[发明专利]软件定义的控制系统中的安全服务

权利要求书

1.一种保护过程工厂的过程控制系统的方法，所述方法包括：

将安全容器与所述过程控制系统的控制容器相关联，所述安全容器具有定义一个或多个安全条件的内容，并且所述控制容器包括在所述过程工厂的运行时间期间可执行以控制工业过程的至少一部分的内容；以及

基于所述安全容器的所述内容，控制对所述控制容器的访问和/或来自控制容器的数据流。

2.根据权利要求1所述的方法，还包括：

由软件定义的联网服务生成所述安全容器；以及

由所述软件定义的联网服务实例化所述安全容器的实例，以与所述控制容器一起操作。

3.根据权利要求2所述的方法，其中，所述安全容器的所述实例是所述安全容器的主实例，所述方法还包括：

由所述软件定义的联网服务实例化所述安全容器的冗余实例，所述冗余实例不控制对所述控制容器的访问和/或来自所述控制容器的数据流。

4.根据权利要求2所述的方法，还包括：

由所述软件定义的联网服务从控制配置服务获取所述安全容器的所述内容的至少一些，所述控制配置服务将用于所关联的控制容器的安全条件存储于控制配置数据储存器中。

5.根据权利要求2所述的方法，还包括：

由所述软件定义的联网服务利用来自所述一个或多个安全条件的替代或附加安全条件来更新所述安全容器的所述内容。

6.根据权利要求5所述的方法，其中，响应于所关联的控制容器的配置的改变，利用替代或附加安全条件来更新所述安全容器的所述内容。

7.根据权利要求1所述的方法，其中，控制对所述控制容器的访问和/或来自所述控制容器的数据流包括：

根据所述安全容器的所述内容加密来自所述控制容器的数据。

8.根据权利要求1所述的方法，其中，所述安全容器的所述内容包括被允许访问来自所述控制容器的数据的服务或节点的白名单，并且控制对所述控制容器的访问和/或来自所述控制容器的数据流包括：

阻止未包括在所述白名单中的服务或节点访问来自所述控制容器的所述数据。

9.根据权利要求1所述的方法，其中，所述一个或多个安全条件包括：用于阻止来自所述过程工厂外部源的数据被发送到所述控制容器的安全条件。

10.根据权利要求1所述的方法，其中，所述安全容器包括以下中的至少一个：防火墙、智能交换机、数据二极管、分组检查服务、访问控制服务、认证服务、授权服务、加密服务、证书授权服务、或密钥管理服务。

11.根据权利要求1所述的方法，还包括：

由所述安全容器从用户获取访问所关联的控制容器的请求；

由所述安全服务基于所述请求确定用户的授权级别；

由所述安全服务基于所述授权级别确定所述用户是否被授权为访问所关联的控制容器；以及

响应于确定所述用户被授权为访问所关联的控制容器，由所述安全服务提供对所关联的控制容器的访问。

12.根据权利要求1所述的方法，其中，将所述安全容器与所述控制容器相关联包括：将所述安全容器嵌套于所述控制容器内。

13.根据权利要求1所述的方法，其中，将所述安全容器与所述控制容器相关联包括：将所述安全容器绑住到与所述控制容器在其中执行的计算节点相同的计算节点。