[发明专利]工业自动化系统和对其进行保护的方法

说明书

技术领域

本发明涉及一种工业自动化系统和对其进行保护的方法。

背景技术

工业自动化系统包括多个用于控制机器、传感器等的计算机。工业自动化系统通常出于安全因素为自成一体的系统，也就是说，其他部件（例如用于控制和更新已存在的系统部件的机器、设备、计算机等）的加入因此通常与安全问题相关联。有时，也在自动化系统中执行不支持自动化系统的安全协议或认证协议的设备。这种设备是潜在不安全的并且形成对于攻击者可能的薄弱处。

自动化系统的这种不安全的设备例如为具有用于应连接到自动化系统处的其他的、外部的设备的接口的部件。所述部件例如能够为交换机或网桥。所述设备的接口通常基于以太网协议。具有用于外部设备的接口的设备能够选择性地以无线的或有线连接的方式与自动化系统的其他部件连接。

不安全的设备的另一个实例为不具备支持安全协议的能力的部件。如果将其他的、外部的设备，例如将计算机经由接口连接到所述设备上，那么已能对自动化系统的全部部件进行访问，因为没有设置其他的安全机构。因此，攻击者能够侦查出例如配置数据等。

禁止对自动化系统的部件的不受控的访问的一个方案是，为不安全的设备提供专用的端口。此外，能够在不安全的设备和自动化系统的部件之间设置网关，其中那么网关提供用于不安全的设备的端口。然而，这两个解决方案都导致下述问题，必须提供连接到不安全的设备上的开放的、不安全的端口。

从US7,314,169B1中已知为了提高自动化系统的安全性，通过中央单元能够为连接到自动化系统上的设备创建访问标签或其他合适的数据结构，其中访问标签至少部分地基于请求单元的识别特征。在此，在每个请求单元的访问标签中分配访问权限。这种方法的缺点在于需要高的管理费用。

发明内容

本发明的目的是，提出一种工业自动化系统和对其进行保护的方法，其中能够以低的管理费用提供高的安全性。

所述目的通过一种工业自动化系统和一种对所述工业自动化系统进行保护的方法来实现，其中所述工业的自动化系统包括：-数字指纹，所述数字指纹分配给请求访问所述自动化系统的单元，并且所述数字指纹以所述单元与所述自动化系统的指纹测定部件的通信的一个或多个参数为基础；-所述指纹测定部件，所述部件在所述自动化系统工作时允许请求单元访问所述自动化系统并且将所述请求单元的已测定的指纹与已存储的指纹进行比较；在用于对工业自动化系统进行保护的方法中，其中-将指纹分配给请求访问所述自动化系统的单元，-以所述单元与所述自动化系统的指纹测定部件通信的一个或多个参数为基础来测定所述指纹；-所述指纹测定部件将已测定的指纹与已存储的指纹进行比较并且仅在比较结果为肯定的情况下允许对所述自动化系统进行访问。有利的设计方案包含在下文中。

本发明实现一种包括数字指纹的工业自动化系统，所述数字指纹被分配给请求访问自动化系统的单元并且以所述单元与自动化系统的测定指纹的部件通信的一个或多个参数为基础。自动化系统还包括测定指纹的部件，所述部件在自动化系统工作时允许请求单元访问自动化系统并且将请求单元的已测定的指纹与已存储的指纹进行比较。

在根据本发明的用于保护工业自动化系统的方法中，请求访问自动化系统的单元分配有指纹。以所述单元与自动化系统的测定指纹的部件的通信的一个或多个参数为基础来测定指纹。测定所述指纹的部件将所述指纹与已存储的指纹进行比较并且仅在比较结果为肯定的情况下允许对自动化系统访问。

测定指纹的部件是连接到工业自动化系统上的、请求单元的网关。通过测定指纹的部件测定请求单元的指纹，能够以简单的方式提供对于自动化系统的自动的访问保护。自动化系统抵御不同类型的攻击，例如主动攻击、自动化系统之内的攻击、电子欺骗、临近攻击或拦截攻击（Hijack-Angriffe）。在没有根据数字指纹对请求单元事先进行验证和检查的情况下，即使是连接有请求单元的开放端口也不能够用于访问自动化系统的其他部件。尤其地，通过本发明这种请求单元也可连接到自动化系统上，否则所述请求单元不具有对已授权的协议的支持。