本发明专利技术涉及一种用于支持通过现场总线(60)进行的安全的通信的安全设备(20;120)。该安全设备(20;120)具有用于将安全设备(20,120)与构造用于连接到现场总线(60)上的现场总线成员(30;80)的网络接口(31;81)直接耦合的连接装置(10;121),该现场总线成员并非构造用于通过现场总线进行安全的通信。在耦合状态下,在安全设备(20;120)与现场总线成员(30)之间产生连接,从而在该耦合断开或损伤时可逆或不可逆地锁定安全设备(20;120)符合规定的运行。此外,还设置发送和接收装置(24;123),其构造用于将来自并非构造用于安全通信的、直接相连的现场总线成员(30)的数据根据预先设定的安全协议安全地通过现场总线传递,并且还构造用于,接收根据预先设定的安全协议通过现场总线(60)传递的并确定用于现场总线成员(30)的数据并传递给现场总线成员。
Safety equipment and fieldbus system to support secure communication through Fieldbus
【技术实现步骤摘要】
【国外来华专利技术】用于支持通过现场总线的安全的通信的安全设备和现场总线系统
本专利技术涉及一种用于支持通过现场总线的安全的通信的安全设备以及现场总线系统。
技术介绍
当下,信息和通信技术中的通信安全在整个虚拟空间并因此在工业自动化技术中都越来越重要。由EP2940541A2已知一种措施,借助其能够为微电网(Microgrid)内部的传统设备提供安全的通信。为此,在传统的本地设备与远程连接之间接有安全设备,其构造为BITW(Bump-in-the-wire)设备。此种BITW设备作为独立且自主的单元连接和管理。例如Modbus,PROFINET,Ethernet/IP,HART或FoundationFiledbus协议等现有的现场总线网络协议不包含安全机制或安全功能,即Security机制,借助其能够保护两个或多个成员之间的通信连接例如免受外部攻击。确保通信安全性以及尤其对成员之间信息交换的保护的已知的安全功能例如为认证算法、用于完整性保护的算法或者加密和解码算法。迄今为止,借助布置在外围中的防火墙或应用网关保护已知的现场总线网络,从而产生信任的区域,但在其中通信并不安全。由DE10248100A1已知一种用于将现场设备连接到针对安全的现场总线上的针对安全的设备。为此,使用现场总线插头,其具有针对安全的现场总线接口,该现场总线接口实现了将针对安全的信号通过现场总线传递至控制系统。针对安全的信号符合所需的安全类别以及由此的安全方面。此外,现场总线插头具有针对安全的、中立于现场总线的设备接口,安全现场设备可借助针对安全的、中立于现场总线的现场总线接口连接到该设备接口上。归功于一种特别的现场总线插头,其既具有针对安全的、中立于现场总线的现场总线接口,又具有针对安全的、但与现场总线关联的现场总线接口,仅须开发用于针对安全的、中立于现场设备的现场总线接口的现场设备。
技术实现思路
本专利技术的目的在于,提供一种安全设备和一种现场总线系统,借助其实现了使得不具有安全功能的现场总线成员能够安全地通过现场总线通信。上述技术问题通过权利要求1的特征解决。因此,提供了一种用于支持通过现场总线的安全的通信的安全设备。该安全设备具有用于将安全设备与构造用于连接到现场总线上的现场总线成员的网络接口直接耦合的连接装置,该现场总线成员并非构造用于通过现场总线进行安全的通信。这意味着,现场总线成员不具有用于保证通信安全的安全功能性。换而言之:不具有用于保证通信安全的安全功能的现场总线成员在技术方面无法保护其与至少一个其他现场总线成员之间的信息交换。安全设备如此构造,使得耦合状态下,在安全设备与并非构造用于通过现场总线进行安全的通信的现场总线成员之间产生连接,从而在该耦合断开或损伤之后可逆或不可逆地锁定安全设备符合规定的运行。安全设备还具有用于将安全设备连接到现场总线上的网络接口。此外,安全设备还具有发送和接收装置,其构造用于将来自于直接相连的、并非构造用于安全的通信的现场总线成员的数据根据预先设定的安全协议安全地通过现场总线进行传递。此外,发送和接收装置还构造用于通过现场总线根据预先设定的安全协议接收确定用于现场总线成员的数据并作为不安全的传递给现场总线成员。预先设定的安全协议理解为一种协议,其保护两个或多个成员之间的通信连接或信息交换。例如,预先设定的安全协议规定认证、完整性保护、数据加密或数据解码。因此,安全设备优选构造用于根据预先设定的安全协议执行认证方法和/或执行至少一个加密算法,从而确保安全的、例如保护免受外部攻击的通信。根据预先设定的安全协议,发送和接收装置也可构造用于解码通过现场总线接收的加密的数据以及用于加密应从相连的、并非构造用于通过现场总线进行安全的通信的现场总线成员传来的数据。为了能够实施加密算法,安全设备可具有用于保存加密密钥的安全的存储装置。在安全的存储装置中也可存储用于实施根据预先设定的安全协议的安全功能的程序。在此处就已经需要提及,安全设备可匹配于用于通信安全的、变化的安全协议。为此,安全设备可具有编程界面,通过该编程界面可以对安全设备进行相应编程。但是也可以想到使安全设备能够通过现场总线更新。以有利的方式,安全设备具有控制装置和监测装置,该监测装置构造用于监测安全设备与相连的现场总线成员之间的连接。控制装置构造用于,作为对监测装置的故障信号的响应而锁定安全设备符合规定的运行。在安全设备符合规定地、即无损伤地、或者暴力地从相连的现场总线成员上分离时,可由安全设备触发此种故障信号。一种有利的扩展方案规定,安全设备集成在插拔连接器、尤其RJ45插头中。以有利的方式,控制装置可构造用于,作为对监测装置的故障信号的响应而删除保存在存储装置中的至少其中一个加密密钥和/或不可逆或可逆地锁定安全设备的连接装置和/或网络接口。由于该措施而确保了,如果确定与现场总线成员的耦合(如果存在的话)分离或损伤,那么,安全设备只有在以下条件下才可继续运行,即,操作人员再次使安全设备释放,方式例如为再次重新将之前删除的加密密钥存入和/或解锁该锁定的网络接口和/或连接装置。有利地,安全设备的能量供应通过现场总线例如借助已知的以太网供电技术(Power-Over-Ethernet-Technologie)进行,和/或借助内部供能源和/或通过相连的现场总线成员和/或借助能量采集技术(EnergyHarvestingTechnologie)进行。如果现场总线成员并非构造用于通过现场总线安全地通信并且已经与安全设备耦合的现场总线成员应通过现场总线实现不安全的通信,那么,发送和接收装置则可构造用于将数据从相连的现场总线成员透明地传递给现场总线。优选作为现场总线成员可将现场设备或控制设备与安全设备相连。预先设定的安全协议包含多个定义的安全功能,例如认证功能,加密功能和完整性保证功能,其可作为独立的协议栈实现或者集成在一个现场总线协议中。前述技术问题同样通过权利要求12的特征解决。因此,提出了一种用于支持通过现场总线进行的安全的通信的现场总线系统。该现场总线系统包含现场总线,至少一个第一现场总线成员,该第一现场总线成员具有构造用于连接到现场总线上的网络接口,其中,至少一个第一现场总线成员并非构造用于通过现场总线进行安全的通信。至少一个第一现场总线成员与前文限定的安全设备相连,其中,该安全设备构造用于根据预先设定的安全协议进行安全的通信。有利地,至少一个现场总线成员和与其耦合的安全设备在现场总线系统中作为单个现场总线成员管理,方式例如是为至少一个现场总线成员以及与其耦合的安全设备分配一个共同的地址。有利地,在现场总线上连接有第二现场总线成员,其构造用于与至少一个第一现场总线成员的安全设备根据预先设定的安全协议进行安全的通信。为了在至少一个第一现场总线成员与至少一个安全设备之间建立稳定且可靠的耦合,安全设备可拆卸地或不可拆卸地与至少一个第一现场总线成员相连。可拆卸的连接例如理解为一种螺纹连接,而不可拆卸的连接例如可为铆接、焊接或粘贴连接。根据一种有利的设计方案,至少一个第一现场总线成员可构造为现场设备或控制设备,并且至少一个第二现场总线成员可构造为现场设备或控制设备。现场设备可例如为传感器或执行器,而控制设备可例如为SPS(可编程控制器)或者DCS(分布式控制系统)系统本文档来自技高网...
【技术保护点】
1.用于支持通过现场总线(60)进行的安全的通信的安全设备(20;120),该安全设备具有:用于将安全设备(20,120)与构造用于连接到现场总线(60)上的现场总线成员(30;80)的网络接口(31;81)直接耦合的连接装置(10;121),该现场总线成员并非构造用于通过现场总线进行安全的通信,其中,在耦合状态下,在所述安全设备(20;120)与现场总线成员(30)之间存在连接,从而在耦合断开或损伤时可逆或不可逆地锁定所述安全设备(20;120)符合规定的运行,用于将所述安全设备(20;120)连接到现场总线(60)上的网络接口(50;122),发送和接收装置(24;123),该发送和接收装置构造用于将来自于并非构造用于安全的通信的、直接耦合的现场总线成员(30)的数据根据预先设定的安全协议安全地通过现场总线传递,并且还构造用于,接收根据预先设定的安全协议通过现场总线(60)传递的并确定用于现场总线成员(30)的数据并传递给该现场总线成员。
【技术特征摘要】
【国外来华专利技术】2016.12.22 DE 102016125511.41.用于支持通过现场总线(60)进行的安全的通信的安全设备(20;120),该安全设备具有:用于将安全设备(20,120)与构造用于连接到现场总线(60)上的现场总线成员(30;80)的网络接口(31;81)直接耦合的连接装置(10;121),该现场总线成员并非构造用于通过现场总线进行安全的通信,其中,在耦合状态下,在所述安全设备(20;120)与现场总线成员(30)之间存在连接,从而在耦合断开或损伤时可逆或不可逆地锁定所述安全设备(20;120)符合规定的运行,用于将所述安全设备(20;120)连接到现场总线(60)上的网络接口(50;122),发送和接收装置(24;123),该发送和接收装置构造用于将来自于并非构造用于安全的通信的、直接耦合的现场总线成员(30)的数据根据预先设定的安全协议安全地通过现场总线传递,并且还构造用于,接收根据预先设定的安全协议通过现场总线(60)传递的并确定用于现场总线成员(30)的数据并传递给该现场总线成员。2.根据权利要求1所述的安全设备,其特征在于,控制装置(22;126)和监测装置(21;124),该监测装置构造用于监测所述安全设备(20;120)与相连的现场总线成员(30)之间的连接,其中,所述控制装置(22;126)构造用于,作为对所述监测装置(21;124)的故障信号的响应而锁定所述安全设备的符合规定的运行。3.根据前述权利要求中任一项所述的安全设备,其特征在于,所述安全设备(20)集成在插拔连接器、尤其RJ45插头(10)中。4.根据前述权利要求中任一项所述的安全设备,其特征在于,所述发送和接收装置(24;127)构造用于将通过现场总线接收的加密过的数据解码,以及用于加密应由相连的、并非设计用于通过现场总线进行安全的通信的现场总线成员(30)传递的数据。5.根据前述权利要求中任一项所述的安全设备,其特征在于,所述安全设备(20;120)构造用于根据预先设定的安全协议执行认证方法和/或至少一个加密算法。6.根据前述权利要求中任一项所述的安全设备,其特征在于,用于保存加密密钥的安全的存储装置(23;125)。7.根据权利要求6和2所述的安全设备,其特征在于,所述控制装置(22;126)构造用...
【专利技术属性】
技术研发人员:吉多·维纳玛,帕特里克·莱辛,米夏埃尔·霍茨,斯特凡·博尔梅耶,朗纳·席尔霍尔茨,贝恩德·瓦斯纳,马腾·亨利希,
申请(专利权)人:菲尼克斯电气公司,ABB瑞士股份有限公司,
类型:发明
国别省市:德国,DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。