過程控制網(wǎng)絡的一鍵安全上鎖的制作方法
【專利摘要】本發(fā)明提供一種過程控制網(wǎng)絡的一鍵安全上鎖�。在一過程控制系統(tǒng)中用于傳送數(shù)據(jù)的一復雜網(wǎng)絡的適當功能及安全可以以適用于整個過程控制網(wǎng)絡或所述網(wǎng)絡的部分的單一命令,人工地或自動地“上鎖”�����。一用戶或應用程序監(jiān)測多個網(wǎng)絡設備上的網(wǎng)絡通信��。一旦所述網(wǎng)絡被配置及在所述過程控制網(wǎng)絡上適當?shù)貍魉蛿?shù)據(jù)�,所述應用程序可以通過去活或“鎖死”所述網(wǎng)絡上的存取點來上鎖所述網(wǎng)絡。上鎖所述網(wǎng)絡可能實質(zhì)上將其凍結(jié)于一適當?shù)嘏渲眉皺C能狀態(tài)����,并限制未來的所述網(wǎng)絡設備的重配置或通過一開路或未使用的存取點的有害通信。在被上鎖時���,一當前連接的設備被拔除而且一不同設備插上所述存取點���,所述網(wǎng)絡設備可以拒絕所述連接�����。
【專利說明】過程控制網(wǎng)絡的一鍵安全上鎖
[0001]本申請是申請日為2009年9月25日�����、申請?zhí)枮?00910177758.1且名稱為“過程控制網(wǎng)絡的一鍵安全上鎖”的發(fā)明的分案申請���。
[0002]相關申請
[0003]本專利申請主張享有在2008年9月25日提交的標題為“過程控制網(wǎng)絡的一鍵安全上鎖”(One Button Security Lockdown of a Process Control Network)的美國61/100,240 號臨時專利申請(U.S.Provisional Application N0.61/100, 240)的權益��,所述臨時專利申請在此通過引用被完全地并入本專利���。
【技術領域】
[0004]本專利申請總體上涉及過程工廠控制系統(tǒng),尤其涉及在一過程或工廠環(huán)境中安全地控制設備之間的通信的方法及設備��。
【背景技術】
[0005]過程控制系統(tǒng)一如那些用于發(fā)電��、化學��、石油�����、或其他過程的分布式或大型過程控制系統(tǒng)一典型地包括一個或多個過程控制器,所述過程控制器相互通信連接���、通過一過程控制網(wǎng)絡與至少一個主機或操作員工作站通信連接����、以及通過模擬總線��、數(shù)字總線或模擬/數(shù)字混合總線與一個或多個現(xiàn)場設備通信連接�。所述現(xiàn)場設備可能是閥、閥定位器��、開關及變送器(例如溫度傳感器�����、壓力傳感器及流率傳感器)���,它們在過程或工廠中發(fā)揮功能���,如開啟或關閉閥、開關設備及測量過程參數(shù)���。過程控制器接收現(xiàn)場設備所進行的過程或工廠測量的信號及/或關于現(xiàn)場設備的其他信息�����,并使用這些信息來實施控制例程�,然后產(chǎn)生控制信號并通過總線傳送至現(xiàn)場設備,以控制所述過程或工廠的操作��。來自現(xiàn)場設備和控制器的信息一般提供給由操作員工作站執(zhí)行的一種或多種應用程序�,使操作員能夠執(zhí)行針對過程或工廠所需要的任何功能,例如觀察工廠的當前狀態(tài)����、修正工廠的操作等等。
[0006]過程控制器一般位于所述過程工廠環(huán)境中���,它們接收現(xiàn)場設備所進行的或與現(xiàn)場設備相關的過程測量或過程變量的信號及/或關于現(xiàn)場設備的其他信息��,并執(zhí)行控制器應用程序����??刂破鲬贸绦?qū)嵤?例如)不同的控制模塊��,這些控制模塊根據(jù)所接收的信息做出過程控制決定及產(chǎn)生控制信號��,并與現(xiàn)場設備(比如HART?及Fieldbus現(xiàn)場設備)中的控制模塊或塊協(xié)調(diào)??刂破髦械目刂颇K通過通信線或信號路徑路徑,將控制信號傳送到現(xiàn)場設備��,從而控制過程的操作�����。
[0007]來自現(xiàn)場設備及控制器的信息典型地通過過程控制網(wǎng)絡傳送到一個或多個其他硬件設備����,例如傳送到操作員工作站、維護工作站���、個人計算機��、手持設備��、歷史數(shù)據(jù)庫����、報告產(chǎn)生器����、集中式數(shù)據(jù)庫等等����。通過過程控制網(wǎng)絡傳送的信息使操作員或維護人員能夠?qū)^程執(zhí)行期望的功能��。例如���,所述信息允許操作員改變過程控制例程的設置��、更改過程控制器或智能現(xiàn)場設備中的控制模塊的操作���、觀察過程工廠中的特定設備的過程或狀況的當前狀態(tài)、觀察由現(xiàn)場設備及過程控制器產(chǎn)生的警報��、模擬過程的操作以培訓人員或測試過程控制軟件��、診斷過程工廠中的問題或硬件故障等等����。[0008]現(xiàn)場設備通常通過過程控制網(wǎng)絡(例如以太網(wǎng)配置局域網(wǎng)),與硬件設備通信���。過程控制網(wǎng)絡通過不同網(wǎng)絡設備,將過程參數(shù)����、網(wǎng)絡信息及其他過程控制數(shù)據(jù)傳播到過程控制系統(tǒng)中的不同實體���。典型的網(wǎng)絡設備包括網(wǎng)絡界面卡、網(wǎng)絡開關�����、路由器�����、防火墻�����、控制器及操作員工作站���。所述網(wǎng)絡設備典型地通過控制其路由�、幀率����、超時及其他網(wǎng)絡參數(shù),促成數(shù)據(jù)流過網(wǎng)絡,但不改變過程數(shù)據(jù)本身���。隨著過程控制網(wǎng)絡的規(guī)模和復雜性增高����,網(wǎng)絡設備的數(shù)目及類別相應地增加���。由于系統(tǒng)及網(wǎng)絡的增長�,這些復雜系統(tǒng)中的安全及管理可以變得愈加困難��。例如�,每個網(wǎng)絡設備可以包括一個或多個通信口,這些通信口提供一存取點或存取口�����,以便在所述網(wǎng)絡上物理地互連過程控制系統(tǒng)構件及其他網(wǎng)絡設備�。大多數(shù)的網(wǎng)絡設備包括的通信口超過需要的數(shù)目,以便全面地在網(wǎng)絡中連接所述設備�,因此在所述設備上閑擱一個或多個未使用或開路的通信口。所述設備上的一開路通信口因此可能通過添加其他設備而成為網(wǎng)絡拓展的存取點���,或可能允許一實體(不論是否惡意)存取所述網(wǎng)絡及啟動不必要的及潛在有害的網(wǎng)絡交通�����。隨著網(wǎng)絡設備及相關存取點的數(shù)目增加��,有效地監(jiān)測或控制對整個控制一復雜過程控制系統(tǒng)中的通信的網(wǎng)絡的所有未使用通信口的存取迅速地變得不切實際�����。
[0009]雖然一用戶或應用程序可能監(jiān)測每個設備或通信口的狀況及交通�����,但經(jīng)常不可能識別有害通信�����,直到一問題發(fā)生�����。一旦一監(jiān)測器識別所述問題����,所述系統(tǒng)的部分必須被帶離線及診斷���,以開始修理或測定故障����。進一步地,雖然在所述網(wǎng)絡的一個物理位置的一設備或通信口可能被識別為功能失常���,但問題可能是因所述網(wǎng)絡的另一位置的故障或惡意連接引起的�。另外�����,在一技術員完成測定故障或修理工作之后���,所述網(wǎng)絡設備可能被無意地置于不安全狀態(tài)或以其他方式置于易受不必要或有害通信影響的狀態(tài)��。過程控制系統(tǒng)中逐設備及逐通信口基礎的網(wǎng)絡安全(包括一嫌疑設備的物理檢查及修理����,以使所述系統(tǒng)恢復到在線狀態(tài))可能涉及冗長的耽擱��,因而通向死胡同并帶來許多其他管理困難而大大減低過程控制系統(tǒng)的有效性�。
【發(fā)明內(nèi)容】
[0010]過程控制系統(tǒng)網(wǎng)絡安全及管理可以通過使用每個網(wǎng)絡設備的、在逐設備或全網(wǎng)絡的基礎上起動的安全功能來監(jiān)測每個網(wǎng)絡設備的網(wǎng)絡交通來增強��。一個或多個專用管理信息庫(MIBs),或其他通信方法或數(shù)據(jù)存取方法(比如使用可用于存取及改變每個設備的網(wǎng)絡設備上的管理功能的專有軟件解決方案及開源軟件)可以包括一個或多個可以通過一命令線界面(CLI)來監(jiān)測所述設備是否通過所述過程控制網(wǎng)絡上通信���、一設備上的哪些通信口能夠在所述網(wǎng)絡上通信��、哪些通信口實際上在所述網(wǎng)絡上通信以及哪些通信口不在通信來存取的方法��。一旦所述過程控制網(wǎng)絡全面配置及正常工作,一用戶或一監(jiān)測應用程序可以發(fā)送命令到所述設備�����,以實施一個或多個專用管理信息庫(MIB)方法�,以便通過對整個網(wǎng)絡實施一單一 “上鎖”命令,禁止或過濾來自一特定網(wǎng)絡設備上的選定的未使用���、無效或不合要求的通信口的地址�����,有效地將所述網(wǎng)絡凍結(jié)于其期望配置����。
[0011]所述上鎖可以通過限制所述網(wǎng)絡的未來重配置及防止通過一開路���、無效或未使用的存取點的不必要或有害的通信����,導致一穩(wěn)定及安全的網(wǎng)絡。在被上鎖時���,如果一當前連接的設備被拔除而且一不同設備插上所述存取點�����,所述網(wǎng)絡設備可以拒絕所述連接���。例如,可以禁止一網(wǎng)絡設備上的所有存取點���,使得不能夠?qū)⑷魏胃郊釉O備添加或連接到所述網(wǎng)絡��。一鎖死存取點不能在沒有來自一用戶����、監(jiān)測器或其他授權過程的鑒別命令的情況下起動或解鎖����。至于附加安全�����,所述上鎖功能可以施加到在不同的網(wǎng)絡節(jié)點執(zhí)行的應用程序�,而所述解鎖功能可能限于一人工過程�����。所述監(jiān)測器可以在一應用程序�����、設備或全系統(tǒng)水平解鎖及上鎖��。所述存取點可以通過網(wǎng)絡及設備配置的組合來去活�����。例如�,所述上鎖配置可以通過拒絕通過所述存取點進行通信來去活所述存取點���,而且也可以重配置所述網(wǎng)絡設備以便從一存取點移除電力�,使得不能通過該存取點連接到所述網(wǎng)絡�����。
【專利附圖】
【附圖說明】
[0012]圖1A為一例示性框圖,其顯示一過程工廠�,該過程工廠具有一分布式過程控制系統(tǒng)及網(wǎng)絡,包括配置來實施在此描述的上鎖功能的一個或多個操作員及維護工作站����、控制器、現(xiàn)場設備及網(wǎng)絡設備�、常規(guī)網(wǎng)絡設備以及支持裝置。
[0013]圖1B為一例示性框圖�,其顯示一過程控制系統(tǒng)的一輸入/輸出網(wǎng)絡部分,該輸入/輸出網(wǎng)絡部分包括配置來實施在此描述的上鎖功能的設備�。
[0014]圖1C為一例示性以太網(wǎng)幀。
[0015]圖2為一例示性網(wǎng)絡設備�����。
[0016]圖3A為一例示性框圖���,其顯示一用于上鎖及解鎖一過程控制系統(tǒng)及網(wǎng)絡的網(wǎng)絡設備及存取點的方法�。
[0017]圖3B為一例示性框圖�����,其顯示一用于上鎖一過程控制網(wǎng)絡中的網(wǎng)絡設備及存取點的方法。
[0018]圖3C為一例示性框圖��,其顯示一用于解鎖一過程控制網(wǎng)絡中的先前上鎖的網(wǎng)絡設備及存取點的方法的一個實施例����。
[0019]圖4A — 4D為一用戶界面的例示性部分,該用戶界面用于實施圖3A-C的用于上鎖及解鎖一過程控制系統(tǒng)及網(wǎng)絡的網(wǎng)絡設備及存取點的方法����。
【具體實施方式】
[0020]圖1A為一過程工廠中的過程控制系統(tǒng)的示意圖,該過程控制系統(tǒng)中的網(wǎng)絡設備可以上鎖以提高網(wǎng)絡安全及促成網(wǎng)絡管理及維護����。更明確地說,一過程控制系統(tǒng)100包括一個或多個過程控制器110�,過程控制器110通過一過程控制網(wǎng)絡150的一個或多個網(wǎng)絡設備145通信連接到一個或多個主工作站或計算機120-122 (其可以是任何類別的個人計算機����、工作站等等),其中至少一個主工作站或計算機具有一顯示屏幕���?����?刂破?10可以包括一個或多個網(wǎng)絡界面卡����,并通過輸入/輸出卡140連接到現(xiàn)場設備130。一歷史數(shù)據(jù)庫可以是任何期望類別的數(shù)據(jù)采集單元�����,具有任何期望類別的存儲器及任何期望或已知的軟件����、硬件或固件以便存儲數(shù)據(jù),而且可以獨立于工作站120-122的其中之一之外或可以是工作站120-122的其中之一的一部分����。控制器110可以是(例如)由費舍爾.柔斯芒特系統(tǒng)有限公司(Fisher Rosemount Systems, Inc.)出售的DeltaV?控制器�,由一個或多個現(xiàn)場設備146通過(例如)一以太網(wǎng)連接或任何其他期望通信網(wǎng)絡150通信連接到主計算機120-122。一網(wǎng)絡設備146包括一網(wǎng)絡界面卡���、一網(wǎng)絡開關�、一路由器�����、一防火墻或任何其他在不改變一網(wǎng)絡(例如網(wǎng)絡150及輸入/輸出網(wǎng)絡155 (圖1B))的任何部分上的原始數(shù)據(jù)的情況下促成在網(wǎng)絡150上傳送數(shù)據(jù)的設備中的一個或多個。如圖1B所示�����,物理地位于一網(wǎng)絡的任何部分的任何網(wǎng)絡設備可以包括在此描述的上鎖功能��。通信網(wǎng)絡150可以是一局域網(wǎng)(LAN)����、一廣域網(wǎng)(WAN)、一電信網(wǎng)絡等等��,而且可以使用有線或無線技術來實施��?�?刂破?10使用任何期望的與(例如)標準4-20mA設備����、標準以太網(wǎng)協(xié)議及/或任何智能通信協(xié)議(比如FOUNDATION Fieldbus協(xié)議(Fieldbus)���、HART協(xié)議等等)相關的硬件及軟件�,通信連接到現(xiàn)場設備130。
[0021]現(xiàn)場設備130可以是任何類別的設備�����,比如傳感器�、閥、變送器�����、定位器等等�����,而輸入/輸出卡14可以是任何類別的遵守任何期望通信協(xié)議或控制器協(xié)議的輸入/輸出設備��。在圖1的實施例中�����,現(xiàn)場設備130是以一 HART調(diào)制解調(diào)器140����、通過標準模擬4-20mA線131進行通信的HART設備,而現(xiàn)場設備133是使用Fieldbus協(xié)議通信��、通過一數(shù)字總線135或輸入/輸出網(wǎng)絡155進行通信的智能設備,比如Fieldbus現(xiàn)場設備����。當然,現(xiàn)場設備130及133可以遵守任何其他期望標準或協(xié)議����,包括將來開發(fā)的任何標準或協(xié)議。輸入/輸出網(wǎng)絡155及設備146 (圖1B)以及網(wǎng)絡150及設備146 (圖1A)也可以是支持任何通信協(xié)議(例如TCP/IP��、ModbusIP等等)的標準以太網(wǎng)通信及網(wǎng)絡設備�。
