过程控制网络的一键安全上锁的制作方法

相关申请

本专利申请主张享有在2008年9月25日提交的标题为“过程控制网络的一键安全上锁”(One Button Security Lockdown of a Process Control Network)的美国61/100,240号临时专利申请(U.S.Provisional Application No.61/100,240)的权益，所述临时专利申请在此通过引用被完全地并入本专利。

技术领域

本专利申请总体上涉及过程工厂控制系统，尤其涉及在一过程或工厂环境中安全地控制设备之间的通信的方法及设备。

背景技术：

过程控制系统——如那些用于发电、化学、石油、或其他过程的分布式或大型过程控制系统——典型地包括一个或多个过程控制器，所述过程控制器相互通信连接、通过一过程控制网络与至少一个主机或操作员工作站通信连接、以及通过模拟总线、数字总线或模拟/数字混合总线与一个或多个现场设备通信连接。所述现场设备可能是阀、阀定位器、开关及变送器(例如温度传感器、压力传感器及流率传感器)，它们在过程或工厂中发挥功能，如开启或关闭阀、开关设备及测量过程参数。过程控制器接收现场设备所进行的过程或工厂测量的信号及/或关于现场设备的其他信息，并使用这些信息来实施控制例程，然后产生控制信号并通过总线传送至现场设备，以控制所述过程或工厂的操作。来自现场设备和控制器的信息一般提供给由操作员工作站执行的一种或多种应用程序，使操作员能够执行针对过程或工厂所需要的任何功能，例如观察工厂的当前状态、修正工厂的操作等等。

过程控制器一般位于所述过程工厂环境中，它们接收现场设备所进行的或与现场设备相关的过程测量或过程变量的信号及/或关于现场设备的其他信息，并执行控制器应用程序。控制器应用程序实施(例如)不同的控制模块，这些控制模块根据所接收的信息做出过程控制决定及产生控制信号，并与现场设备(比如及Fieldbus现场设备)中的控制模块或块协调。控制器中的控制模块通过通信线或信号路径路径，将控制信号传送到现场设备，从而控制过程的操作。

来自现场设备及控制器的信息典型地通过过程控制网络传送到一个或多个其他硬件设备，例如传送到操作员工作站、维护工作站、个人计算机、手持设备、历史数据库、报告产生器、集中式数据库等等。通过过程控制网络传送的信息使操作员或维护人员能够对过程执行期望的功能。例如，所述信息允许操作员改变过程控制例程的设置、更改过程控制器或智能现场设备中的控制模块的操作、观察过程工厂中的特定设备的过程或状况的当前状态、观察由现场设备及过程控制器产生的警报、模拟过程的操作以培训人员或测试过程控制软件、诊断过程工厂中的问题或硬件故障等等。

现场设备通常通过过程控制网络(例如以太网配置局域网)，与硬件设备通信。过程控制网络通过不同网络设备，将过程参数、网络信息及其他过程控制数据传播到过程控制系统中的不同实体。典型的网络设备包括网络界面卡、网络开关、路由器、防火墙、控制器及操作员工作站。所述网络设备典型地通过控制其路由、帧率、超时及其他网络参数，促成数据流过网络，但不改变过程数据本身。随着过程控制网络的规模和复杂性增高，网络设备的数目及类别相应地增加。由于系统及网络的增长，这些复杂系统中的安全及管理可以变得愈加困难。例如，每个网络设备可以包括一个或多个通信口，这些通信口提供一存取点或存取口，以便在所述网络上物理地互连过程控制系统构件及其他网络设备。大多数的网络设备包括的通信口超过需要的数目，以便全面地在网络中连接所述设备，因此在所述设备上闲搁一个或多个未使用或开路的通信口。所述设备上的一开路通信口因此可能通过添加其他设备而成为网络拓展的存取点，或可能允许一实体(不论是否恶意)存取所述网络及启动不必要的及潜在有害的网络交通。随着网络设备及相关存取点的数目增加，有效地监测或控制对整个控制一复杂过程控制系统中的通信的网络的所有未使用通信口的存取迅速地变得不切实际。

虽然一用户或应用程序可能监测每个设备或通信口的状况及交通，但经常不可能识别有害通信，直到一问题发生。一旦一监测器识别所述问题，所述系统的部分必须被带离线及诊断，以开始修理或测定故障。进一步地，虽然在所述网络的一个物理位置的一设备或通信口可能被识别为功能失常，但问题可能是因所述网络的另一位置的故障或恶意连接引起的。另外，在一技术员完成测定故障或修理工作之后，所述网络设备可能被无意地置于不安全状态或以其他方式置于易受不必要或有害通信影响的状态。过程控制系统中逐设备及逐通信口基础的网络安全(包括一嫌疑设备的物理检查及修理，以使所述系统恢复到在线状态)可能涉及冗长的耽搁，因而通向死胡同并带来许多其他管理困难而大大减低过程控制系统的有效性。

技术实现要素：

过程控制系统网络安全及管理可以通过使用每个网络设备的、在逐设备或全网络的基础上起动的安全功能来监测每个网络设备的网络交通来增强。一个或多个专用管理信息库(MIBs)，或其他通信方法或数据存取方法(比如使用可用于存取及改变每个设备的网络设备上的管理功能的专有软件解决方案及开源软件)可以包括一个或多个可以通过一命令线界面(CLI)来监测所述设备是否通过所述过程控制网络上通信、一设备上的哪些通信口能够在所述网络上通信、哪些通信口实际上在所述网络上通信以及哪些通信口不在通信来存取的方法。一旦所述过程控制网络全面配置及正常工作，一用户或一监测应用程序可以发送命令到所述设备，以实施一个或多个专用管理信息库(MIB)方法，以便通过对整个网络实施一单一“上锁”命令，禁止或过滤来自一特定网络设备上的选定的未使用、无效或不合要求的通信口的地址，有效地将所述网络冻结于其期望配置。

所述上锁可以通过限制所述网络的未来重配置及防止通过一开路、无效或未使用的存取点的不必要或有害的通信，导致一稳定及安全的网络。在被上锁时，如果一当前连接的设备被拔除而且一不同设备插上所述存取点，所述网络设备可以拒绝所述连接。例如，可以禁止一网络设备上的所有存取点，使得不能够将任何附加设备添加或连接到所述网络。一锁死存取点不能在没有来自一用户、监测器或其他授权过程的鉴别命令的情况下起动或解锁。至于附加安全，所述上锁功能可以施加到在不同的网络节点执行的应用程序，而所述解锁功能可能限于一人工过程。所述监测器可以在一应用程序、设备或全系统水平解锁及上锁。所述存取点可以通过网络及设备配置的组合来去活。例如，所述上锁配置可以通过拒绝通过所述存取点进行通信来去活所述存取点，而且也可以重配置所述网络设备以便从一存取点移除电力，使得不能通过该存取点连接到所述网络。

附图说明

图1A为一例示性框图，其显示一过程工厂，该过程工厂具有一分布式过程控制系统及网络，包括配置来实施在此描述的上锁功能的一个或多个操作员及维护工作站、控制器、现场设备及网络设备、常规网络设备以及支持装置。

图1B为一例示性框图，其显示一过程控制系统的一输入/输出网络部分，该输入/输出网络部分包括配置来实施在此描述的上锁功能的设备。

图1C为一例示性以太网帧。

图2为一例示性网络设备。

图3A为一例示性框图，其显示一用于上锁及解锁一过程控制系统及网络的网络设备及存取点的方法。

图3B为一例示性框图，其显示一用于上锁一过程控制网络中的网络设备及存取点的方法。

图3C为一例示性框图，其显示一用于解锁一过程控制网络中的先前上锁的网络设备及存取点的方法的一个实施例。

图4A－4D为一用户界面的例示性部分，该用户界面用于实施图3A-C的用于上锁及解锁一过程控制系统及网络的网络设备及存取点的方法。

具体实施方式

图1A为一过程工厂中的过程控制系统的示意图，该过程控制系统中的网络设备可以上锁以提高网络安全及促成网络管理及维护。更明确地说，一过程控制系统100包括一个或多个过程控制器110，过程控制器110通过一过程控制网络150的一个或多个网络设备145通信连接到一个或多个主工作站或计算机120-122(其可以是任何类别的个人计算机、工作站等等)，其中至少一个主工作站或计算机具有一显示屏幕。控制器110可以包括一个或多个网络界面卡，并通过输入/输出卡140连接到现场设备130。一历史数据库可以是任何期望类别的数据采集单元，具有任何期望类别的存储器及任何期望或已知的软件、硬件或固件以便存储数据，而且可以独立于工作站120-122的其中之一之外或可以是工作站120-122的其中之一的一部分。控制器110可以是(例如)由费舍尔·柔斯芒特系统有限公司(Fisher Rosemount Systems,Inc.)出售的DeltaVTM控制器，由一个或多个现场设备146通过(例如)一以太网连接或任何其他期望通信网络150通信连接到主计算机120-122。一网络设备146包括一网络界面卡、一网络开关、一路由器、一防火墙或任何其他在不改变一网络(例如网络150及输入/输出网络155(图1B))的任何部分上的原始数据的情况下促成在网络150上传送数据的设备中的一个或多个。如图1B所示，物理地位于一网络的任何部分的任何网络设备可以包括在此描述的上锁功能。通信网络150可以是一局域网(LAN)、一广域网(WAN)、一电信网络等等，而且可以使用有线或无线技术来实施。控制器110使用任何期望的与(例如)标准4-20mA设备、标准以太网协议及/或任何智能通信协议(比如FOUNDATION Fieldbus协议(Fieldbus)、HART协议等等)相关的硬件及软件，通信连接到现场设备130。

现场设备130可以是任何类别的设备，比如传感器、阀、变送器、定位器等等，而输入/输出卡14可以是任何类别的遵守任何期望通信协议或控制器协议的输入/输出设备。在图1的实施例中，现场设备130是以一HART调制解调器140、通过标准模拟4-20mA线131进行通信的HART设备，而现场设备133是使用Fieldbus协议通信、通过一数字总线135或输入/输出网络155进行通信的智能设备，比如Fieldbus现场设备。当然，现场设备130及133可以遵守任何其他期望标准或协议，包括将来开发的任何标准或协议。输入/输出网络155及设备146(图1B)以及网络150及设备146(图1A)也可以是支持任何通信协议(例如TCP/IP、ModbusIP等等)的标准以太网通信及网络设备。

附加地，一现场设备142可以通过一专业网络设备(例如一网关143)，连接到数字总线135。例如，现场设备142只可以了解HART命令，而输入/输出网络135可以实施PROFIBUS协议。为了这个目的，网关143可以提供双向PROFIBUS/HART转换。一网络设备146也可以定位在网关143或接近网关143。

控制器110可以是工厂中的许多分布式控制器的其中之一，而且具有一个或多个处理器；控制器110实施或监视一个或多个过程控制例程。这些过程控制例程可以包括存储在其中或以其他方式与其发生联系的一个或多个控制环路。控制器110也通过网络150及相关网络设备146，与现场设备130或133、主计算机120-122及历史数据库145进行通信，以便以任何期望方式来控制过程。应该注意的是，在此描述的任何控制例程或元件的部分可以由不同的控制器或其他设备实施或执行(如果需要的话)。同样地，在此描述的需在过程控制系统100中实施的控制例程或元件可以采用任何形式，包括软件、固件、硬件等等。对于本讨论而言，过程控制元件可以是过程控制系统的任何部分或局部，例如包括存储在任何计算机可读媒介上的例程、块或模块。控制例程可以是一控制程序的多个模块或任何部分，比如一子例程、一子例程的多个部分(比如多条代码线)等等，所述控制例程可以以任何期望的软件格式实施，比如使用梯形逻辑、平坦序功能图、功能块图、对象导向编程，或使用任何其他软件编程语言或设计范式实施。同样地，所述控制例程可以被固化成(例如)一个或多个可擦除可编程只读存储器(EPROMs)、电可擦除可编程只读存储器(EEPROMs)、专用集成电路(ASICs)、或任何其他硬件或固件元件。此外，所述控制例程可以使用任何设计工具来设计，包括图形设计工具或任何其他类别的软件、硬件、固件编程或设计工具。因此，控制器110可以配置成以任何期望方式来实施控制策略或控制例程。

图1C图解一数据基本单元或一帧175，帧175概括地可以通过过程控制系统100传送及使用以太网协议通过过程控制网络150传送。一以太网帧175包括七个域，每个域承载设备(例如一网络设备146或过程控制系统100的其他构件)之间的信息。所述域可以包括由接收设备判读及处理的许多字节的数据178。例如，目的媒介存取控制(MAC)地址域180可以包括过程控制系统100的一中间或目的节点的物理地址，而源媒介存取控制(MAC)地址域182可以包括过程控制系统100的一发送或中间节点的物理地址。目的媒介存取控制(MAC)地址域180及源媒介存取控制(MAC)地址域182可以与来自网络设备146的数据协同使用，以处理通过过程控制网络150发送的数据。在有些实施例中，域180及182可以在一接收网络设备处于“上锁”状态时与存储在所述接收网络设备中的一个或多个表进行比较。所述比较的结果可以用于拒绝或所接收的数据或与所述上锁网络设备的其他物理或逻辑连接。

图2图解一典型网络设备146，网络设备146的形式为网络开关。典型地，一网络设备包括一个或多个通信口202、一管理口204及状态指示灯206、207。通信口202用于互连多种其他网络设备及过程控制系统构件以便在网络150上通信，而所述状态指示灯206、207指示所述网络设备的当前操作，而且可以用于诊断目的。例如，指示灯206可以相应于所述设备本身的一状态，例如，适当功率、故障状态或上锁或未上锁状态的指示，如以上涉及图3及4的进一步解释那样。其他每个指示灯207可以相应于一特定通信口及指示所述相应通信口上的网络活动，并包括一相应于所述通信口的链接状态的绿色发光二级管(LED)及一相应于所述通信口的数据状态的黄色发光二级管(LED)。固体或闪烁绿色及黄色状态指示灯可以指示所述通信口正在发挥功能及连接到所述通信口的一网络设备正在使用所述通信口、在网络150上传送数据。在设备146的启动阶段期间，所述启动程序的状态可以显示在指示灯207如下：不发光可以指示通信口202没有有效链接或连接，而固体绿色灯可以指示有效链接及连接；缓慢闪烁绿色可以指示所述通信口转换到备用；快速闪烁绿色可以指示所述通信口被禁止，即所述通信口已经上锁(如以下涉及图3及4的描述那样)；不发光的黄色指示灯可以指示所述通信口上没有数据接收；以及闪烁黄色指示灯可以指示所述通信口上有数据接收。当然，其他状态指示可以以编程方式附加到指示灯206、207，比如上行链路通信故障、“准备操作”指示、多种故障或功能模式的闪烁及/或颜色样式、数据率、全双工及半双工指示、测试模式、在所述通信口上传送的媒介或数据类别等状态指示。管理口204可以允许用户或网络管理员物理地存取及配置网络设备146，例如在网络设备146上实施固件升级或改变，包括实施一专用管理信息库(MIB)，如以下描述那样。一“管理信息库”(MIB)及“简单网络管理协议”(SNMP)可以包括用于存取及改变所述网络设备中的管理信息的所有方法及通信。

在有些实施例中，网络设备146是由德国Neckartenzlingen镇的“赫思曼自动化及控制有限公司”(Hirschmann Automation and Controll,GmbH)制造的、用于DeltaV^TM过程控制网络(DeltaV^TM Process Control Network)的以太网开关。例如，开关146可以来自“赫思曼公司”(Hirshmann)网络设备的Open Rail、MICE、或MACH 100系列产品中的一个或多个。

开关146可以包括一管理协议，其用于实施在此描述的方法。例如，一“简单网络管理协议”(SNMP)可以为网络管理及安全程序的执行提供管理功能。在有些实施例中，简单网络管理协议(SNMP)版本3(SNMPv3)实施在开关146，并允许鉴定及加密，作为与DeltaV^TM过程控制网络(DeltaV^TM Process Control Network)共界面的管理协议。例如，开关146可以包括使用56-bit密钥加密(DES-56)的“数据加密标准”(DES)的“信息摘要算法5”(MD5)鉴定。当然，使用128-bit或更好的哈希值的哈希函数的其他鉴定标准及使用56-bit或更好的密钥的加密标准也可以实施在开关146上。

为了提高开关146的安全性，开关146的标准及专用管理界面(Telnet、Web界面等等)可以默认禁止。一命令线界面(CLI)可以通过开关146的一串口或其他安全存取点及鉴定及加密存取。用户或应用程序可以接着使用所述命令线界面(CLI)来配置用户及网络信息，以及允许所述设备的增强特征(如果需要)。所述命令线界面(CLI)也可以通过一具有足够加密(例如DES-56加密)的安全壳(SSH)连接以及拥有一有效密钥(比如SSH-1-RSA密钥)，由鉴定存取。可以准予不同水平的用户权限，以改变或更新设备特征(例如管理信息库(MIB)或其他设备配置)。例如，可能以一公钥密码准予用户对设备146的只读存取，而读/写存取只能以一私有密码准予。在有些实施例中，用户必须具有对开关146的写入存取，以便存取任何先前描述的配置、实施所述“上锁”功能或设置一定时器以自动地上锁网络150(如以下所述)。基准开关功能之外的增强特征可以在设备146中禁止，以改善过程控制网络150的安全性。例如，Profinet输入/输出及以太网/工业协议可以从设备146完全地移除及实施在网络150的另一部分。进一步地，“生成树”(Spanning Tree)可以默认禁止，然而，其可以通过所述命令线界面(CLI)提供。链路层发现协议(LLDP)及动态主机配置协议(DHCP)以及其他功能也可以禁止，以避免能够使用“即插即用”网络设备，因使用“即插即用”网络设备可能干扰在此描述的上锁及解锁功能。然而，网络设备146可能在一默认配置中不需人手监管，以允许局域网(LANs)及其他已经特别配置成允许这些设备的网络150(例如使用DeltaV^TM系统的一网络)的“即插即用”功能。如同“生成树”(Spanning Tree)的情形一样，如果需要，链路层发现协议(LLDP)可以通过所述命令线界面(CLI)存取及禁止。

网络设备146也可以包括存储在存储器208中的一个或多个标准及专用管理信息库(MIBs)216，存储器208可以包括一集对象，这些对象可以通过所述命令线界面(CLI)存取，以供管理网络设备146及实施专用于一过程控制网络150的功能。所述专用管理信息库(MIBs)中的一个或多个可以包括用于管理及控制在此描述的上锁及解锁功能的对象。所述专用管理信息库(MIBs)也可以是通过一与网络设备146通信的运行时间应用程序编程界面(API)、用于DeltaVTM网络安全特征的界面。过程控制网络150可以配置成包括多种不同网络设备的混合，包括用于控制上锁及解锁功能(即“上锁设备”)的一专用管理信息库(MIB)，以及不具备上锁及解锁功能的商业、现成网络设备。无论是哪种情况，以下描述的上锁及解锁功能以及程序不可能干扰过程控制网络150上或整个过程控制系统100中的正常通信。

开关146也可以包括一存储器208，存储器208包括易失性部分210及非易失性部分212，用于存储计算机可读指令以实施网络功能(包括启动在此描述的上锁及解锁功能)以及存储涉及设备146的所述功能的其他数据。例如，一地址解析协议(ARP)表及一转发数据库(FDB)表214可以存储在一层级3(开放式系统互连(OSI)模型)网络设备(一路由器、一开关、一服务器、桌面等等)中。一层级3网络设备146可以执行一单一设备中的路由及开关，并典型地包括一地址解析协议(ARP)表及一转发数据库(FDB)表，以便根据一完整网络地址转发所接收的帧。一层级2网络设备(一开关或一网桥等等)可以包括转发数据库(FDB)表214，以便单独地根据媒介存取控制(MAC)地址180、182转发数据交通。虽然在此描述的上锁及解锁方法概括地根据层级2网络设备来讨论，但所述方法可以同样地应用于层级3及其他类别的网络设备。

所述ARP表可以由一网络设备146用于存储IP地址到其他网络设备的MAC地址条目。所述ARP表允许一设备146将IP地址解析成为MAC地址。所述ARP表可以随着网络设备146向网络150发行ARP广播以解析一网络设备的MAC地址而被填写。在一设备146接收其有必要传送到一本地连接界面的一包或其他数据时，所述设备146可以使用所述ARP表来发现需要将哪个MAC地址插入到帧标题。一网络设备可以使用FDB表214来存储已经获知的MAC地址以及其上获知每个MAC地址的通信口202。

在正常操作中，网络设备146可以通过将源MAC地址182及其他源信息添加到一动态地址表218中其接收的每个帧，动态地获知其接收的帧175的源MAC地址182。设备146可以随着通过添加新的源MAC地址及老化那些当前不使用的MAC地址、站点被添加到网络150或从网络150移除，更新动态地址表218。在一老化时间满期时，设备146可以从动态地址表218移除所述MAC地址。设备146也可以实施一静态地址表220，静态地址表220包括明确地输入的MAC地址及其他不老化的信息。设备146也以与动态地址表218及静态地址表220中包括的信息匹配的任何已接收的帧，执行常规的网络功能。实施于设备146的固件的功能可以对所述ARP表及所述FDB表214中的一个或多个与所述动态及静态表218、220进行比较，以便处理输入的帧175。

在有些实施例中，在网络设备146处于常态或“未上锁”状态及透明网桥(用于开关及专用网桥)、获知、老化、转发或其他网络设备功能发生时，所述IP、MAC及其他地址可以添加到ARP、FDB及其他表。在“未上锁”状态时，当一网络设备146(例如由Hirshmann Automation and Control生产的Open Rail开关)接收一以太网帧175时，设备146可以检查目的MAC地址180并指望从FDB表214获得的地址信息以发送所接收的以太网帧175。如果FDB表214不包括所接收的目的MAC上的信息，设备146可以将以太网帧175广播到网络150的所有通信口。于在另一网络设备识别所广播的MAC时，另一帧可以发送到广播网络设备146，网络设备146将添加所发现的MAC地址到动态地址表218及FDB表214。然而，在“上锁”状态(如以下进一步讨论那样)时，所述表(ARP及FDB中的一个或多个)可以本质上在它们的当前配置中冻结，以防止任何进一步的变化或附加。先前获知的MAC地址及动态地址表218中在上锁时间时包括的其他信息可以迁移到静态地址表220，而设备146的

可以被禁止。在上锁状态，FDB表214不能改变，因此防止设备146接受及转发接收自未知或先前未获知的MAC地址182的帧175。

图3A图解一例示性方法300，该方法300用于上锁及解锁一过程控制网络150及一输入/输出网络155中的存取点或通信口202。一般而言，方法300允许过程控制系统100的用户禁止过程控制网络150及输入/输出网络155中的网络设备146上的存取点或通信口202的功能。例如，如果一当前连接的设备从一网络设备通信口202拔除而且一不同设备插入所述网络设备的位置，通信口202可以拒绝所述连接并警告用户界面、监测服务或在系统100的工作站120、122上执行的其他应用程序。在上锁状态时，网络150、155中的所有未使用或无效通信口202可以被禁止，而且任何种类的附加网络设备146都不能添加或连接。

一用户界面可以向一运行时间界面提供一个或多个专用MIBs 216，以启动上锁及解锁程序。用户界面400实施一过程控制网络150的上锁的一个范例在图4A-4D中图解。参看图3A-3C及图4A-4D，在流程块302，用户可以启动一过程控制网络安全应用程序，过程控制网络安全应用程序显示一用户界面400，以开始所述上锁过程。所述应用程序可以在启动之后自动地启动网络设备发现及识别304，或用户可以人工地启动设备发现机制。用户界面400可以显示“发现开关”的一状态指示402或说明过程控制网络150的网络设备146正在被识别的另一指示。在有些实施例中，所述应用程序可以在启动网络设备发现机制时禁止用户界面400的一个或多个功能键404。用户也可以人工地启动网络设备机制。流程块304可以发现网络控制网络150中存在的任何网络设备146，或可以选择地只发现及识别包括上锁功能的那些网络设备。此外，流程块304可以使用一个或多个参数在网络150、155中搜索设备143、146。例如，可以梭梭在网络150、155中的一特定范围的IP地址、一范围的MAC地址或一特定数目的网络设备143、146。具有一开始及结束IP地址的、一范围的IP地址可以由用户指定，或一范围的IP地址可以根据方法300、在网络150、155的配置中识别或发现。流程块304也可以通过查找设备143、146的一专用MIB 216、先前已经被识别为包括上锁功能的MAC地址或其他地址或所述上锁允许设备的其他识别，识别包括上锁功能的特定网络设备143、146。所述设备143、146可以从网络150、155的任何部分(包括主网络406及二次网络408)发现。主网络406中的设备146可以包括一第一范围中的IP地址，而二次网络408中的设备146可以包括一第二范围中的IP地址。使用多范围的IP地址来发现的设备146可以以包括所述特定IP地址或所发现的设备143、146的其他参数的信息来答复。

在流程块306，于流程块304发现的设备143、146(图4B)的参数425可以归还到用户界面400。例如，一地址426、名称428及状态430可以在用户界面400的主网络406窗口及二次网络408窗口中显示。一旦已经发现所有网络设备146，状态指示432可以指示所述搜索已经完成。在有些实施例中，在第一次启动方法300时，或在所发现的设备尚未上锁，状态430可以指示所发现的设备146是处于“未上锁”状态430。在处于“未上锁”状态时，所述设备可以在网络150中执行所有的常规功能。在有些实施例中，处于未上锁状态的通信口可以执行获知、老化及转发的基本透明桥接功能。可以设置一默认老化时间为六百秒(十分钟)，虽然可以设置其他默认时间(视设备146及网络150的配置而定)。在完成所述搜索时，所述一个或多个功能键434可以供一用户或一自动过程选择。

在流程块308，一用户或自动过程可以选择处于“未上锁”状态的一个或多个设备；而在流程块310，通过选择上锁键436的其中之一启动上锁过程。上锁键436可以启动多个过程以便选择地启动过程控制网络150的不同部分的上锁。例如，分别的键可以使得能够选择地上锁整个网络、所述主网络、所述二次网络、单一设备或一个或多个被选择的设备的特定存取点。为了附加的安全性，所述上锁过程可以只是从一被选择的工作站120、122启动，而且不能使用(例如)不是过程控制网络150的物理部分的远程工作站、通过互联网启动，或只能从一个或多个预核准MAC地址或IP地址启动。在通过选择上锁键436的其中之一启动所述上锁过程时，方法300也可以启动一鉴定过程。例如，方法300可以向用户要求一用户名及密码或其他个人识别信息以确认对所述上锁过程的存取权。如果用户被适当地鉴定，用户可以存取一未上锁网络设备428的专用MIB 216的对象，以执行上锁。在有些实施例中，对于上锁功能，所选择的设备的MAC地址被考虑，而不是IP地址被考虑。在其他实施例中，如以上所述，所述IP及MAC地址都可以被考虑。

在选择上锁键436的其中之一之后进行鉴定时，方法300可以发送一上锁命令到一个或多个被选择设备的一个或多个专用MIBs 216。一专用MIB 216可以接着启动一个或多个方法，以禁止具有允许通信口专用上锁模式的所有未使用或无效的通信口。例如，如果所识别的网络设备428的任何部分在所述上锁命令被一设备接收(例如由网络设备146的一个或多个状态指示灯207(图2)指示，通过识别所述通信口的、等于“正确”等等的一活性链接变量发现)的瞬间没有活性链接到另一设备，则该通信口被禁止。在有些实施例中，禁止通信口202的步骤包括拒绝接受具有在所述上锁状态被起动时不包括在所述设备146的FDB 214中的源MAC地址182的任何包或帧175。例如，所述FDB实质上是“冻结”在上锁状态，而且常规动态获知及老化功能被禁止。在其他实施例中，被拒绝的主MAC地址(例如已知、恶意MAC地址、属于未被授权的设备的一范围的MAC地址等等)可以记录在设备146的存储器208中，而且包括所述被拒绝的源MAC地址182的任何已接收的包或帧175被拒绝。网络设备146可以为所选择的设备的MAC地址的两个通信口启动所述上锁过程。所选择的设备428的上链接通信口也可以以相同方式上锁，而且特定通信口也可以从所述上锁过程中排除。方法300可以在流程块310考虑网络150的任何或所有可用通信口202。

图3B图解用于禁止一个或多个未使用通信口的一方法325的一个实施例。以下描述的功能块可以实施为所述专用MIB 216中的对象，例如通过一命令线界面(CLI)(如先前描述那样)。在流程块326，如先前所述，方法325可以禁止在设备146上配置为上锁通信口、并被流程块304发现的所有未使用通信口202。如果从一清单的未上锁通信口428(图4B)选择一特定通信口202或设备146，则所述设备或通信口可以被禁止(如果其没有活性链接)。禁止一未使用通信口202的步骤也可以包括从通信口202移除电力。在流程块328，可以冻结先前在设备146接收的地址信息。在有些实施例中，所述信息可以从动态地址表218转迁移到静态地址表220。例如，所述MAC地址及其他信息可以从动态地址表218完全地转迁移到静态地址表220。流程块328可以包括从所述动态地址表转移的、最大数目的地址，例如最多256个地址。在有些实施例中，如果动态地址表218中的当前数目的获知地址超过一最大数目，则只是一子集的所述地址可以上锁。其余地址可以接着从FDB标214移除，而且可能导致连接错误。如果连接问题发生，一错误信息可以发送到所述用户界面，以指示所述上锁过程中的故障。

在流程块330，方法325可以通过从专用MIB 216实施一个或多个方法，将通信口202置于上锁状态。例如，专用MIB方法可以从所述通信口移除电力或重配置所述通信口为不再从主机接受任何被拒绝或FDB表214或静态地址表220的一个或多个表上不包括的帧175。在流程块332，方法325可以为设备146禁止典型功能。在一个实施例中，方法325为设备146或特定通信口202禁止所述地址获知及地址老化功能。例如，动态地址表218可以被禁止而且不再接受任何输入、设备146不再漫溢网络150以发现新地址、以及所述先前接收的地址在老化时间期满之后不能从所述设备移除。在流程块334，所述设备配置可以存储在非易失性存储器212中。例如，所述通信口状态及MAC地址可以由用户自动地或明确地存储。存储的当前配置可以由设备146使用，以便在电源循环测试或重新导入时防止强行开启已上锁的通信口。

在上锁时，如果一当前连接的设备从一网络设备通信口拔除而且一不同设备插入同一通信口，所述网络设备可以拒绝所述连接。在有些实施例中，如以上所述，由于新设备不包括在所更改的FDB表214中，网络设备146拒绝所述连接。然而，如果相同的被授权设备重新连接到同一通信口，则网络设备146可以准许及重新与所述设备建立通信。可以重新与一先前连接的设备建立通信，这是由于所更改的FDB表214将包括所述MAC地址。由于与其他网络设备的通信是由每个设备的FDB 214控制，网络设备146本身可以拒绝所述连接。在在流程块310启动所述上锁过程之后，用户界面400可以将一设备状态430从“未上锁”或一状态指示432从“已完成”中的一个或多个指示改变成所选择的设备428正在执行专用MIB 216方法以上锁未使用通信口的指示。参看图4C，在流程块310的上锁过程完成时，所述用户界面可以显示用于所述一次及二次网络的、一清单的上锁设备452。所述上锁设备452可以包括一“上锁”状态454或任何其他有关所述上锁过程已完成的指示。

在为一个或多个网络设备执行上锁过程325之后，一个或多个上锁设备可能需要(例如)在测定故障操作、例程维护、诊断、网络重配置等等期间解锁。在流程块311，如果一个或多个设备或通信口需要解锁，方法300可以继续到流程块312，或如果没有任何网络设备或个别通信口需要解锁，所述方法可以返回到流程块304以监测网络150中的任何变化。

在流程块312(图3A)，一用户或自动过程可以选择处于“上锁”状态的一个或多个设备，在流程块314，通过选择一解锁键475(图4D)启动一解锁过程。如同上锁键436(图4B)的情形一样，解锁键475可以启动一个或多个专用MIBs 216的一个或多个方法，以便选择地为过程控制网络150的先前被上锁的不同部分启动解锁过程。为了附加的安全性，所述解锁过程可以以一上锁定时器476配置，上锁定时器476将自动地重新上锁先前被上锁的一个或多个设备478或个别部分。上锁定时器476可以以一默认设置配置，其中在所述解锁过程完成(流程块316)之后的一个时间期满时，一个或多个所述未上锁设备可以重新上锁(流程块310)。在一个实施例中，上锁定时器476以一六十分钟(即三千六百秒)的默认设置配置。所述解锁过程可以从一选定工作站120、122启动，而且不能使用(例如)不是过程控制网络150的物理部分的远程工作站、通过互联网启动，或只能从一个或多个预核准MAC地址启动。

所述解锁过程也可以包括一鉴定过程。例如，方法300也可以包括一鉴定过程。例如，方法300可以向用户要求一用户名及密码或其他个人识别信息以确认对所述上锁过程的存取权。如果用户被适当地鉴定，用户可以存取所述一个或多个选定上锁网络设备478或通信口202的专用MIB 216，以执行解锁。

在鉴定时，在选择所述解锁键及随意地选择上锁定时器476之后，方法300可以发送一解锁命令到所选择的上锁设备478的专用MIB。图3C图解一用于解锁或允许一先前禁止的通信口或设备的方法350的一个实施例。如以上所述，以述的功能块可以实施为专用MIB 216中的对象，例如通过一CLI。在流程块352，方法350可以激活一先前上锁通信口或设备。在有些实施例中，由上锁方法325禁止的所有未使用通信口将被激活，而由用户个别地上锁的通信口将保持上锁状态。在其他实施例中，所有上锁通信口或设备可以激活，或有些上锁通信口及设备可以随意地激活。在流程块354，可以删除先前在流程块328时被添加到静态地址表220的地址数据。在有些实施例中，由用户或其他明确过程添加的静态地址数据可以在解锁期间保留在静态地址表220中。在流程块356，方法350可以激活所述通信口或设备的未上锁状态。例如，输往所述通信口的电力可以起动及/或所述通信口可以恢复接受来自任何源MAC地址182的帧175。在流程块358，方法350可以恢复常规通信口或设备功能。例如，在未上锁状态，在上述流程块330暂停的典型获知及老化功能可以恢复，而且所述设备表(即ARP、FDB、静态及动态地址表)可以重新填写。在流程块360，方法350可以存储所述新设备或通信口配置。例如，所述通信口状态及MAC地址可以由用户自动地或明确地存储，以便由所述设备在电源循环或重新导入时实施。

在有些实施例中，在在流程块314开始解锁过程之后，用户界面400(图4D)可以将设备状态480的一个或多个从“上锁”改变成选定设备478处于“上锁待决”状态的指示。附加地，如果上锁定时器476以所述解锁过程启动，一剩余时间状态482可以指示设备478回复到上锁状态之前剩余的时间量。剩余时间482也可以配置成决不恢复到上锁状态。例如，可以通过所述CLI存取所述专用MIB 216的一对象，将剩余时间482配置成“决不恢复”状态，或任何其他时间量。

在有些实施例中，一网络设备可以在通电时恢复到在流程块334存储的配置。例如，一实体可能通过循环一个或多个网络设备的电源以强行开启一上锁通信口，从而将一未被授权的设备连接到过程控制网络150。在通电时，所述设备可以配置成从其非易失性存储器212(图2)存取所述设备的已存储配置。因此，无论一电源循环设备是否恢复到上锁或解锁状态，在所述电源循环之前连接到网络150的所有设备可以自动地与所述系统重新建立通信，而在电力中断时被添加到所述通信口的任何新设备将被拒绝。如果所述设备通电时处于“未上锁”状态而且上锁定时器476大约零，所述设备可以在该时间期满之后自动地进入上锁状态。

所述设备状况可以定期地(例如每十五秒)更新，以显示最当前的状态。附加地，一更新键484可以允许用户人工地更新所显示的网络设备478的状态，或可以允许发现已经被添加到网络150的网络设备。在一个实施例中，选择更新键484的步骤可以启动以上涉及流程块304及306(图3)的网络设备的发现。

虽然在此描述的网络设备上锁技术已经被描述为与Fieldbus及标准4-20mA设备连同使用，但它们当然也可以使用任何其他过程控制通信协议或编程环境来实施，而且可以与任何其他类别的设备、功能块或控制器一起使用。虽然在此描述的网络设备上锁例程以实施于软件为优选，但它们也可以实施于硬件、固件等等，而且可以由与一过程控制系统相关的任何其他处理器执行。因此，在此描述的方法300、325及350可以实施于标准的多目的中央处理器(CPU)或(如果需要)在特别设计的硬件或固件上实施，例如在专用集成电路(ASICs)上实施。在实施于软件时，所述软件可以存储在任何计算机可读存储器中，比如存储在磁盘、激光盘、光盘或其他存储媒介上，或存储在计算机或处理器的随机存取存储器(RAM)或只读存储器(ROM)中等等。同样地，这个软件可以通过任何已知或期望的传送方法-包括计算机可读盘或其他便携式计算机存储装置、或通过通信频道如电话线、互联网等调制(这被视为与通过便携式存储媒介提供这种软件一样或可与其互换)-传送到用户或过程控制系统。

因此，虽然本发明已经参考特定例子进行了描述，但这些例子只是在于阐明而不是限制本发明包括的范围。本领域的普通技术的人员将很清楚，本专利揭示的实例可以在不脱离本发明的精神及范围的条件下被修改、增加或删除。