用接收到的信息来 实现控制例程,并且生成通过总线发送到现场设备的控制信号来控制过程 或设备的操作。控制器的一个例程或多个例程实现了控制模块,这些控制 模块进行过程控制决策,基于接收到的信息来生成控制信号,并且与诸如 和Fieldbus现场设备这样的现场设备中的控制模块或块协调。过程 控制器中的控制模块通过通信线路或信号路径将控制信号发送到现场设 备,由此控制过程的操作。
通常可以使来自现场设备和过程控制器的信息对于诸如操作员工作 站、维护工作站、个人计算机、手持设备、数据历史库、报告生成器、集 中式数据库等这样的一个或更多个其它硬件设备经由过程控制网络是可用 的。通过网络传送的信息使操作员或维护人员能够执行所期望的相对于该 过程的功能。例如,该信息允许操作员改变过程控制例程的设置,修改过 程控制器或智能现场设备内的控制模块的操作,查看过程的当前状态或过程工厂内的特定设备的状态,查看现场设备和过程控制器所产生的警报, 出于培训人员或测试过程控制软件的目的而模拟过程的操作,诊断过程工 厂内的问题或硬件故障等。
现场设备通常通过过程控制网络与硬件设备通信,过程控制网络可以 是以太网配置的LAN。网络通过各种网络设备将过程参数、网络信息、和 其它过程控制数据中继到过程控制系统中的各种实体。网络设备通常通过 控制其路由、帧速率、超时和其它网络参数来促进数据流过网络,但是不 改变过程数据本身。一些典型的网络设备包括例如第2层网络交换机、第3 层网络交换机、路由器和/或集线器。在此引用的层与OSI模型层相关。
一般而言,第2层网络交换机经由其与LAN内的目的地设备(用消息 标识的)的MAC地址相关联的端口中的一个接收消息并且转发接收到的 消息。第2层网络交换机通常存储建立了MAC地址和对应交换机端口之 间关系的表。当第2层网络交换机接收到消息时,它识别消息的目的地MAC 地址,从该表中识别与MAC地址对应的交换机的端口,并且经由该端口转发消息。如果第2层网络交换机接收到具有未存储在该表中的目的地 MAC地址的消息,则它将该消息广播到交换机的所有端口(可以一直重复 进行,直到消息到达目的地设备并且目的地设备回复),从而将“映射”于目 的地MAC地址的适当端口通知给交换机。注意的是,第2层交换机不执 行路由,不利用IP地址进行转发决策,也不跟踪交换机和目的地设备之间 的中间节点。相反,第2层交换机只是引用该表来确定应该使用交换机的 哪个端口来转发消息。
另一方面,第3层设备(诸如,路由器和第3层交换机)经常执行路 由,识别中间节点,并且利用IP地址进行转发和/或路由。利用网络地址的 该路由功能和能力使层3设备能够将数据路由到层3设备所连接的LAN外 部的目的地。虽然路由器和第3层网络交换机有时能够在过程控制网络内 路由过程控制数据,但是路由器和第3层交换机可能比第2层交换机昂贵 得多,特别是在针对过程控制环境中的操作而设计或配置时(例如,贵两 到三倍)。
随着过程控制网络的规模和复杂度增长,网络设备的数量和类型对应 地增加。由于系统和网络的增长,这些复杂系统中的安全和管理变得越来 越具有挑战性。例如,每个网络设备都可以包括提供接入点的一个或多个 通信端口或用于将过程控制系统组件和其它网络设备跨网络彼此物理互连 的端口。这些网络设备端口可以通过添加其它设备而成为用于网络扩展的 接入点,或者可以允许恶意或非恶意的实体接入网络并且启动不想要的和 可能有害的网络流量。
为了解决关于恶意实体的安全问题,一些控制交换机具有禁用端口(例 如,未使用的端口)以防止设备经由禁用端口通信的禁用机构。另外,一 些控制交换机有时具有锁定机构(例如,如美国专利No.No.8,590,033中公 开的),锁定机构可以“锁定”端口,以限制经由锁定端口与在锁定时与该端 口连接的单个设备通信。然而,这些传统的锁定机制受到限制。特别地, 传统的锁定机制无法锁定(i)具有不止两个连接设备的端口和/或(ii)与第二交换机连接的端口(有时称为“上行链路端口”)。上行链路端口通常被 排除在网络安全锁定之外(即,保持未锁定),以便在锁定期间维持上行链 路端口功能并且避免无意中实现干扰工厂操作的过度限制性锁定。另外, 响应于识别到与端口连接的多个设备并且假定端口与交换机连接,一些交 换机将与设备的菊花链连接的端口归类为“上行链路端口”。因此,虽然一 些控制交换机可以实现传统的锁定机制以防止恶意设备经由先前未使用的 端口(例如,通过禁用该端口)与网络连接或者(例如,通过锁定该端口) 与仅仅单个终端设备连接,但是这些交换机在与上行链路交换机、不止两 个终端设备、或具有多个物理地址的单个设备(例如,虚拟化系统)连接 的任何端口处仍易受影响。
发明内容
所描述的方法和系统使过程控制交换机能够锁定其所有端口和/或识 别经由过程控制交换机的每个端口进行通信的每个设备的物理地址和网络 地址的“已知对”。
在实施例中,一种方法改进了过程工厂内的过程控制系统的安全性, 所述过程控制系统包括经由过程控制交换机的通信端口与设备连接的过程 控制交换机。该方法可以包括:(A)启动过程控制交换机的一组通信端口 的锁定;(B)与启动所述一组通信端口的锁定关联地进行以下步骤:由所 述过程控制交换机获得与所述一组通信端口的至少一部分连接的一组设备 的一组网络地址,以及生成用于所述过程控制交换机地址匹配表,其中,所述地址匹配表将所述一组设备的一组物理地址与所述一组设备的所述一 组网络地址进行匹配;和/或(C)在锁定所述一组通信端口之后进行以下 步骤:经由所述一组通信端口中的一个接收来自设备的数据分组,所述数 据分组指示(i)所述设备的网络地址以及(ii)所述设备的物理地址,确 定所述设备的网络地址和所述设备的物理地址未包括在所述地址匹配表 中,以及响应于所述确定,生成警报。
在实施例中,一种用于在过程工厂内的过程控制系统中使用的过程控 制交换机包括:(A)一组通信端口,所述过程控制系统的设备被配置为与 所述一组通信端口连接;(B)内容可寻址存储器;和/或(C)一组专用集 成电路(ASIC),所述一组专用集成电路(ASIC)通信地耦合到所述一组 通信端口和所述内容可寻址存储器,并且被配置为:(a)启动所述一组通 信端口的至少一部分的锁定。另外地或另选地,所述ASIC可以被配置为:(b)与启动所述一组通信端口的至少一部分的锁定关联地进行以下步骤: (1)获得与所述一组通信端口的至少一部分连接的一组设备的一组网络地 址,和/或(2)生成地址匹配表,所述地址匹配表将所述一组设备的一组 物理地址与所述一组设备的所述一组网络地址进行匹配。另外地或另选地, 所述ASIC可以被配置为:(c)在锁定所述一组通信端口之后进行以下步骤: (1)经由所述一组通信端口中的一个接收来自设备的数据分组,所述数据 分组指示(i)所述设备的网络地址以及(ii)所述设备的物理地址;(2) 确定所述设备的网络地址和所述设备的物理地址未包括在所述地址匹配表 中;和/或(3)响应于所述确定,生成警报。
在实施例中,存在一种用于检测与过程控制交换机关联的安全问题的 方法,所述过程控制交换机与过程工厂内的过程控制系统相关联,其中, 所述过程控制交换机经由所述过程控制交换机的一组通信端口与一组设备 连接。所述方法可以包括以下步骤中的一个或多个:(A)访问与所述过程 控制交换机关联的地址匹配表,其中,所述地址匹配表将一组设备的一组 物理地址与所述一组设备的一组网络地址进行匹配;(B)广播指定目的地网络地址的映射请求,所述目的地网络地址与所述地址匹配表中包括的所 述一组网络地址中的一个匹配;(C)经由所述一组通信端口中的一个接收 来自回复设备的对所述映射请求的回复,所述回复指示(i)所述目的地网 络地址和(ii)所述回复设备的物理地址;(D)确定所述回复设备的物理 地址与所述地址匹配表中包括的所述一组设备的所述一组物理地址不匹 配;和/或(E)响应于所述确定,生成警报。
在实施例中,存在一种用于检测与过程工厂内的过程控制系统关联的 安全问题的系统。所述系统可以包括以下中的一个或更多个:(A)用户接 口,所述用户接口被配置为呈现内容;以及(B)过程控制交换机,所述过 程控制交换机经由一组通信端口连接至与所述过程控制系统关联的一组设 备,并且被配置为:(1)访问与所述过程控制交换机关联的地址匹配表, 其中,所述匹配表将所述一组设备的一组物理地址与所述一组设备的一组网络地址进行匹配,(2)广播指定目的地网络地址的映射请求,所述目的 地网络地址与所述地址匹配表中包括的所述一组网络地址中的一个匹配, (3)经由所述一组通信端口中的一个接收来自回复设备的对所述映射请求 的回复,所述回复指示(i)所述目的地网络地址和(ii)所述回复设备的 物理地址,(4)确定所述回复设备的物理地址与所述地址匹配表中包括的 所述一组设备的所述一组物理地址不匹配,和/或(5)响应于所述确定进 行以下步骤:生成警报,并且致使所述警报呈现在所述用户接口上。
注意的是,提供本发明内容是为了介绍以下具体实施方式中进一步描 述的概念。如具体实施方式中说明的,某些实施例可以包括本发明内容中 未描述的特征和优点,并且某些实施例可以省略本发明内容中描述的一个 或多个特征和/或优点。
附图说明
下述附图中的每个描绘了根据实施例的所公开的系统和/或方法的一 个或更多个方面。具体实施方式引用了以下附图中包括的附图标记。
图1A是过程工厂内的过程控制系统的示意图,其中,智能过程控制交 换机可以被实现为增强网络安全并且促进网络管理和维修。
图1B是过程设备内的过程控制系统的第二示意图,其中,图1A中示 出的智能过程控制交换机可以被实现为增强网络安全并且促进网络管理和 维修。
图1C例示了可以通常使用以太网协议通过过程控制系统传送的数据 的基础单元或帧。
图2A是示例过程控制网络的网络图,其中,其中每个与图1A和图1B 中示出的智能过程控制交换机相似的一组智能过程控制交换机被实现为改 进锁定性能并且增强网络安全。
图2B是第二示例过程控制网络的网络图,其中,一组智能过程控制交 换机被实现为改进锁定性能并且增强网络安全。
图2C是图1A、图1B和图2A中示出的智能过程控制交换机的框图。
图3A例示了用于锁定和解锁图1A至图2C中示出的智能过程控制交 换机中的一个或多个的端口的示例方法。
图3B例示了在接收到锁定命令之后锁定图1A至图2C中示出的智能 过程控制交换机的端口的示例方法。
图3C例示了解锁图1A、图1B、图2A和图2B中示出的智能过程控 制交换机的示例方法。
图4A例示了可以被提供为促进锁定和解锁图1A至图2C中示出的智 能过程控制交换机的示例用户接口。
图4B例示了填充有一组解锁交换机的图4A中示出的示例用户接口。
图4C例示了填充有一组锁定交换机的图4A和图4B中示出的示例用 户接口。
图4D例示了填充有具有“锁定挂起”状态的一组交换机的图4A、图4B 和图4C中示出的示例用户接口。
图5例示了图2C中示出的地址匹配表的示例。
图6描绘了实现图2C和图5中示出的地址匹配表来改进过程工厂内的 过程控制系统的安全的示例方法的框图。
图7描绘了检测与图1A至图2C中示出的智能过程控制交换机关联的 安全问题的示例方法的框图。
具体实施方式
本公开描述了智能过程控制交换机146(在图1A、图1B和图2C中示 出,有时被称为“交换机146”),智能过程控制交换机146能够(i)实现锁 定操作或例程,以锁定其专门供具有已知物理地址的设备使用的通信端口, 和/或(ii)实现地址映射操作或例程,以识别经由交换机146通信的每个 设备的物理地址和网络地址的“已知对”。
一般而言,交换机可以分为两类:可配置交换机和不可配置交换机。 可配置交换机(有时被称为“受管理交换机”)能够具有由用户配置的使得 可以针对特定实现方式定制交换机的各种网络设置(例如,端口速度、虚 拟LAN、冗余、端口镜像、和用于流量优先性的服务质量(QoS)等)。不 可配置交换机(有时被称为“不受管理交换机”)通常被制造商配置成使网 络设置不能由终端用户轻易修改的OEM规范。虽然可配置交换机经常见于 期望输入和控制流量的环境(例如,工业环境),但是不可配置交换机通常 针对的是需要较少复杂使用的环境(例如,家庭或小型办公室)。
一般而言,如本文中使用的,短语“受管理交换机”与如上所述的短语 “可配置交换机”不同义,而短语“不受管理交换机”与上述短语“不可配置交 换机”不同义。相反,术语“受管理”和“不受管理”是指交换机的可锁定性。 也就是说,如本文中使用的,“受管理交换机”是指处理本文中描述的锁定 功能的交换机,“不受管理交换机”是指缺乏本文中描述的锁定功能的交换 机。因为交换机146被配置成实现所描述的锁定操作,所以交换机146可以被称为“受管理交换机”。
锁定操作使交换机146能够锁定其端口,使得在锁定时与其端口连接 的设备成为获得授权继续使用该端口的“已知”设备,而不允许任何“新”设 备经由该端口进行通信。也就是说,在交换机146已经被锁定之后,交换 机146“丢弃”从与交换机146连接的“新”设备接收的通信,从而使交换机 146能够确保其端口免受新连接的恶意设备的攻击。一般而言,术语“连接” 在参照设备和交换机146的端口使用时指的是端口和物理介质(例如,诸 如CAT5或CAT6电缆这样的以太网电缆)之间的物理连接,该物理连接 使得能够在交换机146和设备之间进行通信。物理介质可以直接或间接地 经由促进与设备通信的一个或多个中间设备与设备连接。
当实现锁定操作时,交换机146可以针对与交换机146的每个端口(直 接或间接地)连接的所有已知设备生成物理地址(例如,MAC地址)的记 录(例如,静态地址表)。与传统控制交换机不同,交换机146可以生成与 单个端口连接的不止两个物理设备的记录。例如,当三个、四个、五个、 或更多个设备以菊花链方式连接于单个端口时,交换机146可以针对以菊 花链方式连接于单个端口的多个设备中的每个生成物理地址的记录。因此, 交换机146可以“锁定”每个端口,并且使得能够只针对具有已知物理地址 的那些设备经由交换机146进行通信(例如,启动与锁定时记录上的物理 地址匹配的源物理地址)。在这种情况下,当恶意设备在锁定之后与交换机 146的端口物理连接时,交换机146将不转发来自恶意设备的消息(假定其 物理地址不匹配在锁定时与该端口连接的设备的物理地址)。因此,交换机 146可以防止恶意设备加入控制网络,从而防止恶意设备从控制网络收集敏 感信息或者对与控制网络连接的设备进行未经授权的控制。
