CN103748526A - 提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统 - Google Patents

提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统 Download PDF

Info

Publication number
CN103748526A
CN103748526A CN201280041023.6A CN201280041023A CN103748526A CN 103748526 A CN103748526 A CN 103748526A CN 201280041023 A CN201280041023 A CN 201280041023A CN 103748526 A CN103748526 A CN 103748526A
Authority
CN
China
Prior art keywords
automation equipment
date
certificate
data
operator data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201280041023.6A
Other languages
English (en)
Other versions
CN103748526B (zh
Inventor
凯·菲舍尔
斯特芬·弗里斯
于尔根·格斯纳
阿迈恩·穆罕默德·豪优
汉斯-彼得·胡思
安杰拉·沙特莱特内尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of CN103748526A publication Critical patent/CN103748526A/zh
Application granted granted Critical
Publication of CN103748526B publication Critical patent/CN103748526B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Abstract

本发明涉及一种提供用于自动化设备(1)的自动化装置(2)的装置专用操作者数据的方法和系统,所述自动化装置借助于至少一个认证凭证相对于自动化设备(1)的认证服务器(7)进行自身认证,其中,在存在用于自动化装置(2)的自动化设备(1)的设备操作者的最新的装置专用操作者数据时,将这些最新装置专用操作者数据与认证装置(2)的认证凭证相链接。

Description

提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统
技术领域
本发明涉及一种提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统,特别是提供用于自动化控制装置、特别是连接至现场总线的SPS控制装置或现场装置的装置专用操作者数据的方法和系统。
背景技术
在能够将自动化装置用在自动化设备中与其它自动化装置共同起作用之前,必须对自动化装置进行配置。因此,在传统的自动化设备或自动化系统中,在将其真正投入使用之前将自动化装置参数化。这种参数化可以包含一般的配置数据、例如IP地址,或使用专用的配置数据、例如自动化装置的开关动作时间。另外,还可以在运行过程中重新配置自动化装置。因为防篡改的安全性越来越多地成为这种自动化装置不可缺少的组成部分,所以越来越多地提供具有安全特征或认证凭证的自动化装置。在传统自动化设备中,不受保护地将自动化设备的设备操作者的装置专用操作者数据提供给自动化装置,于是,只要第三方能够访问自动化设备就能够篡改这些数据。
发明内容
因此,本发明的目的在于实现一种安全地提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统,其中即使第三方能够访问自动化设备也不可能篡改自动化设备的设备操作者的装置专用操作者数据。
根据本发明,这一目的通过具有在权利要求1中给出的特征的方法来实现。
因此,本发明实现了一种提供用于自动化设备的自动化装置的装置专用操作者数据的方法,所述自动化装置借助于至少一个认证凭证相对于自动化设备的认证服务器进行自身认证自身,其中,在存在用于自动化装置的自动化设备的设备操作者的最新装置专用操作者数据时,将这些最新装置专用操作者数据与自动化装置的认证凭证相链接。
在根据本发明的方法的可能的实施方式中,由自动化装置的装置证书构成认证凭证。
在根据本发明的方法的可能的实施方式中,用于自动化装置的最新装置专用操作者数据具有用于配置自动化装置的配置数据。
在根据本发明的方法的另一种可能的实施方式中,用于自动化装置的最新装置专用操作者数据具有用于自动化装置的固件数据。
在根据本发明的方法的另一种可能的实施方式中,用于自动化装置的最新装置专用操作者数据具有由自动化装置控制的装置的参数数据。
在根据本发明的方法的另一种可能的实施方式中,将最新装置专用操作者数据写进用于自动化装置的装置证书的属性证书中,以便于将最新装置专用操作者数据与自动化装置的装置证书相链接。
在根据本发明的方法的另一种可能的实施方式中,将用于为最新装置专用操作者数据定址的地址写进自动化装置的装置证书中,以便于将最新装置专用操作者数据与自动化装置的装置证书相链接。
在根据本发明的方法的另一种可能的实施方式中,根据装置专用的序列号测定用于为最新装置专用操作者数据定址的地址,其中序列号包含在自动化装置的装置证书中。
在根据本发明的方法的另一种可能的实施方式中,将最新装置专用操作者数据作为经过编码的属性数据写进自动化装置的装置证书中,以便于将最新装置专用操作者数据与自动化装置的装置证书相链接。
在根据本发明的方法的另一种可能的实施方式中,自动化装置以有规律的时间间隔或在出现事件时询问是否存在用于自动化装置的设备操作者的最新装置专用操作者数据。
在根据本发明的方法的另一种可能的实施方式中,由自动化设备的策略执行服务器(Policy Enforcement Server)将最新装置专用操作者数据与认证凭证相链接。
在根据本发明的方法的另一种可能的实施方式中,策略执行服务器从配置服务器获得最新装置专用操作者数据。
在根据本发明的方法的另一种可能的实施方式中,在认证服务器向策略执行服务器报告自动化装置相对于认证服务器成功认证之后,策略执行服务器将最新装置专用操作者数据与认证凭证相链接。
在根据本发明的方法的另一种可能的实施方式中,以数字形式为最新装置专用操作者数据签名。
在根据本发明的方法的另一种可能的实施方式中,至少一个认证凭证具有装置证书和/或密钥和/或密钥对。
本发明还实现了一种具有权利要求14中所述特征的、提供用于自动化设备的自动化装置的装置专用操作者数据的系统。
因此,本发明实现了一种提供用于自动化设备的自动化装置的装置专用操作者数据的系统,自动化装置借助于至少一个认证凭证对自动化设备的认证服务器进行自身认证,其中,在存在用于自动化装置的自动化设备的设备操作者的最新装置专用操作者数据时,通过自动化设备的策略执行服务器将这些最新装置专用操作者数据与自动化装置的认证凭证相链接。
在根据本发明的系统的另一种可能的实施方式中,只要策略执行服务器一得到自动化装置相对于自动化设备的认证服务器成功认证的报告,策略执行服务器就从配置服务器获得最新装置专用操作者数据并将其与自动化装置的认证凭证相链接。
在根据本发明的系统的可能的实施方式中,自动化装置具有自动化控制装置、SPS控制装置或现场装置。
附图说明
下文中参考附图对提供用于自动化设备的自动化装置的装置专用操作者数据的、根据本发明的方法和根据本发明的系统的可能的实施方式进行详细描述。
图中示出:
图1是说明根据本发明的系统的可能的实施例的框图,该系统用于提供用于自动化设备的自动化装置的装置专用操作者数据;
图2是在根据本发明的方法和根据本发明的系统中在实施例中使用的证书的实例;
图3是可以在根据本发明的方法和根据本发明的系统中使用的证书的另一个实例。
具体实施方式
以下根据实施例对提供用于自动化设备的自动化装置的装置专用操作者数据的根据本发明的系统和根据本发明的方法进行描述。
如由图1识别出的,自动化设备1在图中示出的实施例中具有至少一个自动化装置2,该自动化装置例如可以通过现场总线3与其它装置4-1,4-2相连接。所述的其它装置4-1,4-2可以是自动化装置,特别是现场装置。自动化装置2在可能的实施方式中涉及用于通过总线、特别是现场总线3来控制其它装置4-1,4-2的自动化控制装置。另外,自动化装置2可以是SPS控制装置或现场装置。在图1示出的实施例中,自动化装置2通过Network Access Switch或网络接入开关5与数据网络系统6相连接。认证服务器7和策略执行服务器8与这个数据网络系统6相连接。另外,策略执行服务器8可以通过网络系统6或直接与配置服务器9相连接。自动化装置2具有至少一个认证凭证,借助于该认证凭证,自动化装置可以相对于自动化设备1的认证服务器7进行自身认证。这种认证凭证例如可以是自动化装置2的装置证书Z。在存在用于自动化装置2的自动化设备1的设备操作者的最新装置专用操作者数据时,将这些最新装置专用操作者数据与自动化装置2的认证凭证相链接。在可能的实施方式中可以通过图1示出的自动化设备1的策略执行服务器8实现将最新装置专用操作者数据与认证凭证进行这种链接。只要策略执行服务器8一得到自动化装置5相对于自动化设备1的认证服务器7成功认证的报告,策略执行服务器8就链接最新装置专用操作者数据。在可能的实施方式中,策略执行服务器8从配置服务器9获得最新装置专用操作者数据。
用于自动化装置2的最新装置专用操作者数据在可能的实施方式中具有用于配制自动化装置2的配置数据。另外,用于自动化装置2的最新装置专用操作者数据也可以包括用于自动化装置2的固件数据。另外,用于自动化装置2的最新装置专用操作者数据可以具有由自动化装置2控制的装置的参数数据。例如,这种参数数据包括图1中示出的装置4-1,4-2的数据,在这些装置通过现场总线3与自动化装置2相连接并且在可能的情况下由自动化装置2控制。这种最新装置专用操作者数据例如可以由图1中所示的配置服务器9提供。在可能的实施方式中,通过图1中所示的自动化设备1的策略执行服务器8将最新装置专用操作者数据与自动化装置2的认证凭证相链接。在可替换的实施方式中,也可以直接通过认证服务器7将设备操作者的装置专用操作者数据与认证凭证相链接。认证服务器7例如可以是AAA服务器。在可能的实施方式中,认证服务器7是用于执行对自动化装置2进行认证的认证服务器。在一种实施方式中,认证服务器7例如直接从配置服务器9获取装置专用操作者数据。在可能的实施方式中,以数字形式为最新装置专用操作者数据签名。
在可能的实施方式中,由自动化装置2的装置证书Z构成所使用的认证凭证。为了将最新装置专用操作者数据与自动化装置2的装置证书Z相链接,在可能的实施方式中将最新装置专用操作者数据写进用于自动化装置2的装置证书Z的属性证书中。在另一种可替换的实施方式中,为了将装置专用操作者数据与自动化装置2的装置证书Z相链接,将用于为最新装置专用操作者数据定址的地址写进自动化装置2的装置证书Z中。另外,在可能的变体中,根据装置专用序列号测定用于为最新装置专用操作者数据定址的地址,其中该序列号包含在自动化装置2的装置证书Z中。
在可能的实施方式中,将最新装置专用操作者数据作为经过编码的属性数据写进自动化装置2的装置证书Z中,以便于将最新装置专用操作者数据与自动化装置2的装置证书Z相链接。
在可能的实施方式中,自动化装置2以有规律的时间间隔询问是否存在用于自动化装置2的设备操作者的最新装置专用操作者数据,所述操作者数据例如由配置服务器9提供。在另一种可能的实施方式中,自动化装置2在出现特定事件时询问是否存在用于自动化装置2的设备操作者的最新装置专用操作者数据。在另一种可能的实施方式中,认证凭证由密钥或密钥对构成。
在根据本发明的系统中,在可能的实施方式中,将证书Z、特别是自动化装置2的装置证书用于传输自动化设备1的操作者的装置专用操作者数据,特别是用于传输配置数据。另外,在可能的实施方式中,操作者数据可以包括用于植入的装置或部分操作系统、特别是数据库或应用或者其部分中的整个装置映像或固件。这些数据例如可以与自动化装置2的装置级别或特殊装置类型的一般能力相协调,其中,在可能的实施方式中,数据可以考虑自动化装置2的特定装置类型的特殊软件版本状况。通过这种方式,在要消除特殊系统软件版本中的安全漏洞时也可以支持安全补丁下载。操作者数据或配置数据的持续时间可以与证书Z的有效期限或寿命不同。可以在更新证书时,特别是在直接将操作者数据或配置数据编码到证书中时,考虑这种实际情况。另外,特别是可以与自动化装置2的特定物理位置或自动化装置在自动化设备1内部的逻辑位置相协调地完成选择操作者数据或配置数据。这在可能的实施方式中可以通过认证服务器7与配置服务器9的连接来实现,所述的配置服务器也可以包含取决于位置的设计数据。
在可能的实施方式中,将操作者数据直接编码到证书Z、特别是装置证书中。另外,所述证书的大小可以增大,从而肯定能够使用为此所需的存储器。在另一种可能的实施变体方案中,证书Z具有装置专用的或系列专用的序列号,所述序列号与签发者和证书Z序列号一起充分提供信息,从而使服务器能够询问自动化设备1的操作者的可能的操作者数据或配置数据。在另一种实施方式中,证书Z包含设备操作者的网页链接,在所述网页中可以以装置配置数据库(Device Configuration Database)的形式储存可能的装置专用的操作者数据或配置数据。在另一种实施方式中,以数字形式为操作者提供使用的操作者数据签名,以便于保证这些数据完整,从而可以在设备的设计中将所述数据用于自动化。在可能的实施变体中,将装置专用的操作者数据写进用于自动化装置2的装置证书的属性证书中。在一种实施变体中,可以使用标识扩展(Typelogo Extension),以便于将装置或系列专用信息编码成为1D或2D条形码。在使用属性证书时,在有变化的情况下只须更新属性证书,其中,这可以简化操作,因为在这种情况下无需传输加密的密钥。在可能的实施变体中,在线进行对来自配置服务器9的配置数据库的操作者数据的询问。
在可能的实施变体中,直接在证书Z中对操作者数据、例如配置数据进行编码。
图2示出证书Z的实例,其中直接在自动化装置2的装置证书Z中对作为属性的配置数据进行编码。在这种情况下,将特殊的配置数据Config(配置)作为进一步的信息插入生产商的装置证书Z中。配置信息例如可以包括地址信息,以及对用于中断通信模块连接或由自动化装置2控制的发动机的预先确定的转数的装置专用设定,例如超时时间。证书Z例如具有作为证书ID的序列号SN。另外,证书Z包含签发者的为此设计的名称N1和签发者的名称N2。另外,证书Z提供从何时开始生效的时间说明和至何时失效的时间说明T2。除此之外,证书Z具有公共密钥Pk以及属性Att,例如属性Att-A,Att-B。在可能的实施方式中,以签名S为证书Z签名。图2示出的证书Z例如可以是扩展的X.509-证书。在使用证书Z时,如图2所示,在以下实施变体中实施提供用于例如如图1中所示的自动化设备1的自动化装置2的装置专用操作者数据的方法。
首先,自动化装置2在自动化服务器7处进行自身认证,以便于得到进入网络系统6的许可。认证服务器7例如是认证服务器。为了进行认证,使用自动化装置2的对认证服务器来说已知的操作者专用认证凭证。如果认证凭证是证书,就可以在可能的实施变体中使用基于证书的EAP方法,例如EAP-TLS。认证凭证包含位于自动化设备1内部的特殊使用位置处的自动化装置2的配置数据。
在自动化装置2相对于认证服务器7成功认证后,认证服务器7向网络接入开关5发送该网络接入开关可以将自动化装置2连接至网络系统6的通知。随后,可以进行自动化装置2的地址配置。
认证服务器7此时向策略执行服务器8发送认证装置2成功认证的报告。在这种情况下,例如一起发送自动化装置2的装置证书Z。
基于包含在装置证书Z中的配置数据,策略执行服务器8与自动化装置2的最新配置状态相联系,并在存在最新操作者数据时由配置服务器9请求这些最新装置专用操作者数据。
配置服务器9可以相应于自动化装置2的使用计划制订生成一套新的配置或操作者数据,并将这些最新装置专用操作者数据发送给策略执行服务器8。
策略执行服务器8基于包含在存在的装置证书Z中的公共密钥和最新操作者数据制订生成新的装置证书,并将该装置证书传输给认证服务器7。可替换地,在这种情况下也可以产生完整的密钥对,所述密钥对包含公共和私人的密钥。
策略执行服务器8将更新后的装置证书Z’和包含在其中的配置或操作者数据传输给自动化装置2。该自动化装置2更确切地说可以在更新后的操作者数据或配置数据的基础上对自身进行重新配置并重新登录网络系统。
在根据本发明的系统和方法的另一种可能的实施方式中,在装置证书Z中将配置链接或用于为最新装置专用操作者数据定址的地址写进自动化装置2的装置证书中,如图3所示。
在这种实施变体中,同样地首先在认证服务器7中进行对自动化装置2的认证,以便于得到进入网络系统的许可。认证凭证具有自动化装置2的操作者数据的链接。在成功认证之后,认证服务器向网络接入开关5发出该网络接入开关可以将自动化装置2连接至网络系统的指令。然后,认证服务器7向策略执行服务器8报告成功认证自动化装置2。在这种情况下,将自动化装置2的装置证书Z与包含在其中的链接一起发送。根据到操作者数据上的、包含在装置证书Z中的链接,策略执行服务器8对自动化装置2的最新配置状态进行检验,并在必要时向配置服务器9发送请求,以便于收到最新操作者数据。认证服务器7能够在可能的实施方式中取决于自动化装置2的最新使用计划制订生成一套新的操作者数据或配置参数,并将最新装置专用操作者数据发送给策略执行服务器8。配置服务器9相应于装置证书Z的链接中提供的信息为相应的自动化装置2储存最新的一套配置数据或操作者数据。为了保护配置或操作者数据完整无损,可以为其签名。如果将配置数据或操作者数据例如以XML编码,则可以将签名设置为XML文件的一部分。在可替换的实施方式中,可以将链接传输给策略执行服务器8。在一种实施方式中,链接和操作者数据或装置配置数据是装置专用的。策略执行服务器8将最新装置专用操作者-或配置数据传输给自动化装置2。可替换地,策略执行服务器8也可以将配置-或操作者数据链接传输给自动化装置2。如果配置或操作者数据完成更新,自动化装置2就可以紧接着将其报告给自动化设备1的策略执行服务器8。
在网络系统中使用自动化装置2的过程中采取与安全有关的措施可以保证自动化装置2的一般功能性不会通过连接的通信网络被滥用。在根据本发明的系统中可能的是,自动化装置2可以独立对自身进行配置或通过中央基础设施进行配置,所述的基础设施可以取决于添加的自动化装置2改变系统配置。通过植入装置证书Z,可以以密码的形式对配置信息或操作者数据进行保护。除此之外,将操作者或配置信息与装置类型或特殊的自动化装置2相链接,还可以支持自动化设备1的自动化的库存管理(Inventory Managements)以及策略执行过程。在可能的实施方式中,还将配置数据或操作者数据用作是否或在哪个子网络中接通自动化装置2的判据。

Claims (16)

1.一种提供用于自动化设备(1)的自动化装置(2)的装置专用操作者数据的方法,所述自动化装置借助于至少一个认证凭证相对于所述自动化设备(1)的认证服务器(7)进行自身认证,其中,在存在用于所述自动化装置(2)的所述自动化设备(1)的设备操作者的最新的所述装置专用操作者数据时,将最新的所述装置专用操作者数据与所述认证装置(2)的所述认证凭证相链接。
2.根据权利要求1所述的方法,其中,所述认证凭证由所述自动化装置(2)的装置证书(Z)构成。
3.根据权利要求1或2所述的方法,其中,用于所述自动化装置(2)的最新的所述装置专用操作者数据具有用于配置所述自动化装置(2)的配置数据、用于所述自动化装置(2)的固件数据、和/或由所述自动化装置(2)控制的装置(4)的参数数据。
4.根据前述权利要求2、3中任一项所述的方法,其中,将最新的所述装置专用操作者数据写进用于所述自动化装置(2)的所述装置证书(Z)的属性证书中,以便于将最新的所述装置专用操作者数据与所述自动化装置(2)的所述装置证书(Z)相链接。
5.根据前述权利要求2、3中任一项所述的方法,其中,将用于为最新的所述装置专用操作者数据定址的地址写进所述自动化装置(2)的所述装置证书(Z)中,以便于将最新的所述装置专用操作者数据与所述自动化装置(2)的所述装置证书(Z)相链接。
6.根据权利要求5所述的方法,其中,根据装置专用的序列号测定用于为最新的所述装置专用操作者数据定址的所述地址,其中所述序列号包含在所述自动化装置(2)的所述装置证书(Z)中。
7.根据前述权利要求2、3中任一项所述的方法,其中,将最新的所述装置专用操作者数据作为经过编码的属性数据写进所述自动化装置(2)的所述装置证书(Z)中,以便于将最新的所述装置专用操作者数据与所述自动化装置(2)的所述装置证书(Z)相链接。
8.根据前述权利要求1-7中任一项所述的方法,其中,所述自动化装置(2)以有规律的时间间隔或在出现事件时询问是否存在用于所述自动化装置(2)的所述设备操作者的最新的装置专用操作者数据。
9.根据前述权利要求1-8中任一项所述的方法,其中,由所述自动化设备(1)的策略执行服务器(8)将最新的所述装置专用操作者数据与所述认证凭证相链接。
10.根据权利要求9所述的方法,其中,所述策略执行服务器(8)从配置服务器(9)获得最新的所述装置专用操作者数据。
11.根据权利要求9或10所述的方法,其中,在所述认证服务器(7)向所述策略执行服务器(8)报告所述自动化装置(2)相对于所述认证服务器(7)成功认证之后,所述策略执行服务器(8)将最新的所述装置专用操作者数据与所述认证凭证相链接。
12.根据前述权利要求1-11中任一项所述的方法,其中,以数字形式为最新的所述装置专用操作者数据签名。
13.根据前述权利要求1-12中任一项所述的方法,其中,至少一个所述认证凭证具有装置证书和/或密钥和/或密钥对。
14.一种提供用于自动化设备(1)的自动化装置(2)的装置专用操作者数据的系统,所述自动化装置借助于至少一个认证凭证相对于所述自动化设备(1)的认证服务器(7)进行自身认证,其中,在存在用于所述自动化装置(2)的所述自动化设备(1)的设备操作者的最新的所述装置专用操作者数据时,通过所述自动化设备(1)的策略执行服务器(8)将最新的所述装置专用操作者数据与所述自动化装置(2)的所述认证凭证相链接。
15.根据权利要求14所述的方法,其中,只要所述策略执行服务器(8)一得到所述自动化装置(2)相对于所述自动化设备(1)的所述认证服务器(7)成功认证的报告,所述策略执行服务器(8)就从配置服务器(9)获得最新的所述装置专用操作者数据并将最新的所述装置专用操作者数据与所述自动化装置(2)的所述认证凭证相链接。
16.根据权利要求14或15所述的方法,其中所述自动化装置(2)具有自动化控制装置、SPS控制装置或现场装置。
CN201280041023.6A 2011-08-30 2012-08-08 提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统 Active CN103748526B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102011081804.9 2011-08-30
DE102011081804.9A DE102011081804B4 (de) 2011-08-30 2011-08-30 Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten, welche an ein Authentisierungs-Credential gebunden werden, für ein Automatisierungsgerät einer Automatisierungsanlage
PCT/EP2012/065489 WO2013029940A1 (de) 2011-08-30 2012-08-08 Verfahren und system zum bereitstellen von gerätespezifischen betreiberdaten für ein automatisierungsgerät einer automatisierungsanlage

Publications (2)

Publication Number Publication Date
CN103748526A true CN103748526A (zh) 2014-04-23
CN103748526B CN103748526B (zh) 2016-10-12

Family

ID=46763036

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280041023.6A Active CN103748526B (zh) 2011-08-30 2012-08-08 提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统

Country Status (5)

Country Link
US (1) US9544300B2 (zh)
EP (1) EP2705410B1 (zh)
CN (1) CN103748526B (zh)
DE (1) DE102011081804B4 (zh)
WO (1) WO2013029940A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104618327A (zh) * 2014-12-30 2015-05-13 北京市科学技术情报研究所 基于可信操作指令遥控远程自控装置的物联网安全实现方法
CN108880788A (zh) * 2017-05-08 2018-11-23 西门子股份公司 在用于技术设备的控制系统中的认证方法以及控制系统
CN113498593A (zh) * 2019-02-26 2021-10-12 西门子股份公司 在设施规划工具中集成的证书管理

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2472451A1 (en) 2010-12-30 2012-07-04 Philip Morris Products S.A. Method and apparatus for marking manufactured items
DE102013205051A1 (de) 2013-03-21 2014-09-25 Siemens Aktiengesellschaft Aktualisieren eines digitalen Geräte-Zertifikats eines Automatisierungsgeräts
EP2919414A1 (en) * 2014-03-10 2015-09-16 Siemens Aktiengesellschaft Method of authenticating a wind turbine controller
US10367646B1 (en) 2014-10-21 2019-07-30 Amazon Technologies, Inc. Cryptographic material distribution and management
US9552485B1 (en) * 2014-10-21 2017-01-24 Amazon Technologies, Inc. Cryptographic material renewal
DE102014225418A1 (de) 2014-12-10 2016-06-16 Siemens Aktiengesellschaft Verfahren und Vorrichtung zur Überwachung einer Zertifizierungsstelle
EP3051469A1 (en) 2015-01-28 2016-08-03 Philip Morris Products S.A. Method and apparatus for unit and container identification and tracking
ES2728680T3 (es) * 2015-01-31 2019-10-28 Inexto Sa Identificación y verificación seguras de productos
US9961076B2 (en) 2015-05-11 2018-05-01 Genesys Telecommunications Laboratoreis, Inc. System and method for identity authentication
DE102015213412A1 (de) * 2015-07-16 2017-01-19 Siemens Aktiengesellschaft Verfahren und Anordnung zum sicheren Austausch von Konfigurationsdaten einer Vorrichtung
DE102015214267A1 (de) * 2015-07-28 2017-02-02 Siemens Aktiengesellschaft Verfahren und System zum Erzeugen eines sicheren Kommunikationskanals für Endgeräte
US20180205543A1 (en) 2015-08-13 2018-07-19 Inexto Sa Enhanced obfuscation or randomization for secure product identification and verification
US10579889B2 (en) 2015-08-25 2020-03-03 Inexto Sa Verification with error tolerance for secure product identifiers
WO2017032860A1 (en) 2015-08-25 2017-03-02 Inexto Sa Multiple authorization modules for secure production and verification
WO2017114791A1 (en) * 2015-12-31 2017-07-06 Inexto Sa Secure item identification based on physical label properties
DE102017214359A1 (de) * 2017-08-17 2019-02-21 Siemens Aktiengesellschaft Verfahren zum sicheren Ersetzen eines bereits in ein Gerät eingebrachten ersten Herstellerzertifikats
EP3820105B1 (de) * 2019-11-11 2023-03-15 Siemens Aktiengesellschaft Verfahren und system zur sicheren zeitsynchronisation
US11656864B2 (en) * 2021-09-22 2023-05-23 International Business Machines Corporation Automatic application of software updates to container images based on dependencies

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001046765A1 (en) * 1999-12-22 2001-06-28 Rockwell Technologies, Llc Safety network for industrial controller having reduced bandwidth requirements
EP1387237A2 (en) * 2002-07-30 2004-02-04 Texas Instruments Incorporated Security for computing devices
CN1930565A (zh) * 2003-08-13 2007-03-14 西门子能量及自动化公司 用于使用嵌入在电子生产设备中的原地web服务来提供实时生产信息的方法
CN101460954A (zh) * 2006-04-10 2009-06-17 嵌入技术有限公司 过程控制系统及方法
US20090271851A1 (en) * 2008-04-25 2009-10-29 Sally Blue Hoppe System and Method for Installing Authentication Credentials on a Remote Network Device
CN101582152A (zh) * 2009-06-19 2009-11-18 王春林 基于令牌传递认证的电子商务系统及其对应的商业方法
EP2333624A1 (de) * 2009-12-11 2011-06-15 Siemens Aktiengesellschaft Verfahren und Einrichtung zur Konfigurierung einer Komponente in einer industriellen Automatisierungsanordnung

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6631476B1 (en) * 1999-12-22 2003-10-07 Rockwell Automation Technologies, Inc. Safety network for industrial controller providing redundant connections on single media
DE10152765B4 (de) * 2001-07-13 2015-11-12 Siemens Aktiengesellschaft Verfahren zur elektronischen Bereitstellung von Diensten für Maschinen über eine Datenkommunikationsverbindung
US20050229004A1 (en) * 2004-03-31 2005-10-13 Callaghan David M Digital rights management system and method
JP4724405B2 (ja) * 2004-10-28 2011-07-13 キヤノン株式会社 無線通信装置及び電子機器、並びにそれらの制御方法及びコンピュータプログラム
US20060235973A1 (en) * 2005-04-14 2006-10-19 Alcatel Network services infrastructure systems and methods
US20070067512A1 (en) * 2005-09-19 2007-03-22 Smar Research Corporation Method, system and software arrangement for processing a device support file for a field device
JP4449933B2 (ja) * 2006-03-31 2010-04-14 ブラザー工業株式会社 電子証明書発行システム、電子証明書発行装置、通信装置、及び、プログラム
US8327132B2 (en) * 2007-02-26 2012-12-04 Microsoft Corporation Automated certificate provisioning for non-domain-joined entities
US20080237337A1 (en) * 2007-03-30 2008-10-02 Motorola, Inc. Stakeholder certificates
US20080310337A1 (en) * 2007-06-18 2008-12-18 Gainspan, Inc. Periodic heartbeat communication between devices and a control point
DE102007046079A1 (de) * 2007-09-26 2009-04-02 Siemens Ag Verfahren zur Herstellung einer sicheren Verbindung von einem Service Techniker zu einer von einem Störfall betroffenen Komponente einer ferndiagnostizierbaren und/oder fernwartbaren Automatisierungs-Umgebung
JP5331354B2 (ja) * 2008-03-17 2013-10-30 日立コンシューマエレクトロニクス株式会社 コンテンツ送信装置、コンテンツ受信装置
US8327146B2 (en) * 2008-03-31 2012-12-04 General Motors Llc Wireless communication using compact certificates
CN101431517B (zh) * 2008-12-08 2011-04-27 西安西电捷通无线网络通信股份有限公司 一种基于三元对等鉴别的可信网络连接握手方法
DE102010038458A1 (de) * 2010-07-27 2012-02-02 Endress + Hauser Process Solutions Ag System zur Bedienung von Feldgeräten in einer Prozessanlage
DE102010033230A1 (de) * 2010-08-03 2012-02-09 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Einbinden eines Gerätes in ein Netzwerk
US8448228B2 (en) * 2010-09-29 2013-05-21 Microsoft Corporation Separating authorization identity from policy enforcement identity
ES2579480T3 (es) * 2011-05-26 2016-08-11 Siemens Aktiengesellschaft Procedimiento para el acceso a un sistema de automatización, así como sistema de funcionamiento según el procedimiento
CA2888443A1 (en) * 2012-10-15 2014-04-24 Open Access Technology Intenrational, Inc. Certificate installation and delivery process, four factor authentication, and applications utilizing same
US8966260B1 (en) * 2013-01-30 2015-02-24 Palo Alto Networks, Inc. Credentials management in large scale virtual private network deployment
US9892576B2 (en) * 2013-08-02 2018-02-13 Jpmorgan Chase Bank, N.A. Biometrics identification module and personal wearable electronics network based authentication and transaction processing

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001046765A1 (en) * 1999-12-22 2001-06-28 Rockwell Technologies, Llc Safety network for industrial controller having reduced bandwidth requirements
EP1387237A2 (en) * 2002-07-30 2004-02-04 Texas Instruments Incorporated Security for computing devices
CN1930565A (zh) * 2003-08-13 2007-03-14 西门子能量及自动化公司 用于使用嵌入在电子生产设备中的原地web服务来提供实时生产信息的方法
CN101460954A (zh) * 2006-04-10 2009-06-17 嵌入技术有限公司 过程控制系统及方法
US20090271851A1 (en) * 2008-04-25 2009-10-29 Sally Blue Hoppe System and Method for Installing Authentication Credentials on a Remote Network Device
CN101582152A (zh) * 2009-06-19 2009-11-18 王春林 基于令牌传递认证的电子商务系统及其对应的商业方法
EP2333624A1 (de) * 2009-12-11 2011-06-15 Siemens Aktiengesellschaft Verfahren und Einrichtung zur Konfigurierung einer Komponente in einer industriellen Automatisierungsanordnung

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104618327A (zh) * 2014-12-30 2015-05-13 北京市科学技术情报研究所 基于可信操作指令遥控远程自控装置的物联网安全实现方法
CN104618327B (zh) * 2014-12-30 2018-11-20 北京市科学技术情报研究所 基于可信操作指令遥控远程自控装置的物联网安全实现方法
CN108880788A (zh) * 2017-05-08 2018-11-23 西门子股份公司 在用于技术设备的控制系统中的认证方法以及控制系统
US11163870B2 (en) 2017-05-08 2021-11-02 Siemens Aktiengesellschaft Plant-specific, automated certificate management
CN108880788B (zh) * 2017-05-08 2021-12-03 西门子股份公司 在用于技术设备的控制系统中的认证方法以及控制系统
CN113498593A (zh) * 2019-02-26 2021-10-12 西门子股份公司 在设施规划工具中集成的证书管理

Also Published As

Publication number Publication date
DE102011081804A1 (de) 2013-02-28
US9544300B2 (en) 2017-01-10
CN103748526B (zh) 2016-10-12
EP2705410A1 (de) 2014-03-12
EP2705410B1 (de) 2020-01-08
WO2013029940A1 (de) 2013-03-07
US20140173688A1 (en) 2014-06-19
DE102011081804B4 (de) 2015-02-12

Similar Documents

Publication Publication Date Title
CN103748526A (zh) 提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统
CA2953148C (en) System, method and apparatus for providing enrollment of devices in a network
KR101958061B1 (ko) 차량의 보안 통신을 위한 방법
CN102823195B (zh) 利用由虚拟机进行的软件测试远程维护电子网络中的客户端系统的系统和方法
US11102013B2 (en) Method and apparatus for providing secure communication among constrained devices
CN109804597B (zh) 车载网关、密钥管理装置
CN107784223B (zh) 用于将证书传输到设备中的仪器的计算机装置
GB2530028A (en) Registry apparatus, agent device, application providing apparatus and corresponding methods
CN101971184A (zh) 根据标准协议opc ua通信且具有用于认证的单点登录机制的客户端/服务器系统及在这样的系统中实施单点登录的方法
CN110784495A (zh) 基于区块链的大数据集群系统的发现与配置信息管理方法
CN104243158A (zh) 认证方法、通信系统、设备以及服务器
CN109120419B (zh) 光网络单元onu版本的升级方法、装置及存储介质
CN111869165B (zh) 用于控制和/或监控装置的方法和控制系统
JP7143744B2 (ja) 機器統合システム及び更新管理システム
CN114448655A (zh) 技术设施的证书管理
CN103827762B (zh) 用于提供控制程序编码的系统和方法
CN103416020B (zh) 受控的安全域
JP4611676B2 (ja) 通信装置、通信システム、通信方法及びプログラム
JP2005065247A (ja) 通信装置、通信装置の制御方法、通信システム、プログラム及び記録媒体
CN113037491B (zh) 用于自动化系统的运行方法及自动化系统
EP4266203A1 (en) Method and system for providing identity and authentication to a data-generation device
EP3167591B1 (en) System, method and apparatus for providing enrollment of devices in a network
JP4509675B2 (ja) 通信装置、通信システム及び通信方法
CA3169475A1 (en) Method and apparatus for certifying an application-specific key and for requesting such certification
CN113748641A (zh) 用于颁发公众信任的证书的方法和系统、工程系统或控制系统和技术设施

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant