• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    本發明提供一種安全裝置,其位於一網路裝置內及具有用於該網路裝置內之功能連接的第一及第二媒介無關介面(Medium Independent Interfaces),藉此該等MII介面可允許該安全裝置位於該主機網路裝置之PHY晶片與MAC晶片間。
    公开号:TW201304455A
    申请号:TW101116756
    申请日:2012-05-11
    公开日:2013-01-16
    发明作者:Jonathan Nigel Malins
    申请人:Cooper Technologies Co;
    IPC主号:H04L63-00
    专利说明:
    網路安全裝置
    本發明係有關於網路安全之提供,以及特別有關於一種安全裝置,其針對在例如網際網路為例之大型全球網路上的通信及資料交換採取保護措施。
    與網際網路已增加及擴展不同使用者及實體可彼此通信之方式同時,其亦形成一能夠改善對網路終端裝置之遠端存取的媒介,該等網路終端裝置可見於任何所需的情況中,例如在工業化工廠、專業場所(field site)或其它地方。
    以前,定製網路(bespoke networks)被提供以用於數個終端裝置之所需監控/控制,例如製程工廠之間的資料交換。但是,在呈現一固有安全等級的同時,這樣的專屬網路系統在該網路之建立及維護的開支及可能複雜度及至該等各種終端裝置之接合方面顯現出缺點及限制。
    公用網路如網際網路之採用輕易克服這樣的已知限制,該網際網路具有用以達成改善對例如製程工廠資料遠端存取的手段。然而,伴隨網路網路存取之廣大可用性,是否有惡意侵入者或業餘玩家之可能攻擊的安全問題變得更關係重大。
    此外,任何目前的電腦病毒或間諜軟體會是問題的起因,它們會造成控制系統及終端裝置「掛掉」。
    亦注意到,目前使用中之許多控制系統已有10年以上之服役及通常設計成用以提供持續及特別是快速的功能及沒有過度關心安全/防禦問題。
    已發現到,可使這樣的舊有控制系統在接收沒有遵守關於該系統之嚴格網路層協定規則之信息時以許多非預期方式來執行。
    除了這樣的網路層協定攻擊或簡單阻斷服務攻擊之外,安全問題亦可能由在應用層上之蓄意惡意攻擊所引起,其中一「哄騙(spoof)」攻擊者尋找利用在較舊通信協定中之弱點,蓄意混淆或簡單隨機地改變在目標裝置中之資料。
    使用例如關於控制系統等用之製程/工廠資料交換的網際網路之益處規定網路安全問題之加強可顯示出吸引力的。
    一般安全解決方式已提供配置成用以攔截及過濾至一目標網路裝置之進入流量的「工業防火牆」,但是這樣的習知技藝解決方式不是設計成用於控制系統。
    並且,已由以商用現成元件(commercial off-the-shelf)通信協定進入網路系統之產品來建構安全系統,其中安全之等級常常由控制敘述來證明是正當的,該等控制敘述要求在「安全操作」期間不寫入該裝置。然而,這樣的配置通常及特別很難在上面所概述之情境中實施。
    已企圖發展出產品之規格,以決定脆弱性之等級,以及如適當的話,提供適當防禦方法。
    例如,North American Electric Reliability Corporation(NERC)定義一組指導方針及措施,其係用於美國之發電公用事業公司之命令。在控制系統安全之領域中,ISA SP99委員會尋求定義一組標準,依此可設計及評估「網路安全產品」。
    再者,雖然已發展出配置成用以藉由快速地傳送每一可能網路攻擊至該目標裝置來識別脆弱性進而測試控制及安全裝置之安全的一些產品,但是這樣的裝置在應用中係受限制的,因為應用協定之數目係相當高的及被認為無法以單一產品來測試。
    在工業及控制系統環境中,具有一用於稱為「Tofino」之區域保護(zonal protection)的分散式方法,以及該帶域保護係設置在網路終端裝置(例如,電力線通信(PLC)裝置、控制器遠端終端設備(RTU)及監視控制和資料擷取(SCADA)裝置)之上游。
    這樣的已知Tofino安全設備提供吸引的特徵,因為,在沒有它們自己的IP位址下,它們可借一相鄰終端裝置之位址,以便它們在該網路內以不可看見方式出現。並且,如果所有TCP/IP封包符合TCP/IP協定規則且在目前事務狀態機之序列中係有效的,則接收及傳送它們。對於被選受歡迎或應用通信協定(例如,Modbus TCP),詳細檢查及對照定義協定規則來確認每一資料封包之內容。並且,這樣的已知防火牆可提高配置之容易性,而不需要廣泛的設置知識,該防火牆可設計成自我學習及以一簡單圖形介面來輕易配置。
    如所提及,這樣的已知防火牆及安全裝置通常位於要被保護之終端裝置的上游及通常是使用於舊系統中,其中在相關上游位置簡單地將它們插入。
    然而,這樣已知裝置之「上游」規定顯現出缺點及限制。
    在它的「上游」位置內固有的事實是,該裝置可以好好地用以保護各種終端裝置且對於該複數個裝置之每一者亦表示一可能故障點。
    如果因為該裝置必須呈現處理各種裝置之每一者的資料等之可能性,所以使它位於該各種裝置之上游,則電力及尺寸需求及資料管理需求亦是重要的。並且,一旦已識別它的上游位置,則它可顯示相對容易繞過或者避開該裝置。
    本發明尋求以一具有超過已知安全情境之優點的方式提供網路相關安全。
    依據本發明之第一態樣,提供一種安全裝置,位於一網路裝置內,以便與那個裝置安全通信,以及其具有用於該網路裝置內之功能連接的第一及第二媒介無關介面(Medium Independent Interfaces)。
    如所察覺,在經由在該待保護實際網路裝置內提供該裝置,可輕易地完成關於裝置之電力需求及實際尺寸及所需處理資料量之減少的優點,因為該安全裝置只需要它的實際主機網路裝置所特有的更新。
    再者,該網路裝置只變成它的主機網路裝置之故障點,以及相較於該項技藝中所已知之「上游」工業防火牆,使用本發明不會如此輕易繞過或避開安全。
    因此,可經由本發明來實現具成本效益及改良網路安全。
    較佳地,該安全裝置可配置成併入一乙太網路終端裝置內。
    做為一特別優點,可根據一遠端位置所需修改及更新該安全裝置之功能。該安全裝置可配置成用以從它的主機或甚至其它網路裝置借一網路ID(例如,一IP位址)。在此方式中,可以在一控制系統網路中使用之本發明的每一安全裝置在該網路中保持「看不到的」。然而,具適當編碼之配置管理平台(Configuration Management Platform)為了傳遞及初始化更新等可輕易地存取該安全裝置。在可提供一主機裝置所特有之安全裝置的範圍內,只有關於那個裝置之操作的更新等需要被傳遞至該安全裝置。
    因此,可傳遞目標更新等至每一安全裝置,以最大化對於每一特定裝置所提供之安全的等級,同時在該網路內維持該安全裝置之不可見性,以減少一目標攻擊之可能性。
    通常,該安裝裝置可位於該主機網路裝置之PHY裝置與MAC裝置間。
    依據本發明之另一態樣,提供一種配置成在一主機網路裝置之MAC裝置與PHY裝置間接合之安全裝置。
    較佳地,該安全裝置係配置成包括第一及第二媒介無關介面(MII)。
    然後,任何這樣的裝置係配置成接合至該主機裝置內之MII匯流排。
    依據本發明之另一態樣,提供一種包括用以在一乙太網路終端裝置內接合之第一及第二介面的安全裝置。
    較佳地,該裝置係配置成在該終端裝置內之PHY裝置與MAC裝置間接合。
    當然,該裝置可包括第一及第二媒介無關介面。
    做為本發明之另一優點特徵,該安全裝置可包括一與內部或外部記憶功能相關聯之特定應用積體電路(ASIC)。特別地,該安全裝置可包括一外部記憶體介面及亦可以微核心(micro-cored)FPGA之形式或較佳地以ASIC之形式來提供。
    當然,本發明亦提供一種包括一像上面所定義之安全裝置的網路裝置,以及特別地,可包括一乙太網路產品。
    特別地,該網路裝置可包括一提供控制功能之網路終端裝置(例如,遠端製程/工廠控制系統之終端裝置形成部)。
    並且,本發明可有利地容許安全之增加及整合於一裝置內,以及其中裝置設計者不需要有任何特別安全經驗,因為可以有效且安全方式從一配置管理平台(Configuration Management Platform)提供那個裝置所有利特有之遠端管理、升級等。
    在此參考所附圖式只經由範例來進一步描述本發明。
    首先參照第1圖,提供一網路控制系統10之示意圖,其包括一遠離一工廠終端14之控制終端12,該工廠終端14可例如經由工廠網路16與該控制終端12通信來提供所需之安全監控或操作功能。在企圖使該控制終端12及該工廠終端14及其間之工廠資料的交換脫離該網路之固有安全缺點中採用已知安全方法。
    在此方式中,在該等終端裝置12,14之每一者上游處,分別提供一工業防火牆18,20。
    該防火牆18特別用以保護該控制終端12不受惡意或其它「駭侵」攻擊,以及網路層協定及應用層攻擊。
    同樣地,該防火牆20提供該工廠終端14一相似程度的保護。
    然而,相當普遍的是,該防火牆20亦用以提供對其它網路裝置22(未個別描述於第1圖中)之保護。
    不過,像該等已知防火牆裝置18,20之安全配置呈現缺點及可能的限制,一旦它們被設置,它們可輕易被繞過或避開。並且,當對複數個終端裝置提供保護時,該防火牆會經歷電力、資料處理及裝置之總尺寸的高需求。
    並且,如果該防火牆20故障,則此將充當它所要保護之所有裝置14,22的單一故障點。
    現在參照第2圖,提供一具有相似於第1圖之工廠終端裝置14的功能之網路終端裝置14'的示意方塊圖,其已配置成併入本發明之觀念,以便提供超過像第1圖所述之已知防火牆配置的優點。
    第2圖顯示一方塊圖,其部分表示該工廠終端裝置14'之一些功能,它係有關於在其內所提供之安全保護。
    如所述,該工廠終端裝置14'以它的PHY晶片26連接至一實體層連線(例如,銅線或光纖24)。通常,該PHY晶片26連接至一媒介存取控制(MAC)晶片28,該媒介存取控制(MAC)晶片28可包括一獨立裝置或可整合於該工廠終端裝置14'之微控制器內。
    因此,在本發明中,應該察覺到,不管是導線、光纖、無線或其它,該PHY晶片之提及包含任何適當實體介面
    依據本發明之所述實施例,安全功能32係設置在該PHY晶片26與該MAC晶片28間。
    通常,在PHY晶片26與該MAC晶片28間之連線包括一稱為媒介無關介面(MII)匯流排之七線匯流排30及在PHY晶片26與該MAC晶片28間交換之所有通信經由該匯流排30行進。
    因此,有利地,可經由一包括一適當特定應用積體電路(ASIC)或一場式可程式閘陣列(FPGA)之安全裝置32提供該安全功能,該安全裝置32使用第一及第二MII介面,以便輕易設置在該PHY晶片26與該MAC晶片28間之資料路徑內。這樣的ASIC或FPGA裝置將包含一配置成用以執行必要處理及所需任何加密功能之嵌入式CPU及亦與內部或外部記憶功能相連。
    因此,該安全裝置32(在此亦可稱為一防火牆裝置)在一範例中亦包括一外部記憶體介面(未顯示),以便輕易連接至一外部記憶體,該外部記憶體可包含例如另外的可載入安全模組及亦包含使用者之一般安全配置。
    因此,該裝置輕易地配置成自一配置管理平台來遠端更新等。
    經由該裝置32所提供之安全功能可有利地反映經由像第1圖所述之已知工業防火牆所提供之安全功能。
    當然,本發明亦提供一種網路裝置,其包括一像上面定義之安全裝置,以及特別地,可包括一乙太網路產品。特別地,在該安全裝置32只可能與單一主機裝置14'相連之範圍內,該安全裝置32只需要包含一簡化版本之Tofino碼。再者,甚至憑藉該已知Tofino系統之基本目前特徵,使用者可使用一固定功能安裝或使用一中央管理平台(CMP)保持完全可程式彈性。
    如上所述,可輕易地使用該CMP來存取、監控、管理、升級等,各種可能安全裝置之每一者嵌入個別不同的主機網路終端裝置,而那些安全裝置在該網路內係保持「不可見的」。該CMP亦容許安全,但是是像對該「不可見」裝置之「通知(advise)」及「檢視(review)」的所有相關安全態樣的服務指令之準確通信。
    因此,如適當的話,可輕易地完全保留、支援及使用來自上述已知Tofino系統之關於「不可見性」、像一陳述防火牆之操作、深封包檢查及「自我學習」配置之容易性的較佳特徵,同時避免目前技藝之缺點及限制。
    因此,本發明可輕易地提供一裝置之安全特性,以及該等安全特性完全是該裝置所特有的,使其更新來符合可能固定展開安全威脅所設置之挑戰。
    10‧‧‧網路控制系統
    12‧‧‧控制終端
    14‧‧‧工廠終端
    14'‧‧‧網路終端裝置
    16‧‧‧工廠網路
    18‧‧‧工業防火牆
    20‧‧‧工業防火牆
    22‧‧‧網路裝置
    24‧‧‧銅線或光纖
    26‧‧‧PHY晶片
    28‧‧‧媒介存取控制(MAC)晶片
    30‧‧‧匯流排
    32‧‧‧安全裝置
    第1圖係依據目前技藝之一使用網際網路的控制系統配置之示意圖;第2圖係一包括本發明之一實施例的網路終端裝置之示意圖。
    14'‧‧‧網路終端裝置
    24‧‧‧銅線或光纖
    26‧‧‧PHY晶片
    28‧‧‧媒介存取控制(MAC)晶片
    30‧‧‧匯流排
    32‧‧‧安全裝置
    权利要求:
    Claims (14)
    [1] 一種安全裝置,其配置成位於一網路裝置內及具有用於該網路裝置內之功能連接的第一及第二媒介無關介面。
    [2] 如申請專利範圍第1項所述之安全裝置,其配置成併入一乙太終端裝置內。
    [3] 如申請專利範圍第1或2項所述之安全裝置,其位於一主機網路裝置之PHY裝置與MAC裝置間。
    [4] 一種安全裝置,其配置成位於一網路裝置內及接合於一主機網路裝置之MAC裝置與PHY裝置間。
    [5] 如申請專利範圍第1至4項中任一項或多項所述之安全裝置,其配置成包括用於至一MII匯流排之連接的第一及第二媒介無關介面。
    [6] 一種安全裝置,其包括配置成用以接合於一乙太網路終端裝置內之第一及第二介面。
    [7] 如申請專利範圍第6項所述之安全裝置,其配置成接合於該終端裝置內之PHY裝置與MAC裝置間。
    [8] 如申請專利範圍第6或7項所述之安全裝置,其包括第一及第二媒介無關介面。
    [9] 如申請專利範圍第1至8項中任一項或多項所述之安全裝置,其包括一具有整合CPU之ASIC或FPGA。
    [10] 如申請專利範圍第1至9項中任一項或多項所述之安全裝置,其配置成從一主機或其它網路裝置使用一網路節點識別器。
    [11] 如申請專利範圍第1至10項中任一項或多項所述之安全裝置,其配置成具有編碼,以允許以一遠端配置管理平台來存取。
    [12] 一種網路裝置,其包括如申請專利範圍第1至11項中任一項或多項所述之安全裝置。
    [13] 一種網路配置,其包括如申請專利範圍第12項所述之至少一網路裝置。
    [14] 一種安全裝置,其實質上如上文中參考所附圖式之第2圖所述。
    类似技术:
    公开号 | 公开日 | 专利标题
    CN102317876B|2016-02-24|具有网络隔离和通信过滤器的通信模块
    JP2015050767A|2015-03-16|ホワイトリスト基盤のネットワークスイッチ
    US8756411B2|2014-06-17|Application layer security proxy for automation and control system networks
    CN104683352B|2018-05-25|一种具有双通道摆渡的工业通讯隔离网闸
    CN107852359B|2020-10-23|安全系统、通信控制方法
    KR101206095B1|2012-11-28|보호계전기, 상기 보호계전기를 구비하는 네트워크 시스템 및 네트워크 보안방법
    CN109842585B|2021-04-13|面向工业嵌入式系统的网络信息安全防护单元和防护方法
    ES2655651T3|2018-02-21|Separador de protocolo y método de comunicación correspondiente
    KR20140147583A|2014-12-30|산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법
    CN104717205A|2015-06-17|基于报文重构的工控防火墙控制方法
    CN106789892B|2020-05-22|一种云平台通用的防御分布式拒绝服务攻击的方法
    US20160094517A1|2016-03-31|Apparatus and method for blocking abnormal communication
    US20150341315A1|2015-11-26|Network Security Device
    CN104539600A|2015-04-22|一种支持过滤iec104协议的工控防火墙实现方法
    KR101887544B1|2018-08-10|Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템
    CN108418839A|2018-08-17|电力专用加密通信安全模块
    Kiuchi et al.2009|Customizing control system intrusion detection at the application layer
    KR101845776B1|2018-04-05|레이어2 보안을 위한 MACsec 어댑터 장치
    Tippenhauer et al.2021|vBump: Securing Ethernet-based Industrial Control System Networks with VLAN-based Traffic Aggregation
    CN102546387A|2012-07-04|一种数据报文的处理方法、装置及系统
    CN211046963U|2020-07-17|智能终端安全通讯系统
    Su et al.2021|The security challenges with the widespread use of it infrastructure in ICS
    Genge et al.2017|Practical Considerations on the Provisioning of Protection Strategies in Process Control Systems
    EP2940944B1|2017-03-01|Method and device for processing packet in trill network
    KR20100085290A|2010-07-29|서버보안을 위한 랜카드 시스템
    同族专利:
    公开号 | 公开日
    CA2776599A1|2012-11-13|
    GB201108005D0|2011-06-29|
    EP2523419A1|2012-11-14|
    CN102780690A|2012-11-14|
    US20150341315A1|2015-11-26|
    US20120291116A1|2012-11-15|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    TWI672605B|2017-11-29|2019-09-21|財團法人資訊工業策進會|應用層行為辨識系統與方法|
    US10708158B2|2015-04-10|2020-07-07|Hewlett Packard Enterprise Development Lp|Network address of a computing device|IL128814A|1999-03-03|2004-09-27|Packet Technologies Ltd|Local network security|
    US7668306B2|2002-03-08|2010-02-23|Intel Corporation|Method and apparatus for connecting packet telephony calls between secure and non-secure networks|
    US7711948B2|2003-09-30|2010-05-04|Cisco Technology, Inc.|Method and apparatus of communicating security/encryption information to a physical layer transceiver|
    DE102005003016B4|2005-01-21|2006-10-26|Infineon Technologies Ag|Verfahren und Vorrichtungen zur Datenübertragung|
    CN100452800C|2005-06-09|2009-01-14|烽火通信科技股份有限公司|基于现场可编程门阵列器件的快速以太网端口带宽控制系统|
    CN101283539B|2005-10-05|2012-10-24|拜尔斯安全公司|网络安全设备|
    US7970859B2|2006-11-09|2011-06-28|Raritan Americas, Inc.|Architecture and method for remote platform control management|
    US8130786B2|2008-03-14|2012-03-06|Broadcom Corporation|Multi-rate backplane transceiver|CN105610863B|2016-02-04|2019-07-19|上海信昊信息科技有限公司|无ip地址的ip网络通信加密方法|
    法律状态:
    优先权:
    申请号 | 申请日 | 专利标题
    GBGB1108005.8A|GB201108005D0|2011-05-13|2011-05-13|Network security device|
    [返回顶部]