提供用于提供用于可编程逻辑控制器(PLC)的安全性的途径,并且,途径包括通过拷贝PLC的媒体访问控制(MAC)地址和互联网协议(IP)地址中的至少一个来克隆安全性模块作为PLC代理;并且基于预定的安全性标准而确定是否将消息路由至PLC。基于该确定,将消息选择性地路由至PLC。通过克隆安全性模块作为PLC代理而如此被配置的对将预期用于PLC的网络流量路由至安全性模块是有效的。
【技术实现步骤摘要】
【国外来华专利技术】专利技术背景专利
本文中所公开的主题一般涉及网络安全性,并且更具体地,涉及提供用于工业控制系统的安全性。相关领域的简述各种系统部署用来获得不同的类型的信息的传感器。这些系统有时还包括操作这些系统内的具体装置的致动器。传感器通常部署于工业控制系统中。在当今的联网环境下,存在计算机病毒和其他安全性威胁。这些威胁也威胁到工业控制系统。如果未采取动作来反对这些安全性威胁,则工业控制系统(及其相关联的装置)能够由未经授权的用户潜在地损害或不适当地操作(提到两种不利的后果)。已利用各种安全性途径来保护工业控制系统。例如,在用来缓解安全性问题的尝试中已使用软件补丁。然而,这些补丁具有问题。例如,补丁的使用可能要求将整个控制网络关闭,以便安装补丁。另外,补丁通常在反对大部分的安全性威胁中是无效的,因为,补丁不与现有的控制系统软件代码兼容,或仅仅不能够使安全性威胁停止。传统上,在正在安装补丁与已识别安全性标签的时间之间存在大量的时间。控制系统始终易受新威胁的攻击。所有的这些问题已导致对先前的途径的一般用户的不满。由于新补丁释放的高频和对日常操作的影响导致所感知到的低的系统质量。
技术实现思路
本文中所描述的途径提供充当计算引擎和充当哨兵(sentinel)的网络安全性模块。在一个方面中,网络安全性模块安装于可编程逻辑控制器(PLC)与控制网络之间。网络安全性模块充当代理或模仿者。在这些方面,网络安全性模块对控制网络和云网络上的用户是透明的。换句话说,当实际上全部的流量通过且由网络安全性模块控制时,云上的用户认为他们可以直接访问控制网络(和与控制网络耦合的装置)。以这种方式,保护PLC和控制网络免受安全性威胁。另外,该模块还将保护控制网络免受经历本地服务器上的本地网络的威胁。在一些途径中,提供用于可编程逻辑控制器(PLC)的安全性,并且,这些途径包括通过拷贝PLC的媒体访问控制(MAC)地址和互联网协议(IP)地址中的至少一个来克隆安全性模块作为PLC代理;以及基于预定的安全性标准而确定是否将消息路由至PLC。基于该确定而将消息选择性地路由至PLC。通过克隆安全性模块作为PLC代理而如此被配置的对将预期用于PLC的网络流量路由至安全性模块是有效的。在一些途径中,对网络流量进行监测和过滤可能发生于将消息传输至PLC之前。还可以采用新安全性标准来更新安全性模块。可能自动地进行该更新,或在由用户和/或计算装置提示时进行该更新。可以进一步经由与远程联网系统(例如,“云”网络)无线地通信以将新安全性标准应用于此而进行该更新。在一些途径中,将存在安全性威胁的指示传输至用户。在许多示例中,用于给PLC提供安全性的途径包括将网络安全性模块与PLC、远程网络以及控制网络耦合。接收与PLC的身份相关联的至少一个网络地址,并且,安全性模块配置有至少一个网络地址。在网络安全性模块处,接收寻址至PLC的数据,并且,在验证到数据的安全时,将数据路由至PLC。在一些途径中,所接收到的网络地址包括PLC的媒体访问控制地址和互联网协议地址中的至少一个。在这些形式中的许多形式中,在到达PLC之前,从远程网络和/或控制网络接收数据。换句话说,网络安全性模块可以“拦截”预期到PLC的消息以作为用来确保PLC的安全性的方式。在验证到数据的安全,网络安全性模块可以将数据路由至PLC、远程网络和/或控制网络。在仍有其他示例中,提供用于提供用于可编程逻辑控制(PLC)的安全性的系统,并且,系统包括在操作上与远程联网系统、控制网络和PLC耦合的网络安全性模块。网络安全性模块配置成克隆用于PLC模块的PLC代理,使得网络安全性模型拷贝PLC的媒体访问控制(MAC)地址和互联网协议(IP)地址中的至少一个。网络安全性模块进一步配置成:基于预定的安全性标准而确定是否将网络流量从远程联网系统和控制网络中的至少一个路由至PLC;以及基于确定而将网络流量选择性地路由至PLC。在一些途径中,网络安全性模块可以阻断来自远程联网系统和/或控制网络的引入数据。附图说明为了更完整地理解本公开,应当参考下面的详细描述和附图,其中:图1包含根据本专利技术的各种实施例的系统的框图,该系统包括控制网络,该控制网络包括网络安全性模块;图2包含示出根据本专利技术的各种实施例的网络安全性模块的操作的流程图;图3包含示出根据本专利技术的各种实施例的网络控制模块的操作的方面的流程图;图4包含示出根据本专利技术的各种实施例的网络控制模块的操作的其他方面的流程图;图5包含示出根据本专利技术的各种实施例的网络控制模块的操作的仍有其他方面的流程图。