交换机146可以响应于交换机146接收到锁定命令而实现锁定操作, 锁定命令是响应于设备在交换机146所连接的网络上检测到安全威胁而发 送的。例如,锁定命令可以由在与交换机146关联的工厂处实现的控制系 统(例如,Delta V控制系统)中的设备(例如,诸如服务器、工作站、或 控制器这样的计算机)发送。又如,锁定命令可以由监视网络活动的安全 系统(例如,执行安全软件的计算机或诸如ASIC这样的专门设计的硬件) 发送。安全系统可以包括用于监视网络活动的一个或更多个系统,诸如: 访问控制系统、反键盘记录系统、反恶意软件系统、反间谍软件系统、反 颠覆系统、反病毒系统、密码系统、防火墙系统、入侵检测系统(IDS)、 入侵防御系统(IPS)、安全信息管理系统、或安全信息和事件管理(SIEM) 系统。这些安全系统中的一个或多个可以协同工作,以生成锁定命令。例 如,防火墙系统可以检测安全威胁并且通知SIEM(其可以被配置成聚合来 自多个源的安全威胁),并且SIEM可以通过发送锁定命令进行响应。可以 以多种方式中的任一种来检测示例安全威胁。例如,安全系统可以利用基 于签名的检测(例如,识别诸如恶意软件这样的已知威胁的已知网络签名) 和/或基于异常的检测(例如,检测诸如新逻辑端口在预计被打开并利用仅 仅某些逻辑端口(诸如,与和节点关联的特定协议关联的端口)的节点处 打开这样的偏差)。
锁定例程可以与流量控制例程结合利用,流量控制例程将每个端口处 的流量限制于预定阈值。可以基于与端口连接的设备的类型来确定每个端 口的每个阈值。例如,如果控制器与端口连接,则控制器的流量利用率预 计不会超过每个端口一定量的入口/出口流量(例如,512kbps入口或每秒 1500个分组的出口流量等),并且可以相应地设置该端口的流量阈值。现场 设备可以消耗更多或更少的流量,因此与现场设备连接的端口可以具有不 同的流量阈值。在某些情形下,流量控制是过程控制交换机的重要特征。 例如,不进行流量控制的过程控制交换机可以允许任何类型的设备之间交 换任何量的流量,因此不能防止在观察到给定过程控制系统的特定通信要 求时可以容易地检测到的基本拒绝服务攻击–过程控制系统往往是非常可 预测的,因此,基于这些特定使用情况下使用的协议和设备类型来设置阈 值并不困难。
进一步参照锁定操作,交换机146可以确定端口何时与第二交换机连 接(例如,使用网桥协议桥接单元(BPDU)帧),并且可以与第二交换机 执行握手,以确定第二交换机是第二交换机146还是“不受管理交换机”(例 如,不具有所公开的锁定能力的交换机)。如果第二交换机是不可锁定或“不 受管理”交换机,则交换机146可以借助不可锁定或“不受管理”交换机识别 并记录与交换机146的端口连接的每个终端设备的物理地址。
如有需要,交换机146可以在锁定期间保持某些端口未锁定。例如, 交换机146可以确定端口何时与第二交换机连接(此端口可以被称为“上行 链路端口”),并且可以与第二交换机执行握手,以确定第二交换机是否“受 管理”(即,像交换机146那样“可锁定”)或“不受管理”(即,不像交换机 146那样“可锁定”)。如果第二交换机是“受管理”的,则交换机146可以保 持上行链路端口未锁定(因此,可以不检查经由上行链路端口接收的消息 的源物理地址,和/或可以检查消息的源物理地址,而不丢弃具有未知源物 理地址的消息)。此上行链路端口可以被称为“受管理上行链路端口”。如果 第二交换机是“不受管理”的,则交换机146可以识别并记录经由“不受管理 交换机”与上行链路端口连接的每个终端设备的物理地址,并且上行链路端 口可以被称为“不受管理上行链路端口”。随后,交换机146可以锁定上行 链路端口,使得交换机146丢弃源自与不受管理交换机连接的未知设备的 消息,从而防止未知设备(例如,可能是恶意设备)接入交换机146所连 接的更广的网络。应当注意,交换机146的锁定端口可以继续发送来自已 知设备的广播和多播消息,并且在这种情形下,未知或未授权的设备(即, 对于给定端口而言没有已知物理地址的设备)可以侦听所发送的这些广播 和多播消息。然而,在这种情形下,未授权的设备将不能够响应于那些消息或者以其它方式利用交换机146的锁定端口发送任何消息。
地址映射操作使得交换机146能够在锁定之后通过确认具有已知物理 地址的设备没有简单地欺骗已知物理地址来验证该设备是已知设备。交换 机146通过跟踪针对每个已知物理地址的网络地址(例如,IP地址)来执 行该验证。因此,每个对于给定端口而言的已知设备应该具有被交换机146 跟踪的已知地址对(即,物理地址和网络地址)。因此,即使当恶意设备与 交换机146的锁定端口连接并且成功欺骗对于该锁定端口而言的已知设备的物理地址时,交换机146也将检测到恶意设备的网络地址与记录上的与 物理地址配对的网络地址不匹配。因此,交换机146产生警报和/或丢弃从 恶意设备接收的通信。
如有需要,交换机146可以实现端口镜像。例如,交换机146可以复 制进入或离开特定端口的分组,并且可以将复制的分组发送给分析器(例 如,经由与分析器关联的指派端口)。分析器可以是(例如,借助软件)被 配置用于分析复制的分组的任何机器。端口镜像使得能够对复制的分组执 行诊断和/或调试,而不会显著影响发送和/或接收原始分组的设备。
图1A和图1B是过程工厂内的过程控制系统100的示意图,其中,交 换机146可以被实现为增强网络安全并且促进网络管理和维修。过程控制 系统100包括过程控制网络150,过程控制网络150是被连接以使得能够在 节点之间进行通信的节点(例如,能够发送、接收和/或转发信息的设备或 系统)和通信链路的集合。网络150的节点包括:一个或多个交换机146; 一个或多个过程控制器110;一个或多个主机工作站或计算机120-122(例 如,可以是经批准的工作站和/或服务器),其中的至少一个包括显示屏; 一个或多个输入/输出(I/O)卡140;一个或多个现场设备130、133和/或 142;网关143;和/或数据历史库145。一些实施例不包括现场设备142和 网关143。
网络150是局域网(LAN)。在一些情形下,广域网(WAN)和/或电 信网络可以是设备网络的部分,但是在某些情形下,可以不是网络150的 一体部分。网络150可以被配置用于以太网通信和/或用于任何适当的通信 协议(例如,TCP/IP、专有协议等),并且可以使用硬连线(优选)或无线 技术来实现。在具体实施方式的末尾更详细地描述网络150的附加方面。
一个或多个过程控制器110(举例来说,其中的每个可以是Fisher RosemountSystems,Inc销售的DeltaVTM控制器)经由一个或多个交换机 146通信连接并与网络150以及一个或多个主机工作站或计算机120-122通 信连接。每个控制器110都可以包括一个或多个网络接口卡(有时被称为“通 信接口”),并且可以经由I/O卡140与现场设备130连接,I/O卡140中的 每个可以经由背板与控制器110中的一个通信连接。现场设备130可以与 网络150(例如,使用DeltaV电子编组技术)通信联接。网络150还可以 用于连接使用开放协议与现场设备连接并且将数据发送回一个或多个过程 控制器110的诸如DeltaV CHARM I/O卡(CIOC)、无线I/O卡(WIOC)、 以太网I/O卡(EIOC)等这样的基于以太网的I/O节点。在这种情况下, 控制器110和I/O节点之间的通信可以明确地是专有的。
可以作为网络150的子网的I/O网络155促进控制器110(例如,经由 I/O卡140)和现场设备130、133和142之间的通信。I/O网络155可以包 括诸如附加交换机146(参见图1B)这样的图1A中未示出的中间节点。I/O 网络155可以被配置用于以太网通信和/或用于任何适当的通信协议(例如, TCP/IP、ModbusIP等),并且可以根据实现方式使用硬连线或无线技术来 实现。一些实施例不包括I/O网络155,或者包括I/O网络155的修改版本 (例如,一些实施例在控制器110和现场设备之间不包括交换机)。
I/O卡140使用与例如标准4-20mA装置、标准以太网协议、和/或诸如 FOUNDATIONFieldbus协议(Fieldbus)、HART协议、或任何其它所期望 通信或控制器协议这样的任何智能通信协议关联的任何所期望硬件和软件 与现场设备130通信连接。
现场设备130可以是诸如传感器、阀、变送器、定位器等这样的任何 类型的设备。在图1A中例示的实施例中,现场设备130是通过标准模拟4-20mA线路131与HART调制解调器140通信的HART设备,而现场设 备133是利用Fieldbus协议通信通过数字总线135或I/O网络155与I/O卡 140通信的诸如Fieldbus现场设备这样的智能设备。当然,现场设备130 和133可以符合任何其它所期望的标准或协议,包括将来开发的任何标准 或协议。
现场设备142可以经由诸如网关143这样的专用网络设备与数字总线 135连接。例如,现场设备142可以只理解Profibus-PA命令,并且I/O网 络135可以实现PROFIBUS-DP协议。为此目的,网关143可以提供双向 PROFIBUS-DP/PA转换。交换机146也可以位于网关143处或其附近。
可以是其中具有一个或多个处理器的工厂内的许多分布式控制器之一 的控制器110实现或监督一个或多个过程控制例程。这些例程可以包括存 储在控制器中或与控制器关联的一个或更多个控制回路。控制器110还通 过网络150和关联的网络设备146与设备130或133、主机计算机120-122 和数据历史库145通信,以按任何所期望的方式控制过程。应当注意,如 有需要,本文中描述的任何控制例程或元素可以使其部分由不同控制器或其它设备实现或执行。同样地,本文中描述的要在过程控制系统100内实 现的控制例程或元素可以采取任何形式,包括软件、固件、硬件等。出于 本讨论的目的,过程控制元素可以是过程控制元件的任何部分或一部分。 包括例如存储在任何计算机可读介质上的例程、块或模块。可以是模块或 诸如子例程、子例程的部分(诸如,代码中的几行)等这样的控制程序的 模块或任何部分的控制例程可以按诸如使用梯形逻辑、顺序功能图表、功 能框图、面向对象编程或任何其它软件编程语言或设计范例这样的任何所 期望的软件格式实现。同样,控制例程可以被硬编码到例如一个或更多个 EPROM、EEPROM、专用集成电路(ASIC)或任何其它硬件或固件元件 中。另外,可以使用任何设计工具来设计控制例程,这些设计工具包括图 形设计工具或任何其它类型的软件/硬件/固件编程或设计工具。因此,控制 器110可以被配置成以任何所期望的方式实现控制策略或控制例程。
数据历史库145可以是具有任何所期望类型的存储器和用于存储数据 的任何所期望或已知的软件、硬件或固件的任何所期望类型的数据收集单 元,并且可以与工作站120-122中的一个分离或分开。数据历史库145可 以经由交换机146与网络150和/或主机120和122通信联接。
图1C例示了可以通常通过过程控制系统100并且使用以太网协议通过 过程控制网络150通信的基础数据单元或帧175。以太网帧175包括七个域, 每个域携带诸如交换机146或其它过程控制系统100组件这样的设备之间 的信息。这些字段可以包括由接收设备解释和处理的多个字节的数据178。 例如,目的地MAC地址域180可以包括过程控制网络100的中间或目的 地节点的物理地址,而源MAC地址域182可以包括过程控制系统100的 发送或中间节点的物理地址。目的地MAC地址域180和源MAC地址域 182可以与来自交换机146的数据结合使用,以处理通过过程控制网络150 发送的数据。在一些实施例中,当设备处于“锁定”状态时,可以将域180、 182与存储在接收网络设备内的一个或多个表进行比较。可以使用比较结果 来拒绝或者以其它方式否认接收到的数据或与锁定的网络设备的其它物理 或逻辑连接。
图2A是示例过程控制网络200A的网络图,其中,其中每个代表图2C 中示出的交换机146的示例的一组交换机146A-D被实现为提高锁定性能 并且增强网络安全。实线代表与锁定端口连接的通信链路,虚线代表与未 锁定端口连接的通信链路。有利地,交换机146A-D的每个端口都可以被 锁定。因此,即使恶意设备与过程控制设备、集线器或与交换机146A-D 中的一个的端口连接的不受管理交换机连接,恶意设备也不能在相应交换 机146A-D被锁定时经由该端口进行通信。
除了交换机146A-D之外,网络200A还包括设备111A-111L(被统称 为“设备111”)、设备113A-113D(被统称为“设备113”)和集线器112。设 备111是被特别配置成在过程控制工厂中操作并且经由过程控制网络进行 通信的过程控制设备。设备111中的每个具有一个或两个物理地址(例如, 用于冗余)。通常,设备111的物理地址是被特别配置成使得设备111将由 过程控制网络100D上的其它过程控制设备识别的MAC地址。例如,每个 设备111的物理地址可以以特定识别的字符模式(例如, F9-C3-XX-XX-XX-XX)开始或结束,使得每个设备都能被识别为被特别配 置用于在过程控制环境中实现的设备。示例设备111包括过程控制器、I/O 卡、工作站、数据历史库和特别配置的网络设备。
设备113包括(i)没有特别配置用于过程控制网络的设备(有时被称 为“现成设备”或“通用设备”)和/或(ii)具有不止两个物理地址的设备(可 以包括特别配置的过程控制设备和“通用”设备二者)。集线器112是通用网 络集线器。
无论与端口连接的设备的类型或数量如何,交换机146A-D都可以锁 定所有端口,因此可以防止受与交换机146A-D中的任一个的任何端口(直 接或间接)连接的恶意设备的攻击。图2A描绘了其中交换机146A-D优于 当前过程控制交换机的改进的多个示例。下面,描述了展示了交换机 146A-D的优点的四个特定示例:(i)锁定与“通用设备”或具有不止两个物 理地址的设备(过程控制或“通用”)连接的端口;(ii)锁定与不受管理交 换机连接的端口;(iii)锁定与一组菊花链设备连接的端口;以及(iv)锁 定与连接多个设备的诸如集线器这样的不受管理网络设备连接的端口。
第一示例涉及交换机146A,交换机146A包括当与设备113A连接时 可以被锁定的端口201,设备113A可以是(i)具有任何数量的物理地址的 “通用设备”或(ii)具有不止两个物理地址的过程控制设备。在操作中,交 换机146A实现锁定例程来锁定端口201。在锁定之后,交换机146A不允 许物理地址与设备113A的物理地址不同的的任何设备经由端口201进行通 信。换句话讲,交换机146A将分析在端口201处接收到的任何消息,以识 别包括在消息中的源物理地址。如果消息不包括与锁定时交换机146A已知 的设备113A的物理地址匹配的源物理地址,则交换机146A“丢弃”消息而 不是经由它的其它端口中的一个转发消息,并且交换机146A生成端口违规 警报。相比之下,典型的过程控制交换机可能无法锁定与设备113A连接的 端口,因为设备113A要么是“通用”设备,要么是具有不止两个物理地址的 设备,并且通常,即使当启动了锁定程序时,过程控制交换机也不锁定这 些端口。
交换机146A还包括与交换机146B连接的端口211。如用与端口211 连接的实线所指示的,端口211被锁定。因此,交换机146A可以存储经由 锁定时的端口211传送的所有设备的物理地址,包括与交换机146B-D中的 任一个连接的设备的任何物理地址。在一些情形下,交换机146B-D中的每 个可以接收它与交换机146上游(例如,交换机146A)连接的通知,因此 在以下假设下不能在锁定期间认证物理地址:上游交换机146将认证消息 中列出的物理地址,以确保所列出的物理地址是已知地址。在其它情形下, 交换机146B-D中的一个或更多个连同交换机146A一起认证锁定期间的物 理地址。
