用于基于完整性来控制工业企业系统中的端点的通信的方法和装置制造方法及图纸

本文公开了用于基于完整性来控制工业企业系统中的端点的通信的方法和装置。一种示例性装置包括：完整性测量比较器，其用于将完整性测量值与参考值进行比较。完整性测量值是由工业企业系统的网络中的端点基于该端点的状态来生成的。参考值对应于该端点的受信任状态。该示例性装置还包括：授权控制器，其用于基于完整性测量值与参考值的比较结果，来启用该端点在该网络上的通信访问。

Method and apparatus for controlling communication of endpoints in an industrial enterprise system based on integrity

A method and apparatus for controlling communication in an industrial enterprise system based on integrity is disclosed. An exemplary apparatus includes a integrity measurement comparator for comparing integrity measurements with reference values. The integrity measurement value is generated by an endpoint in the network of an industrial enterprise system based on the state of the endpoint. The reference value corresponds to the trusted state of the endpoint. The exemplary device also includes an authorization controller for enabling communication of the endpoint on the network based on the comparison result of the integrity measurement value and the reference value.

【技术实现步骤摘要】

概括地说，本公开内容涉及工业控制，更具体地说，涉及用于基于完整性来控制工业企业系统中的端点(endpoint)的通信的方法和装置。
技术介绍
过程控制系统(如，化工，石油或者其它工业企业中使用的那些过程控制系统)通常包括一个或多个过程控制器，该一个或多个过程控制器经由模拟、数字或组合的模拟/数字总线来通信地耦合到一个或多个现场设备。现场设备(其可以例如是阀、阀定位器、开关和发送器(例如，温度、压力和流速传感器))在过程中执行过程控制功能，例如，打开或关闭阀和测量过程控制参数。过程控制器接收用于指示现场设备所执行的过程测量值的信号，随后对该信息进行处理和/或将该信息传输给其它控制器、工作站或者控制系统中的其它部件。此外，多个控制系统可以是较高层级企业系统的子系统，其中来自这些单独子系统的信息可以由监控系统进行交叉传输和/或监视。
技术实现思路
公开了用于基于完整性来控制工业企业系统中的端点的通信的方法和装置。一种示例性装置包括：完整性测量比较器，其用于将完整性测量值与参考值进行比较。该完整性测量值是由工业企业系统的网络中的端点基于该端点的状态来生成的。参考值对应于该端点的受信任状态。该示例性装置还包括：授权控制器，其用于基于完整性测量值与参考值的比较结果，来启用该端点在该网络上的通信访问。一种示例性方法包括：从工业企业系统的网络中的端点接收完整性测量值。该完整性测量值是由端点基于该端点的状态来生成的。该示例性方
法还包括：将该完整性测量值与和该端点的受信任状态相对应的参考值进行比较。该示例性方法还包括：基于比较结果，来启用该端点对于该网络的通信访问。一种示例性制品包括指令，当所述指令被执行时，使得机器至少从工业企业系统的网络中的端点接收完整性测量值。该完整性测量值是由端点基于该端点的状态来生成的。所述指令还使得所述机器将该完整性测量值与和该端点的受信任状态相对应的参考值进行比较。所述指令还使得所述机器基于比较结果来启用该端点对于该网络的通信访问。附图说明图1是工业企业系统中的组件的示例性层次结构的框图。图2是与图1的示例性层次结构的控制系统层级相对应的示例性控制系统的框图。图3是与图1的示例性层次结构的监控系统层级相对应的示例性监控系统的框图。图4示出了实现图2的示例性配置模块的示例性方式。