用於自動化網絡的網絡設備，安全模塊和自動化網絡的製作方法

2023-10-08 01:18:19

專利名稱：用於自動化網絡的網絡設備，安全模塊和自動化網絡的製作方法
技術領域：
本實用新型涉及一種用於自動化網絡的網絡設備，尤其是一種用於連接自動化網絡的兩個子網的網絡設備。
背景技術：
自動化網絡可以分成不同的子網。例如，能夠分成安全的子網和不安全的子網。在此情況下，需要將自動化網絡的安全部分與不安全部分相連接的網絡設備。在該網絡設備中，為了監視和控制從不安全子網到安全子網的訪問和數據傳輸，使用了所謂的安全模塊。

實用新型內容與此相對地，本實用新型的目的在於，實現一種改進的網絡設備；一種改進的安全·模塊；一種改進的自動化網絡。利用獨立權利要求的特徵來實現該目的。在從屬權利要求中提出了本實用新型的實施方式。本實用新型涉及一種用於自動化網絡的、具有通信裝置的網絡設備。該通信裝置能夠在第一子網和第二子網的至少兩個不同的網絡參與者之間實現通信。此外，通信裝置設計用於接收第一子網的斷開信號。換言之，該網絡設備還將第一子網與第二子網相連接。由此，該網絡設備屬於自動化網絡的第一子網和第二子網。自動化網絡例如可以設計為工業自動化網絡。這種工業自動化網絡例如可以設計，設定和/或設置用於控制和/或調節工業的設備(例如，生產設備、輸送設備等)、機器和/或裝置。該自動化網絡或者說工業自動化網絡尤其可以具有用於至少在參與控制任務和/或調節任務的組件之間(例如，在控制單元和待控制的裝置和/機器之間)進行通信的實時通信協議(例如過程現場網絡，現場總線，實時乙太網)。同樣提供了通過存儲介質進行的安全的數據傳輸。另外，除了實時通信協議以外，還可以在自動化網絡或者說工業自動化網絡中設置至少一個額外的通信協議(其例如不需要是實時性的)，該額外的通信協議用於例如監視、設定、再編程和/或再參數化自動化網絡中的一個或多個控制單元。自動化網絡可以包括例如有線連接的通信組件和/或無線的通信組件。另外，自動化網絡可以包括至少一個自動化裝置。自動化裝置例如可以是帶有控制任務或控制功能的計算機、PC和/或控制器。自動化裝置例如尤其可以是工業自動化裝置，其例如設計，設定和/或設置專門用於控制和/或調節工業設備。這種自動化裝置或者說工業自動化裝置尤其可以是實時性的，也就是說，能夠實時地進行控制或調節。為此，自動化裝置或工業自動化裝置例如可以包括實時運行系統和/或至少還對用於通信的實時性通信協議(例如，過程現場網絡，現場總線，實時乙太網)加以支持。自動化網絡包括多個傳感器和激發器。激發器和傳感器由至少一個控制裝置進行控制。激發器、傳感器以及至少一個控制裝置彼此交換數據。使用自動化協議來進行數據交換。至少一個控制裝置控制激發器、傳感器以及數據交換，從而進行機械的製造過程，例如在該製造過程中製造廣品。工業自動化裝置例如可以是可存儲編程的控制裝置、可存儲編程的控制裝置的模塊或部分、集成在計算機或PC中的可存儲編程的控制裝置以及相應的現場設備、傳感器和/或激發器、輸入裝置/輸出裝置或類似裝置，用於連接可存儲編程的控制裝置或包括以上這些裝置。根據本實用新型，自動化協議理解成各種根據以上說明設置、適合和/或設定用於與自動化裝置進行通信的協議。這些自動化協議例如可以是現場總線協議(例如，根據IEC 61158/EN50170 )、現場總線DP協議；現場總線PA協議、過程現場網絡協議、過程現場網絡-1O-協議；根據AS界面的協議；根據IO-鏈路的協議；KNX-協議；根據多點接口(多點界面，MPI)的協議；用於點對點連接(點對點，PtP)的協議；根據S7通信規格的協議(該協議例如設置和設定用於西門子公司的可存儲編程的控制裝置的通信)，或也可以是工業乙太網協議或實時乙太網協議，或用於和自動化裝置進行通信的其它專用協議。根據以上說明， 自動化協議也可以設置為上述協議的任意組合。此外，該網絡設備包括安全模塊。該安全模塊設計用於檢測是否允許通過網絡設備實現第一子網和第二子網的第一網絡參與者和第二網絡參與者之間的通信。當通信不被允許時，該安全模塊將阻止該通信。另外，該安全模塊設計用於通過第一子網以有規律的時間間隔產生和發送控制信息。該控制信息顯示出安全模塊的正常功能並且優選地被發送給第一子網中的另一個網絡設備。該網絡設備還包括用於處理斷開信號的數據處理裝置。該數據處理裝置設計用於中斷在第一子網的參與者和第二子網的參與者之間的每次通信。換言之，當通信裝置接收到斷開信號並且通過數據處理裝置處理斷開信號時，將中斷第一子網與第二子網的連接。例如可以這樣設計斷開信號，使得該斷開信號包括用於通信裝置的指令，在實施用於中斷在第一子網的參與者與第二子網的參與者之間的每次通信的指令時，該指令阻止通信裝置。通信裝置例如可以包括處理器，該處理器設計用於實施指令。該處理器例如可以處理被網絡設備所接收的信號並且執行在那裡包括的指令。例如，可以從另一個網絡設備將斷開信號發送給網絡設備。例如可以有利的是，即檢測對網絡設備的攻擊並且將每次通過網絡設備的通信歸為不安全的。在這種情況下，在接收到斷開信號之後，網絡設備可以將每次通信都中斷，從而防止了危害到網絡或單個的網絡參與者。該斷開信號例如也還可以包括信息，從而檢測對網絡設備的攻擊。在此情況下，網絡設備的通信裝置設計用於當該信息被接收和處理時，中斷在第一子網的參與者與第二子網的參與者之間的每次通信。通過規律地發送顯示出安全模塊的正常功能的控制信息，網絡設備例如可以為另一個網絡設備顯示出，即安全模塊正常工作。如果由於安全模塊處在功能不正常的狀態中而取消該控制信息的話，那麼將不再發送控制信息。在此情況下例如其它的網絡設備會向根據本實用新型的網絡設備發送斷開信號，由此斷開在安全的子網和不安全的子網之間的連接。例如當不安全的子網對安全模塊進行攻擊時，該設置是很有利的。如果這種攻擊被檢測到，則在不安全的子網和安全的子網之間的連接將立刻被斷開。[0018]可以例如這樣實現安全子網和不安全子網的劃分，即第一子網具有第一較高的安全級，而第二子網則具有第二、較低的安全級。根據本實用新型的實施方式，通信裝置包括至少兩個第一接口和一個連接節點。該安全模塊包括一個用於連接網絡設備的第二接口以及兩個用於連接第二子網的第三接口。安全模塊與第二子網的連接可以直接在安全模塊上實現或間接地通過設置在網絡設備中的數據線來實現。在後一種情況下，通信裝置包括兩個用於將安全模塊連接在網絡設備的數據線上的第三接口，並且該網絡設備包括至少兩個用於連接第二子網的第四接口。安全模塊設計用於通過第二接口將通過第三接口之一接收的第一數據傳輸給連接節點。安全模塊還設計用於通過第三接口之一將通過第二接口接收的第二數據傳輸給第二子網。網絡設備設計用於在通過第一接口之一接收到斷開信號之後阻止第一和第二數據的傳輸。根據本實用新型的實施方式，該安全模塊設計用於通過第二接口與第一子網的網絡參與者一同建立VPN-隧道，和/或對第一數據進行加密。根據本實用新型的實施方式，安全模塊設計用於當檢測到對安全模塊的攻擊時，不發出控制信息。根據本實用新型的實施方式，安全模塊包括處理器並且設計用於檢測處理器的負載；檢測從第二子網接收的廣播電報的數量；和/或對第一數據的內容進行分析並且將該內容劃分到第一類別或第二類別中。安全模塊還設計用於如果處理器的負載超過負載閾值，並且廣播電報的數量超過電報閾值和/或被劃分到第一類別中的數據的數據量超過數據量閾值，則檢測攻擊。對安全模塊的攻擊例如可能由此形成，即處理器被有針對性地由於請求而過載並且由此危害到安全模塊的安全。可以通過檢測處理器的負載並且將其與負載閾值進行比較來檢測這類攻擊。如果處理器超過了該負載閾值，那麼將不再發出控制信息。如果處理器仍舊受到嚴重過載以至於使得其本身無法再檢測到負載超過了負載閾值的情況，則也不能再自動地以有規律的時間間隔發送控制信息。還可以以如下方式將處理器的過載作為攻擊來檢測，即通常是以有規律的時間間隔發送控制信息。在處理器過載的情況下，將不再發送控制信息或在較大的時間段中發送控制信息。對安全模塊的攻擊的另一種可能方式是廣播電報。如果這種從低安全級的第二子網發送到高安全級的第一子網的廣播電報超過了電報閾值，那麼這同樣會被檢測為攻擊並且將不再發送控制信息。另一種檢測攻擊的可能途徑是對通過第三接口之一進行接收並且通過第二接口發出給連接節點的第一數據進行分析。在分析完畢之後便將該數據劃分到第一類別或第二類別中。第一類別例如包括通常在第二子網和第一子網之間進行交換的數據。該數據例如可以是用於自動化網絡機器或用於傳輸與生產過程或製造過程相關的數據的控制命令。而被劃分到第二類別中的數據不在通用的生產過程或製造過程中進行交換或僅極少地在第一子網和第二子網之間進行交換。該數據例如可以是所有其它數據或僅僅有限數量的數據類型，例如，從第二子網的參與者到第一子網的參與者的讀取訪問或寫入訪問。根據本實用新型的實施方式，通信裝置設計用於將控制信息傳輸給另一個網絡設備並且接收其它網絡設備的其它控制信息。在這種情況下，在自動化網絡中也就還存在兩個根據本實用新型的網絡設備。數據處理裝置設計用於產生另一個斷開信號並且控制通信裝置，以便將其它斷開信號發送給其它網絡設備。網絡設備也就設計用於向其它網絡設備發出斷開信號。在自動化網絡中使用根據本實用新型的實施例的兩個網絡設備是有利的，這是因為當檢測到對其它網絡設備的安全模塊的攻擊時，一個網絡設備可以通過其它網絡設備斷開第二子網與第一子網之間的連接。這兩個網絡設備可以雙方同時從第一子網向第二子網傳輸數據並且可以反向傳輸。可替換地將一個網絡設備限定為所謂的主機，而將一個網絡設備限定為所謂的輔機。在正常的運行中，通過主機-網絡設備傳輸數據並且通過輔機-網絡設備檢測主機-網絡設備的安全模塊所受到的攻擊。在此情況下，輔機-網絡 設備向主機-網絡設備發送斷開信號並且因此斷開在主機-網絡設備內部的、第二子網與第一子網的連接。其它的從第二子網到第一子網的數據傳輸以及反向傳輸通過輔機-網絡設備進行。在另一個方面，本實用新型涉及一種用於自動化網絡中的網絡設備的安全模塊。該安全模塊包括一個用於連接網絡設備的第二接口以及兩個用於連接自動化網絡的其它設備的第三接口。該安全模塊設計用於通過第二接口將通過第三接口之一接收的第一數據傳輸給網絡設備。另外，該安全模塊還設計用於通過第三接口之一將通過第二接口接收的第二數據傳輸給其它設備之一。根據本實用新型的實施方式，安全模塊具有第四接口，用於連接另一個網絡設備的另一個安全模塊。該安全模塊設計用於在運行狀態中通過第四接口以有規律的時間間隔將控制信息傳輸給其它安全模塊。該控制信息是對於安全模塊的運行狀態的提示。當發出控制信息時，安全模塊處於正常的運行狀態中。換言之，安全模塊在該狀態中正常工作。當檢測到對安全模塊的攻擊時，將不再傳輸或以較大的時間間隔傳輸控制信息。在另一個方面，本實用新型涉及一種自動化網絡，具有根據本實用新型的實施方式的至少一個第一網絡設備和一個第二網絡設備。根據本實用新型的實施方式，該自動化網絡包括第一子網和第二子網。第一子網包括第一安全級的第一設備，而第二子網包括第二安全級的第二設備。第一安全級高於第二安全級。第二子網的設備分別通過第三接口與第一和/或第二網絡設備相連接。第一子網的設備通過第一接口與網絡設備相連接。第一網絡設備設計用於以有規律的時間間隔向第二網絡設備發送第一控制信息。第二網絡設備設計用於以有規律的時間間隔向第一網絡設備發送第二控制信息。第一網絡設備設計用於當第一網絡設備沒有接收到第二控制信息時，檢測對第二網絡設備的安全模塊的攻擊。第二網絡設備設計用於當第二網絡設備沒有接收到第一控制信息時，檢測對第一網絡設備的安全模塊的攻擊。第一網絡設備設計用於當檢測到對第二網絡設備的安全模塊的攻擊時，向第二網絡設備發送第一斷開信號。第二網絡設備設計用於在接收第一斷開信號時中斷在第一子網的參與者和第二子網的參與者之間的每次通信。第二網絡設備設計用於當檢測到對第一網絡設備的安全模塊的攻擊時，向第一網絡設備發送第二斷開信號。第一網絡設備設計用於在接收第二斷開信號時中斷在第一子網的參與者和第二子網的參與者之間的每次通信。根據本實用新型的實施方式，第一網絡設備和第二網絡設備設計用於同時將數據從不安全的設備傳輸給安全的設備並且反向傳輸。該實施方式是有利的，這是因為由此可以在第一網絡設備和第二子網之間分配待傳輸的數據並且避免了網絡設備的負載過高。這例如可以由此實現，即通過所謂的分成兩部分的鏈路群將數據傳輸給第一和第二網絡設備。在此情況下，數據既被發出給第一網絡設備又被發出給第二網絡設備。例如，在第二子網中設有在其上既連接了第一網絡設備又連接了第二網絡設備的網絡節點。由於網絡節點通過鏈路群連接無法在第一網絡設備和第二網絡設備之間進行區分，所以該網絡節點既將數據傳輸給第一網絡設備又將數據傳輸給第二網絡設備。由此，數據既被傳輸給第一網絡設備又被傳輸給第二網絡設備並且避免了網絡設備的過載。另一方面提出了一種用於在自動化網絡中傳輸數據的方法，該自動化網絡具有第一安全級的第一子網、第二安全級的第二子網、第一網絡設備以及第二網絡設備。第一和第二網絡設備分別是根據本實用新型的實施方式的網絡設備。第一安全級高於第二安全 級。首先，數據被從第一子網的參與者通過處在正常的運行狀態中的第一網絡設備傳輸給第二子網的參與者並且可以反向傳輸。也可以將正常的運行狀態描述成第一網絡設備正常工作的狀態。換言之，當檢測到沒有對安全模塊的攻擊時，網絡設備就是處在正常的運行狀態中。控制信息由第一網絡設備產生並且以有規律的間隔傳輸給第二網絡設備。當第二網絡設備沒有接收到控制信息時，第二網絡設備就檢測到了對第一網絡設備的攻擊。在此情況下，數據被從第二子網的參與者傳輸給第一子網的參與者並且隨後通過第二網絡設備進行反向傳輸。另外，通過第一網絡設備斷開在第一子網和第二子網之間的連接。該實施方式可以這樣實現，即第二網絡設備向第一網絡設備發送斷開信號，而第一網絡設備則隨後斷開該連接。根據本實用新型的實施方式，在正常的運行狀態中，既可以通過第一網絡設備又可以通過第二網絡設備將數據從第一子網的參與者傳輸給第二子網的參與者並且可以反向傳輸。

下面藉助附圖詳細描述本實用新型的實施方式。圖中示出圖1示出了具有第一網絡設備和第二網絡設備的自動化網絡；圖2示出了具有第一網絡設備和第二網絡設備的自動化網絡，其中，既通過第一網絡設備又通過第二網絡設備實現數據傳輸；圖3示出了在自動化網絡中傳輸數據的方法的流程圖。
具體實施方式
利用相同的附圖標記來表示下面附圖的彼此相應的元件。圖1是具有第一網絡設備102和第二網絡設備104的自動化網絡100的框圖。第一網絡設備102包括安全模塊106，而第二網絡設備104包括第二安全模塊108。安全模塊106包括處理器110和交換機112。另外,第一網絡設備102包括一個交換機(或者說連接節點)114、一個處理器(或者說數據處理裝置)116以及多個網絡接口(或者說第一接口)118^。第一安全模塊106的處理器110通過接口 xl與交換機114相連接。安全模塊106還包括兩個網絡接口(或者說第三接口)120和122。網絡接口 120和122用於將安全模塊106連接到自動化網絡100的第二子網103上，而網絡接口 118i_n設計用於將第一網絡設備102連接到自動化網絡100的第一子網101上。第一安全模塊106和第二安全模塊108分別包括用於彼此直接通信的網絡接口124。第二網絡設備104的安全模塊108同樣包括處理器126、交換機128以及網絡接口(或者說第三接口)130和132。第二網絡設備104包括交換機134、處理器(或者說數據處理裝置)136以及網絡接口(或者說第一接口)138^。第二網絡設備104通過第二安全模塊108的網絡接口 130和132與自動化網絡100的第二子網103相連接。第二網絡設備104通過網絡接口 138^與·自動化網絡100的第一子網101相連接。第一子網101是安全級高於第二子網103的子網。例如，可以由此確保該較高的安全級，即僅對第一子網中的數據傳輸進行加密並且僅通過驗證過的設備來進行該數據傳輸。與此相反，也可以不對第二子網103中的數據傳輸進行加密並且在沒有訪問授權的情況下進行該數據傳輸。安全模塊106和108將第一子網101與第二子網103彼此分開。通過處理器110和/或126分析和傳輸或阻止所有從第二子網103傳輸到第一子網101中並且反向傳輸的數據。例如當數據來源於未被授權與第一子網101的網絡參與者進行通信的第二子網103的網絡參與者時，可以阻止該數據。安全模塊106或108將應從第二子網103傳輸給第一子網101的參與者的數據轉輸給交換機114或134，該交換機通過處理器116或136這樣控制，從而通過分別相應的網絡接口 IlSi數據發出給第一子網101的相應的網絡參與者。可以通過網絡接口 118i_n和138i_n接收源於第一和第二網絡設備102和104以及第一子網101的數據。然後，可以通過接口 xl和x2將該數據發出給安全模塊106和108的處理器110和126並且在此通過交換機112和128以及網絡接口 120，122，130和132發出給第二子網103。在正常的運行狀態中或換言之表達在功能正常的情況下，應從第二子網103傳輸給第一子網101的數據被通過第一網絡設備102從第二子網103傳輸給第一子網101。由此也可以將第一網絡設備102的安全模塊106稱為主機。只要第一安全模塊106正常工作，就能以有規律的時間間隔將控制信息傳輸給第二網絡設備104的第二安全模塊108。例如可以通過所謂的安全備用線路(Security Sandby-Leitung)利用網絡接口 124傳輸該控制信息。還可以可替換地或附加地通過第一子網101利用網絡接口 118 和US1傳輸該控制信息。只要安全模塊106有規律地將控制信息傳輸給安全模塊108,那麼安全模塊106就正常地發揮作用。如果控制信息不規律地傳輸，以較大的時間間隔傳輸或完全不傳輸，那麼第二安全模塊108的處理器126檢測到安全模塊106所受到的攻擊。這種攻擊例如可以源於廣播電報對安全模塊106造成的過載。在此情況下，處理器110的負載超過了負載閾值並且不再傳輸控制信息或僅以較大的時間間隔向安全模塊108傳輸控制信息。如果處理器110到達其負載極限，那麼將自動推遲控制信息的發送。優選地通過第一子網101或安全備用線路來實現控制信息的發送，並且利用網絡接口 124加密和確保安全，由此可以不再出現「中間人攻擊」。控制信息也可以通過第二子網103進行傳輸。但這種方式並不安全並且由此成為了潛在的攻擊者的另一個攻擊點。另一個攻擊安全模塊106的方式是由第二子網103的參與者傳輸給第一子網101的參與者的電報，該電報帶有有害內容或被用於讀取第一子網101的參與者未授權允許其進行讀取的信息。為了檢測這種攻擊，處理器Iio會對由第二子網103傳輸給第一子網101的電報進行分析並且將其分到兩個類別中。帶有正常內容的電報被劃分到第一類別中。這些電報是那些在正常的生產過程或製造過程中由第二子網103發送給第一子網101的電報。例如，該電報可以是測量數據。被處理器110劃分到第二類別中的電報的內容並不正常。也就是說，第二類別中的電報內容不會出現或僅極少出現在普通的生產過程或製造過程中。當被劃分到第二類別中的電報的數量超過電報閾值的時候，就會對安全模塊106所 受到的攻擊進行檢測並且不再向安全模塊108傳輸控制信息。當安全模塊108不再接收到控制信息或僅以不規律的時間間隔或以較大的時間間隔接收到控制信息時，那麼處理器126將檢測安全模塊106所受到的攻擊。然後，處理器126向處理器116發送斷開信號。處理器116在接收到該斷開信號時通過接口 xl斷開與安全模塊106的連接。該斷開信號通過第一子網101傳輸。也就通過安全模塊106來斷開第一子網101與第二子網103的連接。該連接則被通過第二安全模塊108所產生的連接所代替。第二安全模塊108也就替代了被斷開的安全模塊106。從第二子網103到第一子網101的數據傳輸以及反向的數據傳輸現在也就可以通過具有第二安全模塊108的第二網絡設備104來實現，這與通過具有第一安全模塊106的第一網絡設備102的數據傳輸類似。一旦可以確定安全模塊106受到攻擊的原因並且可以阻止安全模塊106受到其它攻擊，那麼現在就可以運行作為所謂的輔機的第一網絡設備102，該網絡設備在安全模塊108失效時再次承擔了數據傳輸任務。安全模塊108在承擔了數據傳輸任務之後，正如之前的安全模塊106的情況那樣作為所謂的主機運行。可以手動確定，兩個安全模塊中哪個是主機哪個是輔機。圖2是如圖1的自動化網絡100的框圖。與圖1的區別在於，通過所謂的鏈路群來實現從第二子網103到網絡設備102和104以及反向的數據傳輸。第二子網103的交換機200利用多個網絡連接部202與第一網絡設備102的和第二網絡設備104的網絡接口 120，122，130和132相連接。交換機200通過網絡連接部202將應被傳輸給第一子網101的數據提供給第一和第二網絡設備102和104。在此交換機200並未得知，哪些網絡連接部202通向第一網絡設備102和哪些網絡連接部通向第二網絡設備104。交換機200將接收到的數據分配給四個網線202，從而既可以由第一網絡設備102又可以由第二網絡設備104來傳輸數據並且減小了網絡設備的負載。也可以應用更多的網絡連接部202來代替四條網線202。如果現在檢測到兩個安全模塊106和108受到攻擊，將如圖1所描述的那樣同樣利用相關的網絡設備斷開該安全模塊的連接。由此，該數據傳輸將如圖1已經描述過的那樣通過單獨的網絡設備來實現。在鏈路群的情況下，可以既不將第一網絡設備102也不將第二網絡設備104描述為主機或輔機。第一安全模塊106向第二安全模塊108發送控制信息並且可以反向發送。可以如圖1所描述的那樣檢測攻擊並且也可以類似地實現安全模塊的斷開。圖3是方法的流程圖。在自動化網絡中，利用第一安全級的第一子網、第一安全級的第二網絡、第二安全級的第二子網、網絡設備以及第二網絡設備來傳輸數據。在此，第一安全級高於第二安全級。在第一個步驟SI中，通過第一網絡設備將數據從第一子網的參與者傳輸給第二子網的參與者並且可以反向傳輸。這被描述成第一網絡設備的和第一網絡設備中的安全模塊的正常的運行狀態或正常功能。在第二步驟S2中產生和傳輸控制信息。該信息以規律的間隔被從第一網絡設備傳輸到第二網絡設備。在第二網絡設備中，這以信號表現了第一網絡設備的正常的運行狀態。更準確地說，在第二網絡設備的安全模塊中，控制信息以信號表現了第一網絡設備的安全模塊的正常功能。在步驟S3中，通過第二網絡設備檢測第一網絡設備所受到的攻擊。當第二網絡設備的第二安全模塊不再接收到第一網絡設備的第一安全模塊的控制信息時，就出現了上 述攻擊。當出現過載或檢測到攻擊時，第一網絡設備的第一安全模塊不再傳輸控制信息或僅不規律地或以比正常的運行狀態更長的時間間隔傳輸控制信息。例如可以由此來檢測攻擊，即對從第一子網絡傳輸到第一子網絡的電報進行分析並且將其劃分到兩個類別中。在此，第一類別包括帶有正常內容的電報，這就是說，這些電報是那些在正常的生產過程或製造過程中進行傳輸的電報。第二類別包括那些通常不會出現或僅極少出現在普通的生產過程或製造過程中的電報。當被劃分到第二類別中的電報的數量超過電報閾值的時候，第一網絡設備的第一安全模塊就會檢測到攻擊並且將不再向第二網絡設備的第二安全模塊傳輸控制信息。在步驟S4中，當檢測出第一網絡設備的第一安全模塊所受到的攻擊時，隨後通過第一網絡設備中斷從第二子網的參與者到第一子網的參與者的數據傳輸。這例如可以由此實現，即第二網絡設備向第一網絡設備傳輸斷開信號並且第一網絡設備接下來斷開通過第一網絡設備的第二子網和第一子網之間的連接。然後，在步驟S5中，通過第二網絡設備將數據從第二子網的參與者傳輸給第一子網的參與者並且可以反向傳輸。參考標號表100自動化網絡200交換機101第一子網202網絡連接部102第一網絡設備103 第二子網104第二網絡設備106第一安全模塊108第二安全模塊110處理器112交換機114交換機116處理器[0080]118η 網絡接口120 網絡接口122 網絡接口124 網絡接口126處理器128交換機130 網絡接口 132 網絡接口134交換機136處理器138η 網絡接口
權利要求1.一種用於自動化網絡(100)的網絡設備(102 ;104)，其特徵是，所述網絡設備具有-用於在第一和第二子網的至少兩個不同的網絡參與者之間實現通信的通信裝置，其中，所述通信裝置設計用於接收所述第一子網的斷開信號，-安全模塊(106 ;108)，其中，所述安全模塊設計用於檢測是否允許通過所述網絡設備實現所述第一和第二子網的第一和第二網絡參與者之間的通信，其中，當所述通信不被允許時，所述安全模塊設計用於阻止所述通信，其中，所述安全模塊設計用於通過所述第一子網以有規律的時間間隔產生和發送控制信息，並且其中，所述控制信息顯示出所述安全模塊的正常功能，以及-數據處理裝置(116 ;136)，用於處理所述斷開信號，從而控制所述通信裝置，以便中斷在所述第一子網的參與者和所述第二子網的參與者之間的每次通信。
2.根據權利要求1所述的網絡設備，其特徵是，所述通信裝置包括至少兩個第一接口(118^ :138^)和一個連接節點(I 14 ;134)，其中，所述安全模塊具有一個用於連接所述網絡設備的第二接口(XI ；X2),其中，所述安全模塊具有至少兩個用於連接所述第二子網的第三接口(120 ；122 ；130 ；132)，其中，所述安全模塊設計用於通過所述第二接口將通過所述第三接口之一接收的第一數據傳輸給所述連接節點，其中，所述安全模塊設計用於通過所述第三接口之一將通過所述第二接口接收的第二數據傳輸給所述第二子網，和其中，所述網絡設備設計用於在通過所述第一接口之一接收到所述斷開信號之後阻止所述第一和第二數據的傳輸。
3.根據權利要求1或2中任一項所述的網絡設備，其特徵是，所述安全模塊設計用於通過所述第二接口與所述第一子網的網絡參與者一同建立VPN-隧道，和/或對所述第一數據進行加密。
4.根據權利要求1或2中任一項所述的網絡設備，其特徵是，所述安全模塊設計用於當檢測到對所述安全模塊的攻擊時，不發出控制信息。
5.根據權利要求3所述的網絡設備，其特徵是，所述安全模塊設計用於當檢測到對所述安全模塊的攻擊時，不發出控制信息。
6.根據權利要求4所述的網絡設備，其特徵是，所述安全模塊包括處理器(I 10 ;126)並且設計用於-檢測所述處理器的負載，-檢測從所述第二子網接收的廣播電報的數量，和/或-對所述第一數據的內容進行分析並且將所述內容劃分到第一類別或第二類別中；其中，所述安全模塊設計用於如果-所述處理器的負載超過負載閾值，-所述廣播電報的數量超過電報閾值，和/或-被劃分到所述第一類別中的所述數據的數據量超過數據量閾值，則檢測對所述安全模塊的攻擊。
7.根據權利要求5所述的網絡設備，其特徵是，所述安全模塊包括處理器(I 10 ;126)並且設計用於-檢測所述處理器的負載，-檢測從所述第二子網接收的廣播電報的數量，和/或-對所述第一數據的內容進行分析並且將所述內容劃分到第一類別或第二類別中；其中，所述安全模塊設計用於如果-所述處理器的負載超過負載閾值，-所述廣播電報的數量超過電報閾值，和/或-被劃分到所述第一類別中的所述數據的數據量超過數據量閾值，則檢測對所述安全模塊的攻擊。
8.根據權利要求4所述的網絡設備，其特徵是，其中，所述通信裝置設計用於將所述控制信息傳輸給另一個網絡設備並且接收其它網絡設備的其它控制信息，並且其中，所述數據處理裝置設計用於產生另一個斷開信號並且控制所述通信裝置，以便將其它所述斷開信號發送給其它所述網絡設備。
9.根據權利要求7所述的網絡設備，其特徵是，其中，所述通信裝置設計用於將所述控制信息傳輸給另一個網絡設備並且接收其它網絡設備的其它控制信息，並且其中，所述數據處理裝置設計用於產生另一個斷開信號並且控制所述通信裝置，以便將其它所述斷開信號發送給其它所述網絡設備。
10.根據權利要求1或2中任一項所述的網絡設備，其特徵是，所述第一子網具有第一安全級，而所述第二子網具有第二安全級，並且其中，所述第一安全級高於所述第二安全級。
11.根據權利要求9所述的網絡設備，其特徵是，所述第一子網具有第一安全級，而所述第二子網具有第二安全級，並且其中，所述第一安全級高於所述第二安全級。
12.一種用於自動化網絡(100)中的網絡設備(102 ；104)的安全模塊，其特徵是，所述安全模塊具有-一個第二接口(XI ;X2)，用於連接所述網絡設備，以及-兩個第三接口(120 ；122 ；130 ;132)，用於連接所述自動化網絡的第二子網(103)，其中，所述安全模塊設計用於通過所述第二接口將通過所述第三接口之一接收的第一數據傳輸給所述網絡設備，其中，所述安全模塊設計用於通過所述第三接口之一將通過所述第二接口接收的第二數據傳輸給其它所述設備之一。
13.根據權利要求12所述的安全模塊，其特徵是，其中，所述安全模塊具有用於連接另一個安全模塊的第四接口( 124)，其中，所述安全模塊設計用於在運行狀態中通過所述第四接口以有規律的時間間隔將控制信息傳輸給其它所述安全模塊，並且其中，所述控制信息是對於所述安全模塊的所述運行狀態的提示。
14.一種自動化網絡(100)，其特徵是，所述自動化網絡具有分別根據權利要求1至11中任一項所述的至少一個第一網絡設備(102)和一個第二網絡設備(104)。
15.根據權利要求14所述的自動化網絡，其特徵是，其中，所述自動化網絡包括第一子網(101)和第二子網(103)，其中，所述第一子網包括第一安全級的第一設備，而所述第二子網包括第二安全級的第二設備，其中，所述第一安全級高於所述第二安全級，其中，所述第二子網的所述設備分別通過所述第三接口與所述第一和/或第二網絡設備相連接，其中，所述第一子網的所述設備通過所述第一接口與所述網絡設備相連接，其中，所述第一網絡設備設計用於以有規律的間隔向所述第二網絡設備發送第一控制信息，其中，所述第二網絡設備設計用於以有規律的間隔向所述第一網絡設備發送第二控制信息，其中，所述第一網絡設備設計用於當所述第一網絡設備沒有接收到所述第二控制信息時，檢測對所述第二網絡設備的安全模塊的攻擊，其中，所述第二網絡設備設計用於當所述第二網絡設備沒有接收到所述第一控制信息時，檢測對所述第一網絡設備的安全模塊的攻擊，其中，所述第一網絡設備設計用於當檢測到對所述第二網絡設備的所述安全模塊的攻擊時，向所述第二網絡設備發送第一斷開信號，其中，所述第二網絡設備設計用於在接收所述第一斷開信號時中斷在所述第一子網的參與者和所述第二子網的參與者之間的每次通信，其中，所述第二網絡設備設計用於當檢測到對所述第一網絡設備的所述安全模塊的攻擊時，向所述第一網絡設備發送第二斷開信號，其中，所述第一網絡設備設計用於在接收所述第二斷開信號時中斷在所述第一子網的參與者和所述第二子網的參與者之間的每次通信。
16.根據權利要求14或15中任一項所述的自動化網絡，其特徵是，所述第一網絡設備和所述第二網絡設備設計用於同時將數據從不安全的所述設備傳輸給安全的所述設備並且可以反向傳輸。
專利摘要本實用新型涉及一種用於自動化網絡(100)的網絡設備(102；104)，一種用於自動化網絡中的網絡設備的安全模塊，和一種自動化網絡。該網絡設備具有用於在第一和第二子網的至少兩個不同的網絡參與者之間實現通信的通信裝置；安全模塊(106；108)，其中，該安全模塊設計用於通過第一子網以有規律的時間間隔產生和發送控制信息，並且其中，該控制信息顯示出安全模塊的正常功能；以及數據處理裝置(116)，用於處理斷開信號，從而控制通信裝置，以便中斷在第一子網的參與者和第二子網的參與者之間的每次通信。
文檔編號H04L29/06GK202856779SQ20122002856
公開日2013年4月3日 申請日期2012年1月21日 優先權日2011年1月28日
發明者約爾格·克呂格爾 申請人:西門子公司