CN112840602A - 用于监测基于snmp的网络中的多个设备的方法和控制系统 - Google Patents

用于监测基于snmp的网络中的多个设备的方法和控制系统 Download PDF

Info

Publication number
CN112840602A
CN112840602A CN201980069830.0A CN201980069830A CN112840602A CN 112840602 A CN112840602 A CN 112840602A CN 201980069830 A CN201980069830 A CN 201980069830A CN 112840602 A CN112840602 A CN 112840602A
Authority
CN
China
Prior art keywords
devices
snmp
client
file
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201980069830.0A
Other languages
English (en)
Other versions
CN112840602B (zh
Inventor
N·拉奥
A·博瑟
A·P·K·塔塔瓦尔蒂
R·戴福尔松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ABB Schweiz AG
Original Assignee
ABB Schweiz AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ABB Schweiz AG filed Critical ABB Schweiz AG
Publication of CN112840602A publication Critical patent/CN112840602A/zh
Application granted granted Critical
Publication of CN112840602B publication Critical patent/CN112840602B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0233Object-oriented techniques, for representation of network management data, e.g. common object request broker architecture [CORBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/084Configuration by using pre-existing information, e.g. using templates or copying from other elements
    • H04L41/0843Configuration by using pre-existing information, e.g. using templates or copying from other elements based on generic templates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/045Network management architectures or arrangements comprising client-server management architectures

Abstract

本发明公开了一种用于监测工厂中通过基于SNMP的网络连接的多个设备的方法和控制系统。多个设备中的每个设备与服务器相关联,所述服务器与客户端通信地连接。使用配置文件来标识能够报告监测对象的一个或多个设备。此外,执行基于与一个或多个设备相关联的能力数据对监测对象的轮询。通过所提出的发明,可以实现基于SNMP的网络中的多个设备的高效且安全的配置。此外,可以执行网络业务的高效管理。减少了网络中对监测对象的未授权提取。

Description

用于监测基于SNMP的网络中的多个设备的方法和控制系统
技术领域
本公开一般涉及监测工厂中的多个设备。更特定地,本公开涉及一种用于监测基于简单网络管理协议(SNMP)的网络中的工厂中的多个设备的方法。
背景技术
诸如发电厂、水泥厂、精炼厂等的工厂包括用于物理或化学方法(其用于机械或热加工(treatment)或者用于在工厂中处理原材料或产品)的多个处理设备。所述多个处理设备可以包括但不限于涡轮、泵、马达、风扇、压缩机、锅炉、热交换器等。
在因特网域中,SNMP可以是用于监测网络设备或装置的健康的、最广泛使用的网络监测协议。例如IEC 62351-7(国际标准)也推荐SNMP来执行对电力系统的健康监测。基于SNMP的健康监测需要网络中的设备的初始化和配置。此类初始化和配置可能影响网络的嵌入式设备及其试运行过程。要求SNMP配置过程在网络中必须是安全的。
SNMP基于客户端-服务器模型,其中基于SNMP的网络的服务器通常驻留在设备上,并且基于SNMP的网络的客户端是SNMP监测应用的一部分。客户端从设备轮询并获取要被监测的数据的状态值。数据可以是网络中不同类型的设备的状态值,并且可以包括诸如传入网络业务、CPU负载等信息。在基于SNMP的网络中,要被监测的数据被表示为监测对象,并且SNMP监测应用轮询并获得此类监测对象的状态值。例如,为了监测,考虑网络中的第一设备和第二设备需要报告用于安全通信的数字证书序列号的状态和基于SNMP的网络中的冗余电源的数量。第一设备被使能使用安全通信(诸如传输层安全(TLS)协议)进行通信。然而,考虑第二设备未被配置成在安全通信中进行通信。此类第二设备可能不使用数字证书。结果,第二设备仅具有报告冗余电源的数量的能力。因此,如果SNMP的客户端保持从第一设备和第二设备两者轮询数字证书序列号,则客户端可能不从第二设备接收监测对象。对于大量像如第二设备的设备,此类集中控制(pooling)可能导致不产生监测值的大量网络消息。这种不必要的业务是低效的,并且可能消耗工业域中的网络带宽。因为任何工业系统都是由传统(非SNMP)和未来(启用SNMP)的设备组成的异构环境。如果客户端开始对作为不支持SNMP的设备的设备进行轮询,则也可能发生此类不必要的网络业务负载。
此外,在基于SNMP的网络中配置SNMP基于用户的安全模型(USM)需要每个支持SNMP的设备都被手动配置有USM安全凭证。网络中的每个设备可以与其各自的用户名和密码相关联。手动配置所述设备中的每个设备可能导致错误,并且当此类支持SNMP的设备的队伍在数量上增加时可能是麻烦的。最重要的是,正配置支持SNMP的设备的任何人(用他们的安全凭证来配置)都必须是受信实体。如果欺诈实体配置设备,则攻击者可能能够监测该设备的所有健康信息。当准备随后的攻击时,该信息可能非常有用。
发明内容
本公开公开了一种用于监测基于简单网络管理协议(SNMP)的网络中的工厂中的多个设备的方法和控制系统。所述多个设备中的每个设备与基于SNMP的网络中的控制系统相关联。该控制系统包括多个服务器、至少一个客户端、以及数据库。所述多个设备与来自所述多个服务器的至少一个服务器相关联,所述至少一个服务器与所述至少一个客户端通信地连接。该方法由控制系统的至少一个客户端执行。最初,为了监测,生成与所述多个设备中的每个设备相关联的配置文件,以便通过系统工程工具在工厂中试运行基于SNMP的网络。配置文件是通用文件格式,并且包括与所述多个设备相关联的设备数据。配置文件的通用文件格式可以是Java脚本对象符号(JSON)格式。
基于配置文件,SNMP监测器从所述多个设备中标识一个或多个设备,所述一个或多个设备能够报告基于SNMP的网络中的监测对象。这些设备被称为启用SNMP的设备。配置文件被转换为可扩展标记语言(XML)格式,以用于标识一个或多个启用SNMP的设备。
此外,为如从配置文件中所标识的一个或多个启用SNMP的设备中的每个设备建立基于数字证书的安全通信信道,其中通过使用证书授权机构(certificate authority)注册启用SNMP的一个或多个设备来获得启用SNMP的设备中的每个设备的数字证书。通信信道可以通过通信协议(诸如传输层安全(TLS))来建立。
在TLS协议中,最初,使用由证书授权机构颁发给至少一个客户端和启用SNMP的一个或多个设备的数字证书,与一个或多个启用SNMP的设备中的每个设备执行握手。基于握手和对客户端及一个或多个启用SNMP的设备中的每个设备的数字证书的有效性,验证一个或多个启用SNMP的设备中的每个设备的可靠性(通过客户端),并且反之亦然。一旦其有效,就建立启用SNMP的一个或多个设备与客户端之间的TLS通信。
刚一建立TLS通信信道,就通过所建立的TLS通信信道从一个或多个启用SNMP的设备中的每个设备接收能力文件。启用SNMP的设备的能力文件指示该设备能够通过SNMP所报告的一个或多个监测对象。此外,由准备好在SNMP TLS模式中操作的一个或多个启用SNMP的设备向客户端提供确认。
基于能力文件和配置文件,执行对来自一个或多个启用SNMP的设备的一个或多个监测对象的轮询,以便监测所述多个设备。为了轮询,基于对应的能力文件为一个或多个启用SNMP的设备中的每个设备生成管理信息库(MIB)数据。将MIB数据传送给对应的设备以用于轮询。
附图说明
图1示出了根据本公开实施例的用于监测基于SNMP的网络中的工厂中的多个设备的、包括一个或多个服务器和至少一个客户端的控制系统的框图;
图2示出了根据本公开实施例的多个启用SNMP的设备向认证授权机构的注册;
图3示出了根据本公开实施例的用于监测基于SNMP的网络中的工厂中的多个设备的控制系统的示例性实施例;
图4示出了根据本公开实施例的用于监测基于SNMP的网络中的工厂中的多个启用SNMP的设备的流程图。
具体实施方式
