WO2007036178A1 - Verfahren zum ausführen einer geschützten funktion eines elektrischen feldgerätes und elektrisches feldgerät - Google Patents

Verfahren zum ausführen einer geschützten funktion eines elektrischen feldgerätes und elektrisches feldgerät Download PDF

Info

Publication number
WO2007036178A1
WO2007036178A1 PCT/DE2005/001751 DE2005001751W WO2007036178A1 WO 2007036178 A1 WO2007036178 A1 WO 2007036178A1 DE 2005001751 W DE2005001751 W DE 2005001751W WO 2007036178 A1 WO2007036178 A1 WO 2007036178A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
sender
field device
electric field
identification
Prior art date
Application number
PCT/DE2005/001751
Other languages
English (en)
French (fr)
Inventor
Andreas Jurisch
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to EP05792491A priority Critical patent/EP1932066A1/de
Priority to DE112005003771T priority patent/DE112005003771A5/de
Priority to PCT/DE2005/001751 priority patent/WO2007036178A1/de
Priority to US12/088,600 priority patent/US8132240B2/en
Priority to CNA200580051953XA priority patent/CN101297247A/zh
Publication of WO2007036178A1 publication Critical patent/WO2007036178A1/de

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24167Encryption, password, user access privileges
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25428Field device

Definitions

  • Electric field devices are used today in many areas of automation technology.
  • electric field devices can be used, for example, for monitoring and controlling chemical and process engineering processes, industrial manufacturing processes or else processes for transmitting and / or distributing electrical energy in electrical power supply networks.
  • the electric field devices are in the vicinity of the process to be automated, where they record the process-describing measured values or issue commands for controlling process components.
  • a field device in an electrical energy supply network can record current and voltage measurement values which indicate the instantaneous state of the electrical energy supply network. Furthermore, the electric field device may issue control commands, such as a command to open or close a circuit breaker in the electric power grid.
  • electric field devices typically include an input device, such as a keypad, and a display device, such as a keyboard. As a display, on. All functions can be called up directly on the electric field device via the input device. For the safety of the automated process, relevant functions can usually only be performed after entering a corresponding password.
  • the field devices also have on their front side as a data interface to a so-called control interface in the form of a serial connector.
  • An external computer can be connected to this user interface via a serial data transmission cable, on which operating, monitoring and / or parameterizing software runs. With the help of this software settings can be made and changed in the device and the operation and observation of the device can be performed.
  • the devices can also be equipped with a data interface in the form of an Ethernet interface, which enables a network connection of the device.
  • a data interface in the form of an Ethernet interface, which enables a network connection of the device.
  • the control of protected functions of the electric field device is blocked by default via the Ethernet interface, but can also be approved by the user of the field device (see page 12 of the system description).
  • the object of the present invention is to provide a method for performing a protected function of an electric field device and an electric field device, wherein, regardless of the type of communication Connection with the electric Peld réelle a high safety standard against unwanted access is guaranteed.
  • this object is achieved according to the invention by a method for carrying out a protected function of an electric Peld device, in which the following steps are carried out: command data is received from the electric field device indicating a function call to perform a protected function of the electric field device; from an identification device of the electric field device, sender characterization data characterizing the respective sender of the command data is determined and added to the command data; a safety device receives the instruction data extended by the sender characterization data and then checks whether they allow execution of the protected function of the electric field device specified by the instruction data, whereby the instruction data is transmitted to the protected function and this is carried out with existing permission and in the absence of permission, an execution of the protected function is denied.
  • the essential advantage of the method according to the invention is that a verification of the authorization of the broadcaster can be carried out independently of the type of access to the electric field device. This is achieved by virtue of the field device having an identification device which subjects all command data to a sender identity determination, regardless of the way in which they have reached the field device. This means that independent sender characterization data is determined from the interface-specific or protocol-specific command data from the data interface. In interaction with the safety device of the electric field device, the on the basis of the sender identification made by the identification device either permits or blocks execution of the protected function of the electric field device, high security of the field device against unauthorized access to its protected functions can be achieved.
  • An advantageous embodiment of the method according to the invention consists in that, for determining the sender characterization data from the identification device, sender-specific data associated with the command data is transferred to an identity database, sender characterization data corresponding to the sender-specific data is determined by the identity database, and the determined sender characterization data are sent to the identity data bank Identification device to be returned.
  • sender-specific data are those data which are transmitted with the command data to the electric field device and which allow in some way a conclusion to the sender of the command data.
  • the sender of the command data can be determined.
  • the user of the field device can easily make changes in the identity database in order to include information about new senders in the database or to enable or block certain protected individual functions.
  • an advantageous further development provides that a type of user of the sender specifying type data from the identity database is determined on the basis of the sender-specific data and these are returned to the identification device as sender characterization data, and the safety device uses this type of data to verify the sender's permission to perform the secured function.
  • Type data in this context is data that does not specify the individual, concrete sender, but rather a group or a type assigned to it. By reading type data from the identity database, therefore, it is not necessary to determine the specific sender himself. Rather, it is sufficient if the sender is merely assigned to a group as a general rule, since usually certain groups of persons who access the electric field device have matching access rights within their group. For example, it is sufficient to identify the identity of the sender as "parameterization personnel" in order to release the functions required for the parameterization for the sender.
  • An alternative development for this provides that from the identity database using the sender-specific data, a user type of the sender specifying type data are determined by the identity database based on the type data the user type of the sender corresponding access rights data and returned as sender characterization data to the identification device, and of the Security device is checked on the basis of this access rights data, the sender's permission to perform the secure function.
  • the security device does not have to make an assignment of the type data to corresponding access right data, since this takes over the identity database.
  • Role data in this context should be regarded as such data indicating a task.
  • an intermediate layer which contains role data corresponding to the type data, is created between the type data and the access right data, as it were.
  • the roles "Parameterize” and "Execute Device Test” can be assigned to the type "Parameterization personnel.”
  • the insertion of this intermediate layer can ultimately result in a more convenient parameterization of the identity database since the role data is stored as preset task areas can already be linked to the matching access rights data by the manufacturer and only the desired type data must be linked to corresponding role data by the operator of the field device for commissioning only comparatively few settings have to be made in the identity database.
  • the method is specified in that, in the case of a session-less communication connection between the sender and the electric field device, the sender-specific data indicating a sender-data processing device and from the identity database (4) the sender characterization data are assigned to the identification data.
  • the sender-specific data contain identification data characterizing the sender data processing device.
  • the identity database can check whether the sender data processing device is trusted and to which user type the sender data processing device is assigned. Thus, without great effort, an identification of the sender data processing device take place.
  • the identification data may consist of a MAC address of the sender data processing device.
  • the identity database uses the MAC address to identify the slot type of the sender.
  • the sender-specific data contain key data of the sender and the sender characterization data are assigned to the key data from the identity database.
  • Key data in this context is data that includes a coding key, as used for example for electronic encryption.
  • the identity database can easily be used in a session-based communication connection according to, for example, For example, the https protocol (Hyper Text Transfer Protocol Secure) uses key data, such as the sender's public key, to identify the sender.
  • HTTP Hyper Text Transfer Protocol Secure
  • Key data is transferred from the USB stick to the identification device.
  • the field device is operated via the local keypad of the field device, only the sender identification is made on the basis of the key on the USB stick.
  • the sender-specific data contain password data entered by the sender. In this way, an identification of a user working directly on the device can be made in a simple manner.
  • an electric field device having at least one data interface via which a communication link for transmitting command data for executing a secure Function of the electric field device is produced, solved, in which the data interface an identification device is in communication, wherein the identification means is adapted such that it adds a sender of the command data indicating sender characterization data to the command data received from the interface, and with the identification means a safety device in .
  • Connection stands, wherein the safety device is designed such that it checks the extended by the transmitters Abender malfunctionmaschineschal command data on a permission to perform the secure function of the electric field device, and only with an existing permission to perform the secure function allows.
  • an advantageous embodiment of the electric field device according to the invention is given by the fact that the identification device has an identity database which is designed such that it determines the sender characterization data on the basis of sender-specific data contained in the command data.
  • identity database By providing the identity database, a comparatively flexible and simple adaptation of the identification device to the conditions at the operator of the electric field device can be carried out.
  • a further advantageous embodiment of the electric field device according to the invention finally provides that the data interface is an Ethernet interface, a USB interface or a serial interface.
  • These data interfaces can, for. B. after a so-called Master-slave protocol, a point-to-point protocol (PPP) or a network-capable protocol (IP-based protocol) work.
  • PPP point-to-point protocol
  • IP-based protocol network-capable protocol
  • FIG. 1 shows a schematic block diagram of an electric field device
  • FIG. 2 shows a first exemplary embodiment of an identity database
  • FIG. 3 shows a second exemplary embodiment of an identity database
  • FIG. 4 shows a schematic process flow diagram for explaining an identification of a sender in the case of a session-based communication connection.
  • the electric field device 1 shows a schematic representation of a block diagram of an electric field device 1.
  • the electric field device 1 can, for. B. be part of an automation system for controlling and regulating the distribution of electrical energy in a power grid.
  • the field device 1 has data interfaces 2 a to 2 e, the data interface 2 a representing a so-called human-machine interface ("HMI"), ie an input device provided locally on the electric field device such as a keypad and
  • HMI human-machine interface
  • the data interfaces 2a-2e contain not only the pure physical interface, but also the information technology data connection, such as the data abstraction levels assigned to the respective data interface up to layer 4 of the data interface well-known OSI Layer Modules ("Open Systems Interconnection Reference Model").
  • the data interface 2b is shown in FIG. 1 as a serial interface to which a serial data transmission line can be connected.
  • USB universal serial bus
  • further devices such as a laptop
  • the USB interface is designed for a significantly higher data transfer rate than the serial interface, which works according to the RS 232 standard, for example.
  • passive data memories such as a USB stick, can also be connected to the electric field device via the USB interface.
  • the data interface 2d represents a data connection for connecting a modem, such a modem allowing remote access to the electric field device.
  • the data interface 2d can be designed as any electrical communication interface that allows the connection of a modem.
  • the data interface 2d can also be a serial interface or a USB interface.
  • the data interface 2e finally represents an Ethernet interface through which the electric field device can be integrated into a data network according to the Ethernet standard. This makes it possible for the electric field device, for example, with a company intranet or even the home ternet to connect.
  • the electric field device 1 can also be integrated via the Ethernet interface 2e into a field device network, for example in accordance with the international standard IEC 61850.
  • the electric field device furthermore has an identification device 3, which is connected to an identity database 4.
  • the identification device 3 is also connected to a safety device 5.
  • the safety device 5 is followed by a highly-schematic representation of different device function blocks 6a to 6g.
  • These function blocks 6a to 6g represent basic functions of the electric field device 1, for example a reading function of set electrical parameters in the electric field device 1 or a switching function for opening or closing a circuit breaker connected to the electric field device.
  • the identification device 3, the identity database 4, the safety device 5 and the device function blocks 6a to 6g will not be present as separate electrical components in the electric field device 1, but rather be designed as program modules of a device software.
  • the interaction of the identification device 3, the identity database 4 and the security device 5 ensures that protected functions of the electric field device 1, independently of the electrical data interface 2a to 2e, via which a user establishes a communication link with the electric field device 1, only by authorized users can be executed.
  • This will be explained below with reference to the five data interfaces exemplified in FIG.
  • a method for performing a protected function of the electric field device 1 is considered when the user of the electric field device accesses the electric field device via the local input device, that is, via the data interface 2a.
  • the user uses a provided on the electric field device keypad and a display to call various functions of the electric field device.
  • function menus These functions are usually arranged for easier clarity in so-called function menus, as they are known today from a wide variety of application programs in the computer sector.
  • the user can navigate with the aid of the keypad through the function menu displayed on the display of the electric field device and select functions of the electric field device to be executed.
  • a protected function of the electric field device such as opening an electrical power switch
  • the electric field device prompts him to enter a password authorizing him to perform this protected function.
  • the user inputs via the keypad the corresponding password which is added to the command data indicating the function call of the protected function of the electric field device as sender-specific data.
  • the identification device receives the command data with the sender-specific data in the form of the password data and transfers this password data to the identity database 5.
  • the identity database 5 uses the password data to determine sender characterization data that identifies the sender of the command data, that is, on the keypad of the electrical system Field device user, sign. This sender characterization data is returned to the identification device 3.
  • the identification device 3 appends the sender characterization data to the command data for invoking the protected function of the electrical Field device 1 and transmits this record to the safety device 5.
  • the safety device 5 checks whether the sender characterization data transmitted with the command data allow the desired protected function of the electric field device 1 to be executed, in this case whether the device operating on the electric field device User is authorized to open the circuit breaker.
  • the safety device 5 determines a positive result, ie the user is authorized to execute the protected function, then it transmits the function call to the corresponding function module with the desired protected function of the electric field device 1, for example the function block 6d. Then the corresponding function of the electric field device 1 is executed.
  • the security device 5 determines that the sender characterization data do not permit the desired protected function of the electric field device 1 to be carried out, ie the user is not authorized to execute the protected function of the electric field device 1, then it refuses to carry out the desired protected function of the electric field device 1 electric field device 1. In this case, the circuit breaker is therefore not opened via the function block 6d.
  • a communication connection is established via the serial data interface 2b between the user of the electric field device 1 and the electric field device 1.
  • a serial data cable can be connected to the serial interface 2b, which is connected at its other end to an external data processing device, for example a laptop.
  • the user no longer enters function calls locally on the electric field device 1 via the keypad but instead uses the function via the serial data Interface 2b connected laptop.
  • it can transmit a function call via the laptop to the electric field device with which certain safety-relevant parameters of the electric field device are to be changed.
  • the process would be similar to the one described above for the local data interface.
  • the user on the laptop would in turn be prompted for a passphrase to identify his identity.
  • a check can then take place with the safety device 5 as to whether the user is authorized to execute the desired protected function of the electric field device 1, in this case to change the safety-relevant parameters of the electric field device 1. Only if the check result is positive, the corresponding function is executed and the parameter settings of the device are changed.
  • a laptop in the case of electric field devices which have a USB interface could also be connected to the electric field device via the USB interface 2c and transmit the function call for executing the protected function of the electric field device via this.
  • the method would run in principle as well as described to the serial interface.
  • USB interface 2c to the electric field device 1
  • the user with the electric field device via the local data interface, so the keypad and the display, establishes a communication connection, but in addition a passive data storage module, such as a USB stick, via the USB interface with the electric field device connects.
  • the USB stick can contain key data as sender-specific data instead of the Password data to the identification device 3 are transmitted.
  • the identification device 3 in interaction with the identity database 4, can determine the identity of the sender.
  • the identity database 4 would thus use the sender-specific data in the form of the key data to determine sender characterization data for identifying the sender of the command data and to transmit these together with the command data to the security device 5. This in turn checks whether the sender characterization data authorize execution of the desired protected function of the electric field device 1.
  • a modem Via the data interface 2d, a modem can be connected to the electric field device 1, via which a remote access to the electric field device 1 is made possible.
  • a remote access can in principle be similar to a local access to the electric field device 1 via the serial data interface 2b or via the USB interface 2c.
  • password data or key data would in turn be transmitted to the identification device 3 as sender-specific data.
  • identification data which characterize a sender data processing device can also be transmitted to the identification device 3 as user-specific data.
  • Ethernet data interface 2e of the electric field device 1 A remote access to the electric field device 1 will usually take place via the Ethernet data interface 2e. However, it is also possible to use a sender data processing direction via a comparatively short Ethernet communication cable to connect locally with the electric field device.
  • a sender data processing direction via a comparatively short Ethernet communication cable to connect locally with the electric field device.
  • sessionless means that no fixed communication channel is established between the sender of the command data and the receiver, ie the electric field device
  • the command data is packaged, so to speak, in an envelope addressed to an addressee, in this case the electric field device, for example, the addressee is specified via a so-called IP address or a MAC address of the receiving device
  • sender-specific data is provided in the form of identification data identifying the sender of the command data in the envelope
  • this identification data may be a MAC address of the sender data processing specify the device.
  • the identification device 3 and the identity database 4 can determine the identity of the sender or the identity of the sender data processing device. If the sender data processing device is classified as trustworthy (this would be the case, for example, if the sender data processing device is one in the identity).
  • a session-based communication connection a fixed communication channel is established between the sender and the electric field device 1. This is comparable, for example, to a telephone call between two communication partners via an analog telephone line Command data transmit sender-specific data in the form of key data, on the basis of which the identity database 4 can determine the sender characterization data for identifying the sender
  • the further procedure proceeds as described for the other data interfaces 2a to 2d.
  • FIG. 2 shows a schematic representation of the identity database 4.
  • the sender-specific data is transmitted from the identification device 3 to the identity database 4.
  • the identity database 4 receives the sender-specific data.
  • the identity database 4 determines the sender indicated by the sender-specific data. This can lead to a person-specific identification of the sender. In such a case, an entry in the identity database 4 must be provided for each possible user of the electric field device 1, and each possible user of the electric field device must have his own sender-specific data.
  • a user type can mean "parameterizing personnel" of the electric field device.
  • all users who are normally allowed to undertake parameterizing tasks of the electric field device would be assigned to the user type "parameterizing personnel”.
  • Other ways of user types include “reading personnel” which may see while readings and settings of the electrical field device, but they can not change, and "In jos für episperso- nal n, may change the all settings on the electric field device, but no switching operations with the electric It is sufficient if all persons belonging to a user type transmit the same sender-specific data to the electric field device with the command data and only to a single user
  • Entries in the identity database 4 the user type of the sender is determined. A more precise identification of the sender is - as mentioned above - not necessary. As a result, in particular, the commissioning phase of the electrical Field device considerably shortened, since significantly fewer entries in the identity database 4 must be made.
  • type data which indicates the user type of the sender would be assigned to the sender-specific data arriving via the data input port 21 on the basis of the first assignment table 22.
  • the identity database assigns to this type data according to a second allocation table 23 the access right data permitted for this user type.
  • the access rights data in each case indicate those device functions of the electric field device 1 which the respective user type is permitted to carry out.
  • the user type "Parametrierpersonal ⁇ access rights should be assigned, the device functions such as” read device parameters "," change device parameters ",” storage of device parameters ",” testing device parameters "correspond.
  • a user type "operating personnel” would be provided access rights data for the device functions, "perform switching operation (opening) on the circuit breaker” and “perform switching operation (closing) on the circuit breaker".
  • the access rights data determined in accordance with the second allocation table 23 are returned to the identification device 3 via a data output port 24 along the arrow 25.
  • the security device 5 which is connected downstream of the identification device 3, can carry out the verification with respect to the authorization for carrying out the protected function.
  • FIG. 3 shows a possibility, alternative to FIG. 2, of how the sender characterization data can be determined with the identity database.
  • FIG. 3 essentially corresponds to FIG. 2. Therefore, the matching components of FIGS. 2 and 3 are also identified by the same reference numerals.
  • the sender-specific data are transmitted from the identification device 3 along the arrow 20 to the identity database 4. These are received by the identity database 4 with the input data port 21.
  • the sender-specific data is assigned the user type of the sender indicating type data.
  • Role data indicates the user roles commonly represented by the corresponding user type.
  • the role data indicates the task areas usually to be performed by the corresponding user type.
  • the task types "Parameterization” and “Testing” can be assigned to the user type "Parameterization personnel.”
  • the user type "Operator” would be assigned the role data “Execute switching action” and "Read measured values”.
  • the fine granulated access right data are first assigned to this thus determined roller data on the basis of the second allocation table 23.
  • the role data “perform switching operation” would be, for example, the access rights data.
  • the access rights data determined in this way are transmitted to the identification device 3 as sender characterization data analogously to FIG. 2 via the data output port 24 of the identity database 4.
  • the advantage of the exemplary embodiment according to FIG. 3 lies in the fact that the manufacturer of the electric field device can already largely preconfigure the identity database 4. For example, corresponding access rights data can already be assigned to all device functions, which in turn are subdivided into corresponding task areas on the basis of the second assignment table 23 and thus assigned to the corresponding role data. Ultimately only corresponding user types must be agreed with the operator of the electric field device, and appropriate role data must be assigned to these user types in accordance with the intermediate assignment table 26. As a result, the configuration phase is shortened noticeably at the operator of the electric field device. Since such configuration phases are usually associated with a very large outlay, the manufacturer's preconfiguration can save considerable costs.
  • certificates which enable a signature of the command data.
  • the X.509 certificate known from electronic encryption technology can be used in the currently current version 3 or a higher version.
  • the certificate contains three in this case Key: a key pair of the user, consisting of a user's public key also known to the field device and a private key of the user known only to the user and a public certificate key for indicating the authenticity of the certificate.
  • the electric field device checks on the basis of a public certificate key, which is transmitted with the command data, whether it has been issued by the same certification authority provided in the electric field device certificate.
  • a public certificate key On the basis of this public certificate key, it is checked whether the sender has been certified by the certification authority specified for the field device 1 (or an entire automation system, of which field device 1 is a component), that is, to be classified as trustworthy. If the sender has been recognized as trustworthy, it is checked whether the sender is actually identical to the certificate holder.
  • the public key of the certificate assigned to the sender is used. For this, the sender requires the private certificate key for the certificate which is only accessible to the certificate holder. The sender is therefore requested to enter any text, eg. For example, a random string to sign with its private certificate key. The validity of this signature can then be checked with the public key of the certificate.
  • FIG. 4 To securely identify the sender of the command data and to form a secure communication channel, the method illustrated in FIG. 4 is performed.
  • a first box 41 the operations in the electrical Field device and a second box 42, the operations on the part of the sender data processing device to the user of the electric field device.
  • a first step 43 is in this case of the electric
  • Field device generates a random string RND and encrypted with a public key of the user of the field device. This is done in step 44.
  • the encrypted random string RND is present in the electric field device. It is, as indicated by the arrow 46, transmitted to the sender data processing device.
  • the encrypted random string is present on the user's sender's data processing device and is used in step 48 by means of the private associated with the public key of the electrical user
  • step 51 Entering the code string or PIN (personal identity number) activates the use of the user's private key, so to speak.
  • step 49 the now decrypted random string RND is present in the sender data processing device.
  • step 50 This is now re-encrypted in step 50 with the aid of the public key of the electric field device, which has been known to the user or transmitted, for example, with the command data.
  • the random string RND is re-encrypted at step 52 on the sender computing device.
  • step 53 this re-encrypted random string RND is transmitted back to the electric field device and is present in step 54 on the electric field device.
  • step 55 the random string is decrypted using the private key of the field device.
  • step 56 the random string is again present in decrypted form on the electric field device in step 56 and can be compared with the output random string according to step 43. If both random strings match, then the sender has been uniquely identified and a secure communication connection between the electric field device and the user has been established. To encrypt the data exchanged between the sender and the electric field device, the random string can be used.
  • the electric field device has now determined based on the public certificate key of the user, which is transmitted with the command data, the identity of the user and verified by means of the downstream verification by means of the random string.
  • the further process is analogous to the procedure described above.
  • the certificate with the corresponding keys of the user can also be present, for example, on a USB stick of the user instead of on a sender data processing device, which is connected to the electric field device via the USB interface.
  • the user would establish a communication connection with the electric field device via the local input device and the display on the electric field device.
  • the electric field device would query the certificate on the USB stick and, as it were, between the electric field device and the user using the zeros stored on the USB stick. Certificates are established analogous to the illustrated in Figure 4 and explained above method a secure communication connection.
  • the PIN entry for activating the private key according to step 51 would in this case also be made directly by the user via the input keyboard on the electric field device. This has the advantage that the user does not have to remember different password data, but only the coding string or PIN belonging to the corresponding USB stick.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Small-Scale Networks (AREA)
  • Storage Device Security (AREA)

Abstract

Um ein Verfahren zum Ausführen einer geschützten Funktion eines elektrischen Feldgerätes (1) derart auszugestalten, dass unabhängig von der Art der Kommunikationsverbindung zwischen einem Benutzer und dem elektrischen Feldgerät eine hohe Sicherheit gegen unbefugte Zugriffe auf das elektrische Feldgerät (1) gewährleistet werden kann, wird mit Hilfe einer Identifizierungseinrichtung (3) des elektrischen Feldgerätes (1) und einer Sicherheitseinrichtung (5) überprüft, ob eine Ausführung einer angegebenen geschützten Funktion des elektrischen. Feldgerätes (1) erlaubt oder verweigert wird. Die Erfindung betrifft auch ein entsprechend eingerichtetes elektrisches Feldgerät.

Description

Beschreibung
Verfahren zum Ausführen einer geschützten Funktion eines elektrischen Feldgerätes und elektrisches Feldgerät
Elektrische Feldgeräte werden heutzutage in vielen Bereichen der Automatisierungstechnik eingesetzt. So können elektrische Feldgeräte beispielsweise zur Überwachung und Steuerung von chemischen und verfahrenstechnischen Prozessen, von indus- triellen Fertigungsprozessen oder auch von Prozessen zur Übertragung und/oder Verteilung elektrischer Energie in elektrischen Energieversorgungsnetzen verwendet werden. Normalerweise befinden sich die elektrischen Feldgeräte hierbei in der Nähe des zu automatisierenden Prozesses und nehmen dort den Prozess beschreibende Messwerte auf bzw. geben Befehle zur Steuerung von Prozesskomponenten ab.
So kann beispielsweise ein Feldgerät in einem elektrischen Energieversorgungsnetz Strom- und Spannungsmesswerte aufneh- men, die den momentanen Zustand des elektrischen Energieversorgungsnetzes angeben. Weiterhin kann das elektrische Feldgerät Steuerbefehle, wie beispielsweise einen Befehl zum Öffnen oder Schließen eines Leistungsschalters in dem elektrischen Energieversorgungsnetz, abgeben.
Normalerweise sind solche Feldgeräte vor unbefugtem Zugriff zu schützen. Dazu sind sie beispielsweise in entsprechend gesicherten Bereichen angeordnet, zu denen nur entsprechendes Personal Zugang hat. Solche gesicherten Bereiche können bei- spielsweise durch Türen oder Absperrungen geschützt sein; häufig findet auch eine Kameraüberwachung statt, um unerlaubten Fremdzugriff auf die Feldgeräte möglichst schnell erkennen bzw. verhindern zu können. Zur Bedienung weisen elektrische Feldgeräte üblicherweise eine Eingabevorrichtung, wie beispielsweise ein Tastenfeld, und eine Anzeigevorrichtung, wie z. B. ein Display, auf. Über die Eingabevorrichtung können alle Funktionen direkt am elektrischen Feldgerät aufgerufen werden. Für die Sicherheit des automatisierten Prozesses relevante Funktionen können hierbei üblicherweise nur nach Eingabe eines entsprechenden Passwortes ausgeführt werden. Innerhalb der letzten Jahre wurden zur Vereinfachung der Bedienung von Feldgeräten Datenschnittstellen an diesen vorgesehen, mit denen eine Bedienung und/oder Beobachtung der Feldgeräte lokal oder aus der Ferne möglich ist. Üblich ist hierbei z. B. das Vorsehen einer seriellen Schnittstelle als Datenschnittstelle am elektrischen Feldgerät, über die beispielsweise eine externe Datenverarbeitungseinrichtung, wie z.B. ein Parametrier-Laptop, angeschlossen werden kann, um Parameter-Einstellungen in dem elektrischen Feldgerät vorzunehmen.
Aufgrund dieser neuen Möglichkeit zur Bedienung von elektrischen Feldgeräten aus der Ferne ergeben sich jedoch stark veränderte Sicherheitsbedingungen. Während es bei älteren elektrischen Feldgeräten ohne die Möglichkeit einer Fernbedienung nämlich relativ einfach ist, den Zugriff auf das Feldgerät wie oben beschrieben beispielsweise durch bauliche Maßnahmen und entsprechende Überwachungen zu verhindern, ist bei der Bedienung eines mit einer entsprechenden Datenschnittstelle versehenen Feldgerätes aus der Ferne die Gefahr eines unerlaubten Fremdzugriffs deutlich erhöht. Diese Gefahr steigt durch die Einführung von netzwerkfähigen Ethernet-
Schnittstellen als Datenschnittstellen an den Feldgeräten nochmals deutlich an, da die Feldgeräte nunmehr über große, nicht vollkommen absicherbare Netzwerke, wie beispielsweise ein Intranet oder sogar das Internet, angebunden sein können. Aus der Systembeschreibung von SIPROTEC 4-Feldgeräten der Siemens AG, Ausgabe: 21.06.04, Bestellnr. E50417-H1100-C151- A6, gehen elektrische Feldgeräte hervor, die eine Eingabevor- richtung in Form eines Tastenfeldes und eine Anzeigevorrichtung in Form eines Diplays aufweisen (vgl. z. B. S. 20 - 21 der Systembeschreibung) . Über dass Tastenfeld können sämtliche Funktionen des elektrischen Feldgerätes aufgerufen werden. Zum Aufrufen geschützter Funktionen muss über das Einga- befeld ein entsprechendes Passwort eingegeben werden (vgl. z. B. S. 12 der Systembeschreibung) . Die Feldgeräte weisen ferner an ihrer Frontseite als Datenschnittstelle eine so genannte Bedienschnittstelle in Form einer seriellen Steckverbindung auf. An diese Bedienschnittstelle kann über ein se- rielles Datenübertragungskabel ein externer Computer angeschlossen werden, auf dem eine Bedien-/Beobachtungs- und/oder Parametriersoftware abläuft. Mit Hilfe dieser Software können Einstellungen in dem Gerät vorgenommen und geändert sowie die Bedienung und Beobachtung des Gerätes durchgeführt werden.
Wie außerdem aus der erwähnten Systembeschreibung hervorgeht, können die Geräte auch mit einer Datenschnittstelle in Form einer Ethernet-Schnittstelle ausgestattet sein, die eine Netzwerkanbindung des Gerätes ermöglicht. Die Ansteuerung von geschützten Funktionen des elektrischen Feldgerätes ist standardmäßig über die Ethernet-Schnittstelle gesperrt, kann aber über den Benutzer des Feldgerätes auch zugelassen werden (vgl. S. 12 der Systembeschreibung).
Die Aufgabe der vorliegenden Erfindung besteht darin, ein Verfahren zum Ausführen einer geschützten Funktion eines elektrischen Feldgerätes sowie ein elektrisches Feldgerät anzugeben, wobei unabhängig von der Art der Kommunikationsver- bindung mit dem elektrischen Peldgerät ein hoher Sicherheitsstandard gegen ungewollte Zugriffe gewährleistet wird.
Bezüglich des Verfahrens wird diese Aufgabe erfindungsgemäß durch ein Verfahren zum Ausführen einer geschützten Funktion eines elektrischen Peldgerätes gelöst, bei dem folgende Schritte durchgeführt werden: Von dem elektrischen Feldgerät werden Befehlsdaten empfangen, die einen Funktionsaufruf zum Ausführen einer geschützten Funktion des elektrischen Feldge- räts angeben; von einer Identifizierungseinrichtung des elektrischen Feldgerätes werden den jeweiligen Absender der Befehlsdaten charakterisierende Absendercharakterisierungsdaten ermittelt und an die Befehlsdaten angefügt; von einer Sicherheitseinrichtung werden die um die Absendercharakteri- sierungsdaten erweiterten Befehlsdaten empfangen und daraufhin überprüft, ob sie eine Ausführung der von den Befehlsdaten angegebenen geschützten Funktion des elektrischen Feldgerätes erlauben, wobei bei bestehender Erlaubnis die Befehlsdaten an die geschützte Funktion übermittelt werden und diese ausgeführt wird und bei fehlender Erlaubnis eine Ausführung der geschützten Funktion verweigert wird.
Der wesentliche Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass eine Überprüfung der Autorisierung des Ab- senders unabhängig von der Art des Zugriffs auf das elektrische Feldgerät durchgeführt werden kann. Dies wird dadurch erreicht, dass das Feldgerät eine Identifizierungseinrichtung aufweist, die sämtliche Befehlsdaten - unabhängig von der Art und Weise, wie sie zum Feldgerät gelangt sind - einer Absen- der-Identitätsermittlung unterzieht. Das bedeutet also, dass aus den schnittstellenspezifischen oder protokollspezifischen Befehlsdaten von der Datenschnittstelle unabhängige Absendercharakterisierungsdaten ermittelt werden. Im Zusammenspiel mit der Sicherheitseinrichtung des elektrischen Feldgerätes, die anhand der von der Identifizierungseinrichtung getroffenen Absenderidentifizierung ein Ausführen der geschützten Funktion des elektrischen Feldgerätes entweder zulässt oder sperrt, kann eine hohe Sicherheit des Feldgerätes gegen unbe- fugten Zugriff auf seine geschützten Funktionen erreicht werden.
Eine vorteilhafte Ausführungsform des erfindungsgemäßen Verfahrens besteht darin, dass zur Ermittlung der Absendercha- rakterisierungsdaten von der Identifizierungseinrichtung den Befehlsdaten zugeordnete, den Absender bezeichnende absenderspezifische Daten an eine Identitätsdatenbank übergeben werden, von der Identitätsdatenbank den absenderspezifischen Daten entsprechende Absendercharakterisierungsdaten ermittelt werden und die ermittelten Absendercharakterisierungsdaten an die Identifizierungseinrichtung zurückgegeben werden.
Absenderspezifische Daten sind in diesem Zusammenhang solche Daten, die mit den Befehlsdaten an das elektrische Feldgerät übermittelt werden und die in irgendeiner Weise einen Rück- schluss auf den Absender der Befehlsdaten zulassen. Auf diese Weise kann durch Abprüfung in der Identitätsdatenbank vorhandener Einträge in einfacher Weise der Absender der Befehlsdaten bestimmt werden. Ebenso kann der Benutzer des Feldgerätes auf einfache Weise Änderungen in der Identitätsdatenbank vornehmen, um so Informationen über neue Absender in die Datenbank aufzunehmen oder bestimmten Absendern einzelne geschützte Funktionen freizugeben oder zu sperren.
Eine vorteilhafte Weiterbildung sieht in diesem Zusammenhang vor, dass von der Identitätsdatenbank anhand der absenderspezifischen Daten einen Nutzertyp des Absenders angebende Typdaten ermittelt und diese als Absendercharakterisierungsdaten an die Identifizierungseinrichtung zurückgegeben werden und von der Sicherheitseinrichtung anhand dieser Typdaten die Erlaubnis des Absenders zur Ausführung der gesicherten Funktion überprüft wird.
Typdaten sind in diesem Zusammenhang solche Daten, die nicht den einzelnen, konkreten Absender angeben, sondern eine ihm zugeordnete Gruppe bzw. einen ihm zugeordneten Typ. Durch das Auslesen von Typdaten aus der Identitätsdatenbank muss also nicht der konkrete Absender selbst bestimmt werden. Es ist vielmehr ausreichend, wenn der Absender lediglich pauschal einer Gruppe zugeordnet wird, da üblicherweise bestimmte Gruppen von Personen, die auf das elektrische Feldgerät zugreifen, innerhalb ihrer Gruppe übereinstimmende Zugriffsrechte besitzen. So reicht es beispielsweise aus, die Identi- tat des Absenders als „Parametrierpersonal" zu erkennen, um die zur Parametrierung notwendigen Funktionen für den Absender freizugeben.
Eine alternative Weiterbildung dazu sieht vor, dass von der Identitätsdatenbank anhand der absenderspezifischen Daten einen Nutzertyp des Absenders angebende Typdaten ermittelt werden, von der Identitätsdatenbank anhand der Typdaten dem Nutzertyp des Absenders entsprechende Zugriffsrechtsdaten ermittelt und diese als Absendercharakterisierungsdaten an die Identifizierungseinrichtung zurückgegeben werden, und von der Sicherheitseinrichtung anhand dieser Zugriffsrechtsdaten die Erlaubnis des Absenders zur Ausführung der gesicherten Funktion überprüft wird.
In diesem Fall muss nicht die Sicherheitseinrichtung selbst eine Zuordnung der Typdaten zu entsprechenden Zugriffsrechtsdaten vornehmen, da dies die Identitätsdatenbank übernimmt. In diesem Zusammenhang wird es ferner als vorteilhafte Weiterbildung des erfindungsgemäßen Verfahrens angesehen, dass von der Identitätsdatenbank anhand der Typdaten zunächst eine Nutzerrolle des Absenders angebende Rollendaten ermittelt werden, von der Identitätsdatenbank anhand der ermittelten Rollendaten diesen zugeordnete Zugriffsrechtsdaten ermittelt werden und die ermittelten Zugriffsrechtsdaten als Absendercharakterisierungsdaten an die Identifizierungseinrichtung zurückgegeben werden.
Rollendaten sind in diesem Zusammenhang als solche Daten anzusehen, die einen Aufgabenbereich angeben. Durch das Vorsehen von Rollendaten wird zwischen den Typdaten und den Zugriffsrechtsdaten gleichsam eine Zwischenschicht geschaf- fen, die den Typdaten entsprechende Rollendaten enthält. Beispielsweise können so dem Typ „Parametrierpersonal" die Rollen „parametrieren" und „Gerätetest ausführen" zugeordnet werde. Den jeweiligen Rollendaten sind wiederum verschiedene Zugriffsrechtsdaten zugeordnet. Über das Einfügen dieser Zwi- schenschicht kann letztendlich eine bequemere Parametrierung der Identitätsdatenbank erfolgen, da die Rollendaten als voreingestellte Aufgabenbereiche bereits herstellerseitig mit den dazu passenden Zugriffsrechtsdaten verknüpft sein können und beim Betreiber des Feldgerätes zur Inbetriebnahme nur noch die gewünschten Typdaten mit entsprechenden Rollendaten verknüpft werden müssen. Hierzu müssen in der Identitätsdatenbank nur vergleichsweise wenige Einstellungen vorgenommen werden.
Eine weitere vorteilhafte Weiterbildung des erfindungsgemäßen
Verfahrens ist dadurch angegeben, dass bei einer sitzungslosen KommunikationsVerbindung zwischen dem Absender und dem elektrischen Feldgerät die absenderspezifischen Daten eine Absender-Datenverarbeitungseinrichtung angebende Kennzeich- nungsdaten enthalten und von der Identitätsdatenbank (4) den Kennzeichnungsdaten die Absendercharakterisierungsdaten zugeordnet werden.
Dies ist insbesondere bei Kommunikationsverbindungen über eine Ethernet-Schnittstelle mit einem sitzungslosen („session less") Kommunikationsprotokoll, wie beispielsweise dem im Internet gebräuchlichen „http" (Hyper Text Transfer Protocol) , von Vorteil . Hier enthalten die absenderspezifischen Daten Kennzeichnungsdaten, die die Absender-Datenverarbeitungseinrichtung charakterisieren. Anhand dieser Kennzeichnungsdaten kann die Identitätsdatenbank nachprüfen, ob der Absender-Datenverarbeitungseinrichtung vertraut wird und welchem Nutzertyp die Absender-Datenverarbeitungseinrichtung zugeordnet ist. So kann ohne großen Aufwand eine Identifizierung der Absender-Datenverarbeitungseinrichtung stattfinden. Beispielsweise können die Kennzeichnungsdaten aus einer MAC-Adresse der Absender-Datenverarbeitungseinrichtung bestehen. Die Identitätsdatenbank erkennt anhand der MAC-Adresse den Nut- zertyp des Absenders.
Alternativ dazu ist eine weitere vorteilhafte Ausführungsform dadurch gegeben, dass bei einer sitzungsbasierten Kommunikationsverbindung zwischen dem Absender und dem elektrischen Feldgerät die absenderspezifischen Daten Schlüsseldaten des Absenders enthalten und von der Identitätsdatenbank den Schlüsseldaten die Absendercharakterisierungsdaten zugeordnet werden .
Schlüsseldaten sind in diesem Zusammenhang Daten, die einen Codierschlüssel, wie er beispielsweise zur elektronischen Verschlüsselung eingesetzt wird, enthalten. Auf diese Weise kann die Identitätsdatenbank in einfacher Weise bei einer sitzungsbasierten Kommunikationsverbindung gemäß beispiels- weise dem https-Protokoll (hyper text transfer protocol se- cure) anhand von Schlüsseldaten, wie beispielsweise einem öffentlichen Schlüssel des Absenders, eine Identifizierung des Absenders vornehmen.
In diesem Zusammenhang wird es außerdem als vorteilhaft angesehen, wenn die Kommunikationsverbindung zwischen einem externen, passiven Datenspeichermodul und dem elektrischen Feldgerät hergestellt wird und die Schlüsseldaten von einem Speicherbereich auf dem externen, passiven Datenspeichermodul an die Identifizierungseinrichtung übertragen werden.
Auf diese Weise kann beispielsweise auch eine Kommunikations- verbindung zwischen einem USB-Stick als externem passivem Da- tenspeichermodul und dem Feldgerät hergestellt werden. Die
Schlüsseldaten werden hierbei von dem USB-Stick an die Identifizierungseinrichtung übertragen. Eine Bedienung des Feldgerätes erfolgt in diesem Fall über das lokale Tastenfeld des Feldgerätes, nur die Absendererkennung wird anhand des Schlüssels auf dem USB-Stick vorgenommen.
Gemäß einer weiteren alternativen Ausführungsform des erfindungsgemäßen Verfahrens kann ferner vorgesehen sein, dass bei einer mittels einer Eingabevorrichtung am Feldgerät aufgebau- ten Kommunikationsverbindung zwischen dem Absender und dem Feldgerät die absenderspezifischen Daten von dem Absender eingegebene Passwortdaten enthalten. Auf diese Weise kann in einfacher Weise auch eine Identifizierung eines direkt am Gerät arbeitenden Benutzers vorgenommen werden.
Bezüglich des Feldgerätes wird die oben genannte Aufgabe durch ein elektrisches Feldgerät mit zumindest einer Datenschnittstelle, über die eine Kommunikationsverbindung zum Übertragen von Befehlsdaten zum Ausführen einer gesicherten Funktion des elektrischen Feldgerätes herstellbar ist, gelöst, bei dem mit der Datenschnittstelle eine Identifizierungseinrichtung in Verbindung steht, wobei die Identifizierungseinrichtung derart ausgebildet ist, dass sie den von der Schnittstelle empfangenen Befehlsdaten einen Absender der Befehlsdaten angebende Absendercharakterisierungsdaten hinzufügt, und mit der Identifizierungseinrichtung eine Sicherheitseinrichtung in .Verbindung steht, wobei die Sicherheits- einrichtung derart ausgebildet ist, dass sie die um die Ab- Sendercharakterisierungsdaten erweiterten Befehlsdaten auf eine Erlaubnis überprüft, die gesicherte Funktion des elektrischen Feldgerätes auszuführen, und nur bei bestehender Erlaubnis ein Ausführen der gesicherten Funktion zulässt.
Durch das Zusammenspiel der Identifizierungseinrichtung und der Sicherheitseinrichtung kann hier ein hoher Sicherheitsgrad gegen ungewollte Fremdzugriffe gewährleistet werden.
In diesem Zusammenhang ist eine vorteilhafte Ausführungsform des erfindungsgemäßen elektrischen Feldgerätes dadurch gegeben, dass die Identifizierungseinrichtung eine Identitätsdatenbank aufweist, die derart ausgebildet ist, dass sie anhand von in den Befehlsdaten enthaltenen absenderspezifischen Daten die Absendercharakterisierungsdaten ermittelt. Durch das Vorsehen der Identitätsdatenbank kann eine vergleichsweise flexible und einfache Anpassung der Identifizierungseinrichtung an die Gegebenheiten beim Betreiber des elektrischen Feldgerätes vorgenommen werden.
Eine weitere vorteilhafte Ausführungsform des erfindungsgemäßen elektrischen Feldgerätes sieht schließlich vor, dass die Datenschnittstelle eine Ethernet-Schnittstelle, eine USB- Schnittstelle oder eine serielle Schnittstelle ist. Diese Datenschnittstellen können z. B. nach einem so genannten Master-Slave-Protokoll, einem Punkt-zu-Punkt-Protokoll (PPP) oder einem netzwerkfähigen Protokoll (IP-basiertes Protokoll) arbeiten. Solche Schnittstellen sind zum Übertragen von elektronischen Kommunikationsdaten im Nah- und Fernbereich besonders weit verbreitet.
Zur weiteren Erläuterung der Erfindung ist in
Figur 1 in einem schematischen Blockschaltbild ein elektri- sches Feldgerät, in
Figur 2 ein erstes Ausführungsbeispiel einer Identitätsdatenbank, in
Figur 3 ein zweites Ausführungsbeispiel einer Identitätsdatenbank und in Figur 4 ein schematisch.es Verfahrensfließbild zur Erläuterung einer Identifizierung eines Absenders bei einer sitzungsbasierten Kommunikationsverbindung gezeigt .
Figur 1 zeigt in schematischer Darstellung ein Blockschaltbild eines elektrischen Feldgerätes 1. Das elektrische Feldgerät 1 kann z. B. Bestandteil einer Automatisierungsanlage zur Steuerung und Regelung der Verteilung elektrischer Energie in einem Energieversorgungsnetz sein. Das Feldgerät 1 weist Datenschnittstellen 2a bis 2e auf, wobei die Daten- schnittstelle 2a eine so genannte Mensch-Maschine-Schnittstelle (human-machine-interface = „HMI") darstellt, also eine lokal an dem elektrischen Feldgerät vorgesehene Eingabevorrichtung wie ein Tastenfeld und eine Ausgabe- bzw. Anzeige- Vorrichtung wie ein Display. Die Datenschnittstellen 2a - 2e beinhalten hierbei nicht nur die reine physikalische Schnittstelle, sondern auch die informationstechnische Datenanbin- dung, wie z. B. die der jeweiligen Datenschnittstelle zugeordnete Datenabstraktionsebenen bis zur Schicht 4 des bekann- ten OSI-Schichtenmoduells („Open Systems Interconnection Reference Model") .
Die Datenschnittstelle 2b ist in Figur 1 als serielle Schnittstelle dargestellt, an die eine serielle Datenübertragungsleitung angeschlossen werden kann. Die Datenschnittstelle 2c ist eine an dem elektrischen Feldgerät vorgesehe USB-Schnittstelle (USB = universal serial bus) zum Anschluss einer USB-Datenübertragungsleitung. Über die serielle Schnittstelle 2b und die USB-Schnittstelle 2c können üblicherweise mittels einer vergleichsweise kurzen Kabelverbindung weitere Geräte, wie beispielsweise ein Laptop, mit dem elektrischen Feldgerät verbunden werden. Hierbei ist die USB- Schnittstelle für eine deutliche höhere Datenübertragungsrate ausgelegt als die serielle Schnittstelle, die beispielsweise nach dem RS 232 -Standard arbeitet. Über die USB-Schnittstelle können ferner neben aktiven elektrischen Geräten wie einem Laptop auch passive Datenspeicher, wie beispielsweise ein USB-Stick, an das elektrische Feldgerät angeschlossen werden.
Die Datenschnittstelle 2d stellt eine Datenverbindung zum Anschließen eines Modems dar, wobei ein solches Modem einen Fernzugriff auf das elektrische Feldgerät erlaubt. Prinzipiell kann die Datenschnittstelle 2d als beliebige elektri- sehe Kommunikationsschnittstelle, die ein Anschließen eines Modems erlaubt, ausgelegt sein. Beispielsweise kann es sich bei der Datenschnittstelle 2d auch um eine serielle oder um eine USB-Schnittstelle handeln.
Die Datenschnittstelle 2e stellt schließlich eine Ethernet- Schnittsteile dar, über die das elektrische Feldgerät in ein Datennetzwerk gemäß dem Ethernet-Standard eingebunden werden kann. Hierdurch ist es möglich, das elektrische Feldgerät beispielsweise mit einem Firmen-Intranet oder sogar dem In- ternet zu verbinden. Auch kann das elektrische Feldgerät 1 über die Ethernet-Schnittstelle 2e in ein Feldgerätenetzwerk beispielsweise gemäß dem internationalen Standard IEC 61850 eingebunden werden.
Das elektrische Feldgerät weist ferner eine Identifizierungs- einrichtung 3 auf, die mit einer Identitätsdatenbank 4 in Verbindung steht. Die Identifizierungseinrichtung 3 steht weiterhin in Verbindung mit einer Sicherheitseinrichtung 5. Der Sicherheitseinrichtung 5 nachgeordnet sind in höchstsche- matischer Darstellung unterschiedliche Geräte-Funktionsbausteine 6a bis 6g dargestellt. Diese Funktionsbausteine 6a bis 6g stellen grundlegende Funktionen des elektrischen Feldgerätes 1 dar, beispielsweise eine Lesefunktion eingestellter elektrischer Parameter in dem elektrischen Feldgerät 1 oder eine Schaltfunktion zum Öffnen oder Schließen eines an das elektrische Feldgerät angeschlossenen Leistungsschalters. Üblicherweise werden die Identifizierungseinrichtung 3, die Identitätsdatenbank 4, die Sicherheitseinrichtung 5 und die Geräte-Funktionsbausteine 6a bis 6g nicht als separate elektrische Bausteine in dem elektrischen Feldgerät 1 vorliegen, sondern vielmehr als Programmmodule einer Gerätesoftware ausgebildet sein.
Durch das Zusammenspiel der Identifizierungseinrichtung 3, der Identitätsdatenbank 4 und der Sicherheitseinrichtung 5 wird sichergestellt, dass geschützte Funktionen des elektrischen Feldgerätes 1 unabhängig von der elektrischen Datenschnittstelle 2a bis 2e, über die ein Benutzer mit dem elektrischen Feldgerät 1 eine Kommunikationsverbindung aufbaut, nur von autorisierten Benutzern ausgeführt werden können. Dies soll im Folgenden anhand der fünf in Figur 1 beispielhaft dargestellten Datenschnittstellen erläutert werden. Zunächst wird ein Verfahren zum Ausführen einer geschützten Funktion des elektrischen Feldgerätes 1 betrachtet, wenn der Benutzer des elektrischen Feldgerätes Zugriff auf das elektrische Feldgerät über die lokale Eingabevorrichtung nimmt, also über die Datenschnittstelle 2a. Hierzu verwendet der Benutzer ein an dem elektrischen Feldgerät vorgesehenes Tastenfeld und ein Display, um verschiedene Funktionen des elektrischen Feldgerätes aufzurufen. Diese Funktionen sind üblicherweise zur einfacheren Übersichtlichkeit in so genann- ten Funktionsmenüs angeordnet, wie man sie heutzutage aus verschiedensten Anwendungsprogrammen im Computerbereich kennt. Der Benutzer kann mit Hilfe des Tastenfeldes durch die auf dem Display des elektrischen Feldgerätes angezeigten Funktionsmenüs navigieren und auszuführende Funktionen des elektrischen Feldgerätes auswählen. Wählt der Benutzer eine geschützte Funktion des elektrischen Feldgerätes aus, wie beispielsweise ein Öffnen eines elektrischen LeistungsSchalters, so fordert ihn das elektrische Feldgerät auf, ein Passwort einzugeben, das ihn zur Durchführung dieser geschützten Funktion autorisiert. Der Benutzer gibt über das Tastenfeld das entsprechende Passwort ein, das den Befehlsdaten, die den Funktionsaufruf der geschützten Funktion des elektrischen Feldgerätes angeben, als absenderspezifische Daten angefügt wird. Die Identifizierungseinrichtung empfängt die Befehlsda- ten mit den absenderspezifischen Daten in Form der Passwort- daten und übergibt diese Passwortdaten an die Identitätsdatenbank 5. Die Identitätsdatenbank 5 ermittelt anhand der Passwortdaten Absendercharakterisierungsdaten, die den Absender der Befehlsdaten, also den an dem Tastenfeld des elektri- sehen Feldgerätes tätigen Benutzer, kennzeichnen. Diese Absendercharakterisierungsdaten werden an die Identifizierungseinrichtung 3 zurückgegeben. Die Identifizierungseinrichtung 3 hängt die Absendercharakterisierungsdaten an die Befehlsdaten zum Aufrufen der geschützten Funktion des elektrischen Feldgerätes 1 an und übermittelt diesen Datensatz an die Sicherheitseinrichtung 5. Die Sicherheitseinrichtung 5 überprüft, ob die mit den Befehlsdaten übermittelten Absendercharakterisierungsdaten ein Ausführen der gewünschten geschütz- ten Funktion des elektrischen Feldgerätes 1 erlauben, in diesem Fall also, ob der an dem elektrischen Feldgerät tätige Benutzer dazu autorisiert ist, den Leistungsschalter zu öffnen. Ermittelt die Sicherheitseinrichtung 5 ein positives Ergebnis, d. h. der Benutzer ist dazu autorisiert, die ge- schützte Funktion auszuführen, so übermittelt sie den Funktionsaufruf an den entsprechenden Funktionsbaustein mit der gewünschten geschützten Funktion des elektrischen Feldgerätes 1, beispielsweise den Funktionsblock 6d. Daraufhin wird die entsprechende Funktion des elektrischen Feldgerätes 1 ausge- führt. Ermittelt die Sicherheitseinrichtung 5 jedoch, dass die Absendercharakterisierungsdaten ein Ausführen der gewünschten geschützten Funktion des elektrischen Feldgerätes 1 nicht erlauben, d. h. der Benutzer ist nicht autorisiert, die geschützte Funktion des elektrischen Feldgerätes 1 auszufüh- ren, so verweigert sie ein Ausführen der gewünschten geschützten Funktion des elektrischen Feldgerätes 1. In diesem Fall wird der Leistungsschalter über den Funktionsblock 6d folglich nicht geöffnet.
Im zweiten zu betrachtenden Fall wird zwischen dem Benutzer des elektrischen Feldgerätes 1 und dem elektrischen Feldgerät 1 eine Kommunikationsverbindung über die serielle Datenschnittstelle 2b hergestellt. Beispielsweise kann an die serielle Schnittstelle 2b ein serielles Datenkabel angeschlos- sen sein, das an seinem anderen Ende an eine externe Datenverarbeitungseinrichtung, beispielsweise einen Laptop, angeschlossen ist. Der Benutzer gibt nun nicht mehr lokal am elektrischen Feldgerät 1 über das Tastenfeld Funktionsaufrufe ein, sondern benutzt hierzu den über die serielle Daten- Schnittstelle 2b angeschlossenen Laptop. Beispielsweise kann er über den Laptop einen Funktionsaufruf an das elektrische Feldgerät übermitteln, mit dem bestimmte sicherheitsrelevante Parameter des elektrischen Feldgerätes geändert werden sol- len. In diesem Fall würde das Verfahren ähnlich ablaufen wie das oben zur lokalen Datenschnittstelle beschriebene Verfahren. Der Benutzer an dem Laptop würde wiederum zu einer Pass- worteingabe aufgefordert werden, anhand der seine Identität erkannt werden kann. Mit der Sicherheitseinrichtung 5 kann dann eine Überprüfung stattfinden, ob der Benutzer zur Ausführung der gewünschten geschützten Funktion des elektrischen Feldgerätes 1, hier also dem Ändern der sicherheitsrelevanten Parameter des elektrischen Feldgerätes 1 autorisiert ist. Nur bei positivem Überprüfungsergebnis wird die entsprechende Funktion ausgeführt und die Parametereinstellungen des Gerätes werden geändert .
Analog hierzu könnte ein Laptop bei elektrischen Feldgeräten, die eine USB-Schnittstelle aufweisen, auch über die USB- Schnittstelle 2c mit dem elektrischen Feldgerät verbunden sein und hierüber den Funktionsaufruf zum Ausführen der geschützten Funktion des elektrischen Feldgerätes übermitteln. In diesem Falle würde das Verfahren prinzipiell ebenso ablaufen wie zu der seriellen Schnittstelle beschrieben.
Eine weitere Möglichkeit zum Verwenden der USB-Schnittstelle 2c an dem elektrischen Feldgerät 1 besteht außerdem darin, dass der Benutzer mit dem elektrischen Feldgerät zwar über die lokale Datenschnittstelle, also das Tastenfeld und das Display, eine KommunikationsVerbindung aufbaut, aber zusätzlich ein passives Datenspeichermodul, wie einen USB-Stick, über die USB-Schnittstelle mit dem elektrischen Feldgerät in Verbindung bringt. Der USB-Stick kann hierbei Schlüsseldaten als absenderspezifische Daten enthalten, die anstelle der Passwortdaten an die Identifizierungseinrichtung 3 übertragen werden. Anhand dieser Schlüsseldaten kann die Identifizierungseinrichtung 3 im Zusammenspiel mit der Identitätsdatenbank 4 die Identität des Absenders bestimmen. Das weitere Verfahren würde jedoch analog ablaufen; die Identitätsdatenbank 4 würde also anhand der absenderspezifischen Daten in Form der Schlüsseldaten Absendercharakterisierungsdaten zur Identifizierung des Absenders der Befehlsdaten ermitteln und diese gemeinsam mit den Befehlsdaten an die Sicherheitsein- richtung 5 übertragen. Diese wiederum überprüft, ob die Absendercharakterisierungsdaten ein Ausführen der gewünschten geschützten Funktion des elektrischen Feldgerätes 1 autorisieren.
Über die Datenschnittstelle 2d kann ein Modem mit dem elektrischen Feldgerät 1 verbunden werden, über das ein Fernzugriff auf das elektrische Feldgerät 1 ermöglicht wird. Ein solcher Fernzugriff kann prinzipiell ähnlich erfolgen wie ein lokaler Zugriff auf das elektrische Feldgerät 1 über die se- rielle Datenschnittstelle 2b oder über die USB-Schnittstelle 2c. In diesem Fall würden wiederum Passwortdaten oder Schlüsseldaten an die Identifizierungseinrichtung 3 als absenderspezifische Daten übermittelt werden. Je nach Art des bei der Kommunikationsverbindung verwendeten Kommunikationsprotokolls können jedoch auch Kennzeichnungsdaten, die eine Absender-Datenverarbeitungseinrichtung kennzeichnen, als anwenderspezifische Daten an die Identifizierungseinrichtung 3 übertragen werden .
Dies soll im Zusammenhang mit der Ethernet-Datenschnittstelle 2e des elektrischen Feldgerätes 1 näher erläutert werden. Über die Ethernet-Datenschnittstelle 2e wird üblicherweise ein Fernzugriff auf das elektrische Feldgerät 1 erfolgen. Es ist jedoch auch möglich, eine Absender-Datenverarbeitungsein- richtung über ein vergleichsweise kurzes Ethernet-Kommunikationskabel lokal mit dem elektrischen Feldgerät zu verbinden. Beim Zugriff auf das elektrische Feldgerät 1 über die Ether- net-Datenschnittstelle 2e sind insbesondere zwei Arten von Kommunikationsverbindungen zu unterscheiden, nämlich die sit- zungsbasierte KommunikationsVerbindung und die sitzungslose Kommunikationsverbindung .
Momentan sind die sitzungslosen („Session lessn) Kommunika- tionsverbindungen über Ethernet-Schnittstellen noch am weitesten verbreitet. Sie erfolgen beispielsweise gemäß dem aus der Internettechnologie bekannten Kommunikationsprotokoll „http". Sitzungslos bedeutet in diesem Zusammenhang, dass zwischen dem Absender der Befehlsdaten und dem Empfänger - also dem elektrischen Feldgerät - kein fester Kommunikations- kanal etabliert wird. Eine sitzungslose Kommunikationsverbindung lässt sich beispielsweise mit einer Briefsendung vergleichen. Hier werden die Befehlsdaten sozusagen in einen Umschlag verpackt, der an einen Adressaten, in diesem Fall das elektrische Feldgerät, gerichtet ist. Der Adressat wird beispielsweise über eine so genannte IP-Adresse oder eine MAC- Adresse des Empfängergerätes festgelegt. Außerdem sind auf dem Umschlag absenderspezifische Daten in Form von Kennzeichnungsdaten angegeben, die den Absender der Befehlsdaten in dem Umschlag kennzeichnen. Beispielsweise können diese Kennzeichnungsdaten bei einer sitzungslosen Kommunikationsverbindung eine MAC-Adresse der Absender-Datenverarbeitungseinrichtung angeben. Anhand der Kennzeichnungsdaten können die Identifizierungseinrichtung 3 und die Identitätsdatenbank 4 die Identität des Absenders bzw. die Identität der Absender-Datenverarbeitungseinrichtung feststellen. Ist die Absender-Datenverarbeitungseinrichtung als vertrauenswürdig eingestuft (das wäre beispielsweise der Fall, wenn es sich bei der Absender-Datenverarbeitungseinrichtung um eine in der Identi- tätsdatenbank eingetragene Bedienstation in einer Leitwarte zur Steuerung des elektrischen Energieversorgungsnetzes handelt) , dann werden entsprechende Absendercharakterisierungs- daten von der Identitätsdatenbank 4 an die Identifizierungs- einrichtung 3 übermittelt und die Sicherheitseinrichtung 5 kann anhand dieser Absendercharakterisierungsdaten einen Zugriff auf eine entsprechende geschützte Funktion des elektrischen Feldgerätes zulassen. Werden die Kennzeichnungs- daten der Absender-Datenverarbeitungseinrichtung von der Identitätsdatenbank 4 nicht erkannt oder gelten diese nicht als vertrauenswürdig, so werden keine oder entsprechende andere Absendercharakterisierungsdaten an die Befehlsdaten angehängt und die Sicherheitseinrichtung 5 wird den Zugriff auf die geschützte Funktion des elektrischen Feldgerätes 1 ver- weigern.
Beim anderen Fall, einer sitzungsbasierten (session based") Kommunikationsverbindung, wird zwischen dem Absender und dem elektrischen Feldgerät 1 ein fester Kommunikationskanal etabliert. Dies ist beispielsweise vergleichbar mit einem Telefonat zwischen zwei Kommunikationspartnern über eine analoge Telefonleitung. Hierbei werden zu Beginn des Kommunikationsaufbaus mit den Befehlsdaten absenderspezifische Daten in Form von Schlüsseldaten übertragen, anhand derer die Iden- titätsdatenbank 4 die Absendercharakterisierungsdaten zur Identifizierung des Absenders ermitteln kann. Das weitere Verfahren verläuft wie zu den übrigen Datenschnittstellen 2a bis 2d beschrieben.
Anhand der Figuren 2 und 3 soll im Folgenden beschrieben werden, wie die Identitätsdatenbank 4 anhand der absenderspezifischen Daten die Absendercharakterisierungsdaten ermitteln kann. Hierzu zeigt Figur 2 eine schematische Darstellung der Identitätsdatenbank 4. Über einen eingehenden Pfeil 20, werden die absenderspezifischen Daten von der Identifizierungseinrichtung 3 an die Identitätsdatenbank 4 übertragen. Über einen Dateneingangsport 21 empfängt die Identitätsdatenbank 4 die absenderspezifischen Daten. Gemäß einer in der Identitätsdatenbank 4 abgespeicherten ersten ZuordnungStabelle 22 bestimmt die Identitätsdatenbank 4 den Absender, der von den absenderspezifischen Daten angegeben ist. Dies kann zu einer personengenauen Identifizierung des Absenders führen. In einem solchen Fall muss für jeden möglichen Benutzer des elektrischen Feldgerätes 1 ein Eintrag in der Identitätsdatenbank 4 vorgesehen sein und jeder mögliche Benutzer des elektrischen Feldgerätes muss ihm eigene absenderspezifische Daten besitzen. Üblicherweise ist es jedoch ausreichend, lediglich einen Nutzertyp des Absenders zu bestimmen. Beispielsweise kann ein Nutzertyp „Parametrierpersonal" des elektrischen Feldgerätes bedeuten. Dem Nutzertyp „Parame- trierpersonal" wären in dem Fall alle Personen zugeordnet, die üblicherweise Parametrieraufgaben des elektrischen Feldgerätes übernehmen dürfen. Andere Möglichkeiten von Nutzertypen sind beispielsweise „Ablesepersonal", das zwar Messwerte und Einstellungen des elektrischen Feldgerätes ablesen darf, diese jedoch nicht ändern kann, und „Inbetriebsetzungsperso- naln, das sämtliche Einstellungen an dem elektrischen Feldgerät ändern darf, aber keine Schalthandlungen mit dem elektrischen Feldgerät vornehmen darf. Hierbei reicht es aus, wenn alle Personen, die zu einem Nutzertyp gehören, dieselben absenderspezifischen Daten an das elektrische Feldgerät mit den Befehlsdaten übermitteln und lediglich anhand eines einzigen
Eintrages in der Identitätsdatenbank 4 der Nutzertyp des Absenders bestimmt wird. Eine genauere Identifizierung des Absenders ist - wie oben erwähnt - nicht notwendig. Hierdurch wird insbesondere die in Inbetriebsetzungsphase des elektri- sehen Feldgeräts deutlich verkürzt, da erheblich weniger Einträge in der Identitätsdatenbank 4 vorgenommen werden müssen.
Gemäß dem in Figur 2 dargestellten Beispiel würden also an- hand der ersten Zuordnungstabelle 22 den über den Dateneingangsport 21 eintreffenden absenderspezifischen Daten Typdaten, die den Nutzertyp des Absenders angeben, zugeordnet werden. Diesen Typdaten ordnet die Identitätsdatenbank gemäß einer zweiten Zuordnungstabelle 23 die für diesen Nutzertyp erlaubten Zugriffsrechtsdaten zu. Die Zugriffsrechtsdaten geben jeweils diejenigen Gerätefunktionen des elektrischen Feldgerätes 1 an, die der jeweilige Nutzertyp durchführen darf. Beispielsweise wären dem Nutzertyp „Parametrierperso- nalΛλ Zugriffsrechtsdaten zuzuordnen, die Gerätefunktionen wie „Auslesen von Geräteparametern", „Ändern von Geräteparametern", „Speichern von Geräteparametern", „Testen von Geräteparametern" entsprechen. Einem Benutzertyp-„Betriebspersonal" wären beispielsweise Zugriffsrechtsdaten für die Gerätefunktionen, „Schalthandlung (Öffnen) am Leistungsschalter vorneh- men" und „Schalthandlung (Schließen) am Leistungsschalter vornehmen" vorgesehen.
Die gemäß der zweiten Zuordnungstabelle 23 ermittelten Zugriffsrechtsdaten werden über einen Datenausgangsport 24 entlang des Pfeils 25 an die Identifizierungseinrichtung 3 zurückgegeben. Anhand dieser Zugriffsrechtsdaten kann die Si- cherheitseinrichtung 5, die der Identifizierungseinrichtung 3 nachgeschaltet ist, die Überprüfung bezüglich der Autorisierung zur Durchführung der geschützten Funktion durchführen.
Zu erwähnen sei bei dem Beispiel gemäß Figur 2 noch, dass auch die Möglichkeit besteht, dass anhand der Identitätsdatenbank lediglich anhand der ersten Zuordnungstabelle 22 den Nutzertyp angebende Typdaten bestimmt werden und diese Typda- ten über den Datenausgangsport 24 an die Identifizierungseinrichtung 3 und die Sicherheitseinrichtung 5 übergeben werden. In diesem Fall müsste die Sicherheitseinrichtung 5 eine Zuordnungstabelle entsprechend der zweiten Zuordnungstabelle 23 aufweisen, die den ermittelten Typdaten die entsprechenden Zugriffsrechtsdaten zuordnet.
Figur 3 zeigt eine zu Figur 2 alternative Möglichkeit, wie mit der Identitätsdatenbank die Absendercharakterisierungsda- ten bestimmt werden können. Figur 3 entspricht im Wesentlichen der Figur 2. Daher sind auch die übereinstimmenden Komponenten der Figuren 2 und 3 mit den gleichen Bezugszeichen gekennzeichnet. Analog zu Figur 2 werden von der Identifizierungseinrichtung 3 entlang des Pfeils 20 an die Identitätsda- tenbank 4 die absenderspezifischen Daten übertragen. Diese werden von der Identitätsdatenbank 4 mit dem Eingangsdatenport 21 empfangen. Anhand der ersten Zuordnungstabelle 22 werden den absenderspezifischen Daten den Nutzertyp des Absenders angebende Typdaten zugeordnet .
Diesen Typdaten werden nun jedoch in einer zwischengeschalteten Zuordnungstabeile 26 zunächst Rollendaten zugeordnet. Rollendaten geben die von dem entsprechenden Nutzertyp üblicherweise dargestellten Nutzerrollen an. Mit anderen Worten geben die Rollendaten die von dem entsprechenden Nutzertyp üblicherweise durchzuführenden Aufgabenbereiche an. So können beispielsweise dem Nutzertyp „Parametrierpersonal" die Aufgabenbereiche „Parametrieren" und „Testen" zugeordnet sein. Dem Nutzertyp „Bedienpersonal" wären beispielsweise die Rollenda- ten „Schalthandlung durchführen" und „Messwerte auslesen" zugeordnet. Erst diesen so ermittelten Rollendaten werden die feiner granulierten Zugriffsrechtsdaten anhand der zweiten Zuordnungstabelle 23 zugeordnet. Den Rollendaten „Schalthandlung durchführen" wären beispielsweise die Zugriffsrechtsda- ten „ Schalthandlung (Öffnen) des Leistungsschalters durchführen" und „Schalthandlung (Schließen) des Leistungsschalters durchführen" zugeordnet .
Die auf diese Weise ermittelten Zugriffsrechtsdaten werden als Absendercharakterisierungsdaten analog wie bei Figur 2 über den Datenausgangsport 24 der Identitätsdatenbank 4 an die Identifizierungseinrichtung 3 übertragen. Der Vorteil des Ausführungsbeispiels gemäß Figur 3 liegt darin, dass bereits vom Hersteller des elektrischen Feldgerätes eine weitgehende Vorkonfigurierung der Identitätsdatenbank 4 vorgenommen werden kann. So können nämlich allen Gerätefunktionen bereits entsprechende Zugriffsrechtsdaten zugeordnet werden, die wiederum anhand der zweiten Zuordnungstabelle 23 in entspre- chende Aufgabenbereiche aufgeteilt und damit den entsprechenden Rollendaten zugeordnet werden. Mit dem Betreiber des elektrischen Feldgerätes müssen letztendlich nur noch entsprechende Nutzertypen vereinbart werden und diesen Nutzertypen gemäß der zwischengeschalteten Zuordnungstabelle 26 ent- sprechende Rollendaten zugeordnet werden. Hierdurch wird die Konfigurierungsphase beim Betreiber des elektrischen Feldgerätes merklich verkürzt. Da solche Konfigurierungsphasen üblicherweise mit einem sehr großen Aufwand verbunden sind, können durch die herstellerseitige Vorkonfigurierung erhebli- che Kosten eingespart werden.
Anhand von Figur 4 soll schließlich erläutert werden, wie bei einer sitzungsbasierten Kommunikationsverbindung die Identität des Absenders ermittelt werden kann. Hierzu werden so ge- nannte Zertifikate verwendet, die eine Signatur der Befehlsdaten ermöglichen. Beispielsweise kann das aus der elektronischen Verschlüsselungstechnik bekannte Zertifikat X.509 in der momentan aktuellen Version 3 oder einer höheren Version verwendet werden. Das Zertifikat enthält in diesem Fall drei Schlüssel: ein Schlüsselpaar des Benutzers, bestehend aus einem auch dem Feldgerät bekannten öffentlichen Schlüssel des Benutzers und einem - nur dem Benutzer bekannten - privaten Schlüssel des Benutzers und einen öffentlichen Zertifikats- Schlüssel zum Angeben der Echtheit des Zertifikats.
Zunächst prüft das elektrische Feldgerät anhand eines öffentlichen Zertifikatsschlüssels, der mit den Befehlsdaten übermittelt wird, ob dieser von derselben Zertifizierungsstelle ausgestellt worden ist ein in dem elektrischen Feldgerät vorgesehenes Zertifikat. Anhand dieses öffentlichen Zertifikatsschlüssels wird geprüft, ob der Absender von der für das Feldgerät 1 (oder eine gesamte Automatisierungsanlage, deren Bestandteil Feldgerät 1 ist) vorgegebenen Zertifizierungs- stelle beglaubigt wurde, also als vertrauenswürdig einzustufen ist. Ist der Absender hierbei als vertrauenswürdig erkannt worden, wird überprüft, ob der Absender tatsächlich mit dem Zertifikats-Inhaber identisch ist. Dazu wird der dem Absender zugeordnete öffentliche Schlüssel des Zertifikats ver- wendet. Hierzu benötigt der Absender den nur dem Zertifikats- Inhaber zugänglichen privaten Zertifikats-Schlüssel für das Zertifikat. Der Absender wird daher aufgefordert, einen beliebigen Text, z. B. eine Zufallszeichenfolge, mit seinem privaten Zertifikats-Schlüssel zu signieren. Die Gültigkeit dieser Signatur kann dann mit dem öffentlichen Schlüssel des Zertifikats überprüft werden.
Diese Vorgehensweise wird im Folgenden anhand von Figur 4 näher erläutert :
Zur sicheren Identifizierung des Absenders der Befehlsdaten und zum Ausbilden eines gesicherten Kommunikationskanals wird das in Figur 4 dargestellte Verfahren durchgeführt. Hierbei stellt ein erster Kasten 41 die Vorgänge in dem elektrischen Feldgerät und ein zweiter Kasten 42 die Vorgänge auf Seiten der Absender-Datenverarbeitungseinrichtung beim Benutzer des elektrischen Feldgerätes dar.
In einem ersten Schritt 43 wird hierbei vom elektrischen
Feldgerät eine Zufallszeichenfolge RND erzeugt und mit einem öffentlichen Schlüssel des Benutzers des Feldgerätes verschlüsselt. Dies erfolgt in Schritt 44. In Schritt 45 liegt die verschlüsselte Zufallszeichenfolge RND im elektrischen Feldgerät vor. Sie wird, wie durch den Pfeil 46 angedeutet, an die Absender-Datenverarbeitungseinrichtung übertragen. In Schritt 47 liegt die verschlüsselte Zufallszeichenfolge auf der Absender-Datenverarbeitungseinrichtung des Benutzers vor und wird in Schritt 48 mit Hilfe des zu dem öffentlichen Schlüssel des elektrischen Benutzers gehörenden privaten
Schlüssels, der auf der Absender-Datenverarbeitungseinrichtung hinterlegt ist, entschlüsselt. Hierzu ist eine Eingabe einer Code-Zeichenfolge vom Benutzer der Absender-Datenverarbeitungseinrichtung erforderlich. Dies ist im Schritt 51 an- gedeutet. Durch die Eingabe der Code-Zeichenfolge oder auch PIN (PIN = personal identity number) wird sozusagen die Verwendung des privaten Schlüssels des Benutzers aktiviert. In Schritt 49 liegt die nunmehr entschlüsselte Zufallszeichenfolge RND in der Absender-Datenverarbeitungseinrichtung vor.
Diese wird nun unter Zuhilfenahme des öffentlichen Schlüssels des elektrischen Feldgerätes, der dem Benutzer bekannt oder beispielsweise mit den Befehlsdaten übermittelt worden ist, in Schritt 50 erneut verschlüsselt. Die Zufallszeichenfolge RND liegt in Schritt 52 in erneut verschlüsselter Form auf der Absender-Datenverarbeitungseinrichtung vor.
In Schritt 53 wird diese erneut verschlüsselte Zufallszeichenfolge RND an das elektrische Feldgerät zurück übertragen und liegt in Schritt 54 auf dem elektrischen Feldgerät vor. In Schritt 55 erfolgt eine Entschlüsselung der Zufallszeichenfolge unter Verwendung des privaten Schlüssels des Feldgerätes. Schließlich liegt die Zufallszeichenfolge in Schritt 56 wieder in entschlüsselter Form auf dem elektrischen Feldgerät vor und kann mit der Ausgangszufallszeichenfolge gemäß Schritt 43 verglichen werden. Stimmen beide Zufallszeichenfolgen überein, so ist der Absender eindeutig identifiziert und eine gesicherte Kommunikationsverbindung zwischen dem elektrischen Feldgerät und dem Benutzer etabliert worden. Zur Verschlüsselung der zwischen dem Absender und dem elektrischen Feldgerät ausgetauschten Daten kann die Zufallszeichenfolge verwendet werden.
Das elektrische Feldgerät hat nunmehr anhand des öffentlichen Zertifikatsschlüssels des Benutzers, der mit den Befehlsdaten übertragen wird, die Identität des Benutzers bestimmt und anhand der nachgeschalteten Überprüfung mittels der Zufallszeichenfolge verifiziert. Das weitere Verfahren verläuft analog zu der oben beschriebenen Verfahrensweise.
Schließlich sei noch zu erwähnen, dass das Zertifikat mit den entsprechenden Schlüsseln des Benutzers anstelle auf einer Absender-Datenverarbeitungseinrichtung auch beispielsweise auf einem USB-Stick des Benutzers vorliegen kann, der über die USB-Schnittstelle mit dem elektrischen Feldgerät verbunden ist. In diesem Fall würde der Benutzer, wie bereits weiter oben erwähnt, über die lokale Eingabevorrichtung und das Display am elektrischen Feldgerät eine Kommunikationsverbin- düng mit dem elektrischen Feldgerät aufbauen. Anstelle der Eingabe von Passwortdaten würde das elektrische Feldgerät aber das Zertifikat auf dem USB-Stick abfragen und es würde sozusagen zwischen dem elektrischen Feldgerät und dem Benutzer unter Verwendung des auf dem USB-Stick gespeicherten Zer- tifikates analog zu den in Figur 4 dargestellten und oben erläuterten Verfahren eine gesicherte Kommunikationsverbindung aufgebaut werden. Die PIN-Eingabe zur Aktivierung des privaten Schlüssels gemäß Schritt 51 würde in diesem Fall auch direkt über die Eingabetastatur am elektrischen Feldgerät vom Benutzer vorgenommen werden. Dies hat den Vorteil, dass der Benutzer nicht verschiedene Passwortdaten im Gedächtnis behalten muss, sondern lediglich das zu dem entsprechenden USB- Stick gehörende CodierZeichenfolge oder PIN.

Claims

Patentansprüche
1. Verfahren zum Ausführen einer geschützten Funktion eines elektrischen Feldgerätes (1) , bei dem folgende Schritte durchgeführt werden:
- von dem elektrischen Feldgerät (1) werden Befehlsdaten empfangen, die einen Funktionsaufruf zum Ausführen einer geschützten Funktion des elektrischen Feldgeräts (1) angeben;
- von einer Identifizierungseinrichtung (3) des elektrischen Feldgerätes (1) werden den jeweiligen Absender der Befehlsdaten charakterisierende Absendercharakterisierungsdaten ermittelt und an die Befehlsdaten angefügt;
- von einer Sicherheitseinrichtung (5) werden die um die Absendercharakterisierungsdaten erweiterten Befehlsdaten emp- fangen und daraufhin überprüft, ob sie eine Ausführung der von den Befehlsdaten angegebenen geschützten Funktion des elektrischen Feldgerätes (1) erlauben, wobei
- bei bestehender Erlaubnis die Befehlsdaten an die geschützte Funktion übermittelt werden und diese ausgeführt wird und
- bei fehlender Erlaubnis eine Ausführung der geschützten Funktion verweigert wird.
2. Verfahren nach Anspruch 1 , d a d u r c h g e k e n n z e i c h n e t, dass zur Ermittlung der Absendercharakterisierungsdaten
- von der Identifizierungseinrichtung (3) den Befehlsdaten zugeordnete, den Absender bezeichnende absenderspezifische Daten an eine Identitätsdatenbank (4) übergeben werden, - von der Identitätsdatenbank (4) den absenderspezifischen
Daten entsprechende Absendercharakterisierungsdaten ermittelt werden und
- die ermittelten Absendercharakterisierungsdaten an die Identifizierungseinrichtung (3) zurückgegeben werden.
3. Verfahren nach Anspruch 2 , d a d u r c h g e k e n n z e i c h n e t, dass
- von der Identitätsdatenbank (4) anhand der absenderspezifi- sehen Daten einen Nutzertyp des Absenders angebende Typdaten ermittelt und diese als Absendercharakterisierungsdaten an die Identifizierungseinrichtung (3) zurückgegeben werden und
- von der Sicherheitseinrichtung (5) anhand dieser Typdaten die Erlaubnis des Absenders zur Ausführung der gesicherten Funktion überprüft wird.
4. Verfahren nach Anspruch 2 , d a d u r c h g e k e n n z e i c h n e t, dass
- von der Identitätsdatenbank (4) anhand der absenderspezifi- sehen Daten einen Nutzertyp des Absenders angebende Typdaten ermittelt werden,
- von der Identitätsdatenbank (4) anhand der Typdaten dem Nutzertyp des Absenders entsprechende Zugriffsrechtsdaten ermittelt und diese als Absendercharakterisierungsdaten an die Identifizierungseinrichtung (3) zurückgegeben werden, und
- von der Sicherheitseinrichtung (5) anhand dieser Zugriffsrechtsdaten die Erlaubnis des Absenders zur Ausführung der gesicherten Funktion überprüft wird.
5. Verfahren nach Anspruch 4, d a d u r c h g e k e n n z e i c h n e t, dass
- von der Identitätsdatenbank (4) anhand der Typdaten zunächst eine Nutzerrolle des Absenders angebende Rollendaten ermittelt werden, - von der Identitätsdatenbank (4) anhand der ermittelten Rollendaten diesen zugeordnete Zugriffsrechtsdaten ermittelt werden und - die ermittelten Zugriffsrechtsdaten als Absendercharakterisierungsdaten an die Identifizierungseinrichtung (3) zurückgegeben werden.
6. Verfahren nach einem der Ansprüche 2 bis 5, d a d u r c h g e k e n n z e i c h n e t, dass
- bei einer sitzungslosen Kommunikationsverbindung zwischen dem Absender und dem elektrischen Feldgerät (1) die absenderspezifischen Daten eine Absender-Datenverarbeitungseinrich- tung angebende Kennzeichnungsdaten enthalten und
- von der Identitätsdatenbank (4) den Kennzeichnungsdaten die Absendercharakterisierungsdaten zugeordnet werden.
7. Verfahren nach Anspruch 6 , d a d u r c h g e k e n n z e i c h n e t, dass
- als Kennzeichnungsdaten eine MAC-Adresse der Absender-Datenverarbeitungseinrichtung verwendet wird.
8. Verfahren nach einem der Ansprüche 2 bis 5, d a d u r c h g e k e n n z e i c h n e t, dass
- bei einer sitzungsbasierten Kommunikationsverbindung zwischen dem Absender und dem elektrischen Feldgerät (1) die absenderspezifischen Daten Schlüsseldaten des Absenders enthalten und - von der Identitätsdatenbank (4) den Schlüsseldaten die Absendercharakterisierungsdaten zugeordnet werden.
9. Verfahren nach Anspruch 8 , d a d u r c h g e k e n n z e i c h n e t, dass - die Kommunikationsverbindung zwischen einem externen, passiven Datenspeichermodul und dem elektrischen Feldgerät (1) hergestellt wird und - die Schlüsseldaten von einem Speicherbereich auf dem externen, passiven Datenspeichermodul an die Identifizierungseinrichtung (3) übertragen werden.
10. Verfahren nach einem der Ansprüche 2 bis 5, d a d u r c h g e k e n n z e i c h n e t, dass
- bei einer mittels einer Eingabevorrichtung am elektrischen Feldgerät (1) aufgebauten Kommunikationsverbindung zwischen dem Absender und dem Feldgerät (1) die absenderspezifischen Daten von dem Absender eingegebene Passwortdaten enthalten.
11. Elektrisches Feldgerät (1) mit zumindest einer Datenschnittstelle (2a, 2b, 2c, 2d, 2e) , über die eine Kommunikations- verbindung zum Übertragen von Befehlsdaten zum Ausführen einer gesicherten Funktion des elektrischen Feldgerätes (1) herstellbar ist, d a d u r c h g e k e n n z e i c h n e t, dass
- mit der Datenschnittstelle (2a, 2b, 2c, 2d, 2e) eine Identifizierungseinrichtung (3) in Verbindung steht, wobei die Iden- tifizierungseinrichtung (3) derart ausgebildet ist, dass sie den von der Datenschnittstelle (2a, 2b, 2c, 2d, 2e) empfangenen Befehlsdaten einen Absender der Befehlsdaten charakterisierende Absendercharakterisierungsdaten hinzufügt, und
- mit der Identifizierungseinrichtung (3) eine Sicherheits- einrichtung (5) in Verbindung steht, wobei die Sicherheitseinrichtung (5) derart ausgebildet ist, dass sie die um die Absendercharakterisierungsdaten erweiterten Befehlsdaten auf eine Erlaubnis überprüft, die gesicherte Funktion des elektrischen Feldgerätes (1) auszuführen, und nur bei beste- hender Erlaubnis ein Ausführen der gesicherten Funktion zu- lässt .
12. Elektrisches Feldgerät (1) nach Anspruch 11, d a d u r c h g e k e n n z e i c h n e t, dass - die Identifizierungseinrichtung (3) eine Identitätsdatenbank (4) aufweist, die derart ausgebildet ist, dass sie anhand von in den Befehlsdaten enthaltenen absenderspezifischen Daten die Absendercharakterisierungsdaten ermittelt.
13. Elektrisches Feldgerät (1) nach Anspruch 11 oder 12, d a d u r c h g e k e n n z e i c h n e t, dass
- die Datenschnittstelle (2c, 2e) eine Ethernet-Schnittstelle, eine USB-Schnittstelle oder eine serielle Schnittstelle ist.
PCT/DE2005/001751 2005-09-29 2005-09-29 Verfahren zum ausführen einer geschützten funktion eines elektrischen feldgerätes und elektrisches feldgerät WO2007036178A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
EP05792491A EP1932066A1 (de) 2005-09-29 2005-09-29 Verfahren zum ausführen einer geschützten funktion eines elektrischen feldgerätes und elektrisches feldgerät
DE112005003771T DE112005003771A5 (de) 2005-09-29 2005-09-29 Verfahren zum Ausführen einer geschützten Funktion eines elektrischen Feldgerätes und elektrisches Feldgerät
PCT/DE2005/001751 WO2007036178A1 (de) 2005-09-29 2005-09-29 Verfahren zum ausführen einer geschützten funktion eines elektrischen feldgerätes und elektrisches feldgerät
US12/088,600 US8132240B2 (en) 2005-09-29 2005-09-29 Electric field unit and method for executing a protected function of an electric field unit
CNA200580051953XA CN101297247A (zh) 2005-09-29 2005-09-29 实施现场电气设备的被保护功能的方法以及现场电气设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/DE2005/001751 WO2007036178A1 (de) 2005-09-29 2005-09-29 Verfahren zum ausführen einer geschützten funktion eines elektrischen feldgerätes und elektrisches feldgerät

Publications (1)

Publication Number Publication Date
WO2007036178A1 true WO2007036178A1 (de) 2007-04-05

Family

ID=36407560

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2005/001751 WO2007036178A1 (de) 2005-09-29 2005-09-29 Verfahren zum ausführen einer geschützten funktion eines elektrischen feldgerätes und elektrisches feldgerät

Country Status (5)

Country Link
US (1) US8132240B2 (de)
EP (1) EP1932066A1 (de)
CN (1) CN101297247A (de)
DE (1) DE112005003771A5 (de)
WO (1) WO2007036178A1 (de)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007062915A1 (de) * 2007-12-21 2009-06-25 Endress + Hauser Process Solutions Ag Verfahren zum Betreiben einer speicherprogrammierbaren Steuerung
WO2009092399A1 (de) * 2008-01-24 2009-07-30 Siemens Aktiengesellschaft Feldgerät und verfahren zu dessen betrieb
WO2009100733A1 (de) * 2008-02-11 2009-08-20 Siemens Aktiengesellschaft Sichere übermittlung von daten an ein feldgerät
EP2139162A1 (de) 2008-06-26 2009-12-30 Abb Research Ltd. Konfigurierung eines intelligenten elektronischen Geräts
EP2247987A1 (de) * 2008-02-25 2010-11-10 Endress + Hauser Process Solutions AG Verfahren zum betreiben eines feldgerätes
CH706997A1 (de) * 2012-09-20 2014-03-31 Ferag Ag Zugriffskontrolle auf Bedienmodule einer Bedieneinheit.
DE102008022655B4 (de) 2008-05-07 2018-08-09 Sew-Eurodrive Gmbh & Co Kg Verfahren zur sicheren Bedienung eines elektrischen Geräts und elektrisches Gerät
CN112491929A (zh) * 2020-12-15 2021-03-12 北京四方继保工程技术有限公司 一种基于数纹特征识别的信息安全方法

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014105076A1 (de) * 2014-04-09 2015-10-15 Krohne Messtechnik Gmbh Verfahren zum gesicherten Zugriff auf ein Feldgerät
US9946868B2 (en) 2015-10-12 2018-04-17 Dresser, Inc. Device functionality control
CN106506452A (zh) * 2016-09-30 2017-03-15 国网北京市电力公司 配网设备的配置方法和系统
US20190084638A1 (en) * 2017-09-21 2019-03-21 Thomas W. Melcher Leaning Quad-Wheeled All-Terrain Vehicle
JP6984301B2 (ja) * 2017-10-13 2021-12-17 横河電機株式会社 設定システム、設定装置、設定方法、及び設定プログラム
EP3657285B1 (de) * 2018-11-26 2023-05-10 Siemens Aktiengesellschaft Einbindung von technischen modulen in eine übergeordnete steuerungsebene
EP3798754A1 (de) * 2019-09-27 2021-03-31 Siemens Schweiz AG Verfahren zum automatischen anmelden eines benutzers an einem feldgerät und automationssystem

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19812424A1 (de) * 1998-03-20 1999-09-23 Moeller Gmbh Passwortschutz
GB2368701A (en) 2000-06-16 2002-05-08 Fisher Rosemount Systems Inc Function-based process control verification and security
US20030182396A1 (en) * 2002-03-22 2003-09-25 Daniel Reich Internet based distributed control system
US20040107025A1 (en) * 2000-11-28 2004-06-03 Ransom Douglas S. System and method for implementing XML on an energy management device

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5909368A (en) * 1996-04-12 1999-06-01 Fisher-Rosemount Systems, Inc. Process control system using a process control strategy distributed among multiple control elements
US5768119A (en) * 1996-04-12 1998-06-16 Fisher-Rosemount Systems, Inc. Process control system including alarm priority adjustment
US6868538B1 (en) * 1996-04-12 2005-03-15 Fisher-Rosemount Systems, Inc. Object-oriented programmable controller
US5980078A (en) * 1997-02-14 1999-11-09 Fisher-Rosemount Systems, Inc. Process control system including automatic sensing and automatic configuration of devices
ES2215804T3 (es) * 2001-04-03 2004-10-16 Beta Systems Software Ag Creacion automatica de roles para un sistema de control de acceso basado en roles.

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19812424A1 (de) * 1998-03-20 1999-09-23 Moeller Gmbh Passwortschutz
GB2368701A (en) 2000-06-16 2002-05-08 Fisher Rosemount Systems Inc Function-based process control verification and security
US20040107025A1 (en) * 2000-11-28 2004-06-03 Ransom Douglas S. System and method for implementing XML on an energy management device
US20030182396A1 (en) * 2002-03-22 2003-09-25 Daniel Reich Internet based distributed control system

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007062915A1 (de) * 2007-12-21 2009-06-25 Endress + Hauser Process Solutions Ag Verfahren zum Betreiben einer speicherprogrammierbaren Steuerung
WO2009092399A1 (de) * 2008-01-24 2009-07-30 Siemens Aktiengesellschaft Feldgerät und verfahren zu dessen betrieb
WO2009100733A1 (de) * 2008-02-11 2009-08-20 Siemens Aktiengesellschaft Sichere übermittlung von daten an ein feldgerät
EP2247987A1 (de) * 2008-02-25 2010-11-10 Endress + Hauser Process Solutions AG Verfahren zum betreiben eines feldgerätes
US9141106B2 (en) 2008-02-25 2015-09-22 Endress + Hauser Process Solutions Ag Method for operating a field device
DE102008022655B4 (de) 2008-05-07 2018-08-09 Sew-Eurodrive Gmbh & Co Kg Verfahren zur sicheren Bedienung eines elektrischen Geräts und elektrisches Gerät
EP2139162A1 (de) 2008-06-26 2009-12-30 Abb Research Ltd. Konfigurierung eines intelligenten elektronischen Geräts
US8051215B2 (en) 2008-06-26 2011-11-01 Abb Research Ltd. Configuring of an intelligent electronic device
CH706997A1 (de) * 2012-09-20 2014-03-31 Ferag Ag Zugriffskontrolle auf Bedienmodule einer Bedieneinheit.
CN112491929A (zh) * 2020-12-15 2021-03-12 北京四方继保工程技术有限公司 一种基于数纹特征识别的信息安全方法
CN112491929B (zh) * 2020-12-15 2023-06-20 北京四方继保工程技术有限公司 一种基于数纹特征识别的信息安全方法

Also Published As

Publication number Publication date
EP1932066A1 (de) 2008-06-18
US20080282332A1 (en) 2008-11-13
DE112005003771A5 (de) 2008-08-28
US8132240B2 (en) 2012-03-06
CN101297247A (zh) 2008-10-29

Similar Documents

Publication Publication Date Title
WO2007036178A1 (de) Verfahren zum ausführen einer geschützten funktion eines elektrischen feldgerätes und elektrisches feldgerät
EP2250598B1 (de) Client/server-system zur kommunikation gemäss dem standardprotokoll opc ua und mit single sign-on mechanismen zur authentifizierung sowie verfahren zur durchführung von single sign-on in einem solchen system
WO2006125404A1 (de) Verfahren zum einstellen eines elektrischen feldgerätes
EP3582033B1 (de) Verfahren zur gesicherten bedienung eines feldgeräts
WO2011113651A1 (de) Verfahren und vorrichtung zum bereitstellen mindestens eines sicheren kryptographischen schlüssels
DE102013106119A1 (de) Hierarchisches Authentifizierungs- und Autorisierungssystem
DE102016200382A1 (de) Verfahren zur Überprüfung einer Sicherheitseinstufung eines ersten Geräts mit Hilfe eines digitalen Zertifikats, ein erstes und zweites Gerät sowie eine Zertifikat-Ausstellungsvorrichtung
EP2548358B1 (de) Verfahren zur dynamischen autorisierung eines mobilen kommunikationsgerätes
DE10200681B4 (de) Temporäre Zugansberechtigung zum Zugriff auf Automatisierungseinrichtungen
EP1496664A2 (de) Vorrichtung und Verfahren sowie Sicherheitsmodul zur Sicherung eines Datenzugriffs eines Kommunikationsteilnehmers auf mindestens eine Automatisierungskomponente eines Automatisierungssystems
DE102016120306A1 (de) Verfahren und System zum Aktivieren zumindest einer Bedien-/Parametrierfunktion eines Feldgerätes der Automatisierungstechnik
WO2013164042A1 (de) Sicherung eines energiemengenzählers gegen unbefugten zugriff
EP2929665B1 (de) Verfahren, anordnung zur verarbeitung von informationen in einem haushaltsgerät sowie haushaltsgerät
DE102022113080A1 (de) Sicherheitszuhaltung
EP2446599B1 (de) Gegen manipulation geschützte datenübertragung zwischen automatisierungsgeräten
DE10107883B4 (de) Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem
EP2243058A1 (de) Sichere übermittlung von daten an ein feldgerät
EP4147096A1 (de) Nachrüstmodul für ein feldgerät und modular aufgebautes feldgerät
EP3816946A1 (de) Zutrittskontrollsystem für ein gebäude sowie ein entsprechendes verfahren
EP3937451B1 (de) Verfahren zu herstellung einer verschlüsselten verbindung
WO2010124707A1 (de) Zugriffssteuerung für automatisierungsgeräte
EP2618522A1 (de) Verfahren zum rechnergestützten Entwurf einer Automatisierungsanlage
DE202020005937U1 (de) Nachrüstmodul für ein Feldgerät und modular aufgebautes Feldgerät
EP4120624A1 (de) Verfahren und automatisierungssystem zur einbindung eines automatisierungsgeräts
DE112023000147T5 (de) Sicherer unverwalteter netzwerk-switch und entsprechende methoden

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 200580051953.X

Country of ref document: CN

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2005792491

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 1179/KOLNP/2008

Country of ref document: IN

WWE Wipo information: entry into national phase

Ref document number: 1120050037711

Country of ref document: DE

WWP Wipo information: published in national office

Ref document number: 2005792491

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 12088600

Country of ref document: US

REF Corresponds to

Ref document number: 112005003771

Country of ref document: DE

Date of ref document: 20080828

Kind code of ref document: P