过程控制网络的一键安全上锁制造技术

本发明专利技术提供一种过程控制网络的一键安全上锁。在一过程控制系统中用于传送数据的一复杂网络的适当功能及安全可以以适用于整个过程控制网络或所述网络的部分的单一命令，人工地或自动地“上锁”。一用户或应用程序监测多个网络设备上的网络通信。一旦所述网络被配置及在所述过程控制网络上适当地传送数据，所述应用程序可以通过去活或“锁死”所述网络上的存取点来上锁所述网络。上锁所述网络可能实质上将其冻结于一适当地配置及机能状态，并限制未来的所述网络设备的重配置或通过一开路或未使用的存取点的有害通信。在被上锁时，一当前连接的设备被拔除而且一不同设备插上所述存取点，所述网络设备可以拒绝所述连接。

【技术实现步骤摘要】

本专利申请总体上涉及过程工厂控制系统，尤其涉及在一过程或工厂环 境中安全地控制设备之间的通信的方法及设备。
技术介绍
过程控制系统——如那些用于发电、化学、石油、或其他过程的分布式 或大型过程控制系统一一典型地包括一个或多个过程控制器，所述过程控制 器相互通信连接、通过一过程控制网络与至少一个主机或操作员工作站通信 连接、以及通过模拟总线、数字总线或模拟/数字混合总线与一个或多个现 场设备通信连接。所述现场设备可能是阀、阀定位器、开关及变送器(例如 温度传感器、压力传感器及流率传感器)，它们在过程或工厂中发挥功能， 如开启或关闭阀、开关设备及测量过程参数。过程控制器接收现场设备所进 行的过程或工厂测量的信号及/或关于现场设备的其他信息，并使用这些信 息来实施控制例程，然后产生控制信号并通过总线传送至现场设备，以控制 所述过程或工厂的操作。来自现场设备和控制器的信息一般提供给由操作员 工作站执行的一种或多种应用程序，使操作员能够执行针对过程或工厂所需 要的任何功能，例如观察工厂的当前状态、修正工厂的操作等等。过程控制器一般位于所述过程工厂环境中，它们接收现场设备所进行的或与现场设备相关的过程测量或过程变量的信号及/或关于现场设备的其他 信息，并执行控制器应用程序。控制器应用程序实施(例如)不同的控制模 块，这些控制模块根据所接收的信息做出过程控制决定及产生控制信号，并与现场设备(比如HART⑧及Fieldbus现场设备)中的控制模块或块协调。 控制器中的控制模块通过通信线或信号路径路径，将控制信号传送到现场设 备，从而控制过程的操作。来自现场设备及控制器的信息典型地通过过程控制网络传送到 一个或 多个其他硬件设备，例如传送到操作员工作站、维护工作站、个人计算机、 手持设备、历史数据库、报告产生器、集中式数据库等等。通过过程控制网 络传送的信息使操作员或维护人员能够对过程执行期望的功能。例如，所述 信息允许操作员改变过程控制例程的设置、更改过程控制器或智能现场设备 中的控制模块的操作、观察过程工厂中的特定设备的过程或状况的当前状 态、观察由现场设备及过程控制器产生的警报、模拟过程的操作以培训人员 或测试过程控制软件、诊断过程工厂中的问题或硬件故障等等。现场设备通常通过过程控制网络(例如以太网配置局域网)，与硬件设 备通信。过程控制网络通过不同网络设备，将过程参数、网络信息及其他过 程控制数据传播到过程控制系统中的不同实体。典型的网络设备包括网络界 面卡、网络开关、路由器、防火墙、控制器及操作员工作站。所迷网络设备 典型地通过控制其路由、帧率、超时及其他网络参数，促成数据流过网络， 但不改变过程数据本身。随着过程控制网络的规模和复杂性增高，网络设备 的数目及类别相应地增加。由于系统及网络的增长，这些复杂系统中的安全 及管理可以变得愈加困难。例如，每个网络设备可以包括一个或多个通信口 ， 这些通信口提供一存取点或存取口 ，以便在所述网络上物理地互连过程控制 系统构件及其他网络设备。大多数的网络设备包括的通信口超过需要的数 目，以便全面地在网络中连接所述设备，因此在所述设备上闲搁一个或多个 未使用或开路的通信口 。所述设备上的一开路通信口因此可能通过添加其他 设备而成为网络拓展的存取点，或可能允许一实体(不论是否恶意)存取所述网络及启动不必要的及潜在有害的网络交通。随着网络设备及相关存取点 的数目增加，有效地监测或控制对整个控制一复杂过程控制系统中的通信的 网络的所有未使用通信口的存取迅速地变得不切实际。虽然 一用户或应用程序可能监测每个设备或通信口的状况及交通，但经 常不可能识别有害通信，直到一问题发生。 一旦一监测器识别所述问题，所 述系统的部分必须被带离线及诊断，以开始修理或测定故障。进一步地，虽 然在所述网络的 一个物理位置的 一设备或通信口可能被识别为功能失常，但 问题可能是因所述网络的另一位置的故障或恶意连接引起的。另外，在一技 术员完成测定故障或修理工作之后，所述网络设备可能被无意地置于不安全 状态或以其他方式置于易受不必要或有害通信影响的状态。过程控制系统中 逐设备及逐通信口基础的网络安全(包括一嫌疑设备的物理检查及修理，以 使所述系统恢复到在线状态)可能涉及冗长的耽搁，因而通向死胡同并带来 许多其他管理困难而大大减低过程控制系统的有效性。
技术实现思路
过程控制系统网络安全及管理可以通过使用每个网络设备的、在逐设备 或全网络的基础上起动的安全功能来监测每个网络设备的网络交通来增强。一个或多个专用管理信息库(MIBs),或其他通信方法或数据存取方法(比如使用可用于存取及改变每个设备的网络设备上的管理功能的专有软件解决方案及开源软件)可以包括一个或多个可以通过一命令线界面(CLI)来 监测所述设备是否通过所述过程控制网络上通信、 一设备上的哪些通信口能 够在所述网络上通信、哪些通信口实际上在所述网络上通信以及哪些通信口 不在通信来存取的方法。 一旦所述过程控制网络全面配置及正常工作， 一用 户或一监测应用程序可以发送命令到所述设备，以实施一个或多个专用管理 信息库(MIB)方法，以便通过对整个网络实施一单一 上锁命令，禁止 或过滤来自 一特定网络设备上的选定的未使用、无效或不合要求的通信口的 地址，有效地将所述网络冻结于其期望配置。所述上锁可以通过限制所述网络的未来重配置及防止通过一开3各、无效 或未使用的存取点的不必要或有害的通信，导致一稳定及安全的网络。在被 上锁时，如果一当前连接的设备被拔除而且一不同设备插上所述存取点，所 述网络设备可以拒绝所述连接。例如，可以禁止一 网络设备上的所有存取点， 使得不能够将任何附加设备添加或连接到所述网络。 一锁死存取点不能在没 有来自一用户、监测器或其他授权过程的鉴别命令的情况下起动或解锁。至 于附加安全，所述上锁功能可以施加到在不同的网络节点执行的应用程序， 而所述解锁功能可能限于一人工过程。所述监测器可以在一应用程序、设备 或全系统水平解锁及上锁。所述存取点可以通过网络及设备配置的组合来去 活。例如，所述上锁配置可以通过拒绝通过所述存取点进行通信来去活所述 存取点，而且也可以重配置所述网络设备以便从一存取点移除电力，使得不 能通过该存取点连接到所述网络。附图说明图1A为一例示性框图，其显示一过程工厂，该过程工厂具有一分布式 过程控制系统及网络，包括配置来实施在此描述的上锁功能的一个或多个操 作员及维护工作站、控制器、现场设备及网络设备、常规网络设备以及支持装置。图1B为一例示性框图，其显示一过程控制系统的一输入/输出网络部 分，该输入/输出网络部分包括配置来实施在此描述的上锁功能的设备。 图1C为一例示性以太网帧。 图2为一例示性网络设备。图3A为一例示性框图，其显示一用于上锁及解锁一过程控制系统及网 络的网络设备及存取点的方法。图3B为一例示性框图，其显示一用于上锁一过程控制网络中的网络设备及存取点的方法。图3C为一例示性框图，其显示一用于解锁一过程控制网络中的先前上锁的网络设备及存取点的方法的 一个实施例。图4A-4D为一用户界面的例示性部分，该用户界面用于实施图3A-C 的用于上锁及解锁一过程控制系统及网络的网络设备及存取点的方法。具本文档来自技高网...

【技术保护点】
一种通过一过程控制网络、安全地传送过程控制数据的方法，包括：　发现通信连接到所述过程控制网络的一网络设备；　冻结所述网络设备的一地址表，所述地址表包括一个或多个授权物理地址，其中每个授权物理地址相应于所述过程控制网络的一有效节点 ；　暂停所述网络设备的一个或多个桥接功能；　处理在所述网络设备接收的一帧，如果所述帧包括相应于所冻结的地址表的一地址的一授权物理地址；以及　放弃所接收的帧，如果所述帧包括一未被授权物理地址。

【技术特征摘要】
US 2008-9-25 61/100,240;US 2009-6-1 12/475,8891、一种通过一过程控制网络、安全地传送过程控制数据的方法，包括发现通信连接到所述过程控制网络的一网络设备；冻结所述网络设备的一地址表，所述地址表包括一个或多个授权物理地址，其中每个授权物理地址相应于所述过程控制网络的一有效节点；暂停所述网络设备的一个或多个桥接功能；处理在所述网络设备接收的一帧，如果所述帧包括相应于所冻结的地址表的一地址的一授权物理地址；以及放弃所接收的帧，如果所述帧包括一未被授权物理地址。2、 如权利要求1所述的方法，进一步包括通过冻结所述网络设备的转发数据库表、选择地禁止所述网络设备的一个或多个通信口。3、 如权利要求2所述的方法，其中禁止所述网络设备的一个或多个通信口的步骤包括从一个或多个通信口移除电力的一个或多个以及暂停所述网络设备的一个或多个桥接功能，所述桥接功能包括获知、转发及老化。4、 如权利要求l所述的方法，进一步包括通过恢复所述网络设备的所述一个或多个桥接功能、选择地激活一个或多个先前禁止的通信口。5、 如权利要求4所述的方法，进一步包括在一时间阈期期满之后禁止一激活通信口 。6、 如权利要求l所述的方法，其中冻结一地址表的步骤包括将一个或多个物理地址从一动态地址表迁移到一静态地址表。7、 如权利要求1所述的方法，其中所述地址表一地址解析协议表及一转发数据库表中的一个或多个。8、 一种用于上锁一过程控制网络中的一个或多个存取点的方法，包括识别所述过程控制网络的一网络设备，所述网络设备包括一有效存取点或一无效存取点中的一个或多个，其中所述有效存取点包括通往所述过程控制网络的 一 节点的 一活性链接以及通往所述过程控制网络的 一有线连接中的一个或多个；以及通过下列步骤中的一个或多个、禁止所述网络设备的任何剩余无效存取点冻结所述有效存取点的一当前配置，及移除所述无效存取点接收电力的能力。9、 如权利要求8所述的方法，其中所述网络设备包括一网络界面卡、一网络开关、 一路由器、 一防火墙、 一控制器及一工作站。10、 如权利要求8所述的方法，其中所述一个或多个存取点包括一个或多个网络设备通信口。11、 如权利要求8所述的方法，进一步包括激活所述先前禁止的存取点。12、 如权利要求8所述的方法，进一步包括激活所述先前禁止的存取点，为期一时间期。13、 如权利要求8所述的方法，进一步包括禁止所述无效存取点，以响应一时间期的期满、 一网络安全威胁的识别、 一网络维护期的结束、 一未预期网络事件或 一 网络参数变化诸项中的 一 项或多项。14、 如权利要求8所述的方法，进一步包括在一用户界面接收来自所述网络设备的信息，所述信息指示在有任何无效存取点被禁止的情况下哪些无效存取点纟皮禁止。15、 如权利要求8所述的方法，进一步包括所述网络设备向一用户界面报告有关激活已经被禁止的所述无效存取点的企图。16、 如权利要求8所述的方法，其中如果所述无效存取点被禁止，所述过程控制网络中的过程控制数据的传送只是在所述有效存取点上发生。17、 如权利要求8所述的方法，进一步包括在所述过程控制网络的一本地物理节点禁止或激活所述无效存取点。18、 如权利要求8所述的方法，进一步包括拒绝通往所禁止的无效存取点的任何连接。19、 一种通过一过程控制网络、安全地传送过程数据的设备，包括一专用管理信息库，包括一个或多个安全模块；一通信口，用于通信连接所述过程控制网络的一个或多个节点；以及一管理协议模块；其中所述一个或多个安全模块配置成选择地禁止及激活所述通信口 ，而所述管理协议配置成通过所述过程控制网络对来自在所述通信口接收的一帧的一过程控制网络节点地址进行转发、获知和老化中的一项或多项，所述地址相应于 一 过程控制网络节点。20、 如权利要求19所述的设备，进一步包括配置成存储一个或多个过程控制网络节点地址的一个或多个表。21、 如权利要求20所述的设备，其中配置成选择地禁止所述通信口的所述一个或多个安全模块进一步配置成将一个或多个过程控制网络节点地址从一第一表复制到第二表以便擦除所述第一表，及复制到所述一个或多个表，以及防止在选择地禁止所述通信口时进一步存储过程控制网络节点地址。22、 如权利要求21所述的设备，其中所述专用管理信息库进一步包括一比较模块，所述比较模块配置成对所接收的帧与存储于所述一个或多个表中的所述一个或多个地址进行比较，以及...

【专利技术属性】
技术研发人员：特雷弗D史莱斯，罗伯特肯特胡巴，
申请(专利权)人：费舍柔斯芒特系统股份有限公司，
类型：发明
国别省市：US[美国]