【技术实现步骤摘要】
【国外来华专利技术】关键基础设施中控制系统的自动防火墙配置
[0001]相关申请的交叉引用
[0002]本申请要求
2021
年3月5日提交的美国临时申请第
63/157,304
号的优先权和权益,其全部内容通过引用整体结合于本文
。
[0003]本公开涉及计算设备安全性,并且更具体地,涉及用于保护关键基础设施的控制系统的技术
。
技术介绍
[0004]近年来,在数据通信和网络安全领域已经取得了许多进步
。
然而,在某些情况下,不能采用这些进步的传统设备由于各种原因仍在使用
。
例如,目前使用的大多数断路器都不支持消息级或传输级安全性
。
作为结果,这些断路器依赖于传统的非安全通信协议
。
尽管从安全的角度来看,更换这些断路器是最好的选择,但由于停机时间
、
成本等原因,许多安装使其变得不切实际
。
并且更一般地,在一些行业中,非安全协议
(
例如,明文数据通信和其他非安全通信协议
)
仍然在使用,并且可能甚至是必需的,以便确保与监测和入侵检测系统的兼容性和透明性
。
附图说明
[0005]通过参考各种实施例,可以对以上简要概述的本公开进行更详细的描述,其中一些实施例在附图中被示出
。
尽管附图示出了本公开的选择实施例,但是这些附图不应被认为是对其范围的限制,因为本公开可以承认其他同等有效的实施例
。 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.
一种防火墙设备,包括:一个或多个计算机处理器;以及包含计算机程序代码的非暂时性存储器,所述计算机程序代码在由所述一个或多个计算机处理器的操作执行时,执行操作,所述操作包括:维护用于管理发送给一个或多个端点设备的寄存器操作的防火墙数据结构;通过安全通信信道接收给所述防火墙数据结构的条目,所述条目指定
(i)
端点设备的寄存器操作,
(ii)
所述寄存器操作的值,以及
(iii)
所述寄存器操作能够被执行的次数的计数;更新所述防火墙数据结构以将接收到的条目添加到所述防火墙数据结构中;通过非安全通信信道接收用于所述端点设备的第一寄存器操作;确定所述防火墙数据结构内的添加的条目对应于接收到的第一寄存器操作;递减所述寄存器操作在所述防火墙数据结构内能够被执行的次数的所述计数;以及将所述接收到的第一寄存器操作转发给所述端点设备以用于执行
。2.
根据权利要求1所述的防火墙设备,其中,数据以明文形式通过非安全通信信道发送
。3.
根据权利要求2所述的防火墙设备,其中,所述非安全通信信道用于发送符合
Modbus
数据通信协议的数据
。4.
根据权利要求1所述的防火墙设备,所述操作进一步包括:在确定第二寄存器操作能够被执行的次数的计数等于零时,从所述防火墙数据结构中移除对应于所述第二寄存器操作的条目
。5.
根据权利要求1所述的防火墙设备,其中,所述端点设备被配置用于在接收到所述第一寄存器操作时执行所述第一寄存器操作
。6.
根据权利要求1所述的防火墙设备,其中,使用第二非安全通信信道将所述第一寄存器操作转发给所述端点设备以用于执行,其中,所述防火墙设备
、
所述端点设备和所述第二非安全通信信道位于安全物理环境内
。7.
根据权利要求6所述的防火墙设备,其中,所述第二非安全通信信道用于发送符合
Modbus
数据通信协议的数据
。8.
一种方法,包括:通过安全通信信道向防火墙设备上维护的防火墙结构添加条目,所述条目指定
(i)
端点设备的寄存器操作,
(ii)
所述寄存器操作的值,以及
(iii)
所述寄存器操作能够被执行的次数的计数;以及将所述寄存器操作发送给所述防火墙设备以转发给所述端点设备,其中,所述防火墙设备被配置用于只有在所述防火墙结构中指定的所述计数不会被超过的情况下,才将所述寄存器操作转发给所述端点设备
。9.
根据权利要求8所述的方法,其中,所述寄存器操作通过非安全通信信道发送
。10.
根据权利要求9所述的方法,其中,所述非安全通信信道用于发送符合
Modbus
数据通信协议的数据,并且其中,数据以明文形式通过所述非安全通信信道发送
。11.
根据权...
【专利技术属性】
技术研发人员:C,
申请(专利权)人:施耐德电气美国股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。