In order to establish a secure communication connection to the industrial automation system, the connection management device provides access control information to establish an encrypted communication connection between the two communication devices for the first communication device of the requesting user and the second communication device of the selected user when the permission check result is positive. Here, the connection management device is formed by a server instance running on the firewall system. Data packets transmitted through encrypted communication connections between the first communication device of the requesting user and the selected second communication device are decrypted by the firewall system for checks based on determined security rules and forwarded to the first communication device of the requesting user or to the selected second communication device in an encrypted manner in the case of routine checks. Prepare.
【技术实现步骤摘要】
【国外来华专利技术】用于建立到工业自动化系统的安全的通信连接的方法和防火墙系统
技术介绍
工业自动化系统用于监视、控制和调节工程过程,尤其在制造自动化、过程自动化和建筑自动化领域中的工程过程,并且实现控制装置、传感器、机器和工业设施的运行,该运行应尽可能自主地且不受人类干预地进行。在此,特别重要的是实时地提供监视功能、控制功能和调节功能。对自动化设备和工业自动化系统的计算单元之间的通信连接的干扰能够引起不利地重复传输服务请求。特别地,未传输的或未完整传输的消息会防止工业自动化系统过渡到安全运行状态下,并且导致工业设施的失效。在工业自动化系统中从具有相对大量的、但是相对短的要实时传输的消息的消息通信中产生特别的问题。从US8555373B2中已知设置在源设备和目标设备之间的防火墙,该防火墙包括用于对照允许的列表检查从数据包提取的数据的硬件安全部件。硬件安全部件还执行关于协议的基于状态的检查。防火墙能够设计为安全代理,并且借助于软件安全部件实现两个参与者之间的安全的会话。为了对待检查的包进行认证或解密以及对经检查的包进行加密,软件安全部件采用硬件安全部件。在US7958549B2中描述具有加密处理器和虚拟服务器的防火墙。在此,加密处理器连接在虚拟服务器上游且对加密的数据包进行解密,数据包随后转发供给虚拟服务器以进行处理。沿相反的方向,加密处理器从虚拟服务器接收处理过的数据包,以便将该转发加密。为了保护机密的信息或数据也在工业通信网络中使用VPN通信连接(虚拟专用网络)。在VPN通信连接中,进行对于在发射器和接收器之间传输的数据的端对端加密。在此,发射器能够建立和使用同时到多个接收器的多...
【技术保护点】
1.一种用于建立到工业自动化系统的安全的通信连接的方法,其中‑经由连接管理装置(311)建立从在所述工业自动化系统(200)之外的第一通信设备(101‑103)到与所述工业自动化系统相关联的第二通信设备(201‑202)的通信连接,‑在由所述第一通信设备(101)的进行请求的用户请求(111)建立到所选择的所述第二通信设备(201)的连接时,所述连接管理装置(311)根据访问管控列表(312)对所述进行请求的用户执行权限检查,‑在权限检查结果为正面的情况下,所述连接管理装置(311)为所述进行请求的用户的所述第一通信设备以及所选择的所述第二通信设备提供访问管控信息(112、211),以用于在所述进行请求的用户的所述第一通信设备(101)与所选择的所述第二通信设备(201)之间建立加密的通信连接(500),‑所述连接管理装置(311)由在防火墙系统(300)上运行的服务器实例形成,‑经由在所述进行请求的用户的所述第一通信设备(101)与所选择的所述第二通信设备(201)之间的加密的通信连接传输的数据包(113、212)由所述防火墙系统(300)针对基于所规定的安全规则的检查进行解密,‑所...
【技术特征摘要】
【国外来华专利技术】2016.07.12 EP 16179006.81.一种用于建立到工业自动化系统的安全的通信连接的方法,其中-经由连接管理装置(311)建立从在所述工业自动化系统(200)之外的第一通信设备(101-103)到与所述工业自动化系统相关联的第二通信设备(201-202)的通信连接,-在由所述第一通信设备(101)的进行请求的用户请求(111)建立到所选择的所述第二通信设备(201)的连接时,所述连接管理装置(311)根据访问管控列表(312)对所述进行请求的用户执行权限检查,-在权限检查结果为正面的情况下,所述连接管理装置(311)为所述进行请求的用户的所述第一通信设备以及所选择的所述第二通信设备提供访问管控信息(112、211),以用于在所述进行请求的用户的所述第一通信设备(101)与所选择的所述第二通信设备(201)之间建立加密的通信连接(500),-所述连接管理装置(311)由在防火墙系统(300)上运行的服务器实例形成,-经由在所述进行请求的用户的所述第一通信设备(101)与所选择的所述第二通信设备(201)之间的加密的通信连接传输的数据包(113、212)由所述防火墙系统(300)针对基于所规定的安全规则的检查进行解密,-所述防火墙系统(300)将基于所规定的安全规则被检查成功的数据包以加密的方式转发至所述进行请求的用户的所述第一通信设备(101)和/或转发至所选择的所述第二通信设备(201)。2.根据权利要求1所述的方法,其中,在所述第一通信设备与所述第二通信设备之间经由所述连接管理装置建立的所述通信连接是虚拟专用网络连接,其中,所述权限检查包括相对于所述连接管理装置来认证所述进行请求的用户,并且其中,所述连接管理装置仅在对所述进行请求的用户进行认证之后才将用于使用在所述进行请求的用户的所述第一通信设备与所选择的所述第二通信设备之间的所述虚拟专用网络连接的访问管控信息提供给所述进行请求的用户。3.根据权利要求2所述的方法,其中,所述访问管控信息包括密码学密匙和/或用于VPN会话的口令或临时有效的口令。4.根据权利要求2或3所述的方法,其中,通过所述防火墙系统基于所规定的安全规则的检查包括检查用于VPN会话的口令或临时有效的口令的正确性,并且其中,对于数据包的传输给出不正确的口令的该数据包被所述防火墙系统拒绝。5.根据权利要求1至4中任一项所述的方法,其中,所述访问管控列表包括分别在至少一个所述第一通信设备与至少一个所述第二通信设备之间的允许的通信连接的用户独有的说明。6.根据权利要求1至5中任一项所述的方法,其中,在权限检...
【专利技术属性】
技术研发人员:卡尔·格拉斯,斯文·哥特瓦尔德,
申请(专利权)人:西门子股份公司,
类型:发明
国别省市:德国,DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。