JP2010081610A - プロセス制御データの安全な通信方法、及び装置 - Google Patents

プロセス制御データの安全な通信方法、及び装置 Download PDF

Info

Publication number
JP2010081610A
JP2010081610A JP2009221205A JP2009221205A JP2010081610A JP 2010081610 A JP2010081610 A JP 2010081610A JP 2009221205 A JP2009221205 A JP 2009221205A JP 2009221205 A JP2009221205 A JP 2009221205A JP 2010081610 A JP2010081610 A JP 2010081610A
Authority
JP
Japan
Prior art keywords
network
process control
network device
address
addresses
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009221205A
Other languages
English (en)
Other versions
JP2010081610A5 (ja
JP5634047B2 (ja
Inventor
Trevor D Schleiss
ディー.シュライス トレバー
Robert Kent Huba
ケント フーバ ロバート
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fisher Rosemount Systems Inc
Original Assignee
Fisher Rosemount Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fisher Rosemount Systems Inc filed Critical Fisher Rosemount Systems Inc
Publication of JP2010081610A publication Critical patent/JP2010081610A/ja
Publication of JP2010081610A5 publication Critical patent/JP2010081610A5/ja
Application granted granted Critical
Publication of JP5634047B2 publication Critical patent/JP5634047B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/24Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using dedicated network management hardware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • General Physics & Mathematics (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Health & Medical Sciences (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】プロセス制御ネットワークの1ボタンのセキュリティ ロックダウンの提供
【解決手段】プロセス制御ネットワークの全体、またはネットワークの一部に対して単一のコマンドを使用して、手動または自動で「ロックダウン」することができる。ユーザまたはアプリケーションは、複数ネットワーク デバイス上のネットワーク通信を監視し、ネットワークを構成した時点で、プロセス制御ネットワーク上のデータと適切に通信できると、アプリケーションが、未使用または無効な接続を含むネットワーク上の「ロックダウン」アクセス ポイントを非アクティブ化し、ネットワークのロックダウンが可能となる。ロック時には、現在接続済のデバイスが接続されていない場合で、別のデバイスがアクセス ポイントに接続されている場合、ネットワーク デバイスは接続を拒否できる。
【選択図】図3A

