CN111052705B - 检查在工业自动化系统内传输的数据报的方法和自动化和/或通信设备 - Google Patents
检查在工业自动化系统内传输的数据报的方法和自动化和/或通信设备 Download PDFInfo
- Publication number
- CN111052705B CN111052705B CN201880056613.3A CN201880056613A CN111052705B CN 111052705 B CN111052705 B CN 111052705B CN 201880056613 A CN201880056613 A CN 201880056613A CN 111052705 B CN111052705 B CN 111052705B
- Authority
- CN
- China
- Prior art keywords
- firewall
- datagrams
- automation
- checked
- data link
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 48
- 238000000034 method Methods 0.000 title claims description 20
- 238000012545 processing Methods 0.000 claims abstract description 9
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000002360 preparation method Methods 0.000 claims 2
- 238000007689 inspection Methods 0.000 claims 1
- 230000006870 function Effects 0.000 description 3
- 238000009434 installation Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Automation & Control Theory (AREA)
- Manufacturing & Machinery (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
为了检查在具有多个自动化单元的工业自动化系统内传输的数据报,将待检查的数据报为了该检查从自动化单元经由相应的防火墙接口传输到防火墙系统,并且在防火墙系统处基于规则检查该待检查的数据报。防火墙系统由至少一个虚拟机形成,在包括多个计算机单元的数据处理系统内提供虚拟机。为了传输待检查的数据报,分别在相应的防火墙接口与防火墙系统之间建立数据链路层通道。在相应的数据链路层通道内不仅传输待检查的数据报还至少传输被成功检查的数据报。
Description
技术领域
本发明涉及工业自动化领域,特别涉及用于检查在工业自动化系统内传输的数据报的方法以及自动化和/或通信设备。
背景技术
工业自动化系统用于监视、控制和调节技术过程,尤其用在制造、过程和建筑自动化领域中,并且实现控制设备、传感器、机器和工业设施的、尽量自主并且独立于人为干预的运行。实时提供监视、控制和调节功能特别重要。在工业自动化系统的自动化设备或计算机单元之间的通信连接中的干扰会导致服务请求的不利的重复发送。特别是,未传输或未完全传输的消息能妨碍工业自动化系统转换到安全的运行状态或保持在安全的运行状态,并会导致工业系统故障。在工业自动化系统中,由于信息通讯具有待实时传输的相对大量、但较短的消息,会产生特别严重的问题。
US8555373B2公开了一种设置在源设备与目标设备之间的防火墙,该防火墙包括硬件安全组件,其用于根据许可列表检查从数据包中提取的数据。另外,硬件安全组件参照协议执行基于状态的检查。防火墙能够被设计为安全代理并且能够借助软件安全组件实现在两个参与者之间的安全会话。软件安全组件利用硬件安全组件对待检查的数据包进行认证或解密,并且对已检查的数据包进行加密。
US7958549B2描述了具有加密处理器和虚拟服务器的防火墙。在此,加密处理器连接到虚拟服务器的上游并且解密已加密的数据包,然后将其转发到虚拟服务器进行处理。加密处理器沿相反的方向从虚拟服务器接收已处理的数据包,以便对这种转发进行加密。
EP 2 464 059 A1涉及一种自动化系统,其具有用于通信网络的第一交换网络节点。第一交换网络节点包括多个输入端口和输出端口以及多个集成的安全组件,安全组件被设计用于限制在输入端口与输出端口之间的通信。安全组件能够与任意输入端口和输出端口自由连接。此外,自动化系统还具有设备总线和多个自动化单元。每个自动化单元具有第二交换网络节点。在此,自动化单元的第二交换网络节点与设备总线之间的通信仅受到第一交换网络节点的安全组件的限制。由于第二交换网络节点仅包含交换功能,因此第一交换网络节点不能设置在自动化系统之外,而是必须通过设备总线与第二交换网络节点连接。在使用集中式防火墙功能方面,这导致扩展性方面的缺点。
跨工厂联网在工业自动化系统中变得越来越重要。在此,独立运行的自动化单元有时通过工业通信网络基于骨干网在控制层面上互相连接。在此,由于可用性和可扩展性要求,工业通信网络优选地被设计为IP(互联网协议)通信网络(OSI(开放式系统互联模型)的第三层)。特别地,需要保护各个自动化单元以免互相影响并在很大程度上限制跨单元访问。此外,还要求通过防火墙机制控制在工业通信网络一方与公司范围的一般通信网络一方之间的转移。
发明内容
因此,本发明的基本目的是,提出一种用于高效检查在包括多个自动化单元的工业自动化系统内传输的数据报的方法,还提供一种适合执行该方法的设备。
