CN101297247A - 实施现场电气设备的被保护功能的方法以及现场电气设备 - Google Patents
实施现场电气设备的被保护功能的方法以及现场电气设备 Download PDFInfo
- Publication number
- CN101297247A CN101297247A CNA200580051953XA CN200580051953A CN101297247A CN 101297247 A CN101297247 A CN 101297247A CN A200580051953X A CNA200580051953X A CN A200580051953XA CN 200580051953 A CN200580051953 A CN 200580051953A CN 101297247 A CN101297247 A CN 101297247A
- Authority
- CN
- China
- Prior art keywords
- data
- person
- sending
- electrical equipment
- site electrical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24167—Encryption, password, user access privileges
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25428—Field device
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Small-Scale Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种用于实施现场电气设备(1)的被保护功能的方法,为了如下地构造该现场电气设备,使得可以独立于用户和现场电气设备之间的通信连接的类型来保证防止不希望的侵入的高安全性,借助于该现场电气设备(1)的识别装置(3)以及安全装置(5),检查是允许还是拒绝执行该现场电气设备(1)的被保护功能。本发明还涉及一种对应地设置的现场电气设备。
Description
技术领域
本发明涉及一种实施现场电气设备的被保护功能的方法以及一种对应的现场电气设备。
背景技术
目前,现场电气设备被用于自动化技术的许多领域之中。例如,可以将现场电气设备用于监视和控制化学过程和加工技术过程、工业制造过程,或者也用于在电能供应网中用于传输和/或分配电能的过程。在此,现场电气设备通常位于待自动化的过程的附近,并且在那里记录描述该过程的测量值或者发出用于控制过程部件的命令。
例如,现场设备可以在电能供应网中记录电流和电压测量值,这些测量值给出了该电能供应网的瞬时状态。此外,现场电气设备可以发出命令,例如用于接通或断开在该电能供应网中的功率开关的命令。
通常,要保护这些现场设备免受未授权的访问。为此,例如将其设置在对应的安全区域中,只有相关的人员才可以进入该区域。例如通过门或者路障来保护这种安全区域;也经常进行摄像机监视,以便可以尽可能迅速地识别和阻止对该现场设备的未经许可的外人侵入。
为了操作现场电气设备通常具有输入装置(例如键盘)和显示装置(例如显示器)。通过输入装置可以在现场电气设备上直接地调用所有的功能。在此,为了自动化过程的安全,通常只有在输入了对应的口令之后才可以执行重要的功能。在最近的几年中,为了简化对现场设备的操作,在其上设置了数据接口,利用这些数据接口可以在本地或者从远处操作和/或观察现场电气设备。在此,例如常见的是在现场电气设备上设置作为数据接口的串联接口,通过该接口例如可以连接一个外部的数据处理装置、例如参数化的便携式计算机,以便在现场电气设备中进行参数的设置。
不过,由于该从远处操作现场电气设备的新的可能性,形成了强烈地改变的安全条件。在没有远距离操作可能性的较旧的现场电气设备中可以相对简单地如上面所描述的那样通过结构上的措施以及对应的监视来防止进入现场电气设备;而在从远处对带有对应的数据接口的现场设备的操作中,不经允许的外人侵入的危险则被显著地提高。该危险由于在现场设备上引入具有网络功能的以太网接口作为数据接口而再一次提高,因为此时可以通过众多并不完全可保护的网络(例如,内联网或者甚至互联网)来连接现场设备。
从西门子公司的SIPROTEC 4现场设备的系统描述(2004年6月21日出版,订货号E50417-H1100-C151-A6)中看到了这样的现场电气设备:其包括按照键盘形式的输入装置以及按照显示器形式的显示装置(例如,参见该系统描述的第20页至21页)。通过该键盘可以调用该现场电气设备的所有功能。为了调用被保护功能,必须通过该输入区域输入对应的口令(例如,参见该系统描述的第12页)。此外,该现场设备在其前侧还具有按照串联插座连接形式的所谓操作接口作为数据接口。在该操作接口上可以通过串行数据传输电缆连接外部计算机,在该计算机上运行操作/观察软件和/或参数化软件。借助于这些软件在设备中进行和改变设置以及执行对该设备的操作和观察。
如从所提到的系统描述中还看出的那样,可以为所述设备配备按照以太网接口形式的数据接口,该接口允许设备的网络连接。按照标准通过该以太网接口阻塞对该现成电气设备的被保护功能的操控,不过,也可以通过该现场设备的用户允许该操控(参见该系统描述的第12页)。
发明内容
因此,本发明要解决的技术问题是,提供一种用于实施现场电气设备的被保护功能的方法以及一种现场电气设备,其中,独立于与现场电气设备的通信连接的类型保证了防止不希望的侵入的较高安全标准。
按照本发明,上述技术问题关于方法是通过一种用于实施现场电气设备的被保护功能的方法解决的,其中,执行如下步骤:由所述现场电气设备接收命令数据,该命令数据指定用于实施该现场电气设备的被保护功能的功能调用;由该现场电气设备的识别装置确定表征所述命令数据的发出者的发出者特性数据,并且将其附加在该命令数据上;由安全装置接收扩展了所述发出者特性数据的命令数据,并且检查它们是否允许执行由该命令数据所指定的所述现场电气设备的被保护功能,其中,在存在许可的情况下,将该命令数据传送给所述被保护功能并且执行该命令数据,以及在缺少许可的情况下,拒绝对该被保护功能的实施。
按照本发明的方法的基本优点在于,可以独立于对现场电气设备的访问的类型来对发出者的授权进行检查。这点是如下实现的:该现场设备具有识别装置,该识别装置对所有的命令数据进行发出者识别确定,而不管这些命令数据到达现场设备的种类和方式如何。也就是说,这意味着,从来自数据接口的针对接口的或针对协议的命令数据中确定独立的发出者特性数据。按照与所述现场电气设备的安全装置相互作用(该安全装置根据由识别装置进行的发出者识别,要么允许要么禁止对该现场电气设备的被保护功能的实施),可以实现高的安全性,即防止不希望的对现场电气设备的被保护功能的访问。
按照本发明的方法一种具有优势的实施方式在于,为了由所述识别装置确定所述发出者特性数据,将与所述命令数据相关联的、表示发出者的发出者特有的数据传递给识别数据库,由所述识别数据库确定与所述发出者特有的数据对应的发出者特性数据,并且将所确定的发出者特性数据返回到所述识别装置上。
关于这点发出者特有的数据是这样的数据:该数据与命令数据一起被传送到现场电气设备上,并且该数据允许按照某种方式得出关于命令数据的发出者的结论。按照这种方式,可以通过检查在所述识别数据库中现有的条目而按照较为简单的方式确定命令数据的发出者。同样,现场电气设备的用户可以按照简单的方式在该识别数据库中进行改变,以便由此将关于新的发出者的信息记录在该数据库中,或者将个别被保护功能对于特定的发出者开放或禁止。
在一种具有优势的扩展中,由所述识别数据库根据所述发出者特有的数据确定指定该发出者的用户类型的类型数据,并且将其作为发出者特性数据返回到所述识别装置上,以及由所述安全装置根据该类型数据检查对该发出者的用于执行被保护功能的许可。
关于这点,类型数据是这样的数据,即,其不规定单个具体的发出者,而是规定分配给发出者对应的组或者分配给其对应的类型。也就是说,通过从识别数据库中读出类型数据,不必确定具体的发出者本身。取而代之的是,如果仅仅将发出者一般地对应于一个组就足够的了,因为访问现场电气设备的人员的确定的组通常在其组内具有一致的访问权限。例如,将发出者的标志识别为“参数化的人”,就足以将对于该参数化所需的功能为该发出者开放。
在作为对此替换的扩展中,由所述识别数据库根据所述发出者特有的数据确定指定该发出者的用户类型的类型数据;由该识别数据库根据所述类型数据确定与该发出者的用户类型对应的访问权限数据,并且将其作为发出者特性数据返回到所述识别装置上;以及由所述安全装置根据该访问权限数据检查对该发出者的用于执行被保护功能的许可。
在这种情况下,安全装置本身不必进行将类型数据与对应的访问权限数据的关联,因为这点由识别数据库承担。
关于这点,此外被视为本发明方法的有利扩展的是,由所述识别数据库根据所述类型数据首先确定指定该发出者的用户角色的角色数据;由该识别数据库根据所确定的角色数据确定与其相关联的访问权限数据;并且将所确定的访问权限数据作为所述发出者特性数据返回到所述识别装置上。
关于这点角色数据被视为指定任务范围的数据。通过提供角色数据,在类型数据和访问权限数据之间建立了中间层,该中间层包含了与类型数据对应的角色数据。例如,可以将角色“参数化”和“执行设备检查”分配给类型“参数化的人”。还将不同的访问权限数据分配给各自的角色数据。最后,通过该中间层的引入可以对于识别数据库进行较为方便的参数化,因为可以已经由制造商将角色数据作为预先设定的服务范围与由此匹配的访问权限数据相关联,而在现场设备的运营商处为了投入运行仅仅还需要将所希望的类型数据与对应的角色数据相关联。为此,在识别数据库中仅仅需要进行相对很少的设置。
本发明方法的另一种有利的扩展是如下给出的:在所述发出者和现场电气设备之间的无会议的通信连接的情况下,所述发出者特有的数据包含指定发出者数据处理装置的识别数据;以及由所述识别数据库为所述识别数据分配所述发出者特性数据。
这点尤其在通过带有无会议的(“sessionless”)通信协议、例如在因特网中采用的“http”(超文本传输协议)的以太网接口的条件下是具有优势的。在此,发出者特有的数据包含标志着发出者数据处理装置的识别数据。根据该识别数据,识别数据库可以检查:是否信任该发出者数据处理装置,以及为该发出者数据处理装置分配何种用户类型。这样,可以在没有大的开销的条件下对于该发出者数据处理装置进行识别。例如,所述识别数据可以由所述发出者数据处理装置的MAC地址构成。识别数据库根据该MAC地址识别发出者的用户类型。
作为对此的替换,本发明方法的另一种有利的扩展是如下给出的:在所述发出者和现场电气设备之间的基于会议的通信连接的情况下,所述发出者特有的数据包含该发出者的密钥数据;以及由所述识别数据库为所述密钥数据分配所述发出者特性数据。
密钥数据关于这点是这样的数据:其包含了例如用于电子加密的编码密钥。按照这种方式,识别数据库可以简单地在基于会议的通信连接的条件下按照例如https协议(hyper text transfer protocol secure,超文本传输协议安全)根据密钥数据(例如发出者的公开密钥)进行对发出者的识别。
关于这点,还被视为具有优势的是:建立外部无源数据存储模块与所述现场电气设备之间的通信连接;以及将所述密钥数据从所述外部无源数据存储模块上的存储区域传送至所述识别装置上。
按照这种方式,例如还可以建立在作为外部无源数据存储模块的USB棒与所述现场电气设备之间的一种通信连接。在此,将密钥数据从该USB棒传送至所述识别装置上。在这种情况下,通过现场设备的本地键盘对该现场设备进行操作,只是根据该在USB棒上的密钥进行发出者识别。
按照本发明方法的另一种作为替换的实施方式,还可以在借助于输入装置在所述电气设备上建立所述发出者与该现场设备之间的通信连接的情况下,所述发出者特有的数据包含由该发出者输入的口令数据。以这种方式还可以用简单的方式对直接在设备旁工作的用户进行识别。
上述的技术问题关于现场设备是通过一种现场电气设备解决的,该现场电气设备包括至少一个数据接口,通过所述数据接口可以建立用于传送命令数据的通信连接,所述命令数据用于实施该现场电气设备的被保护功能,其中,利用所述数据接口与识别装置连接,其中,将所述识别装置构造为:其将表征所述命令数据的发出者的发出者特性数据附加在由所述接口接收的命令数据;以及安全装置与该识别装置连接,其中,将所述安全装置构造为:其检查扩展了所述发出者特性数据的命令数据是否具有执行所述现场电气设备的被保护功能的许可,并且仅仅在存在许可的情况下,才允许执行所述被保护功能。
在此,通过识别装置与安全装置的共同作用,可以保证高的安全程度,即防止不希望的外人入侵。
关于这点,按照本发明的现场电气设备的另一种有利的实施方式是如下给出的:所述识别装置具有识别数据库,将所述识别数据库构造为:其根据在所述命令数据中包含的发出者特有的数据确定所述发出者特性数据。通过提供识别数据库可以相对灵活以及简单地将识别装置与在该现场电气设备的运行商处的情形进行匹配。
最后,在按照本发明的现场电气设备的另一种有利的实施方式中,所述数据接口是以太网接口、USB接口或者串行接口。例如,这些数据接口可以按照所谓的主从(Master-Slave)协议、点对点协议(PPP)或具有网络功能的协议(基于IP的协议)工作。这些接口被广泛地用于在近距离和远距离范围中传送电子通信数据。
附图说明
为了对本发明作进一步的说明,附图中:
图1中按照示意性的框图示出了一种现场电气设备,
图2中示出了识别数据库的第一实施例,
图3中示出了识别数据库的第二实施例,以及
图4中示出了用于解释在基于会议的通信连接的条件下识别发出者的示意性方法流程图。
具体实施方式
图1按照示意图示出了一种现场电气设备1的框图。该现场电气设备1例如可以是用于控制和调节在电能供应网中电能的分配的自动化设备的组成部分。现场设备1具有数据接口2a至2e,其中,数据接口2a表示所谓的人机接口(“HMI”)、即在该现场电气设备上本地提供的输入装置(如键盘)以及输出或显示装置(如显示器)。在此,数据接口2a至2e不仅包含纯物理的接口,而且也包括信息技术上的数据连接,例如公知的OSI层模型(“Open Systems Interconnection Reference Model”)的分配给各个数据接口的直到层4的数据抽象等级。
在图1中示出作为串行接口的数据接口2b,在该串行接口上可以连接串行数据传输线。数据接口2c是设置在现场电气设备上的USB接口(USB=通用串行总线),用于连接USB数据传输线。通过串行接口2b和USB接口2c,其它设备(例如便携式计算机)通常可以借助于相对短的电缆连接与该现场电气设备连接。在此,将USB接口设计为比按照例如RS 232标准工作的串行接口显著更高的数据传输率。此外,通过USB接口除了可以将有源的电气设备(如便携式计算机),也可以将无源的数据存储器(例如USB棒)连接到现场电气设备上。
数据接口2d表示用于连接调制解调器的数据连接,其中,这种调制解调器允许对该现场电气设备进行远距离访问。原则上,数据接口2d可以被设计成允许连接调制解调器的任意的电气通信接口。例如,数据接口2d也可以是串行接口或者USB接口。
最后,数据接口2e表示以太网接口,通过其可以将现场电气设备按照以太网标准连接到数据网络中。由此,可以将该现场电气设备例如与公司内联网或者甚至因特网连接。也可以通过以太网接口2e将现场电气设备1例如按照国际的IEC 61850标准连接到现场设备网络中。
现场电气设备还具有识别装置3,后者与识别数据库4相连接。识别装置3还与安全装置5相连接。在安全装置5之后示出了高度示意性的设备功能模块6a至6g。这些设备功能模块6a至6g表示现场电气设备1的基本功能,例如,对于在现场电气设备1中设置的电气参数的读取功能,或者用于断开或接通在该现场电气设备上连接的功率开关的开关功能。通常,识别装置3、识别数据库4、安全装置5以及设备功能模块6a至6g不是作为分离的电气部件出现在现场电气设备1中的,而是作为设备软件的程序模块构成的。
通过识别装置3、识别数据库4和安全装置5的相互作用,保证了:独立于电气数据接口2a至2e(通过这些接口用户与现场电气设备1建立通信),仅仅由被授权的用户才可以实施现场电气设备1的被保护功能。下面,将根据在图1中示例性表示的五种数据接口对这点进行说明。
首先,考虑在现场电气设备的用户通过本地输入设备(即通过数据接口2a)访问该现场电气设备的条件下,一种用于实施现场电气设备1的被保护功能的方法。为此,该用户采用在该现场电气设备上提供的键盘和显示器,以便调用该现场电气设备的不同功能。为了更简单的清楚起见,通常将这些功能按照所谓的功能菜单来安排,正如目前从计算机领域中不同的应用程序所了解的那样。用户可以借助于键盘通过在现场电气设备的显示器上所显示的功能菜单导航,并且选择该现场电气设备的待实施的功能。如果用户选择了该现场电气设备的被保护功能(例如断开电气功率开关),则该现场电气设备向用户要求输入为其授权执行该被保护功能的口令。用户通过键盘输入相应的口令,该口令作为发出者特有的数据被附加到这样的命令数据上,即,该命令数据规定对现场电气设备的被保护功能的功能调用。识别装置接收该带有按照口令数据形式的发出者特有的数据的命令数据,并且将其传送至识别数据库4上。识别数据库4根据该口令数据确定发出者特性数据,该发出者特性数据标志着该命令数据的发出者、即在现场电气设备的键盘上操作的用户。该发出者特性数据被送回到识别装置3。识别装置3将发出者特性数据附加到用于调用现场电气设备1的被保护功能的命令数据上,并且将该数据组传送至安全装置5。该安全装置5检查该随着命令数据传送的发出者特性数据是否被允许实施现场电气设备1的被保护功能,也就是说在本例的情况下,在现场电气设备上操作的用户是否被授权断开功率开关。如果安全装置5确定了肯定的结果,即,该用户被授权实施被保护功能,则其将该功能调用传送至现场电气设备1的带有所希望的被保护功能的对应的功能模块,例如传送至功能块6d。现场电气设备1的对应的功能模块据此执行对应的功能。不过,如果安全装置5确定该发出者特性数据不被允许实施所希望的现场电气设备1的被保护功能,即,该用户未被授权实施现场电气设备1的该被保护功能,则该安全装置拒绝对所希望的现场电气设备1的被保护功能的实施。在这种情况下,因此功率开关不通过功能模块6d被断开。
在第二种待考虑的情况下,通过串行数据接口2b在现场电气设备1的用户和现场电气设备1之间建立了通信连接。例如,可以在该串行接口2b上连接串行数据电缆,该串行数据电缆在其另外一端上连接了外部的数据处理装置,例如便携式计算机。用户此时不再在现场电气设备1上本地地通过键盘输入功能调用,而是为此采用通过串行接口2b连接的便携式计算机。例如,用户可以通过该便携式计算机向现场电气设备传送功能调用,利用该功能调用要改变该现场电气设备的特定的涉及安全的参数。在这种情况下,本发明方法类似于上面对于本地数据接口所描述的方法那样地处理。再次向在便携式计算机上的用户要求口令输入,根据该口令输入可以确定用户的识别。然后,可以利用安全装置5进行检查,看该用户是否被授权执行所希望的现场电气设备1的被保护功能,在此即为改变该现场电气设备1的涉及安全的参数。只有在肯定的检查结果条件下,才执行对应的功能而改变设备的参数设置。
与此类似,在具有USB接口的现场电气设备的条件下,便携式计算机还可以通过USB接口2c与该现场电气设备连接,并且通过该接口传送用于执行现场电气设备的被保护功能的功能调用。在这种情况下,本发明方法原则上同样如同对于串行接口所描述的那样处理。
此外,另一种采用在现场电气设备1上的USB接口2c的可能性在于,用户利用现场电气设备(具体为通过本地数据接口、即键盘和显示器)建立一种通信连接,而额外地将诸如USB棒的无源数据存储模块与该现场电气设备1连接。在此,该USB棒可以包含作为发出者特有的数据的密钥数据,该密钥数据代替口令数据被传送至识别装置3上。识别装置3可以根据该密钥数据在与识别数据库4相互作用的条件下确定发出者的识别。不过,其它的方法则是类似地处理的;也就是说,识别数据库4根据以密钥数据形式的发出者特有的数据,确定用于识别命令数据的发出者的发出者特性数据,并且将该发出者特性数据连同命令数据一起传送至安全装置5。后者再次检查该发出者特性数据是否被授权实施所希望的现场电气设备1的被保护功能。
通过数据接口2d可以将调制解调器与现场电气设备1连接,通过该调制解调器允许对现场电气设备1的远距离访问。这种远距离访问可以原则上类似于通过串行接口2b或者通过USB接口2c对现场电气设备1的本地访问那样地进行。在这种情况下,再次将口令数据或密钥数据传送至识别装置3作为发出者特有的数据。不过,根据在通信连接中所采用的通信协议的不同,也将标志着发出者数据处理装置的识别数据作为发出者特有的数据传送至识别装置3。
这点将结合以现场电气设备1的太网数据接口2e更详细地进行解释。通过该以太网数据接口2e通常进行对现场电气设备1的远距离访问。不过,发出者数据处理装置也可以通过相对短的以太网通信电缆本地地与现场电气设备连接。在通过以太网数据接口2e对现场电气设备1的访问的条件下,特别要区分两种通信连接,即,基于会议的通信连接和无会议的通信连接。
目前,通过以太网接口的无会议的(“session less”)通信连接还是被最为广泛地采用。例如,按照由因特网技术中公知的“http”通信协议实现该通信连接。关于这点,无会议意味着在命令数据的发出者与接收者(即现场电气设备)之间没有建立固定的通信连接。例如,可以将无会议的通信连接与邮件发送进行比较。在此,即是将命令数据封装在包封中,该包封针对的是收信人(这种情况下是现场电气设备)。例如,通过所谓的IP地址或者MAC地址确定该收信人。此外,在该包封上还按照标志着在该包封中命令数据的发出者的识别数据的形式规定了发出者特有的数据。例如,在无会议的通信连接的条件下该识别数据规定了发出者数据处理装置的MAC地址。识别装置3和识别数据库4可以根据该识别数据确定发出者的识别或者发出者数据处理装置的识别。如果该发出者数据处理装置被分级为值得信任(例如如下的情况:发出者数据处理装置是记录于识别数据库的用于控制电能供应网的监控室中的操纵站),则将对应的发出者特性数据从识别数据库4传送至识别装置3,而安全装置5可以根据该发出者特性数据允许对于对应的现场电气设备的被保护功能的访问。如果发出者数据处理装置的识别数据不被识别数据库4识别,或者该识别数据不是值得信任的,则在命令数据上不附加或者附加别的发出者特性数据,而安全装置5则拒绝对现场电气设备1的该被保护功能的访问。
在另一种情况下,即基于会议的(“session based”)通信连接的情况下,在发出者和现场电气设备1之间建立固定的通信通道。这点例如可以与两个通信伙伴之间通过模拟电话线的通话相比。在此,在开始通信建立之时,利用命令数据传送按照密钥数据形式的发出者特有的数据,识别数据库4可以根据该密钥数据确定用于识别发出者的发出者特性数据。此外的方法与关于其余数据接口2a至2d的描述那样地进行。
下面,要根据图2和图3描述,识别数据库4是如何可以根据发出者特有的数据确定发出者特性数据的。
为此,图2示出了识别数据库4的示意图。通过输入的箭头20将发出者特有的数据的从识别装置3传送至识别数据库4。识别数据库4通过数据输入端口21接收该发出者特有的数据。识别数据库4根据在其中所存储的第一分配表22确定由该发出者特有的数据所规定的发出者。这点可以带来对发出者的精确到人的识别。在这种情况下,必须为该现场电气设备1的每个可能的用户在识别数据库4中提供一个条目,并且现场电气设备的每个可能的用户必须具有一个其自己的发出者特有的数据。不过,通常仅仅确定发出者的用户类型就足够了。例如,一种用户类型可以表示现场电气设备的“参数化的人”。这种情况下,与用户类型“参数化的人”所对应的是所有通常允许处理现场电气设备的参数化任务的所有的人员。另外可能的用户类型是“读出的人”,其尽管被允许读出现场电气设备的设置,但不能改变这些设置;以及“试运行的人”,其被允许在现场电气设备上改变所有的设置,但是不能利用该现场电气设备进行切换操作。在此,如下的情况就足够了:所有属于一种用户类型的人员利用命令数据向现场电气设备传送同样的发出者特有的数据,而仅仅根据在识别数据库4中唯一的条目确定发出者的用户类型。正如上面提到的那样,对发出者的精确的识别是不必要的。由此,特别是显著地缩短了现场电气设备的试运行阶段,因为在识别数据库4中只要实现显著更少的条目。
也就是说,按照在图2中示出的例子,根据第一分配表22为通过数据输入端口21到达的发出者特有的数据分配规定发出者的用户类型的类型数据。识别数据库按照第二分配表23将该类型数据与该用户类型被允许的访问权限数据相关联。该访问权限数据分别规定有关用户类型被允许执行的设备功能。例如,为用户类型“参数化的人”分配诸如与“读出设备参数”、“改变设备参数”、“存储设备参数”、“测试设备参数”的设备功能相应的“访问权限数据”。为用户类型“操作的人”提供例如用于“在功率开关上进行切换(断开)”和“在功率开关上进行切换(接通)”的设备功能的访问权限。
通过数据输出端口24将按照第二分配表23所确定的访问权限数据沿着箭头25送回至识别装置3。连接在识别装置3之后的安全装置5可以根据该访问权限数据针对用于实施被保护功能的授权进行检查。
在按照图2的例子中还要提及的是,还存在如下的可能性:借助于识别数据库仅仅根据第一分配表22来确定规定用户类型的类型数据,并且将该类型数据通过输出端口24传递至识别装置3和安全装置5。在这种情况下,安全装置5必须具有一个与第二分配表23相对应的分配表,该分配表为所确定的类型数据分配对应的访问权限数据。
图3示出了对于图2的一种替代的可能性:如何可以利用识别数据库来确定发出者特性数据。图3基本上对应于图2。因此,图2和3中的统一的部件也被标记了相同的参考标记。类似于图2,沿着箭头20将发出者特有的数据的从识别装置3传送至识别数据库4。识别数据库4利用数据输入端口21接收该发出者特有的数据。借助于第一分配表22为该发出者特有的数据分配规定发出者的用户类型的类型数据。
不过,现在首先在中间接入的分配表26将角色数据与这些类型数据对应。角色数据规定了由对应的用户类型通常所表示的用户角色。换言之,角色数据规定了由对应的用户类型通常待执行的任务范围。例如,可以将任务范围“参数化”和“测试”与用户类型“参数化的人”对应。用户类型“操作的人”则例如与角色数据“执行开关操作”和“读出测量值”对应。借助于第二分配表23将更细致分级的访问权限数据分配给只有这样所确定角色数据。例如,为角色数据“执行开关操作”分配“执行对功率开关的切换(断开)”和“执行对功率开关的切换(接通)”的访问权限。
类似于在图2中那样,将按照这种方式所确定访问权限数据作为发出者特性数据通过识别数据库4的数据输出端口24传递至识别装置3。按照图3的实施例的优点在于,已经可以由现场电气设备的制造商进行对识别数据库4的尽可能的预先配置。即,这样可以为所有的设备功能已经分配对应的访问权限数据,而又根据第二分配表23将这些访问权限数据划分到对应的任务范围中并且由此被分配给对应的角色数据。最后,还仅仅需要与现场电气设备的制造商关于对应的用户类型达成协议,并且根据在中间接入的分配表26为这些用户类型分配对应的角色数据。由此,显著地缩短了在现场电气设备的制造商处的配置阶段。因为这种配置阶段通常带有极其巨大的花费,因此通过制造商处的预先配置可以节省巨大开销。
最后,要根据图4解释如何可以在基于会议的通信连接的条件下确定发出者的识别。为此,采用允许对命令数据签名的所谓的证书。例如,可以采用按照目前版本3或更高版本的、在电子加密技术中公知的证书X.509。在这种情况下,该证书包含三个密钥:用户的密钥对,以及用于规定该证书的真实性的公共的证书密钥,其中,用户的密钥对由一个也为现场设备已知的用户的密钥以及一个仅仅由用户知道的用户的私有密钥组成。
首先,现场电气设备根据随着命令数据被传送来的公共的证书密钥进行检查,看其是否由与在该现场电气设备中提供的证书相同的证明中心(Zertifizierungsstelle)所颁布的。根据该公共的证书密钥检查:该发出者是否由对于现场设备1(或者现场设备1为其组成部分的整个自动化设备)规定的证明中心所授权,即是否被归类为值得信任。在此,如果发出者被识别为值得信任,则检查该发出者是否实际上与该证书的拥有者一致。为此,对于采用分配给该发出者的公共密钥。为此,该发出者仅仅需要对于该证书的证书拥有者可得到的私有的证书密钥。因此要求该发出者利用其私有的证书密钥对任意的文本(例如随机的符号串)进行签名。可以利用证书的公共密钥检查该签名的有效性。
下面,借助于图4更具体地解释该过程:
为了可靠地识别命令数据的发出者以及为了构造安全的通信通道,而执行在图4中所示出的方法。在此,第一方框41表示在现场电气设备中的过程,而第二方框42表示在现场电气设备的用户处在发出者数据处理装置上的过程。
在此,在第一步骤43中,由现场电气设备产生随机字符串RND,并且利用现场电气设备的用户的公共密钥进行加密。加密在步骤44中完成。在步骤45中,加密后的随机字符串RND出现在现场电气设备上。如通过箭头46所示出的那样,将前者传送到发出者数据处理装置上。在步骤47中,该加密后的随机字符串出现在用户的发出者数据处理装置上,并且在步骤48中,借助于属于电气用户的该公共密钥的私有密钥(其被存放在该发出者数据处理装置上),对该加密后的随机字符串进行解密。为此,要求由发出者数据处理装置的用户输入代码字符串。在步骤51中表示出了这点。这样,通过输入代码字符串或者PIN(PIN=个人身份号码),激活了用户的私有密钥的使用。在步骤49中,此时解密后的随机字符串RND出现在发出者数据处理装置上。
在步骤50中,此时借助于现场电气设备的公共密钥(其为用户所已知,或者是例如随着命令数据被传送来的),对该解密后的随机字符串重新进行加密。在步骤52中,随机字符串RND按照重新加密的形式出现在发出者数据处理装置上。
该被重新加密后的随机字符串RND在步骤53中被传送回到现场电气设备上,并且在步骤54中出现在现场电气设备上。在步骤55中,在采用现场电气设备的私有密钥的条件下,对该随机字符串进行解密。最后,在步骤56中,该随机字符串RND又按照被解密的形式出现在现场电气设备上,并且可以将其与按照步骤43的原始随机字符串进行比较。如果两者一致,则明确地识别了发出者,并且在现场电气设备与用户之间建立起安全的通信连接。可以将该随机字符串用来对在用户和现场电气设备之间所交换的数据进行解密。
此时,现场电气设备已经根据随着命令数据所传送来的用户的公共密钥确定了用户的识别,并且根据随后借助所述随机字符串的检查对该识别进行了验证。其它的方法类似于在上面所描述方式进行。
最后还要指出的是,带有用户的对应密钥的证书也可以例如出现在用户的USB棒上而不是在发出者数据处理装置上,该USB棒通过USB接口与现场电气设备连接。如本文更前面部分已经提到的那样,在这种情况下,通过在现场电气设备上的本地输入装置和显示器建立与该现场电气设备的通信连接。不过,现场电气设备调用在USB棒上的证书,而不是输入口令数据,也就是说,在采用在USB棒上存储的证书的条件下,类似于在图4中所示出的并且在上面解释的方法,在现场电气设备和用户之间建立一种安全的通信连接。在这种情况下,按照步骤51的用于对私有密钥激活的PIN输入,也由用户直接地通过在电气设备上的输入键盘进行。这点的优点在于,用户不需要记住不同的口令数据,而是仅需要记住属于对应的USB棒的代码字符串或者PIN。
Claims (13)
1.一种用于实施现场电气设备(1)的被保护功能的方法,其中,执行如下步骤:
-由所述现场电气设备(1)接收命令数据,该命令数据指定用于实施该现场电气设备(1)的被保护功能的功能调用;
-由该现场电气设备(1)的识别装置(3)确定表征所述命令数据的发出者的发出者特性数据,并且将其附加在该命令数据上;
-由安全装置(5)接收扩展了所述发出者特性数据的命令数据,并且检查该命令数据是否允许执行由该命令数据所指定的所述现场电气设备(1)的被保护功能,其中,
-在存在许可的情况下,将该命令数据传送给所述被保护功能并且执行该命令数据,以及
-在缺少许可的情况下,拒绝对该被保护功能的实施。
2.根据权利要求1所述的方法,其特征在于,为了确定发出者特性数据,
-由所述识别装置(3)将与所述命令数据相关联的表示发出者的发出者特有的数据传递给识别数据库(4),
-由所述识别数据库(4)确定与所述发出者特有的数据对应的发出者特性数据,并且
-将所确定的发出者特性数据返回到所述识别装置(3)上。
3.根据权利要求2所述的方法,其特征在于,
-由所述识别数据库(4)根据所述发出者特有的数据确定指定该发出者的用户类型的类型数据,并且将其作为发出者特性数据返回到所述识别装置(3)上,以及
-由所述安全装置(5)根据该类型数据检查对该发出者的用于执行被保护功能的许可。
4.根据权利要求2所述的方法,其特征在于,
-由所述识别数据库(4)根据所述发出者特有的数据确定指定该发出者的用户类型的类型数据,
-由该识别数据库(4)根据所述类型数据确定与该发出者的用户类型对应的访问权限数据,并且将其作为发出者特性数据返回到所述识别装置(3)上,以及
-由所述安全装置(5)根据该访问权限数据检查对该发出者的用于执行被保护功能的许可。
5.根据权利要求4所述的方法,其特征在于,
-由所述识别数据库(4)根据所述类型数据首先确定指定该发出者的用户角色的角色数据,
-由该识别数据库(4)根据所确定的角色数据确定与其相关联的访问权限数据,并且
-将所确定的访问权限数据作为所述发出者特性数据返回到所述识别装置(3)上。
6.根据权利要求2至5中任一项所述的方法,其特征在于,
-在所述发出者和现场电气设备(1)之间的无会议的通信连接的情况下,所述发出者特有的数据包含指定发出者数据处理装置的识别数据,以及
-由所述识别数据库(4)为所述识别数据分配所述发出者特性数据。
7.根据权利要求6所述的方法,其特征在于,
-采用所述发出者数据处理装置的MAC地址作为所述识别数据。
8.根据权利要求2至5中任一项所述的方法,其特征在于,
-在所述发出者和现场电气设备(1)之间的基于会议的通信连接的情况下,所述发出者特有的数据包含该发出者的密钥数据,以及
-由所述识别数据库(4)为所述密钥数据分配所述发出者特性数据。
9.根据权利要求8所述的方法,其特征在于,
-建立外部无源数据存储模块与所述现场电气设备(1)之间的通信连接,以及
-将所述密钥数据从所述外部无源数据存储模块上的存储区域传送至所述识别装置(3)上。
10.根据权利要求2至5中任一项所述的方法,其特征在于,
-在借助于输入装置在所述现场电气设备(1)上建立所述发出者与该现场电气设备(1)之间的通信连接的情况下,所述发出者特有的数据包含由该发出者输入的口令数据。
11.一种现场电气设备(1),其包括至少一个数据接口(2a,2b,2c,2d,2e),通过所述数据接口可以建立用于传送命令数据的通信连接,所述命令数据用于实施该现场电气设备(1)的被保护功能,
其特征在于,
-利用所述数据接口(2a,2b,2c,2d,2e)与识别装置(3)连接,其中,将所述识别装置(3)构造为:其将表征所述命令数据的发出者的发出者特性数据附加在通过该数据接口(2a,2b,2c,2d,2e)所接收的命令数据上;以及
-安全装置(5)与该识别装置(3)连接,其中,将所述安全装置(5)构造为:其检查扩展了所述发出者特性数据的命令数据是否具有执行所述现场电气设备(1)的被保护功能的许可,并且仅仅在存在许可的情况下,才允许执行所述被保护功能。
12.根据权利要求11所述的现场电气设备(1),其特征在于,
-所述识别装置(3)具有识别数据库(4),将所述识别数据库(4)构造为:其根据在所述命令数据中包含的发出者特有的数据确定所述发出者特性数据。
13.根据权利要求11或12所述的现场电气设备(1),其特征在于,
-所述数据接口(2c,2e)是以太网接口、USB接口或者串行接口。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/DE2005/001751 WO2007036178A1 (de) | 2005-09-29 | 2005-09-29 | Verfahren zum ausführen einer geschützten funktion eines elektrischen feldgerätes und elektrisches feldgerät |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101297247A true CN101297247A (zh) | 2008-10-29 |
Family
ID=36407560
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA200580051953XA Pending CN101297247A (zh) | 2005-09-29 | 2005-09-29 | 实施现场电气设备的被保护功能的方法以及现场电气设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8132240B2 (zh) |
| EP (1) | EP1932066A1 (zh) |
| CN (1) | CN101297247A (zh) |
| DE (1) | DE112005003771A5 (zh) |
| WO (1) | WO2007036178A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106506452A (zh) * | 2016-09-30 | 2017-03-15 | 国网北京市电力公司 | 配网设备的配置方法和系统 |
| CN108292348A (zh) * | 2015-10-12 | 2018-07-17 | 德莱赛公司 | 装置功能性控制 |
| CN109669432A (zh) * | 2017-10-13 | 2019-04-23 | 横河电机株式会社 | 设定系统、设定装置、设定方法及设定程序 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102007062915A1 (de) * | 2007-12-21 | 2009-06-25 | Endress + Hauser Process Solutions Ag | Verfahren zum Betreiben einer speicherprogrammierbaren Steuerung |
| WO2009092399A1 (de) * | 2008-01-24 | 2009-07-30 | Siemens Aktiengesellschaft | Feldgerät und verfahren zu dessen betrieb |
| WO2009100733A1 (de) * | 2008-02-11 | 2009-08-20 | Siemens Aktiengesellschaft | Sichere übermittlung von daten an ein feldgerät |
| DE102008010864A1 (de) * | 2008-02-25 | 2009-08-27 | Endress + Hauser Process Solutions Ag | Verfahren zum Betreiben eines Feldgerätes |
| DE102008022655B4 (de) | 2008-05-07 | 2018-08-09 | Sew-Eurodrive Gmbh & Co Kg | Verfahren zur sicheren Bedienung eines elektrischen Geräts und elektrisches Gerät |
| EP2139162B1 (en) | 2008-06-26 | 2011-11-16 | ABB Research Ltd. | Configuring of an intelligent electronic device |
| CH706997A1 (en) | 2012-09-20 | 2014-03-31 | Ferag Ag | Access control on operating modules of a control unit. |
| DE102014105076A1 (de) * | 2014-04-09 | 2015-10-15 | Krohne Messtechnik Gmbh | Verfahren zum gesicherten Zugriff auf ein Feldgerät |
| US20190084638A1 (en) * | 2017-09-21 | 2019-03-21 | Thomas W. Melcher | Leaning Quad-Wheeled All-Terrain Vehicle |
| EP3657285B1 (de) * | 2018-11-26 | 2023-05-10 | Siemens Aktiengesellschaft | Einbindung von technischen modulen in eine übergeordnete steuerungsebene |
| EP3798754A1 (de) * | 2019-09-27 | 2021-03-31 | Siemens Schweiz AG | Verfahren zum automatischen anmelden eines benutzers an einem feldgerät und automationssystem |
| CN112491929B (zh) * | 2020-12-15 | 2023-06-20 | 北京四方继保工程技术有限公司 | 一种基于数纹特征识别的信息安全方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6988025B2 (en) * | 2000-11-28 | 2006-01-17 | Power Measurement Ltd. | System and method for implementing XML on an energy management device |
| US5768119A (en) * | 1996-04-12 | 1998-06-16 | Fisher-Rosemount Systems, Inc. | Process control system including alarm priority adjustment |
| US6868538B1 (en) * | 1996-04-12 | 2005-03-15 | Fisher-Rosemount Systems, Inc. | Object-oriented programmable controller |
| US5909368A (en) * | 1996-04-12 | 1999-06-01 | Fisher-Rosemount Systems, Inc. | Process control system using a process control strategy distributed among multiple control elements |
| US5980078A (en) * | 1997-02-14 | 1999-11-09 | Fisher-Rosemount Systems, Inc. | Process control system including automatic sensing and automatic configuration of devices |
| DE19812424A1 (de) * | 1998-03-20 | 1999-09-23 | Moeller Gmbh | Passwortschutz |
| US7069580B1 (en) * | 2000-06-16 | 2006-06-27 | Fisher-Rosemount Systems, Inc. | Function-based process control verification and security in a process control system |
| ES2215804T3 (es) * | 2001-04-03 | 2004-10-16 | Beta Systems Software Ag | Creacion automatica de roles para un sistema de control de acceso basado en roles. |
| US6782294B2 (en) * | 2002-03-22 | 2004-08-24 | Arecont Intellectual Property Holdings, Llc | Internet based distributed control system |
-
2005
- 2005-09-29 DE DE112005003771T patent/DE112005003771A5/de not_active Withdrawn
- 2005-09-29 US US12/088,600 patent/US8132240B2/en active Active
- 2005-09-29 CN CNA200580051953XA patent/CN101297247A/zh active Pending
- 2005-09-29 EP EP05792491A patent/EP1932066A1/de not_active Ceased
- 2005-09-29 WO PCT/DE2005/001751 patent/WO2007036178A1/de active Application Filing
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108292348A (zh) * | 2015-10-12 | 2018-07-17 | 德莱赛公司 | 装置功能性控制 |
| CN106506452A (zh) * | 2016-09-30 | 2017-03-15 | 国网北京市电力公司 | 配网设备的配置方法和系统 |
| CN109669432A (zh) * | 2017-10-13 | 2019-04-23 | 横河电机株式会社 | 设定系统、设定装置、设定方法及设定程序 |
| CN109669432B (zh) * | 2017-10-13 | 2022-07-26 | 横河电机株式会社 | 设定系统、设定装置及设定方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8132240B2 (en) | 2012-03-06 |
| DE112005003771A5 (de) | 2008-08-28 |
| US20080282332A1 (en) | 2008-11-13 |
| WO2007036178A1 (de) | 2007-04-05 |
| EP1932066A1 (de) | 2008-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101297247A (zh) | 实施现场电气设备的被保护功能的方法以及现场电气设备 | |
| CN107644154A (zh) | 过程工厂中的用户接口设备的双因素认证 | |
| US9510195B2 (en) | Secured transactions in internet of things embedded systems networks | |
| CN109918936B (zh) | 基于b/s架构的分布式配电网运维方法和系统 | |
| EP3355521B1 (en) | Smart home service server and control method therefor | |
| CN100464336C (zh) | 一种控制系统帐号权限的方法 | |
| CN103106744B (zh) | 嵌有信息安全管理模块的物联网智能燃气表 | |
| US10789392B2 (en) | System and method for administering physical security access to components of a process control system | |
| CN107450386B (zh) | 模块化安全控制装置 | |
| US20020162005A1 (en) | Access right setting device and manager terminal | |
| US20130086646A1 (en) | Method to Safeguard the Authorized Access to a Field Device used in Automation-Technology | |
| CN103369667B (zh) | 无线通信系统 | |
| CN104053148A (zh) | 配置安全无线网络 | |
| CN105551120A (zh) | 楼宇对讲方法、nfc开锁设备和楼宇对讲系统 | |
| CN106780893A (zh) | 一种互联网智能门锁及系统 | |
| CN106888452A (zh) | 从计算机向至少一个现场设备无线发送数据的无线加密收发器和方法 | |
| KR101854821B1 (ko) | 모바일 기기를 필드 기기에 연결하기 위한 장치 및 방법 | |
| CA3080097A1 (en) | Managing and controlling access to secured areas | |
| DK2548358T3 (en) | Method for dynamic authorization of a mobile communication device | |
| Keemink et al. | Security analysis of Dutch smart metering systems | |
| CN111541698B (zh) | 一种基于电力配电的数据采集系统及采集方法 | |
| CN103198574A (zh) | 嵌有信息安全管理模块的远控智能水表 | |
| CN103220131A (zh) | 智能燃气表信息安全管理模块 | |
| CN104541488A (zh) | 保护机密数据机密性的验证系统 | |
| KR101887384B1 (ko) | 스카다 시스템 및 그 동작 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1120875 Country of ref document: HK |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20081029 |
|
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1120875 Country of ref document: HK |