跨安全层安全通信制造技术

本发明专利技术公开了一种工业控制和自动化系统(100)中的安全层(202)，该安全层包括用户数据库(214)、web服务器(208)、安全令牌服务器(STS)(210)和应用程序服务器(212)。用户数据库被配置为存储具有凭证的用户的身份以访问安全层的控制。web服务器被配置为使用客户端设备(206)来识别(505)操作员。STS被配置为认证(510)安全层的操作员。应用程序服务器被配置为协商(520)客户端设备对目标安全层(204)中的目标应用程序服务器(220)的访问。

Secure Communication across Security Layer

The invention discloses a security layer (202) in an industrial control and automation system (100), which comprises a user database (214), a web server (208), a security token server (STS) (210) and an application server (212). User databases are configured to store the identity of users with credentials to access security layer control. The web server is configured to identify (505) operators using a client device (206). STS is configured to authenticate (510) security layer operators. The application server is configured to negotiate (520) client device access to the target application server (220) in the target security layer (204).

【技术实现步骤摘要】
【国外来华专利技术】跨安全层安全通信
本公开整体涉及安全通信。更具体地讲，本公开涉及工业控制系统中跨安全层的安全通信。
技术介绍
工业控制系统(ICS)遵循基于普渡(Purdue)模型的分层网络体系结构-L1至L5网络级别/安全层。通常，级别之间没有域信任。例如，L4安全层将具有L3安全层域控制器不信任的域控制器，反之亦然。基于这些安全层分离，L4安全层处的用户在L3安全层处不受信任(不可识别)，反之亦然。在ICS系统中，通常不允许用户跨层。
技术实现思路
本公开提供工业控制系统中跨安全层的安全通信。在第一实施方案中，提供了工业控制和自动化系统中的安全层。安全层包括用户数据库、web服务器、安全令牌服务器(STS)和应用程序服务器。用户数据库被配置为存储具有凭证的用户的身份以访问安全层的控制器。web服务器被配置为使用客户端设备来识别操作员。STS被配置为认证安全层的操作员。应用程序服务器被配置为协商客户端设备对目标安全层中的目标应用程序服务器的访问。在第二实施方案中，提供了工业控制和自动化系统。该系统包括目标安全层和安全层。目标安全层包括目标STS和目标应用程序服务器。安全层包括用户设备、web服务器、STS和应用程序服务器。用户数据库被配置为存储具有凭证的用户的身份以访问安全层的控制器。web服务器被配置为使用客户端设备来识别操作员。STS被配置为认证安全层的操作员。应用程序服务器被配置为协商客户端设备对目标安全层中的目标应用程序服务器的访问。在第三实施方案中，提供了用于工业控制系统中跨安全层的安全通信的方法。该方法包括使用web服务器来识别使用客户端设备访问目标安全层中的目标控制器的操作员。该方法还包括使用安全令牌服务器(STS)来认证客户端设备的操作员以访问目标安全层中的目标应用程序服务器。该方法还包括使用应用程序服务器来协商客户端设备对目标安全层中的目标应用程序服务器的访问。从以下附图、描述和权利要求中，本领域的技术人员可容易地清楚其他技术特征。附图说明为了更完整地理解本公开，现在参考以下结合附图来进行的描述，其中：图1示出了根据本公开的示例性工业控制和自动化系统；图2示出了根据本公开的跨安全层的安全通信的示例；图3示出了根据本公开的跨安全层的安全通信的另一个示例；图4示出了根据本公开的跨安全层的安全通信的另外的示例；并且图5示出了根据本公开的用于工业控制系统中跨安全层的安全通信的示例性方法。