對相關(guān)申請的交叉引用

本申請要求2014年10月20日提交的名稱為“用于工業(yè)控制系統(tǒng)的防篡改模塊(tamperresistantmoduleforindustrialcontrolsystem)”的美國臨時申請系列號62/066267根據(jù)35u.s.c.§119(e)的權(quán)益。于此通過引用美國臨時申請系列號62/066267的整體而將其并入本文。

背景技術(shù)：

計算裝置是用于存儲、處理、以及傳遞大量信息以及控制自動過程的器具?？梢园ㄟ^程控制系統(tǒng)(pcs)、分布式控制系統(tǒng)(dcs)、基于可編程邏輯控制器(plc)的系統(tǒng)、監(jiān)督控制和數(shù)據(jù)采集(scada)系統(tǒng)等的工業(yè)控制系統(tǒng)(ics)能夠利用通信網(wǎng)絡(luò)來方便貨物的生產(chǎn)和基本服務(wù)的提供。

技術(shù)實現(xiàn)要素：

描述了一種工業(yè)控制系統(tǒng)模塊和方法，該工業(yè)控制系統(tǒng)模塊和方法用于在指示未授權(quán)模塊訪問事件時，自毀或毀壞和/或擦除工業(yè)控制系統(tǒng)模塊內(nèi)的敏感數(shù)據(jù)。在實施中，一種安全工業(yè)控制系統(tǒng)模塊，包括：電路板，包括電路；密封箱，容納所述電路板，其中，所述密封箱包括具有第一殼體側(cè)面和第二殼體側(cè)面的殼體，其中，所述殼體被配置為在所述第一殼體側(cè)面與所述第二殼體側(cè)面耦合到一起時容納所述電路板；以及第一傳感器部件，與所述密封箱集成，其中，所述第一傳感器部件通信上耦合到所述電路板和所述電路，并且被配置為提供未授權(quán)訪問事件的指示。

在實施中，一種防篡改工業(yè)控制系統(tǒng)模塊，包括：電路板，包括電路；連接器，設(shè)置于所述電路板上；殼體，具有第一殼體側(cè)面和第二殼體側(cè)面，其中，所述殼體被配置為在所述第一殼體側(cè)面與所述第二殼體側(cè)面耦合到一起時容納所述電路板，并且其中，所述殼體包括至少一個端口，所述至少一個端口被配置為提供用于所述連接器的外部入口；以及電子開關(guān)組件，與所述第一殼體側(cè)面集成，其中，所述電子開關(guān)組件電耦合到所述電路板和所述電路，并且被配置為由設(shè)置于所述第二殼體側(cè)面上的開關(guān)觸發(fā)器觸發(fā)。

在實施中，一種用于對包含于密封箱中的工業(yè)控制系統(tǒng)模塊的未授權(quán)訪問進行檢測的方法，包括：使用控制器從第一傳感器部件接收所述工業(yè)控制系統(tǒng)模塊的未授權(quán)訪問事件的指示；以及使用安全模塊，基于所述工業(yè)控制系統(tǒng)模塊的所述未授權(quán)訪問事件的所述指示，實施安全動作。

公開的工業(yè)控制系統(tǒng)模塊和安全動作能夠提供防篡改模塊和/或自毀裝置，用于在工業(yè)控制系統(tǒng)或其它電子裝置內(nèi)發(fā)生未授權(quán)模塊訪問事件時，防止數(shù)據(jù)和信息訪問。

提供此發(fā)明內(nèi)容以以簡化的形式提供以下具體實施方式中進一步描述的概念的集合。此發(fā)明內(nèi)容不意圖表示所聲稱的主題的關(guān)鍵特征或本質(zhì)特征，也不意圖用于幫助確定所聲稱的主題的范圍。

附圖說明

參考附圖描述了具體實施方式。描述和附圖中的不同實例中相同參考標(biāo)記的使用可以指示類似或相同的項。

圖1是示例根據(jù)本公開的范例實施的防篡改工業(yè)控制系統(tǒng)模塊的分解等距視圖。

圖2是示例包括至少一個根據(jù)本公開的范例實施例的防篡改工業(yè)控制系統(tǒng)模塊的工業(yè)控制系統(tǒng)的框圖。

圖3是示例用于根據(jù)本公開的范例實施例的防篡改工業(yè)控制系統(tǒng)模塊中的控制器的框圖。

圖4是示例工業(yè)控制系統(tǒng)環(huán)境的框圖，其中工業(yè)控制系統(tǒng)包括根據(jù)本公開的范例實施例的防篡改工業(yè)控制系統(tǒng)模塊。

圖5是示例根據(jù)本公開的范例實施例的包括至少一個傳感器部件的工業(yè)控制系統(tǒng)模塊的框圖。

圖6是示例根據(jù)本公開的范例實施例的用于對密封箱中包含的工業(yè)控制系統(tǒng)模塊的未授權(quán)訪問進行檢測的方法的流程圖。

具體實施方式

概述

初始預(yù)想工業(yè)控制系統(tǒng)(ics)用于操作于隔離和受托域中(isolatedandtrusteddomain)。然而，擴展的連接性技術(shù)提升了生產(chǎn)力，容許對來自工廠地板和來自世界各地的遠程位置的信息的杠桿作用(leveraging)，由此使ics潛在地暴露于大量的人們。遺憾的是，此擴展的連接性技術(shù)超過了對應(yīng)的計算機安全方案并且使人們負重于工程理解和安全技術(shù)，以保持關(guān)鍵系統(tǒng)安全而遠離先進的計算機威脅。

ics中使用的數(shù)據(jù)存儲裝置能夠記錄并存儲大量信息，包括機密信息。一些電子數(shù)據(jù)存儲器可能需要電力來存儲并檢索存儲的數(shù)據(jù)。一些數(shù)據(jù)存儲裝置被配置為包括離線(off-line)或便攜式存儲器，使得該裝置能夠被移動并用于多個計算裝置中。能夠包括敏感信息的附加電子裝置能夠包括諸如處理器、存儲器模塊(例如，隨機存取存儲器(ram)、只讀存儲器(rom))、通信裝置等的計算裝置。敏感數(shù)據(jù)能夠存儲在這些電子數(shù)據(jù)存儲裝置上，要求加密和安全措施。

一種計算機安全標(biāo)準(zhǔn)包括140系列的聯(lián)邦信息處理標(biāo)準(zhǔn)(fips140)，包括美國政府計算機安全標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)規(guī)定了對密碼模塊的要求，其設(shè)計為保持關(guān)鍵系統(tǒng)安全。fips140標(biāo)準(zhǔn)協(xié)調(diào)對密碼模塊的要求和標(biāo)準(zhǔn)，密碼模塊包括由美國聯(lián)邦政府的部門和代理使用的硬件和軟件部件。另一計算機安全標(biāo)準(zhǔn)包括安全會議發(fā)起協(xié)議(sip)，其是由siprfc3261限定的安全機制，用于在傳輸層安全加密的信道上發(fā)送sip消息。

然而，ics可能特別容易遭受未授權(quán)訪問，即使按照現(xiàn)有的安全標(biāo)準(zhǔn)，諸如fip140或安全sip。這些工業(yè)控制系統(tǒng)在團體間諜活動(corporateespionage)和技術(shù)偷竊的背景下能夠包括敏感和有價值的信息。不是所有的電子裝置和/或數(shù)據(jù)存儲裝置包括足夠用于防止對安全數(shù)據(jù)和/或電子裝置的未授權(quán)訪問的必須的加密和安全措施。

因而，描述了用于在指示未授權(quán)模塊訪問事件時，自毀或毀壞和/或擦除工業(yè)控制系統(tǒng)模塊內(nèi)的敏感數(shù)據(jù)的工業(yè)控制系統(tǒng)模塊和方法。在實施中，防篡改工業(yè)控制系統(tǒng)模塊包括：電路板，包括電路；連接器，設(shè)置于電路板上；殼體，具有第一殼體側(cè)面和第二殼體側(cè)面，其中殼體被配置為在第一殼體側(cè)面和第二殼體側(cè)耦合到一起時容納電路板，并且其中殼體包括至少一個端口，該至少一個端口被配置為提供用于連接器的外部入口(access)；以及電子開關(guān)組件，與第一殼體側(cè)面集成，其中電子開關(guān)組件電耦合到電路板和電路并且被配置為由設(shè)置于第二殼體側(cè)面上的開關(guān)觸發(fā)器觸發(fā)。

在實施中，一種用于對包含在密封箱中的工業(yè)控制系統(tǒng)模塊的未授權(quán)訪問進行檢測的方法，包括：使用控制器從第一傳感器部件接收對工業(yè)控制系統(tǒng)模塊的未授權(quán)訪問事件的指示；以及使用安全模塊，基于對工業(yè)控制系統(tǒng)模塊的未授權(quán)訪問事件的指示來實施安全動作。

公開的工業(yè)控制系統(tǒng)模塊和安全動作能夠提供防篡改模塊和/或自毀裝置，用于在工業(yè)控制系統(tǒng)或其它電子裝置內(nèi)發(fā)生未授權(quán)模塊訪問事件時，防止數(shù)據(jù)和信息訪問。

范例工業(yè)控制系統(tǒng)模塊

圖1示例根據(jù)本公開的范例實施的工業(yè)控制系統(tǒng)模塊100。如所示，工業(yè)控制系統(tǒng)模塊100能夠包括電子開關(guān)組件114，其被配置為在指示未授權(quán)訪問(例如，物理的、通信的等)時，給裝置提供安全并給工業(yè)控制系統(tǒng)模塊100及內(nèi)部電路120提供電浪涌。

如圖1至5中所示，工業(yè)控制系統(tǒng)(ics)101能夠包括至少一個根據(jù)本公開的范例實施描述的工業(yè)控制系統(tǒng)模塊100。于此使用的術(shù)語“工業(yè)控制系統(tǒng)”可以涵蓋用于工業(yè)生產(chǎn)中的數(shù)種類型的控制系統(tǒng)，包括過程控制系統(tǒng)(pcs)、監(jiān)督控制和數(shù)據(jù)采集(scada)系統(tǒng)、分布式控制系統(tǒng)(dcs)、以及諸如工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施(infrastructure)中經(jīng)常發(fā)現(xiàn)的可編程邏輯控制器(plc)的其它較小的控制系統(tǒng)?？梢栽谥T如電、水、油、氣體、數(shù)據(jù)等的各種工業(yè)中實施控制系統(tǒng)101。

scada系統(tǒng)能夠與工業(yè)過程一起使用，該工業(yè)過程包括制造、生產(chǎn)、發(fā)電、加工、以及精煉。scada系統(tǒng)也能夠與基礎(chǔ)設(shè)施過程一起使用，基礎(chǔ)設(shè)施過程包括水處理和分配、廢水收集和處理、油和氣體管道、電力傳輸和分配、風(fēng)電場、大的通信系統(tǒng)等。此外，scada系統(tǒng)能夠用于用于建筑物、機場、輪船、空間站等的設(shè)施過程(例如，監(jiān)視和控制加熱、通風(fēng)、以及空調(diào)(hvac)器具和能量消耗)。dcs系統(tǒng)通常用于大的校園工業(yè)過程工廠，諸如油和氣體、精煉、化學(xué)制品、藥物、食物和飲料、水和廢水、紙漿和紙、公用電力、礦業(yè)、金屬等。plc典型地用于工業(yè)部門中以及與關(guān)鍵基礎(chǔ)設(shè)施一起使用。

在一個實施例中，工業(yè)控制系統(tǒng)模塊100能夠包括具有電路120的電路板102。在一些設(shè)施中，電路板102能夠包括印刷電路板。在其它實施中，電路板102能夠包括其它電路板，該其它電路板被配置為支撐多個電子部件并使用導(dǎo)線、焊墊、和/或蝕刻到電路板102中或放置在電路板102中和/或上的導(dǎo)電跡線電連接該多個電子部件，該其它電路板諸如是電路卡組件和/或背板(backplane)150。電路板102能夠是單側(cè)的(例如，電子部件和/或電連接設(shè)置在電路板的一側(cè)上)或者能夠是雙側(cè)的(例如，電子部件能夠設(shè)置在電路板的兩側(cè)上)。在特定實施中，電路板102包括印刷電路板，該印刷電路板具有電力背板和通信背板。

在實施中，電路120能夠包括至少一個電子部件，該至少一個電子部件能夠通過電路板102耦合到其它部件。電路120的一些范例能夠包括無源部件(例如，電阻器、晶體管、電容器、電感器、二極管等)、ic芯片、通信模塊(例如，通信接口140、天線、收發(fā)器等)、i/o模塊152、存儲器模塊(例如，存儲器138)、處理器136、連接器104、和/或開關(guān)。另外，電路板102能夠包括模擬電路、數(shù)字電路、和/或混合信號電路。

圖1中的范例實施例中示出了，電路板102可以包括連接器104和/或能夠耦合到連接器104。連接器104能夠包括電-機裝置，用于使用機械組件來耦合電路。在一些實施中，連接器104能夠包括插頭和/或插座。在一個實施例中，連接器104能夠被設(shè)置成使得經(jīng)由殼體105(例如，密封箱122)中的端口118，連接器104對于外部電裝置是通信上能夠訪問的。連接器104的一些特定范例能夠包括視頻圖形陣列(vga)連接器、串行端口連接器、通用串行總線(usb)連接器、同軸連接器、用于電力的dc插頭連接器、以太網(wǎng)連接器、rj45連接器、和/或s-視頻(s-video)纜線連接器。

工業(yè)控制系統(tǒng)模塊100能夠包括具有第一殼體側(cè)面106和第二殼體側(cè)面108的殼體105(或箱122)。在圖1中示例的實施中，第一殼體側(cè)面106和第二殼體側(cè)面108被配置為彼此耦合并形成被配置為容納電路板102和工業(yè)控制系統(tǒng)模塊100的其它部件的機殼。第一殼體側(cè)面106和/或第二殼體側(cè)面108能夠包括各種材料，諸如能夠給工業(yè)控制系統(tǒng)模塊100及內(nèi)部部件(例如，電路板102)提供支撐的堅固聚合物或塑料材料。

在實施例中，第一殼體側(cè)面106和/或第二殼體側(cè)面108能夠包括用于將每個側(cè)面耦合到另一側(cè)面的構(gòu)件。例如，第一殼體側(cè)面106能夠包括夾子機構(gòu)110，該夾子機構(gòu)110被配置為連接和安全地耦合到接收器112，接收器112設(shè)置在第二殼體側(cè)面108上和/或作為第二殼體側(cè)面108的部分而設(shè)置。在此范例中，夾子機構(gòu)110能夠被配置為永久地或半永久地耦合到接收器112并且確保第一殼體側(cè)面106和/或第二殼體側(cè)面108在一起，以防止對工業(yè)控制系統(tǒng)模塊100的未授權(quán)訪問。

在一些特定實施例中，第一殼體側(cè)面106和第二殼體側(cè)面108能夠被配置為使用至少一個系留緊固件(captivefastener)耦合到一起。系留緊固件能夠包括設(shè)計用于工業(yè)控制系統(tǒng)模塊100的殼體(例如，第一殼體側(cè)面106、第二殼體側(cè)面108)內(nèi)的永久保持的緊固件。在實施中，系留緊固件能夠包括螺紋鎖定、壓配合、和/或擴孔，用于獲得工業(yè)控制系統(tǒng)模塊100的殼體內(nèi)以及第一殼體側(cè)面106與第二殼體側(cè)面108之間的錨定保持。在另一實施中，系留緊固件可以與第一殼體側(cè)面106和/或第二殼體側(cè)面108的材料熔化到一起(例如，通過冷形成或焊接)。在一個特定實施例中，能夠使用多個外加螺絲(captivescrew)將第一殼體側(cè)面106和第二殼體側(cè)面108永久地耦合到一起，該多個外加螺絲在第一殼體側(cè)面106與第二殼體側(cè)面108之間產(chǎn)生永久配合。另外，殼體105能夠包括箱密封物126，箱密封物用于密封工業(yè)控制系統(tǒng)模塊100的內(nèi)部組件以免受環(huán)境條件的影響。箱密封物126能夠設(shè)置在第一殼體側(cè)面106和/或第二殼體側(cè)面108上和/或之間。在一些特定實施中，箱密封物126可以包括用于指示未授權(quán)訪問事件的構(gòu)件。例如，箱密封物126可以包括電路(例如，導(dǎo)線)，該電路在破碎或另外地受損時，能夠向控制器134指示已經(jīng)發(fā)生了未授權(quán)訪問事件。預(yù)期可以以其它配置保護工業(yè)控制系統(tǒng)模塊100。例如，殼體105可以形成為一個單元，使得訪問需要損壞或去除殼體105的結(jié)構(gòu)的至少部分。

工業(yè)控制系統(tǒng)模塊100能夠包括至少一個傳感器部件(例如，第一傳感器部件124、第二傳感器部件132、附加傳感器部件等)，用于指示未授權(quán)訪問事件。例如，第一傳感器部件124能夠被配置為檢測未授權(quán)訪問和/或未授權(quán)訪問的企圖，并將未授權(quán)訪問事件的指示傳送給控制器(例如，控制器134等)，控制器反過來實施以下描述的安全動作?？梢岳糜诠I(yè)控制系統(tǒng)模塊100內(nèi)的傳感器的一些范例能夠包括光學(xué)傳感器(例如，光學(xué)傳感器154)、熱傳感器(例如，熱傳感器156)、振動傳感器(例如，振動傳感器158)、和/或加速度計(例如，加速度計160)。

在一個特定實施中，工業(yè)控制系統(tǒng)模塊100能夠包括被配置為檢測環(huán)境光的光學(xué)傳感器154(例如，光電二極管)。在此實施中，光學(xué)傳感器154在殼體105在未授權(quán)訪問企圖事件中受破壞時能夠檢測環(huán)境光，并且能夠向控制器134提供未授權(quán)訪問企圖事件的指示。在另一特定實施中，工業(yè)控制系統(tǒng)模塊100能夠包括熱傳感器156(例如，熱電堆)，該熱傳感器能夠在例如人企圖訪問和/或篡改工業(yè)控制系統(tǒng)模塊100時檢測來自人的預(yù)定量的熱或輻射。在另一特定實施中，工業(yè)控制系統(tǒng)模塊100能夠包括被配置為檢測預(yù)定水平的振動的振動傳感器(例如，壓電膜振動傳感器)，該預(yù)定水平的振動可以指示對工業(yè)控制系統(tǒng)模塊100的篡改。在再另一特定實施中，工業(yè)控制系統(tǒng)模塊100能夠包括被配置為檢測工業(yè)控制系統(tǒng)模塊100的移動或重定位的加速度計。預(yù)期可以在工業(yè)控制系統(tǒng)模塊100中利用其它傳感器部件或傳感器部件的組合。

在一些實施中，工業(yè)控制系統(tǒng)模塊100可以包括多個傳感器部件。例如，工業(yè)控制系統(tǒng)模塊100能夠包括第一傳感器部件124和第二傳感器部件132。在這些實施中，附加傳感器部件可以用于驗證、確證、或進一步指示未授權(quán)模塊訪問。在一個特定實施例中(如圖2和5中示例的)，工業(yè)控制系統(tǒng)模塊100能夠包括光學(xué)傳感器154和加速度計160。在此實施例中，加速度計160能夠檢測工業(yè)控制系統(tǒng)模塊100的移位并向控制器134提供未授權(quán)訪問的指示，并且光學(xué)傳感器154能夠檢測環(huán)境光并向控制器134提供未授權(quán)訪問和殼體105的破壞的指示。在控制器134接收到來自加速度計160的指示和來自光學(xué)傳感器154的指示時，可以使用安全模塊128來實施安全動作(例如，電浪涌、毀壞性熱、電磁場)，該安全動作被配置為毀壞工業(yè)控制系統(tǒng)模塊100的至少部分(例如，毀壞電路120、熔化電路120、從存儲器138擦除機密信息144、擦除加密密鑰142等)。

在實施中，安全模塊128能夠包括被配置為從控制器134接收信號和/或指令以實施安全動作的部件和/或裝置(其還可以包括具有處理器、存儲器、和/或通信接口的單獨的安全控制器130)。例如，當(dāng)控制器134確定發(fā)生了未授權(quán)模塊訪問事件時(例如，接收來自至少一個傳感器部件的指示)，控制器134能夠使得安全模塊128實施安全動作。安全動作的一些范例能夠包括電脈沖和/或浪涌(例如，被引導(dǎo)至電路120、存儲器138、和/或工業(yè)控制系統(tǒng)模塊100內(nèi)的其它部件)、被配置為熔化或另外地損壞電路120和/或工業(yè)控制系統(tǒng)模塊100的過量的熱(例如，被引導(dǎo)至電路120等)、對足夠從存儲器138擦除數(shù)據(jù)的電磁場的暴露、和/或能夠損壞工業(yè)控制系統(tǒng)模塊100的至少部分的結(jié)構(gòu)的物理沖擊。在這些實施中，安全動作能夠被配置為通過在指示未授權(quán)模塊訪問事件時毀壞信息或禁用工業(yè)控制系統(tǒng)模塊100來保護加密密鑰142、機密信息144、或其它敏感信息免遭未授權(quán)訪問。安全模塊128的一些范例可以包括高電位電容器(highpotentialcapacitor)、被配置為生成熱的電阻電路(或其它熱產(chǎn)生裝置)、被配置為生成電磁場的磁線圈、和/或適于將來自電力模塊和/或電源146的足夠用于引起物理損壞的電壓引導(dǎo)至電路120的開關(guān)。

如圖1中示例的，第一傳感器部件124和/或第二傳感器部件132的另一范例能夠包括電子開關(guān)組件114和開關(guān)觸發(fā)器116。電子開關(guān)組件114能夠設(shè)置在第一殼體側(cè)面106上。電子開關(guān)組件114還能夠包括在被解扣和/或觸發(fā)(例如，電閉合或斷開)時，能夠傳輸電脈沖和/或浪涌，電脈沖和/或浪涌被配置為擦除和/或毀壞分別由工業(yè)控制系統(tǒng)模塊100和控制器134存儲的敏感數(shù)據(jù)。在一個特定實施例中，電子開關(guān)組件114包括高電位電容器。高電位電容器能夠包括被配置為在多個電導(dǎo)體之間存儲能量的量的電容器，其中，能量的量至少足夠擦除和/或去除存儲在工業(yè)控制系統(tǒng)模塊100和/或存儲器138內(nèi)的數(shù)據(jù)。在實施例中，存儲在電子開關(guān)組件114中的能量的量能夠足以毀壞、禁用、和/或禁能包括在電路板102上的至少一些電路120。在特定實施例中，在被觸發(fā)時，電子開關(guān)組件114能夠被配置為傳輸能量的量，該能量的量被配置為電禁用設(shè)置在電路板102上的關(guān)聯(lián)的電路120并擦除存儲在工業(yè)控制系統(tǒng)模塊100中的敏感數(shù)據(jù)。

在圖1中示例的實施例中，電子開關(guān)組件114能夠被設(shè)置為使得開關(guān)觸發(fā)器116被配置為在第一殼體側(cè)面106和第二殼體側(cè)面108耦合到一起時耦合到電子開關(guān)組件114和/或與電子開關(guān)組件114配合。開關(guān)觸發(fā)器116能夠設(shè)置在第二殼體側(cè)面108上和/或被作為第二殼體側(cè)面108的部分包括。在一個范例中，開關(guān)觸發(fā)器116能夠包括第二殼體側(cè)面108上的突出部或突起，使得在第二殼體側(cè)面108耦合到第一殼體側(cè)面106時，突出部或突起配合到電子開關(guān)組件114中，使得將開關(guān)維持在“關(guān)閉”或未觸發(fā)位置。在此范例中，當(dāng)指示對工業(yè)控制系統(tǒng)模塊100的未授權(quán)訪問時(例如，企圖分開耦合的第一殼體側(cè)面106和第二殼體側(cè)面108)，開關(guān)觸發(fā)器116(例如，第二殼體側(cè)面108上設(shè)置的突出部或突起)被從電子開關(guān)組件114分開和/或去除。開關(guān)觸發(fā)器116從電子開關(guān)組件114的此分開和/或去除能夠發(fā)起存儲在電子開關(guān)組件114中的能量向電路板102和/或電路120的釋放(例如，通過觸發(fā)高電位電容器)。釋放并傳輸至電路板102和/或電路120的能量能夠使包括數(shù)據(jù)存儲部件(例如，存儲器138)的電路120過載，并擦除數(shù)據(jù)和/或毀壞電路120的電部件。

工業(yè)控制系統(tǒng)模塊100，包括其一些或所有部件，能夠在計算機控制下操作。例如，處理器能夠與工業(yè)控制系統(tǒng)模塊100一起包括或包括于工業(yè)控制系統(tǒng)模塊100中，以使用軟件、固件、硬件(例如，固定邏輯電路)、手動處理、或其組合來控制于此描述的工業(yè)控制系統(tǒng)模塊100的部件和功能。于此使用的術(shù)語“控制器”、“功能性”、“服務(wù)”、和“邏輯”總體表示與控制工業(yè)控制系統(tǒng)模塊100相結(jié)合的軟件、固件、硬件、或軟件、固件、或硬件的組合。在軟件實施的情況下，模塊、功能性、或邏輯表示程序代碼，該程序代碼在運行于處理器(例如，中央處理單元(cpu)或多個cpu)上時，執(zhí)行規(guī)定的任務(wù)。程序代碼能夠存儲在一個多個計算機可讀存儲器裝置(例如，內(nèi)存和/或一個或多個有形介質(zhì))等中。于此描述的結(jié)構(gòu)、功能、途徑、和技術(shù)能夠?qū)嵤┯诰哂懈鞣N處理器的各種商業(yè)計算平臺上。

工業(yè)控制系統(tǒng)模塊100能夠包括控制器134，用于控制確權(quán)操作、加密、密碼通信等?？刂破?34能夠包括處理器136、存儲器138、以及通信接口140。處理器136提供用于控制器134的處理功能性并且能夠包括任何數(shù)量的處理器、微控制器、或其它處理系統(tǒng)、和用于存儲由控制器134訪問或生成的數(shù)據(jù)和其它信息的內(nèi)在的或外部的存儲器。處理器136能夠運行實施于此描述的技術(shù)的一個或多個軟件程序。處理器136不限于其所用以形成的材料或其中采用的處理結(jié)構(gòu)，并且同樣能夠經(jīng)由半導(dǎo)體和/或晶體管(例如，使用電子集成電路(ic)部件)等來實施。

存儲器138是有形計算機可讀存儲介質(zhì)的范例，其提供存儲功能性以存儲與控制器134的操作相關(guān)聯(lián)的各種數(shù)據(jù)，諸如軟件程序和/或代碼段、或指令處理器136以及可能地控制器134的其它部件來執(zhí)行于此描述的功能性的其它數(shù)據(jù)。從而，存儲器138能夠存儲數(shù)據(jù)，諸如用于操作工業(yè)控制系統(tǒng)模塊100(包括其部件)的指令的程序等。在本公開的實施例中，存儲器138能夠存儲用于工業(yè)控制系統(tǒng)模塊100的加密密鑰142和/或機密信息144。應(yīng)當(dāng)注意，雖然描述了單個存儲器138，但是能夠采用廣泛的各種類型的存儲器及存儲器的組合(例如，有形的、非瞬態(tài)的存儲器)。存儲器138能夠與處理器136集成，能夠包括獨立的存儲器，或能夠是二者的組合。

存儲器138能夠包括，但不必限于：可拆卸和不可拆卸存儲器部件，諸如隨機存取存儲器(ram)、只讀存儲器(rom)、閃存(例如，安全數(shù)字(sd)存儲卡、迷你sd存儲卡、和/或微sd存儲卡)、磁存儲器、光學(xué)存儲器、通用串行總線(usb)存儲器裝置、硬盤存儲器、外部存儲器等。在實施中，工業(yè)控制系統(tǒng)模塊100和/或存儲器138能夠包括可拆卸集成電路卡(icc)存儲器，諸如由訂戶識別模塊(sim)卡、通用訂戶識別模塊(usim)卡、通用集成電路卡(uicc)等提供的存儲器。

通信接口140操作地被配置為與工業(yè)控制系統(tǒng)模塊100的部件通信。例如，通信接口140能夠被配置為用于向工業(yè)控制系統(tǒng)模塊100中的貯存器傳輸數(shù)據(jù)，從工業(yè)控制系統(tǒng)模塊100中的貯存器檢索數(shù)據(jù)，等。通信接口140也通信上與處理器136耦合，以方便工業(yè)控制系統(tǒng)模塊100的部件與處理器136之間的數(shù)據(jù)傳輸(例如，用于傳輸從通信上與控制器134耦合的裝置接收的輸入至處理器136)。應(yīng)當(dāng)注意，雖然作為控制器134的部件描述了通信接口140，但是通信接口140的一個或多個部件能夠?qū)嵤榻?jīng)由有線和/或無線連接，通信上耦合到工業(yè)控制系統(tǒng)模塊100的外部部件。工業(yè)控制系統(tǒng)模塊100也能夠包括和/或連接(例如，經(jīng)由通信接口140)至一個或多個輸入/輸出(i/o)裝置(例如，i/o模塊152)，包括但不必限于：顯示器、鼠標(biāo)、觸摸板、鍵盤等。

通信接口140和/或處理器136能夠被配置為與各種不同的網(wǎng)絡(luò)(例如，網(wǎng)絡(luò)148)通信，包括但不必限于：廣域蜂窩電話網(wǎng)絡(luò)，諸如3g蜂窩網(wǎng)絡(luò)、4g蜂窩網(wǎng)絡(luò)、或用于移動通信(gsm)網(wǎng)絡(luò)的全球系統(tǒng)；無線計算機通信網(wǎng)絡(luò)，諸如wifi網(wǎng)絡(luò)(例如，使用ieee802.11網(wǎng)絡(luò)標(biāo)準(zhǔn)操作的無線局域網(wǎng)(wlan)；內(nèi)部網(wǎng)絡(luò)；因特網(wǎng)；廣域網(wǎng)(wan)；局域網(wǎng)(lan)；個域網(wǎng)(pan)(例如，使用ieee802.15網(wǎng)絡(luò)標(biāo)準(zhǔn)的無線個域網(wǎng)(wpan))；公共電話網(wǎng)；外聯(lián)網(wǎng)；內(nèi)聯(lián)網(wǎng)等。然而，僅是作為范例來提供此列表，此列表不意在限制本公開。此外，通信接口140能夠被配置為與單個網(wǎng)絡(luò)或跨不同接入點的多個網(wǎng)絡(luò)通信。

在實施例中，工業(yè)控制系統(tǒng)模塊100或子系統(tǒng)的控制元件(例如，控制器134、第一傳感器部件124、第二傳感器部件132、安全模塊128、電源146等)能夠通過一個或多個背板150連接到一起。例如，如圖2中所示，電路板102、控制器134、第一傳感器部件124、第二傳感器部件132、和/或安全模塊128能夠通過通信背板150連接。另外，電源146能夠通過電力背板150連接到控制器134、第一傳感器部件124、第二傳感器部件132、和/或安全模塊128。

另外，工業(yè)控制系統(tǒng)模塊100可以耦合到工業(yè)控制系統(tǒng)101內(nèi)的電力模塊146(例如，電源146)。在一些實施中，電力模塊146可以包括ac到dc(ac/dc)轉(zhuǎn)換器，用于將交流(ac)(例如，由ac干線等供應(yīng)的)轉(zhuǎn)換為直流(dc)。另外，兩個或更多電力模塊146能夠用于提供冗余。例如，能夠?qū)γ恳粋€電力模塊146使用單獨的(例如，冗余的)電力背板將兩個電力模塊146連接至每一個輸入/輸出模塊152。在實施例中，可以使用連接器/連接器組件將電力背板150連接至輸入/輸出模塊152中的一個或多個。

用于檢測工業(yè)控制系統(tǒng)中的未授權(quán)訪問的范例過程

圖6描繪根據(jù)范例實施例的用于對包含在密封箱中的工業(yè)控制系統(tǒng)模塊的未授權(quán)訪問進行檢測的過程200。在實施中，過程200能夠通過工業(yè)控制系統(tǒng)模塊100顯現(xiàn)(例如，參考圖1至5描述的)。接收來自第一傳感器部件的對工業(yè)控制系統(tǒng)模塊的未授權(quán)訪問事件的指示(框210)。例如，利用控制器134來從至少一個傳感器部件(例如，第一傳感器部件124、第二傳感器部件132等)接收指示。每一個傳感器部件能夠通信上耦合到控制器134。在觸發(fā)至少一個傳感器部件時，傳感器部件能夠向控制器134提供未授權(quán)模塊訪問事件的指示(例如，信號)。

然后，基于工業(yè)控制系統(tǒng)模塊100的未授權(quán)訪問事件的指示來實施安全動作(框220)。例如，控制器134能夠根據(jù)來自至少一個傳感器部件的未授權(quán)模塊訪問事件的至少一個指示確定已經(jīng)發(fā)生了未授權(quán)模塊訪問事件，并且能夠傳送到和/或使得安全模塊128實施安全動作。在一些實例中，未授權(quán)模塊訪問事件可以包括箱密封物126的破壞。

在特定實施例中，控制器能夠基于由傳感器部件提供的指示來確定已經(jīng)發(fā)生了未授權(quán)模塊訪問事件并且能夠傳送到安全模塊以實施包括電脈沖的安全動作(框230)。在此實施例中，控制器134能夠從例如振動傳感器158接收指示，并使得安全模塊128(例如，包括高電位電容器)將電壓浪涌引導(dǎo)至工業(yè)控制系統(tǒng)模塊100的電路120，從而毀壞對電路120(例如，存儲器138)內(nèi)的數(shù)據(jù)和信息的訪問。預(yù)期傳感器部件(例如，第一傳感器部件124、第二傳感器部件126等)能夠包括各種傳感器，例如，光學(xué)傳感器、熱傳感器、振動傳感器、加速度計、濕度傳感器、氣體傳感器、麥克風(fēng)、化學(xué)品傳感器、電傳感器、移位傳感器、熱電堆、換能器、運動傳感器等。

在特定實施例中，控制器能夠基于光學(xué)傳感器提供的指示來確定已經(jīng)發(fā)生了未授權(quán)模塊訪問事件并能夠傳送到安全模塊以實施包括發(fā)起加密算法的安全動作(框240)。在此實施例中，控制器134能夠從例如熱傳感器156接收指示，并使得安全模塊128(例如，包括處理器)發(fā)起工業(yè)控制系統(tǒng)模塊100內(nèi)的控制器134的加密算法從而對電路120(例如，存儲器138)內(nèi)的數(shù)據(jù)和信息進行加密。

在特定實施例中，控制器能夠基于光學(xué)傳感器提供的指示來確定已經(jīng)發(fā)生了未授權(quán)模塊訪問事件并能夠傳送到安全模塊以實施包括擦除存儲器的安全動作(框250)。在此實施例中，控制器134能夠從例如加速度計160接收未授權(quán)模塊訪問事件的指示，并使得安全模塊128(例如，包括處理器)從工業(yè)控制系統(tǒng)模塊100的控制器134內(nèi)的存儲器138刪除和/或擦除數(shù)據(jù)和/或信息(例如，加密密鑰142、機密信息144等)，從而防止對數(shù)據(jù)和/或信息的訪問。

在特定實施例中，控制器能夠基于光學(xué)傳感器提供的指示來確定已經(jīng)發(fā)生了未授權(quán)模塊訪問事件并能夠傳送到安全模塊以實施包括將工業(yè)控制系統(tǒng)模塊暴露于毀壞性熱或毀壞性電磁場中的至少一個的安全動作(框260)。在此實施例中，控制器134能夠從例如光學(xué)傳感器154和振動傳感器158接收未授權(quán)模塊訪問事件的指示，并使得安全模塊128(例如，包括處理器)生成毀壞量的熱(例如，足夠熔化和/或損壞控制器134、存儲器138和/或工業(yè)控制系統(tǒng)模塊100的至少部分)并將熱引導(dǎo)至工業(yè)控制系統(tǒng)模塊100的包含數(shù)據(jù)和/或信息的部分(例如，存儲器138)，從而防止對數(shù)據(jù)和/或信息的訪問。另外，安全模塊128可以生成其它毀壞性力，諸如由包括電磁裝置的安全模塊128生成的電磁場，該毀壞性力被配置為毀壞存儲器138、控制器134、和/或工業(yè)控制系統(tǒng)模塊100的至少部分。

在實施例中，可以從第二傳感器部件接收未授權(quán)訪問事件的附加指示(框270)。在此實施例中，除來自第一傳感器部件124的指示外，第二傳感器部件126能夠向控制器134提供指示。從第二傳感器部件126(或第三傳感器部件、第四傳感器部件等)提供未授權(quán)訪問的附加指示能夠用于提供未授權(quán)模塊訪問檢測的精度，并能夠用于最小化故障事件觸發(fā)和指示。

結(jié)論

雖然以特定于結(jié)構(gòu)特征和/或過程操作的語言描述了主題，但是應(yīng)當(dāng)理解，所附權(quán)利要求中限定的主題不必限定于上述特定特征或動作。而是，作為實施權(quán)利要求的范例形式公開了上述特定特征和動作。