本发明涉及一种根据专利权利要求1的前序部分的用于控制对基于IT系统的网络、尤其包括嵌入式系统或分布式系统的自动化网络、控制网络或监视网络的访问的方法、一种根据专利权利要求10的前序部分的用于控制对基于IT系统的网络、尤其包括嵌入式系统或分布式系统的自动化网络、控制网络或监视网络的访问的计算机程序产品以及一种根据专利权利要求17的前序部分的用于控制对基于IT系统的网络、尤其包括嵌入式系统或分布式系统的自动化网络、控制网络或监视网络的访问的控制单元。
背景技术:
IT系统是电子数据处理的系统,因为基于VNA(以Von-Neumann-Architektur(冯·诺伊曼架构)为基础),所以例如任何类型的分布式系统和嵌入式系统属于此,但各个计算机、大型计算设备、高性能计算设备等也属于此,通信系统以及互联网在其全体方面部分地也属于此。然而,IT系统也可以基于不同于VNA架构的架构,例如基于Harvard-架构(哈佛架构)。
在工业领域中,在基于这样的IT系统的网络中,例如在包括嵌入式系统或分布式系统的自动化网络、控制网络或监视网络的形式中使用“物联网<IoT>”技术,以便例如在网络访问的过程中传输诊断数据到后端系统。
对此已知的是,例如使用构造为“物联网<IoT>”设备的诊断盒,所述诊断盒为此(i)建立到相应的网络的连通性,(ii)在此检测不同的网络传感器,所述网络传感器可以集成在网络中或者也可以要么有线地要么无线地连接到网络上,以及(iii)具有不同的网络接口,即例如以太网接口、根据3G/4G/5G-标准的移动无线电接口、WLAN接口,等等。
此外,诊断盒为此应仅仅与单独的、关于运行和/或安全非关键的尤其称作标准网络的网络的仅仅针对诊断设置的网络传感器连接并且不与网络特定的控制系统连接,所述网络特定的控制系统属于关于运行和/或安全关键的网络。然而,确保这点需要附加的耗费,因为现有的在控制系统中存在的传感器数据和运行数据是不可分析处理的。
因此存在以下危险:诊断盒或IoT设备的用户将诊断盒或IoT设备以不允许的方式与关于运行和/或安全关键的网络的关键控制系统连接。因此,从网络角度存在以下需求:防止通过诊断盒或IoT设备对关于运行和/或安全关键的网络的访问或到关键的网络的连通性的建立而对控制系统的影响。
因此存在以“Data Capturing Unit <DCU>:数据捕捉单元”盒形式的西门子产品,其可以无反馈地共同读取以太网网络上的数据。为此设置网络接口,所述网络接口物理地实现,使得以太网帧的发送是不可能的。然而该解决方案需要特别的硬件。
此外,在Microsoft Windows™中已知,设置多个网络配置。关于每一个网络,可以在通过用户设置时说明,该网络是私人网络还是公共网络。取决于此地,根据所连接的网络自动地匹配网络完全设定。
技术实现要素:
本发明所基于的任务在于,说明用于控制对基于IT系统的网络、尤其包括嵌入式系统或分布式系统的自动化网络、控制网络或监视网络的访问的方法、计算机程序产品和控制单元,在其中或借助其改善关于网络运行和网络数据的安全和保护方面的访问控制。
从在专利权利要求1的前序部分中定义的方法出发,通过在专利权利要求1的特征部分中说明的特征来解决所述任务。
此外,从在专利权利要求10的前序部分中定义的计算机程序产品出发,通过在专利权利要求10的特征部分中说明的特征来解决所述任务。
此外,从在专利权利要求17的前序部分中定义的控制单元出发,通过在专利权利要求17的特征部分中说明的特征来解决所述任务。
如果在在此申请的发明的上下文中谈及网络访问,则应借助概念“访问”的应用,包括从网络连通性的建立直至对网络数据的访问的所有对应的网络动作。
本发明所基于的、根据在权利要求1、10和17中分别说明的技术教导的思想在于,通过观察和分析处理(探测)网络中的通信(执行所观察的协议与通常在运行和/或安全关键的网络中使用的、优选存储在列表中的多个参考协议的网络通信协议比较)来独立地识别,在对关于运行和/或安全非关键的、尤其称作标准网络的至少一个网络和关于运行和/或安全关键的至少一个网络中的至少一个网络的网络访问、尤其网络连通性的建立的过程中是涉及非关键的网络还是关键的网络。
根据探测结果提供警告提示、优选“关键网络信号<CNS>”。
在此尤其示出:访问关于运行和/或安全关键的网络,或者建立至关于运行和/或安全关键的网络的网络连通性。
借助本发明防止,例如当无意地或者有意地却以不允许的方式,例如在诊断、服务、调试、维护、配置等等的过程中尝试访问所述运行和/或安全关键的网络的时候通过所述访问妨碍所述运行和/或安全关键的网络。
这尤其适用于,例如无经验的用户无意地或者有意地,例如借助服务笔记本电脑、诊断设备、调试设备、维护或配置设备、“物联网<IoT>”设备或用于检测预测性的维护数据的设备来访问运行和/或安全关键的自动化设施或者建立与运行和/或安全关键的自动化设施的连接。
本发明所基于的思想尤其涉及根据权利要求17所述的控制单元,所述控制单元根据权利要求26以有利的方式构造为服务笔记本电脑、诊断设备、调试设备、维护或配置设备、“物联网<IoT>”设备或用于检测预测性的维护数据的设备并且独立地识别,所述控制单元是否在网络接口上与运行关键的和/或安全关键的网络连接。为此,观察在该网络接口上的通信。在此,尤其观察通过该网络接口连接的网络的其他设备的通信或者在通过网络接口的网络的其他设备之间的通信。根据所观察的和接着分析处理的网络通信(例如所使用的安全协议、实时控制协议)来识别,例如通过网络访问或网络连通性的建立来指明的网络是否涉及运行关键的和/或安全关键的网络。
控制单元可以具有多个网络接口。在此,本发明可以在所有网络接口或个别网络接口上实现。借助根据本发明的控制单元来防止,在有错误的接线的情况下干扰运行关键的和/或安全关键的网络。控制单元可以具有特别的网络端口,在所述网络端口上允许与运行关键的和/或安全关键的网络的连接。
在控制单元中也根据探测结果产生警告提示、优选“关键网络信号<CNS>”并且将其通过输出接口输出。
这表明,在网络接口上存在运行关键的和/或安全关键的网络。
不仅所提供的而且所产生和输出的“关键网络信号<CNS>”可以通过不同的方式来使用:
- 作为彩色的编码——例如在非关键的网络或标准网络的情况下颜色“绿色的”、在运行和/或安全关键的网络的情况下颜色“红色的”(参考权利要求3、12和19)并且优选地在根据权利要求19的控制单元的情况下用于在网络接口上进行显示。
- 在管理菜单中显示/作为状态显示(参考权利要求4和20)。
- 网络访问的自动封锁和/或禁止(参考权利要求6、13和22)并且优选地在根据权利要求22的控制单元的情况下自动封锁和/或禁止网络接口。通过这种方式阻止,对于运行和/或安全关键的网络的危险来自网络访问中或起因于控制单元。
- 在网络访问中限制允许的网络通信协议(参考权利要求7、14和23)和优选地在根据权利要求23的控制单元的情况下在网络接口上通过控制单元限制允许的网络通信协议(阻止或控制单元阻止,在运行和/或安全关键的网络中的网络通信被影响)。为此,例如可以匹配防火墙规则,或者可以配置只读访问,例如可以对于网络接口配置只读模式。
- 可以禁止或限制控制单元的其他网络接口(例如封锁互联网/移动无线电连接)。
- 显示错误通知(参考权利要求5和21)。
先前提到的动作优选地自动进行。
此外,优选地,管理员(参考权利要求5)或者控制单元的管理员可以明确地释放识别为有问题的配置。这例如通过以下方式来进行,即通过由网络管理员输入的控制命令重新取消所述封锁或禁止并且重新释放对所述运行和/或安全关键的网络的网络访问并且优选地在根据权利要求24的控制单元的情况下重新释放至所述运行和/或安全关键的网络的网络接口。
附图说明
本发明的另外的优点由根据图1和2对本发明的实施例的以下描述得出。其中:
图1 示出工业IT领域中的典型网络场景,其中任意访问基于IT系统的网络、尤其包括嵌入式系统或者分布式系统的自动化网络、控制网络或监视网络;
图2 示出控制根据图1的访问的控制单元的原理结构。
具体实施方式
图1示出工业IT领域中的典型网络场景,其中在网络访问的一般性的描述部分中说明的概念定义的意义上访问基于IT系统ITS的网络NW、NWUKR、NWKR。根据该网络场景,优选构造为自动化网络ANW、控制网络SNW或监视网络KNW的网络NW包含关于运行和/或安全非关键的、称为标准网络的网络NWUKR以及关于运行和/或安全关键的网络NWKR。两个子网络NWUKR、NWKR优选地基于嵌入式系统EBS或分布式系统VS。在网络NW中的关键的或非关键的网络NWUKR、NWKR的数目不限于所示出的两个子网络,而是可以一般性地如此大,使得在网络NW中包含至少一个非关键的网络NWUKR和至少一个关键的网络NWKR。
网络NW中的不仅非关键的网络NWUKR而且关键的网络NWKR构造为“多计算机系统”,其中优选构型为现场设备、控制设备、IoT设备、项目规划工具或服务工具的计算机CPT分别用于控制在网络NW的自动化网络ANW、控制网络SNW或监视网络KNW中积累的任务和功能。在所述任务与功能控制的过程中,计算机CPT以有规律的间隔跨网络地通过网络节点NWK——所述网络节点例如可以构造为网关——以及上一级的优选充当互联网的全球网络GNW与后端服务BESV通信,以便传输例如用于“预测性维护”(前瞻性维护)的状态数据。
在图1中示出的网络场景自身是自动化场景中的网络场景,其中与关键的网络NWKR一起存在实时关键的加工单元(实时单元)、所谓的安全单元,其具有例如构造为现场设备的多个计算机CPT,与此相反,与非关键的网络NWUKR一起存在实时非关键的加工单元、又称作(非实时单元),其具有例如构造为现场设备的多个计算机CPT。
所示出的网络场景的另外的组成部分是控制单元STE,借助所述控制单元不仅可以访问关于运行和/或安全非关键的网络NWUKR而且可以访问关于运行和/或安全关键的网络NWKR。控制单元STE为此建立与相应的网络的连通性,其方式是,其通过有线的或无线的连接技术,诸如以太网或WLAN、蓝牙或根据3G/4G/5G-标准的移动无线电与相应的网络连接。为此目的,控制单元STE优选构造为笔记本电脑、“物联网<IoT>”设备、诊断设备、维护设备或配置设备、用于检测预测性维护数据的设备。关于自动化场景,控制单元STE不仅可以连接在实时单元上而且可以连接在非实时单元上。
因此存在以下危险:控制单元STE以不允许的方式与关于运行和/或安全关键的网络的关键的控制系统连接。因此从在图1中示出的网络NW的运营商/管理员的角度存在以下需求:当尝试例如与关键的网络NWKR或者与实时单元建立连通性的时候,防止通过控制单元STE对关于运行和/或安全关键的网络NWKR或实时单元的访问而引起的对网络NW的影响。
换言之,从网络角度有意义的和符合目的的是,实施一种访问控制,借助所述访问控制避免这样的危险场景。这如何发生将借助图2的描述来阐述。
图2示出控制单元STE的原理结构,借助所述控制单元可以执行这样的访问控制。因此,控制单元STE具有非易失性的可读的存储器SP、与所述存储器SP连接的、优选构造为微处理器“µP”的处理器PZ、与处理器PZ连接的协议数据存储器PDS、与处理器PZ连接的网络接口NWSS、以及输入接口ESS和输出接口ASS,在所述非易失性的可读的存储器中存储有对访问控制进行控制的程序模块PGM的处理器可读的控制程序命令,所述处理器实施所述程序模块PGM的控制程序命令,在所述协议数据存储器中存储有通常在运行和/或安全关键的网络NWKR中使用的优选在列表中的多个参考协议,通过所述网络接口实现对非关键的网络NWUKR和关键的网络NWKR的网络访问以及网络连通性的建立,所述输入接口和所述输出接口用于与访问控制相关联的、用户特定的过程。
在控制单元STE中的用于待执行的访问控制的中央元件是程序模块PGM,所述程序模块作为APP单独地或者独立于控制单元STE地可获得并且可上传到控制单元STE中并且以便与在控制单元中通常已经存在的处理器和存储器一起形成计算机程序产品CPP。
控制单元STE的先前列举的构件形成功能单元并且被构造成,使得在每次网络访问时,即例如当每一次建立或尝试建立网络连通性的时候求取在相应的网络NWUKR、NWKR中用于网络通信的至少一个网络通信协议。在此,例如涉及由相应的网络NWUKR、NWKR中的其他节点(例如其他计算机)使用的网络通信协议或者在相应的网络NWUKR、NWKR的其他节点(例如其他计算机)之间使用的网络通信协议。
此后,由所形成的功能单元将分别求取的网络通信协议与通常在运行和/或安全关键的网络NWKR中使用的存储在协议数据存储器PDS中、例如列表中的多个参考协议进行比较。
在此,如果所求取的网络通信协议与所述参考协议的比较得出,所求取的至少一个网络通信协议与所述参考协议的专用参考协议一致,则借助相应的网络访问、尤其网络连通性的相应的建立来产生警告提示——所述警告提示例如可以是“关键网络信号<CNS>”——并且将其通过输出接口ASS输出。该产生和通过输出接口ASS的输出可以以一般性的形式也理解为提供。
如果与图1中的示图相反,多个非关键的网络NWUKR和关键的网络NWKR属于网络NW,此外,关键的网络NWKR相互区别并且控制单元STE例如通过相应数目的单独的网络接口NWSS访问网络NWUKR、NWKR并且尤其访问关键的网络NWKR,例如通过网络连通性的相应建立,则可以优选地也产生并且输出或提供相应于不同的关键的网络NWKR的数目的多个警告提示或关于其相应的标记的CNS信号。
如果无意地或者有意地却以不允许的方式,例如在诊断、服务、调试、维护、配置等等的过程中尝试访问一个或多个运行和/或安全关键的网络NWKR,则优选地产生和输出或提供一个警告提示或多个警告提示。
此外,如果对于关键的网络NWKR确定或求取多个网络协议并且所求取的协议中的仅仅一个协议与所存储的参考协议一致,则产生和输出或提供警告提示。仅仅当所求取的网络协议中无网络协议与所存储的参考协议一致——关键的网络NWKR在这种情况下根据定义不再是关键的网络而是非关键的网络——的时候,才不发生警告提示的产生和输出或提供。因此,优选地对于网络访问或网络连通性的建立,针对关于运行和/或安全关键的不同网络NWKR产生和输出或提供不同的警告提示。
如果网络访问或网络连通性的建立涉及非关键的网络,则在不产生和不输出或不提供警告提示的情况下进行对网络数据的访问、尤其对于网络诊断、网络服务、网络维护、网络配置等等。
警告提示优选地构造为声学的警告信号,例如以信号声的形式和表现。
此外,借助所述警告提示,可以彩色地、优选对于对所述非关键的网络或标准网络NWUKR的网络访问尤其以颜色“绿色的”并且对于对所述运行和/或安全关键的网络NWKR的网络访问以颜色“红色的”对所述网络相关的访问进行编码。在此,特别有利的是,在所述网络接口NWSS上显示彩色的编码。
替代地或附加地,可以借助所述警告提示来在管理菜单中显示所述网络相关的访问或者显示网络访问状态。
此外,可以借助所述警告提示显示错误通知。
在控制单元STE中,所述处理器PZ、所述程序模块PGM和所述网络接口NWSS构造成,使得借助所述警告提示的提供来自动地封锁和/或禁止对所述运行和/或安全关键的网络NWKR的网络访问和/或所述网络接口NWSS。
在一种替代的形式中,所述处理器PZ、所述程序模块PGM和所述网络接口NWSS在控制单元STE中可以构造成,使得借助所述警告提示的提供,限制对于所述网络访问和/或在所述网络接口NWSS上通过所述控制单元STE使用的网络通信协议的准许。这优选地通过防火墙规则或者通过限于只读访问来进行。在有效的只读模式中,可以可靠地防止对运行和/或安全关键的网络NWKR的影响,也即确保了无反馈。
在控制单元STE的另一种构型中,输入接口ESS、与处理器PZ连接并且通过该连接与由处理器PZ实施的程序模块PGM和网络接口NWSS一起形成功能单元,所述功能单元构型成,使得通过由网络管理员输入的控制命令或释放码又取消所述封锁或禁止并且重新释放对所述运行和/或安全关键的网络NWKR的网络访问和/或至所述运行和/或安全关键的网络NWKR的网络接口NWSS。由此可以实现对于不同需求设计的灵活的访问控制。
关于在图1的描述中提到的自动化场景,先前的实施方案意味着,构造为控制单元的服务笔记本电脑探测,在所连接的网络上使用哪些通信协议。如果识别关键的协议,例如安全协议或实时自动化协议,则服务笔记本电脑封锁对于自动化场景使用的网络接口。由此服务笔记本电脑防止:当服务笔记本电脑无意地与实时单元的网络连接时,通过服务笔记本电脑妨碍运行关键的网络。