Description

本出願は、2008年9月に出願済の米国仮出願第 61/100,240 号の利益を主張するものであり、「プロセス制御ネットワークの1ボタンのセキュリティ ロックダウン」と題して、ここに完全に参考文献により引用する。
本出願は、プロセス プラント制御システムに全般的に関連しているが、特にプロセス中およびプラント環境中のデバイス間の通信を安全に制御するための方法および装置に関連している。
発電、化学薬品、石油、またはその他の処理中に使用されている分散プロセス制御システムや、拡張可能なプロセス制御システムなどのプロセス制御システムには、通常アナログ、デジタル、またはアナログ バスとデジタル バスの組合せを経由した1つ以上のフィールド デバイスに対して、またはプロセス制御ネットワークを経由した1つ以上のホストおよびオペレータ ワークステーションに対して、相互に通信連結された1つ以上のコントローラーが含まれる。フィールド デバイスの例として、バルブ、バルブ ポジショナー、スイッチ、および送信機 (例: 温度や圧力、流量センサーなど) などが挙げられるが、バルブの開閉やスイッチ デバイスのオンとオフ設定、プロセス パラメータの測定など、プロセス内やプラント内にて機能を実行する。コントローラー デバイスは、フィールド デバイスと (または) フィールド デバイスに付属しているその他の情報により実装されるプロセス測定やプラント測定を示す信号を受信する。またこの情報を使用して制御ルーチンを実装し、次にフィールド デバイスのバス上に送信された制御信号を生成して、プロセスまたはプラントの操作を制御する。フィールド デバイスとコントローラーからの情報は、通常オペレータ ワークステーションにより実行される、 1つ以上のアプリケーションにおいて使用可能である。これによりオペレータは、プラントの現在状況の表示や、プラント操作の変更など、プロセスまたはプラントに関して任意の機能を実行できる。
プロセス制御は、通常プロセス プラント環境内に位置しているが、フィールド デバイスと(または) フィールド デバイスに付随するその他の情報により実装された、またはそれに関連するプロセス測定やプロセス変数を示した信号を受信する。コントローラー アプリケーションは、例えばプロセス制御決定を行う別の制御モジュールなどを実装し、受信した情報に基づいて制御信号を生成し、HART(登録商標)やFieldbus フィールド デバイスなどの、フィールド デバイス中のブロックや制御モジュールと調整を行う。プロセス コントローラー内の制御モジュールは、通信ライン上やフィールドデバイスの信号パスに制御信号を送信して、ここでプロセス操作を制御する。
フィールド デバイスやプロセス コントローラーからの情報は、通常プロセス制御ネットワークを経由して、1つ以上のその他のハードウェア デバイスで使用可能となる。これには例として、オペレータ ワークステーション、メンテナンス ワークステーション、パーソナル コンピュータ、ハンドヘルド デバイス、データ履歴、集中データベースなどが挙げられる 。ネットワーク上で通信された情報により、オペレータまたはメンテナンスの個人が、プロセスに関連した機能を任意に実行できるようになる。例えばその情報を使ってオペレータは、プロセス制御ルーチンの設定変更、プロセス コントローラー内やスマート フィールド デバイス内の制御モジュールの操作の変更、プロセス プラント内の特定デバイスの状態やプロセスの現状況の表示、フィールド デバイスやプロセス コントローラーが生成した通知の表示、ユーザのトレーニングまたは制御ソフトウェアの検査を目的とするプロセス操作のシミュレート、プロセス プラント内の問題やハードウェア障害の診断などを実行できる。
フィールド デバイスは通常、例えばイーサネット(登録商標)構成済の LAN などの、プロセス制御ネットワーク上のハードウェア デバイスと通信する。ネットワークは、様々なネットワーク デバイスを経由して、またプロセス制御システムの様々なエンティティに対して、プロセス パラメータやネットワーク情報、その他のプロセス制御データを中継する。通常のネットワーク デバイスには、ネットワーク インターフェース カード、ネットワーク スイッチ、ルーター、ファイアウォール、コントローラー、およびオペレータ ワークステーションが含まれる。ネットワーク デバイスは通常、ルーティングやフレーム率、タイムアウト、その他のネットワーク パラメータを制御することにより、ネットワークを経由したデータのフローを容易にするが、プロセス データ自体を変更することはない。プロセス制御ネットワークの容量や複雑性が拡大すると、ネットワークの数量や種類もそれに相応して増大する。システムとネットワークの拡大が発生するとその結果として、これらの複雑なシステムにおけるセキュリティや管理が非常に困難になる。例えば各ネットワーク デバイスが1つ以上の通信ポートを含んでいる可能性があり、これはネットワーク間にそれぞれ、物理的に内部接続しているプロセス制御システム コンポーネントのポートやアクセス ポイントを提供する。多くのネットワーク デバイスは、ネットワークにてデバイスを完全に接続できるように、必要以上に多くのポートを備えているので、1つ以上のポートがデバイス上で、未使用の状態または空いている状態となる。従ってデバイスのオープン ポートは、その他のデバイスを追加することでネットワーク拡張のアクセス ポイントとなる。または悪意のあるエンティティやそうでないエンティティがネットワークにアクセスして、望ましくないトラフィックや望ましくない可能性のあるトラフィックを開始できる。複雑なプロセス制御システム間の通信を制御しているネットワーク間で、すべての未使用ポートへのアクセスを効果的に監視または制御することで、ネットワーク デバイス数や関連アクセス ポイントが増加すると、急速に現実的でなくなる。
ユーザやアプリケーションにとって、各デバイスやポートの状態とトラフィックを監視することは可能であるが、問題が発生するまでに有害な通信を識別することは、多くの場合不可能である。モニターが問題を確認すると、システムの一部をオフラインに設定して、修理の開始やトラブルシューティングを試行するため診断を行う必要がある。さらにネットワークのある物理場所にて適切に機能していないことが確認されると、ネットワークの別の場所にて、不完全な接続や悪質な接続により問題が開始される可能性がある。また技術者がトラブルシューティングや修理を終えた後は、ネットワーク デバイスが安全性の低い状態に不用意に放置されたり、望ましくない通信や悪意のある通信からの攻撃を受けやすい状態に放置されたりする可能性がある。システムをオンラインに設定を戻すには、疑わしいデバイスの物理検査や修理も含めて、サブジェクト デバイスごとやポートごとのプロセス制御システムにて、長時間の遅延が生じる可能性や、行き止まりに陥る可能性、また多数のその他の管理上の問題が発生する可能性がある。これは確実にプロセス制御システムの有効性が軽減される。
プロセス制御システム ネットワークのセキュリティと管理は、各デバイスのセキュリティ機能を経由して、各ネットワーク デバイスにてネットワーク トラフィックを監視することで強化できうる。これはデバイスごと、またはネットワーク全体で有効化してよい。1つ以上のプライベート管理情報ベース (MIB) やその他の通信方法、データ アクセス方法がある。これには各デバイスにてネットワーク デバイスの管理機能にアクセスする場合や変更する場合に使用している、専用ソフトウェアのソリューションまたはオープン ソース ソフトウェアを使用するなどが挙げられる。これにはコマンド ライン インターフェース(CLI) を経由してアクセスする方法が1つ以上挙げられる。これは、デバイスがプロセス制御ネットワーク上で通信を行っているかどうか、デバイス上のどのポートがネットワーク上で通信可能であるか、どのポートが実際にネットワーク上で通信しているのか、またどのポートが通信していないのかを監視するためのものである。プロセス制御ネットワークを完全に構成して正常に機能するようになると、ユーザまたは監視アプリケーションがデバイスにコマンドを送信して、1つ以上の専用 MIB メソッドを実装し、さらにネットワーク全体の単一の「ロックダウン」コマンドを実装することで、特定のネットワーク デバイスにて選択した未使用ポート、無効ポート、または望ましくないポートからのアドレスを、無効化およびフィルタリングして、任意の構成にてネットワークを有効に凍結できる。
ロックダウンは、ネットワークの今後の構成を制限することで、また無効で未使用のオープン アクセス ポイント上に、望ましくない通信や有害な通信が起こらないようにすることで、安定した安全なネットワークをもたらす。ロック時には、現在接続済のデバイスが接続されていない場合で、別のデバイスがアクセス ポイントに接続されている場合、ネットワーク デバイスが接続を拒否する可能性がある。例えば、ネットワーク デバイスのすべての未使用アクセス ポイントが無効化されると、ネットワークにはデバイスがまったく追加または接続されない可能性がある。ロック済アクセス ポイントは、ユーザ、モニター、およびその他の承認プロセスからの認証済コマンドを実行しなければ、有効化またはロック解除ができない。セキュリティの強化のため、ロックダウン機能は様々なネットワーク ノードにおいてアプリケーション実行に適用されうる。またロック解除機能は手動プロセスにおいて制限されうる。モニターはアプリケーション、デバイス、およびシステム全体のレベルにおいて、ロック解除およびロックダウンを行う可能性がある。アクセス ポイントは、ネットワークとデバイス構成の組み合わせにより、非アクティブ化されうる。例えばロックダウン構成は、アクセス ポイント上の通信を拒否することで、アクセス ポイントの非アクティブ化をはかり、ネットワーク デバイスを再構成して、アクセス ポイントから電源を取り除き、アクセス ポイントを経由してネットワークへの接続が確率できないようにする。
プロセス プラントの模範的なブロック略図であり、1つ以上のオペレータ ワークステーションとメンテナンス ワークステーション、コントローラー、フィールド デバイス、およびネットワーク デバイスを含む、分散プロセス制御システムとネットワークを備えている。これらは後述のとおりロックダウン機能の実装と、通常のネットワーク デバイス、および支援機器の実装用に構成されている。 プロセス制御ネットワークの I/O ネットワーク部分を含む模範的なブロック略図であり、後述のとおりロックダウン機能の実装用に構成されたデバイスを含んでいる。 イーサネット(登録商標)フレームの典型例を示す図である。 ネットワーク デバイスの典型例を示す図である。 ネットワーク デバイスのロックおよびロック解除と、プロセス制御システムとネットワークのアクセス ポイントのメソッドを示した模範的なブロック略図である。 ネットワーク デバイスのロックと、プロセス制御ネットワークのアクセス ポイントのメソッドを示した模範的なブロック略図である。 以前にロック済のネットワーク デバイスのロック解除メソッドと、プロセス制御ネットワークのアクセス ポイントのメソッドを示した、1実施例の模範的なブロック略図である。 図3A〜3Cのネットワーク デバイスのロックおよびロック解除メソッド、またプロセス制御システムとネットワークのアクセス ポイントのメソッド実装のための、ユーザ インターフェースの模範部分を示す図である。 図3A〜3Cのネットワーク デバイスのロックおよびロック解除メソッド、またプロセス制御システムとネットワークのアクセス ポイントのメソッド実装のための、ユーザ インターフェースの模範部分を示す図である。 図3A〜3Cのネットワーク デバイスのロックおよびロック解除メソッド、またプロセス制御システムとネットワークのアクセス ポイントのメソッド実装のための、ユーザ インターフェースの模範部分を示す図である。 図3A〜3Cのネットワーク デバイスのロックおよびロック解除メソッド、またプロセス制御システムとネットワークのアクセス ポイントのメソッド実装のための、ユーザ インターフェースの模範部分を示す図である。
図1A は、プロセス プラント内のプロセス制御システムの概略図を示しているが、これはネットワーク デバイスをロックダウンして、ネットワーク セキュリティの強化とネットワーク管理と維持の容易化を図る。さらに詳しく説明すると、プロセス制御システム 100 には、1つ以上のホスト ワークステーションまたはコンピュータ120〜122 (任意のタイプのパーソナル コンピュータ、ワークステーションなどが含まれる) を通信接続させた、1つ以上のプロセス コントローラー110 が組み込まれているが、これは1つ以上のディスプレイ画面をそなえたコンピュータが、プロセス制御ネットワーク 150 上を、1つ以上のネットワーク デバイス145 を経由して通信接続している。コントローラー 110 には1つ以上のネットワーク インターフェース カードが組み込まれている。また 130 入力/出力 (I/O) カード 140 を経由してフィールド デバイスに接続されうる。データ履歴 145 は、データ保存用の任意のメモリと、任意または既知のソフトウェア、ハードウェア、およびファームウェアを備えた、任意のタイプのデータ収集単位であるといえる。これらはまた、ワークステーション 120〜122 の一部または別個の存在であるといえる。コントローラー 110 は例として、Fisher Rosemount Systems, Inc. 製の DeltaV(登録商標)コントローラーを挙げるが、例えばイーサネット(登録商標)接続や任意のその他の通信ネットワーク 150 を経由して、1つ以上のネットワーク デバイス 146 により、ホスト コンピュータ 120〜122 に通信接続している。ネットワーク デバイス 146 には、1つ以上のネットワーク インターフェース カード、ネットワーク スイッチ、ルーター、ファイアウォール、または任意のその他のデバイスが含まれているが、これらはネットワークのあらゆる部分上の基本的なデータ(例: ネットワーク 150 または I/O ネットワーク 155 (図1B))であり、まったく変更せずにネットワーク 150上でのデータ転送を容易にする。図1B の説明のとおり、ネットワーク内の任意の部分に物理的に位置しているネットワーク デバイスにはすべて、後述のとおり、ロックダウン機能が含まれている可能性がある。通信ネットワーク 150 はローカル エリア ネットワーク (LAN)、ワイド エリア ネットワーク (WAN)、および通信ネットワークなどの可能性があり、配線技術または無線技術を使用して実装しうる。コントローラー 110 は、任意の関連ハードウェアと関連ソフトウェアを使用してフィールド デバイス 130 に通信接続される。例えば、標準の 4 20 mA デバイス、標準イーサネット(登録商標) プロトコル、および(または) FOUNDATION フィールドバス プロトコル (Fieldbus)、および HART(登録商標) プロトコルなどのスマート通信プロトコル が挙げられる。
フィールド デバイス 130 とは、センサー、バルブ、送信機、ポジショナーなどの任意のタイプが挙げられるが、一方 I/O カード 140 は、任意の通信またはコントローラー プロトコルに準拠している任意のタイプの I/O デバイスである可能性がある。図 1 にて図説している実施例にて、フィールド デバイス 130 は標準アナログ 4 20 mA ライン 131 上を HART(登録商標) モデム 140 と通信する HART(登録商標) デバイスであり、 一方フィールド デバイス 133 は、フィールドバス フィールド デバイスなどのスマート デバイスである。これはフィールドバス プロトコル通信を使用して、デジタル バス 135 または I/O ネットワーク 155 上を I/O カード 140 と通信する。勿論フィールド デバイス 130 と 133 は、その他の任意の標準またはプロトコルに準拠しているが、これには今後に開発される標準およびプロトコルも含まれる。I/O ネットワーク 155 とデバイス 146 (図1B)、およびネットワーク 150 とデバイス 146 (図1A) は、任意の通信プロトコル (例: TCP/IP、ModbusIP など) に対応している標準イーサネット(登録商標)通信やネットワーク デバイスである可能性がある。
さらにフィールド デバイス 142 は、ゲートウェイ 143 などの特殊ネットワーク デバイスを経由してデジタル バス 135 に接続される。例えば、フィールド デバイス 142 は HART(登録商標) コマンドのみ理解するが、I/O ネットワーク 135 は PROFIBUS プロトコルを実装しうる。この目的のために、ゲートウェイ 143 は双方向の PROFIBUS/HART(登録商標) 転換を行いうる。ネットワーク デバイス 146 はまた、ゲートウェイ 143 に(またはその近辺に) 位置付けられる。
コントローラー 110 は、プラント内の多数の分散コントローラーのうちの1つで、1つ以上のプロセッサーをプラント内に備えているが、1つ以上のプロセス制御ルーチンの実装または監視を行いうる。ルーチンはコントローラーに保存済、またはコントローラーに関連した1つ以上の制御ループを含んでいる可能性がある。コントローラー 110 はまた、ネットワーク 150 と関連ネットワーク デバイス 146を経由して、デバイス 130 または 133、ホスト コンピュータ 120〜122、およびデータ履歴 145 と通信を行い、任意の必要な方法でプロセスの制御を行う。後述のあらゆる制御ルーチンや要素が、必要に応じて別のコントローラーやその他のデバイスにより、その一部を実装、または実行しうることに注意する。同様に、プロセス制御システム 100 内で実装する後述の制御ルーチンや要素が、ソフトウェア、ファームウェア、およびハードウェアなどの任意の形式にて実装可能である。この考察の目的として、プロセス制御要素がプロセス制御システムの任意の部分になりうることであり、例として任意の読み取り可能な媒体に保存済のルーチン、ブロック、およびモジュールが挙げられる。制御ルーチンとは、サブルーチン、サブルーチンの一部 (コード行など) などの任意の制御手順の一部やモジュールであり、これは、はしご論理、順次機能グラフ、機能ブロック略図、オブジェクト指向プログラミング、およびその他のソフトウェアのプログラミング言語や設計パラグラムを使用した、任意のソフトウェア形式にて実装可能である。同様に制御ルーチンは、例えば1つ以上の EPROM、EEPROM、特定用途向け集積回路(ASIC、エーシック)、その他のハードウェア要素またはファームウェア要素にハード コードされている可能性がある。まださらに、グラフィカル設計ツールやその他のソフトウェア、ハードウェア、ファームウェア プログラミング、および設計ツールを含む、任意の設計ツールを使用して、制御ルーチンを設計してもよい。従ってコントローラー 110 を構成して、任意の望ましい方法で制御戦略または制御ルーチンを実践してよい。
図1C は、データの基本単位やフレーム175を例証しているが、これは全般的にプロセス制御システム100 を経由した通信、またはイーサネット(登録商標) プロトコルを使用してプロセス制御ネットワーク150を経由した通信をとっている可能性がある。イーサネット(登録商標) フレーム 175 には、例えば、ネットワーク デバイス146 やその他のプロセス制御システム 100 コンポーネントなどのデバイス間の情報を各自に伝える、7つのフィールドが含まれている。フィールドには、受信デバイスにより解釈と処理が行われるデータ 178 のバイト数が含まれている可能性がある。例えば、宛先 MAC アドレス フィールド180は、プロセス制御ネットワーク 100の媒介ノード、および宛先ノードの物理アドレスを含んでいる可能性があるが、一方ソース MAC アドレス フィールド 182は、プロセス制御システム 100 の送信ノード、または媒介ノードの物理アドレスを含んでいる可能性がある。宛先 MAC アドレス 180 およびソース MAC アドレス 182 フィールドは、ネットワーク デバイス 146 からのデータと共に使用して、プロセス制御ネットワーク 150 上に送信されたデータを処理しうる。実施例の中には、デバイスが「ロックダウン」状態にある場合に、フィールド 180 と 182 は、受信ネットワーク デバイス内に保存済の1つ以上のテーブルと比較できる可能性がある。比較の結果は再使用される場合と、あるいは受信済データや、ロック済ネットワークデバイスへのその他の物理接続、または論理接続を拒否する場合がある。
図2は、ネットワーク スイッチの形式の典型的なネットワーク デバイス 146 を図説している。通常ネットワーク デバイスは、1つ以上の通信ポート 202、管理ポート 204、また状態 ライト 206、207 を備えている。通信ポート 202 を使用して、ネットワーク 150 上の通信に、様々なその他のネットワーク デバイスや、プロセス制御システム コンポーネントを相互接続する。一方状態ライトはネットワークの現在の操作を示していて、診断目的に使用される。
例えば、ライト 206 はデバイス自体の状態に応答する場合がある。例えば適切な電力、障害ステータス、またはロック済およびロック解除ステータスなど、図3 と図4 に関連して説明する。その他のライト 207 は、特定のポートに一致するポート上のネットワーク操作を表示していて、ポートのリンク ステータスに一致する緑色の LED と、ポートのデータ ステータスに一致する黄色の LED を備えている。緑色と黄色の固定ライトまたは点滅ライトは、ポートが機能していていることを示し、またポートに接続済のネットワーク デバイスが、ポートを使用してネットワーク 150 上でデータの通信を行っていることを示している。デバイス 146 のブート段階中は、ブート手順のステータスが ライト207 にて表示される詳細を説明すると、無点灯はポート 202 に有効なリンクまたは接続がないことを示している。緑色の遅い点滅は、ポートが準備中に切り替えられたことを示し、緑色の早い点滅は、ポートが無効であることを示している。これは図3 および図4 に関連した以下の説明のとおり、ポートがロックダウンされたことを示している。黄色の点滅は、ポート上でデータ受信があることを示している。勿論その他のステータス表示は、アップリンク通信障害などの「操作の準備完了」表示や、様々な障害や機能モードの点滅と(または)カラーパターン、データ率、全二重と半二重表示、テスト モード、ポート上で通信されるメディア タイプなど、プログラムでライト 206、207 に接続される。管理ポート 204 は、ユーザまたはネットワーク管理者が、物理的にネットワーク デバイス 146 にアクセスおよび構成できるようにする。例えば後述のとおり、専用の MIB の実装を含め、デバイス 146 でのファームウェアの アップグレードや変更の実装が挙げられる。「MIB」および「SNMP」には、ネットワーク デバイスの管理情報の変更とアクセスに使用する、すべてのメソッドと通信が含まれうる。
実施例の中には、ネットワーク デバイス 146 が、ドイツのネッカーテイツリンゲンにある Hirshmann Automation and Control, GmbH 社製のイーサネット(登録商標) スイッチであり、 DeltaV(登録商標) プロセス制御ネットワークにて使用されている場合がある。例えば、スイッチ 146 は Hirshmann 社のネットワークデバイスの製品群の Open Rail、MICE、および MACH 100 の1つまたはそれ以上からのものである可能性がある。
スイッチ 146 は、後述のとおりメソッドの実装のための管理プロトコルを含みうる。例えば簡易ネットワーク管理プロトコル (SNMP) は、ネットワーク管理およびセキュリティ手順を実行するための管理機能を提供しうる。実施例の中には、 SNMP バージョン 3 (SNMPv3) がスイッチ 146 に実装されているものがあり、これは DeltaV(登録商標) プロセス制御ネットワークと相互作用する管理プロトコルとして、認証と暗号化が有効に設定されている。例えばスイッチ 146 は、暗号化 (DES-56) 用に56 ビットキーを使用したデータ暗号化標準 (DES) を備えたメッセージ ダイジェストのアルゴリズム 5 (MD5) 認証を含みうる。勿論、128ビットまたはそれ以上のハッシュ値のハッシュ関数を使用したその他の認証標準や、56ビットまたはそれ以上のキーを使用した暗号標準を、スイッチ146に実装してよい。
スイッチ 146 のセキュリティを強化するために、スイッチ 146の標準および専用の管理インターフェース (Telnet、Web インターフェースなど) が既定値で無効となっている。コマンド ライン インターフェース (CLI) は、シリアル ポート、またはスイッチ146のその他のセキュア アクセス ポイント、認証、および暗号化を経由してアクセスしてもよい。ユーザ アプリケーションは CLI を使用して、必要に応じてデバイスの拡張機能の有効化と、ユーザ情報およびネットワーク情報の構成を行ってよい。CLI はまた、例えば DES-56 暗号化、SSH-1-RSA キーなどの有効なキーの所有など、十分な暗号化を備えたセキュア シェル (SSH) 接続を経由して認証を行うことでアクセス可能である。様々なレベルのユーザ特権が許可されていて、デバイス機能の変更や更新ができる (例: MIB またはその他のデバイス構成)。例えば読み取りアクセス権と書き込みアクセス権は、専用パスワードでのみ許可されているが、パブリック パスワードを使った、デバイス 146への読み取り専用アクセスがユーザに許可されている場合がある。実施例の中には、前述したあらゆる構成にアクセスする場合や、「ロックダウン」機能を実装する場合、また後述のネットワーク 150 を自動的にロックダウンするためにタイマーを設定する場合は、ユーザがスイッチ 146 の書き込みアクセス権を所有する必要がある可能性がある。
基本レベルのスイッチング機能を超えた拡張機能は、プロセス制御ネットワーク 150 のセキュリティ向上のため、デバイス 146 にて無効化されている。例えば、プロフィネット I/O およびイーサネット(登録商標)/IP はデバイス 146 から完全に除去されて、ネットワーク 150 の別の部分にて実装されている場合がある。さらにスパニング ツリーは既定により無効化されているが、CLI を介して使用することができる。リンク レイア プロトコル (LLDP)、動的ホスト構成プロトコル (DHCP) クライアント、およびその他の機能も無効化して、後述のロックダウン機能やロック解除機能の妨げになりうる 「プラグ アンド プレイ」ネットワーク デバイスを使用できないようにしている。ただしネットワーク デバイス 146 は、LAN 内やその他のネットワーク 150内で「プラグ アンド プレイ」機能を使用可能にする既定構成では管理できないようになっている。これは例えば DeltaV(登録商標) システムを使用するネットワークなど、デバイスを使用できるように特に構成されたものである。スパニング ツリーと同様に LLDP は、必要に応じて CLI を使ってアクセスおよび有効化してよい。
ネットワーク デバイス 146 はまた、1つ以上の標準管理情報と専用管理情報ベース(MIB) 216 を含んでいて、メモリ 208 に保存されている。これらはオブジェクトの集合を含んでいる場合があるが、ネットワーク デバイス 146を管理するための CLI や、プロセス制御ネットワーク 150 に特定の機能を実装するための CLI を介してアクセス可能である。1つ以上の専用 MIB は、後述のロックダウン機能やロック解除機能の管理と制御を行うためのオブジェクトを含んでいる可能性がある。専用 MIB はまた、ネットワーク デバイス 146 と通信するランタイム API を介して、DeltaV(登録商標) ネットワーク セキュリティ機能のインターフェースになりうる場合がある。プロセス制御ネットワーク 150 を構成して、専用 MIB を備えたネットワーク デバイスの混合を組み込む場合がある。これはロックダウン機能とロック解除機能 (例:「ロッキング デバイス」)、商用デバイス、またロックダウン機能とロック解除機能を備えていない既製のネットワーク デバイスを制御するためのものである。いずれにしても、後述のロックダウンおよびロック解除の機能と手順は、プロセス制御システム 150 上や、全体としてのプロセス制御システム 100 内の通常の通信を妨げることはないといえる。
スイッチ 146 はまた、可変 210 および非可変 212 の部分を備えたメモリ 208 を含んでいる可能性があり、これは後述のロックダウン機能やロック解除機能の起動を含むネットワーク機能の実装と、デバイス 146 の機能に関連したその他のデータの保存のための、コンピュータ読み取り可能指示を保存することを目的とする。例えば、アドレス解決プロトコル (ARP) テーブルと転送データベース (FDB) テーブル 214 は、レイア 3 (OSI モデル) ネットワーク デバイスに保存可能である (ルーター、スイッチ、サーバ、デスクトップなど)。 レイア 3 ネットワーク デバイス 146 は、単一デバイスにてルーティングとスイッチングの両方を実行するが、ARP と FDB テーブルの両方を含んでいて、通常は完全なネットワークアドレスに基づいて受信したフレームを転送してよい。レイア 2 ネットワーク デバイス (スイッチまたはブリッジなど) には、FBD テーブルが含まれていて、単独の MAC アドレス 180、182 の単独に基づいて、トラフィックを転送しうる。ここに示すロックダウン メソッドとロック解除メソッドは全般的に、レイア 2 ネットワーク デバイスの観点で論じられているが、メソッドはレイア 3 とその他のタイプのネットワーク デバイスに同等に適用できる。
ARP テーブルは、ネットワーク デバイス 146 が、IP アドレスをその他のネットワーク デバイスの MAC アドレス入力に保存する際に使用する。ARP テーブルにより、デバイス 146 が IP アドレスを MAC アドレスに解決することができる。ARP テーブルは、ネットワーク デバイス 146 が ARP ブロードキャストをネットワーク 150 に実行して、ネットワーク デバイスの MAC アドレスを解決する際に生成される。デバイス 146 が、ローカル接続されたインターフェースに配信する必要のあるパケットや、その他のデータを受信する際、デバイス 146 は ARP テーブルを使用して、どの MAC アドレスをフレーム ヘッダーを挿入するのかを識別する。ネットワーク デバイスは FDB テーブル 214 を使用して、識別済 MAC アドレスと、各 MAC アドレスが識別されたポート 202 を保存してよい。
通常の操作では、ネットワーク デバイス 146 は、フレーム 175 のソース MAC アドレス 182 を動的に理解して、デバイスが受信する各フレーム用のソース MAC アドレス 182 とその他のソース情報を、動的アドレステーブル 218 に追加することで受信できる。デバイス 146 は、新規ソース MAC アドレスを追加することで、また現在使用されていないこれらの MAC アドレスをエージングすることで、ステーションをネットワーク 150 に追加または削除した際に、動的アドレス テーブル 218 を更新できる。エージング時間の期限が切れると、デバイス 146 は動的アドレス テーブル 218 から MAC アドレスを削除する可能性がある。ネットワーク デバイス 146 はまた、エージングすることのない、明示的入力された MAC アドレスとその他の情報を含む、静的アドレス テーブル 220 も実装する。
デバイス 146 は、動的 218 と静的アドレス テーブル 220 の両方に含まれている情報に一致する、すべての受信済フレームを使って、通常のネットワーク機能を実行できる。デバイス 146 のファームウェアに実装された機能は、1つ以上のARP と FDB テーブル 214 を、動的アドレス テーブルおよび静的アドレス テーブル 218、220 と比較して、受信フレーム 175 を処理してよい。
実施例の中には、ネットワーク デバイス 146 が通常の状態または「ロック解除済」状態にある場合で、透過ブリッジ(スイッチと専用ブリッジ)、学習、エージング、転送、およびその他のネットワーク デバイス機能が発生した場合、IP、MAC、およびその他のアドレスが ARP、FDB、そしてその他のテーブルに追加される可能性がある。「ロック解除済」状態にて、ネットワーク デバイス 146 (例: Hirshmann Automation and Control 社製の Open Rail スイッチ) がイーサネット(登録商標) フレーム 175 を受信する際、デバイス 146 は宛先 MAC アドレス 180 を検査して、FDB テーブル 214 を確認、さらにアドレス情報を検出し、受信済イーサネット(登録商標) フレーム 175 を送信する。FDB テーブル 214 が受信済の宛先 MAC アドレスの情報を含んでいない場合は、デバイス 146 はイーサネット(登録商標) フレーム 175 をネットワーク 150 のすべてのポートにブロードキャストする。別のネットワーク デバイスにてブロードキャスト済 MAC を確認できると、別のフレームがブロードキャスト ネットワークデバイスに送信される。これにより検出済 MAC アドレスが、動的アドレス テーブル 218 と FDB テーブル 214 に追加される。ただし「ロックダウン」状態にて (以下に詳細を論議)、テーブル (例:1つ以上の ARP テーブルと FDB テーブル) は、今後に変更や追加が行われないように、現在の構成にて基本的に凍結される。以前に認識した MAC アドレスと、ロック時に動的アドレス テーブルに組み込まれているその他の情報は、静的アドレス テーブル 220 に移動され、デバイス 146 の認識は無効化される。ロックダウン状態にて、FDB テーブル 214 は変更できないので、デバイス 146 が、未知あるいは以前に認識済でない MAC アドレス 182 から受信したフレーム 175 を、承認または転送できないようにする。
図3A は、プロセス制御ネットワーク 150 と I/O ネットワーク 155 にて、ロックダウンの実装と、アクセス ポイントおよびポート202のロック解除を行うための、模範的なメソッド 300 を図説している。一般的にメソッド 300 では、プロセス制御システム 100 のユーザが、プロセス制御ネットワーク 150 または I/O ネットワーク 155 内の、ネットワーク デバイス 146 のポートおよびアクセス ポイント 202 の機能の一部を無効化することが可能である。例えば、現在接続済のデバイスがネットワーク デバイス ポート 202 から接続解除した場合で、別のデバイスをこの場所にあるネットワークに接続した場合、ポート 202 は接続を拒否して、システム 100 のワークステーション 120 と 122 にて、ユーザ インターフェース、監視サービス、およびその他のアプリケーション実行の通知を行う可能性がある。ロックダウン状態では、ネットワーク 150 および 155 のすべての未使用ポート、または無効ポート 202 が無効化されて、いかなる種類のネットワーク デバイス 146 も追加および接続されることはない。
ユーザ インターフェースは1つ以上の専用 MIB 216 でランタイム インターフェースを提供して、ロックダウン手順とロック解除手順を開始する。
プロセス制御ネットワーク 150 のロックダウンを実装するユーザ インターフェース 400 の1例を、図4A 〜 4D に図説する。図3A〜3C、および図4A〜4Dに関して、ブロック 302 にてユーザは、302 プロセス制御ネットワーク セキュリティ アプリケーションを起動するが、ここではロックダウン プロセスを開始するためのユーザ インターフェース 400 を表示する。アプリケーションは自動的に、起動時にネットワーク デバイス ディスカバリーと識別 304を開始する場合と、ユーザが手動でデバイス ディスカバリーを開始する場合がある。ユーザ インターフェース 400 は、「スイッチの検出」の状態表示 402、またはプロセス制御ネットワーク 150 のネットワーク デバイス 146 が識別済であるという別の表示を示す可能性がある。実施例の中には、アプリケーションが、ネットワーク デバイス ディスカバリーを開始する際に、ユーザ インターフェース 400 の1つ以上の機能ボタン 404 を無効化する場合がある。ユーザはまた、手動でネットワーク デバイス ディスカバリーを開始してもよい。ブロック 304 は、プロセス制御ネットワーク 150 内にてあらゆるネットワーク デバイス 146 の存在を検出するか、またはロックダウン 機能を備えているネットワーク デバイスのみ選択的に検出または識別する可能性がある。さらにブロック 304 は1つ以上のパラメータを使用して、デバイス 143、146 のネットワーク 150、155 を検索する可能性がある。例えば、ネットワーク 150、155 内の IP アドレスの指定範囲、MAC アドレスの範囲、またネットワーク デバイス 143、146 の指定数が検索される可能性がある。開始 IP アドレスおよび終了 IP アドレスを備えた IP アドレスの範囲は、ユーザが指定してもよいが、IP アドレスの範囲は、ネットワーク 150、155 の構成にて識別されるか、メソッド 300 により検出される可能性がある。ブロック 304 はまた、デバイス 143、146、MAC、またはロックダウン機能を含むと以前に識別されたその他のアドレス、またはロックダウン有効化デバイスのその他の識別の専用 MIB 216 を指定することで、ロックダウン機能を含む特定のネットワーク デバイス 143、146 を識別してもよい。デバイス 143、146 は、1つ以上の第1ネットワーク 406 と第2ネットワーク 408 を含む、ネットワーク 150、155 の任意の場所で検出される可能性がある。第1ネットワーク 406 内のデバイス 146 は、第1範囲に IP アドレスを含んでいる可能性があるが、第2 ネットワーク 408 内のデバイス 146 は、第2範囲に IP アドレスを含んでいる可能性がある。IP アドレスの範囲を使用して検出されたデバイス 146 は、特定の IP アドレスや、検出済デバイス 143、146 のその他のパラメータを含んでいる情報と一緒に返信しうる。
ブロック 306 にて、ブロック 304 が検出したデバイス 143、146 のパラメータ 425 (図4B) は、ユーザ インターフェース 400 に返信される可能性がある。例えば、IP アドレス 426、名前 428、および状態 430 は、ユーザ インターフェース 400 の第1ネットワーク 406 ウィンドウと第2ネットワーク 408 ウィンドウに表示される可能性がある。すべてのネットワーク デバイス 146 が検出されると、状態表示 432 は検索が完了したことを示す。実施例の中には、メソッド 300 を初めて開始する場合、または別の検出済デバイスがロックダウン済でない場合、状態 430 は検出済デバイス 146 は「ロック解除済」状態 430 であることを示している可能性がある。ロック解除状態では、デバイスはネットワーク 150 内にてすべての通常の機能が実行可能である。実施例の中には、ロック解除状態にあるポートは、学習、エージング、および転送の基本的な透過ブリッジング機能を実行してよいものがある。既定のエージング時間は 600 秒 (10 分) に設定されているが、その他の既定時間は、デバイス 146 とネットワーク 150 の構成によって設定される可能性がある。検索が完了すると、ユーザおよび自動プロセスによる選択の際に、1つ以上の機能ボタン 434 を使用してもよい。
ブロック 308 では、ユーザまたは自動プロセスが「ロック解除」状態にあるデバイスを1つ以上選択してもよい。またブロック 310 では、ロック ボタン 436 のうち1つを選択することで、ロックダウン プロセスを開始してもよい。ロック ボタン 436 は、プロセス制御ネットワーク 150 の別の部分のロックダウンを選択的に開始するプロセスを実行できる。例えば別個のボタンは、ネットワーク全体、第1ネットワーク、第2ネットワーク、個別デバイス、および1つ以上の選択済デバイスにおける特定のアクセス ポイントを選択的にロックする機能を提供できる。セキュリティ強化のため、ロックダウン プロセスは選択済ワークステーション 120、122 のみから開始できうるが、例えば、プロセス制御ネットワーク 150 の物理部分ではないリモート ワークステーションの場合、インターネットの使用を介して開始することはできない可能性がある。または1つ以上の事前承認済の MAC アドレスや IP アドレスからしか開始できない可能性がある。1つ以上のロック ボタン 436 を選択することでロックダウン プロセスを開始する際、メソッド 300 も認証プロセスを開始する可能性がある。例えばメソッド 300 の場合、ロックダウン プロセスへのアクセス権を確認するには、ユーザ名とパスワード、またはユーザのその他の個人認証が必要となる。ユーザが適切に認証されると、ユーザはロック解除ネットワーク デバイス 428 の専用 MIB 216 のオブジェクトにアクセスして、ロックダウンを実行してよい。実施例の中には、ロック機能の場合、選択済デバイスの MAC アドレスは考慮されるが、IP アドレスは考慮されないものがある。また別の実施例では、上述のとおり、IP アドレスと MAC アドレスの両方が考慮されるものがある。
ロック ボタン 436 の1つを選択した後に認証を行う際、メソッド 300 で は1つ以上の選択済デバイスの専用 MIB 216 のうち、1つ以上にロック コマンドを送信しうる。専用 MIB 216 は次に1つ以上のメソッドを開始して、ポート特定のロック モードが有効であるすべての未使用および無効ポートを無効化してよい。例えば識別済ネットワーク デバイス 428 のいずれかが、デバイスからのロック コマンドを受信した時点で、別のデバイスへの有効リンクがない場合 (例: ネットワーク デバイス 146 の1つ以上の状態ライト 207 「図2」 により表示、また「真(true)」と同等のポート用の有効リンク変数を新規別することで検出)、ポートは無効化される。実施例の中には、ポート 202 を無効化するということは、ソース MAC アドレス 182 で任意のパケットやフレーム 175 の承認拒否を含んでいることがあり、これはロック状態が有効化された時点で、デバイス 146 の FDB 214 内に含まれていない。例えば、FDB は基本的にロック状態で「凍結」されていて、通常の動的学習機能およびエージング機能は無効化される。その他の実施例には、非認証ホスト MAC アドレスがデバイス 146 のメモリ 208 に記録されていて (例: 既知の悪意のある MAC アドレス、非認証デバイスに属する MAC アドレスなど) 、その非認証ソース MAC アドレス 182 を含むあらゆる受信済パケットまたはフレーム 175 が拒否される場合がある。ネットワーク デバイス 146 は、両方のポートと選択済デバイスの MAC アドレスのロックダウン処理を開始してよい。選択デバイス 428 のアップリンク ポートはまた、同じ方法でロック可能であり、特定のポートもロック プロセスから除外してよい。メソッド 300 は、ブロック 310 にてネットワーク 150 の任意、およびすべての使用可能ポートを考慮に入れる。
図3B は、1つ以上の未使用ポートを無効化するためのメソッド 325 の実施例を図説している。以下に説明する機能ブロックは、例えば前述のとおり CLI を介して、専用 MIB 216 内のオブジェクトとして実装してもよい。ブロック 326、メソッド 325 は前述のとおり、ロック ポートとして構成され、ブロック 304 により検出されたデバイス 146 の、すべての未使用ポート 202 を無効化しうる。特定のポート 202 またはデバイスを 146 ロック解除ポート 428 (図4B) のリストから選択した場合、デバイスまたはポートに有効リンクがなければ、無効化される可能性がある。
未使用ポート 202 を無効化することは、ポート 202 から電力を除外する可能性がある。 ブロック 328 にて、デバイス 146 で以前に受信済のアドレス情報は凍結される可能性がある。実施例の中には、情報は動的アドレステーブル 218 から静的アドレステーブル 220 に転送される場合がある。例えば、MAC アドレスとその他のデータは、動的アドレス テーブル 218 から完全に削除され、静的アドレス テーブル 220 に移動されうる。ブロック 328 には、例えば最大 256 アドレスというように、動的アドレス テーブルから削除するアドレスを最大数含んでいる可能性がある。 実施例の中には、動的アドレス テーブル 218 内の現在の取得済アドレス数が最大数よりも多い場合、アドレスのサブセットのみがロックされる可能性がある。残りのアドレスは FDB テーブル 214 から削除され 、接続エラーをもたらしうる。接続エラーが発生した場合は、エラー メッセージがユーザ インターフェースに送信され、ロックダウン プロセスの障害を示す。
ブロック 330 にて、メソッド 325 は専用 MIB 216 から1つ以上のメソッドを実装することで、ポート 202 をロック状態にできる。例えば専用 MIB メソッドは、ポートから電力を除去するか、ポートの再構成を行い、ホストからあらゆるフレーム 175 を承認しないようにする。これは1つ以上の FDB テーブル 214、 または静的アドレス テーブル 220 で承認されていないフレームや、含まれていないフレームである。ブロック 332 では、メソッド 325 はデバイス 146 の通常の機能を無効化する可能性がある。ある実施例ではメソッド 325 が、デバイス 146 または特定ポート 202 のためのアドレス学習機能とアドレス エージング機能を無効化する。例えば、動的アドレス テーブル 218 を無効化して、すべての入力を今後許可しないようにできる。また新規アドレスを検出するため、デバイス 146 はネットワーク 150 を今後フラッドさせないようにできる。そしてエージング時間の期限が切れた後、以前受信済のアドレスをデバイスから削除しうる。ブロック 334 では、デバイス構成を非可変メモリ 212 に保存される可能性がある。例えばポート状態と MAC アドレスは、ユーザが自動的、または明示的のいずれかにより保存してよい。保存済の現在の構成は、ロック済ポートの開始が強制されないように、電源サイクル時またはリブート時にデバイス 146 により使用可能である。
ロックする際、現在接続済のデバイスがネットワーク デバイス ポートに接続されていない場合で、別のデバイスが同じポートに接続されている場合、ネットワーク デバイスは接続を拒否する可能性がある。実施例の中には、ネットワーク デバイス 146 が接続を拒否する場合がある。これは前述のとおり、新規デバイスが変更済 FDB テーブル 214 に含まれていないからである。ただし、同じ認証デバイスが同じポートに再接続される場合、ネットワーク デバイス 146 はデバイスとの通信を許可、または再構築する可能性がある。変更済 FDB テーブル 214 が MAC アドレスを含んでいるので、以前に接続済のデバイスと、通信が再構築される可能性がある。その他のネットワーク デバイスとの通信は各デバイスの FDB 214 により制御されているので、ネットワーク デバイス 146 自体は接続を拒否する可能性がある。ブロック 310 にてロックダウン プロセスを開始した後、前述のとおり、ユーザ インターフェース 400 は、デバイス状態 430 のうち1つ以上の「ロック済」表示から変更するか、または状態表示 432 の「完了」表示から、選択デバイス 428 が専用 MIB 216 メソッドを実行して、未使用ポートをロックするという内容の表示に変更してもよい。図4C に関して、ブロック 310 でのロックダウン プロセスを完了すると、ユーザ インターフェースは第1ネットワークと第2ネットワークのロック済デバイス 452 のリストを表示する。ロック済デバイス 452 には、「ロック済」の状態 454 、またはロック プロセスの完了を示すその他の表示が含まれうる。
1つ以上のネットワーク デバイスにロックダウン プロセス 325 を実行後、例えば、トラブルシューティング操作や日常メンテナンス、診断、ネットワーク再構成などの間に、1つ以上のロック済デバイスをロック解除する必要がある可能性がある。ブロック 311 にて、1つ以上のデバイスやポートをロック解除する必要があると、メソッド 300 はブロック 312 を続行するか、またはネットワーク デバイスや個別ポートをロック解除する必要がある場合、メソッドはブロック 304 に戻ってネットワーク 150 のすべての変更を監視する可能性がある。
ブロック 312 (図3A)では、ユーザまたは自動プロセスが「ロック済」状態にあるデバイスを1つ以上選択してよい。またブロック 314 では、ロック解除ボタン 475 を選択することで、ロック解除プロセスを開始できる。ロック ボタン 436 (図4B) の場合、ロック解除ボタン 475 は1つ以上の専用 MIB 216 の、1つ以上のメソッドを開始して、以前にロック済のプロセス制御ネットワーク 150 の別の部分に、ロック解除プロセスを選択的に開始できる。セキュリティの強化のため、ロック解除プロセスをロックダウン タイマー 476 で構成して、以前にロック済のデバイス 478 または個別ポートのうち1つ以上を自動的に再ロックできる。ロックダウン タイマー 476 は、その間に既定設定で構成される可能があるが、ロック解除プロセスの完了時に (ブロック 316) 、1つ以上のロック解除デバイスが再度ロックされる場合がある。ある実施例では、ロックダウン タイマー 476 を 60分の既定設定で構成している (例: 3600 秒)。ロック解除プロセスは選択済ワークステーション 120、122 から開始できうるが、例えば、プロセス制御ネットワーク 150 の物理部分ではないリモート ワークステーションの場合、インターネットの使用を介して開始することはできない可能性がある。または1つ以上の事前承認済の MAC アドレスからしか開始できない可能性がある。
例えばメソッド 300 の場合、ロックダウン プロセスへのアクセス権を確認するには、ユーザ名とパスワード、またはユーザのその他の個人認証が必要となるユーザが適切に認証されると、ユーザは1つ以上選択したロック済ネットワーク デバイスの、専用 MIB 216 または 202 ポートにアクセスして、ロック解除を開始できる。
認証時に、ロック解除ボタンを選択して、オプションとしてロックダウン タイマー 476 を選択した後、メソッド 300 は選択したロック済デバイスの専用 MIB に、ロック解除コマンドを送信する可能性がある。図3C は、以前に無効化されたポートまたはデバイスをロック解除および有効化するための、メソッド 350 の1実施例を示している。以下に説明する機能ブロックは、例えば前述のとおり CLI を介して、専用 MIB 216 内のオブジェクトとして実装してもよい。ブロック 352 では、メソッド 350 が以前にロック済のポートまたはデバイスを有効化する可能性がある。実施例の中には、ロック メソッド 325 により無効化されたすべての未使用ポートは有効化されるが、ユーザが個々にロックしたポートはロック状態で保持される場合がある。その他の実施例では、すべてのロック済ポートまたはデバイスは有効化されるか、ロック済ポートまたはデバイスはオプションとして有効化される可能性がある。ブロック 354 では、静的アドレス テーブル 220 に以前に追加済のアドレス データは削除される可能性がある。実施例の中には、ユーザが追加した静的アドレス データや、またはその他の明示的プロセスは、ロック解除中に静的アドレス テーブル 220 にて保持される可能性がある。ブロック 356 では、メソッド 350 はポートまたはデバイスのロック解除状態を有効化しうる。
例えばポートの電力をアクティブ化して、(または) ポートが任意のソース MAC アドレス 182 から、フレーム 175 の承認を再開する可能性がある。ブロック 358 では、メソッド 350 は通常のポート機能またはデバイス機能を再開する。例えばロック解除状態にて、上述のブロック 330 にて保留されていた、通常の学習機能およびエージング機能が再開されて、デバイス テーブル (例: ARP、FDB、静的および動的アドレス テーブル) が再生成される可能性がある。ブロック 360 にてメソッド 350 は、新規デバイスまたはポート構成を保存しうる。例えばポート状態と MAC アドレスは、自動的またはユーザによる明示的のいずれかによって保存され、電源サイクルまたはリブート時に、デバイスにより実装される可能性がある。
実施例の中には、ブロック 314 にてロック解除プロセスを開始した後、ユーザ インターフェース 400 (図4D) は、1つ以上のデバイス状態 480 を「ロック済」から、選択デバイス 478 を「ロック保留」状態に表示するように変更できる場合がある。
さらにロックダウン タイマー 476 がロック解除プロセスで初期化される場合、残り時間の状態 482 は、デバイス 478 がロック済状態に戻される前の残り時間数を示している可能性がある。残り時間 482 を設定してロック済状態に戻さないようにもできる。例えば、専用 MIB 216 のオブジェクトに CLI を介してアクセスして、タイマー 482 を「復帰させない」状態に設定しても、またその他の時間数を設定してもよい。
実施例の中には、電源をオンにした際にネットワーク デバイスが、ブロック 334 にて保存済の構成に戻す可能性がある (図3B)。例えばエンティティは、1つ以上のネットワーク デバイスを循環させてロック済ポートの開始を強制し、非認証デバイスとプロセス制御ネットワーク 150 の接続を試みる可能性がある。電源がオンの場合、デバイスを設定して、非可変メモリ 212 からデバイスの保存構成にアクセスできる可能性がある (図2)。従って、電源サイクル デバイスがロック済状態、またはロック解除状態に切り替えられたかどうかに関わらず、電源サイクル以前のネットワーク 150 に接続済のすべてのデバイスは、システムとの通信を自動的に再構築されるが、電源がオフの間にポートに追加された新規デバイスはすべて、拒否される可能性がある。デバイスが「ロック解除」の状態で電源がオンになっている場合で、ロックダウン タイマー 476 がゼロ以上の場合、時間の期限が切れると、デバイスは自動的にロック済状態に入る可能性がある。 デバイス状態は、例えば15秒毎などで定期的に更新されて、最新の状態が表示される。さらに更新ボタン 484 により、ユーザが表示ネットワーク デバイス 478 の状態を手動で更新するほか、ネットワーク 150 に追加されたネットワーク デバイスの検出を実行できる。ある実施例では、更新ボタン 484 を選択すると、ブロック 304 および 306 に関連して、上述のネットワーク デバイスの検出が開始される可能性がある (図3)。
ここに記述するネットワーク デバイスのロックダウン技術は、Fieldbusと標準 4 20 maデバイスを一緒に使用する場合の説明であるが、もちろん任意のプロセス制御通信プロトコル、またはプログラミング環境を使用した実装が可能である。また他のタイプのデバイス、機能、ブロック、およびコントローラーと一緒に使用してもよい。ここに記述するネットワーク デバイスのロックダウン ルーチンは、ソフトウェアにて実装するのが望ましいが、ハードウェアやファームウェアなどで実装してもよい。またプロセス制御システムに関連した他のプロセッサーにより実行してもよい。従って必要に応じて、ここに記述するメソッド 300、325、および 350 は、標準多目的 CPU にて実装するか、または例えば ASIC などの、特別に設計されたハードウェアやファームウェアにて実装してもよい。ソフトウェアにて実装する際、任意のコンピュータやプロセッサーなどの RAM または ROM にて、磁気ディスク、レーザー ディスク、光ディスク、およびその他の記憶媒体として、ソフトウェアは任意のコンピュータ読取り可能メモリに保存してよい。同様にこのソフトウェアは、任意の既知および必要な配信方法によって、ユーザまたはプロセス制御システムに配信できる。例としてコンピュータ読取り可能ディスク、その他の転送可能なコンピュータ記憶メカニズム、または電話回線やインターネットなどの通信チャネル上での調整が挙げられる (これは転送可能な記憶媒体を介して、そのようなソフトウェアを提供することと同様または交換可能と考えられる)。
従って現在の発明は、特定の例に関して記述しているが、これは発明に制限することなく実例となるように意図している一方で、発明の趣旨および範囲から外れることなく、内容の変更や追加、削除が、提示する実施例に行なわれる可能性があることは、技術背景の通常の技量において明白である。

Claims (48)

  1. プロセス制御ネットワークに通信で接続されるネットワーク デバイスを検出する工程と、
    ネットワーク デバイスのアドレス テーブルと、各自がプロセス制御ネットワークの有効なノードに対応する、1つ以上の認証済物理アドレスを備えたアドレス テーブルを凍結する工程と、
    ネットワーク デバイスの1つ以上のブリッジ機能を保留する工程と、
    冷凍のアドレス テーブルのアドレスに対応する、認証済の物理アドレスをフレームが含んでいる場合に、ネットワーク デバイスにて受信したフレームを処理する工程と、
    およびフレームが非認証の物理アドレスを含んでいる場合に、受信フレームを中断する工程とを含むことを特徴とする、
    プロセス制御ネットワークを経由して安全にプロセス制御データの通信を行う方法。
  2. 請求項1において、ネットワーク デバイスの転送データベース テーブルを凍結させることにより、ネットワークデバイスの1つ以上の通信ポートを選択的に無効化する工程をさらに含むことを特徴とする方法。
  3. 請求項2において、前記ネットワークデバイスの1つ以上の通信ポートを選択的に無効化する工程が、1つ以上の通信ポートから1つ以上の電力を除去する工程と、ネットワーク デバイスの1つ以上のブリッジ機能を保留する工程と、および学習、転送、エージングを含む機能をブリッジさせる工程とを含むことを特徴とする方法。
  4. 請求項1において、ネットワーク デバイスの1つ以上のブリッジ機能を再開することで、以前に無効化された通信ポートを選択的に1つ以上有効化する工程をさらに含むことを特徴とする方法。
  5. 請求項4において、しきい値の期限が切れた後に有効通信ポートを無効化する工程をさらに含むことを特徴とする方法。
  6. 請求項1において、前記アドレス テーブルを凍結する工程が、動的アドレス テーブルから静的アドレス テーブルに1つ以上の物理アドレスを移動させる工程を含むことを特徴とする方法。
  7. 請求項1において、アドレス テーブルがアドレス解決プロトコル テーブル、および転送データベース テーブルの1つ以上であることを特徴とする方法。
  8. プロセス制御ネットワークのネットワーク デバイスを識別する工程であって、有効なアクセス ポイントに、プロセス制御ネットワークのノードの有効リンクと、プロセス制御ネットワークへのインターネット接続を1つ以上含んでいることを特徴とする1つ以上の有効アクセス ポイントまたは無効アクセス ポイントを備えたネットワーク デバイスを識別する工程と、
    無効アクセス ポイントの現在の構成を凍結する工程、および無効アクセス ポイントの機能を削除して電力を受信する工程の内の1つ以上の方法によってネットワーク デバイスの残りの無効アクセス ポイントをすべて無効化する工程と、
    を含む、プロセス制御ネットワークにて1つ以上のアクセス ポイントをロックダウンする方法。
  9. 請求項8において、ネットワーク デバイスが、ネットワーク インターフェース カード、ネットワーク スイッチ、ルーター、ファイアウォール、コントローラー、およびワークステーションを包含することを特徴とする方法。
  10. 請求項8において、1つ以上のアクセス ポイントが 1つ以上のネットワーク デバイス ポートを包含することを特徴とする方法。
  11. 請求項8において、さらに以前に無効化されたアクセス ポイントを有効化することを特徴とする方法 。
  12. 請求項8において、さらに以前に一定期間に無効化されたアクセス ポイントを有効化することを特徴とする方法 。
  13. 請求項8において、さらに1つ以上の一定の有効期限に対応した無効アクセス ポイントを無効化する工程、ネットワーク セキュリティの脅威を識別する工程、ネットワーク メンテナンス周期を集結する工程、予期しないネットワーク イベント、またはネットワーク パラメータを変更する工程を含むことを特徴とする方法。
  14. 請求項8において、さらにユーザ インターフェースにてネットワーク デバイスからの情報を受信する工程、および無効アクセス ポイントが無効化された場合にそれを示す情報を受信する工程を含むことを特徴とする方法。
  15. 請求項8において、さらに無効化された有効でないアクセス ポイントを有効化する試みを、ネットワーク デバイスがユーザ インターフェースに報告する工程を含むことを特徴とする方法。
  16. 請求項8において、無効なアクセス ポイントが無効となった場合、プロセス制御ネットワークのプロセス制御データの通信が、有効なアクセス ポイント上でのみ実行されることを特徴とする方法。
  17. 請求項8において、さらにプロセス制御ネットワークのローカル物理ノードにて、無効なアクセス ポイントを有効化または無効化する工程を含むことを特徴とする方法。
  18. 請求項8において、さらに無効化された無効アクセス ポイントへの接続をすべて拒否する工程を含むことを特徴とする方法。
  19. 1つ以上のモジュールを含む専用管理情報ベース、プロセス制御ネットワークの1つ以上のノードに通信的に接続するための通信ポート、および管理プロトコル モジュールの、プロセス制御ネットワークを経由して安全に通信プロセス制御データを送信する装置であって、
    1つ以上のセキュリティ モジュールが、選択的に通信ポートを無効化、および有効化するように構成することを特徴とし、
    また管理プロトコルは、通信ポートで受信したフレームから、プロセス制御ネットワークを介して、またはプロセス制御ネットワーク ノードに対応するアドレスを介して、プロセス制御ネットワーク ノード アドレスの転送、学習、およびエージングを行うように構成することを特徴とする装置。
  20. 請求項19において、さらに1つ以上のテーブルを1つ以上のプロセス制御ネットワーク ノード アドレスを保存するように構成することを特徴とする装置。
  21. 請求項20において、選択的に通信ポートを無効化するように構成されている1つ以上のセキュリティ モジュールをさらに構成して、第1テーブルから第2テーブルに1つ以上のプロセス制御ネットワーク ノード アドレスをコピーし、第1テーブルを消去し、および通信ポートを選択的に無効化する際に、プロセス制御ネットワーク ノード アドレスがそれ以上保存されないように設定することを特徴とする装置。
  22. 請求項21において、専用情報ベースが比較モジュールを備え、受信フレームのアドレスを1つ以上のテーブルに保存済の1つ以上のアドレスと比較するように、このモジュールをさらに構成することを特徴とし、受信アドレスが一致しない場合、1つ以上のセキュリティ モジュールが、受信フレームを中断するようにさらに構成することを特徴とする装置。
  23. 請求項20において、通信ポートを選択的に無効化するように構成されている1つ以上のセキュリティ モジュールをさらに構成して、管理プロトコルの転送、エージング構成を1つ以上保留することを特徴とする装置。
  24. 請求項22において、管理プロトコルをさらに構成して中断フレームを保存することを特徴とする装置。
  25. 請求項20において、1つ以上のテーブルがアドレス解決プロトコル テーブルと転送データ テーブルを包含することを特徴とする装置。
  26. 請求項19において、1つ以上のセキュリティ モジュールが、通信ポートを無効化する際に、動的アドレス テーブルから静的アドレス テーブルに、1つ以上のアドレスを移動するように構成されることを特徴とする装置。
  27. 請求項21において、1つ以上のセキュリティ モジュールをさらに構成して、通信ポートを有効化する際に、静的アドレス テーブルから移動済アドレスを、1つ以上削除することを特徴とする装置。
  28. 請求項19において、1つ以上のセキュリティ モジュールをさらに構成して、通信ポートの無効化の際に、通信ポートから電力を除去することを特徴とする装置。
  29. 請求項19において、さらにタイマーを構成して、通信ポートを無効化した後で、有効期限の終了後に通信ポートを有効化することを特徴とする装置。
  30. 請求項24において、専用管理情報ベースがタイマーを包含することを特徴とする装置。
  31. 請求項19において、さらにコマンド ライン インターフェースが、専用管理情報ベースの1つ以上のセキュリティ モジュールにアクセスすることを特徴とする装置。
  32. 請求項26において、さらにユーザ インターフェースが、コマンド ライン インターフェースを介した装置への通信コマンド、および専用管理情報ベースの1つ以上のセキュリティ モジュールを開始するコマンドと通信することを特徴とする装置。
  33. プロセス制御ネットワークに通信的に接続されている、1つ以上の通信ポートが含まれている1つ以上のネットワーク デバイスを検出する工程と、
    1つ以上の未使用ポートを無効化する工程と、
    通信済フレームが有効リンクを備えた通信ポートにて受信することを特徴とする、1つ以上のフレームとその他のネットワーク デバイスと通信する工程と
    および無効通信ポートにて受信される1つ以上のフレームを中断する工程とを含む、
    1つ以上のネットワーク デバイスを含むプロセス制御ネットワークを経由したプロセス制御データの安全な通信のための方法。
  34. 請求項33において、未使用通信ポートが、プロセス制御ネットワークへの無線インターネット接続を1つ以上備えていて、別のネットワーク デバイスに有効な通信リンクを備えていないことを特徴とする方法。
  35. 請求項33において、1つ以上の未使用通信ポートを無効化する工程に、1つ以上の通信ポートを識別する工程が含まれることを特徴とする方法。各通信ポートは、別のネットワーク デバイスへの有効リンクを備え、さらにすべての残りの未確認の通信ポートを無効化する工程が含まれることを特徴とする方法。
  36. 請求項33において、前記1つ以上の未使用通信ポートを無効化する工程に、動的アドレス テーブルから静的アドレス テーブルに移動する工程と、検出済ネットワーク デバイスのブリッジ機能を無効化する工程とが含まれることを特徴とする方法。
  37. 請求項36において、さらにネットワーク デバイスの非可変メモリにて、1つ以上の静的アドレス テーブルと、ネットワーク デバイスの転送テーブルを保存する工程を含むことを特徴とする方法。
  38. 請求項37において、さらにネットワーク デバイスのリブートの際に、保存済静的アドレス テーブルと転送テーブルに元に戻す工程を含むことを特徴とする方法。
  39. 請求項33において、前記1つ以上の未使用通信ポートを無効化する工程に、検出済ネットワークデバイスが、ソースMAC アドレスを含んでいるフレームの承認を拒否する工程が含まれることを特徴とする方法であって、該MAC アドレスは、 1つ以上のアドレス解決プロトコル テーブル内、および検出済ネットワーク デバイスのデータベースの転送内に含まれていないことを特徴とする方法。
  40. 請求項33において、前記1つ以上の未使用通信ポートを無効化する工程に、検出済ネットワーク デバイスの転送データベース テーブルを凍結する工程が含まれることを特徴とする方法。
  41. 請求項33において、前記1つ以上の未使用通信ポートを無効化する工程に、検出済ネットワーク デバイスの透過ブリッジ機能を、1つ以上無効化する工程が含まれ、当該機能には学習、エージング、および転送が含まれることを特徴とする方法。
  42. 請求項33において、前記1つ以上の未使用通信ポートを無効化する工程に、未使用通信ポートから電力を除去する工程が含まれることを特徴とする方法。
  43. 請求項33において、前記1つ以上のフレームが別のネットワーク デバイスに通信する工程に、すべての動的アドレス テーブルのアドレスを静的アドレス テーブルに移動した後に、受信済アドレスを転送データベース テーブル アドレスと一致させる工程が含まれ、ネットワーク デバイスのブリッジ機能を無効化する工程が含まれ、且つ該ブリッジ機能には学習、エージング、および転送が含まれることを特徴とする方法。
  44. 請求項33において、前記無効通信ポートにて受信した1つ以上のフレームを中断する工程に、中断フレームを保存する工程が含まれることを特徴とする方法。
  45. 請求項33において、前記無効通信ポートにて受信した1つ以上のフレームを中断する工程に、ネットワーク デバイスの静的アドレス テーブルや転送データベース テーブルに含まれていない、1つ以上のフレームを中断する工程が含まれることを特徴とする方法。
  46. 請求項33において、前記1つ以上の検出済ネットワーク デバイスが、IP アドレスの範囲内の IP アドレスと、MAC アドレスの範囲内の MAC アドレスを1つ以上包含していることを特徴とする方法。
  47. 請求項33において、前記プロセス制御ネットワークが、第1ネットワークと第2ネットワークを包含することを特徴とする方法。
  48. 請求項33において、さらに検出済ネットワーク デバイスの1つ以上のアップリンク未使用通信ポートを無効化する工程を含むことを特徴とする方法。
JP2009221205A 2008-09-25 2009-09-25 プロセス制御データの安全な通信方法、及び装置 Active JP5634047B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US10024008P 2008-09-25 2008-09-25
US61/100,240 2008-09-25
US12/475,889 2009-06-01
US12/475,889 US8590033B2 (en) 2008-09-25 2009-06-01 One button security lockdown of a process control network

Publications (3)

Publication Number Publication Date
JP2010081610A true JP2010081610A (ja) 2010-04-08
JP2010081610A5 JP2010081610A5 (ja) 2012-11-08
JP5634047B2 JP5634047B2 (ja) 2014-12-03

Family

ID=41347821

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009221205A Active JP5634047B2 (ja) 2008-09-25 2009-09-25 プロセス制御データの安全な通信方法、及び装置

Country Status (5)

Country Link
US (1) US8590033B2 (ja)
EP (3) EP2816779B1 (ja)
JP (1) JP5634047B2 (ja)
CN (4) CN106411859B (ja)
GB (2) GB2463791B (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3182234A1 (en) 2015-12-15 2017-06-21 Yokogawa Electric Corporation Control device, integrated industrial system, and control method thereof
EP3182669A1 (en) 2015-12-15 2017-06-21 Yokogawa Electric Corporation Integrated industrial system and control method thereof
WO2017154273A1 (ja) * 2016-03-11 2017-09-14 オムロン株式会社 マスタースレーブ制御システム、マスタースレーブ制御システムの制御方法、情報処理プログラム、および記録媒体
JP2019080310A (ja) * 2017-09-29 2019-05-23 フィッシャー−ローズマウント システムズ,インコーポレイテッド 強化されたスマートプロセス制御スイッチのポートロックダウン
JP7484252B2 (ja) 2020-03-13 2024-05-16 オムロン株式会社 端末監視装置

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007025892A1 (de) * 2007-06-01 2008-12-11 Phoenix Contact Gmbh & Co. Kg Werkzeugerkennung im Profinet
US8590033B2 (en) 2008-09-25 2013-11-19 Fisher-Rosemount Systems, Inc. One button security lockdown of a process control network
US8321926B1 (en) * 2008-12-02 2012-11-27 Lockheed Martin Corporation System and method of protecting a system that includes unprotected computer devices
US8549201B2 (en) * 2010-06-30 2013-10-01 Intel Corporation Interrupt blocker
US8817620B2 (en) 2010-07-06 2014-08-26 Nicira, Inc. Network virtualization apparatus and method
US9525647B2 (en) 2010-07-06 2016-12-20 Nicira, Inc. Network control apparatus and method for creating and modifying logical switching elements
US10103939B2 (en) 2010-07-06 2018-10-16 Nicira, Inc. Network control apparatus and method for populating logical datapath sets
DE102011006668B3 (de) * 2011-04-01 2012-09-13 Siemens Aktiengesellschaft Schnittstellenmodul für ein modulares Steuerungsgerät
JP5821576B2 (ja) * 2011-11-30 2015-11-24 株式会社バッファロー 中継装置および電子機器の起動方法
EP2670226B1 (de) 2012-05-31 2014-12-31 Siemens Aktiengesellschaft Kommunikationsgerät für ein industrielles Automatisierungssystem
US20140143864A1 (en) * 2012-11-21 2014-05-22 Snoopwall Llc System and method for detecting, alerting and blocking data leakage, eavesdropping and spyware
US9177163B1 (en) 2013-03-15 2015-11-03 Google Inc. Data access lockdown
DE102013216501A1 (de) * 2013-08-20 2015-02-26 Vega Grieshaber Kg Messgerätezugangsvorrichtung, Feldgerät und Verfahren zum Steuern des Zugangs zu einem Messgerät
US9912612B2 (en) * 2013-10-28 2018-03-06 Brocade Communications Systems LLC Extended ethernet fabric switches
US20150161404A1 (en) * 2013-12-06 2015-06-11 Barrett N. Mayes Device initiated auto freeze lock
US20160036843A1 (en) * 2014-08-01 2016-02-04 Honeywell International Inc. Connected home system with cyber security monitoring
US9208349B1 (en) 2015-01-13 2015-12-08 Snoopwall, Inc. Securing data gathering devices of a personal computing device while performing sensitive data gathering activities to prevent the misappropriation of personal user data gathered therewith
US9686316B2 (en) * 2015-09-25 2017-06-20 Cisco Technology, Inc. Layer-2 security for industrial automation by snooping discovery and configuration messages
US10447722B2 (en) * 2015-11-24 2019-10-15 Bank Of America Corporation Proactive intrusion protection system
US9692784B1 (en) 2016-10-25 2017-06-27 Fortress Cyber Security, LLC Security appliance
EP3373544A1 (en) * 2017-03-07 2018-09-12 ABB Schweiz AG Automatic communication network system hardening
PE20200163A1 (es) * 2017-05-05 2020-01-21 Bosch Solua‡A•Es Integradas Brasil Ltda Sistema de gestion de mantenimiento de equipos
US11196711B2 (en) 2017-07-21 2021-12-07 Fisher-Rosemount Systems, Inc. Firewall for encrypted traffic in a process control system
EP3439259B1 (de) 2017-08-02 2019-11-27 Siemens Aktiengesellschaft Härten eines kommunikationsgerätes
GB2567556B (en) * 2017-09-29 2022-07-13 Fisher Rosemount Systems Inc Enhanced smart process control switch port lockdown
GB2568145B (en) * 2017-09-29 2022-08-03 Fisher Rosemount Systems Inc Lockdown protection for process control switches
WO2019087849A1 (ja) * 2017-10-31 2019-05-09 村田機械株式会社 通信システム、被制御機器、及び、通信システムの制御方法
CN111149077A (zh) * 2018-01-25 2020-05-12 英特尔公司 分立式通信端口组件的电源管理
CN108900481A (zh) * 2018-06-13 2018-11-27 四川微迪智控科技有限公司 一种交换机安全接入系统和方法
CN108965170A (zh) * 2018-06-13 2018-12-07 四川微迪智控科技有限公司 一种用于边缘安全接入的工业交换机系统及运行方法
US11281877B2 (en) * 2018-06-26 2022-03-22 Columbia Insurance Company Methods and systems for guided lock-tag-try process
CN109391548B (zh) * 2018-11-06 2021-12-17 迈普通信技术股份有限公司 表项迁移方法、装置及网络通信系统
US11016135B2 (en) * 2018-11-28 2021-05-25 Cummins Power Generation Ip, Inc. Systems and methods for ground fault detection in power systems using communication network
US11627049B2 (en) * 2019-01-31 2023-04-11 Hewlett Packard Enterprise Development Lp Failsafe firmware upgrade for cloud-managed devices

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006314070A (ja) * 2005-05-03 2006-11-16 Zyxel Communication Corp Lanセキュリティー保護方法
JP2006332997A (ja) * 2005-05-25 2006-12-07 Nec Corp 通信管理装置、ネットワークシステム、ネットワークシステムにおける通信遮断方法、およびプログラム
WO2007030812A2 (en) * 2005-09-09 2007-03-15 Hoshiko, Llc Network router mac-filtering
JP2008167119A (ja) * 2006-12-28 2008-07-17 Fujitsu Ltd ネットワーク装置、ネットワーク装置の制御装置及びその制御方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6124692A (en) * 1996-08-22 2000-09-26 Csi Technology, Inc. Method and apparatus for reducing electrical power consumption in a machine monitor
US6934260B1 (en) 2000-02-01 2005-08-23 Advanced Micro Devices, Inc. Arrangement for controlling learning of layer 3 network addresses in a network switch
US20020156888A1 (en) 2001-04-23 2002-10-24 Lee Man-Ho L. Method and apparatus for detecting and reporting configuration errors in a multi-component switching fabric
US7187648B1 (en) 2001-11-26 2007-03-06 Ranch Networks, Inc. Redundancy in packet routing devices
US7836160B2 (en) * 2002-01-08 2010-11-16 Verizon Services Corp. Methods and apparatus for wiretapping IP-based telephone lines
US7782813B2 (en) * 2002-06-07 2010-08-24 Ember Corporation Monitoring network traffic
JP4553565B2 (ja) * 2002-08-26 2010-09-29 パナソニック株式会社 電子バリューの認証方式と認証システムと装置
US20040153700A1 (en) * 2003-01-02 2004-08-05 Nixon Mark J. Redundant application stations for process control systems
US7761923B2 (en) 2004-03-01 2010-07-20 Invensys Systems, Inc. Process control methods and apparatus for intrusion detection, protection and network hardening
JP4148931B2 (ja) 2004-08-16 2008-09-10 富士通株式会社 ネットワークシステム、監視サーバ及び監視サーバプログラム
US20060250983A1 (en) 2005-03-31 2006-11-09 Iris Corporation Berhad Method of and arrangement for establishing network connections in an ethernet environment
US7774089B2 (en) 2005-08-18 2010-08-10 Rockwell Automation Technologies, Inc. Method and apparatus for disabling ports in a motor control system
DE602005022088D1 (de) 2005-12-09 2010-08-12 Abb Research Ltd Verfahren zur Sicherung von Konfigurationsdaten in Automatisierungsnetzwerken
CN101132364B (zh) * 2007-08-23 2012-02-29 新动力(北京)建筑科技有限公司 控制网络中数据寻址和转发的方法及系统
US8590033B2 (en) 2008-09-25 2013-11-19 Fisher-Rosemount Systems, Inc. One button security lockdown of a process control network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006314070A (ja) * 2005-05-03 2006-11-16 Zyxel Communication Corp Lanセキュリティー保護方法
JP2006332997A (ja) * 2005-05-25 2006-12-07 Nec Corp 通信管理装置、ネットワークシステム、ネットワークシステムにおける通信遮断方法、およびプログラム
WO2007030812A2 (en) * 2005-09-09 2007-03-15 Hoshiko, Llc Network router mac-filtering
JP2008167119A (ja) * 2006-12-28 2008-07-17 Fujitsu Ltd ネットワーク装置、ネットワーク装置の制御装置及びその制御方法

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3182234A1 (en) 2015-12-15 2017-06-21 Yokogawa Electric Corporation Control device, integrated industrial system, and control method thereof
EP3182669A1 (en) 2015-12-15 2017-06-21 Yokogawa Electric Corporation Integrated industrial system and control method thereof
US10819742B2 (en) 2015-12-15 2020-10-27 Yokogawa Electric Corporation Integrated industrial system and control method thereof
US10956567B2 (en) 2015-12-15 2021-03-23 Yokogawa Electric Corporation Control device, integrated industrial system, and control method thereof
WO2017154273A1 (ja) * 2016-03-11 2017-09-14 オムロン株式会社 マスタースレーブ制御システム、マスタースレーブ制御システムの制御方法、情報処理プログラム、および記録媒体
JP2019080310A (ja) * 2017-09-29 2019-05-23 フィッシャー−ローズマウント システムズ,インコーポレイテッド 強化されたスマートプロセス制御スイッチのポートロックダウン
JP2019092149A (ja) * 2017-09-29 2019-06-13 フィッシャー−ローズマウント システムズ,インコーポレイテッド プロセス制御スイッチの中毒防止
US11595396B2 (en) 2017-09-29 2023-02-28 Fisher-Rosemount Systems, Inc. Enhanced smart process control switch port lockdown
JP7414391B2 (ja) 2017-09-29 2024-01-16 フィッシャー-ローズマウント システムズ,インコーポレイテッド 強化されたスマートプロセス制御スイッチのポートロックダウン
JP7484252B2 (ja) 2020-03-13 2024-05-16 オムロン株式会社 端末監視装置

Also Published As

Publication number Publication date
CN106371359A (zh) 2017-02-01
GB2493479B (en) 2013-05-22
CN103888474A (zh) 2014-06-25
CN101686260A (zh) 2010-03-31
GB201220624D0 (en) 2013-01-02
EP2816779A1 (en) 2014-12-24
EP2611108A1 (en) 2013-07-03
CN103888474B (zh) 2018-07-06
US20100077471A1 (en) 2010-03-25
CN106371359B (zh) 2019-07-05
EP2611108B1 (en) 2018-12-05
EP2816779B1 (en) 2015-09-02
US8590033B2 (en) 2013-11-19
GB0916858D0 (en) 2009-11-11
GB2463791A (en) 2010-03-31
GB2463791B (en) 2013-01-02
GB2493479A (en) 2013-02-06
CN101686260B (zh) 2014-05-07
CN106411859A (zh) 2017-02-15
EP2169904A1 (en) 2010-03-31
JP5634047B2 (ja) 2014-12-03
CN106411859B (zh) 2020-04-10
EP2169904B1 (en) 2013-08-28

Similar Documents

Publication Publication Date Title
JP5634047B2 (ja) プロセス制御データの安全な通信方法、及び装置
JP7414391B2 (ja) 強化されたスマートプロセス制御スイッチのポートロックダウン
JP5411916B2 (ja) 保護継電器とこれを備えるネットワークシステム
US11695621B2 (en) Control device and method for controlling a redundant connection in a flat network
EP1796340B1 (en) Method of securing network configuration data in automation networks
Mehner et al. No need to marry to change your name! attacking profinet io automation networks using dcp
Paul et al. Towards the protection of industrial control systems–conclusions of a vulnerability analysis of profinet IO
JP6975846B2 (ja) ネットワークセキュリティ用l2スイッチ及びこれを用いた遠隔監視制御システム
GB2568145A (en) Poisoning protection for process control switches
GB2567556A (en) Enhanced smart process control switch port lockdown
Nadeau et al. Bidirectional Forwarding Detection (BFD) Management Information Base
Nadeau et al. RFC 7331: Bidirectional Forwarding Detection (BFD) Management Information Base

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120924

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120924

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20140219

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20140224

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140317

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140610

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140903

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140924

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141014

R150 Certificate of patent or registration of utility model

Ref document number: 5634047

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250