第二示例涉及交换机146B,交换机146B包括在与不受管理交换机连 接时可以被锁定的端口203(即,交换机缺乏所描述的锁定能力或者不能够 发送BPDU帧)。端口203和与第二交换机连接的任何其它端口(例如,交 换机146A的端口211和端口213、215和217)可以被称为“上行链路端口”。 注意的是,在一些情况下,交换机146可以被配置成在识别上行链路端口 时只识别受管理的上行链路端口,因此交换机146B不能将交换机端口203 归类为上行链路端口(例如,交换机146可以被配置成只将那些与其它交 换机146连接的端口归类为上行链路端口)。装置111G-1连接于与端口203 物理连接的不受管理交换机109。注意的是,因为不受管理交换机109不能 锁定其端口(如通过将交换机109连接于设备111G-I的虚线所指示的), 所以恶意设备可以与交换机109连接,以与连接于交换机109的其它设备(例如,设备111G-111I)通信。换句话讲,即使有人试图锁定网络200A 中的所有可锁定交换机(例如,交换机146A-146D),具有未知物理地址的 新设备也可以与交换机109连接,并且交换机109将把来自恶意设备的消 息转发到交换机109的已经被映射于来自恶意设备的消息中包括的目的地 地址的端口。
然而,因为端口203被交换机146B锁定(如连接交换机146B和109 的实线所指示的),所以来自端口203处接收到的新未知设备的任何消息都 将被交换机146B丢弃。该消息将被丢弃是因为当交换机146B被锁定时, 它创建了经由端口203进行通信的所有已知设备的已知物理地址的记录, 即使这些已知设备正经由诸如交换机109这样的不受管理上行链路交换机 进行通信(交换机146B可以通过监视并记录经由端口203发送和接收的消 息的源地址和目的地地址来创建该记录)。因此,在所示出的示例中,交换 机146B“锁定”已知物理地址的记录,使得只有设备111G-I的物理地址与端 口203关联。因此,任何连接(例如,经由有线或无线连接)于交换机109 的设备都不能经由交换机146B的端口203与网络200A上的其它设备通信(如果新设备具有与设备111G-I中的一个的物理地址匹配的物理地址,则交换机146可以利用地址映射表222检测到该新设备不是设备111G-I中的 一个)。简言之,即使端口203与没有锁定其端口的不受管理交换机(即, 交换机109)连接,交换机146B也可以锁定端口203,使得只有在锁定时 与交换机109连接的设备才可以经由交换机146B进行通信。
转到第三示例,图2A描绘了包括端口205的交换机146C,端口205 可以在一组菊花链设备111E和111F与端口205连接时被锁定。设备111E 与端口205物理连接,并且设备111F以菊花链方式连接于设备111E,从 而使得设备111F能够借助其与设备111E和端口205的连接而与网络200A 上的其它设备通信。一般而言,菊花链连接是直通连接,从而使所有菊花链设备(即,111E和111F)直接接入端口205。注意的是,设备111E不 锁定其与设备111F连接的接入点,如设备111E和111F之间的虚线所示出 的。因此,恶意设备可以与设备111E或111F连接,设备111E或111F中 的任一个可以转发从恶意设备接收的消息。然而,如果新设备连接于与端 口205连接的相同菊花链,或者用新设备取代菊花链中的设备,则交换机146C标记端口205的端口违规,并且不能允许来自连接于菊花链的任何设 备的通信。在某些情形下,交换机146C可以在锁定期间简单地丢弃来自新 设备的消息。该消息被丢弃是因为当锁定端口205时,交换机146C创建经 由端口205进行通信的所有已知设备(例如,设备111E和111F)的已知 物理地址的记录,并且丢弃识别到与已知物理地址不同的源物理地址(例 如,恶意设备的物理地址)的消息。因此,当恶意设备可以与设备111E或 111F连接时,交换机146C将丢弃(例如,未经由交换机146C的其它端口 转发)来自恶意设备的任何消息。
最后,作为第四示例,图2A描绘了包括端口207的交换机146D,端 口207可以在与连接于多个设备的不可锁定集线器112连接时被锁定。简 言之,交换机146D以与交换机146B对待不受管理交换机109类似的方式 对待集线器112。设备113D、111K和111L连接于与端口207物理连接的 集线器112。因为集线器112不能锁定其端口(如通过将集线器112连接于 设备113D、111K和111L的虚线所指示的),所以恶意设备可以与集线器 112连接,以与连接于集线器112的其它设备通信。然而,因为端口207 被交换机146D锁定,所以端口207处接收到的来自新未知设备的任何消息 都将被交换机146D丢弃。
注意的是,设备113D,111K和111L可以利用网络200进行通信,因 为它们的物理地址被注册在交换机146D和/或146B的存储器中。在某些情 况下,为了便于使用和方便起见,交换机146A-D的上行链路端口(例如, 端口213和215)未被锁定,但是映射于上行链路端口的所有物理地址都被 注册(例如,在交换机146B和/或146D处),并且标记对地址表的改变并 且由交换机生成警报。例如,如果有人试图将交换机146D与交换机146B 断开并且将新集线器连接于端口215,则交换机146B检测到试图利用新集 线器和交换机146B进行通信的设备的任何未知地址。如果有人试图在交换 机146B和交换机146D之间插入新集线器作为中间设备,则交换机146B 和146D二者都可以检测到新集线器(和/或与集线器连接的新设备的任何 新地址),并且一者或二者可以生成关于此时与交换机146B和146D连接 的新物理地址的警报。上行链路端口检测机构允许用户识别何时实现此物 理访问干预。
图2B是示例过程控制网络200B的网络图,其中,实现了一组交换机 146A-D。网络200B类似于网络200A。网络200B中的交换机146A-D中 的每个被配置成检测其端口之一何时与第二交换机(即,上行链路端口) 连接,并且只有在第二交换机不受管理时才锁定上行链路端口。每个交换 机146A-D可以分析与第二交换机的握手,以确定第二交换机是否受管理 (例如,以确定第二交换机是否是交换机146)。在锁定期间,每个交换机 146A-D可以根据所连接的第二交换机是否可锁定来不同地对待经由上行 链路端口接收的消息。换句话讲,根据第二交换机是否可锁定,每个交换 机146A-D可以锁定上行链路端口或者保持上行链路端口未锁定。
例如,交换机146A包括与交换机146B连接的上行链路端口211。因 为交换机146B是可锁定的,所以交换机146A保持上行链路端口211未锁 定。类似地,交换机146B保持上行链路端口213和215未锁定,因为它们 与可锁定交换机146C和146D连接。交换机146A可以在不认证消息中包 括的源物理地址的情况下转发从交换机146B接收的消息。可以说,交换机146A“假定”交换机146B正在处理其端口的锁定,因此即使在锁定期间, 也可以不锁定上行链路端口211。交换机146B可以类似地保持端口213和 215未锁定。在一些情形中,交换机146A和146B一直监视经由上行链路 端口211-215接收的消息的源物理地址,并且可以将源物理地址与已知的 物理地址进行比较。当监视揭示源物理地址未知时,交换机146A和146B可以生成端口违规警报。
当第二交换机不可锁定(例如,通用或“现成”交换机)时,交换机 146A-D可以以与参照图2A所述相同的方式锁定上行链路端口。例如,交 换机146B可以锁定如参照图2A描述的上行链路端口203(与不受管理或 不可锁定交换机109连接)。在一些情形下,当上行链路端口被锁定时,交 换机146A-D丢弃具有未知源物理地址的消息。在其它情形下,当上行链路端口被锁定时,交换机146A-D一直转发具有未知物理地址的消息,同 时生成端口违规警告或警报。
图2C是交换机146的框图,交换机146可以是用于DeltaV TM过程控 制网络的DeltaV智能交换机(其中有不同的可用于应对不同使用情况的系 列)。交换机146是第2层交换机,这意味着交换机146在OSI模型的第2 层-数据链路层工作。在操作中,交换机146通过(i)识别包括在消息中的 目的地物理地址和(ii)参照切换表来识别与目的地物理地址关联的转发端 口来选择消息的转发端口。交换机146不跟踪中间节点。例如,如果交换 机146经由四个中间节点接收到旨在用于与交换机146连接的终端设备的 消息,则交换机146没有“下一节点”或其它中间节点中的任一个的记录。 相反,它引用切换表来确定应该使用哪个端口来转发消息。另外,交换机 146并不出于转发消息的目的而跟踪网络地址,并且它不利用IP路由表。
相比之下,诸如路由器这样的第3层网络设备在OSI模型的第3层- 网络层操作,并且通常利用路由表。当路由器接收到消息时,它识别消息 中包括的目的地网络地址。然后,路由器参照路由表来识别到达目的地网 络地址的最佳路由,识别针对最佳路由列出的“下一跳”网络地址,并且将 消息转发到具有“下一跳”网络地址的设备。第3层交换机通常拥有与路由 器类似的网络路由智能。在一些情形下,交换机146可以是第3层交换机。 也就是说,在某些实施例中,交换机146可以利用网络地址进行路由和/或 转发。
如前所述,交换机146是“智能过程控制交换机”,这意味着交换机146 被特别配置用于过程控制环境并且用于与过程控制系统特有的诸如过程控 制器、现场设备、I/O卡、过程控制工作站、过程控制历史库等这样的设备 通信。交换机146固件可以包含应对诸如风暴控制(限制针对特定通信的 数据传送)和/或环路预防这样的DeltaV通信要求。交换机146可以被配置 成通过下载到特别设计用于过程控制系统100的交换机146固件进行过程控制操作。专用固件应对了过程控制系统100特有的使用情况,并且通常 不能由用户改变。一般而言,所利用的固件被设计用于防止网络环路,防 止网络风暴,并且锁定未使用的交换机端口。
交换机146包括一个或多个通信端口202、控制台访问端口204、和状 态灯206。使用通信端口202将各种其它网络设备和过程控制系统组件互 连,以便通过网络150进行通信,同时状态灯206指示网络设备的当前操 作并且可以用于诊断目的。一般而言,端口202被配置用于接收诸如以太 网连接(例如,利用CAT5ScTP电缆或CAT6电缆)或光纤连接这样的有 线的物理连接。
交换机146还包括电路230,电路230是被特别配置用于执行交换机 146所执行的操作和功能的专用集成电路(ASIC)。在高层,电路230控制 端口202。特别地,电路230启用和禁用端口220,锁定和解锁端口220, 并且处理在端口220处接收的消息。虽然图2B将电路230描绘为单个电路, 但是在一些实现方式中,交换机146可以包括执行参照电路230描述的功 能的多个电路。
另外,交换机146可以包括存储以下内容的存储器208(其可以包括 易失性存储器210和/或非易失性存储器212):(i)一个或多个标准和私人 管理信息库(MIB)214;(ii)切换表216(有时被称为“转发数据库表”或“FDB 表”);(iii)动态地址表218;(iv)静态地址表220;以及(v)地址匹配表 222。在一些情形下,存储器208可以包括内容可寻址存储器(CAM),并 且表214-222中的一个或更多个可以被存储于CAM。
一般而言,MIB 214中的每个是对象或变量的数据库,可操纵该数据 库,以管理与特定MIB 214对应的设备(例如,交换机146)。MIB 214可 以包括能通过命令行接口(CLI)访问的对象的集合,CLI用于管理交换机146并且实现过程控制网络150特有的功能。专有MIB214中的一个或多 个可以包括可以由电路230管理的用于控制本文中描述的锁定和解锁功能 的对象。另外,电路230可以利用专有MIB 214以通过与交换机146通信 的运行时间API为DeltaVTM网络安全特征提供接口。过程控制网络150 可以被配置成包括网络设备的混合物,网络设备各自包括用于控制锁定和 解锁功能的专有MIB(即,“锁定设备”)以及没有锁定或解锁功能的商用 现成的网络设备。
切换表216包括一个或多个物理地址(例如,MAC地址)和用于每个 物理地址的交换机146的对应端口。在操作中,交换机146接收端口202 中的一个处的消息。电路230分析该消息,以识别包括在该消息中的目的 地物理地址,并且参照切换表216,以识别与目的地物理地址对应的端口 202。当切换表216不包括目的地物理地址时,电路230可以执行泛洪例程, 在该例程期间,它致使交换机146经由所有端口202发送消息。假定具有 目的地物理地址的设备(直接或间接)与端口202中的一个连接,设备将 响应于接收到的消息。在交换机146接收到响应之后,电路230将把目的 地物理地址和电路230在其处接收到来自目的地设备的响应的端口202记 录到切换表216。
一般而言,交换机146并不使用动态地址表218进行关于转发或丢弃 消息的决策。确切地,动态地址表218代表与可以随时间推移连续更新的 端口连接的设备的记录。动态地址表218列出当前与交换机146的每个端 口202连接的终端设备的物理地址。例如,交换机146可以通过分析从设 备接收的帧175(图1C中示出)来动态地学习物理地址与特定端口202的 映射,以识别设备的源MAC地址180。交换机146将源MAC地址180作 为映射于特定端口202的物理地址添加到动态地址表218。此外,交换机 146可以通过以下步骤动态地学习物理地址与第二端口的映射:(i)分析帧 175,以识别目的地设备的目的地MAC地址182,(ii)执行相对于切换表 216描述的泛洪例程,以及(iii)识别在其处接收到来自目的地设备的响应 消息的端口202。在一些情形下,可以通过复制来自转发表216的信息来周 期性更新动态地址表218。另外,在一些实现方式中,交换机146只使用表 216和218中的一个进行转发决策和跟踪所连接设备的物理地址二者。
电路230可以通过将新物理地址映射于新设备所连接的端口202并且 老化当前未使用的物理地址(例如,在没有消息被成功发送到特定物理地 址或者没有从特定物理地址发送消息的情况下,跟踪已经经过的消息的次 数或数量)来更新动态地址表218,因为节点与交换机146连接或断开。例 如,在老化时间期满时,电路230可以从动态地址表218中去除物理地址。
与动态地址表218类似,静态地址表220列出与每个端口202关联的 终端设备的物理地址。然而,表220中的物理地址没有被动态学习并且没 有老化。确切地,当交换机146被锁定时,通过复制动态表218来明确地 输入它们。在交换机146的固件中实现的功能可以将切换表216与表218 和220进行比较,以处理进入的消息。当实现认证操作来认证在端口202处接收的消息中包括的源物理地址时,电路230可以利用静态地址表220。 特别地,如果接收到的消息的源物理地址未被识别为映射于静态地址表220 中的接收端口的已知物理地址,则电路230可以丢弃消息。
