CN109617813B - 增强的智能过程控制交换机端口锁定 - Google Patents

增强的智能过程控制交换机端口锁定 Download PDF

Info

Publication number
CN109617813B
CN109617813B CN201811148322.5A CN201811148322A CN109617813B CN 109617813 B CN109617813 B CN 109617813B CN 201811148322 A CN201811148322 A CN 201811148322A CN 109617813 B CN109617813 B CN 109617813B
Authority
CN
China
Prior art keywords
switch
port
process control
address
ports
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811148322.5A
Other languages
English (en)
Other versions
CN109617813A (zh
Inventor
A·达席尔瓦佩肖托
P·格伦聂森
N·J·彼得森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fisher Rosemount Systems Inc
Original Assignee
Fisher Rosemount Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fisher Rosemount Systems Inc filed Critical Fisher Rosemount Systems Inc
Priority to CN202211573289.7A priority Critical patent/CN116015757A/zh
Priority to CN202210369207.0A priority patent/CN114629861B/zh
Publication of CN109617813A publication Critical patent/CN109617813A/zh
Application granted granted Critical
Publication of CN109617813B publication Critical patent/CN109617813B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/413Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection (CSMA-CD)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by the network communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/028Dynamic adaptation of the update intervals, e.g. event-triggered updates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by the network communication
    • G05B19/41855Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by the network communication by local area network [LAN], network structure
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25022LAN local area network for controllers
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31151Lan local area network
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31255Verify communication parameters, if wrong, refuse communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/4026Bus for use in automation systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • H04L45/74591Address table lookup; Address filtering using content-addressable memories [CAM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Abstract

智能过程控制交换机可以实现锁定例程以锁定其专门供具有已知物理地址的设备使用的通信端口,使智能过程控制交换机能够防止新的、可能恶意的设备与智能过程控制交换机所连接的其他设备通信。此外,智能过程控制交换机可以实现地址映射例程,以识别经由智能过程控制交换机的端口进行通信的每个设备的物理和网络地址的“已知对”。因此,即使新的恶意设备能够欺骗已知物理地址以试图绕过锁定的端口,智能过程控制交换机也可以通过对照“已知对”的预期网络地址检查恶意设备的网络地址来检测恶意设备。

