DE102018117465A1 - Firewall für verschlüsselten datenverkehr in einem prozesssteuersystem - Google Patents

Firewall für verschlüsselten datenverkehr in einem prozesssteuersystem Download PDF

Info

Publication number
DE102018117465A1
DE102018117465A1 DE102018117465.9A DE102018117465A DE102018117465A1 DE 102018117465 A1 DE102018117465 A1 DE 102018117465A1 DE 102018117465 A DE102018117465 A DE 102018117465A DE 102018117465 A1 DE102018117465 A1 DE 102018117465A1
Authority
DE
Germany
Prior art keywords
message
unlock
bit sequence
header
controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018117465.9A
Other languages
English (en)
Inventor
Gary K. Law
Godfrey R. Sherriff
Andrew E. Cutchin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fisher Rosemount Systems Inc
Original Assignee
Fisher Rosemount Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fisher Rosemount Systems Inc filed Critical Fisher Rosemount Systems Inc
Publication of DE102018117465A1 publication Critical patent/DE102018117465A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/41815Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the cooperation between machine tools, manipulators and conveyor or other workpiece supply system, workcell
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31246Firewall
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/35Nc in input of data, input till input file format
    • G05B2219/35572Data contains header and type of data
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

Ein Verfahren zum Verringern des Risikos eines unbefugten Zugriffs auf einen eingebetteten Knoten in einem sicheren Subsystem eines Prozesssteuersystems beinhaltet das Empfangen einer Nachricht, die einen Nachrichten-Header und Nachrichtennutzdaten umfasst, und das Feststellen, dass die Nachricht eine Entsperrungsnachricht ist, konfiguriert zum Zugreifen auf eine oder mehrere geschützte Funktionen des eingebetteten Knotens, wenigstens durch Analysieren einer Bitsequenz von einem oder mehreren Bits in dem Nachrichten-Header. Das Verfahren beinhaltet auch das Feststellen, ob ein manueller Steuermechanismus von einem menschlichen Operator in einen bestimmten Zustand gesetzt wurde, und auf der Basis dieser Feststellungen das Bewirken oder Nichtbewirken des Eintritts des eingebetteten Knotens in einen entsperrten Zustand, in dem eine oder mehrere der geschützten Funktionen zugänglich sind.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Offenbarung betrifft allgemein Prozessanlagen und Prozesssteuersysteme und spezieller Systeme, Geräte und Verfahren, die vor Netzwerkintrusionen in Prozessanlagen und Prozesssteuersystemen schützen.
  • HINTERGRUND
  • Dezentrale Prozesssteuersysteme wie die, die in Chemie-, Erdöl- oder anderen Prozessanlagen zum Einsatz kommen, beinhalten typischerweise eine oder mehrere Prozesssteuerungen, die kommunikativ mit einem oder mehreren Feldgeräten über E/A-Karten oder Geräte, analoge, digitale oder kombinierte Analog/Digital-Busse und/oder ein(e) drahtlose(s) Kommunikationsverbindung oder -netzwerk gekoppelt sind. Die Feldgeräte, die beispielsweise Ventile, Ventilsteller, Stellantriebe, Schalter und Sender sein können (z.B. Temperatur-, Druck-, Pegel- und Durchflussratensensoren), befinden sich in der Prozessumgebung und führen allgemein physische oder Prozesssteuerfunktionen wie das Öffnen oder Schließen von Ventilen, das Messen von Prozessparametern wie Druck, Temperatur usw. und dergleichen aus, um einen oder mehrere in der/dem Prozessanlage oder -system laufende Prozesse zu steuern. Intelligente Feldgeräte wie Feldgeräte, die dem gut bekannten Fieldbus-Protokoll entsprechen, können auch Steuerberechnungen, Alarmierungsfunktionen und andere üblicherweise in der Steuerung implementierte Steuerfunktionen durchführen. Die Prozesssteuerungen, die sich ebenfalls typischerweise in der Anlagenumgebung befinden, empfangen Signale, die von den Feldgeräten durchgeführte Prozessmessungen anzeigen, und/oder andere Informationen über die Feldgeräte (z.B. über ein(e) jeweilige(s) E/A-Karte oder Gerät), und führen eine Steuerungsanwendung aus, die beispielsweise unterschiedliche Steuermodule betreibt, die Prozesssteuerentscheidungen treffen, Steuersignale auf der Basis der empfangenen Informationen erzeugen und mit den in den Feldgeräten ausgeführten Steuermodulen oder-blöcken koordinieren (z.B. HART®, WirelessHART® und FOUNDATION® Fieldbus-Feldgeräte). Die Steuermodule in der Steuerung senden die Steuersignale über die Kommunikationsleitungen oder-verbindungen zu den Feldgeräten, um dadurch den Betrieb wenigstens eines Teils der/des Prozessanlage odersystems zu steuern. Feldgeräte, E/A-Karten oder-Geräte, Steuerungen und andere verwandte Geräte können allgemein als „Prozessgeräte“ oder „Prozesssteuergeräte“ bezeichnet werden.
  • Informationen von den Feldgeräten und der Steuerung werden gewöhnlich über ein Kommunikationsnetz an einem oder mehreren Hardware-Geräten wie Operator-Workstations, Personal Computern oder Computergeräten, Datenhistorien, Meldungsgeneratoren, zentralisierten Datenbanken und anderen zentralisierten administrativen Computergeräten zur Verfügung gestellt, die sich typischerweise in Kontrollräumen oder an anderen Orten fern von der raueren Anlagenumgebung befinden. Jedes dieser Hardware-Geräte ist typischerweise über die Prozessanlage oder über einen Teil der Prozessanlage zentralisiert. Diese Hardware-Geräte arbeiten Anwendungen ab, die beispielsweise einen Operator befähigen, Funktionen mit Bezug auf das Steuern eines Prozesses und/oder das Betreiben der Prozessanlage durchzuführen, wie das Ändern von Einstellungen der Prozesssteuerroutine, das Modifizieren des Betriebs der Steuermodule innerhalb der Steuerungen oder der Feldgeräte, das Betrachten des aktuellen Zustands des Prozesses, das Betrachten von von Feldgeräten und Steuerungen erzeugten Alarmen, das Simulieren des Betriebs des Prozesses zwecks Schulung von Personal oder das Testen der Prozesssteuersoftware, das Führen und Aktualisieren einer Konfigurationsdatenbank usw. Das von den Hardware-Geräten, Steuerungen und Feldgeräten benutzte Kommunikationsnetz kann einen verdrahteten Kommunikationspfad, einen drahtlosen Kommunikationspfad oder eine Kombination aus verdrahteten und drahtlosen Kommunikationspfaden beinhalten.
  • Zum Beispiel beinhaltet das Steuersystem DeltaV™, von Emerson Process Management erhältlich, mehrere Anwendungen, die in unterschiedlichen Geräten, die sich an verschiedenen Orten in einer Prozessanlage befinden, gespeichert sind und ausgeführt werden. Eine Konfigurationsanwendung, die sich in einer oder mehreren Workstations oder Computergeräten befindet, ermöglicht es Benutzern, Prozesssteuermodule zu erzeugen oder zu ändern und diese Prozesssteuermodule über ein Kommunikationsnetz auf dedizierte dezentrale Steuerungen herunterzuladen. Diese Steuermodule bestehen typischerweise aus kommunikativ miteinander verbundenen Funktionsblöcken, die Objekte in einem objektorientierten Programmierungsprotokoll sind, die Funktionen in dem Steuerschema auf der Basis von Eingängen in diese durchführen und die anderen Funktionsblöcken in dem Steuerschema Ausgänge bereitstellen. Die Konfigurationsanwendung kann es auch einem Konfigurationsdesigner ermöglichen, Operator-Schnittstellen zu erzeugen oder zu ändern, die von einer Anzeigeanwendung zum Anzeigen von Daten gegenüber einem Operator und zum Befähigen des Operators, Einstellungen wie Sollwerte innerhalb der Prozesssteuerroutinen zu ändern, benutzt werden. Jede dedizierte Steuerung und, in einigen Fällen, ein oder mehrere Feldgeräte, speichert und führt eine jeweilige Steuerungsanwendung aus, die die Steuermodule ausführt, die ihr zugeordnet sind und auf sie heruntergeladen wurden, um tatsächliche Prozesssteuerfunktionalität zu implementieren. Die Anzeigeanwendungen, die auf einer oder mehreren Operator-Workstations (oder auf einem oder mehreren fernen Computergeräten in kommunikativer Verbindung mit den Operator-Workstations und dem Kommunikationsnetz) ausgeführt werden können, empfangen Daten von der Steuerungsanwendung über das Kommunikationsnetz und zeigen diese Daten Prozesssteuersystem-Designern, Operators oder anderen Benutzern über die Benutzeroberflächen an und können beliebige aus einer Reihe verschiedener Ansichten, wie zum Beispiel eine Operator-Ansicht, eine Ingenieurs-Ansicht, eine Techniker-Ansicht usw. bereitstellen. Eine Datenhistorienanwendung wird typischerweise von einem Datenhistoriengerät gespeichert und ausgeführt, das einige oder alle der über das Kommunikationsnetz bereitgestellten Daten sammelt und speichert, während eine Konfigurationsdatenbankanwendung in noch einem weiteren Computer laufen kann, der an das Kommunikationsnetz angeschlossen ist, um die aktuelle Prozesssteuerroutinen-Konfiguration und damit assoziierte Daten zu speichern. Alternativ kann sich die Konfigurationsdatenbank in derselben Workstation befinden wie die Konfigurationsanwendung.
  • Allgemein ausgedrückt beinhaltet daher ein Prozesssteuersystem einer Prozessanlage Feldgeräte, Steuerungen, Workstations und andere Geräte, die durch einen Satz von Netzwerken und Bussen miteinander verbunden sind. Aufgrund der Kritikalität vieler Prozesssteuergeräte und -funktionen (z.B. im Hinblick auf Schäden, Zerstörung und/oder Verlust von Anlagenausrüstung, Produkt oder sogar Menschenleben) können bestimmte Funktionen gesperrt werden, um unbefugten Zugriff zu verhindern. Zum Beispiel können eingebettete Knoten wie Steuerungen und/oder Logik-Solver in sicheren Subsystemen (z.B. in einem DeltaV Safety Integrated System™ oder SIS™) gesperrt werden, um unbefugte Downloads, Firmware-Upgrades, Zugriffe auf Wartungs/Diagnose-Funktionen, Außerbetriebnahme und/oder andere Funktionen zu verhindern. Solche Schutzmaßnahmen können dort von besonderer Bedeutung sein, wo ein Prozesssteuersystem mit verschiedenen externen Netzwerken verbunden ist, z.B. zwecks Reduzierung von Herstellungs- und Betriebskosten, Erhöhen von Produktivität und Effizienzen, Bereitstellen von rechtzeitigem Zugang zu Prozesssteuer- und/oder Prozessanlageninformationen usw. Im Allgemeinen erhöht das Verbinden von Prozessanlagen und/oder Prozesssteuersystemen mit Unternehmens- und/oder externen Netzwerken und Systemen das Risiko von Cyber-Intrusionen und/oder bösartigen Cyber-Attacken, die von typischen oder erwarteten Schwächen in kommerziellen Systemen und Anwendungen wie denen entstehen können, die in Unternehmens- und/oder externen Netzwerken benutzt werden.
  • In vielen herkömmlichen Prozesssteuersystemen kann ein gesperrter eingebetteter Knoten entsperrt werden, wenn der eingebettete Knoten eine spezielle „Entsperrungsnachricht“ erhält. Typischerweise sind Nachrichten in einem Prozesssteuersystem sowohl mit einem Nachrichten-Header als auch mit Nachrichtennutzdaten strukturiert, und eine gegebene Nachricht wird dann (und nur dann) als eine „Entsperrungs“-Nachricht erkannt, wenn die Nachricht eine spezifische bekannte Serie von Bits an einer spezifischen bekannten Position in den Nachrichtennutzdaten enthält. 1 veranschaulicht eine herkömmliche Entsperrungsnachricht 10 dieser Art. Wie in 1 zu sehen ist, beinhaltet die Entsperrungsnachricht 10 einen herkömmlichen Nachrichten-Header 12 mit verschiedenen Feldern einschließlich einem Quell-Feld, einem Ziel-Feld und einem Ethertype-Feld. Die Entsperrungsnachricht 10 beinhaltet auch Nachrichtennutzdaten 14, die unter anderem eine Bitsequenz an einer Position 16 beinhalten, von der bekannt ist (z.B. durch den eingebetteten Knoten), dass sie einem Entsperrungsindikator entspricht. Wenn die Bits an Position 16 eine(n) spezifische(n) vorbestimmte(n) Wert/Sequenz haben, dann wird die Nachricht 10 als Entsperrungsnachricht identifiziert und die geschützten Funktionen werden entsperrt. So erfordert in konventionellen Systemen die Feststellung, ob eine bestimmte Nachricht eine Entsperrungsnachricht ist, eine Deep-Packet-Inspection (d.h. Analyse der Nachrichtennutzdaten).
  • Um vor unbefugten Zugriffen, einschließlich Zugriffen von bestimmten Quellen, die möglicherweise das richtige Entsperrungsnachrichtenformat erlernt haben, schützen zu helfen, werden typischerweise Firewall-Geräte in Prozesssteuersystemen eingesetzt, z.B. zwischen Operator-Workstations und sicheren Subsystemen. Als zusätzliche Sicherheitsschicht dienen einige dieser Firewall-Geräte, die als „Intrusionsschutzgeräte“ oder als IPDs (engl. Intrusion Protection Device)“ bekannt sind, als Gatekeeper für das Entsperren von eingebetteten Knoten (d.h. für das Entsperren bestimmter geschützter Merkmale/Funktionen von eingebetteten Knoten). Ein IPD weist typischerweise eine Hardware-Taste auf, die von einem Operator physisch gedrückt werden kann. Wenn das IPD eine Entsperrungsnachricht erhält, die für einen eingebetteten Knoten bestimmt ist, während die IPD-Taste gedrückt wird, dann leitet das IPD die Entsperrungsnachricht zum eingebetteten Knoten weiter, der die gesperrten Merkmale/Funktionen verfügbar macht. Umgekehrt lässt, wenn das IPD eine Entsperrungsnachricht erhält, die für einen eingebetteten Knoten bestimmt ist, während die IPD-Taste nicht gedrückt wird, das IPD die Entsperrungsnachricht fallen und die gesperrten Merkmale/Funktionen des eingebetteten Knotens bleiben unzugänglich. So erfolgt eine Entsperrung dann, und nur dann, wenn eine Entsperrungsnachricht empfangen wird, während die IPD-Taste gedrückt wird.
  • In Prozesssteuersystemen, die nur unverschlüsselten Datenverkehr austauschen, mögen diese herkömmlichen Ansätze beim Verhindern von Netzwerkintrusionen recht wirksam sein. Es ist jedoch eventuell das Verschlüsseln von Datenverkehr notwendig oder wünschenswert, um Datensicherheit innerhalb des Prozesssteuersystems zu erhöhen. Typischerweise werden, wenn Datenverkehr verschlüsselt wird, die gesamten Nutzdaten jeder Nachricht verschlüsselt, was die zum Kennzeichnen von Entsperrungsnachrichten benutzten Bits einschließt. So ist es im Allgemeinen nicht möglich, festzustellen, ob eine bestimmte verschlüsselte Nachricht eine Entsperrungsnachricht ist, ohne zuvor die Nachrichtennutzdaten zu entschlüsseln. Leider kann das Entschlüsseln der Nachrichtennutzdaten das sichere Subsystem schädlichen Netzwerkintrusionen aussetzen. Demgemäß besteht Bedarf an Verfahren, Systemen und Geräten, die auf sichere Weise das Schützen eines IPD mit Bezug auf Entsperrungsnachrichten für einen eingebetteten Knoten implementieren können, selbst dann, wenn solche Nachrichten verschlüsselt sind.
  • ZUSAMMENFASSUNG
  • Es werden hierin Techniken, Systeme, Vorrichtungen, Komponenten, Geräte und Verfahren zum Verringern des Risikos eines unbefugten Zugriffs auf einen eingebetteten Knoten in einem sicheren Subsystem eines Prozesssteuersystems offenbart. Die genannten Techniken, Systeme, Vorrichtungen, Komponenten, Geräte und Verfahren können auf industrielle Prozesssteuersysteme, Umgebungen und/oder Anlagen angewendet werden, die hierin austauschbar als „industrielle Steuer-“, „Prozesssteuer-“ oder „Prozess“-Systeme, - Umgebungen und -Anlagen bezeichnet werden. Typischerweise ermöglichen solche Systeme und Anlagen eine Steuerung, auf eine dezentrale Weise, von einem oder mehreren Prozessen, die zum Herstellen, Verfeinern, Transformieren, Erzeugen oder Produzieren von physischen Materialien oder Produkten ablaufen.
  • In einem Prozesssteuersystem, das verschlüsselte Nachrichten nutzt (oder potentiell nutzt), werden Entsperrungsnachrichten durch Analysieren eines Indikators im Nachrichten-Header identifiziert. In einigen Ausgestaltungen kann ein von einem bestimmten Datenpaketformat/-protokoll (z.B. dem Zwei-Byte-Ethertype-Feld eines herkömmlichen Ethernet-Frame) definiertes spezifisches Feld wenigstens teilweise zur Verwendung als Entsperrungsnachrichtenindikator umfunktioniert werden. Entsperrungsnachrichten können mit einer vordefinierten Bitsequenz angezeigt werden, die einem Intrusionsschutzgerät (IPD) bekannt ist. Das IPD kann die Sequenz (oder einen Satz von mehreren möglichen Sequenzen) entsprechend Entsperrungsnachrichten erlernen und/oder die Position der Sequenz (z.B. innerhalb des Ethertype-Feldes) aufgrund davon erlernen, dass es zum Beispiel heruntergeladene spezialisierte Software oder Firmware hat.
  • Verschlüsselte Nachrichten verschlüsseln typischerweise die Nutzdaten, aber nicht den Header. So kann das IPD durch Inspizieren der Nachrichten-Header Entsperrungsnachrichten identifizieren, ohne die für eine Deep-Packet-Inspection notwendige Entschlüsselung durchzuführen. Allgemein gesprochen können die Firewall-Techniken des IPD Deep-Packet-Inspection vermeiden, indem sie allein auf Header-Informationen wie Quelle, Ziel und Typ anstatt auf Nutzdateninformationen basieren.
  • Demgemäß kann/können ein eingebetteter Knoten und/oder ein sicheres Subsystem, der/das vom IPD geschützt wird, weitaus weniger anfällig für Intrusionen sein. Abgesehen von den hierin beschriebenen neuen Techniken zum Identifizieren von Entsperrungsnachrichten kann das Entsperren eines eingebetteten Knotens auf eine Weise ähnlich wie bei konventionellen IPDs erfolgen. Zum Beispiel kann das IPD jede einzelne Entsperrungsnachricht verwerfen oder fallenlassen, die als solche identifiziert wird (auf der Basis der Entsperrungsindikator-Bitsequenz), es sei denn, dass die Entsperrungsnachricht empfangen wird, während eine physische Kontrolle (z.B. eine Taste) am IPD von einem Operator aktiviert (z.B. gedrückt) wird.
  • Figurenliste
    • 1 veranschaulicht eine Entsperrungsnachricht des Standes der Technik, die zum Entsperren geschützter Funktionen in einem herkömmlichen Prozesssteuersystem benutzt wird.
    • 2 zeigt eine neue, beispielhafte Entsperrungsnachricht, die zum Entsperren geschützter Funktionen in einem Prozesssteuersystem benutzt werden kann.
    • 3 ist ein Blockdiagramm eines beispielhaften sicheren Subsystems, das eine Entsperrungsnachricht wie die Entsperrungsnachricht von 2 nutzt.
    • 4 ist ein Blockdiagramm eines anderen beispielhaften sicheren Subsystems, das eine Entsperrungsnachricht wie die Entsperrungsnachricht von 2 nutzt.
    • 5 ist ein Blockdiagramm einer beispielhaften Prozesssteuerumgebung, die eine Entsperrungsnachricht wie die Entsperrungsnachricht von 2 nutzt und/oder ein oder mehrere sichere Subsysteme wie das sichere Subsystem der 3 und/oder 4 beinhaltet.
    • 6 ist ein Ablaufdiagramm, das ein beispielhaftes Verfahren zum Verringern des Risikos eines unbefugten Zugriffs auf einen eingebetteten Knoten in einem sicheren Subsystem eines Prozesssteuersystems veranschaulicht.
    • 7 ist ein Ablaufdiagramm, das ein anderes beispielhaftes Verfahren zum Verringern des Risikos eines unbefugten Zugriffs auf einen eingebetteten Knoten in einem sicheren Subsystem eines Prozesssteuersystems veranschaulicht.
  • AUSFÜHRLICHE BESCHREIBUNG
  • 2 zeigt eine beispielhafte Entsperrungsnachricht 100, die gemäß einer Ausgestaltung zum Entsperren von einer oder mehreren geschützten Funktionen in einem Prozesssteuersystem benutzt werden kann. Die geschützten Funktionen können Funktionen beinhalten, die von einem oder mehreren eingebetteten Knoten (z.B. Steuerung(en), Logik-Solver(n) usw.) in einem sicheren Subsystem des Prozesssteuersystems (z.B. in einem DeltaV Safety Integrated System oder SIS) bereitgestellt werden oder damit assoziiert sind. Die geschützte(n) Funktion(en) kann/können eine Diagnosefunktion, eine Upgrade-Funktion, eine Außerbetriebnahmefunktion und/oder eine oder mehrere andere Funktionen beinhalten, für die kontrollierter/begrenzter Zugang gewünscht wird.
  • Wie in 2 zu sehen ist, beinhaltet die Entsperrungsnachricht 100 einen Nachrichten-Header 102, der unverschlüsselt ist, und Nachrichtennutzdaten 104, die verschlüsselt sind. Die Nachrichtennutzdaten 104 können von der Quelle der Entsperrungsnachricht 100 (oder einem Zwischengerät) mit einer beliebigen geeigneten Verschlüsselungstechnologie verschlüsselt werden und können eine beliebige Länge vorbehaltlich der Beschränkungen des Protokolls oder Standards haben, dem die Entsperrungsnachricht 100 im Allgemeinen entspricht (z.B. einem spezifischen IEEE-Standard). In der beispielhaften Ausgestaltung von 1 beinhaltet der Nachrichten-Header 102 ein Quellfeld (vom Protokoll als MAC-Adresse der Quelle der Entsperrungsnachricht 100 definiert), ein Zielfeld (vom Protokoll als MAC-Adresse des beabsichtigten Ziels für die Entsperrungsnachricht 100 definiert), ein Ethertype-Feld (vom Protokoll als eine Anzeige definiert, welches Protokoll in den Nachrichtennutzdaten 104 verkapselt ist, wie IPv4, ARP, Wake-on-LAN, TRILL usw., und möglicherweise der Größe der Nachrichtennutzdaten 104 und/oder der Entsperrungsnachricht 100), und ein oder mehrere andere Felder (z.B. eine Präambel, ein Trennzeichen usw.), die ebenfalls demselben Protokoll/Standard entsprechen können.
  • An einer Position 106 im Nachrichten-Header 102 zeigt eine Sequenz von einem oder mehreren Bits an, dass die Nachricht 100 eine Entsperrungsnachricht ist. In einigen Ausgestaltungen wird eine einzige vordefinierte Bitsequenz zum Entsperren aller gesperrten Funktionen eines eingebetteten Knotens benutzt, während in anderen Ausgestaltungen unterschiedliche Bitsequenzen benötigt werden, um unterschiedliche eingebettete Knotenfunktionen zu entsperren. In der Ausgestaltung von 2 stimmt die Position 106 der Bitsequenz genau mit der Standard/Protokoll-definierten Position des Ethertype-Feldes des Nachrichten-Headers 102 überein. In einigen Ausgestaltungen ist das Ethertype-Feld ein Zwei-Byte-Feld. In einer solchen Ausgestaltung kann beispielsweise die genaue Bitsequenz „1010 1010 1010 1010“ anzeigen, dass die Nachricht 100 eine Entsperrungsnachricht ist. In anderen Ausgestaltungen belegt jedoch die eine Entsperrungsnachricht anzeigende Bitsequenz nicht alle Bits eines bestimmten Feldes. Wenn die Position 106 zum Beispiel mit einem Zwei-Byte-Ethertype-Feld übereinstimmt, dann kann jede Bitsequenz von „1xxxxxxx xxxxxxxx“ eine Entsperrungsnachricht anzeigen, wobei „x“ ein „don't care“ („egal“)-Bit repräsentiert, das beide Werte (0 oder 1) haben kann. So können Bits an Position 106 in einigen Ausgestaltungen einen Entsperrungsindikator sowie andere Informationen geben (z.B. Informationen über den Typ von in den Nachrichtennutzdaten 104 verkapseltem Protokoll). Ferner kann in einigen Ausgestaltungen das Ethertype- (oder andere Header-) Feld auch zum Anzeigen anderer Nachrichtentypen außer Entsperrungsnachrichten benutzt werden.
  • In alternativen Ausgestaltungen kann sich der Entsperrungsindikator (Bitsequenz) an einer anderen Position im Header 102 als der Position befinden, die normalerweise mit dem Ethertype-Feld assoziiert ist. Außerdem kann der Nachrichten-Header 102 in einigen Nachrichten mehr, weniger und/oder andere Felder als die in 2 gezeigten beinhalten. Allgemeiner gesprochen kann die Entsperrungsnachricht 100 insgesamt anders angeordnet sein als in 1 gezeigt. Zum Beispiel kann die Entsperrungsnachricht 100 einen Footer hinter den Nachrichtennutzdaten 104 beinhalten, der ein CRC-(Cyclic Redundancy Check)-Feld und/oder ein oder mehrere andere Felder enthält.
  • Da die Position 106 des Entsperrungsindikators im Nachrichten-Header 102 anstatt in den Nachrichtennutzdaten 104 ist, ist es möglich, eine Entsperrungsnachricht zu identifizieren, ohne zuvor die verschlüsselten Nachrichtennutzdaten 104 zu entschlüsseln. So ist es möglich, im Gegensatz zur Entsperrungsnachricht 10 des Standes der Technik gemäß 1 (die das Entschlüsseln der Nutzdaten 14 erfordern würde, wenn die Entsperrungsnachricht 10 verschlüsselt wurde), Entsperrungsnachrichten zu identifizieren, ohne eine Entschlüsselung durchzuführen und ohne das Risiko einer Netzwerkintrusion zu erhöhen. Zudem kann in einigen Ausgestaltungen, wenn keine IPD-Taste oder ein anderes manuelles Steuerelement aktiviert wird, die Entsperrungsnachricht 100, wenn sie empfangen wird, ordnungsgemäß verworfen werden, ohne einen Teil der Entsperrungsnachricht 100 entschlüsselt zu haben.
  • Wie oben angemerkt, kann die Entsperrungsnachricht 100 zum Entsperren von einer oder mehreren geschützten Funktionen eines eingebetteten Knotens in einem sicheren Subsystem benutzt werden. 3 zeigt ein Beispiel für ein solches sicheres Subsystem 120. Das sichere Subsystem 120 kann beispielsweise ein DeltaV SIS oder ein Teil davon sein. Wie in 3 zu sehen, beinhaltet das sichere Subsystem 120 eine Steuerung 122, die ein eingebetteter Knoten des sicheren Subsystems 120 ist, und ein Intrusionsschutzgerät (IPD) 124, das als Firewall-Gerät arbeitet, um einen unbefugten Zugriff auf die Steuerung 122 (und evtl. auf andere Teile des sicheren Subsystems 120, die in 3 nicht gezeigt sind) zu verhindern. Das IPD 124 ist zwar in 3 als Teil des sicheren Subsystems 120 dargestellt, aber es ist zu verstehen, dass das IPD 124 stattdessen auch als außerhalb des sicheren Subsystems 120 (z.B. als Gateway zum sicheren Subsystem 120) gesehen werden kann.
  • Die Steuerung 122 beinhaltet Prozesssteuersoftware 126 (möglicherweise mit Firmware und/oder Hardware), die ein oder mehrere konfigurierbare Steuerroutinen/-module (oder Teile davon) in dem Prozesssteuersystem implementiert. Zum Beispiel kann die Prozesssteuersoftware 126 Befehle beinhalten, die bewirken, dass die Steuerung 122 eine bestimmte Steuerroutine durch Empfangen von Signalen, die von einem oder mehreren Feldgeräten durchgeführte Prozessmessungen anzeigen, implementiert, solche Signale analysiert, um Steuersignale zu erzeugen, und solche Steuersignale zu einem oder mehreren anderen Feldgeräten sendet. Die Prozesssteuersoftware 126 kann von einer Konfigurations-Workstation (z.B. wie in Verbindung mit 5 unten erörtert) heruntergeladen und als Befehle in einem persistenten Speicher der Steuerung 122 (in 3 nicht gezeigt) wie zum Beispiel einer Festplatte oder einem Festkörperspeicher gespeichert werden. In einer alternativen Ausgestaltung ist die Steuerung 122 stattdessen ein anderer Typ von eingebettetem Knoten, wie zum Beispiel ein Logik-Solver.
  • Prozesssteuersoftware 126 kann eine oder mehrere geschützte/gesperrte Funktionen 128 unterstützen, die Funktionen beinhalten können oder auch nicht, die direkt mit von Prozesssteuersoftware 126 implementierten Steuerroutinen assoziiert sind. Zum Beispiel kann/können die geschützte(n) Funktion(en) 128 eine Funktion zum Unterbrechen einer zeitgleich von der Steuerung 122 ausgeführten Steuerroutine, eine Funktion zum Einleiten eines Eingangs in eine zeitgleich von der Steuerung 122 ausgeführte Steuerroutine, eine Funktion zum Herunterladen einer neuen Steuerroutine auf die Steuerung 122, eine Funktion zum Setzen der Steuerung 122 in einen Diagnosemodus usw. beinhalten. Die Prozesssteuersoftware 126 ist auch so konfiguriert, dass sie feststellt, wenn eine empfangene Nachricht eine Entsperrungsnachricht ist, und den Zugriff auf (eine) geschützte Funktion(en) 128 zulässt, wenn eine gültige Entsperrungsnachricht empfangen wird, wie nachfolgend näher erörtert wird.
  • Das IPD 124 beinhaltet einen persistenten Speicher (z.B. eine Festplatte oder einen Festkörperspeicher, in 3 nicht gezeigt), der Befehle einer Firewall 130 speichert. Die Firewall 130 beinhaltet Software, Firmware und/oder Hardware, die im Allgemeinen zum Anwenden verschiedener Sicherheitsüberwachungs- und/oder -steuerfunktionen auf den vom IPD 124 empfangenen Netzwerkverkehr auf der Basis verschiedener Sicherheitsregeln konfiguriert ist. Die Firewall 130 kann Software beinhalten, die zum Beispiel zum Erkennen und Quarantänisieren von Computerviren konfiguriert ist.
  • Die Firewall 130 beinhaltet auch eine Header-Prüfeinheit 132, die gültige Entsperrungsnachrichten unter vom IPD 124 empfangenen Nachrichten/Paketen identifiziert. Insbesondere untersucht die Header-Prüfeinheit 132 die Bitsequenz an einer spezifischen Position in einem unverschlüsselten Nachrichten-Header (z.B. Position 106 im Nachrichten-Header 102 von 2) und stellt fest, ob die Bitsequenz anzeigt, dass die Nachricht eine Entsperrungsnachricht ist. Zum Beispiel kann die Header-Prüfeinheit 132 die Bitsequenz an dieser Position mit einer spezifischen Bitsequenz oder einem spezifischen Satz von Bitsequenzen vergleichen, von der/dem bekannt ist, dass er/sie Entsperrungsnachrichten entspricht/entsprechen.
  • Wenn die Header-Prüfeinheit 132 feststellt, dass eine gegebene Nachricht eine Entsperrungsnachricht ist, dann untersucht die Firewall 130 den aktuellen Status einer IPD-Taste 134, die im Allgemeinen (oder in einigen Ausgestaltungen immer) aktiviert/gedrückt werden muss, damit eine Entsperrungsnachricht (eine) geschützte Funktion(en) 128 entsperren kann. Die IPD-Taste 134 kann eine physische Taste sein, die auf einer Oberfläche (oder unter einer entfernbaren Abdeckung usw.) des IPD 124 exponiert ist. In anderen Ausgestaltungen ist die IPD-Taste 134 ein anderer Typ von manuellem Steuerelement wie ein Umschalter, der durch Drehen des Schalters auf „on“ aktiviert wird, oder ein Satz von Tasten, Scheiben, Wählscheiben, Schaltern usw., der durch Einstellen jedes/r der individuellen Tasten/Wählscheiben/Schalter/usw. gemäß einer/m spezifischen Kombination/Code usw. aktiviert wird.
  • Wenn die Firewall 130 feststellt, dass die IPD-Taste 134 zeitgleich aktiviert (z.B. gedrückt) ist, dann kann das IPD 124 die Entsperrungsnachricht zur Steuerung 122 weiterleiten. Die Steuerung 122 kann dann die Bitsequenz an der geeigneten Position des Nachrichten-Headers untersuchen, um die Nachricht als Entsperrungsnachricht zu erkennen, und kann nach Bedarf Zugang zu (einer) geschützten Funktion(en) 128 gewähren. Wenn die Firewall 130 stattdessen feststellt, dass die IPD-Taste 134 zeitgleich nicht aktiviert ist, dann kann das IPD 124 die Entsperrungsnachricht verwerfen und die Entsperrungsnachricht niemals zur Steuerung 122 weiterleiten.
  • In anderen Ausgestaltungen beinhalten Entsperrungsnachrichten auch einen zweiten Entsperrungsindikator in den Nachrichtennutzdaten (z.B. an einer konventionellen Position für einen solchen Indikator wie in 1 gezeigt) und die Steuerung 122 identifiziert die Nachricht als Entsperrungsnachricht durch Analysieren des zweiten Entsperrungsindikators (d.h. nach dem Entschlüsseln). Selbst in dieser letzteren Ausgestaltung verwirft das IPD 124 jedoch unbefugte Entsperrungsnachrichten zu entsprechenden Zeiten, wenn die IPD-Taste 134 nicht aktiviert ist. So muss die Steuerung 122 weiterhin die meisten oder alle unbefugten Entsperrungsnachrichten nicht entschlüsseln.
  • In alternativen Ausgestaltungen erfordert die Firewall 130 nicht, dass die IPD-Taste 134 zeitgleich aktiviert ist, um eine Entsperrungsnachricht zur Steuerung 122 weiterzuleiten. Zum Beispiel kann es ausreichen, wenn die IPD-Taste 134 irgendwann in den letzten fünf Sekunden usw. gedrückt oder anderweitig aktiviert wurde.
  • In einigen Ausgestaltungen, in denen der Entsperrungsindikator in der Position des Ethertype-Feldes (z.B. Position 106 von 2) ist, ist die Steuerung 122 zum Verwerfen des Ethertype-Feldes (z.B. wenn die Steuerung 122 Entsperrungsnachrichten durch Analysieren des Headers identifiziert, auf dieselbe Weise wie IPD 124) oder zum Analysieren des Ethertype-Feldes auf eine nicht konventionelle Weise (z.B. wenn der Entsperrungsindikator mit einem Ethertype-Indikator kombiniert wird, wie oben in Verbindung mit 2 erörtert wurde) konfiguriert. In anderen Ausgestaltungen (z.B. in einigen Ausgestaltungen, in denen die Steuerung 122 Entsperrungsnachrichten auf konventionelle Weise durch Analysieren der Nachrichtennutzdaten identifiziert), modifiziert das IPD 124, wenn es den Entsperrungsindikator im Ethertype-Feld analysiert hat, das Ethertype-Feld auf einen standardisierten Wert, der von der Steuerung 122 erkannt werden kann.
  • 4 zeigt ein anderes sicheres Subsystem 140, das die Entsperrungsnachricht 100 von 2 nutzen kann. Wie in 4 zu sehen ist, beinhaltet das sichere Subsystem 140 (z.B. ein DeltaV SIS oder ein Teil davon) zwei eingebettete Knoten: eine Steuerung 142 und einen Logik-Solver 144. Die Steuerung 142 kann zum Beispiel der Steuerung 122 von 3 ähnlich sein. Wie sein Name sagt, kann der Logik-Solver 144 allgemein zum Durchführen logischer Lösungen im Prozesssteuersystem konfiguriert werden. Zum Beispiel kann eine Reihe von Logik-Solvern ähnlich dem Logik-Solver 144 zum Durchführen von modularen, skalierbaren logischen Lösungsaufgaben benutzt werden, die zum Ausführen einer Reihe von von der Steuerung 142 ausgeführten Steuerroutinen nötig sind.
  • Die Steuerung 142 und der Logik-Solver 144 können jeweils eine oder mehrere geschützte Funktionen ausführen oder damit assoziiert sein. Die geschützten Funktionen können den oben in Verbindung mit 3 beschriebenen ähnlich sein (z.B. Funktionen, die eine Live-Steuerroutine beeinflussen, Update-Funktionen, Diagnose-Funktionen usw.). Die Steuerung 142 und der Logik-Solver 144 können persistente Speicher beinhalten, die Befehle speichern, die diese und andere Funktionen unterstützen.
  • Ein IPD 146 arbeitet als Firewall-Gerät, um unbefugte Zugriffe auf die Steuerung 142, den Logik-Solver 144 und möglicherweise auf andere Teile des sicheren Subsystems 140 zu verhindern, die in 4 nicht gezeigt sind. Das IPD 146 kann zum Beispiel dem IPD 124 von 3 ähnlich sein und beinhaltet eine Header-Prüfeinheit 150, die der Header-Prüfeinheit 132 von 3 ähnlich ist. Das IPD 146 ist in 4 zwar als Teil des sicheren Subsystems 140 dargestellt, aber es ist zu verstehen, dass das IPD 146 stattdessen als außerhalb des sicheren Subsystems 140 (z.B. als Gateway zum sicheren Subsystem 140) gesehen werden kann.
  • Ein Prozesssteuernetzwerk oder -Backbone 152, das verdrahtet und/oder drahtlos sein kann, koppelt die Steuerung 142 mit dem Logik-Solver 144 und eventuell auch mit einer Reihe anderer Geräte (z.B. anderen Logik-Solvers, E/A-Karten usw.). Der Logik-Solver 144 kann über ein oder mehrere verdrahtete und/oder drahtlose Netzwerke mit einer Reihe von Feldgeräten des sicheren Subsystems 140 (in 4 nicht dargestellt) gekoppelt werden.
  • In einigen Ausgestaltungen funktioniert der Zugriff auf geschützte Funktionen der Steuerung 142 in der oben in Verbindung mit 3 erörterten Weise. Zum Beispiel kann die Header-Prüfeinheit 150 jeden Nachrichten-Header im Netzwerkverkehr 160 (der verschlüsselt sein kann oder auch nicht) untersuchen, um festzustellen, ob eine bestimmte für die Steuerung 142 bestimmte Nachricht eine Entsperrungsnachricht ist, und kann auch erkennen, ob zeitgleich eine IPD-Taste oder ein anderes manuelles Steuermittel aktiviert ist. Wenn das manuelle Steuerelement aktiviert ist (oder in einigen Ausgestaltungen kürzlich aktiviert wurde), dann leitet das IPD 146 Entsperrungsnachrichten zur Steuerung 142 weiter, die dasselbe Header-Feld (oder einen zweiten Entsperrungsindikator innerhalb der Nachrichtennutzdaten nach dem Entschlüsseln) analysiert, um Entsperrungsnachrichten zu identifizieren und Zugriffe auf geschützte Funktionen zuzulassen (z.B. deren Ausführung).
  • In einigen Ausgestaltungen funktioniert der Zugriff auf geschützte Funktionen des Logik-Solvers 144 auf eine ähnliche Weise. In anderen Ausgestaltungen ist die Steuerung 142 jedoch zum Erkennen (oder wenigstens zum Nicht-Verwerfen) von Nachrichten/Paketen mit veränderten Header-(z.B. Ethertype-) Feldern konfiguriert, während der Logik-Solver 144 dies nicht ist und solche Nachrichten daher verwirft. In diesen letzteren Ausgestaltungen kann die Steuerung 142 eine Header-Modifikationseinheit 162 (z.B. als Befehle in einem persistenten Speicher der Steuerung 142 gespeichert) beinhalten, wie in 4 dargestellt ist. Die Header-Modifikationseinheit 162 ist im Allgemeinen zum Ändern des Ethertype- oder eines anderen Header-Feldes, das zum Anzeigen von Entsperrungsnachrichten benutzt wurde, zurück auf einen geeigneten/erkannten Wert (z.B. wie von einem Standard/Protokoll definiert) konfiguriert.
  • Zum Beispiel kann, wenn Netzwerkverkehr 160 eine Entsperrungsnachricht ähnlich der Entsperrungsnachricht 100 von 2 beinhaltet, die Header-Prüfeinheit 150 die Bitsequenz an Position 106 des Nachrichten-Headers 102 analysieren, um die Nachricht als Entsperrungsnachricht zu identifizieren. Wenn die IPD-Taste oder ein anderes manuelles Steuerelement zu einer geeigneten Zeit aktiviert wird, dann leitet das IPD 146 die Entsperrungsnachricht zur Steuerung 142 im sicheren Netzwerkverkehr 164 weiter. Die Steuerung 142 kann die Nachricht auf verschiedene Weisen als eine für den Logik-Solver 144 bestimmte Entsperrungsnachricht erkennen. Zum Beispiel kann das IPD 146 begleitende Daten zur Steuerung 142 senden, die dies entsprechend anzeigen, oder die Steuerung 142 kann dies durch Untersuchen des Entsperrungsindikators (im Header oder einem zweiten, entschlüsselten Entsperrungsindikator in den Nutzdaten) und der Ziel-MAC-Adresse bestimmen.
  • Die Header-Modifikationseinheit 162 der Steuerung 142 ändert dann den Entsperrungsindikator im Nachrichten-Header auf einen Wert, der durch ein(en) einschlägigen/s Standard oder Protokoll (z.B. auf einen herkömmlichen Ethertype-Wert) vordefiniert ist, und leitet die Entsperrungsnachricht zum Logik-Solver 144 im sicheren Netzwerkverkehr 166 über das Backbone 152 weiter. Der Logik-Solver 144 kann dann den Wert im Ethertype-Feld (oder einem anderen Header-Feld) auf herkömmliche Weise interpretieren und die Nachricht als Entsperrungsnachricht entweder durch Analysieren eines Entsperrungsindikators in den entschlüsselten Nutzdaten (z.B. eines Indikators, der ursprünglich in der Nachricht im Netzwerkverkehr 166 vorhanden war, oder eines neuen Indikators, der von dem IPD 146 oder der Steuerung 142 hinzugefügt wurde) erkennen. Der Logik-Solver 144 kann dann den Zugriff auf die geschützte(n) Funktion(en) zulassen (z.B. deren Ausführung). In einigen alternativen Ausgestaltungen befindet sich die Header-Modifikationseinheit 162 im IPD 146 anstatt in der Steuerung 142 oder in einem anderen in 4 nicht gezeigten Zwischengerät.
  • 5 ist ein Blockdiagramm einer beispielhaften Prozesssteuerumgebung 200, die eine Entsperrungsnachricht wie die Entsperrungsnachricht 100 von 2 nutzen und/oder ein oder mehrere sichere Subsysteme wie das sichere Subsystem 120 von 3 und/oder das sichere Subsystem 140 von 4 beinhalten kann. In der beispielhaften Umgebung 200 kann der Bereich über der punktierten Linie (relativ) ungesichert sein, während der Bereich unter der punktierten Linie sichere Subsysteme (z.B. DeltaV SISs) repräsentieren kann.
  • Die Prozesssteuerumgebung 200 beinhaltet eine Reihe von Steuerungen 202, 204, 206, 208, 210 (die hierin kollektiv „Steuerungen 202-210“ genannt werden), die Signale empfangen, die Prozessmessungen anzeigen, die von Feldgeräten (in 5 nicht gezeigt) vorgenommen wurden, diese Informationen zum Implementieren einer Steuerroutine verarbeiten und Steuersignale erzeugen, die über verdrahtete und/oder drahtlose Prozesssteuerkommunikations-Links oder -Netzwerke zu anderen Feldgeräten (ebenfalls in 5 nicht gezeigt) gesendet werden, um den Betrieb eines Prozesses in der Prozesssteuerumgebung 200 zu steuern. Typischerweise führt wenigstens ein Feldgerät eine physische Funktion (z.B. Öffnen oder Schließen eines Ventils, Erhöhen oder Verringern einer Temperatur, Vornehmen einer Messung, Erfassen eines Zustands usw.) durch, um den Ablauf eines Prozesses zu steuern. Einige Typen von Feldgeräten kommunizieren mit Steuerungen 202, 204, 206, 208 und/oder 210 mittels E/A-Geräten. Prozesssteuerungen 202-210, Feldgeräte und E/A-Geräte können verdrahtet oder drahtlos sein und es kann eine beliebige Anzahl und Kombination von verdrahteten und drahtlosen Prozesssteuerungen, Feldgeräten und E/A-Geräten in der Prozesssteuerumgebung 200 enthalten sein.
  • In der beispielhaften Umgebung 200 ist die Steuerung 202 kommunikativ mit einem IPD 220 gekoppelt, die Steuerung 204 ist kommunikativ mit einem IPD 222 verbunden und die Steuerungen 206, 208, 210 sind kommunikativ mit einem IPD 224 über ein Schaltgerät 226 verbunden. Jede der Steuerungen 202-210 kann auch kommunikativ (direkt und/oder über E/A-Karten) mit einem oder mehreren Feldgeräten und/oder anderen assoziierten Knoten (z.B. Logik-Solvern) gekoppelt sein, die der Deutlichkeit halber wie oben erwähnt in 5 nicht gezeigt sind. Die Feldgeräte (z.B. Sensoren, Ventile, Motoren, Sender, Steiler usw.) können verdrahtete und/oder drahtlose Geräte sein, die ein beliebiges geeignetes Smart-Kommunikationsprotokoll wie das FOUNDATION® Fieldbus Protocol, das HART® Protocol, das WirelessHART® Protocol, usw. benutzen.
  • Jede der Steuerungen 202-210 (die beispielsweise DeltaV Steuerungen sein können, erhältlich von Emerson Process Management) beinhaltet einen Prozessor und einen Speicher zum Speichern von Befehlen für eine oder mehrere Prozesssteuerroutinen, die nachfolgend näher erörtert werden. Die IPDs 220, 222, 224 sind auch kommunikativ mit einem Schaltgerät 230 verbunden, das wiederum kommunikativ mit einem Prozesssteuerkommunikationsnetz oder -Backbone 232 verbunden ist. Das Backbone 232 kann eine oder mehrere verdrahtete und/oder drahtlose Kommunikationsverbindungen aufweisen und kann mit einem beliebigen geeigneten Kommunikationsprotokoll wie zum Beispiel einem Ethernet-Protokoll implementiert werden. Jedes der Schaltgeräte 226 und 230 kann Nachrichten über den geeigneten Pfad auf der Basis des designierten Empfängers (z.B. Ziel-MAC-Adresse) leiten.
  • Es ist zu bemerken, dass Teile von beliebigen der hierin beschriebenen Steuerroutinen oder -modulen von unterschiedlichen Steuerungen oder anderen Geräten implementiert oder ausgeführt werden können, wenn dies gewünscht wird. Ebenso können die in der Prozesssteuerumgebung 100 implementierten Steuermodule jede beliebige Form annehmen, einschließlich Software, Firmware, Hardware usw. Steuerroutinen können in einem beliebigen gewünschten Software-Format implementiert werden, wie beispielsweise durch Verwendung von objektorientierter Programmierung, Leiterlogik, sequentiellen Funktionsübersichten, Funktionsblockdiagrammen oder durch Verwendung einer/s beliebigen anderen Software-Programmiersprache oder Design-Paradigmas. Jeder der Speicher, auf denen Steuerroutinen oder-module gespeichert sind, kann ein beliebiger geeigneter Speichertyp wie Direktzugriffsspeicher (RAM) und/oder Nur-Lese-Speicher (ROM) sein. Zudem können die Steuerroutinen oder -module beispielsweise in ein oder mehrere EPROMs, EEPROMs, anwendungsspezifische integrierte Schaltungen (ASIC) und/oder beliebige andere Hardware- oder Firmware-Elemente hartcodiert werden. So kann jede der Steuerungen 202-210 auf eine beliebige gewünschte Weise konfiguriert werden, um ein(e) Steuerstrategie oder Steuerroutine/-modul zu implementieren.
  • Jede der Steuerungen 202-210 implementiert eine Steuerstrategie unter Verwendung dessen, was üblicherweise als Funktionsblöcke bezeichnet wird, wobei jeder Funktionsblock ein Objekt oder ein anderer Teil (z.B. eine Subroutine) einer Gesamtsteuerroutine ist und in Zusammenhang mit anderen Funktionsblöcken (über „Links“ genannte Kommunikationen) arbeitet, um Prozesssteuerschleifen innerhalb der Prozesssteuerumgebung 200 zu implementieren. Steuerungsbasierte Funktionsblöcke führen typischerweise eines der Folgenden durch: (1) eine Eingabefunktion wie die, die mit einem Sender, einem Sensor oder einem anderen Prozessparametermessgerät assoziiert ist; (2) eine Steuerfunktion wie die, die mit einer Steuerroutine assoziiert ist, die PID, Fuzzy Logic usw. Steuerung durchführt; oder (3) eine Ausgabefunktion, die den Betrieb eines Geräts wie zum Beispiel eines Ventils oder eines Förderermotors steuert, um eine physische Funktion innerhalb der Prozesssteuerumgebung 200 durchzuführen. Es existieren natürlich auch Hybrid- und andere Typen von Funktionsblöcken. Funktionsblöcke können in Steuerungen 202-210 gespeichert sein und von diesen ausgeführt werden, was typischerweise dann der Fall ist, wenn diese Funktionsblöcke für standardmäßige 4-20 mA Geräte und bestimmte Typen von Smart-Feldgeräten (z.B. HART® Geräte) benutzt werden oder damit assoziiert sind, oder sie können in den Feldgeräten selbst gespeichert sein und von diesen implementiert werden, wie dies mit FOUNDATION® Fieldbus Geräten der Fall sein kann. Die ein oder mehreren Steuermodule in jeder der Steuerungen 202-210 können eine oder mehrere Steuerschleifen implementieren, die durch Ausführen von einem oder mehreren der Funktionsblöcke durchgeführt werden.
  • Im ungesicherten Teil der Prozesssteuerumgebung 200 befinden sich eine oder mehrere Operator-Workstations 240, die kommunikativ mit dem Backbone 232 verbunden sind. Über eine oder mehrere Operator-Workstations 240 können menschliche Operators Laufzeitoperationen der Prozesssteuerumgebung 200 überwachen und eventuell notwendige Diagnose-, Korrektur-, Wartungs- und/oder andere Maßnahmen ergreifen. Wenigstens einige der Operator-Workstations 240 können sich in verschiedenen, physisch geschützten Bereichen in oder nahe der Prozesssteuerumgebung 200 befinden, z.B. in einer Backend-Umgebung einer Anlage, und in einigen Situationen können wenigstens einige der Operator-Workstations 240 an einem fernen Ort (aber immer noch in kommunikativer Verbindung mit der Prozesssteuerumgebung 200) positioniert sein. Die ein oder mehreren Operator-Workstations 240 können verdrahtete oder drahtlose Computergeräte sein. Operator-Workstations 240 können externe Konnektivität (z.B. mit dem Internet) haben und sind somit gegenüber Netzwerkintrusionen/Attacken empfindlich.
  • 5 zeigt die Prozesssteuerumgebung 200 ferner so, dass sie eine oder mehrere Konfigurationsanwendungen 242A und eine oder mehrere Konfigurationsdatenbanken 242B aufweist, die jeweils auch kommunikativ mit dem Backbone 232 verbunden sind. Verschiedene Instanzen von Konfigurationsanwendungen 242A können auf einem oder mehreren Computergeräten (in 5 nicht gezeigt) ausgeführt werden, um es Benutzern zu ermöglichen, Prozesssteuermodule zu erzeugen oder zu ändern und diese Module über das Backbone 232 auf Steuerungen 202-210 und/oder andere Prozesssteuerungen herunterzuladen und es Benutzern zu ermöglichen, Operator-Schnittstellen zu erzeugen oder zu ändern, über die ein Operator Daten betrachten und Dateneinstellungen innerhalb von Prozesssteuerroutinen ändern kann. Eine oder mehrere Konfigurationsdatenbanken 242B speichern die konfigurierten Module und/oder Operator-Schnittstellen. Im Allgemeinen können eine oder mehrere Konfigurationsanwendungen 242A und Konfigurationsdatenbanken 242B zentralisiert sein und ein einheitliches logisches Aussehen für die Prozesssteuerumgebung 200 haben (obwohl mehrere Instanzen einer Konfigurationsanwendung 242A gleichzeitig in der Prozesssteuerumgebung 200 laufen können), und eine oder mehrere Konfigurationsdatenbanken 242B können in einem einzigen physischen Datenspeichergerät oder über mehrere Datenspeichergeräte gespeichert sein. Die eine oder mehreren Konfigurationsanwendungen 242A, eine oder mehrere Konfigurationsdatenbanken 242B und Benutzeroberflächen dazu (in 5 nicht gezeigt) bilden kollektiv ein Konfigurations- oder Entwicklungssystem 242 zum Erzeugen/Konfigurieren von Steuer- und/oder Anzeigemodulen. Typischerweise, aber nicht unbedingt, unterscheiden sich die Benutzeroberflächen für das Konfigurationssystem 242 von den Operator-Workstations 240, wobei die Benutzeroberflächen für das Konfigurationssystem 242 stattdessen von Konfigurations- und Entwicklungsingenieuren unabhängig davon benutzt werden, ob die Prozesssteuerumgebung 200 in Echtzeit arbeit, und wobei eine oder mehrere Operator-Workstations 240 von Operators in Echtzeit- (oder „Laufzeit-“) Operationen der Prozesssteuerumgebung 200 benutzt werden. Wie (eine) Operator-Workstation(s) 240, so kann auch das Konfigurationssystem 242 für Netzwerkintrusionen/Attacken empfänglich sein.
  • Die beispielhafte Prozesssteuerumgebung 200 beinhaltet auch einen oder mehrere drahtlose Zugangspunkte 244, die mit anderen Geräten über andere drahtlose Protokolle wie drahtlose Lokalnetzprotokolle gemäß IEEE 802.11, Mobilkommunikationsprotokolle wie WiMAX (Worldwide Interoperability for Microwave Access), LTE (Long Term Evolution) oder andere ITU-R (International Telecommunication Union Radiocommunication Sector) kompatible Protokolle, Kurzwellenlängen-Funkkommunikationen wie Nahfeldkommunikationen (NFC) oder Bluetooth und/oder andere drahtlose Kommunikationsprotokolle kommunizieren. Jeder drahtlose Zugangspunkt 244 erlaubt typischerweise Kommunikationen von Hand- oder anderen portablen Computergeräten (z.B. Laptops, Smart Phones usw.) über ein jeweiliges drahtloses Prozesssteuerkommunikationsnetz. Zum Beispiel kann ein portables Computergerät eine mobile Workstation oder ein Diagnosetestgerät sein, das von einem Operator in der Prozesssteuerumgebung 200 benutzt wird (z.B. eine Instanz von einer der Operator-Workstations).
  • Wie oben erwähnt, können eines oder beide der sicheren Subsysteme120 und 140 der 3 und 4 in der Prozesssteuerumgebung 200 integriert sein. Zum Beispiel kann das IPD 124 von 3 das IPD 220 von 5 sein und die Steuerung 122 von 3 kann die Steuerung 202 von 5 sein. Alternativ, oder zusätzlich, kann das IPD 146 von 4 das IPD 222 von 5 sein, die Steuerung 142 von 4 kann die Steuerung 204 von 5 sein und der Logik-Solver 144 von 4 kann ein Logik-Solver (in 5 nicht gezeigt) sein, der kommunikativ mit der Steuerung 204 verbunden ist.
  • Es wird angemerkt, dass 5 nur eine einzige mögliche Ausgestaltung der Prozesssteuerumgebung 200 illustriert. In anderen Ausgestaltungen kann die Prozesssteuerumgebung 200 beispielsweise mehr oder weniger Steuerungen, IPDs und/oder Schaltgeräte umfassen (und/oder Steuerungen, IPDs und/oder Schaltgeräte, die auf andere Weise oder an einer anderen Position verbunden sind als in 5 gezeigt), und/oder kann verschiedene unterschiedliche Gerätetypen beinhalten, die in 5 nicht gezeigt oder oben erörtert sind. Um nur ein einziges spezifischeres Beispiel zu geben, kann die Prozesssteuerumgebung 200 nur ein einziges IPD beinhalten, das sich auf der Seite des Backbone 232 des Schaltgeräts 230 befindet, anstatt der drei IPDs 220, 222, 224.
  • 6 ist ein Ablaufdiagramm, das ein beispielhaftes Verfahren 300 zum Verringern des Risikos eines unbefugten Zugriffs auf einen eingebetteten Knoten in einem sicheren Subsystem eines Prozesssteuersystems veranschaulicht. Das Verfahren 300 kann von einem IPD wie dem IPD 124 von 3, dem IPD 146 von 5 oder zum Beispiel einem der IPDs 220, 222, 224 von 5 implementiert werden. In einem spezifischeren Beispiel kann das Verfahren 300 durch die Firewall 130 von 3 implementiert werden.
  • In Block 302 des Verfahrens 300 wird eine einen Nachrichten-Header und Nachrichtennutzdaten umfassende Nachricht über ein Kommunikationsnetz empfangen. Die Nachricht kann beispielsweise ein Ethernet-Frame mit dem eingebetteten Knoten an seinem Ziel sein oder beinhalten. In einigen Ausgestaltungen und/oder Szenarios sind die Nachrichtennutzdaten verschlüsselt, während der Nachrichten-Header nicht verschlüsselt ist. In anderen Ausgestaltungen und/oder Szenarios sind weder die Nachrichtennutzdaten noch der Nachrichten-Header verschlüsselt.
  • In Block 304 wird festgestellt, wenigstens durch Analysieren einer Bitsequenz von einem oder mehreren Bits im Nachrichten-Header, dass die empfangene Nachricht eine Entsperrungsnachricht ist, konfiguriert zum Zugreifen auf eine oder mehrere geschützte Funktionen des eingebetteten Knotens. Zum Beispiel kann Block 304 das Vergleichen der Bitsequenz im Nachrichten-Header mit einer Bitsequenz beinhalten, von der a priori bekannt ist, dass sie Entsperrungsnachrichten entspricht. Der eingebettete Knoten kann eine Steuerung, ein Logik-Solver oder ein beliebiger anderer geeigneter Knotentyp in einem Prozesssteuersystem sein, der eine oder mehrere geschützte Funktionen unterstützt oder damit assoziiert ist. Die Bitsequenz im Nachrichten-Header kann einem bestimmten Header-Feld wie einem Ethertype-Feld der Nachricht entsprechen. Das heißt, die Bitsequenz kann sich an einer Position im Nachrichten-Header befinden, die durch ein/en Standard/Protokoll (oder einen Teil davon) eines Ethertype-(oder anderen Header)-Feldes definiert wird.
  • In Block 306 wird festgestellt, ob ein manueller Steuermechanismus (z.B. eine Taste, ein Umschalter, eine Wählscheibe oder Drehscheiben eines Kombinationsschlosses usw.) von einem menschlichen Operator in einen bestimmten Zustand (z.B. zeitgleich niedergedrückt, zeitgleich auf eine(n) bestimmte(n) Code/Kombination gesetzt ist, oder in einigen Implementationen kürzlich gedrückt usw.) gesetzt wurde. Die Feststellung in Block 306 kann mit einem oder mehreren beliebigen geeigneten Sensoren, Analog-Digital-Wandlungsschaltern usw. vorgenommen werden.
  • Wenn der Steuermechanismus nicht in den bestimmten Zustand gesetzt wurde, dann geht der Ablauf weiter zu Block 308, wo die Nachricht verworfen wird, ohne zu dem eingebetteten Knoten weitergeleitet zu werden (und in einigen Implementationen ohne zu irgendeinem anderen Knoten oder Gerät weitergeleitet zu werden). Wenn der Steuermechanismus jedoch in den bestimmten Zustand gesetzt wurde, dann geht der Ablauf weiter zu Block 310, wo der eingebettete Knoten veranlasst wird, in einen ungesperrten Zustand einzutreten. Block 310 kann das Weiterleiten der Entsperrungsnachricht beispielsweise zum eingebetteten Knoten oder das Weiterleiten der Entsperrungsnachricht zu einer Steuerung oder einem anderen Elter des eingebetteten Knotens usw. beinhalten. Der „entsperrte Zustand“ kann ein Zustand sein, in dem der eingebettete Knoten ein Software-Upgrade zulässt, in einen Diagnosemodus eintritt, außer Betrieb genommen werden kann, bestimmte Eingaben oder Änderungen an einer Live-Steuerroutine zulässt usw.
  • In einigen Ausgestaltungen, in denen der eingebettete Knoten ein Kindknoten einer Steuerung (z.B. ein Logik-Solver) ist, beinhaltet der Block 310 das Modifizieren, an der Steuerung, der Bitsequenz im Nachrichten-Header, so dass sie einen vom Kindknoten erkannten Wert enthält, und nach dem Modifizieren der Bitsequenz im Nachrichten-Header das Weiterleiten der Nachricht von der Steuerung zum Kindknoten. Wenn die Bitsequenz in einer Position ist, die herkömmlicherweise beispielsweise für ein Ethertype-Feld reserviert ist, dann kann die Steuerung die Bitsequenz so modifizieren, dass das Ethertype-Feld einen herkömmlichen Ethertype-Wert enthält (und in einigen Implementationen so, dass das Ethertype-Feld den Ethertype-Wert enthält, der zu dem benutzten Kommunikationsprotokoll wie IPv4, TRILL, usw. passt).
  • In einigen Ausgestaltungen, (und vor dem Weiterleiten der Nachricht zum Kindknoten) entschlüsselt, wenn die Nachrichtennutzdaten verschlüsselt sind, die Steuerung auch die Nachrichtennutzdaten und modifiziert eine andere Sequenz von einem oder mehreren Bits in den entschlüsselten Nachrichtennutzdaten auf einen Wert, der vom Kindknoten als Entsperrungsnachricht-Indikator erkannt wird. So kann die Steuerung zum Beispiel bewirken, dass die Nachricht einen herkömmlichen Entsperrungsindikator enthält.
  • 7 ist ein Ablaufdiagramm, das ein anderes beispielhaftes Verfahren 400 zum Verringern des Risikos eines unbefugten Zugriffs auf einen eingebetteten Knoten in einem sicheren Subsystem eines Prozesssteuersystems veranschaulicht. Das Verfahren 400 kann von verschiedenen Komponenten eines sicheren Subsystems eines Prozesssteuersystems implementiert werden, wie zum Beispiel IPD 146, Steuerung 142 und Logik-Solver 144 des sicheren Subsystems 140 in 4. In einem spezifischeren Beispiel können die Blöcke 402, 404, 406, 408 und 410 von einem Intrusionsschutzgerät wie dem IPD 146 von 4 implementiert werden, die Blöcke 412 und 414 können von einer Steuerung wie der Steuerung 142 von 4 implementiert werden und/oder die Blöcke 416 und 418 können von einem Logik-Solver wie dem Logik-Solver 144 von 4 implementiert werden.
  • In Block 402 des Verfahrens 400 wird eine einen Nachrichten-Header und Nachrichtennutzdaten umfassende Nachricht über ein Kommunikationsnetz empfangen. Der Block 402 kann dem Block 302 des Verfahrens 300 ähnlich sein. Zum Beispiel kann der Nachrichten-Header unverschlüsselt sein und die Nachrichtennutzdaten können verschlüsselt sein usw.
  • In Block 404 wird wenigstens durch Analysieren einer Sequenz von einem oder mehreren Bits im Nachrichten-Header festgestellt, dass die empfangene Nachricht eine Entsperrungsnachricht ist. Der Block 404 kann dem Block 304 des Verfahrens 300 ähnlich sein. Zum Beispiel kann die Bitsequenz sich in einem Ethertype-Feld des Nachrichten-Headers befinden usw.
  • In Block 406 wird festgestellt, ob ein manueller Steuermechanismus von einem menschlichen Operator in einen bestimmten Zustand gesetzt wurde. Block 406 kann Block 306 des Verfahrens 300 ähnlich sein. Wenn der Steuermechanismus nicht in den bestimmten Zustand gesetzt wurde, dann geht der Ablauf weiter zu Block 408, wo die Nachricht verworfen wird, ohne zum eingebetteten Knoten weitergeleitet zu werden (und in einigen Implementationen, ohne zu einem anderen Knoten oder Gerät weitergeleitet zu werden). Wenn der Steuermechanismus jedoch in den bestimmten Zustand gesetzt wurde, dann geht der Ablauf weiter zu Block 410, wo die Nachricht zu einer Steuerung weitergeleitet wird.
  • In Block 412 wird die Bitsequenz im Nachrichten-Header an der Steuerung so modifiziert, dass sie einen Wert enthält, der von einem Logik-Solver erkannt wird, der ein Kindknoten der Steuerung ist (z.B. ein Legacy-Logik-Solver oder ein Logik-Solver, der auf andere Weise nicht zum Interpretieren von Entsperrungsindikatoren im Nachrichten-Header programmiert ist). Wenn die Bitsequenz beispielsweise in einem Ethertype-Feld enthalten war, dann kann das Ethertype-Feld auf einen Wert gesetzt werden, der von einem Kommunikationsstandard/-protokoll definiert ist, der/das in dem Prozesssteuersystem benutzt wird (und in wenigstens einigen Ausgestaltungen auf einen Wert, der zu dem benutzten Protokoll wie IPv4, TRILL usw. passt).
  • In Block 414 wird die Nachricht, mit der modifizierten Bitsequenz im Nachrichten-Header, von der Steuerung zum Logik-Solver weitergeleitet. In Block 416 wird am Logik-Solver festgestellt, dass die Nachricht eine Entsperrungsnachricht ist, wenigstens durch Analysieren einer Sequenz von einem oder mehreren Bits in den Nachrichtennutzdaten. In einigen Ausgestaltungen ist die analysierte Bitsequenz in den Nachrichtennutzdaten ein herkömmlicher Entsperrungsindikator und ist somit für Legacy-Logic-Solver oder Logik-Solver erkennbar, die ansonsten nicht zum Interpretieren von Entsperrungsindikatoren im Nachrichten-Header programmiert sind. Die analysierte Bitsequenz im Nachrichten-Header war evtl. in der an Block 402 empfangenen ursprünglichen Nachricht vorhanden (d.h. wenn die Nachricht ursprünglich wenigstens zwei Entsperrungsindikatoren enthielt), oder kann vom IPD oder der Steuerung hinzugefügt worden sein (z.B. dadurch, dass die Steuerung die Nachrichtennutzdaten entschlüsselt hat).
  • In Block 418 wird wenigstens eine geschützte Funktion des Logik-Solvers entsperrt. Zum Beispiel kann der Logik-Solver ein Software-Upgrade zulassen, in einen Diagnosemodus eintreten, eine Außerbetriebnahme zulassen, bestimmte Eingaben oder Änderungen an einer Live-Steuerroutine zulassen usw.
  • Ausgestaltungen der in der vorliegenden Offenbarung beschriebenen Techniken können eine beliebige Anzahl der folgenden Aspekte allein oder in Kombination enthalten:
  • Aspekt 1. Ein Verfahren zum Verringern des Risikos eines unbefugten Zugriffs auf einen eingebetteten Knoten in einem sicheren Subsystem eines Prozesssteuersystems, wobei das Verfahren Folgendes beinhaltet: Empfangen einer Nachricht über ein Kommunikationsnetz, wobei die Nachricht einen Nachrichten-Header und Nachrichtennutzdaten umfasst; Feststellen, dass die Nachricht eine Entsperrungsnachricht ist, konfiguriert zum Zugreifen auf eine oder mehrere geschützte Funktionen des eingebetteten Knotens, wobei das Feststellen, dass die Nachricht eine Entsperrungsnachricht ist, das Analysieren einer Bitsequenz von einem oder mehreren Bits im Nachrichten-Header beinhaltet; Feststellen, ob ein manueller Steuermechanismus von einem menschlichen Operator in einen bestimmten Zustand gesetzt wurde; und auf der Basis (i) der Feststellung, dass die Nachricht eine Entsperrungsnachricht ist, und (ii) der Feststellung, ob der manuelle Steuermechanismus in den bestimmten Zustand gesetzt wurde, entweder Bewirken oder Nichtbewirken des Eintritts des eingebetteten Knotens in einen entsperrten Zustand.
  • Aspekt 2. Das Verfahren von Aspekt 1, bei dem das Bewirken oder Nichtbewirken des Eintritts des eingebetteten Knotens in einen entsperrten Zustand eines der Folgenden beinhaltet: als Reaktion auf die Feststellung, (i) dass die Nachricht eine Entsperrungsnachricht ist und (ii) dass der manuelle Steuermechanismus in den bestimmten Zustand gesetzt wurde, das Bewirken des Eintritts des eingebetteten Knotens in den entsperrten Zustand; oder als Reaktion auf die Feststellung, (i) dass die Nachricht eine Entsperrungsnachricht ist und (ii) dass der manuelle Steuermechanismus nicht in den bestimmten Zustand gesetzt wird, das Nichtbewirken des Eintritts des eingebetteten Knotens in den entsperrten Zustand.
  • Aspekt 3. Verfahren von Aspekt 1 oder 2, wobei: das Bewirken oder Nichtbewirken des Eintritts des eingebetteten Knotens in einen entsperrten Zustand eines der Folgenden beinhaltet: (A) als Reaktion auf die Feststellung, (i) dass die Nachricht eine Entsperrungsnachricht ist und (ii) dass der manuelle Steuermechanismus in den bestimmten Zustand gesetzt wurde, Weiterleiten der Entsperrungsnachricht entweder zu dem eingebetteten Knoten oder zu einer Steuerung, die ein Elter des eingebetteten Knotens ist, oder (B) als Reaktion auf die Feststellung, (i) dass die Nachricht eine Entsperrungsnachricht ist und (ii) dass der manuelle Steuermechanismus nicht in den bestimmten Zustand gesetzt wurde, Fallenlassen der Entsperrungsnachricht, ohne die Entsperrungsnachricht weiterzuleiten.
  • Aspekt 4. Das Verfahren von einem der Aspekte 1 bis 3, wobei das Empfangen einer Nachricht über ein Kommunikationsnetz das Empfangen einer verschlüsselten Nachricht über das Kommunikationsnetz beinhaltet, wobei die verschlüsselte Nachricht einen unverschlüsselten Nachrichten-Header und verschlüsselte Nachrichtennutzdaten umfasst.
  • Aspekt 5. Das Verfahren von einem der Aspekte 1 bis 4, wobei das Analysieren einer Bitsequenz von einem oder mehreren Bits im Nachrichten-Header das Analysieren einer Bitsequenz von einem oder mehreren Bits in einem Ethertype-Feld des Nachrichten-Headers beinhaltet.
  • Aspekt 6. Das Verfahren von einem der Aspekte 1 bis 5, wobei der eingebettete Knoten eine Steuerung ist.
  • Aspekt 7. Das Verfahren von einem der Aspekte 1 bis 5, wobei: der eingebettete Knoten ein Kindknoten einer Steuerung ist; das Bewirken oder Nichtbewirken des Eintritts des eingebetteten Knotens in einen entsperrten Zustand Folgendes beinhaltet: als Reaktion auf die Feststellung, (i) dass die Nachricht eine Entsperrungsnachricht ist und (ii) dass der manuelle Regelmechanismus in den bestimmten Zustand gesetzt wurde, Bewirken des Eintritts des Kindknotens in den entsperrten Zustand; und wobei das Bewirken des Eintritts des Kindknotens in den entsperrten Zustand Folgendes beinhaltet: (A) Modifizieren, an der Steuerung, der Bitsequenz im Nachrichten-Header, so dass er einen vom Kindknoten erkannten Wert enthält, und (B) nach dem Modifizieren der Bitsequenz im Nachrichten-Header, Weiterleiten der Nachricht von der Steuerung zum Kindknoten.
  • Aspekt 8. Das Verfahren von Aspekt 7, wobei: das Empfangen einer Nachricht über ein Kommunikationsnetz das Empfangen einer verschlüsselten Nachricht über das Kommunikationsnetz beinhaltet, wobei die verschlüsselte Nachricht einen unverschlüsselten Nachrichten-Header und verschlüsselte Nachrichtennutzdaten umfasst; und das Bewirken des Eintritts des Kindknotens in den entsperrten Zustand ferner Folgendes beinhaltet: vor dem Weiterleiten der Nachricht von der Steuerung zum Kindknoten, (A) Entschlüsseln der verschlüsselten Nachrichtennutzdaten, und (B) Modifizieren einer Bitsequenz von einem oder mehreren Bits in den entschlüsselten Nachrichtennutzdaten auf einen Wert, der vom Kindknoten als Entsperrungsnachrichten-Indikator erkannt wird.
  • Aspekt 9. Das Verfahren von Aspekt 7 oder 8, wobei: das Analysieren einer Bitsequenz von einem oder mehreren Bits im Nachrichten-Header das Analysieren einer Bitsequenz in einem Ethertype-Feld des Nachrichten-Headers beinhaltet; und das Modifizieren der Bitsequenz im Nachrichten-Header so, dass er einen Wert enthält, der vom Kindknoten erkannt wird, das Modifizieren des Ethertype-Feldes beinhaltet, so dass es vom Kindknoten erkannte Ethertype-Informationen enthält.
  • Aspekt 10. Das Verfahren von einem der Aspekte 7 bis 9, wobei der Kindknoten ein Logik-Solver ist.
  • Aspekt 11. Das Verfahren von einem der Aspekte 1 bis 10, wobei das Analysieren einer Bitsequenz von einem oder mehreren Bits im Nachrichten-Header das Vergleichen der Bitsequenz im Nachrichten-Header mit einer Bitsequenz beinhaltet, von der bekannt ist, dass sie Entsperrungsnachrichten entspricht.
  • Aspekt 12. Das Verfahren von einem der Aspekte 1 bis 11, wobei das Feststellen, ob ein manueller Steuermechanismus von einem menschlichen Operator in einen bestimmten Zustand gesetzt wurde, das Feststellen beinhaltet, ob zeitgleich eine physische Taste von einem menschlichen Operator gedrückt wird.
  • Aspekt 13. Ein Intrusionsschutzgerät, das Folgendes umfasst: einen manuellen Steuermechanismus; und einen oder mehrere Prozessoren, konfiguriert zum (A) Empfangen einer Nachricht über ein Kommunikationsnetz, wobei die Nachricht einen Nachrichten-Header und Nachrichtennutzdaten umfasst, (B) Feststellen, ob die Nachricht eine Entsperrungsnachricht ist, konfiguriert zum Zugreifen auf eine oder mehrere geschützte Funktionen eines eingebetteten Knotens eines Prozesssteuersystems, wenigstens durch Analysieren einer Bitsequenz von einem oder mehreren Bits im Nachrichten-Header, (C) Feststellen, ob der manuelle Steuermechanismus von einem menschlichen Operator in einen bestimmten Zustand gesetzt wurde, und (D) wenn festgestellt wird, dass die Nachricht eine Entsperrungsnachricht ist und dass der manuelle Steuermechanismus in den bestimmten Zustand gesetzt wurde, Bewirken des Eintritts des eingebetteten Knotens in einen entsperrten Zustand.
  • Aspekt 14. Das Intrusionsschutzgerät von Aspekt 13, wobei die Bitsequenz im Nachrichten-Header eine Bitsequenz in einem Ethertype-Feld des Nachrichten-Headers ist.
  • Aspekt 15. Das Intrusionsschutzgerät von Aspekt 13 oder 14, wobei der manuelle Steuermechanismus eine physische Taste ist.
  • Aspekt 16. Das Intrusionsschutzgerät nach einem der Aspekte 13 bis 15, wobei die ein oder mehreren Prozessoren konfiguriert sind zum Bewirken des Eintritts des eingebetteten Knotens in einen entsperrten Zustand wenigstens durch: Weiterleiten der Entsperrungsnachricht entweder zu dem eingebetteten Knoten oder zu einer Steuerung, die ein Elter des eingebetteten Knotens ist.
  • Aspekt 17. Ein sicheres Subsystem eines Prozesssteuersystems, wobei das sichere Subsystem Folgendes umfasst: eine Steuerung mit einem oder mehreren Steuerungsprozessoren, konfiguriert zum Implementieren von einem oder mehreren Prozesssteuermodulen; einen Logik-Solver mit einem oder mehreren Logic-Solver-Prozessoren, konfiguriert zum Unterstützen einer Mehrzahl von Funktionen, wobei die Mehrzahl von Funktionen eine oder mehrere geschützte Funktionen beinhaltet und wobei der Logik-Solver mit der Steuerung als Kindknoten der Steuerung gekoppelt ist; und ein Intrusionsschutzgerät mit einem manuellen Steuermechanismus und einem oder mehreren Intrusionsschutzprozessoren, konfiguriert zum (A) Empfangen einer Nachricht über ein Kommunikationsnetz, wobei die Nachricht einen Nachrichten-Header und Nachrichtennutzdaten umfasst, (B) Feststellen, ob die Nachricht eine Entsperrungsnachricht ist, wenigstens durch Analysieren einer Bitsequenz von einem oder mehreren Bits in dem Nachrichten-Header, (C) Feststellen, ob der manuelle Steuermechanismus von einem menschlichen Operator in einen bestimmten Zustand gesetzt wurde, und (D) wenn festgestellt wird, dass die Nachricht eine Entsperrungsnachricht ist und der manuelle Steuermechanismus in den bestimmten Zustand gesetzt wurde, Weiterleiten der Nachricht zur Steuerung, wobei die ein oder mehreren Steuerungsprozessoren ferner konfiguriert sind zum, wenn die Nachricht zur Steuerung weitergeleitet wird, (A) Modifizieren der Bitsequenz im Nachrichten-Header der Nachricht so, dass sie einen vom Logik-Solver erkannten Wert enthält, und (B) nach dem Modifizieren der Bitsequenz im Nachrichten-Header, Weiterleiten der Nachricht zum Logik-Solver, und wobei die ein oder mehreren Logik-Solver-Prozessoren konfiguriert sind zum, wenn die Nachricht zum Logik-Solver weitergeleitet wird, (A) Feststellen, ob die Nachricht eine Entsperrungsnachricht ist, wenigstens durch Analysieren einer Bitsequenz von einem oder mehreren Bits in den Nachrichtennutzdaten, und (B) wenn festgestellt wird, dass die Nachricht eine Entsperrungsnachricht ist, Entsperren von wenigstens einer der ein oder mehreren geschützten Funktionen.
  • Aspekt 18. Das sichere Subsystem von Aspekt 17, wobei die über das Kommunikationsnetz empfangene Nachricht eine verschlüsselte Nachricht ist, die einen unverschlüsselten Nachrichten-Header und verschlüsselte Nachrichtennutzdaten umfasst.
  • Aspekt 19. Das sichere Subsystem von Aspekt 17 oder 18, wobei die ein oder mehreren Steuerungsprozessoren ferner konfiguriert sind zum, wenn die Nachricht zur Steuerung weitergeleitet wird: Entschlüsseln der verschlüsselten Nachrichtennutzdaten; und Modifizieren der Bitsequenz in den entschlüsselten Nachrichtennutzdaten, so dass sie einen Wert enthält, der vom Logik-Solver als Entsperrungsnachrichten-Indikator erkannt wird.
  • Aspekt 20. Das sichere Prozesssteuersubsystem von Aspekt 17 oder 18, wobei die ein oder mehreren Steuerungsprozessoren zum Weiterleiten der verschlüsselten Nachricht zum Logik-Solver konfiguriert sind, ohne zunächst einen Teil der verschlüsselten Nachricht zu entschlüsseln.
  • Wenn sie in Software implementiert sind, können beliebige der hierin beschriebenen Anwendungen, Services und Engines in einem beliebigen fassbaren, nicht-transienten, computerlesbaren Speicher wie einer Magnetplatte, einer Laserplatte, einem Festkörperspeichergerät, einem molekularen Speichergerät oder einem anderen Speichermedium, in einem RAM oder ROM eines Computers oder Prozessors usw. gespeichert werden. Die hierin offenbarten beispielhaften Systeme werden zwar so offenbart, dass sie unter anderem Komponenten, Software und/oder Firmware enthalten, die auf Hardware abgearbeitet werden, aber es ist zu anzumerken, dass solche Systeme lediglich illustrativ und nicht als begrenzend anzusehen sind. Zum Beispiel ist vorgesehen, dass beliebige oder alle dieser Hardware-, Software- und Firmware-Komponenten ausschließlich in Hardware, ausschließlich in Software oder in einer beliebigen Kombination aus Hardware und Software ausgestaltet sein könnten. Demgemäß werden die hierin beschriebenen beispielhaften Systeme zwar als in Software implementiert beschrieben, die auf einem Prozessor von einem oder mehreren Computergeräten ausgeführt werden kann, aber die durchschnittliche Fachperson wird leicht erkennen, dass die angegebenen Beispiele nicht die einzige Möglichkeit sind, solche Systeme zu implementieren.
  • So wurde die vorliegende Erfindung zwar mit Bezug auf spezifische Beispiele beschrieben, die lediglich illustrativ und nicht als die Erfindung begrenzend anzusehen sind, aber die durchschnittliche Fachperson wird erkennen, dass Änderungen, Ergänzungen oder Weglassungen an den offenbarten Ausgestaltungen vorgenommen werden können, ohne von Wesen und Umfang der Erfindung abzuweichen.

Claims (15)

  1. Verfahren zum Verringern des Risikos eines unbefugten Zugriffs auf einen eingebetteten Knoten in einem sicheren Subsystem eines Prozesssteuersystems, wobei das Verfahren Folgendes beinhaltet: Empfangen einer Nachricht über ein Kommunikationsnetz, wobei die Nachricht einen Nachrichten-Header und Nachrichtennutzdaten umfasst; Feststellen, dass die Nachricht eine Entsperrungsnachricht ist, konfiguriert zum Zugreifen auf eine oder mehrere geschützte Funktionen des eingebetteten Knotens, wobei die Feststellung, dass die Nachricht eine Entsperrungsnachricht ist, das Analysieren einer Bitsequenz von einem oder mehreren Bits in dem Nachrichten-Header beinhaltet; Feststellen, ob ein manueller Steuermechanismus von einem menschlichen Operator in einen bestimmten Zustand gesetzt wurde; und Bewirken oder Nichtbewirken, auf der Basis (i) der Feststellung, dass die Nachricht eine Entsperrungsnachricht ist, und (ii) der Feststellung, ob der manuelle Steuermechanismus in den bestimmten Zustand gesetzt wurde, des Eintretens des eingebetteten Knotens in einen entsperrten Zustand.
  2. Verfahren nach Anspruch 1, das ferner das Bewirken oder Nichtbewirken des Eintritts des eingebetteten Knotens in einen entsperrten Zustand eines der Folgenden beinhaltet: als Reaktion auf die Feststellung, (i) dass die Nachricht eine Entsperrungsnachricht ist und (ii) dass der manuelle Steuermechanismus in den bestimmten Zustand gesetzt wurde, Bewirken des Eintritts des eingebetteten Knotens in den entsperrten Zustand; oder als Reaktion auf die Feststellung, (i) dass die Nachricht eine Entsperrungsnachricht ist und (ii) dass der manuelle Steuermechanismus nicht in den bestimmten Zustand gesetzt wurde, Nichtbewirken des Eintritts des eingebetteten Knotens in den entsperrten Zustand.
  3. Verfahren nach Anspruch 1 oder 2, insbesondere nach Anspruch 1, wobei das Bewirken oder Nichtbewirken des Eintritts des eingebetteten Knotens in einen entsperrten Zustand eines der Folgenden beinhaltet: als Reaktion auf die Feststellung, (i) dass die Nachricht eine Entsperrungsnachricht ist und (ii) dass der manuelle Steuermechanismus in den bestimmten Zustand gesetzt wurde, Weiterleiten der Entsperrungsnachricht entweder zu dem eingebetteten Knoten oder zu einer Steuerung, die ein Elter des eingebetteten Knotens ist; oder als Reaktion auf die Feststellung, (i) dass die Nachricht eine Entsperrungsnachricht ist und (ii) dass der manuelle Steuermechanismus nicht in den bestimmten Zustand gesetzt wurde, Fallenlassen der Entsperrungsnachricht, ohne die Entsperrungsnachricht weiterzuleiten.
  4. Verfahren nach einem der Ansprüche 1 bis 3, insbesondere nach Anspruch 1, wobei das Empfangen einer Nachricht über ein Kommunikationsnetz das Empfangen einer entschlüsselten Nachricht über das Kommunikationsnetz beinhaltet, wobei die entschlüsselte Nachricht einen unverschlüsselten Nachrichten-Header und verschlüsselte Nachrichtennutzdaten umfasst.
  5. Verfahren nach einem der Ansprüche 1 bis 4, insbesondere nach Anspruch 1, wobei das Analysieren einer Bitsequenz von einem oder mehreren Bits in dem Nachrichten-Header das Analysieren einer Bitsequenz von einem oder mehreren Bits in einem Ethertype-Feld des Nachrichten-Headers beinhaltet.
  6. Verfahren nach einem der Ansprüche 1 bis 5, insbesondere nach Anspruch 1, wobei der eingebettete Knoten eine Steuerung ist, und/oder wobei: der eingebettete Knoten ein Kindknoten einer Steuerung ist; das Bewirken oder Nichtbewirken des Eintritts des eingebetteten Knotens in einen entsperrten Zustand, als Reaktion auf die Feststellung, (i) dass die Nachricht eine Entsperrungsnachricht ist und (ii) dass der manuelle Steuermechanismus in den bestimmten Zustand gesetzt wurde, das Bewirken des Eintritts des Kindknotens in den entsperrten Zustand beinhaltet; und das Bewirken des Eintritts des Kindknotens in den entsperrten Zustand Folgendes beinhaltet: Modifizieren, an der Steuerung, der Bitsequenz im Nachrichten-Header, so dass er einen vom Kindknoten erkannten Wert enthält, und Weiterleiten, nach dem Modifizieren der Bitsequenz im Nachrichten-Header, der Nachricht von der Steuerung zum Kindknoten, und/oder wobei: das Empfangen einer Nachricht über ein Kommunikationsnetz das Empfangen einer verschlüsselten Nachricht über das Kommunikationsnetz beinhaltet, wobei die verschlüsselte Nachricht einen unverschlüsselten Nachrichten-Header und verschlüsselte Nachrichtennutzdaten umfasst; und das Bewirken des Eintritts des Kindknotens in den entsperrten Zustand ferner, vor dem Weiterleiten der Nachricht von der Steuerung zum Kindknoten, Folgendes beinhaltet: Entschlüsseln der verschlüsselten Nachrichtennutzdaten, und Modifizieren einer Bitsequenz von einem oder mehreren Bits in den entschlüsselten Nachrichtennutzdaten auf einen Wert, der vom Kindknoten als ein Entsperrungsnachricht-Indikator erkannt wird, und/oder wobei: das Analysieren einer Bitsequenz von einem oder mehreren Bits im Nachrichten-Header das Analysieren einer Bitsequenz innerhalb eines Ethertype-Felds des Nachrichten-Headers beinhaltet; und das Modifizieren der Bitsequenz im Nachrichten-Header, so dass er einen vom Kindknoten erkannten Wert enthält, das Modifizieren des Ethertype-Felds beinhaltet, so dass es vom Kindknoten erkannte Ethertype-Informationen enthält, und/oder wobei der Kindknoten ein Logik-Solver ist.
  7. Verfahren nach einem der Ansprüche 1 bis 6, insbesondere nach Anspruch 1, wobei das Analysieren einer Bitsequenz von einem oder mehreren Bits im Nachrichten-Header das Vergleichen der Sequenz im Nachrichten-Header mit einer Bitsequenz beinhaltet, von der bekannt ist, dass sie Entsperrungsnachrichten entspricht.
  8. Verfahren nach einem der Ansprüche 1 bis 7, insbesondere nach Anspruch 1, wobei das Feststellen, ob ein manueller Steuermechanismus von einem menschlichen Operator in einen bestimmten Zustand gesetzt wurde, das Feststellen beinhaltet, ob zeitgleich eine physische Taste von einem menschlichen Operator gedrückt wird.
  9. Intrusionsschutzgerät, das Folgendes umfasst: einen manuellen Steuermechanismus; und einen oder mehrere Prozessoren, konfiguriert zum: Empfangen einer Nachricht über ein Kommunikationsnetz, wobei die Nachricht einen Nachrichten-Header und Nachrichtennutzdaten umfasst, Feststellen, ob die Nachricht eine Entsperrungsnachricht ist, konfiguriert zum Zugreifen auf eine oder mehrere geschützte Funktionen eines eingebetteten Knotens eines Prozesssteuersystems, wenigstens durch Analysieren einer Bitsequenz von einem oder mehreren Bits im Nachrichten-Header, Feststellen, ob der manuelle Steuermechanismus von einem menschlichen Operator in einen bestimmten Zustand gesetzt wurde, und Bewirken, wenn festgestellt wird, dass die Nachricht eine Entsperrungsnachricht ist und der manuelle Steuermechanismus in den bestimmten Zustand gesetzt wurde, des Eintritts des eingebetteten Knotens in einen entsperrten Zustand.
  10. Intrusionsschutzgerät nach Anspruch 9, wobei die Bitsequenz im Nachrichten-Header eine Bitsequenz in einem Ethertype-Feld des Nachrichten-Headers ist.
  11. Intrusionsschutzgerät nach Anspruch 9 oder 10, insbesondere nach Anspruch 9, wobei der manuelle Steuermechanismus eine physische Taste ist.
  12. Intrusionsschutzgerät nach einem der Ansprüche 9 bis 11, insbesondere nach Anspruch 9, wobei die ein oder mehreren Prozessoren zum Bewirken des Eintritts des eingebetteten Knotens in einen entsperrten Zustand konfiguriert sind wenigstens durch: Weiterleiten der Entsperrungsnachricht entweder zum eingebetteten Knoten oder zu einer Steuerung, die ein Elter des eingebetteten Knotens ist.
  13. Sicheres Subsystem eines Prozesssteuersystems, wobei das sichere Subsystem Folgendes umfasst: eine Steuerung mit einem oder mehreren Steuerungsprozessoren, konfiguriert zum Implementieren von einem oder mehreren Prozesssteuermodulen; einen Logik-Solver mit einem oder mehreren Logik-Solver-Prozessoren, konfiguriert zum Unterstützen einer Mehrzahl von Funktionen, wobei die Mehrzahl von Funktionen eine oder mehrere geschützte Funktionen beinhaltet und wobei der Logik-Solver mit der Steuerung als Kindknoten der Steuerung gekoppelt ist; und ein Intrusionsschutzgerät mit einem manuellen Steuermechanismus, und einem oder mehreren Intrusionsschutzprozessoren, konfiguriert zum Empfangen einer Nachricht über ein Kommunikationsnetz, wobei die Nachricht einen Nachrichten-Header und Nachrichtennutzdaten umfasst, Feststellen, ob die Nachricht eine Entsperrungsnachricht ist, wenigstens durch Analysieren einer Bitsequenz von einem oder mehreren Bits im Nachrichten-Header, Feststellen, ob der manuelle Steuermechanismus von einem menschlichen Operator in einen bestimmten Zustand gesetzt wurde, und wenn festgestellt wird, dass die Nachricht eine Entsperrungsnachricht ist und der manuelle Steuermechanismus in den bestimmten Zustand gesetzt wurde, Weiterleiten der Nachricht zur Steuerung, wobei die ein oder mehreren Steuerungsprozessoren ferner, wenn die Nachricht zur Steuerung weitergeleitet wird, konfiguriert sind zum: Modifizieren der Bitsequenz im Nachrichten-Header der Nachricht, so dass sie einen vom Logik-Solver erkannten Wert enthält, und Weiterleiten, nach dem Modifizieren der Bitsequenz im Nachrichten-Header, der Nachricht zum Logik-Solver, und wobei die ein oder mehreren Logik-Solver-Prozessoren konfiguriert sind, wenn die Nachricht zum Logik-Server weitergeleitet wird, zum: Feststellen, ob die Nachricht eine Entsperrungsnachricht ist, wenigstens durch Analysieren einer Bitsequenz von einem oder mehreren Bits in den Nachrichtennutzdaten, und Entsperren, wenn festgestellt wird, dass die Nachricht eine Entsperrungsnachricht ist, von wenigstens einer der ein oder mehreren geschützten Funktionen.
  14. Sicheres Subsystem nach Anspruch 13, wobei die über das Kommunikationsnetz empfangene Nachricht eine verschlüsselte Nachricht ist, die einen unverschlüsselten Nachrichten-Header und verschlüsselte Nachrichtennutzdaten umfasst, und/oder wobei die ein oder mehreren Steuerungsprozessoren ferner konfiguriert sind, wenn die Nachricht zur Steuerung weitergeleitet wird, zum: Entschlüsseln der verschlüsselten Nachrichtennutzdaten; und Modifizieren der Bitsequenz in den verschlüsselten Nachrichtennutzdaten, so dass sie einen Wert enthält, der vom Logik-Solver als Entsperrungsnachrichten-Indikator erkannt wird, und/oder wobei die ein oder mehreren Steuerungsprozessoren zum Weiterleiten der verschlüsselten Nachricht zum Logik-Solver konfiguriert sind, ohne zunächst einen Teil der verschlüsselten Nachricht zu entschlüsseln.
  15. Computer-lesbares Speichermedium, welches Instruktionen enthält, die mindestens einen Prozessor dazu veranlassen, ein Verfahren nach einem der Ansprüche 1 bis 8 zu implementieren, wenn die Instruktionen durch mindestens einen Prozessor ausgeführt werden.
DE102018117465.9A 2017-07-21 2018-07-19 Firewall für verschlüsselten datenverkehr in einem prozesssteuersystem Pending DE102018117465A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/656,002 US11196711B2 (en) 2017-07-21 2017-07-21 Firewall for encrypted traffic in a process control system
US15/656,002 2017-07-21

Publications (1)

Publication Number Publication Date
DE102018117465A1 true DE102018117465A1 (de) 2019-01-24

Family

ID=63042796

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018117465.9A Pending DE102018117465A1 (de) 2017-07-21 2018-07-19 Firewall für verschlüsselten datenverkehr in einem prozesssteuersystem

Country Status (5)

Country Link
US (1) US11196711B2 (de)
JP (1) JP7148303B2 (de)
CN (1) CN109286606B (de)
DE (1) DE102018117465A1 (de)
GB (1) GB2565224B (de)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021040239A (ja) * 2019-09-03 2021-03-11 ファナック株式会社 機械学習装置、受信装置及び機械学習方法
US11405215B2 (en) * 2020-02-26 2022-08-02 International Business Machines Corporation Generation of a secure key exchange authentication response in a computing environment
US11310036B2 (en) 2020-02-26 2022-04-19 International Business Machines Corporation Generation of a secure key exchange authentication request in a computing environment
US11489821B2 (en) 2020-02-26 2022-11-01 International Business Machines Corporation Processing a request to initiate a secure data transfer in a computing environment
US11502834B2 (en) 2020-02-26 2022-11-15 International Business Machines Corporation Refreshing keys in a computing environment that provides secure data transfer
US11184160B2 (en) 2020-02-26 2021-11-23 International Business Machines Corporation Channel key loading in a computing environment
US11546137B2 (en) 2020-02-26 2023-01-03 International Business Machines Corporation Generation of a request to initiate a secure data transfer in a computing environment
US11652616B2 (en) 2020-02-26 2023-05-16 International Business Machines Corporation Initializing a local key manager for providing secure data transfer in a computing environment
CN114598726A (zh) * 2020-12-07 2022-06-07 上汽通用汽车有限公司 远程解锁车辆防火墙的系统、方法及存储介质

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10111860A (ja) * 1996-10-08 1998-04-28 Fujitsu Ltd 並列計算機のデータ転送装置
JP3450808B2 (ja) 2000-08-25 2003-09-29 株式会社東芝 電子機器及び接続制御方法
JP2002176455A (ja) 2000-12-06 2002-06-21 Nec Corp セキュリティシステム及びそれに用いる音声データセキュリティ方法
JP3624878B2 (ja) 2001-12-05 2005-03-02 日本電気株式会社 Ipネットワーク及びそれに用いるアドミッション制御方法
JP3857627B2 (ja) 2002-08-05 2006-12-13 株式会社日立製作所 無線通信処理システム、無線通信処理装置、無線通信処理装置を用いた機器及び無線通信処理方法
CN1745555B (zh) * 2003-02-28 2011-05-11 捷讯研究有限公司 保护通信设备上的数据的系统和方法
JP2004272319A (ja) 2003-03-05 2004-09-30 Hitachi Ltd セキュリティ性向上と管理容易化のための装置をもった計算機と方法
US7549044B2 (en) * 2003-10-28 2009-06-16 Dphi Acquisitions, Inc. Block-level storage device with content security
JP2007122629A (ja) 2005-10-31 2007-05-17 Kubota Systems Inc 処理システム、入出力装置及びコンピュータプログラム
US8074278B2 (en) 2007-09-14 2011-12-06 Fisher-Rosemount Systems, Inc. Apparatus and methods for intrusion protection in safety instrumented process control systems
US8590033B2 (en) 2008-09-25 2013-11-19 Fisher-Rosemount Systems, Inc. One button security lockdown of a process control network
US9927788B2 (en) * 2011-05-19 2018-03-27 Fisher-Rosemount Systems, Inc. Software lockout coordination between a process control system and an asset management system
JP5797060B2 (ja) 2011-08-24 2015-10-21 株式会社野村総合研究所 アクセス管理方法およびアクセス管理装置
CN103685175B (zh) 2012-09-11 2017-12-01 腾讯科技(深圳)有限公司 应用平台与应用共享登录态的方法、代理服务器及系统
US10638202B1 (en) * 2013-03-15 2020-04-28 CSC Holdings, LLC State synchronization and management for two-way connected consumer electronic devices
US10055567B2 (en) * 2014-05-30 2018-08-21 Apple Inc. Proximity unlock and lock operations for electronic devices
US11073805B2 (en) * 2014-11-21 2021-07-27 Fisher-Rosemount Systems, Inc. Process plant network with secured external access
US9813399B2 (en) * 2015-09-17 2017-11-07 T-Mobile Usa, Inc. Secure remote user device unlock for carrier locked user devices
CN105915531B (zh) * 2016-05-20 2019-06-18 青岛海信移动通信技术股份有限公司 一种屏幕解锁方法及终端

Also Published As

Publication number Publication date
JP2019049968A (ja) 2019-03-28
JP7148303B2 (ja) 2022-10-05
CN109286606A (zh) 2019-01-29
GB2565224A (en) 2019-02-06
US11196711B2 (en) 2021-12-07
GB2565224B (en) 2022-03-09
GB201810444D0 (en) 2018-08-08
CN109286606B (zh) 2023-08-15
US20190028437A1 (en) 2019-01-24

Similar Documents

Publication Publication Date Title
DE102018117465A1 (de) Firewall für verschlüsselten datenverkehr in einem prozesssteuersystem
DE102017124844A1 (de) Sicheres Transportieren von Daten über eine Datendiode für gesicherte Prozesssteuerungskommunikationen
DE102017124866A1 (de) Gesicherte Prozesssteuerkommunikationen
EP3353610B2 (de) Verbindungseinheit, überwachungssystem und verfahren zum betreiben eines automatisierungssystems
EP3129888B2 (de) Übermittlung von daten aus einem gesicherten speicher
Chandia et al. Security strategies for SCADA networks
DE102015116806A1 (de) Mehrprotokollgerät, das drahtlose anlagenprotokolle unterstützt
DE102016103521A1 (de) Erkennung von Anomalien in industriellen Kommunikationsnetzen
DE102020112056A1 (de) Framework für den datenschutzrechtlichen austausch von big data mittels verteilter kontenbücher (distributed ledgers)
DE102016109358A1 (de) Konfigurierbares Robustheitsmittel in einem Anlagensicherheitssystem
EP2586178B1 (de) Verfahren zur manipulationsgesicherten schlüsselverwaltung
DE102017124884A1 (de) Prozessgerätzustand- und Leistungsüberwachung
DE112020006058T5 (de) Zentralisierte wissensdatenbank und data-mining-system
DE102020124501A1 (de) Edge-gateway-system mit datentypisierung für die gesicherte lieferung von prozessanlagendaten
DE10124800A1 (de) Prozessautomatisierungssystem und Prozessgerät für ein Prozessautomatisierungssystem
EP3422657A1 (de) Verfahren und sicherheits-steuerungseinrichtungen zum senden und empfangen kryptographisch geschützter netzwerkpakete
DE102020124562A1 (de) Edge-gateway-system zur gesicherten, freilegbaren datenlieferung für prozessanlagen
EP2908195A1 (de) Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk
EP3646559A1 (de) Verfahren zur überprüfung von innerhalb eines industriellen automatisierungssystems übermittelten datagrammen und automatisierungs- und/oder kommunikationsgerät
WO2019101408A1 (de) Anbindungsvorrichtung für einen datenaustausch zwischen einem feldbusnetzwerk und einer cloud
EP3525390A1 (de) Einrichtung und verfahren zum bereitstellen mindestens eines sicheren kryptographischen schlüssels für den durch ein steuergerät initiierten kryptographischen schutz von daten
EP2829011A1 (de) Verfahren und vorrichtung zur erzeugung kryptographisch geschützter redundanter datenpakete
EP3382478B1 (de) Verfahren, computer-programm-produkt und steuereinheit zum steuern von zugriffen auf it-systeme basierende netzwerke, insbesondere eingebettete systeme oder verteilte systeme umfassende automatisierungsnetzwerke, steuerungsnetzwerke oder kontrollnetzwerke
DE102021132493A1 (de) Integritätsprüfungen auf variablenebene für die kommunikation in prozesssteuerungsumgebungen
DE102016119744A1 (de) Verfahren und System zum Verhindern eines unerwünschten Zugriffs auf ein Feldgerät

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012240000

Ipc: H04L0041000000

R012 Request for examination validly filed