具有数据完整性管理的工业单向通信设备的时间戳记制造技术

在工业系统中，数据采集装置(106)能够被配置用于作为私人网络(104)与公共网络(102)之间的单向通信连接来操作。数据采集装置(106)还能够被配置用于对数据加时间戳，例如用时间戳对数据进行数字签名，从而确保单向通信连接上的数据完整性，同时保持私人网络(104)与公共网络(102)之间的物理隔离。(104)与公共网络(102)之间的物理隔离。(104)与公共网络(102)之间的物理隔离。

【技术实现步骤摘要】
【国外来华专利技术】具有数据完整性管理的工业单向通信设备的时间戳记

技术介绍

[0001]对私人计算机网络的网络攻击长期以来一直处于使用信息技术进行检测和保护工作的最前沿。然而，在此认识到，网络攻击者入侵诸如支持关键基础设施的自动化和控制系统的工业系统的威胁正在引起注意。由于诸如生产系统的垂直集成和价值链的水平集成等方面，工业控制系统(ICS)网络常常直接或间接地连接到IT网络(办公室网络)和因特网，从而为网络攻击者提供了穿透这种环境并利用任何现有弱点的机会。在此进一步认识到，OT(操作技术)系统，例如可编程逻辑控制器(PLC)、分布式控制系统(DCS)、运动控制器、监控和数据采集(SCADA)服务器、以及人机接口(HMI)，在部署安全措施时提供了许多额外的挑战。
[0002]此外，攻击方法已经从由好奇的黑客执行的简单方法发展到由高度有动机的顶级专家仔细设计的高级持续性威胁(APT)，有时具有由国家赞助的扩展资源。在某些情况下，检测这种目标攻击和其它一般攻击活动可能需要采用安全监控技术，包括基于签名的入侵检测，基于行为的异常检测，端点检测和响应(EDR)等。此外，在一些情况下，在企业信息技术(IT)系统内采用的基于网络或主机的安全检测机制不转化为工业控制系统，例如，因为一些工业系统需要最小化系统中断风险的非侵入性方法。另外，OT系统通常包括大量的传统设备，这些传统设备容易支持新的嵌入式系统，例如，执行由端口扫描和漏洞枚举工具采用的侵入式和系统剖析的系统。
[0003]在此还认识到，当前的防止对工业系统的入侵的方法缺乏特别是例如与信息保证和完整性验证相关的能力。例如，在信息系统能够限定高度关键或任务关键的信息系统的情况下，这些缺点能够是特别有害的。

