技術領域

本發明涉及一種工業自動化系統和對其進行保護的方法。

背景技術

工業自動化系統包括多個用于控制機器、傳感器等的計算機。工業自動化系統通常出于安全因素為自成一體的系統，也就是說，其他部件（例如用于控制和更新已存在的系統部件的機器、設備、計算機等）的加入因此通常與安全問題相關聯。有時，也在自動化系統中執行不支持自動化系統的安全協議或認證協議的設備。這種設備是潛在不安全的并且形成對于攻擊者可能的薄弱處。

自動化系統的這種不安全的設備例如為具有用于應連接到自動化系統處的其他的、外部的設備的接口的部件。所述部件例如能夠為交換機或網橋。所述設備的接口通常基于以太網協議。具有用于外部設備的接口的設備能夠選擇性地以無線的或有線連接的方式與自動化系統的其他部件連接。

不安全的設備的另一個實例為不具備支持安全協議的能力的部件。如果將其他的、外部的設備，例如將計算機經由接口連接到所述設備上，那么已能對自動化系統的全部部件進行訪問，因為沒有設置其他的安全機構。因此，攻擊者能夠偵查出例如配置數據等。

禁止對自動化系統的部件的不受控的訪問的一個方案是，為不安全的設備提供專用的端口。此外，能夠在不安全的設備和自動化系統的部件之間設置網關，其中那么網關提供用于不安全的設備的端口。然而，這兩個解決方案都導致下述問題，必須提供連接到不安全的設備上的開放的、不安全的端口。

從US7,314,169B1中已知為了提高自動化系統的安全性，通過中央單元能夠為連接到自動化系統上的設備創建訪問標簽或其他合適的數據結構，其中訪問標簽至少部分地基于請求單元的識別特征。在此，在每個請求單元的訪問標簽中分配訪問權限。這種方法的缺點在于需要高的管理費用。

發明內容

本發明的目的是，提出一種工業自動化系統和對其進行保護的方法，其中能夠以低的管理費用提供高的安全性。

所述目的通過一種工業自動化系統和一種對所述工業自動化系統進行保護的方法來實現，其中所述工業的自動化系統包括：-數字指紋，所述數字指紋分配給請求訪問所述自動化系統的單元，并且所述數字指紋以所述單元與所述自動化系統的指紋測定部件的通信的一個或多個參數為基礎；-所述指紋測定部件，所述部件在所述自動化系統工作時允許請求單元訪問所述自動化系統并且將所述請求單元的已測定的指紋與已存儲的指紋進行比較；在用于對工業自動化系統進行保護的方法中，其中-將指紋分配給請求訪問所述自動化系統的單元，-以所述單元與所述自動化系統的指紋測定部件通信的一個或多個參數為基礎來測定所述指紋；-所述指紋測定部件將已測定的指紋與已存儲的指紋進行比較并且僅在比較結果為肯定的情況下允許對所述自動化系統進行訪問。有利的設計方案包含在下文中。

本發明實現一種包括數字指紋的工業自動化系統，所述數字指紋被分配給請求訪問自動化系統的單元并且以所述單元與自動化系統的測定指紋的部件通信的一個或多個參數為基礎。自動化系統還包括測定指紋的部件，所述部件在自動化系統工作時允許請求單元訪問自動化系統并且將請求單元的已測定的指紋與已存儲的指紋進行比較。

在根據本發明的用于保護工業自動化系統的方法中，請求訪問自動化系統的單元分配有指紋。以所述單元與自動化系統的測定指紋的部件的通信的一個或多個參數為基礎來測定指紋。測定所述指紋的部件將所述指紋與已存儲的指紋進行比較并且僅在比較結果為肯定的情況下允許對自動化系統訪問。

測定指紋的部件是連接到工業自動化系統上的、請求單元的網關。通過測定指紋的部件測定請求單元的指紋，能夠以簡單的方式提供對于自動化系統的自動的訪問保護。自動化系統抵御不同類型的攻擊，例如主動攻擊、自動化系統之內的攻擊、電子欺騙、臨近攻擊或攔截攻擊（Hijack-Angriffe）。在沒有根據數字指紋對請求單元事先進行驗證和檢查的情況下，即使是連接有請求單元的開放端口也不能夠用于訪問自動化系統的其他部件。尤其地，通過本發明這種請求單元也可連接到自動化系統上，否則所述請求單元不具有對已授權的協議的支持。