This disclosure relates to prevent tampering or modifications to provide industrial control system security, the state control elements for defining regular fingerprint state, which can be forwarded to the regular state fingerprint security device or safety device to the regular state of fingerprint and indicates no alteration compared to the fingerprint reference. The transmitted state fingerprint can capture not only the program, but also the configuration and the environment of the control element.
【技术实现步骤摘要】
本专利技术涉及控制工厂自动化和/或工业过程的工业控制器,并且具体地涉及为工业控制系统提供增强安防以防止恶意行为的系统。
技术介绍
在传统上,一直由用于保护工厂等的物理装备的相同保护措施来保护工业控制系统免受篡改或恶意活动,也就是说,限制对工业控制器及其相关联的装备的物理访问。采用分布式处理以及网络和互联网连接的现代工业控制系统很容易受到攻击。尽管这样的系统在物理上可能是安全的,但是必须为分布式系统中建立多个安防点,并且与互联网的网络连接会使物理安防无关。近期证据是富有经验且资金雄厚的外国国家或组织充分利用通过互联网对工业控制系统的访问。在一个示例中,美国工业控制系统网络应急响应小组(ICS-CERT)提供了关于对用于管理和控制工业装备的可编程逻辑控制器的人机接口(HMI)进行攻击的恶意软件(Black Energy)的警告。存在基于互联网直接成功攻击工业控制系统的传闻证据。不同于对标准计算机装备和服务器的攻击,对工业控制系统的攻击可以想象到会产生对实物财产的损害和对人类生命的危害。
技术实现思路
本专利技术提供了一种用于通过生成每个分布式部件处的状态指纹来增加工业控制系统的安防和/或安全的系统,其中状态指纹可以被加密并且被传送至中央监视装置。状态指纹不仅识别控制程序的篡改,而且还识别配置文件的篡改和可以由分布式部件感测的环境条件变化。具体地,在一个实施方式中,本专利技术提供了一种用在工业控制系统中的工业控制设备,所述工业控制系统根据控制程序来提供对多个工业控制设备的协调控制。每个控制设备提供壳体,该壳体容纳:网络端口,其用
于与工业控制系统的 ...
【技术保护点】
一种用在工业控制系统中的工业控制设备,所述工业控制系统根据控制程序提供对多个工业控制设备的协调控制,所述工业控制设备包括:网络端口,所述网络端口用于与所述工业控制系统的其他元件进行通信;电连接器,所述电连接器用于接纳电导体,所述电导体与工业装备进行通信以从所述工业装备接收电信号或者向所述工业装备传送电信号用于控制工业过程;至少一个处理器,所述至少一个处理器与所述网络端口和所述电连接器进行通信;以及电子存储器系统,所述电子存储器系统能够由所述处理器访问并且所述电子存储器系统保存:操作软件,所述操作软件描述所述控制设备的操作并且能够由所述处理器来执行;配置数据,所述配置数据限定所述控制设备的配置;以及环境数据,所述环境数据描述所述控制设备的操作环境,其中,所述操作软件、所述配置数据以及所述环境数据一起限定控制设备状态;其中,所述操作软件能够由所述处理器来执行,以:(1)读取所述控制设备状态的至少一部分,以使用有损压缩系统来生成所述控制设备状态的状态指纹;(2)对所述状态指纹进行加密;以及(3)通过所述网络端口将所加密的状态指纹传送至所述工业控制系统。
【技术特征摘要】
2015.06.02 US 14/728,1641.一种用在工业控制系统中的工业控制设备,所述工业控制系统根据控制程序提供对多个工业控制设备的协调控制,所述工业控制设备包括:网络端口,所述网络端口用于与所述工业控制系统的其他元件进行通信;电连接器,所述电连接器用于接纳电导体,所述电导体与工业装备进行通信以从所述工业装备接收电信号或者向所述工业装备传送电信号用于控制工业过程;至少一个处理器,所述至少一个处理器与所述网络端口和所述电连接器进行通信;以及电子存储器系统,所述电子存储器系统能够由所述处理器访问并且所述电子存储器系统保存:操作软件,所述操作软件描述所述控制设备的操作并且能够由所述处理器来执行;配置数据,所述配置数据限定所述控制设备的配置;以及环境数据,所述环境数据描述所述控制设备的操作环境,其中,所述操作软件、所述配置数据以及所述环境数据一起限定控制设备状态;其中,所述操作软件能够由所述处理器来执行,以:(1)读取所述控制设备状态的至少一部分,以使用有损压缩系统来生成所述控制设备状态的状态指纹;(2)对所述状态指纹进行加密;以及(3)通过所述网络端口将所加密的状态指纹传送至所述工业控制系统。2.根据权利要求1所述的工业控制设备,其中,所述操作软件能够由所述处理器进一步执行以向所述状态指纹附加时间戳和顺序号中的至少一个,所述时间戳和所述顺序号分别指示通过所述网络端口传送所述状态指纹的时间和通过所述网络端口传送所述状态指纹的顺序。3.根据权利要求1所述的工业控制设备,其中,所述状态指纹提供
\t所述操作软件的压缩表示,所述压缩表示适于在将所述状态指纹与基准状态指纹进行比较时显现所述操作软件的修改。4.根据权利要求3所述的工业控制设备,其中,所述操作软件包括修订号。5.根据权利要求3所述的工业控制设备,其中,所述操作软件包括:控制程序;以及安防监视程序和安全监视程序中的至少一个。6.根据权利要求1所述的工业控制设备,其中,所述状态指纹提供所述控制设备的所述配置数据的压缩表示。7.根据权利要求1所述的工业控制设备,其中,所述配置数据选自:所述控制设备的序列号、所述控制设备的功能类型、所述控制设备的制造商、以及控制设备的制造日期。8.根据权利要求6所述的工业控制设备,其中,所述状态指纹提供包括加密认证码的所述配置数据的压缩表示,所述加密认证码指示所述控制设备的硬件的真实性。9.根据权利要求6所述的工业控制设备,其中,所述状态指纹提供表示作为所述操作程序的一部分的诊断程序的输出的配置数据的压缩表示。10.根据权利要求1所述的工业控制设备,其中,所述状态指纹提供所述环境数据的压缩表示,并且其中,所述环境数据包括指示导体与所述电连接器的连接或断开、导线断开或者故障停机的数据。11.根据权利要求1所述的工业控制设备,其中,所述状态指纹提供所述环境数据的压缩表示,并且其中,所述环境数据是从所述控制设备的
\t空间位置和所述控制设备的温度中选择的数据。12.根据权利要求1所述的工业控制设备,其中,所述状态指纹是通过以下操作生成的:读取所述控制设备状态的多个部分,并且使用所述有损压缩系统来独立压缩这些部分,并且联接所独立压缩的部分以产生所述状态指纹。13.根据权利要求12所述的工业控制设备,其中,所述操作软件响应通过所述网络端口接收到的指令以根据这些指令改变所述多个部分中包含的所述控制设备状态的特定部分和所述多个部分的数目和中的至少之一。14.根据权利要求1所述的工业控制设备,其中,所述操作软件响应通过所述网络...
【专利技术属性】
技术研发人员:苏吉特·昌德,大卫·A·维斯科,蒂莫西·帕特里克·博普雷,大卫·A·斯奈德,亚历克斯·劳伦斯·尼科尔,布赖恩·J·麦克马伦,丹尼尔·B·塞格,约翰·B·达特,蒂莫西·F·罗巴克,保罗·G·库恰尔斯基,凯文·科洛敦,
申请(专利权)人:洛克威尔自动控制技术股份有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。