的安全过程控制系统200中,过程控制系统200的多个(例如,每个)电缆100、装置128、控制元件或子系统202 (例如,I/O模块、电源、物理互连装置等)设置有安全证书,以在过程控制系统200的多个(例如,全部)级别上提供安全。更进一步的,在制造期间(例如,在初制成时)元件可被设置唯一安全证书(例如密钥、证书等),且可从初制成时通过过程控制系统200的密钥管理实体224进行管理,以提升过程控制系统200的安全。
[0054]在本发明公开的实施例中,过程控制系统200的元件和/或物理互连装置(例如,电缆100)之间的通信包括验证过程。验证过程可用来对过程控制系统200中使用的元件和/或物理互连装置进行验证。在实施中,验证过程可使用与元件和/或物理互连装置有关的安全证书,以对元件和/或物理互连装置进行验证。例如,安全证书可包括加密密钥、证书(例如,公钥证书、数字证书、识别证书、安全证书、不对称证书、标准证书、非标准证书)和/或识别号码。在实施例中,包括在过程控制系统200的电缆100内和/或连接于电缆100的控制器150 (例如,安全微控器)可被配置成用于执行验证过程。
[0055]在实施中,过程控制系统200的多个控制元件或子系统202 (例如,元件和/或物理互连装置)被设置有它们自身的唯一安全证书。例如,当元件被制造时,过程控制系统200的每个元件被设置有它们自身的唯一组(或多组)证书、加密密钥和/或识别号码(例如,单独的成组密钥和证书在元件初制成时限定)。成组的证书、加密密钥和/或识别号码被配置成用于提供/支持强加密。加密密钥可以以标准(例如,商用现货(C0TS))加密算法实施,比如美国国家安全局(NSA)算法、美国国家标准与技术研究院(NIST)算法,或类似算法。
[0056]基于验证过程的结果,被验证的元件可以被启动,元件的部分功能可以在过程控制系统200内启用或禁用,元件的全部功能可以在过程控制系统200内启用,和/或元件的功能在过程控制系统200内被完全禁用(例如,没有利于在元件和过程控制系统200的其他元件之间进行的通信)。
[0057]在实施例中,有关过程控制系统200的元件的密钥、证书和/或识别号码可以确定元件的原始设备制造商(OEM)。如本文所使用的,术语“原始设备制造商”或“OEM”可被定义为物理地制造装置(例如,元件)的实体和/或装置的供应商,比如从物理制造商购买装置并出售装置的实体。因此,在实施例中,装置可以由既是物理制造商又是装置供应商的OEM来制造和分配(销售)。然而,在另外的实施例中,装置通过是供应商而不是物理制造商的OEM分配。在这样的实施例中,OEM可以使装置由物理制造商来制造(例如,OEM可以从物理制造商购买、签合约、订购等方式取得该装置)。
[0058]此外,在OEM包括不是装置的物理制造商的供应商的情况下,装置可以具有供应商的商标,而不是物理制造商的商标。例如,在实施例中,在元件(例如,电缆100)与是供应商但不是物理制造商的特定OEM相关的情况下,元件的密钥、证书和/或识别号码可以确定来源。在过程控制系统200的元件的验证中,当确定了被验证的元件是由不同于过程控制系统200的一个或多个其他元件的OEM的实体制造或供应时,那么该元件的功能可能在过程控制系统200中至少部分地被禁用。例如,可以在该元件和过程控制系统200的其他元件之间的通信(例如,数据传输)上设置限制,以使该元件不能在过程控制系统200内工作/发挥功能。当过程控制系统200的元件之一需要更换时,这一特征可防止过程控制系统200的用户用非同质的元件(例如,具有与过程控制系统200的其余元件不同来源(不同OEM)的元件)不经意地更换该元件,并在过程控制系统200中使用该元件。以这种方式,本文所述的技术可以防止在没有原始OEM批准的情况下,其他OEM的元件(可提供类似的功能)进入由原始OEM(最初供应过程控制系统200给用户的OEM)制造和/或提供的安全过程控制系统200,替代由原始OEM制造和/或供应的元件的替换操作。
[0059]在另一示例中,用户可能尝试在过程控制系统200内使用不正确地标定(例如,错误标志的)的元件。例如,错误标志的元件可能具有在其上标识的物理标记,该物理标记错误地指示该元件是与过程控制系统200的其他元件的OEM相同的OEM。在这样的示例中,通过过程控制系统200实施的验证过程可以使用户得到提醒,提醒元件是伪造的。这个过程也可促进提高过程控制系统200的安全性,因为伪造元件通常是恶意软件据此可被引入过程控制系统200的载具。在实施例中,验证过程提供了用于过程控制系统200的安全空隙,以确保安全工业控制系统与不安全的网络物理地隔离。
[0060]在实施中,安全过程控制系统200包括密钥管理实体224。密钥管理实体224可被配置成用于管理密码系统中的密码密钥(例如,加密密钥)。这种密码密钥的管理(例如,密钥管理)可包括密钥的生成、交换、存储、使用、和/或更换。例如,密钥管理实体224被配置成用作安全证书源,生成用于过程控制系统200的元件的唯一安全证书(例如,公共安全证书、秘密安全证书)。密钥管理涉及用户和/或系统级别(例如,用户或系统之间的任一级)的密钥。
[0061]在实施例中,密钥管理实体224包括安全实体,比如位于安全设施中的实体。密钥管理实体224可以远离I/O模块204、控制模块206、和网络220远程地设置。例如,防火墙226可以将密钥管理实体224与控制元件或子系统202和网络220 (例如,公司网络)分离。在实施中,防火墙226可以是软件和/或基于硬件的网络安全系统,所述软件和/或基于硬件的网络安全系统根据规则集,通过分析数据包和确定是否数据包应当被允许通过或不通过,来控制进入和外出的网络流量。这样,防火墙226在信任的、安全的内部网络(例如,网络220)和不认为是安全的和信任的其他网络228 (例如,云和/或国际互联网)之间建立屏障。在实施例中,防火墙226允许在密钥管理实体224和控制元件或子系统220和/或网络220中的一个或多个之间选择性地(例如,安全)通信。在示例中,一个或多个防火墙可以在过程控制系统200内的各种位置实施。例如,防火墙可以集成到网络220的开关和/或工作站中。
[0062]安全过程控制系统200还可包括一个或多个制造实体(例如,制造厂222)。制造实体可以是与用于过程控制系统200的元件的原始设备制造商(OEMs)相关。密钥管理实体224可以经网络(例如,云)与制造实体通信联接。在实施中,当过程控制系统200的元件在一个或多个制造实体中制造时,密钥管理实体224可以与元件通信联接(例如,可以具有通向元件的加密通信线路)。密钥管理实体224可使用该通信线路,以在制造点为元件设置安全证书(例如,将密钥、证书和/或识别号码嵌入元件中)。
[0063]此外,当元件被投入使用(例如,启动)时,密钥管理实体224可以与世界范围内的每个单独元件通信联接(例如,通过加密通信线路),且可以确认和标记特定代码的使用、废除(例如,移除)任何特定代码的使用、和/或允许任何特定代码的使用。因此,密钥管理实体224可以在元件被初始制造(例如,初制成)的制造厂与每个元件通信,以使元件在初制成时就带有受管理的密钥。包括过程控制系统200的每个元件的所有加密密钥、证书和/或识别号码的主数据库和/或表格可以由密钥管理实体224来保持。密钥管理实体224,通过它与元件的通信,被配置成用于废除密钥,从而提升验证机构对抗偷窃和部件再次使用的能力。
[0064]在实施中,密钥管理实体224可以通过其他网络(例如,云和/或国际互联网)和防火墙与控制元件或子系统202和/或网络220中的一个或多个通信连接。例如,在实施例中,密钥管理实体224可以是集中式系统或分布式系统。此外,在实施例中,密钥管理实体224可以被本地或远程管理。在一些实施方式中,密钥管理实体224可以设置在(例如,集成在)网络220和/或控制元件或子系统202内。密钥管理实体224可以提供管理和/或可以以各种方式被管理。例如,密钥管理实体224可以被实施/管理:通过在中央位置的客户、通过在单独的制造厂位置的客户、通过外部第三方管理公司和/或通过在过程控制系统200的不同层级以及取决于层级的不同位置的客户。
[0065]改变安全级别(例如,可扩展的、用户配置的安全量)可以通过验证过程来提供。例如,基础的安全等级可以提供对元件的验证和保护元件内的代码。也可以添加其它安全层级。例如,安全可以实施到这样的程度,即,比如电缆100的部件在没有进行正确验证的情况下不能加电。在实施中,代码加密在元件中实施,安全证书(例如,密钥和证书)在元件上实施。安全可贯穿过程控制系统200分布(例如,流动)。例如,安全可以流经过程控制系统200 —路直到终端用户,在该示例中终端用户知道模块被设计成控制什么。在实施例中,验证过程提供了用于安全通信和系统硬件或软件部件的验证(例如,通过数字签名)的装置的加密、识别。
[0066]在实施中,验证过程可被实现为在由不同制造商/销售商/供应商(例如,OEMs)制造和/或供应的元件的安全过程控制系统200内提供互用性和/或允许互用性。例如,可以允许由不同制造商/销售商/供应商制