Обнаружение и предотвращение проникновения в сеть технологической установки

Авторы патента:

РОТВОЛД Эрик Д. (US)

ПОТТЕР Джефф Д. (US)

H04L29/06 - отличающиеся процедурой регистрации и коммутации сообщений

Владельцы патента RU 2587542:

РОУЗМАУНТ ИНК. (US)

Изобретение относится к технике связи и может использоваться в системах технологической связи. Технический результат состоит в повышении надежности связи. Для этого устройство включает интерфейс (114) технологической связи для связи по контуру технологической связи в соответствии с протоколом технологической связи. Контроллер (106) соединяется с интерфейсом (114) технологической связи. Хранилище (116) правил соединяется с контроллером (106) и имеет по меньшей мере одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи. Контроллер (106) применяет по меньшей мере одно правило передачи пакетов технологической связи по меньшей мере к одному пакету технологической связи, принятому от интерфейса (114) технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи. 4 н. и 12 з.п. ф-лы, 6 ил.

Уровень техники

[0001] Современные технологические установки используются, чтобы предоставлять и/или производить множество продуктов и материалов, используемых каждый день. Примеры таких технологических установок включают в себя установки для переработки нефти, установки для фармацевтического производства, установки для химической обработки, целлюлозные и другие технологические установки. В таких установках сеть для управления и измерения показателей процесса может включать в себя тысячи или даже десятки тысяч различных полевых устройств, связывающихся с диспетчерским пультом, а иногда друг с другом, чтобы управлять процессом. Допуская, что неисправности в данном полевом устройстве могут вывести процесс из-под управления, физические характеристики и электрическая связь полевых устройств, как правило, подчиняются строгим спецификациям.

[0002] Традиционно, полевые устройства в данной технологической установке, как правило, имели возможность связываться через контур или сегмент управления процессом с диспетчерским пультом и/или другими полевыми устройствами через проводные соединения. Например, протокол проводной связи процесса известен как протокол взаимодействия с удаленным датчиком с шинной адресацией (HART^®). HART^®-связь является одним из основных протоколов связи, используемых в технологических процессах. В последнее время стало возможным, и потенциально желательным в некоторых случаях, разрешать доступ технологических установок к Интернету. Хотя такой признак обеспечивает возможность взаимодействия с технологической установкой практически с любого подключенного компьютера в любой точке земного шара, он также предоставляет потенциал для злоумышленника, такого как хакер, чтобы пытаться воздействовать на технологическую установку без перемещения к физическому местоположению технологической установки.

[0003] Другое недавнее усовершенствование относительно технологических установок заключается в использовании беспроводной связи. Такая беспроводная связь упрощает конструкции технологических установок в том аспекте, что больше не требуется обеспечивать прокладку длинных проводов к различным полевым устройствам. Кроме того, один такой беспроводной протокол, WirelessHART (IEC 62591), расширяет традиционный протокол HART^® и обеспечивает значительно возросшие скорости передачи данных. Например, WirelessHART поддерживает передачу данных вплоть до 250 Кбит/с. Соответствующие части спецификации Wireless HART® включают в себя: HCF_Spec 13, версия 7.0; спецификацию HART 65 - спецификацию беспроводного физического уровня; спецификацию HART 75 - спецификацию канального уровня TDMA (TDMA относится к множественному доступу с временным разделением каналов); спецификацию HART 85 - спецификацию управления сетью; спецификацию HART 155 - спецификацию беспроводных команд; и спецификацию HART 290 - спецификацию беспроводных устройств. Хотя беспроводная связь предоставляет множество преимуществ для технологических установок, она также предоставляет возможность потенциального подключения к устройствам при физическом приближении к технологической установке и возможность воздействия на сеть беспроводной связи.

[0004] Допуская современную связность технологических установок, теперь жизненно важно, чтобы технологическая связь была защищена от проникновения и действий злоумышленников. Это применимо к технологическим установкам, которые могут быть подключены к Интернету, технологическим установкам, которые применяют беспроводную технологическую связь, или и к тем, и к другим. Соответственно, обеспечение технологической установки возможностью обнаруживать и предотвращать проникновение в контур технологической связи дополнительно поможет обезопасить различные технологические установки, которые строятся на такой технологической связи.

Сущность изобретения

[0005] Устройство технологической связи включает в себя интерфейс технологической связи для связи по контуру технологической связи в соответствии с протоколом технологической связи. Контроллер соединяется с интерфейсом технологической связи. Хранилище правил соединяется с контроллером и имеет, по меньшей мере, одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи. Контроллер применяет, по меньшей мере, одно правило передачи пакетов технологической связи, по меньшей мере, к одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет, по меньшей мере, одному правилу передачи пакетов технологической связи.

Краткое описание чертежей

[0006] Фиг. 1 - схематичный вид системы технологической связи в соответствии с вариантом осуществления настоящего изобретения.

[0007] Фиг. 2 - схематичный вид системы технологической связи и управления, в которой варианты осуществления настоящего изобретения в высокой степени применимы.

[0008] Фиг. 3 - схематичный вид другого окружения технологической связи и управления, с которым варианты осуществления настоящего изобретения особенно полезны.

[0009] Фиг. 4 - схематичный вид устройства защиты технологической связи в соответствии с вариантом осуществления настоящего изобретения.

[0010] Фиг. 5 - блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с вариантом осуществления настоящего изобретения.

[0011] Фиг. 6 - блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с другим вариантом осуществления настоящего изобретения.

Подробное описание иллюстративных вариантов осуществления

[0012] Варианты осуществления настоящего изобретения, в целом, максимально используют специфическое знание протокола HART^® (как проводного, так и беспроводного) и/или описаний устройств (DD) HART^®, чтобы наблюдать на предмет аномалий за сетевым трафиком технологической связи, приходящим в контур технологической связи, покидающим контур технологической связи или даже пересекающим контур технологической связи. В то время как варианты осуществления настоящего изобретения, в целом, описываются относительно контуров технологической связи HART^®, варианты осуществления настоящего изобретения могут быть применены на практике с любыми подходящими протоколами технологической связи, которые поддерживают описания устройств.

[0013] Протокол HART^® имеет гибридный физический уровень, состоящий из цифровых сигналов связи, наложенных на стандартный 4-20 мА аналоговый сигнал. Скорость передачи данных равна приблизительно 1,2 Кбит/с. HART^®-связь является одним из основных протоколов связи в индустрии технологических процессов. И беспроводные, и проводные способы HART^®-связи совместно используют, по существу, аналогичный уровень приложений. Кроме того, содержимое команд как беспроводной, так и проводной HART^®-связи является идентичным. Соответственно, в то время как физические уровни могут отличаться, на уровне приложений эти два протокола технологической связи очень похожи.

[0014] Безопасность сети технологической связи по и через HART^®-сети является важной, и становится более важной, поскольку трафик HART^®-сети может теперь передаваться через TCP/IP-сети, а также через беспроводные сети. Некоторая безопасность сети была обеспечена посредством устройств, таких как устройства, продаваемые под торговым обозначением Model 1420 Wireless Gateway от компании Emerson Process Management, из Шанхассена, штат Миннесота. Это устройство предоставляет возможность аутентифицировать отправителя и получателя, подтверждать, что данные действительны, шифровать данные технологической связи и управлять периодическими изменениями ключей шифрования автоматически. В то время как безопасность технологической связи, обеспечиваемая посредством Model 1420, неоценима в современных сетях технологической связи, варианты осуществления настоящего изобретения, в целом, строятся на безопасности, обеспечиваемой посредством 1420 Wireless Gateway, посредством привлечения дополнительных знаний о самом протоколе HART^®, описаний устройств (DD) HART^® или их комбинации. Хотя варианты осуществления настоящего изобретения применимы к любому устройству, которое имеет доступ к технологической связи, предпочтительно, чтобы варианты осуществления настоящего изобретения были осуществлены либо в устройстве брандмауэра, шлюзе, таком как улучшенный беспроводной шлюз, либо в устройстве типа точки доступа.

[0015] Фиг. 1 - это схематичный вид системы 10 технологической связи в соответствии с вариантом осуществления настоящего изобретения. Система 10 включает в себя рабочую станцию 12 и сервер 14, соединенные с возможностью связи друг с другом через локальную вычислительную сеть 16 предприятия. Сеть 16 соединяется с Интернетом 18 через брандмауэр 20 локальной вычислительной сети. Брандмауэр 20 локальной вычислительной сети - это хорошо известное устройство, предоставляющее только выбранный TCP/IP-трафик через него. В варианте осуществления, иллюстрированном на фиг. 1, устройство 22 защиты технологической связи соединяется с LAN 16 предприятия посредством соединения 24 и дополнительно соединяется с устройствами 1-n через порт 26. Устройство 22 защиты технологической связи защищает сегменты/контуры технологической связи от злонамеренной деятельности, происходящей через Интернет 18 и/или LAN 16 предприятия. Процессор в устройстве 22 защиты технологической связи выполняет инструкции программного обеспечения, которые способны принимать один или более пакетов технологической связи и тестировать, удовлетворяет ли пакет(ы) одному или более правилам, которые основываются, в частности, на HART^®-правилах технологической связи, требованиях к описанию устройства или их комбинации.

[0016] Фиг. 2 - это схематичный вид системы 50 технологической связи и управления, в которой варианты осуществления настоящего изобретения в высокой степени применимы. Множество рабочих станций 52, 54 и 56 соединяются вместе через LAN 16 предприятия. Дополнительно, шлюз 58 беспроводной технологической связи также соединяется с LAN 16 через соединение 60. Структура, показанная на фиг. 2, является текущим окружением, в котором работает Model 1420 Smart Wireless Gateway. Шлюз 58 связывается с одним или более полевыми устройствами 62 через WirelessHART^®-связь. Соответственно, варианты осуществления настоящего изобретения могут быть применены на практике с помощью процессора или другого подходящего контроллера, расположенного в шлюзе 58.

[0017] Фиг. 3 - это схематичный вид другого окружения технологической связи и управления, с которым варианты осуществления настоящего изобретения особенно полезны. В частности, один или более шлюзов (1-n) 70, 72 соединяются с возможностью связи через устройство 74. Каждый шлюз может связываться с одной или более точками доступа. В соответствии с вариантом осуществления настоящего изобретения одна из точек 76 доступа конфигурируется, посредством аппаратных средств, программного обеспечения или их комбинации, чтобы принимать пакеты технологической связи и изучать пакеты технологической связи, чтобы определять, соответствует ли связь одному или более правилам, которые основываются на HART^®-протоколе, описаниях устройств или их комбинации. Точка 76 доступа прослушивает данные в беспроводной сети и изучает пакеты, когда они поступают. В результате проверок некоторые аспекты трафика связи могут отслеживаться (адрес источника, интенсивность входящего потока, известное устройство, новое устройство, запросы объединения и прочие), и статистические данные и/или предупреждения могут предоставляться шлюзу при обнаружении событий. Варианты осуществления настоящего изобретения также включают в себя использование множества шлюзов и соответствующих точек доступа, чтобы предоставлять дублирующую пару.

[0018] Фиг. 4 - это схематичный вид устройства защиты технологической связи в соответствии с вариантом осуществления настоящего изобретения. Устройство 100 защиты включает в себя сетевой интерфейс 102, соединяемый с сетью передачи данных, такой как Ethernet-сеть передачи данных. Порт 102 соединяется с физическим уровнем 104 сетевого интерфейса, чтобы формировать и принимать пакеты передачи данных в соответствии с известными способами. Физический уровень 104 сетевого интерфейса соединяется с контроллером 106, который предпочтительно является микропроцессором, который включает в себя, или соединяется с подходящей памятью, такой как оперативное запоминающее устройство, постоянное запоминающее устройство, флэш-память и т.д., чтобы хранить и выполнять инструкции программы. Устройство 100 защиты также предпочтительно включает в себя порт 108 проводной технологической связи и/или порт 110 беспроводной технологической связи, соединенный с антенной 112. В вариантах осуществления, где устройство 100 защиты осуществляется в беспроводной точке доступа, порт проводной технологической связи не требуется. Каждый из портов 108, 110 может быть соединен с HART^®-интерфейсом 114 технологической связи. Интерфейс 114 предоставляет возможность контроллеру 106 связываться с внешними устройствами, такими как полевые устройства, с помощью известного HART^®-протокола. В некоторых вариантах осуществления HART^®-связь может быть обеспечена через IP-сеть, таким образом, физический уровень 104 сетевого интерфейса может также быть источником HART^®-пакетов.

[0019] В соответствии с вариантом осуществления настоящего изобретения устройство 100 защиты включает в себя хранилище 116 правил. В необязательном порядке, устройство 100 защиты может включать в себя хранилище 118 описаний устройств. Хранилище 116 правил включает в себя энергонезависимую память, которая хранит одно или более правил, которые могут исполняться во время технологической HART^®-связи, основанной на лежащем в основе понимании HART^®-протокола. Хранилище 116 правил предоставляет возможность контроллеру 106 определять, являются ли конструкция и/или содержимое пакетов в HART^®-сети допустимыми. Дополнительно, может быть определена допустимость источника и получателя пакетов. Наконец, содержимое самого пакета может быть проанализировано, чтобы определять, является ли оно правильным. Например, искаженный пакет может иметь плохой результат проверки циклическим избыточным кодом, число байтов, размер полезной нагрузки и т.д. Если пакет является недопустимым, устройство 100 защиты не будет пересылать пакет запрошенному получателю. Дополнительно, и/или альтернативно, устройство 100 защиты может сохранять данные о событии, относящиеся к обнаружению искаженного пакета, и/или отправлять соответствующее сообщение ответственной стороне. Кроме того, контроллер 106 может отслеживать и/или анализировать данные о событии, так что, если множество искаженных пакетов обнаруживаются от одного источника в конкретном периоде времени, контроллер 106 может определять, что в настоящее время выполняется активная атака. Если это происходит, контроллер 106 может уведомлять пользователя и/или ответственную сторону, что может выполняться атака, вместе с деталями подозреваемого источника атаки. Более того, контроллер 106 может действовать, чтобы отбрасывать все пакеты от этого источника до тех пор, пока не вмешается пользователь.

[0020] Как иллюстрировано на фиг. 4, устройство 100 защиты может также включать в себя хранилище 118 описаний устройств. С текущим состоянием уровня технологий памяти экономически осуществимо, чтобы хранилище 118 было достаточно большим, чтобы содержать описания устройств для всех известных полевых устройств, которые связываются в соответствии с HART^®-протоколом, на дату производства устройства 100 защиты. Кроме того, когда производятся новые устройства HART^®-связи, хранилище 118 описаний устройств может обновляться динамически посредством порта 102 связи сети передачи данных. Поддержание хранилища 118 исчерпывающих описаний устройств предоставляет возможность выполнения дополнительных проверок и/или тестов над пакетами технологической связи. Например, если данный пакет технологической связи является пакетом от полевого устройства, которое, согласно своему описанию устройства, известно только как обеспечивающее измерение температуры, пакет, указывающий давление процесса, от такого полевого устройства будет считаться искаженным, даже если пакет иначе согласуется со всеми правилами, изложенными в хранилище 116 правил.

[0021] Существует множество различных типов команд, которые используются в HART^®-протоколе. Эти типы команд включают в себя универсальные команды, общие команды, беспроводные команды, команды семейства устройств и зависящие от конкретного устройства команды. За исключением зависящих от конкретного устройства команд, по меньшей мере, некоторое знание команд в каждом типе может быть известно на основе самой спецификации HART^®. Кроме того, даже зависящие от конкретного устройства команды могут быть тщательно проверены, если устройство защиты технологической связи содержит описание устройства относительно отдельного конкретного полевого устройства.

[0022] Одним примером правила, которое может быть применено на уровне приложений пакета HART^®-протокола, является следующее. Поскольку, для данной версии HART^®, число байтов относительно всех до единой команд известно, если пакет указывает команду, известное число байт может применяться для пакета. Даже для зависящих от конкретного устройства команд могут быть предусмотрены некоторые правила. В частности, диапазон команд может быть протестирован, чтобы определять, находится ли он в допустимом диапазоне (таком как 128-240 и 64768-65021). Дополнительно, итоговое число байтов пакета может быть определено и сравнено с содержимым поля числа байтов, чтобы проверять на предмет допустимого соответствия.

[0023] Одним из значимых преимуществ осуществления функциональности устройства защиты технологической связи в шлюзе, таком как Model 1420, является то, что шлюз знает обо всех индивидуальных полевых устройствах в сети. Кроме того, шлюз имеет дополнительное преимущество в том, что он имеет доступ ко всей информации, требуемой (особенно ключам дешифрования), чтобы дешифровать и проверять все HART^®-пакеты. Дополнительно, устройство защиты, предпочтительно осуществленное в шлюзе, может создавать базу данных или список известных получателей/беспроводных устройств и гарантировать, что сообщения только для таких устройств отправляются/пересылаются. Более того, устройство защиты может проверять и/или предоставлять возможность пересылки пакетов только от известных/сконфигурированных источников. Наконец, как изложено выше, сама конструкция пакета может быть проверена, чтобы определять, является ли содержимое заголовка правильным, соответствует ли число байтов фактическому размеру пакета, допустима ли CRC-контрольная сумма, и допустим ли адрес получателя. В дополнение к этим мерам безопасности, процессор контроллера устройства защиты может реагировать на динамические изменения связи. В частности, известные нейронно-сетевые алгоритмы и/или алгоритмы искусственного интеллекта могут применяться, чтобы предоставлять возможность контроллеру 106 фактически изучать трафик сети технологической связи. Дополнительно, или альтернативно, может поддерживаться набор статистических данных относительно сетевой передачи данных и/или различных получателей и источников. Если обнаруживаются изменения относительно изученной нормальной связи и/или статистически сохраненных параметров, предупреждение может передаваться ответственной стороне посредством либо порта 102 сети передачи данных, либо порта 108, 110 технологической связи. Дополнительно, подозрительные модели поведения связи могут быть специально идентифицированы на основе правил. Например, если контроллер 106 наблюдает за множеством запросов адресов получателей, где ID устройство просто увеличивается или уменьшается с каждым запросом, модель поведения будет выглядеть как приложение, отыскивающее устройство. Такой поиск может рассматриваться как злонамеренный. Дополнительно, запросы адреса устройства, которые циклически увеличивают или уменьшают расширенный тип устройства, могут также означать приложение, отыскивающее попадание. Это также будет считаться признаком злого умысла. Более того, запросы адреса получателя, которые включают в себя просто увеличивающиеся или уменьшающиеся поля сообщения, такие как команда, число байтов, поля данных, могут указывать приложение, которое пытается найти доступное устройство, и/или разрывать сеть технологической связи. Обнаружение такой модели поведения может считаться признаком злого умысла.

[0024] В случае, когда признак злого умысла обнаруживается, он предпочтительно регистрируется локально в устройстве защиты. Дополнительно, устройство защиты может включать в себя простой протокол управления сетью или вариант системного журнала, чтобы сообщать событие и/или дополнительную информацию о состоянии ответственной стороне или приложению информационной технологии. Системный журнал - это хорошо известный механизм регистрации, используемый приложениями серверного типа, чтобы регистрировать события/предупреждения на внешнем сервере или в базе данных для дальнейшего анализа.

[0025] Фиг. 5 - это блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с вариантом осуществления настоящего изобретения. Способ 200 начинается на этапе 202, где устройство защиты или шлюз технологической связи принимает, по меньшей мере, один пакет технологической связи и дешифрует пакет. На этапе 204, способ 200 применяет, по меньшей мере, одно правило по отношению к дешифрованному пакету, где правило основывается на априорном знании HART-протокола. Как изложено выше, одним примерным правилом является правило для данной HART-команды, число байтов пакета должно соответствовать числу, изложенному в HART-спецификации. На этапе 206 способ 200 определяет, удовлетворил ли дешифрованный пакет всем правилам, примененным на этапе 204. Если все правила были успешно удовлетворены, тогда управление переходит к этапу 208, где пакет пересылается своему намеченному получателю. Если, однако, пакет не удовлетворяет, по меньшей мере, одному правилу, тогда управление переходит к этапу 210, где событие безопасности предпочтительно регистрируется или событие формируется, и пакет блокируется от дальнейшей передачи намеченному получателю.

[0026] Фиг. 6 - это блок-схема последовательности операций способа обеспечения обнаружения и предотвращения проникновения в технологической установке в соответствии с вариантом осуществления настоящего изобретения. Способ 300 начинается на этапе 302, где устройство защиты или шлюз технологической связи принимает, по меньшей мере, один пакет технологической связи и дешифрует пакет, когда требуется. На этапе 304, способ 300 применяет, по меньшей мере, одно правило по отношению к дешифрованному пакету, где правило основывается на описании устройства (DD) протокола технологической связи (такого как HART или FOUNDATION Fieldbus). Как изложено выше, одним примерным правилом, которое основывается на описании устройства, может быть технологическая величина датчика температуры, предоставляющего значение давления технологической жидкости. На этапе 306 способ 300 определяет, удовлетворил ли дешифрованный пакет всем правилам, примененным на этапе 304. Если все правила были успешно удовлетворены, тогда управление переходит к этапу 308, где пакет пересылается своему намеченному получателю. Если, однако, пакет не удовлетворяет, по меньшей мере, одному правилу, тогда управление переходит к этапу 310, где событие безопасности предпочтительно регистрируется, и пакет блокируется от дальнейшей передачи намеченному получателю.

[0027] Способы 200 и 300 не являются взаимоисключающими. Вместо этого, положительный результат одного способа может быть предоставлен как входные данные для другого способа, чтобы обеспечивать обнаружение и предотвращение проникновения в технологическую установку на основе как подробного знания пакетов технологической связи, так и описаний устройств.

[0028] Хотя настоящее изобретение описано со ссылками на предпочтительные варианты осуществления, специалисты в данной области техники должны понимать, что изменения могут быть сделаны в форме и деталях без отступления от существа и объема изобретения.

1. Устройство технологической связи, содержащее:
интерфейс технологической связи, выполненный с возможностью осуществления связи с по меньшей мере одним полевым устройством по контуру технологической связи в соответствии с протоколом технологической связи;
контроллер, соединенный с интерфейсом технологической связи;
хранилище правил, соединенное с контроллером, причем в хранилище правил имеется по меньшей мере одно правило передачи пакетов технологической связи, которое основывается на протоколе технологической связи;
хранилище описаний устройств, соединенное с контроллером, при этом в хранилище описаний устройств имеется по меньшей мере одно описание устройства, относящееся к технологической величине, измеряемой по меньшей мере одним полевым устройством, причем это по меньшей мере одно полевое устройство описывается данным по меньшей мере одним описанием устройства, хранящимся в хранилище описаний устройств,
при этом контроллер применяет по меньшей мере одно правило передачи пакетов технологической связи и по меньшей мере одно описание устройства к по меньшей мере одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи или когда по меньшей мере один пакет технологической связи не в соответствии с по меньшей мере одним описанием устройства для по меньшей мере одного полевого устройства; и
сетевой интерфейс, соединенный с контроллером, при этом контроллер сконфигурирован пересылать пакет технологической связи через сетевой интерфейс, если пакет технологической связи удовлетворяет всем правилам передачи пакетов технологической связи.

2. Устройство технологической связи по п. 1, при этом протоколом технологической связи является HART-протокол (протокол взаимодействия с удаленным датчиком с шинной адресацией).

3. Устройство технологической связи по п. 1, при этом протокол накладывает цифровой сигнал на 4-20 мА аналоговый токовый сигнал.

4. Устройство технологической связи по п. 1, в котором интерфейс технологической связи является проводным интерфейсом технологической связи.

5. Устройство технологической связи по п. 1, в котором интерфейс технологической связи является беспроводным интерфейсом технологической связи.

6. Устройство технологической связи по п. 5, в котором интерфейс технологической связи также является проводным интерфейсом технологической связи.

7. Устройство технологической связи по п. 1, в котором контроллер сконфигурирован дешифровать по меньшей мере один пакет технологической связи перед применением по меньшей мере одного правила передачи пакетов технологической связи.

8. Устройство технологической связи по п. 7, при этом устройство технологической связи осуществлено в шлюзе технологической связи.

9. Устройство технологической связи по п. 1, в котором по меньшей мере одно правило передачи пакетов технологической связи относит допустимое число байтов пакета к команде протокола технологической связи, содержащейся в пакете.

10. Устройство технологической связи по п. 1, в котором по меньшей мере одно правило передачи пакетов технологической связи включает в себя допустимый диапазон команд.

11. Устройство технологической связи по п. 1, при этом устройство технологической связи осуществлено в точке доступа.

12. Способ обеспечения защиты технологической связи, содержащий этапы, на которых:
получают по меньшей мере один пакет технологической связи, посланный из полевого устройства, в соответствии с протоколом технологической связи;
применяют по меньшей мере одно правило по отношению к этому пакету технологической связи, причем данное по меньшей мере одно правило основывается на протоколе технологической связи;
применяют по меньшей мере второе правило по отношению к этому пакету технологической связи, причем данное по меньшей мере второе правило основывается на описании устройства для полевого устройства, относящемся к технологической величине, измеряемой полевым устройством;
определяют событие на основе того, удовлетворил ли упомянутый по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила и упомянутого по меньшей мере второго правила; и
выборочно пересылают упомянутый по меньшей мере один пакет технологической связи на основе того, удовлетворил ли этот по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила и упомянутого по меньшей мере второго правила.

13. Способ по п. 12, дополнительно содержащий этап, на котором регистрируют событие.

14. Устройство технологической связи, содержащее:
интерфейс технологической связи, выполненный с возможностью осуществления связи с по меньшей мере одним полевым устройством по контуру технологической связи в соответствии с протоколом технологической связи;
контроллер, соединенный с интерфейсом технологической связи;
хранилище описаний устройств, соединенное с контроллером, причем в хранилище описаний устройств имеется по меньшей мере одно правило передачи пакетов технологической связи, которое основано на описании устройства, относящемся к технологической величине, измеряемой по меньшей мере одним полевым устройством, для этого по меньшей мере одного полевого устройства,
при этом контроллер применяет по меньшей мере одно правило передачи пакетов технологической связи к по меньшей мере одному пакету технологической связи, принятому от интерфейса технологической связи, и формирует информацию события, когда пакет технологической связи не удовлетворяет по меньшей мере одному правилу передачи пакетов технологической связи; и
сетевой интерфейс, соединенный с контроллером, при этом контроллер сконфигурирован пересылать пакет технологической связи через сетевой интерфейс, если пакет технологической связи удовлетворяет всем правилам передачи пакетов технологической связи.

15. Способ обеспечения защиты технологической связи, содержащий этапы, на которых:
получают по меньшей мере один пакет технологической связи в соответствии с протоколом технологической связи, причем этим по меньшей мере одним пакетом технологической связи переносится информация в по меньшей мере одно полевое устройство или из него;
извлекают описание устройства из хранилища описаний устройств в устройстве защиты технологической связи, которое описывает по меньшей мере одно полевое устройство и относится к технологической величине, измеряемой этим по меньшей мере одним полевым устройством;
применяют по меньшей мере одно правило по отношению к данному пакету технологической связи, причем это по меньшей мере одно правило основано на извлеченном описании устройства;
определяют событие на основе того, удовлетворил ли упомянутый по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила; и
выборочно пересылают упомянутый по меньшей мере один пакет технологической связи на основе того, удовлетворил ли этот по меньшей мере один пакет технологической связи каждому из упомянутого по меньшей мере одного правила.

16. Способ по п. 15, дополнительно содержащий этап, на котором регистрируют событие.

Изобретение относится к области беспроводной связи. Технический результат - обеспечение усовершенствования FILS аутентификации.

Способ и устройство для транспорта фрагментов описания сегментов инициализации динамической адаптивной потоковой передачи по нттр (dash) в качестве фрагментов описания пользовательских услуг // 2586600

Изобретение относится к способу и устройству для транспортировки сегментов инициализации динамической адаптивной потоковой передачи по HTTP (DASH) в качестве фрагментов описания пользовательских услуг.

Способы и узлы для выбора целевой базовой сети для хэндовера сеанса голосовой связи терминала // 2585720

Заявлен способ выбора целевой базовой сети сети связи для хэндовера сеанса голосовой связи терминала от исходной сети радиодоступа с коммутацией пакетов сети связи к целевой сети радиодоступа сети связи.

Устройство и способ реализации сети передачи данных, используемой для удаленного управления жилищем // 2584752

Изобретение относится к способам реализации сети передачи данных. Технический результат заключается в повышении надежности и скорости передачи данных.

Масштабируемая беспроводная многоячеистая vоip-архитектура // 2584487

Изобретение относится к области беспроводной связи. Технический результат изобретения заключается в совместимости стандарта цифровой улучшенной беспроводной связи (DECT) с VoIP-сетью с возможностью плавной передачи обслуживания сеансов между базовыми станциями.

Способы и устройство для поддержки реализации непрерывности службы ims // 2584468

Изобретение относится к системам связи. Технический результат заключается в повышении скорости передачи данных.

Кормушка с функцией коммуникации с животным // 2584015

Изобретение предназначено для кормления и поения домашних животных, в частности кошек и собак. В корпусе кормушки установлены по меньшей мере одно устройство подачи еды в лоток, по меньшей мере одна видеокамера, микрофон, монитор или средство для подключения планшетного компьютера или смартфона, по меньшей мере один динамик, модуль связи, блок питания и средство управления.

Механизм обеспечения безопасности для внешнего кода // 2582863

Изобретение относится к области обеспечения безопасности для внешнего кода, предоставляемого веб-сервером приложений. Техническим результатом является эффективное получение ключа начальной загрузки для внешнего кода.

Системы и способы сжатия заголовков // 2582861

Изобретения относятся к устройству и способу беспроводной связи. Техническим результатом является уменьшение объема информации, пересылаемой в заголовках пакетов потока.

Способ, устройство и система для управления качеством обслуживания // 2582580

Изобретение относится к области связи. Техническим результатом является возможность осуществлять сквозную дифференцированную обработку потоков, обеспечить дифференцированное впечатление от услуги для разных уровней пользователей и разных типов услуг и эффективно повысить коэффициент использования радиоресурсов.

Способ и сетевой объект для регистрации объекта пользователя в сети связи через другую сеть связи // 2587650

Изобретение относится к способу и сетевому объекту для регистрации объекта пользователя в сети связи. Технический результат заключается в обеспечении регистрации объекта пользователя в сети связи через другую сеть связи. Способ регистрации объекта пользователя в первой сети связи, где объект пользователя и объект доступа, обеспечивающий доступ к первой сети связи, регистрируются во второй сети связи, включает: передачу по меньшей мере одного сообщения регистрации для регистрации указанного объекта пользователя в первой сети связи между объектом пользователя и объектом доступа по второй сети связи, при этом сообщение регистрации содержит запрос, передаваемый от объекта пользователя объекту доступа по второй сети связи, и запрос запрашивает по меньшей мере один ключ доступа к первой сети связи; и передачу ответа на переданный запрос от объекта доступа объекту пользователя по второй сети связи, если переданный запрос отвечает конфигурируемому правилу авторизации, при этом указанный ответ включает по меньшей мере один запрашиваемый ключ доступа к первой сети связи. 2 н. и 10 з.п. ф-лы, 4 ил.

Мультимодальные телефонные вызовы // 2589359

Изобретение относится к способам мультимодального телефонного вызова. Технический результат заключается в обеспечении возможности обмениваться как голосовыми сообщениями, так и данными в контексте телефонного вызова. Способ, реализованный на первом вычислительном устройстве для установления мультимодального телефонного вызова, содержит этапы, на которых: принимают телефонный вызов от второго вычислительного устройства; отправляют ответ второму вычислительному устройству о том, что сеанс телефонной связи установлен между первым вычислительным устройством и вторым вычислительным устройством; отправляют сообщение-запрос для регистрации первого вычислительного устройства для сеанса обмена данными в онлайн-службе регистрации, причем сообщение-запрос включает в себя телефонный номер, ассоциированный с первым вычислительным устройством, и телефонный номер, ассоциированный со вторым вычислительным устройством; принимают ответное сообщение, указывающее, что первое вычислительное устройство зарегистрировано в онлайн-службе регистрации, причем ответное сообщение включает в себя ключ, который уникально идентифицирует сеанс обмена данными, и используют ключ, чтобы установить сеанс обмена данными со вторым вычислительным устройством. 3 н. и 7 з.п. ф-лы, 10 ил.

Способ и устройство для быстрого распределения данных // 2589398

Изобретение относится к средствам для быстрого распределения данных. Технический результат заключается в уменьшении загрузки центрального процессора и запоминающего устройства во время передачи данных между хранилищем и контроллером сетевого интерфейса. Отправляют, посредством центрального процессора, информацию описания данных в модуль быстрого перенаправления, при этом информация описания данных содержит информацию адреса и длины данных, запрошенных пользователем. Считывают, посредством модуля быстрого перенаправления согласно информации описания данных, данные, запрошенные пользователем, из хранилища и перенаправляют данные, запрошенные пользователем, в контроллер сетевого интерфейса. Отправляют, посредством контроллера сетевого интерфейса, данные, запрошенные пользователем, пользователю. При этом центральный процессор, хранилище и контроллер сетевого интерфейса взаимосвязаны с помощью PCI-коммутатора и модуль быстрого перенаправления представляет собой функциональный модуль, который встроен в PCI-коммутатор и обеспечивает функции прямой отправки и приема. 4 н. и 12 з.п. ф-лы, 12 ил.

Сервер приложений для управления связью с группой пользовательских объектов // 2592857

Изобретение относится к мобильной связи через коммуникационные сети, в частности к серверу приложений для управления связью с группой пользовательских объектов. Техническим результатом изобретения является в обеспечении эффективного управления связью с группой пользовательских объектов. Сервер приложений содержит приемник (201) для приема первого запроса (202) инициации сеанса с общедоступным идентификатором, идентифицирующим группу пользовательских объектов, процессор (203), сконфигурированный для определения текущего состояния связи первого пользовательского объекта при приеме первого запроса инициации сеанса, и передатчик (205, сконфигурированный для передачи второго запроса (204) инициации сеанса с первым идентификатором пользователя для установления канала связи с первым пользовательским объектом в зависимости от его текущего состояния связи. 3 н. и 11 з.п. ф-лы, 7 ил.

Способ, устройство и система для записи мультимедийных данных // 2595526

Изобретение относится к устройствам обработки и распределения мультимедийных данных, а также определения идентификационной информации мультимедийных данных. Технический результат состоит в увеличении эффективности записи мультимедийных данных и достигается за счет того, что мультимедийные данные, которые должны записываться, снабжают при отправке в устройство записи идентификационной информацией мультимедийных данных. При этом устройство записи идентифицирует мультимедийные данные при помощи соответствующей идентификационной информации мультимедийных данных. Отправляют посредством устройства распределения инструкцию записи в устройство записи без отправки мультимедийных данных, при этом устройство записи идентифицирует мультимедийные данные по соответствующей идентифицирующей информации мультимедийных данных, осуществляет доступ по идентификационной информации к устройству хранения этих данных и записывает мультимедийные данные. 5 н. и 32 з.п. ф-лы, 15 ил.

Система отображения почтовых вложений на странице веб-почты // 2595533

Изобретение относится к способу и системе отображения почтовых вложений на странице веб-почты. Технический результат заключается в повышении безопасности обработки почтовых сообщений за счет идентификации контента вложений. В способе выполняют получение на почтовый сервер от устройства связи получателя электронной почты запроса на рассмотрение сообщений, предназначенных для получателя электронной почты, получение почтовым сервером от почтовой базы данных электронных сообщений, обладающих конечным адресом, связанным с получателем электронной почты, причем электронные сообщения включают в себя электронное сообщение, обладающее почтовым вложением, передачу устройством связи инициирующего элемента, выполняющего функцию в инициировании отображения устройством связи страницы веб-почты для просмотра получателем электронной почты, которая отображает на каждой строке имя отправителя электронного сообщения, заголовок электронного сообщения, создание пиктограммы, при этом страница веб-почты дополнительно отображает на строке электронного сообщения, обладающего почтовым вложением, пиктограмму, представляющую собой почтовое вложение и иллюстрирующую контент почтового вложения. 2 н. и 38 з.п. ф-лы, 8 ил.

Способ и устройство получения динамического сообщения // 2595622

Изобретение относится к области интернет приложений, в частности к получению динамической информации. Технический результат - сокращение количества запросов динамических сообщений. Способ получения динамической информации, включающий получение, клиентом первого пользователя, цепочки взаимосвязей первого пользователя, причем цепочка взаимосвязей первого пользователя включает в себя по меньшей мере одного второго пользователя, определение клиентом степени активности указанного по меньшей мере одного второго пользователя в заданном первом временном периоде, определение опорного значения временного интервала запроса динамической информации согласно степени активности, определение степени обновления информации указанного по меньшей мере одного второго пользователя в заданном втором временном периоде, определение значения корректировки временного интервала запроса динамической информации на основе степени обновления информации, определение клиентом значения временного интервала согласно опорному значению временного интервала и значению корректировки временного интервала запроса динамической информации, а также запрос динамической информации указанного по меньшей мере одного второго пользователя согласно значению временного интервала запроса динамической информации. 3 н. и 17 з.п. ф-лы, 4 ил.

Способ и устройство для привязки ключа токена к учетной записи // 2595769

Изобретение относится к области сетевой безопасности. Технический результат - обеспечение эффективной безопасности учетной записи пользоавателя. Способ привязки ключа токена к учетной записи содержит этапы, на которых: отправляют сообщение запроса привязки, переносящее учетную запись, серверу, так что сервер формирует ссылку на сертификат и первый ключ токена, соответствующий учетной записи; получают ссылку на сертификат и первый ключ токена и формируют отображаемую информацию согласно ссылке на сертификат и первому ключу токена, так что мобильный терминал получает зашифрованную информацию согласно первому ключу токена и отправляет сообщение запроса доступа, переносящее ссылку на сертификат и зашифрованную информацию, и дополнительно так, что сервер принимает сообщение запроса доступа и отправляет зашифрованную информацию; получают зашифрованную информацию и получают второй ключ токена согласно зашифрованной информации и отправляют сообщение об успешной привязке серверу после определения того, что второй ключ токена согласуется с первым ключом токена, так что сервер привязывает первый ключ токена к учетной записи. 9 н. и 8 з.п. ф-лы, 10 ил.

Способы и устройство для крупномасштабного распространения электронных клиентов доступа // 2595904

Изобретение относится к области беспроводной связи. Технический результат - контроль доступа к сети. Способ замены скомпрометированных цифровых сертификатов, ассоциированных с электронными универсальными картами с интегральной схемой (eUICC), включенными в мобильные устройства, содержащий этапы, на которых на сервере управления eUICC: принимают указание того, что подписывающий центр, ассоциированный с множеством цифровых сертификатов, скомпрометирован; и для каждого цифрового сертификата из данного множества цифровых сертификатов: идентифицируют (i) eUICC, ассоциированную с этим цифровым сертификатом, и (ii) мобильное устройство, в которое данная eUICC включена, идентифицируют открытый ключ (PKeUICC), который (i) соответствует упомянутой eUICC и (ii) ассоциирован с упомянутым цифровым сертификатом, вызывают создание обновленного цифрового сертификата, причем обновленный цифровой сертификат основывается на PKeuicc и обновленном секретном ключе (SKUpdated_SA), который соответствует подписывающему центру, предписывают упомянутой eUICC заменить упомянутый цифровой сертификат обновленным цифровым сертификатом. 3 н. и 17 з.п. ф-лы, 19 ил.

Способы связи в реальном времени, обеспечивающие паузу и возобновление, и связанные с ними устройства // 2597490

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении скорости передачи данных. Способ содержит этапы, на которых: принимают поток данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени от другого устройства связи, при этом пакеты потока данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени включают в себя идентификацию потока данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени; и передают запрос паузы от приемного устройства связи к другому устройству связи, при этом запрос паузы включает в себя идентификацию потока данных медиаконтента в реальном времени многостороннего сеанса конференц-связи в реальном времени и порядковый номер запроса паузы. 4 н. и 28 з.п. ф-лы, 11 ил.