本发明公开了一种用于监测基于SNMP的网络中的工厂中的多个启用SNMP的设备的方法和控制系统。该控制系统包括多个服务器、至少一个客户端(也称为SNMP监测器)、系统工程工具和数据库。所述多个设备中的每个设备与来自所述多个服务器中的至少一个服务器相关联,所述至少一个服务器与所述至少一个客户端通信地连接。系统工程工具被配置成使用通用格式的配置文件来试运行基于SNMP的网络中的所述多个设备。使用配置文件来标识能够报告监测对象的一个或多个设备。此外,由SNMP监测器来执行基于与所述一个或多个设备中的每个设备相关联的能力数据对监测对象的轮询。通过所提出的发明,可以实现基于SNMP的网络中的所述多个设备的高效且安全的配置。此外,可以执行网络业务的高效管理。减少了网络中对监测对象的未授权提取。
图1示出了控制系统100的框图。如图1中所示,控制系统100包括网络的多个层。控制系统100的最底层是基于SNMP的网络,其包括多个服务器102.1……102.n(此后称为多个服务器102)、至少一个客户端103(也称为SNMP监测器)、数据库104、和系统工程工具150。控制系统100与基于SNMP的网络中的工厂的多个设备101.1……101.n(此后称为多个设备101)连接。工厂中的多个设备101可以包括但不限于涡轮、泵、马达、风扇、压缩机、锅炉、热交换器等。多个设备101中的每个设备可以与来自多个服务器102中的至少一个服务器操作地连接,如图1中所示。例如,来自多个设备101中的设备101.1与服务器102.1相关联,来自多个设备101中的设备101.2与服务器102.2相关联,等等。在实施例中,至少一个服务器可以是以下项之一:专用服务器或基于云的服务器。在实施例中,多个设备101可以与单个服务器相关联(图中未示出)。至少一个服务器被配置成从对应设备检索一个或多个数据。在实施例中,至少一个服务器与对应设备之间的连接可以是以下项之一:有线连接和无线连接。在实施例中,至少一个服务器可被嵌入在对应设备上。多个设备101中的每个设备的至少一个服务器与至少一个客户端103操作地连接,以与至少一个客户端103通信一个或多个数据。通信可以经由有线网络、无线网络、或有线网络和无线网络两者的组合来建立。在实施例中,多个服务器102中的每个服务器可以经由基于SNMP的网络彼此通信。基于SNMP的网络可以是有线网络、无线网络、或有线网络和无线网络的组合。控制系统100的数据库104可以是被配置成存储用于监测多个设备101的数据的任何存储部件或储存库。在实施例中,数据库104可以存储从控制系统100中的多个服务器102接收的一个或多个数据。在实施例中,数据库104可以直接与多个服务器102通信以接收和存储一个或多个数据。在实施例中,由至少一个客户端103所确定、计算或标识的用于监测多个设备101的数据也可被存储在数据库104中。在实施例中,数据库104可以是至少一个客户端103的组成部分。
控制系统100的下一层是工厂网络,其包括与至少一个客户端103通信的一个或多个工作站105。一个或多个工作站105进而通过因特网107而被连接到远程终端108。通过因特网107到远程终端108的数据传输服从通过构造路由器/防火墙106所提供的安全措施。一个或多个工作站105使得操作员或工程师能够配置、监测和控制以下项中的至少一个的操作:多个设备101、多个服务器102和至少一个客户端103。多个服务器102和至少一个客户端103被配置成充当一个或多个工作站105和多个设备101之间的桥。
至少一个客户端103连同多个服务器102一起被配置成监测基于SNMP的网络中的多个设备101。在实施例中,至少一个客户端103可以与系统工程工具集成。至少一个客户端103可以包括监测应用,并且被配置成如本发明中所定义的那样起作用。至少一个客户端103可以包括处理器和存储器(图中未示出),以用于监测多个设备101。存储器可以与处理器操作地耦合。存储器可以包括模块和数据,其在执行时可以使处理器执行对多个设备101的监测。
为了监测多个设备101,至少一个客户端103被配置成接收与多个设备101中的每个设备相关联的配置文件。来自多个设备101的设备的配置文件包括与该设备相关联的设备数据。系统工程工具被配置成为设备生成配置文件。在实施例中,在工厂的试运行阶段生成配置文件。在实施例中,当工厂的部署存在修改时,可以为多个设备101中的每个设备生成配置文件。所述修改可以包括添加设备、从网络中删除设备、改变设备的配置等。设备数据可以包括但不限于以下项中的至少一项:设备名称、设备类型、设备SNMP能力、设备MAC地址、设备IP地址等。与设备相关联的一个或多个附加数据可以作为设备数据被包括在配置文件中。
在实施例中,配置文件是通用文件格式。由此,不管与多个设备101中的每个设备相关联的域,可以容易地通过基于SNMP的网络来通信多个设备101中的每个设备的配置文件。在非限制性实施例中,通用文件格式可以是Java脚本对象符号(JSON)格式。JSON格式是独立于计算机语言的、标准化的、并且可以由本领域中可用的大多数计算机语言语法分析器来解译。为JSON格式的设备的配置文件的示例性格式如下所示:
“设备名称” = “名称值”
“设备SNMP能力” = “布尔值”,
“设备MAC地址” = “MAC地址值”,
“设备IP地址” = “IP地址值”
Figure DEST_PATH_IMAGE001
其中,“值”是设备的命名文本;
“布尔值”可以是0或1,其中1意味着设备具有SNMP能力,0意味着不具有SNMP能力;
“MAC地址值”是设备的MAC地址;
“IP地址值”是设备的IP地址。
基于所接收的配置文件,至少一个客户端103被配置成从系统工程工具150标识一个或多个设备。通用文件格式的配置文件可以被转换为可扩展标记语言(XML)格式或服务于标识一个或多个设备的目的的任何其它文件格式。本领域技术人员已知的一种或多种技术可以在至少一个客户端103中实现,以用于使用配置文件来标识一个或多个启用SNMP的设备。
