用于在切换后用冗余设备建立安全通信的装置和方法

用于在切换后用冗余设备建立安全通信的装置和方法
【专利摘要】一种方法包括在切换(408)期间将工业过程控制和自动化系统(100)中的设备(202b)从次要角色转换为主要角色，以及响应于所述切换，清除(410)由所述设备存储的一个或多个安全值。所述方法还包括在所述设备处从网络节点(204)接收(412)消息，以及响应于确定(414)没有安全关联与所接收的消息或所述网络节点相关联，与所述网络节点交换(416)安全凭证并建立(418)信任关系。转换所述设备包括承担先前以主要角色操作、先前与所述网络节点通信且先前具有与所述网络节点的安全关联的另一设备(202a)的网络地址。当所述设备从所述网络节点接收到所述消息时，清除所述(一个或多个)安全值可以防止所述设备具有与所述网络节点相关联的信任关系。
【专利说明】用于在切换后用冗余设备建立安全通信的装置和方法
[0001]相关申请交叉引用和优先权声明
[0002]本申请根据35U.S.C.§119(e)要求2014年I月29日提交的美国临时专利申请号61/933，081的优先权。藉此通过引用将该临时专利申请以其整体并入。
技术领域
[0003]本公开一般涉及工业过程控制和自动化系统。更具体地，本公开涉及用于在切换后用冗余设备建立安全通信的装置和方法。
【背景技术】
[0004]工业过程控制和自动化系统通常用于使庞大和复杂的工业过程自动化。此类系统常规包括传感器、致动器和控制器。控制器通常从传感器接收测量结果，并生成用于致动器的控制信号。
[0005]工业过程控制和自动化系统中的控制器和其它设备通常被连接到一个或多个网络并通过所述一个或多个网络通信。工业过程控制和自动化系统中的一些设备(诸如更关键的控制器)被布置成冗余对，其中每对中的一个设备作为主要角色操作而每对中的另一设备作为次要或冗余角色操作。次要设备被设计为在切换期间、诸如当主要设备遭受电力故障、硬件故障或其它问题时切换成主要角色。

【发明内容】

[0006]本公开提供用于在切换后用冗余设备建立安全通信的装置和方法。
[0007]在第一实施例中，一种方法包括在切换期间将工业过程控制和自动化系统中的设备从次要角色转换为主要角色，以及响应于所述切换，清除由设备存储的一个或多个安全值。该方法还包括在设备处从网络节点接收消息，以及响应于确定没有与所接收的消息或所述网络节点相关联的安全关联，与所述网络节点交换安全凭证并与其建立信任关系。转换设备包括承担先前以主要角色操作、先前与所述网络节点通信且先前具有与所述网络节点的安全关联的另一设备的网络地址。
[0008]在第二实施例中，一种设备包括至少一个存储器，其被配置成存储一个或多个安全值。所述设备还包括至少一个处理设备，其被配置成在切换期间在工业过程控制和自动化系统中将该设备从次要角色转换为主要角色并响应于该切换清除所述一个或多个安全值。所述至少一个处理设备还被配置成在设备处从网络节点接收消息，以及响应于确定没有与所接收的消息或所述网络节点相关联的安全关联，与所述网络节点交换安全凭证并与其建立信任关系。所述至少一个处理设备被配置成通过承担先前以主要角色操作、先前与所述网络节点通信且先前具有与所述网络节点的安全关联的另一设备的网络地址来转换设备。
[0009]在第三实施例中，一种非暂时性计算机可读介质包括计算机程序。所述计算机程序包括计算机可读程序代码，其用于在切换期间将工业过程控制和自动化系统中的设备从次要角色转换为主要角色，以及响应于所述切换，用于清除由设备存储的一个或多个安全值。所述计算机程序还包括计算机可读程序代码，其用于在设备处从网络节点接收消息，以及响应于确定没有与所接收的消息相关联的安全关联，用于与所述网络节点交换安全凭证并与其建立信任关系。转换设备包括承担先前以主要角色操作、先前与所述网络节点通信且先前具有与所述网络节点的安全关联的另一设备的网络地址。
[0010]从以下附图、描述和权利要求，对本领域技术人员来说其它技术特征可以是容易地显而易见的。
【附图说明】
[0011]为了更全面地理解本公开，现在结合附图参考以下描述，其中:
[0012]图1和2图解根据本公开的示例工业过程控制和自动化系统及相关细节；
[0013]图3图解根据本公开的在工业过程控制和自动化系统中从主要设备到次要设备的示例切换；以及
[0014]图4图解根据本公开的用于在工业过程控制和自动化系统中切换之后用冗余设备建立安全通信的示例方法。
【具体实施方式】
[0015]在本专利文件中，下面讨论的图1到4和用以描述本发明的原理的各种实施例是仅以例证的方式，并且不应以任何方式将其解释为限制本发明的范围。本领域技术人员将理解的是，可以以任何类型的适当布置的设备或系统来实现本发明的原理。图1和2图解根据本公开的示例工业过程控制和自动化系统100及相关细节。如在图1中所示，系统100包括促进至少一种产品或其它材料的生产或处理的各种组件。例如，这里使用系统100来促进对一个或多个工厂1la-1Oln中的组件的控制。每个工厂1la-1Oln表示一个或多个处理设施(或其一个或多个部分)，诸如用于生产至少一种产品或其它材料的一个或多个制造设施。一般而言，每个工厂1la-1Oln可实现一个或多个过程并且可以单独地或共同地被称为过程系统。过程系统一般地表示被配置成以某种方式处理一个或多个产品或其它材料的任何系统或其部分。
[0016]在图1中，使用过程控制的普渡(Purdue)模型来实现系统100。在普渡模型中，“O级”可包括一个或多个传感器102a以及一个或多个致动器102b。传感器102a和致动器102b表示过程系统中可执行广泛种类功能中的任何的组件。例如，传感器102a可测量过程系统中的广泛种类的特性，诸如温度、压力或流速。同样，致动器102b可更改过程系统中广泛种类的特性。传感器102a和致动器102b可表示在任何适当的过程系统中的任何其它或附加组件。传感器102a中的每一个包括用于测量过程系统中的一个或多个特性的任何适当的结构。致动器102b中的每一个包括用于操作或影响过程系统中的一个或多个条件的任何适当的结构。
[0017]至少一个网络104被耦合到传感器102a和致动器102b。网络104促进了与传感器102a和致动器102b的交互。例如，网络104可从传感器102a传输测量数据并向致动器102b提供控制信号。网络104可以表示任何适当的网络或网络的组合。作为特定的示例，网络104可以表示以太网、电信号网络(诸如HART或基金会现场总线网络)、气动控制信号网络、或任何其它或附加的(一个或多个)类型的网络。
[0018]在普渡模型中，“I级”可包括一个或多个控制器106，其被耦合到网络104。除其它之外，每个控制器106可使用来自一个或多个传感器102a的测量结果以控制一个或多个致动器102b的操作。例如，控制器106可从一个或多个传感器102a接收测量数据并使用该测量数据来生成用于一个或多个致动器102b的控制信号。每个控制器106包括任何适当的结构，用于与一个或多个传感器102a交互并控制一个或多个致动器102b。每个控制器106可例如表示多变量控制器，诸如鲁棒多变量预测控制技术(RMPCT)控制器或实现模型预测控制(MPC)或其它先进预测控制(APC)的其它类型的控制器。作为特定的示例，每个控制器106可表示运行实时操作系统的计算设备。
[0019]两个网络108被耦合到控制器106。网络108诸如通过传输数据到控制器106并从控制器106传输数据来促进与控制器106的交互。网络108可表示任何适当的网络或网络组合。作为特定的示例，网络108可表示一对以太网网络或冗余的一对以太网网络，诸如来自霍尼韦尔国际公司的容错以太网(FTE)网络。
[0020]至少一个交换机/防火墙110将网络108耦合到两个网络112。交换机/防火墙110可以从一个网络传输业务到另一个网络。交换机/防火墙110还可以阻止一个网络上的业务到达另一个网络。交换机/防火墙110包括用于提供网络之间的通信的任何适当的结构，诸如霍尼韦尔控制防火墙(CF9)设备。网络112可表示任何适当的网络，诸如一对以太网网络或FTE网络。
[0021]在普渡模型中，“2级”可以包括被耦合到网络112的一个或多个机器级控制器114。机器级控制器114执行各种功能以支持可与工业装备(诸如锅炉或其它机器)的特定零件相关联的控制器106、传感器102a和致动器102b的操作和控制。例如，机器级控制器114可以记录由控制器106收集或生成的信息，诸如来自传感器102a的测量数据或用于致动器102b的控制信号。机器级控制器114也可以执行对控制器106的操作进行控制的应用，由此控制致动器102b的操作。另外，机器级控制器114可以提供对控制器106的安全访问。机器级控制器114中的每一个包括用于提供对与机器或装备的其它个别零件有关的访问、控制或操作的任何适当的结构。机器级控制器114中的每一个例如可以表示运行微软WINDOWS操作系统的服务器计算设备。尽管未示出，但是不同的机器级控制器114可用于控制过程系统中的装备的不同零件(其中装备的每个零件与一个或多个控制器106、传感器102a和致动器102b相关联)。
[0022]—个或多个操作员站点116被耦合到网络112。操作员站点116表示提供对机器级控制器114的用户访问的计算或通信设备，其然后可以提供对控制器106(以及可能地传感器102a和致动器102b)的用户访问。作为特定示例，操作员站点116可以允许用户使用由控制器106和/或机器级控制器114收集的信息来回顾传感器102a和致动器102b的操作历史。操作员站点116也可以允许用户调整传感器102a、致动器102b、控制器106或机器级控制器114的操作。另外，操作员站点116可以接收和显示由控制器106或机器级控制器114生成的警告、警报或其它消息或显示。操作员站点116中的每一个包括用于支持系统100中的一个或多个组件的用户访问和控制的任何适当的结构。操作员站点116中的每一个可以例如表示运行微软WINDOWS操作系统的计算设备。
[0023]至少一个路由器/防火墙118将网络112耦合到两个网络120。路由器/防火墙118包括用于提供网络之间的通信的任何适当结构，诸如安全路由器或组合路由器/防火墙。网络120可以表示任何适当的网络，诸如一对以太网网络或FTE网络。
[0024]在普渡模型中，“3级”可包括被耦合到网络120的一个或多个单元级控制器122。每个单元级控制器122通常与过程系统中的单元相关联，所述单元表示一起操作以实现过程的至少一部分的不同机器的集合。单元级控制器122执行各种功能以支持低级别组件的操作和控制。例如，单元级控制器122可以记录由低级别组件所收集或生成的信息，执行控制低级别组件的应用，并提供对低级别组件的安全访问。单元级控制器122中的每一个包括用于提供与过程单元中的一个或多个机器或装备的其它零件有关的访问、控制或操作的任何适当的结构。单元级控制器122中的每一个可例如表示运行微软WINDOWS操作系统的服务器计算设备。尽管未示出，但是不同的单元级控制器122可用于控制过程系统中的不同单元(其中每个单元与一个或多个机器级控制器114、控制器106、传感器102a和致动器102b相关联)。
[0025]可以由一个或多个操作员站点124提供对单元级控制器122的访问。操作员站点124中的每一个包括用于支持系统100中的一个或多个组件的用户访问和控制的任何适当的结构。操作员站点124中的每一个可以例如表示运行微软WINDOWS操作系统的计算设备。
[0026]至少一个路由器/防火墙126将网络120耦合到两个网络128。路由器/防火墙126包括用于提供网络之间的通信的任何适当的结构，诸如安全路由器或组合路由器/防火墙。网络128可表示任何适当的网络，诸如一对以太网网络或FTE网络。
[0027]在普渡模型中，“4级”可以包括被耦合到网络128的一个或多个工厂级控制器130。每个工厂级控制器130通常与工厂1la-1Oln之一相关联，工厂1la-1Oln可包括实现相同、相似或不同过程的一个或多个过程单元。工厂级控制器130执行各种功能以支持低级别组件的操作和控制。作为特定的示例，工厂级控制器130可以执行一个或多个制造执行系统(MES)应用、调度应用、或其它或者附加的工厂或过程控制应用。工厂级控制器130中的每一个包括用于提供与过程工厂中的一个或多个过程单元有关的访问、控制或操作的任何适当的结构。工厂级控制器130中的每一个可以例如表示运行微软WINDOWS操作系统的服务器计算设备。
[0028]可以由一个或多个操作员站点132提供对工厂级控制器130的访问。操作员站点132中的每一个包括用于支持系统100中的一个或多个组件的用户访问和控制的任何适当的结构。操作员站点132中的每一个可以例如表示运行微软WINDOWS操作系统的计算设备。
[0029]至少一个路由器/防火墙134将网络128耦合到一个或多个网络136。路由器/防火墙134包括用于提供网络之间的通信的任何适当的结构，诸如安全路由器或组合路由器/防火墙。网络136可表示任何适当的网络，诸如企业范围以太网或其它网络、或更大网络(诸如互联网)的全部或一部分。
[0030]在普渡模型中，“5级”可包括被耦合到网络136的一个或多个企业级控制器138。每个企业级控制器138通常能够针对多个工厂1la-1Oln执行计划操作并能够控制工厂1la-1Oln的各种方面。企业级控制器138还可执行各种功能以支持工厂1la-1Oln中的组件的操作和控制。作为特定的示例，企业级控制器138可执行一个或多个订单处理应用、企业资源计划(ERP)应用、先进计划和调度(APS)应用、或任何其它或者附加的企业控制应用。企业级控制器138中的每一个包括用于提供与一个或多个工厂的控制有关的访问、控制或操作的任何适当的结构。企业级控制器138中的每一个可以例如表示运行微软WINDOWS操作系统的服务器计算设备。在本文件中，术语“企业”指具有一个或多个工厂或要被管理的其它处理设施的组织。注意，如果要管理单个工厂101a，则企业级控制器138的功能性可以被并入到工厂级控制器130中。
[0031]可以由一个或多个操作员站点140提供对企业级控制器138的访问。操作员站点140中的每一个包括用于支持系统100中的一个或多个组件的用户访问和控制的任何适当的结构。操作员站点140中的每一个可例如表示运行微软WINDOWS操作系统的计算设备。
[0032]普渡模型的各个级别可以包括其它组件，诸如一个或多个数据库。与每个级别相关联的(一个或多个)数据库可以存储与该级别或者系统100的一个或多个其它级别相关联的任何适当的信息。例如，历史装置(historian) 141可以被耦合到网络136。历史装置141可表示存储关于系统100的各种信息的组件。例如，历史装置141可存储在生产调度和优化期间所使用的信息。历史装置141表示用于存储和促进信息检索的任何适当的结构。尽管被示为被耦合到网络136的单个集中式组件，但历史装置141可位于系统100中的其它位置，或者多个历史装置可分布在系统100中的不同位置中。
[0033]在特定实施例中，图1中的各种控制器和操作员站点可表示计算设备。例如，控制器中的每一个可以包括一个或多个处理设备142和一个或多个存储器144，该一个或多个存储器144用于存储由(一个或多个)处理设备142所使用、生成或收集的指令和数据。控制器中的每一个还可包括至少一个网络接口 146，诸如一个或多个以太网接口或无线收发器。同样，操作员站点中的每一个可包括一个或多个处理设备148和一个或多个存储器150，该一个或多个存储器150用于存储由(一个或多个)处理设备148所使用、生成或收集的指令和数据。操作员站点中的每一个还可包括至少一个网络接口 152，诸如一个或多个以太网接口或无线收发器。
[0034]图1中所示的各种设备可以被布置在冗余对或其它设备冗余组中。例如，各种关键的或其它控制器可以被布置在冗余对中，其中每对包括(i)以主要角色主动执行控制动作的主要控制器和(ii)以次要角色被动操作的次要控制器。次要控制器可以接收与主要控制器相同的数据并执行与主要控制器相同的计算，但是次要控制器可能抑制输出用以实现控制动作的信号。这允许次要控制器在需要或期望时、诸如当主要控制器故障时切换为主要角色。分布式控制系统(DCS)设备的任何其它(一个或多个)冗余组可以被用在工业过程控制和自动化系统100中。
[0035]为了防止对工业过程控制和自动化系统中组件的恶意访问，已经采用了各种技术来保护系统中网络(诸如网络108、112、120、128和136)。例如，可以在工业过程控制和自动化系统的各种组件上启用互联网协议安全(IPsec)协议套件。IPsec协议套件通常用于在尝试交互的组件之间建立信任关系。在以下的描述中，“DCS设备”表示被布置在冗余对或组件的其它冗余组中的多个组件中的一个。同样，“网络节点”表示与一个或多个DCS设备交互的组件。做出这个区别仅仅为了方便，而不是阻止例如组件既用作DCS设备也用作网络节点。当工业过程控制和自动化系统100中的DCS设备被布置在冗余对或者其它冗余组中时，次要DCS设备经常使用浮动网络地址(诸如IP地址)。在这个配置中，当主要DCS设备故障时，其次要DCS设备承担主要角色并经常承担主要DCS设备的网络地址。如果在切换前存在与主要DCS设备的信任关系，那么在切换后需要重新建立与次要DCS设备的信任关系。本公开提供了用于当在切换期间次要设备接管主要角色时重新建立信任关系的技术，诸如通过使用IPSec0
[0036]在图2中示出了该功能性的细节，其中冗余DCS设备202与网络节点204交互。DCS设备202和网络节点204可以表示控制系统中任何适当的组件，诸如图1中所示的控制器、服务器或操作员站点中的任何。例如，DCS设备202可以表示控制器或服务器的冗余对，并且网络节点204可以表示与DCS设备202交互的控制器、服务器或者操作员站点。
[0037]在图2中所示的还有安全管理器206和认证授权(CA)208。安全管理器206操作以维护关于已经配置的或者处于正在配置的过程中的组件的信息，以支持工业过程控制和自动化系统中的安全通信。安全管理器206还向组件提供安全凭证(诸如数字证书)和通信策略，以允许组件与彼此安全地通信。策略提供关于两个组件应当如何通信和如何用于配置IPsec的信息。认证授权208生成安全管理器206提供的数字证书或者其它安全凭证。
[0038]安全管理器206包括用于向DCS组件提供安全凭证的任何适当的结构，诸如具有一个或多个处理设备、一个或多个存储器和一个或多个网络接口的计算设备。系统中可以存在一个或多个安全管理器206，诸如安全管理器206的冗余对。认证授权208包括用于生成安全凭证的任何适当的结构，诸如具有一个或多个处理设备、一个或多个存储器和一个或多个网络接口的计算设备。安全管理器206和认证授权208还可以用于工业过程控制和自动化系统100中的任何适当的(一个或多个)级别。例如，在一些实施例中，安全管理器206和认证授权208可以表示3级、4级、或者5级组件，并用于保护系统100的I级、2级或3级处的DCS组件。
[0039]尽管图1和2图解工业过程控制和自动化系统100的一个示例和相关细节，但可对图1和2作出各种改变。例如，控制和自动化系统可包括任何数量的传感器、致动器、控制器、操作员站点、网络、DCS设备、网络节点、安全管理器和认证授权。而且，图1和2中的系统100的组成和布置仅用于例证。根据特定需要可在任何其它适当的配置中添加、省略、组合或放置组件。作为特定示例，安全管理器206和认证授权208可以被组合到单个功能性单元中。另夕卜，特定功能已被描述为由系统100的特定组件执行。这仅用于例证。一般而言，过程控制和自动化系统是高度可配置的并且可根据特定需要以任何适当方式配置。此外，图1和2图解示例环境，其中可以重新建立与在切换期间承担主要角色的次要设备的信任关系。该功能性可被用在任何其它适当设备或系统中。
[0040]图3图解根据本公开的在工业过程控制和自动化系统中从主要设备到次要设备的示例切换300。为了易于解释，关于在图1的系统100中操作的图2的组件来描述图3中所示的切换300 ο切换300可以与任何适当的系统中的任何其它适当的组件一起使用。
[0041 ] 如图3所示，系统包括操作为冗余对的两个DCS设备202a-202b，其中DCS设备202a以主要角色操作且DCS设备202b以次要角色操作。DCS设备202a具有其自己的网络地址(在该示例中为X.X.X.1)，且DCS设备202b具有不同的网络地址(在该示例中为X.X.X.2)。以主要角色的DCS设备202a可以与具有其自己的网络地址(在该示例中为X.X.X.3)的网络节点204建立安全关联或其它信任关系。
[0042]为了防止对网络上组件的恶意访问，可以在组件上启用IPsec或者其它安全协议。因此，例如，DCS设备202a和网络节点204可以以安全方式交互，而DCS设备202b保持被用或次要角色。IPsec在网络节点和网络节点正尝试访问的设备之间(诸如在主要DCS设备202a和网络节点204之间)建立信任关系。
[0043]如上面表明的，许多工业过程控制和自动化设备是冗余的并当它们的主要设备故障时使用浮动网络地址。这意味着，一旦主要DCS设备故障，其次要DCS设备承担主要角色以及主要设备的网络地址。在图3中示出这个的示例，其中一旦主要DCS设备202a故障，次要DCS设备202b就承担主要角色和主要设备的网络地址(X.X.X.1)。
[0044]假设网络节点204正访问来自主要DCS设备202a的数据，其中组件202a和204都配置有IPsec。通过使用IPsec，组件202a和204与彼此形成信任关系，以允许组件202a和204之间的安全通信。然而，当主要DCS设备202a故障并且次要DCS设备202b接管主要角色时，信任关系出现问题。由于使用DCS设备202a的IP地址建立了信任关系，DCS设备202b将不被网络节点204信任。
[0045]在传统方法下，DCS设备202b将丢弃来自网络节点204的所有分组，因为还没有建立信任关系。在两侧都不能相互信任的情况下，组件202b和204将不能够通信直到死区超时出现且组件202b和204可以重新协商信任关系为止。不幸的是，当等待死区超时出现时，在该时间段内组件202b和204之间没有有效的通信。在组件202b和204之间没有通信的情况下，发生对主要设备的丧失观察，其可能不利于控制系统的操作。
[0046]根据本公开，提供了用以当次要设备接管主要设备时重新建立信任关系的技术。代替等待死区超时，新的主要设备(DCS设备202b)执行以下操作以重新建立与网络节点204的信任关系。在切换之后，新的主要DCS设备202b移除其先前配置或使用的安全凭证、通信策略和其它信息。一旦接收安全有效载荷、诸如封装安全有效载荷(ESP)消息，新的主要DCS设备202b就不能发现针对所接收消息的安全凭证或者通信策略，并且新的主要DCS设备202b发起与网络节点204的密钥交换。这重新建立了DCS设备202b和网络节点204之间的信任关系，但它可以比等待死区超时更快地完成。
[0047]尽管图3图解工业过程控制和自动化系统中从主要设备到次要设备的切换300的一个示例，但是可以对图3做出各种改变。例如，这里所示的网络地址仅为示例，并且节点不需要具有连续的网络地址。同样，DCS节点的冗余对可以与可以针对其建立安全通信连接的任何数量的其它设备通信。
[0048]图4图解根据本公开的用于在工业过程控制和自动化系统中在切换后用冗余设备建立安全通信的示例方法400。为了易于解释，关于在图1的系统100中操作的图2的组件来描述方法400 ο方法400可以与任何适当的系统中的任何其它适当组件一起使用。
[0049]在步骤402处，第一和第二冗余设备在工业过程控制和自动化系统中操作。这可以包括例如操作DCS设备202a-202b作为过程控制器或者服务器的冗余对。DCS设备202a可以以主要角色操作，且DCS设备202b可以以次要角色操作。在步骤404处，在系统中的第一设备和网络节点之间建立安全连接。这可以包括，例如，主要DCS设备202a使用IPsec与网络节点104建立安全连接。在步骤406处，在第一设备操作期间，第二设备与第一设备同步。这可以包括，例如，次要DCS设备202b接收与主要DCS设备202a所接收的相同的数据，并执行与主要DCS设备202a相同的计算。
[0050]在步骤408处，进行是否出现故障切换的确定。这可以包括，例如，主要DCS设备202a失效或以其它方式遭受触发故障切换的故障，其导致次要DCS设备202b切换并开始以主要角色操作。作为这个故障切换过程的部分，新的主要DCS设备202b可以承担旧的主要DCS设备202a的网络地址。作为监视互联网密钥交换(IKE)会话的连续环的部分，可以在次要DCS设备202b处检测切换。
[0051]为了帮助加速与网络节点的信任关联的重新建立，在步骤410处，第二设备从其存储器清洗安全参数。这可以包括，例如，新的主要DCS设备202b清洗来自其存储器的所有安全参数索引(SPI)值、IKE密钥和IPsec安全策略数据库(SPD)策略。在步骤412处，检测安全有效载荷的接收。这可以包括，例如，新的主要DCS设备202b经由用户数据报协议(UDP)嵌套(socket)从网络节点104接收ESP消息。在步骤414处，第二设备确定没有与网络节点建立安全关联。这可以包括，例如，新的主要DCS设备202b确定发送了ESP消息的网络节点104不与所建立的IPsec连接相关联。
[0052]响应于确定没有已经与网络节点建立的安全关联，在步骤416处，在第二设备和网络节点之间发起密钥交换。这可以包括，例如，新的主要DCS设备202b发起与网络节点104的IKE会话以便与网络节点104交换安全凭证(诸如认证密钥)。这允许在步骤418处第二设备和网络节点建立安全关联。作为这个过程的部分，新的主要DCS设备202b和网络节点104可以将一个或多个指定的通信策略应用于在组件之间建立IPsec连接。
[0053]在该点处，在步骤420处，第二设备和网络节点可以在工业过程控制和自动化系统中操作。这个可以包括，例如，新的主要DCS设备202b和网络节点104操作以提供期望的过程控制或自动化功能，其中新的主要DCS设备202b和网络节点104参加安全通信。可以在此比简单地推动新的主要DCS设备202b等待死区超时出现更快速地建立安全关联。
[0054]尽管图4图解工业过程控制和自动化系统中在切换后用冗余设备建立安全通信的方法400的一个示例，但是可以对图4做出各种改变。例如，虽然被示为一系列步骤，但是图4中的各个步骤可以重叠、并行发生、以不同顺序发生、或者多次发生。
[0055]在一些实施例中，由计算机程序实现或支持本专利文件中描述的各种功能，所述计算机程序由计算机可读程序代码形成并被体现在计算机可读介质中。短语“计算机可读程序代码”包括任何类型的计算机代码，包括源代码、目标代码和可执行代码。短语“计算机可读介质”包括能够被计算机访问的任何类型的介质，诸如只读存储器(R0M)、随机存取存储器(RAM)、硬盘驱动、紧凑盘(CD)、数字视频盘(DVD)或其它类型的存储器。“非暂时性”计算机可读介质排除传送暂时性电或其它信号的有线、无线、光学或其它通信链路。非暂时性计算机可读介质包括数据可以永久存储于其中的介质和数据可以存储于其中并在随后可以覆写的介质，诸如可重写光盘或可擦存储器设备。
[0056]对遍及本专利文件所使用的某些词或短语阐述定义可以是有利的。术语“应用”和“程序”指一个或多个计算机程序、软件组件、指令集、规程、函数、对象、类、实例、相关数据、或适用于以适当的计算机代码(包括源代码、目标代码或可执行代码)实现的其部分。术语“通信”及其派生词既包括直接通信又包括间接通信。术语“包括”和“包含”及其派生词，意思是包括而没有限制。术语“或”是包含性的，意思是和/或。短语“与...相关联”及其派生词可意思是包括、被包括在...之内、与...互连、包含、被包含在...之内、连接到...或与...连接、耦合到...或与...耦合、与...可通信、与...协作、交错、并置、与...紧接、被接合至IJ...或与...接合、具有、具有...的性质、具有对或与...的关系等等。短语.中的至少一个”，当与一列项目一起使用时，意味着所列项目中的一个或多个的不同组合可以被使用，并且可能需要列表中的仅一个项目。例如，“A、B和C中的至少一个”包括以下组合中的任何:A、B、C、A和B、六和(:、B和C、以及A和B和C。
[0057]尽管本公开已经描述了某些实施例和一般地相关联的方法，但是对本领域技术人员来说这些实施例和方法的变更和置换将是显而易见的。由此，示例实施例的以上描述不限定或约束本公开。其它改变、取代和变更也是可能的而不脱离如由以下权利要求限定的本公开的精神和范围。
【主权项】
1.一种方法包括: 在切换(408)期间将工业过程控制和自动化系统(100)中的设备(202b)从次要角色转换为主要角色； 响应于所述切换，清除(410)由所述设备存储的一个或多个安全值； 在所述设备处从网络节点(204)接收(412)消息；以及 响应于确定(414)没有安全关联与所接收的消息或所述网络节点相关联，与所述网络节点交换(416)安全凭证并建立(418)信任关系； 其中转换所述设备包括承担先前以主要角色操作、先前与所述网络节点通信且先前具有与所述网络节点的安全关联的另一设备(202a)的网络地址。2.根据权利要求1所述的方法，进一步包括: 在所述切换之前，当所述另一设备与所述网络节点通信时将所述设备与所述另一设备同步(406) ο3.根据权利要求1所述的方法，其中清除所述一个或多个安全值包括: 清洗来自所述设备的至少一个存储器(144，150)的一个或多个安全参数索引(SPI)值、一个或多个认证密钥和一个或多个通信策略。4.根据权利要求1所述的方法，其中: 接收所述消息包括从所述网络节点接收封装安全有效载荷；以及 所述方法进一步包括确定没有安全关联与所接收的封装安全有效载荷相关联。5.根据权利要求1所述的方法，其中建立所述信任关系包括使用互联网协议安全(IPsec)建立所述信任关系。6.根据权利要求1所述的方法，其中所述安全凭证包括一个或多个认证密钥。7.根据权利要求1所述的方法，其中当所述设备接收到来自所述网络节点的所述消息时，清除所述一个或多个安全值防止所述设备具有与所述网络节点相关联的信任关系。8.根据权利要求1所述的方法，其中所述设备包括在过程控制器或服务器的冗余组中的一个设备。9.一种设备(202b)，包括: 至少一个存储器(144，150)，其被配置成存储一个或多个安全值；以及 至少一个处理设备(142,148),其被配置成: 在切换期间在工业过程控制和自动化系统(100)中将所述设备从次要角色转换为主要角色； 响应于所述切换清除所述一个或多个安全值； 在所述设备处从网络节点(204)接收消息；以及 响应于确定没有安全关联与所接收的消息或所述网络节点相关联，与所述网络节点交换安全凭证并建立信任关系； 其中所述至少一个处理设备被配置成通过承担先前以主要角色操作、先前与所述网络节点通信且先前具有与所述网络节点的安全关联的另一设备(202a)的网络地址来转换所述设备。10.根据权利要求9所述的设备，其中，在所述切换之前，所述至少一个处理设备被配置成当所述另一设备与所述网络节点通信时将所述设备与所述另一设备同步。11.根据权利要求9所述的设备，其中所述至少一个处理设备被配置成清洗来自所述至少一个存储器的一个或多个安全参数索引(SPI)值、一个或多个认证密钥和一个或多个通fg策略。12.根据权利要求9所述的设备，其中: 所述至少一个处理设备被配置成从所述网络节点接收封装安全有效载荷；以及所述至少一个处理设备进一步被配置成确定没有安全关联与所接收的封装安全有效载荷相关联。13.根据权利要求9所述的设备，其中所述至少一个处理设备被配置成清除所述一个或多个安全值以便当所述设备从所述网络节点接收到所述消息时，防止所述设备具有与所述网络节点相关联的信任关系。14.一种非暂时性计算机可读介质包括计算机程序，所述计算机程序包括计算机可读程序代码，其用于: 在切换(408)期间将工业过程控制和自动化系统(100)中的设备(202b)从次要角色转换为主要角色； 响应于所述切换，清除(410)由所述设备存储的一个或多个安全值； 在所述设备处从网络节点(204)接收(412)消息；以及 响应于确定(414)没有安全关联与所接收的消息相关联，与所述网络节点交换(416)安全凭证并建立(418)信任关系； 其中转换所述设备包括承担先前以主要角色操作、先前与所述网络节点通信且先前具有与所述网络节点的安全关联的另一设备(202a)的网络地址。
【文档编号】H04L29/06GK106063221SQ201580006411
【公开日】2016年10月26日
【申请日】2015年1月20日
【发明人】C·布纳库奥尔, J·施雷德, G·德雷顿
【申请人】霍尼韦尔国际公司