一般而言,当交换机146处于正常或“未锁定”状态时,可以将物理地 址添加到切换表216。例如,在“未锁定”状态下,当交换机146接收以太网 帧175时,电路130检查目的地MAC地址180,并且参照切换表216来识 别应该将帧175转发到的适当的端口202。如果切换表216不包括关于接收 到的目的地MAC地址180的信息,则交换机146将以太网帧175广播到网络150中的所有端口。在识别到另一网络设备处广播的MAC时,可以 将另一帧发送到广播交换机146,广播交换机146将把发现的MAC地址添 加到动态地址表218和FDB表216。然而,在“锁定”状态(如下面进一步 讨论的)下,切换表216在其当前配置中可以被冻结,以防进一步改变或 添加。可以将先前学习的物理地址和在锁定时动态地址表218中包括的其 它信息移动到静态地址表220,并且可以禁用对交换机146的学习。在锁定 状态下,切换表216不能被改变,从而防止交换机146接收并转发从未知 或未先前学习的MAC地址182接收的帧175。
地址匹配表222列出了存储在表216、218和220中的一个或多个处的 每个已知物理地址的网络地址。交换机146可以通过发送针对网络地址的 ARP请求来确定已知物理地址的网络地址。另外,在一些情形下,数据库 可以将节点的网络地址列表存储在过程控制网络150上,并且交换机146 可以从数据库网络地址中下载已知物理地址。虽然交换机146不利用地址 匹配表222来针对接收到的消息选择转发端口,但是交换机146可以使用 表222来防止地址解析协议(ARP)欺骗。特别地,当交换机146被锁定 时,它可以通过验证源设备具有与地址匹配表222中的已知网络地址匹配 的网络地址来验证已经向交换机146发送消息的源设备的身份。当恶意设 备欺骗已知设备的物理地址时,该验证可能有所帮助。以下,参照图5更 详细地描述了地址匹配表222。
当交换机146具有上行链路端口(即,与第二交换机连接的端口)时, 交换机146可以实现与第二交换机的握手,以确定第二交换机是“受管理” 交换机还是“不受管理”交换机。一般而言,“受管理”交换机能够锁定其端 口,而“不受管理”交换机不能够锁定其端口。在握手期间,交换机146可 以从第二交换机接收将其“可锁定性”或状态认为受管理或不受管理状态的 指示。在一些情形下,交换机146可以向第二交换机发送查询,并且第二 交换机可以以第二交换机受管理的指示进行响应。第二交换机还可以以第 二交换机不受管理的指示进行响应,或者可以简单地不响应。在特定时间 段(例如,1秒、5秒、30秒等)内无法接收到响应可以用作对于交换机 146的第二交换机不受管理的指示。
当交换机146接收到第二交换机受管理的指示时,交换机146可以在 假定第二交换机将操纵锁定第二交换机的端口时绕过锁定第二交换机。据 此,交换机146可以监视利用第二交换机进行通信的设备的源物理地址, 并且可以将所监视的这些源物理地址与已知物理地址的记录进行比较。当 交换机146检测到不是已知物理地址的与第二交换机连接的受监视的源物 理地址时,交换机146可以生成警报(例如,可以被发送到工作站120或122中的一个以便借助用户接口显示的端口违规警报)。
图3A例示了用于锁定和解锁一个或多个交换机146的端口202的示例 方法300。通常,方法300允许过程控制系统100的用户锁定交换机146, 使得交换机146丢弃从“未知”设备接收到的任何消息。例如,如果用户从 交换机146的端口202拔出设备并且将不同设备插入就位,则交换机146 拒绝来自不同设备的任何消息并且警告用户接口,监视服务、和/或在系统 100的工作站120、122上执行的其它应用。在锁定状态下,网络150和/ 或155中的所有端口202都可以被锁定,从而防止具有“未知”物理地址的 任何新设备经由端口202进行通信。虽然下面的方法通常参照图4A至图 4D中示出的用户接口400,但是应该理解,可以利用用于执行所描述功能 的任何合适的用户接口。
在框302中,用户可以开始显示用户接口400(图4A至图4D中示出) 以开始锁定过程的过程控制网络安全应用。工作站120或122中的一个可 以提供用户接口400,用户接口400可以利用交换机146处的MIB 214来 启动锁定和解锁过程。
在框304中,应用可以启动交换机发现,交换机发现可以是自动的(例 如,在启动时)或者响应于来自用户的输入。用户接口400可以显示“发现 交换机”的状态指示402或正在识别过程控制网络150的一个或多个交换机 146的另一个指示。在一些实施例中,应用可以在启动网络设备发现时禁用 用户接口400的一个或多个功能按钮。用户还可以手动启动网络设备发现。 在一些情形下,应用可以发现过程控制网络150内存在的任何交换机(受管理或不受管理的)。在其它情形下,应用可以仅识别包括锁定功能的诸如 交换机146这样的那些网络设备。
应用可以通过使用一个或多个参数搜索网络150来发现交换机146。 在一些情形下,另外地或另选地,应用可以搜索网络155。可以初始使用交 换机146的物理地址来发现交换机146。可以在调试过程期间配置交换机 146,以具有网络地址。在该调试过程之后,启用利用MIB 214与交换机 146通信(例如,可以通过定位交换机146的专有MIB 214来识别交换机 146),并且LAN外部的设备可以通过将消息寻址于交换机146的网络地址 来向交换机146发送消息。应用可以通过搜索指定范围的物理地址和/或网 络地址来搜索交换机146。注意的是,虽然交换机146本身可以具有网络地 址,但是当为接收到的消息选择转发端口时,交换机146通常不依赖于其 它设备的网络地址。
在框306中,可以通过用户接口400利用可扩展下拉菜单406(图4A) 显示在框304中发现的一个或多个交换机146(图4B),并且可以针对从可 扩展下拉菜单406(图4C)中选择的交换机146显示用于所发现的交换机 之一的参数。例如,可以在用户接口400的窗口中示出诸如锁定状态、锁 定计时器、和密码使用期限这样的安全参数。窗口还可以显示交换机警报 (例如,COMM、FAILED、MAINT、ADVISE)和组件状态参数(例如, 电源状态、机箱温度等)。还可以列出交换机的端口连同每个端口的多个参 数(例如,指示端口是被启用还是禁用,识别所连接的终端节点的节点名 称,识别端口锁定地址、和/或指示是否存在端口锁定违规)。
一旦发现了所有可发现的交换机146,用户接口400就可以指示搜索 已完成。在一些实施例中,当方法300第一次启动时,可以只将交换机146 与其物理地址一起显示在界面400的停用的交换机列表中。当所发现的交 换机未被锁定时,锁定状态可以指示所发现的交换机146处于“未锁定”状 态。在未锁定状态中,交换机146可以能够执行网络150内的所有正常功 能。在一些实施例中,处于未锁定状态的端口202可以执行学习、老化、 和转发的基本透明桥接功能。默认老化时间可以被设置成六百秒(十分钟), 但是可以根据交换机146和网络150的配置来设置其它默认时间。在搜索 已完成时,一个或多个功能按钮434可以供用户选择或通过自动过程选择。
在框308中,用户或自动过程可以选择图4A中示出的用户接口400 上列出的“未锁定”交换机中的一个或多个。用户可以通过利用工作站的输 入设备(例如,鼠标或触摸屏)选择一个或多个所期望的交换机来进行该 选择,从而可以致使用户接口400显示具有用于锁定交换机的可选择按钮 的下拉菜单。如图4B中所示,用户还可以选择整个网络(例如,通过右击 所期望网络)来锁定(即,其中,所选择网络中的所有交换机146都被锁 定)。在一些情形下,一个或多个交换机146可以包括硬件致动器(例如, 按钮),可以致动该硬件致动器来启动锁定。另外,自动过程可以基于诸如 检测到与某种容量的网络150连接的恶意设备这样的触发来选择用于锁定 的交换机。
在框310中,工作站响应于检测到用户选择了诸如图4B中示出的锁定 按钮436这样的锁定按钮而启动锁定过程(诸如,图3B中示出的方法325)。 用户接口400所提供的锁定按钮可以启动过程,以选择性地开始过程控制 网络150的不同部分的锁定。例如,单独的按钮可以提供在选择性锁定整 个网络、主网络、辅助网络、个体交换机146、或一个或更多个所选择的交 换机146处的特定端口202的能力。为了额外的安全性,在一些情形下, 可以只从所选择的工作站120、122启动锁定过程,并且可以不使用例如远 程工作站(并非过程控制网络150的物理部分)通过互联网启动锁定过程, 或者可以只根据一个或多个预批准的MAC地址或IP地址启动锁定过程。 在通过选择锁定按钮启动锁定过程时,可以启动认证过程。例如,工作站 可以向用户请求用户名和密码或其它个人标识,以确认对锁定过程的访问 权限。应用400可以利用通过MIB 214进行的管理访问来锁定和解锁交换 机146。通信可以被加密,并且所利用的任何密钥或密码可以是用户不知道 的但是对于交换机146和应用400是已知的。
在选择锁定按钮之后进行认证时,工作站可以向所选择的交换机146 发送锁定命令(例如,通过设置所选择的交换机146的专有MIB 214的一 个或多个变量)。响应于接收到锁定命令,交换机146可以锁定其所有端口 202。一般而言,锁定端口202包括拒绝接受具有源MAC地址182的任何 消息或帧175,源MAC地址182在启用锁定状态时未包括在交换机146的 切换表216内。在一些实施例中,不允许的物理地址可以被记录在交换机 146的存储器208(例如,已知的恶意MAC地址、属于未经授权设备的一 系列MAC地址等)中,并且交换机146丢弃任何接收到的包括不允许的 物理地址中的一个的消息。
在框311中,在针对一个或多个交换机146执行锁定过程325之后, 例如,在故障排除操作、例行维护、诊断、网络重新配置等期间,会需要 解锁交换机146中的一个或多个。
在框312中,用户或自动过程可以选择处于“锁定”状态的交换机146 中的一个或多个,并且在框314中,用户所使用的工作站可以响应于用户 选择了解锁按钮(诸如,图4D中示出的解锁按钮)而启动解锁过程(诸如, 图3C中示出的方法350)。如同锁定按钮一样,解锁按钮可以针对先前通 过利用一个或多个专有MIB 214锁定的过程控制网络150的不同部分启动 解锁过程。为了额外的安全性,解锁过程可以配置有锁定定时器,锁定定 时器自动地重新锁定先前锁定的端口220中的一个或多个。锁定定时器可 以配置有默认设置,其中,在完成解锁过程之后的一段时间期满时(框316), 可以重新锁定被解锁交换机146中的一个或多个(框310)。在一个实施例 中,锁定定时器配置有60分钟的默认设置(即,三百六十秒)。可以从所 选择的工作站120、122启动解锁过程,并且可以不使用例如远程工作站(并 非过程控制网络150的物理部分)通过互联网启动解锁过程,或者可以只 根据一个或更多个预批准的MAC地址启动解锁过程。
解锁过程还可以包括认证过程。例如,工作站120或122和/或用户接 口400可以向用户请求用户名和密码或其它个人标识,以确认对锁定过程 的访问权限。如果用户获得正确认证,则用户可以访问一个或多个所选择 的锁定交换机146和/或端口202的专用MIB214,以启动解锁。
图3B例示了用于锁定交换机146的端口202的示例方法325。下述的 框可以由交换机146和/或工作站120或122来实现。
在框326中,交换机146产生诸如静态地址表220这样的静态表。一 般而言,静态表是在启动锁定时与交换机146的每个端口连接的已知物理 地址的记录。端口状态和/或物理地址映射可以被要么自动地或要么明确地 由用户存储(例如,存储到非易失性存储器212)。如有需要,交换机146 可以在电力循环或重新启动时使用已知物理地址的记录,以防止强制打开 锁定端口。
在一些实施例中,通过从动态地址表218复制映射于每个端口202的 物理地址列的表来产生静态表。在一些情形下,可以从动态地址表218中 完全去除已知物理地址和其它数据,并且将其移动到静态地址表220。在一 些实施例中,如果动态地址表218内的学习地址的当前数量大于最大数量, 则可以只锁定地址的子集。然后,其余的地址可以被从切换表216中去除, 并且会导致连接错误。如果发生连接问题,则可以向用户接口发送错误消息,以指示锁定过程中的失败。
在框328中,交换机146可以分析在端口中的每个处接收的每个消息, 以识别每个消息中包括的源物理地址(例如,图1C中示出的源MAC地址 182)。然后,交换机146可以确定源物理地址是否被包括在静态表中(框 330)。如若不然,则源物理地址是未知地址,并且丢弃消息(框332)。
如果消息中的源地址被包括在静态表中,则交换机146分析与消息中 包括的目的地地址对应的端口处的流量(框334)。如果转发端口处的流量 低于存储于存储器的流量阈值(例如,在交换机配置期间由用户或通过程 序输入的),则转发消息(框306)。如若不然,则保持消息,直到流量低于 阈值,此时消息被转发。在一些实现方式中,可以在预定时间之后丢弃消 息,或者可以立即丢弃消息。在一些实施例中,另选地或另外地,交换机 146分析接收端口处的流量,并且只在流量低于预定流量阈值时分析消息的 源地址(框328)。
注意的是,在一些情形下,交换机146可以在锁定期间禁用交换机146 的典型功能。在一个实施例中,交换机146禁用交换机146或特定端口202 的地址学习和地址老化功能。例如,动态地址表218可以被禁用并且不再 接受任何条目,交换机146可以不再对网络150进行泛洪以发现新地址, 并且在老化时间期满之后,可以不从动态地址表218中去除先前接收到的 地址。
在启动锁定之后,用户接口400可以将一个或多个交换机146的锁定 状态从“解锁”改变成或者从“完成”的状态指示改变成所选择设备已被锁定 或正锁定的指示。参考图4C,在锁定过程完成时,用户接口400可以将任 何已锁定交换机的“锁定状态”显示为“已锁定”。
图3C例示了用于锁定交换机146的示例方法350。用户的工作站可以 向交换机146发送解锁命令(例如,通过改变交换机146的专有MIB 214 之一的对象或变量的值)。
在框354中,可以删除将物理地址映射于特定端口的静态表220中的 地址数据。在一些实施例中,由用户或其它明确过程添加的静态地址数据 可以在解锁期间被保持在静态地址表220中。
在框356中,交换机146可以启用端口220的解锁状态。特别地,交 换机146将停止丢弃具有与静态表218不匹配的源地址的消息。
在框358中,交换机146可以重新开始正常端口或设备功能。例如, 在解锁状态下,可以重新开始在锁定期间挂起的典型学习和老化功能,并 且可以重新填充切换表216和动态表218。