此外,至少一个客户端103被配置成为如从配置文件中所标识的一个或多个启用SNMP的设备中的每个设备建立通信信道。可以通过使用证书授权机构来注册一个或多个启用SNMP的设备而建立通信信道。本发明的图2示出了使用证书授权机构201注册至少一个客户端103和多个启用SNMP的设备101。在实施例中,在工厂的试运行之前,可以执行至少一个客户端103和多个启用SNMP的设备101的注册。在注册期间,至少一个客户端103和多个启用SNMP的设备101中的每个设备被配置成向证书授权机构201登记数字证书。刚一认证,证书授权机构201就为至少一个客户端103和多个启用SNMP的设备101中的每个设备颁发数字证书。此类注册提供了至少一个客户端103和多个启用SNMP的设备101之间的安全且无风险的通信。刚一注册,以下项中的每一个就拥有相应的数字证书:至少一个客户端103和多个启用SNMP的设备101,所述数字证书由证书授权机构201进行数字签名,并且在本发明中用于建立安全通信信道。在实施例中,可以实现本领域技术人员已知的一种或多种技术以用于注册。
在本发明中,使用数字证书经由传输层安全(TLS)协议建立通信信道。在TLS协议中,最初,至少一个客户端103被配置成使用数字证书与一个或多个启用SNMP的设备中的每个设备执行握手。握手可以包括网络中相应数字证书的交换。通过握手,一个或多个启用SNMP的设备中的每个设备的可靠性由至少一个客户端103验证,并且反之亦然。此外,与一个或多个启用SNMP的设备中的每个设备相关联的至少一个服务器可被配置成验证至少一个客户端103的可靠性。一旦双方数字证书都被验证,就建立启用SNMP的一个或多个设备与客户端之间的TLS通信。
刚一建立TLS通信信道,就通过通信信道从一个或多个启用SNMP的设备中的每个设备接收能力文件。设备的能力文件指示启用SNMP的设备能够经由通信信道通信的一个或多个监测对象。在实施例中,启用SNMP的设备的能力文件可以由对应于启用SNMP的设备的至少一个服务器生成。在实施例中,启用SNMP的设备的能力文件可以包括所有监测对象(启用SNMP的设备能够监测其状态值)的抽象表示。设备的能力文件的示例性表示可以如下所示:
EquipmentAtkCnt:攻击计数的数量
名称 = EquipmentAtkCnt
访问 = 读取
Datatype = 整数32。
在实施例中,至少一个服务器可被配置成在工厂的试运行期间生成能力文件。在实施例中,如果与设备相关联的一个或多个监测对象在设备的运行时间阶段期间改变,则至少一个服务器被配置成通过更新一个或多个监测对象来更新设备的能力文件。更新的能力文件可以与至少一个客户端103共享。
在实施例中,由至少一个客户端103接收的设备的能力文件可以由对应的至少一个服务器加密。至少一个服务器可以使用在相应数字证书中可用的启用SNMP的设备的私钥对能力文件进行数字签名。由此,可以消除在从设备转移到至少一个客户端103期间对能力文件的篡改。至少一个客户端103被配置成刚一接收到能力文件,就使用启用SNMP的设备的公钥来验证签名。
在实施例中,可以在SNMP USM(基于用户的安全模型)模式中完成与轮询与设备相关联的监测对象有关的进一步通信。这可以在配置文件中的设备数据中被指示。
在USM模式中,系统工程工具150或客户端103生成SNMP USM安全配置文件,其包含至少一个客户端103的IP地址和每个启用SNMP的设备的USM凭证。为了传送USM凭证,利用所建立的TLS信道。在实施例中,系统工程工具150或客户端103实现这样的技术,其用于为将在SNMP USM模式中操作的一个或多个启用SNMP的设备的每个设备自动生成USM安全配置文件。可以实现本领域技术人员已知的一种或多种技术以用于生成USM安全配置文件。来自将在SNMP USM模式中操作的一个或多个启用SNMP的设备的对应设备的USM安全配置文件包括与至少一个客户端103相关联的IP地址和对应设备的USM凭证。在实施例中,USM凭证可以包括对应设备的用户名和密码。在实施例中,一个或多个设备中的每个设备的USM凭证可以是不同的。通过自动生成USM安全配置文件,可以消除人输入一个或多个设备中的每个设备的USM凭证的手动负担。
系统工程工具150或客户端103被配置成刚一生成USM安全配置文件,就对USM安全配置文件进行加密和签名。在实施例中,可以使用将在SNMP USM模式中操作的一个或多个启用SNMP的设备中的每个设备的公钥来执行加密。在实施例中,可以使用系统工程工具150或客户端103的私钥来执行签名。通过加密,对应设备可以能够检索由系统工程工具150或客户端103共享的真实内容。
系统工程工具150或客户端103被配置成刚一加密和签名,就将USM安全配置文件传送到对应设备。与对应设备相关联的至少一个服务器可被配置成验证USM安全配置文件。由所述至少一个服务器执行的验证包括验证USM安全配置文件的签名和解密USM安全配置文件。在实施例中,可以使用系统工程工具150或客户端103的公钥来验证签名。刚一验证签名是有效的,至少一个服务器就使用相应数字证书中可用的对应私钥来解密USM安全配置文件。在实施例中,可以在至少一个服务器中实现本领域技术人员已知的一种或多种技术以用于验证USM安全配置文件。
在TLS模式或USM模式中的任何一种模式中,至少一个服务器可以使用消息标识符向至少一个客户端103进行确认。在实施例中,确认可以是发送到至少一个客户端103的消息“READY”。将在SNMP TLS模式中操作的启用SNMP的设备在通过TLS通信信道发送其能力文件之后发送该确认标志;将在SNMP USM模式中操作的启用SNMP的设备在由对应设备中的每个设备发现SNMP USM安全配置文件有效之后发送该确认。
基于能力文件和配置文件,执行对来自启用SNMP的一个或多个设备的一个或多个监测对象的轮询,以用于监测多个设备101。为了轮询,基于对应能力文件和配置文件为一个或多个启用SNMP的设备中的每个设备生成MIB数据。将MIB数据传送给对应设备以用于轮询。在USM模式中,USM凭证也连同MIB数据一起被传送。刚一接收到MIB数据,一个或多个设备中的每个设备的至少一个服务器就用在对应MIB中指示的一个或多个监测对象的状态值来响应至少一个客户端103。
