本发明专利技术提供一种安全装置,所述安全装置位于网络设备中,并具有第一和第二介质独立接口,用于在该网络设备中进行功能性连接,藉此MII接口能够允许所述安全装置位于所述主机网络设备的PHY芯片和MAC芯片之间。
【技术实现步骤摘要】
本专利技术涉及网络安全的提供,具体地,涉及用于为诸如因特网的大型全局网络上的通信和数据交换提供安全性的安全装置。
技术介绍
当因特网增强和扩展了不同用户 和实体能够彼此通信的方式时,支持改进网络终端设备的远程访问的介质也随之产生,这可在任何需要的场景中发现,例如在エ业化的エ厂、现场等等中。以前,提供订制网络用于对所述終端设备以及例如它们之间的处理工厂数据交換进行所需的监控/控制。这样的专用网络系统虽然体现了固有的安全级别,但是鉴于建设和维护网络以及将其接ロ各种终端设备所帯来的费用和潜在的复杂性,证明了所述网络存在缺点并且受限制。采用诸如因特网的公用网络能够获得改进的远程访问方法,例如容易地处理工厂数据,从而克服了已知的限制。然而,随着因特网访问的大范围可用,安全问题不论是与基于恶意入侵者还是开玩笑的业余者的潜在攻击都越发相关。此外,任何当前的计算机病毒或者间谍软件都可能是问题的原因所在,只要它们能够导致操作系统和终端设备的“崩溃”。还注意到,很多当前使用的操作系统已经服务超过十年的时间,通常被设计为提供不间断以及特别快速的功能,并不过度关注安全/防范问题。已经发现,这种旧式(legacy )控制系统ー经接收到不是严格符合与所述操作系统有关的网络层协议规则的消息,就会以很多预料外的方式执行。除了这种网络层协议攻击或者简单的拒绝服务攻击,安全问题也可能发生在应用层蓄意的恶意攻击中,“欺骗”攻击者试图利用较旧的通信协议中的弱点,来故意地混淆(confuse)或简单地随机改变目标设备中的数据。例如,对于控制系统等的处理/エ厂数据交换采用因特网的益处,决定了增强网络安全性是有吸引力的。一般安全解决方案提出了“エ业防火墙”,其配置为拦截和过滤输入至目标设备的通信量(traffic),但是这样的现有技术方案并非为控制系统设计。此外,通过商用的现有的通信协议来组网的产品构建了安全系统,并且常常由要求设备在“安全操作”期间不会被写入的控制语句来调整安全级别。然而,这样的配置通常难以实现,特别是在上述的场景中。已经尝试开发产品中的技术參数以确定漏洞(vulnerability)的级别,并视情况提供合适的防范措施。例如,北美电カ可靠性公司(theNorth American Electric ReliabilityCorporation,NERC)定义了在美国对发电设施具有强制性的一套纲要和措施。在控制系统安全领域,ISA SP99协会正试图定义ー套标准,通过该标准可设计和评估“网络安全产品”。进一歩,虽然已经开发出ー些产品,这些产品配置为通过对目标设备快速地发送每种可能的网络攻击来识别漏洞,从而测试控制和安全装置的安全性,但是由于应用协议的数量巨大且被认为通过单个产品是不可测试的,因而这样的装置在应用中受限。在エ业和控制系统环境中,具有被称作“托菲诺(Tofino)”的用于区域性(zonal)保护的分布式方法,其配置为放置于网络終端设备的上游,例如,电カ线通信(PLC)设备、控制器远端终端単元(RTU)以及监控和数据采集(SCADA)设备的上游。这样的已知的Tofino安全装置提供具吸引力的特征,这是因为在它们自身没有IP地址的情况下,它们能够借用邻近的終端设备的地址,从而使它们在网络中似乎是不可见的。并且如果TCP/IP包符合TCP/IP协议规则,而且在当前交易状态机的序列中是有效的,则它们全都被接收和发送。对于所选的流行的协议或应用通信协议,例如Modbus TCP,仔细检查每个数据包的内容井根据定义的协议规则进行校验。此外,在防火墙设备能够设计为具有自我学习能力并容易通过简单的图形界面方式进行配置而无需对设置大量了解 的情况下,这种已知的防火墙能够更易于配置。如所述,这样的已知的防火墙和安全装置通常位于将被保护的终端设备的上游,并在旧式系统中将其简单地插入在相关的上游位置而被普遍采用。然而,将这种已知装置提供在“上游”表现出不利性和局限性。该装置在其“上游”位置中所固有的是,可以很好地用于保护各种终端设备,并且因此对于多个设备中的每个设备也代表了潜在的故障点。如果该装置由于其必须具有为各种设备中的每个处理数据等潜能因而位于各种设备的上游,则功率和尺寸要求以及数据管理要求也具有重要意义。此外可以证明,一旦已经识别该装置的上游位置,就可相对容易地绕开(bypass)或以其他方式避开它。
技术实现思路
本专利技术试图提供网络相关的安全,并且以在已知的安全场景中具有优点的方式提供。根据本专利技术的第一个方面提供ー种安全装置,所述安全装置位于网络设备中用于与该设备安全通信,并且具有第一和第二介质独立接ロ,用于在所述网络设备中进行功能性连接。如所理解的,通过在将要保护的实际的网络设备中提供所述装置,本专利技术能够显示出优势,由于所述安全装置仅需要针对其实际的主机网络设备进行更新,因此在装置的功率要求和物理尺寸以及需要处理的減少的数据量方面可以容易地获得优势。进ー步,所述网络设备仅对于其主机网络设备是ー个故障点,与本
已知的“上游”エ业防火墙相比较,通过本专利技术的方法,安全装置也不容易被绕开或避开。因此,通过本专利技术的方法,能够实现高效益及改进的网络安全性。优选地,所述安全装置可配置为合并到以太网終端设备中。作为特定的优点,所述安全装置的功能可以从远程位置根据需要修改和更新。所述安全装置可配置为从其主机或实际从其他网络设备借用诸如IP地址的网络ID。这样,控制系统网络中可能采用的本专利技术的每个安全装置在该网络中都保持“不可见”。但提供正确编码的配置管理平台能够容易地访问所述安全装置以传送和开始更新等。在所述安全装置可以针对主机设备来提供的情况下,只有与该设备的操作有关的更新等需要发送到所述安全装置。可以传送目标更新等给每个安全装置以最大化提供给每个具体设备的安全级别,同时保留所述安全装置在网络中的不可见性,从而減少目标攻击的可能性。通常,所述安全装置可以位于所述主机网络设备的PHY装置和MAC装置之间。根据本专利技术的另ー个方面提供ー种安全装置,所述安全装置配置为在主机网络设备的MAC装置和PHY装置之间接ロ。优选地,所述安全装置配置为包括第一和第二介质独立接ロ(MII)。任何这样的装置于是配置为与所述主机设备中的MII总线接ロ。 根据本专利技术的另ー个方面提供ー种安全装置,所述安全装置包括第一和第二接ロ,用于在以太网终端设备中接ロ。优选地,所述装置配置为在所述终端设备中的PHY装置和MAC装置之间接ロ。当然,所述装置可包括第一和第二介质独立接ロ。作为本专利技术的进ー步的优点特征,所述安全装置可包括与内部或外部的存储器功能相关联的专用集成电路(ASIC)。具体地,所述安全装置可以包括外部存储器接ロ,并且也能够以微芯(micro-cored) FPGA或优选地以ASIC的形式提供。当然,本专利技术也提供包括诸如上述所定义的安全装置的网络设备,并且本专利技术具体地可以包括以太网网络产品。具体地,所述网络设备可包括提供控制功能的网络终端设备,例如形成远程处理/エ厂控制系统的一部分的終端设备。此外,由于可以从配置管理平台以有效和安全的方式提供也有利地针对该设备的远端管理、升级等,因此本专利技术能够有利地支持集成在设备中的增强的安全性,并且所述设备的设计人员不需要具本文档来自技高网...
【技术保护点】
一种安全装置,所述安全装置配置为位于网络设备中,并且具有第一和第二介质独立接口,用于在所述网络设备中进行功能性连接。
【技术特征摘要】
2011.05.13 GB 1108005.81.ー种安全装置,所述安全装置配置为位于网络设备中,并且具有第一和第二介质独立接ロ,用于在所述网络设备中进行功能性连接。2.根据权利要求I所述的安全装置,所述安全装置配置为合并到以太网終端设备中。3.根据权利要求I或2所述的安全装置,所述安全装置位于主机网络设备的PHY装置和MAC装置之间。4.ー种安全装置,所述安全装置配置为位于网络设备中,并且接ロ于主机网络设备的MAC装置和PHY装置之间。5.根据权利要求广4中任一项或多项所述的安全装置,所述安全装置配置为包括第一和第二介质独立接ロ,用于连接至MII总线。6.ー种安全装置,所述安全装置包括第一和第二接ロ,所述第一和第二接ロ配置为...
【专利技术属性】
技术研发人员:乔纳森·奈杰尔·马林斯,
申请(专利权)人:库帕技术公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。