在框360中,交换机146可以存储新的交换机或端口配置。例如,端 口状态和/或物理地址可以要么自动地要么明确地由用户存储,以在电力循 环或重新启动时由交换机146来实现。
在一些实施例中,在框314中启动解锁过程之后,用户接口400可以 将一个或多个交换机的锁定状态从“锁定”改变成所选择的交换机处于“锁 定挂起”状态的指示。另外,如果使用解锁过程将锁定定时器初始化,则时 间剩余状态可以指示在设备反转成锁定状态之前剩余的时间量。时间剩余 状态也可以被配置为决不恢复到锁定状态。例如,可以访问专有MIB 214 的对象,以将定时器配置为“决不恢复”状态或任何其它时间量。
在一些实施例中,交换机146可以在加电时恢复到所保存的配置。例 如,实体可以通过循环一个或多个交换机146的电力以强制打开锁定端口 来尝试将未授权设备与过程控制网络150连接。在通电时,交换机146可 以被配置成访问其非易失性存储器212(图2)处的所保存的配置。因此, 无论电力循环交换机是否反转到锁定或未锁定状态,在电力循环之前与网 络150连接的所有设备可以与系统自动重新创建通信,而同时将拒绝在断 电时添加到端口的任何新设备。如果设备在“未锁定”状态下通电并且锁定 定时器大于零,则设备可以在该时间期满之后自动进入锁定状态。
图5例示了根据一些实施例的地址匹配表222的示例。如图5中例示 的地址匹配表222可以是能够存储在交换机146(例如,使用内容可寻址存 储器)和/或过程控制系统内的另一个设备上的数据的表示。另选地或另外 地,设备(诸如,交换机146、工作站120或122或另一个设备)可以致使 包括在地址匹配表146中的信息的至少一部分呈现在用户接口(例如,用 户接口400)上,以供用户访问和查看。应当理解,地址匹配表222仅仅是 示例,因此包括示例性信息,并且可以包括替代和/或附加的信息。
地址匹配表222可以包括一组栏,这些栏各自填充有相应的数据和信 息。特别地,地址匹配表222可以包括端口栏505、IP地址栏510、MAC 地址栏515、锁定状态栏520、和安全状态栏525。端口栏505可以标识交 换机146的一组通信端口202(如所示出的:通信端口1至6)。该组通信 端口202中的每个通信端口可以具有设备和与其连接的另一个交换机。如 果通信端口与另一个交换机146连接,则通信端口可以被视为上行链路端 口。虽然图5描绘了与每个端口连接的单个设备(或没有设备),但是应注 意,单个端口可以被映射于多个设备,这些设备各自将包括物理地址(栏 510)、网络地址(栏515)、锁定状态(栏520)、和安全状态(栏525)。
IP地址栏510可以标识分别与该组通信端口222连接的一组设备的一 组网络地址(例如,IP地址),并且MAC地址栏515可以标识分别与该组 通信端口对应的这组设备的一组物理地址(例如,MAC地址)。例如,具 有IP地址10.10.10.2和MAC地址00:0C:F5:09:56:E9的设备与通信 端口“1”连接。如图5中例示的,通信端口“3”和通信端口“6”都没有与其连 接的设备,因此对应的IP地址和MAC地址为空。
锁定状态栏520可以标识该组通信端口222中的每个的锁定状态(例 如,“锁定”或“未锁定”)。如图5中例示的,有设备与其连接的通信端口222 中的每个(通信端口“1”、“2”、“4”和“5”)被“锁定”,而没有设备与其连接 的通信端口中的每个(通信端口“3”和“6”)被“解锁”。然而,应该注意,在 典型示例中,除了当交换机端口要么被识别为上行链路端口要么由用户借 助CLI配置手动配置成被忽略(一直未锁定)时,交换机146的所有端口 在交换机146被锁定时被锁定。在本文中讨论的实施例中,交换机146(具 体地,交换机146的一组ASIC)可以与启动被占用通信端口的锁定关联地 获得设备的IP地址和MAC地址。
安装状态栏525可以标识该组通信端口的每个的安全状态。根据实施 例,交换机146可以自动且连续地监视经由该组通信端口在已经与其连接 的设备和/或可在交换机锁定之后与交换机连接的任何其它设备之间进行 接收和发送的信息(例如,作为数据分组)。
交换机146可以检验接收到的任何数据分组,以确定数据分组中包括 的信息中是否存在任何差异。特别地,交换机146可以将包括在数据分组 中的信息与包括在地址匹配表222中的信息进行比较,以识别差异。如果 交换机146没有识别特定通信端口的数据分组流量的差异,则特定通信端 口的安全状态可以是“正常(NORMAL)”。相反,如果交换机146识别到 数据分组流量的差异,则特定通信端口222的安全状态会从“正常”变成“警 报(ALERT)”。
如图5中所示,通信端口“2”和“6”的安全状态是“警报”,而其余通信端 口的安全状态是“正常”。在示例实施例中,因尝试ARP欺骗攻击,通信端 口“2”的安全状态可能是“警报”。在该实施例中,最初与通信端口“2”连接的 设备可以被攻击设备取代(或者原始连接的设备可能被损害),攻击设备可 以将数据分组发送到交换机146。交换机146可以检查数据分组,并且确定 数据分组中包括的IP地址和MAC地址中的一者或二者与地址匹配表222中的对应IP地址和/或MAC地址不匹配。因此,交换机146可以将对应通 信端口的安全状态更新成“警报”。
类似地,在示例实施例中,因尝试ARP欺骗攻击,通信端口“6”的安 全状态也会是“警报”。在该实施例中,通信端口“6”可以未被锁定,因为在 锁定时,没有设备与其连接。在锁定之后,设备(可以是或可以不是攻击 设备)可以与未锁定的通信端口“6”连接,并且设备可以向交换机发送数据 分组。交换机146可以检查数据分组,并且确定因为通信端口“6”未被锁定, 因此设备不应经由通信端口“6”进行通信。因此,交换机可以将通信端口的 安全状态更新成“警报”。
交换机146可以促进检测到的任何警报的传送和/或显示。在实施例中, 交换机146可以与可以配备有用户接口的过程控制系统的另一个设备连接。 交换机146可以向设备发送检测到的一个或多个警报的指示,其中,设备 可以被配置成经由用户接口显示或呈现检测到的一个或多个警报。因此, 与过程控制工厂关联的用户(例如,个人或管理员)可以访问和查看信息 并且促进适当的纠正或诊断动作。
图6描绘了实现地址匹配表222来改进过程工厂内的诸如过程控制系 统100这样的过程控制系统的安全的示例方法600的框图。可以由交换机 146促进方法600。
方法600可以先开始交换机146启动(框605)交换机146的一组通 信端口的锁定。在实施例中,交换机146可以启动一组通信端口146的一 部分或全部的锁定。
与启动该组通信端口的锁定关联地,交换机146可以获得(框610) 与该组通信端口的至少一部分连接的一组设备的一组网络地址(例如,一 组IP地址)。应当理解,交换机可以在启动(和/或完成)锁定之前、与此 同时或在此之后获得该组网络地址。在实现方式中,并入交换机中的一组 ASIC可以使用与该组设备和该组通信端口的至少一部分的连接关联的数 据来获得该组网络地址。另外地或另选地,该组设备可以包括一个或多个 附加设备(或附加交换机)可以连接的过程工厂内的一个或多个设备和/或 一个或多个交换机。在特定实现方式中,交换机146可以获得(i)与第一 通信端口连接的第一设备的第一网络地址(即,设备连接);以及(ii)经 由附加交换机与第二通信端口连接的多个设备的多个网络地址(即,交换 机连接)。可以从过程控制网络上的另一个设备获得网络地址。
交换机146可以与启动锁定关联地,可选地获得(框615)与该组通 信端口的至少一部分连接的一组设备的一组物理地址(例如,一组MAC 地址)。应当理解,交换机可以在启动(和/或完成)锁定之前、与此同时 或在此之后获得该组物理地址。例如,交换机可以在启动锁定之前获得并 记录该组物理地址。在实现方式中,并入交换机146中的一组ASIC(例如, 电路230)可以使用与该组设备和该组通信端口的至少一部分的连接关联的 数据来获得该组物理地址。
交换机146可以生成(框620)用于交换机146的地址匹配表222,其 中,地址匹配表222可以将该组设备的该组物理地址与该组设备的该组网 络地址进行匹配。地址匹配表222还可以将该组物理地址和该组网络地址 与该组通信端口的至少一部分匹配。也就是说,对于与交换机146的特定 端口(直接或间接)连接的每个设备,地址映射表222可以列出特定端口 的网络地址和物理地址的地址对。因此,与多个设备连接的端口将具有多 个关联的地址对(即,每个连接设备一个地址对)。交换机146可以在本地 存储(例如,使用内容可寻址存储器)地址匹配表,以供访问和查看。
交换机146可以经由该组通信端口中的一个接收(框625)来自设备 的数据分组,其中,数据分组可以指示至少(i)该设备的网络地址以及(ii) 设备的物理地址。在实施例中,在交换机146启动锁定之前或之后,设备 可以与该组通信端口中的一个连接。另外地或另选地,设备可以取代先前 与该组通信端口中的一个连接的另一个设备(即,倘若更换电缆)。另外地 或另选地,设备可以与未锁定通信端口或该组通信端口的一部分中的通信 端口(即,锁定的通信端口)连接。
根据实施例,数据分组可以代表设备的ARP欺骗攻击,交换机146可 以被配置成通过确定(框630)设备的网络地址和设备的物理地址是否被包 括在地址匹配表222中,来确定这样的数据分组。特别地,作为一对的设 备的网络地址和物理地址可以与用于设备连接的通信端口的地址匹配表中 包括的映射的网络地址和映射的物理地址不匹配。例如,如果设备与通信 端口“3”连接并且设备的网络地址和物理地址中的任一者或二者与通信端 口“3”的对应映射地址不匹配,则存在不匹配。
如果交换机146确定地址匹配(“是”),则过程会结束、重复或进行到 其它功能。相反,如果交换机146确定地址不匹配(“否”),则可能存在 ARP欺骗尝试,并且交换机146会生成(框35)警报。在实施例中,警报 可以指示设备所连接的该组通信端口中的一个和/或包括设备的网络地址 和/或物理地址的其它信息。另外,交换机146可以致使(框40)警报呈现在用户接口上,其中,用户接口可以被包括在过程工厂内的另一个设备或 组件上。因此,用户(例如,工厂技术人员或管理员)可以查看警报的内 容并且启动适当的动作。
交换机146还可以确定(框645)是允许还是拒绝传输数据分组。在 实施例中,该确定可以是默认选择(例如,总是允许或总是拒绝),或者交 换机146可以基于诸如数据分组本身的内容、设备的物理地址、设备的网 络地址和/或其它因素这样的一个或多个因素来动态确定是允许还是拒绝 传输。
如果交换机确定允许传输(“允许(ALLOW)”),则交换机可以允许 (框50)传输数据分组。相反,如果交换机146确定拒绝传输(“拒绝 (DENY)”),则交换机可以拒绝传输数据分组(即,可以丢弃数据分组)。
图7描绘了检测与交换机146关联的安全问题的示例方法700的框图。 可以由交换机146促进方法700。
方法700可以先开始交换机146可选地启动(框705)交换机146的 一组通信端口的锁定,如本文中描述的。在实施例中,交换机146可以启 动该组通信端口的一部分或全部的锁定,使得在一些情形下,如有需要, 通信端口中的一个或多个可以保持未锁定。
与启动该组通信端口的锁定关联地,交换机146可以获得与该组通信 端口的至少一部分连接的一组设备的一组网络地址(例如,一组IP地址)。 应当理解,交换机146可以在启动(和/或完成)锁定之前、与此同时或在 此之后获得该组网络地址。在实现方式中,并入交换机146中的一组ASIC 可以使用与该组设备和该组通信端口的至少一部分的连接关联的数据来获 得该组网络地址。另外地或另选地,该组设备可以包括一个或多个附加设 备(或附加交换机)可以连接的过程工厂内的一个或多个设备和/或一个或 多个交换机。在特定实现方式中,交换机146可以获得(i)与第一通信端 口连接的第一设备的第一网络地址(即,设备连接);以及(ii)经由附加 交换机与第二通信端口连接的多个设备的多个网络地址(即,交换机连接)。
交换机146可以与启动锁定关联地,可选地获得与该组通信端口的至 少一部分连接的一组设备的一组物理地址(例如,一组MAC地址)。应当 理解,交换机可以在启动(和/或完成)锁定之前、与此同时或在此之后获 得该组物理地址。例如,交换机146可以在启动锁定之前获得并记录该组 物理地址。在实现方式中,并入交换机146中的一组ASIC可以使用与该 组设备和该组通信端口的至少一部分的连接关联的数据来获得该组物理地 址。
交换机146还可以生成并访问(框710)地址匹配表222,其中,地址 匹配表222可以将该组设备的该组物理地址与该组设备的该组网络地址进 行匹配。地址匹配表222还可以将该组物理地址和该组网络地址与该组通 信端口的至少一部分匹配。因此,有设备与其连接的每个通信端口可以具 有关联的设备的物理地址和设备的网络地址。在实现方式中,并入交换机 146中的该组ASIC可以生成地址匹配表222。交换机146可以在本地存储 (例如,使用内容可寻址存储器)地址匹配表,以供访问和查看。
交换机146可以广播(框615)映射请求,映射请求指定与地址匹配 表中包括的该组网络地址中的一个匹配的目的地网络地址。在实施例中, 映射请求可以采用包括来自地址映射表的IP地址的ARP请求的形式,其 中,ARP请求旨在找到与IP地址对应的MAC地址,并且其中,ARP请求 可以被发送到每个与交换机连接的设备。
交换机146可以经由该组通信端口中的一个接收(框720)来自回复 设备的对映射请求的回复,其中,回复可以指示(i)目的地网络地址和(ii) 回复设备的物理地址。根据实施例,来自回复设备的回复可以代表回复设 备的尝试的ARP欺骗攻击,交换机146可以被配置以进行确定。
因此,交换机146可以确定(框725)回复设备的物理地址是否与地 址匹配表中包括的该组设备的该组物理地址中的任一个匹配。特别地,回 复设备的物理地址可以与用于回复设备所连接的通信端口的地址匹配表 222中包括的映射的物理地址不匹配。例如,如果回复设备与通信端口“3” 连接并且回复设备的物理地址与通信端口“3”的对应映射的物理地址不匹 配,则存在不匹配。在实现方式中,并入网络中的该组ASIC可以进行确 定。
如果交换机146确定物理地址匹配(“是”)(即,没有尝试的ARP欺 骗攻击),则过程会结束、重复或进行到其它功能。相反,如果交换机146 确定物理地址不匹配(“否”),则可能存在ARP欺骗尝试,并且交换机会 生成(框730)警报。在实施例中,警报可以指示回复设备所连接的该组通 信端口中的一个和/或包括回复设备的网络地址和/或物理地址的其它信息。 另外,交换机146可以致使(框735)警报呈现在用户接口上,其中,用户 接口可以被包括在过程工厂内的另一个设备或组件上。因此,用户(例如, 工厂技术人员或管理员)可以查看警报的内容并且启动适当的动作。
本文中描述的锁定例程和地址映射例程可以用软件、硬件、固件或其 某种组合来实现。因此,本文中描述的方法300、325、350、500、600和 700可以在标准多用途CPU中和/或在诸如ASIC这样的专门设计的硬件或 固件上实现。当用软件实现时,软件可以被存储在任何计算机可读存储器 中,诸如存储在磁盘、激光盘、光盘或其它存储介质上,存储在计算机或 处理器的RAM或ROM中,等等。同样地,可以借助包括(例如)计算机 可读盘或其它可传送计算机存储介质上的任何已知或所期望的传送方法将 该软件传递到用户或过程控制系统,或者该软件通过诸如电话线、互联网 等(被视为与经由可传送存储介质提供软件相同或者能与其互换)这样的 通信信道进行调制。
一般而言,如本文中使用的,短语“存储器”或“存储设备”是指包括计 算机可读介质(“CRM”)的系统或设备。“CRM”指的是相关计算系统可访 问的一个介质或多个介质,所述介质用于放置、保存和/或检索信息(例如, 数据、计算机可读指令、程序模块、应用、例程等)。注意的是,“CRM” 指的是实质上非暂态的介质,而不是指诸如无线电波这样的无形的暂态信 号。
如参照图1A注意的,网络150是被连接以使得能够在节点之间进行通 信的节点(例如,能够发送、接收和/或转发信息的设备或系统)和通信链 路的集合。一般而言,术语“节点”指的是连接点、再分配点、或通信端点。 节点可以是能够发送、接收和/或转发信息的任何设备或系统(例如,计算 机系统)。例如,发起和/或最终接收消息的终端设备或终端系统是节点。(例 如,在两个终端设备之间)接收并转发消息的中间设备通常也被认为是“节 点”。“通信链路”或“链路”是连接两个或更多节点的路径或介质。链路可以 是物理链路和/或逻辑链路。物理链路是通过其传送信息的接口和/或介质, 并且本质上可以是有线或无线的。物理链路的示例可以包括具有用于传输 电能的导体的电缆、用于传输光的光纤连接和/或借助对电磁波的一种或更 多种属性进行的改变来携载信息的无线电磁信号。
Claims (29)
1.一种改进过程工厂内的过程控制系统的安全性的方法,所述过程控制系统包括经由所述过程控制交换机的通信端口与设备连接的过程控制交换机,所述方法包括:
启动过程控制交换机的一组通信端口的锁定;
与启动所述一组通信端口的锁定关联地进行以下步骤:
由所述过程控制交换机获得与所述一组通信端口的至少部分连接的一组设备的一组网络地址,以及
生成用于所述过程控制交换机的地址匹配表,其中,所述地址匹配表将所述一组设备的一组物理地址与所述一组设备的所述一组网络地址进行匹配;以及
在锁定所述一组通信端口之后进行以下步骤:
经由所述一组通信端口中的一个通信端口从设备接收数据分组,所述数据分组指示(i)所述设备的网络地址以及(ii)所述设备的物理地址,
确定所述设备的所述网络地址和所述设备的所述物理地址未包括在所述地址匹配表中,并且
响应于所述确定,生成警报。
2.根据权利要求1所述的方法,还包括:与启动所述一组通信端口的锁定关联地进行以下步骤:
由所述过程控制交换机获得与所述一组通信端口的至少所述部分连接的所述一组设备的所述一组物理地址。
3.根据权利要求1所述的方法,其中,从所述设备接收所述数据分组包括:
经由与所述一组通信端口的至少所述部分分开的所述一组通信端口中的所述一个通信端口,从所述设备接收所述数据分组。
4.根据权利要求1所述的方法,其中,从所述设备接收所述数据分组包括:
经由包括在所述一组通信端口的至少所述部分中的所述一组通信端口中的所述一个通信端口,从所述设备接收所述数据分组。
5.根据权利要求1所述的方法,其中,确定所述设备的所述网络地址和所述设备的所述物理地址未包括在所述地址匹配表中包括:
确定所述设备的所述物理地址与先前连接到所述一组通信端口中的所述一个通信端口的所述一组设备中的一个设备的物理地址不匹配。
6.根据权利要求1所述的方法,其中,生成所述警报包括:
生成指示所述一组通信端口中的所述一个通信端口的警报;以及
致使所述警报呈现在与所述过程控制系统关联的计算设备的用户接口上。
7.根据权利要求1所述的方法,其中,获得所述一组设备的所述一组网络地址包括:
由所述过程控制交换机获得(i)与第一通信端口连接的第一设备的第一网络地址,以及(ii)经由附加过程控制交换机与第二通信端口连接的多个设备的多个网络地址。
8.根据权利要求1所述的方法,还包括响应于所述确定进行以下步骤:
允许传输所述数据分组。
9.根据权利要求1所述的方法,还包括响应于所述确定进行以下步骤:
拒绝传输所述数据分组。
10.根据权利要求1所述的方法,其中,获得与所述一组通信端口的至少所述部分连接的所述一组设备的所述一组网络地址包括:
使用并入在所述过程控制交换机中的一组专用集成电路(ASIC)来获得所述一组网络地址。
11.根据权利要求1所述的方法,其中,所述过程控制交换机在开放系统互连(OSI)模型的第二层和第三层上操作。
12.一种用于在过程工厂内的过程控制系统中使用的过程控制交换机,包括:
一组通信端口,所述过程控制系统的设备被配置为与所述一组通信端口连接;
内容可寻址存储器;以及
一组专用集成电路(ASIC),所述一组专用集成电路(ASIC)通信地耦合到所述一组通信端口和所述内容可寻址存储器,并且被配置为:
(a)启动所述一组通信端口的至少部分的锁定,
(b)与启动所述一组通信端口的至少所述部分的锁定关联地进行以下步骤:
(1)获得与所述一组通信端口的至少部分连接的一组设备的一组网络地址,以及
(2)生成地址匹配表,所述地址匹配表将所述一组设备的一组物理地址与所述一组设备的所述一组网络地址进行匹配,以及
(c)在锁定所述一组通信端口之后进行以下操作:
(1)经由所述一组通信端口中的一个通信端口从设备接收数据分组,所述数据分组指示(i)所述设备的网络地址以及(ii)所述设备的物理地址,
(2)确定所述设备的所述网络地址和所述设备的所述物理地址未包括在所述地址匹配表中。
(3)响应于所述确定,生成警报。
13.根据权利要求12所述的过程控制交换机,其中,所述一组ASIC还被配置为与启动所述一组通信端口的锁定关联地进行以下操作:
获得与所述一组通信端口的至少所述部分连接的所述一组设备的所述一组物理地址。
14.根据权利要求12所述的过程控制交换机,其中,为了确定所述设备的所述网络地址和所述设备的所述物理地址未包括在所述地址匹配表中,所述一组ASIC被配置为:
确定所述设备的所述物理地址与先前连接到所述一组通信端口中的所述一个通信端口的所述一组设备中的一个设备的物理地址不匹配。
15.根据权利要求12所述的过程控制交换机,其中,所述过程控制交换机在开放系统互连(OSI)模型的第二层和第三层上操作。
16.一种检测与过程控制交换机关联的安全性问题的方法,所述过程控制交换机与过程工厂内的过程控制系统相关联,所述过程控制交换机经由所述过程控制交换机的一组通信端口与一组设备连接,所述方法包括:
访问与所述过程控制交换机关联的地址匹配表,其中,所述匹配表将一组设备的一组物理地址与所述一组设备的一组网络地址进行匹配;
广播指定目的地网络地址的映射请求,所述目的地网络地址与包括在所述地址匹配表中的所述一组网络地址中的一个网络地址匹配;
经由所述一组通信端口中的一个通信端口从回复设备接收对所述映射请求的回复,所述回复指示(i)所述目的地网络地址和(ii)所述回复设备的物理地址;
确定所述回复设备的所述物理地址与包括在所述地址匹配表中的所述一组设备的所述一组物理地址不匹配;以及
响应于所述确定,生成警报。
17.根据权利要求16所述的方法,还包括:
使用并入在所述过程控制交换机中的一组专用集成电路(ASIC)来生成所述地址匹配表。
18.根据权利要求16所述的方法,还包括:
启动所述过程控制交换机的所述一组通信端口的锁定。
19.根据权利要求18所述的方法,还包括:
与启动所述一组通信端口的锁定关联地进行以下步骤:
由所述过程控制交换机获得与所述一组通信端口连接的所述一组设备的所述一组网络地址,以及
生成所述地址匹配表。
20.根据权利要求16所述的方法,其中,确定所述回复设备的所述物理地址与包括在所述地址匹配表中的所述一组设备的所述一组物理地址不匹配包括:
由并入在所述过程控制交换机中的一组专用集成电路(ASIC)确定所述回复设备的所述物理地址与所述一组设备的所述一组物理地址不匹配。
21.根据权利要求16所述的方法,其中,所述地址匹配表还将所述一组物理地址和所述一组网络地址与所述过程控制交换机的所述一组通信端口的至少部分匹配。
22.根据权利要求21所述的方法,其中,确定所述回复设备的所述物理地址与包括在所述地址匹配表中的所述一组设备的所述一组物理地址不匹配包括:
确定所述回复设备的所述物理地址与所述一组物理地址中的对应于所述一组通信端口中的所述一个通信端口的物理地址不匹配。
23.根据权利要求16所述的方法,其中,生成所述警报包括:
生成指示所述一组通信端口中的所述一个通信端口的警报;以及
致使所述警报呈现在与所述过程控制系统关联的计算设备的用户接口上。
24.一种用于检测与过程工厂内的过程控制系统关联的安全性问题的系统,包括:
用户接口,所述用户接口被配置为呈现内容;以及
过程控制交换机,所述过程控制交换机经由一组通信端口连接至与所述过程控制系统关联的一组设备,并且被配置为:
访问与所述过程控制交换机关联的地址匹配表,其中,所述匹配表将一组设备的一组物理地址与所述一组设备的一组网络地址进行匹配,
广播指定目的地网络地址的映射请求,所述目的地网络地址与包括在所述地址匹配表中的所述一组网络地址中的一个网络地址匹配,
经由所述一组通信端口中的一个通信端口从回复设备接收对所述映射请求的回复,所述回复指示(i)所述目的地网络地址和(ii)所述回复设备的物理地址,
确定所述回复设备的所述物理地址与包括在所述地址匹配表中的所述一组设备的所述一组物理地址不匹配,以及
响应于所述确定进行以下步骤:
生成警报,以及
致使所述警报呈现在所述用户接口上。
25.根据权利要求24所述的系统,其中,所述过程控制交换机包括一组专用集成电路(ASIC),并且其中,所述过程控制交换机还被配置为:
使用所述一组ASIC生成所述地址匹配表。
26.根据权利要求24所述的系统,其中,所述过程控制交换机还被配置为:
启动所述过程控制交换机的所述一组通信端口的锁定。
27.根据权利要求26所述的系统,其中,所述过程控制交换机还被配置为与启动所述一组通信端口的锁定关联地进行以下操作:
获得与所述一组通信端口连接的所述一组设备的所述一组网络地址,并且
生成所述地址匹配表。
28.根据权利要求24所述的系统,其中,所述地址匹配表还将所述一组物理地址和所述一组网络地址与所述过程控制交换机的所述一组通信端口的至少部分匹配。
29.根据权利要求28所述的系统,其中,为了确定所述回复设备的所述物理地址与包括在所述地址匹配表中的所述一组设备的所述一组物理地址不匹配,所述过程控制交换机被配置为:
确定所述回复设备的所述物理地址与所述一组物理地址中的对应于所述一组通信端口中的所述一个通信端口的物理地址不匹配。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762565920P | 2017-09-29 | 2017-09-29 | |
| US201762565924P | 2017-09-29 | 2017-09-29 | |
| US62/565,920 | 2017-09-29 | ||
| US62/565,924 | 2017-09-29 | ||
| US15/949,888 US10938819B2 (en) | 2017-09-29 | 2018-04-10 | Poisoning protection for process control switches |
| US15/949,888 | 2018-04-10 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109587109A true CN109587109A (zh) | 2019-04-05 |
Family
ID=65897939
Family Applications (4)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210369207.0A Active CN114629861B (zh) | 2017-09-29 | 2018-09-29 | 增强的智能过程控制交换机端口锁定 |
| CN202211573289.7A Pending CN116015757A (zh) | 2017-09-29 | 2018-09-29 | 增强的智能过程控制交换机端口锁定 |
| CN201811149334.XA Pending CN109587109A (zh) | 2017-09-29 | 2018-09-29 | 过程控制交换机的中毒保护 |
| CN201811148322.5A Active CN109617813B (zh) | 2017-09-29 | 2018-09-29 | 增强的智能过程控制交换机端口锁定 |
Family Applications Before (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210369207.0A Active CN114629861B (zh) | 2017-09-29 | 2018-09-29 | 增强的智能过程控制交换机端口锁定 |
| CN202211573289.7A Pending CN116015757A (zh) | 2017-09-29 | 2018-09-29 | 增强的智能过程控制交换机端口锁定 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811148322.5A Active CN109617813B (zh) | 2017-09-29 | 2018-09-29 | 增强的智能过程控制交换机端口锁定 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US11038887B2 (zh) |
| JP (3) | JP2019092149A (zh) |
| CN (4) | CN114629861B (zh) |
| GB (3) | GB2604811B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111355746A (zh) * | 2020-03-16 | 2020-06-30 | 深信服科技股份有限公司 | 一种通信方法、装置、设备及存储介质 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11038887B2 (en) | 2017-09-29 | 2021-06-15 | Fisher-Rosemount Systems, Inc. | Enhanced smart process control switch port lockdown |
