CN103748526A - 提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统 - Google Patents
提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统 Download PDFInfo
- Publication number
- CN103748526A CN103748526A CN201280041023.6A CN201280041023A CN103748526A CN 103748526 A CN103748526 A CN 103748526A CN 201280041023 A CN201280041023 A CN 201280041023A CN 103748526 A CN103748526 A CN 103748526A
- Authority
- CN
- China
- Prior art keywords
- automation equipment
- date
- certificate
- data
- operator data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Abstract
本发明涉及一种提供用于自动化设备(1)的自动化装置(2)的装置专用操作者数据的方法和系统,所述自动化装置借助于至少一个认证凭证相对于自动化设备(1)的认证服务器(7)进行自身认证,其中,在存在用于自动化装置(2)的自动化设备(1)的设备操作者的最新的装置专用操作者数据时,将这些最新装置专用操作者数据与认证装置(2)的认证凭证相链接。
Description
技术领域
本发明涉及一种提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统,特别是提供用于自动化控制装置、特别是连接至现场总线的SPS控制装置或现场装置的装置专用操作者数据的方法和系统。
背景技术
在能够将自动化装置用在自动化设备中与其它自动化装置共同起作用之前,必须对自动化装置进行配置。因此,在传统的自动化设备或自动化系统中,在将其真正投入使用之前将自动化装置参数化。这种参数化可以包含一般的配置数据、例如IP地址,或使用专用的配置数据、例如自动化装置的开关动作时间。另外,还可以在运行过程中重新配置自动化装置。因为防篡改的安全性越来越多地成为这种自动化装置不可缺少的组成部分,所以越来越多地提供具有安全特征或认证凭证的自动化装置。在传统自动化设备中,不受保护地将自动化设备的设备操作者的装置专用操作者数据提供给自动化装置,于是,只要第三方能够访问自动化设备就能够篡改这些数据。
发明内容
因此,本发明的目的在于实现一种安全地提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统,其中即使第三方能够访问自动化设备也不可能篡改自动化设备的设备操作者的装置专用操作者数据。
根据本发明,这一目的通过具有在权利要求1中给出的特征的方法来实现。
因此,本发明实现了一种提供用于自动化设备的自动化装置的装置专用操作者数据的方法,所述自动化装置借助于至少一个认证凭证相对于自动化设备的认证服务器进行自身认证自身,其中,在存在用于自动化装置的自动化设备的设备操作者的最新装置专用操作者数据时,将这些最新装置专用操作者数据与自动化装置的认证凭证相链接。
在根据本发明的方法的可能的实施方式中,由自动化装置的装置证书构成认证凭证。
在根据本发明的方法的可能的实施方式中,用于自动化装置的最新装置专用操作者数据具有用于配置自动化装置的配置数据。
在根据本发明的方法的另一种可能的实施方式中,用于自动化装置的最新装置专用操作者数据具有用于自动化装置的固件数据。
在根据本发明的方法的另一种可能的实施方式中,用于自动化装置的最新装置专用操作者数据具有由自动化装置控制的装置的参数数据。
在根据本发明的方法的另一种可能的实施方式中,将最新装置专用操作者数据写进用于自动化装置的装置证书的属性证书中,以便于将最新装置专用操作者数据与自动化装置的装置证书相链接。
在根据本发明的方法的另一种可能的实施方式中,将用于为最新装置专用操作者数据定址的地址写进自动化装置的装置证书中,以便于将最新装置专用操作者数据与自动化装置的装置证书相链接。
在根据本发明的方法的另一种可能的实施方式中,根据装置专用的序列号测定用于为最新装置专用操作者数据定址的地址,其中序列号包含在自动化装置的装置证书中。
在根据本发明的方法的另一种可能的实施方式中,将最新装置专用操作者数据作为经过编码的属性数据写进自动化装置的装置证书中,以便于将最新装置专用操作者数据与自动化装置的装置证书相链接。
在根据本发明的方法的另一种可能的实施方式中,自动化装置以有规律的时间间隔或在出现事件时询问是否存在用于自动化装置的设备操作者的最新装置专用操作者数据。
在根据本发明的方法的另一种可能的实施方式中,由自动化设备的策略执行服务器(Policy Enforcement Server)将最新装置专用操作者数据与认证凭证相链接。
在根据本发明的方法的另一种可能的实施方式中,策略执行服务器从配置服务器获得最新装置专用操作者数据。
在根据本发明的方法的另一种可能的实施方式中,在认证服务器向策略执行服务器报告自动化装置相对于认证服务器成功认证之后,策略执行服务器将最新装置专用操作者数据与认证凭证相链接。
在根据本发明的方法的另一种可能的实施方式中,以数字形式为最新装置专用操作者数据签名。
在根据本发明的方法的另一种可能的实施方式中,至少一个认证凭证具有装置证书和/或密钥和/或密钥对。
本发明还实现了一种具有权利要求14中所述特征的、提供用于自动化设备的自动化装置的装置专用操作者数据的系统。
因此,本发明实现了一种提供用于自动化设备的自动化装置的装置专用操作者数据的系统,自动化装置借助于至少一个认证凭证对自动化设备的认证服务器进行自身认证,其中,在存在用于自动化装置的自动化设备的设备操作者的最新装置专用操作者数据时,通过自动化设备的策略执行服务器将这些最新装置专用操作者数据与自动化装置的认证凭证相链接。
