用于在切換后用冗余設(shè)備建立安全通信的裝置和方法
【專(zhuān)利摘要】一種方法包括在切換(408)期間將工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)(100)中的設(shè)備(202b)從次要角色轉(zhuǎn)換為主要角色���,以及響應(yīng)于所述切換���,清除(410)由所述設(shè)備存儲(chǔ)的一個(gè)或多個(gè)安全值����。所述方法還包括在所述設(shè)備處從網(wǎng)絡(luò)節(jié)點(diǎn)(204)接收(412)消息�����,以及響應(yīng)于確定(414)沒(méi)有安全關(guān)聯(lián)與所接收的消息或所述網(wǎng)絡(luò)節(jié)點(diǎn)相關(guān)聯(lián)����,與所述網(wǎng)絡(luò)節(jié)點(diǎn)交換(416)安全憑證并建立(418)信任關(guān)系�。轉(zhuǎn)換所述設(shè)備包括承擔(dān)先前以主要角色操作、先前與所述網(wǎng)絡(luò)節(jié)點(diǎn)通信且先前具有與所述網(wǎng)絡(luò)節(jié)點(diǎn)的安全關(guān)聯(lián)的另一設(shè)備(202a)的網(wǎng)絡(luò)地址�。當(dāng)所述設(shè)備從所述網(wǎng)絡(luò)節(jié)點(diǎn)接收到所述消息時(shí),清除所述(一個(gè)或多個(gè))安全值可以防止所述設(shè)備具有與所述網(wǎng)絡(luò)節(jié)點(diǎn)相關(guān)聯(lián)的信任關(guān)系�����。
【專(zhuān)利說(shuō)明】用于在切換后用冗余設(shè)備建立安全通信的裝置和方法
[0001]相關(guān)申請(qǐng)交叉引用和優(yōu)先權(quán)聲明
[0002]本申請(qǐng)根據(jù)35U.S.C.§119(e)要求2014年I月29日提交的美國(guó)臨時(shí)專(zhuān)利申請(qǐng)?zhí)?1/933����,081的優(yōu)先權(quán)。藉此通過(guò)引用將該臨時(shí)專(zhuān)利申請(qǐng)以其整體并入。
技術(shù)領(lǐng)域
[0003]本公開(kāi)一般涉及工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)��。更具體地���,本公開(kāi)涉及用于在切換后用冗余設(shè)備建立安全通信的裝置和方法���。
【背景技術(shù)】
[0004]工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)通常用于使龐大和復(fù)雜的工業(yè)過(guò)程自動(dòng)化。此類(lèi)系統(tǒng)常規(guī)包括傳感器���、致動(dòng)器和控制器�?���?刂破魍ǔ膫鞲衅鹘邮諟y(cè)量結(jié)果,并生成用于致動(dòng)器的控制信號(hào)�。
[0005]工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)中的控制器和其它設(shè)備通常被連接到一個(gè)或多個(gè)網(wǎng)絡(luò)并通過(guò)所述一個(gè)或多個(gè)網(wǎng)絡(luò)通信。工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)中的一些設(shè)備(諸如更關(guān)鍵的控制器)被布置成冗余對(duì)�����,其中每對(duì)中的一個(gè)設(shè)備作為主要角色操作而每對(duì)中的另一設(shè)備作為次要或冗余角色操作���。次要設(shè)備被設(shè)計(jì)為在切換期間����、諸如當(dāng)主要設(shè)備遭受電力故障、硬件故障或其它問(wèn)題時(shí)切換成主要角色�����。
【發(fā)明內(nèi)容】
[0006]本公開(kāi)提供用于在切換后用冗余設(shè)備建立安全通信的裝置和方法�。
[0007]在第一實(shí)施例中�����,一種方法包括在切換期間將工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)中的設(shè)備從次要角色轉(zhuǎn)換為主要角色���,以及響應(yīng)于所述切換�����,清除由設(shè)備存儲(chǔ)的一個(gè)或多個(gè)安全值��。該方法還包括在設(shè)備處從網(wǎng)絡(luò)節(jié)點(diǎn)接收消息����,以及響應(yīng)于確定沒(méi)有與所接收的消息或所述網(wǎng)絡(luò)節(jié)點(diǎn)相關(guān)聯(lián)的安全關(guān)聯(lián)���,與所述網(wǎng)絡(luò)節(jié)點(diǎn)交換安全憑證并與其建立信任關(guān)系�。轉(zhuǎn)換設(shè)備包括承擔(dān)先前以主要角色操作、先前與所述網(wǎng)絡(luò)節(jié)點(diǎn)通信且先前具有與所述網(wǎng)絡(luò)節(jié)點(diǎn)的安全關(guān)聯(lián)的另一設(shè)備的網(wǎng)絡(luò)地址���。
[0008]在第二實(shí)施例中���,一種設(shè)備包括至少一個(gè)存儲(chǔ)器,其被配置成存儲(chǔ)一個(gè)或多個(gè)安全值�����。所述設(shè)備還包括至少一個(gè)處理設(shè)備���,其被配置成在切換期間在工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)中將該設(shè)備從次要角色轉(zhuǎn)換為主要角色并響應(yīng)于該切換清除所述一個(gè)或多個(gè)安全值�。所述至少一個(gè)處理設(shè)備還被配置成在設(shè)備處從網(wǎng)絡(luò)節(jié)點(diǎn)接收消息�����,以及響應(yīng)于確定沒(méi)有與所接收的消息或所述網(wǎng)絡(luò)節(jié)點(diǎn)相關(guān)聯(lián)的安全關(guān)聯(lián)��,與所述網(wǎng)絡(luò)節(jié)點(diǎn)交換安全憑證并與其建立信任關(guān)系����。所述至少一個(gè)處理設(shè)備被配置成通過(guò)承擔(dān)先前以主要角色操作����、先前與所述網(wǎng)絡(luò)節(jié)點(diǎn)通信且先前具有與所述網(wǎng)絡(luò)節(jié)點(diǎn)的安全關(guān)聯(lián)的另一設(shè)備的網(wǎng)絡(luò)地址來(lái)轉(zhuǎn)換設(shè)備���。
[0009]在第三實(shí)施例中�����,一種非暫時(shí)性計(jì)算機(jī)可讀介質(zhì)包括計(jì)算機(jī)程序����。所述計(jì)算機(jī)程序包括計(jì)算機(jī)可讀程序代碼����,其用于在切換期間將工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)中的設(shè)備從次要角色轉(zhuǎn)換為主要角色���,以及響應(yīng)于所述切換��,用于清除由設(shè)備存儲(chǔ)的一個(gè)或多個(gè)安全值��。所述計(jì)算機(jī)程序還包括計(jì)算機(jī)可讀程序代碼��,其用于在設(shè)備處從網(wǎng)絡(luò)節(jié)點(diǎn)接收消息��,以及響應(yīng)于確定沒(méi)有與所接收的消息相關(guān)聯(lián)的安全關(guān)聯(lián)����,用于與所述網(wǎng)絡(luò)節(jié)點(diǎn)交換安全憑證并與其建立信任關(guān)系。轉(zhuǎn)換設(shè)備包括承擔(dān)先前以主要角色操作����、先前與所述網(wǎng)絡(luò)節(jié)點(diǎn)通信且先前具有與所述網(wǎng)絡(luò)節(jié)點(diǎn)的安全關(guān)聯(lián)的另一設(shè)備的網(wǎng)絡(luò)地址。
[0010]從以下附圖�����、描述和權(quán)利要求�,對(duì)本領(lǐng)域技術(shù)人員來(lái)說(shuō)其它技術(shù)特征可以是容易地顯而易見(jiàn)的。
【附圖說(shuō)明】
[0011]為了更全面地理解本公開(kāi)���,現(xiàn)在結(jié)合附圖參考以下描述���,其中:
[0012]圖1和2圖解根據(jù)本公開(kāi)的示例工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)及相關(guān)細(xì)節(jié);
[0013]圖3圖解根據(jù)本公開(kāi)的在工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)中從主要設(shè)備到次要設(shè)備的示例切換����;以及
[0014]圖4圖解根據(jù)本公開(kāi)的用于在工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)中切換之后用冗余設(shè)備建立安全通信的示例方法。
【具體實(shí)施方式】
[0015]在本專(zhuān)利文件中����,下面討論的圖1到4和用以描述本發(fā)明的原理的各種實(shí)施例是僅以例證的方式�����,并且不應(yīng)以任何方式將其解釋為限制本發(fā)明的范圍�����。本領(lǐng)域技術(shù)人員將理解的是���,可以以任何類(lèi)型的適當(dāng)布置的設(shè)備或系統(tǒng)來(lái)實(shí)現(xiàn)本發(fā)明的原理。圖1和2圖解根據(jù)本公開(kāi)的示例工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)100及相關(guān)細(xì)節(jié)��。如在圖1中所示�,系統(tǒng)100包括促進(jìn)至少一種產(chǎn)品或其它材料的生產(chǎn)或處理的各種組件。例如����,這里使用系統(tǒng)100來(lái)促進(jìn)對(duì)一個(gè)或多個(gè)工廠(chǎng)1la-1Oln中的組件的控制���。每個(gè)工廠(chǎng)1la-1Oln表示一個(gè)或多個(gè)處理設(shè)施(或其一個(gè)或多個(gè)部分)��,諸如用于生產(chǎn)至少一種產(chǎn)品或其它材料的一個(gè)或多個(gè)制造設(shè)施�。一般而言,每個(gè)工廠(chǎng)1la-1Oln可實(shí)現(xiàn)一個(gè)或多個(gè)過(guò)程并且可以單獨(dú)地或共同地被稱(chēng)為過(guò)程系統(tǒng)����。過(guò)程系統(tǒng)一般地表示被配置成以某種方式處理一個(gè)或多個(gè)產(chǎn)品或其它材料的任何系統(tǒng)或其部分。
[0016]在圖1中�,使用過(guò)程控制的普渡(Purdue)模型來(lái)實(shí)現(xiàn)系統(tǒng)100。在普渡模型中�,“O級(jí)”可包括一個(gè)或多個(gè)傳感器102a以及一個(gè)或多個(gè)致動(dòng)器102b。傳感器102a和致動(dòng)器102b表示過(guò)程系統(tǒng)中可執(zhí)行廣泛種類(lèi)功能中的任何的組件�。例如,傳感器102a可測(cè)量過(guò)程系統(tǒng)中的廣泛種類(lèi)的特性�,諸如溫度、壓力或流速���。同樣�����,致動(dòng)器102b可更改過(guò)程系統(tǒng)中廣泛種類(lèi)的特性��。傳感器102a和致動(dòng)器102b可表示在任何適當(dāng)?shù)倪^(guò)程系統(tǒng)中的任何其它或附加組件��。傳感器102a中的每一個(gè)包括用于測(cè)量過(guò)程系統(tǒng)中的一個(gè)或多個(gè)特性的任何適當(dāng)?shù)慕Y(jié)構(gòu)��。致動(dòng)器102b中的每一個(gè)包括用于操作或影響過(guò)程系統(tǒng)中的一個(gè)或多個(gè)條件的任何適當(dāng)?shù)慕Y(jié)構(gòu)����。
[0017]至少一個(gè)網(wǎng)絡(luò)104被耦合到傳感器102a和致動(dòng)器102b。網(wǎng)絡(luò)104促進(jìn)了與傳感器102a和致動(dòng)器102b的交互�。例如,網(wǎng)絡(luò)104可從傳感器102a傳輸測(cè)量數(shù)據(jù)并向致動(dòng)器102b提供控制信號(hào)��。網(wǎng)絡(luò)104可以表示任何適當(dāng)?shù)木W(wǎng)絡(luò)或網(wǎng)絡(luò)的組合��。作為特定的示例�,網(wǎng)絡(luò)104可以表示以太網(wǎng)、電信號(hào)網(wǎng)絡(luò)(諸如HART或基金會(huì)現(xiàn)場(chǎng)總線(xiàn)網(wǎng)絡(luò))���、氣動(dòng)控制信號(hào)網(wǎng)絡(luò)�、或任何其它或附加的(一個(gè)或多個(gè))類(lèi)型的網(wǎng)絡(luò)��。
[0018]在普渡模型中�,“I級(jí)”可包括一個(gè)或多個(gè)控制器106,其被耦合到網(wǎng)絡(luò)104���。除其它之外,每個(gè)控制器106可使用來(lái)自一個(gè)或多個(gè)傳感器102a的測(cè)量結(jié)果以控制一個(gè)或多個(gè)致動(dòng)器102b的操作��。例如,控制器106可從一個(gè)或多個(gè)傳感器102a接收測(cè)量數(shù)據(jù)并使用該測(cè)量數(shù)據(jù)來(lái)生成用于一個(gè)或多個(gè)致動(dòng)器102b的控制信號(hào)����。每個(gè)控制器106包括任何適當(dāng)?shù)慕Y(jié)構(gòu),用于與一個(gè)或多個(gè)傳感器102a交互并控制一個(gè)或多個(gè)致動(dòng)器102b�。每個(gè)控制器106可例如表示多變量控制器,諸如魯棒多變量預(yù)測(cè)控制技術(shù)(RMPCT)控制器或?qū)崿F(xiàn)模型預(yù)測(cè)控制(MPC)或其它先進(jìn)預(yù)測(cè)控制(APC)的其它類(lèi)型的控制器��。作為特定的示例�,每個(gè)控制器106可表示運(yùn)行實(shí)時(shí)操作系統(tǒng)的計(jì)算設(shè)備。
[0019]兩個(gè)網(wǎng)絡(luò)108被耦合到控制器106��。網(wǎng)絡(luò)108諸如通過(guò)傳輸數(shù)據(jù)到控制器106并從控制器106傳輸數(shù)據(jù)來(lái)促進(jìn)與控制器106的交互�����。網(wǎng)絡(luò)108可表示任何適當(dāng)?shù)木W(wǎng)絡(luò)或網(wǎng)絡(luò)組合���。作為特定的示例���,網(wǎng)絡(luò)108可表示一對(duì)以太網(wǎng)網(wǎng)絡(luò)或冗余的一對(duì)以太網(wǎng)網(wǎng)絡(luò),諸如來(lái)自霍尼韋爾國(guó)際公司的容錯(cuò)以太網(wǎng)(FTE)網(wǎng)絡(luò)�。
[0020]至少一個(gè)交換機(jī)/防火墻110將網(wǎng)絡(luò)108耦合到兩個(gè)網(wǎng)絡(luò)112。交換機(jī)/防火墻110可以從一個(gè)網(wǎng)絡(luò)傳輸業(yè)務(wù)到另一個(gè)網(wǎng)絡(luò)�。交換機(jī)/防火墻110還可以阻止一個(gè)網(wǎng)絡(luò)上的業(yè)務(wù)到達(dá)另一個(gè)網(wǎng)絡(luò)。交換機(jī)/防火墻110包括用于提供網(wǎng)絡(luò)之間的通信的任何適當(dāng)?shù)慕Y(jié)構(gòu),諸如霍尼韋爾控制防火墻(CF9)設(shè)備���。網(wǎng)絡(luò)112可表示任何適當(dāng)?shù)木W(wǎng)絡(luò)����,諸如一對(duì)以太網(wǎng)網(wǎng)絡(luò)或FTE網(wǎng)絡(luò)��。
[0021]在普渡模型中�����,“2級(jí)”可以包括被耦合到網(wǎng)絡(luò)112的一個(gè)或多個(gè)機(jī)器級(jí)控制器114���。機(jī)器級(jí)控制器114執(zhí)行各種功能以支持可與工業(yè)裝備(諸如鍋爐或其它機(jī)器)的特定零件相關(guān)聯(lián)的控制器106���、傳感器102a和致動(dòng)器102b的操作和控制。例如��,機(jī)器級(jí)控制器114可以記錄由控制器106收集或生成的信息�,諸如來(lái)自傳感器102a的測(cè)量數(shù)據(jù)或用于致動(dòng)器102b的控制信號(hào)。機(jī)器級(jí)控制器114也可以執(zhí)行對(duì)控制器106的操作進(jìn)行控制的應(yīng)用��,由此控制致動(dòng)器102b的操作��。另外,機(jī)器級(jí)控制器114可以提供對(duì)控制器106的安全訪(fǎng)問(wèn)��。機(jī)器級(jí)控制器114中的每一個(gè)包括用于提供對(duì)與機(jī)器或裝備的其它個(gè)別零件有關(guān)的訪(fǎng)問(wèn)��、控制或操作的任何適當(dāng)?shù)慕Y(jié)構(gòu)����。機(jī)器級(jí)控制器114中的每一個(gè)例如可以表示運(yùn)行微軟WINDOWS操作系統(tǒng)的服務(wù)器計(jì)算設(shè)備����。盡管未示出,但是不同的機(jī)器級(jí)控制器114可用于控制過(guò)程系統(tǒng)中的裝備的不同零件(其中裝備的每個(gè)零件與一個(gè)或多個(gè)控制器106���、傳感器102a和致動(dòng)器102b相關(guān)聯(lián))��。
[0022]—個(gè)或多個(gè)操作員站點(diǎn)116被耦合到網(wǎng)絡(luò)112��。操作員站點(diǎn)116表示提供對(duì)機(jī)器級(jí)控制器114的用戶(hù)訪(fǎng)問(wèn)的計(jì)算或通信設(shè)備�,其然后可以提供對(duì)控制器106(以及可能地傳感器102a和致動(dòng)器102b)的用戶(hù)訪(fǎng)問(wèn)���。作為特定示例�����,操作員站點(diǎn)116可以允許用戶(hù)使用由控制器106和/或機(jī)器級(jí)控制器114收集的信息來(lái)回顧傳感器102a和致動(dòng)器102b的操作歷史����。操作員站點(diǎn)116也可以允許用戶(hù)調(diào)整傳感器102a、致動(dòng)器102b���、控制器106或機(jī)器級(jí)控制器114的操作�����。另外�����,操作員站點(diǎn)116可以接收和顯示由控制器106或機(jī)器級(jí)控制器114生成的警告�、警報(bào)或其它消息或顯示�����。操作員站點(diǎn)116中的每一個(gè)包括用于支持系統(tǒng)100中的一個(gè)或多個(gè)組件的用戶(hù)訪(fǎng)問(wèn)和控制的任何適當(dāng)?shù)慕Y(jié)構(gòu)�����。操作員站點(diǎn)116中的每一個(gè)可以例如表示運(yùn)行微軟WINDOWS操作系統(tǒng)的計(jì)算設(shè)備����。
[0023]至少一個(gè)路由器/防火墻118將網(wǎng)絡(luò)112耦合到兩個(gè)網(wǎng)絡(luò)120�����。路由器/防火墻118包括用于提供網(wǎng)絡(luò)之間的通信的任何適當(dāng)結(jié)構(gòu),諸如安全路由器或組合路由器/防火墻�����。網(wǎng)絡(luò)120可以表示任何適當(dāng)?shù)木W(wǎng)絡(luò)�����,諸如一對(duì)以太網(wǎng)網(wǎng)絡(luò)或FTE網(wǎng)絡(luò)��。
[0024]在普渡模型中���,“3級(jí)”可包括被耦合到網(wǎng)絡(luò)120的一個(gè)或多個(gè)單元級(jí)控制器122����。每個(gè)單元級(jí)控制器122通常與過(guò)程系統(tǒng)中的單元相關(guān)聯(lián)���,所述單元表示一起操作以實(shí)現(xiàn)過(guò)程的至少一部分的不同機(jī)器的集合����。單元級(jí)控制器122執(zhí)行各種功能以支持低級(jí)別組件的操作和控制。例如���,單元級(jí)控制器122可以記錄由低級(jí)別組件所收集或生成的信息��,執(zhí)行控制低級(jí)別組件的應(yīng)用�,并提供對(duì)低級(jí)別組件的安全訪(fǎng)問(wèn)�����。單元級(jí)控制器122中的每一個(gè)包括用于提供與過(guò)程單元中的一個(gè)或多個(gè)機(jī)器或裝備的其它零件有關(guān)的訪(fǎng)問(wèn)�、控制或操作的任何適當(dāng)?shù)慕Y(jié)構(gòu)。單元級(jí)控制器122中的每一個(gè)可例如表示運(yùn)行微軟WINDOWS操作系統(tǒng)的服務(wù)器計(jì)算設(shè)備��。盡管未示出�,但是不同的單元級(jí)控制器122可用于控制過(guò)程系統(tǒng)中的不同單元(其中每個(gè)單元與一個(gè)或多個(gè)機(jī)器級(jí)控制器114、控制器106�����、傳感器102a和致動(dòng)器102b相關(guān)聯(lián))���。
[0025]可以由一個(gè)或多個(gè)操作員站點(diǎn)124提供對(duì)單元級(jí)控制器122的訪(fǎng)問(wèn)���。操作員站點(diǎn)124中的每一個(gè)包括用于支持系統(tǒng)100中的一個(gè)或多個(gè)組件的用戶(hù)訪(fǎng)問(wèn)和控制的任何適當(dāng)?shù)慕Y(jié)構(gòu)�����。操作員站點(diǎn)124中的每一個(gè)可以例如表示運(yùn)行微軟WINDOWS操作系統(tǒng)的計(jì)算設(shè)備��。
[0026]至少一個(gè)路由器/防火墻126將網(wǎng)絡(luò)120耦合到兩個(gè)網(wǎng)絡(luò)128����。路由器/防火墻126包括用于提供網(wǎng)絡(luò)之間的通信的任何適當(dāng)?shù)慕Y(jié)構(gòu)�,諸如安全路由器或組合路由器/防火墻�����。網(wǎng)絡(luò)128可表示任何適當(dāng)?shù)木W(wǎng)絡(luò)�,諸如一對(duì)以太網(wǎng)網(wǎng)絡(luò)或FTE網(wǎng)絡(luò)。
[0027]在普渡模型中����,“4級(jí)”可以包括被耦合到網(wǎng)絡(luò)128的一個(gè)或多個(gè)工廠(chǎng)級(jí)控制器130。每個(gè)工廠(chǎng)級(jí)控制器130通常與工廠(chǎng)1la-1Oln之一相關(guān)聯(lián)����,工廠(chǎng)1la-1Oln可包括實(shí)現(xiàn)相同��、相似或不同過(guò)程的一個(gè)或多個(gè)過(guò)程單元��。工廠(chǎng)級(jí)控制器130執(zhí)行各種功能以支持低級(jí)別組件的操作和控制��。作為特定的示例�,工廠(chǎng)級(jí)控制器130可以執(zhí)行一個(gè)或多個(gè)制造執(zhí)行系統(tǒng)(MES)應(yīng)用���、調(diào)度應(yīng)用����、或其它或者附加的工廠(chǎng)或過(guò)程控制應(yīng)用����。工廠(chǎng)級(jí)控制器130中的每一個(gè)包括用于提供與過(guò)程工廠(chǎng)中的一個(gè)或多個(gè)過(guò)程單元有關(guān)的訪(fǎng)問(wèn)、控制或操作的任何適當(dāng)?shù)慕Y(jié)構(gòu)�����。工廠(chǎng)級(jí)控制器130中的每一個(gè)可以例如表示運(yùn)行微軟WINDOWS操作系統(tǒng)的服務(wù)器計(jì)算設(shè)備���。
[0028]可以由一個(gè)或多個(gè)操作員站點(diǎn)132提供對(duì)工廠(chǎng)級(jí)控制器130的訪(fǎng)問(wèn)���。操作員站點(diǎn)132中的每一個(gè)包括用于支持系統(tǒng)100中的一個(gè)或多個(gè)組件的用戶(hù)訪(fǎng)問(wèn)和控制的任何適當(dāng)?shù)慕Y(jié)構(gòu)����。操作員站點(diǎn)132中的每一個(gè)可以例如表示運(yùn)行微軟WINDOWS操作系統(tǒng)的計(jì)算設(shè)備�����。
[0029]至少一個(gè)路由器/防火墻134將網(wǎng)絡(luò)128耦合到一個(gè)或多個(gè)網(wǎng)絡(luò)136�。路由器/防火墻134包括用于提供網(wǎng)絡(luò)之間的通信的任何適當(dāng)?shù)慕Y(jié)構(gòu),諸如安全路由器或組合路由器/防火墻��。網(wǎng)絡(luò)136可表示任何適當(dāng)?shù)木W(wǎng)絡(luò)�����,諸如企業(yè)范圍以太網(wǎng)或其它網(wǎng)絡(luò)���、或更大網(wǎng)絡(luò)(諸如互聯(lián)網(wǎng))的全部或一部分。
[0030]在普渡模型中��,“5級(jí)”可包括被耦合到網(wǎng)絡(luò)136的一個(gè)或多個(gè)企業(yè)級(jí)控制器138�。每個(gè)企業(yè)級(jí)控制器138通常能夠針對(duì)多個(gè)工廠(chǎng)1la-1Oln執(zhí)行計(jì)劃操作并能夠控制工廠(chǎng)1la-1Oln的各種方面。企業(yè)級(jí)控制器138還可執(zhí)行各種功能以支持工廠(chǎng)1la-1Oln中的組件的操作和控制���。作為特定的示例�,企業(yè)級(jí)控制器138可執(zhí)行一個(gè)或多個(gè)訂單處理應(yīng)用、企業(yè)資源計(jì)劃(ERP)應(yīng)用��、先進(jìn)計(jì)劃和調(diào)度(APS)應(yīng)用����、或任何其它或者附加的企業(yè)控制應(yīng)用。企業(yè)級(jí)控制器138中的每一個(gè)包括用于提供與一個(gè)或多個(gè)工廠(chǎng)的控制有關(guān)的訪(fǎng)問(wèn)����、控制或操作的任何適當(dāng)?shù)慕Y(jié)構(gòu)。企業(yè)級(jí)控制器138中的每一個(gè)可以例如表示運(yùn)行微軟WINDOWS操作系統(tǒng)的服務(wù)器計(jì)算設(shè)備���。在本文件中�,術(shù)語(yǔ)“企業(yè)”指具有一個(gè)或多個(gè)工廠(chǎng)或要被管理的其它處理設(shè)施的組織����。注意,如果要管理單個(gè)工廠(chǎng)101a��,則企業(yè)級(jí)控制器138的功能性可以被并入到工廠(chǎng)級(jí)控制器130中����。
[0031]可以由一個(gè)或多個(gè)操作員站點(diǎn)140提供對(duì)企業(yè)級(jí)控制器138的訪(fǎng)問(wèn)��。操作員站點(diǎn)140中的每一個(gè)包括用于支持系統(tǒng)100中的一個(gè)或多個(gè)組件的用戶(hù)訪(fǎng)問(wèn)和控制的任何適當(dāng)?shù)慕Y(jié)構(gòu)��。操作員站點(diǎn)140中的每一個(gè)可例如表示運(yùn)行微軟WINDOWS操作系統(tǒng)的計(jì)算設(shè)備�����。
[0032]普渡模型的各個(gè)級(jí)別可以包括其它組件����,諸如一個(gè)或多個(gè)數(shù)據(jù)庫(kù)�����。與每個(gè)級(jí)別相關(guān)聯(lián)的(一個(gè)或多個(gè))數(shù)據(jù)庫(kù)可以存儲(chǔ)與該級(jí)別或者系統(tǒng)100的一個(gè)或多個(gè)其它級(jí)別相關(guān)聯(lián)的任何適當(dāng)?shù)男畔?����。例如��,歷史裝置(historian) 141可以被耦合到網(wǎng)絡(luò)136�。歷史裝置141可表示存儲(chǔ)關(guān)于系統(tǒng)100的各種信息的組件��。例如���,歷史裝置141可存儲(chǔ)在生產(chǎn)調(diào)度和優(yōu)化期間所使用的信息���。歷史裝置141表示用于存儲(chǔ)和促進(jìn)信息檢索的任何適當(dāng)?shù)慕Y(jié)構(gòu)��。盡管被示為被耦合到網(wǎng)絡(luò)136的單個(gè)集中式組件����,但歷史裝置141可位于系統(tǒng)100中的其它位置���,或者多個(gè)歷史裝置可分布在系統(tǒng)100中的不同位置中��。
[0033]在特定實(shí)施例中���,圖1中的各種控制器和操作員站點(diǎn)可表示計(jì)算設(shè)備。例如��,控制器中的每一個(gè)可以包括一個(gè)或多個(gè)處理設(shè)備142和一個(gè)或多個(gè)存儲(chǔ)器144�����,該一個(gè)或多個(gè)存儲(chǔ)器144用于存儲(chǔ)由(一個(gè)或多個(gè))處理設(shè)備142所使用��、生成或收集的指令和數(shù)據(jù)��。控制器中的每一個(gè)還可包括至少一個(gè)網(wǎng)絡(luò)接口 146����,諸如一個(gè)或多個(gè)以太網(wǎng)接口或無(wú)線(xiàn)收發(fā)器。同樣����,操作員站點(diǎn)中的每一個(gè)可包括一個(gè)或多個(gè)處理設(shè)備148和一個(gè)或多個(gè)存儲(chǔ)器150,該一個(gè)或多個(gè)存儲(chǔ)器150用于存儲(chǔ)由(一個(gè)或多個(gè))處理設(shè)備148所使用��、生成或收集的指令和數(shù)據(jù)����。操作員站點(diǎn)中的每一個(gè)還可包括至少一個(gè)網(wǎng)絡(luò)接口 152,諸如一個(gè)或多個(gè)以太網(wǎng)接口或無(wú)線(xiàn)收發(fā)器��。
[0034]圖1中所示的各種設(shè)備可以被布置在冗余對(duì)或其它設(shè)備冗余組中���。例如�,各種關(guān)鍵的或其它控制器可以被布置在冗余對(duì)中����,其中每對(duì)包括(i)以主要角色主動(dòng)執(zhí)行控制動(dòng)作的主要控制器和(ii)以次要角色被動(dòng)操作的次要控制器�����。次要控制器可以接收與主要控制器相同的數(shù)據(jù)并執(zhí)行與主要控制器相同的計(jì)算,但是次要控制器可能抑制輸出用以實(shí)現(xiàn)控制動(dòng)作的信號(hào)�����。這允許次要控制器在需要或期望時(shí)���、諸如當(dāng)主要控制器故障時(shí)切換為主要角色���。分布式控制系統(tǒng)(DCS)設(shè)備的任何其它(一個(gè)或多個(gè))冗余組可以被用在工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)100中。
[0035]為了防止對(duì)工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)中組件的惡意訪(fǎng)問(wèn)�����,已經(jīng)采用了各種技術(shù)來(lái)保護(hù)系統(tǒng)中網(wǎng)絡(luò)(諸如網(wǎng)絡(luò)108�����、112�、120、128和136)���。例如�����,可以在工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)的各種組件上啟用互聯(lián)網(wǎng)協(xié)議安全(IPsec)協(xié)議套件�����。IPsec協(xié)議套件通常用于在嘗試交互的組件之間建立信任關(guān)系�。在以下的描述中,“DCS設(shè)備”表示被布置在冗余對(duì)或組件的其它冗余組中的多個(gè)組件中的一個(gè)����。同樣,“網(wǎng)絡(luò)節(jié)點(diǎn)”表示與一個(gè)或多個(gè)DCS設(shè)備交互的組件����。做出這個(gè)區(qū)別僅僅為了方便,而不是阻止例如組件既用作DCS設(shè)備也用作網(wǎng)絡(luò)節(jié)點(diǎn)���。當(dāng)工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)100中的DCS設(shè)備被布置在冗余對(duì)或者其它冗余組中時(shí)���,次要DCS設(shè)備經(jīng)常使用浮動(dòng)網(wǎng)絡(luò)地址(諸如IP地址)。在這個(gè)配置中����,當(dāng)主要DCS設(shè)備故障時(shí)��,其次要DCS設(shè)備承擔(dān)主要角色并經(jīng)常承擔(dān)主要DCS設(shè)備的網(wǎng)絡(luò)地址。如果在切換前存在與主要DCS設(shè)備的信任關(guān)系��,那么在切換后需要重新建立與次要DCS設(shè)備的信任關(guān)系����。本公開(kāi)提供了用于當(dāng)在切換期間次要設(shè)備接管主要角色時(shí)重新建立信任關(guān)系的技術(shù),諸如通過(guò)使用IPSec0
[0036]在圖2中示出了該功能性的細(xì)節(jié)��,其中冗余DCS設(shè)備202與網(wǎng)絡(luò)節(jié)點(diǎn)204交互���。DCS設(shè)備202和網(wǎng)絡(luò)節(jié)點(diǎn)204可以表示控制系統(tǒng)中任何適當(dāng)?shù)慕M件��,諸如圖1中所示的控制器���、服務(wù)器或操作員站點(diǎn)中的任何。例如����,DCS設(shè)備202可以表示控制器或服務(wù)器的冗余對(duì),并且網(wǎng)絡(luò)節(jié)點(diǎn)204可以表示與DCS設(shè)備202交互的控制器���、服務(wù)器或者操作員站點(diǎn)��。
[0037]在圖2中所示的還有安全管理器206和認(rèn)證授權(quán)(CA)208���。安全管理器206操作以維護(hù)關(guān)于已經(jīng)配置的或者處于正在配置的過(guò)程中的組件的信息�,以支持工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)中的安全通信���。安全管理器206還向組件提供安全憑證(諸如數(shù)字證書(shū))和通信策略���,以允許組件與彼此安全地通信。策略提供關(guān)于兩個(gè)組件應(yīng)當(dāng)如何通信和如何用于配置IPsec的信息�����。認(rèn)證授權(quán)208生成安全管理器206提供的數(shù)字證書(shū)或者其它安全憑證��。
[0038]安全管理器206包括用于向DCS組件提供安全憑證的任何適當(dāng)?shù)慕Y(jié)構(gòu)��,諸如具有一個(gè)或多個(gè)處理設(shè)備��、一個(gè)或多個(gè)存儲(chǔ)器和一個(gè)或多個(gè)網(wǎng)絡(luò)接口的計(jì)算設(shè)備�。系統(tǒng)中可以存在一個(gè)或多個(gè)安全管理器206,諸如安全管理器206的冗余對(duì)�。認(rèn)證授權(quán)208包括用于生成安全憑證的任何適當(dāng)?shù)慕Y(jié)構(gòu),諸如具有一個(gè)或多個(gè)處理設(shè)備、一個(gè)或多個(gè)存儲(chǔ)器和一個(gè)或多個(gè)網(wǎng)絡(luò)接口的計(jì)算設(shè)備����。安全管理器206和認(rèn)證授權(quán)208還可以用于工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)100中的任何適當(dāng)?shù)?一個(gè)或多個(gè))級(jí)別。例如���,在一些實(shí)施例中,安全管理器206和認(rèn)證授權(quán)208可以表示3級(jí)����、4級(jí)、或者5級(jí)組件�����,并用于保護(hù)系統(tǒng)100的I級(jí)�、2級(jí)或3級(jí)處的DCS組件。
[0039]盡管圖1和2圖解工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)100的一個(gè)示例和相關(guān)細(xì)節(jié)��,但可對(duì)圖1和2作出各種改變��。例如�����,控制和自動(dòng)化系統(tǒng)可包括任何數(shù)量的傳感器、致動(dòng)器��、控制器��、操作員站點(diǎn)����、網(wǎng)絡(luò)、DCS設(shè)備���、網(wǎng)絡(luò)節(jié)點(diǎn)�、安全管理器和認(rèn)證授權(quán)�����。而且����,圖1和2中的系統(tǒng)100的組成和布置僅用于例證。根據(jù)特定需要可在任何其它適當(dāng)?shù)呐渲弥刑砑?���、省略、組合或放置組件��。作為特定示例,安全管理器206和認(rèn)證授權(quán)208可以被組合到單個(gè)功能性單元中�����。另夕卜�,特定功能已被描述為由系統(tǒng)100的特定組件執(zhí)行。這僅用于例證�����。一般而言����,過(guò)程控制和自動(dòng)化系統(tǒng)是高度可配置的并且可根據(jù)特定需要以任何適當(dāng)方式配置���。此外��,圖1和2圖解示例環(huán)境��,其中可以重新建立與在切換期間承擔(dān)主要角色的次要設(shè)備的信任關(guān)系�����。該功能性可被用在任何其它適當(dāng)設(shè)備或系統(tǒng)中���。
[0040]圖3圖解根據(jù)本公開(kāi)的在工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)中從主要設(shè)備到次要設(shè)備的示例切換300�。為了易于解釋?zhuān)P(guān)于在圖1的系統(tǒng)100中操作的圖2的組件來(lái)描述圖3中所示的切換300 ο切換300可以與任何適當(dāng)?shù)南到y(tǒng)中的任何其它適當(dāng)?shù)慕M件一起使用����。
[0041 ] 如圖3所示,系統(tǒng)包括操作為冗余對(duì)的兩個(gè)DCS設(shè)備202a-202b��,其中DCS設(shè)備202a以主要角色操作且DCS設(shè)備202b以次要角色操作���。DCS設(shè)備202a具有其自己的網(wǎng)絡(luò)地址(在該示例中為X.X.X.1)�,且DCS設(shè)備202b具有不同的網(wǎng)絡(luò)地址(在該示例中為X.X.X.2)���。以主要角色的DCS設(shè)備202a可以與具有其自己的網(wǎng)絡(luò)地址(在該示例中為X.X.X.3)的網(wǎng)絡(luò)節(jié)點(diǎn)204建立安全關(guān)聯(lián)或其它信任關(guān)系����。
[0042]為了防止對(duì)網(wǎng)絡(luò)上組件的惡意訪(fǎng)問(wèn)����,可以在組件上啟用IPsec或者其它安全協(xié)議。因此���,例如��,DCS設(shè)備202a和網(wǎng)絡(luò)節(jié)點(diǎn)204可以以安全方式交互�����,而DCS設(shè)備202b保持被用或次要角色�。IPsec在網(wǎng)絡(luò)節(jié)點(diǎn)和網(wǎng)絡(luò)節(jié)點(diǎn)正嘗試訪(fǎng)問(wèn)的設(shè)備之間(諸如在主要DCS設(shè)備202a和網(wǎng)絡(luò)節(jié)點(diǎn)204之間)建立信任關(guān)系。
[0043]如上面表明的�����,許多工業(yè)過(guò)程控制和自動(dòng)化設(shè)備是冗余的并當(dāng)它們的主要設(shè)備故障時(shí)使用浮動(dòng)網(wǎng)絡(luò)地址����。這意味著,一旦主要DCS設(shè)備故障���,其次要DCS設(shè)備承擔(dān)主要角色以及主要設(shè)備的網(wǎng)絡(luò)地址。在圖3中示出這個(gè)的示例��,其中一旦主要DCS設(shè)備202a故障����,次要DCS設(shè)備202b就承擔(dān)主要角色和主要設(shè)備的網(wǎng)絡(luò)地址(X.X.X.1)。
[0044]假設(shè)網(wǎng)絡(luò)節(jié)點(diǎn)204正訪(fǎng)問(wèn)來(lái)自主要DCS設(shè)備202a的數(shù)據(jù)����,其中組件202a和204都配置有IPsec���。通過(guò)使用IPsec,組件202a和204與彼此形成信任關(guān)系�,以允許組件202a和204之間的安全通信。然而���,當(dāng)主要DCS設(shè)備202a故障并且次要DCS設(shè)備202b接管主要角色時(shí)����,信任關(guān)系出現(xiàn)問(wèn)題��。由于使用DCS設(shè)備202a的IP地址建立了信任關(guān)系�����,DCS設(shè)備202b將不被網(wǎng)絡(luò)節(jié)點(diǎn)204信任�����。
[0045]在傳統(tǒng)方法下����,DCS設(shè)備202b將丟棄來(lái)自網(wǎng)絡(luò)節(jié)點(diǎn)204的所有分組�,因?yàn)檫€沒(méi)有建立信任關(guān)系�。在兩側(cè)都不能相互信任的情況下,組件202b和204將不能夠通信直到死區(qū)超時(shí)出現(xiàn)且組件202b和204可以重新協(xié)商信任關(guān)系為止����。不幸的是,當(dāng)?shù)却绤^(qū)超時(shí)出現(xiàn)時(shí)�,在該時(shí)間段內(nèi)組件202b和204之間沒(méi)有有效的通信。在組件202b和204之間沒(méi)有通信的情況下�����,發(fā)生對(duì)主要設(shè)備的喪失觀(guān)察��,其可能不利于控制系統(tǒng)的操作�。
[0046]根據(jù)本公開(kāi),提供了用以當(dāng)次要設(shè)備接管主要設(shè)備時(shí)重新建立信任關(guān)系的技術(shù)����。代替等待死區(qū)超時(shí)�����,新的主要設(shè)備(DCS設(shè)備202b)執(zhí)行以下操作以重新建立與網(wǎng)絡(luò)節(jié)點(diǎn)204的信任關(guān)系�。在切換之后����,新的主要DCS設(shè)備202b移除其先前配置或使用的安全憑證�����、通信策略和其它信息�。一旦接收安全有效載荷、諸如封裝安全有效載荷(ESP)消息��,新的主要DCS設(shè)備202b就不能發(fā)現(xiàn)針對(duì)所接收消息的安全憑證或者通信策略��,并且新的主要DCS設(shè)備202b發(fā)起與網(wǎng)絡(luò)節(jié)點(diǎn)204的密鑰交換�。這重新建立了DCS設(shè)備202b和網(wǎng)絡(luò)節(jié)點(diǎn)204之間的信任關(guān)系,但它可以比等待死區(qū)超時(shí)更快地完成��。
[0047]盡管圖3圖解工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)中從主要設(shè)備到次要設(shè)備的切換300的一個(gè)示例���,但是可以對(duì)圖3做出各種改變��。例如����,這里所示的網(wǎng)絡(luò)地址僅為示例,并且節(jié)點(diǎn)不需要具有連續(xù)的網(wǎng)絡(luò)地址��。同樣�,DCS節(jié)點(diǎn)的冗余對(duì)可以與可以針對(duì)其建立安全通信連接的任何數(shù)量的其它設(shè)備通信。
[0048]圖4圖解根據(jù)本公開(kāi)的用于在工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)中在切換后用冗余設(shè)備建立安全通信的示例方法400��。為了易于解釋?zhuān)P(guān)于在圖1的系統(tǒng)100中操作的圖2的組件來(lái)描述方法400 ο方法400可以與任何適當(dāng)?shù)南到y(tǒng)中的任何其它適當(dāng)組件一起使用��。
[0049]在步驟402處���,第一和第二冗余設(shè)備在工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)中操作����。這可以包括例如操作DCS設(shè)備202a-202b作為過(guò)程控制器或者服務(wù)器的冗余對(duì)���。DCS設(shè)備202a可以以主要角色操作����,且DCS設(shè)備202b可以以次要角色操作�。在步驟404處,在系統(tǒng)中的第一設(shè)備和網(wǎng)絡(luò)節(jié)點(diǎn)之間建立安全連接���。這可以包括�,例如�,主要DCS設(shè)備202a使用IPsec與網(wǎng)絡(luò)節(jié)點(diǎn)104建立安全連接。在步驟406處���,在第一設(shè)備操作期間�,第二設(shè)備與第一設(shè)備同步�����。這可以包括���,例如����,次要DCS設(shè)備202b接收與主要DCS設(shè)備202a所接收的相同的數(shù)據(jù)����,并執(zhí)行與主要DCS設(shè)備202a相同的計(jì)算。
[0050]在步驟408處���,進(jìn)行是否出現(xiàn)故障切換的確定����。這可以包括,例如�����,主要DCS設(shè)備202a失效或以其它方式遭受觸發(fā)故障切換的故障�,其導(dǎo)致次要DCS設(shè)備202b切換并開(kāi)始以主要角色操作。作為這個(gè)故障切換過(guò)程的部分��,新的主要DCS設(shè)備202b可以承擔(dān)舊的主要DCS設(shè)備202a的網(wǎng)絡(luò)地址���。作為監(jiān)視互聯(lián)網(wǎng)密鑰交換(IKE)會(huì)話(huà)的連續(xù)環(huán)的部分����,可以在次要DCS設(shè)備202b處檢測(cè)切換�。
[0051]為了幫助加速與網(wǎng)絡(luò)節(jié)點(diǎn)的信任關(guān)聯(lián)的重新建立,在步驟410處����,第二設(shè)備從其存儲(chǔ)器清洗安全參數(shù)。這可以包括���,例如��,新的主要DCS設(shè)備202b清洗來(lái)自其存儲(chǔ)器的所有安全參數(shù)索引(SPI)值���、IKE密鑰和IPsec安全策略數(shù)據(jù)庫(kù)(SPD)策略���。在步驟412處�,檢測(cè)安全有效載荷的接收。這可以包括���,例如����,新的主要DCS設(shè)備202b經(jīng)由用戶(hù)數(shù)據(jù)報(bào)協(xié)議(UDP)嵌套(socket)從網(wǎng)絡(luò)節(jié)點(diǎn)104接收ESP消息���。在步驟414處���,第二設(shè)備確定沒(méi)有與網(wǎng)絡(luò)節(jié)點(diǎn)建立安全關(guān)聯(lián)。這可以包括����,例如,新的主要DCS設(shè)備202b確定發(fā)送了ESP消息的網(wǎng)絡(luò)節(jié)點(diǎn)104不與所建立的IPsec連接相關(guān)聯(lián)�。
[0052]響應(yīng)于確定沒(méi)有已經(jīng)與網(wǎng)絡(luò)節(jié)點(diǎn)建立的安全關(guān)聯(lián),在步驟416處�,在第二設(shè)備和網(wǎng)絡(luò)節(jié)點(diǎn)之間發(fā)起密鑰交換��。這可以包括����,例如�,新的主要DCS設(shè)備202b發(fā)起與網(wǎng)絡(luò)節(jié)點(diǎn)104的IKE會(huì)話(huà)以便與網(wǎng)絡(luò)節(jié)點(diǎn)104交換安全憑證(諸如認(rèn)證密鑰)。這允許在步驟418處第二設(shè)備和網(wǎng)絡(luò)節(jié)點(diǎn)建立安全關(guān)聯(lián)��。作為這個(gè)過(guò)程的部分�,新的主要DCS設(shè)備202b和網(wǎng)絡(luò)節(jié)點(diǎn)104可以將一個(gè)或多個(gè)指定的通信策略應(yīng)用于在組件之間建立IPsec連接。
[0053]在該點(diǎn)處���,在步驟420處���,第二設(shè)備和網(wǎng)絡(luò)節(jié)點(diǎn)可以在工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)中操作。這個(gè)可以包括��,例如����,新的主要DCS設(shè)備202b和網(wǎng)絡(luò)節(jié)點(diǎn)104操作以提供期望的過(guò)程控制或自動(dòng)化功能,其中新的主要DCS設(shè)備202b和網(wǎng)絡(luò)節(jié)點(diǎn)104參加安全通信�����。可以在此比簡(jiǎn)單地推動(dòng)新的主要DCS設(shè)備202b等待死區(qū)超時(shí)出現(xiàn)更快速地建立安全關(guān)聯(lián)�����。
[0054]盡管圖4圖解工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)中在切換后用冗余設(shè)備建立安全通信的方法400的一個(gè)示例���,但是可以對(duì)圖4做出各種改變���。例如����,雖然被示為一系列步驟,但是圖4中的各個(gè)步驟可以重疊��、并行發(fā)生���、以不同順序發(fā)生�����、或者多次發(fā)生�。
[0055]在一些實(shí)施例中��,由計(jì)算機(jī)程序?qū)崿F(xiàn)或支持本專(zhuān)利文件中描述的各種功能,所述計(jì)算機(jī)程序由計(jì)算機(jī)可讀程序代碼形成并被體現(xiàn)在計(jì)算機(jī)可讀介質(zhì)中����。短語(yǔ)“計(jì)算機(jī)可讀程序代碼”包括任何類(lèi)型的計(jì)算機(jī)代碼,包括源代碼�����、目標(biāo)代碼和可執(zhí)行代碼�����。短語(yǔ)“計(jì)算機(jī)可讀介質(zhì)”包括能夠被計(jì)算機(jī)訪(fǎng)問(wèn)的任何類(lèi)型的介質(zhì)�,諸如只讀存儲(chǔ)器(R0M)、隨機(jī)存取存儲(chǔ)器(RAM)���、硬盤(pán)驅(qū)動(dòng)�����、緊湊盤(pán)(CD)�、數(shù)字視頻盤(pán)(DVD)或其它類(lèi)型的存儲(chǔ)器��?����!胺菚簳r(shí)性”計(jì)算機(jī)可讀介質(zhì)排除傳送暫時(shí)性電或其它信號(hào)的有線(xiàn)、無(wú)線(xiàn)��、光學(xué)或其它通信鏈路��。非暫時(shí)性計(jì)算機(jī)可讀介質(zhì)包括數(shù)據(jù)可以永久存儲(chǔ)于其中的介質(zhì)和數(shù)據(jù)可以存儲(chǔ)于其中并在隨后可以覆寫(xiě)的介質(zhì)�����,諸如可重寫(xiě)光盤(pán)或可擦存儲(chǔ)器設(shè)備����。
[0056]對(duì)遍及本專(zhuān)利文件所使用的某些詞或短語(yǔ)闡述定義可以是有利的�����。術(shù)語(yǔ)“應(yīng)用”和“程序”指一個(gè)或多個(gè)計(jì)算機(jī)程序�、軟件組件、指令集�����、規(guī)程�、函數(shù)��、對(duì)象���、類(lèi)、實(shí)例�����、相關(guān)數(shù)據(jù)��、或適用于以適當(dāng)?shù)挠?jì)算機(jī)代碼(包括源代碼�、目標(biāo)代碼或可執(zhí)行代碼)實(shí)現(xiàn)的其部分。術(shù)語(yǔ)“通信”及其派生詞既包括直接通信又包括間接通信��。術(shù)語(yǔ)“包括”和“包含”及其派生詞��,意思是包括而沒(méi)有限制���。術(shù)語(yǔ)“或”是包含性的����,意思是和/或�。短語(yǔ)“與...相關(guān)聯(lián)”及其派生詞可意思是包括、被包括在...之內(nèi)、與...互連��、包含���、被包含在...之內(nèi)����、連接到...或與...連接�����、耦合到...或與...耦合���、與...可通信���、與...協(xié)作、交錯(cuò)�、并置�����、與...緊接�����、被接合至IJ...或與...接合、具有����、具有...的性質(zhì)、具有對(duì)或與...的關(guān)系等等�����。短語(yǔ).中的至少一個(gè)”��,當(dāng)與一列項(xiàng)目一起使用時(shí)��,意味著所列項(xiàng)目中的一個(gè)或多個(gè)的不同組合可以被使用�,并且可能需要列表中的僅一個(gè)項(xiàng)目。例如�����,“A�、B和C中的至少一個(gè)”包括以下組合中的任何:A、B�、C、A和B����、六和(:�����、B和C�、以及A和B和C�。
[0057]盡管本公開(kāi)已經(jīng)描述了某些實(shí)施例和一般地相關(guān)聯(lián)的方法,但是對(duì)本領(lǐng)域技術(shù)人員來(lái)說(shuō)這些實(shí)施例和方法的變更和置換將是顯而易見(jiàn)的���。由此�,示例實(shí)施例的以上描述不限定或約束本公開(kāi)�。其它改變、取代和變更也是可能的而不脫離如由以下權(quán)利要求限定的本公開(kāi)的精神和范圍��。
【主權(quán)項(xiàng)】
1.一種方法包括: 在切換(408)期間將工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)(100)中的設(shè)備(202b)從次要角色轉(zhuǎn)換為主要角色�����; 響應(yīng)于所述切換�,清除(410)由所述設(shè)備存儲(chǔ)的一個(gè)或多個(gè)安全值; 在所述設(shè)備處從網(wǎng)絡(luò)節(jié)點(diǎn)(204)接收(412)消息��;以及 響應(yīng)于確定(414)沒(méi)有安全關(guān)聯(lián)與所接收的消息或所述網(wǎng)絡(luò)節(jié)點(diǎn)相關(guān)聯(lián)���,與所述網(wǎng)絡(luò)節(jié)點(diǎn)交換(416)安全憑證并建立(418)信任關(guān)系���; 其中轉(zhuǎn)換所述設(shè)備包括承擔(dān)先前以主要角色操作、先前與所述網(wǎng)絡(luò)節(jié)點(diǎn)通信且先前具有與所述網(wǎng)絡(luò)節(jié)點(diǎn)的安全關(guān)聯(lián)的另一設(shè)備(202a)的網(wǎng)絡(luò)地址���。2.根據(jù)權(quán)利要求1所述的方法�����,進(jìn)一步包括: 在所述切換之前��,當(dāng)所述另一設(shè)備與所述網(wǎng)絡(luò)節(jié)點(diǎn)通信時(shí)將所述設(shè)備與所述另一設(shè)備同步(406) ο3.根據(jù)權(quán)利要求1所述的方法�����,其中清除所述一個(gè)或多個(gè)安全值包括: 清洗來(lái)自所述設(shè)備的至少一個(gè)存儲(chǔ)器(144���,150)的一個(gè)或多個(gè)安全參數(shù)索引(SPI)值、一個(gè)或多個(gè)認(rèn)證密鑰和一個(gè)或多個(gè)通信策略����。4.根據(jù)權(quán)利要求1所述的方法,其中: 接收所述消息包括從所述網(wǎng)絡(luò)節(jié)點(diǎn)接收封裝安全有效載荷�����;以及 所述方法進(jìn)一步包括確定沒(méi)有安全關(guān)聯(lián)與所接收的封裝安全有效載荷相關(guān)聯(lián)。5.根據(jù)權(quán)利要求1所述的方法����,其中建立所述信任關(guān)系包括使用互聯(lián)網(wǎng)協(xié)議安全(IPsec)建立所述信任關(guān)系。6.根據(jù)權(quán)利要求1所述的方法�����,其中所述安全憑證包括一個(gè)或多個(gè)認(rèn)證密鑰�����。7.根據(jù)權(quán)利要求1所述的方法��,其中當(dāng)所述設(shè)備接收到來(lái)自所述網(wǎng)絡(luò)節(jié)點(diǎn)的所述消息時(shí)�����,清除所述一個(gè)或多個(gè)安全值防止所述設(shè)備具有與所述網(wǎng)絡(luò)節(jié)點(diǎn)相關(guān)聯(lián)的信任關(guān)系�����。8.根據(jù)權(quán)利要求1所述的方法��,其中所述設(shè)備包括在過(guò)程控制器或服務(wù)器的冗余組中的一個(gè)設(shè)備�����。9.一種設(shè)備(202b)���,包括: 至少一個(gè)存儲(chǔ)器(144��,150)����,其被配置成存儲(chǔ)一個(gè)或多個(gè)安全值�����;以及 至少一個(gè)處理設(shè)備(142,148),其被配置成: 在切換期間在工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)(100)中將所述設(shè)備從次要角色轉(zhuǎn)換為主要角色��; 響應(yīng)于所述切換清除所述一個(gè)或多個(gè)安全值�; 在所述設(shè)備處從網(wǎng)絡(luò)節(jié)點(diǎn)(204)接收消息;以及 響應(yīng)于確定沒(méi)有安全關(guān)聯(lián)與所接收的消息或所述網(wǎng)絡(luò)節(jié)點(diǎn)相關(guān)聯(lián)��,與所述網(wǎng)絡(luò)節(jié)點(diǎn)交換安全憑證并建立信任關(guān)系��; 其中所述至少一個(gè)處理設(shè)備被配置成通過(guò)承擔(dān)先前以主要角色操作�、先前與所述網(wǎng)絡(luò)節(jié)點(diǎn)通信且先前具有與所述網(wǎng)絡(luò)節(jié)點(diǎn)的安全關(guān)聯(lián)的另一設(shè)備(202a)的網(wǎng)絡(luò)地址來(lái)轉(zhuǎn)換所述設(shè)備����。10.根據(jù)權(quán)利要求9所述的設(shè)備��,其中�,在所述切換之前,所述至少一個(gè)處理設(shè)備被配置成當(dāng)所述另一設(shè)備與所述網(wǎng)絡(luò)節(jié)點(diǎn)通信時(shí)將所述設(shè)備與所述另一設(shè)備同步�。11.根據(jù)權(quán)利要求9所述的設(shè)備,其中所述至少一個(gè)處理設(shè)備被配置成清洗來(lái)自所述至少一個(gè)存儲(chǔ)器的一個(gè)或多個(gè)安全參數(shù)索引(SPI)值�����、一個(gè)或多個(gè)認(rèn)證密鑰和一個(gè)或多個(gè)通fg策略�。12.根據(jù)權(quán)利要求9所述的設(shè)備,其中: 所述至少一個(gè)處理設(shè)備被配置成從所述網(wǎng)絡(luò)節(jié)點(diǎn)接收封裝安全有效載荷�����;以及所述至少一個(gè)處理設(shè)備進(jìn)一步被配置成確定沒(méi)有安全關(guān)聯(lián)與所接收的封裝安全有效載荷相關(guān)聯(lián)�。13.根據(jù)權(quán)利要求9所述的設(shè)備,其中所述至少一個(gè)處理設(shè)備被配置成清除所述一個(gè)或多個(gè)安全值以便當(dāng)所述設(shè)備從所述網(wǎng)絡(luò)節(jié)點(diǎn)接收到所述消息時(shí)�,防止所述設(shè)備具有與所述網(wǎng)絡(luò)節(jié)點(diǎn)相關(guān)聯(lián)的信任關(guān)系。14.一種非暫時(shí)性計(jì)算機(jī)可讀介質(zhì)包括計(jì)算機(jī)程序����,所述計(jì)算機(jī)程序包括計(jì)算機(jī)可讀程序代碼���,其用于: 在切換(408)期間將工業(yè)過(guò)程控制和自動(dòng)化系統(tǒng)(100)中的設(shè)備(202b)從次要角色轉(zhuǎn)換為主要角色; 響應(yīng)于所述切換���,清除(410)由所述設(shè)備存儲(chǔ)的一個(gè)或多個(gè)安全值; 在所述設(shè)備處從網(wǎng)絡(luò)節(jié)點(diǎn)(204)接收(412)消息����;以及 響應(yīng)于確定(414)沒(méi)有安全關(guān)聯(lián)與所接收的消息相關(guān)聯(lián),與所述網(wǎng)絡(luò)節(jié)點(diǎn)交換(416)安全憑證并建立(418)信任關(guān)系����; 其中轉(zhuǎn)換所述設(shè)備包括承擔(dān)先前以主要角色操作、先前與所述網(wǎng)絡(luò)節(jié)點(diǎn)通信且先前具有與所述網(wǎng)絡(luò)節(jié)點(diǎn)的安全關(guān)聯(lián)的另一設(shè)備(202a)的網(wǎng)絡(luò)地址��。
【文檔編號(hào)】H04L29/06GK106063221SQ201580006411
【公開(kāi)日】2016年10月26日
【申請(qǐng)日】2015年1月20日
【發(fā)明人】C·布納庫(kù)奧爾, J·施雷德, G·德雷頓
【申請(qǐng)人】霍尼韋爾國(guó)際公司