| US10470111B1 (en) * | 2018-04-25 | 2019-11-05 | Hewlett Packard Enterprise Development Lp | Protocol to detect if uplink is connected to 802.1D noncompliant device |
| CN110505176B9 (zh) * | 2018-05-16 | 2023-04-11 | 中兴通讯股份有限公司 | 报文优先级的确定、发送方法及装置、路由系统 |
| JP7138043B2 (ja) * | 2018-12-28 | 2022-09-15 | 日立Astemo株式会社 | 情報処理装置 |
| EP3923146B1 (en) * | 2019-04-01 | 2023-11-22 | E-Jan Networks Co. | Communication system, information providing device, program, and information providing method |
| US10891238B1 (en) * | 2019-06-28 | 2021-01-12 | International Business Machines Corporation | Dynamically joining and splitting dynamic address translation (DAT) tables based on operational context |
| US11290453B2 (en) | 2019-07-12 | 2022-03-29 | Bank Of America Corporation | Split-tiered point-to-point inline authentication architecture |
| CN110995696B (zh) * | 2019-11-29 | 2022-02-11 | 上海观安信息技术股份有限公司 | 一种伪造mac群体的发现方法及装置 |
| CN111224997B (zh) * | 2020-01-17 | 2022-11-01 | 杭州迪普科技股份有限公司 | 一种抑制病毒在局域网中传播的方法及装置 |
| US11558349B2 (en) | 2020-08-10 | 2023-01-17 | Arista Networks, Inc. | MAC mobility for 802.1x addresses for virtual machines |
| US11509627B2 (en) * | 2020-08-10 | 2022-11-22 | Arista Networks, Inc. | MAC mobility for 802.1x addresses for physical machines |
| CN113346980B (zh) * | 2021-08-02 | 2023-08-11 | 浙江国利信安科技有限公司 | 用于消息转发的方法、电子设备和计算机存储介质 |
| CN114244702B (zh) * | 2022-02-23 | 2022-05-31 | 苏州浪潮智能科技有限公司 | 交换机配置管理方法、装置、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030061345A1 (en) * | 2001-09-27 | 2003-03-27 | Atsushi Kawasaki | Network monitoring device and method |
| CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
| US20070127385A1 (en) * | 2005-12-02 | 2007-06-07 | Takeshi Yasuie | Network fault detection apparatus |
| US20100077471A1 (en) * | 2008-09-25 | 2010-03-25 | Fisher-Rosemount Systems, Inc. | One Button Security Lockdown of a Process Control Network |
| CN103856579A (zh) * | 2014-03-03 | 2014-06-11 | 国家电网公司 | 基于mac地址匹配的智能变电站网络设备拓扑动态识别方法 |
| US20160373441A1 (en) * | 2015-06-16 | 2016-12-22 | Avaya Inc. | Providing secure networks |
| US20170032462A1 (en) * | 2015-07-30 | 2017-02-02 | Fixnetix Limited | Systems and methods for providing real-time pre-trade risk assessment |
Family Cites Families (53)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6999824B2 (en) | 1997-08-21 | 2006-02-14 | Fieldbus Foundation | System and method for implementing safety instrumented systems in a fieldbus architecture |
| US6505255B1 (en) | 1999-04-29 | 2003-01-07 | Mitsubishi Electric Information Technology Center America, Inc. (Ita) | Method for formatting and routing data between an external network and an internal network |
| US7369550B1 (en) * | 1999-04-22 | 2008-05-06 | Advanced Micro Devices | Method and apparatus for locking a table in a network switch |
| US6917626B1 (en) * | 1999-11-30 | 2005-07-12 | Cisco Technology, Inc. | Apparatus and method for automatic cluster network device address assignment |
| GB2358761B (en) | 2000-01-25 | 2002-03-13 | 3Com Corp | Multi-port network communication device with selective mac address filtering |
| US20040162996A1 (en) | 2003-02-18 | 2004-08-19 | Nortel Networks Limited | Distributed security for industrial networks |
| US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| US7761923B2 (en) | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
| JP4148931B2 (ja) | 2004-08-16 | 2008-09-10 | 富士通株式会社 | ネットワークシステム、監視サーバ及び監視サーバプログラム |
| JP2006203300A (ja) * | 2005-01-18 | 2006-08-03 | Toshiba Corp | 転送装置、アクセス可否判定方法およびプログラム |
| KR100528171B1 (ko) * | 2005-04-06 | 2005-11-15 | 스콥정보통신 주식회사 | 네트워크 상에서 특정 아이피 주소 또는 특정 장비를보호/차단하기 위한 아이피 관리 방법 및 장치 |
| GB2425681A (en) * | 2005-04-27 | 2006-11-01 | 3Com Corporaton | Access control by Dynamic Host Configuration Protocol snooping |
| JP2006324723A (ja) * | 2005-05-17 | 2006-11-30 | Fujitsu Ltd | Lanへの不正アクセス防止方式 |
| TW200643706A (en) | 2005-06-06 | 2006-12-16 | Mosdan Internat Co Ltd | Method to use network switch for controlling computer access to network system |
| US7774089B2 (en) | 2005-08-18 | 2010-08-10 | Rockwell Automation Technologies, Inc. | Method and apparatus for disabling ports in a motor control system |
| KR100694296B1 (ko) | 2005-11-08 | 2007-03-14 | 한국전자통신연구원 | 가상 인터페이스 기반의 2 계층 멀티캐스트 스위칭 및 3계층 멀티캐스트 라우팅 동시 제공 시스템 및 그 방법 |
| US7512146B1 (en) | 2006-01-31 | 2009-03-31 | Garrettcom, Inc. | Method and apparatus for layer 2 multicast traffic management |
| US7802296B2 (en) * | 2006-08-23 | 2010-09-21 | Cisco Technology, Inc. | Method and system for identifying and processing secure data frames |
| US7936670B2 (en) * | 2007-04-11 | 2011-05-03 | International Business Machines Corporation | System, method and program to control access to virtual LAN via a switch |
| US9109904B2 (en) | 2007-06-28 | 2015-08-18 | Apple Inc. | Integration of map services and user applications in a mobile device |
| US8200798B2 (en) * | 2007-12-29 | 2012-06-12 | Cisco Technology, Inc. | Address security in a routed access network |
| WO2009148371A1 (en) * | 2008-06-05 | 2009-12-10 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for handling a switch using a preferred destination list |
| GB2474545B (en) | 2009-09-24 | 2015-06-24 | Fisher Rosemount Systems Inc | Integrated unified threat management for a process control system |
| US9054996B2 (en) | 2009-12-24 | 2015-06-09 | Juniper Networks, Inc. | Dynamic prioritized fair share scheduling scheme in over-subscribed port scenario |
| US8416696B2 (en) * | 2010-01-04 | 2013-04-09 | Cisco Technology, Inc. | CFM for conflicting MAC address notification |
| JP5403756B2 (ja) * | 2010-03-03 | 2014-01-29 | Kddi株式会社 | 管理装置、プログラム及びトラフィック制御方法 |
| US8908564B2 (en) | 2010-06-28 | 2014-12-09 | Avaya Inc. | Method for Media Access Control address learning and learning rate suppression |
| US8837493B2 (en) | 2010-07-06 | 2014-09-16 | Nicira, Inc. | Distributed network control apparatus and method |
| ES2450469T3 (es) | 2011-04-08 | 2014-03-24 | Siemens Aktiengesellschaft | Dispositivo de protección de acceso para una red de automatización |
| GB2510721B (en) | 2011-09-15 | 2020-02-26 | Fisher Rosemount Systems Inc | Communicating data frames across communication networks that use incompatible network routing protocols |
| US8812466B2 (en) | 2012-02-10 | 2014-08-19 | International Business Machines Corporation | Detecting and combating attack in protection system of an industrial control system |