熟练技工将领会,为了简单和清楚,图示图中的元件。将进一步领会,可以按照特定的发生顺序描述或描绘某些动作和/或步骤,而本领域技术人员将理解,实际上不要求关于序列的这种特异性。还将理解,除了在本文中另有阐述了特定含义的情况之外,本文中所使用的术语和表达具有如根据关于其调查和研究的对应的相应领域的这类术语和表达的通常含义。具体实施方式本文中所描述的途径提供网络安全性模块,该网络安全性模块充当如下的目标冒名顶替者(imposter):通过充当PLC代理来运行和/或实现网络补丁(或其他安全性硬件和/或软件)。换句话说,网络安全性模块实现安全性补丁(或其他安全性硬件和/或软件)的功能性。这些途径通过使外部装置能够提供针对已知的安全性威胁的网络保护来消除更新PLC软件以便实现PLC网络安全性补丁的需要,将另外需要由PLC通过安装在其上的软件补丁更新来提供针对已知的安全性威胁的网络保护。安全性模块通过从云获得自动更新从而导致最小的PLC停机时间和最小的从初始威胁检测至保护的等待时间来保持现状。安全性模块能够实现将另外不可能在当前的PLC体系结构中实现的安全性补丁。安全性模块还提供威胁通知,以通知客户/用户网络威胁、网络配置变化、攻击以及异常的网络活动。一旦安装,并且在一个方面中,网络安全性模块克隆(或拷贝)PLC的媒体访问控制(MAC)和互联网协议(IP)地址以成为PLC代理。在一些其他方面中,网络安全性模块对全部的网络流量进行监测,并且,对被识别为网络安全性威胁的流量进行过滤,由此防止那个流量到达PLC,并且因而防止对资产的计算机攻击。在另一方面中,到云的独立的第三代(3G)或无线连接提供用于连续哨兵软件更新的路径,以便将安全性模块的功能性保持为最新以及将威胁消息提供回到用户。本途径提供各种优点和益处。例如,本途径给工业系统提供最新的计算机安全性保护方法。本途径另外不要求受过培训的来源人员来实现、安装且验证补丁的操作。因此,降低系统操作成本。本途径也在不重新设计网络基础设施/使网络基础设施现代化的情况下增加计算机安全性/网络安全性。所提供的其他优点包括自动更新安全性软件以及没有使PLC更新软件的停机时间。也不存在对大量投资于新网络基础设施中的需要。能够非常迅速地安装用来实现这些途径的软件。现在,参考图1,描述用于给工业网络提供安全性的系统100的一个示例。系统100包括编程逻辑控制器(PLC)102、云网络104以及控制网络106。控制网络106包括控制装置108和110。云网络104包括服务器112,并且,服务器112与用户114耦合。PLC102、云网络104以及控制网络1本文档来自技高网...
【技术保护点】
一种用于提供用于可编程逻辑控制器(PLC)的安全性的方法,包含:克隆安全性模块作为用于PLC模块的PLC代理,克隆包含拷贝所述PLC的媒体访问控制(MAC)地址和互联网协议(IP)地址中的至少一个;基于预定的安全性标准而确定是否将消息路由至所述PLC;以及基于确定而选择性地将所述消息路由至所述PLC;其中,克隆所述安全性模块作为所述PLC代理的步骤对将预期用于所述PLC的网络流量路由至所述安全性模块是有效的。
【技术特征摘要】
【国外来华专利技术】2014.07.28 US 62/029695;2015.03.19 US 14/6630031.一种用于提供用于可编程逻辑控制器(PLC)的安全性的方法,包含:克隆安全性模块作为用于PLC模块的PLC代理,克隆包含拷贝所述PLC的媒体访问控制(MAC)地址和互联网协议(IP)地址中的至少一个;基于预定的安全性标准而确定是否将消息路由至所述PLC;以及基于确定而选择性地将所述消息路由至所述PLC;其中,克隆所述安全性模块作为所述PLC代理的步骤对将预期用于所述PLC的网络流量路由至所述安全性模块是有效的。2.如权利要求1所述的方法,进一步包含在将所述消息传输至所述PLC之前,对所述网络流量进行监测和过滤的步骤。3.如权利要求1所述的方法,进一步包含以新安全性标准更新所述安全性模块的步骤。4.如权利要求3所述的方法,其中,更新所述安全性模块的步骤包含与远程联网系统无线地通信,以下载所述新安全性标准。5.如权利要求1所述的方法,进一步包含向用户传输存在安全性威胁的指示的步骤。6.一种用于提供用于可编程逻辑控制(PLC)的安全性的方法,包含:将网络安全性模块与所述PLC、远程网络以及控制网络耦合;接收与所述PLC的身份相关联的至少一个网络地址;以所述至少一个网络地址配置所述安全性模块;在所述网络安全性模块处,接收寻址至所述PLC的数据;以及在验证到所述数据的安全时,将所述数据路由至所述PLC。7.如权利要求6所述的方法,其中,接收所述至少一个网络地址的步骤包含接收所述PLC的媒体访问控制(MAC)地址...
【专利技术属性】
技术研发人员:KW克劳福德,
申请(专利权)人:通用电气智能平台有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。