DE102014008654A1 - Temporary permission - Google Patents
Temporary permission Download PDFInfo
- Publication number
- DE102014008654A1 DE102014008654A1 DE102014008654.2A DE102014008654A DE102014008654A1 DE 102014008654 A1 DE102014008654 A1 DE 102014008654A1 DE 102014008654 A DE102014008654 A DE 102014008654A DE 102014008654 A1 DE102014008654 A1 DE 102014008654A1
- Authority
- DE
- Germany
- Prior art keywords
- token
- automation device
- terminal
- connection
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
Verfahren zum Zugreifen auf eine Automatisierungseinrichtung (11) von einem ersten Endgerät (12) sind beschrieben. Das erste Endgerät (12) ist über eine erste Verbindung mit der Automatisierungseinrichtung (11) verbunden. Eine Zugriffsanfrage (15) wird an ein zweites Endgerät (13) separat von der Automatisierungseinrichtung (11) gesendet, wobei die Zugriffsanfrage (15) übermittelt wird über eine zweite Verbindung die separat zu der ersten Verbindung ist. Anschließend wird an dem zweiten Endgerät (13) basierend auf der Zugriffsanfrage (15) ein Token (16, 20) erzeugt und von dem zweiten Endgerät (13) an einen Benutzer (14) der Automatisierungseinrichtung (11) über die zweite Verbindung oder eine dritte Verbindung die separat zu der ersten und zweiten Verbindung ist übermittelt. Der übermittelte Token (16, 20) wird dann an dem ersten Endgerät (12) eingegeben und ein Zugriff auf die Automatisierungseinrichtung (11) basierend auf zumindest einer Information enthalten in dem eingegebenen Token (16, 20) wird erlaubt, wobei die zumindest eine Information temporären Zugriff auf die Automatisierungseinrichtung (11) erlaubt.Methods for accessing an automation device (11) from a first terminal (12) are described. The first terminal (12) is connected via a first connection to the automation device (11). An access request (15) is sent to a second terminal (13) separate from the automation device (11), the access request (15) being transmitted via a second connection separate from the first connection. Subsequently, a token (16, 20) is generated at the second terminal (13) based on the access request (15) and from the second terminal (13) to a user (14) of the automation device (11) via the second connection or a third one Connection that is separate to the first and second connection is transmitted. The transmitted token (16, 20) is then input to the first terminal (12) and access to the automation device (11) based on at least one information contained in the input token (16, 20) is allowed, the at least one information temporary access to the automation device (11) allowed.
Description
1. Gebiet der Erfindung1. Field of the invention
Die vorliegende Erfindung betrifft Verfahren und Vorrichtungen zum temporären Zugreifen auf eine Automatisierungseinrichtung.The present invention relates to methods and apparatus for temporarily accessing an automation device.
2. Stand der Technik2. State of the art
Automatisierungseinrichtungen werden heutzutage weit verbreitet genutzt und umfassen alle Maschinen oder Anlagen zur Automatisierung eines Prozesses, zum Beispiel eines Herstellprozesses. Derartige Automatisierungseinrichtungen werden auch häufig als Automatisierungsanlagen bezeichnet. Eine derartige Automatisierungsanlage umfasst meistens eine Vielfalt von Sensoren, die verschiedene physikalische Größen im Zusammenhang mit der Automatisierungsanlage messen. Des Weiteren umfasst eine derartige Automatisierungsanlage auch eine Vielzahl von Regelkreisläufen, um den Prozess in Abhängigkeit von den von den Sensoren bereitgestellten Messwerten zu steuern. Diese Regelkreisläufe können Aktuatoren aufweisen, die eine gewisse Aufgabe innerhalb des Prozesses ausführen. Dazu werden die Aktuatoren in Abhängigkeit von zu setzenden Parametern gesteuert, so dass die Aktuatoren verschiedene Zustände einnehmen können. Beispielsweise betreffen diese Zustände den Betriebszustand eines Aktuators, oder dessen Position in Relation zu einem zu verarbeitenden Bauteil, oder dessen Position in Relation zu einem anderen Aktuator. Um diese Parameter und Zustände zu überwachen und vorzugeben, weisen heutige Automatisierungsanlagen alle eine Mensch-Maschinen-Schnittstelle auf, die auch häufig als Benutzerschnittstelle bezeichnet wird. Über diese Benutzerschnittstelle wird der Benutzer über die gemessenen physikalischen Größen, die aktuell vorherrschenden Parameter und die eingestellten Parameter und den Zustand der Aktuatoren in Kenntnis gesetzt. Über die Benutzerschnittstelle kann der Benutzer auch aktiv in die Steuerung der Automatisierungsanlage eingreifen und kann zum Beispiel Parameter und Zustände vorgeben, die die Komponenten der Automatisierungsanlage annehmen sollen. Im simpelsten Fall kann diese Benutzerschnittstelle ein Schalter sein, der Komponenten der Automatisierungsanlage ausschaltet, also in einen Betriebszustand versetzt, in dem die Komponente vom Versorgungsnetz getrennt ist. Im komplexeren Fall kann die Benutzerschnittstelle aber auch ein Computer, im Allgemeinen ein PC, sein, mit dem verschiedenste Parameter und Zustände der Automatisierungsanlage überwacht und verändert werden können, beispielsweise mit Hilfe einer grafischen Benutzeroberfläche eines auf dem Computer ausgeführten Programms. Dies kann auch als programmieren beziehungsweise parametrieren der Automatisierungsanlage bezeichnet werden.Automation devices are widely used today and include all machines or equipment for automating a process, such as a manufacturing process. Such automation devices are also often referred to as automation systems. Such an automation system usually comprises a multiplicity of sensors which measure various physical variables in connection with the automation system. Furthermore, such an automation system also includes a multiplicity of control circuits in order to control the process as a function of the measured values provided by the sensors. These control loops can have actuators that perform some task within the process. For this purpose, the actuators are controlled in dependence on parameters to be set, so that the actuators can assume different states. For example, these states relate to the operating state of an actuator, or its position in relation to a component to be processed, or its position in relation to another actuator. To monitor and specify these parameters and states, today's automation systems all have a man-machine interface, which is also often referred to as a user interface. This user interface informs the user about the measured physical quantities, the currently prevailing parameters and the set parameters and the state of the actuators. The user can also actively intervene in the control of the automation system via the user interface and can, for example, specify parameters and states that the components of the automation system should assume. In the simplest case, this user interface can be a switch that switches off components of the automation system, that is, puts it in an operating state in which the component is disconnected from the supply network. In the more complex case, however, the user interface can also be a computer, generally a PC, with which a wide variety of parameters and states of the automation system can be monitored and changed, for example by means of a graphical user interface of a program executed on the computer. This can also be referred to as programming or parameterizing the automation system.
Hierbei ist es üblich, dass die verschiedenen Benutzer der Automatisierungsanlage sich mit einer für sie spezifischen Benutzerkennung und einem Passwort an der Benutzerschnittstelle (im Allgemeinen einem Computer) anmelden, um dann mit der Automatisierungsanlage und deren Komponenten zu interagieren, beispielsweise mit Hilfe einer graphischen Benutzeroberfläche. Die graphische Benutzeroberfläche kann dabei Parameter und Zustände der Automatisierungsanlage entweder dauernd für jeden sichtbar anzeigen, oder die Parameter und Zustände werden erst sichtbar, wenn sich der Benutzer mit seiner spezifischen Benutzerkennung und seinem Passwort an der Benutzerschnittstelle angemeldet hat. Dabei haben die verschiedenen Benutzer verschiedene Berechtigungsstufen, so dass nicht jeder Benutzer alle Parameter und Zustände der Automatisierungsanlage über den Computer verändern kann. Manche Benutzer haben beispielsweise nur eine Berechtigungsstufe, die es ihnen ermöglicht die einzelnen Parameter und Zustände der Automatisierungsanlage einzusehen, diese aber nicht zu verändern. In diesem Fall spricht man auch davon, dass der Benutzer einen nur Lesezugriff hat. Andere Benutzer hingegen können mit ihrer Berechtigungsstufe nicht nur die Paramater und Zustände der Automatisierungsanlage einsehen, sondern diese auch verändern. In diesem Fall spricht man auch davon, dass der Benutzer einen Schreib- und Lesezugriff hat. Hierbei können verschiedenste Berechtigungsstufen und Abstufungen zwischen den einzelnen Benutzern realisiert werden. Entsprechend der verschiedenen Abstufungen können die Benutzer dann mehr oder weniger Parameter und Zustände verändern. Die Benutzer mit einem vollständigen Zugriff auf die Automatisierungsanlage werden auch häufig als Administratoren bezeichnet.In this case, it is customary for the various users of the automation system to log on to the user interface (generally a computer) with a user ID and password that are specific to them, in order then to interact with the automation system and its components, for example with the aid of a graphical user interface. The graphical user interface can either constantly display the parameters and states of the automation system for everyone, or the parameters and states only become visible when the user has logged on to the user interface with his specific user ID and password. The different users have different authorization levels, so that not every user can change all parameters and states of the automation system via the computer. For example, some users have only one authorization level, which allows them to view the individual parameters and states of the automation system, but not to change them. In this case, one also speaks of the user having read-only access. Other users, on the other hand, can not only view the parameters and states of the automation system with their authorization level, but also change them. In this case, it is also said that the user has a read and write access. Here, the most varied authorization levels and gradations between the individual users can be realized. According to the different gradations, the users can then change more or less parameters and states. Users with full access to the automation equipment are also often referred to as administrators.
Im Falle einer Störung oder eines Betriebsausfalls einer Komponente der Automatisierungsanlage oder der gesamten Automatisierungsanlage kann es notwendig sein, dass zur Fehlerbehebung Parameter oder Zustände der Automatisierungsanlage verändert werden müssen. Hierbei kann das Problem auftreten, dass ein momentan vor Ort sich befindlicher Benutzer nicht die passende Berechtigungsstufe hat, um die notwendigen Änderungen vorzunehmen, weil zum Beispiel dieser Benutzer kein Administrator ist und zum Beispiel nur einen Lesezugriff hat. Mit dieser Berechtigungsstufe verfügt der Benutzer aber nicht über eine Berechtigung die Parameter und Zustände der Automatisierungsanlage zu verändern und hat damit nicht die Möglichkeit den Fehler zu beheben. Es muss dementsprechend ein Benutzer mit einer höheren Berechtigungsstufe gerufen werden, oder dem sich vor Ort befindlichen Benutzer muss eine erhöhte Berechtigungsstufe zugewiesen werden. Dies kann zum Beispiel dadurch geschehen, dass dem Benutzer die Benutzerkennung und das Passwort eines Benutzers mit höherer Berechtigungsstufe, zum Beispiel eines Administrators, mitgeteilt wird. Dies kann aber problematisch sein, da sich in diesem Fall der Benutzer jederzeit, also auch nicht nur zum Zeitpunkt des Auftretens der Fehlfunktion, sondern auch zu einem anderen Zeitpunkt mit der ihm mitgeteilten Benutzerkennung an der Benutzerschnittstelle anmelden kann und Parameter und Zustände ändern kann. Dies kann unvorhersehbare und vor allem schwer nachvollziehbare Fehler zur Folge haben. Die Herausgabe einer Administratorkennung und eines dazugehörigen Passwortes kann auch dahingehend problematisch sein, dass der entsprechende Benutzer in die Berechtigungsstufenzuweisung der anderen Benutzer eingreifen kann und diese erhöhen kann.In the case of a malfunction or a malfunction of a component of the automation system or the entire automation system, it may be necessary that parameters or states of the automation system must be changed for troubleshooting. Here, the problem may arise that a currently located on-site user does not have the appropriate authorization level to make the necessary changes, for example, because this user is not an administrator and, for example, only has a read access. However, with this authorization level, the user does not have the authorization to change the parameters and states of the automation system and thus does not have the option of correcting the error. Accordingly, a user with a higher privilege level must be called or the on-site user must be assigned an elevated privilege level. This can be done, for example, by giving the user the user ID and password of a user with higher Authorization level, for example an administrator. However, this can be problematic since, in this case, the user can log on to the user interface at any time, that is to say not only at the time of the occurrence of the malfunction, but also at another time with the user ID communicated to him and can change parameters and states. This can lead to unpredictable and, above all, difficult to understand mistakes. The issuance of an administrator identifier and a corresponding password can also be problematic in that the corresponding user can intervene in the authorization level assignment of the other user and increase it.
Daher wird die Herausgabe einer höheren Berechtigungsstufe an Benutzer mit einer niedrigeren Berechtigungsstufe heutzutage zumeist damit umgangen, dass auf die Benutzerschnittstelle, die im Allgemeinen ein Computer ist, über eine bestehende Netzwerkverbindung von einem anderen Ort, zumeist von einer Servicezentrale, zugegriffen wird. Über diesen Fernzugriff ist es dann möglich, die Benutzerschnittstelle beziehungsweise die Automatisierungsanlage fernzusteuern und die Fehlfunktion zu beheben. Dabei haben die Benutzer, die die Automatisierungsanlage beziehungsweise die Benutzerschnittstelle über eine Netzwerkverbindung fernsteuern die nötige Berechtigungsstufe, um Parameter oder Zustände der Automatisierungsanlage zu verändern. In diesem Fall muss also dem Benutzer vor Ort keine Benutzerkennung und Passwort eines Benutzers mit höherer Berechtigungsstufe mitgeteilt werden.Therefore, the issue of a higher privilege level to lower privilege users is nowadays mostly circumvented by the user interface, which is generally a computer, being accessed over an existing network connection from another location, usually a service center. Using this remote access, it is then possible to control the user interface or the automation system remotely and to remedy the malfunction. The users who remote control the automation system or the user interface via a network connection have the necessary authorization level to change parameters or states of the automation system. In this case, therefore, the user on site does not have to be informed of a user ID and password of a user with a higher authorization level.
Das Problem welches sich bei einer derartigen Fernsteuerung der Automatisierungsanlage aber ergibt, ist das eine irgendwie geartete Verbindung zwischen der Automatisierungsanlage beziehungsweise der Benutzerschnittstelle und der Außenwelt geschaffen werden muss. Zum Beispiel kann ein derartiger Fernzugriff über das Internet geschehen, wenn die Benutzerschnittstelle einen entsprechenden Zugang aufweist. Ein Fernzugriff auf die Automatisierungsanlage beziehungsweise die Benutzerschnittstelle über das Internet birgt aber immer ein gewisses Sicherheitsrisiko, nämlich das diese Möglichkeit von Dritten ausgenutzt wird, um Zugriff auf die Automatisierungsanlage zu erlangen. Des Weiteren hat der Fernzugriff auch den Nachteil, dass der Benutzer der die neuen Parameter und Zustände setzt nicht vor Ort ist und dementsprechend nicht überwachen und direkt eingreifen kann, wenn durch die Änderung der Parameter und Zustände keine Behebung der Fehlfunktion geschieht, sondern eine Verschlechterung. Des Weiteren kann es bei dem Fernzugriff auch immer zu Verzögerungen, beispielsweise durch kurzzeitige Netzwerkstörungen oder ähnliches kommen, was dazu führen kann, dass nicht direkt auf eine sich verändernde Situation an der Automatisierungsanlage reagiert werden kann. Dies kann im Extremfall die Beschädigung der gesamten Automatisierungsanlage zur Folge haben.The problem which arises in such a remote control of the automation system but is that a kind of connection between the automation system or the user interface and the outside world must be created. For example, such remote access may be via the Internet if the user interface has appropriate access. However, a remote access to the automation system or the user interface via the Internet always involves a certain security risk, namely that this possibility is exploited by third parties to gain access to the automation system. Furthermore, the remote access also has the disadvantage that the user who sets the new parameters and states is not on site and therefore can not monitor and intervene directly, if the change of the parameters and states does not correct the malfunction, but a deterioration. Furthermore, in the case of remote access, there may always be delays, for example due to short-term network disturbances or the like, which may result in the situation that it is not possible to react directly to a changing situation on the automation system. In extreme cases, this can result in damage to the entire automation system.
Ältere Automatisierungsanlagen sind auch nicht zwingend mit einer Benutzerschnittstelle ausgestattet, die einen Fernzugriff ermöglicht. Des Weiteren gibt es Automatisierungsanlagen wo die Benutzerschnittstelle aus sicherheitsrelevanten Gründen auch gar keinen Fernzugriff erlaubt.Older automation systems are also not necessarily equipped with a user interface that allows remote access. Furthermore, there are automation systems where the user interface does not allow remote access for safety-related reasons.
Es wäre daher wünschenswert, wenn der Benutzer vor Ort zumindest temporär in die Lage versetzt würde, die Parameter und Zustände der Automatisierungsanlage zu verändern, um die Fehlfunktion zu beheben, ohne dass dabei die oben genannten Nachteile auftreten.It would therefore be desirable if the on-site user were at least temporarily enabled to change the parameters and states of the automation equipment to correct the malfunction without experiencing the above-mentioned disadvantages.
3. Zusammenfassung der Erfindung3. Summary of the invention
Diese Aufgabe wird erfindungsgemäß durch die Verfahren und Vorrichtungen der unabhängigen Ansprüche gelöst. Bevorzugte Ausgestaltungsmöglichkeiten der Verfahren und Vorrichtungen finden sich in den Unteransprüchen.This object is achieved by the methods and apparatus of the independent claims. Preferred embodiments of the methods and devices can be found in the subclaims.
Ein erfindungsgemäßes Verfahren zum temporären Zugreifen auf eine Automatisierungseinrichtung über ein mit der Automatisierungseinrichtung über eine erste Verbindung verbundenes erstes Endgerät umfasst die Schritte von Erhalten einer Zugriffsanfrage an einem zweiten Endgerät separat von der Automatisierungseinrichtung, wobei die Zugriffsanfrage übermittelt wird über eine zweite Verbindung die separat zu der ersten Verbindung ist, Erzeugen eines Tokens an dem zweiten Endgerät basierend auf der Zugriffsanfrage, Übermitteln des erzeugten Tokens von dem zweiten Endgerät an einen Benutzer der Automatisierungseinrichtung über die zweite Verbindung oder eine dritte Verbindung die separat zu der ersten und zweiten Verbindung ist, Eingeben des übermittelten Tokens an dem ersten Endgerät und Zugreifen auf die Automatisierungseinrichtung basierend auf zumindest einer Information enthalten in dem eingegebenen Token, wobei die zumindest eine Information temporären Zugriff auf die Automatisierungseinrichtung erlaubt.An inventive method for temporarily accessing an automation device via a first terminal connected to the automation device via a first connection comprises the steps of receiving an access request to a second terminal separately from the automation device, wherein the access request is transmitted via a second connection which is separate from the first connection, generating a token at the second terminal based on the access request, transmitting the generated token from the second terminal to a user of the automation device via the second connection or a third connection that is separate to the first and second connection, inputting the transmitted Tokens at the first terminal and accessing the automation device based on at least one piece of information contained in the input token, wherein the at least one information temporary access to the Au automation device allowed.
Hierbei kann die Automatisierungseinrichtung eine Automatisierungsanlage sein, die mit einem ersten Endgerät in Form einer Benutzerschnittstelle, also im Allgemeinen mit einem PC, verbunden ist. Ein Benutzer der Benutzerschnittstelle kann im Falle dass dieser eine erhöhte Berechtigungsstufe zum Zugreifen auf die Automatisierungseinrichtung benötigt, eine Zugriffsanfrage an ein zweites Endgerät senden, beispielsweise an ein sich in einem Servicecenter befindliches Endgerät. Die Übermittlung der Zugriffsanfrage geschieht dabei aber über eine Verbindung, die separat ist von der ersten Verbindung, also der Verbindung zwischen Benutzerschnittstelle und Automatisierungseinrichtung. Separat in diesem Fall heißt, dass die zweite Verbindung keinerlei Zugriff oder Interaktion mit der ersten Verbindung erlaubt. Zum Beispiel kann die Benutzerschnittstelle mit der Automatisierungseinrichtung über eine Intranet-Verbindung verbunden sein und die Zugriffsanfrage wird vom Benutzer über eine dazu separate Internet-Verbindung übermittelt. In diesem Fall bedeutet separat, dass die Verbindungen zwar hardwaretechnisch die gleichen sind, es aber softwaretechnisch keine Verbindung, also keinen Informationsaustausch zwischen diesen beiden Verbindungen gibt. Verbindungen zu separieren kann in diesem Fall softwaretechnisch durch zum Beispiel eine Firewall realisiert werden. Es ist aber auch denkbar, dass die Verbindungen hardwaretechnisch getrennt sind, die Verbindungen also physikalisch voneinander getrennt sind. Diese übermittelte Zugriffsanfrage kann dann am zweiten Endgerät benutzt werden, um einen Token zu erzeugen, wobei dieser Token zumindest eine Information enthält, die dem Benutzer den temporären Zugriff auf die Automatisierungseinrichtung erlaubt. Zum Beispiel kann die Information die neue Berechtigungsstufe des Benutzers beinhalten. Das Erzeugen des Tokens kann dabei auf der Basis eines Algorithmus geschehen, der die Zugriffsanfrage verwendet, um den Token zu erzeugen. Das Erzeugen kann aber auch dem Zugriff auf im Speicher des zweiten Endgerätes bereits vorhandene Token beinhalten, wobei der Zugriff auf den Speicher in diesem Fall auf der Zugriffsanfrage basiert. Das zweite Endgerät kann dann den erzeugten Token beispielsweise direkt über die zweite Verbindung, die zum Übermitteln der Zugriffsanfrage benutzt wurde, an den Benutzer übermitteln. Alternativ kann das zweite Endgerät auch eine davon verschiedene dritte und wiederum separate Verbindung nutzen, um den erzeugten Token an den Benutzer zu übermitteln. Zum Beispiel kann die Zugriffsanfrage telefonisch an das zweite Endgerät übermittelt worden sein und der erzeugte Token kann dann per E-Mail oder per Kurznachrichtendienst also per SMS oder MMS auf ein Mobiltelefon des Benutzers übermittelt werden.In this case, the automation device can be an automation system which is connected to a first terminal in the form of a user interface, that is generally to a PC. A user of the user interface, in case that he needs an increased authorization level for accessing the automation device, can send an access request to a second terminal, for example to a terminal located in a service center. The transmission of the access request happens but via a connection that is separate from the first connection, so the Connection between user interface and automation device. Separately in this case means that the second connection does not allow any access or interaction with the first connection. For example, the user interface may be connected to the automation device via an intranet connection, and the access request is transmitted by the user via a separate Internet connection. In this case, it means separately that although the connections are the same in terms of hardware technology, there is no connection by software technology, ie no exchange of information between these two connections. Separate connections can be realized in this case by software technology, for example, a firewall. However, it is also conceivable that the connections are separated by hardware technology, ie the connections are physically separated from one another. This transmitted access request can then be used at the second terminal to generate a token, this token containing at least information that allows the user temporary access to the automation device. For example, the information may include the new permission level of the user. The token may be generated based on an algorithm that uses the access request to generate the token. However, the generation can also include access to tokens already present in the memory of the second terminal, the access to the memory in this case being based on the access request. The second terminal may then transmit the generated token, for example, directly to the user via the second connection used to convey the access request. Alternatively, the second terminal may also use a different third and again separate connection to communicate the generated token to the user. For example, the access request may have been transmitted by telephone to the second terminal and the generated token may then be transmitted by e-mail or short message service via SMS or MMS to a mobile phone of the user.
Nach Erhalt des Tokens kann der Benutzer dann den Token an dem mit der Automatisierungseinrichtung verbundenen ersten Endgerät eingeben, welches dem Benutzer dann auf Basis zumindest einer in dem Token enthaltenen Information Zugriff auf die Automatisierungseinrichtung gewährt. Eingeben in diesem Fall kann bedeuten, dass der Benutzer den erhaltenen Token an einem Peripheriegerät des ersten Endgerätes eingibt. Beispielsweise kann der Benutzer den Token über eine Tastatur eingeben, oder den erhaltenen Token vor ein entsprechendes Lesegerät des ersten Endgerätes halten, oder der Benutzer kann den Token auf einem Datenträgermedium speichern und dass Datenträgermedium an dem ersten Endgerät einlesen lassen. Im Fall dass die Information die neue Berechtigungsstufe beinhaltet, so kann mit Eingabe des Tokens an der Benutzerschnittstelle die Berechtigungsstufe des Benutzers verändert werden, so dass dieser dann entsprechend seiner neuen Berechtigungsstufe, zumindest temporär auf die Automatisierungseinrichtung zugreifen kann und entsprechend Parameter und Zustände der Automatisierungseinrichtung verändern kann, um eine aufgetretene Fehlfunktion zu beheben. Temporär in diesem Fall heißt, dass der Token und die darin beinhaltete Information vorzugsweise nicht zeitlich unbegrenzt Gültigkeit hat, sondern nur für eine endliche Zeitdauer Gültigkeit besitzt. Es kann aber auch sein, dass der Token eine Information enthält, die das erste Endgerät beziehungsweise die Automatisierungseinrichtung dazu veranlassen, demjenigen, der den Token eingegeben hat für eine bestimmte Zeitdauer eine erhöhte, zum Beispiel eine voreingestellte Berechtigungsstufe, zum Zugreifen auf das erste Endgerät beziehungsweise die Automatisierungseinrichtung zu gewähren.After receiving the token, the user can then enter the token at the first terminal connected to the automation device, which then grants the user access to the automation device on the basis of at least one information contained in the token. Entering in this case may mean that the user inputs the received token to a peripheral device of the first terminal. For example, the user may enter the token via a keyboard, or hold the received token in front of a corresponding reader of the first terminal, or the user may store the token on a data carrier medium and have the data medium read in at the first terminal. If the information includes the new authorization level, the authorization level of the user can be changed by entering the token at the user interface so that the latter can access the automation device at least temporarily according to its new authorization level and correspondingly change parameters and states of the automation device can to remedy a malfunction occurred. Temporarily in this case means that the token and the information contained therein preferably does not have validity indefinitely, but only has validity for a finite period of time. However, it may also be that the token contains information that causes the first terminal or the automation device to give the person who has entered the token an increased, for example a preset authorization level for a certain period of time, for accessing the first terminal or to grant the automation device.
Das erfindungsgemäße Verfahren ermöglicht damit nicht nur die Separation zwischen dem ersten Endgerät, welches verbunden ist mit der Automatisierungseinrichtung, und dem zweiten Endgerät, sondern erlaubt auch dass ein sich vor Ort befindlicher Benutzer, der ansonsten keinen oder nur eingeschränkten Zugriff auf das erste Endgerät und dementsprechend auf die Automatisierungseinrichtung hätte, zumindest temporär Zugriff auf die Automatisierungseinrichtung erhält.The inventive method thus not only allows the separation between the first terminal, which is connected to the automation device, and the second terminal, but also allows that an on-site user, the otherwise no or only limited access to the first terminal and accordingly had on the automation device, at least temporarily receives access to the automation device.
In einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens weist das Verfahren weiter auf Verarbeiten des eingegebenen Tokens zum Erhalten von der zumindest einen Information. Das Verarbeiten kann dabei das Extrahieren der Informationen aus dem Token umfassen. Beispielsweise können der Token und die darin enthaltene Information verschlüsselt sein, so dass zum Erhalt der Information eine Entschlüsselung notwendig ist. Dabei kann beispielsweise der Token mittels eines Algorithmus auf dem zweiten Endgerät erzeugt worden sein und nur durch die Anwendung eines entsprechenden Algorithmus auf Seiten des ersten Endgeräts lässt sich die Information wieder aus dem Token gewinnen. Dem Fachmann sind hierbei verschiedenste Verschlüsslungsalgorithmen bekannt, die verwendet werden können, um die Information in den Token einzubetten oder den Token und seine Form selbst als Informationsträger zu verwenden. Beispielsweise kann die im Token enthaltene Information die neue Berechtigungsstufe des Benutzers sein und die äußere Form des Tokens, beispielsweise seine Bitanzahl oder Paketstruktur kann eine Information darüber geben, für welche Zeitdauer der Token und damit die neue Berechtigungsstufe seine Gültigkeit hat. Beide der vorher genannten Informationen können aber auch in dem Token enthalten sein. Das Verarbeiten selbst kann dabei nicht nur auf dem ersten Endgerät, also der Benutzerschnittstelle selbst geschehen, sondern kann auch auf der Automatisierungseinrichtung geschehen. Wobei eine Verarbeitung auf der Automatisierungseinrichtung den Vorteil hat, dass der Token und die darin enthaltene Information für die Benutzerschnittstelle, also dem ersten Endgerät, nicht sichtbar wird. Das Verarbeiten des eingegebenen Tokens kann auch beinhalten das Verifizieren des Tokens, also die Überprüfung, ob der Token gültig ist. Es sind dabei dem Fachmann verschiedenste Möglichkeiten bekannt die Gültigkeit einer erhaltenen Information zu verifizieren. Das Überprüfen der Gültigkeit des Tokens hat dabei auch den Vorteil, dass eine zusätzliche Sicherheitsmaßnahme eingeführt wird, um zu verhindern, dass Token von Dritten also Unberechtigten erzeugt werden, die dann einen Zugriff auf die Benutzerschnittstelle beziehungsweise auf die Automatisierungseinrichtung erlauben würden.In a preferred embodiment of the inventive method, the method further comprises processing the inputted token for obtaining the at least one information. The processing may include extracting the information from the token. For example, the token and the information contained therein may be encrypted, so that decryption is necessary to obtain the information. In this case, for example, the token can be generated by means of an algorithm on the second terminal and only by the application of a corresponding algorithm on the part of the first terminal can the information win again from the token. A variety of encryption algorithms are known to those skilled in the art, which can be used to embed the information in the token or to use the token and its form itself as an information carrier. For example, the information contained in the token may be the new permission level of the user, and the outer form of the token, such as its bit count or packet structure, may provide information about the length of time the token and thus the new permission level are valid. Both of the aforementioned information can also be included in the token. The Processing itself can not only be done on the first terminal, ie the user interface itself, but can also be done on the automation device. Where processing on the automation device has the advantage that the token and the information contained therein for the user interface, ie the first terminal, is not visible. Processing the input token may also involve verifying the token, that is, verifying that the token is valid. The person skilled in various ways known to verify the validity of information received. Checking the validity of the token also has the advantage that an additional security measure is introduced in order to prevent tokens from being generated by unauthorized third parties, who would then allow access to the user interface or to the automation device.
In einer weiteren bevorzugten Ausführungsform des Verfahrens weist dieses das Starten eines Zeitgebers nach Eingabe des Tokens auf, wobei die Zeitdauer des Zeitgebers auf dem eingegebenen Token basiert. Dabei kann die Zeitdauer beispielsweise als Information in dem Token beinhaltet sein, oder der Token selbst zeigt durch seine Ausgestaltung die gewünschte Zeitdauer an, beispielsweise durch seine Bitlänge. Der Zeitgeber kann dabei synchron zu einer Systemzeitbasis der Automatisierungseinrichtung oder der Benutzerschnittstelle sein. Als Systemzeitbasis können dabei unterschiedliche systemimmanente Zeitkonstanten verwendet werden, zum Beispiel eine Systemuhr, ein Taktzähler oder auch feste Zykluszeiten definierter von der Automatisierungseinrichtung ausgeführter Teilprozesse. Der Zeitgeber wird dann entsprechend dieser systemimmanenten Zeitkonstanten entweder inkrementiert oder dekrementiert, je nach dem ob die Zeit des Zeitgebers von der Zeitdauer ablaufen soll oder sich bis zur Zeitdauer erstrecken soll. Der Zeitgeber läuft dementsprechend entweder von der Zeitdauer bis auf null oder von null bis auf die Zeitdauer. Mit Ablauf des Zeitgebers, also wenn dieser auf null steht beziehungsweise die Zeitdauer erreicht ist, kann der Token ungültig werden. Dies kann dazu führen, dass der Zugriff auf die Automatisierungseinrichtung nach Ablauf des Zeitgebers beendet wird. Dies kann zum Beispiel eine vollständige Beendigung des Zugriffs auf die Automatisierungseinrichtung zur Folge haben. Es wäre aber auch möglich, dass der Zugriff nicht vollständig beendet wird, sondern nur ein Herabsetzen der Berechtigungsstufe des Benutzers nach Ablauf des Zeitgebers erfolgt. Dies setzt voraus, dass mit Eingabe des Tokens, die Berechtigungsstufe des Benutzers angehoben wurde. Diese Anhebung aber nur für die angegebene Zeitdauer ihre Gültigkeit hatte. Nach Ablauf des Zeitgebers kann es also für den Benutzer entweder notwendig sein, sich mit seiner normalen Benutzerkennung an der Benutzerschnittstelle erneut anzumelden, weil der Zugriff vollständig beendet wurde, oder der Benutzer verliert nur mit Ablauf des Zeitgebers seine erhöhte Berechtigungsstufe kann aber weiterhin die Benutzerschnittstelle mit seiner normalen Berechtigungsstufe nutzen. Dabei kann der Benutzer in festgelegten Zeitintervallen darüber informiert werden, dass der Zeitgeber abläuft und die Beendigung des Zugriffs beziehungsweise das Herabsetzen der Berechtigungsstufe bevorsteht. Diese Zeitintervalle können zum Beispiel in Minuten, in einer Anzahl von Takten oder Prozesszyklen definiert werden. Zum Beispiel kann der Benutzer alle 5 Minuten darüber informiert werden, dass der Zeitgeber abläuft. Die Zeitdauer des Zeitgebers kann auch mit einer maximal erlaubten Zeitdauer spezifisch für die Automatisierungseinrichtung beziehungsweise spezifisch für das erste Endgerät, also die Benutzerschnittstelle, verglichen werden. Sollte die vom Token vorgegebene Zeitdauer unterhalb dieser maximal erlaubten Zeitdauer liegen, so kann die Zeitdauer definiert in dem Token verwendet werden andernfalls kann die spezifische maximale Zeitdauer genutzt werden. Es kann aber auch sein, dass wenn die Zeitdauer vorgegeben im Token die maximal durch die Benutzerschnittstelle oder der Automatisierungseinrichtung erlaubte Zeitdauer für temporären Zugriff überschreitet, gar kein Zugriff gestattet wird. Dies hat den Vorteil, dass ein Zeitgeber nicht eine unbegrenzte Zeitdauer haben kann, sondern auf eine endliche Zeitdauer begrenzt ist.In a further preferred embodiment of the method, this comprises starting a timer after the token has been entered, the time duration of the timer being based on the entered token. In this case, the time duration may be included as information in the token, for example, or the token itself indicates by its design the desired time duration, for example by its bit length. The timer may be synchronous with a system time base of the automation device or the user interface. Different system-immanent time constants can be used as the system time base, for example a system clock, a clock counter or even fixed cycle times of defined subprocesses executed by the automation device. The timer is then either incremented or decremented according to this system immanent time constant, depending on whether the timer's time should elapse from the time period or should extend to the time duration. Accordingly, the timer runs either from the time duration to zero or from zero to the time duration. At the end of the timer, ie when it is at zero or the time has been reached, the token can be invalidated. This can cause access to the automation device to stop when the timer expires. This may, for example, result in a complete cessation of access to the automation device. However, it would also be possible that the access is not completely terminated, but only a lowering of the authorization level of the user after expiration of the timer takes place. This assumes that by entering the token, the user's permission level has been raised. This increase was only valid for the specified period of time. After expiration of the timer, it may thus be necessary for the user either to log in again with his normal user ID on the user interface because the access has been completely terminated, or the user only loses his elevated authorization level when the timer expires, but can continue to use the user interface use his normal permission level. In this case, the user can be informed at fixed time intervals that the timer expires and the termination of the access or the lowering of the authorization level is imminent. These time intervals can be defined, for example, in minutes, in a number of cycles or process cycles. For example, the user may be informed every 5 minutes that the timer expires. The time duration of the timer can also be compared with a maximum permissible time duration specifically for the automation device or specifically for the first terminal, ie the user interface. If the time period specified by the token is below this maximum permitted time duration, then the time period defined in the token can be used, otherwise the specific maximum time duration can be used. However, it may also be that if the time specified in the token exceeds the maximum time allowed by the user interface or the automation device for temporary access, no access is allowed. This has the advantage that a timer can not have an unlimited period of time, but is limited to a finite amount of time.
In einer weiteren bevorzugten Ausführungsform des Verfahrens weist dieses das Anhalten eines gestarteten Zeitgebers auf. Beispielsweise kann ein Zeitgeber angehalten werden, wenn der Benutzer sich von der Benutzerschnittstelle abmeldet, beispielsweise weil der Benutzer die geänderten Zustände der Automatisierungseinrichtung in Augenschein nehmen möchte, bevor er weitere Parameter oder Zustände der Automatisierungseinrichtung ändert. Anschließend kann er den erhaltenen Token wieder benutzen, um Zugriff auf die Automatisierungseinrichtung zu erlangen. In diesem Fall wird aber nicht ein neuer Zeitgeber gestartet, sondern der bereits gestartete und nur angehaltene Zeitgeber wird fortgesetzt. Hierzu kann die Benutzerschnittstelle beziehungsweise die Automatisierungseinrichtung eine gestarteten Zeitgeber derart kennzeichnen, dass er mit einem eingegebene Token assoziiert wird, so dass bei erneuter Eingabe des gleichen Tokens nicht ein neuer Zeitgeber gestartet wird, sondern der bereits gestartet und nur angehaltene Zeitgeber fortgesetzt wird. Das Anhalten des Zeitgebers kann aber zum Beispiel auch dadurch bedingt sein, das die Benutzerschnittstelle oder die Automatisierungseinrichtung erkennt, dass es zu einer Unterbrechung der ersten Verbindung gekommen ist. Der Zeitgeber kann in diesem Fall fortgesetzt werden, wenn die Verbindung wieder besteht. Dies hat den Vorteil, dass Fehler in der Verbindung zwischen Benutzerschnittstelle und Automatisierungseinrichtung nicht zu Lasten der Zugriffberechtigungszeit gehen. Die Zeitdauer für die ein Zeitgeber angehalten wird kann auch zeitlich begrenzt sein, so dass der Token nach Ablauf dieser Zeitdauer seine Gültigkeit verliert und ein erneutes verwenden des gleichen Tokens ausgeschlossen ist. In diesem Fall muss der Benutzer eine erneute Zugriffsanfrage an das zweite Endgerät richten, um einen neuen Token zu erhalten. Diese maximale Zeitdauer des Anhaltens eines Zeitgebers kann entweder spezifisch sein für die Benutzerschnittstelle und/oder Automatisierungseinrichtung, oder diese Zeit ergibt sich aus dem Token selbst, der beispielsweise nur für eine gewisse Zeit gültig sein kann. Es kann aber auch sein, dass der Token vorgibt wie lange eine maximale Anhaltzeit sein darf, beispielsweise kann diese in Abhängigkeit der Zugriffsanfrage gesetzt werden. Zum Beispiel kann einem Benutzer mit sehr niedriger Berechtigungsstufe ein Token mit kürzerer Gültigkeit und dementsprechend auch kürzerer Anhaltzeit zugewiesen werden als einem Benutzer mit höherer Berechtigungsstufe.In a further preferred embodiment of the method, this has the stopping of a started timer. For example, a timer may be stopped when the user logs out of the user interface, for example because the user wishes to view the changed states of the automation device before changing further parameters or states of the automation device. Subsequently, he can use the received token again to gain access to the automation device. In this case, but not a new timer is started, but the already started and only stopped timer is continued. For this purpose, the user interface or the automation device can mark a started timer in such a way that it is associated with an entered token, so that when the same token is entered again, not a new timer is started, but the timer which has already been started and only stopped is continued. However, the stopping of the timer may also be caused, for example, by the user interface or the automation device recognizing that the first connection has been interrupted. The timer can be continued in this case if the connection is made again. This has the The advantage that errors in the connection between the user interface and the automation device are not at the expense of the access authorization time. The time period for which a timer is stopped can also be limited in time, so that the token expires after this period has expired and a reuse of the same token is excluded. In this case, the user must direct a renewed access request to the second terminal to obtain a new token. This maximum duration of stopping a timer may either be specific to the user interface and / or automation device, or this time will result from the token itself, which may for example only be valid for a certain time. It may also be that the token specifies how long a maximum stop time may be, for example, this can be set depending on the access request. For example, a user with a very low privilege level can be assigned a token with a shorter validity and, accordingly, a shorter timeout than a user with a higher privilege level.
In einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens weist dieses weiter das Speichern des Tokens im ersten Endgerät und/oder der Automatisierungseinrichtung auf. Der Token, der an dem ersten Endgerät eingegeben wurde kann von dem ersten Endgerät und/oder der Automatisierungseinrichtung in einem Speicher gespeichert werden. Dies hat den Vorteil, dass alle verwendeten Token, die zum Erhalten von temporären Zugriff verwendet wurden, dem ersten Endgerät beziehungsweise der Automatisierungseinrichtung bekannt sind, so dass ein Token nur einmalig verwendet werden kann und dieser Token nicht ein zweites Mal zum unberechtigten Erlangen des Zugriffs auf die Automatisierungseinrichtung verwendet werden kann. Die gespeicherten Token können dementsprechend bereits bei der Eingabe eines neuen Tokens mit dem eingegebenen neuen Token verglichen werden, so dass verhindert wird, dass ein Token mehrmals benutzt wird. Falls festgestellt werden sollte, dass ein Token erneut benutzt werden soll, so kann das erste Endgerät eine Warnung anzeigen, dass der Token ungültig ist, weil dieser bereits verwendet wurde. Zum Nachhalten eines unberechtigten Zugriffsversuches auf die Automatisierungseinrichtung, kann auch des Weiteren eine vorformulierte Meldung an den Administrator der Automatisierungseinrichtung gesendet werden. Dies hat den Vorteil, dass der Administrator der Automatisierungseinrichtung darüber in Kenntnis gesetzt wird, dass ein unberechtigter Zugriffsversuch auf die Automatisierungseinrichtung stattgefunden hat. Die im Speicher gespeicherten Token können aber auch dazu verwendet werden zu identifizieren, ob im Zusammenhang mit einem eingegebenen Token noch ein Zeitgeber existiert, der noch nicht abgelaufen ist, sondern nur angehalten wurde und bei erneuter Eingabe eines im Speicher sich bereits befindlichen Tokens, kann der entsprechende Zeitgeber fortgesetzt werden.In a further embodiment of the method according to the invention, this further comprises storing the token in the first terminal and / or the automation device. The token entered at the first terminal may be stored in memory by the first terminal and / or the automation device. This has the advantage that all tokens used to obtain temporary access are known to the first terminal or automation device so that a token can only be used once and this token is not used a second time to gain unauthorized access the automation device can be used. Accordingly, the stored tokens can already be compared with the entered new token when entering a new token, so that it is prevented that a token is used several times. If it should be determined that a token is to be used again, the first terminal may indicate a warning that the token is invalid because it has already been used. To keep track of an unauthorized attempt to access the automation device, a preformulated message can also be sent to the administrator of the automation device. This has the advantage that the administrator of the automation device is informed that an unauthorized attempt to access the automation device has taken place. The tokens stored in the memory can also be used to identify whether in connection with an entered token still exists a timer that has not yet expired, but only stopped and on re-entering a memory already in the token, the corresponding timers are continued.
In einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens enthält die Zugriffsanfrage zumindest eines von einer Berechtigungskennung, einer Benutzerkennung, einer Berechtigungsstufe, eine die Automatisierungseinrichtung identifizierende Information, oder Kunden ID. Die Berechtigungskennung in der Zugriffsanfrage kann dabei eine Berechtigungskennung sein, die anzeigt, dass die Zugriffsanfrage von einer berechtigten Person gestellt wird. Beispielsweise kann diese Kennung eine sein, die an alle Benutzer der Automatisierungseinrichtung ausgegeben wurde, so dass sich diese als berechtigte Benutzer gegenüber dem zweiten Endgerät ausweisen können. Die Zugriffsanfrage kann aber auch oder zusätzlich eine für den Benutzer der Automatisierungseinrichtung spezifische Benutzerkennung beinhalten. Diese Benutzerkennung kann beispielsweise die sein, mit der sich der Benutzer an der Benutzerschnittstelle anmeldet. Des Weiteren oder zusätzlich kann die Zugriffsanfrage auch die momentane Berechtigungsstufe eines Benutzers enthalten. Auch kann die Zugriffsanfrage eine die Automatisierungseinrichtung identifizierende Information beinhalten, diese kann zum Beispiel die ID der Automatisierungseinrichtung sein, oder eine MAC Adresse der Automatisierungseinrichtung. Die Zugriffsanfrage kann auch bereits einen Fehlercode beinhalten, der spezifisch ist für den Fehler, der auf der Automatisierungseinrichtung aufgetreten ist. Hierdurch kann das zweite Endgerät in die Lage versetzt werden, den Token dahingehend zu erzeugen, dass dieser Informationen enthält, die einen temporären Zugriff auf die Automatisierungseinrichtung nur dahingehend ermöglicht, dass nur spezifische Parameter und Zustände, nämlich nur die die für den bestimmten Fehler einschlägig sind verändert werden können, ohne dass andere Parameter oder Zustände verändert werden können. Dies ermöglicht dementsprechend die Erzeugung eines fehlerspezifischen Tokens, der einen Zugriff nur dahingehend erlaubt, dass der Benutzer in die Lage versetzt wird, den Fehler zu beheben, der Benutzer aber keine weitergehenden Zugriffrechte bekommt. Sollte der Benutzer weitergehenden Zugriff auf die Automatisierungsanlage benötigen, so muss eine zweite Zugriffsanfrage gestellt werden, die einen erweiterten Zugriff erlaubt. Es ist aber auch möglich, dass in einer Zugriffsanfrage bereits mehrere Fehlercodes übermittelt werden und dass entsprechend dieser Vielzahl von Fehlercodes ein entsprechender fehlerspezifischer Token erzeugt wird. Die Zugriffsanfrage kann aber auch eine Kombination aus den vorher genannten Informationen beinhalten. Mit zumindest einer der vorher genannten Informationen ist es dem zweiten Endgerät auch möglich, die Zugriffsanfrage zu validieren, also deren Gültigkeit zu überprüfen. Dies hat den Vorteil, dass nicht jede Zugriffsanfrage zum Erzeugen eines Tokens führt, insbesondere wenn die Zugriffsanfrage von unberechtigten Dritten gestellt wird.In a further embodiment of the inventive method, the access request contains at least one of an authorization identifier, a user identifier, an authorization level, information identifying the automation device, or customer ID. The authorization identifier in the access request can be an authorization identifier which indicates that the access request is being made by an authorized person. For example, this identifier may be one that has been issued to all users of the automation device so that they can identify themselves as authorized users with respect to the second terminal. The access request may also or additionally include a specific for the user of the automation device user ID. For example, this userid may be the one that the user uses to log in to the user interface. Additionally or additionally, the access request may also include the current authorization level of a user. Also, the access request may include information identifying the automation device, which may be, for example, the ID of the automation device, or a MAC address of the automation device. The access request may also already include an error code that is specific to the error that has occurred on the automation device. In this way, the second terminal can be enabled to generate the token such that it contains information which allows temporary access to the automation device only in that only specific parameters and states, namely only those relevant to the particular error, are relevant can be changed without other parameters or states can be changed. Accordingly, this allows the generation of an error-specific token that allows access only to enable the user to correct the error, but does not give the user more extensive access rights. If the user needs further access to the automation system, then a second access request must be made, which allows extended access. However, it is also possible for several error codes to already be transmitted in an access request and for a corresponding error-specific token to be generated in accordance with this plurality of error codes. The access request may also include a combination of the aforementioned information. With at least one of the aforementioned information, it is also possible for the second terminal to validate the access request, ie to check its validity. This has the advantage that not every access request leads to the generation of a token, in particular if the access request is made by unauthorized third parties.
In einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens ist die zumindest eine im Token enthaltene Information eine von einem Erstellungsdatum, eine zu setzenden Berechtigungsstufe, eine Zeitdauer für den Zugriff, eine Zeitdauer für die Berechtigungsstufe, eine Erstellerkennung, eine die Automatisierungseinrichtung identifizierende Information, oder Kunden ID. Beispielsweise kann der Token Information über sein Erstellungsdatum aufweisen, diese Information kann beispielsweise im Format Jahr/Monat/Tag hinterlegt sein. Das Erstellungsdatum kann dahingehend wichtig sein, dass von der Benutzerschnittstelle beziehungsweise der Automatisierungseinrichtung nur Tokens für gültig erachtet werden, die innerhalb eines definierten zeitlichen Abstands erzeugt wurden, zum Beispiel binnen eines Tages vor Eingabe. Des Weiteren kann der Token eine Zeitdauer aufweisen für die der Token gültig ist. Diese Zeitdauer kann zum Beispiel in Minuten oder anderen zeitimmanenten Konstanten angegeben sein. Des Weiteren kann der Token eine Information über die Berechtigungsstufe beinhalten, die der Benutzer mit dem Token erlangen kann. Dabei kann diese Information eine absolute Information sein, also die Berechtigungsstufe auf die die Berechtigungsstufe des Benutzers gesetzt wird, wenn der Token eingegeben wird. Der Token kann aber auch eine relative Berechtigungsstufe beinhalten, also eine Information darüber, wie hoch die Berechtigungsstufe des Benutzers in Relation zu der bereits vorhandenen Berechtigungsstufe des Benutzers gesetzt wird. Des Weiteren kann der Token Informationen in Form einer Erstellerkennung beinhalten, diese Erstellerkennung weist aus, dass das zweite Endgerät von dem der Token erzeugt wurde gültig ist und berechtigt ist für die Automatisierungseinrichtung Tokens zu erzeugen. Des Weiteren kann der Token eine die Automatisierungseinrichtung identifizierende Information beinhalten, also zum Beispiel eine MAC Adresse der Automatisierungseinrichtung oder die ID der Automatisierungseinrichtung. Diese Information kann beispielsweise bereits durch die Zugriffsanfrage an das zweite Endgerät übermittelt worden sein, und ein Auftreten dieser Information in dem Token kann verwendet werden zur Verifizierung des Tokens. Des Weiteren kann der Token eine Prüfsumme aufweisen, zum Überprüfen ob alle Informationen richtig übermittelt wurden. Der Token kann eine beliebige Kombination der vorher genannten Informationen beinhalten. Der Token kann aber auch noch weitere Informationen beinhalten, die zur Validierung des Tokens oder zum Erhalt des Zugriffs auf die Automatisierungseinrichtung notwendig sind.In a further preferred embodiment of the method according to the invention, the information contained in the token is one of a creation date, an authorization level to be set, a time period for the access, a time period for the authorization level, a creator identifier, information identifying the automation device, or customer ID , For example, the token can have information about its creation date, this information can be stored, for example, in the format year / month / day. The creation date may be important in that the user interface or the automation device only considers tokens that were generated within a defined time interval, for example within one day before entry. Furthermore, the token may have a period of time for which the token is valid. This period of time may be indicated, for example, in minutes or other time-immanent constants. Furthermore, the token may include information about the level of authorization that the user can obtain with the token. In this case, this information can be absolute information, that is, the authorization level to which the user's authorization level is set when the token is entered. However, the token can also contain a relative authorization level, ie information about how high the user's authorization level is set in relation to the user's authorization level that already exists. Furthermore, the token may contain information in the form of a creator identifier, this creator identifier indicates that the second terminal from which the token was generated is valid and is authorized to generate tokens for the automation device. Furthermore, the token may contain information identifying the automation device, that is, for example, a MAC address of the automation device or the ID of the automation device. This information may for example already have been transmitted by the access request to the second terminal, and an occurrence of this information in the token may be used to verify the token. Furthermore, the token may have a checksum to verify that all information has been transmitted correctly. The token may include any combination of the aforementioned information. The token may also contain other information necessary to validate the token or to gain access to the automation device.
In einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens ist der Token zumindest einer von einem Barcode, einem QR-Code, einem String, einem ein- oder mehrfarbigen Grafikcode, oder einem numerischen Wert. Der Token kann aber auch eine beliebige Kombination aus den vorher genannten sein. Ein Barcode, ein QR-Code, ein Grafikcode oder jeglicher Code aus der die Information, beinhaltet im Token, nicht direkt hervorgeht hat den Vorteil, dass dieser vom Benutzer nicht dahingehend abgewandelt werden kann, dass einzelne Informationen verändert werden können. Beispielsweise, wenn aus dem Token direkt die Berechtigungsstufe ersichtlich wäre, so könnte ein Benutzer diese auf eine höhere Stufe setzen als von dem zweiten Endgerät vorgesehen. Da ein solcher Token ansonsten vielleicht den Erfordernissen an die Gültigkeit des Tokens genügt, würde in diesem Fall das erste Endgerät die Berechtigungsstufe entsprechend der geänderten Information setzen. Dieses lässt sich aber verhindern, wenn die Information enthalten in dem Token nicht direkt erkennbar ist. Ein QR-Code, Barcode, oder Grafikcode hat des Weiteren den Vorteil, dass dieser einfach dem Benutzer mitgeteilt werden kann, beispielsweise durch eine Kurznachricht und der Benutzer diesen über ein Lesegerät am ersten Endgerät eingeben kann. Dies ist für den Benutzer nicht nur einfach, sondern verhindert auch unnötige Fehler in der Eingabe, wodurch es zu einer Zeitersparnis kommt und die Fehlfunktion der Automatisierungseinrichtung schneller behoben werden kann. Es ist aber auch möglich, dass der Token ein String ist, in dem die Information mittels eines Algorithmus enkodiert ist und die Information auf dem ersten Endgerät dadurch erhalten wird, das der String mit einem entsprechenden Algorithmus dekodiert wird.In a further preferred embodiment of the method according to the invention, the token is at least one of a barcode, a QR code, a string, a single- or multi-color graphic code, or a numerical value. The token can also be any combination of the aforementioned. A bar code, a QR code, a graphic code or any code from which the information contained in the token does not directly show the advantage that the user can not modify it so that individual information can be changed. For example, if the authorization level were directly apparent from the token, a user could set it to a higher level than provided by the second terminal. Otherwise, since such a token may otherwise satisfy the requirements of the validity of the token, the first terminal would set the permission level corresponding to the changed information. This can be prevented if the information contained in the token is not directly recognizable. A QR code, bar code, or graphic code further has the advantage that it can be easily communicated to the user, for example by a short message and the user can enter this via a reader on the first terminal. This is not only easy for the user, but also prevents unnecessary errors in the input, thereby saving time and eliminating the malfunction of the automation device more quickly. However, it is also possible that the token is a string in which the information is encoded by means of an algorithm and the information on the first terminal is obtained by decoding the string with a corresponding algorithm.
Die oben genannte Aufgabe zum Erhalten von temporären Zugriff auf eine Automatisierungseinrichtung wird auf einem ersten Endgerät, welches über eine erste Verbindung mit der Automatisierungseinrichtung verbunden ist dadurch gelöst, dass ein Token an dem ersten Endgerät eingegeben wird, wobei der Token erzeugt wurde von einem zweiten Endgerät, welches separat von der Automatisierungseinrichtung ist, und dass der eingegeben Token zumindest eine Information für den temporären Zugriff auf die Automatisierungseinrichtung enthält.The above-mentioned object for obtaining temporary access to an automation device is achieved on a first terminal, which is connected via a first connection to the automation device, by entering a token at the first terminal, the token being generated by a second terminal which is separate from the automation device, and that the input token contains at least information for the temporary access to the automation device.
Des Weiteren wird die Aufgabe gelöst durch ein erstes Endgerät, welches verbunden ist über eine erste Verbindung mit einer Automatisierungseinrichtung und welches ein Mittel zum Eingeben eines Tokens aufweist, wobei der Token erzeugt wurde von einem zweiten Endgerät, welches separat von der Automatisierungseinrichtung ist, und dass der eingegeben Token zumindest eine Information für den temporären Zugriff auf die Automatisierungseinrichtung enthält.Furthermore, the object is achieved by a first terminal, which is connected via a first connection to an automation device and which has a means for inputting a token, wherein the token was generated by a second terminal, which is separate from the automation device, and the entered token contains at least information for the temporary access to the automation device.
Des Weiteren wird die oben genannte Aufgabe auf der Seite eines zweiten Endgerätes, welches separat ist von einer mit einem ersten Endgerät über eine erste Verbindung verbundenen Automatisierungseinrichtung dadurch gelöst, dass eine Zugriffsanfrage erhalten wird über eine zweite Verbindung, die separat zu der ersten Verbindung ist und durch Erzeugen eines Tokens basierend auf der Zugriffsanfrage, wobei der Token zumindest eine Information enthält, die temporären Zugriff auf die Automatisierungseinrichtung erlaubt und durch Übermitteln des erzeugten Tokens von dem zweiten Endgerät an einen Benutzer der Automatisierungseinrichtung über die zweite Verbindung oder eine dritte Verbindung separat von der ersten und zweiten Verbindung.Furthermore, the above object is on the side of a second terminal, which is separately from an automation device connected to a first terminal via a first connection, in that an access request is obtained via a second connection that is separate from the first connection and by generating a token based on the access request, wherein the token is at least one Containing information that allows temporary access to the automation device and by transmitting the generated token from the second terminal to a user of the automation device via the second connection or a third connection separately from the first and second connection.
Die Aufgabe wird auch gelöst durch ein zweites Endgerät, wobei das zweite Endgerät separat ist von einer mit einem ersten Endgerät über eine erste Verbindung verbundenen Automatisierungseinrichtung wobei das zweite Endgerät ein Mittel zum Erhalten einer Zugriffsanfrage aufweist, wobei die Zugriffsanfrage übermittelt wird über eine zweite Verbindung die separat zu der ersten Verbindung ist und mit einem Mittel zum Erzeugen eines Tokens basierend auf der Zugriffsanfrage, wobei der Token zumindest eine Information enthält, die temporären Zugriff auf die Automatisierungseinrichtung erlaubt und einem Mittel zum Übermitteln des erzeugten Tokens an einen Benutzer der Automatisierungseinrichtung über die zweite Verbindung oder eine dritte Verbindung separat von der ersten und zweiten Verbindung.The object is also achieved by a second terminal, the second terminal being separate from an automation device connected to a first terminal via a first connection, the second terminal having means for obtaining an access request, the access request being transmitted via a second connection separate from the first connection and having means for generating a token based on the access request, the token including at least information permitting temporary access to the automation device and means for communicating the generated token to a user of the automation device via the second Connection or a third connection separately from the first and second connection.
Die Aufgabe wird auch gelöst durch ein computerlesbares Medium verkörpernd Instruktionen, die einen Computer dazu veranlassen zumindest eins der oben genannten Verfahren auszuführen.The object is also solved by a computer-readable medium embodying instructions that cause a computer to perform at least one of the above-mentioned methods.
4. Kurze Beschreibung der Zeichnungen4. Brief description of the drawings
Ausführungsbeispiele der Erfindung sind nachfolgend anhand der Zeichnungen näher erläutert. Dabei zeigt:Embodiments of the invention are explained below with reference to the drawings. Showing:
5. Beschreibung bevorzugter Ausführungsbeispiele5. Description of preferred embodiments
Des Weiteren ist in
Tritt bei der Automatisierungseinrichtung
BezugszeichenlisteLIST OF REFERENCE NUMBERS
- 1111
- Automatisierungseinrichtungautomation equipment
- 1212
- erstes Endgerätfirst terminal
- 1313
- zweites Endgerätsecond terminal
- 1414
- Benutzeruser
- 1515
- Zugriffsanfrageaccess request
- 1616
- Tokentoken
- 1717
- Bussystembus system
- 1818
- Komponente der Automatisierungseinrichtung (z. B. Sensor)Component of the automation device (eg sensor)
- 18'18 '
- Komponente der Automatisierungseinrichtung (z. B. Aktuator)Component of the automation device (eg actuator)
- 18''18 ''
- Komponente der Automatisierungseinrichtung (z. B. Aktuator)Component of the automation device (eg actuator)
- 2020
- Tokentoken
- 2121
- ErstellungsdatumCreation Date
- 2222
- Zeitdauer in MinutenTime in minutes
- 2323
- Berechtigungsstufepermission level
- 2424
- Erstellungskennungcreation identifier
- 2525
- System IDSystem ID
- 2626
- Prüfsummechecksum
- 31–3831-38
- Verfahrensschrittesteps
- 41–4341-43
- Verfahrensschrittesteps
- 51–5351-53
- Verfahrensschrittesteps
Claims (15)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102014008654.2A DE102014008654A1 (en) | 2014-06-13 | 2014-06-13 | Temporary permission |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102014008654.2A DE102014008654A1 (en) | 2014-06-13 | 2014-06-13 | Temporary permission |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| DE102014008654A1 true DE102014008654A1 (en) | 2015-12-17 |
Family
ID=54706042
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE102014008654.2A Withdrawn DE102014008654A1 (en) | 2014-06-13 | 2014-06-13 | Temporary permission |
Country Status (1)
| Country | Link |
|---|---|
| DE (1) | DE102014008654A1 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112311756A (en) * | 2019-07-24 | 2021-02-02 | 罗伯特·博世有限公司 | Method for configuring an automation system for insurance |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120068818A1 (en) * | 2009-04-03 | 2012-03-22 | Inventio Ag | Access control system |
| DE102012214018B3 (en) * | 2012-08-07 | 2014-02-13 | Siemens Aktiengesellschaft | Authorization of a user by a portable communication device |
-
2014
- 2014-06-13 DE DE102014008654.2A patent/DE102014008654A1/en not_active Withdrawn
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120068818A1 (en) * | 2009-04-03 | 2012-03-22 | Inventio Ag | Access control system |
| DE102012214018B3 (en) * | 2012-08-07 | 2014-02-13 | Siemens Aktiengesellschaft | Authorization of a user by a portable communication device |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112311756A (en) * | 2019-07-24 | 2021-02-02 | 罗伯特·博世有限公司 | Method for configuring an automation system for insurance |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3673623B1 (en) | Method and control system for controlling and/or supervising of devices | |
| EP3129888B2 (en) | Transmission of data out of a secured storage | |
| DE102016110414A1 (en) | METHOD AND DEVICES FOR CONTROLLING THE COMMUNICATION OF END POINTS IN AN INDUSTRIAL BUSINESS SYSTEM BASED ON INTEGRITY | |
| EP3582033B1 (en) | Method for securely operating a field device | |
| EP3763089B1 (en) | Method and control system for controlling and/or supervising of devices | |
| EP3422628B1 (en) | Method, safety device and safety system | |
| DE102013111690A1 (en) | Method for providing limited access keys for field devices | |
| DE102014111361A1 (en) | Method for operating a safety control and automation network with such a safety control | |
| EP3412018B1 (en) | Method for exchanging messages between security-relevant devices | |
| EP2790078A1 (en) | Manipulation-proof control of a process and/or production and/or positioning installation | |
| EP3718263B1 (en) | Method and control system for controlling and/or supervising of devices | |
| WO2014044507A1 (en) | Method for the secure operation of a field device | |
| EP3078769B1 (en) | Method for releasing machine functions on a spinning machine | |
| EP3525390A1 (en) | Device and method for providing at least one secure cryptographic key for cryptographically protecting data initiated by a control device | |
| EP3191902B1 (en) | Method for accessing functions of an embedded device | |
| EP3723007B1 (en) | Method and control system for controlling an execution of transactions | |
| EP3151503B1 (en) | Method and system for authenticating a surrounding web application with an embedded web application | |
| EP2618226B1 (en) | Industrial automation system and method for its protection | |
| DE102014008654A1 (en) | Temporary permission | |
| DE102011081803A1 (en) | Method and system for providing device-specific property data for an automation device of an automation system | |
| DE102020112811B3 (en) | Method and system for authenticating at least one unit | |
| DE102019130067B4 (en) | Method for carrying out permission-dependent communication between at least one field device in automation technology and an operating device | |
| EP2446599B1 (en) | Data transmission between automation devices secured against manipulation | |
| WO2014206451A1 (en) | Method and device for secure transmission of signal data in a system | |
| EP3306514B1 (en) | Method and device for certification of a safety critical function chain |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| R012 | Request for examination validly filed | ||
| R082 | Change of representative |
Representative=s name: HOHGARDT, MARTIN, DIPL.-ING. UNIV., DE |
|
| R016 | Response to examination communication | ||
| R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |