专利名称:用于安全仪表化过程控制系统的入侵防御的设备及方法
技术领域:
本发明总体上涉及过程控制系统,尤其涉及用于安全仪表化过程控制系 统的入侵防御的设备及方法。
背景技术:
过程控制系统-如那些用于化学、石油、或其他过程的过程控制系统-典 型地包括一个或多个集中式过程控制器,集中式过程控制器通过模拟总线、 数字总线或模拟/数字混合总线,与至少 一个主机或操作员工作站及与 一个 或多个现场设备通信连接。所述现场设备可能是阀、阀定位器、开关及传送 器(例如温度传感器、压力传感器及流率传感器),它们在过程中发挥功能, 如开启或关闭阀及测量过程参数。所述过程控制器接收所述现场设备所进行 的过程测量的信号及/或关于所述现场设备的其他信息,并使用这些信息来 实施控制例程,然后产生控制信号并通过所述总线或其他通信线传送至所述 现场设备,以控制过程的操作。来自所述现场设备和所述控制器的信息可以 由所述操作员工作站执行的一种或多种应用程序,使操作员能够执行针对过 程所需要的功能,例如观察过程的当前状态、修正过程的操作等等。
许多过程控制系统也包括一个或多个应用站。典型地,这些应用站使用 个人计算机、工作站或类似物来实施,所述个人计算机、工作站或类似物通
过局域网(LAN)通信连接到所述控制器、操作员工作站及所述过程控制系 统中的其他系统。每个应用站可以执行一个或多个软件应用程序,软件应用 程序在过程控制系统中执行活动管理功能、维修管理功能、实质控制功能、 诊断功能、实时监测功能、安全相关功能、配置功能等等。
有些过程控制系统或其部分可能存在重大的安全风险。例如,化学处理
工厂、发电厂等可能实施关键过程,这些关键过程如果没有适当地控制及/ 或使用预定的关闭顺序迅速关闭,会对人员、环境及/或设备造成重大损害。 为了处理和涉及这种关键过程的过程控制系统相关的安全风险,许多过程控 制系统供应商提供遵守安全相关标准的产品,例如遵守"国际电工委员会"
(Electrotechnical Commission, IEC )的IEC 61508标准及IEC 61511标准的产品。
一般上,遵守一个或多个已知安全相关标准的过程控制系统是通过使用 安全仪表化系统结构来实施。在这样的系统结构中,与基本过程控制系统相 关的、负责全过程的连续控制的控制器及现场设备在物理上和逻辑上与专用 现场设备及其他与安全仪表系统相关的专用控制元件分离,而安全仪表系统 则负责安全仪表功能的执行,以响应出现重大安全风险的控制情况,从而确 保过程安全关闭。特别是许多已知的安全相关标准要求以专用控制元件来补 充基本过程控制系统,比如以逻辑求解器、安全已确认现场设备(例如传 感器、末控元件-比如气动阀)、数据冗余设备及例程(例如冗余链路、 循环冗余码校验等等)及安全已确认软件或代码(例如已确认应用程序、功 能模块、功能块等等)。此外,许多已知的过程控制系统也提供至少一个图 形运行时间界面,图形运行时间界面允许用户或其他系统操作员监测过程、 改变参数值、向一个或多个设备、控制环路及/或其他过程控制实体发出命 令等等。
安全仪表化系统定期地更新以下载更新的软件、更新的搡作参数、更新 的控制过程等等。目前的安全仪表化系统使用用户名及密码及/或机械钥匙 开关来防止从过程控制系统中的工作站未经授权地对安全仪表化系统进行 下载存取。然而,如果钥匙没有获得谨慎保管、用户在无人看管的情况下 离开已登录联接的工作站、机械锁在使用后没有重锁、钥匙被复制,可能发 生未经授权的对安全仪表化系统的下载存取。
发明内容
本发明揭示用于安全仪表化过程控制系统的入侵防御的范例方法及设 备。 一种保护安全仪表化系统的范例方法涉及接收来自过程控制系统的元件 的合法信息(其中所述合法信息计划发送到安全仪表化系统)及确定签名是 否与所述合法信息至少充分匹配。在确定所述签名与所述合法信息至少充分 匹配时,所述合法信息被阻止到达所述安全仪表化系统。
根据另 一范例,本发明揭示一种用于保护安全仪表化过程控制系统的范 例设备。所述范例设备包括接收器,以便接收来自过程控制系统的过程控制 部分的寻址到安全仪表化系统的合法信息。所述设备也包括数据仓库(以便 存储至少一个签名)及签名分析器(以便确定所述至少一个签名是否与所述 合法信息至少充分匹配,以及在所述签名与所述合法信息至少充分匹配时, 阻止所述合法信息到达所述安全仪表化系统。
根据另一范例,本发明揭示一种范例机器可读媒介。所述范例机器可 读媒介包括存储于其上的指令,所述指令在被执行时促使机器接收来自过程 控制系统的过程控制部分的寻址到安全仪表化系统的合法信息,并确定签名 是否与所述合法信息充分匹配。所述机器可读指令在被执行时进一步促使所 述机器在确定所述签名与所述合法信息至少充分匹配时,阻止所述合法信息 到达所述安全仪表化系统。
图l为一框图,其显示一种范例过程控制系统,该范例过程控制系统可 以配置成使用在此描述的范例入侵防御系统设备及方法。
图2为一详细框图,其显示图1的范例入侵防御系统。 图3为一流程图,其描绘一种可以用于实施图l及2的范例入侵防御系 统的范例方法。
图4为一流程图,其描绘一种可以与图1及2的范例入侵防御系统连同 使用来将软件下载到所述过程控制系统的范例方法。
图5为一框图,其显示一种可以用于实施在此描迷的设备及方法的范例 处理器系统。
具体实施例方式
一般上,在此描述的范例设备及方法可以与控制系统连同使用,以便为 所述控制系统的安全系统(例如安全仪表化系统(SIS))提供入侵防御。 更明确地说,在此描述的范例设备及方法防止由过程控制系统发送的预定指 令控制安全系统。在一实施例中,由过程控制系统发送的、与预定签名匹配 的合法(例如有效、经授权、许可等等)指令被防止到达安全系统。
如以下所作的更详细描述那样,范例入侵防御系统(IPS)在过程控制 系统及与所述过程控制系统相关的安全系统(即安全仪表化系统SIS)之间 提供。所述范例入侵防御系统(IPS)接收由所述过程控制系统传送给所述 安全系统的信息。所述范例入侵防御系统(IPS)对所接收的信息及一签名
进行比较,以确定所接收的信息是否与所述签名匹配。匹配指示所接收的信 息是软件下载解锁命令,而软件下载解锁命令是对所述安全系统的合法指
令。如果所接收的信息与所述签名匹配,所述范例入侵防御系统(IPS)放
弃所述信息或防止所述信息到达所述安全系统(即不发送所述信息到所述安 全系统)。如果所接收的信息与所述签名不匹配,所述范例入侵防御系统
(IPS)将所述信息进路及/或发送到所述安全系统。所述范例入侵防御系统 (IPS)也配置成从所述安全系统接收定向所述过程控制系统或计划发送到 所述过程控制系统的信息。所述范例入侵防御系统(IPS)不监测从所述安
全系统发送到所述过程控制系统的这样的信息。
图l为一框图,其显示一范例过程控制系统10,范例过程控制系统IO 包括在此描述的范例入侵防御设备及方法。如图1所示,过程控制系统10 包括一入侵防御系统(IPS) 15a。过程控制系统10也包括一过程控制部分 12,过程控制部分12通过入侵防御系统(IPS) 15b及/或通过开关17,通 信连接到安全仪表化系统部分14 (例如安全仪表化系统SIS)。在所图解的
范例中,过程控制部分12配置成实施一控制过程,而安全仪表化系统部分 14配置成实施所述控制过程的关闭,以回应一个或多个不安全情况。入侵 防御系统(IPS) 15a配置成监测从操作员站18、动态应用站20、备用应用 站22或远程操作员站44传送到过程控制部分12或安全仪表化系统部分14 的信息,以及阻止已经预先选择(即预定)及已经使用标识符(例如签名、 编码等等)来识别的信息。所述图解范例的入侵防御系统(IPS) 15b配置成 监测从过程控制部分12传送到安全仪表化系统部分12的信息以及阻止已经 预先选择(即预定)及已经使用标识符(例如签名、编码等等)来识别的信 息。虽然图1包括入侵防御系统(IPS) 15a及入侵防御系统(IPS) 15b,过 程控制系统10的实施可以包括入侵防御系统(IPS) 15a及入侵防御系统
(IPS) 15b中的一个或两个。此外,入侵防御系统(IPS) 15a及/或入侵防 御系统(IPS) 15b可以位于过程控制系统IO中的任何期望位置。
在图l的图解范例中,基本过程控制部分12包括控制器16、操作员站 18、动态应用站20及备用应用站22,控制器16、操作员站18、动态应用 站20及备用应用站22可以通过总线或局域网(LAN) 24通信连接,局域 网(LAN)24—般称为"应用程序控制网络"(ACN)。操作员站18和应 用站20及22可以使用一个或多个工作站或任何其他合适的计算机系统或处 理单元来实施。例如,应用站20及22可以使用类似以下图5中所示的范例 处理器系统500的单处理器个人计算机、单处理器工作站或多处理器工作站 等来实施。此外,局域网(LAN) 24可以使用任何期望的通信媒介及协议 来实施。例如,范例局域网(LAN)24可以基于固定或无线以太网(Ethernet) 通信方案,由于固定或无线以太网(Ethernet)通信方案广为人知,因此在 此不作更详细的描述。然而,本领域的普通工程技术人员将可以理解,可以 使用任何其他合适的通信々某介及协议。此外,虽然图中只显示单一局域网
(LAN),但可以使用超过一个局域网(LAN)和应用站20及22中的适当 通信硬件,在操作员站18、应用站20及22以及控制器16之间提供冗余通 信路径。
控制器16可以通过数字数据总线32及输入/输出(1/OH殳备34连接到 多个智能现场设备26、 28及30。智能现场设备26、 27、 28、 29及30可以 是遵守Fiddbus协议的阀、促动器、传感器等等,在这种情况下,智能现场 设备26、 27、 28、 29及30使用广为人知的Fieldbus协议,通过数字总线 32进行通信。当然,也可以改为使用其他类別的智能现场设备及通信协议。 例如,智能现场设备26、 27、 28、 29及30可以改为使用广为人知的Profibus 及HART协议、通过数据总线32进行通信、遵守Profibus协议或HART协 议的设备。附加的输入/输出(I/O)设备(与所述输入/输出(I/O)设备34 相似或相同)可以连接到所述控制器16,以使附加组合的智能现场设备(可 以是Fieldbus设备、HART等等)能够与控制器16通信。
除了智能现场设备26、 27、 28、 29及30之外, 一个或多个非智能现场 设备36及38可以通信连接到控制器16。非智能现场设备36及38可以是 传统的4-20 mA或0-10 V直流电(VDC )设备,它们通过各自的固定链路 40及42与控制器16通信。
控制器16可以是(例如)由费舍-柔斯芒特系统有限公司 (Fisher-Rosemount System, Inc.)出售的DeltaV 控制器。然而,可以使用 任何其他控制器。此外,虽然图l只显示一个控制器,任何期望类别的或多 类別混合的附加控制器可以连接到局域网(LAN) 24。控制器16可以执行 与过程控制系统10相关的一个或多个过程控制例程。这些过程控制例程可 以由系统工程师或其他人类操作员使用操作员站18来产生并下载到控制器 16及在控制器16中初始化。
如图l所示,范例过程控制系统10也可以包括远程操作员站44,该远 程操作员站44通过通信链路46及局域网(LAN) 48,通信连接到应用站 20及22。远程操作员站44可以在地理上远程定位,在这种情况下,通信链 路46以无线通信链路、基于互联网或基于其他可交换包通信网络、电话线 (例如数字用户线)或它们的任何组合为优选,但并非必须是无线通信链路、
基于互联网或基于其他可交换包通信网络、电话线(例如数字用户线)或它
们的任何组合。
如图1所示,动态应用站20及备用应用站22通过局域网(LAN) 24 及通过冗余链路50通信连接。冗余链路50可以是动态应用站20及备用应 用站22之间的单独、专用(即不是共用)通信链路。冗余链路50可以使用 (例如)专用以太网(Ethernet)链路来实施(例如在相互连接的动态应用 站20及备用应用站22的每个应用站中的专用以太网卡)。然而,在其他范 例中,冗余链路50可以使用通信连接到应用站20及22的局域网(LAN) 24或冗余局域网(LAN)(图中未显示)来实施(局域网(LAN) 24及冗 余局域网(LAN)中的任何一个都不是必须专用的)。
一般而言,应用站20及22通过冗余链路50,连续地、例外地或定期 地交换信息(例如回应参数值变化、应用站配置变化等等)以建立及维持冗 余语境。冗余语境使得能够在动态应用站20及备用应用站22之间进行控制 的无缝或无扰切换或转换,以回应用应用站20及22的其中之一的故障。例 如,所述冗余语境使得能够进行从动态应用站20到备用应用站22的控制切 换或转换,以回应动态应用站20中的硬件或软件故障或回应来自系统4喿作 员或用户或过程控制系统10的客户应用程序的指示。
如图1所示,过程控制系统10的安全仪表化系统部分14包括逻辑求解 器52及54以及现场设备56及58。逻辑求解器52及54可以使用(例如) 由费舍-柔斯芒特系统有限公司(Fisher-Rosemount System, Inc.)生产的商用 DeltaV SLS 1508逻辑求解器来实施。 一般上,逻辑求解器52及54通过冗 余链路60,作为冗余对进行协作。换句话说,逻辑求解器52及54以及冗 余链3各60实施与以上连同动态应用站20及备用应用站22以及冗余链^各50 进行描述的那些技术充分相似或相同的冗余技术。在其他实施例中,逻辑求 解器52及54可以改为使用单一非冗余逻辑求解器或多个非冗余逻辑求解器 来实施。
在所述图解范例中,逻辑求解器52及54使用配置成实施一个或多个安 全仪表化功能的安全相关电子控制器来实施。应该理解,安全仪表化功能配
置成监测与一个或多个特定危险及/或不安全情况相关的一个或多个过程 情况,评估所述过程情况以确定是否有正当理由来关闭过程,以及在有正当 理由时促使一个或多个现场设备、组件及/或元件(例如关闭阀)以实现或 执行关闭过程。
典型地,每个安全仪表化功能使用至少一个传感设备、 一个逻辑求解器 以及一个现场设备、组件或元件(例如阀)。所述逻辑求解器典型地配置成 通过所述传感器来监测至少一个过程控制参数,以及在察觉到危险情况时操 作所述现场设备、组件或元件,以实现过程的安全关闭。例如,逻辑求解 器可以通信连接到压力传感器(压力传感器读出容器或槽中的压力),而且 可以配置成在通过所述压力传感器检测到不安全超压时促使通气阀开启。当 然,安全仪表化系统中的每个逻辑求解器可以配置成实施一个或多个安全仪 表化功能,而且因此可以通信连接到多个传感器及/或现场设备、组件或元 件,这些传感器及/或现场设备、组件或元件典型地经过安全评级或认证。
现场设备56及58可以是智能或非智能现场设备,包括传感器、促动器 及/或任何其他可以用于监测过程情况及/或用于实现过程控制系统10的控 制关闭的过程控制设备。例如,现场设备56及58可以是经安全认证或评级 的流率传感器、温度传感器、压力传感器、关闭阀、通气阀、隔离阀、临界 开关阀等等。虽然图1的范例过程控制系统10的安全仪表化系统部分14中 只描绘两个逻辑求解器52及54以及两个现场设备56及58,但可以使用附 加的现场设备及/或逻辑求解器来实施任何期望数目的安全仪表化功能。
如图1所示,现场设备56及58通过各自的链路62及64通信连接到逻 辑求解器52及54。在现场设备56及58是智能设备的情况下,逻辑求解器 52及54可以使用固定的数字通信协议(例如HART协议、Fieldbus协议等 等)与现场设备56及58通信。然而,可以改为使用任何其他期望的通信媒 介(例如固定通信媒介、无线通信媒介等等)及协议。亦如图l所示,逻辑 求解器52及54通过入侵防御系统(IPS) 15b及/或开关17及总线32以及 输入/输出(1/0)设备34,通信连接到控制器16。然而,逻辑求解器52及
54可以在过程控制系统10中替代地以任何其他期望方式通信连接。例如, 逻辑求解器52及54可以通过入侵防御系统.(IPS) 15b及/或开关17,及/ 或通过入侵防御系统(IPS) 15b及/或开关17以及局域网(LAN) 24,直接 地连接到控制器16。不论逻辑求解器52及54以什么方式在过程控制系统 10中连接,逻辑求解器52及54以相对于控制器16的逻辑对等物为优选, 但并非必须是相对于控制器16的逻辑对等物。
在过程控制系统10的一个实施例中,安全仪表化系统部分14的组件(例 如逻辑求解器54及/或逻辑求解器52)包括锁定状态及解锁状态。在所述解 锁状态下,安全仪表化系统部分14的解锁组件可接受包括所述组件的更新 指令及/或参数的信息。例如,操作员站18可为过程控制部分12发送更新 操作参数的下载要求到逻辑求解器54。如果逻辑求解器54处在锁定状态, 所述下载要求将被逻辑求解器54忽略。安全仪表化系统部分14的组件的状 态是受由所述安全仪表化系统组件从其他组件(例如所述安全仪表化系统部 分的组件、所述过程控制部分、操作员的组件等等)接收的锁定及解锁命令 控制。附加地或可选择地,根据Fieldbus Foundation 系统实施的设备可以 包括锁定块,该锁定块可以接收解锁及锁定命令。
所述图解范例的入侵防御系统(IPS) 15a监测在所述操作员站(操作 员站18、动态应用站20、备用应用站22及远程操作员站44)与过程控制 部分12及安全仪表化系统部分14之间传送的信息。所述图解范例的入侵防 御系统(IPS) 15b监测在过程控制部分12与安全仪表化系统部分14之间传 送的信息。如以下将连同图2进行的更详细的描述那样,入侵防御系统(IPS ) 15a及/或入侵防御系统(IPS) 15b接收对安全仪表化系统部分14定向(例 如致、传送、转发、发送等等)的信息(例如消息、信息包、指令、信号等 等)。入侵防御系统(IPS) 15a及/或入侵防御系统(IPS) 15b对所述信息 及代表或指示已经预先识别或预先选择的(为防止不安全或危险操作情况) 将被入侵防御系统(IPS) 15a及/或入侵防御系统(IPS) 15b阻止的信息的 参考签名进行比较。例如,入侵防御系统(IPS)15a及/或入侵防御系统(IPS)
15b可以确定所述签名是否与所述信息匹配、所述签名是否充分地与所述信
息匹配(例如所述签名的一部分与所述信息匹配、所述签名与所述信息之间
的差异在容许极限内)等等。在有些实施例中,为了确定是所述参考签名中
的一个或多个参考签名与所接收的信息匹配,入侵防御系统(IPS) 15a及/ 或入侵防御系统(IPS ) 15b可以产生所接收的信息的签名并对所产生的签名 及所述参考签名中的一个或多个参考签名进行比较。可选择地,入侵防御系 统(IPS) 15a及/或入侵防御系统(IPS) 15b可以对所接收的信息的特定数 据部分及所述参考签名中的一个或多个参考签名进行比较。这些数据可以包 括文本、文字数字串、二进制串、特定命令等等。在其他实施例中,可以选 择使用其他签名匹配方法。
如果入侵防御系统(IPS) 15a及/或入侵防御系统(IPS) 15b确定所述 信息与所述签名匹配,则入侵防御系统(IPS) 15a及/或入侵防御系统(IPS) 15b阻止所述信息到达安全仪表化系统部分14。如果入侵防御系统(IPS) 15a及/或入侵防御系统(IPS) 15b确定所述信息与所述签名不匹配,则入侵 防御系统(IPS) 15a及/或入侵防御系统(IPS) 15b帮助传输所述信息到所 述安全仪表化系统。此外,入侵防御系统(IPS)15a及/或入侵防御系统(IPS) 15b接收来自安全仪表化系统部分14的信息并在不进行监测的情况下帮助 传输所述信息到过程控制部分12。
入侵防御系统(IPS) 15a及/或入侵防御系统(IPS) 15b可以使用任何 类别的有能力监测通信的网络通信元件来实施。例如,入侵防御系统(IPS) 15a及/或入侵防御系统(IPS) 15b可以是专用防火墙、有监测能力的网络路 由器、有监测能力的网络交换机、有能力与过程控制部分12及安全仪表化 系统部分14连接并有能力监测过程控制部分12与安全仪表化系统部分14 之间的通信的个人计算机等等。例如,入侵防御系统(IPS) 15a及/或入侵 防御系统(IPS) 15b可以使用个人计算机、服务器计算机、桌面计算机等等 来实施,执行可从Sourcefire , Inc.获得的Snort⑧入侵防御软件。虽然范例 入侵防御系统(IPS) 15a及/或入侵防御系统(IPS) 15b不监测从安全仪表
化系统部分14接收到过程控制部分12的信息,但在其他实施例中,入侵防 御系统(IPS) 15a及/或入侵防御系统(IPS) 15b可以配置成除了监测相反 方向的通信之外,还监测这样的通信,或配置成改为监测这样的通信。
根据所述图解范例,入侵防御系统(IPS) 15a及/或入侵防御系统(IPS) 15b阻止解锁命令(例如符合Fieldbus Foundation系统的解锁命令、用于控 制器的解锁命令等等)被传送到过程控制系统10的安全仪表化系统部分14。 换句话说,对过程控制部分12的组件(例如操作员站18)进行工作的用户 不能通过从过程控制部分12的所述组件发送解锁命令来将安全仪表化系统 部分14的任何组件置于解锁状态-即使所述解锁命令是受过程控制部分 12容许的合法信息。
为了便于解锁安全仪表化系统部分14的组件,所述图解范例的开关17a 及开关17b提供分别绕路入侵防御系统(IPS ) 15a及/或入侵防御系统(IPS ) 15b的能力。开关17a及开关17b使得能够进行将被入侵防御系统(IPS)15a 及/或入侵防御系统(IPS) 15b阻止到达其预定目的地的通信。开关17a及/ 或开关17b可以实施为与入侵防御系统(IPS ) 15a及/或入侵防御系统(IPS ) 15b分离的设备(如图中所示),或可选择地可以与入侵防御系统(IPS) 15a 及/或入侵防御系统(IPS) 15b结合。开关17a及/或开关17b可以包括安全 机制(例如钥匙锁、用于输入安全密码的键区等)。可选择地,开关17a 及/或开关17b可以不包括集成安全性能。例如,如果开关17a及/或开关17b 所在的设施提供充分的物理安全而足以防止未经授权接触开关17a及/或开 关17b,则开关17a及/或开关17b可能不需要集成安全。此外,在有些实施 例中,过程控制系统10可以不包4舌开关17a及/或开关17b。
除了利用开关17a及/或开关17b来绕路入侵防御系统(IPS) 15a及/或 入侵防御系统(IPS) 15b之外,还可以通过从入侵防御系统(IPS) 15a及/ 或入侵防御系统(IPS) 15b内部的组件(例如从安全仪表化系统部分14的 组件)发送解锁命令来解锁安全仪表化系统部分14的组件。例如,直接连 接到安全仪表化系统部分14的操作员终端(即未通过入侵防御系统(IPS)
15连接到安全仪表化系统部分14)可以发送解锁命令到安全仪表化系统部 分14的组件。根据这样的实施例,所述解锁命令可以由直接连接到安全仪 表化系统部分14的设备发出,而且在所期望的下载完成时,可以由安全仪 表化系统部分14的组件或过程控制部分12的组件发出锁定命令。可选择地, 可以使用其他合适的方法来解锁系统中的组件,包括解锁入侵防御系统 (IPS) 15a及/或入侵防御系统(IPS) 15b。
图2为一详细框图,其显示图1的范例入侵防御系统(IPS) 15a及/或 入侵防御系统(IPS) 15b。为了便于描述,图2以入侵防御系统(IPS) 15b 作为参考来进行描述。所述图解范例的范例入侵防御系统(IPS) 15b包括第 一包接收器202、签名分析器204、签名数据仓库206、第一包传送器208、 第二包传送器210及第二包接收器212。
所述图解范例的第一包接收器202接收从过程控制系统的过程控制部 分(例如图1的过程控制系统IO的过程控制部分12)传送的信息。第一包 接收器202将所接收的信息传送到签名分析器204。第一包接收器202可以 是任何类别的通信界面,例如局域网界面、广域网界面、无线网络界面、服 务提供者网络界面等等。范例第一包接收器202可以实施为单独的设备,或 可选择地在二进制设备中以传送器(例如第二包传送器210)实施而构成包 收发器。
所述图解范例的签名分析器204从签名数据仓库206检索签名,然后将 所述签名与从第一包接收器202接收的信息进行比较。如果签名分析器204 确定所述信息与所检索的签名中的 一个或多个签名匹配,签名分析器204阻 止所述信息被传送到第一包传送器208 (即阻止所述信息被传送到安全系 统)。以下连同图3的流程图对实施签名分析器204的范例过程进行描述。
范例签名数据仓库206存储可能从过程控制部分12接收及由签名分析 器204分析的信息的签名。在所述图解范例中,存储在签名数据仓库206的 所述签名描述(指示)将另外被允许传送到安全仪表化系统部分14的、而 且可以由安全仪表化系统部分14解释来修改其一个或多个操作的、但所述
图解范例中的签名分析器204已经配置成对其进行阻止(以防止不安全或危 险的操作)的合法信息的特性。例如,签名可以指示在包标题中的第一偏移 具备第 一值及在包标题中的第二偏移具备第二值的通信包是应被阻止到达 安全系统的"解锁"指令。
第一包传送器208接收未被签名分析器204放弃的信息并将所接收的信 息传送到过程控制系统的安全仪表化系统部分(例如图1的安全仪表化系统 部分14)。第一包传送器208可以是任何类别的通信界面,例如局域网界 面、广域网界面、无线网络界面、服务提供者网络界面等等。范例第一包传 送器208可以实施成单独的设备或可以选择地与二进制设备中的接收器(例 如第二包接收器212)结合,以构成包收发器。
所述图解范例的第二包接收器212接收来自安全仪表化系统部分14的 寻址到过程控制系统的过程控制部分的信息。根据所述图解范例,第二包接 收器212将所述传送到第二包传送器210。可选择地,第二包接收器212可 以传送所接收的信息到签名分析器(例如签名分析器204),以使能够过滤 来自安全仪表化系统部分14的寻址到过程控制系统10的过程控制部分12 的信息。第二包传送器210接收来自第二包接收器212的信息并将所述的包 传送到过程控制系统IO的过程控制部分12。第二包传送器210及第二包接 收器212可以是任何类别的通信界面,例如局域网界面、广域网界面、无线 网络界面、服务提供者网络界面等等。
图3为一流程图,其描绘可以用于实施图1及2的入侵防御系统(IPS) 15a及/或入侵防御系统(IPS) 15b的范例过程。图4为一流程图,其描绘可 以由图1的过程控制系统10的组件(例如远程操作员站44、动态应用站20、 备用应用站22、操作员站18、入侵防御系统(IPS) 15a、入侵防御系统(IPS) 15b、逻辑求解器54及/或逻辑求解器52)实施的范例过程。图3及/或4的 范例过程可以由处理器、控制器及/或任何其他合适的处理设备实施。例如, 图3及/或4的范例过程可以收录于存储在有形机器可存取或可读媒介上的 编码指令中,比如存储在与处理器(例如以下连同图5进行讨论的范例处理
器505 )相关的闪速存储器、只读存储器(ROM )及/或随机存取存储器(RAM ) 上的编码指令中。可选择地,图3及/或4的一些或所有范例操作可以使用 专用集成电路(ASICs)、可编程逻辑器件(PLDs)、现场可编程逻辑器件
(FPLDs)、离散逻辑、硬件、固件等等的任何组合来实施。此外,图3及 /或4中描绘的一个或多个才喿作可以人工地实施,或以前述的任何技术的任 何组合来实施,例如以固件、软件、离散逻辑及/或硬件的任何组合来实施。 此外,虽然图3及/或4的范例过程以图3及/或4的流程图来进行描述,但 图3及/或4的范例过程也可以以许多其他方法来实施。例如,可以改变流 程块的执行顺序,及/或可以改变、消除、分割或结合所描述的有些流程块。 此外,图3及/或4的任何范例操作或所有范例操作可以按顺序地执行,及/ 或(例如)由个别的处理线程、处理器、器件、离散逻辑、电路等同时执行。 为了便于描述,图3以入侵防御系统(IPS) 15b作为参考来进行描述, 但图3的过程也可以替代性地用于实施入侵防御系统(IPS) 15a。图3的范 例过程以寻址到安全仪表化系统(例如图1的安全仪表化系统部分14的逻 辑求解器54)的通信包在入侵防御系统(例如图1的入侵防御系统(IPS) 15b)被接收(流程块302)为开始。安全仪表化系统部分14接着从可利用 的数据仓库(例如图2的数据仓库206)检索一个或多个签名(流程块304)。 所述安全仪表化系统接着将所接收的通信包与所述一个或多个检索签名进 行比较(流程块306)。例如,图2的签名分析器204可以将从第一包接收 器202接收的通信包与从签名数据仓库206检索的一个或多个签名进行比 较。可以使用任何方法将所述通信包与所述签名进行比较。
在对所接收的通信包与所检索的一个或多个签名进行比较(流程块306) 之后,签名分析器204确定所接收的通信包是否与所述一个或多个检索签名 匹配(流程块308 )。如果所接收的通信包与所述一个或多个检索签名匹配
(流程块308 ),第一包传送器208 (图2)将所述通信包进路到所述适当 的安全仪表化系统(流程块310)。如果所接收的通信包与所述一个或多个 检索签名不匹配(流程块308 ),则签名分析器204阻止所述通信包(即所
述通信包不被进路到所述通信包寻址的所述安全仪表化系统X流程块312)。 然后,图3的范例过程结束。在所述图解范例中,图3的范例过程是在每次 包被第一包接收器202接收时执行。
图4的过程图解一个可以将软件安全地下载到图1的过程控制系统10 的范例过程。图4的过程以入侵防御系统(IPS) 15b作为参考来进行描述, 然而,所述过程也可以替代性地用于入侵防御系统(IPS) 15a及与其相关的 通信。图4的过程以过程控制系统的组件(例如过程控制系统10的操作员 站18)发送解锁命令到所述安全仪表化系统的组件(例如安全仪表化系统 部分14的逻辑求解器52)(流程块402)为开始。入侵防御系统(例如图 l及2的入侵防御系统(IPS) 15b)接收所述解锁命令、确定所述解锁命令 为应被阻止的合法指令以及放弃或阻止所述解锁命令(流程块404)。图3 中图解用于分析及阻止通信的范例过程。
根据所述图解范例过程,在随后的某时,解锁命令从安全仪表化系统部 分14中的工作站(例如与逻辑求解器52相关的工作站)发送到安全仪表化 系统部分14 (流程块406)。换句话说,所述命令是通过没有连接到通过入 侵防御系统(IPS) 15b连接到安全仪表化系统部分14的通信链路发送。因 此,所述解锁命令没有被入侵防御系统(IPS) 15b阻止。因此,所述解锁命 令到达所寻址的安全仪表化系统部分14,而安全仪表化系统部分14被置于 解锁状态(流程块408 )。例如,所述安全仪表化系统可以进入解锁状态, 在解锁状态下,安全仪表化系统部分14可接受发送到安全仪表化系统部分 14的下载要求。
在安全仪表化系统部分14处在解锁状态后,过程控制系统10中的组件 发送软件下载到安全仪表化系统部分14 (流程块410)。例如,操作员站 18可以向安全仪表化系统部分14发送下载要求,包括更新参数。在所述下 载过程完成后,过程控制系统10的组件发送锁定命令,以使安全仪表化系 统部分14返回到锁定状态(流程块412)。因此,安全仪表化系统部分14 返回到锁定状态,这使未经授权的设备不能发送下载要求到安全仪表化系统
部分14。然后,图4的范例过程结束。
图5为一原理框图,其显示一个范例处理器平台500,该范例处理器平 台500可用于及/或可编程为实施在此描述的图1的过程控制系统IO的任何 或所有部分及/或组件。例如,处理器平台500可以由一个或多个通用处理 器、处理器芯核、微控制器等等来实施。
图5的范例的处理器平台500包括至少一个通用可编程处理器505。处 理器505执行存在于处理器505的主存储器中(例如在RAM 515及/或ROM 520中)的编码指令510及/或512。处理器505可以是任何类别的处理单元, 比如处理器芯核、处理器及/或微控制器。处理器505除了执行别的以外, 还可以执行图3及/或4的范例过程,以实施范例入4曼防御系统(IPS) 15a 及/或入侵防御系统(IPS) 15b或任何其他在此描述的设备。处理器505通 过总线525,与所述主存储器(包括ROM 520及/或RAM515)进行通信。 RAM 515可以由动态随机存取存储器(DRAM)、同步动态随机存取存储 器(SDRAM)及/或任何其他类别的随机存取存储器(RAM)器件实施,而 ROM 520可以由闪速存储器及/或任何其他期望类别的存储器器件实施。对 存储器515及520的存取可以由存储器控制器(图中未显示)来控制。
处理器平台500也包括界面电路530。界面电路530可以以任何类别的 界面标准实施,比如通用串行总线(USB)界面、蓝牙(Bluetooth )界面、 外存储器界面、串口、通用输入/输出界面等等。 一个或多个输入设备535 及一个或多个输出设备540连接到界面电路530。
虽然在此已经描述某些范例方法、设备及制造件,但本专利包括的范围 并未受其限制。这些范例的性质属于非限制性的原理性范例,其并未限制本 专利包括的范围。相反地,本专利包括所有根据字面意义或等效原则正当地 属于附此的权利要求的范围的方法、设备及制造件。
此外,虽然前述的揭示描述用于保护安全系统(例如安全仪表化系统) 的实施例,但可以实施在此描述的设备及方法来保护其他类别的重要/关键 系统。例如,所述设备及方法可以用于防止涡轮控制系统、涡轮保护系统、
防火系统、气体探测系统的变化等等,
权利要求
1、一种保护安全仪表化系统的方法,所述方法包括:接收来自过程控制系统的组件的合法信息,其中所述合法信息计划发送到安全仪表化系统;确定签名是否与所述合法信息至少充分匹配;以及在确定所述签名与所述合法信息至少充分匹配时阻止所述合法信息到达所述安全仪表化系统。
2、 如权利要求l所述的方法,进一步包括从配置成存储多个签名的数据仓 库检索所述签名,所述多个签名中的每个签名代表分别的、需被阻止到达所述 安全仪表化系统的合法信息。
3、 如权利要求l所述的方法,进一步包括对所述合法信息与所述签名进行 比较。
4、 如权利要求1所述的方法,进一步包括在确定所述签名不与所述合法信 息至少充分匹配时允许所述合法信息到达所述安全仪表化系统。
5、 如权利要求1所述的方法,其中接收来自过程控制系统的所述合法信息、 确定所述签名是否与所述合法信息至少充分匹配以及在确定所述签名与所述合 法信息至少充分匹配时阻止所述合法信息到达所述安全仪表化系统等步骤中的 每个步骤是由入侵防御系统执行。
6、 如权利要求5所述的方法,进一步包括人工地绕路所述入侵防御系统。
7、 如权利要求l所述的方法,其中所述合法信息是用于解锁所述安全仪表 化系统的指令。
8、 如权利要求7所述的方法,其中用于解锁所述安全仪表化系统的所述指 令促使所述安全仪表化系统在所述安全仪表化系统可接受下载要求的状态下操作。
9、 如权利要求l所述的方法,其中所述合法信息是第一合法信息,所述方 法进一步包括 接收来自安全仪表化系统的第二合法信息; 促使所述安全仪表化系统在解锁状态下操作;为所述安全仪表化系统接收来自所述过程控制系统的所述组件的下载信息;接收来自所述过程控制系统的所述组件的第三合法信息; 确定所述签名是否与所述第三合法信息至少充分匹配;以及 在确定所述第三合法信息不与所述签名至少充分匹配时将所述第三合法信 息传送到所述安全仪表化系统。
10、 如权利要求1所述的方法,其中所述组件是所述过程控制系统的过程 控制部分中的现场设备,而且与所述安全仪表化系统分离。
11、 一种用于保护安全仪表化系统的设备,所述设备包括接收器,以接收来自过程控制系统的操作员站的寻址到安全仪表化系统的 合法信息;数据仓库,以存储至少一个签名;以及签名分析器,以确定所述至少一个签名是否与所述合法信息至少充分匹配, 以及在确定所述签名与所述合法信息至少充分匹配时阻止所述合法信息到达所 述安全仪表化系统。
12、 如权利要求11所述的设备,其中所述签名分析器进一步对所述合法信 息与所述签名进行比较。
13、 如权利要求11所述的设备,进一步包括传送器,以便在所述签名分析 器确定所述签名不与所述合法信息至少充分匹配时将所述合法信息传送到所述 安全仪表化系统。
14、 如权利要求13所述的设备,进一步包括人工绕路,在所述人工绕路被 起动时允许通信绕路所述签名分析器。
15、 如权利要求11所述的设备,其中所述合法信息是用于解锁所述安全仪 表化系统的指令。
16、 如权利要求15所述的设备,其中用于解锁所述安全仪表化系统的所述指令促使所述安全仪表化系统在所述安全仪表化系统可接受下载要求的状态下 操作。
17、 一种其上存储有指令的机器可读媒介,所述指令在被执行时促使机器 接收来自过程控制系统的操作员站的寻址到安全仪表化系统的合法信息; 确定签名是否与所述合法信息充分匹配;以及在确定所述签名与所述合法信息至少充分匹配时阻止所述合法信息到达所 述安全仪表化系统。
18、 如权利要求17所述的机器可读媒介,其中所述指令进一步促使所述机 器从配置成存储多个签名的数据仓库检索所述签名,所述多个签名中的每个签 名代表分别的、需被阻止到达所述安全仪表化系统的合法信息。
19、 如权利要求17所述的机器可读i某介,其中所述指令进一步促使所述机 器对所述合法信息与所述签名进行比较。
20、 如权利要求17所述的机器可读媒介,其中所述指令进一步促使所述机 器在确定所述签名不与所述合法信息至少充分匹配时允许所述合法信息到达所 述安全仪表化系统。
21、 如权利要求17所述的机器可读媒介,其中所述指令进一步促使所述机 器使用入侵防御系统来进行以下步骤接收来自所述过程控制系统的所述合法 信息、确定所述签名是否与所述合法信息至少充分匹配以及在确定所述签名与 所述合法信息至少充分匹配时阻止所述合法信息到达所述安全仪表化系统。
22、 如权利要求21所述的机器可读媒介,其中所述指令进一步促使所述机 器人工地绕路所述入侵防御系统。
23、 如权利要求17所述的机器可读媒介,其中所述合法信息是用于解锁所 述安全仪表化系统的指令。
24、 如权利要求23所述的机器可读媒介,其中用于解锁所述安全仪表化系 统的所述指令促使所述安全仪表化系统在所述安全仪表化系统可接受下载要求 的状态下搡作。
25、 如权利要求17所述的机器可读媒介,其中所述合法信息是第一合法信息,及其中所述指令进一步促使所述机器 接收来自安全仪表化系统的第二合法信息; 促使所述安全仪表化系统在解锁状态下操作;为所述安全仪表化系统接收来自所述过程控制系统的所述操作员站的下载 信息;接收来自所述过程控制系统的所述操作员站的第三合法信息; 确定所述签名是否与所述第三合法信息至少充分匹配;以及 在确定所述第三合法信息不与所述签名至少充分匹配时将所述第三合法信 息传送到所述安全仪表化系统。
全文摘要
本发明揭示用于安全仪表化过程控制系统的入侵防御的设备及方法。一种保护安全仪表化系统的范例方法涉及接收来自过程控制系统的元件的合法信息(其中所述合法信息计划发送到安全仪表化系统)、确定签名是否与所述合法信息至少充分匹配、以及在确定所述签名与所述合法信息至少充分匹配时,阻止所述合法信息到达所述安全仪表化系统。
文档编号G05B19/418GK101387884SQ200810212090
公开日2009年3月18日 申请日期2008年9月12日 优先权日2007年9月14日
发明者加里·劳, 戈弗雷·R·谢里夫 申请人:费舍-柔斯芒特系统股份有限公司