具体实施方式下文讨论的图1至图5，以及用于描述本公开在该专利文献中的原理的各种实施方案仅以例证的方式进行，并且不应理解为以任何方式限制本公开的范围。本领域的技术人员将理解，本公开的原理可以在任何类型的适当布置的设备或系统中实现。跨安全层的安全通信可能需要相当数量的开发和维护时间/资源。安全地跨层复制数据并跨域安装相同软件会增加安装的占用空间和总拥有成本(许可、维护等)。设置受信任的子系统模型，其中授权必须基于受信任的子系统的身份而不是访问资源的实际用户，这不符合大多数工业控制和自动化系统的安全和法律要求。基于声明的解决方案基于如OpenIDConnect、OAuth2.0等的开放标准。基于声明的解决方案的独特之处在于如何采用开放标准来解决跨安全层的安全通信中的问题，尤其是当用户呼叫经由服务进行路由以访问另一个安全层中的资源时。例如，L3网络和L4网络均维护其自身的安全层或安全区。L3安全层和L4安全层可定义安全令牌服务，该安全令牌服务能够将用户身份转化为签名、加密并通过请求跨安全层传输的令牌。令牌由对应的安全子系统使用，该子系统首先验证令牌，并且然后基于来自原始安全层的用户身份来授权对所需资源的请求。L3安全层基于令牌中提供的信息来授权L4用户。这使L3安全层管理员可以控制L4用户对L3资源的访问，并基于特定用户身份控制访问，从而减少暴露的受攻击面，因为基于令牌的方法允许访问由L3安全层中的安全子系统控制的特定资源。图1示出了根据本公开的示例性工业过程控制和自动化系统100。如图1所示，系统100包括有利于生产或加工至少一种产品或其他材料的各种部件。例如，在此使用系统100以有利于对一个或多个厂房101a至101n中的部件的控制。每个厂房101a至101n表示一个或多个加工设施(或其一个或多个部分)，诸如用于生产至少一种产品或其他材料的一个或多个制造设施。一般来讲，每个厂房101a至101n可以实现一个或多个过程，并且可以单独地或共同地被称为过程系统。过程系统通常表示被配置为以某种方式加工一种或多种产品或其他材料的其任何系统或部分。在图1中，系统100使用过程控制的普渡模型来实现。在普渡模型中，“0级”可以包括一个或多个传感器102a和一个或多个致动器102b。传感器102a和致动器102b表示过程系统中可执行多种功能中的任一种功能的部件。例如，传感器102a可测量过程系统中的多种特性，诸如温度、压力、流速、或通过电缆传输的电压。另外，致动器102b可以改变过程系统中的多种特性。传感器102a和致动器102b可以表示任何合适的过程系统中的任何其他或附加部件。传感器102a中的每个传感器包括用于测量过程系统中的一个或多个特性的任何合适的结构。致动器102b中的每个致动器包括用于在工艺系统中对一个或多个条件进行操作或影响的任何合适的结构。至少一个网络104耦接到传感器102a和致动器102b。网络104有利于与传感器102a和致动器102b的交互。例如，网络104可传输来自传感器102a的测量数据并向致动器102b提供控制信号。网络104可以表示任何合适的网络或网络的组合。作为特定示例，网络104可以表示以太网网络、电信号网络(诸如HART或基金会现场总线(FF)网络)、气动控制信号网络，或任何其他或一个或多个附加类型的一个或多个网络。在普渡模型中，“1级”可包括一个或多个控制器106，该一个或多个控制器耦接到网络104。除了其他以外，每个控制器106可以使用来自一个或多个传感器102a的测量结果来控制一个或多个致动器102b的操作。例如，控制器106可从一个或多个传感器102a接收测量数据，并且使用测量数据为一个或多个致动器102b生成控制信号。多个控制器106也可在冗余配置中操作，诸如当一个控制器106作为主控制器操作而另一个控制器106作为备用控制器(其与主控制器同步并且可在主控制器发生故障的情况下接管主控制器)操作时。每个控制器106包括用于与一个或多个传感器102a进行交互并且控制一个或多个致动器102b的任何合适的结构。每个控制器106可以例如表示多变量控制器，例如鲁棒多变量预测控制技术(RMPCT)控制器或实现模型预测控制(MPC)或其他高级预测控制(APC)的其他类型的控制器。作为特定示例，每个控制器106可以表示运行实时操作系统的计算设备。两个网络108耦接到控制器106。网络108有利于与控制器106的交互，诸如通过向控制器106传输数据和从控制器传输数据。网络108可以表示任何合适的网络或网络的组合。作为特定示例，网络108可以表示一对以太网网络或一对冗余的以太网网络，诸如来自霍尼韦尔国际公司(HONEYWELLINTERNATIONALINC.)的容错以太网(FTE)网络。至少一个交换机/防火本文档来自技高网...

【技术保护点】
1.一种工业控制和自动化系统(100)中的安全层(202)，包括：用户数据库(214)，所述用户数据库被配置为存储具有凭证的用户的身份以访问所述安全层的一个或多个控制器(130)；web服务器(208)，所述web服务器被配置为使用客户端设备(206)来识别(505)操作员；安全令牌服务器(STS)(210)，所述安全令牌服务器被配置为认证(510)所述安全层的所述操作员；和应用程序服务器(212)，所述应用程序服务器被配置为协商(520)所述客户端设备对目标安全层(204)中的目标应用程序服务器(220)的访问。

【技术特征摘要】
【国外来华专利技术】2016.10.13 US 15/293,2121.一种工业控制和自动化系统(100)中的安全层(202)，包括：用户数据库(214)，所述用户数据库被配置为存储具有凭证的用户的身份以访问所述安全层的一个或多个控制器(130)；web服务器(208)，所述web服务器被配置为使用客户端设备(206)来识别(505)操作员；安全令牌服务器(STS)(210)，所述安全令牌服务器被配置为认证(510)所述安全层的所述操作员；和应用程序服务器(212)，所述应用程序服务器被配置为协商(520)所述客户端设备对目标安全层(204)中的目标应用程序服务器(220)的访问。2.根据权利要求1所述的安全层，其中所述web服务器被进一步配置为：在所述客户端设备初始访问所述安全层时与所述STS通信(226)以进行操作员识别；重新导向(228)所述客户端设备以与所述STS通信；从所述客户端设备接收(234)身份令牌；以及向所述应用程序服务器提供(236)所述操作员的访问令牌。3.根据权利要求1所述的安全层，其中所述STS被进一步配置为：认证(230)具有存储在所述用户数据库中的所述身份的所述操作员；以及向所述客户端设备提供(232)身份令牌。4.根据权利要求1所述的安全层，其中所述应用程序服务器被进一步配置为：与所述STS通信(238)以使用从所述web服务器接收的访问令牌进行所述操作员的安全层认证；向所述目标安全层中的所述目标应用程序服务器提供(344)目标访问令牌；以及从所述目标应用程序服务器接收(348)对允许所述客户端设备访问所述目标安全层中的目标控制器的请求的响应。5.一种工业控制和自动化系统，包括：目标安全层(204)，所述目标安全层包括目标安全令牌服务器(STS)(218)和目标应用程序服务器(220)；和安全层(202)，所述安全层包括：用户数据库(214)，所述用户数据库被配置为存储具有凭证的用户的身份以访问所述安全层的控制器；web服务器(208)，所述web服务器被配置为使用客户端设备来识别(505)操作员；STS(210)，所述STS被配置为认证(510)所述安全层的所述操作员；和应用程序服务器(212)，所述应用程序服务器被配置为协商(520)所述客户端设备对所述目标安全层中的所述目标应用程序服务器的访问。6.根据权利要求5所述的工业控制和自动化系统，其中所述web服务器被进一步配置为：在所...

【专利技术属性】
技术研发人员：文卡塔·拉奥·文卡姆塞特，博迪·克努森，基申·曼朱纳斯，卡尔西克·森戈丹，坦加杜赖·纳拉亚南，布莱恩·布雷什，
申请(专利权)人：霍尼韦尔国际公司，
类型：发明
国别省市：美国,US