[发明专利]智能控制器和传感器网络总线以及包括多层平台安全架构的系统和方法

权利要求书

1.一种用于控制和操作自动化机器的机器自动化系统，其特征在于，所述系统包括：

包括多个输入/输出端口的控制器和传感器总线；和

通过所述总线的端口可操作地耦合在一起的多个外部机器自动化设备，其中所述总线包括：

至少一个中央处理内核；

多介质传输内部网，所述多介质传输内部网包括直接耦合到所述内核的一个或多个中央传输网络，以及包括多个节点和一个或多个门，以及多个子网络，每个子网络分别耦合到所述中央传输网络之一的所述门中的不同个，所述子网络包括多个子节点；和

多层安全架构，所述多层安全架构包括与安全模块耦合的安全管理器中央处理单元CPU，所述安全模块具有一次性可编程存储器，所述一次性可编程存储器存储所述节点、所述子节点和所述内核中的每一个的至少一个主秘钥，其中只有所述安全管理器CPU能够直接访问所述安全模块；

其中，所述节点和所述子节点中的每一个通过一个或多个所述端口与一个或多个所述设备耦合，并从耦合到一个或多个所述端口的一个或多个所述设备接收消息。

2.根据权利要求1所述的系统，其特征在于，当所述设备之一与所述节点之一耦合时，所述节点之一与所述内核在使所述设备之一能够在所述总线上操作之前执行双向认证过程。

3.根据权利要求2所述的系统，其特征在于，所述双向认证过程包括所述节点之一基于所述内核的所述主秘钥的导数来验证所述内核的身份，以及所述内核基于所述节点之一的所述主秘钥的导数来验证耦合到所述节点之一的所述设备之一的身份。

4.根据权利要求3所述的系统，其特征在于，在使所述设备之一能够通过所述节点之一在所述总线上操作之后，所述节点之一和所述内核周期性地重新执行所述双向认证过程，并且如果所述双向认证过程失败，则所述节点之一和所述内核禁用所述总线上的所述设备之一的操作。

5.根据权利要求4所述的系统，其特征在于，如果所述双向认证过程成功，则所述节点之一和所述内核确定所述设备之一的加密秘钥，并且所述节点之一和所述内核使用所述加密密钥来加密来自所述设备之一的消息和解密发送到所述设备之一的消息。

6.根据权利要求5所述的系统，其特征在于，每当所述双向认证过程的周期性重新执行成功时，所述节点之一和所述内核确定所述设备之一的新加密秘钥，并且所述节点之一和所述内核使用所述新加密密钥来加密来自所述设备之一的消息和解密发送到所述设备之一的消息。

7.根据权利要求6所述的系统，其特征在于，所述安全模块存储所述总线的多个子系统中的每个子系统的认证中心和引导映像的测量，并且当引导所述总线执行信任引导过程时，所述执行信任引导过程包括：

对于每个子系统：

识别所述子系统的证书；

测量所述子系统的当前引导映像；以及

除非所述证书能够基于所述认证中心进行认证以及所述当前引导映像的测量与存储在所述安全模块中的所述子系统的所述引导映像的测量匹配，否则不引导所述子系统。

8.根据权利要求7所述的系统，其特征在于，所述多层安全架构包括至少一个行为监控节点，所述行为监控节点：

存储与一组一个或多个所述节点和所述内核对应的多个行为参数和动作集合；以及

对于所述组中的每一个：

监控并记录所述组中的所述一个的行为；

将所监控的行为和与所述组中的所述一个对应的一个所述行为参数和动作集合中的行为参数进行比较；以及

如果所监控的行为不满足所述行为参数，则执行所述对应的一个所述行为参数和动作集合中的一个或多个动作。

9.根据权利要求8所述的系统，其特征在于，所述动作包括由以下各项构成的所述组中的一个或多个：禁用所述组中的所述一个，发送关于所述组中的所述一个的警报消息，以及启动所述组中的所述一个的所述双向认证过程的周期性重新执行。