Description

增强的智能过程控制交换机端口锁定
技术领域
本公开内容总体上涉及过程控制系统,具体而言,涉及用于锁定智能 过程控制交换机的端口的技术。
背景技术
如通常用于发电、化学、石油或其他过程的过程控制系统(诸如分布 式或可扩展过程控制系统)通常包括一个或多个过程控制器,它们彼此通 信地耦合,经由过程控制网络耦合到至少一个主机或操作员工作站,并经 由模拟、数字、组合模拟/数字总线耦合到一个或多个现场设备。
现场设备可以是例如阀、阀定位器、开关、变送器(例如,温度、压 力和流率传感器),在过程或工厂内执行功能,诸如开启或关闭阀、开关设 备以及测量过程参数。
通常位于过程工厂环境内的过程控制器接收指示过程测量或由现场设 备产生或与现场设备相关联的过程变量和/或与现场设备有关的其他信息的 信号,并执行控制器应用程序或例程。每个控制器使用所接收的信息来实 现控制例程并生成通过总线发送到现场设备的控制信号,以控制过程或工 厂的操作。一个或多个控制器例程实现控制模块,该控制模块做出过程控 制决策,基于接收的信息生成控制信号,并与现场设备(例如
Figure BDA0001817334630000011
和现 场总线现场设备)中的控制模块或块配合。过程控制器中的控制模块通过通信线路或信号路径将控制信号发送到现场设备,从而控制过程的操作。
来自现场设备和过程控制器的信息通常经由过程控制网络可用于一个 或多个其他硬件设备,诸如操作员工作站、维护工作站、个人计算机、手 持设备、数据历史记录、报告生成器、集中式数据库等。通过网络传送的 信息使操作员或维护人员能够执行关于该过程的期望功能。例如,该信息 允许操作员更改过程控制例程的设置,修改过程控制器或智能现场设备内 的控制模块的操作,查看过程工厂内特定设备的过程或状况的当前状态, 查看现场设备和过程控制器生成的警报,模拟过程的操作,以便培训人员 或测试过程控制软件,诊断过程工厂内的问题或硬件故障等。
现场设备通常通过过程控制网络与硬件设备通信,过程控制网络可以 是以太网配置的LAN。网络通过各种网络设备将过程参数、网络信息和其 他过程控制数据中继到过程控制系统中的各种实体。网络设备通常通过控 制其路由、帧速率、超时和其他网络参数来促进通过网络的数据流,但是 不改变过程数据本身。一些典型的网络设备包括例如第2层网络交换机、 第3层网络交换机、路由器和/或集线器。由此提及的层与OSI模型层有关。
一般而言,第2层网络交换机接收消息并经由其与LAN内的目的地设 备的MAC地址(由消息标识)相关联的一个端口转发所接收的消息。第2 层网络交换机通常储存建立MAC地址和对应的交换机端口之间关系的表。 当第2层网络交换机收到消息时,它会识别消息的目的地MAC地址,从表 中识别与MAC地址对应的交换机端口,并经由该端口转发消息。如果第2 层网络交换机收到的消息的目的地MAC地址未储存在表中,则它会将消息 广播到交换机的所有端口,这可以重复,直到消息到达目的地设备并且目 的地设备回复为止,从而向交换机通知“映射”到目的地MAC地址的适当 端口。值得注意的是,第2层交换机不执行路由,不利用IP地址做出转发 决策,也不跟踪交换机和目的地设备之间的中间节点。相反,第2层交换 机只是参考该表来确定应该使用哪个交换机端口来转发消息。
另一方面,第3层设备(诸如路由器和第3层交换机)经常执行路由, 识别中间节点,并利用IP地址进行转发和/或路由。这种路由功能和利用网 络地址的能力使第3层设备能够将数据路由到第3层设备所连接的LAN外 部的目的地。虽然路由器和第3层网络交换机有时能够在过程控制网络中 路由过程控制数据,但路由器和第3层交换机比第2层交换机昂贵得多, 特别是在为过程控制环境中的操作而设计或配置时(例如,贵两到三倍)。
随着过程控制网络的大小和复杂性增加,网络设备的数量和类型相应 地增加。由于系统和网络的增长,这些复杂系统中的安全性和管理变得越 来越具有挑战性。例如,每个网络设备可以包括一个或多个通信端口,其 提供用于跨过网络将过程控制系统部件和其他网络设备物理地彼此互连的 接入点或端口。这些网络设备端口可以通过添加其他设备而成为网络扩展 的接入点,或者可以允许恶意或非恶意的实体接入网络并发起不想要的和 可能有害的网络流量。
为了解决关于恶意实体的安全问题,一些控制交换机具有用于禁用端 口(例如,未使用的端口)的禁用机制以防止设备经由禁用端口进行通信。 此外,一些控制交换机有时具有锁定机构(例如,如美国专利No.8,590,033 中公开的),其可以“锁定”端口以限制经由锁定端口与在锁定时间连接到 该端口的单个设备的通信。然而,这些传统的锁定机制是有限的。特别地, 传统的锁定机制无法锁定(i)具有多于两个连接设备的端口和/或(ii)连接到第二交换机的端口(有时称为“上行链路端口”)。上行链路端口通常 被排除在网络安全锁定之外(即,保留未锁定),以便在锁定期间维持上行 链路端口功能并且避免无意中实现干扰工厂操作的过度限制性锁定。此外, 一些交换机响应于识别连接到端口的多个设备并假设端口连接到交换机, 而将连接到菊花链设备的端口分类为“上行链路端口”。因此,虽然一些控 制交换机可以实现传统的锁定机制以防止恶意设备经由先前未使用的端口(例如,通过禁用该端口)或者仅连接到单个终端设备的端口(例如,通 过锁定该端口)连接到网络,这些交换机在连接到上行链路交换机、多于 两个终端设备或具有多个物理地址的单个设备(例如,虚拟系统)的任何 端口上,仍然易受攻击。
发明内容
所描述的方法和系统使得过程控制交换机能够锁定其所有端口和/或识 别经由所述过程控制交换机的每个端口进行通信的每个设备的物理和网络 地址的“已知对”。
在一个实施例中,过程控制交换机包括多个端口和通信地连接到所述 多个端口的电路集合。所述电路集合可以被配置为锁定所述多个端口,其 中,所述电路集合:(A)产生静态地址表(i),其将过程控制环境中的设 备的已知物理地址映射到所述设备所连接的所述多个端口中的一个或多个 端口,及(ii)在锁定所述多个端口时没有用新的已知物理地址来更新,其 中,所述静态地址表将多个已知物理地址映射到单个端口,所述单个端口连接到可解锁或非管理型交换机或菊花链设备;和/或(B)限制所述多个 端口中的每个端口的流量,其中,所述电路集合:(i)控制在每个端口处转 发的消息的数量以符合流量阈值,以及(ii)认证包括在每个端口处接收到 的所述消息中的每条消息的源物理地址。为了认证所述源物理地址,所述 电路集合可以:(a)分析所述消息以识别包括在所述消息中的源物理地址; (b)当所述静态地址表将所述源物理地址列为映射到所述单个端口的已知物理地址时,经由所述多个端口中的一个端口转发所述消息;及(c)当所 述静态地址表没有将所述源物理地址列为映射到所述单个端口的已知物理 地址时,丢弃所述消息。
在一个实施例中,一种过程控制交换机包括多个端口和通信地连接到 所述多个端口的电路集合。所述电路集合可以被配置为实现锁定操作,其 中,所述电路集合:(a)检测所述多个端口中的一个端口连接到第二交换 机;(b)分析与所述第二交换机的握手,以确定所述第二交换机是否是可 锁定的;(c)当所述电路集合确定所述第二交换机是可锁定的时,转发从 所述第二交换机接收的消息而无需认证所述消息的源物理地址;和/或(d)当所述电路集合确定所述第二交换机是不可锁定的时,认证包括在所述端 口处接收的消息中的源物理地址,以便分析在所述端口处接收的消息以确 定所接收的消息是否标识包括在已知物理地址列表中的源物理地址。
注意,已经提供了本发明内容以介绍以下在具体实施方式中进一步描 述的一系列概念。如在实施方式中所解释的,某些实施例可以包括本发明 内容中未描述的特征和优点,并且某些实施例可以省略本发明内容中描述 的一个或多个特征和/或优点。
附图说明
根据实施例,下面描述的每个附图示出了所公开的系统和/或方法的一 个或多个方面。具体实施方式参考包括在以下附图中的附图标记。
图1A是过程工厂内的过程控制系统的示意图,其中可以实现智能过程 控制交换机以增强网络安全性并促进网络管理和维护。
图1B是过程工厂内的过程控制系统的第二示意图,其中可以实现图 1A中所示的智能过程控制交换机以增强网络安全性并促进网络管理和维 护。
图1C示出了通常可以使用以太网协议通过过程控制系统传送的基本 数据单元或帧。
图2A是示例性过程控制网络的网络图,其中实现智能过程控制交换机 集合(每个智能过程控制交换机类似于图1A和1B所示的那些)以改善锁 定性能并增强网络安全性。
图2B是第二示例性过程控制网络的网络图,其中实现智能过程控制交 换机集合以改善锁定性能并增强网络安全性。
图2C是图1A、1B和2A中所示的智能过程控制交换机的方框图。
图3A示出了用于锁定和解锁图1A-2C中所示的一个或多个智能过程 控制交换机的端口的示例性方法。
图3B示出了用于在接收到锁定命令后锁定图1A-2C中所示的智能过 程控制交换机的端口的示例性方法。
图3C示出了用于解锁图1A、1B、2A和2B中所示的智能过程控制交 换机的示例性方法。
图4A示出了可以被提供以便于锁定和解锁图1A-2C中所示的智能过 程控制交换机的示例性用户界面。
图4B示出了填充有未锁定交换机集合的图4A中所示的示例性用户界 面。
图4C示出了填充有锁定交换机集合的图4A和4B中所示的示例性用 户界面。
图4D示出了填充有具有“锁定待决”状态的交换机集合的图4A、4B 和4C中所示的示例性用户界面。
图5示出了图2C中所示的地址匹配表的示例。
图6示出了实现图2C和5中所示的地址匹配表以提高了过程工厂内过 程控制系统的安全性的示例性方法的方框图。
图7示出了检测与图1A-2C中所示的智能过程控制交换机相关联的安 全问题的示例性方法的方框图。
具体实施方式
本公开内容说明了过程控制交换机146(在图1A、1B和2C中示出, 并且有时被称为“交换机146”),其能够(i)实现锁定操作或例程,以锁 定其专供具有已知物理地址的设备使用的通信端口,和/或(ii)实施地址映 射(mapping)操作或例程,以识别经由交换机146通信的每个设备的物理 和网络地址的“已知对”。
一般而言,交换机可以分为两类:可配置交换机和不可配置交换机。 可配置交换机(有时称为“管理型交换机”)能够具有由用户配置的各种网 络设置(例如,端口速度、虚拟LAN、冗余、端口镜像和用于流量优先级 的服务质量(QoS)等),使得交换机可以适于特定实施方式。不可配置交 换机(有时称为“非管理型交换机”)通常由制造商根据OEM规范配置, 其网络设置不能由最终用户轻易修改。虽然可配置交换机经常在需要对流 量的输入和控制的环境(例如,工业环境)中找到,但是不可配置交换机 通常针对需要较少复杂使用的环境(例如,家庭或小型办公室)。
一般而言,如本文所使用的,短语“管理型交换机”与如上所述的短 语“可配置交换机”不是同义的,并且短语“非管理型交换机”与如上所 述的短语“不可配置交换机”不是同义的。相反,术语“管理型”和“非 管理型”是指交换机的可锁定性。即,如本文所使用的,“管理型交换机” 指的是具有本文所述的锁定功能的交换机,“非管理型交换机”指的是缺少 本文所述的锁定功能的交换机。因为交换机146被配置为实现所描述的锁 定操作,所以交换机146可以被称为“管理型交换机”。
锁定操作使得交换机146能够锁定其端口,使得连接到其端口的设备 在锁定时间成为被授权继续使用该端口的“已知”设备,而不允许任何“新” 设备经由该端口进行通信。即,在锁定交换机146之后,交换机146“丢弃” 从连接到交换机146的“新”设备接收的通信,从而使交换机146能够保 护其端口免受新连接的恶意设备的攻击。一般而言,术语“连接”,当参考 设备和交换机146的端口使用时,是指端口与物理介质(例如,诸如CAT5 或CAT6电缆的以太网电缆)之间的物理连接,使得能够在交换机146和设 备之间进行通信。物理介质可以直接或间接地经由便于与设备通信的一个 或多个中间设备连接到设备。
当实现锁定操作时,交换机146可以为连接(直接或间接)到交换机 146的每个端口的所有已知设备生成物理地址(例如,MAC地址)的记录(例如,静态地址表)。与传统的控制交换机不同,交换机146可以生成连 接到单个端口的两个以上物理设备的记录。例如,当三个、四个、五个或 更多设备以菊花链方式链接到单个端口时,交换机146可以为菊花链连接 到单个端口的多个设备中的每个设备生成物理地址的记录。因此,交换机 146可以“锁定”每个端口,并且经由交换机146仅为具有已知物理地址(例 如,在启动锁定时与记录中的物理地址匹配的源物理地址)的那些设备实 现通信。在这种情况下,当恶意设备在锁定之后物理地连接到交换机146 的端口时,交换机146将不转发来自恶意设备的消息(假设其物理地址与 在锁定时连接到该端口的设备的物理地址不匹配)。因此,交换机146可以 防止恶意设备加入控制网络,从而防止恶意设备从控制网络收集敏感信息 或者对连接到控制网络的设备进行未经授权的控制。
响应于交换机146接收根据设备检测到交换机146所连接的网络上的 安全威胁而传送的锁定命令,可以由交换机146实现锁定操作。例如,锁 定命令可以由在与交换机146相关联的工厂中实现的控制系统(例如,Delta V控制系统)中的设备(例如,诸如服务器、工作站或控制器的计算机) 传送。作为另一个示例,锁定命令可以由监视网络活动的安全系统(例如, 专门设计的硬件,诸如ASIC或执行安全软件的计算机集合)传送。安全系 统可以包括用于监视网络活动的一个或多个系统,诸如:门禁系统、反键 盘记录系统、反恶意软件系统、反间谍软件系统、反颠覆系统、防病毒系 统、加密系统、防火墙系统、入侵检测系统(IDS)、入侵防御系统(IPS)、 安全信息管理系统、或安全信息和事件管理(SIEM)系统。这些安全系统 中的一个或多个可以协同工作以生成锁定命令。例如,防火墙系统可以检 测安全威胁并通知SIEM(其可以被配置为聚合来自多个源的安全威胁), 并且SIEM可以通过传送锁定命令来响应。可以以多种方式中的任何一种来 检测示例性安全威胁。例如,安全系统可以利用基于签名的检测(例如, 识别诸如恶意软件的已知威胁的已知网络签名)和/或基于异常的检测(例 如,检测偏差,诸如在预期仅开放和利用某些逻辑端口(诸如和与节点相 关联的特定协议相关联的逻辑端口)的节点上开放新的逻辑端口)。
锁定例程可以与将每个端口处的流量限制到预定阈值的流量控制例程 结合使用。可以基于连接到端口的设备的类型来确定每个端口的每个阈值。 例如,如果控制器连接到端口,则控制器的流量利用率预计不会超过每个 端口的一定数量的入口/出口流量(例如,512kbps入口,或每秒1500个分 组的出口流量等),并且可以相应地设置该端口的流量阈值(traffic threshold)。现场设备可能消耗或多或少的流量,因此连接到现场设备的端 口可以具有不同的流量阈值。在某些情况下,流量控制是过程控制交换机 的重要特征。例如,没有流量控制的过程控制交换机可以允许在任何类型 的设备之间交换任何数量的流量,因此如果观察到给定过程控制系统的特 定通信要求,则不能防止可以易于检测到的基本拒绝服务攻击-过程控制系 统的可预测性往往非常高,因此根据在这些特定用例上使用的协议和设备 类型设置阈值并不困难。
进一步参考锁定操作,交换机146可以确定端口何时连接到第二交换 机(例如,使用桥接协议桥接单元(BPDU)帧),并且可以与第二交换机 执行握手以确定是否第二交换机是第二交换机146或“非管理型交换机”(例 如,不具有所公开的锁定能力的交换机)。如果第二交换机是可解锁或“非 管理型”交换机,则交换机146可以识别并记录经由可解锁或“非管理型” 交换机连接到交换机146的端口的每个终端设备的物理地址。
如果需要,交换机146可以在锁定期间离开解锁的某些端口。例如, 交换机146可以确定端口何时连接到第二交换机(这样的端口可以称为“上 行链路端口”),并且可以与第二交换机执行握手以确定第二交换机是否是 “管理型的”(即,如交换机146那样“可锁定”)或“非管理型的”(即, 不像交换机146那样“可锁定”)。如果第二交换机是“管理型的”,则交换 机146可以保持解锁上行链路端口(并且因此可以不检查经由上行链路端 口接收的消息的源物理地址,和/或可以检查消息的源物理地址但是不丢弃 具有未知源物理地址的消息)。这样的上行链路端口可以被称为“管理型上 行链路端口”。如果第二交换机是“非管理型的”,则交换机146可以识别 并记录经由“非管理型交换机”连接到上行链路端口的每个终端设备的物 理地址,并且上行链路端口可以被称为“非管理型上行链路端口”。交换机 146可以随后锁定上行链路端口,使得交换机146丢弃源自连接到非管理型 交换机的未知设备的消息,从而防止未知设备(例如,可能是恶意设备) 访问交换机146所连接的更广阔的网络。应当注意,交换机146的锁定端 口可以继续从已知设备传送广播和多播消息,并且在这种情况下,未知或 未授权设备(即,对于给定端口不具有已知物理地址的设备)可以收听这 些传输的广播和组播消息。然而,在这种情况下,未授权设备将不能响应 那些消息或以其他方式通过交换机146的锁定端口传送任何消息。
地址映射操作使得交换机146能够在锁定之后通过确认设备没有简单 地欺骗已知物理地址来验证具有已知物理地址的设备是已知设备。交换机 146通过跟踪每个已知物理地址的网络地址(例如,IP地址)来执行该验证。 因此,用于给定端口的每个已知设备应该具有由交换机146跟踪的已知地 址对(即,物理和网络地址)。因此,即使当恶意设备连接到交换机146的 锁定端口并且成功地欺骗了针对该锁定端口的已知设备的物理地址,交换机146也将检测到恶意设备的网络地址与配对到物理地址的记录上的网络 地址不匹配。因此,交换机146生成警报和/或丢弃从恶意设备接收的通信。
如果需要,交换机146可以实现端口镜像。例如,交换机146可以复 制进入或离开特定端口的分组,并且可以将复制的分组发送到分析器(例 如,经由与分析器相关联的分配端口)。分析器可以是配置(例如,经由软 件)为分析复制的分组的任何机器。端口镜像使得能够对复制的分组执行 诊断和/或调试,而不会显著影响发送和/或接收原始分组的设备。
图1A和1B是过程工厂内的过程控制系统100的示意图,其中可以实 现交换机146以增强网络安全性并促进网络管理和维护。过程控制系统100 包括过程控制网络150,其是节点(例如,能够发送、接收和/或转发信息 的设备或系统)和通信链路的集合,通信链路进行连接以实现节点之间的 通信。网络150的节点包括一个或多个交换机146;一个或多个过程控制器 110;一个或多个主机工作站或计算机120-122(例如,可以是批准的工作 站和/或服务器),其中至少一个包括显示屏;一个或多个输入/输出(I/O) 卡140;一个或多个现场设备130、133和/或142;网关143;和/或数据历 史库145。一些实施例不包括现场设备142和网关143。