在根据本发明的系统的另一种可能的实施方式中,只要策略执行服务器一得到自动化装置相对于自动化设备的认证服务器成功认证的报告,策略执行服务器就从配置服务器获得最新装置专用操作者数据并将其与自动化装置的认证凭证相链接。
在根据本发明的系统的可能的实施方式中,自动化装置具有自动化控制装置、SPS控制装置或现场装置。
附图说明
下文中参考附图对提供用于自动化设备的自动化装置的装置专用操作者数据的、根据本发明的方法和根据本发明的系统的可能的实施方式进行详细描述。
图中示出:
图1是说明根据本发明的系统的可能的实施例的框图,该系统用于提供用于自动化设备的自动化装置的装置专用操作者数据;
图2是在根据本发明的方法和根据本发明的系统中在实施例中使用的证书的实例;
图3是可以在根据本发明的方法和根据本发明的系统中使用的证书的另一个实例。
具体实施方式
以下根据实施例对提供用于自动化设备的自动化装置的装置专用操作者数据的根据本发明的系统和根据本发明的方法进行描述。
如由图1识别出的,自动化设备1在图中示出的实施例中具有至少一个自动化装置2,该自动化装置例如可以通过现场总线3与其它装置4-1,4-2相连接。所述的其它装置4-1,4-2可以是自动化装置,特别是现场装置。自动化装置2在可能的实施方式中涉及用于通过总线、特别是现场总线3来控制其它装置4-1,4-2的自动化控制装置。另外,自动化装置2可以是SPS控制装置或现场装置。在图1示出的实施例中,自动化装置2通过Network Access Switch或网络接入开关5与数据网络系统6相连接。认证服务器7和策略执行服务器8与这个数据网络系统6相连接。另外,策略执行服务器8可以通过网络系统6或直接与配置服务器9相连接。自动化装置2具有至少一个认证凭证,借助于该认证凭证,自动化装置可以相对于自动化设备1的认证服务器7进行自身认证。这种认证凭证例如可以是自动化装置2的装置证书Z。在存在用于自动化装置2的自动化设备1的设备操作者的最新装置专用操作者数据时,将这些最新装置专用操作者数据与自动化装置2的认证凭证相链接。在可能的实施方式中可以通过图1示出的自动化设备1的策略执行服务器8实现将最新装置专用操作者数据与认证凭证进行这种链接。只要策略执行服务器8一得到自动化装置5相对于自动化设备1的认证服务器7成功认证的报告,策略执行服务器8就链接最新装置专用操作者数据。在可能的实施方式中,策略执行服务器8从配置服务器9获得最新装置专用操作者数据。
用于自动化装置2的最新装置专用操作者数据在可能的实施方式中具有用于配制自动化装置2的配置数据。另外,用于自动化装置2的最新装置专用操作者数据也可以包括用于自动化装置2的固件数据。另外,用于自动化装置2的最新装置专用操作者数据可以具有由自动化装置2控制的装置的参数数据。例如,这种参数数据包括图1中示出的装置4-1,4-2的数据,在这些装置通过现场总线3与自动化装置2相连接并且在可能的情况下由自动化装置2控制。这种最新装置专用操作者数据例如可以由图1中所示的配置服务器9提供。在可能的实施方式中,通过图1中所示的自动化设备1的策略执行服务器8将最新装置专用操作者数据与自动化装置2的认证凭证相链接。在可替换的实施方式中,也可以直接通过认证服务器7将设备操作者的装置专用操作者数据与认证凭证相链接。认证服务器7例如可以是AAA服务器。在可能的实施方式中,认证服务器7是用于执行对自动化装置2进行认证的认证服务器。在一种实施方式中,认证服务器7例如直接从配置服务器9获取装置专用操作者数据。在可能的实施方式中,以数字形式为最新装置专用操作者数据签名。
在可能的实施方式中,由自动化装置2的装置证书Z构成所使用的认证凭证。为了将最新装置专用操作者数据与自动化装置2的装置证书Z相链接,在可能的实施方式中将最新装置专用操作者数据写进用于自动化装置2的装置证书Z的属性证书中。在另一种可替换的实施方式中,为了将装置专用操作者数据与自动化装置2的装置证书Z相链接,将用于为最新装置专用操作者数据定址的地址写进自动化装置2的装置证书Z中。另外,在可能的变体中,根据装置专用序列号测定用于为最新装置专用操作者数据定址的地址,其中该序列号包含在自动化装置2的装置证书Z中。
在可能的实施方式中,将最新装置专用操作者数据作为经过编码的属性数据写进自动化装置2的装置证书Z中,以便于将最新装置专用操作者数据与自动化装置2的装置证书Z相链接。
在可能的实施方式中,自动化装置2以有规律的时间间隔询问是否存在用于自动化装置2的设备操作者的最新装置专用操作者数据,所述操作者数据例如由配置服务器9提供。在另一种可能的实施方式中,自动化装置2在出现特定事件时询问是否存在用于自动化装置2的设备操作者的最新装置专用操作者数据。在另一种可能的实施方式中,认证凭证由密钥或密钥对构成。
在根据本发明的系统中,在可能的实施方式中,将证书Z、特别是自动化装置2的装置证书用于传输自动化设备1的操作者的装置专用操作者数据,特别是用于传输配置数据。另外,在可能的实施方式中,操作者数据可以包括用于植入的装置或部分操作系统、特别是数据库或应用或者其部分中的整个装置映像或固件。这些数据例如可以与自动化装置2的装置级别或特殊装置类型的一般能力相协调,其中,在可能的实施方式中,数据可以考虑自动化装置2的特定装置类型的特殊软件版本状况。通过这种方式,在要消除特殊系统软件版本中的安全漏洞时也可以支持安全补丁下载。操作者数据或配置数据的持续时间可以与证书Z的有效期限或寿命不同。可以在更新证书时,特别是在直接将操作者数据或配置数据编码到证书中时,考虑这种实际情况。另外,特别是可以与自动化装置2的特定物理位置或自动化装置在自动化设备1内部的逻辑位置相协调地完成选择操作者数据或配置数据。这在可能的实施方式中可以通过认证服务器7与配置服务器9的连接来实现,所述的配置服务器也可以包含取决于位置的设计数据。
在可能的实施方式中,将操作者数据直接编码到证书Z、特别是装置证书中。另外,所述证书的大小可以增大,从而肯定能够使用为此所需的存储器。在另一种可能的实施变体方案中,证书Z具有装置专用的或系列专用的序列号,所述序列号与签发者和证书Z序列号一起充分提供信息,从而使服务器能够询问自动化设备1的操作者的可能的操作者数据或配置数据。在另一种实施方式中,证书Z包含设备操作者的网页链接,在所述网页中可以以装置配置数据库(Device Configuration Database)的形式储存可能的装置专用的操作者数据或配置数据。在另一种实施方式中,以数字形式为操作者提供使用的操作者数据签名,以便于保证这些数据完整,从而可以在设备的设计中将所述数据用于自动化。在可能的实施变体中,将装置专用的操作者数据写进用于自动化装置2的装置证书的属性证书中。在一种实施变体中,可以使用标识扩展(Typelogo Extension),以便于将装置或系列专用信息编码成为1D或2D条形码。在使用属性证书时,在有变化的情况下只须更新属性证书,其中,这可以简化操作,因为在这种情况下无需传输加密的密钥。在可能的实施变体中,在线进行对来自配置服务器9的配置数据库的操作者数据的询问。
在可能的实施变体中,直接在证书Z中对操作者数据、例如配置数据进行编码。
图2示出证书Z的实例,其中直接在自动化装置2的装置证书Z中对作为属性的配置数据进行编码。在这种情况下,将特殊的配置数据Config(配置)作为进一步的信息插入生产商的装置证书Z中。配置信息例如可以包括地址信息,以及对用于中断通信模块连接或由自动化装置2控制的发动机的预先确定的转数的装置专用设定,例如超时时间。证书Z例如具有作为证书ID的序列号SN。另外,证书Z包含签发者的为此设计的名称N1和签发者的名称N2。另外,证书Z提供从何时开始生效的时间说明和至何时失效的时间说明T2。除此之外,证书Z具有公共密钥Pk以及属性Att,例如属性Att-A,Att-B。在可能的实施方式中,以签名S为证书Z签名。图2示出的证书Z例如可以是扩展的X.509-证书。在使用证书Z时,如图2所示,在以下实施变体中实施提供用于例如如图1中所示的自动化设备1的自动化装置2的装置专用操作者数据的方法。
首先,自动化装置2在自动化服务器7处进行自身认证,以便于得到进入网络系统6的许可。认证服务器7例如是认证服务器。为了进行认证,使用自动化装置2的对认证服务器来说已知的操作者专用认证凭证。如果认证凭证是证书,就可以在可能的实施变体中使用基于证书的EAP方法,例如EAP-TLS。认证凭证包含位于自动化设备1内部的特殊使用位置处的自动化装置2的配置数据。
在自动化装置2相对于认证服务器7成功认证后,认证服务器7向网络接入开关5发送该网络接入开关可以将自动化装置2连接至网络系统6的通知。随后,可以进行自动化装置2的地址配置。
认证服务器7此时向策略执行服务器8发送认证装置2成功认证的报告。在这种情况下,例如一起发送自动化装置2的装置证书Z。
基于包含在装置证书Z中的配置数据,策略执行服务器8与自动化装置2的最新配置状态相联系,并在存在最新操作者数据时由配置服务器9请求这些最新装置专用操作者数据。
配置服务器9可以相应于自动化装置2的使用计划制订生成一套新的配置或操作者数据,并将这些最新装置专用操作者数据发送给策略执行服务器8。
策略执行服务器8基于包含在存在的装置证书Z中的公共密钥和最新操作者数据制订生成新的装置证书,并将该装置证书传输给认证服务器7。可替换地,在这种情况下也可以产生完整的密钥对,所述密钥对包含公共和私人的密钥。
策略执行服务器8将更新后的装置证书Z’和包含在其中的配置或操作者数据传输给自动化装置2。该自动化装置2更确切地说可以在更新后的操作者数据或配置数据的基础上对自身进行重新配置并重新登录网络系统。
在根据本发明的系统和方法的另一种可能的实施方式中,在装置证书Z中将配置链接或用于为最新装置专用操作者数据定址的地址写进自动化装置2的装置证书中,如图3所示。
在这种实施变体中,同样地首先在认证服务器7中进行对自动化装置2的认证,以便于得到进入网络系统的许可。认证凭证具有自动化装置2的操作者数据的链接。在成功认证之后,认证服务器向网络接入开关5发出该网络接入开关可以将自动化装置2连接至网络系统的指令。然后,认证服务器7向策略执行服务器8报告成功认证自动化装置2。在这种情况下,将自动化装置2的装置证书Z与包含在其中的链接一起发送。根据到操作者数据上的、包含在装置证书Z中的链接,策略执行服务器8对自动化装置2的最新配置状态进行检验,并在必要时向配置服务器9发送请求,以便于收到最新操作者数据。认证服务器7能够在可能的实施方式中取决于自动化装置2的最新使用计划制订生成一套新的操作者数据或配置参数,并将最新装置专用操作者数据发送给策略执行服务器8。配置服务器9相应于装置证书Z的链接中提供的信息为相应的自动化装置2储存最新的一套配置数据或操作者数据。为了保护配置或操作者数据完整无损,可以为其签名。如果将配置数据或操作者数据例如以XML编码,则可以将签名设置为XML文件的一部分。在可替换的实施方式中,可以将链接传输给策略执行服务器8。在一种实施方式中,链接和操作者数据或装置配置数据是装置专用的。策略执行服务器8将最新装置专用操作者-或配置数据传输给自动化装置2。可替换地,策略执行服务器8也可以将配置-或操作者数据链接传输给自动化装置2。如果配置或操作者数据完成更新,自动化装置2就可以紧接着将其报告给自动化设备1的策略执行服务器8。
在网络系统中使用自动化装置2的过程中采取与安全有关的措施可以保证自动化装置2的一般功能性不会通过连接的通信网络被滥用。在根据本发明的系统中可能的是,自动化装置2可以独立对自身进行配置或通过中央基础设施进行配置,所述的基础设施可以取决于添加的自动化装置2改变系统配置。通过植入装置证书Z,可以以密码的形式对配置信息或操作者数据进行保护。除此之外,将操作者或配置信息与装置类型或特殊的自动化装置2相链接,还可以支持自动化设备1的自动化的库存管理(Inventory Managements)以及策略执行过程。在可能的实施方式中,还将配置数据或操作者数据用作是否或在哪个子网络中接通自动化装置2的判据。
Claims (16)
1.一种提供用于自动化设备(1)的自动化装置(2)的装置专用操作者数据的方法,所述自动化装置借助于至少一个认证凭证相对于所述自动化设备(1)的认证服务器(7)进行自身认证,其中,在存在用于所述自动化装置(2)的所述自动化设备(1)的设备操作者的最新的所述装置专用操作者数据时,将最新的所述装置专用操作者数据与所述认证装置(2)的所述认证凭证相链接。
2.根据权利要求1所述的方法,其中,所述认证凭证由所述自动化装置(2)的装置证书(Z)构成。
3.根据权利要求1或2所述的方法,其中,用于所述自动化装置(2)的最新的所述装置专用操作者数据具有用于配置所述自动化装置(2)的配置数据、用于所述自动化装置(2)的固件数据、和/或由所述自动化装置(2)控制的装置(4)的参数数据。
4.根据前述权利要求2、3中任一项所述的方法,其中,将最新的所述装置专用操作者数据写进用于所述自动化装置(2)的所述装置证书(Z)的属性证书中,以便于将最新的所述装置专用操作者数据与所述自动化装置(2)的所述装置证书(Z)相链接。
5.根据前述权利要求2、3中任一项所述的方法,其中,将用于为最新的所述装置专用操作者数据定址的地址写进所述自动化装置(2)的所述装置证书(Z)中,以便于将最新的所述装置专用操作者数据与所述自动化装置(2)的所述装置证书(Z)相链接。
6.根据权利要求5所述的方法,其中,根据装置专用的序列号测定用于为最新的所述装置专用操作者数据定址的所述地址,其中所述序列号包含在所述自动化装置(2)的所述装置证书(Z)中。
7.根据前述权利要求2、3中任一项所述的方法,其中,将最新的所述装置专用操作者数据作为经过编码的属性数据写进所述自动化装置(2)的所述装置证书(Z)中,以便于将最新的所述装置专用操作者数据与所述自动化装置(2)的所述装置证书(Z)相链接。
8.根据前述权利要求1-7中任一项所述的方法,其中,所述自动化装置(2)以有规律的时间间隔或在出现事件时询问是否存在用于所述自动化装置(2)的所述设备操作者的最新的装置专用操作者数据。
9.根据前述权利要求1-8中任一项所述的方法,其中,由所述自动化设备(1)的策略执行服务器(8)将最新的所述装置专用操作者数据与所述认证凭证相链接。
10.根据权利要求9所述的方法,其中,所述策略执行服务器(8)从配置服务器(9)获得最新的所述装置专用操作者数据。
11.根据权利要求9或10所述的方法,其中,在所述认证服务器(7)向所述策略执行服务器(8)报告所述自动化装置(2)相对于所述认证服务器(7)成功认证之后,所述策略执行服务器(8)将最新的所述装置专用操作者数据与所述认证凭证相链接。
12.根据前述权利要求1-11中任一项所述的方法,其中,以数字形式为最新的所述装置专用操作者数据签名。
13.根据前述权利要求1-12中任一项所述的方法,其中,至少一个所述认证凭证具有装置证书和/或密钥和/或密钥对。
14.一种提供用于自动化设备(1)的自动化装置(2)的装置专用操作者数据的系统,所述自动化装置借助于至少一个认证凭证相对于所述自动化设备(1)的认证服务器(7)进行自身认证,其中,在存在用于所述自动化装置(2)的所述自动化设备(1)的设备操作者的最新的所述装置专用操作者数据时,通过所述自动化设备(1)的策略执行服务器(8)将最新的所述装置专用操作者数据与所述自动化装置(2)的所述认证凭证相链接。
15.根据权利要求14所述的方法,其中,只要所述策略执行服务器(8)一得到所述自动化装置(2)相对于所述自动化设备(1)的所述认证服务器(7)成功认证的报告,所述策略执行服务器(8)就从配置服务器(9)获得最新的所述装置专用操作者数据并将最新的所述装置专用操作者数据与所述自动化装置(2)的所述认证凭证相链接。
16.根据权利要求14或15所述的方法,其中所述自动化装置(2)具有自动化控制装置、SPS控制装置或现场装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102011081804.9 | 2011-08-30 | ||
DE102011081804.9A DE102011081804B4 (de) | 2011-08-30 | 2011-08-30 | Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten, welche an ein Authentisierungs-Credential gebunden werden, für ein Automatisierungsgerät einer Automatisierungsanlage |
PCT/EP2012/065489 WO2013029940A1 (de) | 2011-08-30 | 2012-08-08 | Verfahren und system zum bereitstellen von gerätespezifischen betreiberdaten für ein automatisierungsgerät einer automatisierungsanlage |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103748526A true CN103748526A (zh) | 2014-04-23 |
CN103748526B CN103748526B (zh) | 2016-10-12 |
Family
ID=46763036
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280041023.6A Active CN103748526B (zh) | 2011-08-30 | 2012-08-08 | 提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9544300B2 (zh) |
EP (1) | EP2705410B1 (zh) |
CN (1) | CN103748526B (zh) |
DE (1) | DE102011081804B4 (zh) |
WO (1) | WO2013029940A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104618327A (zh) * | 2014-12-30 | 2015-05-13 | 北京市科学技术情报研究所 | 基于可信操作指令遥控远程自控装置的物联网安全实现方法 |
CN108880788A (zh) * | 2017-05-08 | 2018-11-23 | 西门子股份公司 | 在用于技术设备的控制系统中的认证方法以及控制系统 |
CN113498593A (zh) * | 2019-02-26 | 2021-10-12 | 西门子股份公司 | 在设施规划工具中集成的证书管理 |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2472451A1 (en) | 2010-12-30 | 2012-07-04 | Philip Morris Products S.A. | Method and apparatus for marking manufactured items |
DE102013205051A1 (de) | 2013-03-21 | 2014-09-25 | Siemens Aktiengesellschaft | Aktualisieren eines digitalen Geräte-Zertifikats eines Automatisierungsgeräts |
EP2919414A1 (en) * | 2014-03-10 | 2015-09-16 | Siemens Aktiengesellschaft | Method of authenticating a wind turbine controller |
US10367646B1 (en) | 2014-10-21 | 2019-07-30 | Amazon Technologies, Inc. | Cryptographic material distribution and management |
US9552485B1 (en) * | 2014-10-21 | 2017-01-24 | Amazon Technologies, Inc. | Cryptographic material renewal |
DE102014225418A1 (de) | 2014-12-10 | 2016-06-16 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zur Überwachung einer Zertifizierungsstelle |
EP3051469A1 (en) | 2015-01-28 | 2016-08-03 | Philip Morris Products S.A. | Method and apparatus for unit and container identification and tracking |
ES2728680T3 (es) * | 2015-01-31 | 2019-10-28 | Inexto Sa | Identificación y verificación seguras de productos |
US9961076B2 (en) | 2015-05-11 | 2018-05-01 | Genesys Telecommunications Laboratoreis, Inc. | System and method for identity authentication |
DE102015213412A1 (de) * | 2015-07-16 | 2017-01-19 | Siemens Aktiengesellschaft | Verfahren und Anordnung zum sicheren Austausch von Konfigurationsdaten einer Vorrichtung |
DE102015214267A1 (de) * | 2015-07-28 | 2017-02-02 | Siemens Aktiengesellschaft | Verfahren und System zum Erzeugen eines sicheren Kommunikationskanals für Endgeräte |
US20180205543A1 (en) | 2015-08-13 | 2018-07-19 | Inexto Sa | Enhanced obfuscation or randomization for secure product identification and verification |
US10579889B2 (en) | 2015-08-25 | 2020-03-03 | Inexto Sa | Verification with error tolerance for secure product identifiers |
WO2017032860A1 (en) | 2015-08-25 | 2017-03-02 | Inexto Sa | Multiple authorization modules for secure production and verification |
WO2017114791A1 (en) * | 2015-12-31 | 2017-07-06 | Inexto Sa | Secure item identification based on physical label properties |
DE102017214359A1 (de) * | 2017-08-17 | 2019-02-21 | Siemens Aktiengesellschaft | Verfahren zum sicheren Ersetzen eines bereits in ein Gerät eingebrachten ersten Herstellerzertifikats |
EP3820105B1 (de) * | 2019-11-11 | 2023-03-15 | Siemens Aktiengesellschaft | Verfahren und system zur sicheren zeitsynchronisation |
US11656864B2 (en) * | 2021-09-22 | 2023-05-23 | International Business Machines Corporation | Automatic application of software updates to container images based on dependencies |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001046765A1 (en) * | 1999-12-22 | 2001-06-28 | Rockwell Technologies, Llc | Safety network for industrial controller having reduced bandwidth requirements |
EP1387237A2 (en) * | 2002-07-30 | 2004-02-04 | Texas Instruments Incorporated | Security for computing devices |
CN1930565A (zh) * | 2003-08-13 | 2007-03-14 | 西门子能量及自动化公司 | 用于使用嵌入在电子生产设备中的原地web服务来提供实时生产信息的方法 |
CN101460954A (zh) * | 2006-04-10 | 2009-06-17 | 嵌入技术有限公司 | 过程控制系统及方法 |
US20090271851A1 (en) * | 2008-04-25 | 2009-10-29 | Sally Blue Hoppe | System and Method for Installing Authentication Credentials on a Remote Network Device |
CN101582152A (zh) * | 2009-06-19 | 2009-11-18 | 王春林 | 基于令牌传递认证的电子商务系统及其对应的商业方法 |
EP2333624A1 (de) * | 2009-12-11 | 2011-06-15 | Siemens Aktiengesellschaft | Verfahren und Einrichtung zur Konfigurierung einer Komponente in einer industriellen Automatisierungsanordnung |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6631476B1 (en) * | 1999-12-22 | 2003-10-07 | Rockwell Automation Technologies, Inc. | Safety network for industrial controller providing redundant connections on single media |
DE10152765B4 (de) * | 2001-07-13 | 2015-11-12 | Siemens Aktiengesellschaft | Verfahren zur elektronischen Bereitstellung von Diensten für Maschinen über eine Datenkommunikationsverbindung |
US20050229004A1 (en) * | 2004-03-31 | 2005-10-13 | Callaghan David M | Digital rights management system and method |
JP4724405B2 (ja) * | 2004-10-28 | 2011-07-13 | キヤノン株式会社 | 無線通信装置及び電子機器、並びにそれらの制御方法及びコンピュータプログラム |
US20060235973A1 (en) * | 2005-04-14 | 2006-10-19 | Alcatel | Network services infrastructure systems and methods |
US20070067512A1 (en) * | 2005-09-19 | 2007-03-22 | Smar Research Corporation | Method, system and software arrangement for processing a device support file for a field device |
JP4449933B2 (ja) * | 2006-03-31 | 2010-04-14 | ブラザー工業株式会社 | 電子証明書発行システム、電子証明書発行装置、通信装置、及び、プログラム |
US8327132B2 (en) * | 2007-02-26 | 2012-12-04 | Microsoft Corporation | Automated certificate provisioning for non-domain-joined entities |
US20080237337A1 (en) * | 2007-03-30 | 2008-10-02 | Motorola, Inc. | Stakeholder certificates |
US20080310337A1 (en) * | 2007-06-18 | 2008-12-18 | Gainspan, Inc. | Periodic heartbeat communication between devices and a control point |
DE102007046079A1 (de) * | 2007-09-26 | 2009-04-02 | Siemens Ag | Verfahren zur Herstellung einer sicheren Verbindung von einem Service Techniker zu einer von einem Störfall betroffenen Komponente einer ferndiagnostizierbaren und/oder fernwartbaren Automatisierungs-Umgebung |
JP5331354B2 (ja) * | 2008-03-17 | 2013-10-30 | 日立コンシューマエレクトロニクス株式会社 | コンテンツ送信装置、コンテンツ受信装置 |
US8327146B2 (en) * | 2008-03-31 | 2012-12-04 | General Motors Llc | Wireless communication using compact certificates |
CN101431517B (zh) * | 2008-12-08 | 2011-04-27 | 西安西电捷通无线网络通信股份有限公司 | 一种基于三元对等鉴别的可信网络连接握手方法 |
DE102010038458A1 (de) * | 2010-07-27 | 2012-02-02 | Endress + Hauser Process Solutions Ag | System zur Bedienung von Feldgeräten in einer Prozessanlage |
DE102010033230A1 (de) * | 2010-08-03 | 2012-02-09 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum Einbinden eines Gerätes in ein Netzwerk |
US8448228B2 (en) * | 2010-09-29 | 2013-05-21 | Microsoft Corporation | Separating authorization identity from policy enforcement identity |
ES2579480T3 (es) * | 2011-05-26 | 2016-08-11 | Siemens Aktiengesellschaft | Procedimiento para el acceso a un sistema de automatización, así como sistema de funcionamiento según el procedimiento |
CA2888443A1 (en) * | 2012-10-15 | 2014-04-24 | Open Access Technology Intenrational, Inc. | Certificate installation and delivery process, four factor authentication, and applications utilizing same |
US8966260B1 (en) * | 2013-01-30 | 2015-02-24 | Palo Alto Networks, Inc. | Credentials management in large scale virtual private network deployment |
US9892576B2 (en) * | 2013-08-02 | 2018-02-13 | Jpmorgan Chase Bank, N.A. | Biometrics identification module and personal wearable electronics network based authentication and transaction processing |
-
2011
- 2011-08-30 DE DE102011081804.9A patent/DE102011081804B4/de not_active Expired - Fee Related
-
2012
- 2012-08-08 WO PCT/EP2012/065489 patent/WO2013029940A1/de active Application Filing
- 2012-08-08 US US14/237,824 patent/US9544300B2/en active Active
- 2012-08-08 EP EP12753428.7A patent/EP2705410B1/de active Active
- 2012-08-08 CN CN201280041023.6A patent/CN103748526B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001046765A1 (en) * | 1999-12-22 | 2001-06-28 | Rockwell Technologies, Llc | Safety network for industrial controller having reduced bandwidth requirements |
EP1387237A2 (en) * | 2002-07-30 | 2004-02-04 | Texas Instruments Incorporated | Security for computing devices |
CN1930565A (zh) * | 2003-08-13 | 2007-03-14 | 西门子能量及自动化公司 | 用于使用嵌入在电子生产设备中的原地web服务来提供实时生产信息的方法 |
CN101460954A (zh) * | 2006-04-10 | 2009-06-17 | 嵌入技术有限公司 | 过程控制系统及方法 |
US20090271851A1 (en) * | 2008-04-25 | 2009-10-29 | Sally Blue Hoppe | System and Method for Installing Authentication Credentials on a Remote Network Device |
CN101582152A (zh) * | 2009-06-19 | 2009-11-18 | 王春林 | 基于令牌传递认证的电子商务系统及其对应的商业方法 |
EP2333624A1 (de) * | 2009-12-11 | 2011-06-15 | Siemens Aktiengesellschaft | Verfahren und Einrichtung zur Konfigurierung einer Komponente in einer industriellen Automatisierungsanordnung |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104618327A (zh) * | 2014-12-30 | 2015-05-13 | 北京市科学技术情报研究所 | 基于可信操作指令遥控远程自控装置的物联网安全实现方法 |
CN104618327B (zh) * | 2014-12-30 | 2018-11-20 | 北京市科学技术情报研究所 | 基于可信操作指令遥控远程自控装置的物联网安全实现方法 |
CN108880788A (zh) * | 2017-05-08 | 2018-11-23 | 西门子股份公司 | 在用于技术设备的控制系统中的认证方法以及控制系统 |
US11163870B2 (en) | 2017-05-08 | 2021-11-02 | Siemens Aktiengesellschaft | Plant-specific, automated certificate management |
CN108880788B (zh) * | 2017-05-08 | 2021-12-03 | 西门子股份公司 | 在用于技术设备的控制系统中的认证方法以及控制系统 |
CN113498593A (zh) * | 2019-02-26 | 2021-10-12 | 西门子股份公司 | 在设施规划工具中集成的证书管理 |
Also Published As
Publication number | Publication date |
---|---|
DE102011081804A1 (de) | 2013-02-28 |
US9544300B2 (en) | 2017-01-10 |
CN103748526B (zh) | 2016-10-12 |
EP2705410A1 (de) | 2014-03-12 |
EP2705410B1 (de) | 2020-01-08 |
WO2013029940A1 (de) | 2013-03-07 |
US20140173688A1 (en) | 2014-06-19 |
DE102011081804B4 (de) | 2015-02-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103748526A (zh) | 提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统 | |
CA2953148C (en) | System, method and apparatus for providing enrollment of devices in a network | |
KR101958061B1 (ko) | 차량의 보안 통신을 위한 방법 | |
CN102823195B (zh) | 利用由虚拟机进行的软件测试远程维护电子网络中的客户端系统的系统和方法 | |
US11102013B2 (en) | Method and apparatus for providing secure communication among constrained devices | |
CN109804597B (zh) | 车载网关、密钥管理装置 | |
CN107784223B (zh) | 用于将证书传输到设备中的仪器的计算机装置 | |
GB2530028A (en) | Registry apparatus, agent device, application providing apparatus and corresponding methods | |
CN101971184A (zh) | 根据标准协议opc ua通信且具有用于认证的单点登录机制的客户端/服务器系统及在这样的系统中实施单点登录的方法 | |
CN110784495A (zh) | 基于区块链的大数据集群系统的发现与配置信息管理方法 | |
CN104243158A (zh) | 认证方法、通信系统、设备以及服务器 | |
CN109120419B (zh) | 光网络单元onu版本的升级方法、装置及存储介质 | |
CN111869165B (zh) | 用于控制和/或监控装置的方法和控制系统 | |
JP7143744B2 (ja) | 機器統合システム及び更新管理システム | |
CN114448655A (zh) | 技术设施的证书管理 | |
CN103827762B (zh) | 用于提供控制程序编码的系统和方法 | |
CN103416020B (zh) | 受控的安全域 | |
JP4611676B2 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
JP2005065247A (ja) | 通信装置、通信装置の制御方法、通信システム、プログラム及び記録媒体 | |
CN113037491B (zh) | 用于自动化系统的运行方法及自动化系统 | |
EP4266203A1 (en) | Method and system for providing identity and authentication to a data-generation device | |
EP3167591B1 (en) | System, method and apparatus for providing enrollment of devices in a network | |
JP4509675B2 (ja) | 通信装置、通信システム及び通信方法 | |
CA3169475A1 (en) | Method and apparatus for certifying an application-specific key and for requesting such certification | |
CN113748641A (zh) | 用于颁发公众信任的证书的方法和系统、工程系统或控制系统和技术设施 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |