用于工业控制基础设施的安防系统技术方案

本公开涉及一种防止篡改或修改的提供安防的工业控制系统，其生成用于限定控制元件状态的定期状态指纹，可以将该定期状态指纹转发至安防装置或安全装置以将该定期状态指纹与指示没有篡改的基准指纹进行比较。所传送的状态指纹可以不仅捕获程序，而且还可以捕获控制元件的配置和环境状态。

Security system for industrial control infrastructure

This disclosure relates to prevent tampering or modifications to provide industrial control system security, the state control elements for defining regular fingerprint state, which can be forwarded to the regular state fingerprint security device or safety device to the regular state of fingerprint and indicates no alteration compared to the fingerprint reference. The transmitted state fingerprint can capture not only the program, but also the configuration and the environment of the control element.

【技术实现步骤摘要】

本专利技术涉及控制工厂自动化和/或工业过程的工业控制器，并且具体地涉及为工业控制系统提供增强安防以防止恶意行为的系统。
技术介绍
在传统上，一直由用于保护工厂等的物理装备的相同保护措施来保护工业控制系统免受篡改或恶意活动，也就是说，限制对工业控制器及其相关联的装备的物理访问。采用分布式处理以及网络和互联网连接的现代工业控制系统很容易受到攻击。尽管这样的系统在物理上可能是安全的，但是必须为分布式系统中建立多个安防点，并且与互联网的网络连接会使物理安防无关。近期证据是富有经验且资金雄厚的外国国家或组织充分利用通过互联网对工业控制系统的访问。在一个示例中，美国工业控制系统网络应急响应小组(ICS-CERT)提供了关于对用于管理和控制工业装备的可编程逻辑控制器的人机接口(HMI)进行攻击的恶意软件(Black Energy)的警告。存在基于互联网直接成功攻击工业控制系统的传闻证据。不同于对标准计算机装备和服务器的攻击，对工业控制系统的攻击可以想象到会产生对实物财产的损害和对人类生命的危害。
技术实现思路
本专利技术提供了一种用于通过生成每个分布式部件处的状态指纹来增加工业控制系统的安防和/或安全的系统，其中状态指纹可以被加密并且被传送至中央监视装置。状态指纹不仅识别控制程序的篡改，而且还识别配置文件的篡改和可以由分布式部件感测的环境条件变化。具体地，在一个实施方式中，本专利技术提供了一种用在工业控制系统中的工业控制设备，所述工业控制系统根据控制程序来提供对多个工业控制设备的协调控制。每个控制设备提供壳体，该壳体容纳：网络端口，其用
于与工业控制系统的其他元件进行通信；以及用于接纳电导体的电连接器，该电导体与工业装备进行通信以从工业装备接收电信号或者向工业装备传送电信号用于工业过程的控制。至少一个处理器与控制系统通信端口和电连接器进行通信并且与电子存储器进行通信，该电子存储器保存：操作软件，该操作软件描述控制设备的操作并且能够由处理器来执行；配置数据，该配置数据限定控制设备的配置；以及环境数据，该环境数据描述控制设备的操作环境，其中操作软件、配置数据以及环境数据一起限定控制设备状态。执行操作软件以：(1)读取控制设备状态的至少一部分以生成控制设备状态的状态指纹，作为相对于该状态部分在尺寸上减小的分类(digest)；(2)对状态指纹进行加密；以及(3)通过网络端口将所加密的状态指纹传送至工业控制系统。因此，本专利技术的至少一个实施方式的特征是提供一种安防系统，该安防系统允许在不消耗多余的带宽的情况下进行恒常监视以检测包括多个分布式部件的控制系统的篡改。可以在对控制系统通信机构的容量的影响最小的情况下传递所加密的压缩状态信息。操作软件可以向状态指纹附加时间戳和顺序号中的至少一个，所述时间戳和顺序号分别指示通过网络端口传送状态指纹的时间和通过网络端口传送状态指纹的顺序。因此，本专利技术的至少一个实施方式的特征是防止由于恶意方禁用互连通信基础设施或者捕获、修改或添加针对控制系统通信机构的消息而引起的对监视系统的破坏。过渡的时间和传送的顺序识别网络故障和所截获的消息。状态指纹可以提供操作软件的压缩表示，其适于在将状态指纹与基准状态指纹相比时显现对操作软件的篡改。因此，本专利技术的至少一个实施方式的特征是检测控制设备软件的未经授权的修改，该控制设备软件很容易受现代控制设备的改变的影响。操作软件可以包括修订号。因此，本专利技术的至少一个实施方式的特征是检测可能改变软件版本号以例如替代以不太安全的版本的篡改。操作软件包括控制程序和监视程序。因此，本专利技术的至少一个实施方式的特征是不仅提供对设备的控制程序的监视，而且提供对在设备本身上执行的监视程序的监视。状态指纹可以提供控制设备的配置数据的压缩指示。因此，本专利技术的至少一个实施方式的特征是捕获对工业控制系统的篡改，所述篡改表现为配置变量的改变，诸如控制设备的序列号、控制设备的功能类型、控制设备的制造商以及控制设备的制造日期。状态指纹提供配置数据的压缩指示，该配置数据包括指示硬件真实性的加密认证码。因此，本专利技术的至少一个实施方式的特征是提供一种可以检测伪造硬件的监视系统。可替代地或另外地，状态指纹可以提供表示作为操作程序的一部分的诊断程序的输出的配置数据的压缩表示。因此，本专利技术的至少一个实施方式的特征是提供一种状态指纹，所述状态指纹对板载诊断程序可能检测到的篡改敏感。可替代地或另外地，状态指纹可以提供环境数据的压缩表示，所述环境数据例如是指示导体从电连接器连接或断开、导线断开或故障停机(stuck at fault)的数据。因此，本专利技术的至少一个实施方式的特征是检测控制系统从受控过程的断开。可替代地或另外地，环境数据可以是从控制设备的空间位置和控制设备的温度中选择的数据。因此，本专利技术的至少一个实施方式的特征是支持控制设备通常针对可能不是很明显的篡改的指示来监视控制设备的环境。状态指纹的生成可以读取控制设备状态的多个部分，并且使用压缩系统来独立压缩这些部分，并且联接所独立压缩的部分以产生所述状态指纹。因此，本专利技术的至少一个实施方式的特征是提供一种状态指纹，该状态指纹指示关于控制设备的全局问题，而且还允许精确定位在具有独立压缩的签名部分的控制设备的多个部件内的问题。操作软件可以响应通过网络端口接收到的指令以根据这些指令改变所述多个部分中包含的控制设备状态的特定部分和所述多个部分的数目中的至少之一。因此，本专利技术的至少一个实施方式的特征是影响在传送状态指纹所花费的时间与可以从状态指纹得出的信息之间的动态权衡。通过改变指纹特质，在全局指纹上所指示的错误可以引起对更精细的分辨率指纹的请求，以更好地辨别问题的根源。操作软件可以响应通过网络端口接收到的指令以传送状态指纹。因此，本专利技术的至少一个实施方式的特征是允许由中央监视设备控制状态指纹的传送的定时，以消除冲突和带宽问题。控制设备可以是例如数字或模拟I/O模块或电机驱动器等。因此，本专利技术的至少一个实施方式的特征是提供一种可以适于在工业控制中使用的公共控制设备的系统。本专利技术的一些实施方式进一步考虑监视控制器，该监视控制器具有用于与控制设备进行通信的网络端口以及与网络端口和电子存储器进行通信的至少一个处理器。电子存储器可以保存监视程序和至少一个表示被识别为控制设备的正常操作控制设备的状态指纹的基准状态指纹，并且可以操作以：(1)通过网络端口从给定控制设备接收状态指纹并且对该状态指纹进行解密；(2)识别与给定控制设备对应的基准状态指纹；(3)将接收到的状态指纹与对应的基准状态指纹进行比较；以及(4)提供指示接收到的状态指纹是否与所述基准状态指纹相匹配的输出。因此，本专利技术的至少一个实施方式的特征是提供一种通过将来自控制系统的每个部件的状态信息与基准进行简单定期比较来远程评估分布式控制系统的全局状态的简单方法。监视程序还可以在预定时间段内没有接收到状态指纹时输出指示。因此，本专利技术的至少一个实施方式的特征是提供一种检测部件的中断或破坏以及损坏的系统。监视程序可以通过网络端口在定期请求时间向控制设备传送对状态指纹的请求，并且时间段可以基于上次定期请求时间。因此，本专利技术的至少一个实施方式的特征是允许不同的控制设备提供对监视装置的预期重传的操作的基本监视。这些特定本文档来自技高网...

【技术保护点】
一种用在工业控制系统中的工业控制设备，所述工业控制系统根据控制程序提供对多个工业控制设备的协调控制，所述工业控制设备包括：网络端口，所述网络端口用于与所述工业控制系统的其他元件进行通信；电连接器，所述电连接器用于接纳电导体，所述电导体与工业装备进行通信以从所述工业装备接收电信号或者向所述工业装备传送电信号用于控制工业过程；至少一个处理器，所述至少一个处理器与所述网络端口和所述电连接器进行通信；以及电子存储器系统，所述电子存储器系统能够由所述处理器访问并且所述电子存储器系统保存：操作软件，所述操作软件描述所述控制设备的操作并且能够由所述处理器来执行；配置数据，所述配置数据限定所述控制设备的配置；以及环境数据，所述环境数据描述所述控制设备的操作环境，其中，所述操作软件、所述配置数据以及所述环境数据一起限定控制设备状态；其中，所述操作软件能够由所述处理器来执行，以：(1)读取所述控制设备状态的至少一部分，以使用有损压缩系统来生成所述控制设备状态的状态指纹；(2)对所述状态指纹进行加密；以及(3)通过所述网络端口将所加密的状态指纹传送至所述工业控制系统。

【技术特征摘要】
2015.06.02 US 14/728,1641.一种用在工业控制系统中的工业控制设备，所述工业控制系统根据控制程序提供对多个工业控制设备的协调控制，所述工业控制设备包括：网络端口，所述网络端口用于与所述工业控制系统的其他元件进行通信；电连接器，所述电连接器用于接纳电导体，所述电导体与工业装备进行通信以从所述工业装备接收电信号或者向所述工业装备传送电信号用于控制工业过程；至少一个处理器，所述至少一个处理器与所述网络端口和所述电连接器进行通信；以及电子存储器系统，所述电子存储器系统能够由所述处理器访问并且所述电子存储器系统保存：操作软件，所述操作软件描述所述控制设备的操作并且能够由所述处理器来执行；配置数据，所述配置数据限定所述控制设备的配置；以及环境数据，所述环境数据描述所述控制设备的操作环境，其中，所述操作软件、所述配置数据以及所述环境数据一起限定控制设备状态；其中，所述操作软件能够由所述处理器来执行，以：(1)读取所述控制设备状态的至少一部分，以使用有损压缩系统来生成所述控制设备状态的状态指纹；(2)对所述状态指纹进行加密；以及(3)通过所述网络端口将所加密的状态指纹传送至所述工业控制系统。2.根据权利要求1所述的工业控制设备，其中，所述操作软件能够由所述处理器进一步执行以向所述状态指纹附加时间戳和顺序号中的至少一个，所述时间戳和所述顺序号分别指示通过所述网络端口传送所述状态指纹的时间和通过所述网络端口传送所述状态指纹的顺序。3.根据权利要求1所述的工业控制设备，其中，所述状态指纹提供
\t所述操作软件的压缩表示，所述压缩表示适于在将所述状态指纹与基准状态指纹进行比较时显现所述操作软件的修改。4.根据权利要求3所述的工业控制设备，其中，所述操作软件包括修订号。5.根据权利要求3所述的工业控制设备，其中，所述操作软件包括：控制程序；以及安防监视程序和安全监视程序中的至少一个。6.根据权利要求1所述的工业控制设备，其中，所述状态指纹提供所述控制设备的所述配置数据的压缩表示。7.根据权利要求1所述的工业控制设备，其中，所述配置数据选自：所述控制设备的序列号、所述控制设备的功能类型、所述控制设备的制造商、以及控制设备的制造日期。8.根据权利要求6所述的工业控制设备，其中，所述状态指纹提供包括加密认证码的所述配置数据的压缩表示，所述加密认证码指示所述控制设备的硬件的真实性。9.根据权利要求6所述的工业控制设备，其中，所述状态指纹提供表示作为所述操作程序的一部分的诊断程序的输出的配置数据的压缩表示。10.根据权利要求1所述的工业控制设备，其中，所述状态指纹提供所述环境数据的压缩表示，并且其中，所述环境数据包括指示导体与所述电连接器的连接或断开、导线断开或者故障停机的数据。11.根据权利要求1所述的工业控制设备，其中，所述状态指纹提供所述环境数据的压缩表示，并且其中，所述环境数据是从所述控制设备的
\t空间位置和所述控制设备的温度中选择的数据。12.根据权利要求1所述的工业控制设备，其中，所述状态指纹是通过以下操作生成的：读取所述控制设备状态的多个部分，并且使用所述有损压缩系统来独立压缩这些部分，并且联接所独立压缩的部分以产生所述状态指纹。13.根据权利要求12所述的工业控制设备，其中，所述操作软件响应通过所述网络端口接收到的指令以根据这些指令改变所述多个部分中包含的所述控制设备状态的特定部分和所述多个部分的数目和中的至少之一。14.根据权利要求1所述的工业控制设备，其中，所述操作软件响应通过所述网络...

【专利技术属性】
技术研发人员：苏吉特·昌德，大卫·A·维斯科，蒂莫西·帕特里克·博普雷，大卫·A·斯奈德，亚历克斯·劳伦斯·尼科尔，布赖恩·J·麦克马伦，丹尼尔·B·塞格，约翰·B·达特，蒂莫西·F·罗巴克，保罗·G·库恰尔斯基，凯文·科洛敦，
申请(专利权)人：洛克威尔自动控制技术股份有限公司，
类型：发明
国别省市：美国;US