网络150是局域网(LAN)。在一些情况下,广域网(WAN)和/或电 信网络可以是工厂网络的一部分,但是在某些情况下可能不是网络150的 组成部分。网络150可以被配置用于以太网通信和/或用于任何适当的通信 协议(例如,TCP/IP、专有协议等),可以使用硬连线(优选)或无线技术 来实现。在具体实施方式的最后更详细地描述了网络150的附加方面。
一个或多个过程控制器110(其中每一个可以是例如Fisher Rosemount Systems,Inc.销售的DeltaVTM控制器)通过一个或多个交换机146通信地 连接到网络150以及一个或多个主机工作站或计算机120-122。每个控制器 110可以包括一个或多个网络接口卡(有时称为“通信接口”),并且可以经 由I/O卡140连接到现场设备130,每个I/O卡140可以通过背板通信地连 接到控制器110中的一个。现场设备130可以通信地耦合到网络150(例如, 使用DeltaV电子编组技术)。网络150还可用于连接基于以太网的I/O节点, 诸如DeltaVCHARM I/O卡(CIOC)、无线I/O卡(WIOC)、以太网I/O卡 (EIOC)等,其连接到使用开放协议的现场设备,并且将数据传送回一个 或多个过程控制器110。在这种情况下,控制器110和I/O节点之间的通信 可以明确地是专有的。
可以是网络150的子网络的I/O网络155促进控制器110(例如,经由 I/O卡140)与现场设备130、133和142之间的通信。I/O网络155可以包 括图1A中未示出的中间节点,诸如附加交换机146(参见图1B)。I/O网 络155可以被配置用于以太网通信和/或用于任何适当的通信协议(例如, TCP/IP、ModbusIP等),并且可以根据实施方式使用硬连线或无线技术来 实现。一些实施例不包括I/O网络155,或者包括I/O网络155的修改版本 (例如,一些实施例不包括控制器110与现场设备之间的交换机)。
I/O卡140使用与例如标准4-20mA设备、标准以太网协议和/或诸如基 金会现场总线协议(现场总线)、HART协议的或任何其他期望的通信或控 制器协议的任何智能通信协议相关联的任何期望的硬件和软件通信地连接 到现场设备130。
现场设备130可以是任何类型的设备,诸如传感器、阀、变送器、定 位器等。在图1A所示的实施例中,现场设备130是通过标准模拟4-20mA 线路131与HART调制解调器140通信的HART设备,而现场设备133是 智能设备,诸如现场总线现场设备,其通过数字总线135或I/O网络155 与使用现场总线协议通信的I/O卡140通信。当然,现场设备130和133 可以符合任何其他期望的标准或协议,包括将来开发的任何标准或协议。
现场设备142可以经由诸如网关143的专用网络设备连接到数字总线135。例如,现场设备142可以仅理解Profibus-PA命令,并且I/O网络135 可以实现PROFIBUS-DP协议。为此,网关143可以提供双向 PROFIBUS-DP/PA转换。交换机146也可以位于网关143处或附近。
控制器110可以是其中具有一个或多个处理器的工厂内的许多分布式 控制器中的一个分布式控制器,实现或监视一个或多个过程控制例程。例 程可以包括储存在控制器中或与控制器相关联的一个或多个控制回路。控 制器110还通过网络150和相关联的网络设备146与设备130或133、主计 算机120-122和数据历史库145通信,以便以任何期望的方式控制过程。应 当注意,如果需要,本文描述的任何控制例程或元件可以具有由不同控制器或其他设备实现或执行的部分。同样地,本文描述的将在过程控制系统 100内实现的控制例程或元件可以采取任何形式,包括软件、固件、硬件等。 出于本讨论的目的,过程控制元件可以是过程控制系统的任何部件或部分, 包括例如储存在任何计算机可读介质上的例程、块或模块。可以是控制过 程的模块或任何部分(诸如子例程、子例程的部分(诸如代码行)等的控 制例程可以以任何期望的软件格式实现,诸如使用梯形逻辑、顺序功能图、功能框图、面向对象编程或任何其他软件编程语言或设计范例。同样,控 制例程可以硬编码到例如一个或多个EPROM、EEPROM、专用集成电路 (ASIC)或任何其他硬件或固件元件中。更进一步地,可以使用任何设计 工具来设计控制例程,包括图形设计工具或任何其他类型的软件/硬件/固件 编程或设计工具。因此,控制器110可以被配置为以任何期望的方式实现 控制策略或控制例程。
数据历史库145可以是具有任何期望类型的存储器和用于储存数据的 任何期望的或已知的软件、硬件或固件的任何期望类型的数据收集单元, 并且可以与工作站120-122中的一个工作站分离或者是其一部分。数据历史 库145可以经由交换机146通信地耦合到网络150和/或主机120和122。
图1C例示了基本数据单元或帧175,其可以通常通过过程控制系统100 进行通信并且使用以太网协议通过过程控制网络150进行通信。以太网帧 175包括七个字段,每个字段在设备(诸如交换机146或其他过程控制系统 100部件)之间传送信息。这些字段可以包括由接收设备解释和处理的多个 字节的数据178。例如,目的地MAC地址字段180可以包括过程控制网络100的中间节点或目的地节点的物理地址,而源MAC地址字段182可以包 括过程控制系统100的发送或中间节点的物理地址。目的地MAC地址180 和源MAC地址182字段可以与来自交换机146的数据结合使用,以处理通 过过程控制网络150发送的数据。在一些实施例中,当设备处于“锁定” 状态时,可以将字段180、182与储存在接收网络设备内的一个或多个表进 行比较。比较的结果可用于拒绝或以其他方式否定到锁定的网络设备的所 接收数据或其他物理或逻辑连接。
图2A是示例性过程控制网络200A的网络图,其中实施交换机集合 146A-D(每个交换机代表图2C中所示的交换机146的示例)以提高锁定 性能并增强网络安全性。实线表示连接到锁定端口的通信链路,虚线表示 连接到未锁定端口的通信链路。有利地,可以锁定交换机146A-D的每个端 口。因此,即使恶意设备连接到过程控制设备、集线器或非管理型交换机, 过程控制设备、集线器或非管理型交换机连接到交换机146A-D中的一个交 换机的端口,当锁定相应的交换机146A-D时,恶意设备也不能经由该端口 进行通信。
除了交换机146A-D之外,网络200A还包括设备111A-111L(统称为 “设备111”)、设备113A-113D(统称为“设备113”)和集线器112。设备 111是过程控制设备,专门配置为在过程控制工厂中操作并经由过程控制网 络进行通信。每个设备111具有一个或两个物理地址(例如,用于冗余)。 通常,设备111的物理地址是专门配置的MAC地址,使得设备111将被过程控制网络100D上的其他过程控制设备识别。例如,每个设备111的物理 地址可以以特定识别的字符模式(例如,F9-C3-XX-XX-XX-XX)开始或结 束,使得每个设备可被识别为专门配置用于在过程控制环境中实现的设备。 示例性设备111包括过程控制器、I/O卡、工作站、数据历史库和专门配置 的网络设备。
设备113包括(i)未专门配置用于过程控制网络的设备(有时称为“现 成设备”或“通用设备”)和/或(ii)具有多于两个物理地址的设备(可以 是包括专门配置的过程控制设备和“通用”设备。集线器112是通用网络 集线器。
无论连接到端口的设备的类型或数量如何,交换机146A-D都可以锁定 所有端口,因此可以防止(直接或间接地)连接到任何交换机146A-D的任 何端口的恶意设备的攻击。图2A示出了交换机146A-D改进当前过程控制 交换机的多个示例。下面,说明了证明交换机146A-D的优点的四个具体示 例:(i)锁定连接到“通用设备”或具有多于两个物理地址的设备(过程控 制或“通用”)的端口;(ii)锁定连接到非管理型交换机的端口;(iii)锁定 连接到菊花链设备集合的端口;(iv)锁定连接到非管理型网络设备(例如 集线器)的端口,该非管理型网络设备连接到多个设备。
第一示例涉及交换机146A,其包括端口201,端口201在连接到设备 113A时可以被锁定,设备113A可以是(i)具有任意数量的物理地址的“通 用设备”或(ii)具有多于两个物理地址的过程控制设备。在操作中,交换 机146A实现锁定例程以锁定端口201。在锁定之后,交换机146A不允许 具有与设备113A的物理地址不同的物理地址的任何设备经由端口201进行 通信。换句话说,交换机146A将分析在端口201处接收的任何消息以识别 包括在消息中的源物理地址。如果消息不包括在锁定时与交换机146A已知 的设备113A的物理地址匹配的源物理地址,则交换机146A“丢弃”消息 而不是经由它的其它端口中的一个端口转发消息,并且交换机146A生成端 口违规告警。相比之下,典型的过程控制交换机可能无法锁定连接到设备 113A的端口,因为设备113A是“通用”设备或具有多于两个物理地址的设备,并且通常过程控制交换机不锁定这样的端口,即使启动了锁定过程。
交换机146A还包括连接到交换机146B的端口211。如通过连接到端 口211的实线所示,端口211被锁定。因此,交换机146A可以储存在锁定 时经由端口211通信的所有设备的物理地址,包括连接到任何交换机 146B-D的设备的任何物理地址。在一些情况下,交换机146B-D中的每一 个可以接收它连接到上游交换机146(例如,交换机146A)的通知,因此,根据上游交换机146将认证消息中列出的物理地址以确保列出的物理地址 是已知地址的假设,可以在锁定期间无需认证物理地址。在其他情况下, 交换机146B-D中的一个或多个在锁定期间与交换机146A一起认证物理地 址。
第二示例涉及交换机146B,其包括端口203,当连接到非管理型交换 机(即,缺少所描述的锁定能力或不能传送BPDU帧的交换机)时,端口203可被锁定。端口203和连接到第二交换机的任何其他端口(例如,交换 机146A的端口211和端口213、215和217)可以被称为“上行链路端口”。 注意,在某些情况下,交换机146可以被配置为在识别上行链路端口时仅识别管理型上行链路端口,因此交换机端口203可以不被交换机146B分类 为上行链路端口(例如,交换机146可以被配置为仅将连接到其他交换机 146的那些端口分类为上行链路端口)。设备111G-I连接到非管理型交换机 109,非管理型交换机109物理连接到端口203。值得注意的是,因为非管 理型交换机109不能锁定其端口(如将交换机109连接到设备111G-I的虚 线所示),恶意设备可以连接到交换机109以与连接到交换机109的其他设 备(例如,设备111G-111I)通信。换而言之,即使有人试图锁定网络200A 中的所有可锁定交换机(例如,交换机146A-146D),具有未知物理地址的 新设备也可以连接到交换机109,并且交换机109将消息从恶意设备转发到 交换机109的端口,该端口已被映射到包含在来自恶意设备的消息中的目 的地地址。
然而,因为端口203被交换机146B锁定(如连接交换机146B和109 的实线所示),所以端口203处接收的来自新未知设备的任何消息将被交换 机146B丢弃。将丢弃该消息,因为当交换机146B被锁定时,它创建了经 由端口203通信的所有已知设备的已知物理地址的记录,即使这些已知设 备正经由诸如交换机109的非管理型上行链路交换机进行通信(交换机 146B可以通过监视和记录经由端口203传送和接收的消息的源和目的地地 址来创建该记录)。因此,在所示的示例中,交换机146B“锁定”已知物 理地址的记录,使得仅设备111G-I的物理地址与端口203相关联。因此, 连接(例如,经由有线或无线连接)到交换机109的任何设备不能经由交 换机146B的端口203与网络200A上的其他设备通信(如果新设备具有与 设备111G-I中的一个设备的物理地址匹配的物理地址,则交换机146可以 利用地址映射表222来检测出新设备不是设备111G-I中的一个设备)。简而 言之,即使端口203连接到不锁定其端口的非管理型交换机(即,交换机 109),交换机146B也可以锁定端口203,使得只有连接到交换机109的设 备在锁定时可以经由交换机146B进行通信。
转到第三示例,图2A示出了包括端口205的交换机146C,当菊花链 设备集合111E和111F连接到端口205时,端口205可以被锁定。设备111E 物理连接到端口205,并且设备111F以菊花链形式连接到设备111E,使设 备111F能够经由其与设备111E和端口205的连接与网络200A上的其他设 备通信。一般而言,菊花链连接是直通(pass-through)连接,给予所有菊 花链链接的设备(即111E和111F)对端口205的直接访问。值得注意的是, 设备111E不锁定其连接到设备111F的接入点,如设备111E和111F之间 的虚线所示。因此,恶意设备可能连接到设备111E或111F,其中任何一个 都可以转发从恶意设备接收的消息。但是,如果新设备连接到相同的菊花 链(其连接到端口205),或者菊花链中的设备被新设备替换,则交换机146C 标记端口205的端口违规,并且可能不允许来自连接到菊花链的任何设备的通信。在某些情况下,交换机146C可以在锁定期间简单地丢弃来自新设 备的消息。该消息被丢弃,因为当锁定端口205时,交换机146C为经由端 口205通信的所有已知设备(例如,设备111E和111F)创建已知物理地址 的记录,并丢弃标识与已知物理地址不同的源物理地址(例如,恶意设备 的物理地址)的消息。因此,当恶意设备可能连接到设备111E或111F时,来自恶意设备的任何消息将被交换机146C丢弃(即,不经由交换机146C 的其他端口转发)。
最后,作为第四示例,图2A示出了包括端口207的交换机146D,端 口207在连接到可解锁集线器112时可以被锁定,可解锁集线器112连接 到多个设备。简而言之,交换机146D对待集线器112类似于交换机146B 如何对待非管理型交换机109。设备113D、111K和111L连接到集线器112, 集线器112物理连接到端口207。因为集线器112无法锁定其端口(如将集 线器112连接到设备113D、111K和111L的虚线所示),所以恶意设备可以 连接到集线器112以与连接到集线器112的其他设备通信。但是,因为端 口207被交换机146D锁定,在端口207处接收的来自新未知设备的任何消 息将被交换机146D丢弃。
值得注意的是,设备113D、111K和111L可以通过网络200进行通信, 因为它们的物理地址被登记在交换机146D和/或146B的存储器中。在一些 情况下,为了易于使用和方便,未锁定交换机146A-D的上行链路端口(例 如,端口213和215),但是登记映射到上行链路端口的所有物理地址(例 如,在交换机146B和/或146D处)并且标记对地址表的改变并由交换机生 成告警。例如,如果有人试图将交换机146D与交换机146B断开并将新集 线器连接到端口215,则交换机146B检测到试图通过新集线器和交换机 146B进行通信的设备的任何未知地址。如果有人试图在交换机146B和交 换机146D之间插入新集线器作为中间设备,则交换机146B和146D两者 都可以检测新集线器(和/或连接到集线器的新设备的任何新地址),其中一 个或者两者可以生成关于现在连接到交换机146B和146D的新物理地址的 告警。上行链路端口检测机制允许用户识别何时实施这种物理接入干预。
图2B是其中实现了交换机集合146A-D的示例性过程控制网络200B 的网络图。网络200B类似于网络200A。网络200B中的每个交换机146A-D 被配置为检测其端口中的一个端口何时连接到第二交换机(即,上行链路 端口)并且仅在第二交换机是非管理型时锁定上行链路端口。每个交换机 146A-D可以分析与第二交换机的握手以确定第二交换机是否是管理型的 (例如,以确定第二交换机是否是交换机146)。在锁定期间,取决于所连 接的第二交换机是否可锁定,每个交换机146A-D可以不同地处理经由上行 链路端口接收的消息。换句话说,取决于第二交换机是否可锁定,每个交 换机146A-D可以锁定或保持解锁上行链路端口。
例如,交换机146A包括连接到交换机146B的上行链路端口211。因 为交换机146B是可锁定的,所以交换机146A保持上行链路端口211解锁。 类似地,交换机146B保持上行链路端口213和215解锁,因为它们连接到 可锁定交换机146C和146D。交换机146A可以转发从交换机146B接收的 消息,而无需认证消息中包括的源物理地址。可以说交换机146A“假设”交换机146B正在处理其端口的锁定,因此即使在锁定期间也可能不锁定上 行链路端口211。交换机146B可以类似地保持端口213和215解锁。在一 些情况下,交换机146A和146B继续监视经由上行链路端口211-215接收 的消息的源物理地址,并且可以将源物理地址与已知物理地址进行比较。 当监视揭示源物理地址未知时,交换机146A和146B可以生成端口违规告 警。
当第二交换机不可锁定时(例如,通用或“现成的”交换机),交换机 146A-D可以以与参考图2A所述的相同方式锁定上行链路端口。例如,交 换机146B可以锁定上行链路端口203(其连接到非管理型或可解锁交换机 109),如参考图2A所述。在某些情况下,当锁定上行链路端口时,交换机 146A-D丢弃具有未知源物理地址的消息。在其他情况下,当上行链路端口 被锁定时,交换机146A-D继续转发具有未知物理地址的消息,同时生成端 口违规警报或告警。
图2C是交换机146的方框图,交换机146可以是用于DeltaVTM过程 控制网络中的DeltaV智能交换机(其中有不同的系列可用于解决不同的使 用情况)。交换机146是第2层交换机,意味着交换机146在OSI模型的第 2层-数据链路层-工作。在操作中,交换机146通过(i)识别包括在消息中 的目的地物理地址和(ii)参考交换表以识别与目的地物理地址相关联的转 发端口来选择消息的转发端口。交换机146不跟踪中间节点。例如,如果 交换机146经由四个中间节点接收旨在用于连接到交换机146的终端设备 的消息,则交换机146不具有“下一节点”或任何其他中间节点的记录。 相反,它参考交换表来确定应该使用哪个端口来转发消息。此外,交换机 146不出于消息转发目的而跟踪网络地址,并且它不使用IP路由表。