图3示出了根据本公开实施例的用于监测多个设备101的控制系统100的示例性环境。考虑工厂包括多个设备302.1……302.4,包括第一设备301.1、第二设备301.2、第三设备301.3和第四设备301.4。示例性环境包括具有数据库104(图中未示出)的客户端303和多个服务器302.1……302.4。多个服务器302.1……302.4包括第一服务器302.1、第二服务器302.2、第三服务器302.3和第四服务器303.4,它们与客户端303通信地连接。第一服务器302.1与第一设备301.1相关联,第二服务器302.2与第二设备301.2相关联,第三服务器302.3与第三设备相关联,并且第四服务器303.4与第四设备301.4相关联。客户端303连同多个服务器302.1……302.4一起被配置成监测多个设备301.1……301.4。控制系统和多个设备301.1……301.4被部署在基于SNMP的网络中。
为了监测多个设备301.1……301.4,由客户端303接收与多个设备301.1……301.4中的每个设备相关联的配置文件,如图3a中所示。来自多个设备301.1……301.4的配置文件从系统工程工具150传送到至少一个客户端303。在实施例中,配置文件是通用文件格式,并且包括与相应设备相关联的设备数据。设备数据可以包括但不限于相应设备的以下项中的至少一项:设备名称、设备类型、设备SNMP能力、设备MAC地址、设备IP地址等。例如,第一设备301.1和第四设备301.4的设备可以如下所示:
第一设备301.1:
“设备名称” = “第一设备”
“设备SNMP能力”= “1”,
“设备MAC地址” = “00-14-22-01-23-45”
“设备IP地址” = “216.3.128.12”
Figure 586056DEST_PATH_IMAGE001
第四设备301.4:
“设备名称” = “第四设备”
“设备SNMP能力” = “0”,
“设备MAC地址” = “00-11-22-03-28-55”
“设备IP地址” = “215.4.198.02”。
基于配置文件,由客户端303标识来自多个设备301.1……301.4的一个或多个设备,所述一个或多个设备能够报告基于SNMP的网络中的监测对象。根据给出的示例,客户端303标识第四设备301.4不是启用SNMP的,并且第一设备301.1是启用SNMP的。考虑第二设备301.2和第三设备301.3也被标识为启用SNMP的,并且能够报告基于SNMP的网络中的监测对象。如上所述,客户端303被配置成与第一设备301.1、第二设备301.2和第三设备301.3中的每个设备建立通信信道。
刚一建立通信信道,就通过通信信道从第一设备301.1、第二设备301.2和第三设备301.3中的每个设备接收能力文件。能力文件指示设备能够经由通信信道通信的一个或多个监测对象。
基于能力文件,执行对来自一个或多个设备的一个或多个监测对象的轮询,以用于监测多个设备301.1……301.4。为了轮询,基于对应能力文件为第一设备301.1、第二设备301.2和第三设备301.3中的每个设备生成管理信息库(MIB)数据。将MIB数据传送给对应设备以用于轮询。在USM模式中,USM凭证也连同MIB数据(图中未示出)一起被传送。第一设备301.1、第二设备和第三设备301.3中的每个设备用在相应MIB中指示的一个或多个监测对象的状态值来响应客户端303。
图4示出了用于监测基于SNMP的网络中的多个设备101的流程图。
在框401处,控制系统100的至少一个客户端103可被配置成接收与多个设备101中的每个设备相关联的配置文件。配置文件可以是通用文件格式,并且可以包括与多个设备101相关联的设备数据。
在框402处,控制系统100的至少一个客户端103可被配置成标识来自多个设备101的一个或多个设备,所述一个或多个设备能够报告基于SNMP的网络中的监测对象。配置文件可用于标识。
在框403处,控制系统100的至少一个客户端103可被配置成为一个或多个设备中的每个设备建立通信信道。可以通过使用证书授权机构来注册一个或多个设备而建立通信信道。
在框404处,控制系统100的至少一个客户端103可被配置成通过通信信道从一个或多个设备中的每个设备接收能力文件。设备的能力文件指示该设备能够经由通信信道通信的一个或多个监测对象。
在框405处,控制系统100的至少一个客户端103可被配置成基于能力文件对来自一个或多个设备的一个或多个监测对象进行轮询。刚一轮询,一个或多个设备中的每个设备就向至少一个客户端103提供对应的一个或多个监测对象以用于监测。
本领域技术人员要注意的是,虽然关于基于SNMP的网络描述了上述发明,但是本发明可以用于具有各种监测能力(诸如系统日志但不仅限于系统日志)的设备。通常,不管监测协议,本发明可应用于设备中的监测代理的配置。系统日志监督程序的配置可以使用与本发明所述的、用于SNMP的安全机制相同的安全机制来解决。
尽管引入了用于监测工厂中的设备的基于SNMP的网络,但本发明实施例没有对现有工厂试运行工作流程提供显著改变。
本发明实施例减少了初始化和配置庞大的启用SNMP的设备队伍所需的试运行或配置工作。本发明提出使用配置文件来自动确定启用SNMP的设备。
本发明实施例消除了用USM凭证来手动并单独地配置每个启用SNMP的设备的需要。
本发明实施例消除了手动获取描述启用SNMP的设备能够报告的监测对象的信息的需要。由此,可以在高效利用网络业务的情况下完成对监测对象的轮询。
本发明实施例提供了用于对工厂中的设备执行计算机安全情况监测的安全配置和操作工作流程。
本书面描述使用示例来描述本文的主题(包括最佳模式),并且还使任何本领域技术人员能够制造和使用所述主题。所述主题的可授专利权范围由权利要求所限定,并且可以包括本领域技术人员想到的其它示例。如果此类其它示例具有与权利要求的字面语言并无不同的结构元件,或者如果它们包括与权利要求的字面语言并无实质差异的等同结构元件,则此类其它示例旨在处于权利要求的范围内。
参考标号
参考标号 描述
100 控制系统
101 多个设备
102 多个服务器
103 至少一个客户端
104 数据库
105 一个或多个工作站
106 路由器/防火墙
107 因特网
108 远程终端
150 系统工程工具
201 证书授权机构
301.1 第一设备
301.2 第二设备
301.3 第三设备
301.4 第四设备
302.1 第一服务器
302.2 第二服务器
302.3 第三服务器
302.4 第四服务器
303 客户端

