专利名称:工业自动化系统和对其进行保护的方法
技术领域:
本发明涉及一种工业自动化系统和对其进行保护的方法。
背景技术:
工业自动化系统包括多个用于控制机器、传感器等的计算机。工业自动化系统通常出于安全因素为自成一体的系统,也就是说,其他部件(例如用于控制和更新已存在的系统部件的机器、设备、计算机等)的加入因此通常与安全问题相关联。有时,也在自动化系统中执行不支持自动化系统的安全协议或认证协议的设备。这种设备是潜在不安全的并且形成对于攻击者可能的薄弱处。自动化系统的这种不安全的设备例如为具有用于应连接到自动化系统处的其他的、外部的设备的接口的部件。所述部件例如能够为交换机或网桥。所述设备的接口通常基于以太网协议。具有用于外部设备的接口的设备能够选择性地以无线的或有线连接的方式与自动化系统的其他部件连接。不安全的设备的另一个实例为不具备支持安全协议的能力的部件。如果将其他的、外部的设备,例如将计算机经由接口连接到所述设备上,那么已能对自动化系统的全部部件进行访问,因为没有设置其他的安全机构。因此,攻击者能够侦查出例如配置数据等。禁止对自动化系统的部件的不受控的访问的一个方案是,为不安全的设备提供专用的端口。此外,能够在不安全 的设备和自动化系统的部件之间设置网关,其中那么网关提供用于不安全的设备的端口。然而,这两个解决方案都导致下述问题,必须提供连接到不安全的设备上的开放的、不安全的端口。从US7,314,169B1中已知为了提高自动化系统的安全性,通过中央单元能够为连接到自动化系统上的设备创建访问标签或其他合适的数据结构,其中访问标签至少部分地基于请求单元的识别特征。在此,在每个请求单元的访问标签中分配访问权限。这种方法的缺点在于需要高的管理费用。
发明内容
本发明的目的是,提出一种工业自动化系统和对其进行保护的方法,其中能够以低的管理费用提供高的安全性。所述目的通过一种工业自动化系统和一种对所述工业自动化系统进行保护的方法来实现,其中所述工业的自动化系统包括:_数字指纹,所述数字指纹分配给请求访问所述自动化系统的单元,并且所述数字指纹以所述单元与所述自动化系统的指纹测定部件的通信的一个或多个参数为基础;-所述指纹测定部件,所述部件在所述自动化系统工作时允许请求单元访问所述自动化系统并且将所述请求单元的已测定的指纹与已存储的指纹进行比较;在用于对工业自动化系统进行保护的方法中,其中-将指纹分配给请求访问所述自动化系统的单元,-以所述单元与所述自动化系统的指纹测定部件通信的一个或多个参数为基础来测定所述指纹;-所述指纹测定部件将已测定的指纹与已存储的指纹进行比较并且仅在比较结果为肯定的情况下允许对所述自动化系统进行访问。有利的设计方案包含在下文中。本发明实现一种包括数字指纹的工业自动化系统,所述数字指纹被分配给请求访问自动化系统的单元并且以所述单元与自动化系统的测定指纹的部件通信的一个或多个参数为基础。自动化系统还包括测定指纹的部件,所述部件在自动化系统工作时允许请求单元访问自动化系统并且将请求单元的已测定的指纹与已存储的指纹进行比较。在根据本发明的用于保护工业自动化系统的方法中,请求访问自动化系统的单元分配有指纹。以所述单元与自动化系统的测定指纹的部件的通信的一个或多个参数为基础来测定指纹。测定所述指纹的部件将所述指纹与已存储的指纹进行比较并且仅在比较结果为肯定的情况下允许对自动化系统访问。测定指纹的部件是连接到工业自动化系统上的、请求单元的网关。通过测定指纹的部件测定请求单元的指纹,能够以简单的方式提供对于自动化系统的自动的访问保护。自动化系统抵御不同类型的攻击,例如主动攻击、自动化系统之内的攻击、电子欺骗、临近攻击或拦截攻击(Hijack-Angriffe)。在没有根据数字指纹对请求单元事先进行验证和检查的情况下,即使是连接有请求单元的开放端口也不能够用于访问自动化系统的其他部件。尤其地,通过本发明这种请求单元也可连接到自动化系统上,否则所述请求单元不具有对已授权的协议的支持。在根据本发明的自动化系统的第一适当的设计方案中,测定指纹的部件是自动化系统的终端节点,请求单元尤其能够根据以太网协议连接到所述终端节点上用于经由上述接口进行数据交换。测定指纹的部件例如能够是网桥或交换机,所述交换机具有至少一个用于连接请求单元的接口。在自动化系统的环境中,在此通常使用按照以太网的连接,这是因为以太网是非常广为传播的标准。因此,不仅能够连接自动化系统的专用的设备或机器,而且能够连接计算机,所述计算机例如要用于自动化系统的其他部件的配置任务或控制任务。根据自动化 系统的另一个设计方案,测定指纹的部件为了与自动化系统的其他部件进行数据交换而相对于自动化系统至少一次地对自身进行认证。测定该指纹的部件因此是自动化系统的安全的部件,所述安全的部件具有全部的与安全相关的协议和机构。如所阐明的,所述部件自身承担测定请求单元的指纹和将其与已存储的指纹进行比较的任务,以便能够实现仅已授权的单元对自动化系统进行访问。在另一个适当的设计方案中,测定指纹的部件以无线的或有线连接的方式与自动化系统的其他部件连接以用于数据交换。尤其地,在以无线的方式与自动化系统通信地连接的部件中出现所述部件被误用于攻击目的的危险。因此,在这种部件中,提出的访问保护是防止误用的尤其有效的措施。根据另一个适当的设计方案,请求单元之一的初始测定的指纹存储在自动化系统的部件中或能够被所述部件访问的存储器中。在检查时执行的比较因此在已测定的指纹和储存在存储器中的指纹之间进行。尤其地,将已存储的指纹分配给请求单元的单义的标识符,尤其是MAC地址(媒体访问控制地址)。已存储的指纹在此能够选择性地包括或不包括MAC地址。在第一种情况下,指纹单义地分配给特定的请求单元。如果MAC地址不是指纹的组成部分,那么指纹对特定的机器类型或设备种类是有效的。在另一个适当的设计方案中,指纹由单元的全部通信参数中能够设置的部分参数来形成。在指纹中处理的参数越多,就能够越单义地和越安全地验证特定的请求单元。然而,能够为适当的是,从全部参数中对参数的选择由自动化系统的管理员来决定,以便考虑到自动化系统的特定的特性。此外,在部分数量能够设置的情况下可例如根据设备类型、制造者等使请求单元群集。在根据本发明的方法的一个设计方案中,测定指纹的单元至少在第一次对请求部件建立通信连接之后在与请求部件通信时交换预设的或任意的数据,以及以所述通信为基础测定指纹和将所述指纹存储在自动化系统的部件中或能够存储在自动化系统的被所述部件访问的存储器中。在另一个设计方案中,在建立请求部件至测定指纹的单元的通信连接之后,所述部件的指纹被测定和检查,所述指纹是否被存储,其中在否定的情况下(也就是说,没有在存储器中找到所述指纹)检查,是否能够在人机接口上确定对所测定的指纹的肯定确认,和仅在存在肯定确认的情况下进行对指纹的存储以及允许访问自动化系统。最初测定指纹是必需的,以便能够将所述指纹作为基准而预先存在自动化系统的存储器中或测定指纹的部件中。在此为了确保在最初的测定和存储中不能够产生误用,附加地,需要经由人机接口的确认。这种确认例如能够通过自动化系统的管理员来进行,管理员通过其输入来确认,连接到自动化系统或单元上的部件随后能够被授权地访问自动化系统。人机接口此外能够听命于单独的安全机构,例如输入必需的密码,由此管理者能够自己相对于自动化系统进行认证。在另一个设计方案中 ,通过所述单元以预设的时间间隔和/或在存在特定的事件时测定连接到所述单元上的部件的指纹和将其与为所述部件存储的指纹进行比较。因此,所述指纹不仅用于在所述部件与自动化系统最初连接时用于检查。替选地,通过对指纹的重复测定和与已存储的指纹的比较也能够在正在进行的工作中确保,所述部件关于对自动化系统的访问是被授权的并且没有被替换。适当地,此外为了测定指纹而测定全部通信参数,其中由所述单元的通信的全部参数中的能够设置的部分参数来形成指纹。要理解的是,指纹也能够由请求部件的包括MAC地址在内的全部参数形成。全部参数适当地包括以下内容:-由所述部件使用的、用于与所述单元进行通信的协议;-所述单元的由所述部件使用的、用于通信的端口;-由所述部件在通信时询问的地址;-由所述部件产生的数据帧的长度;-两个数据帧的相继发送之间的持续时间;-所请求部件的MAC地址。要理解的是,原则上,能够使用通信的用来表征通信的全部参数或特性来确定请求部件的指纹。从上述描述中对本领域技术人员同样明显的是,不必使用所有举出的参数来测定指纹,而是选择较小的部分也是足够的。此外适当的是,测定指纹的部件为了与自动化系统的其他部件进行数据交换而相对于自动化系统至少一次地对自身进行认证。
以下进一步地根据实施例对本发明进行描述。其中:图1示出请求单元所要连接的根据本发明的工业自动化系统中的通信流程的示意图;并且图2示出根据本发明的工业自动化系统中的在自动化系统正常工作期间的通信流程的示意图。
具体实施例方式在以下描述的通信范围中为了保护工业自动化系统基本上包括三个部件。请求单元用附图标记M标示。请求单元M例如能够为例如用于对自动化系统的部件进行配置或更新的计算机,或要连接到自动化系统上的机器或设备。用附图标记EK标示出自动化系统的终端节点。所述终端节点例如能够为网桥或路由器,请求单元M能够优选地经由终端部件EK的以太网连接而连接到所述路由器上。用NW标示出自动化系统的其他部件,其中NW能够表示以合适的方式为数据交换而彼此连接的多个单独的不同部件。终端节点EK和自动化系统的其他部件NW之间的通信能够选择性地以有线连接或无线的方式进行。在以下的描述中,NW也被称作自动化网络自身。该表达方式可理解成与自动化网络的部件是同义的。 在第一步中,相对于自动化网络NW的其余部件进行终端节点EK的认证。首先,终端节点EK传递认证询问AUTH,所述认证询问由自动化系统NW处理并且以认证回复AUTH_ACC被答复。在认证时,例如能够交换自动化网络NW的对于终端节点EK已知的机密。认证例如能够在挑战-应答法(Challenge-Response-Verfahren)范畴中或者借助于其他合适的认证法进行。在发生的肯定的认证之后,终端节点EK能够与自动化系统NW进行通信。通信例如能够在使用专用协议的情况下安全地进行。此外,现在的出发点在于,设备(请求单元)M想要获得对自动化网络NW访问。如同所阐明的,所述连接经由终端节点EK的以太网连接进行。只要设备M连接在终端节点EK上,就进行设备M和终端节点EK之间的通信。在通信时在设备M和终端节点EK之间交换帧FRM。在此,终端节点EK分析设备M的通信的类型。例如,终端节点EK确定,设备M以哪个协议进行通信。此外,例如检查,设备M的哪些端口在与终端节点EK通信时被使用。能够检查,设备M的哪些地址在通信时被询问。描述通信的另一个特征涉及由部件产生的数据帧FRM的长度以及两个数据帧之间的相继发送之间的时间间隔。同样也通过终端节点EK检测设备M的MAC地址。此外,能够从通信中提取出通信的其他方面。终端节点EK从这些参数的全部或一部分形成指纹(B_FP),终端节点(EK)存储所述指纹(S_FP)。此外,能够在终端节点EK之内设有特有的存储器。同样也能够使用自动化系统NW的存储器,终端节点EK能够以通信的方式访问所述存储器。为了确保仅存储设备M的应随后真正授权地对自动化系统NW的网络进行访问的指纹,例如能够通过自动化系统的管理员来确认设备M的真实性。例如能够通过管理员执行在设备M和终端节点EK之间的待执行的连接,和能够经由通过终端节点EK读出的人机接口进行相应的确认。此外,适当的是,自动化系统的管理员自身相对于自动化系统NW或终端节点EK进行验证。只要存储了设备M的指纹,通过终端节点EK为所连接的设备M传达信息C0M_ACC,使得从现在开始允许与自动化系统NW的通信。随后,设备M能够与自动化系统NW交换数据帧FRM。在存储指纹时,将所述指纹优选地分配给MAC地址,也就是说,分配给设备M的单义的标识符。指纹自身能够就其自身而言又包括MAC地址,使得指纹对于相应的设备是单义的。MAC地址同样也能够不是指纹的组成部分,使得指纹适用于机器的种类、特定的设备类型等。那么这导致了,具有与在第一次测定和存储指纹期间连接到终端节点上的机器相同的通信特征的、结构相同的机器同样也能够获得对自动化系统的访问。那么例如能够有利的是,设备由于损坏而由结构相同的设备替换。原则上适当的是,首先存储能够用于形成指纹的全部的已测定的参数。然后,例如能够通过自动化系统NW的管理员或预设的配置数据来确定参数中的哪一个用于测定指纹。图2示出为设备M存储指纹之后的通信流程。首先终端节点EK又通过交换认证询问AUT而相对于自动化系统NW进行认证,和通过认证回复AUTH_ACC进行相应的答复。随后,从现在开始在设备M和终端节点EK之间进行已阐明的通信,其中又产生指纹(B_FP)。在下一步的流程中,从现在开始能够进行设备M和自动化系统NW之间的通信。在此,重复地执行跟随的、由附图标记L标示出的步骤,L在此表示“循环”,由此执行所述步骤的有规律的重复。在设备M和自动化系统NW之间执行的通信经由作用为网关的终端节点EK进行。因此,终端节点EK能够分析设备M的通信特性和测定设备M的指纹(B_FP)。随后,将已测定的指纹与包含在用于所述设备的存储器中的指纹进行比较(C0MP_FP)。对此使用设备M的MAC地址,以便能够测定从存储器中分配的指纹。如果比较结果是肯定的(参照附图标记A,“ALT”),那么能够维持通信。如果在比较中确定(参照附图标记E,“ELSE”)测定的指纹没有包含在存储器的数据库中,那么由终端节点EK将信息STP传送到设备M上,所述信息标志着对自动化系统的访问的中断。进行在设备M和自动化系统NW之间的通信连接的中断。这用附图标记DCT标示。对设备M的指纹的检查和所述指纹与为MAC地址存储的指纹的比较根据循环L优选地周期性地进行。因此,也能够在正在进行的工作中关于与自动化系统的通信来进行对设备M的授权性的检查。在将信息STP从终端节点EK传送到设备M上时,例如也能够实现报警信号发送,使得例如管理员注意到所接入 的设备M的指纹与已知设备的存储的指纹不一致。信号发送能够以电子邮件、报警信息等形式实现。
权利要求
1.工业的自动化系统,包括: -数字指纹,所述数字指纹分配给请求访问所述自动化系统(NW)的单元(M),并且所述数字指纹以所述单元(M)与所述自动化系统(NW)的指纹测定部件(EK)的通信的一个或多个参数为基础; -所述指纹测定部件(EK),所述部件在所述自动化系统(NW)工作时允许请求单元(M)访问所述自动化系统(NW)并且将所述请求单元(M)的已测定的指纹与已存储的指纹进行比较。
2.根据权利要求1所述的自动化系统,其中所述指纹测定部件(EK)是所述自动化系统(NW)的终端节点,所述请求单元(M)能够经由预设的接口、尤其根据以太网协议连接到所述终端节点上以用于交换数据。
3.根据权利要求1或2所述的自动化系统,其中所述指纹测定部件(EK)为了与所述自动化系统(NW)的其他部件进行数据交换而相对于所述自动化系统(NW)至少一次地对自身进行认证。
4.根据上述权利要求之一所述的自动化系统,其中所述指纹测定部件(EK)为了数据交换以无线或有线连接的方式与所述自动化系统(NW)的其他部件连接。
5.根据上述权利要求之一所述的自动化系统,其中将所述请求单元(M)中的一个的最初测定的指纹存储在所述自动化系统(NW)的所述部件(EK)中或所述自动化系统(NW)的能够被所述部件(EK)访问的存储器中。
6.根据权利要求5所述的自动化系统,其中所述已存储的指纹被分配给所述请求单元(M)的单义的标识符,所述标识符 尤其是MAC地址。
7.根据上述权利要求之一所述的自动化系统,其中所述指纹由所述单元(M)的全部通信参数中的能够配置的部分参数形成。
8.用于对工业自动化系统进行保护的方法,其中 -将指纹分配给请求访问所述自动化系统(NW)的单元(M), -以所述单元(M)与所述自动化系统(NW)的指纹测定部件(EK)通信的一个或多个参数为基础来测定所述指纹; -所述指纹测定部件(EK)将已测定的指纹与已存储的指纹进行比较并且仅在比较结果为肯定的情况下允许对所述自动化系统(NW)进行访问。
9.根据权利要求8所述的方法,其中指纹测定单元(EK)至少在与所述请求部件(M)第一次建立通信连接之后在通信中与所述请求部件交换预设的或任意的数据,并且基于所述通信来测定所述指纹,并且将所述指纹存储在所述自动化系统(NW)的所述部件(EK)中或所述自动化系统(NW)的能够被所述部件(EK)访问的存储器中。
10.根据权利要求9或10所述的方法,其中在建立所述请求部件(M)至所述指纹测定单元(EK)的通信连接之后测定所述部件(M)的所述指纹,并且检查所述指纹是否已被存储,其中在否定情况下检查,是否能够在人机接口上查出对所测定的指纹的肯定确认,并且仅在存在肯定确认的情况下,对所述指纹进行存储以及允许对所述自动化系统(NW)进行访问。
11.根据权利要求8至10之一所述的方法,其中通过所述单元(EK)以预设的时间间隔和/或在存在特定的事件时对连接到所述单元(EK)上的所述部件(M)的所述指纹进行测定和与为所述部件(M)存储的指纹进行比较。
12.根据权利要求8至11之一所述的方法,其中测定全部参数以便测定所述指纹,其中所述指纹由所述单元(M)的全部所述通信参数中的能够配置的部分参数形成。
13.根据权利要求12所述的方法,其中所述全部参数包括以下内容: -由所述部件(M)使用的、用于与所述单元(EK)通信的协议; -所述单元(EK)的由所述部件(M)使用的、用于所述通信的端口 ; -由所述部件(M)在所述通信时询问的地址; -由所述部件(M)产生的数据帧的长度; -两个数据帧的相继发送之间的时间间隔; -所述部件(M)的MAC地址。
14.根据权利要求8至13之一所述的方法,其中所述指纹测定部件(EK)为了与所述自动化系统(NW)的其他部件进行数据交换而相对于所述自动化系统(NW)至少一次地对自身进行认证。
全文摘要
本发明描述一种工业自动化系统。根据本发明的工业自动化系统包括数字指纹,所述数字指纹被分配给请求访问自动化系统(NW)的单元(M)并且以单元(M)与自动化系统(NW)的测定指纹的部件(EK)的通信的一个或多个参数为基础。此外,工业自动化系统具有测定指纹的部件(EK),所述部件在自动化系统(NM)工作时允许请求单元(M)访问自动化系统(NW)并且将请求单元(M)的已测定的指纹与已存储的指纹进行比较。
文档编号H04L29/06GK103220265SQ20131002547
公开日2013年7月24日 申请日期2013年1月21日 优先权日2012年1月19日
发明者叶海亚·阿克尔, 约尔格·米勒 申请人:西门子公司