[发明专利]用于以太网接收的工业控制设备的网络安全模块

说明书

技术领域

本发明总地来说涉及用于控制机器和工业处理的工业控制器，并特别地涉及对于使用普通以太网络相互连接的工业控制设备允许更高的安全性的安全模块。 

背景技术

工业控制器用来控制和监视工业处理和机器设备。典型的工业控制器包括专用计算机，该专用计算机执行存储的控制程序，从而基于该控制程序的逻辑来从受控的处理读取输入以及将输出提供给该受控的处理。 

工业控制器在三个方面与传统计算机不同。首先，工业控制器可被高度地定制以适应受控制的特定工业处理的需求。通常，该定制通过如下模块构造成为可能，该模块构造针对特定的应用提供可被添加到工业控制器的不同的组件来扩展该工业控制器。更通常地，这些另外的组件是对致动器提供模拟或数字信号的I/O(输入/输出)模块，或是从传感器接收模拟或数字信号的I/O(输入/输出)模块。其它普通组件包括显示器和电机驱动。 

工业控制器和传统计算机的第二点区别在于：工业控制器的组件可分隔相当大的距离，例如分布在遍布工厂的网络通信上。一些专属的高速控制网络被用于该用途，这些网络包括例如ControlNet和DeviceNet、由多行业联盟ODVA(www.odva.org)管理的开放标准。 

第三，与传统计算机不同，工业控制器必须提供高度可预测和可信赖的、可安全地控制物理装备的控制输出。在这点上，既迫切需要迅速地分发输出和输入，也迫切需要确保该输出和输入实际上进行通信。不允许数据通信的损坏或伪造的消息。 

最近，在使用以太网协议的控制网络方面产生了浓厚兴趣。这种网络使用容易获得且低成本的以太网硬件，并添加另外的协议以满足控制网络的其它需求。这种控制网络协议包括以太网/IP(以太网工业协议)、同样由 ODVA管理的开放标准、以及Modbus/TCP等。 

对以太网兼容网络的使用允许控制系统使用还连接至其它非控制计算机甚至连接至因特网的网络。这种连接增加了因恶意流量产生的熟悉的因特网安全问题的风险。这种恶意流量在工业控制环境中会比在装备不受控制的标准计算环境中造成更大破坏。因而，必须防止这种恶意流量。 

限制恶意网络流量的影响的标准方法是使用防火墙和/或安全协议。简单的防火墙检查在以太网上移动的分组，以基于从单个分组采集的无状态数据、例如表示分组的来源或表示分组所导向的端口的数据，来拒绝某些分组。然而，更复杂的防火墙则从多个分组中提取状态数据，以更好地(例如在通信协议的上下文中)辨别分组，并拒绝被认定为有害的分组。这些更高级的防火墙利用执行软件的电子计算机来逻辑地处理从多个分组形成的状态信息，并评定是否应转发该分组还是将该分组阻挡在防火墙处。 

作为防火墙的替代或补充，安全协议可通过在网络上通信的设备来执行，其中设备交换信息以建立例如发送设备的真实性。安全协议的一例是用来实施安全HTTP(https)。 

理想地，在工业控制环境中，各控制设备会具有对来自所连接的以太网络的有害流量进行阻挡的防火墙和/或安全协议。然而，这对于不支持实施这些功能所需的成本或处理电力的旧设备或简单设备来说可能不现实。另外，复杂的因特网防火墙或安全协议会引入通信延迟和延迟中的变化(抖动)，这些对于控制环境中的高速控制信号是不可接受的。 

发明内容

本发明提供一种适于用在工业控制环境中的高速网络安全模块，其中在高速硬件组件和更慢但更复杂的软件组件之间划分安全任务。软件组件可与硬件组件进行通信，以在由该软件组件从分组中提取的状态数据上形成“允许列表”或“拒绝列表”。该允许列表和拒绝列表被硬件组件用来迅速地评价分组，从而没有进一步的延迟地允许已知的高速分组通过。其它分组被传给软件组件以被评价并或被允许或被拒绝。以这种方式，高速流量可被由软件组件更新的硬件组件迅速地通过，同时可由软件组件来进行分组的复杂状态分析。软件组件可作为替代或补充而执行安全协议并将已认证的分组添加至授权列表。 

具体地，本发明提供一种增加工业控制系统的安全性的网络分流器。网络分流器提供了可连接至网络的第一端口，该网络携带利用工业控制协议的工业控制数据，并提供可连接至控制设备的第二端口，该控制设备与工业处理进行通信以对其进行控制。硬件安全组件接收网络数据分组并从该网络数据分组中提取分组数据，以与数据表中的允许列表进行比较。接着，如果分组数据在允许列表中，则硬件安全组件将网络数据分组传递到第二端口，否则将该网络数据分组传递到软件安全组件。