图5示出了实现图2和/或图3的示例性完整性测量模块的示例性方式。图6示出了实现图2和/或图3的示例性系统完整性监测的示例性方式。图7是表示可以执行，以实现图2和/或图4的示例性配置模块的示例性方法的流程图。图8-图10是表示可以执行，以实现图2、图3和/或图5的示例性完整性测量模块的示例性方法的流程图。图11-图16是表示可以执行，以实现图2、图3和/或图6的示例性系统完整性监测的示例性方法的流程图。图17是可以被使用和/或编程，以执行图7的示例性方法和/或(更一般地说)实现图2和/或图4的示例性配置模块的示例性处理器平台的示意性视图。图18是可以被使用和/或编程，以执行图8-图10的示例性方法和/或(更一般地说)实现图2、图3和/或图5的示例性完整性测量模块的示例性处理器平台的示意性视图。图19是可以被使用和/或编程，以执行图11-图16的示例性方法和/或(更一般地说)实现图2、图3和/或图6的示例性系统完整性监测的示例性处理器平台的示意性视图。具体实施方式如本文所使用的，工业企业系统指代原始材料和相关联的物理过程、与这些过程进行交互的现场设备、控制这些过程的相应控制系统、以及工业企业的较高级别管理系统。因此，工业企业系统是通常经由相应的网络进行互连的有层次结构的相关系统(即，存在多个层级)。如本文所使用的，工业系统计算端点(或者端点)指代在工业企业系统中充当网络上的节点(位于任何层级)的任何计算组件，以便与其它这种组件进行通信。因此，如本文所使用的，端点包括单独的计算设备(例如，现场设备、控制器、I/O设备、用于控制器和/或I/O设备的自包含插件卡、工作站、服务器等等)，以及从属于某个较高层级系统(例如，更大控制系统中的模块化控制系统、监控系统中的控制系统等等)而操作成一个综合整体的系统或者这些设备组合。通常，工业企业系统中的端点基于其配置信息(对于具备更多能力的端点来说)或者其物理连接(对于具备更少能力的端点来说)来彼此之间建立通信。在计算机和数据安全的背景下，这些端点之间的通信的建立是基于某种形式的隐含信任，这是由于没有任何端点真实地知道来自其它端点的通信是否是安全和可靠的，或者已经被某种安全漏洞或其它故障进行了损害。更具体而言，在端点之间建立通信以操作工业企业，取决于每一个端点信任其它端点是：(a)合法的(即，其它端点是如它所说的)；(b)运行有完整的完整性(即，其它端点正常工作，发送的通信以及针对这些通信所产生的数据没有受到损害)。一些已知的工业系统端点将通信的安全和/或可靠性的信任基于：识别与每一个端点相关联的信息(例如，序列号、硬件地址或者IP地址)以及进行通信所使用的通信协议的知识。虽然这用来对特定端点的合法性进行确认(例如，端点是否是如它所说的)，但这些方法并不足以提供对于每一个端点的完整性的任何可靠指示(例如，端点是如所期望的进行操作，还是其已经被损害了，从而其操作的可靠性将成问题)。在过去，很大程度上
基于在通信中所涉及的计算端点的制造商对于产品质量的保证，来假定基于完整性的信任。也就是说，制造商通常遵循用于规定质量保证过程的标准(例如，国际标准化组织(ISO)9000)，来开发和测试软件、固件和/或硬件。结果，某种程度地信任这些制造商所制造的设备(例如，端点)将按照它们所设计的进行工作(即，具有值得信任的完整性)。虽然制造商的质量保证提供关于这些制造商所制造的计算设备的完整性的某种程度的信任，但这样的保证随着时间将变得具有更少权重，这是由于在该设备离开制造商的控制之后，可能会存在安全漏洞或其它发生故障的原因。例如，在设备从制造商处运输和发送给终端用户的时间之间，存在计算设备被篡改的可能性。此外，即使终端用户收到计算设备，也存在该设备被恶意代码进行黑客攻击和改变的可能性。虽然通常设置安全措施来减少和/或检测这些攻击，但如果没有识别特定的攻击，则恶意软件可能影响计算设备的操作。结果，可能错误地信任该设备的完整性和/或从该设备发送的通信。因此，需要在新获取、配置端点和使其进行操作时，对端点的完整性进行验证，以及随时地对工业企业系统中的端点的完整性进行监测，以检测对于这些端点的完整性的任何潜在威胁或者其缺陷，并基于对于来自这些端点的通信所给出的信任程度的任何相应改变，来实现适当的响应。本文所公开的例子通过下面的方式来克服上面所标识的问题：在允许网络上的端点在相应的网络上进行通信之前，使这些端点提供用于指示它们当前状态的某些方面的计算值或测量值，以便与和该端点处于受信任状态(即，完整性的状态)时的状态相对应的已知良好值进行比较。本文将端点关于其自己状态所生成的测量值称为完整性测量值。在一些例子中，通过计算端点的各个方面的一个或多个校验和(其可以提供该端点的操作、安全和/或可靠性的指示)，来生成完整性测量值。因此，在一些例本文档来自技高网...