技术实现思路

[0004]本专利技术的实施例通过提供增强工业控制系统中的安全能力的方法、系统和装置来解决和克服本文所述的一个或多个缺点。例如，数据采集装置能够被配置用于作为私人网络和公共网络之间的单向通信连接来操作。数据采集装置还能够被配置用于时间戳记和加密来自私人网络的数据，以便确保单向通信连接上的数据完整性。例如，数据采集装置能够将数字签名的时间戳应用于数据。
[0005]在一个示例性方面中，一种数据采集装置包括发送机器、接收机器以及发送机器和接收机器之间的监视装置。接收机器能够包括：耦合到私人网络的一个或多个设备的单向网络接口；耦合到导线的输入端；以及耦合到导线的输出端。发送机器能够被配置用于从私人或操作网络的一个或多个设备收集数据。数据采集装置还能够包括监视装置，该监视装置包括耦合到发送机器的输出端和输入端的导线，以便限定回路。监视装置还能够包括感应耦合到回路的拦截器，以便限定单向通信连接。接收机器能够耦合到拦截器和私人网络。接收机器能够被配置用于在由监视装置限定的从发送机器到接收机器的单向通信连接上从发送机器接收数据。发送机器还能够包括时间戳记模块，其被配置用于将时间戳(例如，数字签名的时间戳)应用于发送到接收机器的数据。接收机器能够使用数字签名的时间
戳来验证它接收的数据的完整性。此外，接收机器能够将已验证的数据发送到公共网络内的系统，例如用于分析。
附图说明
[0006]当结合附图阅读时，从下面的详细描述中能够最好地理解本专利技术的上述和其它方面。为了说明本专利技术，在附图中示出了目前优选的实施例，然而，应当理解，本专利技术不限于所公开的特定手段。附图中包括下列附图：
[0007]图1示出了部署在示例性工业控制系统(ICS)内的数据采集单元(DCU)装置的框图。
[0008]图2示出了根据示例性实施例的DCU的另一框图。
[0009]图3示出了根据示例性实施例的能够由计算系统和ICS内的其它节点，进而由ICS本身执行的流程图。
[0010]图4示出了其中能够实现本专利技术的实施例的计算环境。
具体实施方式
[0011]首先参考图1，示例性分布式控制系统(DCS)或工业控制系统(ICS)100包括办公室或公司IT网络102以及经由数据控制装置或数据控制单元(DCU)106通信地耦合到IT网络102的操作技术(OT)或生产网络104。IT网络102能够限定具有比OT网络104更低的安全性要求的办公室或公共网络，OT网络104能够限定私人或关键生产网络。DCU106能够被配置成作为私人网络和公共网络之间的单向通信连接来操作。DCU106能够经由从OT网络104到DCU 106的通信链路112收集在OT网络104上共享的网络流量数据。具体地，例如，OT网络104能够包括被配置成一起工作以执行一个或多个制造操作的各种生产机器。生产网络104的示例性生产机器能够包括但不限于机器人和其他现场设备，例如传感器、致动器或其他机器，其能够由相应的可编程逻辑控制器(PLC)108控制。PLC108能够向各个现场设备发送指令。在一些情况下，给定的PLC 108能够被耦合，或者OT网络104能够另外包括人机接口(HMI)110。应该理解的是，ICS 100是为了示例性目的被简化。即，ICS100能够包括限定备选配置的附加或备选节点或系统，例如其他网络设备，并且所有这些配置都被认为在本专利技术的范围内。
[0012]在一些情况下，通信链路112被配置用于从OT网络104接收数据，但不向生产网络104发送数据，使得通信链路112限定从OT网络104到DCU 106的单向通信链路。由DCU 106收集的网络包能够由在IT网络102上执行的网络安全功能使用。所收集的网络包能够从DCU 106发送到IT网络102，特别是发送到IT网络102内的系统，例如但不限于入侵检测系统(IDS)114，安全信息和事件管理(SIEM)系统116以及取证分析系统118。作为实例，所收集的数据包能够被提供给IT网络102用于验证，例如安全规则等所要求的验证。这种验证能够涉及通信级的数据包。例如，能够验证数据包的发送机或接收机，或者能够验证与在ICS 100的OT网络104内发送的各种命令或设置相关联的定时。在某些情况下，如果不保证所收集的数据的完整性，则在IT网络102内执行的验证和其它安全功能不能正确地执行。例如，如果从OT网络104收集的数据被破坏，则收集的数据可能不表示OT网络104内的网络流量的真实情况，被破坏的数据不能反映网络流量的真实情况。因此，这里认识到DCU 106内的数据完整性对于由IT网络102提供的安全功能以及其它功能是重要的。
[0013]继续参考图1，DCU 106能够包括例如经由交换机122连接到OT网络104的以太网端口120。以太网端口120能够限定被配置用于接收原始数据包而不能够发送出数据包的单向接口。DCU 106还能够包括能够例如经由交换机128与IT网络102通信的多向接口或端口124。具体地，多向接口124能够向IDS 114、SIEM系统116和取证分析系统118发送数据和从IDS 114、SIEM系统116和取证分析系统118接收数据。在一些情况下，例如，多向端口124暴露于IT网络102，使得IDS 114、SIEM系统116和取证分析系统本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种被配置用于作为私人网络与公共网络之间的单向通信连接来操作的数据采集装置，所述数据采集装置包括：发送机器，所述发送机器包括：1)单向网络接口，所述单向网络接口耦合到所述私人网络的一个或多个设备；2)输入端，所述输入端耦合到导线；以及3)输出端，所述输出端耦合到所述导线，所述发送机器被配置用于从所述私人网络的所述一个或多个设备收集数据；监视装置，所述监视装置包括耦合到所述发送机器的所述输出端和所述输入端以限定回路的所述导线，所述监视装置进一步包括电感耦合到所述回路以限定所述单向通信连接的拦截器；以及接收机器，所述接收机器耦合到所述拦截器和所述公共网络，所述接收机器被配置用于通过由所述监视装置限定的从所述发送机器到所述接收机器的所述单向通信连接从所述发送机器接收数据，其中，所述发送机器进一步包括时间戳记模块，所述时间戳记模块被配置用于将时间戳应用于发送到所述接收机器的数据。2.根据权利要求1所述的数据采集装置，其中，所述时间戳记模块进一步被配置用于：接收从所述单向网络接口收集的数据的至少一部分；计算表示从所述单向网络接口收集的所述数据的所述部分的第一散列值；以及将所述时间戳应用于所述第一散列值。3.根据权利要求2所述的数据采集装置，其中，所述时间戳记模块进一步被配置用于：计算表示时间戳和所述第一散列值的第二散列值，从而生成散列时间戳记数据。4.根据权利要求3所述的数据采集装置，其中，所述发送机器进一步包括硬件安全模块，所述硬件安全模块被配置用于对所述散列时间戳记数据进行签名，从而生成已签名的散列时间戳记数据。5.根据权利要求4所述的数据采集装置，其中，所述发送机器进一步被配置用于沿着所述导线将所述已签名的散列时间戳记数据从所述输出端发送到所述输入端，从而将所述已签名的散列时间戳记数据传输到所述接收机器。6.根据权利要求5所述的数据采集装置，其中，所述接收机器进一步被配置用于计算所述第二散列值，从而验证所述数据的从所述单向网络接口收集的部分的完整性。7.根据权利要求1所述的数据采集装置，其中，所述发送机器的所述时间戳记模块包括被配置用于生成时间戳的时钟源。8.根据权利要求1所述的数据采集装置，所述数据采集装置进一步包括数据处理应用，所述数据处理应用被配置用于：监听所述单向网络接口，从而从所述私人网络的所述一个或多个设备收集数据；选择所述数据的从所述单向网络接口收集的部分；以及将所述数据的所选择的部分发送给所述时间戳记模块。9.根据权利要求1所述的数据采集装置，其中，数据处理应用进一步被配置用于基于与从所述单向网络接口收集的所述数据相关联的参数来选择数据的发送到所述时间戳记模块的部分。10.根据权利要求1所述的数据采集装置，其中，所述...

【专利技术属性】
技术研发人员：奥默，
申请(专利权)人：西门子交通有限责任公司，
类型：发明
国别省市：