| US9021574B1 (en) | 2013-03-12 | 2015-04-28 | TrustPipe LLC | Configuration management for network activity detectors |
| US9177163B1 (en) | 2013-03-15 | 2015-11-03 | Google Inc. | Data access lockdown |
| US9467459B2 (en) * | 2013-03-15 | 2016-10-11 | Aruba Networks, Inc. | System and method for detection of rogue routers in a computing network |
| KR101455167B1 (ko) * | 2013-09-03 | 2014-10-27 | 한국전자통신연구원 | 화이트리스트 기반의 네트워크 스위치 |
| US10505893B1 (en) * | 2013-11-19 | 2019-12-10 | El Toro.Com, Llc | Generating content based on search instances |
| EP3059906B1 (en) * | 2013-11-19 | 2018-06-20 | Huawei Technologies Co., Ltd. | Table items addressing method, switch, and controller based on flow table |
| US20150161404A1 (en) | 2013-12-06 | 2015-06-11 | Barrett N. Mayes | Device initiated auto freeze lock |
| CN105099847B (zh) * | 2014-05-05 | 2019-01-08 | 新华三技术有限公司 | 一种多归属接入方法和装置 |
| US9729498B2 (en) * | 2014-05-21 | 2017-08-08 | Alcatel Lucent | Distributed address resolution protocol forwarding |
| US9450884B2 (en) * | 2014-06-11 | 2016-09-20 | Alcatel-Lucent | Software defined networking based congestion control |
| US10038632B2 (en) * | 2015-07-23 | 2018-07-31 | Netscout Systems, Inc. | AIA enhancements to support L2 connected networks |
| JP6433865B2 (ja) * | 2015-08-26 | 2018-12-05 | アラクサラネットワークス株式会社 | 通信装置 |
| US10187218B2 (en) * | 2015-09-15 | 2019-01-22 | Google Llc | Systems and methods for processing packets in a computer network |
| WO2017049045A1 (en) * | 2015-09-16 | 2017-03-23 | RiskIQ, Inc. | Using hash signatures of dom objects to identify website similarity |
| US9686316B2 (en) | 2015-09-25 | 2017-06-20 | Cisco Technology, Inc. | Layer-2 security for industrial automation by snooping discovery and configuration messages |
| US9973469B2 (en) * | 2015-09-30 | 2018-05-15 | Juniper Networks, Inc. | MAC (L2) level authentication, security and policy control |
| US9912639B1 (en) * | 2015-12-28 | 2018-03-06 | Juniper Networks, Inc. | Verifying firewall filter entries using rules associated with an access control list (ACL) template |
| JP2017143497A (ja) * | 2016-02-12 | 2017-08-17 | 富士通株式会社 | パケット転送装置及びパケット転送方法 |
| US10819719B2 (en) | 2016-10-11 | 2020-10-27 | General Electric Company | Systems and methods for protecting a physical asset against a threat |
| CN107977160B (zh) * | 2016-10-25 | 2020-10-30 | 英业达科技有限公司 | 交换机存取资料的方法 |
| US10038671B2 (en) * | 2016-12-31 | 2018-07-31 | Fortinet, Inc. | Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows |
| US11038887B2 (en) | 2017-09-29 | 2021-06-15 | Fisher-Rosemount Systems, Inc. | Enhanced smart process control switch port lockdown |
-
2018
- 2018-04-10 US US15/949,879 patent/US11038887B2/en active Active
- 2018-04-10 US US15/949,888 patent/US10938819B2/en active Active
- 2018-09-13 GB GB2207464.5A patent/GB2604811B/en active Active
- 2018-09-13 GB GB2204399.6A patent/GB2603076B/en active Active
- 2018-09-13 GB GB2201684.4A patent/GB2604036B/en active Active
- 2018-09-28 JP JP2018185661A patent/JP2019092149A/ja active Pending
- 2018-09-28 JP JP2018185660A patent/JP7414391B2/ja active Active
- 2018-09-29 CN CN202210369207.0A patent/CN114629861B/zh active Active
- 2018-09-29 CN CN202211573289.7A patent/CN116015757A/zh active Pending
- 2018-09-29 CN CN201811149334.XA patent/CN109587109A/zh active Pending
- 2018-09-29 CN CN201811148322.5A patent/CN109617813B/zh active Active
-
2021
- 2021-05-18 US US17/323,068 patent/US11595396B2/en active Active
-
2023
- 2023-12-28 JP JP2023223569A patent/JP2024038229A/ja active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030061345A1 (en) * | 2001-09-27 | 2003-03-27 | Atsushi Kawasaki | Network monitoring device and method |
| CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
| US20070127385A1 (en) * | 2005-12-02 | 2007-06-07 | Takeshi Yasuie | Network fault detection apparatus |
| US20100077471A1 (en) * | 2008-09-25 | 2010-03-25 | Fisher-Rosemount Systems, Inc. | One Button Security Lockdown of a Process Control Network |
| CN103856579A (zh) * | 2014-03-03 | 2014-06-11 | 国家电网公司 | 基于mac地址匹配的智能变电站网络设备拓扑动态识别方法 |
| US20160373441A1 (en) * | 2015-06-16 | 2016-12-22 | Avaya Inc. | Providing secure networks |
| US20170032462A1 (en) * | 2015-07-30 | 2017-02-02 | Fixnetix Limited | Systems and methods for providing real-time pre-trade risk assessment |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111355746A (zh) * | 2020-03-16 | 2020-06-30 | 深信服科技股份有限公司 | 一种通信方法、装置、设备及存储介质 |
| CN111355746B (zh) * | 2020-03-16 | 2022-08-05 | 深信服科技股份有限公司 | 一种通信方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| GB2604036B (en) | 2023-01-04 |
| US10938819B2 (en) | 2021-03-02 |
| US11038887B2 (en) | 2021-06-15 |
| GB2604811B (en) | 2023-03-01 |
| GB202207464D0 (en) | 2022-07-06 |
| CN116015757A (zh) | 2023-04-25 |
| CN114629861B (zh) | 2024-01-16 |
| JP2019092149A (ja) | 2019-06-13 |
| JP2019080310A (ja) | 2019-05-23 |
| US20190104127A1 (en) | 2019-04-04 |
| GB2604036A (en) | 2022-08-24 |
| CN109617813B (zh) | 2022-12-30 |
| GB2604811A (en) | 2022-09-14 |
| US11595396B2 (en) | 2023-02-28 |
| CN114629861A (zh) | 2022-06-14 |
| US20190104107A1 (en) | 2019-04-04 |
| US20210281571A1 (en) | 2021-09-09 |
| JP7414391B2 (ja) | 2024-01-16 |
| CN109617813A (zh) | 2019-04-12 |
| JP2024038229A (ja) | 2024-03-19 |
| GB202204399D0 (en) | 2022-05-11 |
| GB2603076A (en) | 2022-07-27 |
| GB2603076B (en) | 2022-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109587109A (zh) | 过程控制交换机的中毒保护 | |
| JP5634047B2 (ja) | プロセス制御データの安全な通信方法、及び装置 | |
| WO2010080821A1 (en) | Integrated physical and logical security management via a portable device | |
| JP2019049968A (ja) | プロセス制御システムにおける暗号化されたトラフィックのためのファイアウォール | |
| CN109525601A (zh) | 内网中终端间的横向流量隔离方法和装置 | |
| Colelli et al. | Securing connection between IT and OT: the Fog Intrusion Detection System prospective | |
| CN110417769A (zh) | 一种工业互联网平台多重身份认证方法 | |
| CN111343193B (zh) | 云网络端口安全防护方法、装置、电子设备及存储介质 | |
| GB2568145A (en) | Poisoning protection for process control switches | |
| GB2567556A (en) | Enhanced smart process control switch port lockdown | |
| Chan et al. | Non-intrusive protection for legacy SCADA systems | |
| CN114338072B (zh) | 一种配电自动化终端Root账户远程登录权限检测方法 | |
| CN107124408A (zh) | 一种安全受控终端的入网控制方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |