一种系统包括具有存储器和处理器的工业控制器,处理器配置成使工业控制器工作在开放模式,其中开放模式配置成使工业控制器能够通过未认证的网络连接或本地连接接收指令。工业控制器的处理器还配置成使工业控制器工作在安全模式,其中安全模式配置成使工业控制器能够仅通过认证的网络连接接收指令。
【技术实现步骤摘要】
用于工业控制器的安全工作的系统和方法
本文公开的主题涉及工业控制系统,并且更具体而言涉及保护工业控制系统的工作的安全。
技术介绍
工业控制系统,比如自动化的发电系统(例如,风、水以及燃气涡轮系统)和自动化的制造系统(例如,炼油厂、化工厂等),是现代工业的共同特征。对于此类工业控制系统,工业控制器通常可控制系统的工作。例如,工业控制系统中的某些设备(例如传感器、泵、阀、制动器等)可受工业控制器控制并且可向工业控制器报告数据。此外,工业控制器可执行指令(例如固件和/或应用程序),该指令通常可使得工业控制器能够控制工业控制系统(例如燃气涡轮系统)的工作。这些指令可由工业控制器的制造商提供。例如,可在工业控制系统中安装工业控制器之前把这些指令载入到工业控制器中。另外,工业控制器可提供访问工业控制器和/或向工业控制器提供指令(比如通过网络连接或本地端口)的若干不同方法。
技术实现思路
以下概括了在范围上与最初要求保护的专利技术相匹配的某些实施例。这些实施例不意图限制要求保护的专利技术的范围,而是这些实施例仅意图提供本专利技术的可能形式的简要概括。实际上,本专利技术可包含可与以下陈述的实施例相似或不同的各种形式。在一个实施例中,一种系统包括具有存储器和处理器的工业控制器,处理器配置成使工业控制器工作在开放模式,其中开放模式配置成使工业控制器能够通过未认证的网络连接或本地连接接收指令。工业控制器的处理器还配置成使工业控制器工作在安全模式,其中安全模式配置成使工业控制器能够仅通过认证的网络连接接收指令。在另一个实施例中,一种方法包括使工业控制器工作在开放模式,其中开放模式包括允许工业控制器使用未认证的网络协议与配置工具通信。该方法还包括接收来自配置工具的指令以使工业控制器工作在安全模式,其中安全模式包括限制工业控制器仅使用认证的网络协议与配置工具通信。该方法还包括使工业控制器工作在协商(negotiation)模式,其中协商模式包括从证书权限(authority)获得安全证书并且禁用未认证的网络协议。该方法还包括使工业控制器工作在认证模式,其中认证模式包括在工业控制器和配置工具之间建立证书认证的连接。该方法还包括使工业控制器工作在安全模式。在另一个实施例中,一种有形的、非暂时的(non-transitory)计算机可读的介质配置成存储可由工业控制器的处理器执行的指令。该指令包括禁用通过未认证的网络连接或通过本地端口向工业控制器通信的指令。该指令还包括实现通过认证的网络连接向工业控制器通信的指令。该指令还包括验证在允许存储在计算机可读介质上的可执行文件执行以前该可执行文件没有被修改的指令。根据本专利技术的第一方面,提供一种方法,包括:使工业控制器工作在开放模式,其中,所述开放模式包括允许所述工业控制器使用未认证的网络协议与配置工具通信;接收来自所述配置工具的指令以使所述工业控制器工作在安全模式,其中,所述安全模式包括限制所述工业控制器仅使用认证的网络协议与所述配置工具通信;使所述工业控制器工作在协商模式,其中,所述协商模式包括从证书权限获取安全证书,并且禁用未认证的网络协议;以及使所述工业控制器工作在认证模式,其中,所述认证模式包括在所述工业控制器和所述配置工具之间建立证书认证的连接;以及使所述工业控制器工作在安全模式。根据本专利技术第一方面的方法,其中,所述安全模式包括阻止所述工业控制器执行在白名单中没有对应条目的二进制文件。根据本专利技术第一方面的方法,建立证书认证的连接包括在所述工业控制器和所述配置工具之间建立证书认证的、加密的连接。根据本专利技术第一方面的方法,其中,所述安全模式包括禁用通过本地端口对所述工业控制器的访问。根据本专利技术的第二方面,提供一种有形的、非暂时的计算机可读介质,配置成存储可由工业控制器的处理器执行的指令,所述指令包括:禁用通过未认证的网络连接或通过本地端口到所述工业控制器的通信的指令;实现通过认证的网络连接到所述工业控制器的通信的指令;以及验证在允许存储在所述计算机可读介质上的可执行文件执行前所述可执行文件没有被修改的指令。根据本专利技术第二方面的介质,包括接收来自配置工具的指令以把所述工业控制器从工作的开放模式改变到工作的安全模式的指令。根据本专利技术第二方面的介质,包括使所述工业控制器能够在功率循环、软件升级、应用程序下载或它们的任何组合之后恢复工作的所述安全模式的指令。根据本专利技术第二方面的介质,包括:联系证书权限并得到证书的指令;以及使用所述证书通过认证的网络连接、加密的网络连接或认证的加密的网络连接与配置工具通信的指令。根据本专利技术第二方面的介质,其中,验证所述可执行文件没有被修改的所述指令包括:确定所述可执行文件的哈希密钥值的指令;以及确定当所述哈希密钥值存在于白名单文件中时所述可执行文件没有被修改的指令。根据本专利技术第二方面的介质,其中,所述工业控制器包括气化器控制器、气体处理控制器、涡轮控制器、发电机控制器或它们的任何组合。附图说明当下列的详细描述参考附图一起阅读时,将更好地理解本专利技术的这些和其它的特征、方面以及优点,其中在整个附图中同样的字符表示同样的部件,其中:图1是根据本公开内容的各方面的正由工业控制器操作的工业控制系统的实施例的示意图;图2是根据本公开内容的各方面的过程的实施例的流程图,工业控制器可通过该过程从工作的开放模式移到工作的安全模式;图3是根据本公开内容的各方面的过程的实施例的流程图,工业控制器可以协商模式执行该过程;以及图4是根据本公开内容的各方面的过程的实施例的流程图,工业控制器可以认证模式执行该过程。具体实施方式以下将描述当前专利技术的一个或多个具体实施例。为了努力提供这些实施例的简洁描述,在说明书中可不描述实际实施的所有特征。应该领会,在任何此类实际实施的开发中,如同在任何工程或设计项目中一样,必须作出许多实施特定的决定以实现开发者的具体目标,比如符合涉及系统的和涉及商业的限制,其在一个实施与另一个实施间可有所不同。此外,应该领会,此开发努力可能是复杂并且耗时的,但是对于受益于本公开内容的普通技术人员而言将仍然是设计、加工和制造的常规任务。在引入当前专利技术的各种实施例的要素(element)时,冠词“一个(a)”、“一个(an)”、“该(the)”以及“所述”意图表示存在一个或多个该要素。术语“包含”、“包括”和“具有”意图是包括在内的并且表示可以有不同于所列出要素的额外要素。另外,如本文所使用的,术语“可执行文件”和“二进制文件”通常都可指包括可由处理器(例如,工业控制器的处理器)执行的指令(例如,二进制指令)的计算机可读文件。此外,如文本所使用的,术语“软件开发者”通常可指开发、维护和/或提供以源代码和/或可执行文件的形式的指令以控制工业控制器工作的机构。此外,如本文所使用的,术语“白名单(whitelist)”可指文件,该文件包括标识被授权在工业控制器上运行的可执行文件的列表。另外,术语“授权的”在本文可用来指可执行文件,该可执行文件被验证来自可靠的源头(即,软件开发者)并且其内容被验证是与当它由可靠的源头提供时相同。通常可需要使工业控制系统的工业控制器工作在安全模式。即,通常可需要对工业控制器的典型行为或工作施加若干限制,以便提高工业控制系统的总体安全。例如,如以下所详细陈述的,使本文档来自技高网...
【技术保护点】
一种系统,包括:包括存储器和处理器的工业控制器,所述处理器配置成:使所述工业控制器工作在开放模式,其中,所述开放模式配置成使所述工业控制器能够通过未认证的网络连接或本地连接接收指令;以及使所述工业控制器工作在安全模式,其中,所述安全模式配置成使所述工业控制器能够仅通过认证的网络连接接收指令。
【技术特征摘要】
2012.04.30 US 13/4607941.一种系统,包括:包括存储器和处理器的工业控制器,所述处理器配置成:使所述工业控制器工作在开放模式,其中,所述开放模式配置成使所述工业控制器能够通过未认证的网络连接或本地连接接收指令;以及使所述工业控制器工作在替代开放模式的安全模式,其中,所述安全模式配置成使所述工业控制器能够仅通过认证的网络连接接收指令。2.如权利要求1所述的系统,包括存储在所述工业控制器的所述存储器中的白名单,其中所述白名单包括多个值,其中每个值与在所述工业控制器的所述存储器中存储的可执行文件关联。3.如权利要求2所述的系统,其中,所述开放模式配置成使所述工业控制器能够执行存储在所述存储器中的多个可执行文件中的任意可执行文件。4.如权利要求2所述的系统,其中,所述安全模式配置成阻止所述工业控制器执行所述存储器中存储的在所述白名单中没有关联值的多个可执行文件中的任意可执行文件。5.如权利要求1所述的系统,其中,所述处理器配置成使所述工业控制器工作在协商模式,其中所述协商模式配置成从证书权限(CA)获取证书,并且禁用到所述工业控制器的未认证的网络连接和本地连接。6.如权利要求5所述的系统,其中,所述处理器配置成使所述工业控制器工作在认证模式,其中所述认证模式配置成使用从所述CA获取的所述证书在所述工业控制器和配置工具之间建立所述认证的网络连接。7.如权利要求6所述的系统,其中,所述认证的网络连接是加密的认证的网络连接。8.如...
【专利技术属性】
技术研发人员:JB聪,DR索基,PKS萨库尔,WR佩蒂格鲁,RJ博林,
申请(专利权)人:通用电气公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。