[0022]附加地,一現(xiàn)場設備142可以通過一專業(yè)網(wǎng)絡設備(例如一網(wǎng)關143)���,連接到數(shù)字總線135����。例如����,現(xiàn)場設備142只可以了解HART命令,而輸入/輸出網(wǎng)絡135可以實施PR0FIBUS協(xié)議��。為了這個目的����,網(wǎng)關143可以提供雙向PR0FIBUS/HART轉(zhuǎn)換。一網(wǎng)絡設備146也可以定位在網(wǎng)關143或接近網(wǎng)關143��。
[0023]控制器110可以是工廠中的許多分布式控制器的其中之一���,而且具有一個或多個處理器��;控制器110實施或監(jiān)視一個或多個過程控制例程�。這些過程控制例程可以包括存儲在其中或以其他方式與其發(fā)生聯(lián)系的一個或多個控制環(huán)路��?�?刂破鱅io也通過網(wǎng)絡150及相關網(wǎng)絡設備146����,與現(xiàn)場設備130或133、主計算機120-122及歷史數(shù)據(jù)庫145進行通信��,以便以任何期望方式來控制過程����。應該注意的是,在此描述的任何控制例程或元件的部分可以由不同的控制器或其他設備實施或執(zhí)行(如果需要的話)����。同樣地���,在此描述的需在過程控制系統(tǒng)100中實施的控制例程或元件可以采用任何形式,包括軟件���、固件����、硬件等等�����。對于本討論而言�,過程控制元件可以是過程控制系統(tǒng)的任何部分或局部,例如包括存儲在任何計算機可讀媒介上的例程���、塊或模塊����?�?刂评炭梢允且豢刂瞥绦虻亩鄠€模塊或任何部分�����,比如一子例程、一子例程的多個部分(比如多條代碼線)等等����,所述控制例程可以以任何期望的軟件格式實施�,比如使用梯形邏輯、平坦序功能圖����、功能塊圖、對象導向編程����,或使用任何其他軟件編程語言或設計范式實施。同樣地����,所述控制例程可以被固化成(例如)一個或多個可擦除可編程只讀存儲器(EPROMs)、電可擦除可編程只讀存儲器(EEPROMs)���、專用集成電路(ASICs)�����、或任何其他硬件或固件元件�。此外,所述控制例程可以使用任何設計工具來設計��,包括圖形設計工具或任何其他類別的軟件�、硬件、固件編程或設計工具��。因此����,控制器110可以配置成以任何期望方式來實施控制策略或控制例程。
[0024]圖1C圖解一數(shù)據(jù)基本單元或一幀175�,幀175概括地可以通過過程控制系統(tǒng)100傳送及使用以太網(wǎng)協(xié)議通過過程控制網(wǎng)絡150傳送。一以太網(wǎng)幀175包括七個域��,每個域承載設備(例如一網(wǎng)絡設備146或過程控制系統(tǒng)100的其他構件)之間的信息���。所述域可以包括由接收設備判讀及處理的許多字節(jié)的數(shù)據(jù)178���。例如,目的媒介存取控制(MAC)地址域180可以包括過程控制系統(tǒng)100的一中間或目的節(jié)點的物理地址�,而源媒介存取控制(MAC)地址域182可以包括過程控制系統(tǒng)100的一發(fā)送或中間節(jié)點的物理地址。目的媒介存取控制(MAC)地址域180及源媒介存取控制(MAC)地址域182可以與來自網(wǎng)絡設備146的數(shù)據(jù)協(xié)同使用,以處理通過過程控制網(wǎng)絡150發(fā)送的數(shù)據(jù)�。在有些實施例中,域180及182可以在一接收網(wǎng)絡設備處于“上鎖”狀態(tài)時與存儲在所述接收網(wǎng)絡設備中的一個或多個表進行比較�����。所述比較的結(jié)果可以用于拒絕或所接收的數(shù)據(jù)或與所述上鎖網(wǎng)絡設備的其他物理或邏輯連接��。
[0025]圖2圖解一典型網(wǎng)絡設備146����,網(wǎng)絡設備146的形式為網(wǎng)絡開關�。典型地,一網(wǎng)絡設備包括一個或多個通信口 202�、一管理口 204及狀態(tài)指示燈206、207���。通信口 202用于互連多種其他網(wǎng)絡設備及過程控制系統(tǒng)構件以便在網(wǎng)絡150上通信���,而所述狀態(tài)指示燈206、207指示所述網(wǎng)絡設備的當前操作���,而且可以用于診斷目的��。例如�,指示燈206可以相應于所述設備本身的一狀態(tài),例如����,適當功率、故障狀態(tài)或上鎖或未上鎖狀態(tài)的指示���,如以上涉及圖3及4的進一步解釋那樣�����。其他每個指示燈207可以相應于一特定通信口及指示所述相應通信口上的網(wǎng)絡活動���,并包括一相應于所述通信口的鏈接狀態(tài)的綠色發(fā)光二級管(LED)及一相應于所述通信口的數(shù)據(jù)狀態(tài)的黃色發(fā)光二級管(LED)。固體或閃爍綠色及黃色狀態(tài)指示燈可以指示所述通信口正在發(fā)揮功能及連接到所述通信口的一網(wǎng)絡設備正在使用所述通信口���、在網(wǎng)絡150上傳送數(shù)據(jù)��。在設備146的啟動階段期間���,所述啟動程序的狀態(tài)可以顯示在指示燈207如下:不發(fā)光可以指示通信口 202沒有有效鏈接或連接,而固體綠色燈可以指示有效鏈接及連接����;緩慢閃爍綠色可以指示所述通信口轉(zhuǎn)換到備用�;快速閃爍綠色可以指示所述通信口被禁止����,即所述通信口已經(jīng)上鎖(如以下涉及圖3及4的描述那樣);不發(fā)光的黃色指示燈可以指示所述通信口上沒有數(shù)據(jù)接收��;以及閃爍黃色指示燈可以指示所述通信口上有數(shù)據(jù)接收��。當然����,其他狀態(tài)指示可以以編程方式附加到指示燈206���、207�,比如上行鏈路通信故障��、“準備操作”指示����、多種故障或功能模式的閃爍及/或顏色樣式、數(shù)據(jù)率��、全雙工及半雙工指示、測試模式�、在所述通信口上傳送的媒介或數(shù)據(jù)類別等狀態(tài)指示。管理口 204可以允許用戶或網(wǎng)絡管理員物理地存取及配置網(wǎng)絡設備146����,例如在網(wǎng)絡設備146上實施固件升級或改變,包括實施一專用管理信息庫(MIB)��,如以下描述那樣����。一“管理信息庫”(MIB)及“簡單網(wǎng)絡管理協(xié)議”(SNMP)可以包括用于存取及改變所述網(wǎng)絡設備中的管理信息的所有方法及通信。
[0026]在有些實施例中�����,網(wǎng)絡設備146是由德國Neckartenzlingen鎮(zhèn)的“赫思曼自動化及控制有限公司”(Hirschmann Automation and Controll, GmbH)制造的���、用于 DeltaV? 過程控制網(wǎng)絡(DeltaV?Process Control Network)的以太網(wǎng)開關����。例如����,開關146可以來自“赫思曼公司”(Hirshmann)網(wǎng)絡設備的Open Rail�、MICE����、*MACH100系列產(chǎn)品中的一個或多個。
[0027]開關146可以包括一管理協(xié)議��,其用于實施在此描述的方法��。例如�����,一“簡單網(wǎng)絡管理協(xié)議”(SNMP)可以為網(wǎng)絡管理及安全程序的執(zhí)行提供管理功能�����。在有些實施例中�,簡單網(wǎng)絡管理協(xié)議(SNMP)版本3 (SNMPv3)實施在開關146��,并允許鑒定及加密�,作為與DeltaV?過程控制網(wǎng)絡(DeltaV?Process Control Network)共界面的管理協(xié)議。例如����,開關146可以包括使用56-bit密鑰加密(DES-56)的“數(shù)據(jù)加密標準”(DES)的“信息摘要算法5”(MD5)鑒定�����。當然�����,使用128-bit或更好的哈希值的哈希函數(shù)的其他鑒定標準及使用56-bit或更好的密鑰的加密標準也可以實施在開關146上����。
[0028]為了提高開關146的安全性��,開關146的標準及專用管理界面(Telnet���、Web界面等等)可以默認禁止�。一命令線界面(CLI)可以通過開關146的一串口或其他安全存取點及鑒定及加密存取���。用戶或應用程序可以接著使用所述命令線界面(CLI)來配置用戶及網(wǎng)絡信息����,以及允許所述設備的增強特征(如果需要)����。所述命令線界面(CLI)也可以通過一具有足夠加密(例如DES-56加密)的安全殼(SSH)連接以及擁有一有效密鑰(比如SSH-1-RSA密鑰)���,由鑒定存取?�?梢詼视璨煌降挠脩魴嘞?����,以改變或更新設備特征(例如管理信息庫(MIB)或其他設備配置)��。例如��,可能以一公鑰密碼準予用戶對設備146的只讀存取����,而讀/寫存取只能以一私有密碼準予。在有些實施例中��,用戶必須具有對開關146的寫入存取���,以便存取任何先前描述的配置�、實施所述“上鎖”功能或設置一定時器以自動地上鎖網(wǎng)絡150 (如以下所述)�����?���;鶞书_關功能之外的增強特征可以在設備146中禁止,以改善過程控制網(wǎng)絡150的安全性���。例如�,Profinet輸入/輸出及以太網(wǎng)/工業(yè)協(xié)議可以從設備146完全地移除及實施在網(wǎng)絡150的另一部分�����。進一步地�����,“生成樹”(Spanning Tree)可以默認禁止����,然而,其可以通過所述命令線界面(CLI)提供�����。鏈路層發(fā)現(xiàn)協(xié)議(LLDP)及動態(tài)主機配置協(xié)議(DHCP)以及其他功能也可以禁止���,以避免能夠使用“即插即用”網(wǎng)絡設備��,因使用“即插即用”網(wǎng)絡設備可能干擾在此描述的上鎖及解鎖功能����。然而,網(wǎng)絡設備146可能在一默認配置中不需人手監(jiān)管���,以允許局域網(wǎng)(LANs)及其他已經(jīng)特別配置成允許這些設備的網(wǎng)絡150 (例如使用DeltaV?系統(tǒng)的一網(wǎng)絡)的“即插即用”功能�����。如同“生成樹”(SpanningTree)的情形一樣���,如果需要,鏈路層發(fā)現(xiàn)協(xié)議(LLDP)可以通過所述命令線界面(CLI)存取及禁止���。
[0029]網(wǎng)絡設備146也可以包括存儲在存儲器208中的一個或多個標準及專用管理信息庫(MIBs) 216�����,存儲器208可以包括一集對象����,這些對象可以通過所述命令線界面(CLI)存取����,以供管理網(wǎng)絡設備146及實施專用于一過程控制網(wǎng)絡150的功能。所述專用管理信息庫(MIBs)中的一個或多個可以包括用于管理及控制在此描述的上鎖及解鎖功能的對象�。所述專用管理信息庫(MIBs)也可以是通過一與網(wǎng)絡設備146通信的運行時間應用程序編程界面(API)、用于DeltaV?網(wǎng)絡安全特征的界面�。過程控制網(wǎng)絡150可以配置成包括多種不同網(wǎng)絡設備的混合,包括用于控制上鎖及解鎖功能(即“上鎖設備”)的一專用管理信息庫(MIB),以及不具備上鎖及解鎖功能的商業(yè)�、現(xiàn)成網(wǎng)絡設備。無論是哪種情況����,以下描述的上鎖及解鎖功能以及程序不可能干擾過程控制網(wǎng)絡150上或整個過程控制系統(tǒng)100中的正常通信。
[0030]開關146也可以包括一存儲器208��,存儲器208包括易失性部分210及非易失性部分212���,用于存儲計算機可讀指令以實施網(wǎng)絡功能(包括啟動在此描述的上鎖及解鎖功能)以及存儲涉及設備146的所述功能的其他數(shù)據(jù)����。例如�,一地址解析協(xié)議(ARP)表及一轉(zhuǎn)發(fā)數(shù)據(jù)庫(FDB)表214可以存儲在一層級3 (開放式系統(tǒng)互連(OSI)模型)網(wǎng)絡設備(一路由器、一開關、一服務器��、桌面等等)中��。一層級3網(wǎng)絡設備146可以執(zhí)行一單一設備中的路由及開關��,并典型地包括一地址解析協(xié)議(ARP)表及一轉(zhuǎn)發(fā)數(shù)據(jù)庫(FDB)表���,以便根據(jù)一完整網(wǎng)絡地址轉(zhuǎn)發(fā)所接收的幀����。一層級2網(wǎng)絡設備(一開關或一網(wǎng)橋等等)可以包括轉(zhuǎn)發(fā)數(shù)據(jù)庫(FDB)表214��,以便單獨地根據(jù)媒介存取控制(MAC)地址180�、182轉(zhuǎn)發(fā)數(shù)據(jù)交通。雖然在此描述的上鎖及解鎖方法概括地根據(jù)層級2網(wǎng)絡設備來討論�����,但所述方法可以同樣地應用于層級3及其他類別的網(wǎng)絡設備���。
[0031]所述ARP表可以由一網(wǎng)絡設備146用于存儲IP地址到其他網(wǎng)絡設備的MAC地址條目��。所述ARP表允許一設備146將IP地址解析成為MAC地址��。所述ARP表可以隨著網(wǎng)絡設備146向網(wǎng)絡150發(fā)行ARP廣播以解析一網(wǎng)絡設備的MAC地址而被填寫���。在一設備146接收其有必要傳送到一本地連接界面的一包或其他數(shù)據(jù)時�����,所述設備146可以使用所述ARP表來發(fā)現(xiàn)需要將哪個MAC地址插入到幀標題。一網(wǎng)絡設備可以使用FDB表214來存儲已經(jīng)獲知的MAC地址以及其上獲知每個MAC地址的通信口 202�。
[0032]在正常操作中,網(wǎng)絡設備146可以通過將源MAC地址182及其他源信息添加到一動態(tài)地址表218中其接收的每個幀��,動態(tài)地獲知其接收的幀175的源MAC地址182����。設備146可以隨著通過添加新的源MAC地址及老化那些當前不使用的MAC地址、站點被添加到網(wǎng)絡150或從網(wǎng)絡150移除���,更新動態(tài)地址表218��。在一老化時間滿期時�,設備146可以從動態(tài)地址表218移除所述MAC地址����。設備146也可以實施一靜態(tài)地址表220��,靜態(tài)地址表220包括明確地輸入的MAC地址及其他不老化的信息�����。設備146也以與動態(tài)地址表218及靜態(tài)地址表220中包括的信息匹配的任何已接收的幀����,執(zhí)行常規(guī)的網(wǎng)絡功能�����。實施于設備146的固件的功能可以對所述ARP表及所述FDB表214中的一個或多個與所述動態(tài)及靜態(tài)表218��、220進行比較�����,以便處理輸入的幀175���。
