专利名称:用于在自动化网络中进行通信的方法
技术领域:
本发明涉及一种用于在自动化网络中进行通信的方法,特别是一种能够实现锁定自动化数据的方法。
背景技术:
对于自动化网络提出了在坚固耐用性和安全可靠性方面的高要求。因此对于设备操作者来说很重要的是,即仅仅被授权的用户才能访问自动化网络。通过应用协议如 802. lx,可以实现对于自动化网络的访问保护。该协议的前提条件是不仅通过处于网络中的交换机而且也通过自动化网络中的终端设备来支持各自的协议。
发明内容
相应地,本发明的目的在于,提出一种改进的、用于在自动化网络中进行通信的方法。此外,本发明的目的在于,提出一种改进的用于自动化网络的网络节点、一种改进的用于这种网络节点的计算机能读取的存储介质和一种改进的自动化网络。本发明的目的利用独立权利要求实现。本发明的实施方式在从属权利要求中给
出ο根据本发明提出了一种用于在自动化网络中进行通信的方法。自动化网络例如可以设计为工业自动化网络。这种工业自动化网络例如可以设计、设定和/或设置用于控制和/或调节工业设备(例如生产设备、输送设备等)、机器和/ 或仪器。特别地,自动化网络或者说工业自动化网络可以为了至少在参与了控制任务和/ 或调节任务的组件之间(例如在控制单元和待控制的设备和/或机器之间)进行通信而具有实时通信协议(例如ftOfinetlrofibusjeal-Time-Ethernet)。通过存储介质来安全地传输数据也同样地得以实现。此外,在自动化网络或者说工业自动化网络中,除了实时通信协议之外但还可以设置至少另外一个通信协议(其例如不需要有实时能力),例如用于在自动化网络中对一个或者多个控制单元进行监控、设定、重新编程和/或重新参数化。自动化网络例如可以包括有线的通信组件和/或无线的通信组件。此外,自动化网络可以包括至少一个自动化装置。自动化装置例如可以是计算机、PC和/或具有控制任务或控制能力的控制器。自动化装置尤其例如可以是工业自动化装置,其例如可以特别地设计、设定和/或设置用于控制和/或调节工业设备。特别地,这种自动化装置或者说工业自动化装置可以有实时能力,也就是说能够实时地进行控制或者调节。为此,自动化装置或者说工业自动化装置例如可以包括实时操作系统,和/或至少此外还支持用于通信的有实时能力的通信协议(例如 Profinet、Profibus、Real-Time-Ethernet)。一个自动化网络包括多个传感器和执行机构。这些执行机构和传感器被至少一个控制装置所控制。执行机构、传感器和至少一个控制装置彼此交换数据。为了交换数据而使用一种自动化协议。至少一个控制装置这样控制执行机构、传感器和数据交换,即,完成其中例如生产出一种产品的机械制造流程。工业自动化装置例如可以是可编程控制器、可编程控制器的模块或者一部分、集成到计算机或者PC中的可编程控制器以及相应的现场设备、传感器和/或执行机构、输入装置和/或输出装置或者用于连接在可编程控制器上的类似物,或者将这些装置包括在内。根据本发明的意义的自动化协议应理解为每种根据本说明设置、适于和/或设定用于与自动化装置进行通信的协议。这种自动化协议例如可以是现场总线协议(例如遵从 IEC 61158/EN50170 标准)、Profi-Bus-DP 协议、Profi-Bus-PA 协议、Profi-Net 协议、 Profi-Net-IO协议、符合AS-Interface的协议、符合IO-Link的协议、KNX协议、符合多点通信接口(MPI)的协议、用于点对点桥接(PtP)的协议、遵从S7通信规则的协议(其例如设置和设定用于和西门子公司的可编程控制器进行通信)或者还有工业以太网协议或者实时以太网协议或者另外的用于和自动化设备进行通信的特殊协议。根据本说明书的意义的自动化协议也可以设置为上述协议的任意组合。自动化网络包括多个网络装置和网络节点。每个网络装置包括属于该网络装置的不能改变的地址。该地址例如可以是媒介存取控制(MAC)地址。至少一个网络节点包括一个存储器。该存储器包括被授权用于在自动化网络中进行通信的网络装置的第一不能改变的地址。该存储器还包括未被授权用于在自动化网络中进行通信的网络装置的第二不能改变的地址。需要注意的是,第一不能改变的地址和第二不能改变的地址都可以是空集。如果第一不能改变的地址是空集,那么没有装置被授权用于在自动化网络中进行通信。通过自动化网络在网络装置之间交换自动化数据。为此,在自动化网络中转发自动化数据。这不仅通过网络装置而且也通过网络节点来实现。网络节点例如可以是交换机。网络装置的不能改变的地址被通知给网络装置和网络节点。每个网络装置和每个网络节点也就具有处于自动化网络中的网络装置和网络节点的不能改变的地址。在自动化网络中的通信例如可以通过TCP/IP协议来实现。在这种情况下,不能改变的地址是MAC地址。网络装置和网络节点的MAC地址通过所谓的地址分辨协议(ARP)发送到自动化网络中的所有网络装置和网络节点上。每个网络装置和每个网络节点也就具有其余的网络装置和其余的网络节点的MAC地址。如果为已经存在的自动化网络添加一个新的网络装置,则在这种情况下将新添加的网络装置的不能改变的地址传输到其余的网络装置和其余的网络节点上。如果这个不能改变的地址不作为第一不能改变的地址存储,则将网络装置的这个不能改变的地址作为第二不能改变的地址存储在至少一个网络节点的存储器中。如果也就是说将不能改变的地址通知给网络节点,且网络节点不将该不能改变的地址作为第一不能改变的地址存储,则这个不能改变的地址作为第二不能改变的地址存储。可替换地,可以将带有不能改变的地址的网络装置的自动化数据锁定,至少一个网络节点不将该不能改变的地址作为第一不能改变的地址存储。在这种情况下,没有将这种不能改变的地址作为第二不能改变的地址存储在至少一个网络节点的存储器中。带有不能改变的地址的网络装置的自动化数据不由网络节点转发,该不能改变的地址作为第二不能改变的地址存储在存储器中。该自动化数据也就由网络节点锁定。为了进行锁定,网络节点读取自动化数据的源地址,该源地址在自动化数据中。该源地址是发送自动化数据的网络装置的不能改变的地址。如果该源地址作为第二不能改变的地址存储在网络节点的存储器中,则阻止转发,这同样表明锁定自动化数据。根据本发明的实施方式,自动化网络的所有网络节点各包括一个具有第一和第二不能改变的地址的存储器。在这种情况下,在设定自动化网络时在存储器中对于每个网络节点进行定义,哪一个网络装置有权通过自动化网络进行数据交换。可替换地或附加地, 这种网络节点也可以接入到所谓的学习阶段中。在学习阶段中,网络节点将该网络装置的所有由自动化网络的网络装置通知给它的不能改变的地址作为第一不能改变的地址进行存储。也就是说在存储器中记录了网络装置的所有不能改变的地址作为第一不能改变的地址,其在这个时刻处于自动化网络中。这样设定存储器是有利的,这是因为该设定自动进行。根据本发明的实施方式,自动化网络的所有网络节点各包括一个具有第二不能改变的地址的存储器。至少一个网络节点包括具有第一不能改变的地址的存储器。如果至少一个网络节点注册了网络装置的不能改变的地址,且该地址不作为第一不能改变的地址存储,则至少一个网络节点将该不能改变的地址发送到其余的网络节点上。其余的网络节点将这个不能改变的地址分别作为第二不能改变的地址存储在存储器中。这样的实施方式是有利的,这是因为不必在每个网络节点上存储一个第一不能改变的地址。至少一个网络节点存储网络装置的不能改变的地址,其不能改变的地址不作为第一不能改变的地址被存储,而是作为第二不能改变的地址被存储。具有第一不能改变的地址的至少一个网络节点将这个不能改变的地址发送到自动化网络中的其余的网络节点上。其余的网络节点将不能改变的地址分别作为第二不能改变的地址存储。每个网络节点也就存储了一个信息,即锁定了数据,该数据的发送器具有不能改变的地址,该地址作为第二不能改变的地址被存储。该自动化数据的锁定在每个网络节点中进行,从而通过网络未获得能够实现传输该自动化数据的路径。在当前通过具有第一不能改变的地址的至少一个网络节点来保持网络节点的第二不能改变的地址。这由此实现, 即具有第一不能改变的地址的至少一个网络节点将每个作为第一不能改变的地址存储的不能改变的地址传输到其余的网络节点上。根据本发明的实施方式,自动化数据在自动化网络中借助于TCP/IP协议交换。这是有利的,这是因为当借助于TCP/IP协议进行数据交换时,始终将自动化网络中的网络装置的不能改变的地址通知给其余的网络装置和网络节点。根据本发明的实施方式,通过地址分辨协议(ARP)对网络装置的不能改变的地址进行通知。这例如可以通过对地址分辨协议(ARP)的电报文进行分析来实现。优选地,不能改变的地址是媒介存取控制(MAC)地址。根据本发明的实施方式,在至少一个网络节点的学习阶段期间,将所有被通知的不能改变的地址作为第一不能改变的地址存储。因此,不必对网络节点进行手动设定,并且每个在学习阶段期间处于自动化网络中的网络装置被授权用于通过自动化网络进行数据交换。根据本发明的实施方式,在自动化网络的运行期间,能通过一个网络装置将不能CN 102420728 A
说明书
4/6页
改变的地址作为第一和/或作为第二不能改变的地址记录在至少一个网络节点的存储器中。在另一个方面,本发明涉及一种用于自动化网络的网络节点。网络节点设计用于, 将自动化网络中的自动化数据从自动化网络的一个网络装置转发到自动化网络的另一个网络装置和/或另一个网络节点。为此,网络节点具有用于从网络装置接收自动化数据的装置。该装置例如可以是将网络节点和自动化网络相连接的接口。此外,网络节点包括用于从网络装置接收不能改变的地址的装置。不能改变的地址例如可通过相同的接口接收。接收到的自动化数据可以由网络节点利用用于将接收到的自动化数据转发给自动化网络的网络装置的装置来转发。这种用于转发的装置例如可以是网络节点的接口,利用该接口将网络节点和自动化网络相连接。此外,网络节点包括具有第一和第二不能改变的地址的存储器。第一和第二不能改变的地址例如可以存储在网络节点中的数字存储介质上。第一不能改变的地址是被授权用于在自动化网络中进行通信的网络装置的不能改变的地址。第二不能改变的地址是未被授权用于在自动化网络中进行通信的网络装置的不能改变的地址。需要注意的是,即第一和第二不能改变的地址也可能仅仅是一个不能改变的地址或可能不是不能改变的地址。此外,网络节点具有用于将网络装置的不能改变的地址和第一不能改变的地址进行比较的装置。该用于进行比较的装置例如可以是处理器。如果由网络节点接收到数据, 则该处理器注册例如发出数据的网络装置的不能改变的地址。处理器随后将不能改变的地址和第一不能改变的地址进行比较。此外,网络节点包括用于将网络装置的不能改变的地址作为第一和/或第二不能改变的地址存储的装置。存储例如可以由此实现,即处理器将不能改变的地址作为第一和/ 或第二不能改变的地址存储。用于存储的装置设计用于,将网络装置的不作为第一不能改变的地址存储的不能改变的地址作为第二不能改变的地址存储。此外,网络节点包括用于将网络装置的不能改变的地址和第二不能改变的地址进行比较的装置。网络装置的不能改变的地址和第二不能改变的地址之间的比较例如同样可以由网络节点的处理器来进行。用于比较的装置设计用于,将具有作为第二不能改变的地址存储的不能改变的地址的网络装置的自动化数据锁定。也就阻止了转发这些数据。在另一个方面,本发明涉及一种具有指令的计算机能读取的存储介质,该指令在根据本发明的实施方式的网络节点中执行时,在自动化系统中让网络节点执行根据本发明的实施方式的方法。指令例如可以通过网络节点的处理器来执行。自动化数据和网络装置的不能改变的地址被接收。接收到的自动化数据被转发给网络装置。网络装置的不能改变的地址被和第一不能改变的地址进行比较。网络装置的不能改变的地址作为第一和/或第二不能改变的地址存储。网络装置的不作为第一不能改变的地址存储的不能改变的地址作为第二不能改变的地址存储。将网络装置的不能改变的地址和第二不能改变的地址进行比较。将具有作为第二不能改变的地址存储的不能改变的地址的网络节点的自动化数据锁定。这种自动化数据也就不被转发。在另一个方面,本发明涉及一种具有根据本发明的实施方式的至少一个网络节点的自动化网络。
下面参照附图更详细地阐述本发明的实施方式。图中示出图1是自动化网络中的耦合节点的框图;和图2是根据本发明的实施方式的方法的流程图。在以下附图中的相互一致的元件用相同的参考标号来标识。
具体实施例方式图1示意性地示出了具有网络节点100和114以及网络装置112的自动化网络 111。仅仅示出了三个网络装置112和第二网络节点114和100。这是为了简化图1。自动化网络111也还可以包括更多的网络节点和更多的网络装置112或也可以包括更少的网络装置112。为了更好地显示,网络节点100放大地示出。网络节点100包括一个处理器102、 两个接口 104和一个具有第一不能改变的地址108和第二不能改变的地址110的数据存储器106。此外,具有可以由处理器102执行的指令116的程序处于存储器106中,该存储器是计算机能读取的存储介质。数字存储介质可以是光学的或磁性的数字存储介质。其例如也就可以是CD、DVD、 存储卡或硬盘。网络节点114可以和网络节点100设计成完全一样的。可替换地,网络节点114 也可以仅仅具有第二不能改变的地址并且不具有第一不能改变的地址。网络节点114还包括三个接口 104(未示出)。在运行时,网络节点100将自动化网络111内部的自动化数据从一个网络装置112 引导向另一个网络装置112。网络节点100同样可以将自动化数据转发到另一个网络节点 114上。数据转发和数据接收在网络节点100中通过接口 104实现。处理器102执行程序 116,该程序让处理器102转发数据。每个网络装置112和每个网络节点100和114具有一个不能改变的地址。其例如可以是媒介存取控制(MAC)地址。在建立网络时,所有网络装置112将其不能改变的地址通知给另外的网络装置。不能改变的地址也由网络节点100和114注册。在通信网络111中由用户进行自动检测,与此同时,自动关闭了未被授权的网络装置。未被授权的网络装置的不能改变的地址作为网络节点100的第二不能改变的地址110存储。网络节点100的处理器102确定了,即,当网络装置的不能改变的地址不作为第一不能改变的地址108存储时, 则该网络装置无权在自动化网络中进行通信。第一不能改变的地址108例如可以已经手动输入或但也可以在耦合节点100的学习阶段期间记录在那里。这种记录借助于处理器102 实现。在学习阶段期间,网络节点100的处理器102将每个网络装置112的每个不能改变的地址作为第一不能改变的地址108存储。因此取消了第一不能改变的地址108的手动配置。网络节点114同样可以具有第一和第二不能改变的地址。可替换地,网络节点114 仅仅具有第二不能改变的地址。网络节点100在这种情况下为网络节点114通知了每个不能改变的地址,处理器102将该不能改变的地址作为网络节点100的第二不能改变的地址110存储。网络节点114第二不能改变的地址因此包括和网络节点100的第二不能改变的地址110相同的不能改变的地址。这种方法是特别有利的,这是因为因此将网络中的网络装置的自动检测和自动锁定未被授权的网络装置联系在一起。通过OSI层模型中的传输层的机构来识别网络装置,而在网络节点100和114中对网络装置的锁定则发生在OSI层模型的连接层上。不同ISO层的信息因此可以用于本发明的实施方式。未被授权的网络装置随着检测该网络装置的不能改变的地址而同时自动被关闭, 由此提高了自动化网络的安全性。本发明的实施方式的另一个优点是这样的事实,即网络装置112不必支持该方法。网络装置112根据ARP协议将其不能改变的地址和其IP地址通知给另外的网络装置和网络节点100和114。单独通过这些步骤,通过网络节点100引起对未被授权的网络装置的锁定。因此阻止未被授权进行通信的网络装置通过自动化网络111进行的数据传输。图2是根据本发明的实施方式的方法的流程图。在第一步骤Sl中,自动化数据通过自动化网络在网络装置之间通过网络节点进行交换。自动化数据在此包括网络装置的不能改变的地址。网络装置的不能改变的地址对于网络节点是已知的,这是因为其在建立网络时和在添加新的网络装置时对于所有的网络装置和网络节点都是已知的。自动化数据通过至少一个耦合节点在步骤S2中转发。转发在自动化网络内部实现。不能改变的地址在步骤S3中通知给网络装置和网络节点。因此,每个网络装置和每个网络节点具有其余的网络装置和网络节点的不能改变的地址。在步骤S4中,网络装置的不能改变的地址作为第二不能改变的地址存储在至少一个网络节点的存储器中。具有作为第二不能改变的地址存储的不能改变的地址的网络装置的自动化数据随后在步骤S5中由网络节点锁定。因此未被授权的网络装置不能通过自动化网络发送数据。参考标号表100网络节点102处理器104 接口106存储器108第一不能改变的地址110第二不能改变的地址111自动化网络112网络装置114网络节点116 指令
权利要求
1.一种用于在自动化网络(111)中与多个网络装置(112)和网络节点(100;114)进行通信的方法,其中,每个网络装置包括所述网络装置所属的不能改变的地址,其中至少一个网络节点包括存储器(106),其中所述存储器具有第一不能改变的地址(108)和第二不能改变的地址(110),所述第一不能改变的地址是被授权用于在所述自动化网络中进行通信的网络装置的不能改变的地址,以及所述第二不能改变的地址是未被授权用于在所述自动化网络中进行通信的网络装置的不能改变的地址,其中所述自动化网络设计-用于通过所述自动化网络在所述网络装置之间交换(Si)自动化数据,-用于在所述自动化网络中转发(S》所述自动化数据,和-用于将所述不能改变的地址通知(S; )给所述网络装置和所述网络节点,并且其中所述方法包括以下步骤-如果所述不能改变的地址不作为第一不能改变的地址存储在至少一个所述网络节点的所述存储器中,则将一个网络装置的一个不能改变的地址作为第二不能改变的地址存储 (S4)在至少一个所述网络节点的所述存储器中,和-如果所述不能改变的地址不作为第一不能改变的地址存储在至少一个所述网络节点的所述存储器中,则通过至少一个所述网络节点将具有一个不能改变的地址的网络装置的自动化数据锁定(S5)。
2.根据权利要求1所述的方法,其中,所述自动化网络的所有网络节点各包括一个具有第一和第二不能改变的地址的存储器。
3.根据权利要求1所述的方法,其中,所述自动化网络的所有网络节点各包括一个具有第二不能改变的地址的存储器,其中,具有带有所述第一不能改变的地址的所述存储器的至少一个所述网络节点将一个网络装置的所述不能改变的地址发送到其余的所述网络节点上,所述不能改变的地址不作为第一不能改变的地址存储在所述存储器中,其中,其余的所述网络节点将所述不能改变的地址作为第二不能改变的地址存储在各自的所述存储器中,所述不能改变的地址通过具有带有所述第一不能改变的地址的所述存储器的至少一个所述网络节点被接收,和其中,如果所述不能改变的地址作为第二不能改变的地址存储在所述存储器中,则其余的所述网络节点将带有一个不能改变的地址的网络装置的自动化数据锁定。
4.根据前述权利要求中任一项所述的方法,其中,所述自动化数据在所述自动化网络中借助于TCP/IP协议交换。
5.根据权利要求4所述的方法,其中,通过地址分辨协议对所述网络装置的所述不能改变的地址进行通知。
6.根据前述权利要求中任一项所述的方法,其中,在至少一个所述网络节点的学习阶段期间,将所有被通知的不能改变的地址作为第一不能改变的地址存储在所述存储器中。
7.根据前述权利要求中任一项所述的方法,其中,在所述自动化网络的运行期间,能通过一个网络装置将不能改变的地址作为第一和/或作为第二不能改变的地址记录在至少一个网络节点的所述存储器中。
8.一种用于自动化网络(111)的网络节点(100),其中所述网络节点设计用于,将所述自动化网络中的自动化数据从所述自动化网络的一个网络装置转发到所述自动化网络的另一个网络装置和/或另一个网络节点,所述网络节点具有 -装置(104),用于从网络装置接收自动化数据, -装置(104),用于从网络装置接收不能改变的地址, -装置(104),用于将所述接收到的自动化数据转发给网络装置, -存储器(106),其中所述存储器包括被授权用于在所述自动化网络中进行通信的网络装置的第一不能改变的地址(108),-装置(102),用于将网络装置的不能改变的地址和所述存储器中的所述第一不能改变的地址进行比较,-装置(102 ;106),用于将网络装置的不能改变的地址作为第一不能改变的地址存储在所述存储器中,和-装置(102),用于将网络装置的不能改变的地址和所述存储器中的所述第一不能改变的地址进行比较,其中所述用于进行比较的装置设计用于,将带有不能改变的地址的网络装置的自动化数据锁定,所述不能改变的地址不作为第一不能改变的地址存储在所述存储器中。
9.根据权利要求8所述的网络节点,其中,所述存储器包括未被授权用于在所述自动化网络中进行通信的网络装置的第二不能改变的地址,其中,所述用于存储的装置还设计用于,将网络装置的不能改变的地址作为第二不能改变的地址存储在所述存储器中,其中所述用于进行比较的装置设计用于,将网络装置的不能改变的地址和所述存储器中的所述第二不能改变的地址进行比较,和其中,所述用于进行比较的装置还设计用于,将带有不能改变的地址的网络装置的自动化数据锁定,所述不能改变的地址作为第二不能改变的地址存储在所述存储器中。
10.根据权利要求8或9所述的网络节点,其中,所述网络节点设计用于实施根据权利要求1至7中任一项所述的方法。
11.一种具有指令(116)的计算机能读取的存储介质(106),所述指令在根据权利要求 8或9中任一项所述的网络节点中执行时,在自动化系统中让所述网络节点执行以下方法步骤-从网络装置接收自动化数据,-从所述网络装置接收不能改变的地址,-将所述接收到的自动化数据转发给所述网络装置,-存储被授权用于在所述自动化网络中进行通信的网络装置的第一不能改变的地址 (108),-将网络装置的不能改变的地址和所述存储器中的所述第一不能改变的地址进行比较,-将网络装置的不能改变的地址作为第一不能改变的地址存储在所述存储器中, -将网络装置的不能改变的地址和所述存储器中的所述第一不能改变的地址进行比较,其中所述用于进行比较的装置设计用于,将带有不能改变的地址的网络装置的自动化数据锁定,所述不能改变的地址不作为第一不能改变的地址存储在所述存储器中。
12.根据权利要求11所述的计算机能读取的存储介质,其中所述方法还包括以下步骤-存储未被授权用于在所述自动化网络中进行通信的网络装置的第二不能改变的地址,-将网络装置的不能改变的地址和所述存储器中的所述第二不能改变的地址进行比较,-将网络装置的不能改变的地址和所述存储器中的所述第二不能改变的地址进行比较,其中所述用于进行比较的装置设计用于,将带有不能改变的地址的网络装置的自动化数据锁定,所述不能改变的地址作为第二不能改变的地址存储在所述存储器中。
13.根据权利要求11或12所述的计算机能读取的存储介质,其中所述计算机能读取的存储介质设计用于实施根据权利要求1至7中任一项所述的方法。
14.一种自动化网络(111),具有根据权利要求8至10中任一项所述的至少一个网络节点。
15.根据权利要求14所述的自动化网络,其中所述自动化网络设计用于实施根据权利要求1至7中任一项所述的方法。
全文摘要
本发明涉及一种用于在自动化网络(111)中与多个网络装置(112)和网络节点(100;114)进行通信的方法,其中,每个网络装置包括其所属的不能改变的地址,其中至少一个网络节点包括存储器(106),该存储器具有第一不能改变的地址(108)和第二不能改变的地址(110),其中第一不能改变的地址是被授权用于在自动化网络中进行通信的网络装置的不能改变的地址,其中第二不能改变的地址是未被授权用于在自动化网络中进行通信的网络装置的不能改变的地址。
文档编号H04L12/28GK102420728SQ20111022321
公开日2012年4月18日 申请日期2011年8月4日 优先权日2010年8月5日
发明者赫尔曼·安格斯特 申请人:西门子公司