專利名稱:針對自動化網(wǎng)絡(luò)的實時通信安全性的制作方法
針對自動化網(wǎng)絡(luò)的實時通信安全性背景 發(fā)明領(lǐng)域本發(fā)明涉及針對自動化網(wǎng)絡(luò)的實時通信安全?�,F(xiàn)有技術(shù)討論 鑒于針對自動化設(shè)備的安全遠(yuǎn)程服務(wù)的要求增多��、在自動化網(wǎng)絡(luò)中使用無線設(shè)備 以及即將實施的政府規(guī)范等情況����,與IT通信網(wǎng)絡(luò)同等地為自動化網(wǎng)絡(luò)提供諸如保密性和 真實性等數(shù)據(jù)安全性服務(wù)已經(jīng)變得非常重要��。密碼學(xué)是用于在諸如以太網(wǎng)或因特網(wǎng)的不安全通信信道上實現(xiàn)保密且真實的通 信的科技�。保密性是用于確保只有預(yù)先確定的實體集合才能利用被稱作密鑰的參數(shù)來讀取 所傳送的消息的密碼服務(wù)。認(rèn)證是用于檢驗只有預(yù)定的實體集合才有可能利用或者不利用 密鑰生成了所傳送的消息的密碼服務(wù)����。信息安全性的第三方面是可用性,這要求系統(tǒng)確保 任何經(jīng)過授權(quán)的實體都可以按需訪問可用數(shù)據(jù)�����,并且確保這種訪問不會被阻止或擾亂���。計 算系統(tǒng)的更高響應(yīng)速率對于緩解拒絕服務(wù)攻擊的效應(yīng)而言是至關(guān)重要的?,F(xiàn)今普遍可用的通信安全性機制是針對數(shù)據(jù)驅(qū)動的通信(比如通過因特網(wǎng)的數(shù) 據(jù)通信)開發(fā)的��,其不包含實時要求或者抖動敏感性要求。由于缺少為這種實時的并且對 抖動敏感的自動化網(wǎng)絡(luò)(其中通信等待時間至為關(guān)鍵)提供數(shù)據(jù)安全性的�、有限的或者實 際上不存在的安全性技術(shù),因而促生了本發(fā)明���。在由自動化網(wǎng)絡(luò)上的自動化應(yīng)用發(fā)送請求與接收到相應(yīng)的響應(yīng)之間所經(jīng)過的時 間被稱作響應(yīng)時間����。自動化網(wǎng)絡(luò)上的通信通常依賴于以太網(wǎng)協(xié)議來實現(xiàn)實時的低等待時間 自動化通信�����。對于自動化網(wǎng)絡(luò)上的通信所需的響應(yīng)時間通常是毫秒量級���。由于用在自動化 設(shè)備的微處理器實現(xiàn)方式中的RTOS的調(diào)度動作的無保證延遲,所述系統(tǒng)可能無法提供自 動化網(wǎng)絡(luò)所要求的嚴(yán)格實時性能����。由于邏輯通信安全性措施涉及到通信棧中的另一個順序 處理,因此非常重要的是確保這些順序處理對通信開銷沒有負(fù)面貢獻(xiàn)�����。Siemens的SCALANCE S提供了具有用以在PLC集合當(dāng)中保護(hù)通信量�����、數(shù)據(jù)和網(wǎng)絡(luò) 活動的特征的安全性模塊。905U-G無線網(wǎng)關(guān)在借助于幾個FIELDBUS Modbus,DFUProfibus DP��、Modbus TCP和以太網(wǎng)TCP/IP網(wǎng)絡(luò)相連的幾個現(xiàn)場設(shè)備之間提供安全交互�。已經(jīng)提出 了諸如Pine Key產(chǎn)品的安全登錄設(shè)備以用于設(shè)備級別的通信。已經(jīng)提出了 Tofino安全性 解決方案以保護(hù)用在自動化中的系統(tǒng)免于多種攻擊�。這些產(chǎn)品和解決方案沒有合并諸如廣 播通信或設(shè)備級別冗余度的特征。此外��,這些產(chǎn)品的實現(xiàn)方式?jīng)]有明確要求使用FPGA或 ASIC���。Eagle_Fff_MM_SCTX防火墻提供了設(shè)備級別冗余度����,Inominate Mguard防火墻被實現(xiàn) 在FPGA/ASIC平臺上���,但是這些特征被保持與諸如協(xié)議獨立性之類的其他特征分離�����。W02006074436公開了一種用于工業(yè)系統(tǒng)的防火墻方法和設(shè)備���,其中利用多種協(xié) 議相連的自動化設(shè)置中的聯(lián)網(wǎng)設(shè)備利用一種雙分組協(xié)議進(jìn)行交互�����。EP1496664公開了一 種用于把用戶的訪問固定到自動化系統(tǒng)的至少一個自動化組件的系統(tǒng)��、方法和安全性模 塊��,其中提出一種保險設(shè)備���,其被放置在自動化網(wǎng)絡(luò)內(nèi)以便為借助于所述網(wǎng)絡(luò)相連的組件提供安全性。在該專利中��,受到保護(hù)的網(wǎng)絡(luò)結(jié)構(gòu)不同于本發(fā)明�����。在EP1496664中�����,所述保 險設(shè)備似乎是利用實施在該保險設(shè)備中的預(yù)先定義的訪問控制規(guī)則來限制對設(shè)備的訪問�。 US2007006292公開了一種用于在數(shù)據(jù)處理設(shè)備���、相應(yīng)的計算機程序產(chǎn)品以及相應(yīng)的計算機 可讀存儲介質(zhì)之間進(jìn)行透明的數(shù)據(jù)通信量傳輸?shù)姆椒ê拖到y(tǒng)�,其中使用被實現(xiàn)為防火墻或 代理的系統(tǒng)在自動化網(wǎng)絡(luò)內(nèi)提供安全性。該專利提出插入計算機以作為在各互連組件之間 遞送數(shù)據(jù)的管道�����,其中所述系統(tǒng)是僅有的安全性設(shè)備�。本發(fā)明提出使用分別處于一個交換 數(shù)據(jù)的數(shù)據(jù)處理設(shè)備上的兩個嵌入式設(shè)備。
發(fā)明概要本發(fā)明的目的是提供一種用于在自動化系統(tǒng)內(nèi)提供安全性的框架����,其中集成有被 稱作安全性插件(security plug)的設(shè)備來提供對于所述自動化系統(tǒng)的安全工作所需的功 能。所述安全性插件是利用ASIC/FPGA技術(shù)實現(xiàn)的����,以便提供與現(xiàn)有系統(tǒng)的兼容性。本發(fā) 明的系統(tǒng)通過提供具有最小傳輸?shù)却龝r間的實時體系結(jié)構(gòu)而解決了對于自動化網(wǎng)絡(luò)而言 至為關(guān)鍵的抖動敏感性問題��。本發(fā)明的系統(tǒng)具有以下特征通過解決諸如對于網(wǎng)絡(luò)通信量的竊聽以及未經(jīng)授權(quán)的訪問或修改的攻擊來實現(xiàn) 安全通信�。本發(fā)明是基于以太網(wǎng)的并且將安全性服務(wù)層疊在以太網(wǎng)協(xié)議上以確保容易集成 到現(xiàn)有網(wǎng)絡(luò)中。協(xié)議獨立性連同廣播支持成為本發(fā)明的標(biāo)志��。此外�����,本發(fā)明的系統(tǒng)非?����??靠,并且為在所述系統(tǒng)內(nèi)實現(xiàn)安全性的關(guān)鍵組件中提供冗余度作好準(zhǔn)備�。在本發(fā)明中所提 出的框架給出了所述安全性插件的多種使用模式、多種引導(dǎo)(bootstrapping)技術(shù)以及改 變會話密鑰服務(wù)器位置���,以便提供包含自動化網(wǎng)絡(luò)內(nèi)的多種場景的多種環(huán)境和配置���。本發(fā)明的另一個目的是提供一種用于在自動化網(wǎng)絡(luò)上安全傳輸數(shù)據(jù)的方法,其獨 立于協(xié)議�、實時、對抖動敏感并且可靠�����。通過最小化傳輸?shù)却龝r間��,本發(fā)明的方法能夠解決 自動化網(wǎng)絡(luò)的特定挑戰(zhàn)��,其中輕量型協(xié)議的框架對于適用于這些自動化網(wǎng)絡(luò)的響應(yīng)時間協(xié) 同作用��。附圖簡述
圖1示出了自動化網(wǎng)絡(luò)中的互連組件的總體布局�。圖2示出了本發(fā)明的安全性插件�����,其被放置用來在所述網(wǎng)絡(luò)內(nèi)提供安全通信。圖3示出了本發(fā)明的框架�。圖4示出了外部密鑰服務(wù)器的高級別方框圖。圖5示出了內(nèi)部密鑰服務(wù)器的高級別方框圖�。圖6描繪了所述安全性插件上的密鑰管理。
圖7示出了利用統(tǒng)一的引導(dǎo)信道的安全性插件體系結(jié)構(gòu)�。優(yōu)選實施例的詳細(xì)描述圖1示出了自動化網(wǎng)絡(luò)中的互連組件的總體布局。包括操作員站1�����、3和工程站2 在內(nèi)的多個組件通過控制網(wǎng)絡(luò)4連接到自動化網(wǎng)絡(luò)橋接器5�����。該橋接器5還連接到自動化 網(wǎng)絡(luò)6�����,該自動化網(wǎng)絡(luò)6將在多個現(xiàn)場網(wǎng)絡(luò)10����、11、12上操作的幾個控制器7���、8��、9互連�,所述 現(xiàn)場網(wǎng)絡(luò)10、11�、12連接到一些現(xiàn)場設(shè)備13、遠(yuǎn)程IO設(shè)備14以及智能電子設(shè)備(IED) 17�����。 本發(fā)明提出一種按照獨立于協(xié)議的方式為不同的自動化和現(xiàn)場網(wǎng)絡(luò)上的實時�����、抖動敏感的 通信提供安全性的系統(tǒng)����、設(shè)備和方法,這是通過設(shè)計使用現(xiàn)場可編程門陣列(FPGA)或?qū)S眉呻娐?ASIC)來實現(xiàn)高速計算的體系結(jié)構(gòu)而實現(xiàn)的��。所述體系結(jié)構(gòu)必需高效以便支持/適應(yīng)不同的密鑰管理方案�����、密碼算法以及通信協(xié)議�����。圖2示出了本發(fā)明的安全性插件��,其被放置用于在所述網(wǎng)絡(luò)內(nèi)提供安全通信��。在 本發(fā)明的系統(tǒng)中�,出于安全性原因在所述自動化網(wǎng)絡(luò)中引入兩種新組件,即一個或更多安 全性插件以及一個或更多密鑰服務(wù)器����。在圖2中,操作員站20��、22和工程站21通過單獨的 管道(即所述安全性插件24)由控制網(wǎng)絡(luò)23互連��。此外還存在一個或更多會話密鑰服務(wù) 器27以及備用會話密鑰服務(wù)器28��,以便提供安全通信�。應(yīng)當(dāng)注意到,當(dāng)本發(fā)明的系統(tǒng)中的 兩個組件安全地交互時����,需要兩個安全性插件,其分別處于每一個通信組件上。舉例來說��, 圖2示出了控制網(wǎng)絡(luò)23與自動化網(wǎng)絡(luò)19之間通過自動化網(wǎng)絡(luò)橋接器29進(jìn)行的通信���。在 這種情況下����,放置兩個安全性插件24以便在所述兩個網(wǎng)絡(luò)之間實現(xiàn)這種通信����。圖3示出了本發(fā)明的框架,其提出了對于安全性插件30�����、密鑰服務(wù)器31以及引導(dǎo) 技術(shù)32的幾種操作模式����。所述安全性插件可以被使用在不同模式下,比如內(nèi)部模式33���,在 該模式下可以把所述安全性插件集成放置到網(wǎng)絡(luò)節(jié)點中���,從而使得該模塊仍然串連在該網(wǎng) 絡(luò)節(jié)點與所述網(wǎng)絡(luò)之間。在這種情況下��,將把所述安全性插件硬件集成到將要提供的網(wǎng)絡(luò) 元件中即操作員站���、工程站���、控制器、現(xiàn)場設(shè)備等等�。此外還可以使用外部模式34,在該模 式下可以把所述安全性插件串連放置在網(wǎng)絡(luò)節(jié)點與所述網(wǎng)絡(luò)之間��,從而支持舊有系統(tǒng)����。此 外還可以使用混合模式35,該混合模式35是內(nèi)部操作模式與外部操作模式的組合����。可以 把所述會話密鑰服務(wù)器31放置在所述安全性插件的內(nèi)部36�,其中每一個安全性插件可以 是主密鑰服務(wù)器(key server master),或者也可以將其放置在所述安全性插件的外部37���, 其中所述自動化系統(tǒng)具有明確定義的密鑰服務(wù)器機器�����,其可以具有備份密鑰服務(wù)器會話機 器�,從而提供冗余度并且分布故障點。所述安全性插件的體系結(jié)構(gòu)將支持通信設(shè)備群組的 動態(tài)形成����,其中設(shè)備可以在任何時間點決定進(jìn)入或離開群組,但是將必須向存在于所述網(wǎng) 絡(luò)內(nèi)的會話密鑰服務(wù)器通知其動作�。所述會話密鑰服務(wù)器的功能將是建立/重建參與方當(dāng) 中的共同秘密(新會話密鑰的初始化)以便安全地通信。所述會話密鑰被用來為網(wǎng)絡(luò)通信 量提供安全性����。所述會話密鑰服務(wù)器將負(fù)責(zé)控制所述群組動態(tài)并且相應(yīng)地建立會話密鑰。 此外還提供備用會話密鑰服務(wù)器以應(yīng)對主會話密鑰服務(wù)器由于任何原因停止運作的情況��。 所述主密鑰引導(dǎo)技術(shù)32還可以被稱作密鑰管理�����?����?梢岳脙煞N模式40將所述引導(dǎo)信息初 始化到所述自動化網(wǎng)絡(luò)中的所有安全性插件上���。相同的通信信道被用于諸如以太網(wǎng)38的 正常通信���。此外還有可能將預(yù)備的專用通信信道39僅用于引導(dǎo)所述安全性插件的目的。會 影響具有不同通信接口的決定的主要因素將是所述引導(dǎo)動作所花費的時間����。如果要被引導(dǎo) 的設(shè)備的數(shù)目很多,則應(yīng)當(dāng)使用專用的快速且高效的通信信道��?��;谝龑?dǎo)的時間41�,有兩種 可能的密鑰管理技術(shù)類型�����,其中包括制造時密鑰管理42��,其中在把所述安全性插件運送 給顧客之前對密鑰進(jìn)行初始化��;以及安裝時密鑰管理43��,其中在所述安全性插件的安裝及 試運轉(zhuǎn)期間對密鑰進(jìn)行初始化�。圖4示出了安全性插件45的高級別方框圖�����。整個安全性邏輯46合并有幾個組件 比如密鑰管理模塊47��、廣播密鑰建立模塊48����、保密性模塊49以及完整性模塊50���。所述安 全性插件45還包括帶有輸入引導(dǎo)線53的安全性引導(dǎo)通信邏輯52以及帶有引入線(lines going in)55和引出線(lines going out) 56的通信邏輯54��。所述密鑰管理模塊47負(fù)責(zé) 存儲可以從所述安全性插件中的安全性引導(dǎo)通信邏輯52獲得的安全性引導(dǎo)信息�����。其還負(fù)責(zé)為所述安全性插件中的其他模塊提供必要的接口以便獲取所述安全性引導(dǎo)信息�。所述廣 播密鑰建立模塊48負(fù)責(zé)使用所述長期安全性引導(dǎo)信息來生成短期會話密鑰�,并且利用所 述保密性模塊49、完整性模塊50�、通信邏輯54以及流程管理模塊51的服務(wù)來分發(fā)所述短 期會話密鑰。所述保密性模塊49提供用于對數(shù)據(jù)進(jìn)行加密及解密的接口��。所述完整性模 塊50提供用于生成及檢驗數(shù)據(jù)的安全性校驗和的接口��。這些服務(wù)49和50將由所述廣播 密鑰建立模塊48和流程管理模塊51來使用。所述流程管理模塊51確保所述安全性插件 45中的數(shù)據(jù)流和操作控制����,并且還負(fù)責(zé)控制所述各模塊以及將它們彼此連接。所述引導(dǎo)通 信邏輯52提供近場通信信道�,其可以由所述密鑰管理設(shè)備使用來在所述安全性插件上執(zhí) 行密鑰管理操作。密鑰管理者應(yīng)當(dāng)使用所述密鑰管理設(shè)備�。在理想情況下��,該模塊應(yīng)當(dāng)提 供諸如藍(lán)牙的近場通信或者具有短的物理連線的受到物理保護(hù)的通信信道���。這是為了確保 對所述設(shè)備的物理訪問對于執(zhí)行所述密鑰管理操作具有根本上的重要性�����。所述通信邏輯54 為所述流程管理模塊51提供數(shù)據(jù)接口��,以便與諸如IP���、以太網(wǎng)、無線LAN�、基金會現(xiàn)場總線 (Foundation Fieldbus)、Modbus等等之類的任何物理介質(zhì)進(jìn)行交互�。為了在恰好處于通 信棧的物理層之上的鏈路級工作�,需要具有下列屬性的安全性插件體系結(jié)構(gòu)��。
1���、(利用現(xiàn)場可編程門陣列(FPGA)或?qū)S眉呻娐?ASIC))所述體系結(jié)構(gòu)的這 一屬性將促進(jìn)最小抖動的�����、實時的且安全的通信�����。2����、(廣播通信安全性)由于以太網(wǎng)協(xié)議固有地支持廣播通信��,因此很重要的是所 述安全性體系結(jié)構(gòu)支持廣播通信的認(rèn)證[3]�。這一特征對于實現(xiàn)協(xié)議獨立性而言至關(guān)重要。 這一屬性實質(zhì)上將包括廣播密鑰管理機制和廣播消息認(rèn)證機制����。所述廣播密鑰管理機制將 要求在所述安全性插件中可獲得適當(dāng)形式的保密性機制[3]。利用基于FPGA/ASIC的技術(shù)來實現(xiàn)所述安全性插件的做法不會在通信中引入抖 動,因為所述系統(tǒng)僅僅執(zhí)行其被編程來執(zhí)行的專用功能�,并且不會像微處理器的情況那樣 出現(xiàn)資源競爭問題。使用FPGA并不會消除抖動�,但是當(dāng)RTOS運行在基于FPGA/CPU的系統(tǒng) 上時會顯著減少抖動。在上面的方框圖中描繪的引入線55和引出線56可以使用串行或并行I/O操作��。 所述安全性插件的協(xié)議獨立性是通過把所述安全性邏輯層疊到不同的通信邏輯平臺上的 能力而實現(xiàn)的�。所述體系結(jié)構(gòu)被設(shè)計成滿足自動化網(wǎng)絡(luò)的要求,其中包括實時通信�����、可靠性 以及容錯性���。所述體系結(jié)構(gòu)的各組件的功能應(yīng)當(dāng)如下所述安全性插件的體系結(jié)構(gòu)還規(guī)定每一個安全性插件充當(dāng)會話密鑰服務(wù)器。在這 種情況中���,將在各參與設(shè)備當(dāng)中執(zhí)行特殊的協(xié)議以便選擇主密鑰服務(wù)器����,主密鑰服務(wù)器將 負(fù)責(zé)生成及建立該群組的其他成員之間的會話密鑰�����。所述網(wǎng)絡(luò)中的所有其他具有內(nèi)部密鑰 服務(wù)器的安全性插件以及所識別出的其他密鑰服務(wù)器都應(yīng)充當(dāng)備用����。在網(wǎng)絡(luò)啟動期間或者 在已經(jīng)識別出的主密鑰服務(wù)器發(fā)生故障的情況下應(yīng)當(dāng)使用一種特殊協(xié)議來選擇所述主密 鑰服務(wù)器���。具有內(nèi)部密鑰服務(wù)器的安全性插件的高級別方框圖如圖5中所示。在該布局中����, 密鑰服務(wù)器模塊57處于所述安全性插件的內(nèi)部。圖6描繪了所述安全性插件上的密鑰管理����。一個或更多安全性插件61通過不安全 通信信道65、66��、67�、68相連。這些安全性插件與密鑰管理設(shè)備69進(jìn)行交互�����,所述密鑰管理 設(shè)備69通過被用于安全引導(dǎo)的受信任信道70����、71、72、73與所述安全性插件61進(jìn)行交互����。 在制造階段或安裝階段期間被初始化的密鑰可以被稱作主密鑰。所述主密鑰是長期密鑰����,該長期密鑰隨后將被用來導(dǎo)出會話密鑰,所述會話密鑰將被用于保護(hù)設(shè)備之間的通信���。圖7示出了利用統(tǒng)一的引導(dǎo)信道而沒有額外的引導(dǎo)引入線的安全性插件體系結(jié) 構(gòu)�����。參考文獻(xiàn)[1] Jason M. AgronScheduling Support forHybrid CPU/ FPGA SoCs (對于混合 CPU/FPGA SoC 的運行時間調(diào)度支持)"(University of Kansas, 2006 年)° 本文可以在 http / / www, ittc. ku. edu/research/thesis/documents/ iason aRron,
thesis. Ddf處獲得�����。最后訪問2006年11月20日。[2]Loria-Inria 的 Ghassan ChaddoucU Isabelle Chrisment����、AndreSchaff 的 "Dynamic Group Communication Security (動態(tài)群組通信安全性),��,(iscc,ρ· 0049����,Sixth IEEE Symposium on Computers andCommunications(ISCC' 01),2001年)��。[3]互聯(lián)網(wǎng)工程任務(wù)組的“Multicast Security Working Group (多點傳送安全 性工作組)”��。最后修改2006年 1月12日����。本文可以在http://www. ietf. org/html, charters/msec-charter. html 處獲得。最后訪問2006 年 11 月 20 日���。[4]Kapali Viswanathan���、Colin BoycUEd Dawson 的"An Analysisof Integrity Services in Protocols (關(guān)于協(xié)議中的完整性服務(wù)的分析)”(IND0CRYPT,2001����,第175-187 頁,Lecture Notes in ComputerScience�,2247 卷,ISBN 3-540-43010—5��,2001 年)。
權(quán)利要求
一種在用于自動化網(wǎng)絡(luò)的以太網(wǎng)上提供廣播通信安全性的系統(tǒng)��,所述自動化網(wǎng)絡(luò)可以是有線的或無線的或者是有線與無線技術(shù)的組合����,并且所述自動化網(wǎng)絡(luò)包括諸如工業(yè)控制器、現(xiàn)場設(shè)備���、連接性服務(wù)器����、操作員工作站以及工程站的多個自動化組件��,所述系統(tǒng)包括a���、作為基于以太網(wǎng)并且獨立于應(yīng)用協(xié)議的設(shè)備的安全性插件�,其合并有用于在連接到所述自動化網(wǎng)絡(luò)上的任意自動化組件集合之間提供廣播通信安全性的機制����;以及b、廣播密鑰服務(wù)器��,其向所述安全性插件分發(fā)密鑰以便安全地通信���;以及c�����、用來在安全性插件之間執(zhí)行初始化以及密鑰管理的引導(dǎo)裝置�����。
2.權(quán)利要求1的系統(tǒng)��,其中��,可以利用以下模式來布置所述安全性插件a�����、內(nèi)部模式����,其中所述安全性插件與自動化組件集成地被放置��,從而在所述安全性插 件��、所述自動化組件以及所述自動化網(wǎng)絡(luò)之間存在串行連接���;b�����、外部模式��,其中所述安全性插件被串連放置在所述自動化組件與所述自動化網(wǎng)絡(luò)之 間���;以及c�、混合模式�����,所述混合模式是內(nèi)部模式與外部模式的組合�。
3.權(quán)利要求1的系統(tǒng),其中��,所述密鑰服務(wù)器可以被放置在所述安全性插件的內(nèi)部或 外部�。
4.權(quán)利要求1的系統(tǒng),其中�����,所述引導(dǎo)裝置用來建立主密鑰或長期密鑰��,所述主密鑰或 長期密鑰被用來導(dǎo)出用于通信實體的會話密鑰或短期密鑰��,所述引導(dǎo)裝置包括針對以下情 況的多種選項a�����、引導(dǎo)模式�,其中能夠使用(a)單獨的通信信道或者(b)集成的通信信道來引導(dǎo)所述 設(shè)備;以及b�、引導(dǎo)時間,其中(a)在制造時配置所述主密鑰或者(b)在安裝或試運轉(zhuǎn)期間配置所 述主密鑰���。
5.權(quán)利要求1的系統(tǒng)���,其中,通過廣播密鑰建立和廣播數(shù)據(jù)安全性來支持廣播通信安 全性��。
6.權(quán)利要求5的系統(tǒng)���,其中����,所述廣播密鑰建立機制將包括保密性和完整性機制�����。
7.權(quán)利要求5的系統(tǒng),其中�����,通過單次廣播密鑰建立來使能按照單點傳送�����、多點傳送或 廣播方式進(jìn)行的安全通信���。
8.權(quán)利要求1的系統(tǒng)����,其中�,所述安全性插件具有兩個操作階段,其中包括a��、廣播密鑰建立���,其中i�����、所述密鑰服務(wù)器模塊發(fā)送及接收關(guān)于把多個密鑰服務(wù)器當(dāng)中的一個識別為主密鑰 服務(wù)器的確定消息���;ii����、所述主密鑰服務(wù)器在所有安全性插件之間生成并建立所述會話密鑰����;iii�、所述廣播密鑰建立模塊利用所述保密性模塊和完整性模塊來向所述網(wǎng)絡(luò)中的所 有安全性插件發(fā)送密鑰建立消息,其中���,密鑰管理模塊的責(zé)任是把用于所述完整性和保密 性模塊的必要的長期密鑰加載到所述廣播密鑰建立模塊上����,從而使得所述保密性和完整性 模塊不能并且不會與所述流程控制模塊進(jìn)行通信�����,所有通信都由所述廣播密鑰建立模塊發(fā) 送及接收����;iv���、利用最新的主密鑰和初始化矢量來更新所述密鑰管理模塊;V�����、通過所述廣播密鑰建立模塊把所述會話密鑰加載到所述完整性模塊和保密性模塊上��;Vi�、所述安全性插件接收來自所述主密鑰服務(wù)器的消息并且應(yīng)用與所述主密鑰服務(wù)器 相反/相同的必要的密碼處理,并且檢驗發(fā)送方的安全性請求�����;vii����、一旦接收到來自所述主密鑰服務(wù)器的激活信號,則將所述會話密鑰加載到所述保 密性模塊和完整性模塊上��,并且還在所述密鑰管理模塊中對其進(jìn)行更新�;以及b、安全通信���,其中由所述保密性模塊和完整性模塊直接處理接收自所述控制器的消肩�、O
9 權(quán)利要求1的系統(tǒng),其中����,利用現(xiàn)場可編程門陣列來實現(xiàn)所述安全性插件。
10.權(quán)利要求1的系統(tǒng)����,其中,利用專用集成電路來實現(xiàn)所述安全性插件����。
11.一種用于在自動化網(wǎng)絡(luò)中提供實時��、可靠��、安全的通信的設(shè)備�,所述自動化網(wǎng)絡(luò)可 以是有線的或無線的或者是有線與無線技術(shù)的組合,并且所述自動化網(wǎng)絡(luò)包括多個自動化 組件�,所述自動化組件比如是通過與多個控制器、現(xiàn)場設(shè)備以及智能電子設(shè)備進(jìn)行交互的 控制網(wǎng)絡(luò)來連接的連接性服務(wù)器���、操作員工作站以及工程站�,所述用于在自動化網(wǎng)絡(luò)中提 供實時、可靠�����、安全的通信的設(shè)備包括a�����、合并有幾個組件的安全性邏輯��,其中包括i���、密鑰管理模塊����;ii�����、廣播密鑰建立模塊��;iii��、保密性模塊���;以及iv����、完整性模塊;b��、以太網(wǎng)通信邏輯��,其包括i��、安全性引導(dǎo)通信邏輯�����;以及ii��、通信邏輯����。
12.權(quán)利要求11的設(shè)備���,其包括流程管理模塊�,該流程管理模塊確保所述數(shù)據(jù)流和操 作控制��,并且還負(fù)責(zé)控制所述各模塊以及將它們彼此連接。
13.權(quán)利要求11的設(shè)備���,其包括a�、合并有幾個組件的安全性邏輯�����,其中包括 i�、密鑰服務(wù)器模塊。
14.權(quán)利要求11的設(shè)備�,其中,所述安全性和通信邏輯可以被安放在統(tǒng)一的或相異的 硬件基板上�。
15.權(quán)利要求11的設(shè)備,其中���,所述安全性邏輯的組件可以被安放在統(tǒng)一的或相異的 硬件基板上���。
16.權(quán)利要求11的設(shè)備,其中a�、所述密鑰管理模塊存儲能夠從所述安全性插件中的安全性引導(dǎo)通信邏輯獲得的安 全性引導(dǎo)信息,并且為所述安全性插件中的其他模塊提供必要的接口以便獲取所述安全性 引導(dǎo)信息�����;b、所述廣播密鑰建立模塊使用長期安全性引導(dǎo)信息來生成短期會話廣播密鑰��,并且利 用所述通信邏輯����、保密性模塊、完整性模塊以及流程管理模塊的服務(wù)來分發(fā)所述短期會話 廣播密鑰��;C���、所述保密性模塊提供用于對數(shù)據(jù)進(jìn)行加密及解密的接口�����,并且由所述廣播密鑰建立模塊和流程管理模塊來使用�;d����、所述完整性模塊提供用于生成及檢驗數(shù)據(jù)的安全性校驗和的接口�,該服務(wù)將由所述 廣播密鑰建立模塊和流程管理模塊來使用;以及e����、所述流程管理模塊確保所述安全性插件中的數(shù)據(jù)流和操作控制����,并且還負(fù)責(zé)控制各 個模塊以及將它們彼此連接���;f�����、所述安全性引導(dǎo)通信邏輯提供近場通信信道或受到物理保護(hù)的通信信道����,其可以由 所述密鑰管理設(shè)備使用來在所述安全性插件上執(zhí)行密鑰管理操作��;g����、所述通信邏輯負(fù)責(zé)為所述流程管理模塊提供數(shù)據(jù)接口,以便與任何物理介質(zhì)進(jìn)行交互�。
17.權(quán)利要求11的設(shè)備,其中�����,所述安全性引導(dǎo)通信邏輯提供諸如藍(lán)牙的近場通信或 者具有物理連線的受到物理保護(hù)的通信信道���。
18.權(quán)利要求11的設(shè)備����,其中,所述通信邏輯可以與諸如IP�����、以太網(wǎng)����、無線LAN、基金會 現(xiàn)場總線����、Modbus的協(xié)議以及操作在以太網(wǎng)上的任何協(xié)議進(jìn)行交互。
19.權(quán)利要求11的設(shè)備��,其中����,所述保密性模塊可以被實施為執(zhí)行利用任何已知分組 密碼的方法,其中所述分組密碼包括AES����、TDES, DES、Blowfish等等���。
20.權(quán)利要求11的設(shè)備����,其中���,可以利用諸如MD5���、SHAl和SHA2的哈希函數(shù)以及諸如 HMAC, NMAC, CMAC, UMAC或CBC-MAC的消息認(rèn)證代碼來實施所述完整性模塊。
21.權(quán)利要求11的設(shè)備����,其中,利用經(jīng)過認(rèn)證的加密技術(shù)來實施所述完整性模塊和保 密性模塊����,其中包括使用GCM、EAX�����、OCB和CCM。
22.權(quán)利要求11的設(shè)備�����,其包括兩個操作階段�,其中包括a、廣播密鑰建立����,其中i、所述密鑰服務(wù)器模塊發(fā)送及接收關(guān)于把多個密鑰服務(wù)器當(dāng)中的一個識別為主密鑰 服務(wù)器的確定消息���;i i����、所述主密鑰服務(wù)器在所有安全性插件之間生成并建立所述會話密鑰�;iii、所述廣播密鑰建立模塊利用所述保密性模塊和完整性模塊來向所述網(wǎng)絡(luò)中的所 有安全性插件發(fā)送密鑰建立消息����,其中,密鑰管理模塊的責(zé)任是把用于所述完整性和保密 性模塊的必要的長期密鑰加載到所述廣播密鑰建立模塊上��,從而使得所述保密性和完整性 模塊不能并且不會與所述流程控制模塊進(jìn)行通信�����,所有通信都由所述廣播密鑰建立模塊來 發(fā)送及接收;iv�����、利用最新的主密鑰和初始化矢量來更新所述密鑰管理模塊�;V���、通過所述廣播密鑰建立模塊把所述會話密鑰加載到所述完整性模塊和保密性模塊上�����;Vi���、所述安全性插件接收來自所述主密鑰服務(wù)器的消息并且應(yīng)用與所述主密鑰服務(wù)器 相同的必要的密碼處理,并且檢驗發(fā)送方的安全性請求����;vii、一旦接收到來自所述主密鑰服務(wù)器的激活信號�,將所述會話密鑰加載到所述保密 性模塊和完整性模塊上,并且還在所述密鑰管理模塊中對其進(jìn)行更新��;以及b、安全通信��,其中由所述保密性模塊和完整性模塊直接處理接收自所述控制器的消息O
23.權(quán)利要求11的設(shè)備�����,其利用單點傳送�、多點傳送和廣播通信支持安全的通信。
24.一種用于在自動化網(wǎng)絡(luò)中提供實時���、可靠��、安全的通信的方法��,所述自動化網(wǎng)絡(luò)可 以是有線的或無線的或者是有線與無線技術(shù)的組合并且包括多個自動化組件����,所述自動化 組件比如是通過與多個控制器���、現(xiàn)場設(shè)備以及智能電子設(shè)備進(jìn)行交互的控制網(wǎng)絡(luò)來連接的 操作員工作站以及工程站�����,并且與利用在權(quán)利要求1的系統(tǒng)中概述的多種模式相連的(a) 一個或更多安全性插件以及(b) —個或更多密鑰服務(wù)器集成地耦合���,所述方法包括以下步 驟i�、利用針對以下情況的多種選項進(jìn)行引導(dǎo)ii��、密鑰建立�;以及iii、安全通信��,其中由所述保密性模塊和完整性模塊直接處理接收自所述控制器的消肩���、ο
25.權(quán)利要求24的方法,其中��,所述引導(dǎo)步驟包括在以下選項之間進(jìn)行選擇的步驟i�、引導(dǎo)模式,其中可以使用(a)單獨的通信信道或者(b)集成的通信信道來引導(dǎo)所述 設(shè)備���;以及ii���、引導(dǎo)時間,其中(a)在制造時配置所述主密鑰或者(b)在安裝或試運轉(zhuǎn)期間配置所 述主密鑰��。
26.權(quán)利要求24的方法��,其中,所述密鑰建立步驟包括以下步驟i����、所述密鑰服務(wù)器模塊發(fā)送及接收關(guān)于把存在于所有安全性插件中的密鑰服務(wù)器中 的一個選擇為主插件的確定信息;ii��、所述主插件在所有安全性插件之間生成并建立所述會話密鑰����;iii、所述廣播密鑰建立模塊利用所述保密性模塊和完整性模塊來向所述網(wǎng)絡(luò)中的所 有安全性插件發(fā)送密鑰建立消息�,其中,密鑰管理模塊的責(zé)任是把用于所述完整性和保密 性模塊的必要的長期密鑰加載到所述廣播密鑰建立模塊上�����,從而使得所述保密性和完整性 模塊不能并且不會與所述流程控制模塊進(jìn)行通信����,并且所有通信都由所述廣播密鑰建立模 塊發(fā)送及接收;iv��、利用最新的主密鑰和初始化矢量來更新所述密鑰管理模塊�;V、通過所述廣播密鑰建立模塊把所述會話密鑰加載到所述完整性模塊和保密性模塊上�;vi�����、被標(biāo)明為從屬插件的其他安全性插件接收來自所述主插件的消息并且應(yīng)用與所述 主插件相同的必要的密碼處理����,并且檢驗發(fā)送方的安全性請求����;vii、一旦接收到來自所述主插件的激活信號���,把所述會話密鑰加載到所述保密性模塊 和完整性模塊上并且還在所述密鑰管理模塊中對其進(jìn)行更新。
27.權(quán)利要求24的方法���,其利用單點傳送�����、多點傳送和廣播通信支持安全的通信��。
全文摘要
本發(fā)明提供一種用于在自動化系統(tǒng)內(nèi)的以太網(wǎng)上提供廣播通信安全性的框架���、設(shè)備和方法����,其中集成有安全性插件以便提供對于所述自動化系統(tǒng)的安全工作而言所必需的功能���。利用ASIC/FPGA技術(shù)實施所述安全性插件���,以便提供與現(xiàn)有系統(tǒng)的兼容性并且提供直觀的即插即用模型。本發(fā)明的系統(tǒng)通過提供一種具有最小傳輸?shù)却龝r間的實時體系結(jié)構(gòu)來解決對于自動化網(wǎng)絡(luò)至關(guān)重要的抖動敏感性問題���。本發(fā)明的安全性插件具有單獨的安全性和通信模塊�,其規(guī)定所述安全性插件在所述網(wǎng)絡(luò)內(nèi)的獨立于協(xié)議的工作�。本發(fā)明的方法包括引導(dǎo)步驟、密鑰建立步驟和安全通信步驟��,從而提供了實時保證��。
文檔編號H04L9/08GK101843033SQ200780101292
公開日2010年9月22日 申請日期2007年8月28日 優(yōu)先權(quán)日2007年8月28日
發(fā)明者A·戈帕蘭, K·維斯瓦納桑, W·韋斯 申請人:Abb研究有限公司