根据本发明中的用于检查在工业自动化系统内传输的数据报的方法,该自动化系统包括多个自动化单元,自动化单元经由工业通信网络互相连接,并且自动化单元各自包括防火墙接口和多个自动化设备。例如,防火墙接口能够分别集成在相应的自动化单元的控制器或路由器中。为了进行检查,将待检查的数据报从自动化单元经由相应的防火墙接口传输到与工业通信网络至少间接连接的防火墙系统,并且在防火墙系统处基于规则检查待检查的数据报。防火墙系统由至少一个虚拟机形成,在包括多个计算机单元的数据处理系统内提供该虚拟机。防火墙系统有利地在规定的安全规则的基础上检查由自动化单元的防火墙接口传输的数据报,将被成功检查的数据报回传至相应的防火墙接口或目标自动化单元的防火墙接口,并且丢弃不符合规定的安全规则的数据报。
根据本发明,为了传输待检查的数据报,分别在相应的防火墙接口与防火墙系统之间建立数据链路层通道。在相应的数据链路层通道内不仅传输待检查的数据报,还至少传输被成功检查的数据报。优选地,在数据链路层通道内分别以加密形式传输数据报。在数据链路层通道内将传输的数据报分别封装成通道数据报并且经由传输层连接在相应的防火墙接口与防火墙系统之间传输,该通道数据报除了包括相应的数据报之外还包括网络层报头和传输层报头。特别由于该防火墙接口,由当前虚拟的和分布的防火墙系统获得良好的可缩放和简化的配置。
例如,工业通信网络能够是第一子网,第一子网被保护以防止来自基于IP的第二子网(特别是公司或组织范围的一般通信网络)的访问,并且第一子网经由路由器与第二子网连接。在此,能够将提供虚拟机的数据处理系统与第二子网连接,该虚拟机形成防火墙系统,并且数据处理系统因此能够被用作公司或组织范围的计算中心。
根据本发明的优选的设计方案,将防火墙接口分别设计成冗余的并且根据虚拟路由器冗余协议(VRRP)与防火墙系统连接。另外,能够有利地将自动化单元分别根据快速生成树协议、高可用性冗余协议或介质冗余协议与工业通信网络冗余地连接。
根据本发明的另一个有利的设计方案,在数据链路层通道内,分别经由不被保护的传输层连接在相应的防火墙接口与防火墙系统之间传输数据报。优选地,在数据链路层通道内分别根据用户数据报协议在相应的防火墙接口与防火墙系统之间传输数据报,从而也不会对时间紧迫的数据业务造成明显的负面影响。根据本发明的优选的改进方案,根据IETF RFC7348建立在相应的防火墙接口与防火墙系统之间的数据链路层通道。
还提出一种用于执行根据前述设计方案的方法的、根据本发明的用于工业自动化系统的自动化或通信设备,该自动化或通信设备包括防火墙接口并且被分配给自动化系统的包括多个自动化设备的自动化单元。在此,自动化单元与工业通信网络连接。自动化或通信设备被设计和配置用于,为了检查而将待检查的数据报从自动化单元经由防火墙接口传输到与工业通信网络至少间接连接的防火墙系统。
根据本发明,自动化或通信设备被设计和配置用于,为了传输待检查的数据报而在防火墙接口与防火墙系统之间建立数据链路层通道。另外,自动化或通信设备被设计和配置用于,在数据链路层通道内不仅传输待检查的数据报还至少传输被成功检查的数据报。另外,自动化或通信设备被设计和配置用于,将在数据链路层通道内传输的数据报封装成通道数据报并且经由传输层连接在防火墙接口与防火墙系统之间传输,该通道数据报除了包括相应的数据报之外还包括网络层报头和传输层报头。
附图说明
参考附图,借助实施例来详细阐述本发明。附图示出:
图1是具有多个自动化单元的工业自动化系统的示意图,自动化单元经由工业通信网络互相连接。
具体实施方式
图1中所示的工业自动化系统包括多个自动化单元101-104,自动化单元经由工业通信网络200互相连接,并且自动化单元各自包括防火墙接口111、121、131、141和多个自动化设备。防火墙接口111、121、131、141例如能够分别集成在相应的自动化单元101-104的控制器或网络组件中,尤其集成在路由器、交换机、网关或接入点中。自动化设备尤其能够是机器或技术设备(例如机器人或输送机设备)的输入/输出单元、可编程逻辑控制器或基于PC(个人电脑)的控制装置。
通常,可编程逻辑控制器各自包括通信模块、中央单元和至少一个输入/输出单元(I/O模块)。基本上,输入/输出单元也能够被设计为远离可编程逻辑控制器的分散的外围模块。输入/输出单元用于在相应的自动化设备和由自动化设备控制的机器或装置之间交换控制和测量变量。自动化设备的中央单元尤其被设置用于由测得的变量得出合适的控制变量。例如,可编程逻辑控制器能够通过通信模块连接至交换机或路由器,或者还连接至现场总线。可编程逻辑控制器的上述组件优选地经由背板总线系统互相连接。
防火墙接口111、121、131、141分别被设计和配置用于,为了检查而将待检查的数据报从相应的自动化单元101-104传输到与工业通信网络200连接的防火墙系统301。因此,能够通过防火墙系统301基于规则检查来自自动化单元101-104的待检查的数据报。在本实施例中,防火墙系统301由至少一个虚拟机形成,在包括多个计算机单元的数据处理系统300内提供该虚拟机。例如,能够借助管理程序来提供防火墙系统301,该管理程序用作在实际存在的硬件与能装配用于防火墙系统301的至少一个可执行操作系统之间的硬件抽象元件。这种管理程序实现提供虚拟环境,该虚拟环境包括分开的硬件资源,例如包括处理器、存储器或外围设备。代替管理程序,基本上也能使用其他已知的虚拟化设计作为防火墙系统301的硬件抽象装置。
防火墙系统301在规定的安全规则的基础上检查由自动化单元101-104的防火墙接口111、121、131、141传输的数据报,并且将被成功检查的数据报回传至相应的防火墙接口111、121、131、141或目标自动化单元的防火墙接口。在本实施例中,防火墙系统301丢弃不符合该规定的安全规则的数据报。安全规则优选地包括常规防火墙规则。另外,安全规则能够具有关于工业自动化系统的自动化设备的、数据报中说明的控制命令或控制参数的可靠性的规则。因此,工业通信网络200提供了对自动化单元101-104中的自动化设备的安全受监控的访问可行性。
另外,防火墙接口111、121、131、141被配置用于,为了传输待检查的数据报而分别在相应防火墙接口111、121、131、141与防火墙系统301之间建立数据链路层通道311-314。在相应的数据链路层通道311-314中不仅传输待检查的数据报,还传输被成功检查的数据报。在数据链路层通道311-314内传输的数据报分别被封装成通道数据报,该通道数据报除了包括相应的数据报之外,还包括网络层报头(特别是IP(互联网协议)报头)以及传输层报头(特别是UDP(用户数据报协议)报头)。在相应的防火墙接口111、121、131、141与防火墙系统301之间分别经由传输层连接传输通道数据报。在相应的防火墙接口与防火墙系统之间的数据链路层通道优选地根据IETF RFC 7348(VXLAN:虚拟可扩展局域网)建立。
在本实施例中,在数据链路层通道311-314内分别以加密形式传输数据报。特别地,在数据链路层通道311-314内能够分别经由不被保护的传输层连接在相应的防火墙接口111、121、131、141与防火墙系统301之间传输数据报。优选地,在数据链路层通道311-314内分别根据用户数据报协议(UDP)在相应的防火墙接口111、121、131、141与防火墙系统301之间传输数据报。
在本实施例中,工业通信网络200是第一子网,第一子网被保护以防止来自基于IP的第二子网400、特别是来自公司范围的一般通信网络的访问,并且第一子网经由路由器与第二子网400连接。在此,防火墙系统301和路由器被组合成集成单元。为了简化表示,路由器在图中不作为单独单元示出。基本上能够将提供虚拟机的数据处理系统300仅连接至第二子网400并且因此不必直接与工业通信网络200连接,该虚拟机形成防火墙系统301。
此外,能够将防火墙接口111、121、131、141分别设计成冗余的并且根据虚拟路由器冗余协议(VRRP)与防火墙系统301连接。还能够分别根据快速生成树协议(RSTP)、高可用性冗余协议(HSR)或介质冗余协议(MRP)将自动化单元101-104与工业通信网络200冗余地连接。
Claims (11)
1.一种用于检查在工业自动化系统内传输的数据报的方法,其中,
-所述自动化系统包括多个自动化单元(101-104),所述自动化单元经由工业通信网络(200)互相连接,并且所述自动化单元各自包括防火墙接口(111、121、131、141)和多个自动化设备;
-为了所述检查将待检查的数据报从所述自动化单元(101-104)经由相应的所述防火墙接口(111、121、131、141)传输到与所述工业通信网络(200)至少间接连接的防火墙系统(301),并且在所述防火墙系统处基于规则检查所述待检查的数据报;
-所述防火墙系统(301)由至少一个虚拟机形成,在包括多个计算机单元的数据处理系统(300)内提供所述虚拟机;
其特征在于,
-为了传输所述待检查的数据报,分别在相应的所述防火墙接口(111、121、131、141)与所述防火墙系统(301)之间建立数据链路层通道(311-314);
-在相应的所述数据链路层通道(311-314)内不仅传输所述待检查的数据报还至少传输被成功检查的数据报;
-将在所述数据链路层通道(311-314)内传输的数据报分别封装成通道数据报并且经由传输层连接在相应的所述防火墙接口(111、121、131、141)与所述防火墙系统(301)之间传输,所述通道数据报除了包括相应的数据报之外还包括网络层报头和传输层报头,
其中,所述防火墙系统(301)在规定的安全规则的基础上检查由所述自动化单元(101-104)的所述防火墙接口(111、121、131、141)传输的数据报,将被成功检查的数据报回传至相应的所述防火墙接口(111、121、131、141)或目标自动化单元的防火墙接口,并且丢弃不符合所述规定的安全规则的数据报。
2.根据权利要求1所述的方法,其中,将所述防火墙接口(111、121、131、141)分别集成在相应的所述自动化单元的控制器或路由器中。
3.根据权利要求1或2所述的方法,其中,所述工业通信网络(200)是第一子网,所述第一子网被保护以防止来自基于IP的第二子网(400)的访问,并且所述第一子网经由路由器与所述第二子网连接。
4.根据权利要求3所述的方法,其中,将提供所述虚拟机的所述数据处理系统(300)与所述第二子网(400)连接,所述虚拟机形成所述防火墙系统(301)。
5.根据权利要求1或2所述的方法,其中,将所述防火墙接口(111、121、131、141)分别设计成冗余的并且根据虚拟路由器冗余协议与所述防火墙系统(301)连接。
6.根据权利要求1或2所述的方法,其中,将所述自动化单元(101-104)分别根据快速生成树协议、高可用性冗余协议或介质冗余协议与所述工业通信网络(200)冗余地连接。
7.根据权利要求1或2所述的方法,其中,在所述数据链路层通道(311-314)内分别以加密形式传输数据报。
8.根据权利要求1或2所述的方法,其中,在所述数据链路层通道(311-314)内,分别经由不被保护的传输层连接在相应的所述防火墙接口(111、121、131、141)与所述防火墙系统(301)之间传输数据报。
9.根据权利要求8所述的方法,其中,在所述数据链路层通道(311-314)内,分别根据用户数据报协议在相应的所述防火墙接口(111、121、131、141)与所述防火墙系统(301)之间传输数据报。
10.根据权利要求1或2所述的方法,其中,根据IETF RFC 7348建立在相应的所述防火墙接口(111、121、131、141)与所述防火墙系统(301)之间的所述数据链路层通道(311-314)。
11.一种用于执行根据权利要求1至10中任一项所述的方法的工业自动化系统的自动化和/或通信设备,其中,
-所述自动化和/或通信设备包括防火墙接口(111、121、131、141),并且所述自动化和/或通信设备被分配给所述自动化系统的包括多个自动化设备的自动化单元(101-104),其中,所述自动化单元与工业通信网络(200)连接;
-所述自动化和/或通信设备被设计和配置用于,为了检查而将待检查的数据报从所述自动化单元(101-104)经由所述防火墙接口(111、121、131、141)传输到与所述工业通信网络(200)至少间接连接的防火墙系统(301);
其特征在于,
-所述自动化和/或通信设备被设计和配置用于,为了传输所述待检查的数据报而在所述防火墙接口(111、121、131、141)与所述防火墙系统(301)之间建立数据链路层通道(311-314);
-所述自动化和/或通信设备被设计和配置用于,在所述数据链路层通道(311-314)内不仅传输所述待检查的数据报还至少传输被成功检查的数据报;
-所述自动化和/或通信设备被设计和配置用于,将在所述数据链路层通道(311-314)内传输的数据报封装成通道数据报并且经由传输层连接在所述防火墙接口(111、121、131、141)与所述防火墙系统(301)之间传输,所述通道数据报除了包括相应的数据报之外还包括网络层报头和传输层报头,
其中,所述防火墙系统(301)在规定的安全规则的基础上检查由所述自动化单元(101-104)的所述防火墙接口(111、121、131、141)传输的数据报,将被成功检查的数据报回传至相应的所述防火墙接口(111、121、131、141)或目标自动化单元的防火墙接口,并且丢弃不符合所述规定的安全规则的数据报。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17188511.4A EP3451606A1 (de) | 2017-08-30 | 2017-08-30 | Verfahren zur überprüfung von innerhalb eines industriellen automatisierungssystems übermittelten datagrammen und automatisierungs- und/oder kommunikationsgerät |
| EP17188511.4 | 2017-08-30 | ||
| PCT/EP2018/072973 WO2019042915A1 (de) | 2017-08-30 | 2018-08-27 | Verfahren zur überprüfung von innerhalb eines industriellen automatisierungssystems übermittelten datagrammen und automatisierungs- und/oder kommunikationsgerät |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111052705A CN111052705A (zh) | 2020-04-21 |
| CN111052705B true CN111052705B (zh) | 2022-04-08 |
Family
ID=59895037
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880056613.3A Active CN111052705B (zh) | 2017-08-30 | 2018-08-27 | 检查在工业自动化系统内传输的数据报的方法和自动化和/或通信设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20200220846A1 (zh) |
| EP (2) | EP3451606A1 (zh) |
| CN (1) | CN111052705B (zh) |
| WO (1) | WO2019042915A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4096182A1 (de) | 2021-05-27 | 2022-11-30 | Siemens Aktiengesellschaft | Verfahren zur gesicherten einräumung eines zugriffs auf daten und/oder ressourcen und gateway-komponente |
| EP4125253A1 (de) | 2021-07-28 | 2023-02-01 | Siemens Aktiengesellschaft | Verfahren zur übermittlung zeitkritischer daten, kommunikationssystem und koppel-kommunikationsgerät |
| EP4135290A1 (de) | 2021-08-13 | 2023-02-15 | Siemens Aktiengesellschaft | Verfahren zur übermittlung von daten zur netzdiagnose zwischen mittelbar verbundenen teilnetzen und koppel-kommunikationsgerät |
| EP4283925A1 (de) | 2022-05-25 | 2023-11-29 | Siemens Aktiengesellschaft | Verfahren zur gesicherten übermittlung zeitkritischer daten innerhalb eines kommunikationssystems und kommunikationssystem |
| EP4300882A1 (de) | 2022-06-29 | 2024-01-03 | Siemens Aktiengesellschaft | Verfahren zur gesicherten übermittlung zeitkritischer daten innerhalb eines kommunikationssystems, kommunikationssystem und adapter für endgerät |
| EP4340311A1 (de) | 2022-09-16 | 2024-03-20 | Siemens Aktiengesellschaft | Verfahren und steuerungsprogramm zur automatisierten konfigu-ration eines mehrere vlans umfassenden kommunikationsnetzes |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102480402A (zh) * | 2010-11-19 | 2012-05-30 | 西门子公司 | 用于通信网络的具有集成的安全组件的开关-网络节点 |
| CN103036886A (zh) * | 2012-12-19 | 2013-04-10 | 珠海市鸿瑞软件技术有限公司 | 工业控制网络安全防护方法 |
| CN105139118A (zh) * | 2015-08-19 | 2015-12-09 | 国网山东省电力公司东营供电公司 | 一种配网故障抢修停电信息上报系统及方法 |
| WO2016102903A1 (fr) * | 2014-12-24 | 2016-06-30 | Overkiz | Procédé de transmission de données entre un serveur et une unité électronique de contrôle d'une installation domotique |
| EP3270560B1 (de) * | 2016-07-12 | 2020-03-25 | Siemens Aktiengesellschaft | Verfahren zum aufbau gesicherter kommunikationsverbindungen zu einem industriellen automatisierungssystem und firewall-system |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3794491B2 (ja) | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| US8555373B2 (en) | 2008-02-14 | 2013-10-08 | Rockwell Automation Technologies, Inc. | Network security module for Ethernet-receiving industrial control devices |
| EP2448182B1 (de) * | 2010-10-28 | 2013-12-04 | Siemens Aktiengesellschaft | Verfahren zur Kommunikation in einem Automatisierungssystem |
-
2017
- 2017-08-30 EP EP17188511.4A patent/EP3451606A1/de not_active Withdrawn
-
2018
- 2018-08-27 EP EP18769060.7A patent/EP3646559B1/de active Active
- 2018-08-27 WO PCT/EP2018/072973 patent/WO2019042915A1/de unknown
- 2018-08-27 CN CN201880056613.3A patent/CN111052705B/zh active Active
- 2018-08-27 US US16/642,701 patent/US20200220846A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102480402A (zh) * | 2010-11-19 | 2012-05-30 | 西门子公司 | 用于通信网络的具有集成的安全组件的开关-网络节点 |
| CN103036886A (zh) * | 2012-12-19 | 2013-04-10 | 珠海市鸿瑞软件技术有限公司 | 工业控制网络安全防护方法 |
| WO2016102903A1 (fr) * | 2014-12-24 | 2016-06-30 | Overkiz | Procédé de transmission de données entre un serveur et une unité électronique de contrôle d'une installation domotique |
| CN105139118A (zh) * | 2015-08-19 | 2015-12-09 | 国网山东省电力公司东营供电公司 | 一种配网故障抢修停电信息上报系统及方法 |
| EP3270560B1 (de) * | 2016-07-12 | 2020-03-25 | Siemens Aktiengesellschaft | Verfahren zum aufbau gesicherter kommunikationsverbindungen zu einem industriellen automatisierungssystem und firewall-system |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200220846A1 (en) | 2020-07-09 |
| EP3451606A1 (de) | 2019-03-06 |
| WO2019042915A1 (de) | 2019-03-07 |
| EP3646559B1 (de) | 2021-06-09 |
| EP3646559A1 (de) | 2020-05-06 |
| CN111052705A (zh) | 2020-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111052705B (zh) | 检查在工业自动化系统内传输的数据报的方法和自动化和/或通信设备 | |
| US9560177B2 (en) | Network system and network flow tracing method | |
| JP6638089B2 (ja) | オートメーションシステムの運用のための接続ユニット、モニタリングシステム、および運用方法 | |
| US9762429B2 (en) | Control protocol encapsulation | |
| US10021072B2 (en) | Security system and communication control method | |
| CN105763359A (zh) | 用于交织结构交换机集群的分布式双向转发检测协议(d-bfd) | |
| US20190356574A1 (en) | Motor vehicle comprising an internal data network and method for operating the motor vehicle | |
| AU2018231407B2 (en) | Methods and devices for providing cyber security for time aware end-to-end packet flow networks | |
| CN108463975A (zh) | 用于建立独立网络路径的方法、节点和系统 | |
| JP2023017800A (ja) | 無線ネットワークを介したコントローラと被制御デバイスとの間の通信 | |
| US10594551B2 (en) | Modular industrial automation device and method for configuring a modular industrial automation device | |
| US10374834B2 (en) | Modular industrial automation appliance and method for transmitting messages via a backplane bus system of the modular industrial automation appliance | |
| CN105580323A (zh) | 通过网络过滤装置过滤数据包 | |
| EP3979078B1 (en) | System and method for secure connections in a high availability industrial controller | |
| WO2005060168A1 (ja) | 通信制御システム | |
| McNeil | Secure Internet of Things Deployment in the Cement Industry: Guidance for Plant Managers | |
| Åkerberg et al. | Introducing security modules in profinet io | |
| US20220038306A1 (en) | Network distributor, automation network and method for transmitting data in an automation network | |
| CN117716684A (zh) | 用于传输时间关键数据的方法、通信系统和耦合通信设备 | |
| Zezulka et al. | Virtual Automation Networks: A Solution for Heterogeneous Automation Networks in Manufacturing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |