專利名稱:用于自動化網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備��,安全模塊和自動化網(wǎng)絡(luò)的制作方法
技術(shù)領(lǐng)域:
本實用新型涉及一種用于自動化網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備�,尤其是一種用于連接自動化網(wǎng)絡(luò)的兩個子網(wǎng)的網(wǎng)絡(luò)設(shè)備。
背景技術(shù):
自動化網(wǎng)絡(luò)可以分成不同的子網(wǎng)�����。例如��,能夠分成安全的子網(wǎng)和不安全的子網(wǎng)���。在此情況下�,需要將自動化網(wǎng)絡(luò)的安全部分與不安全部分相連接的網(wǎng)絡(luò)設(shè)備�。在該網(wǎng)絡(luò)設(shè)備中,為了監(jiān)視和控制從不安全子網(wǎng)到安全子網(wǎng)的訪問和數(shù)據(jù)傳輸����,使用了所謂的安全模塊�。
實用新型內(nèi)容與此相對地�,本實用新型的目的在于,實現(xiàn)一種改進的網(wǎng)絡(luò)設(shè)備���;一種改進的安全·模塊���;一種改進的自動化網(wǎng)絡(luò)��。利用獨立權(quán)利要求的特征來實現(xiàn)該目的��。在從屬權(quán)利要求中提出了本實用新型的實施方式����。本實用新型涉及一種用于自動化網(wǎng)絡(luò)的�、具有通信裝置的網(wǎng)絡(luò)設(shè)備��。該通信裝置能夠在第一子網(wǎng)和第二子網(wǎng)的至少兩個不同的網(wǎng)絡(luò)參與者之間實現(xiàn)通信��。此外��,通信裝置設(shè)計用于接收第一子網(wǎng)的斷開信號�����。換言之,該網(wǎng)絡(luò)設(shè)備還將第一子網(wǎng)與第二子網(wǎng)相連接�����。由此���,該網(wǎng)絡(luò)設(shè)備屬于自動化網(wǎng)絡(luò)的第一子網(wǎng)和第二子網(wǎng)��。自動化網(wǎng)絡(luò)例如可以設(shè)計為工業(yè)自動化網(wǎng)絡(luò)�。這種工業(yè)自動化網(wǎng)絡(luò)例如可以設(shè)計��,設(shè)定和/或設(shè)置用于控制和/或調(diào)節(jié)工業(yè)的設(shè)備(例如��,生產(chǎn)設(shè)備��、輸送設(shè)備等)��、機器和/或裝置�����。該自動化網(wǎng)絡(luò)或者說工業(yè)自動化網(wǎng)絡(luò)尤其可以具有用于至少在參與控制任務(wù)和/或調(diào)節(jié)任務(wù)的組件之間(例如��,在控制單元和待控制的裝置和/機器之間)進行通信的實時通信協(xié)議(例如過程現(xiàn)場網(wǎng)絡(luò)�,現(xiàn)場總線����,實時以太網(wǎng))�。同樣提供了通過存儲介質(zhì)進行的安全的數(shù)據(jù)傳輸。另外����,除了實時通信協(xié)議以外,還可以在自動化網(wǎng)絡(luò)或者說工業(yè)自動化網(wǎng)絡(luò)中設(shè)置至少一個額外的通信協(xié)議(其例如不需要是實時性的)���,該額外的通信協(xié)議用于例如監(jiān)視��、設(shè)定�����、再編程和/或再參數(shù)化自動化網(wǎng)絡(luò)中的一個或多個控制單元��。自動化網(wǎng)絡(luò)可以包括例如有線連接的通信組件和/或無線的通信組件。另外���,自動化網(wǎng)絡(luò)可以包括至少一個自動化裝置�����。自動化裝置例如可以是帶有控制任務(wù)或控制功能的計算機��、PC和/或控制器��。自動化裝置例如尤其可以是工業(yè)自動化裝置�,其例如設(shè)計,設(shè)定和/或設(shè)置專門用于控制和/或調(diào)節(jié)工業(yè)設(shè)備���。這種自動化裝置或者說工業(yè)自動化裝置尤其可以是實時性的����,也就是說����,能夠?qū)崟r地進行控制或調(diào)節(jié)。為此��,自動化裝置或工業(yè)自動化裝置例如可以包括實時運行系統(tǒng)和/或至少還對用于通信的實時性通信協(xié)議(例如���,過程現(xiàn)場網(wǎng)絡(luò)��,現(xiàn)場總線�,實時以太網(wǎng))加以支持��。自動化網(wǎng)絡(luò)包括多個傳感器和激發(fā)器。激發(fā)器和傳感器由至少一個控制裝置進行控制�。激發(fā)器、傳感器以及至少一個控制裝置彼此交換數(shù)據(jù)���。使用自動化協(xié)議來進行數(shù)據(jù)交換��。至少一個控制裝置控制激發(fā)器��、傳感器以及數(shù)據(jù)交換���,從而進行機械的制造過程,例如在該制造過程中制造廣品���。工業(yè)自動化裝置例如可以是可存儲編程的控制裝置�、可存儲編程的控制裝置的模塊或部分�、集成在計算機或PC中的可存儲編程的控制裝置以及相應(yīng)的現(xiàn)場設(shè)備、傳感器和/或激發(fā)器���、輸入裝置/輸出裝置或類似裝置���,用于連接可存儲編程的控制裝置或包括以上這些裝置�����。根據(jù)本實用新型,自動化協(xié)議理解成各種根據(jù)以上說明設(shè)置����、適合和/或設(shè)定用于與自動化裝置進行通信的協(xié)議。這些自動化協(xié)議例如可以是現(xiàn)場總線協(xié)議(例如��,根據(jù)IEC 61158/EN50170 )��、現(xiàn)場總線DP協(xié)議��;現(xiàn)場總線PA協(xié)議�、過程現(xiàn)場網(wǎng)絡(luò)協(xié)議、過程現(xiàn)場網(wǎng)絡(luò)-1O-協(xié)議���;根據(jù)AS界面的協(xié)議����;根據(jù)IO-鏈路的協(xié)議���;KNX-協(xié)議�����;根據(jù)多點接口(多點界面����,MPI)的協(xié)議;用于點對點連接(點對點��,PtP)的協(xié)議��;根據(jù)S7通信規(guī)格的協(xié)議(該協(xié)議例如設(shè)置和設(shè)定用于西門子公司的可存儲編程的控制裝置的通信)���,或也可以是工業(yè)以太網(wǎng)協(xié)議或?qū)崟r以太網(wǎng)協(xié)議����,或用于和自動化裝置進行通信的其它專用協(xié)議�����。根據(jù)以上說明���, 自動化協(xié)議也可以設(shè)置為上述協(xié)議的任意組合��。此外��,該網(wǎng)絡(luò)設(shè)備包括安全模塊���。該安全模塊設(shè)計用于檢測是否允許通過網(wǎng)絡(luò)設(shè)備實現(xiàn)第一子網(wǎng)和第二子網(wǎng)的第一網(wǎng)絡(luò)參與者和第二網(wǎng)絡(luò)參與者之間的通信。當(dāng)通信不被允許時����,該安全模塊將阻止該通信。另外����,該安全模塊設(shè)計用于通過第一子網(wǎng)以有規(guī)律的時間間隔產(chǎn)生和發(fā)送控制信息。該控制信息顯示出安全模塊的正常功能并且優(yōu)選地被發(fā)送給第一子網(wǎng)中的另一個網(wǎng)絡(luò)設(shè)備��。該網(wǎng)絡(luò)設(shè)備還包括用于處理斷開信號的數(shù)據(jù)處理裝置��。該數(shù)據(jù)處理裝置設(shè)計用于中斷在第一子網(wǎng)的參與者和第二子網(wǎng)的參與者之間的每次通信��。換言之���,當(dāng)通信裝置接收到斷開信號并且通過數(shù)據(jù)處理裝置處理斷開信號時�,將中斷第一子網(wǎng)與第二子網(wǎng)的連接�。例如可以這樣設(shè)計斷開信號,使得該斷開信號包括用于通信裝置的指令����,在實施用于中斷在第一子網(wǎng)的參與者與第二子網(wǎng)的參與者之間的每次通信的指令時����,該指令阻止通信裝置�。通信裝置例如可以包括處理器,該處理器設(shè)計用于實施指令�。該處理器例如可以處理被網(wǎng)絡(luò)設(shè)備所接收的信號并且執(zhí)行在那里包括的指令。例如��,可以從另一個網(wǎng)絡(luò)設(shè)備將斷開信號發(fā)送給網(wǎng)絡(luò)設(shè)備���。例如可以有利的是���,即檢測對網(wǎng)絡(luò)設(shè)備的攻擊并且將每次通過網(wǎng)絡(luò)設(shè)備的通信歸為不安全的。在這種情況下��,在接收到斷開信號之后�����,網(wǎng)絡(luò)設(shè)備可以將每次通信都中斷��,從而防止了危害到網(wǎng)絡(luò)或單個的網(wǎng)絡(luò)參與者����。該斷開信號例如也還可以包括信息�����,從而檢測對網(wǎng)絡(luò)設(shè)備的攻擊�。在此情況下�����,網(wǎng)絡(luò)設(shè)備的通信裝置設(shè)計用于當(dāng)該信息被接收和處理時�����,中斷在第一子網(wǎng)的參與者與第二子網(wǎng)的參與者之間的每次通信����。通過規(guī)律地發(fā)送顯示出安全模塊的正常功能的控制信息�,網(wǎng)絡(luò)設(shè)備例如可以為另一個網(wǎng)絡(luò)設(shè)備顯示出,即安全模塊正常工作��。如果由于安全模塊處在功能不正常的狀態(tài)中而取消該控制信息的話�,那么將不再發(fā)送控制信息。在此情況下例如其它的網(wǎng)絡(luò)設(shè)備會向根據(jù)本實用新型的網(wǎng)絡(luò)設(shè)備發(fā)送斷開信號����,由此斷開在安全的子網(wǎng)和不安全的子網(wǎng)之間的連接�。例如當(dāng)不安全的子網(wǎng)對安全模塊進行攻擊時�,該設(shè)置是很有利的。如果這種攻擊被檢測到����,則在不安全的子網(wǎng)和安全的子網(wǎng)之間的連接將立刻被斷開。[0018]可以例如這樣實現(xiàn)安全子網(wǎng)和不安全子網(wǎng)的劃分�,即第一子網(wǎng)具有第一較高的安全級,而第二子網(wǎng)則具有第二���、較低的安全級���。根據(jù)本實用新型的實施方式,通信裝置包括至少兩個第一接口和一個連接節(jié)點��。該安全模塊包括一個用于連接網(wǎng)絡(luò)設(shè)備的第二接口以及兩個用于連接第二子網(wǎng)的第三接口�。安全模塊與第二子網(wǎng)的連接可以直接在安全模塊上實現(xiàn)或間接地通過設(shè)置在網(wǎng)絡(luò)設(shè)備中的數(shù)據(jù)線來實現(xiàn)。在后一種情況下����,通信裝置包括兩個用于將安全模塊連接在網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)線上的第三接口,并且該網(wǎng)絡(luò)設(shè)備包括至少兩個用于連接第二子網(wǎng)的第四接口���。安全模塊設(shè)計用于通過第二接口將通過第三接口之一接收的第一數(shù)據(jù)傳輸給連接節(jié)點��。安全模塊還設(shè)計用于通過第三接口之一將通過第二接口接收的第二數(shù)據(jù)傳輸給第二子網(wǎng)���。網(wǎng)絡(luò)設(shè)備設(shè)計用于在通過第一接口之一接收到斷開信號之后阻止第一和第二數(shù)據(jù)的傳輸����。根據(jù)本實用新型的實施方式����,該安全模塊設(shè)計用于通過第二接口與第一子網(wǎng)的網(wǎng)絡(luò)參與者一同建立VPN-隧道�,和/或?qū)Φ谝粩?shù)據(jù)進行加密。根據(jù)本實用新型的實施方式����,安全模塊設(shè)計用于當(dāng)檢測到對安全模塊的攻擊時,不發(fā)出控制信息�����。根據(jù)本實用新型的實施方式��,安全模塊包括處理器并且設(shè)計用于檢測處理器的負載��;檢測從第二子網(wǎng)接收的廣播電報的數(shù)量;和/或?qū)Φ谝粩?shù)據(jù)的內(nèi)容進行分析并且將該內(nèi)容劃分到第一類別或第二類別中���。安全模塊還設(shè)計用于如果處理器的負載超過負載閾值����,并且廣播電報的數(shù)量超過電報閾值和/或被劃分到第一類別中的數(shù)據(jù)的數(shù)據(jù)量超過數(shù)據(jù)量閾值��,則檢測攻擊���。對安全模塊的攻擊例如可能由此形成���,即處理器被有針對性地由于請求而過載并且由此危害到安全模塊的安全??梢酝ㄟ^檢測處理器的負載并且將其與負載閾值進行比較來檢測這類攻擊。如果處理器超過了該負載閾值��,那么將不再發(fā)出控制信息��。如果處理器仍舊受到嚴重過載以至于使得其本身無法再檢測到負載超過了負載閾值的情況���,則也不能再自動地以有規(guī)律的時間間隔發(fā)送控制信息���。還可以以如下方式將處理器的過載作為攻擊來檢測�����,即通常是以有規(guī)律的時間間隔發(fā)送控制信息���。在處理器過載的情況下,將不再發(fā)送控制信息或在較大的時間段中發(fā)送控制信息�����。對安全模塊的攻擊的另一種可能方式是廣播電報�。如果這種從低安全級的第二子網(wǎng)發(fā)送到高安全級的第一子網(wǎng)的廣播電報超過了電報閾值,那么這同樣會被檢測為攻擊并且將不再發(fā)送控制信息�。另一種檢測攻擊的可能途徑是對通過第三接口之一進行接收并且通過第二接口發(fā)出給連接節(jié)點的第一數(shù)據(jù)進行分析。在分析完畢之后便將該數(shù)據(jù)劃分到第一類別或第二類別中��。第一類別例如包括通常在第二子網(wǎng)和第一子網(wǎng)之間進行交換的數(shù)據(jù)�����。該數(shù)據(jù)例如可以是用于自動化網(wǎng)絡(luò)機器或用于傳輸與生產(chǎn)過程或制造過程相關(guān)的數(shù)據(jù)的控制命令�。而被劃分到第二類別中的數(shù)據(jù)不在通用的生產(chǎn)過程或制造過程中進行交換或僅極少地在第一子網(wǎng)和第二子網(wǎng)之間進行交換��。該數(shù)據(jù)例如可以是所有其它數(shù)據(jù)或僅僅有限數(shù)量的數(shù)據(jù)類型��,例如,從第二子網(wǎng)的參與者到第一子網(wǎng)的參與者的讀取訪問或?qū)懭朐L問��。根據(jù)本實用新型的實施方式�,通信裝置設(shè)計用于將控制信息傳輸給另一個網(wǎng)絡(luò)設(shè)備并且接收其它網(wǎng)絡(luò)設(shè)備的其它控制信息。在這種情況下�,在自動化網(wǎng)絡(luò)中也就還存在兩個根據(jù)本實用新型的網(wǎng)絡(luò)設(shè)備。數(shù)據(jù)處理裝置設(shè)計用于產(chǎn)生另一個斷開信號并且控制通信裝置����,以便將其它斷開信號發(fā)送給其它網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)設(shè)備也就設(shè)計用于向其它網(wǎng)絡(luò)設(shè)備發(fā)出斷開信號��。在自動化網(wǎng)絡(luò)中使用根據(jù)本實用新型的實施例的兩個網(wǎng)絡(luò)設(shè)備是有利的�����,這是因為當(dāng)檢測到對其它網(wǎng)絡(luò)設(shè)備的安全模塊的攻擊時�����,一個網(wǎng)絡(luò)設(shè)備可以通過其它網(wǎng)絡(luò)設(shè)備斷開第二子網(wǎng)與第一子網(wǎng)之間的連接�。這兩個網(wǎng)絡(luò)設(shè)備可以雙方同時從第一子網(wǎng)向第二子網(wǎng)傳輸數(shù)據(jù)并且可以反向傳輸??商鎿Q地將一個網(wǎng)絡(luò)設(shè)備限定為所謂的主機,而將一個網(wǎng)絡(luò)設(shè)備限定為所謂的輔機。在正常的運行中��,通過主機-網(wǎng)絡(luò)設(shè)備傳輸數(shù)據(jù)并且通過輔機-網(wǎng)絡(luò)設(shè)備檢測主機-網(wǎng)絡(luò)設(shè)備的安全模塊所受到的攻擊����。在此情況下,輔機-網(wǎng)絡(luò) 設(shè)備向主機-網(wǎng)絡(luò)設(shè)備發(fā)送斷開信號并且因此斷開在主機-網(wǎng)絡(luò)設(shè)備內(nèi)部的��、第二子網(wǎng)與第一子網(wǎng)的連接�。其它的從第二子網(wǎng)到第一子網(wǎng)的數(shù)據(jù)傳輸以及反向傳輸通過輔機-網(wǎng)絡(luò)設(shè)備進行。在另一個方面�,本實用新型涉及一種用于自動化網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備的安全模塊。該安全模塊包括一個用于連接網(wǎng)絡(luò)設(shè)備的第二接口以及兩個用于連接自動化網(wǎng)絡(luò)的其它設(shè)備的第三接口����。該安全模塊設(shè)計用于通過第二接口將通過第三接口之一接收的第一數(shù)據(jù)傳輸給網(wǎng)絡(luò)設(shè)備。另外���,該安全模塊還設(shè)計用于通過第三接口之一將通過第二接口接收的第二數(shù)據(jù)傳輸給其它設(shè)備之一�。根據(jù)本實用新型的實施方式����,安全模塊具有第四接口�,用于連接另一個網(wǎng)絡(luò)設(shè)備的另一個安全模塊。該安全模塊設(shè)計用于在運行狀態(tài)中通過第四接口以有規(guī)律的時間間隔將控制信息傳輸給其它安全模塊。該控制信息是對于安全模塊的運行狀態(tài)的提示���。當(dāng)發(fā)出控制信息時�,安全模塊處于正常的運行狀態(tài)中����。換言之,安全模塊在該狀態(tài)中正常工作�����。當(dāng)檢測到對安全模塊的攻擊時��,將不再傳輸或以較大的時間間隔傳輸控制信息���。在另一個方面���,本實用新型涉及一種自動化網(wǎng)絡(luò),具有根據(jù)本實用新型的實施方式的至少一個第一網(wǎng)絡(luò)設(shè)備和一個第二網(wǎng)絡(luò)設(shè)備���。根據(jù)本實用新型的實施方式���,該自動化網(wǎng)絡(luò)包括第一子網(wǎng)和第二子網(wǎng)��。第一子網(wǎng)包括第一安全級的第一設(shè)備��,而第二子網(wǎng)包括第二安全級的第二設(shè)備�。第一安全級高于第二安全級����。第二子網(wǎng)的設(shè)備分別通過第三接口與第一和/或第二網(wǎng)絡(luò)設(shè)備相連接�����。第一子網(wǎng)的設(shè)備通過第一接口與網(wǎng)絡(luò)設(shè)備相連接����。第一網(wǎng)絡(luò)設(shè)備設(shè)計用于以有規(guī)律的時間間隔向第二網(wǎng)絡(luò)設(shè)備發(fā)送第一控制信息。第二網(wǎng)絡(luò)設(shè)備設(shè)計用于以有規(guī)律的時間間隔向第一網(wǎng)絡(luò)設(shè)備發(fā)送第二控制信息�����。第一網(wǎng)絡(luò)設(shè)備設(shè)計用于當(dāng)?shù)谝痪W(wǎng)絡(luò)設(shè)備沒有接收到第二控制信息時���,檢測對第二網(wǎng)絡(luò)設(shè)備的安全模塊的攻擊�。第二網(wǎng)絡(luò)設(shè)備設(shè)計用于當(dāng)?shù)诙W(wǎng)絡(luò)設(shè)備沒有接收到第一控制信息時�,檢測對第一網(wǎng)絡(luò)設(shè)備的安全模塊的攻擊。第一網(wǎng)絡(luò)設(shè)備設(shè)計用于當(dāng)檢測到對第二網(wǎng)絡(luò)設(shè)備的安全模塊的攻擊時����,向第二網(wǎng)絡(luò)設(shè)備發(fā)送第一斷開信號。第二網(wǎng)絡(luò)設(shè)備設(shè)計用于在接收第一斷開信號時中斷在第一子網(wǎng)的參與者和第二子網(wǎng)的參與者之間的每次通信�����。第二網(wǎng)絡(luò)設(shè)備設(shè)計用于當(dāng)檢測到對第一網(wǎng)絡(luò)設(shè)備的安全模塊的攻擊時���,向第一網(wǎng)絡(luò)設(shè)備發(fā)送第二斷開信號�。第一網(wǎng)絡(luò)設(shè)備設(shè)計用于在接收第二斷開信號時中斷在第一子網(wǎng)的參與者和第二子網(wǎng)的參與者之間的每次通信����。根據(jù)本實用新型的實施方式,第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備設(shè)計用于同時將數(shù)據(jù)從不安全的設(shè)備傳輸給安全的設(shè)備并且反向傳輸��。該實施方式是有利的��,這是因為由此可以在第一網(wǎng)絡(luò)設(shè)備和第二子網(wǎng)之間分配待傳輸?shù)臄?shù)據(jù)并且避免了網(wǎng)絡(luò)設(shè)備的負載過高�。這例如可以由此實現(xiàn),即通過所謂的分成兩部分的鏈路群將數(shù)據(jù)傳輸給第一和第二網(wǎng)絡(luò)設(shè)備����。在此情況下�����,數(shù)據(jù)既被發(fā)出給第一網(wǎng)絡(luò)設(shè)備又被發(fā)出給第二網(wǎng)絡(luò)設(shè)備�。例如�����,在第二子網(wǎng)中設(shè)有在其上既連接了第一網(wǎng)絡(luò)設(shè)備又連接了第二網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)節(jié)點�。由于網(wǎng)絡(luò)節(jié)點通過鏈路群連接無法在第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備之間進行區(qū)分,所以該網(wǎng)絡(luò)節(jié)點既將數(shù)據(jù)傳輸給第一網(wǎng)絡(luò)設(shè)備又將數(shù)據(jù)傳輸給第二網(wǎng)絡(luò)設(shè)備�����。由此�����,數(shù)據(jù)既被傳輸給第一網(wǎng)絡(luò)設(shè)備又被傳輸給第二網(wǎng)絡(luò)設(shè)備并且避免了網(wǎng)絡(luò)設(shè)備的過載�。另一方面提出了一種用于在自動化網(wǎng)絡(luò)中傳輸數(shù)據(jù)的方法,該自動化網(wǎng)絡(luò)具有第一安全級的第一子網(wǎng)�����、第二安全級的第二子網(wǎng)��、第一網(wǎng)絡(luò)設(shè)備以及第二網(wǎng)絡(luò)設(shè)備。第一和第二網(wǎng)絡(luò)設(shè)備分別是根據(jù)本實用新型的實施方式的網(wǎng)絡(luò)設(shè)備���。第一安全級高于第二安全 級。首先�����,數(shù)據(jù)被從第一子網(wǎng)的參與者通過處在正常的運行狀態(tài)中的第一網(wǎng)絡(luò)設(shè)備傳輸給第二子網(wǎng)的參與者并且可以反向傳輸�。也可以將正常的運行狀態(tài)描述成第一網(wǎng)絡(luò)設(shè)備正常工作的狀態(tài)。換言之���,當(dāng)檢測到?jīng)]有對安全模塊的攻擊時��,網(wǎng)絡(luò)設(shè)備就是處在正常的運行狀態(tài)中�??刂菩畔⒂傻谝痪W(wǎng)絡(luò)設(shè)備產(chǎn)生并且以有規(guī)律的間隔傳輸給第二網(wǎng)絡(luò)設(shè)備。當(dāng)?shù)诙W(wǎng)絡(luò)設(shè)備沒有接收到控制信息時�����,第二網(wǎng)絡(luò)設(shè)備就檢測到了對第一網(wǎng)絡(luò)設(shè)備的攻擊��。在此情況下�,數(shù)據(jù)被從第二子網(wǎng)的參與者傳輸給第一子網(wǎng)的參與者并且隨后通過第二網(wǎng)絡(luò)設(shè)備進行反向傳輸�。另外����,通過第一網(wǎng)絡(luò)設(shè)備斷開在第一子網(wǎng)和第二子網(wǎng)之間的連接。該實施方式可以這樣實現(xiàn)����,即第二網(wǎng)絡(luò)設(shè)備向第一網(wǎng)絡(luò)設(shè)備發(fā)送斷開信號,而第一網(wǎng)絡(luò)設(shè)備則隨后斷開該連接���。根據(jù)本實用新型的實施方式����,在正常的運行狀態(tài)中�����,既可以通過第一網(wǎng)絡(luò)設(shè)備又可以通過第二網(wǎng)絡(luò)設(shè)備將數(shù)據(jù)從第一子網(wǎng)的參與者傳輸給第二子網(wǎng)的參與者并且可以反向傳輸���。
下面借助附圖詳細描述本實用新型的實施方式����。圖中示出圖1示出了具有第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備的自動化網(wǎng)絡(luò);圖2示出了具有第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備的自動化網(wǎng)絡(luò)�����,其中��,既通過第一網(wǎng)絡(luò)設(shè)備又通過第二網(wǎng)絡(luò)設(shè)備實現(xiàn)數(shù)據(jù)傳輸���;圖3示出了在自動化網(wǎng)絡(luò)中傳輸數(shù)據(jù)的方法的流程圖。
具體實施方式
利用相同的附圖標(biāo)記來表示下面附圖的彼此相應(yīng)的元件�。圖1是具有第一網(wǎng)絡(luò)設(shè)備102和第二網(wǎng)絡(luò)設(shè)備104的自動化網(wǎng)絡(luò)100的框圖。第一網(wǎng)絡(luò)設(shè)備102包括安全模塊106�,而第二網(wǎng)絡(luò)設(shè)備104包括第二安全模塊108。安全模塊106包括處理器110和交換機112��。另外,第一網(wǎng)絡(luò)設(shè)備102包括一個交換機(或者說連接節(jié)點)114�����、一個處理器(或者說數(shù)據(jù)處理裝置)116以及多個網(wǎng)絡(luò)接口(或者說第一接口)118^��。第一安全模塊106的處理器110通過接口 xl與交換機114相連接����。安全模塊106還包括兩個網(wǎng)絡(luò)接口(或者說第三接口)120和122��。網(wǎng)絡(luò)接口 120和122用于將安全模塊106連接到自動化網(wǎng)絡(luò)100的第二子網(wǎng)103上,而網(wǎng)絡(luò)接口 118i_n設(shè)計用于將第一網(wǎng)絡(luò)設(shè)備102連接到自動化網(wǎng)絡(luò)100的第一子網(wǎng)101上�。第一安全模塊106和第二安全模塊108分別包括用于彼此直接通信的網(wǎng)絡(luò)接口124。第二網(wǎng)絡(luò)設(shè)備104的安全模塊108同樣包括處理器126����、交換機128以及網(wǎng)絡(luò)接口(或者說第三接口)130和132。第二網(wǎng)絡(luò)設(shè)備104包括交換機134����、處理器(或者說數(shù)據(jù)處理裝置)136以及網(wǎng)絡(luò)接口(或者說第一接口)138^。第二網(wǎng)絡(luò)設(shè)備104通過第二安全模塊108的網(wǎng)絡(luò)接口 130和132與自動化網(wǎng)絡(luò)100的第二子網(wǎng)103相連接���。第二網(wǎng)絡(luò)設(shè)備104通過網(wǎng)絡(luò)接口 138^與·自動化網(wǎng)絡(luò)100的第一子網(wǎng)101相連接����。第一子網(wǎng)101是安全級高于第二子網(wǎng)103的子網(wǎng)�����。例如�����,可以由此確保該較高的安全級,即僅對第一子網(wǎng)中的數(shù)據(jù)傳輸進行加密并且僅通過驗證過的設(shè)備來進行該數(shù)據(jù)傳輸���。與此相反�,也可以不對第二子網(wǎng)103中的數(shù)據(jù)傳輸進行加密并且在沒有訪問授權(quán)的情況下進行該數(shù)據(jù)傳輸��。安全模塊106和108將第一子網(wǎng)101與第二子網(wǎng)103彼此分開�。通過處理器110和/或126分析和傳輸或阻止所有從第二子網(wǎng)103傳輸?shù)降谝蛔泳W(wǎng)101中并且反向傳輸?shù)臄?shù)據(jù)。例如當(dāng)數(shù)據(jù)來源于未被授權(quán)與第一子網(wǎng)101的網(wǎng)絡(luò)參與者進行通信的第二子網(wǎng)103的網(wǎng)絡(luò)參與者時��,可以阻止該數(shù)據(jù)�。安全模塊106或108將應(yīng)從第二子網(wǎng)103傳輸給第一子網(wǎng)101的參與者的數(shù)據(jù)轉(zhuǎn)輸給交換機114或134,該交換機通過處理器116或136這樣控制�����,從而通過分別相應(yīng)的網(wǎng)絡(luò)接口 IlSi數(shù)據(jù)發(fā)出給第一子網(wǎng)101的相應(yīng)的網(wǎng)絡(luò)參與者��?�?梢酝ㄟ^網(wǎng)絡(luò)接口 118i_n和138i_n接收源于第一和第二網(wǎng)絡(luò)設(shè)備102和104以及第一子網(wǎng)101的數(shù)據(jù)���。然后,可以通過接口 xl和x2將該數(shù)據(jù)發(fā)出給安全模塊106和108的處理器110和126并且在此通過交換機112和128以及網(wǎng)絡(luò)接口 120���,122�����,130和132發(fā)出給第二子網(wǎng)103���。在正常的運行狀態(tài)中或換言之表達在功能正常的情況下��,應(yīng)從第二子網(wǎng)103傳輸給第一子網(wǎng)101的數(shù)據(jù)被通過第一網(wǎng)絡(luò)設(shè)備102從第二子網(wǎng)103傳輸給第一子網(wǎng)101�����。由此也可以將第一網(wǎng)絡(luò)設(shè)備102的安全模塊106稱為主機����。只要第一安全模塊106正常工作�,就能以有規(guī)律的時間間隔將控制信息傳輸給第二網(wǎng)絡(luò)設(shè)備104的第二安全模塊108。例如可以通過所謂的安全備用線路(Security Sandby-Leitung)利用網(wǎng)絡(luò)接口 124傳輸該控制信息���。還可以可替換地或附加地通過第一子網(wǎng)101利用網(wǎng)絡(luò)接口 118 和US1傳輸該控制信息��。只要安全模塊106有規(guī)律地將控制信息傳輸給安全模塊108,那么安全模塊106就正常地發(fā)揮作用���。如果控制信息不規(guī)律地傳輸��,以較大的時間間隔傳輸或完全不傳輸�����,那么第二安全模塊108的處理器126檢測到安全模塊106所受到的攻擊����。這種攻擊例如可以源于廣播電報對安全模塊106造成的過載�����。在此情況下��,處理器110的負載超過了負載閾值并且不再傳輸控制信息或僅以較大的時間間隔向安全模塊108傳輸控制信息�。如果處理器110到達其負載極限,那么將自動推遲控制信息的發(fā)送�。優(yōu)選地通過第一子網(wǎng)101或安全備用線路來實現(xiàn)控制信息的發(fā)送�����,并且利用網(wǎng)絡(luò)接口 124加密和確保安全��,由此可以不再出現(xiàn)“中間人攻擊”��。控制信息也可以通過第二子網(wǎng)103進行傳輸����。但這種方式并不安全并且由此成為了潛在的攻擊者的另一個攻擊點。另一個攻擊安全模塊106的方式是由第二子網(wǎng)103的參與者傳輸給第一子網(wǎng)101的參與者的電報���,該電報帶有有害內(nèi)容或被用于讀取第一子網(wǎng)101的參與者未授權(quán)允許其進行讀取的信息���。為了檢測這種攻擊,處理器Iio會對由第二子網(wǎng)103傳輸給第一子網(wǎng)101的電報進行分析并且將其分到兩個類別中���。帶有正常內(nèi)容的電報被劃分到第一類別中����。這些電報是那些在正常的生產(chǎn)過程或制造過程中由第二子網(wǎng)103發(fā)送給第一子網(wǎng)101的電報����。例如,該電報可以是測量數(shù)據(jù)���。被處理器110劃分到第二類別中的電報的內(nèi)容并不正常���。也就是說����,第二類別中的電報內(nèi)容不會出現(xiàn)或僅極少出現(xiàn)在普通的生產(chǎn)過程或制造過程中��。當(dāng)被劃分到第二類別中的電報的數(shù)量超過電報閾值的時候��,就會對安全模塊106所 受到的攻擊進行檢測并且不再向安全模塊108傳輸控制信息����。當(dāng)安全模塊108不再接收到控制信息或僅以不規(guī)律的時間間隔或以較大的時間間隔接收到控制信息時,那么處理器126將檢測安全模塊106所受到的攻擊��。然后�,處理器126向處理器116發(fā)送斷開信號。處理器116在接收到該斷開信號時通過接口 xl斷開與安全模塊106的連接��。該斷開信號通過第一子網(wǎng)101傳輸��。也就通過安全模塊106來斷開第一子網(wǎng)101與第二子網(wǎng)103的連接��。該連接則被通過第二安全模塊108所產(chǎn)生的連接所代替����。第二安全模塊108也就替代了被斷開的安全模塊106�。從第二子網(wǎng)103到第一子網(wǎng)101的數(shù)據(jù)傳輸以及反向的數(shù)據(jù)傳輸現(xiàn)在也就可以通過具有第二安全模塊108的第二網(wǎng)絡(luò)設(shè)備104來實現(xiàn)�����,這與通過具有第一安全模塊106的第一網(wǎng)絡(luò)設(shè)備102的數(shù)據(jù)傳輸類似���。一旦可以確定安全模塊106受到攻擊的原因并且可以阻止安全模塊106受到其它攻擊,那么現(xiàn)在就可以運行作為所謂的輔機的第一網(wǎng)絡(luò)設(shè)備102�����,該網(wǎng)絡(luò)設(shè)備在安全模塊108失效時再次承擔(dān)了數(shù)據(jù)傳輸任務(wù)�����。安全模塊108在承擔(dān)了數(shù)據(jù)傳輸任務(wù)之后��,正如之前的安全模塊106的情況那樣作為所謂的主機運行�。可以手動確定����,兩個安全模塊中哪個是主機哪個是輔機。圖2是如圖1的自動化網(wǎng)絡(luò)100的框圖��。與圖1的區(qū)別在于�,通過所謂的鏈路群來實現(xiàn)從第二子網(wǎng)103到網(wǎng)絡(luò)設(shè)備102和104以及反向的數(shù)據(jù)傳輸���。第二子網(wǎng)103的交換機200利用多個網(wǎng)絡(luò)連接部202與第一網(wǎng)絡(luò)設(shè)備102的和第二網(wǎng)絡(luò)設(shè)備104的網(wǎng)絡(luò)接口 120,122�����,130和132相連接�����。交換機200通過網(wǎng)絡(luò)連接部202將應(yīng)被傳輸給第一子網(wǎng)101的數(shù)據(jù)提供給第一和第二網(wǎng)絡(luò)設(shè)備102和104�。在此交換機200并未得知,哪些網(wǎng)絡(luò)連接部202通向第一網(wǎng)絡(luò)設(shè)備102和哪些網(wǎng)絡(luò)連接部通向第二網(wǎng)絡(luò)設(shè)備104�。交換機200將接收到的數(shù)據(jù)分配給四個網(wǎng)線202,從而既可以由第一網(wǎng)絡(luò)設(shè)備102又可以由第二網(wǎng)絡(luò)設(shè)備104來傳輸數(shù)據(jù)并且減小了網(wǎng)絡(luò)設(shè)備的負載�。也可以應(yīng)用更多的網(wǎng)絡(luò)連接部202來代替四條網(wǎng)線202。如果現(xiàn)在檢測到兩個安全模塊106和108受到攻擊�,將如圖1所描述的那樣同樣利用相關(guān)的網(wǎng)絡(luò)設(shè)備斷開該安全模塊的連接。由此��,該數(shù)據(jù)傳輸將如圖1已經(jīng)描述過的那樣通過單獨的網(wǎng)絡(luò)設(shè)備來實現(xiàn)��。在鏈路群的情況下��,可以既不將第一網(wǎng)絡(luò)設(shè)備102也不將第二網(wǎng)絡(luò)設(shè)備104描述為主機或輔機。第一安全模塊106向第二安全模塊108發(fā)送控制信息并且可以反向發(fā)送���。可以如圖1所描述的那樣檢測攻擊并且也可以類似地實現(xiàn)安全模塊的斷開���。圖3是方法的流程圖����。在自動化網(wǎng)絡(luò)中���,利用第一安全級的第一子網(wǎng)�����、第一安全級的第二網(wǎng)絡(luò)�����、第二安全級的第二子網(wǎng)��、網(wǎng)絡(luò)設(shè)備以及第二網(wǎng)絡(luò)設(shè)備來傳輸數(shù)據(jù)���。在此,第一安全級高于第二安全級。在第一個步驟SI中����,通過第一網(wǎng)絡(luò)設(shè)備將數(shù)據(jù)從第一子網(wǎng)的參與者傳輸給第二子網(wǎng)的參與者并且可以反向傳輸。這被描述成第一網(wǎng)絡(luò)設(shè)備的和第一網(wǎng)絡(luò)設(shè)備中的安全模塊的正常的運行狀態(tài)或正常功能�����。在第二步驟S2中產(chǎn)生和傳輸控制信息�����。該信息以規(guī)律的間隔被從第一網(wǎng)絡(luò)設(shè)備傳輸?shù)降诙W(wǎng)絡(luò)設(shè)備���。在第二網(wǎng)絡(luò)設(shè)備中�,這以信號表現(xiàn)了第一網(wǎng)絡(luò)設(shè)備的正常的運行狀態(tài)�����。更準(zhǔn)確地說�,在第二網(wǎng)絡(luò)設(shè)備的安全模塊中,控制信息以信號表現(xiàn)了第一網(wǎng)絡(luò)設(shè)備的安全模塊的正常功能����。在步驟S3中,通過第二網(wǎng)絡(luò)設(shè)備檢測第一網(wǎng)絡(luò)設(shè)備所受到的攻擊。當(dāng)?shù)诙W(wǎng)絡(luò)設(shè)備的第二安全模塊不再接收到第一網(wǎng)絡(luò)設(shè)備的第一安全模塊的控制信息時�,就出現(xiàn)了上 述攻擊。當(dāng)出現(xiàn)過載或檢測到攻擊時�����,第一網(wǎng)絡(luò)設(shè)備的第一安全模塊不再傳輸控制信息或僅不規(guī)律地或以比正常的運行狀態(tài)更長的時間間隔傳輸控制信息��。例如可以由此來檢測攻擊�����,即對從第一子網(wǎng)絡(luò)傳輸?shù)降谝蛔泳W(wǎng)絡(luò)的電報進行分析并且將其劃分到兩個類別中��。在此����,第一類別包括帶有正常內(nèi)容的電報��,這就是說�,這些電報是那些在正常的生產(chǎn)過程或制造過程中進行傳輸?shù)碾妶蟆5诙悇e包括那些通常不會出現(xiàn)或僅極少出現(xiàn)在普通的生產(chǎn)過程或制造過程中的電報���。當(dāng)被劃分到第二類別中的電報的數(shù)量超過電報閾值的時候�,第一網(wǎng)絡(luò)設(shè)備的第一安全模塊就會檢測到攻擊并且將不再向第二網(wǎng)絡(luò)設(shè)備的第二安全模塊傳輸控制信息。在步驟S4中�,當(dāng)檢測出第一網(wǎng)絡(luò)設(shè)備的第一安全模塊所受到的攻擊時,隨后通過第一網(wǎng)絡(luò)設(shè)備中斷從第二子網(wǎng)的參與者到第一子網(wǎng)的參與者的數(shù)據(jù)傳輸�����。這例如可以由此實現(xiàn)��,即第二網(wǎng)絡(luò)設(shè)備向第一網(wǎng)絡(luò)設(shè)備傳輸斷開信號并且第一網(wǎng)絡(luò)設(shè)備接下來斷開通過第一網(wǎng)絡(luò)設(shè)備的第二子網(wǎng)和第一子網(wǎng)之間的連接����。然后,在步驟S5中�,通過第二網(wǎng)絡(luò)設(shè)備將數(shù)據(jù)從第二子網(wǎng)的參與者傳輸給第一子網(wǎng)的參與者并且可以反向傳輸。參考標(biāo)號表100自動化網(wǎng)絡(luò)200交換機101第一子網(wǎng)202網(wǎng)絡(luò)連接部102第一網(wǎng)絡(luò)設(shè)備103 第二子網(wǎng)104第二網(wǎng)絡(luò)設(shè)備106第一安全模塊108第二安全模塊110處理器112交換機114交換機116處理器[0080]118η 網(wǎng)絡(luò)接口120 網(wǎng)絡(luò)接口122 網(wǎng)絡(luò)接口124 網(wǎng)絡(luò)接口126處理器128交換機130 網(wǎng)絡(luò)接口 132 網(wǎng)絡(luò)接口134交換機136處理器138η 網(wǎng)絡(luò)接口
權(quán)利要求1.一種用于自動化網(wǎng)絡(luò)(100)的網(wǎng)絡(luò)設(shè)備(102 ;104)����,其特征是,所述網(wǎng)絡(luò)設(shè)備具有-用于在第一和第二子網(wǎng)的至少兩個不同的網(wǎng)絡(luò)參與者之間實現(xiàn)通信的通信裝置����,其中,所述通信裝置設(shè)計用于接收所述第一子網(wǎng)的斷開信號���,-安全模塊(106 ;108)�,其中,所述安全模塊設(shè)計用于檢測是否允許通過所述網(wǎng)絡(luò)設(shè)備實現(xiàn)所述第一和第二子網(wǎng)的第一和第二網(wǎng)絡(luò)參與者之間的通信���,其中��,當(dāng)所述通信不被允許時���,所述安全模塊設(shè)計用于阻止所述通信,其中���,所述安全模塊設(shè)計用于通過所述第一子網(wǎng)以有規(guī)律的時間間隔產(chǎn)生和發(fā)送控制信息,并且其中���,所述控制信息顯示出所述安全模塊的正常功能�����,以及-數(shù)據(jù)處理裝置(116 ;136)����,用于處理所述斷開信號�,從而控制所述通信裝置,以便中斷在所述第一子網(wǎng)的參與者和所述第二子網(wǎng)的參與者之間的每次通信�����。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備,其特征是��,所述通信裝置包括至少兩個第一接口(118^ :138^)和一個連接節(jié)點(I 14 ;134)���,其中��,所述安全模塊具有一個用于連接所述網(wǎng)絡(luò)設(shè)備的第二接口(XI ���;X2),其中,所述安全模塊具有至少兩個用于連接所述第二子網(wǎng)的第三接口(120 ����;122 ;130 �;132),其中���,所述安全模塊設(shè)計用于通過所述第二接口將通過所述第三接口之一接收的第一數(shù)據(jù)傳輸給所述連接節(jié)點����,其中�,所述安全模塊設(shè)計用于通過所述第三接口之一將通過所述第二接口接收的第二數(shù)據(jù)傳輸給所述第二子網(wǎng)���,和其中,所述網(wǎng)絡(luò)設(shè)備設(shè)計用于在通過所述第一接口之一接收到所述斷開信號之后阻止所述第一和第二數(shù)據(jù)的傳輸�����。
3.根據(jù)權(quán)利要求1或2中任一項所述的網(wǎng)絡(luò)設(shè)備�,其特征是,所述安全模塊設(shè)計用于通過所述第二接口與所述第一子網(wǎng)的網(wǎng)絡(luò)參與者一同建立VPN-隧道�,和/或?qū)λ龅谝粩?shù)據(jù)進行加密。
4.根據(jù)權(quán)利要求1或2中任一項所述的網(wǎng)絡(luò)設(shè)備���,其特征是��,所述安全模塊設(shè)計用于當(dāng)檢測到對所述安全模塊的攻擊時,不發(fā)出控制信息����。
5.根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)設(shè)備,其特征是�����,所述安全模塊設(shè)計用于當(dāng)檢測到對所述安全模塊的攻擊時�,不發(fā)出控制信息����。
6.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)設(shè)備����,其特征是,所述安全模塊包括處理器(I 10 ;126)并且設(shè)計用于-檢測所述處理器的負載���,-檢測從所述第二子網(wǎng)接收的廣播電報的數(shù)量����,和/或-對所述第一數(shù)據(jù)的內(nèi)容進行分析并且將所述內(nèi)容劃分到第一類別或第二類別中�;其中,所述安全模塊設(shè)計用于如果-所述處理器的負載超過負載閾值�����,-所述廣播電報的數(shù)量超過電報閾值��,和/或-被劃分到所述第一類別中的所述數(shù)據(jù)的數(shù)據(jù)量超過數(shù)據(jù)量閾值����,則檢測對所述安全模塊的攻擊。
7.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)設(shè)備��,其特征是,所述安全模塊包括處理器(I 10 ;126)并且設(shè)計用于-檢測所述處理器的負載��,-檢測從所述第二子網(wǎng)接收的廣播電報的數(shù)量�,和/或-對所述第一數(shù)據(jù)的內(nèi)容進行分析并且將所述內(nèi)容劃分到第一類別或第二類別中;其中�����,所述安全模塊設(shè)計用于如果-所述處理器的負載超過負載閾值����,-所述廣播電報的數(shù)量超過電報閾值,和/或-被劃分到所述第一類別中的所述數(shù)據(jù)的數(shù)據(jù)量超過數(shù)據(jù)量閾值�,則檢測對所述安全模塊的攻擊。
8.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)設(shè)備���,其特征是���,其中�,所述通信裝置設(shè)計用于將所述控制信息傳輸給另一個網(wǎng)絡(luò)設(shè)備并且接收其它網(wǎng)絡(luò)設(shè)備的其它控制信息,并且其中����,所述數(shù)據(jù)處理裝置設(shè)計用于產(chǎn)生另一個斷開信號并且控制所述通信裝置��,以便將其它所述斷開信號發(fā)送給其它所述網(wǎng)絡(luò)設(shè)備����。
9.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)設(shè)備�����,其特征是���,其中��,所述通信裝置設(shè)計用于將所述控制信息傳輸給另一個網(wǎng)絡(luò)設(shè)備并且接收其它網(wǎng)絡(luò)設(shè)備的其它控制信息���,并且其中,所述數(shù)據(jù)處理裝置設(shè)計用于產(chǎn)生另一個斷開信號并且控制所述通信裝置��,以便將其它所述斷開信號發(fā)送給其它所述網(wǎng)絡(luò)設(shè)備��。
10.根據(jù)權(quán)利要求1或2中任一項所述的網(wǎng)絡(luò)設(shè)備��,其特征是����,所述第一子網(wǎng)具有第一安全級����,而所述第二子網(wǎng)具有第二安全級����,并且其中,所述第一安全級高于所述第二安全級����。
11.根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)設(shè)備,其特征是�����,所述第一子網(wǎng)具有第一安全級�����,而所述第二子網(wǎng)具有第二安全級��,并且其中����,所述第一安全級高于所述第二安全級。
12.一種用于自動化網(wǎng)絡(luò)(100)中的網(wǎng)絡(luò)設(shè)備(102 ����;104)的安全模塊,其特征是�,所述安全模塊具有-一個第二接口(XI ;X2),用于連接所述網(wǎng)絡(luò)設(shè)備���,以及-兩個第三接口(120 ��;122 �����;130 ;132)�,用于連接所述自動化網(wǎng)絡(luò)的第二子網(wǎng)(103)�����,其中��,所述安全模塊設(shè)計用于通過所述第二接口將通過所述第三接口之一接收的第一數(shù)據(jù)傳輸給所述網(wǎng)絡(luò)設(shè)備��,其中��,所述安全模塊設(shè)計用于通過所述第三接口之一將通過所述第二接口接收的第二數(shù)據(jù)傳輸給其它所述設(shè)備之一。
13.根據(jù)權(quán)利要求12所述的安全模塊�,其特征是,其中�,所述安全模塊具有用于連接另一個安全模塊的第四接口( 124),其中�����,所述安全模塊設(shè)計用于在運行狀態(tài)中通過所述第四接口以有規(guī)律的時間間隔將控制信息傳輸給其它所述安全模塊����,并且其中,所述控制信息是對于所述安全模塊的所述運行狀態(tài)的提示�。
14.一種自動化網(wǎng)絡(luò)(100),其特征是�����,所述自動化網(wǎng)絡(luò)具有分別根據(jù)權(quán)利要求1至11中任一項所述的至少一個第一網(wǎng)絡(luò)設(shè)備(102)和一個第二網(wǎng)絡(luò)設(shè)備(104)�����。
15.根據(jù)權(quán)利要求14所述的自動化網(wǎng)絡(luò)���,其特征是�,其中,所述自動化網(wǎng)絡(luò)包括第一子網(wǎng)(101)和第二子網(wǎng)(103)�����,其中���,所述第一子網(wǎng)包括第一安全級的第一設(shè)備,而所述第二子網(wǎng)包括第二安全級的第二設(shè)備��,其中����,所述第一安全級高于所述第二安全級,其中�����,所述第二子網(wǎng)的所述設(shè)備分別通過所述第三接口與所述第一和/或第二網(wǎng)絡(luò)設(shè)備相連接�,其中,所述第一子網(wǎng)的所述設(shè)備通過所述第一接口與所述網(wǎng)絡(luò)設(shè)備相連接�����,其中�����,所述第一網(wǎng)絡(luò)設(shè)備設(shè)計用于以有規(guī)律的間隔向所述第二網(wǎng)絡(luò)設(shè)備發(fā)送第一控制信息,其中���,所述第二網(wǎng)絡(luò)設(shè)備設(shè)計用于以有規(guī)律的間隔向所述第一網(wǎng)絡(luò)設(shè)備發(fā)送第二控制信息��,其中�����,所述第一網(wǎng)絡(luò)設(shè)備設(shè)計用于當(dāng)所述第一網(wǎng)絡(luò)設(shè)備沒有接收到所述第二控制信息時�����,檢測對所述第二網(wǎng)絡(luò)設(shè)備的安全模塊的攻擊���,其中,所述第二網(wǎng)絡(luò)設(shè)備設(shè)計用于當(dāng)所述第二網(wǎng)絡(luò)設(shè)備沒有接收到所述第一控制信息時�,檢測對所述第一網(wǎng)絡(luò)設(shè)備的安全模塊的攻擊,其中���,所述第一網(wǎng)絡(luò)設(shè)備設(shè)計用于當(dāng)檢測到對所述第二網(wǎng)絡(luò)設(shè)備的所述安全模塊的攻擊時�,向所述第二網(wǎng)絡(luò)設(shè)備發(fā)送第一斷開信號����,其中��,所述第二網(wǎng)絡(luò)設(shè)備設(shè)計用于在接收所述第一斷開信號時中斷在所述第一子網(wǎng)的參與者和所述第二子網(wǎng)的參與者之間的每次通信�,其中�����,所述第二網(wǎng)絡(luò)設(shè)備設(shè)計用于當(dāng)檢測到對所述第一網(wǎng)絡(luò)設(shè)備的所述安全模塊的攻擊時�����,向所述第一網(wǎng)絡(luò)設(shè)備發(fā)送第二斷開信號�,其中���,所述第一網(wǎng)絡(luò)設(shè)備設(shè)計用于在接收所述第二斷開信號時中斷在所述第一子網(wǎng)的參與者和所述第二子網(wǎng)的參與者之間的每次通信���。
16.根據(jù)權(quán)利要求14或15中任一項所述的自動化網(wǎng)絡(luò),其特征是�����,所述第一網(wǎng)絡(luò)設(shè)備和所述第二網(wǎng)絡(luò)設(shè)備設(shè)計用于同時將數(shù)據(jù)從不安全的所述設(shè)備傳輸給安全的所述設(shè)備并且可以反向傳輸�。
專利摘要本實用新型涉及一種用于自動化網(wǎng)絡(luò)(100)的網(wǎng)絡(luò)設(shè)備(102����;104)��,一種用于自動化網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備的安全模塊����,和一種自動化網(wǎng)絡(luò)。該網(wǎng)絡(luò)設(shè)備具有用于在第一和第二子網(wǎng)的至少兩個不同的網(wǎng)絡(luò)參與者之間實現(xiàn)通信的通信裝置�;安全模塊(106;108)��,其中���,該安全模塊設(shè)計用于通過第一子網(wǎng)以有規(guī)律的時間間隔產(chǎn)生和發(fā)送控制信息���,并且其中,該控制信息顯示出安全模塊的正常功能���;以及數(shù)據(jù)處理裝置(116)���,用于處理斷開信號,從而控制通信裝置���,以便中斷在第一子網(wǎng)的參與者和第二子網(wǎng)的參與者之間的每次通信�����。
文檔編號H04L29/06GK202856779SQ20122002856
公開日2013年4月3日 申請日期2012年1月21日 優(yōu)先權(quán)日2011年1月28日
發(fā)明者約爾格·克呂格爾 申請人:西門子公司