專利名稱:過程裝置網(wǎng)絡(luò)入侵檢測和預(yù)防的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及過程控制技術(shù)�����,具體地講���,涉及一種過程通信設(shè)備和提供過程通信保護(hù)的方法�。
背景技術(shù):
現(xiàn)代過程裝置用于提供和/或制造日常使用的各種產(chǎn)品和材料����。這樣的過程裝置的示例包括煉油裝置、制藥裝置、化學(xué)加工裝置����、紙漿和其他加工裝置。在這樣的裝置中����,過程控制和測量網(wǎng)絡(luò)可以包括成千甚至上萬的各種與控制室通信并且有時(shí)彼此通信的現(xiàn)場設(shè)備,以控制過程����。考慮到給定現(xiàn)場設(shè)備中的故障可能使過程不受控制�����,現(xiàn)場設(shè)備的物理特性以及電通信通常遵守嚴(yán)格的規(guī)范���。傳統(tǒng)上����,給定的過程裝置中的現(xiàn)場設(shè)備通常能夠經(jīng)由有線連接通過過程控制環(huán)或段與控制室和/或其他現(xiàn)場設(shè)備通信��。有限過程通信協(xié)議的示例以高速通道可尋址遠(yuǎn)程換能器(πλιγΓ)協(xié)議最為知名��。tmirr 通信是在過程工業(yè)中使用的主要通信協(xié)議之一。最近�,已經(jīng)可以(并且在某些情況下潛在地期望)允許過程裝置接入互聯(lián)網(wǎng)。雖然這樣的特征提供了從近乎世界上任意相連計(jì)算機(jī)與過程裝置交互的能力�����,但該特征還為惡意實(shí)體(如黑客)提供了在未前往過程裝置物理位置的情況下嘗試影響過程裝置的潛在可能��。關(guān)于過程裝置的另一近期發(fā)展是無線通信的使用�����。由于不再需要向各種現(xiàn)場設(shè)備提供長距離線路����,這樣的無線通信使過程裝置得到了簡化�。此外,基于傳統(tǒng)ΠΛΚΤ 協(xié)議擴(kuò)展出一種這樣的無線協(xié)議 Wireles sHART (IEC62591)�����,WirelessHART (IEC 62591)提供顯著提供的數(shù)據(jù)傳輸速率�。例如,WirelessHART支持高達(dá)250Kbps的通信����。無線丨ΙΛΚ'Γ規(guī)范的相關(guān)部分包括HCF_Spec 13����,版本7. O ���;HART規(guī)范65-無線物理層規(guī)范�;HART規(guī)范75-TDMA數(shù)據(jù)鏈路層規(guī)范(TDMA指時(shí)分多址)��;HART規(guī)范85-網(wǎng)絡(luò)管理規(guī)范����;HART規(guī)范155-無線命令規(guī)范;以及HART規(guī)范290-無線設(shè)備規(guī)范�����。雖然無線通信針對(duì)過程裝置提供了多種優(yōu)勢(shì)���,但無線通信也允許在物理上與過程裝置臨近的設(shè)備潛在地占用并影響無線通信網(wǎng)絡(luò)����?���?紤]到過程裝置的新近連接����,目前極為重要的是保護(hù)過程通信免受惡意實(shí)體入侵和活動(dòng)的侵害��。這適用于可以連接至互聯(lián)網(wǎng)的過程裝置�����、采用無線過程通信的過程裝置���、或者對(duì)這兩種過程裝置都適用。相應(yīng)地��,向過程裝置提供在過程通信環(huán)上檢測和預(yù)防入侵的能力可以進(jìn)一步有助于確保依賴于過程通信的各種過程裝置的安全����。
發(fā)明內(nèi)容
一種過程通信設(shè)備,包括過程通信接口����,用于根據(jù)過程通信協(xié)議在過程通信環(huán)上通信?�?刂破黢罱又吝^程通信接口。規(guī)則存儲(chǔ)器耦接至控制器�,并且具有基于過程通信協(xié)議的至少一個(gè)過程通信分組規(guī)則?���?刂破鲗?duì)從過程通信接口接收到的至少一個(gè)過程通信分組應(yīng)用至少一個(gè)過程通信分組規(guī)則,并在過程通信分組不滿足至少一個(gè)過程通信分組規(guī)則時(shí)產(chǎn)生事件信息���。
圖1是根據(jù)本發(fā)明實(shí)施例的過程通信系統(tǒng)的示意圖��。圖2是本發(fā)明的實(shí)施例特別適用的過程通信和控制系統(tǒng)的示意圖����。圖3是本發(fā)明的實(shí)施例特別有用的另一過程通信和控制環(huán)境的示意圖����。圖4是根據(jù)本發(fā)明實(shí)施例的過程通信安全設(shè)備的示意圖。圖5是根據(jù)本發(fā)明實(shí)施例的�、在過程裝置中提供入侵檢測和預(yù)防的方法的流程圖。圖6是根據(jù)本發(fā)明另一實(shí)施例的�����、在過程裝置中提供入侵檢測和預(yù)防的方法的流程圖��。
具體實(shí)施例方式
本發(fā)明的實(shí)施例通常利用HARf協(xié)議(有線和無線)和/或HARTdH^備描述(DD)的監(jiān)測進(jìn)入過程通信環(huán)、離開過程通信環(huán)或者甚至針對(duì)異常穿過過程通信環(huán)的過程通信網(wǎng)絡(luò)業(yè)務(wù)的特定知識(shí)�����。雖然關(guān)于丨丨ΛΚ κ過程通信環(huán)對(duì)本發(fā)明的實(shí)施例進(jìn)行了一般性描述���,但能夠以支持端口設(shè)備描述的任意適當(dāng)?shù)倪^程通信協(xié)議來實(shí)現(xiàn)本發(fā)明的實(shí)施例����。||ΛΚΤΚ)協(xié)議具有由疊加在標(biāo)準(zhǔn)的4_20mA的模擬信號(hào)上的數(shù)字通信信號(hào)組成的混合物理層���。數(shù)據(jù)傳輸速率近似為1. 2Kbps/秒。HART 通信是過程工業(yè)中主要通信協(xié)議之一��。無線和有線HART 通信共享基本相似的應(yīng)用層����。此外,無線和有線HART 通信的命令內(nèi)容是相同的����。相應(yīng)地,雖然物理層可能有所變化���,在應(yīng)用層���,這兩個(gè)過程通信協(xié)議是極為相似的��。HART 網(wǎng)絡(luò)上以及通過HARTigl網(wǎng)絡(luò)的過程通信網(wǎng)絡(luò)安全是十分重要的����,并且由于HART 網(wǎng)絡(luò)業(yè)務(wù)目前能夠通過TCP/IP網(wǎng)絡(luò)以及無線網(wǎng)絡(luò)傳輸��,因此變得更加重要���。諸如明尼蘇達(dá)州查哈森市的愛默生過程管理公司銷售的名為1420型無線網(wǎng)關(guān)的設(shè)備已提供了一些網(wǎng)絡(luò)安全����。該設(shè)備提供以下能力對(duì)發(fā)送方和接收方進(jìn)行認(rèn)證��、驗(yàn)證數(shù)據(jù)有效�、對(duì)過程通信數(shù)據(jù)進(jìn)行加密、以及自動(dòng)管理加密密鑰的周期性改變��。雖然1420型提供的過程通信安全對(duì)現(xiàn)代過程通信網(wǎng)絡(luò)的價(jià)值是無法估量的�,總體而言,本發(fā)明的實(shí)施例通過利用關(guān)于HART 協(xié)議自身、HART 設(shè)備描述(DD)或其組合的附加知識(shí)�,建立在1420無線網(wǎng)關(guān)提供的安全性上。雖然本發(fā)明的實(shí)施例適用于可以利用過程通信的任意設(shè)備����,本發(fā)明的實(shí)施例優(yōu)選地實(shí)現(xiàn)在防火墻裝置、網(wǎng)關(guān)(如����,改進(jìn)的無線網(wǎng)關(guān))、或接入點(diǎn)型設(shè)備中�����。圖1是根據(jù)本發(fā)明實(shí)施例的過程通信系統(tǒng)10的示意圖���。系統(tǒng)10包括通過工廠局域網(wǎng)16相互通信耦接的工作站12和服務(wù)器14�。網(wǎng)絡(luò)16經(jīng)由局域網(wǎng)防火墻20耦接至互聯(lián)網(wǎng)18�����。局域網(wǎng)防火墻20是僅僅提供通過它的所選TCP/IP業(yè)務(wù)的公知設(shè)備����。在圖1所示的實(shí)施例中,過程通信安全設(shè)備22借助連接24耦接至工廠LAN 16��,還經(jīng)由端口 26耦接至設(shè)備l-η��。過程通信安全設(shè)備22保護(hù)過程通信段/環(huán)免受通過互聯(lián)網(wǎng)18和/或工廠LAN
16發(fā)起的惡意活動(dòng)的侵害�����。過程通信安全設(shè)備22內(nèi)的處理器執(zhí)行軟件指令���,所述軟件指令能夠接收一個(gè)或更多個(gè)過程通信分組����,并測試該分組是否滿足特別基于IIAKTu'過程通信規(guī)貝U���、設(shè)備描述要求或其組合的一個(gè)或更多個(gè)規(guī)則���。圖2是本發(fā)明的實(shí)施例尤其適用的過程通信和控制系統(tǒng)50的示意圖。多個(gè)工作站52��、54和56經(jīng)由工廠LAN 16耦接在一起���。此外�,無線過程通信網(wǎng)關(guān)58還經(jīng)由連接60耦接至LAN 16。圖2所示的配置是1420型智能無線網(wǎng)關(guān)操作的當(dāng)前環(huán)境����。網(wǎng)關(guān)58經(jīng)由Wireless丨|/\KT15通信與一個(gè)或更多個(gè)現(xiàn)場設(shè)備62通信。相應(yīng)地��,可以使用部署在網(wǎng)絡(luò)58內(nèi)的處理器或其他適當(dāng)?shù)目刂破鱽韺?shí)現(xiàn)本發(fā)明的實(shí)施例�。圖3是本發(fā)明的實(shí)施例尤其有用的另一過程通信和控制環(huán)境的示意圖。具體地講�,一個(gè)或更多個(gè)網(wǎng)關(guān)(l-n)70、72經(jīng)由設(shè)備74通信耦接���。每個(gè)網(wǎng)關(guān)能夠與一個(gè)或更多個(gè)接入點(diǎn)通信���。根據(jù)本發(fā)明的實(shí)施例,通過硬件����、軟件或其組合將接入點(diǎn)76之一配置為接收過程通信分組,并檢查過程通信分組以確定通信是否符合基于IIAKTie協(xié)議����、設(shè)備描述或其組合的一個(gè)或更多個(gè)規(guī)則��。接入點(diǎn)76偵聽無線網(wǎng)絡(luò)中的數(shù)據(jù),并在分組到達(dá)時(shí)對(duì)分組進(jìn)行檢查�。作為檢查的結(jié)果,可以跟蹤通信業(yè)務(wù)的特定方面(源地址�、到達(dá)率、已知設(shè)備�����、新設(shè)備�����、加入請(qǐng)求等)����,并且能夠在檢測到事件時(shí)將統(tǒng)計(jì)數(shù)據(jù)和/或警報(bào)提供給網(wǎng)關(guān)。本發(fā)明的實(shí)施例還包括利用多個(gè)網(wǎng)關(guān)和相應(yīng)的接入點(diǎn)����,以提供冗余對(duì)。圖4是根據(jù)本發(fā)明實(shí)施例的過程通信安全設(shè)備的示意圖�����。安全設(shè)備100包括可耦接至數(shù)據(jù)通信網(wǎng)絡(luò)(如�,基于以太網(wǎng)的數(shù)據(jù)通信網(wǎng)絡(luò))的網(wǎng)絡(luò)接口 102����。端口 102耦接至網(wǎng)絡(luò)接口物理層104���,以根據(jù)已知技術(shù)產(chǎn)生和接收數(shù)據(jù)通信分組��。網(wǎng)絡(luò)接口物理層104耦接至控制器106�,控制器106優(yōu)選地是包括或耦接至適當(dāng)存儲(chǔ)器(如��,隨機(jī)存取存儲(chǔ)器�、只讀存儲(chǔ)器、閃存等)以存儲(chǔ)并執(zhí)行程序指令的微處理器�。安全設(shè)備100還優(yōu)選地包括有線過程通信端口 108和/或耦接至天線112的無線過程通信端口 110。在安全設(shè)備100實(shí)現(xiàn)在無線接入點(diǎn)中的實(shí)施例中�,不需要有線過程通信端口。端口 108���、110的每一個(gè)可以耦接至HART 過程通信接口 114�����。接口 114使控制器106能夠使用已知的丨丨/\KT 協(xié)議與外部設(shè)備(如�,現(xiàn)場設(shè)備)通信����。在一些實(shí)施例中,可以通過IP網(wǎng)絡(luò)提供HART 通信�����,因此網(wǎng)絡(luò)接口物理層104也可以是HART'81分組的源��。根據(jù)本發(fā)明的實(shí)施例���,安全設(shè)備100包括規(guī)則存儲(chǔ)器116��?�?蛇x地�,安全設(shè)備100可以包括設(shè)備描述存儲(chǔ)器118 ��。規(guī)則存儲(chǔ)器116包括存儲(chǔ)一個(gè)或更多個(gè)規(guī)則的非易失性存儲(chǔ)器���,所述一個(gè)或更多個(gè)規(guī)則 可以基于對(duì)HARTlg^議的基本理解被強(qiáng)制施加于HART 過程通信�����。規(guī)則存儲(chǔ)器116使控制器106能夠確定HARTfs網(wǎng)絡(luò)中的分組的構(gòu)造和/或內(nèi)容是否有效�。此外,能夠確定分組的源和目的地的有效性���。最后�,可以分析分組自身的內(nèi)容����,以確定其是否正確。例如��,畸形分組可能具有錯(cuò)誤的循環(huán)冗余校驗(yàn)�、字節(jié)結(jié)束、有效載荷大小等��。如果分組無效��,安全設(shè)備100將不向所請(qǐng)求的目的地轉(zhuǎn)發(fā)該分組�����。附加地和/或可選地��,安全設(shè)備100能夠存儲(chǔ)與檢測到畸形分組有關(guān)的事件數(shù)據(jù)����,和/或向責(zé)任方發(fā)送適當(dāng)?shù)耐ㄐ?��。此外,控制?06可以跟蹤和/或分析事件數(shù)據(jù)�����,使得如果在特定時(shí)段內(nèi)檢測到來自單個(gè)源的多個(gè)畸形分組����,控制器106可以確定當(dāng)前存在活動(dòng)的攻擊����。倘若如此,控制器106可以連同可疑攻擊源的細(xì)節(jié)��,向用戶和/或責(zé)任方通知攻擊可能正在發(fā)生�。此外,控制器106能夠采取措施拒絕來自該源的所有分組����,直至用戶干預(yù)為止。 如圖4所示��,安全設(shè)備100還可以包括設(shè)備描述存儲(chǔ)器118�。采用當(dāng)前最新的存儲(chǔ)器技術(shù)�,存儲(chǔ)器118可能以合理的成本大到足以包含截至安全設(shè)備100的生產(chǎn)日期為止根據(jù)丨丨,/\|丨1'1辦議通信的所有已知現(xiàn)場設(shè)備的設(shè)備描述���。此外��,當(dāng)制造出新的ΠΛΚΤ 通信設(shè)備時(shí)��,可以借助數(shù)據(jù)網(wǎng)絡(luò)通信端口 102動(dòng)態(tài)更新設(shè)備描述存儲(chǔ)器118����。保持全面的設(shè)備描述存儲(chǔ)器118允許對(duì)過程通信分組執(zhí)行附加的檢查和/或測試���。例如�,如果給定的過程通信分組來自根據(jù)現(xiàn)場設(shè)備的設(shè)備描述僅知道其提供溫度測量的現(xiàn)場設(shè)備���,那么即使分組在其他方面符合在規(guī)則存儲(chǔ)器116中記載的所有規(guī)則����,也認(rèn)為來自這樣的現(xiàn)場設(shè)備的指示過程壓力的分組是惡意的���。存在多個(gè)不同類型的在HART 協(xié)議中使用的命令����。這些類型的命令包括通用命令、常規(guī)命令��、無線命令����、設(shè)備族命令、設(shè)備特定的命令����。除了設(shè)備特定的命令以外���,基于HART8'1規(guī)范本身能夠了解每種類型命令的至少一些知識(shí)����。此外����,如果過程通信安全設(shè)備關(guān)于特別的特定現(xiàn)場設(shè)備包含設(shè)備描述,甚至能夠詳細(xì)查看設(shè)備特定的命令�����。能夠在ΠΛΚΤΦ協(xié)議分組的應(yīng)用層強(qiáng)制施加的規(guī)則的一個(gè)示例如下。由于對(duì)于給定的HARTTsi版本已知關(guān)于每個(gè)命令的字節(jié)計(jì)數(shù)����,如果分組指示命令,針對(duì)該分組可以強(qiáng)制已知的字節(jié)計(jì)數(shù)����。甚至對(duì)于設(shè)備特定的命令,也可以提供某些規(guī)則�����。具體地講�,可以測試命令范圍,以確定其是否在允許范圍(如�,128-240和64768-65021)以內(nèi)。此外�����,可以確定分組的總字節(jié)計(jì)數(shù)并將其與字節(jié)計(jì)數(shù)字段的內(nèi)容進(jìn)行比較��,以檢驗(yàn)有效的一致性�。在網(wǎng)關(guān)(如1420型)內(nèi)實(shí)現(xiàn)過程通信安全設(shè)備的功能的增效作用之一是網(wǎng)關(guān)知曉網(wǎng)絡(luò)上所有的獨(dú)立現(xiàn)場設(shè)備。此外�����,網(wǎng)關(guān)具有以下附加優(yōu)勢(shì)其可以利用對(duì)所有HART 分組進(jìn)行解密和檢查所需的所有信息(具體為解密密鑰)。此外��,安全設(shè)備(優(yōu)選地實(shí)現(xiàn)在網(wǎng)關(guān)內(nèi))能夠構(gòu)建已知目的地/無線設(shè)備的數(shù)據(jù)庫或列表���,并確保僅發(fā)送/轉(zhuǎn)發(fā)針對(duì)那些設(shè)備的消息�����。此外���,安全設(shè)備能夠檢查和/或允許轉(zhuǎn)發(fā)僅來自于已知/已配置源的分組。最后��,如上所述����,能夠檢查分組構(gòu)造本身�,以確定首部內(nèi)容是否正確,字節(jié)計(jì)數(shù)是否與分組的實(shí)際大小相對(duì)應(yīng)�����,CRC校驗(yàn)和是否有效,以及目的地地址是否有效����。除了這些安全度量以夕卜,安全設(shè)備的控制器的處理器還能夠響應(yīng)于動(dòng)態(tài)的通信改變����。具體地講,可以使用已知的神經(jīng)網(wǎng)絡(luò)和/或人工智能算法來允許控制器106本質(zhì)上獲知常規(guī)的過程通信網(wǎng)絡(luò)業(yè)務(wù)����。附加地或可選地,可以保持關(guān) 于網(wǎng)絡(luò)通信和/或各種目的地和源的統(tǒng)計(jì)數(shù)據(jù)集合��。如果關(guān)于已獲知的常規(guī)通信和/或以統(tǒng)計(jì)方式存儲(chǔ)的參數(shù)檢測到改變�����,可以借助數(shù)據(jù)通信網(wǎng)絡(luò)端口102或過程通信端口 108����、110向責(zé)任方發(fā)送警報(bào)。此外���,可以基于規(guī)則具體識(shí)別可疑的通信模式�����。例如�,如果控制器106觀察到多個(gè)目的地地址請(qǐng)求,其中�,設(shè)備ID隨著每個(gè)請(qǐng)求簡單地增加或減小,該模式看上去是搜索設(shè)備的應(yīng)用����。可以將這樣的搜索看作是惡意的�����。此外�,重復(fù)增加或減小擴(kuò)展設(shè)備類型的地址請(qǐng)求也可能意味著試探性應(yīng)用。也可以將其看作惡意指示�����。此外����,包括簡單地增加或減小消息字段(如��,命令、字節(jié)計(jì)數(shù))�、數(shù)據(jù)字段的目的地地址請(qǐng)求可以指示嘗試找到可用設(shè)備和/或干擾過程通信網(wǎng)絡(luò)的應(yīng)用?�?梢詫z測到這樣的模式看作惡意指示�����。如果發(fā)現(xiàn)惡意指示����,優(yōu)選地,在安全設(shè)備本地進(jìn)行日志記錄��。此外�����,安全設(shè)備可以包括簡單的網(wǎng)絡(luò)管理協(xié)議或syslog選項(xiàng)����,以向責(zé)任方或信息技術(shù)應(yīng)用報(bào)告事件和/或附加狀態(tài)信息。Syslog是服務(wù)器型應(yīng)用用來向外部服務(wù)器或數(shù)據(jù)庫記錄事件/警報(bào)以便進(jìn)一步分析的公知的日志記錄機(jī)制��。圖5是根據(jù)本發(fā)明實(shí)施例的�、在過程裝置中提供入侵檢測和預(yù)防的方法的流程圖����。方法200起始于框202����,其中,安全設(shè)備或過程通信網(wǎng)關(guān)接收至少一個(gè)過程通信分組�,并對(duì)該分組進(jìn)行解密。在框204�����,方法200對(duì)解密后的分組應(yīng)用至少一個(gè)規(guī)則����,其中,所述規(guī)則基于HART協(xié)議的先驗(yàn)知識(shí)�。如上所述,一個(gè)示例規(guī)則是對(duì)于給定的HART命令����,分組的字節(jié)計(jì)數(shù)必須與HART規(guī)范中記載的一致。在步驟206�,方法200確定解密后的分組是否滿足在框204中應(yīng)用的全部規(guī)則�����。如果成功滿足全部規(guī)則,則控制轉(zhuǎn)至框208���,其中��,分組被轉(zhuǎn)發(fā)至預(yù)期接收方�。然而��,如果分組未滿足至少一個(gè)規(guī)則���,則控制轉(zhuǎn)至框210�����,其中����,優(yōu)選地對(duì)安全事件進(jìn)行日志記錄或產(chǎn)生事件���,并且阻止分組進(jìn)一步被通信至預(yù)期接收方��。圖6是根據(jù)本發(fā)明實(shí)施例的����、在過程裝置中提供入侵檢測和預(yù)防的方法的流程圖。方法300起始于框302����,其中,安全設(shè)備或過程通信網(wǎng)關(guān)根據(jù)需要接收至少一個(gè)過程通信分組并對(duì)分組進(jìn)行解密���。在框304�����,方法300對(duì)解密后的分組應(yīng)用至少一個(gè)規(guī)則����,其中����,所述規(guī)則基于過程通信協(xié)議(如,HART或基金會(huì)現(xiàn)場總線)設(shè)備描述(DD)����。如上所述,基于設(shè)備描述的一個(gè)示例規(guī)則可以是提供過程流體壓力值的過程變量溫度變送器。在步驟306�����,方法300確定解密后的分組是否滿足在框304中應(yīng)用的全部規(guī)則��。如果成功滿足全部規(guī)則����,則控制轉(zhuǎn)至框308��,其中����,分組被轉(zhuǎn)發(fā)至預(yù)期接收方。然而����,如果分組未滿足至少一個(gè)規(guī)則,則控制轉(zhuǎn)至框310��,其中���,優(yōu)選地對(duì)安全事件進(jìn)行日志記錄�,并且阻止分組進(jìn)一步被通信至預(yù)期接收方。方法200和300不是互斥的����。相反,一個(gè)方法的肯定結(jié)果可以被提供為另一方法的輸入�����,以基于過程通信分組和設(shè)備描述的詳細(xì)知識(shí)提供過程裝置入侵檢測和預(yù)防���。雖然參照優(yōu)選實(shí)施例對(duì)本發(fā)明進(jìn)行了描述�,本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到可以在不背離本發(fā)明精神和范 圍的前提下��,在形式和細(xì)節(jié)上做出改變���。
權(quán)利要求
1.一種過程通信設(shè)備����,包括 過程通信接口����,用于根據(jù)過程通信協(xié)議在過程通信環(huán)上通信; 控制器�,耦接至所述過程通信接口�����; 規(guī)則存儲(chǔ)器��,耦接至所述控制器���,所述規(guī)則存儲(chǔ)器具有基于過程通信協(xié)議的至少一個(gè)過程通信分組規(guī)則�;以及 其中,所述控制器對(duì)從所述過程通信接口接收到的至少一個(gè)過程通信分組應(yīng)用至少一個(gè)過程通信分組規(guī)則�,并在過程通信分組不滿足至少一個(gè)過程通信分組規(guī)則時(shí)產(chǎn)生事件信息。
2.根據(jù)權(quán)利要求1所述的過程通信設(shè)備��,其中�,所述過程通信協(xié)議是HART協(xié)議。
3.根據(jù)權(quán)利要求1所述的過程通信設(shè)備�����,其中����,所述協(xié)議在4-20mA的模擬電流信號(hào)上施加數(shù)字信號(hào)。
4.根據(jù)權(quán)利要求1所述的過程通信設(shè)備���,其中���,所述過程通信接口是有線的過程通信接口��。
5.根據(jù)權(quán)利要求1所述的過程通信設(shè)備�����,其中����,所述過程通信接口是無線的過程通信接口���。
6.根據(jù)權(quán)利要求5所述的過程通信設(shè)備���,其中,所述過程通信接口也是有線的過程通信接口����。
7.根據(jù)權(quán)利要求1所述的過程通信設(shè)備,還包括耦接至所述控制器的網(wǎng)絡(luò)接口�����,其中,所述控制器被配置為在過程通信分組滿足所有過程通信分組規(guī)則的情況下通過所述網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)過程通信分組���。
8.根據(jù)權(quán)利要求7所述的過程通信設(shè)備����,其中�����,所述控制器被配置為在應(yīng)用至少一個(gè)過程通信分組規(guī)則前�,對(duì)至少一個(gè)過程通信分組進(jìn)行解密�����。
9.根據(jù)權(quán)利要求8所述的過程通信設(shè)備����,其中,所述過程通信設(shè)備實(shí)現(xiàn)在過程通信網(wǎng)關(guān)中��。
10.根據(jù)權(quán)利要求1所述的過程通信設(shè)備�,其中,所述至少一個(gè)過程通信分組規(guī)則將允許數(shù)目的分組字節(jié)與分組中包含的過程通信協(xié)議命令相關(guān)聯(lián)�����。
11.根據(jù)權(quán)利要求1所述的過程通信設(shè)備,其中��,所述至少一個(gè)過程通信分組規(guī)則包括允許命令范圍�����。
12.根據(jù)權(quán)利要求1所述的過程通信設(shè)備�,其中,所述允許命令范圍是128至240以及64768 至 65021�����。
13.根據(jù)權(quán)利要求1所述的過程通信設(shè)備����,還包括耦接至所述控制器的設(shè)備描述存儲(chǔ)器,所述設(shè)備描述存儲(chǔ)器包含多個(gè)設(shè)備描述�����,其中所述控制器被配置為對(duì)至少一個(gè)過程通信分組應(yīng)用至少一個(gè)基于設(shè)備描述的規(guī)則�����。
14.根據(jù)權(quán)利要求1所述的過程通信設(shè)備,其中���,所述過程通信設(shè)備實(shí)現(xiàn)在接入點(diǎn)中�。
15.一種提供過程通信保護(hù)的方法���,所述方法包括 根據(jù)過程通信協(xié)議獲得至少一個(gè)過程通信分組�����; 對(duì)過程通信分組應(yīng)用至少一個(gè)規(guī)則��,其中��,所述至少一個(gè)規(guī)則基于過程通信協(xié)議;以及 基于至少一個(gè)過程通信分組是否滿足至少一個(gè)規(guī)則中的每個(gè)規(guī)則�,來確定事件。
16.根據(jù)權(quán)利要求15所述的方法��,還包括對(duì)事件進(jìn)行日志記錄�。
17.根據(jù)權(quán)利要求15所述的方法,還包括基于至少一個(gè)過程通信分組是否滿足至少一個(gè)規(guī)則中的每個(gè)規(guī)則���,選擇性地轉(zhuǎn)發(fā)至少一個(gè)過程通信分組���。
18.一種過程通信設(shè)備����,包括 過程通信接口����,用于根據(jù)過程通信協(xié)議在過程通信環(huán)上通信; 控制器���,耦接至所述過程通信接口 �����; 設(shè)備描述存儲(chǔ)器���,耦接至所述控制器,所述設(shè)備描述存儲(chǔ)器具有基于設(shè)備描述的至少一個(gè)過程通信分組規(guī)則�;以及 其中,所述控制器對(duì)從所述過程通信接口接收到的至少一個(gè)過程通信分組應(yīng)用至少一個(gè)過程通信分組規(guī)則�����,并在過程通信分組不滿足至少一個(gè)過程通信分組規(guī)則時(shí)產(chǎn)生事件信息
19.一種提供過程通信保護(hù)的方法,所述方法包括 根據(jù)過程通信協(xié)議獲得至少一個(gè)過程通信分組��; 對(duì)過程通信分組應(yīng)用至少一個(gè)規(guī)則��,其中���,所述至少一個(gè)規(guī)則基于在過程通信安全設(shè)備中存儲(chǔ)的設(shè)備描述�;以及 基于至少一個(gè)過程通信分組是否滿足至少一個(gè)規(guī)則中的每個(gè)規(guī)則��,來確定事件�。
20.根據(jù)權(quán)利要求19所述的方法,還包括對(duì)事件進(jìn)行日志記錄��。
21.根據(jù)權(quán)利要求19所述的方法���,還包括基于至少一個(gè)過程通信分組是否滿足至少一個(gè)規(guī)則中的每個(gè)規(guī)則���,選擇性地轉(zhuǎn)發(fā)至少一個(gè)過程通信分組。
全文摘要
公開了一種過程通信設(shè)備�����,包括過程通信接口��,用于根據(jù)過程通信協(xié)議在過程通信環(huán)上通信��?�?刂破黢罱又吝^程通信接口�����。規(guī)則存儲(chǔ)器耦接至控制器�,并且具有基于過程通信協(xié)議的至少一個(gè)過程通信分組規(guī)則?��?刂破鲗?duì)從過程通信接口接收到的至少一個(gè)過程通信分組應(yīng)用至少一個(gè)過程通信分組規(guī)則�,并在過程通信分組不滿足至少一個(gè)過程通信分組規(guī)則時(shí)產(chǎn)生事件信息�。
文檔編號(hào)H04L29/06GK103051599SQ201210227870
公開日2013年4月17日 申請(qǐng)日期2012年7月2日 優(yōu)先權(quán)日2011年10月13日
發(fā)明者埃里克·D·羅特沃爾, 杰夫·D·波特 申請(qǐng)人:羅斯蒙德公司