[0033]在有些實施例中�����,在網(wǎng)絡設備146處于常態(tài)或“未上鎖”狀態(tài)及透明網(wǎng)橋(用于開關及專用網(wǎng)橋)��、獲知����、老化、轉(zhuǎn)發(fā)或其他網(wǎng)絡設備功能發(fā)生時����,所述IP、MAC及其他地址可以添加到ARP�、FDB及其他表���。在“未上鎖”狀態(tài)時����,當一網(wǎng)絡設備146 (例如由HirshmannAutomation and Control生產(chǎn)的Open Rail開關)接收一以太網(wǎng)巾貞175時�,設備146可以檢查目的MAC地址180并指望從FDB表214獲得的地址信息以發(fā)送所接收的以太網(wǎng)幀175。如果FDB表214不包括所接收的目的MAC上的信息�,設備146可以將以太網(wǎng)幀175廣播到網(wǎng)絡150的所有通信口。于在另一網(wǎng)絡設備識別所廣播的MAC時��,另一幀可以發(fā)送到廣播網(wǎng)絡設備146����,網(wǎng)絡設備146將添加所發(fā)現(xiàn)的MAC地址到動態(tài)地址表218及FDB表214�����。然而�����,在“上鎖”狀態(tài)(如以下進一步討論那樣)時�����,所述表(ARP及FDB中的一個或多個)可以本質(zhì)上在它們的當前配置中凍結(jié)�,以防止任何進一步的變化或附加�����。先前獲知的MAC地址及動態(tài)地址表218中在上鎖時間時包括的其他信息可以遷移到靜態(tài)地址表220��,而設備146的
[0034]可以被禁止��。在上鎖狀態(tài)�,F(xiàn)DB表214不能改變,因此防止設備146接受及轉(zhuǎn)發(fā)接收自未知或先前未獲知的MAC地址182的幀175�����。
[0035]圖3A圖解一例示性方法300,該方法300用于上鎖及解鎖一過程控制網(wǎng)絡150及一輸入/輸出網(wǎng)絡155中的存取點或通信口 202���。一般而言�����,方法300允許過程控制系統(tǒng)100的用戶禁止過程控制網(wǎng)絡150及輸入/輸出網(wǎng)絡155中的網(wǎng)絡設備146上的存取點或通信口 202的功能����。例如��,如果一當前連接的設備從一網(wǎng)絡設備通信口 202拔除而且一不同設備插入所述網(wǎng)絡設備的位置���,通信口 202可以拒絕所述連接并警告用戶界面、監(jiān)測服務或在系統(tǒng)100的工作站120�����、122上執(zhí)行的其他應用程序���。在上鎖狀態(tài)時�����,網(wǎng)絡150����、155中的所有未使用或無效通信口 202可以被禁止,而且任何種類的附加網(wǎng)絡設備146都不能添加或連接�����。
[0036]一用戶界面可以向一運行時間界面提供一個或多個專用MIBs216����,以啟動上鎖及解鎖程序。用戶界面400實施一過程控制網(wǎng)絡150的上鎖的一個范例在圖4A-4D中圖解��。參看圖3A-3C及圖4A-4D�����,在流程塊302�����,用戶可以啟動一過程控制網(wǎng)絡安全應用程序����,過程控制網(wǎng)絡安全應用程序顯示一用戶界面400����,以開始所述上鎖過程���。所述應用程序可以在啟動之后自動地啟動網(wǎng)絡設備發(fā)現(xiàn)及識別304����,或用戶可以人工地啟動設備發(fā)現(xiàn)機制����。用戶界面400可以顯示“發(fā)現(xiàn)開關”的一狀態(tài)指示402或說明過程控制網(wǎng)絡150的網(wǎng)絡設備146正在被識別的另一指示。在有些實施例中��,所述應用程序可以在啟動網(wǎng)絡設備發(fā)現(xiàn)機制時禁止用戶界面400的一個或多個功能鍵404��。用戶也可以人工地啟動網(wǎng)絡設備機制���。流程塊304可以發(fā)現(xiàn)網(wǎng)絡控制網(wǎng)絡150中存在的任何網(wǎng)絡設備146,或可以選擇地只發(fā)現(xiàn)及識別包括上鎖功能的那些網(wǎng)絡設備�。此外,流程塊304可以使用一個或多個參數(shù)在網(wǎng)絡150�����、155中搜索設備143、146�����。例如���,可以梭梭在網(wǎng)絡150����、155中的一特定范圍的IP地址����、一范圍的MAC地址或一特定數(shù)目的網(wǎng)絡設備143、146�。具有一開始及結(jié)束IP地址的、一范圍的IP地址可以由用戶指定���,或一范圍的IP地址可以根據(jù)方法300��、在網(wǎng)絡150��、155的配置中識別或發(fā)現(xiàn)��。流程塊304也可以通過查找設備143���、146的一專用MIB216�����、先前已經(jīng)被識別為包括上鎖功能的MAC地址或其他地址或所述上鎖允許設備的其他識別��,識別包括上鎖功能的特定網(wǎng)絡設備143��、146��。所述設備143�、146可以從網(wǎng)絡150����、155的任何部分(包括主網(wǎng)絡406及二次網(wǎng)絡408)發(fā)現(xiàn)。主網(wǎng)絡406中的設備146可以包括一第一范圍中的IP地址�,而二次網(wǎng)絡408中的設備146可以包括一第二范圍中的IP地址。使用多范圍的IP地址來發(fā)現(xiàn)的設備146可以以包括所述特定IP地址或所發(fā)現(xiàn)的設備143���、146的其他參數(shù)的信息來答復��。
[0037]在流程塊306,于流程塊304發(fā)現(xiàn)的設備143、146 (圖4B)的參數(shù)425可以歸還到用戶界面400����。例如,一地址426���、名稱428及狀態(tài)430可以在用戶界面400的主網(wǎng)絡406窗口及二次網(wǎng)絡408窗口中顯示�。一旦已經(jīng)發(fā)現(xiàn)所有網(wǎng)絡設備146�,狀態(tài)指示432可以指示所述搜索已經(jīng)完成。在有些實施例中���,在第一次啟動方法300時�,或在所發(fā)現(xiàn)的設備尚未上鎖��,狀態(tài)430可以指示所發(fā)現(xiàn)的設備146是處于“未上鎖”狀態(tài)430�����。在處于“未上鎖”狀態(tài)時����,所述設備可以在網(wǎng)絡150中執(zhí)行所有的常規(guī)功能。在有些實施例中�����,處于未上鎖狀態(tài)的通信口可以執(zhí)行獲知、老化及轉(zhuǎn)發(fā)的基本透明橋接功能����。可以設置一默認老化時間為六百秒(十分鐘)��,雖然可以設置其他默認時間(視設備146及網(wǎng)絡150的配置而定)��。在完成所述搜索時�,所述一個或多個功能鍵434可以供一用戶或一自動過程選擇。
[0038]在流程塊308�,一用戶或自動過程可以選擇處于“未上鎖”狀態(tài)的一個或多個設備;而在流程塊310��,通過選擇上鎖鍵436的其中之一啟動上鎖過程���。上鎖鍵436可以啟動多個過程以便選擇地啟動過程控制網(wǎng)絡150的不同部分的上鎖�。例如�����,分別的鍵可以使得能夠選擇地上鎖整個網(wǎng)絡�����、所述主網(wǎng)絡、所述二次網(wǎng)絡�����、單一設備或一個或多個被選擇的設備的特定存取點��。為了附加的安全性�����,所述上鎖過程可以只是從一被選擇的工作站120����、122啟動��,而且不能使用(例如)不是過程控制網(wǎng)絡150的物理部分的遠程工作站��、通過互聯(lián)網(wǎng)啟動�,或只能從一個或多個預核準MAC地址或IP地址啟動。在通過選擇上鎖鍵436的其中之一啟動所述上鎖過程時�,方法300也可以啟動一鑒定過程。例如�,方法300可以向用戶要求一用戶名及密碼或其他個人識別信息以確認對所述上鎖過程的存取權����。如果用戶被適當?shù)罔b定���,用戶可以存取一未上鎖網(wǎng)絡設備428的專用MIB216的對象���,以執(zhí)行上鎖。在有些實施例中����,對于上鎖功能,所選擇的設備的MAC地址被考慮�,而不是IP地址被考慮。在其他實施例中�,如以上所述,所述IP及MAC地址都可以被考慮��。
[0039]在選擇上鎖鍵436的其中之一之后進行鑒定時���,方法300可以發(fā)送一上鎖命令到一個或多個被選擇設備的一個或多個專用MIBs216�����。一專用MIB216可以接著啟動一個或多個方法����,以禁止具有允許通信口專用上鎖模式的所有未使用或無效的通信口。例如���,如果所識別的網(wǎng)絡設備428的任何部分在所述上鎖命令被一設備接收(例如由網(wǎng)絡設備146的一個或多個狀態(tài)指示燈207 (圖2)指示���,通過識別所述通信口的�����、等于“正確”等等的一活性鏈接變量發(fā)現(xiàn))的瞬間沒有活性鏈接到另一設備���,則該通信口被禁止��。在有些實施例中�,禁止通信口 202的步驟包括拒絕接受具有在所述上鎖狀態(tài)被起動時不包括在所述設備146的FDB214中的源MAC地址182的任何包或幀175����。例如,所述FDB實質(zhì)上是“凍結(jié)”在上鎖狀態(tài)���,而且常規(guī)動態(tài)獲知及老化功能被禁止����。在其他實施例中,被拒絕的主MAC地址(例如已知��、惡意MAC地址��、屬于未被授權的設備的一范圍的MAC地址等等)可以記錄在設備146的存儲器208中��,而且包括所述被拒絕的源MAC地址182的任何已接收的包或幀175被拒絕�����。網(wǎng)絡設備146可以為所選擇的設備的MAC地址的兩個通信口啟動所述上鎖過程�。所選擇的設備428的上鏈接通信口也可以以相同方式上鎖,而且特定通信口也可以從所述上鎖過程中排除��。方法300可以在流程塊310考慮網(wǎng)絡150的任何或所有可用通信口 202����。
[0040]圖3B圖解用于禁止一個或多個未使用通信口的一方法325的一個實施例。以下描述的功能塊可以實施為所述專用MIB216中的對象�����,例如通過一命令線界面(CLI)(如先前描述那樣)。在流程塊326���,如先前所述�����,方法325可以禁止在設備146上配置為上鎖通信口��、并被流程塊304發(fā)現(xiàn)的所有未使用通信口 202���。如果從一清單的未上鎖通信口 428 (圖4B)選擇一特定通信口 202或設備146,則所述設備或通信口可以被禁止(如果其沒有活性鏈接)����。禁止一未使用通信口 202的步驟也可以包括從通信口 202移除電力����。在流程塊328,可以凍結(jié)先前在設備146接收的地址信息����。在有些實施例中,所述信息可以從動態(tài)地址表218轉(zhuǎn)遷移到靜態(tài)地址表220��。例如,所述MAC地址及其他信息可以從動態(tài)地址表218完全地轉(zhuǎn)遷移到靜態(tài)地址表220�。流程塊328可以包括從所述動態(tài)地址表轉(zhuǎn)移的、最大數(shù)目的地址���,例如最多256個地址���。在有些實施例中,如果動態(tài)地址表218中的當前數(shù)目的獲知地址超過一最大數(shù)目�����,則只是一子集的所述地址可以上鎖���。其余地址可以接著從FDB標214移除��,而且可能導致連接錯誤���。如果連接問題發(fā)生,一錯誤信息可以發(fā)送到所述用戶界面����,以指示所述上鎖過程中的故障。
[0041]在流程塊330�,方法325可以通過從專用MIB216實施一個或多個方法,將通信口202置于上鎖狀態(tài)。例如,專用MIB方法可以從所述通信口移除電力或重配置所述通信口為不再從主機接受任何被拒絕或FDB表214或靜態(tài)地址表220的一個或多個表上不包括的幀175��。在流程塊332��,方法325可以為設備146禁止典型功能�����。在一個實施例中����,方法325為設備146或特定通信口 202禁止所述地址獲知及地址老化功能。例如�,動態(tài)地址表218可以被禁止而且不再接受任何輸入、設備146不再漫溢網(wǎng)絡150以發(fā)現(xiàn)新地址���、以及所述先前接收的地址在老化時間期滿之后不能從所述設備移除。在流程塊334�,所述設備配置可以存儲在非易失性存儲器212中。例如��,所述通信口狀態(tài)及MAC地址可以由用戶自動地或明確地存儲��。存儲的當前配置可以由設備146使用��,以便在電源循環(huán)測試或重新導入時防止強行開啟已上鎖的通信口。
[0042]在上鎖時�,如果一當前連接的設備從一網(wǎng)絡設備通信口拔除而且一不同設備插入同一通信口,所述網(wǎng)絡設備可以拒絕所述連接��。在有些實施例中�,如以上所述,由于新設備不包括在所更改的FDB表214中��,網(wǎng)絡設備146拒絕所述連接���。然而��,如果相同的被授權設備重新連接到同一通信口���,則網(wǎng)絡設備146可以準許及重新與所述設備建立通信?���?梢灾匦屡c一先前連接的設備建立通信,這是由于所更改的FDB表214將包括所述MAC地址��。由于與其他網(wǎng)絡設備的通信是由每個設備的FDB214控制��,網(wǎng)絡設備146本身可以拒絕所述連接�。在在流程塊310啟動所述上鎖過程之后�����,用戶界面400可以將一設備狀態(tài)430從“未上鎖”或一狀態(tài)指示432從“已完成”中的一個或多個指示改變成所選擇的設備428正在執(zhí)行專用MIB216方法以上鎖未使用通信口的指示�。參看圖4C��,在流程塊310的上鎖過程完成時�����,所述用戶界面可以顯示用于所述一次及二次網(wǎng)絡的�、一清單的上鎖設備452。所述上鎖設備452可以包括一 “上鎖”狀態(tài)454或任何其他有關所述上鎖過程已完成的指示�����。
[0043]在為一個或多個網(wǎng)絡設備執(zhí)行上鎖過程325之后��,一個或多個上鎖設備可能需要(例如)在測定故障操作���、例程維護、診斷�、網(wǎng)絡重配置等等期間解鎖。在流程塊311��,如果一個或多個設備或通信口需要解鎖,方法300可以繼續(xù)到流程塊312���,或如果沒有任何網(wǎng)絡設備或個別通信口需要解鎖���,所述方法可以返回到流程塊304以監(jiān)測網(wǎng)絡150中的任何變化。
[0044]在流程塊312 (圖3A)�����,一用戶或自動過程可以選擇處于“上鎖”狀態(tài)的一個或多個設備��,在流程塊314�����,通過選擇一解鎖鍵475 (圖4D)啟動一解鎖過程����。如同上鎖鍵436 (圖4B)的情形一樣,解鎖鍵475可以啟動一個或多個專用MIBs216的一個或多個方法���,以便選擇地為過程控制網(wǎng)絡150的先前被上鎖的不同部分啟動解鎖過程����。為了附加的安全性,所述解鎖過程可以以一上鎖定時器476配置����,上鎖定時器476將自動地重新上鎖先前被上鎖的一個或多個設備478或個別部分。上鎖定時器476可以以一默認設置配置�����,其中在所述解鎖過程完成(流程塊316)之后的一個時間期滿時�����,一個或多個所述未上鎖設備可以重新上鎖(流程塊310)���。在一個實施例中����,上鎖定時器476以一六十分鐘(即三千六百秒)的默認設置配置�����。所述解鎖過程可以從一選定工作站120��、122啟動����,而且不能使用(例如)不是過程控制網(wǎng)絡150的物理部分的遠程工作站、通過互聯(lián)網(wǎng)啟動�,或只能從一個或多個預核準MAC地址啟動。
[0045]所述解鎖過程也可以包括一鑒定過程�����。例如��,方法300也可以包括一鑒定過程���。例如����,方法300可以向用戶要求一用戶名及密碼或其他個人識別信息以確認對所述上鎖過程的存取權��。如果用戶被適當?shù)罔b定���,用戶可以存取所述一個或多個選定上鎖網(wǎng)絡設備478或通信口 202的專用MIB216���,以執(zhí)行解鎖。
[0046]在鑒定時�,在選擇所述解鎖鍵及隨意地選擇上鎖定時器476之后��,方法300可以發(fā)送一解鎖命令到所選擇的上鎖設備478的專用MIB�����。圖3C圖解一用于解鎖或允許一先前禁止的通信口或設備的方法350的一個實施例���。如以上所述,以述的功能塊可以實施為專用MIB216中的對象�,例如通過一 CLI。在流程塊352�,方法350可以激活一先前上鎖通信口或設備。在有些實施例中�����,由上鎖方法325禁止的所有未使用通信口將被激活��,而由用戶個別地上鎖的通信口將保持上鎖狀態(tài)����。在其他實施例中,所有上鎖通信口或設備可以激活�,或有些上鎖通信口及設備可以隨意地激活。在流程塊354,可以刪除先前在流程塊328時被添加到靜態(tài)地址表220的地址數(shù)據(jù)��。在有些實施例中���,由用戶或其他明確過程添加的靜態(tài)地址數(shù)據(jù)可以在解鎖期間保留在靜態(tài)地址表220中。在流程塊356����,方法350可以激活所述通信口或設備的未上鎖狀態(tài)。例如�����,輸往所述通信口的電力可以起動及/或所述通信口可以恢復接受來自任何源MAC地址182的幀175�����。在流程塊358��,方法350可以恢復常規(guī)通信口或設備功能���。例如���,在未上鎖狀態(tài),在上述流程塊330暫停的典型獲知及老化功能可以恢復,而且所述設備表(即ARP�����、FDB��、靜態(tài)及動態(tài)地址表)可以重新填寫�。在流程塊360,方法350可以存儲所述新設備或通信口配置�。例如,所述通信口狀態(tài)及MAC地址可以由用戶自動地或明確地存儲�,以便由所述設備在電源循環(huán)或重新導入時實施。
[0047]在有些實施例中���,在在流程塊314開始解鎖過程之后�����,用戶界面400 (圖4D)可以將設備狀態(tài)480的一個或多個從“上鎖”改變成選定設備478處于“上鎖待決”狀態(tài)的指示�。附加地���,如果上鎖定時器476以所述解鎖過程啟動�,一剩余時間狀態(tài)482可以指示設備478回復到上鎖狀態(tài)之前剩余的時間量�����。剩余時間482也可以配置成決不恢復到上鎖狀態(tài)。例如�����,可以通過所述CLI存取所述專用MIB216的一對象��,將剩余時間482配置成“決不恢復”狀態(tài)����,或任何其他時間量�����。
[0048]在有些實施例中�,一網(wǎng)絡設備可以在通電時恢復到在流程塊334存儲的配置。例如���,一實體可能通過循環(huán)一個或多個網(wǎng)絡設備的電源以強行開啟一上鎖通信口��,從而將一未被授權的設備連接到過程控制網(wǎng)絡150����。在通電時,所述設備可以配置成從其非易失性存儲器212 (圖2)存取所述設備的已存儲配置���。因此�,無論一電源循環(huán)設備是否恢復到上鎖或解鎖狀態(tài)�����,在所述電源循環(huán)之前連接到網(wǎng)絡150的所有設備可以自動地與所述系統(tǒng)重新建立通信���,而在電力中斷時被添加到所述通信口的任何新設備將被拒絕�����。如果所述設備通電時處于“未上鎖”狀態(tài)而且上鎖定時器476大約零��,所述設備可以在該時間期滿之后自動地進入上鎖狀態(tài)��。
[0049]所述設備狀況可以定期地(例如每十五秒)更新���,以顯示最當前的狀態(tài)。附加地�,一更新鍵484可以允許用戶人工地更新所顯示的網(wǎng)絡設備478的狀態(tài),或可以允許發(fā)現(xiàn)已經(jīng)被添加到網(wǎng)絡150的網(wǎng)絡設備��。在一個實施例中,選擇更新鍵484的步驟可以啟動以上涉及流程塊304及306 (圖3)的網(wǎng)絡設備的發(fā)現(xiàn)�����。
[0050]雖然在此描述的網(wǎng)絡設備上鎖技術已經(jīng)被描述為與Fieldbus及標準4_20mA設備連同使用�����,但它們當然也可以使用任何其他過程控制通信協(xié)議或編程環(huán)境來實施��,而且可以與任何其他類別的設備��、功能塊或控制器一起使用���。雖然在此描述的網(wǎng)絡設備上鎖例程以實施于軟件為優(yōu)選,但它們也可以實施于硬件�����、固件等等���,而且可以由與一過程控制系統(tǒng)相關的任何其他處理器執(zhí)行�����。因此�,在此描述的方法300、325及350可以實施于標準的多目的中央處理器(CPU)或(如果需要)在特別設計的硬件或固件上實施���,例如在專用集成電路(ASICs)上實施�。在實施于軟件時����,所述軟件可以存儲在任何計算機可讀存儲器中,比如存儲在磁盤�����、激光盤��、光盤或其他存儲媒介上�����,或存儲在計算機或處理器的隨機存取存儲器(RAM)或只讀存儲器(ROM)中等等���。同樣地�,這個軟件可以通過任何已知或期望的傳送方法-包括計算機可讀盤或其他便攜式計算機存儲裝置��、或通過通信頻道如電話線、互聯(lián)網(wǎng)等調(diào)制(這被視為與通過便攜式存儲媒介提供這種軟件一樣或可與其互換)_傳送到用戶或過程控制系統(tǒng)�����。
[0051]因此��,雖然本發(fā)明已經(jīng)參考特定例子進行了描述����,但這些例子只是在于闡明而不是限制本發(fā)明包括的范圍。本領域的普通技術的人員將很清楚�,本專利揭示的實例可以在不脫離本發(fā)明的精神及范圍的條件下被修改、增加或刪除�。
【權利要求】
1.一種用于上鎖一過程控制網(wǎng)絡中的一個或多個存取點的方法,包括: 識別所述過程控制網(wǎng)絡的一網(wǎng)絡設備�����,所述網(wǎng)絡設備包括一有效存取點或一無效存取點中的一個或多個�,其中所述有效存取點包括通往所述過程控制網(wǎng)絡的一節(jié)點的一活性鏈接以及通往所述過程控制網(wǎng)絡的一有線連接中的一個或多個���;以及 通過下列步驟中的一個或多個�����、禁止所述網(wǎng)絡設備的任何剩余無效存取點: 凍結(jié)所述有效存取點的一當前配置��,及 移除所述無效存取點接收電力的能力����。
2.如權利要求1所述的方法,其中所述網(wǎng)絡設備包括一網(wǎng)絡界面卡���、一網(wǎng)絡開關���、一路由器、一防火墻�����、一控制器及一工作站�����。
3.如權利要求1所述的方法�,其中所述一個或多個存取點包括一個或多個網(wǎng)絡設備通信口。
4.如權利要求1所述的方法�,進一步包括激活所述先前禁止的存取點。
5.如權利要求1所述的方法�,進一步包括激活所述先前禁止的存取點��,為期一時間期��。
6.如權利要求1所述的方法�,進一步包括禁止所述無效存取點�,以響應一時間期的期滿、一網(wǎng)絡安全威脅的識別����、一網(wǎng)絡維護期的結(jié)束、一未預期網(wǎng)絡事件或一網(wǎng)絡參數(shù)變化諸項中的一項或多項���。
7.如權利要求1所述的方法����,進一步包括在一用戶界面接收來自所述網(wǎng)絡設備的信息�,所述信息指示在有任何無效存取點被禁止的情況下哪些無效存取點被禁止。
8.如權利要求1所述的方法����,進一步包括所述網(wǎng)絡設備向一用戶界面報告有關激活已經(jīng)被禁止的所述無效存取點的企圖���。
9.如權利要求1所述的方法��,其中如果所述無效存取點被禁止�,所述過程控制網(wǎng)絡中的過程控制數(shù)據(jù)的傳送只是在所述有效存取點上發(fā)生。
10.如權利要求1所述的方法�,進一步包括在所述過程控制網(wǎng)絡的一本地物理節(jié)點禁止或激活所述無效存取點。
11.如權利要求1所述的方法�����,進一步包括拒絕通往所禁止的無效存取點的任何連接�����。
12.一種通過一過程控制網(wǎng)絡��、安全地傳送過程數(shù)據(jù)的設備����,包括: 一專用管理信息庫,包括一個或多個安全模塊�; 一通信口,用于通信連接所述過程控制網(wǎng)絡的一個或多個節(jié)點��;以及 一管理協(xié)議模塊��; 其中所述一個或多個安全模塊配置成選擇地禁止及激活所述通信口,而所述管理協(xié)議配置成通過所述過程控制網(wǎng)絡對來自在所述通信口接收的一幀的一過程控制網(wǎng)絡節(jié)點地址進行轉(zhuǎn)發(fā)�����、獲知和老化中的一項或多項��,所述地址相應于一過程控制網(wǎng)絡節(jié)點�。
13.如權利要求12所述的設備,進一步包括配置成存儲一個或多個過程控制網(wǎng)絡節(jié)點地址的一個或多個表���。
14.如權利要求13所述的設備��,其中配置成選擇地禁止所述通信口的所述一個或多個安全模塊進一步配置成將一個或多個過程控制網(wǎng)絡節(jié)點地址從一第一表復制到第二表以便擦除所述第一表 �,及復制到所述一個或多個表�����,以及防止在選擇地禁止所述通信口時進一步存儲過程控制網(wǎng)絡節(jié)點地址����。
15.如權利要求14所述的設備,其中所述專用管理信息庫進一步包括一比較模塊�����,所述比較模塊配置成對所接收的幀與存儲于所述一個或多個表中的所述一個或多個地址進行比較,以及如果所接收的地址不匹配�����,所述一個或多個安全模塊進一步配置成放棄所接收的幀����。
16.如權利要求13所述的設備���,其中配置成選擇地禁止所述通信口的所述一個或多個安全模塊進一步配置成暫停所述管理協(xié)議的所述轉(zhuǎn)發(fā)�����、獲知及老化配置等項中的一項或多項��。
17.如權利要求15所述的設備�,其中所述管理協(xié)議進一步配置成存儲所放棄的幀���。
18.如權利要求13所述的設備���,其中所述一個或多個表包括一地址解析協(xié)議表及一轉(zhuǎn)發(fā)數(shù)據(jù)庫表中的一個或多個。
19.如權利要求12所述的設備���,其中所述一個或多個安全模塊進一步配置成在禁止所述通信口時將一個或多個地址從一動態(tài)地址表遷移到一靜態(tài)地址表�����。
20.如權利要求14所述的設備���,其中所述一個或多個安全模塊進一步配置成在激活所述通信口時將所述一個或多個已遷移地址從所述靜態(tài)地址表中刪除�����。
21.如權利要求12所述的設備���,其中所述一個或多個安全模塊進一步配置成在禁止所述通信口時從所述通信口移除電力。
22.如權利要求12所述的設備����,進一步包括一定時器,所述定時器配置成在禁止所述通信口之后的一時間期期滿 之后激活所述通信口��。
23.如權利要求17所述的設備�,其中所述專用管理信息庫包括所述定時器。
24.如權利要求12所述的設備���,進一步包括一命令線界面以存取所述專用管理信息庫的所述一個或多個安全模塊���。
25.如權利要求19所述的設備����,進一步包括一用戶界面以便通過所述命令線界面?zhèn)魉鸵幻畹剿鲈O備���,所述命令實例化所述專用管理信息庫的一個或多個安全模塊。
26.—種通過包括一個或多個網(wǎng)絡設備的一過程控制網(wǎng)絡�����、安全地傳送過程控制數(shù)據(jù)的方法��,所述方法包括: 發(fā)現(xiàn)通信連接到所述過程控制網(wǎng)絡的一個或多個網(wǎng)絡設備�,每個網(wǎng)絡設備包括一個或多個通信口; 禁止一個或多個未使用通信口�; 傳送一個或多個幀到其他網(wǎng)絡設備,其中所傳送的幀在包括一有效鏈接的一通信口接收����; 放棄在一禁止通信口接收的一個或多個幀。
27.如權利要求26所述的方法����,其中一未使用通信口包括無有線連接到所述過程控制網(wǎng)絡及無活性通信鏈接到另一網(wǎng)絡設備中的一個或多個�。
28.如權利要求26所述的方法�,其中禁止一個或多個未使用通信口的步驟包括識別各自包括通往另一網(wǎng)絡設備的一有效鏈接的一個或多個通信口及禁止任何剩余的未識別通信口。
29.如權利要求26所述的方法����,其中禁止一個或多個未使用通信口的步驟包括將地址從一動態(tài)地址表遷移到一靜態(tài)地址表以及禁止所發(fā)現(xiàn)的網(wǎng)絡設備的一橋接功能。
30.如權利要求29所述的方法���,進一步包括將所述網(wǎng)絡設備的所述靜態(tài)地址表及一轉(zhuǎn)發(fā)表中的一個或多個存儲在所述網(wǎng)絡設備的一非易失性存儲器中�����。
31.如權利要求30所述的方法����,進一步包括在重新導入所述網(wǎng)絡設備時恢復到所存儲的靜態(tài)地址表及所述轉(zhuǎn)發(fā)表中的一個或多個��。
32.如權利要求26所述的方法��,其中禁止一個或多個未使用通信口的步驟包括所發(fā)現(xiàn)的網(wǎng)絡設備拒絕接受一幀��,所述幀包括所發(fā)現(xiàn)的網(wǎng)絡設備的一地址解析協(xié)議表及一轉(zhuǎn)發(fā)數(shù)據(jù)庫表中的一個或多個中不包括的一源MAC地址��。
33.如權利要求26所述的方法���,其中禁止一個或多個未使用通信口的步驟包括凍結(jié)所發(fā)現(xiàn)的網(wǎng)絡設備的一轉(zhuǎn)發(fā)數(shù)據(jù)庫表��。
34.如權利要求26所述的方法�,其中禁止一個或多個未使用通信口的步驟包括禁止所發(fā)現(xiàn)的網(wǎng)絡設備的一個或多個透明橋接功能,所述功能包括獲知��、老化及轉(zhuǎn)發(fā)�。
35.如權利要求26所述的方法,其中禁止一個或多個未使用通信口的步驟包括從所述未使用通信口移除電力����。
36.如權利要求26所述的方法����,其中傳送一個或多個幀到其他網(wǎng)絡設備的步驟包括在將所有動態(tài)地址表地址遷移到所述靜態(tài)地址表之后對一接收的幀地址與一轉(zhuǎn)發(fā)數(shù)據(jù)庫表地址進行匹配,以及禁止所述網(wǎng)絡設備的橋接功能����,所述橋接功能包括獲知、老化及轉(zhuǎn)發(fā)�����。
37.如權利要求26所述的方法�,其中放棄在所述禁止通信口接收的一個或多個幀的步驟包括存儲所放棄的幀��。
38.如權利要求26所述的方法����,其中放棄在所述禁止通信口接收的一個或多個幀的步驟包括放棄所述網(wǎng)絡設備的一轉(zhuǎn)發(fā)數(shù)據(jù)庫表或一靜態(tài)地址表中的一個或多個中不包括的一個或多個幀��。
39.如權利要求26所述的方法�����,其中所述一個或多個已發(fā)現(xiàn)的網(wǎng)絡設備包括一范圍的IP地址中的一 IP地址及一范圍的MAC地址中的一 MAC地址中的一個或多個���。
40.如權利要求26所述的方法��,其中所述過程控制網(wǎng)絡包括主網(wǎng)絡及二次網(wǎng)絡����。
41.如權利要求26所述的方法����,進一步包括禁止所發(fā)現(xiàn)的網(wǎng)絡設備的一個或多個上鏈接未使用通信口。
【文檔編號】H04L29/06GK103888474SQ201410138116
【公開日】2014年6月25日 申請日期:2009年9月25日 優(yōu)先權日:2008年9月25日
【發(fā)明者】特雷弗·D·史萊斯, 羅伯特·肯特·胡巴 申請人:費舍-柔斯芒特系統(tǒng)股份有限公司