本发明专利技术提供了一种现场设备防火墙(200),该现场设备防火墙包括运行网络保护算法的处理器、以及存储设备类型、请求和命令的列表的存储器(200g)。该现场设备防火墙适用于在过程控制器和耦接到现场设备(225)的现场网络通信接口(215)之间的通信网络中使用。该现场设备防火墙不支持与现场设备的任何本地通信,并且也缺少IP地址。网络保护算法实现将接收到的分组中的信息与存储的列表进行比较,如果比较确定信息在存储的列表上,则允许将接收到的分组传输到现场设备,并且如果比较确定信息不在存储的列表上,则阻止将接收到的分组传输到现场设备。
Transparent firewall to protect field devices
【技术实现步骤摘要】
【国外来华专利技术】用于保护现场设备的透明防火墙
本专利技术所公开的实施方案涉及防火墙,用于保护现场设备免受通过现场设备所连接的工业通信网络耦接的恶意实体的入侵和活动的影响。
技术介绍
工业设施生产各种产品和材料,并且可以支持诸如石油精炼、化学加工、制药生产以及纸浆和纸张生产的过程。所采用的过程控制系统(例如,分布式控制系统、可编程逻辑控制器、安全系统或监控和数据采集(SCADA)系统)和测量网络包括大量现场设备,诸如与控制室通信的传感器和致动器。常规地,给定工业设施中的现场设备经由有线连接通过过程控制回路与控制室和/或其他现场设备通信。有线过程通信协议的一个示例称为高速通道可寻址远程传感器(HART)协议。HART协议利用贝尔202频移键控(FSK)标准将低电平的数字通信信号叠加在4至20mA的模拟信号之上。这使得双向现场通信能够发生,并且使得除了仅正常过程变量之外的附加信息能够传达到智能现场设备或从智能现场设备传达。HART通信是过程工业中最常用的通信协议之一。HART协议在安全系统中非常流行,并且在大多数情况下,HART设备通过串行/互联网协议(IP)HART多路复用器连接,或者向前通过FDI(现场设备集成)通信服务器(IEC62769-第7部分,使用用于过程控制(OPC)统一架构(UA)的对象链接和嵌入(OLE))连接。随着工业物联网(IIOT)的出现,工业设施现在也有可能接入互联网和从互联网接入。互联网连接提供了从全球基本上任何连接的IP计算机或计算设备与工业设施交互的能力。因此,工业网络可能容易受到内部和外部网络攻击。作为针对外部网络攻击的预防性措施,可以采取防火墙或其他安全措施来试图将工业网络与其他网络分开。
技术实现思路
提供本
技术实现思路
以介绍简化形式的公开概念的简要选择,其在下文包括附图的具体实施方式中被进一步描述。该
技术实现思路
不旨在限制所要求保护的主题的范围。所公开的实施方案认识到互联网连接为恶意实体(例如黑客)提供了尝试接入工业网络以通过无线方式影响工业设施的可能性。所公开的实施方案还认识到,通过现场网络连接到各种工业网络(控制、安全、SCADA、无线)的使用HART和其他协议的现场设备(例如,传感器、开关和致动器)因此容易受到网络攻击,包括病毒、恶意软件或不可信软件攻击,这些攻击可以在现场设备使用时篡改设备的配置,从而扰乱它们所服务的通常关键的过程或安全操作。虽然一些防火墙和相关方法可用于保护现场设备免受网络攻击,但已知的防火墙支持与现场设备的“本地”无线通信(工业无线协议,诸如ISA100或无线HART),并且也在工业网络上具有IP地址,这两者均被认为存在相关问题。一个公开的实施方案包括用于网络保护现场设备的现场设备防火墙。现场设备防火墙包括运行网络保护算法的处理器和存储设备类型、请求和命令的列表的存储器。现场设备防火墙适用于在过程控制器和耦接到现场设备的现场网络通信接口之间的控制系统的通信网络中使用。如本文所用,“过程控制器”被广义地定义为例如在分布式控制系统(DCS)、可编程逻辑控制器(PLC)、安全系统或监控和数据采集(SCADA)系统内的控制器,其通过线路(例如电缆)或无线地连接。现场设备防火墙不支持与现场设备的任何本地通信,并且也缺少IP地址。网络保护算法实现将接收到的分组中的信息与存储的列表进行比较,如果比较确定该信息在存储的列表上,则允许将接收到的分组传输到现场设备,并且如果比较确定该信息不在存储的列表上,则阻止将接收到的分组传输到现场设备。所公开的现场设备防火墙的一个优点是,位于现场网络上的现场设备防火墙不参与涉及输入/输出(IO)设备和现场设备的本地网络通信。因此,客户/用户不需要改变他们现有的现场网络配置,因为添加了所公开的现场设备防火墙来进行网络保护。还提供了根据需要打开/关闭或升级防火墙功能的灵活性,而不影响现场网络通信。这也使客户/用户能够在不了解设备管理软件的情况下实施安全通信,以防止与现场设备进行不需要的/恶意的通信。附图说明图1是示出根据示例性实施方案的过程控制系统中对现场设备进行网络保护的方法中的步骤的流程图,该过程控制系统包括用于控制现场设备的过程控制器,该现场设备利用具有过程通信协议的通信网络。图2是控制系统的示例性图示,该控制系统包括所公开的现场设备防火墙,用于在独立部署中对现场设备进行网络保护以防止恶意实体的入侵和活动的影响。图3是根据示例性实施方案的控制系统的示例性图示,该控制系统包括所公开的现场设备防火墙,用于在基于云的部署中保护现场设备免受恶意实体的入侵和活动的影响。具体实施方式参考附图描述了公开的实施方案,其中在所有附图中使用相同的附图标号来表示类似或等同元件。附图未按比例绘制,并且其仅提供用于说明某些公开的方面。下面参考用于说明的示例性应用来描述若干公开的方面。应当理解,阐述了许多具体细节、关系和方法以提供对所公开实施方案的完全理解。然而,相关领域的普通技术人员将容易地认识到,可在没有一个或多个具体细节或其他方法的情况下实践本文公开的主题。在其他情况下,未详细示出公知的结构或操作以避免模糊某些方面。本公开不受所示出的动作或事件的顺序的限制,因为某些动作可以不同的顺序发生和/或与其他动作或事件同时发生。此外,并非所有示出的动作或事件都是实现根据本文公开的实施方案的方法所必需的。另外,如本文所用的没有进一步限定的术语“耦接到”或“与…耦接”(等)旨在描述间接或直接电连接。因此,如果第一设备“耦接”到第二设备,则该连接可通过直接电连接,其中在通路中仅存在寄生;或者可通过经由包括其他设备和连接的中间项的间接电连接。对于间接耦接,中间项通常不修改信号的信息,但可调整其电流电平、电压电平和/或功率电平。所公开的实施方案认识到,由于若干原因,使用工业设备协议(诸如常用的HART协议)的通信网络需要防火墙。安全性不是内置于HART中的,不存在各种HART主机(例如多路复用器)采用的标准安全性加密方法,并且HART通信是通过命令进行的,这些命令不会立即传达命令是仅读取设备信息还是实际上用于进行更改。HART设备管理软件中的安全特征(认证、授权)是不够的,因为大多数设备管理软件都基于WINDOWS操作系统,该系统本身容易受到许多病毒和恶意软件的攻击,因此可能导致对现场设备的未授权访问。当通过基于网络或云的应用/服务执行设备管理功能时,由于网络和云技术中的许多已知或可能的漏洞,信任因子会降低。用户也不能控制在设备使用期间发送哪些命令,因为它们基于供应商/设备特定信息,诸如增强设备描述(EDD)、FDT/DTM、FDI设备包和电子数据表。从设备管理软件(诸如FDI或EDD主机)通过安全的OPCUA机制隧道传输到FDI通信服务器的HART命令仍然可以携带无意的或预期永远不会被阻止的HART写命令。这些网络安全问题通常适用于除HART之外的其他相关智能设备协议,包括基金会现场总线(FF)、PROFIBUS/PROFINET、ISA100、MODBUS和以太网IP(EIP),具体基于它们所使用的关键子系统。商业上有许多安全系统部署,其中使用诸如HART兼容设备的智能设备。保护对安全关键的HART和其他协议兼容设备免受不需要的配置更改的影响,对于工厂的安全运行至关重要。目前本文档来自技高网...
【技术保护点】
1.一种对过程控制系统(250)中的现场设备进行网络保护的方法(100),所述过程控制系统(250)包括用于控制所述现场设备的过程控制器,所述现场设备利用具有过程通信协议的通信网络,所述方法包括:将现场设备防火墙(200)定位(101)在现场网络通信接口(215)和所述过程控制器之间的所述通信网络中,其中所述现场设备具有已知设备类型、请求和命令的存储的列表,不支持与所述现场设备的任何本地通信,并且缺少所述通信网络上的IP地址,所述现场设备防火墙包括运行网络保护算法的处理器,所述网络保护算法实现:将接收到的分组中的信息与所述存储的列表进行比较(102);如果所述比较确定所述信息在所述存储的列表上,则允许(103)将所述接收到的分组传输到所述现场设备,以及如果所述比较确定所述信息不在所述存储的列表上,则阻止(104)将所述接收到的分组传输到所述现场设备。
【技术特征摘要】
【国外来华专利技术】2017.02.22 US 15/439,6381.一种对过程控制系统(250)中的现场设备进行网络保护的方法(100),所述过程控制系统(250)包括用于控制所述现场设备的过程控制器,所述现场设备利用具有过程通信协议的通信网络,所述方法包括:将现场设备防火墙(200)定位(101)在现场网络通信接口(215)和所述过程控制器之间的所述通信网络中,其中所述现场设备具有已知设备类型、请求和命令的存储的列表,不支持与所述现场设备的任何本地通信,并且缺少所述通信网络上的IP地址,所述现场设备防火墙包括运行网络保护算法的处理器,所述网络保护算法实现:将接收到的分组中的信息与所述存储的列表进行比较(102);如果所述比较确定所述信息在所述存储的列表上,则允许(103)将所述接收到的分组传输到所述现场设备,以及如果所述比较确定所述信息不在所述存储的列表上,则阻止(104)将所述接收到的分组传输到所述现场设备。2.根据权利要求1所述的方法,其中所述现场网络通信接口包括多路复用器、串行调制解调器或以太网IP网关。3.根据权利要求1所述的方法,其中所述现场设备防火墙是嵌入式节点中的独立设备。4.根据权利要求1所述的方法,其中所述过程控制系统是基于云的过程控制系统(320),并且其中所述现场设备防火墙在与所述基于云的过程控制系统通信的边缘网关节点(315)处。5.根据权利要求1所述的方法,其中所述过程通信协议包括具有混合模拟和数字信令的协议。6.根据权利要求1所述的方法,其中所述通信网络包括基于以太网的数据通信网络。7.一种现场...
【专利技术属性】
技术研发人员:拉梅什·巴布·科尼基,阿南德·纳拉扬,
申请(专利权)人:霍尼韦尔国际公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。