专利名称:过程控制系统的制作方法
技术领域:
本发明涉及一种包括多个在空间上分布的互相联网的用户的过程控制系统,在这些用户之间有安全的通信。
背景技术:
这种过程控制系统相应地已知并关于其构造和功能例如在EP0597661中说明。设备运行者方面对这种过程控制系统提出了关于可用性、完整性和反应时间的非常高的要求。根据已知的现有技术,互相联网的用户通过按制造商特定的总线系统或串口连接而互相连接,所述总线系统或串口连接为标准的IT (信息技术)组件如笔记本电脑和台式机提供了技术上的屏障。此外,对于有意造成的操纵和也对于由于其他系统组件的错误行为的边缘效应造成的对运行准备的损害,产生显著减小的攻击面。
将以太网技术引入在过程控制技术中在设备部件与控制技术功能之间的通信中的增加,减小了这种技术屏障,由此尤其是危害传输和处理的数据的机密性和完整性以及为此使用的服务器对于通信用户的可用性。此外从公开信息http://de. wikipedia. cxtr/wiki/Ethernet已知,安全风险起因于依赖于规则的广播消息,在所述广播消息中每个由用户发出的信息被每一个其他用户接收。因此通过连接到以太网,这些组件的潜在危险显著提高了。为了抵消这种情况,需要对与仪器之间的通信签字或在必要时完全加密。通信用户必须作为合法的网络用户被认证并附加地保护他们的通信内容不被其他未认证的用户访问。依赖于安全性要求和其他的运行要求,这通常表示保护消息不被不希望的网络用户修改内容或也保护消息内容不被不希望的用户阅读式访问。此外从上述公开信息http: //de. wikipedia. org/wiki/Ethernet已知,j史用密码学的方法保护通信的完整性。典型地为此使用共享密钥或不对称的钥匙对(私钥/公钥)。因为设备网络包括许多的网络用户,密钥的管理伴随着可观的人工花费或迫使引入自动化的服务器如密钥分发和证书管理。但这种基础设施的引入不允许导致自动化系统的可用性减少,也不应该为潜在的入侵者提供其他的攻击可能性。此外需要将对于设备运行者和操作人员的附加花费保持得尽可能低。
发明内容
因此本发明的任务在于,提供一种过程控制系统,该过程控制系统的用户在使用以太网技术的情况下互相通信,其中在低的花费下保护通信的完整性。根据本发明,该任务借助权利要求I的措施解决。本发明有利的设计在从属权利要求中给出。本发明从一种过程控制系统出发,其通信的完整性基于证书交换。根据本发明,过程控制系统具有中央的认证中心,该认证中心是过程控制系统的集成的组成部分,并且该认证中心的任务在于分配和分发证书。该认证中心优选安装在系统的作为服务器的计算机上。替代地,认证中心通过单独的系统组件连接到过程控制系统中。有利的是,在此利用分布的过程控制系统存在的功能和元件,以构造用于密钥管理和证书管理的基础设施。在此,在不降低过程控制系统的可用性和不引入用于过程控制系统监视和运行的新规范的情况下,为过程控制系统实现安全的用于密钥管理和证书管理的基础设施。因此保持用于将用于密钥管理和证书管理的基础设施在过程控制系统中实现和运行的低花费。由此能以极低的额外花费和用于运行过程控制系统的费用引入所述的方法。过程控制系统的运行时间功能至少短时地与认证中心的可用性相关。尤其是由此出发,即使用认证中心以更新结束的证书,认证中心被周期性地使用以分发在期间无效的证书的更新的清单,在有泄露的证书的情况时,必须通知认证中心这种状况。因此看来适宜 的是,借助也应用于过程控制系统的其他基础功能的相同方法监控认证中心的功能。附加地,借助过程控制系统的方法记录关于证书管理例如到期证书的更新或泄露的证书的召回的相关事件,并在必要时可视化地向设备操作者示出。为了发放证书,在两种情况中需要认证中心a)在其他网络用户加入时,用于为新的网络用户生成证书;b)为了更新系统中存在的证书。附加地,根据选择的分发回召信息的方式,所述回召信息能以在系统中分布的证书撤销清单(CRL)的形式实现或能在每次访问时通过证书的确认而实现,使用认证中心,以通过新生成和签署证书撤销清单(CRL)在确定的时刻刚好更新证书撤销清单。在网络用户之一的私钥被泄露的情况中,认证中心撤回泄露的证书并生成更新的CRL。网络用户必须接着以新产生的密钥重新通过将证书发到通信网络中而被接收。认证中心的可用性要求相比于过程控制系统的其他功能不是特别高,但要保证为恢复认证中心功能(MTTR)限定的持续时间。本发明说明了不同的实现这一点的方法根据本发明的另一特征设定,将认证中心布置于具有高的自身可用性的系统组件上。尤其是为此能选择所谓的与过程接近的组件(PNK)。在本发明的第一实施形式中,认证中心持续保持运行。因此认证中心持续可用,并且用于恢复认证中心功能(MTTR)的持续时间实际上等于零。通过过程控制系统的存在的报警功能为设备的操作人员和维护人员指示认证中心的可用性。在这种情况中可能合适的是,也利用认证中心以在每次访问时确认证书。在本发明的第二实施形式中,只要认证中心的功能在过程控制系统中不需要,则断开认证中心。有利的是,以这种措施很大程度上避免认证中心作为外部攻击的目标被访问。根据本发明的另一特征,通过中央的系统功能引进认证中心的启动,该系统功能确定网络用户证书的剩下的剩余运行时间并在运行时间即将到期时引起认证中心的激活。根据本发明的可选特征,认证中心的启动分散地通过各单独的网络用户引进,这些网络用户自己监督他们的证书信息的有效性。在两种情况中,当认证中心在通信网络中不可用时,则产生系统警报。根据本发明另一特征,过程控制系统包括维护管理系统。借助这种维护管理系统管理连接到过程控制系统上的复合组件例如现场仪器的维护状态。为提高可用性可设定,通过维护人员将工作任务包括为恢复认证中心功能需要的措施移交到连接的维护管理系统中。详细地可为此设定,将需要引入的措施直接附加于过程警报。替代地可设定,在连接到过程控制系统的维护管理系统(CMMS )中直接触发动作。有利地,当认证中心不可用时,以这种方式以小的花费为这种情况实现更正措施的引入。根据本发明的另一特征设定,借助过程控制系统监控和记录密钥管理的功能。为此使用过程控制系统的存在的报告和记录系统,其中,事件以系统报告的形式被检测和存储。事件因此以这种形式与其他的报告一起可用于以后的存档、查询和分析。有利地,在不对过程控制系统运行明显损害的情况下,记录证书的更新,用于以后
的诊断和分析。根据本发明的另一特征设定,借助过程控制系统的功能监控证书的成功召回。证书的召回,即在协定的时间到期之前主动地取消信任关系,被证明是难以实现的,尤其是在开放和改变的环境如互联网中。在过程控制系统内部设定,利用监控功能和报告系统,以监控召回过程和保证所有网络用户的信息被处理。为此详细地设定,当个别的组件关于召回不可访问并因此潜在地以不安全来源的数据操作时,警告设备操作者。根据本发明的另一特征设定,过程控制系统主动搜索未认证的访问尝试并报告这种访问尝试,或甚至从网络用户中主动将这样的网络用户排除,即或者这种通信从所述网络用户发出,或者所述网络用户不具有最近的包含无效证书汇总的证书撤销清单。
唯一的附图显示过程控制系统。
具体实施例方式接着借助实施例详细说明本发明。在唯一的附图中,过程控制系统在其对于本发明重要的组件的范围中描述。所述过程控制系统包括多个在空间上分布的互相联网的网络用户1、2、3和4,这些网络用户通过通信网络6互相连接。在网络用户1、2、3与4之间的通信完整性通过交换证书7保证。网络用户1、2、3和4在过程控制系统之内具有不同的任务。选择网络用户2作为过程控制系统中的认证中心5,以分配和分发证书7。认证中心5作为过程控制系统的集成的组成部分安装在过程控制系统的作为服务器的网络用户2上。由此能有利地取消在过程控制系统中的附加的网络用户。网络用户2冗余地实现并由此具有非常高的在过程控制系统中的可用性。认证中心5布置在高度可用的网络用户2上并因此有利地同样高度可用。在一种可选的实施形式中,认证中心5也能布置在与过程接近的组件上。此外,认证中心5也能通过单独的系统组件连接到过程控制系统上。与认证中心5在过程控制系统中的位置无关地可设定,将该认证中心连续地保持运行。有利地借此得到在整个过程控制系统中的证书7在任何时候的分配和分发。在一种可选的实施形式中可设定,按需要根据网络用户1、2、3和4的证书7的剩下的剩余运行时间使认证中心5进入运行中,并通过中央的系统功能引进这种启动。尤其可设定,按需要根据网络用户1、2、3和4的证书7的剩下的剩余运行时间使认证中心5进入运行中,并分散地通过各单独的网络用户1、2、3和4引进这种启动。有利地,认证中心5的可用性通过过程控制系统存在的报警功能指示给设备的操作人员和维护人员。在过程控制系统的进一步设计中设定,当认证中心5在通信网络6中不可用时,产生系统警报。在本发明的进一步设计中,维护管理系统设置用于管理连接到过程控制系统上的复合组件并设计成用于引入用于管理证书的措施。典型地,这通过启动服务器进行,要么通过操作者的人工干预,要么通过系统自动地进行。具体可设定,将需要引入的措施附加于过程警报。有利地在此利用在过程控制系 统中已经实现的用于管理证书的方法,从而可取消实现新的特别的方法。可选地可设定,在维护管理系统中直接触发需要引入的措施,例如在服务器不可用时的人工干预,如接入组件或启动软件服务器。在另一种方案中,将过程控制系统存在的报告和记录系统设计成通过以系统报告的形式检测和存储事件,借助过程控制系统监控和记录密码管理功能。尤其是设计过程控制系统的功能,以监控证书7的成功召回。此外设计过程控制系统的功能,以主动地搜索未认证的访问尝试并报告这些访问尝试。为此类似于在系统组件停止运转时,产生系统警报并指示给设备操作者和包括在记录中。在另一种设计中也可设想,在有推测的入侵尝试时,系统进入预先定义的安全系统状态中,以防止对于自动化的设备的进一步损害。在本发明的进一步设计中,设计过程控制系统的功能,以确定未认证地访问通信网络6的网络用户1、3或4。此外设计过程控制系统的功能,以将不具有最近的证书撤销清单的网络用户1、3或4从通信中排除。在本发明的另一种设计中,设计过程控制系统的功能,在有未认证的访问尝试的情况下使被系统自动化的设备进入预定的状态。在此,设备被置于安全的状态中。这例如可通过断开设备部件实现。此外设备的部件也与其余部分隔离。附图标记列表1、2、3、4 网络用户5认证中心6通信网络7 证书
权利要求
1.过程控制系统,其包括多个在空间上分布的互相联网的网络用户(1、2、3、4),在这些网络用户(1、2、3、4)之间有安全的通信,通信的完整性基于证书(7)的交换,其特征在于,所述过程控制系统具有中央的认证中心(5),该认证中心是过程控制系统集成的组成部分并且分配和分发证书(7)。
2.按权利要求I的过程控制系统,其特征在于,认证中心(5)安装在过程控制系统的作为服务器的网络用户(2)上。
3.按权利要求I的过程控制系统,其特征在于,认证中心(5)通过单独的系统组件连接到过程控制系统上。
4.按前述权利要求中任一项的过程控制系统,其特征在于,认证中心(5)布置在具有 高的自身可用性的系统组件上。
5.按权利要求I的过程控制系统,其特征在于,认证中心(5)布置在与过程接近的组件上。
6.按前述权利要求中任一项的过程控制系统,其特征在于,认证中心(5)连续地保持运行。
7.按权利要求I至5中任一项的过程控制系统,其特征在于,认证中心(5)按需要根据网络用户(1、2、3、4)的证书(7)的剩下的剩余运行时间运行,并且这种启动能够通过中央的系统功能引进。
8.按权利要求I至5中任一项的过程控制系统,其特征在于,认证中心(5)按需要根据网络用户(1、2、3、4)的证书(7)的剩下的剩余运行时间运行,并且这种启动能够分散地通过各单独的网络用户(1、2、3、4)引进。
9.按前述权利要求中任一项的过程控制系统,其特征在于,认证中心(5)的可用性能通过过程控制系统的存在的报警功能指示给设备的操作人员和维护人员。
10.按权利要求I至8中任一项的过程控制系统,其特征在于,过程控制系统设计成,当认证中心(5 )在通信网络(6 )中不可用时,产生系统警报。
11.按权利要求I的过程控制系统,其特征在于,设置用于管理连接到过程控制系统上的复合组件的维护管理系统,并且该维护管理系统设计成用于引入维护人员的用于管理证书的措施。
12.按权利要求11的过程控制系统,其特征在于,所述需要引入的措施附加于过程警报。
13.按权利要求11的过程控制系统,其特征在于,所述需要引入的措施能在维护管理系统中直接触发。
14.按权利要求I的过程控制系统,其特征在于,过程控制系统的存在的报告和记录系统设计成通过以系统报告的形式检测和存储事件,借助过程控制系统对密钥管理功能进行监控和记录。
15.按权利要求14的过程控制系统,其特征在于,过程控制系统的功能设计成,用于监控证书(7)的成功召回。
16.按权利要求I的过程控制系统,其特征在于,过程控制系统的功能设计成,用于主 动地搜索未认证的访问尝试并对所述访问尝试进行报告。
17.按权利要求I的过程控制系统,其特征在于,过程控制系统的功能设计成,用于确定未认证地访问通信网络(6)的网络用户(1、3、4)。
18.按权利要求17的过程控制系统,其特征在于,过程控制系统的功能设计成,用于将未认证地访问通信网络(6)的网络用户(1、3、4)从通信中排除。
19.按权利要求17的过程控制系统,其特征在于,过程控制系统的功能设计成,用于将不具有最近的证书撤销清单的网络用户(1、3、4)从通信中排除。
20.按权利要求17的过程控制系统,其特征在于,过程控制系统的功能设计成,用于在有未认证的访问尝试的情况下,使被系统自动化的设备进入预先定义的状态中。
全文摘要
本发明涉及一种过程控制系统,其包括多个在空间上分布的互相联网的网络用户(1、2、3、4),在这些网络用户(1、2、3、4)之间通过通信网络(6)安全通信,通信的完整性基于证书(7)的交换。为保护通信的完整性,建议过程控制系统具有中央的认证中心(5),该认证中心是过程控制系统集成的组成部分并分配和分发证书(7)。
文档编号H04L9/08GK102891750SQ201210250680
公开日2013年1月23日 申请日期2012年7月19日 优先权日2011年7月19日
发明者G·德维茨, G·普里茨, M·京克, R·席尔霍尔茨, S·博尔迈尔, T·保利 申请人:Abb技术股份公司