[发明专利]基于硬件的颗粒级业务风暴保护

说明书

技术领域

本发明涉及工业控制系统，具体地，涉及工业控制系统中的基于硬件的颗粒级业务风暴保护（granular traffic storm protection）。

背景技术

用于工业控制器之间的通信的控制网络与标准网络的不同之处在于它们必须操作用于在预定时间限制内可靠地传输数据。通常这是通过另外的通信协议来实现的，这些通信协议保留了网络带宽并且对消息进行调度以防止可能将不可预测的延迟引入网络通信中的冲突等。通常用在工业控制系统中的这样的网络包括例如控制网（ControlNet）、设备网（DeviceNet）、以太网/IP（EtherNet/IP）和串行实时通信协议（Sercos），它们的规范被公开并且它们的通用工业协议（CIP）被大量的制造者和供应者广泛使用。

在存在业务风暴的情况下，如许多其它系统的工业系统还可能易受应用中断影响。例如，由上线的新装置、发送广播业务的故障装置和来自发送广播或单播消息的攻击者的故意中断引起的消息的突发都可能是引起这样的中断的业务风暴的潜在源。

当前的实现一般可对广播、多播或单播数据包执行基于硬件的过滤，并且当达到阈值时，这些分组可能被落下或者端口可能被禁用，而不管分组提供了关键的工业应用消息还是较不重要的额外信息。一些实现可以更具体地以软件或固件监测消息并且在业务风暴中禁止对低优先级消息的处理或处置。然而，这样的软件或固件处理需要CPU处理资源，当提供这些CPU处理资源时剥夺了其它应用处理的资源。在消息业务的连续流可能对于维持工业处理是关键的工业应用（诸如运动中的用于制造的一台或多台机器）中，这可能尤其成为问题。

发明内容

本发明人已认识到，对于工业控制系统，可以以硬件有利地监测消息。这样，在存在业务风暴的情况下关键的工业应用可继续操作而不损失完整性。

本发明的各方面在一个实施例中提供了一种用于工业控制系统的网络装置，该网络装置包括一个或多个端口，其中每个端口被适配成通过工业控制网络传输工业控制协议分组。缓冲存储器可以可选地耦合到每个端口，该缓冲存储器被适配成将入站分组（inbound packet）存储在入站队列中以及将出站分组存储在出站队列中。交换电路可耦合到每个端口，该交换电路被适配成基于包含在入站分组中的寻址信息将入站分组从每个端口发送到其适当的目的地（诸如发送到其它端口的出站队列或发送到处理器和/或工业处理电路）。分组评估电路可耦合到每个端口或可选的缓冲存储器，该分组评估电路针对每个入站分组而被适配成：（a）在交换电路可以将入站分组发送到适当的目的地之前，评估包含在入站分组中的并且在各个分层的协议级的一个或多个协议字段，诸如地址（例如，源或目的地）、端口号、通信类型（例如，广播、单播或多播）、应用协议消息类型（例如，CIP运动、CIP I/O或IEEE1588）或者状态协议字段（诸如建立的有效CIP连接ID）；（b）如果入站分组包含由所评估的一个或多个协议字段表示的特定消息，则允许交换电路发送该入站分组；以及（c）如果入站分组不包含用于发送的特定消息以及如果在给定时间段期间入站分组类型的总字节数超过出站端口的阈值，则选择性地禁止交换电路发送入站分组。

分层的协议级可包括例如控制网络级（例如，控制网、设备网、以太网/IP或串行实时通信协议实现级）、因特网协议级（例如，TCP或UDP）以及应用级，包括针对各种类型的协议。另外，进站分组中的用于发送的特定消息的指示可被设置并且可以是可配置的。例如，可基于CIP运动分组、CIP I/O分组或IEEE1588分组的存在或者入站分组源自有效CIP连接ID还是有效CIP装置ID来标识用于发送的特定消息。

可经由寄存器设置来配置所评估的协议字段。可通过丢弃入站分组或者通过将入站分组移动到单独的存储器并且排队以进行随后的处理来禁止发送入站分组。

另一实施例可提供一种用于通过工业控制网络传输分组的方法，该方法包括：（a）接收通过工业控制网络传输的入站工业控制协议分组；以及（b）评估入站分组的一个或多个协议字段，以及如果协议字段等于特定值，则以硬件进行确定，并且如果协议字段等于特定值，则将入站分组发送到适当地址。