[发明专利]用于以太网接收的工业控制设备的网络安全模块

权利要求书

1.一种为工业控制系统提供安全性的网络设备，包括：

可连接至网络的第一端口，所述网络携带利用工业控制协议的工业控 制数据；

可连接至控制设备的第二端口，所述控制设备与工业处理通信以对该 工业处理进行控制；

硬件安全组件，所述硬件安全组件接收网络数据分组并从所述网络数 据分组中提取分组数据，以与数据表中的允许和拒绝列表进行比较，如果 所述分组数据在所述允许列表中且不在所述拒绝列表中，则所述硬件安全 组件将所述网络数据分组传递到所述第二端口，否则将所述网络数据分组 传递到软件安全组件；

所述软件安全组件包括电子计算机，所述电子计算机执行所存储的程 序，以接收网络数据分组，并根据所述工业控制协议来从多个分组中提取 状态数据，从而：

(1)识别可拒绝的分组，并不将所述可拒绝的分组发送至所述第二端 口而拒绝所述可拒绝的分组，并将分组数据载入所述拒绝列表，所述拒绝 列表针对所述硬件安全组件识别未来的相似的可拒绝的分组；

(2)识别需要高速处理的可允许的第一控制数据分组，以允许所述第 一控制数据分组被传递到所述第二端口并将分组数据载入所述允许列表， 所述允许列表针对所述硬件安全组件识别未来的相似的第一控制分组；以 及

(3)识别不需要高速处理的可允许的第二数据分组，以允许在不将数 据载入所述允许列表的情况下将所述第二数据分组传递到所述第二端口。

2.根据权利要求1所述的网络设备，其中所述第一控制分组是用来 实时地控制工业处理的输入/输出数据。

3.根据权利要求1所述的网络设备，其中所述分组数据包括连接号， 所述连接号将所述分组识别到在网络上通信的预识别的硬件组件之间的 预配置的连接。

4.根据权利要求3所述的网络设备，其中所述网络数据分组包括从 以下组中选择的分组数据：所述组包括表示所述分组的源的源地址、表示 接收到所述分组的逻辑端口的端口号、以及分配给所述预配置的连接的连 接标识号。

5.根据权利要求1所述的网络设备，其中所述硬件安全组件被制作 为现场可编程门阵列和应用特定集成电路中的至少一种。

6.根据权利要求1所述的网络设备，其中所述第二端口是通过网络 介质连接到接收控制设备的输入的网络的网络端口。

7.根据权利要求1所述的网络设备，其中所述第二端口是在合并了 网络设备的控制设备中的内部通信总线，并且其中电子计算机还用于所述 控制设备的操作。

8.根据权利要求1所述的网络设备，其中所述软件安全组件以在所 述第一端口上进行通信的设备来执行安全协议，以识别已授权的连接，并 对所述硬件安全组件提供加密密钥，其中所述硬件安全组件从以所述加密 密钥解密并与允许列表比较的分组中提取安全密钥。

9.根据权利要求1所述的网络设备，其中所述软件安全组件进一步执 行所存储的程序以：

(1)在所述第一端口上以对应的设备执行安全协议，以认证所述第 一端口上的所述设备；

(2)与所述对应的设备共享安全码；

(3)将所述安全码载入所述数据表中；

且其中所述硬件安全组件接收数据分组并以来自所述数据表的所述 安全码认证所述数据分组，且发送编码的数据分组以使用来自所述数据表 的所述安全码通过远程设备进行认证。

10.根据权利要求1所述的网络设备，其中所述软件安全组件进一步 执行所存储的程序以：

(1)执行安全协议以建立与在所述第一端口上通信的设备的安全通 信，所述安全协议导致生成密钥，所述密钥可解码所述网络数据分组以认 证该网络数据分组；以及

(2)将所述密钥添加到可由所述硬件安全组件访问的所述数据表；

其中所述硬件安全组件从所述第一端口接收网络数据分组，并且如果 可以以保持在所述数据表中的密钥认证所述网络数据分组，则将所述网络 数据分组传递到所述第二端口，否则将所述网络数据分组传递到所述软件 安全组件，以及

其中所述硬件安全组件进一步从所述第二端口接收数据分组，并编码 该数据分组以在将该数据分组传递到所述第一端口之前进行认证。