【技术保护点】
一种装置，包括：完整性测量比较器，其用于将完整性测量值与参考值进行比较，所述完整性测量值是基于工业企业系统的网络中的端点的状态来生成的，所述参考值对应于所述端点的受信任状态；以及授权控制器，其用于基于所述完整性测量值与所述参考值的比较结果，来启用所述端点在所述网络上的通信访问。

【技术特征摘要】
2015.06.05 US 14/732,2281.一种装置，包括：完整性测量比较器，其用于将完整性测量值与参考值进行比较，所述完整性测量值是基于工业企业系统的网络中的端点的状态来生成的，所述参考值对应于所述端点的受信任状态；以及授权控制器，其用于基于所述完整性测量值与所述参考值的比较结果，来启用所述端点在所述网络上的通信访问。2.根据权利要求1所述的装置，还包括：完整性测量控制器，其用于基于所述完整性测量值和所述参考值之间的差异的批准覆盖，将所述参考值更新为与所述完整性测量值相对应。3.根据权利要求1所述的装置，其中，当所述完整性测量值与所述参考值相匹配时，所述端点的所述通信访问对应于完全通信访问，所述授权控制器用于向所述端点提供授权信息以启用所述完全通信访问。4.根据权利要求1所述的装置，其中，所述端点的所述状态对应于以下各项中的至少一项：装载于所述端点上的软件、分配给所述端点的配置数据、或者耦合到所述端点的外围设备。5.根据权利要求4所述的装置，其中，所述完整性测量值是通过计算在所述端点上装载的所述软件的校验和来生成的。6.根据权利要求5所述的装置，其中，当所述校验和与所述参考值不匹配时，所述通信访问对应于固件更新通信访问。7.根据权利要求4所述的装置，其中，所述完整性测量值是通过计算在所述端点上存储的所述配置数据的校验和来生成的。8.根据权利要求7所述的装置，其中，当所述校验和与所述参考值不匹配时，所述通信访问对应于配置通信访问。9.根据权利要求7所述的装置，其中，所述参考值是基于针对所述网络所生成的配置文件来生成的。10.根据权利要求4所述的装置，其中，所述完整性测量值是通过计算针对所述端点的所述外围设备的校验和来生成的。11.根据权利要求1所述的装置，其中，所述完整性测量值由所述端点在所述端点的启动时间期间生成。12.根据权利要求1所述的装置，其中，所述完整性测量值由所述端点在所述端点的运行时间期间生成。13.根据权利要求1所述的装置，其中，所述授权控制器用于执行以下各项中的至少一项：(1)当所述完整性测量值与所述参考值不匹配时，生成报警，其中所述报警指示所述端点的完整性是可疑的；或者(2)当所述完整性测量值与所述参考值不匹配时，对从所述端点提供的数据进行标记，其中所标记的数据指示所述端点的完整性是可疑的。14.根据权利要求1所述的装置，其中，当所述完整性测量值与所述参考值不匹配时，所述授权控制器阻止所述端点对于所述网络的通信访问，并启用冗余端点的通信访问。15.根据权利要求1所述的装置，其中，所述网络对应于所述工业企业系统内的控制系统的控制网络，所述端点对应于以下各项中的一项：通信地耦合到所述控制网络的工作站、服务器、控制器、输入/输出设备或者现场设备。16.根据权利要求1所述的装置，其中，所述网络对应于所述工业企业系统内的监控系统的监控网络，所述端点对应于从属于所述监控系统的控制系统。17.根据权利要求16所述的装置，其中，所述完整性测量值是与所述控制系统的控制网络中的不同端点相对应的不同完整性测量值的组合的校验和。18.一种方法，包括：从工业企业系统的网络中的端点接收完整性测量值，所述完整性测量值是由所述端点基于所述端点的状态来生成的；将所述完整性测量值与和所述端点的受信任状态相对应的参考值进行比较；以及基于比较结果，来启用所述端点对于所述网络的通信访问。19.根据权利要求18所述的方法，还包括：接收用于对所述完整性测量值和所述参考值之间的差异进行覆盖的批准；以及基于所述批准，将所述参考值更新为与所述完整性测量值相对应。20.根据权利要求18所述的方法，还包括：当所述完整性测量值与所述参考值相匹配时，通过向所述端点提供授权信息，来启用所述端点的完全通信访问。21.根据权利要求18所述的方法，其中，所述端点的所述状态对应于以下各项中的至少一项：装载于所述端点上的软件、分配给所述端点的配置数据、或者耦合到所述端点的外围设备。22.根据权利要求21所述的方法，其中，所述完整性测量值是由所述端点通过计算在所述端点上装载的所述软件的校验和来生成的。23.根据权利要求22所述的方法，还包括：当所述校验和与所述参考值不匹配时，启用所述端点的固件更新通信访问。24.根据权利要求21所述的方法，其中，所述完整性测量值是由所述端点通过计算在所述端点上存储的所述配置数据的校验和来生成的。25.根据权利要求24所述的方法，还包括：当所述校验和与所述参考值不匹配时，启用配置通信访问。26.根据权利要求24所述的方法，其中，所述...

【专利技术属性】
技术研发人员：R·A·米克瑟，
申请(专利权)人：费希尔罗斯蒙特系统公司，
类型：发明
国别省市：美国;US