Claims (7)

1.一种用于使用网络来监测工厂中的多个设备(101)的方法,其中所述多个设备(101)中的每个设备与所述网络中的控制系统(100)相关联,其中所述控制系统(100)包括多个服务器(102)、至少一个客户端(103)和数据库(104),其中所述多个设备(101)中的每个设备与来自所述多个服务器(102)的至少一个服务器相关联,所述至少一个服务器与所述至少一个客户端(103)通信地连接,其中所述方法由所述至少一个客户端(103)通过以下步骤来执行:
接收与所述多个设备(101)中的每个设备相关联的配置文件,其中所述配置文件是通用文件格式并且包括与所述多个设备(101)相关联的设备数据;
使用所述配置文件,标识来自所述多个设备(101)的、能够报告所述网络中的监测对象的一个或多个设备;
为所述一个或多个设备中的每个设备建立通信信道;
通过所述通信信道从所述一个或多个设备中的每个设备接收能力文件,其中设备的所述能力文件指示对应设备能够经由所述通信信道通信的一个或多个监测对象;以及
基于所述能力文件对来自对应的一个或多个设备的所述一个或多个监测对象进行轮询,以用于监测所述多个设备(101)。
2.如权利要求1所述的方法,其中,所述配置文件的所述通用文件格式是Java脚本对象符号(JSON格式),其中所述配置文件被转换成用于标识所述一个或多个设备的可扩展标记语言(XML)格式。
3. 如权利要求1所述的方法,其中,在传输层安全(TLS)模式中使用所述证书授权机构建立所述通信信道包括:
使用由所述证书授权机构颁发给所述至少一个客户端(103)和所述一个或多个设备的数字证书与所述一个或多个设备中的每个设备执行握手;以及
基于所述握手来验证所述一个或多个设备中的每个设备的可靠性。
4. 如权利要求1所述的方法,其中,在基于用户的安全模型(USM)模式中使用所述证书授权机构建立所述通信信道包括:
为所述一个或多个设备中的每个设备生成USM安全配置文件,其中,来自所述一个或多个设备的对应设备的所述USM安全配置文件包括与所述至少一个客户端(103)相关联的因特网协议(IP)地址和所述对应设备的USM凭证;以及
刚一使用所述数字证书对所述USM安全配置文件加密,就将所述USM安全配置文件传送给所述对应设备。
5. 如权利要求1所述的方法,其中,基于所述能力文件进行轮询包括:
基于对应能力文件为所述一个或多个设备中的每个设备生成管理信息库(MIB)数据;以及
将所述MIB数据传送给对应设备以用于轮询。
6.一种用于使用基于简单网络管理协议(SNMP)的网络来监测工厂中的多个设备(101)的控制系统(100),其中所述多个设备(101)中的每个设备与所述基于SNMP的网络中的所述控制系统(100)相关联,其中所述控制系统(100)包括多个服务器(102)、至少一个客户端(103)、数据库(104)和系统工程工具(150),其中所述多个设备(101)中的每个设备与来自所述多个服务器(102)的至少一个服务器相关联,所述至少一个服务器与所述至少一个客户端(103)通信地连接,其中所述控制系统(100)中的所述至少一个客户端(103)被配置成:
接收与所述多个设备(101)中的每个设备相关联的配置文件,其中所述配置文件是通用文件格式并且包括与所述多个设备(101)相关联的设备数据;
使用所述配置文件,标识来自所述多个设备(101)的、能够报告所述基于SNMP的网络中的监测对象的一个或多个设备;
为所述一个或多个设备中的每个设备建立通信信道;
通过所述通信信道从所述一个或多个设备中的每个设备接收能力文件,其中设备的所述能力文件指示所述设备能够经由所述通信信道通信的一个或多个监测对象;以及
基于所述能力文件对来自所述一个或多个设备的所述一个或多个监测对象进行轮询,以用于监测所述多个设备(101)。
7. 如权利要求6所述的控制系统(100),其中,所述至少一个客户端(103)基于所述能力文件通过以下操作进行轮询:
基于对应能力文件为所述一个或多个设备中的每个设备生成管理信息库(MIB)数据;以及
将以下项中的至少一项传送给对应设备以用于轮询:所述MIB数据和USM凭证。
CN201980069830.0A 2018-10-22 2019-10-11 用于监测基于snmp的网络中的多个设备的方法和控制系统 Active CN112840602B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IN201841039806 2018-10-22
IN201841039806 2018-10-22
PCT/IB2019/058684 WO2020084377A1 (en) 2018-10-22 2019-10-11 Method and control system for monitoring plurlity of equipment in a snmp based network

Publications (2)

Publication Number Publication Date
CN112840602A true CN112840602A (zh) 2021-05-25
CN112840602B CN112840602B (zh) 2024-04-16

Family

ID=69173092

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980069830.0A Active CN112840602B (zh) 2018-10-22 2019-10-11 用于监测基于snmp的网络中的多个设备的方法和控制系统

Country Status (4)

Country Link
US (1) US11558237B2 (zh)
EP (1) EP3871374A1 (zh)
CN (1) CN112840602B (zh)
WO (1) WO2020084377A1 (zh)

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030088698A1 (en) * 2001-11-06 2003-05-08 Inderpreet Singh VPN failure recovery
US20040078441A1 (en) * 2002-10-17 2004-04-22 Malik Dale W. Providing advanced instant messaging (IM) notification
CN1820262A (zh) * 2003-06-09 2006-08-16 范拉诺公司 事件监控及管理
US7127743B1 (en) * 2000-06-23 2006-10-24 Netforensics, Inc. Comprehensive security structure platform for network managers
US20110107404A1 (en) * 2009-11-02 2011-05-05 Ramsdell Scott W Protected premises network apparatus and methods
CN102171997A (zh) * 2008-10-01 2011-08-31 诺基亚公司 用于创建网络帐户和以其来配置设备进行使用的方法、系统和装置
US8032540B1 (en) * 2004-10-29 2011-10-04 Foundry Networks, Inc. Description-based user interface engine for network management applications
US20130204450A1 (en) * 2011-10-04 2013-08-08 Electro Industries/Gauge Tech Systems and methods for collecting, analyzing, billing, and reporting data from intelligent electronic devices
CN103391286A (zh) * 2013-07-11 2013-11-13 北京天地互连信息技术有限公司 一种应用于全ip远程监控网络系统及安全认证方法
US20160156501A1 (en) * 2014-11-28 2016-06-02 Advantech Co., Ltd. Network apparatus with inserted management mechanism, system, and method for management and supervision
CN105871908A (zh) * 2016-05-30 2016-08-17 北京琵琶行科技有限公司 企业网络边界设备访问控制策略的管控方法及装置
US20170180192A1 (en) * 2014-03-25 2017-06-22 3Md, Inc. Intelligent monitoring and management of network devices
CN108650300A (zh) * 2018-04-13 2018-10-12 三维通信股份有限公司 基于https嵌入式通信设备的安全性实现方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1492006B1 (en) * 2003-06-24 2007-10-10 Research In Motion Limited Detection of out of memory and graceful shutdown
US9015304B2 (en) 2012-06-15 2015-04-21 Citrix Systems, Inc. Systems and methods for supporting a SNMP request over a cluster
US9779424B1 (en) * 2013-03-15 2017-10-03 Groupon, Inc. Generic message injection system
US9825734B2 (en) * 2014-12-17 2017-11-21 Cisco Technology, Inc. VoIP system
US10693680B2 (en) * 2017-05-17 2020-06-23 Hand Held Products, Inc. Methods and apparatuses for enabling secure communication between mobile devices and a network
US10819586B2 (en) * 2018-10-17 2020-10-27 Servicenow, Inc. Functional discovery and mapping of serverless resources

