[发明专利]针对过程控制系统中的加密业务的防火墙

说明书

一种用于降低未经授权地访问过程控制系统的安全子系统中的嵌入式节点的风险的方法包括：接收包括消息头部和消息有效载荷的消息，以及至少通过分析消息头部中的一个或多个比特的比特序列来确定该消息是被配置为访问嵌入式节点的一个或多个受保护的功能的解锁消息。该方法还包括：确定手动控制机构是否已被操作人员置于特定状态，以及基于这些确定，使得嵌入式节点进入解锁状态或不使得嵌入式节点进入解锁状态，其中在该解锁状态，该一个或多个受保护的功能是可访问的。

技术领域

本公开内容总体上涉及过程工厂和过程控制系统，并且更具体地，涉及防止过程工厂和过程控制系统内的网络入侵的系统、设备和方法。

背景技术

分布式过程控制系统(如在化学、石油或其它过程工厂中使用的那些分布式过程控制系统)通常包括一个或多个过程控制器，该一个或多个过程控制器经由I/O卡或设备、模拟、数字或组合的模拟/数字总线和/或无线通信链路或网络通信地耦合到一个或多个现场设备。现场设备(其可以是例如阀、阀定位器、致动器、开关和变送器(例如，温度、压力、液位和流率传感器))位于过程环境内并且通常执行物理或过程控制功能，诸如打开或关闭阀、测量过程参数(诸如压力、温度等)等等，以控制在过程工厂或系统内执行的一个或多个过程。智能现场设备(诸如符合众所周知的现场总线(Fieldbus)协议的现场设备)还可以执行控制计算、报警功能以及通常在控制器内实现的其它控制功能。过程控制器(其通常也位于工厂环境内)接收指示现场设备所进行的过程测量的信号和/或与现场设备有关的其它信息(例如，经由相应的I/O卡或设备)，并且执行控制器应用，该控制器应用运行例如不同的控制模块，不同的控制模块做出过程控制决策，基于接收到的信息来产生控制信号，并且与在现场设备(例如，无线和现场总线现场设备)中执行的控制模块或块进行协调。控制器中的控制模块通过通信线路或链路将控制信号发送到现场设备，以由此控制过程工厂或系统的至少部分的操作。在本文中，现场设备、I/O卡或设备、控制器和其它相关设备通常可以被称为“过程设备”或“过程控制设备”。

来自现场设备和控制器的信息通常通过通信网络而可用于一个或多个其它硬件设备，诸如操作员工作站、个人计算机或计算设备、数据历史库、报告生成器、集中式数据库或其它集中式管理计算设备，它们通常被放置在控制室或其它远离更严酷的工厂环境的位置。这些硬件设备中的每一个通常跨过程工厂中或跨过程工厂的一部分而集中化。这些硬件设备运行应用，这些应用可以例如使操作员能够执行关于控制过程和/或操作过程工厂的功能，诸如改变过程控制例程的设置、修改控制器或现场设备内的控制模块的操作、查看过程的当前状态、查看由现场设备和控制器产生的警报、出于训练人员或测试过程控制软件的目的而仿真过程的操作、保持和更新配置数据库等。由硬件设备、控制器和现场设备使用的通信网络可以包括有线通信路径、无线通信路径或有线和无线通信路径的组合。