過程控制網絡的一鍵安全上鎖的製作方法

2023-05-23 12:07:46

過程控制網絡的一鍵安全上鎖的製作方法
【專利摘要】本發明提供一種過程控制網絡的一鍵安全上鎖。在一過程控制系統中用於傳送數據的一複雜網絡的適當功能及安全可以以適用於整個過程控制網絡或所述網絡的部分的單一命令，人工地或自動地「上鎖」。一用戶或應用程式監測多個網絡設備上的網絡通信。一旦所述網絡被配置及在所述過程控制網絡上適當地傳送數據，所述應用程式可以通過去活或「鎖死」所述網絡上的存取點來上鎖所述網絡。上鎖所述網絡可能實質上將其凍結於一適當地配置及機能狀態，並限制未來的所述網絡設備的重配置或通過一開路或未使用的存取點的有害通信。在被上鎖時，一當前連接的設備被拔除而且一不同設備插上所述存取點，所述網絡設備可以拒絕所述連接。
【專利說明】過程控制網絡的一鍵安全上鎖
[0001]本申請是申請日為2009年9月25日、申請號為200910177758.1且名稱為「過程控制網絡的一鍵安全上鎖」的發明的分案申請。
[0002]相關申請
[0003]本專利申請主張享有在2008年9月25日提交的標題為「過程控制網絡的一鍵安全上鎖」(One Button Security Lockdown of a Process Control Network)的美國61/100，240 號臨時專利申請(U.S.Provisional Application N0.61/100, 240)的權益，所述臨時專利申請在此通過引用被完全地併入本專利。
【技術領域】
[0004]本專利申請總體上涉及過程工廠控制系統，尤其涉及在一過程或工廠環境中安全地控制設備之間的通信的方法及設備。
【背景技術】
[0005]過程控制系統一如那些用於發電、化學、石油、或其他過程的分布式或大型過程控制系統一典型地包括一個或多個過程控制器，所述過程控制器相互通信連接、通過一過程控制網絡與至少一個主機或操作員工作站通信連接、以及通過模擬總線、數字總線或模擬/數字混合總線與一個或多個現場設備通信連接。所述現場設備可能是閥、閥定位器、開關及變送器(例如溫度傳感器、壓力傳感器及流率傳感器)，它們在過程或工廠中發揮功能，如開啟或關閉閥、開關設備及測量過程參數。過程控制器接收現場設備所進行的過程或工廠測量的信號及/或關於現場設備的其他信息，並使用這些信息來實施控制例程，然後產生控制信號並通過總線傳送至現場設備，以控制所述過程或工廠的操作。來自現場設備和控制器的信息一般提供給由操作員工作站執行的一種或多種應用程式，使操作員能夠執行針對過程或工廠所需要的任何功能，例如觀察工廠的當前狀態、修正工廠的操作等等。
[0006]過程控制器一般位於所述過程工廠環境中，它們接收現場設備所進行的或與現場設備相關的過程測量或過程變量的信號及/或關於現場設備的其他信息，並執行控制器應用程式。控制器應用程式實施(例如)不同的控制模塊，這些控制模塊根據所接收的信息做出過程控制決定及產生控制信號，並與現場設備(比如HART?及Fieldbus現場設備)中的控制模塊或塊協調。控制器中的控制模塊通過通信線或信號路徑路徑，將控制信號傳送到現場設備，從而控制過程的操作。
[0007]來自現場設備及控制器的信息典型地通過過程控制網絡傳送到一個或多個其他硬體設備，例如傳送到操作員工作站、維護工作站、個人計算機、手持設備、歷史資料庫、報告產生器、集中式資料庫等等。通過過程控制網絡傳送的信息使操作員或維護人員能夠對過程執行期望的功能。例如，所述信息允許操作員改變過程控制例程的設置、更改過程控制器或智能現場設備中的控制模塊的操作、觀察過程工廠中的特定設備的過程或狀況的當前狀態、觀察由現場設備及過程控制器產生的警報、模擬過程的操作以培訓人員或測試過程控制軟體、診斷過程工廠中的問題或硬體故障等等。[0008]現場設備通常通過過程控制網絡(例如乙太網配置區域網)，與硬體設備通信。過程控制網絡通過不同網絡設備，將過程參數、網絡信息及其他過程控制數據傳播到過程控制系統中的不同實體。典型的網絡設備包括網絡界面卡、網絡開關、路由器、防火牆、控制器及操作員工作站。所述網絡設備典型地通過控制其路由、幀率、超時及其他網絡參數，促成數據流過網絡，但不改變過程數據本身。隨著過程控制網絡的規模和複雜性增高，網絡設備的數目及類別相應地增加。由於系統及網絡的增長，這些複雜系統中的安全及管理可以變得愈加困難。例如，每個網絡設備可以包括一個或多個通信口，這些通信口提供一存取點或存取口，以便在所述網絡上物理地互連過程控制系統構件及其他網絡設備。大多數的網絡設備包括的通信口超過需要的數目，以便全面地在網絡中連接所述設備，因此在所述設備上閒擱一個或多個未使用或開路的通信口。所述設備上的一開路通信口因此可能通過添加其他設備而成為網絡拓展的存取點，或可能允許一實體(不論是否惡意)存取所述網絡及啟動不必要的及潛在有害的網絡交通。隨著網絡設備及相關存取點的數目增加，有效地監測或控制對整個控制一複雜過程控制系統中的通信的網絡的所有未使用通信口的存取迅速地變得不切實際。
[0009]雖然一用戶或應用程式可能監測每個設備或通信口的狀況及交通，但經常不可能識別有害通信，直到一問題發生。一旦一監測器識別所述問題，所述系統的部分必須被帶離線及診斷，以開始修理或測定故障。進一步地，雖然在所述網絡的一個物理位置的一設備或通信口可能被識別為功能失常，但問題可能是因所述網絡的另一位置的故障或惡意連接引起的。另外，在一技術員完成測定故障或修理工作之後，所述網絡設備可能被無意地置於不安全狀態或以其他方式置於易受不必要或有害通信影響的狀態。過程控制系統中逐設備及逐通信口基礎的網絡安全(包括一嫌疑設備的物理檢查及修理，以使所述系統恢復到在線狀態)可能涉及冗長的耽擱，因而通向死胡同並帶來許多其他管理困難而大大減低過程控制系統的有效性。

【發明內容】

[0010]過程控制系統網絡安全及管理可以通過使用每個網絡設備的、在逐設備或全網絡的基礎上起動的安全功能來監測每個網絡設備的網絡交通來增強。一個或多個專用管理信息庫(MIBs)，或其他通信方法或數據存取方法(比如使用可用於存取及改變每個設備的網絡設備上的管理功能的專有軟體解決方案及開源軟體)可以包括一個或多個可以通過一命令線界面(CLI)來監測所述設備是否通過所述過程控制網絡上通信、一設備上的哪些通信口能夠在所述網絡上通信、哪些通信口實際上在所述網絡上通信以及哪些通信口不在通信來存取的方法。一旦所述過程控制網絡全面配置及正常工作，一用戶或一監測應用程式可以發送命令到所述設備，以實施一個或多個專用管理信息庫(MIB)方法，以便通過對整個網絡實施一單一 「上鎖」命令，禁止或過濾來自一特定網絡設備上的選定的未使用、無效或不合要求的通信口的地址，有效地將所述網絡凍結於其期望配置。
[0011]所述上鎖可以通過限制所述網絡的未來重配置及防止通過一開路、無效或未使用的存取點的不必要或有害的通信，導致一穩定及安全的網絡。在被上鎖時，如果一當前連接的設備被拔除而且一不同設備插上所述存取點，所述網絡設備可以拒絕所述連接。例如，可以禁止一網絡設備上的所有存取點，使得不能夠將任何附加設備添加或連接到所述網絡。一鎖死存取點不能在沒有來自一用戶、監測器或其他授權過程的鑑別命令的情況下起動或解鎖。至於附加安全，所述上鎖功能可以施加到在不同的網絡節點執行的應用程式，而所述解鎖功能可能限於一人工過程。所述監測器可以在一應用程式、設備或全系統水平解鎖及上鎖。所述存取點可以通過網絡及設備配置的組合來去活。例如，所述上鎖配置可以通過拒絕通過所述存取點進行通信來去活所述存取點，而且也可以重配置所述網絡設備以便從一存取點移除電力，使得不能通過該存取點連接到所述網絡。
【專利附圖】

【附圖說明】
[0012]圖1A為一例示性框圖，其顯示一過程工廠，該過程工廠具有一分布式過程控制系統及網絡，包括配置來實施在此描述的上鎖功能的一個或多個操作員及維護工作站、控制器、現場設備及網絡設備、常規網絡設備以及支持裝置。
[0013]圖1B為一例示性框圖，其顯示一過程控制系統的一輸入/輸出網絡部分，該輸入/輸出網絡部分包括配置來實施在此描述的上鎖功能的設備。
[0014]圖1C為一例示性乙太網幀。
[0015]圖2為一例示性網絡設備。
[0016]圖3A為一例示性框圖，其顯示一用於上鎖及解鎖一過程控制系統及網絡的網絡設備及存取點的方法。
[0017]圖3B為一例示性框圖，其顯示一用於上鎖一過程控制網絡中的網絡設備及存取點的方法。
[0018]圖3C為一例示性框圖，其顯示一用於解鎖一過程控制網絡中的先前上鎖的網絡設備及存取點的方法的一個實施例。
[0019]圖4A — 4D為一用戶界面的例示性部分，該用戶界面用於實施圖3A-C的用於上鎖及解鎖一過程控制系統及網絡的網絡設備及存取點的方法。
【具體實施方式】
[0020]圖1A為一過程工廠中的過程控制系統的示意圖，該過程控制系統中的網絡設備可以上鎖以提高網絡安全及促成網絡管理及維護。更明確地說，一過程控制系統100包括一個或多個過程控制器110，過程控制器110通過一過程控制網絡150的一個或多個網絡設備145通信連接到一個或多個主工作站或計算機120-122 (其可以是任何類別的個人計算機、工作站等等)，其中至少一個主工作站或計算機具有一顯示屏幕。控制器110可以包括一個或多個網絡界面卡，並通過輸入/輸出卡140連接到現場設備130。一歷史資料庫可以是任何期望類別的數據採集單元，具有任何期望類別的存儲器及任何期望或已知的軟體、硬體或固件以便存儲數據，而且可以獨立於工作站120-122的其中之一之外或可以是工作站120-122的其中之一的一部分。控制器110可以是(例如)由費舍爾.柔斯芒特系統有限公司(Fisher Rosemount Systems, Inc.)出售的DeltaV?控制器，由一個或多個現場設備146通過(例如)一乙太網連接或任何其他期望通信網絡150通信連接到主計算機120-122。一網絡設備146包括一網絡界面卡、一網絡開關、一路由器、一防火牆或任何其他在不改變一網絡(例如網絡150及輸入/輸出網絡155 (圖1B))的任何部分上的原始數據的情況下促成在網絡150上傳送數據的設備中的一個或多個。如圖1B所示，物理地位於一網絡的任何部分的任何網絡設備可以包括在此描述的上鎖功能。通信網絡150可以是一區域網(LAN)、一廣域網(WAN)、一電信網絡等等，而且可以使用有線或無線技術來實施。控制器110使用任何期望的與(例如)標準4-20mA設備、標準乙太網協議及/或任何智能通信協議(比如FOUNDATION Fieldbus協議(Fieldbus)、HART協議等等)相關的硬體及軟體，通信連接到現場設備130。
[0021]現場設備130可以是任何類別的設備，比如傳感器、閥、變送器、定位器等等，而輸入/輸出卡14可以是任何類別的遵守任何期望通信協議或控制器協議的輸入/輸出設備。在圖1的實施例中，現場設備130是以一 HART數據機140、通過標準模擬4-20mA線131進行通信的HART設備，而現場設備133是使用Fieldbus協議通信、通過一數字總線135或輸入/輸出網絡155進行通信的智能設備，比如Fieldbus現場設備。當然，現場設備130及133可以遵守任何其他期望標準或協議，包括將來開發的任何標準或協議。輸入/輸出網絡155及設備146 (圖1B)以及網絡150及設備146 (圖1A)也可以是支持任何通信協議(例如TCP/IP、ModbusIP等等)的標準乙太網通信及網絡設備。
[0022]附加地，一現場設備142可以通過一專業網絡設備(例如一網關143)，連接到數字總線135。例如，現場設備142隻可以了解HART命令，而輸入/輸出網絡135可以實施PR0FIBUS協議。為了這個目的，網關143可以提供雙向PR0FIBUS/HART轉換。一網絡設備146也可以定位在網關143或接近網關143。
[0023]控制器110可以是工廠中的許多分布式控制器的其中之一，而且具有一個或多個處理器；控制器110實施或監視一個或多個過程控制例程。這些過程控制例程可以包括存儲在其中或以其他方式與其發生聯繫的一個或多個控制環路。控制器Iio也通過網絡150及相關網絡設備146，與現場設備130或133、主計算機120-122及歷史資料庫145進行通信，以便以任何期望方式來控制過程。應該注意的是，在此描述的任何控制例程或元件的部分可以由不同的控制器或其他設備實施或執行(如果需要的話)。同樣地，在此描述的需在過程控制系統100中實施的控制例程或元件可以採用任何形式，包括軟體、固件、硬體等等。對於本討論而言，過程控制元件可以是過程控制系統的任何部分或局部，例如包括存儲在任何計算機可讀媒介上的例程、塊或模塊。控制例程可以是一控制程序的多個模塊或任何部分，比如一子例程、一子例程的多個部分(比如多條代碼線)等等，所述控制例程可以以任何期望的軟體格式實施，比如使用梯形邏輯、平坦序功能圖、功能塊圖、對象導向編程，或使用任何其他軟體程式語言或設計範式實施。同樣地，所述控制例程可以被固化成(例如)一個或多個可擦除可編程只讀存儲器(EPROMs)、電可擦除可編程只讀存儲器(EEPROMs)、專用集成電路(ASICs)、或任何其他硬體或固件元件。此外，所述控制例程可以使用任何設計工具來設計，包括圖形設計工具或任何其他類別的軟體、硬體、固件編程或設計工具。因此，控制器110可以配置成以任何期望方式來實施控制策略或控制例程。
[0024]圖1C圖解一數據基本單元或一幀175，幀175概括地可以通過過程控制系統100傳送及使用乙太網協議通過過程控制網絡150傳送。一乙太網幀175包括七個域，每個域承載設備(例如一網絡設備146或過程控制系統100的其他構件)之間的信息。所述域可以包括由接收設備判讀及處理的許多字節的數據178。例如，目的媒介存取控制(MAC)地址域180可以包括過程控制系統100的一中間或目的節點的物理地址，而源媒介存取控制(MAC)地址域182可以包括過程控制系統100的一發送或中間節點的物理地址。目的媒介存取控制(MAC)地址域180及源媒介存取控制(MAC)地址域182可以與來自網絡設備146的數據協同使用，以處理通過過程控制網絡150發送的數據。在有些實施例中，域180及182可以在一接收網絡設備處於「上鎖」狀態時與存儲在所述接收網絡設備中的一個或多個表進行比較。所述比較的結果可以用於拒絕或所接收的數據或與所述上鎖網絡設備的其他物理或邏輯連接。
[0025]圖2圖解一典型網絡設備146，網絡設備146的形式為網絡開關。典型地，一網絡設備包括一個或多個通信口 202、一管理口 204及狀態指示燈206、207。通信口 202用於互連多種其他網絡設備及過程控制系統構件以便在網絡150上通信，而所述狀態指示燈206、207指示所述網絡設備的當前操作，而且可以用於診斷目的。例如，指示燈206可以相應於所述設備本身的一狀態，例如，適當功率、故障狀態或上鎖或未上鎖狀態的指示，如以上涉及圖3及4的進一步解釋那樣。其他每個指示燈207可以相應於一特定通信口及指示所述相應通信口上的網絡活動，並包括一相應於所述通信口的連結狀態的綠色發光二級管(LED)及一相應於所述通信口的數據狀態的黃色發光二級管(LED)。固體或閃爍綠色及黃色狀態指示燈可以指示所述通信口正在發揮功能及連接到所述通信口的一網絡設備正在使用所述通信口、在網絡150上傳送數據。在設備146的啟動階段期間，所述啟動程序的狀態可以顯示在指示燈207如下:不發光可以指示通信口 202沒有有效連結或連接，而固體綠色燈可以指示有效連結及連接；緩慢閃爍綠色可以指示所述通信口轉換到備用；快速閃爍綠色可以指示所述通信口被禁止，即所述通信口已經上鎖(如以下涉及圖3及4的描述那樣)；不發光的黃色指示燈可以指示所述通信口上沒有數據接收；以及閃爍黃色指示燈可以指示所述通信口上有數據接收。當然，其他狀態指示可以以編程方式附加到指示燈206、207，比如上行鏈路通信故障、「準備操作」指示、多種故障或功能模式的閃爍及/或顏色樣式、數據率、全雙工及半雙工指示、測試模式、在所述通信口上傳送的媒介或數據類別等狀態指示。管理口 204可以允許用戶或網絡管理員物理地存取及配置網絡設備146，例如在網絡設備146上實施固件升級或改變，包括實施一專用管理信息庫(MIB)，如以下描述那樣。一「管理信息庫」(MIB)及「簡單網絡管理協議」(SNMP)可以包括用於存取及改變所述網絡設備中的管理信息的所有方法及通信。
[0026]在有些實施例中，網絡設備146是由德國Neckartenzlingen鎮的「赫思曼自動化及控制有限公司」(Hirschmann Automation and Controll, GmbH)製造的、用於 DeltaV? 過程控制網絡(DeltaV?Process Control Network)的乙太網開關。例如，開關146可以來自「赫思曼公司」(Hirshmann)網絡設備的Open Rail、MICE、*MACH100系列產品中的一個或多個。
[0027]開關146可以包括一管理協議，其用於實施在此描述的方法。例如，一「簡單網絡管理協議」(SNMP)可以為網絡管理及安全程序的執行提供管理功能。在有些實施例中，簡單網絡管理協議(SNMP)版本3 (SNMPv3)實施在開關146，並允許鑑定及加密，作為與DeltaV?過程控制網絡(DeltaV?Process Control Network)共界面的管理協議。例如，開關146可以包括使用56-bit密鑰加密(DES-56)的「數據加密標準」(DES)的「信息摘要算法5」(MD5)鑑定。當然，使用128-bit或更好的哈希值的哈希函數的其他鑑定標準及使用56-bit或更好的密鑰的加密標準也可以實施在開關146上。
[0028]為了提高開關146的安全性，開關146的標準及專用管理界面(Telnet、Web界面等等)可以默認禁止。一命令線界面(CLI)可以通過開關146的一串口或其他安全存取點及鑑定及加密存取。用戶或應用程式可以接著使用所述命令線界面(CLI)來配置用戶及網絡信息，以及允許所述設備的增強特徵(如果需要)。所述命令線界面(CLI)也可以通過一具有足夠加密(例如DES-56加密)的安全殼(SSH)連接以及擁有一有效密鑰(比如SSH-1-RSA密鑰)，由鑑定存取。可以準予不同水平的用戶權限，以改變或更新設備特徵(例如管理信息庫(MIB)或其他設備配置)。例如，可能以一公鑰密碼準予用戶對設備146的只讀存取，而讀/寫存取只能以一私有密碼準予。在有些實施例中，用戶必須具有對開關146的寫入存取，以便存取任何先前描述的配置、實施所述「上鎖」功能或設置一定時器以自動地上鎖網絡150 (如以下所述)。基準開關功能之外的增強特徵可以在設備146中禁止，以改善過程控制網絡150的安全性。例如，Profinet輸入/輸出及乙太網/工業協議可以從設備146完全地移除及實施在網絡150的另一部分。進一步地，「生成樹」(Spanning Tree)可以默認禁止，然而，其可以通過所述命令線界面(CLI)提供。鏈路層發現協議(LLDP)及動態主機配置協議(DHCP)以及其他功能也可以禁止，以避免能夠使用「即插即用」網絡設備，因使用「即插即用」網絡設備可能干擾在此描述的上鎖及解鎖功能。然而，網絡設備146可能在一默認配置中不需人手監管，以允許區域網(LANs)及其他已經特別配置成允許這些設備的網絡150 (例如使用DeltaV?系統的一網絡)的「即插即用」功能。如同「生成樹」(SpanningTree)的情形一樣，如果需要，鏈路層發現協議(LLDP)可以通過所述命令線界面(CLI)存取及禁止。
[0029]網絡設備146也可以包括存儲在存儲器208中的一個或多個標準及專用管理信息庫(MIBs) 216，存儲器208可以包括一集對象，這些對象可以通過所述命令線界面(CLI)存取，以供管理網絡設備146及實施專用於一過程控制網絡150的功能。所述專用管理信息庫(MIBs)中的一個或多個可以包括用於管理及控制在此描述的上鎖及解鎖功能的對象。所述專用管理信息庫(MIBs)也可以是通過一與網絡設備146通信的運行時間應用程式編程界面(API)、用於DeltaV?網絡安全特徵的界面。過程控制網絡150可以配置成包括多種不同網絡設備的混合，包括用於控制上鎖及解鎖功能(即「上鎖設備」)的一專用管理信息庫(MIB),以及不具備上鎖及解鎖功能的商業、現成網絡設備。無論是哪種情況，以下描述的上鎖及解鎖功能以及程序不可能干擾過程控制網絡150上或整個過程控制系統100中的正常通信。
[0030]開關146也可以包括一存儲器208，存儲器208包括易失性部分210及非易失性部分212，用於存儲計算機可讀指令以實施網絡功能(包括啟動在此描述的上鎖及解鎖功能)以及存儲涉及設備146的所述功能的其他數據。例如，一地址解析協議(ARP)表及一轉發資料庫(FDB)表214可以存儲在一層級3 (開放式系統互連(OSI)模型)網絡設備(一路由器、一開關、一伺服器、桌面等等)中。一層級3網絡設備146可以執行一單一設備中的路由及開關，並典型地包括一地址解析協議(ARP)表及一轉發資料庫(FDB)表，以便根據一完整網絡地址轉發所接收的幀。一層級2網絡設備(一開關或一網橋等等)可以包括轉發資料庫(FDB)表214，以便單獨地根據媒介存取控制(MAC)地址180、182轉發數據交通。雖然在此描述的上鎖及解鎖方法概括地根據層級2網絡設備來討論，但所述方法可以同樣地應用於層級3及其他類別的網絡設備。
[0031]所述ARP表可以由一網絡設備146用於存儲IP位址到其他網絡設備的MAC地址條目。所述ARP表允許一設備146將IP位址解析成為MAC地址。所述ARP表可以隨著網絡設備146向網絡150發行ARP廣播以解析一網絡設備的MAC地址而被填寫。在一設備146接收其有必要傳送到一本地連接界面的一包或其他數據時，所述設備146可以使用所述ARP表來發現需要將哪個MAC地址插入到幀標題。一網絡設備可以使用FDB表214來存儲已經獲知的MAC地址以及其上獲知每個MAC地址的通信口 202。
[0032]在正常操作中，網絡設備146可以通過將源MAC地址182及其他源信息添加到一動態地址表218中其接收的每個幀，動態地獲知其接收的幀175的源MAC地址182。設備146可以隨著通過添加新的源MAC地址及老化那些當前不使用的MAC地址、站點被添加到網絡150或從網絡150移除，更新動態地址表218。在一老化時間滿期時，設備146可以從動態地址表218移除所述MAC地址。設備146也可以實施一靜態地址表220，靜態地址表220包括明確地輸入的MAC地址及其他不老化的信息。設備146也以與動態地址表218及靜態地址表220中包括的信息匹配的任何已接收的幀，執行常規的網絡功能。實施於設備146的固件的功能可以對所述ARP表及所述FDB表214中的一個或多個與所述動態及靜態表218、220進行比較，以便處理輸入的幀175。
[0033]在有些實施例中，在網絡設備146處於常態或「未上鎖」狀態及透明網橋(用於開關及專用網橋)、獲知、老化、轉發或其他網絡設備功能發生時，所述IP、MAC及其他地址可以添加到ARP、FDB及其他表。在「未上鎖」狀態時，當一網絡設備146 (例如由HirshmannAutomation and Control生產的Open Rail開關)接收一乙太網巾貞175時，設備146可以檢查目的MAC地址180並指望從FDB表214獲得的地址信息以發送所接收的乙太網幀175。如果FDB表214不包括所接收的目的MAC上的信息，設備146可以將乙太網幀175廣播到網絡150的所有通信口。於在另一網絡設備識別所廣播的MAC時，另一幀可以發送到廣播網絡設備146，網絡設備146將添加所發現的MAC地址到動態地址表218及FDB表214。然而，在「上鎖」狀態(如以下進一步討論那樣)時，所述表(ARP及FDB中的一個或多個)可以本質上在它們的當前配置中凍結，以防止任何進一步的變化或附加。先前獲知的MAC地址及動態地址表218中在上鎖時間時包括的其他信息可以遷移到靜態地址表220，而設備146的
[0034]可以被禁止。在上鎖狀態，FDB表214不能改變，因此防止設備146接受及轉發接收自未知或先前未獲知的MAC地址182的幀175。
[0035]圖3A圖解一例示性方法300，該方法300用於上鎖及解鎖一過程控制網絡150及一輸入/輸出網絡155中的存取點或通信口 202。一般而言，方法300允許過程控制系統100的用戶禁止過程控制網絡150及輸入/輸出網絡155中的網絡設備146上的存取點或通信口 202的功能。例如，如果一當前連接的設備從一網絡設備通信口 202拔除而且一不同設備插入所述網絡設備的位置，通信口 202可以拒絕所述連接並警告用戶界面、監測服務或在系統100的工作站120、122上執行的其他應用程式。在上鎖狀態時，網絡150、155中的所有未使用或無效通信口 202可以被禁止，而且任何種類的附加網絡設備146都不能添加或連接。
[0036]一用戶界面可以向一運行時間界面提供一個或多個專用MIBs216，以啟動上鎖及解鎖程序。用戶界面400實施一過程控制網絡150的上鎖的一個範例在圖4A-4D中圖解。參看圖3A-3C及圖4A-4D，在流程塊302，用戶可以啟動一過程控制網絡安全應用程式，過程控制網絡安全應用程式顯示一用戶界面400，以開始所述上鎖過程。所述應用程式可以在啟動之後自動地啟動網絡設備發現及識別304，或用戶可以人工地啟動設備發現機制。用戶界面400可以顯示「發現開關」的一狀態指示402或說明過程控制網絡150的網絡設備146正在被識別的另一指示。在有些實施例中，所述應用程式可以在啟動網絡設備發現機制時禁止用戶界面400的一個或多個功能鍵404。用戶也可以人工地啟動網絡設備機制。流程塊304可以發現網絡控制網絡150中存在的任何網絡設備146，或可以選擇地只發現及識別包括上鎖功能的那些網絡設備。此外，流程塊304可以使用一個或多個參數在網絡150、155中搜索設備143、146。例如，可以梭梭在網絡150、155中的一特定範圍的IP位址、一範圍的MAC地址或一特定數目的網絡設備143、146。具有一開始及結束IP位址的、一範圍的IP位址可以由用戶指定，或一範圍的IP位址可以根據方法300、在網絡150、155的配置中識別或發現。流程塊304也可以通過查找設備143、146的一專用MIB216、先前已經被識別為包括上鎖功能的MAC地址或其他地址或所述上鎖允許設備的其他識別，識別包括上鎖功能的特定網絡設備143、146。所述設備143、146可以從網絡150、155的任何部分(包括主網絡406及二次網絡408)發現。主網絡406中的設備146可以包括一第一範圍中的IP位址，而二次網絡408中的設備146可以包括一第二範圍中的IP位址。使用多範圍的IP位址來發現的設備146可以以包括所述特定IP位址或所發現的設備143、146的其他參數的信息來答覆。
[0037]在流程塊306，於流程塊304發現的設備143、146 (圖4B)的參數425可以歸還到用戶界面400。例如，一地址426、名稱428及狀態430可以在用戶界面400的主網絡406窗口及二次網絡408窗口中顯示。一旦已經發現所有網絡設備146，狀態指示432可以指示所述搜索已經完成。在有些實施例中，在第一次啟動方法300時，或在所發現的設備尚未上鎖，狀態430可以指示所發現的設備146是處於「未上鎖」狀態430。在處於「未上鎖」狀態時，所述設備可以在網絡150中執行所有的常規功能。在有些實施例中，處於未上鎖狀態的通信口可以執行獲知、老化及轉發的基本透明橋接功能。可以設置一默認老化時間為六百秒(十分鐘)，雖然可以設置其他默認時間(視設備146及網絡150的配置而定)。在完成所述搜索時，所述一個或多個功能鍵434可以供一用戶或一自動過程選擇。
[0038]在流程塊308，一用戶或自動過程可以選擇處於「未上鎖」狀態的一個或多個設備；而在流程塊310，通過選擇上鎖鍵436的其中之一啟動上鎖過程。上鎖鍵436可以啟動多個過程以便選擇地啟動過程控制網絡150的不同部分的上鎖。例如，分別的鍵可以使得能夠選擇地上鎖整個網絡、所述主網絡、所述二次網絡、單一設備或一個或多個被選擇的設備的特定存取點。為了附加的安全性，所述上鎖過程可以只是從一被選擇的工作站120、122啟動，而且不能使用(例如)不是過程控制網絡150的物理部分的遠程工作站、通過網際網路啟動，或只能從一個或多個預核准MAC地址或IP位址啟動。在通過選擇上鎖鍵436的其中之一啟動所述上鎖過程時，方法300也可以啟動一鑑定過程。例如，方法300可以向用戶要求一用戶名及密碼或其他個人識別信息以確認對所述上鎖過程的存取權。如果用戶被適當地鑑定，用戶可以存取一未上鎖網絡設備428的專用MIB216的對象，以執行上鎖。在有些實施例中，對於上鎖功能，所選擇的設備的MAC地址被考慮，而不是IP位址被考慮。在其他實施例中，如以上所述，所述IP及MAC地址都可以被考慮。
[0039]在選擇上鎖鍵436的其中之一之後進行鑑定時，方法300可以發送一上鎖命令到一個或多個被選擇設備的一個或多個專用MIBs216。一專用MIB216可以接著啟動一個或多個方法，以禁止具有允許通信口專用上鎖模式的所有未使用或無效的通信口。例如，如果所識別的網絡設備428的任何部分在所述上鎖命令被一設備接收(例如由網絡設備146的一個或多個狀態指示燈207 (圖2)指示，通過識別所述通信口的、等於「正確」等等的一活性連結變量發現)的瞬間沒有活性連結到另一設備，則該通信口被禁止。在有些實施例中，禁止通信口 202的步驟包括拒絕接受具有在所述上鎖狀態被起動時不包括在所述設備146的FDB214中的源MAC地址182的任何包或幀175。例如，所述FDB實質上是「凍結」在上鎖狀態，而且常規動態獲知及老化功能被禁止。在其他實施例中，被拒絕的主MAC地址(例如已知、惡意MAC地址、屬於未被授權的設備的一範圍的MAC地址等等)可以記錄在設備146的存儲器208中，而且包括所述被拒絕的源MAC地址182的任何已接收的包或幀175被拒絕。網絡設備146可以為所選擇的設備的MAC地址的兩個通信口啟動所述上鎖過程。所選擇的設備428的上連結通信口也可以以相同方式上鎖，而且特定通信口也可以從所述上鎖過程中排除。方法300可以在流程塊310考慮網絡150的任何或所有可用通信口 202。
[0040]圖3B圖解用於禁止一個或多個未使用通信口的一方法325的一個實施例。以下描述的功能塊可以實施為所述專用MIB216中的對象，例如通過一命令線界面(CLI)(如先前描述那樣)。在流程塊326，如先前所述，方法325可以禁止在設備146上配置為上鎖通信口、並被流程塊304發現的所有未使用通信口 202。如果從一清單的未上鎖通信口 428 (圖4B)選擇一特定通信口 202或設備146，則所述設備或通信口可以被禁止(如果其沒有活性連結)。禁止一未使用通信口 202的步驟也可以包括從通信口 202移除電力。在流程塊328，可以凍結先前在設備146接收的地址信息。在有些實施例中，所述信息可以從動態地址表218轉遷移到靜態地址表220。例如，所述MAC地址及其他信息可以從動態地址表218完全地轉遷移到靜態地址表220。流程塊328可以包括從所述動態地址錶轉移的、最大數目的地址，例如最多256個地址。在有些實施例中，如果動態地址表218中的當前數目的獲知地址超過一最大數目，則只是一子集的所述地址可以上鎖。其餘地址可以接著從FDB標214移除，而且可能導致連接錯誤。如果連接問題發生，一錯誤信息可以發送到所述用戶界面，以指示所述上鎖過程中的故障。
[0041]在流程塊330，方法325可以通過從專用MIB216實施一個或多個方法，將通信口202置於上鎖狀態。例如,專用MIB方法可以從所述通信口移除電力或重配置所述通信口為不再從主機接受任何被拒絕或FDB表214或靜態地址表220的一個或多個表上不包括的幀175。在流程塊332，方法325可以為設備146禁止典型功能。在一個實施例中，方法325為設備146或特定通信口 202禁止所述地址獲知及地址老化功能。例如，動態地址表218可以被禁止而且不再接受任何輸入、設備146不再漫溢網絡150以發現新地址、以及所述先前接收的地址在老化時間期滿之後不能從所述設備移除。在流程塊334，所述設備配置可以存儲在非易失性存儲器212中。例如，所述通信口狀態及MAC地址可以由用戶自動地或明確地存儲。存儲的當前配置可以由設備146使用，以便在電源循環測試或重新導入時防止強行開啟已上鎖的通信口。
[0042]在上鎖時，如果一當前連接的設備從一網絡設備通信口拔除而且一不同設備插入同一通信口，所述網絡設備可以拒絕所述連接。在有些實施例中，如以上所述，由於新設備不包括在所更改的FDB表214中，網絡設備146拒絕所述連接。然而，如果相同的被授權設備重新連接到同一通信口，則網絡設備146可以準許及重新與所述設備建立通信。可以重新與一先前連接的設備建立通信，這是由於所更改的FDB表214將包括所述MAC地址。由於與其他網絡設備的通信是由每個設備的FDB214控制，網絡設備146本身可以拒絕所述連接。在在流程塊310啟動所述上鎖過程之後，用戶界面400可以將一設備狀態430從「未上鎖」或一狀態指示432從「已完成」中的一個或多個指示改變成所選擇的設備428正在執行專用MIB216方法以上鎖未使用通信口的指示。參看圖4C，在流程塊310的上鎖過程完成時，所述用戶界面可以顯示用於所述一次及二次網絡的、一清單的上鎖設備452。所述上鎖設備452可以包括一 「上鎖」狀態454或任何其他有關所述上鎖過程已完成的指示。
[0043]在為一個或多個網絡設備執行上鎖過程325之後，一個或多個上鎖設備可能需要(例如)在測定故障操作、例程維護、診斷、網絡重配置等等期間解鎖。在流程塊311，如果一個或多個設備或通信口需要解鎖，方法300可以繼續到流程塊312，或如果沒有任何網絡設備或個別通信口需要解鎖，所述方法可以返回到流程塊304以監測網絡150中的任何變化。
[0044]在流程塊312 (圖3A)，一用戶或自動過程可以選擇處於「上鎖」狀態的一個或多個設備，在流程塊314，通過選擇一解鎖鍵475 (圖4D)啟動一解鎖過程。如同上鎖鍵436 (圖4B)的情形一樣，解鎖鍵475可以啟動一個或多個專用MIBs216的一個或多個方法，以便選擇地為過程控制網絡150的先前被上鎖的不同部分啟動解鎖過程。為了附加的安全性，所述解鎖過程可以以一上鎖定時器476配置，上鎖定時器476將自動地重新上鎖先前被上鎖的一個或多個設備478或個別部分。上鎖定時器476可以以一默認設置配置，其中在所述解鎖過程完成(流程塊316)之後的一個時間期滿時，一個或多個所述未上鎖設備可以重新上鎖(流程塊310)。在一個實施例中，上鎖定時器476以一六十分鐘(即三千六百秒)的默認設置配置。所述解鎖過程可以從一選定工作站120、122啟動，而且不能使用(例如)不是過程控制網絡150的物理部分的遠程工作站、通過網際網路啟動，或只能從一個或多個預核准MAC地址啟動。
[0045]所述解鎖過程也可以包括一鑑定過程。例如，方法300也可以包括一鑑定過程。例如，方法300可以向用戶要求一用戶名及密碼或其他個人識別信息以確認對所述上鎖過程的存取權。如果用戶被適當地鑑定，用戶可以存取所述一個或多個選定上鎖網絡設備478或通信口 202的專用MIB216，以執行解鎖。
[0046]在鑑定時，在選擇所述解鎖鍵及隨意地選擇上鎖定時器476之後，方法300可以發送一解鎖命令到所選擇的上鎖設備478的專用MIB。圖3C圖解一用於解鎖或允許一先前禁止的通信口或設備的方法350的一個實施例。如以上所述，以述的功能塊可以實施為專用MIB216中的對象，例如通過一 CLI。在流程塊352，方法350可以激活一先前上鎖通信口或設備。在有些實施例中，由上鎖方法325禁止的所有未使用通信口將被激活，而由用戶個別地上鎖的通信口將保持上鎖狀態。在其他實施例中，所有上鎖通信口或設備可以激活，或有些上鎖通信口及設備可以隨意地激活。在流程塊354，可以刪除先前在流程塊328時被添加到靜態地址表220的地址數據。在有些實施例中，由用戶或其他明確過程添加的靜態地址數據可以在解鎖期間保留在靜態地址表220中。在流程塊356，方法350可以激活所述通信口或設備的未上鎖狀態。例如，輸往所述通信口的電力可以起動及/或所述通信口可以恢復接受來自任何源MAC地址182的幀175。在流程塊358，方法350可以恢復常規通信口或設備功能。例如，在未上鎖狀態，在上述流程塊330暫停的典型獲知及老化功能可以恢復，而且所述設備表(即ARP、FDB、靜態及動態地址表)可以重新填寫。在流程塊360，方法350可以存儲所述新設備或通信口配置。例如，所述通信口狀態及MAC地址可以由用戶自動地或明確地存儲，以便由所述設備在電源循環或重新導入時實施。
[0047]在有些實施例中，在在流程塊314開始解鎖過程之後，用戶界面400 (圖4D)可以將設備狀態480的一個或多個從「上鎖」改變成選定設備478處於「上鎖待決」狀態的指示。附加地，如果上鎖定時器476以所述解鎖過程啟動，一剩餘時間狀態482可以指示設備478回復到上鎖狀態之前剩餘的時間量。剩餘時間482也可以配置成決不恢復到上鎖狀態。例如，可以通過所述CLI存取所述專用MIB216的一對象，將剩餘時間482配置成「決不恢復」狀態，或任何其他時間量。
[0048]在有些實施例中，一網絡設備可以在通電時恢復到在流程塊334存儲的配置。例如，一實體可能通過循環一個或多個網絡設備的電源以強行開啟一上鎖通信口，從而將一未被授權的設備連接到過程控制網絡150。在通電時，所述設備可以配置成從其非易失性存儲器212 (圖2)存取所述設備的已存儲配置。因此，無論一電源循環設備是否恢復到上鎖或解鎖狀態，在所述電源循環之前連接到網絡150的所有設備可以自動地與所述系統重新建立通信，而在電力中斷時被添加到所述通信口的任何新設備將被拒絕。如果所述設備通電時處於「未上鎖」狀態而且上鎖定時器476大約零，所述設備可以在該時間期滿之後自動地進入上鎖狀態。
[0049]所述設備狀況可以定期地(例如每十五秒)更新，以顯示最當前的狀態。附加地，一更新鍵484可以允許用戶人工地更新所顯示的網絡設備478的狀態，或可以允許發現已經被添加到網絡150的網絡設備。在一個實施例中，選擇更新鍵484的步驟可以啟動以上涉及流程塊304及306 (圖3)的網絡設備的發現。
[0050]雖然在此描述的網絡設備上鎖技術已經被描述為與Fieldbus及標準4_20mA設備連同使用，但它們當然也可以使用任何其他過程控制通信協議或編程環境來實施，而且可以與任何其他類別的設備、功能塊或控制器一起使用。雖然在此描述的網絡設備上鎖例程以實施於軟體為優選，但它們也可以實施於硬體、固件等等，而且可以由與一過程控制系統相關的任何其他處理器執行。因此，在此描述的方法300、325及350可以實施於標準的多目的中央處理器(CPU)或(如果需要)在特別設計的硬體或固件上實施，例如在專用集成電路(ASICs)上實施。在實施於軟體時，所述軟體可以存儲在任何計算機可讀存儲器中，比如存儲在磁碟、雷射盤、光碟或其他存儲媒介上，或存儲在計算機或處理器的隨機存取存儲器(RAM)或只讀存儲器(ROM)中等等。同樣地，這個軟體可以通過任何已知或期望的傳送方法-包括計算機可讀盤或其他可攜式計算機存儲裝置、或通過通信頻道如電話線、網際網路等調製(這被視為與通過可攜式存儲媒介提供這種軟體一樣或可與其互換)_傳送到用戶或過程控制系統。
[0051]因此，雖然本發明已經參考特定例子進行了描述，但這些例子只是在於闡明而不是限制本發明包括的範圍。本領域的普通技術的人員將很清楚，本專利揭示的實例可以在不脫離本發明的精神及範圍的條件下被修改、增加或刪除。
【權利要求】
1.一種用於上鎖一過程控制網絡中的一個或多個存取點的方法，包括: 識別所述過程控制網絡的一網絡設備，所述網絡設備包括一有效存取點或一無效存取點中的一個或多個，其中所述有效存取點包括通往所述過程控制網絡的一節點的一活性連結以及通往所述過程控制網絡的一有線連接中的一個或多個；以及 通過下列步驟中的一個或多個、禁止所述網絡設備的任何剩餘無效存取點: 凍結所述有效存取點的一當前配置，及 移除所述無效存取點接收電力的能力。
2.如權利要求1所述的方法，其中所述網絡設備包括一網絡界面卡、一網絡開關、一路由器、一防火牆、一控制器及一工作站。
3.如權利要求1所述的方法，其中所述一個或多個存取點包括一個或多個網絡設備通信口。
4.如權利要求1所述的方法，進一步包括激活所述先前禁止的存取點。
5.如權利要求1所述的方法，進一步包括激活所述先前禁止的存取點，為期一時間期。
6.如權利要求1所述的方法，進一步包括禁止所述無效存取點，以響應一時間期的期滿、一網絡安全威脅的識別、一網絡維護期的結束、一未預期網絡事件或一網絡參數變化諸項中的一項或多項。
7.如權利要求1所述的方法，進一步包括在一用戶界面接收來自所述網絡設備的信息，所述信息指示在有任何無效存取點被禁止的情況下哪些無效存取點被禁止。
8.如權利要求1所述的方法，進一步包括所述網絡設備向一用戶界面報告有關激活已經被禁止的所述無效存取點的企圖。
9.如權利要求1所述的方法，其中如果所述無效存取點被禁止，所述過程控制網絡中的過程控制數據的傳送只是在所述有效存取點上發生。
10.如權利要求1所述的方法，進一步包括在所述過程控制網絡的一本地物理節點禁止或激活所述無效存取點。
11.如權利要求1所述的方法，進一步包括拒絕通往所禁止的無效存取點的任何連接。
12.一種通過一過程控制網絡、安全地傳送過程數據的設備，包括: 一專用管理信息庫，包括一個或多個安全模塊； 一通信口，用於通信連接所述過程控制網絡的一個或多個節點；以及 一管理協議模塊； 其中所述一個或多個安全模塊配置成選擇地禁止及激活所述通信口，而所述管理協議配置成通過所述過程控制網絡對來自在所述通信口接收的一幀的一過程控制網絡節點地址進行轉發、獲知和老化中的一項或多項，所述地址相應於一過程控制網絡節點。
13.如權利要求12所述的設備，進一步包括配置成存儲一個或多個過程控制網絡節點地址的一個或多個表。
14.如權利要求13所述的設備，其中配置成選擇地禁止所述通信口的所述一個或多個安全模塊進一步配置成將一個或多個過程控制網絡節點地址從一第一表複製到第二表以便擦除所述第一表 ，及複製到所述一個或多個表，以及防止在選擇地禁止所述通信口時進一步存儲過程控制網絡節點地址。
15.如權利要求14所述的設備，其中所述專用管理信息庫進一步包括一比較模塊，所述比較模塊配置成對所接收的幀與存儲於所述一個或多個表中的所述一個或多個地址進行比較，以及如果所接收的地址不匹配，所述一個或多個安全模塊進一步配置成放棄所接收的幀。
16.如權利要求13所述的設備，其中配置成選擇地禁止所述通信口的所述一個或多個安全模塊進一步配置成暫停所述管理協議的所述轉發、獲知及老化配置等項中的一項或多項。
17.如權利要求15所述的設備，其中所述管理協議進一步配置成存儲所放棄的幀。
18.如權利要求13所述的設備，其中所述一個或多個表包括一地址解析協議表及一轉發資料庫表中的一個或多個。
19.如權利要求12所述的設備，其中所述一個或多個安全模塊進一步配置成在禁止所述通信口時將一個或多個地址從一動態地址表遷移到一靜態地址表。
20.如權利要求14所述的設備，其中所述一個或多個安全模塊進一步配置成在激活所述通信口時將所述一個或多個已遷移地址從所述靜態地址表中刪除。
21.如權利要求12所述的設備，其中所述一個或多個安全模塊進一步配置成在禁止所述通信口時從所述通信口移除電力。
22.如權利要求12所述的設備，進一步包括一定時器，所述定時器配置成在禁止所述通信口之後的一時間期期滿 之後激活所述通信口。
23.如權利要求17所述的設備，其中所述專用管理信息庫包括所述定時器。
24.如權利要求12所述的設備，進一步包括一命令線界面以存取所述專用管理信息庫的所述一個或多個安全模塊。
25.如權利要求19所述的設備，進一步包括一用戶界面以便通過所述命令線界面傳送一命令到所述設備，所述命令實例化所述專用管理信息庫的一個或多個安全模塊。
26.—種通過包括一個或多個網絡設備的一過程控制網絡、安全地傳送過程控制數據的方法，所述方法包括: 發現通信連接到所述過程控制網絡的一個或多個網絡設備，每個網絡設備包括一個或多個通信口； 禁止一個或多個未使用通信口； 傳送一個或多個幀到其他網絡設備，其中所傳送的幀在包括一有效連結的一通信口接收； 放棄在一禁止通信口接收的一個或多個幀。
27.如權利要求26所述的方法，其中一未使用通信口包括無有線連接到所述過程控制網絡及無活性通信連結到另一網絡設備中的一個或多個。
28.如權利要求26所述的方法，其中禁止一個或多個未使用通信口的步驟包括識別各自包括通往另一網絡設備的一有效連結的一個或多個通信口及禁止任何剩餘的未識別通信口。
29.如權利要求26所述的方法，其中禁止一個或多個未使用通信口的步驟包括將地址從一動態地址表遷移到一靜態地址表以及禁止所發現的網絡設備的一橋接功能。
30.如權利要求29所述的方法，進一步包括將所述網絡設備的所述靜態地址表及一轉發表中的一個或多個存儲在所述網絡設備的一非易失性存儲器中。
31.如權利要求30所述的方法，進一步包括在重新導入所述網絡設備時恢復到所存儲的靜態地址表及所述轉發表中的一個或多個。
32.如權利要求26所述的方法，其中禁止一個或多個未使用通信口的步驟包括所發現的網絡設備拒絕接受一幀，所述幀包括所發現的網絡設備的一地址解析協議表及一轉發資料庫表中的一個或多個中不包括的一源MAC地址。
33.如權利要求26所述的方法，其中禁止一個或多個未使用通信口的步驟包括凍結所發現的網絡設備的一轉發資料庫表。
34.如權利要求26所述的方法，其中禁止一個或多個未使用通信口的步驟包括禁止所發現的網絡設備的一個或多個透明橋接功能，所述功能包括獲知、老化及轉發。
35.如權利要求26所述的方法，其中禁止一個或多個未使用通信口的步驟包括從所述未使用通信口移除電力。
36.如權利要求26所述的方法，其中傳送一個或多個幀到其他網絡設備的步驟包括在將所有動態地址表地址遷移到所述靜態地址表之後對一接收的幀地址與一轉發資料庫表地址進行匹配，以及禁止所述網絡設備的橋接功能，所述橋接功能包括獲知、老化及轉發。
37.如權利要求26所述的方法，其中放棄在所述禁止通信口接收的一個或多個幀的步驟包括存儲所放棄的幀。
38.如權利要求26所述的方法，其中放棄在所述禁止通信口接收的一個或多個幀的步驟包括放棄所述網絡設備的一轉發資料庫表或一靜態地址表中的一個或多個中不包括的一個或多個幀。
39.如權利要求26所述的方法，其中所述一個或多個已發現的網絡設備包括一範圍的IP位址中的一 IP位址及一範圍的MAC地址中的一 MAC地址中的一個或多個。
40.如權利要求26所述的方法，其中所述過程控制網絡包括主網絡及二次網絡。
41.如權利要求26所述的方法，進一步包括禁止所發現的網絡設備的一個或多個上連結未使用通信口。
【文檔編號】H04L29/06GK103888474SQ201410138116
【公開日】2014年6月25日 申請日期:2009年9月25日 優先權日:2008年9月25日
【發明者】特雷弗·D·史萊斯, 羅伯特·肯特·胡巴 申請人:費舍-柔斯芒特系統股份有限公司