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7127743B1 (en) * 2000-06-23 2006-10-24 Netforensics, Inc. Comprehensive security structure platform for network managers
US20030088698A1 (en) * 2001-11-06 2003-05-08 Inderpreet Singh VPN failure recovery
US20040078441A1 (en) * 2002-10-17 2004-04-22 Malik Dale W. Providing advanced instant messaging (IM) notification
CN1820262A (zh) * 2003-06-09 2006-08-16 范拉诺公司 事件监控及管理
US8032540B1 (en) * 2004-10-29 2011-10-04 Foundry Networks, Inc. Description-based user interface engine for network management applications
CN102171997A (zh) * 2008-10-01 2011-08-31 诺基亚公司 用于创建网络帐户和以其来配置设备进行使用的方法、系统和装置
US20110107404A1 (en) * 2009-11-02 2011-05-05 Ramsdell Scott W Protected premises network apparatus and methods
US20130204450A1 (en) * 2011-10-04 2013-08-08 Electro Industries/Gauge Tech Systems and methods for collecting, analyzing, billing, and reporting data from intelligent electronic devices
CN103391286A (zh) * 2013-07-11 2013-11-13 北京天地互连信息技术有限公司 一种应用于全ip远程监控网络系统及安全认证方法
US20170180192A1 (en) * 2014-03-25 2017-06-22 3Md, Inc. Intelligent monitoring and management of network devices
US20160156501A1 (en) * 2014-11-28 2016-06-02 Advantech Co., Ltd. Network apparatus with inserted management mechanism, system, and method for management and supervision
CN105871908A (zh) * 2016-05-30 2016-08-17 北京琵琶行科技有限公司 企业网络边界设备访问控制策略的管控方法及装置
CN108650300A (zh) * 2018-04-13 2018-10-12 三维通信股份有限公司 基于https嵌入式通信设备的安全性实现方法

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
""S5-186437 Rev of S5-186186 DP on integrating ONAP FM-PM into 3GPP 5G management framework - PMFM reporting methods"", 3GPP TSG_SA\\WG5_TM *
DUC-LAM VU: "Master Thesis REST-based network management solution for accessing SNMP infrastructures", pages 2 *
乐俊;肖德宝;刘会芬;: "基于XML的网络管理代理安全机制的研究", 华中师范大学研究生学报, no. 02 *
罗英杰;: "基于SNMP协议的电信网络监测系统的实现", 电信快报, no. 07 *
陈军;蒋忻;: "基于SNMP和Web的网络化智能播出监控系统", no. 11 *

Also Published As

Publication number Publication date
US11558237B2 (en) 2023-01-17
CN112840602B (zh) 2024-04-16
WO2020084377A1 (en) 2020-04-30
EP3871374A1 (en) 2021-09-01
US20210314213A1 (en) 2021-10-07

Similar Documents

Publication Publication Date Title
US11977622B2 (en) Authentication between industrial elements in an industrial control system
US10749692B2 (en) Automated certificate enrollment for devices in industrial control systems or other systems
EP2966806B1 (en) Authentication of redundant communications/control modules in an industrial control system
US10652031B2 (en) Using PKI for security and authentication of control devices and their data
US9699270B2 (en) Method for commissioning and joining of a field device to a network
CN110574342A (zh) 运行自动化网络的方法、自动化网络和计算机程序产品
CN112929188B (zh) 设备连接方法、系统、装置及计算机可读存储介质
EP2899666A1 (en) Policy-based secure communication with automatic key management for industrial control and automation systems
US20140245409A1 (en) Extension of the Attributes of a Credential Request
JP6456929B2 (ja) ネットワークエンドポイント内の通信の保護
US9485217B2 (en) Method for configuring network nodes of a telecommunications network, telecommunications network, program and computer program product
CN113647080B (zh) 以密码保护的方式提供数字证书
CN103460669A (zh) 用于现场设备数据通信的密码保护的方法和通信装置
CN112335215B (zh) 用于将终端设备联接到可联网的计算机基础设施中的方法
CN112840602B (zh) 用于监测基于snmp的网络中的多个设备的方法和控制系统
WO2019209184A1 (en) System and method for establishing secure communication
US8612751B1 (en) Method and apparatus for entitled data transfer over the public internet
JP5107823B2 (ja) 認証メッセージ交換システムおよび認証メッセージ交換方法
US20230164139A1 (en) Automatic discovery of access point controller
KR20240024265A (ko) 기술적 설비를 위한 제어 시스템 및 설비 컴포넌트의 인증서 요청을 전송하는 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant