用于建立到工业自动化系统的安全的通信连接的方法和防火墙系统与流程

工业自动化系统用于监视、控制和调节工程过程，尤其在制造自动化、过程自动化和建筑自动化领域中的工程过程，并且实现控制装置、传感器、机器和工业设施的运行，该运行应尽可能自主地且不受人类干预地进行。在此，特别重要的是实时地提供监视功能、控制功能和调节功能。对自动化设备和工业自动化系统的计算单元之间的通信连接的干扰能够引起不利地重复传输服务请求。特别地，未传输的或未完整传输的消息会防止工业自动化系统过渡到安全运行状态下，并且导致工业设施的失效。在工业自动化系统中从具有相对大量的、但是相对短的要实时传输的消息的消息通信中产生特别的问题。

从us8555373b2中已知设置在源设备和目标设备之间的防火墙，该防火墙包括用于对照允许的列表检查从数据包提取的数据的硬件安全部件。硬件安全部件还执行关于协议的基于状态的检查。防火墙能够设计为安全代理，并且借助于软件安全部件实现两个参与者之间的安全的会话。为了对待检查的包进行认证或解密以及对经检查的包进行加密，软件安全部件采用硬件安全部件。

在us7958549b2中描述具有加密处理器和虚拟服务器的防火墙。在此，加密处理器连接在虚拟服务器上游且对加密的数据包进行解密，数据包随后转发供给虚拟服务器以进行处理。沿相反的方向，加密处理器从虚拟服务器接收处理过的数据包，以便将该转发加密。

为了保护机密的信息或数据也在工业通信网络中使用vpn通信连接(虚拟专用网络)。在vpn通信连接中，进行对于在发射器和接收器之间传输的数据的端对端加密。在此，发射器能够建立和使用同时到多个接收器的多个vpn通信连接。

为了管理远程维护系统的多个vpn连接，其中，能够由多个在工业通信网络之外的远程维护计算机访问工业通信网络之内的不同的待控制的设施或设施部件，而设置有交会服务器。在此，远程监视计算机的用户例如借助其相应的用户标识在交会服务器处登陆并且在交会服务器中请求对设施、设施部件或现场设备进行访问。在成功登陆和请求之后，交会服务器静态地或动态地促使建立远程维护过程的通信参与者之间的vpn通信连接并且将其联接。由此，在远程维护计算机一方和设施、设施部件或现场设备另一方之间建立加密的端对端通信连接。然而，这种防窃听的端对端通信连接原则上防止对在远程维护过程的通信用户之间进行交换的数据或信息的控制。特别地，无法轻易检查，是否始于远程维护计算机在设施、设施部件或远程设备处执行不可靠的干预，或者是否使用允许的通信协议或自动化系统协议。

技术实现要素：

因此，本发明的目的在于，提供一种用于建立到工业通信系统的安全的通信连接的方法，该方法实现在对传输的数据的可靠性进行检查的同时实现防窃听的数据传输，以及提供一种用于执行该方法的适当的设备。

根据本发明，所述目的通过具有权利要求1中提出的特征的方法和通过具有权利要求14中提出的特征的防火墙系统来实现。本发明的有利的改进形式在从属权利要求中给出。

按照根据本发明的用于建立到工业自动化系统的安全的通信连接的方法，经由连接管理装置来建立从工业自动化系统之外的第一通信设备到与工业自动化系统相关联的第二通信设备的通信连接。连接管理装置尤其能够是交会服务器。此外，第二通信设备例如能够集成到自动化设备中或者与这些自动化设备相关联。连接管理装置在通过第一通信设备的进行请求的用户请求建立到所选择的第二通信设备的连接时相对于访问管控列表对进行请求的用户执行权限检查。访问管控列表优选包括分别在至少一个第一通信设备与至少一个第二通信设备之间的可靠的通信连接的用户独有的说明。

根据本发明，连接管理装置在权限检查结果过为正面的情况下为进行请求的用户的第一通信设备和所选择的第二通信设备提供在这两个通信设备之间建立加密的通信连接的访问管控信息。连接管理装置由在防火墙系统上运行的服务器实例形成。此外，经由在进行请求的用户的第一通信设备与所选择的第二通信设备之间的加密的通信连接传输的数据包通过防火墙系统针对基于确定的安全规则的检查进行解密。确定的安全规则尤其能够包括防火墙规则和/或关于在数据包中指明的控制命令或用于自动化设备的控制参数的可靠性的规则。防火墙系统将基于确定的安全规则检查成功的数据包以加密的方式转发至进行请求的用户的第一通信设备和/或转发至所选择的第二通信设备。借此，能够双向地检查进行请求的用户的第一通信设备与所选择的第二通信设备之间的数据传输。优选地，通过防火墙系统对从进行请求的用户的第一通信设备到所选择的第二通信设备的待检查的数据包解密、检查和在检查成功之后转发给第二通信设备，而对从所选择的第二通信设备到进行请求的用户的第一通信设备的待检查的数据包通过防火墙系统进行解密、检查，并且在检查成功之后转发给第一通信设备。防火墙系统优选布置在工业自动化系统的安全的通信网络中，并且有利地拒绝不对应于确定的安全规则的数据包。替选于拒绝不对应于确定的安全规则的数据包，例如也能够生成安全警报。

根据本发明的一个特别优选的设计方案，经由连接管理装置在第一通信设备与第二通信设备之间建立的通信连接是虚拟专用网络连接。此外，权限检查包括对照连接管理装置来认证进行请求的用户。有利地，连接管理装置仅在对进行请求的用户认证之后才将用于在进行请求的用户的第一通信设备和所选择的第二通信设备之间使用虚拟专用网络连接的访问管控信息提供给进行请求的用户。访问管控信息例如能够包括密码学密匙和/或用于vpn会话的密码或临时有效的密码。根据另一设计方案，通过防火墙系统基于确定的安全规则的方式进行的检查包括检查用于vpn会话的密码或临时有效的密码的正确性，并且其中，防火墙系统拒绝对于数据包的传输指明不正确的密码的数据包。

按照根据本发明的方法的一个有利的改进形式，连接管理装置在权限检查结果为正面的情况下分别建立到进行请求的用户的第一通信设备和到所选择的第二通信设备的加密的通信连接并且将这些通信连接彼此链接。此外，经由进行请求的用户的第一通信设备和所选择的第二通信设备之间的加密的通信连接传输的数据包优选通过防火墙系统解密，并且基于确定的安全规则进行检查，并且通过防火墙系统对在基于确定的安全规则检查成功的待转发的数据包加密。根据本发明的一个特别优选的设计方案，由防火墙系统以基于硬件的方式对数据包解密和/或加密。

根据本发明的防火墙系统设计用于执行根据之前的实施方案的方法，并且设置和设计为基于确定的安全规则对数据包进行检查。防火墙系统还设置和设计为运行至少一个服务器实例。通过服务器实例形成连接管理装置，其设置和设计为建立从工业自动化系统之外的第一通信设备到与工业自动化系统相关联的第二通信设备的通信连接。连接管理装置还设置和设计为，在通过第一通信设备的进行请求的用户请求建立到所选择的第二通信设备的连接时，根据访问管控列表对进行请求的用户执行权限检查。

此外，根据本发明，连接管理装置还设置和设计为，在权限检查结果过为正面的情况下为进行请求的用户的第一通信设备和所选择的第二通信设备提供在这两个通信设备之间建立加密的通信连接的访问管控信息。此外，防火墙系统还设置和设计为，经由在进行请求的用户的第一通信设备与所选择的第二通信设备之间的加密的通信连接传输的数据包通过防火墙系统针对基于确定的安全规则的检查进行解密。此外，防火墙系统还设置和设计为，将基于确定的安全规则检查成功的数据包以加密的方式转发至进行请求的用户的第一通信设备和/或转发至所选择的第二通信设备。

附图说明

下面，以实施例根据附图详细阐述本发明。其中示出，

附图示出具有在工业自动化系统之外的多个远程维护计算机和防火墙系统以及在工业自动化系统之内的多个自动化设备的装置。

具体实施方式

在附图中示出的装置包括多个远程维护计算机101-103，它们经由长距离通信网络400与工业自动化系统200的通信网络连接。远程维护计算机101-103例如能够设计为pc、笔记本计算机或平板pc。工业自动化系统200包括防火墙系统300以防止不可靠的消息传输，防火墙系统尤其基于确定的安全规则检查进入工业自动化系统200中的数据包。该安全规则在当前的实施例中包括通常的防火墙规则和关于在数据包中说明的控制命令或用于工业自动化系统200的自动化设备201-202的控制参数的可靠性的规则。因此，在其中布置有防火墙系统300的工业自动化系统200的通信网络以安全技术方式提供对自动化设备201-202的受控的访问可行性，并进而其受到了保护。长距离通信网络400例如能够是移动无线网络或基于ip的通信网络。

自动化设备201-202分别包括集成的或相关联的通信模块或设备并且能够是机器或工程设施的、例如机器人的或运输设备的可编程逻辑控制器或基于pc的控制装置。特别地，自动化设备201-202分别包括至少一个中央单元和输入/输出单元。输入/输出单元用于在相应的自动化设备201-202与通过自动化设备201-202控制的机器或设备之间交换控制变量以及测量变量。自动化设备201-202的中央单元尤其设置用于从检测的测量变量中确定适当的控制变量。

防火墙锡300基于计算机并且在当前的实施例中包括超级监督者301作为防火墙系统的实际存在的硬件和可安装在防火墙系统300上的能运行的操作系统之间的硬件抽象化元件。这种超级监督者301实现虚拟环境的提供，该虚拟环境包括分区的硬件资源，如处理器、存储器或外围设备。代替超级监督者301，原则上也能够将其他已知的虚拟化设计用作为用于提供在防火墙系统300上运行的服务器实例311、321的硬件抽象化元件。出于清楚的目的，超级监督者301在附图中以制图的方式从防火墙系统300取下的方式示出。

然而，超级监督者301是防火墙系统300的部件。这也适用于硬件实施的密码学部件302其在附图中以从防火墙系统300取下的方式示出，然而由防火墙系统300包括。

通过这种在防火墙系统300上运行的服务器实例形成交会服务器311作为连接管理装置。在此，交会服务器311设置和设计为建立、管理和控制从工业自动化系统200之外的第一通信设备到与工业自动化系统200相关联的第二通信设备的通信连接。在当前的实施例中，远程维护计算机101-103算作第一通信设备，而第二通信设备是与自动化设备201-202相关联的或由它们所包括的通信设备或模块。

在通过第一通信设备101的进行请求的用户请求111建立到所选择的第二通信设备201的连接时根据访问管控列表312关于所选择的自动化设备201对进行请求的用户执行权限检查。访问管控列表312包括分别在至少一个第一通信设备和至少一个第二通信设备之间的可靠的通信连接的用户独有的说明。

如果权限检查进行出正面的结果，那么交会服务器311为通信参与者提供建立进行请求的用户的第一通信设备101和所选择的第二通信设备201之间的加密的通信连接500的访问管控信息112、211。在当前的实施例中，在远程维护计算机101-103和自动化设备201-202之间建立的加密的通信连接是vpn连接(虚拟专用网络)。因此，访问管控信息112、211优选包括密码学密匙和/或用于vpn会话的密码或临时有效的密码。权限检查包括相对于交会服务器311认证进行请求的用户，该交会服务器仅在对进行请求的用户认证之后才将用于在进行请求的用户的远程维护计算机101和所选择的第二通信设备201之间使用vpn连接的访问管控信息112提供给进行请求的用户。

经由进行请求的用户的远程维护计算机101和所选择的第二通信设备201之间的vpn连接500传输的数据包113、212通过防火墙系统300解密并且基于确定的安全规则进行检查。通过防火墙系统300再次对在基于确定的安全规则检查成功的数据包进行加密，并且转发给进行请求的用户的远程维护计算机101或转发给所选择的自动化设备201。由防火墙系统300以基于硬件的方式进行对待检查的或已检查的数据包的解密或加密。对此，设置有由防火墙系统300所包括的硬件实施的密码学部件302。通过防火墙系统300拒绝不对应于确定的安全规则的数据包。

在当前的实施例中，通过防火墙系统300以基于确定的安全规则进行的检查也包括检查用于vpn会话的密码或临时有效的密码的正确性。在此，防火墙系统300拒绝对于数据包的传输指明不正确的密码的数据包。

原则上，在进行请求的用户的远程维护计算机101和所选择的第二通信设备201之间建立的vpn连接500包括两个vpn子连接，它们终止于交会服务器311。因此，交会服务器311在权限检查结果为正面的情况下分别建立到进行请求的用户的远程维护计算机101和到所选择的自动化设备201的加密的通信连接并且将这两个通信连接彼此链接。