用于工业设备的防护密码管理的系统和方法与流程

相关申请的交叉引用以及优先权要求

本申请要求根据35u.s.c.§119(e)的2015年9月15日提交的美国临时专利申请号62/218,718的优先权。在此通过引用将此临时专利申请以其整体并入到本公开中。

本公开总体上涉及用于工业环境的网络安全（cybersecurity）。更具体地，本公开涉及用于为工业设备提供防护密码管理的系统和方法。

背景技术：

各种组织惯常地具有它们自己的私有计算系统，并且这些计算系统中的一些可以容易地包括数百或数千台计算设备。这些组织通常希望网络安全以防止未经授权的访问、修改或篡改安全关键控制、过程控制和监督控制。这些控制中的许多经由一个或多个密码来保护。

技术实现要素：

本公开提供一种用于为工业设备提供防护密码管理的方法和系统。

在第一实施例中，提供一种用来改变工业过程/安全控制和自动化系统中的工业设备/控制器的密码的方法。该方法包括由工业设备/控制器发起工业设备/控制器的程序模式。该方法还包括由工业设备/控制器在程序模式期间从用户接口设备接收密码。该方法进一步包括在接收到密码之后，由工业设备/控制器发起工业设备/控制器的锁定模式。此外，该方法包括由工业设备/控制器利用接收到的密码来替换工业设备/控制器的当前密码。

在第二实施例中，提供一种工业过程/安全控制和自动化系统中的工业设备/控制器。该工业设备/控制器被配置成发起工业设备/控制器的程序模式。该工业设备/控制器还被配置成在程序模式期间从用户接口设备接收密码。该工业设备/控制器被进一步配置成在接收到密码之后发起工业设备/控制器的锁定模式。此外，该工业设备/控制器被配置成用接收到的密码来替换工业设备/控制器的当前密码。

在第三实施例中，提供一种工业过程/安全控制和自动化系统。该系统包括用户接口设备和工业设备/控制器。该用户接口设备被配置成激活密码设置功能。该用户接口设备还被配置成接收对于到工业设备/控制器的传输的密码。该工业设备/控制器被配置成从用户接口设备接收密码。该工业设备/控制器还被配置成检测物理密码替换认证程序的执行。该工业设备/控制器还被配置成响应于执行物理密码替换认证程序而用接收到的密码来替换当前密码。

根据下面各图、描述和权利要求，其它技术特征对于本领域技术人员可以是显而易见的。

附图说明

为了更加完全地理解本公开，现在参考结合附图进行的下面的描述，在附图中：

图1图示根据本公开的示例工业过程/安全控制和自动化系统；

图2图示根据本公开的支持工业设备的防护密码管理的示例设备；

图3和4图示根据本公开的用于提供对工业设备的防护密码管理的示例系统；以及

图5、6和7图示根据本公开的用于提供防护密码管理的示例方法。

具体实施方式

下面讨论的图1至7以及用来在本专利文档中描述本发明的原理的各种实施例仅作为例证并且不应该以任何方式被解释成限制本发明的范围。本领域技术人员将会理解，可以以任何类型的适当布置的设备或系统来实施本发明的原理。

许多组织通常希望网络安全以防止未经授权的访问、修改或篡改安全关键控制、过程/安全控制和监督控制。一些组织使用密码来保护这些控制。然而，如果忘记密码、未经授权获得密码或错置密码，则组织可能经历问题。此类发生可能要求工厂（plant）关闭和控制器的整个存储器被清除，以便重置密码。当正确的配置版本正运行但没有被单独备份时，这可能导致工厂控制的损失以及工厂配置的损失。此外，依赖于密码的一些系统允许远程用户执行处于高安全级别的密码管理操作。此类远程机制可以被恶意用户利用。

本文中讨论了用于对工业设备的防护密码管理的系统和方法。这些系统和方法通过引入用来证明用户不是恶意的一个或多个附加检查来增加用于执行密码管理（诸如密码重置、密码更改等等）的安全级别。在一些实施例中，可以使用设备处的物理访问（诸如密钥-开关等等）来完成此类检查。要指出，在下面的讨论中，关于结合工业过程/安全控制和自动化系统的使用来描述该系统和方法。然而，该系统和方法可以与任何适当的计算系统一起使用并且不限于在工业控制和自动化装置中使用。

图1图示根据本公开的示例工业过程/安全控制和自动化系统100。如在图1中示出的，该系统100包括促进至少一个产品或其它材料的生产或处理的各种部件。例如，该系统100在这里用来促进对一个或多个工厂101a-101n中的部件的控制。每个工厂101a-101n表示一个或多个处理设施（或其一个或多个部分），诸如用于生产至少一个产品或其它材料的一个或多个制造设施。一般来说，每个工厂101a-101n可以实施一个或多个过程并且可以单个地或共同地称为过程/安全系统。过程系统通常表示被配置成以某一方式处理一个或多个产品或其它材料的任何系统或其一部分。

在图1中，使用过程控制的普渡（purdue）模型来实施系统100。在该普渡模型中，“级别0”可以包括一个或多个传感器102a以及一个或多个致动器102b。该传感器102a和致动器102b表示过程系统中的可以执行各种各样的功能中的任一个的部件。例如，传感器102a可以测量过程系统中的各种各样的特性，诸如温度、压力（pressure）或流速率。而且，致动器102b可以更改过程系统中的各种各样的特性。传感器102a和致动器102b可以表示任何适当过程系统中的任何其它或附加部件。传感器102a中的每一个包括用于测量过程系统中的一个或多个特性的任何适当结构。致动器102b中的每一个包括用于操作或影响过程系统中的一个或多个状况的任何适当结构。

将冗余网络104耦合至传感器102a和致动器102b。网络104促进与传感器102a和致动器102b的交互。例如，网络104可以传输来自传感器102a的测量数据并且将控制信号提供给致动器102b。网络104可以表示任何适当的冗余网络。作为特定示例，网络104可以表示冗余iec-61850、iec-62439、以太网/ip（eip）、或modbus/tcp网络。网络104可以具有任何适当的配置，诸如星状或环状拓扑。

在普渡模型中，“级别1”包括耦合至网络104的一个或多个控制器106。除了其它事物之外，每个控制器106可以使用来自一个或多个传感器102a的测量结果来控制一个或多个致动器102b的操作。每个控制器106包括用于控制过程系统的一个或多个方面的任何适当结构。作为特定示例，每个控制器106可以表示计算设备。

将冗余网络108耦合至控制器106。网络108促进与控制器106的交互，诸如通过传输去到和来自控制器106的数据。网络108可以表示任何适当的冗余网络。作为特定示例，网络108可以表示一对以太网网络或以太网网络的冗余对，诸如来自霍尼韦尔国际公司的容错以太网（fte）网络。

至少一个交换机/防火墙110将网络108耦合至两个网络112。交换机/防火墙110可以将业务从一个网络传输至另一个。交换机/防火墙110还可以阻止一个网络上的业务达到另一网络。交换机/防火墙110包括用于提供网络之间的通信的任何适当结构，诸如霍尼韦尔控制防火墙（cf9）设备。网络112可以表示任何适当的网络，诸如一对以太网网络或fte网络。

在普渡模型中，“级别2”可以包括耦合至网络112的一个或多个机器级控制器114。机器级控制器114执行各种功能来支持可与一件特定的工业装备（诸如锅炉或其它机器）相关联的控制器106、传感器102a和致动器102b的操作和控制。例如，该机器级控制器114可以记录（log）由控制器106收集或生成的信息（诸如来自传感器102a的测量数据或用于致动器102b的控制信号）。机器级控制器114还可以执行控制控制器106的操作的应用，由此控制致动器102b的操作。此外，机器级控制器114可以向控制器106提供安全访问。机器级控制器114中的每一个包括用于提供对机器或其它单个件的装备的访问、控制或与其有关的操作的任何适当结构。机器级控制器114中的每一个可以例如表示运行microsoftwindows操作系统的服务器计算设备。尽管没有被示出，但是不同的机器级控制器114可以被用来控制过程系统中的不同各件装备（其中每一件装备与一个或多个控制器106、传感器102a和致动器102b相关联）。

将一个或多个操作员站116耦合至网络112。该操作员站116表示向机器级控制器114提供用户访问的计算或通信设备，该机器级控制器114然后可以向控制器106（以及可能地传感器102a和致动器102b）提供用户访问。作为特定示例，操作员站116可以允许用户使用由控制器106和/或机器级控制器114收集的信息来回顾传感器102a和致动器102b的操作历史。操作员站116还可以允许用户调整传感器102a、致动器102b、控制器106或机器级控制器114的操作。此外，操作员站116可以接收并显示警告、警报、或由控制器106或机器级控制器114生成的其它消息或显示。操作员站116中的每一个包括用于支持对系统100中的一个或多个部件的用户访问和控制的任何适当结构。操作员站116中的每一个可以例如表示运行microsoftwindows操作系统的计算设备。

至少一个路由器/防火墙118将网络112耦合至两个网络120。路由器/防火墙118包括用于提供各网络之间的通信的任何适当结构，诸如安全路由器或组合路由器/防火墙。网络120可以表示任何适当的网络，诸如一对以太网网络或fte网络。

在普渡模型中，“级别3”可以包括耦合至网络120的一个或多个单元级控制器122。每个单元级控制器122通常与过程系统中的单元相关联，其表示一起操作来实施过程的至少一部分的不同机器的集合。单元级控制器122执行各种功能来支持更低级别中的部件的操作和控制。例如，单元级控制器122可以记录由更低级别中的部件收集或生成的信息，执行控制更低级别中的部件的应用、以及向更低级别中的部件提供安全访问。单元级控制器122中的每一个包括用于提供对一个或多个机器或过程单元中的其它各件装备的访问、控制或与其有关的操作的任何适当结构。单元级控制器122中的每一个可以例如表示运行microsoftwindows操作系统的服务器计算设备。尽管没有被示出，但是不同单元级控制器122可以被用来控制过程系统中的不同单元（其中每个单元与一个或多个机器级控制器114、控制器106、传感器102a和致动器102b相关联）。

对单元级控制器122的访问可以由一个或多个操作员站124来提供。操作员站124中的每一个包括用于支持对系统100中的一个或多个部件的用户访问和控制的任何适当结构。操作员站124中的每一个可以例如表示运行microsoftwindows操作系统的计算设备。

至少一个路由器/防火墙126将网络120耦合至两个网络128。路由器/防火墙126包括用于提供网络之间的通信的任何适当结构，诸如安全路由器或组合路由器/防火墙。网络128可以表示任何适当的网络，诸如一对以太网网络或fte网络。

在普渡模型中，“级别4”可以包括耦合至网络128的一个或多个工厂级控制器130。每个工厂级控制器130通常与工厂101a-101n中的一个相关联，该工厂101a-101n可以包括实施相同、相似或不同过程的一个或多个过程单元。工厂级控制器130执行用来支持对更低级别中的部件的操作和控制的各种功能。作为特定示例，工厂级控制器130可以执行一个或多个制造执行系统（mes）应用，调度应用、或者其它或附加工厂或过程控制应用。工厂级控制器130中的每一个包括用于提供对过程工厂中的一个或多个过程单元的访问、控制或与其有关的操作的任何适当结构。工厂级控制器130中的每一个可以例如表示运行microsoftwindows操作系统的服务器计算设备。

可以由一个或多个操作员站132来提供对工厂级控制器130的访问。操作员站132中的每一个包括用于支持对系统100中的一个或多个部件的用户访问和控制的任何适当结构。操作员站132中的每一个可以例如表示运行microsoftwindows操作系统的计算设备。

至少一个路由器/防火墙134将网络128耦合至一个或多个网络136。路由器/防火墙134包括用于提供网络之间的通信的任何适当结构，诸如安全路由器或组合路由器/防火墙。网络136可以表示任何适当的网络，诸如全企业以太网或其它网络或更大网络（诸如因特网）的全部或一部分。

在普渡模型中，“级别5”可以包括耦合至网络136的一个或多个企业级控制器138。每个企业级控制器138通常能够执行对于多个工厂101a-101n的规划操作以及控制工厂101a-101n的各种方面。该企业级控制器138还可以执行用来支持工厂101a-101n中的部件的操作和控制的各种功能。作为特定示例，企业级控制器138可以执行一个或多个订单处理应用、企业资源规划（erp）应用、高级规划和调度（aps）应用、或者任何其它或附加企业控制应用。企业级控制器138中的每一个包括用于提供对一个或多个工厂的控制的访问、控制或与其有关的操作的任何适当结构。企业级控制器138中的每一个可以例如表示运行microsoftwindows操作系统的服务器计算设备。在此文档中，术语“企业”指代具有要被管理的一个或多个工厂或其它处理设施的组织。要指出，如果单个工厂101a要被管理，则企业级控制器138的功能可以被合并到工厂级控制器130中。

可以由一个或多个操作员站140来提供对企业级控制器138的访问。操作员站140中的每一个包括用于支持对系统100中的一个或多个部件的用户访问和控制的任何适当结构。操作员站140中的每一个可以例如表示运行microsoftwindows操作系统的计算设备。

在此示例中还将历史学家（historian）142耦合至网络136。历史学家142可以表示存储关于系统100的各种信息的部件。历史学家142可以例如存储在生产调度和优化期间使用的信息。历史学家142表示用于存储和促进信息的检索的任何适当结构。尽管被示出为耦合至网络136的单个集中部件，但是历史学家142可以位于系统100中的别处，或者多个历史学家可以分布在系统100中的不同位置中。

网络安全越来越多地变成工业环境中的焦点。在工业控制的核心处是执行安全关键控制、过程控制和监督控制的嵌入式设备。本公开描述了一种用来防护工业控制设备（比如控制器、输入/输出（i/o）单元、可编程自动化控制器（pac）、可编程逻辑控制器（plc）、或操作员接口）中的密码的创新技术。该公开提供了算法，其利用对设备的物理访问作为认证的附加因素以允许对工业控制设备的防护访问和关键的密码有关的操作的执行。通常，将对控制来说关键的工业环境中的设备（比如控制器、io、交换机等等）置于物理防护环境（诸如具有电子访问控制的锁柜或控制房间）中。设备还可以包括模式密钥开关或设备上的用来物理地锁定该设备的其它机构。因此，物理安全可以充当良好的安全附加并且可以充当对工业设备远程攻击的强大防御。

日益增加地，更多的供应商正添加对过程控制设备的保护以免受未经授权的访问/修改。通过密码机制来保护工业设备上的许多关键方面。受密码保护的工业设备操作的示例可以包括在工业设备上运行的程序的修改、通过监视程序来执行更改、工业设备中固件的修改、更改工业设备的模式、或更改关键工业设备系统参数（诸如时间、网络配置等等）。

尽管许多供应商对工业设备操作提供密码保护，但是如果消费者忘记工业设备密码则它们会面对大问题。通常，这需要用户关闭工厂和清除设备的整个存储器以重置其密码。如果设备的配置的正确运行版本没有被单独备份，则这常常导致工厂控制的损失以及配置的损失。尽管工业设备的配置的完全清除可能是安全解决方案，但是对已真正丢失密码的消费者来说它是相当大的不便。许多消费者具有适当的过程和机制以物理防护工业设备，并且在那个情况下对工业设备的物理访问可以优先于置于工业设备上的所有其它安全机制。

如本文中讨论的，可以将物理安全置于工业设备上以便或者（i）优先于其它软访问机制（诸如密码）并提供更加用户友好的方式来防护工业设备；或者（ii）将物理安全用作第二因素认证以增强设备的安全。物理安全机制的示例包括将设备置于访问控制的房间（诸如具有电子或物理锁的房间）中、将设备置于具有物理锁的柜子中或者将物理锁置于设备自身上。因此，这帮助增强通过设备提供的密码保护。

为了完成这个，系统100中的设备的任一个（诸如过程控制器、路由器、交换机或防火墙中的任一个）可以使用密码来保护对设备的关键功能的未授权访问。利用对设备的物理访问（诸如使用物理密钥开关）来增强该密码保护，在密码丢失的情况下这会改进用户体验。作为此功能的示例，可以利用密码来保护控制器或其它设备。为了防护密码免于未授权的更改，使用设备上的物理密钥开关。密钥机制可以防止远程恶意用户篡改设备。

存在利用物理访问来增强密码保护的各种方式。例如，可以通过利用规则（认证的附加因素）来增强密码保护。在一些实施例中，可以应用下面的规则来保护设备免受未授权的密码修改。第一规则指示不能更改密码除非设备上的密钥被切换到特定模式（诸如程序模式）。该规则帮助确保如果密钥处于不正确的位置（诸如与在工厂的正常操作期间设备的正常运行时间操作相关联的位置或用来以安全模式运行设备的强制位置）则甚至不能尝试密码更改。第二规则指示在控制器处于第一模式的同时可以更改密码但是该更改仅将在密钥开关从该模式变到第二模式（诸如运行锁定模式）之后起作用。此规则帮助确保即使设备被保持以第一模式运行也不能将密码更改提交到设备中直到密钥开关被变到第二模式为止。

作为另一示例，可以通过将对设备的物理访问用作对密码机制的超越来增强密码保护，由此改进当忘记密码时访问设备的用户体验。在一些实施例中，系统100中的设备可以包括显示所有与密码有关的事件的功能块。此特征可以被用来生成警报，以使得任何恶意活动可以被检测。设备（诸如控制器或其它部件）可以监视对诸如设备密码集、设备密码禁用、设备控制操作等之类的功能进行了多少次未经授权的访问尝试。可以在监督控制和数据获取（scada）系统或用于警报和通知程序的其它系统上监视与密码操作有关的参数。

尽管图1图示了工业过程控制和自动化系统100的一个示例，但是可以对图1作出各种改变。例如，工业控制和自动化系统出现于各种各样的配置中。图1中示出的系统100意在图示在其中可以使用某些功能的一个示例操作环境。然而，图1不会将本公开限制到任何特定配置或操作环境。而且，如上面指出的，本专利文档中描述的技术可以与任何适当的计算系统一起使用并且不限于与工业过程控制和自动化系统一起使用。

图2图示根据本公开的支持对工业设备的防护密码管理的示例设备200。设备200可以例如表示图1的系统100中的任何适当计算设备。例如，设备200可以表示图1中图示的控制器或其它设备中的任一个。

如在图2中示出的，设备200包括总线系统202，其支持至少一个处理设备204、至少一个存储设备206、至少一个通信单元208和至少一个输入/输出（i/o）单元210之间的通信。处理设备204执行可以被加载到存储器212中的指令。处理设备204可以包括处于任何适当布置的任何适当（多个）数目以及（多个）类型的处理器或其它设备。处理设备204的示例类型包括微处理器、微控制器、数字信号处理器、现场可编程门阵列、专用集成电路和分立电路。

存储器212和持久性储存器214是存储设备206的示例，该存储设备206表示能够存储和促进信息（诸如数据、程序代码和/或以临时或永久为基础的其它适当信息）的检索的任何（多个）结构。存储器212可以表示随机存取存储器或任何（多个）其它适当的易失性或非易失性存储设备。持久性储存器214可以包含支持数据的长期存储的一个或多个部件或设备，诸如只读存储器、硬盘驱动器、闪速存储器或光盘。

通信单元208支持与其它系统或设备的通信。例如，通信单元208可以包括促进通过至少一个以太网网络的通信的网络接口卡。通信单元208还可以包括促进通过至少一个无线网络的通信的无线收发器。通信单元308可以支持通过任何（多个）适当物理或无线通信链路的通信。

i/o单元210允许数据的输入和输出。例如，i/o单元210可以通过键盘、鼠标、键区、触摸屏或其它适当输入设备为用户输入提供连接。i/o单元210还可以向显示器、打印机或其它适当的输出设备发送输出。

设备200还包括至少一个物理安全机构，诸如密钥或模式开关216。如上面描述的，密钥或模式开关216可以被用来增强与设备200有关的密码安全。例如，可能需要对密钥或模式开关216的访问以便设置或更改设备200的密码，或者密钥或模式开关216可以被用来在忘记设备的密码的情况下优先于密码保护。密钥或模式开关216表示需要物理操作的任何适当控制。

尽管图2图示支持对工业设备的防护密码管理的设备200的一个示例，但是可以对图2作出各种更改。例如，图2中的各种部件可以被组合、进一步细分或省略，并且可以根据特殊需要来添加附加的部件。而且，计算设备可以出现于各种各样的配置中，并且图2并不将本公开限制到计算设备的任何特定配置。

图3图示根据本公开的用于为工业设备提供防护密码管理的示例系统300。系统300可以例如表示包括图1的系统100的任何适当计算系统。系统300中的部件还可以表示图1中图示的控制器或其它设备中的任一个。

在一些实施例中，系统300可以是霍尼韦尔hc900系统。如在图3中示出的，系统300包括具有i/o设备310（诸如hc900i/o设备）的控制器305（诸如hc900控制器）、操作员触摸面板315和操作员站320。控制器305经由网络325通信链接至操作员触摸面板315和操作员站320。控制器305还包括密钥开关330。将密钥开关330致动至一个或多个不同位置来重置控制器305的密码，电子访问控制器305等等。当将物理密钥插入密钥开关330中时可以致动密钥开关330。系统300（包括具有密钥开关330的控制器305）可以防止远程恶意用户篡改控制器305。

尽管图3图示支持对工业设备的防护密码管理的系统300的一个示例，但是可以对图3作出各种更改。例如，图3中的各种部件可以被组合、进一步细分或省略，并且可以根据特定需要来添加附加的部件。而且，计算设备和计算设备系统可以出现于各种各样的配置中，并且图3不会将本公开限制到计算设备或计算设备系统的任何特定配置。

图4图示根据本公开的用于为工业设备提供防护密码管理的示例系统400。系统400可以例如表示包括图1的系统100和图3的系统300的任何适当计算系统。系统400中的部件还可以表示图1和图3中图示的控制器或其它设备中的任一个。

如图4中示出的，系统400包括远程用户接口设备405、用户接口设备410和将远程用户接口设备405与具有工业控制器425的用户接口设备410通信连接的安全通信网络415。远程用户接口设备405可以经由网关420通信连接至安全通信网络415。

工业控制器425还包括被配置成接收密钥以保护工业控制器425免受未授权密码修改的密钥开关430。当密钥开关430接收到密钥时，可以在至少运行/程序（运行/pgm）模式位置和运行/锁定模式位置之间致动密钥开关430。例如，密钥开关430通常可以处在运行/锁定模式位置中以使得访问工业控制器425的密码不能被更改。当密钥开关430处在运行/锁定模式位置中时，不能尝试密码更改并且控制器可以在正常操作条件下安全操作。

随后，密钥开关430可以接收密钥。在密钥开关430接收密钥之后，可以将密钥开关430致动到运行/pgm模式位置。远程用户接口设备405或用户接口设备410可以将新的密码传输至工业控制器425。工业控制器425将接收到新的密码，因为密钥开关430处在运行/pgm模式位置。在工业控制器425从远程用户接口设备405或用户接口设备410接收新的密码之后，只要密钥开关430仍处在运行/pgm模式位置中，工业控制器425将不会用新的密码来替换工业控制器425的当前密码。在工业控制器425从远程用户接口设备405或用户接口设备410接收到新的密码之后，在密钥开关430致动回到运行/锁定模式位置之后工业控制器425利用新密钥来替换工业控制器425的当前密码。这确保即使在密钥开关430处在运行/pgm模式位置的同时工业控制器425保持运行的情况下，不能对工业控制器425作出密码更改直到将密钥开关430致动到运行/锁定模式位置为止。在实施例中，不可以将密钥开关430物理地附着至工业控制器425。替代地，可以将密钥开关430隐藏或存储在仅对工业控制器425的授权用户可访问的单独安全位置中。

尽管图4图示支持对工业设备的防护密码管理的系统400的一个示例，但是可以对图4作出各种更改。例如，图4中的各种部件可以被组合、进一步细分或省略，并且可以根据特定需要来添加附加的部件。而且，计算设备和计算设备系统可以出现于各种各样的配置中，并且图4不会将本公开限制到计算设备或计算设备系统的任何特定配置。

图5图示根据本公开的用于提供防护密码管理的示例方法500。可以例如在图1的系统100、图3中的系统300或图4中的系统400中实施图5中图示的方法。将在本文中参考图4的系统400来描述方法500。

在步骤505处，期望对系统400中的工业控制器425的密码更改。还可以将密钥置于工业控制器425的密钥开关430中。在步骤510处，工业控制器425确定密钥开关430是否处在运行/pgm模式位置中。如果密钥开关430没有处在运行/pgm模式位置中，则在步骤515处将密钥开关430致动到运行/pgm模式位置。在实施例中，插入密钥开关430中的密钥允许密钥开关430被致动。否则，如果密钥开关430处在运行/pgm模式位置中，则在步骤520处由远程用户接口设备405或用户接口设备410中的至少一个来接收新密钥。在步骤525处，经由安全通信网络415从用户接口设备410传输新密钥并且由工业控制器425来接收该新密钥。

在步骤530处，远程用户接口设备405或用户接口设备410中的至少一个显示用来将密钥开关430从运行/pgm模式位置变到运行/锁定模式位置的提示。例如，在检测到密钥开关430处在运行/pgm模式位置的同时接收到新密码之后，工业控制器425经由安全通信网络415将信号传输至用户接口设备410，命令用户接口设备410显示用来将密钥开关430从运行/pgm模式位置变到运行/锁定模式位置的提示。该命令还可以促使用户接口设备410向工业控制器425显示未授权访问或未成功密码更改尝试（诸如无效密码）的历史。在步骤535处，工业控制器425确定是否已经将密钥开关430从运行/pgm模式位置变到运行/锁定模式位置。

应该理解，工业控制器425检测何时将密钥开关430致动到运行/pgm模式位置并且发起工业控制器425的运行/pgm模式。当工业控制器425处在运行/pgm模式中时，工业控制器425能够接收用来替换工业控制器425的当前密码的密码。应该理解，工业控制器425检测何时将密钥开关430致动到运行/锁定模式位置并且发起工业控制器425的运行/锁定模式。当工业控制器425处在运行/锁定模式中时，工业控制器425不能接收用来替换工业控制器425的当前密码的密码。

如果工业控制器425确定还没有将密钥开关430从运行/pgm模式位置变到运行/锁定模式位置，则在步骤540处工业控制器425确定密码更改已经失败或者密码更改还没有实施。密码更改的失败可以被定义为未能利用被工业控制器425接收到的新密码来替换工业控制器425的当前密码。在实施例中，工业控制器425确定在从传输用来显示提示的信号起的预定时间之后还没有将密钥开关430从运行/pgm模式位置变到运行/锁定模式位置，并且确定密码更改已失败。如果工业控制器425确定已经将密钥开关430从运行/pgm模式位置变到运行/锁定模式位置，则在步骤545处工业控制器425确定密码更改已成功。密码更改成功可以被定义为利用新密码来替换工业控制器的当前密码。

尽管图5图示方法500的一个示例，但是可以对图5作出各种更改。例如，尽管被示出为一系列步骤，但是图5中示出的各种步骤可以重叠、并行发生、以不同的顺序发生或者发生多次。此外，一些步骤可以被组合或去除并且可以根据特定需要来添加附加步骤。

图6图示根据本公开的用于提供防护密码管理的示例方法600。在实施例中，可以将密钥开关430用于物理访问超越以设置或更改工业控制器425的密码。将在本文中参考图4的系统400来描述方法600。

如在图6中示出的，在步骤605处，用户接口设备410接收用来激活密码设置功能以设置或更改工业控制器425的密码的命令。在接收到用来激活密码设置功能的命令之后，在步骤610处由用户接口设备410来接收新密码。在步骤615处，由用户接口设备410经由安全通信网络415将新密码传输至工业控制器425。

在步骤620处，工业控制器425接收密码设置或更改的物理认证。密码设置或更改的物理认证可以包括将密钥插入工业控制器425的密钥开关430中或者将密钥开关430从运行/锁定模式位置致动至运行/pgm模式位置中的至少一个。应该理解，可以使密钥开关430物理地位于工业控制器425上或者可以使密钥开关430物理地位于不同于工业控制器425的位置的秘密或安全位置处。

在步骤625处，工业控制器425确定密码的物理认证是否是成功的。如果工业控制器425确定密码的物理认证是不成功的，则在步骤630处，工业控制器425确定密码设置或更改操作已失败。如果工业控制器425确定密码的物理认证是成功的，则在步骤635处，工业控制器425利用新接收到的密码来替换工业控制器425的当前密码。

在步骤640处，工业控制器425向用户接口设备410传输指示密码设置或更改操作是否成功的指示。例如，如果工业控制器425确定密码设置或更改操作已失败，则工业控制器425向用户接口设备410传输指示该操作已失败的指示。如果工业控制器425确定密码设置或更改操作已成功并且新密码已被实施用于工业控制器425，则工业控制器425向用户接口设备410传输指示该操作已成功的指示。在实施例中，当密码设置或更改操作不成功时，工业控制器425向用户接口设备410传输用来生成用于显示实例或发生的历史的命令。例如当工业控制器425向用户接口设备410传输指示密码设置或更改操作是否成功的指示时，这可以发生。

尽管图6图示方法600的一个示例，但是可以对图6作出各种更改。例如，尽管被示出为一系列步骤，但是图6中示出的各种步骤可以重叠、并行发生、以不同的顺序发生或者发生多次。此外，一些步骤可以被组合或去除并且可以根据特定需要来添加附加步骤。

图7图示根据本公开的用于提供防护密码管理的示例方法700。在实施例中，密钥开关430可以被用作用来设置或更改工业控制器425的密码的附加认证因素。将在本文中参考图4的系统400来描述方法700。

如在图7中示出的，在步骤705处，用户接口设备410接收用来激活密码设置功能以设置或更改工业控制器425的密码的命令，并且由用户接口设备410来接收用来通信访问工业控制器425的工业控制器425的当前密码。在步骤710处，用户接口设备410执行用来确定接收到的密码是否是工业控制器425的当前密码的认证。如果用户接口设备410确定接收到的密码与工业控制器425的当前密码不匹配，则用户接口设备410结束该操作。在实施例中，当接收到的密码与当前密码不匹配时，用户接口设备410可以生成以用于显示实例或发生的历史。这可以例如响应于用户接口设备410接收到与工业控制器425的当前密码不匹配的密码而发生。

否则，如果用户接口设备410确定接收到的密码是工业控制器425的当前密码，则在步骤715处，用户接口设备410显示输入窗口、接收新密码。并且经由安全通信网络415将新密码传输至工业控制器425。在步骤720处，工业控制器425接收密码设置或更改的物理认证。密码设置或更改的物理认证可以包括将密钥插入工业控制器425的密钥开关430中或者将密钥开关430从运行/锁定模式位置致动至运行/pgm模式位置中的至少一个。

在步骤725处，工业控制器425确定密码的物理认证是否是成功的。如果工业控制器425确定密码的物理认证是不成功的，则在步骤730处，工业控制器425确定密码设置或更改操作已失败。如果工业控制器425确定密码的物理认证是成功的，则在步骤735处，工业控制器425利用新接收的密码来替换工业控制器425的当前密码。

在步骤740处，工业控制器425向用户接口设备410传输指示密码设置或更改操作是否成功的指示。例如，如果工业控制器425确定密码设置或更改操作已失败，则工业控制器425向用户接口设备410传输指示该操作已失败的指示。如果工业控制器425确定密码设置或更改操作已成功并且新密码已被实施用于工业控制器425，则工业控制器425向用户接口设备410传输指示该操作已成功的指示。在实施例中，当密码设置或更改操作不成功时，工业控制器425向用户接口设备410传输用来生成以用于显示实例或发生的历史的命令。例如当工业控制器425向用户接口设备410传输指示密码设置或更改操作是否成功的指示时，这可以发生。

尽管图7图示方法700的一个示例，但是可以对图7作出各种更改。例如，尽管被示出为一系列步骤，但是图7中示出的各种步骤可以重叠、并行发生、以不同的顺序发生或者发生多次。此外，一些步骤可以被组合或去除并且可以根据特定需要来添加附加步骤。

在一些实施例中，通过由计算机可读程序代码形成并且包含在计算机可读介质中的计算机程序来实施或支持在本专利文档中描述的各种功能。短语“计算机可读程序代码”包括任何类型的计算机代码，包括源代码、目标代码和可执行代码。短语“计算机可读介质”包括能够由计算机来访问的任何类型的介质，诸如只读存储器（rom）、随机存取存储器（ram）、硬盘驱动器、压缩盘（cd）、数字视频盘（dvd）或任何其它类型的存储器。“非瞬时”计算机可读介质排除有线、无线、光学或传输瞬时电气或其它信号的其它通信链路。非瞬时计算机可读介质包括数据可以被永久存储在那里的介质和数据可以在那里被存储并且稍后被覆写的介质，诸如可重写光盘或可擦除存储器设备。

阐述遍及本专利文档所使用的某些词语和短语的定义可能是有利的。术语“应用”和“程序”指的是一个或多个计算机程序、软件部件、指令集、程序、函数、对象、类别、实例、有关数据或适于以适当计算机代码（包括源代码、目标代码或可执行代码）来实施的其一部分。术语“通信”以及其派生词涵盖直接和间接通信两者。术语“包括”和“包含”以及其派生词意指在没有限制情况下的包括。术语“或”是包括性的，意指和/或。短语“与……相关联”以及其派生词可意指包括、被包括在……内、与……互连、包含、被包含在……内、与或和……连接、与或和……耦合、与……可通信、与……协作、交错、并置、接近于……、与或和……绑定、具有、具有……的性质、具有与或和……的关系等等。当与条目的列表一起使用时，短语“……中的至少一个”意指可以使用所列条目中的一个或多个的不同组合，并且可能需要列表中的仅一个条目。例如，“a、b和c中的至少一个”包括以下组合中的任一个：a、b、c、a和b、a和c、b和c、以及a和b和c。

尽管本公开已描述了某些实施例和通常相关联的方法，但是这些实施例和方法的改变和排列对本领域技术人员来说将是显而易见的。因此，示例实施例的上面的描述不会限定或约束本公开。在不偏离如由下面的权利要求限定的本公开的精神和范围的情况下，其它更改、替换和改变也是可能的。