相反,诸如路由器的第3层网络设备在OSI模型的第3层-网络层-操作, 并且通常利用路由表。当路由器收到消息时,它会识别消息中包含的目的 地网络地址。然后,路由器参考路由表以识别到达目的地网络地址的最佳 路由,识别为最佳路由列出的“下一跳”网络地址,并将该消息转发到具 有“下一跳”网络地址的设备。第3层交换机通常具有与路由器类似的网 络路由智能。在某些情况下,交换机146可以是第3层交换机。即,在某 些实施例中,交换机146可以利用网络地址进行路由和/或转发。
如前所述,交换机146是“智能过程控制交换机”,意味着交换机146 专门配置用于过程控制环境并且用于与过程控制系统特有的设备(诸如过 程控制器、现场设备、I/O卡、过程控制工作站、过程控制历史库等)通信。 交换机146固件可以包含解决DeltaV通信要求的特定配置,诸如风暴控制 (限制特定通信的数据传输)和/或回路预防。通过将专门为过程控制系统 100设计的固件下载到交换机146,交换机146可以被配置用于过程控制操 作。专用固件解决过程控制系统100特有的用例,并且通常用户无法访问 以改变。一般而言,所使用的固件旨在防止网络回路,防止网络风暴,并 锁定未使用的交换机端口。
交换机146包括一个或多个通信端口202、控制台访问端口204和状态 灯206。通信端口202用于互连各种其他网络设备和过程控制系统部件,以 通过网络150进行通信,而状态指示灯206指示网络设备的当前操作,并 且可以用于诊断目的。一般而言,端口202被配置用于接收有线的物理连 接,诸如以太网连接(例如,利用CAT5ScTP电缆或CAT6电缆)或光纤 连接。
交换机146还包括电路230,其是专用配置为执行由交换机146执行的 操作和功能的专用集成电路(ASIC)。在高层级,电路230控制端口202。 特别地,电路230启用和禁用端口220,锁定和解锁端口220,并处理在端 口220处接收的消息。而图2B将电路230示出为单个电路,在一些实施方 式中,交换机146可包括执行参考电路230描述的功能的多个电路。
此外,交换机146可以包括存储器208(其可以包括易失性存储器210 和/或非易失性存储器212),其储存以下内容:(i)一个或多个标准和专用 管理信息库(MIB)214;(ii)交换表216(有时称为“转发数据库表”或 “FDB表”);(iii)动态地址表218;(iii)静态地址表220;(iv)地址匹配 表222。在某些情况下,存储器208可以包括内容可寻址存储器(CAM),并且表214-222中的一个或多个可以储存到CAM。
一般而言,MIB 214中的每一个是对象或变量的数据库,其可被操纵 以管理对应于特定MIB 214的设备(例如,交换机146)。MIB 214可以包 括可通过命令行接口(CLI)访问的对象集合,用于管理交换机146并实现 特定于过程控制网络150的功能。一个或多个专用MIB 214可以包括可由 电路230管理的对象,用以控制本文所述的锁定和解锁功能。此外,电路 230可以利用专用MIB 214来通过与交换机146通信的运行时间API为 DeltaVTM网络安全特征提供接口。过程控制网络150可以被配置为包括网 络设备的混合体,每个网络设备包括用于控制锁定和解锁功能(即“锁定 设备”)以及没有锁定或解锁功能的商用现成网络设备的专用MIB。
交换表216包括一个或多个物理地址(例如,MAC地址)和交换机146 针对每个物理地址的对应端口。在操作中,交换机146在一个端口202处 接收消息。电路230分析该消息以识别包括在消息中的目的地物理地址, 并参考交换表216以识别对应于目的地物理地址的端口202。当交换表216 不包括目的地物理地址时,电路230可以执行洪泛例程,在该例程期间它 使得交换机146经由所有端口202传送消息。假设具有目的地物理地址的 设备(直接或间接地)连接到一个端口202,设备将响应所接收的消息。在 交换机146接收到响应之后,电路230将目的地物理地址和电路230从目 的地设备接收响应的端口202记录到交换表216。
一般而言,交换机146不使用动态地址表218来做出关于消息的转发 或丢弃的决定。相反,动态地址表218表示连接到端口的设备的记录,其 可以随时间连续更新。动态地址表218列出当前连接到交换机146的每个 端口202的终端设备的物理地址。例如,交换机146可以通过分析从设备 接收的帧175(如图1C所示)以识别设备的源MAC地址180来动态地学 习物理地址到特定端口202的映射。交换机146将源MAC地址180添加到 动态地址表218,作为映射到特定端口202的物理地址。此外,交换机146 可以通过(i)分析帧175以识别目的地设备的目的地MAC地址182,(ii) 执行关于交换表216描述的洪泛例程,以及(iii)识别接收到来自目的地设 备的响应消息的端口202,来动态地学习物理地址到第二端口的映射。在某 些情况下,可以通过从转发表216复制信息来周期性地更新动态地址表218。 此外,在一些实施方式中,交换机146仅使用表216和218中的一个来进 行转发决策和跟踪连接设备的物理地址。
随着节点通过将新物理地址映射到新设备所连接的端口202以及使当 前未使用的物理地址老化(例如,跟踪在没有成功地将消息发送到特定物 理地址或从特定物理地址发送消息的情况下已经过去的时间或消息数量) 而连接到交换机146或从交换机146断开连接,电路230可以更新动态地 址表218。例如,在老化时间到期时,电路230可以从动态地址表218中移 除物理地址。
类似于动态地址表218,静态地址表220列出与每个端口202相关联的 终端设备的物理地址。然而,表220中的物理地址不是动态学习的并且不 会老化。相反,当交换机146被锁定时,通过复制动态表218来明确地输 入它们。在交换机146的固件中实现的功能可以将交换表216与表218和 220进行比较以处理进入的消息。当实现认证操作以认证在端口202处接收 的消息中包括的源物理地址时,电路230可以利用静态地址表220。具体地, 如果没有将接收消息的源物理地址识别为静态地址表220中映射到接收端 口的已知物理地址,则电路230可以丢弃该消息。
一般而言,当交换机146处于正常或“解锁”状态时,可以将物理地 址添加到交换表216。例如,在“未锁定”状态下,当交换机146接收以太 网帧175时,电路130检查目的地MAC地址180并参考交换表216以识别 应当将帧175转发到的适当端口202。如果交换表216不包括关于所接收的 目的地MAC地址180的信息,则交换机146将以太网帧175广播到网络150中的所有端口。在另一网络设备处识别出广播的MAC时,可以将另一 帧发送到广播交换机146,其将发现的MAC地址添加到动态地址表218和 FDB表216。然而,在“锁定”状态(如下面进一步讨论的),交换表216 可以在其当前配置中被冻结到防止进一步的改变或添加。可以将锁定时包 括在动态地址表218中的先前学习的物理地址和其他信息移动到静态地址表220,并且可以禁用对交换机146的学习。在锁定状态下,不能改变交换 表216,从而防止交换机146接受和转发从未知或未先前学习的MAC地址 182接收的帧175。
地址匹配表222列出了储存在表216、218和220中的一个或多个表中 的每个已知物理地址的网络地址。交换机146可以通过发送对网络地址的 ARP请求来确定已知物理地址的网络地址。可替换地,在某些情况下,数 据库可以储存过程控制网络150上的节点的网络地址列表,并且交换机146 可以从数据库下载已知物理地址的网络地址。虽然交换机146不利用地址 匹配表222来为接收的消息选择转发端口,但是交换机146可以使用表222 来防止地址解析协议(ARP)欺骗。特别地,当交换机146被锁定时,它 可以通过验证源设备具有与地址匹配表222中的已知网络地址匹配的网络 地址来验证已经向交换机146传送消息的源设备的身份(identify)。当恶意 设备欺骗已知设备的物理地址时,此验证可能会有所帮助。下面参考图5 更详细地描述地址匹配表222。
当交换机146具有上行链路端口(即,连接到第二交换机的端口)时, 交换机146可以实现与第二交换机的握手以确定第二交换机是“管理型” 交换机还是“非管理型”交换机。一般而言,“管理型”交换机能够锁定其 端口,而“非管理型”交换机不能锁定其端口。在握手期间,交换机146 可以从第二交换机接收关于其“可锁定性”或作为管理或非管理状态的状 态的指示。在一些情况下,交换机146可以向第二交换机传送查询,并且 第二交换机可以以第二交换机是管理型的指示进行响应。第二交换机还可 以以第二交换机是非管理型的指示进行响应,或者可以简单地不响应。在 特定时间段(例如,1秒、5秒、30秒等)内未能接收到响应可以用作向交 换机146指示第二交换机是非管理型的。
当交换机146接收到管理第二交换机是管理型的指示时,交换机146 可以在假设第二交换机将处理锁定第二交换机的端口的情况下绕过锁定第 二交换机。据此,交换机146可以监视通过第二交换机通信的设备的源物 理地址,并且可以将这些被监视的源物理地址与已知物理地址的记录进行 比较。当交换机146检测到不是已知物理地址的连接到第二交换机的监视 的源物理地址时,交换机146可以生成警报(例如,可以传送到工作站120或122中的一个以供经由用户界面显示的端口违规警报)。
图3A示出了用于锁定和解锁一个或多个交换机146的端口202的示例 性方法300。通常,方法300允许过程控制系统100的用户锁定交换机146, 使得交换机146丢弃从“未知”设备接收的任何消息。例如,如果用户从 交换机146的端口202拔出设备并在其位置插入不同设备,则交换机146 拒绝来自不同设备的任何消息并警告用户界面、监视服务和/或在系统100 的工作站120、122上执行的其他应用程序。在锁定状态下,可以锁定网络 150和/或155中的所有端口202,从而防止具有“未知”物理地址的任何新 设备经由端口202进行通信。虽然下面的方法一般参考图4A-D中所示的用 户界面400,但应该理解,可以使用用于执行所描述的功能的任何合适的用 户界面。
在块302处,用户可以启动过程控制网络安全应用程序,其显示用户 界面400(图4A-D中所示)以开始锁定过程。工作站120或122中的一个 可以提供用户界面400,其可以利用交换机146处的MIB 214来启动锁定和 解锁过程。
在块304处,应用程序可以发起交换机发现,其可以是自动的(例如, 在启动时)或响应于来自用户的输入。用户界面400可以显示“发现交换 机”的状态指示402或者正在识别过程控制网络150的一个或多个交换机 146的另一指示。在一些实施例中,应用程序可以在启动网络设备发现时禁 用用户界面400的一个或多个功能按钮。用户还可以手动启动网络设备发 现。在一些情况下,应用程序可以发现过程控制网络150内存在的任何交 换机(管理型或非管理型)。在其他情况下,应用程序可以仅识别包括锁定 功能的那些网络设备,诸如交换机146。
应用程序可以通过使用一个或多个参数搜索网络150来发现交换机 146。在一些情况下,应用程序可以另外或替代地搜索网络155。可以使用 交换机146的物理地址来初始发现交换机146。交换机146可以被配置为在 调试过程期间具有网络地址。在该调试过程之后,启用通过MIB 214与交 换机146的通信(例如,可以通过定位交换机146的专用MIB 214来识别 交换机146),并且LAN外部的设备可以通过将消息寻址到交换机146的网 络地址来向交换机传送消息。应用程序可以通过搜索指定范围的物理地址 和/或网络地址来搜索交换机146。注意,虽然交换机146本身可以具有网 络地址,但是当为接收的消息选择转发端口时,交换机146通常不依赖于 其他设备的网络地址。
在块306处,在块304处发现的一个或多个交换机146(图4B)可以 由用户界面400通过可扩展下拉菜单406(图4A)来显示,可以为交换机 146显示用于从可扩展下拉菜单406中选择的所发现交换机中的一个的参数 (图4C)。例如,可以在用户界面400的窗口中显示诸如锁定状态、锁定 定时器和密码寿命之类的安全参数。窗口还可以显示交换机警报(例如, 通信、故障、维护、建议)和部件状态参数(例如,电源状态、机箱温度 等)。还可以列出交换机的端口以及每个端口的多个参数(例如,指示端口 是启用还是禁用,识别连接的端节点的节点名称,识别端口锁定地址,和/ 或指示是否存在端口锁定违规)。
一旦发现了所有可发现的交换机146,用户界面400可以指示搜索完 成。在一些实施例中,当方法300第一次启动时,可以仅在界面400的退 役交换机列表中以其物理地址显示交换机146。当发现的交换机未被锁定 时,锁定状态可以指示发现的交换机146处于“解锁”状态。在解锁状态 中,交换机146能够执行网络150内的所有正常功能。在一些实施例中, 处于解锁状态的端口202可以执行学习、老化和转发的基本透明桥接功能。 默认老化时间可以设置为六百秒(十分钟),但是可以根据交换机146和网 络150的配置来设置其他默认时间。完成搜索后,一个或多个功能按钮434 可用以供由用户或自动过程选择。
在块308处,用户或自动过程可以选择图4A中所示的用户界面400上 列出的一个或多个“解锁”交换机。用户可以通过利用工作站的输入设备 (例如,鼠标或触摸屏)选择一个或多个期望的交换机来进行该选择,这 可以使得用户界面400显示具有用于锁定交换机的可选按钮的下拉菜单。 如图4B所示,用户还可以选择整个网络(例如,通过右击所期望网络)来 进行锁定(即,其中锁定所选网络中的所有交换机146)。在一些情况下, 一个或多个交换机146可包括硬件致动器(例如,按钮),其可被致动以启 动锁定。此外,自动过程可以基于触发选择用于锁定的交换机,例如检测 以某种容量连接到网络150的恶意设备。
在块310处,工作站响应于检测到用户选择锁定按钮(诸如图4B中所 示的锁定按钮436)而启动锁定过程(诸如图3B中所示的方法325)。由用 户界面400提供的锁定按钮可以启动过程以选择性地启动对过程控制网络 150的不同部分的锁定。例如,单独的按钮可以提供选择性地锁定整个网络、 主要网络、次要网络、各个交换机146或在一个或多个所选择的交换机146 处的特定端口202的能力。为了额外的安全性,在某些情况下可以仅从所选择的工作站120、122启动锁定过程,并且可以不使用例如不是过程控制 网络150的物理部分的远程工作站通过互联网启动锁定过程,或者可以仅 从一个或多个预先批准的MAC地址或IP地址启动锁定过程。在通过选择 锁定按钮启动锁定过程时,可以启动认证过程。例如,工作站可以从用户 请求用户名和密码或其他个人标识以确认对锁定过程的访问权限。应用程 序400可以利用通过MIB 214的管理访问来锁定和解锁交换机146。可以加 密通信,并且任何使用的密钥或密码对于用户可以是未知的,但是对于交 换机146和应用程序400是已知的。
在选择锁定按钮之后进行认证时,工作站可以向所选择的交换机146 发送锁定命令(例如,通过设置所选择的交换机146的专用MIB 214的一 个或多个变量)。响应于接收到锁定命令,交换机146可以锁定其所有端口202。一般而言,锁定端口202包括拒绝接受具有源MAC地址182的任何 消息或帧175,该源MAC地址182在激活锁定状态时没有包括在交换机146 的交换表216内。在一些实施例中,不允许的物理地址可以记录在交换机 146的存储器208中(例如,已知的、恶意MAC地址,属于未授权设备的 一系列MAC地址等),并且交换机146丢弃包括一个不允许的物理地址的 任何接收到的消息。
在块311处,在针对一个或多个交换机146执行锁定过程325之后, 可能需要解锁交换机146中的一个或多个,例如,在故障排除操作、例行 维护、诊断、网络重新配置期间等。
在块312处,用户或自动过程可以选择处于“锁定”状态的一个或多 个交换机146,并且在块314处,响应于用户选择诸如图4D中所示的解锁 按钮,用户使用的工作站可以启动解锁过程(诸如图3C中所示的方法350)。 与锁定按钮一样,解锁按钮可以启动对先前通过利用一个或多个专用MIB 214锁定的过程控制网络150的不同部分的解锁过程。为了额外的安全性, 解锁过程可以配置有锁定定时器,其自动重新锁定先前锁定的一个或多个 端口220。锁定定时器可以配置有默认设置,其中,在完成解锁过程之后的 一段时间期满时(块316),可以重新锁定一个或多个解锁的交换机146(块 310)。在一个实施例中,锁定定时器配置有60分钟的默认设置(即,三十 六百秒)。解锁过程可以从所选择的工作站120、122启动,并且可以不使 用例如不是过程控制网络150的物理部分的远程工作站通过互联网启动, 或者可以仅从一个或多个预先批准的MAC地址启动。
解锁过程还可以包括认证过程。例如,工作站120或122和/或用户界 面400可以从用户请求用户名和密码或其他个人标识以确认对锁定过程的 访问权限。如果用户被适当地认证,则用户可以访问一个或多个所选择的 锁定交换机146和/或端口202的专用MIB214以启动解锁。
图3B示出了用于锁定交换机146的端口202的示例性方法325。下面 描述的块可以由交换机146和/或工作站120或122实施。
在块326处,交换机146产生静态表,诸如静态地址表220。一般而言, 静态表是在启动锁定时连接到交换机146的每个端口的已知物理地址的记 录。端口状态和/或物理地址映射可以自动地或由用户显式地储存(例如, 储存到非易失性存储器212)。如果需要,交换机146可以在供电循环或重 新启动时使用已知物理地址的记录,以防止强制打开锁定端口。
在一些实施例中,通过从动态地址表218复制映射到每个端口202的 物理地址列表来产生静态表。在一些情况下,已知物理地址和其他数据可 以从动态地址表218中完全移除,并移到静态地址表220。在一些实施例中, 如果动态地址表218内的学习地址的当前数量大于最大数量,则可以仅锁 定地址的子集。然后可以从交换表216中移除剩余的地址,并且可能导致 连接错误。如果发生连接问题,则可以向用户界面发送错误消息以指示锁定过程中的故障。
在块328处,交换机146可以分析在每个端口处接收的每个消息,以 识别包括在每个消息中的源物理地址(例如,图1C中所示的源MAC地址 182)。然后,交换机146可以确定源物理地址是否包括在静态表中(块330)。 如果没有,则源物理地址是未知地址,并且丢弃该消息(块332)。
如果来自消息的源地址包括在静态表中,则交换机146分析与消息中 包括的目的地地址相对应的端口处的流量(块334)。如果转发端口处的流 量低于储存到存储器的流量阈值(例如,在交换机配置期间由用户或程序 输入),则转发该消息(块306)。如果不是,则保持消息直到流量低于阈值, 此时转发消息。在一些实施方式中,可以在预定时间之后丢弃消息,或者 可以立即丢弃消息。在一些实施例中,交换机146另外或替代地分析接收 端口处的流量,并且在流量低于预定流量阈值时仅分析消息的源地址(块 328)。
注意,在一些情况下,交换机146可以在锁定期间禁用交换机146的 典型功能。在一个实施例中,交换机146禁用交换机146或特定端口202 的地址学习和地址老化功能。例如,动态地址表218可以被禁用并且不再 接受任何条目,交换机146可能不再洪泛网络150以发现新地址,并且在 老化时间到期之后,可以不从动态地址表218中移除先前接收的地址。
在启动锁定之后,用户界面400可以将一个或多个交换机146的锁定 状态从“解锁”或将状态指示从“完成”改变为所选设备已锁定或正在锁 定的指示。参考图4C,在完成锁定过程后,用户界面400可以将任何锁定 交换机的“锁定状态”显示为“已锁定”。
图3C示出了用于解锁交换机146的示例性方法350。用户的工作站可 以向交换机146发送解锁命令(例如,通过改变交换机146的一个专用MIB 214的对象或变量的值)。
在块354处,可以删除将物理地址映射到特定端口的静态表220中的 地址数据。在一些实施例中,由用户或其他显式过程添加的静态地址数据 可以在解锁期间保留在静态地址表220中。
在块356处,交换机146可以启用端口220的解锁状态。具体地,交 换机146将停止丢弃具有与静态表218不匹配的源地址的消息。
在块358处,交换机146可以恢复正常端口或设备功能。例如,在解 锁状态下,可以恢复在锁定期间暂停的典型学习和老化功能,并且可以重 新填充交换表216和动态表218。
在块360处,交换机146可以储存新的交换机或端口配置。例如,端 口状态和/或物理地址可以自动地或由用户显式地储存,以由交换机146在 供电循环或重新启动时实现。
在一些实施例中,在块314处启动解锁过程之后,用户界面400可以 将一个或多个交换机的锁定状态从“锁定”改变为所选交换机处于“锁定 待决”状态的指示。另外,如果使用解锁过程初始化锁定定时器,则剩余 时间状态可以指示设备恢复到锁定状态之前剩余的时间量。剩余时间也可 以配置为永不恢复到锁定状态。例如,可以访问专用MIB 214的对象以将 定时器配置为“永不恢复”状态或任何其他时间量。
在一些实施例中,交换机146可以在加电时恢复到保存的配置。例如, 实体可以通过循环一个或多个交换机146的供电以强制打开锁定端口来试 图将未授权设备连接到过程控制网络150。在通电时,交换机146可以被配 置为访问在其非易失性存储器212(图2)处所保存的配置。因此,无论供 电循环交换机是否恢复到锁定或解锁状态,在供电循环之前连接到网络150 的所有设备都可以自动重新建立与系统的通信,而将拒绝在断电时添加到端口的任何新设备。如果以“解锁”状态为设备通电并且锁定定时器大于 零,则设备可以在该时间到期后自动进入锁定状态。
图5示出了根据一些实施例的地址匹配表222的示例。如图5所示的 地址匹配表222可以是能够储存在交换机146上(例如,使用内容可寻址 存储器)和/或在过程控制系统内的另一设备上的数据的表示。可替换地或 另外,设备(诸如交换机146、工作站120或122或另一设备)可以使得包 括在地址匹配表146中的至少一部分信息被呈现在用户界面上(例如,用 户界面400)以供用户访问和查看。应当理解,地址匹配表222仅仅是示例, 因此包括示例性信息,并且可以包括替代和/或附加信息。
地址匹配表222可以包括列集合,每列填充有相应的数据和信息。具 体地,地址匹配表222可以包括端口列505、IP地址列510、MAC地址列 515、锁定状态列520和安全状态列525。端口列505可以标识交换机146 的通信端口集合202(如图所示:通信端口1到6)。该通信端口集合202 中的每个通信端口可以具有与其连接的设备或另一个交换机。如果通信端口连接到另一个交换机146,则通信端口可以被认为是上行链路端口。尽管
图5示出了连接到每个端口的单个设备(或没有设备),但应当注意,单个 端口可以映射到多个设备,多个设备中的每个设备将包括物理地址(列 510)、网络地址(列515)、锁定状态(列520)和安全状态(列525)。
IP地址列510可以标识分别连接到该通信端口集合222的设备集合的 网络地址(例如,IP地址)集合,并且MAC地址列515可以标识分别对 应于通信端口集合的设备集合的物理地址(例如,MAC地址)集合。例如, 具有IP地址10.10.10.2和MAC地址00:0C:F5:09:56:E9的设备连接到通信 端口“1”。如图5所示,通信端口“3”和通信端口“6”都没有与其连接的设备,因此对应的IP和MAC地址为空。
锁定状态列520可以标识通信端口集合222中的每一个的锁定状态(例 如,“锁定”或“解锁”)。如图5所示,具有与其连接的设备的每个通信端 口222(通信端口“1”、“2”、“4”和“5”)是“锁定”的,并且没有与其 连接的设备的每个通信端口(通信端口“3”和“6”)是“解锁”的。然而, 应该注意,在典型示例中,当交换机146被锁定时,交换机146的所有端 口都被锁定,除非交换机端口被标识为上行链路端口或由用户经由CLI配 置手动配置为被忽略(始终解锁)。在本文讨论的实施例中,交换机146(具 体地,交换机146的一组ASIC)可以获得与启动被占用的通信端口的锁定 相关联的设备的IP和MAC地址。
安全状态列525可以标识通信端口集合中的每一个通信端口的安全状 态。根据实施例,交换机146可以自动且连续地监视经由该通信端口集合、 在已经与其连接的设备和/或可以在锁定交换机后连接到交换机的任何其他 设备之间和之中接收和传送的信息(例如,作为数据分组)。
交换机146可以检查任何接收的数据分组以确定在数据分组中包括的 信息中是否存在任何差异。具体地,交换机146可以将包括在数据分组中 的信息与包括在地址匹配表222中的信息进行比较,以识别差异。如果交 换机146没有识别出特定通信端口的数据分组业务的差异,则特定通信端 口的安全状态可以是“正常”。相反,如果交换机146识别出数据分组业务 中的差异,则特定通信端口222的安全状态可以从“正常”变为“告警”。
如图5所示,通信端口“2”和“6”的安全状态是“告警”,而其余通 信端口具有“正常”的安全状态。在示例性实施例中,通信端口“2”的安 全状态可以由于尝试ARP欺骗攻击而是“告警”。在该实施例中,最初连 接到通信端口“2”的设备可以由攻击设备代替(或者原始连接的设备可能 受损),其可以将数据分组发送到交换机146。交换机146可以检查数据分 组并确定数据分组中包括的IP地址和MAC地址中的一个或两个与地址匹 配表222中的相应IP地址和/或MAC地址不匹配。因此,交换机146可以 将相应通信端口的安全状态更新为“告警”。
类似地,在示例性实施例中,通信端口“6”的安全状态也可以由于尝 试ARP欺骗攻击而是“告警”。在该实施例中,可以解锁通信端口“6”, 因为在锁定时,没有与其连接的设备。在锁定之后,设备(可以是或可以 不是攻击设备)可以连接到解锁的通信端口“6”,并且设备可以向交换机 发送数据分组。交换机146可以检查数据分组并确定因为解锁通信端口“6”, 所以设备不应经由通信端口“6”进行通信。因此,交换机可以将通信端口 的安全状态更新为“告警”。
交换机146可以有助于任何检测到的告警的通信和/或显示。在实施例 中,交换机146可以连接到可以配备有用户界面的过程控制系统的另一个 设备。交换机146可以向设备传送一个或多个检测到的告警的指示,其中 设备可以被配置为经由用户界面显示或呈现一个或多个检测到的告警。因 此,与过程控制工厂相关联的用户(例如,个人或管理员)可以访问和查 看信息并促进适当的纠正或诊断操作。
图6示出了实现地址匹配表222以提高过程工厂内的过程控制系统(诸 如过程控制系统100)的安全性的示例性方法600的方框图。可以通过交换 机146来便于方法600的实施。
方法600可以在交换机146启动交换机146的通信端口集合的锁定(块 605)时开始。在实施例中,交换机146可以启动通信端口集合146的一部 分或全部的锁定。
与启动该通信端口集合的锁定相关联地,交换机146可以获得连接到 该通信端口集合的至少一部分的设备集合的网络地址集合(例如,IP地址 集合)(块610)。应当理解,交换机可以在启动(和/或完成)锁定之前、 同时或之后获得网络地址集合。在一种实施方式中,包含在交换机中的一 组ASIC可以使用和该设备集合与该通信端口集合的至少一部分的连接相 关联的数据来获得该网络地址集合。另外或替代地,该设备集合可以包括 过程工厂内的一个或多个设备和/或一个或多个附加设备(或附加交换机) 可以连接的一个或多个交换机。在特定实施方式中,交换机146可以获得 (i)连接到第一通信端口的第一设备的第一网络地址(即,设备连接),以 及(ii)经由附加交换机(即,交换机连接)连接到第二通信端口的多个设 备的多个网络地址。可以从过程控制网络上的另一设备获得网络地址。
交换机146可以与启动锁定相关联地,可选地获得连接到该通信端口 集合的至少一部分的设备集合的物理地址(例如,MAC地址)集合(块615)。 应当理解,交换机可以在启动(和/或完成)锁定之前、同时或之后获得该 物理地址集合。例如,交换机可以在启动锁定之前获得并记录该物理地址 集合。在一个实施方式中,包含在交换机146中的一组ASIC(例如,电路 230)可以使用和该设备集合与该通信端口集合的至少一部分的连接相关联 的数据来获得该物理地址集合。
交换机146可以为交换机146生成地址匹配表222(块620),其中, 地址匹配表222可以将设备集合的物理地址集合与该设备集合的网络地址 集合相匹配。地址匹配表222还可以将物理地址集合和网络地址集合与通 信端口集合的至少一部分相匹配。即,对于连接(直接或间接)到交换机 146的特定端口的每个设备,地址映射表222可以列出特定端口的网络地址 和物理地址的地址对。因此,连接到多个设备的端口将具有多个相关联的 地址对(即,每个连接设备一个地址对)。交换机146可以在本地储存(例 如,使用内容可寻址存储器)地址匹配表以供访问和查看。
交换机146可以经由该通信端口集合中的一个通信端口从设备接收数 据分组(块625),其中,该数据分组可以至少指示(i)设备的网络地址, 以及(ii)设备的物理地址。在实施例中,在交换机146启动锁定之前或之 后,设备可以连接到该通信端口集合中的一个通信端口。另外或替代地, 设备可以替换先前连接到该通信端口集合中的一个通信端口的另一设备 (即,在电缆更换的情况下)。另外或替代地,设备可以连接到解锁的通信 端口或通信端口集合的一部分的通信端口(即,锁定的通信端口)。
根据实施例,数据分组可以表示设备进行的ARP欺骗攻击,交换机146 可以被配置为通过确定设备的网络地址和设备的物理地址是否包括地址匹 配表222中(块630)来确定该ARP欺骗攻击。特别地,作为一对的设备 的网络地址和物理地址可以与包括在设备所连接的通信端口的地址匹配表 中的映射网络地址和映射物理地址不匹配。例如,如果设备连接到通信端 口“3”,并且设备的网络地址和物理地址中的任何一个或两者与通信端口 “3”的对应映射地址不匹配,则存在不匹配。
如果交换机146确定地址匹配(“是”),则处理可以结束、重复或继续 到其他功能。相反,如果交换机146确定地址不匹配(“否”),则可能存在 ARP欺骗尝试,并且交换机146可以生成告警(块635)。在实施例中,告 警可以指示设备所连接的通信端口集合中的一个通信端口,和/或包括设备 的网络地址和/或物理地址的其他信息。另外,交换机146可以致使告警呈 现在用户界面上(块640),其中,用户界面可以包括在过程工厂内的另一 个设备或部件上。因此,用户(例如,工厂技术人员或管理员)可以查看 告警的内容并启动适当的动作。
交换机146还可以确定是允许还是拒绝数据分组的传输(块645)。在 实施例中,该确定可以是默认选择(例如,总是允许或总是拒绝),或者交 换机146可以基于一个或多个因素动态地确定是允许还是拒绝传输,诸如 数据分组本身的内容、设备的物理地址、设备的网络地址和/或其他因素。
如果交换机确定允许传输(“允许”),则交换机可以允许数据分组的传 输(块650)。相反,如果交换机146确定拒绝传输(“拒绝”),则交换机可 以拒绝数据分组的传输(即,可以丢弃数据分组)。
图7示出了检测与交换机146相关联的安全问题的示例性方法700的 方框图。可以通过交换机146来便于方法700的实施。
方法700可以在交换机146可选地启动(块705)交换机146的通信端 口集合的锁定时开始,如本文所述。在实施例中,交换机146可以启动通 信端口集合的一部分或全部的锁定,使得在一些情况下,如果需要,一个 或多个通信端口可以保持解锁。
与启动通信端口集合的锁定相关联,交换机146可以获得连接到该通 信端口集合的至少一部分的设备集合的网络地址集合(例如,IP地址集合)。 应当理解,交换机146可以在启动(和/或完成)锁定之前、同时或之后获 得网络地址集合。在一个实施方式中,包含在交换机146中的一组ASIC可 以使用和该设备集合与该通信端口集合的至少一部分的连接相关联的数据 来获得该网络地址集合。另外或替代地,该组设备可以包括过程工厂内的一个或多个设备和/或一个或多个附加设备(或附加交换机)可以连接的一 个或多个交换机。在特定实施方式中,交换机146可以获得(i)连接到第 一通信端口的第一设备的第一网络地址(即,设备连接),以及(ii)经由 附加交换机连接到第二通信端口的多个设备的多个网络地址(即,交换机 连接)。
,交换机146可以与启动锁定相关联地,可选地获得连接到该通信端 口集合的至少一部分的设备集合的物理地址集合(例如,MAC地址集合)。 应当理解,交换机可以在启动(和/或完成)锁定之前、同时或之后获得该 物理地址集合。例如,交换机146可以在启动锁定之前获得并记录物理地 址集合。在一个实施方式中,包含在交换机146中的一组ASIC可以使用和 该设备集合与该通信端口集合的至少一部分的连接相关联的数据来获得该 物理地址集合。
交换机146还可以生成并访问地址匹配表222(块710),其中,地址 匹配表222可以将设备集合的物理地址集合与设备集合的网络地址集合相 匹配。地址匹配表222还可以将物理地址集合和网络地址集合与通信端口 集合的至少一部分相匹配。因此,具有与其连接的设备的每个通信端口可 以具有设备的相关物理地址和设备的网络地址。在一个实施方式中,包含 在交换机146中的一组ASIC可以生成地址匹配表222。交换机146可以在 本地储存(例如,使用内容可寻址存储器)地址匹配表以供访问和查看。
交换机146可以广播指定与地址匹配表中包括的网络地址集合中的一 个网络地址相匹配的目的地网络地址的映射请求(块715)。在一个实施例 中,映射请求可以是包括来自地址映射表的IP地址的ARP请求的形式,其 中,ARP请求旨在找到与IP地址相对应的MAC地址,并且其中,可以将 ARP请求发送到连接到交换机的每个设备。
交换机146可以经由通信端口集合中的一个通信端口从回复设备接收 对映射请求的回复(块720),其中,回复可以指示(i)目的地网络地址和 (ii)回复设备的物理地址。根据实施例,来自回复设备的回复可以表示回 复设备尝试的ARP欺骗攻击,交换机146可以被配置为确定该ARP欺骗攻 击。
因此,交换机146可以确定回复设备的物理地址是否与地址匹配表中 包括的设备集合的物理地址集合中的任何一个物理地址相匹配(块725)。 特别地,对于回复设备所连接的通信端口,回复设备的物理地址可以与地 址匹配表222中包括的映射物理地址不匹配。例如,如果回复设备连接到 通信端口“3”,并且回复设备的物理地址与通信端口“3”的对应映射物理 地址不匹配,则存在不匹配。在一个实施方式中,包含在网络中的一组ASIC可以做出确定。
如果交换机146确定物理地址匹配(“是”)(即,不存在尝试ARP欺 骗攻击),则处理可以结束、重复或继续到其他功能。相反,如果交换机146 确定物理地址不匹配(“否”),则可能存在ARP欺骗尝试,交换机可以生 成告警(框730)。在实施例中,告警可以指示回复设备所连接的通信端口 集合中的一个通信端口,和/或包括回复设备的网络地址和/或物理地址的其 他信息。另外,交换机146可以致使告警呈现在用户界面上(框735),其 中,用户界面可以包括在过程工厂内的另一个设备或部件上。因此,用户 (例如,工厂技术人员或管理员)可以查看告警的内容并启动适当的动作。
本文描述的锁定例程和地址映射例程可以用软件、硬件、固件或其某 种组合来实现。因此,本文描述的方法300、325、350、500、600和700 可以在标准多用途CPU中和/或在专门设计的硬件或固件(诸如ASIC)上 实现。当在软件中实现时,软件可以储存在任何计算机可读存储器中,诸 如磁盘、激光盘、光盘或其他储存介质,计算机或处理器的RAM或ROM 等中。该软件可以经由任何已知或期望的传送方法传送给用户或过程控制 系统,包括例如在计算机可读盘或其他可输送的计算机储存机构上或通过 诸如电话线、互联网等的通信信道调制(被视为与经由可输送的储存介质 提供这种软件相同或可互换)。
一般而言,如本文所使用的,短语“存储器”或“存储器设备”是指 包括计算机可读介质(“CRM”)的系统或设备。“CRM”指的是相关计算 系统为了放置、保存和/或检索信息(例如,数据、计算机可读指令、程序 模块、应用程序、例程等)可访问的介质或媒介。注意,“CRM”指的是本 质是非暂时性的介质,并不是指无形的瞬态信号,例如无线电波。
如参考图1A所述,网络150是节点(例如,能够发送、接收和/或转 发信息的设备或系统)和连接以实现节点之间的通信的通信链路的集合。 一般而言,术语“节点”指的是连接点、再分配点或通信端点。节点可以 是能够发送、接收和/或转发信息的任何设备或系统(例如,计算机系统)。 例如,发起和/或最终接收消息的终端设备或终端系统是节点。接收和转发 消息的中间设备(例如,在两个终端设备之间)通常也被认为是“节点”。 “通信链路”或“链路”是连接两个或多个节点的路径或介质。链路可以 是物理链路和/或逻辑链路。物理链路是其上传输信息的接口和/或介质,并 且本质上可以是有线或无线的。物理链路的示例可以包括具有用于传输电 能的导体的电缆,用于传输光的光纤连接,和/或经由对电磁波的一个或多 个特性进行的改变来承载信息的无线电磁信号。

Claims (15)

1.一种过程控制交换机,包括:
多个端口;及
电路集合,所述电路集合通信地连接到所述多个端口,所述电路集合被配置为锁定所述多个端口,其中,所述电路集合被配置为:
将连接到所述多个端口中的单个端口的第二交换机确定为可解锁的交换机;
产生静态地址表,所述静态地址表(i)将过程控制环境中的设备的已知物理地址映射到所述设备所连接的所述多个端口中的一个或多个端口,以及(ii)在锁定所述多个端口的情况下没有用新的已知物理地址来更新,其中,所述静态地址表经由所述可解锁的交换机映射连接到所述单个端口的每个设备的多个已知物理地址;以及
限制所述多个端口中的每个端口的流量,其中,所述电路集合:(i)控制在每个端口处转发的消息的数量以符合流量阈值,以及(ii)认证包括在每个端口处接收到的所述消息中的每条消息的源物理地址,所述认证包括:
(a)分析所述消息以识别包括在所述消息中的源物理地址;
(b)当所述静态地址表将所述源物理地址列为映射到所述单个端口的已知物理地址时,经由所述多个端口中的一个端口转发所述消息;及
(c)当所述静态地址表没有将所述源物理地址列为映射到所述单个端口的已知物理地址时,丢弃所述消息。
2.根据权利要求1所述的过程控制交换机,其中,所述电路集合被配置为基于将物理地址映射到所述多个端口的交换表,在不使用网络地址的情况下转发在所述多个端口处接收的消息。
3.根据权利要求1所述的过程控制交换机,其中,所述电路集合被配置为基于对网络地址的分析来转发在所述多个端口处接收的消息。
4.根据权利要求1所述的过程控制交换机,其中,所述电路集合是专门配置为执行方法步骤的专用集成电路(ASIC)。
5.根据权利要求1所述的过程控制交换机,其中,所述静态地址表储存到内容可寻址存储器(CAM)中。
6.根据权利要求1所述的过程控制交换机,其中,当所述过程控制交换机处于解锁状态时,通过复制由所述电路集合填充的动态地址表来产生所述静态地址表。
7.根据权利要求6所述的过程控制交换机,其中,所述动态地址表是由所述电路集合用于基于以下各项为接收的消息选择转发端口的交换表:(i)包括在所述消息中的目的地物理地址,以及(ii)映射到所述目的地物理地址的相应端口。
8.根据权利要求6所述的过程控制交换机,其中,所述动态地址表不同于由所述电路集合用于基于以下各项为接收的消息选择转发端口的交换表:(i)包括在所述消息中的目的地物理地址,以及(ii)映射到所述目的地物理地址的相应端口。
9.根据权利要求1所述的过程控制交换机,其中,所述电路集合被配置为响应于接收到根据用户与用户界面进行交互以手动启动锁定命令而传送到所述过程控制交换机的所述锁定命令来实现锁定操作。
10.根据权利要求1所述的过程控制交换机,其中,所述电路集合被配置为响应于接收到根据设备检测到所述过程控制交换机所连接的网络上的安全威胁而传送到所述过程控制交换机的锁定命令来实施锁定操作。
11.一种用于锁定和解锁端口的方法,包括:
将连接到过程控制交换机的多个端口中的单个端口的第二交换机确定为可解锁的交换机;
通过产生静态地址表来锁定所述过程控制交换机,所述静态地址表(i)将过程控制环境中的设备的已知物理地址映射到所述设备所连接的多个端口中的一个或多个端口,以及(ii)在所述过程控制交换机被锁定的情况下无法用新的已知物理地址来更新,其中,所述静态地址表经由所述可解锁的交换机映射连接到所述单个端口的每个设备的多个已知物理地址;
通过以下方式来限制所述多个端口中的每个端口的流量:(i)控制在每个端口处转发的消息的数量以符合流量阈值,以及(ii)认证包括在每个端口处接收到的所述消息中的每条消息的源物理地址,其中,所述认证包括:
(a)分析所述消息以识别包括在所述消息中的源物理地址;
(b)当所述静态地址表将所述源物理地址列为映射到所述单个端口的已知物理地址时,经由所述多个端口中的一个端口转发所述消息;以及
(c)当所述静态地址表没有将所述源物理地址列为映射到所述单个端口的已知物理地址时,丢弃所述消息。
12.根据权利要求11所述的方法,其中,经由所述多个端口中的一个端口转发所述消息包括:基于将物理地址映射到所述多个端口的交换表,在不使用网络地址的情况下转发所述消息。
13.根据权利要求11所述的方法,其中,经由所述多个端口中的一个端口转发所述消息包括:基于对网络地址的分析来转发所述消息。
14.根据权利要求11所述的方法,还包括:接收响应于设备检测到所述过程控制交换机所连接的网络上的安全威胁而传送到所述过程控制交换机的锁定命令,其中,锁定所述过程控制交换机响应于接收到所述锁定命令而发生。
15.根据权利要求11所述的方法,还包括:通过停止所述认证来解锁所述过程控制交换机,以便在不认证包括在所述消息中的源物理地址的情况下转发所述消息。
CN201811148322.5A 2017-09-29 2018-09-29 增强的智能过程控制交换机端口锁定 Active CN109617813B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202211573289.7A CN116015757A (zh) 2017-09-29 2018-09-29 增强的智能过程控制交换机端口锁定
CN202210369207.0A CN114629861B (zh) 2017-09-29 2018-09-29 增强的智能过程控制交换机端口锁定

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
US201762565924P 2017-09-29 2017-09-29
US201762565920P 2017-09-29 2017-09-29
US62/565,920 2017-09-29
US62/565,924 2017-09-29
US15/949,879 2018-04-10
US15/949,879 US11038887B2 (en) 2017-09-29 2018-04-10 Enhanced smart process control switch port lockdown

Related Child Applications (2)

Application Number Title Priority Date Filing Date
CN202211573289.7A Division CN116015757A (zh) 2017-09-29 2018-09-29 增强的智能过程控制交换机端口锁定
CN202210369207.0A Division CN114629861B (zh) 2017-09-29 2018-09-29 增强的智能过程控制交换机端口锁定

Publications (2)

Publication Number Publication Date
CN109617813A CN109617813A (zh) 2019-04-12
CN109617813B true CN109617813B (zh) 2022-12-30

Family

ID=65897939

Family Applications (4)

Application Number Title Priority Date Filing Date
CN202211573289.7A Pending CN116015757A (zh) 2017-09-29 2018-09-29 增强的智能过程控制交换机端口锁定
CN202210369207.0A Active CN114629861B (zh) 2017-09-29 2018-09-29 增强的智能过程控制交换机端口锁定
CN201811149334.XA Pending CN109587109A (zh) 2017-09-29 2018-09-29 过程控制交换机的中毒保护
CN201811148322.5A Active CN109617813B (zh) 2017-09-29 2018-09-29 增强的智能过程控制交换机端口锁定

Family Applications Before (3)

Application Number Title Priority Date Filing Date
CN202211573289.7A Pending CN116015757A (zh) 2017-09-29 2018-09-29 增强的智能过程控制交换机端口锁定
CN202210369207.0A Active CN114629861B (zh) 2017-09-29 2018-09-29 增强的智能过程控制交换机端口锁定
CN201811149334.XA Pending CN109587109A (zh) 2017-09-29 2018-09-29 过程控制交换机的中毒保护

Country Status (4)

Country Link
US (3) US10938819B2 (zh)
JP (3) JP7414391B2 (zh)
CN (4) CN116015757A (zh)
GB (3) GB2604811B (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10938819B2 (en) 2017-09-29 2021-03-02 Fisher-Rosemount Systems, Inc. Poisoning protection for process control switches
US10470111B1 (en) * 2018-04-25 2019-11-05 Hewlett Packard Enterprise Development Lp Protocol to detect if uplink is connected to 802.1D noncompliant device
CN110505176B9 (zh) * 2018-05-16 2023-04-11 中兴通讯股份有限公司 报文优先级的确定、发送方法及装置、路由系统
JP7138043B2 (ja) * 2018-12-28 2022-09-15 日立Astemo株式会社 情報処理装置
EP3923146B1 (en) * 2019-04-01 2023-11-22 E-Jan Networks Co. Communication system, information providing device, program, and information providing method
US10891238B1 (en) * 2019-06-28 2021-01-12 International Business Machines Corporation Dynamically joining and splitting dynamic address translation (DAT) tables based on operational context
US11290453B2 (en) 2019-07-12 2022-03-29 Bank Of America Corporation Split-tiered point-to-point inline authentication architecture
CN110995696B (zh) * 2019-11-29 2022-02-11 上海观安信息技术股份有限公司 一种伪造mac群体的发现方法及装置
CN111224997B (zh) * 2020-01-17 2022-11-01 杭州迪普科技股份有限公司 一种抑制病毒在局域网中传播的方法及装置
CN111355746B (zh) * 2020-03-16 2022-08-05 深信服科技股份有限公司 一种通信方法、装置、设备及存储介质
US11558349B2 (en) 2020-08-10 2023-01-17 Arista Networks, Inc. MAC mobility for 802.1x addresses for virtual machines
US11509627B2 (en) * 2020-08-10 2022-11-22 Arista Networks, Inc. MAC mobility for 802.1x addresses for physical machines
CN113346980B (zh) * 2021-08-02 2023-08-11 浙江国利信安科技有限公司 用于消息转发的方法、电子设备和计算机存储介质
CN114244702B (zh) * 2022-02-23 2022-05-31 苏州浪潮智能科技有限公司 交换机配置管理方法、装置、电子设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101686260A (zh) * 2008-09-25 2010-03-31 费舍-柔斯芒特系统股份有限公司 过程控制网络的一键安全上锁
CN106878253A (zh) * 2015-09-30 2017-06-20 丛林网络公司 Mac(l2)层认证、安全性和策略控制

Family Cites Families (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6999824B2 (en) 1997-08-21 2006-02-14 Fieldbus Foundation System and method for implementing safety instrumented systems in a fieldbus architecture
US6505255B1 (en) 1999-04-29 2003-01-07 Mitsubishi Electric Information Technology Center America, Inc. (Ita) Method for formatting and routing data between an external network and an internal network
US7369550B1 (en) * 1999-04-22 2008-05-06 Advanced Micro Devices Method and apparatus for locking a table in a network switch
US6917626B1 (en) * 1999-11-30 2005-07-12 Cisco Technology, Inc. Apparatus and method for automatic cluster network device address assignment
GB2358761B (en) 2000-01-25 2002-03-13 3Com Corp Multi-port network communication device with selective mac address filtering
JP4707288B2 (ja) * 2001-09-27 2011-06-22 富士通株式会社 ネットワーク監視装置およびネットワーク監視方法
US20040162996A1 (en) 2003-02-18 2004-08-19 Nortel Networks Limited Distributed security for industrial networks
US7516487B1 (en) * 2003-05-21 2009-04-07 Foundry Networks, Inc. System and method for source IP anti-spoofing security
CN1310467C (zh) * 2003-06-24 2007-04-11 华为技术有限公司 基于端口的网络访问控制方法
US7761923B2 (en) 2004-03-01 2010-07-20 Invensys Systems, Inc. Process control methods and apparatus for intrusion detection, protection and network hardening
JP4148931B2 (ja) 2004-08-16 2008-09-10 富士通株式会社 ネットワークシステム、監視サーバ及び監視サーバプログラム
JP2006203300A (ja) * 2005-01-18 2006-08-03 Toshiba Corp 転送装置、アクセス可否判定方法およびプログラム
KR100528171B1 (ko) * 2005-04-06 2005-11-15 스콥정보통신 주식회사 네트워크 상에서 특정 아이피 주소 또는 특정 장비를보호/차단하기 위한 아이피 관리 방법 및 장치
GB2425681A (en) * 2005-04-27 2006-11-01 3Com Corporaton Access control by Dynamic Host Configuration Protocol snooping
JP2006324723A (ja) * 2005-05-17 2006-11-30 Fujitsu Ltd Lanへの不正アクセス防止方式
TW200643706A (en) 2005-06-06 2006-12-16 Mosdan Internat Co Ltd Method to use network switch for controlling computer access to network system
US7774089B2 (en) 2005-08-18 2010-08-10 Rockwell Automation Technologies, Inc. Method and apparatus for disabling ports in a motor control system
KR100694296B1 (ko) 2005-11-08 2007-03-14 한국전자통신연구원 가상 인터페이스 기반의 2 계층 멀티캐스트 스위칭 및 3계층 멀티캐스트 라우팅 동시 제공 시스템 및 그 방법
JP4510751B2 (ja) * 2005-12-02 2010-07-28 富士通株式会社 ネットワーク障害検出装置
US7512146B1 (en) 2006-01-31 2009-03-31 Garrettcom, Inc. Method and apparatus for layer 2 multicast traffic management
US7802296B2 (en) * 2006-08-23 2010-09-21 Cisco Technology, Inc. Method and system for identifying and processing secure data frames
US7936670B2 (en) * 2007-04-11 2011-05-03 International Business Machines Corporation System, method and program to control access to virtual LAN via a switch
US9109904B2 (en) 2007-06-28 2015-08-18 Apple Inc. Integration of map services and user applications in a mobile device
US8200798B2 (en) * 2007-12-29 2012-06-12 Cisco Technology, Inc. Address security in a routed access network
US8625428B2 (en) * 2008-06-05 2014-01-07 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for handling a switch using a preferred destination list
GB2474545B (en) 2009-09-24 2015-06-24 Fisher Rosemount Systems Inc Integrated unified threat management for a process control system
US9054996B2 (en) 2009-12-24 2015-06-09 Juniper Networks, Inc. Dynamic prioritized fair share scheduling scheme in over-subscribed port scenario
US8416696B2 (en) * 2010-01-04 2013-04-09 Cisco Technology, Inc. CFM for conflicting MAC address notification
JP5403756B2 (ja) * 2010-03-03 2014-01-29 Kddi株式会社 管理装置、プログラム及びトラフィック制御方法
US8908564B2 (en) 2010-06-28 2014-12-09 Avaya Inc. Method for Media Access Control address learning and learning rate suppression
US8717895B2 (en) 2010-07-06 2014-05-06 Nicira, Inc. Network virtualization apparatus and method with a table mapping engine
EP2509265B1 (de) 2011-04-08 2013-12-04 Siemens Aktiengesellschaft Zugangsschutzgerät für ein Automatisierungsnetzwerk
CN103828477B (zh) 2011-09-15 2018-05-22 费希尔-罗斯蒙特系统公司 跨越使用不兼容网络路由协议的通信网络传送数据帧
US8812466B2 (en) 2012-02-10 2014-08-19 International Business Machines Corporation Detecting and combating attack in protection system of an industrial control system
US9021574B1 (en) 2013-03-12 2015-04-28 TrustPipe LLC Configuration management for network activity detectors
US9177163B1 (en) 2013-03-15 2015-11-03 Google Inc. Data access lockdown
US9467459B2 (en) * 2013-03-15 2016-10-11 Aruba Networks, Inc. System and method for detection of rogue routers in a computing network
KR101455167B1 (ko) * 2013-09-03 2014-10-27 한국전자통신연구원 화이트리스트 기반의 네트워크 스위치
EP3059906B1 (en) * 2013-11-19 2018-06-20 Huawei Technologies Co., Ltd. Table items addressing method, switch, and controller based on flow table
US10505893B1 (en) * 2013-11-19 2019-12-10 El Toro.Com, Llc Generating content based on search instances
US20150161404A1 (en) 2013-12-06 2015-06-11 Barrett N. Mayes Device initiated auto freeze lock
CN103856579B (zh) * 2014-03-03 2017-01-25 国家电网公司 基于mac地址匹配的智能变电站网络设备拓扑动态识别方法
CN105099847B (zh) * 2014-05-05 2019-01-08 新华三技术有限公司 一种多归属接入方法和装置
US9729498B2 (en) * 2014-05-21 2017-08-08 Alcatel Lucent Distributed address resolution protocol forwarding
US9450884B2 (en) * 2014-06-11 2016-09-20 Alcatel-Lucent Software defined networking based congestion control
US20160373441A1 (en) * 2015-06-16 2016-12-22 Avaya Inc. Providing secure networks
US10038632B2 (en) * 2015-07-23 2018-07-31 Netscout Systems, Inc. AIA enhancements to support L2 connected networks
US20170032462A1 (en) * 2015-07-30 2017-02-02 Fixnetix Limited Systems and methods for providing real-time pre-trade risk assessment
JP6433865B2 (ja) * 2015-08-26 2018-12-05 アラクサラネットワークス株式会社 通信装置
US10187218B2 (en) * 2015-09-15 2019-01-22 Google Llc Systems and methods for processing packets in a computer network
WO2017049045A1 (en) * 2015-09-16 2017-03-23 RiskIQ, Inc. Using hash signatures of dom objects to identify website similarity
US9686316B2 (en) 2015-09-25 2017-06-20 Cisco Technology, Inc. Layer-2 security for industrial automation by snooping discovery and configuration messages
US9912639B1 (en) * 2015-12-28 2018-03-06 Juniper Networks, Inc. Verifying firewall filter entries using rules associated with an access control list (ACL) template
JP2017143497A (ja) * 2016-02-12 2017-08-17 富士通株式会社 パケット転送装置及びパケット転送方法
US10819719B2 (en) 2016-10-11 2020-10-27 General Electric Company Systems and methods for protecting a physical asset against a threat
CN107977160B (zh) * 2016-10-25 2020-10-30 英业达科技有限公司 交换机存取资料的方法
US10038671B2 (en) * 2016-12-31 2018-07-31 Fortinet, Inc. Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows
US10938819B2 (en) 2017-09-29 2021-03-02 Fisher-Rosemount Systems, Inc. Poisoning protection for process control switches

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101686260A (zh) * 2008-09-25 2010-03-31 费舍-柔斯芒特系统股份有限公司 过程控制网络的一键安全上锁
CN106878253A (zh) * 2015-09-30 2017-06-20 丛林网络公司 Mac(l2)层认证、安全性和策略控制

Also Published As

Publication number Publication date
CN114629861A (zh) 2022-06-14
GB2604036B (en) 2023-01-04
GB202207464D0 (en) 2022-07-06
JP2019080310A (ja) 2019-05-23
US20210281571A1 (en) 2021-09-09
GB202204399D0 (en) 2022-05-11
US11595396B2 (en) 2023-02-28
JP7414391B2 (ja) 2024-01-16
US20190104127A1 (en) 2019-04-04
GB2604811B (en) 2023-03-01
CN109587109A (zh) 2019-04-05
GB2603076A (en) 2022-07-27
CN116015757A (zh) 2023-04-25
JP2019092149A (ja) 2019-06-13
GB2604036A (en) 2022-08-24
GB2604811A (en) 2022-09-14
GB2603076B (en) 2022-11-30
CN114629861B (zh) 2024-01-16
US10938819B2 (en) 2021-03-02
CN109617813A (zh) 2019-04-12
JP2024038229A (ja) 2024-03-19
US20190104107A1 (en) 2019-04-04
US11038887B2 (en) 2021-06-15

Similar Documents

Publication Publication Date Title
CN109617813B (zh) 增强的智能过程控制交换机端口锁定
CN106411859B (zh) 传送过程数据的设备
US8667589B1 (en) Protection against unauthorized access to automated system for control of technological processes
US20090271504A1 (en) Techniques for agent configuration
US10320804B2 (en) Switch port leasing for access control and information security
US20190036926A1 (en) Network Device Location Information Validation For Access Control and Information Security
US20200067883A1 (en) Port Authentication Control For Access Control and Information Security
CN115413409A (zh) 用于网络基础设施的可编程交换设备
Pfrang et al. Detecting and preventing replay attacks in industrial automation networks operated with profinet IO
Colelli et al. Securing connection between IT and OT: the Fog Intrusion Detection System prospective
GB2568145A (en) Poisoning protection for process control switches
Etxezarreta et al. Software-Defined Networking approaches for intrusion response in Industrial Control Systems: A survey
GB2567556A (en) Enhanced smart process control switch port lockdown
Ravindrababu Analysis of Software-Defined Networks as a Mechanism for Enforcing Corporate Security Policies in OT Networks
Coughlin et al. EDSGuard: Enforcing network security requirements for energy delivery systems
Beyerer Context-Aware Software-Defined Networking for Automated Incident Response in Industrial Networks
CN117118660A (zh) 一种基于零信任网络的网关智能编排方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant