CN110120866A

CN110120866A - 现场设备的用户管理方法

Info

Publication number: CN110120866A
Application number: CN201910062647.XA
Authority: CN
Inventors: 比约恩·哈斯; 托马斯·阿尔伯; 冈特·雅尔
Original assignee: Endress and Hauser SE and Co KG
Current assignee: Endress and Hauser SE and Co KG; Endress and Hauser Conducta GmbH and Co KG
Priority date: 2018-02-06
Filing date: 2019-01-29
Publication date: 2019-08-13
Also published as: DE102018102608A1; US20190245861A1; US11297063B2

Abstract

本发明涉及一种用于过程自动化技术的现场设备的用户管理方法，包括步骤：将传输装置连接到用户数据库，该传输装置特别是智能电话；使来自用户数据库的用户数据与传输装置同步；把传输装置连接到现场设备；把用户数据从传输装置发送到现场设备；现场设备检查用户数据；以及基于经验证的有效用户数据来授权访问现场设备。

Description

现场设备的用户管理方法

技术领域

本发明涉及一种现场设备的用户管理方法。

背景技术

在IT领域，在企业网中，对于用户的集中管理，目录服务是常见的。作为示例，这包括LDAP、活动目录、Domino、以及其他目录服务。同样工作站PC和微PC中的本地用户管理也是已知的。

在低功率的基于μC的现场设备(“嵌入式系统”)中，资源(RAM、闪存、控制选项)通常非常有限，使得通常因为缺少资源而可能没有用户管理。

尽管这样的设备有可能经由现场总线来彼此组网，但是现场总线可能不能用于管理任务，使得这样的设备具有至多本地用户管理。

在其他应用中，出于安全性原因，网络系统物理地或者通过所知晓的防火墙而分离，使得不能建立具有中央目录服务的到企业网段的网络连接。

不知晓有这样的现场设备，在没有管理性的在线连接的情况下而具有中央用户管理。这特别适用于双线设备。如果例如雇员离开公司或者如果将建立新用户，这不易于实现，或者前雇员仍保持访问权，这代表安全风险。

发明内容

本发明的目的在于提供一种用于过程自动化技术的现场设备的可中央控制的用户管理。

该目的通过一种方法来实现，包括以下步骤：将传输装置连接到用户数据库，该传输装置特别是智能电话；使来自用户数据库的用户数据与传输装置同步；把传输装置连接到现场设备；把用户数据从传输装置发送到现场设备；现场设备检查用户数据；以及，基于经验证的有效用户数据来授权访问现场设备。

在一个实施例中，用户数据包括一个或多个标签，其中标签是用户特有的和现场设备特有的。

在一个实施例中，标签对于一组现场设备有效。作为示例，所有相同类型的设备，例如所有的pH传感器可以使用一个标签来被启用。这依赖于标签的分发类型。然而，这特别依赖于标签的加密类型，见下述。

在一个实施例中，标签由用户数据库特异地(exclusively)创建。

在一个实施例中，现场设备的公钥和用户数据库的公钥经由传输装置交换。

在一个实施例中，现场设备根据其自己的私钥和用户数据库的公钥计算共享密钥，特别地，使用Diffie-Hellman密钥交换；以及用户数据库根据其自己的私钥和现场设备的公钥计算相同的共享密钥，特别地，使用Diffie-Hellman密钥交换。

在一个实施例中，经由传输装置来交换用户数据库和现场设备共享的密钥。

在一个实施例中，标签包括以下特征数据中的一个或多个：用户名、口令、经加密的口令、传输装置的标识、现场设备的序列号、权限、修订号、有效性计数器、从“有效性计数器”起有效、有效至“有效性计数器”、有效期、有效自、有效至；和/或函数代码：移除、添加、强制标志。

在一个实施例中，发送至少与传输装置处当前登录的用户相关的所有标签以及具有函数代码特性“强制标志”的所有标签。

在一个实施例中，标签中的特征数据使用从共享密钥得到的第一密钥来加密，特别地，经由一个或多个哈希函数。

在一个实施例中，现场设备中的标签能够使用共享密钥解密。

在一个实施例中，其中标签包括一次数(nonce)，特别地，前置于特征数据的一次数。一次数已知为“使用一次的数”，即，在相应的环境中仅仅使用一次的数字或字母组合，诸如随机数或计数器产生的数。

在一个实施例中，其中标签包括消息认证码，特别地，后置于特征数据的消息认证码。消息认证码还称作MAC。消息认证码用于实现数据或消息的来源的确定性，以及用于检查其完整性。消息认证码算法要求两个输入参数，首先是待保护的数据(这里为有效载荷数据)以及其次是密钥(这里为共享密钥)，并且从这两个校验和中计算同样的消息认证码。

在一个实施例中，消息认证码使用从共享密钥得到的第二密钥计算。

在一个实施例中，标签包括签名，特别是后置于特征数据的签名，该签名使用用户数据库的私钥来产生并且能够使用数据库的公钥验证。

在一个实施例中，用户数据包括一个或多个标签，其中标签是用户特有的和现场设备特有的，其中标签使用每个现场设备与中央用户数据库共享的对称密钥对来加密和认证。

在一个实施例中，在执行认证之前经由非加密信道来交换经加密的标签。

在一个实施例中，经加密的标签包含作为有效载荷数据的用于密钥交换或认证协议、特别是PAKE协议(PAKE：“口令认证密钥交换”)的信息。

在一个实施例中，经加密的标签包含作为有效载荷数据的与控制设备有关的信息，特别是如果控制设备被配置为传输介质，并且该信息用于合并了控制设备上存储的密钥的密钥交换或认证协议。

在一个实施例中，经加密的标签包含作为有效载荷数据的与智能卡有关的信息，并且该信息用于合并了智能卡上存储的密钥的密钥交换或认证协议。

在一个实施例中，传输装置与用户管理之间的连接为密码保护的。

在一个实施例中，传输装置与现场设备之间的连接为密码保护的。

附图说明

这将参照以下附图来更详细地解释。

图1示出了来自用户数据库的用户数据与传输装置的同步。

图2示出了用户数据到现场设备的传输。

在附图中，相同的特征使用相同的附图标记来标识。

具体实施方式

图1和2示出了方法的核心步骤，其将在以下讨论。

原则上，中央用户管理经由传输装置，例如，经由智能电话M来完成。现场设备FG不需要为此目的与中央用户管理DB在线连接。为此，一个或多个现场设备FG位于制造厂或工厂F。

例如经由现场设备FG与智能电话M之间的蓝牙的临时连接V2确保按照防篡改和机密的方式来发送用于用户管理的全部必要信息。

一定偶尔有传输装置M与中央用户管理DB之间的连接V1，从而接收用户数据库的初始信息或变化。这能够经由硬接线连接来执行，但是也能够经由WiFi来执行。

对于用户管理自身，使用标准的机制和工具，因在IT中现今是惯用的。

智能电话M上的App例如能够用于经由蓝牙V2来登录。现场设备FG也可能以此来加以配置。

用户权限的登录和组织总是经由现场设备FG上而非智能电话M上的App来执行。

提供有认证校验和(MAC或签名，参见以下)的一个或多个经加密的标签A、B、C、D、E经由现场设备FG与传输介质M之间的连接V2来分发。不能操纵这些标签A、B、C、D、E。标签只能由中央用户管理DB来创建。

只能是相应的现场设备FG对标签A、B、C、D、E的内容解密。

标签中的校验和(checksum)确保其真实性得到保证。标签创建者总是中央用户管理DB。

标签的内容包括例如以下特征：用户名、口令、经加密的口令、传输装置的标识(特别是智能电话的标识)、设备序列号、权限、修订计数器、有效性计数器、从“有效性计数器”起有效、有效至“有效性计数器”、访问类型、有效性持续时间、有效自、有效至、标签创建的日期、以及函数代码：“移除”、“添加”、强制标志。

使用访问类型，对于每个访问，能够得到不同的权限(授权)，作为示例，通过智能电话或直接在现场。这导致例如经由蓝牙的用户的专家访问以及针对现场操作的只读访问。

标签创建的日期用作更新信息，并且还能够用于没有实时时钟的现场设备从而触发日期/时间的内部估计。为了能够自动擦除超期标签或阻止(blocking)信息(“黑名单”)需要后者。因此可使用黑名单，而没有通常的其持续增长的缺点，并且避免其大小从来不减小。为此，当阻止用户时，阻止标签的超期日期被设置在针对该用户作出的所有授权的上一超期日期之后的时间点处。

通常，“强制标志”是标签的一种优先级。该领域的背景是控制从智能电话到现场设备的标签传送。正常地，将当前用户的标签传送到现场设备(初始地或作为更新)是足够的。然而，为了阻止所有现场设备上的用户，需要一种机制来把阻止信息发送到所有的现场设备并且独立于当前用户来这样做。该标签域可以用于识别这样的要求(“广播”、“紧急的”)。

在生成标签期间，使用有效性计数器机制，其中每当生成时间标签时，由数据库来使计数器递增。因为标签到现场设备的传输异步地发生，在某些示例中，更早产生的“更年轻的”标签仅仅能够在第二“更旧的”标签之后在现场设备处被导入。例如，如果已经添加到系统的“更老的”标签中的用户已经从更新的标签中被移除，则这可能导致攻击。经由计数器机制和有效性检查，接着可以确保用于添加用户的更旧的标签在导入用于移除用户的标签之后不再被现场设备成功地接受。

在一个实施例中，除了经加密的数据域之外，标签还包含已知为关联数据(AD)的内容，尽管其由认证校验和(MAC或签名)所包括，但是，它们未被加密。例如，发送“强制标志”，作为这样的关联数据域的一部分。在使用多个标签的协议中，标签的解密序列因而能够在解密发生之前被确定优先级。有利地，还将关联的现场设备的标识非加密地存储在标签的AD域中，有效地，作为规定该标签所意指的现场设备的“目的地地址”。

现场设备FG首先检查发送的标签的真实性并且对其解密。

仅在对应的、成功检查的标签出现在现场设备FG处时，能够使用控制单元即传输装置和用户U利用包含于其中的信息来执行认证协议(登录协议)。在成功完成协议之后，关联的用户U被授权访问以及对应的权限。

标签在现场设备中使用。标签例如具有固定的寿命。标签可以执行函数(例如，删除其他标签)。总是发送当前用户的标签。还发送已经设置强制标志从而能够执行现场设备中的函数的标签。为此，例如，在标签的非加密部分中存储强制标志，即关联数据。

中央用户管理DB使用标准的机制来配置并且创建拥有其权限(授权)的用户。

为了将标签传输到现场设备，智能电话M与中央用户管理DB的同步S必须发生。为此，用户U首先例如通过在控制设备(通常等同于传输装置M)上输入口令来向用户数据库认证其自身。用户数据库接着为所有的现场设备FG创建经更新的标签并且将其发送到传输装置M。每个用户U具有用于每个可能的设备FG的标签。因而，标签的数量如下：用户×设备。

一旦用户U想要连接到现场设备FG，将用户特有的以及设备特有的标签A、B、C、D、E发送到现场设备FG。结果，现场设备FG现在知晓该一个用户U和该用户的访问权限。标签中存储的有效载荷数据保持(通常解密的)在现场设备存储器中。因而，现场设备FG中的数据库以每个登录的新用户来不断地扩展。有利地，在现场设备中基于超期标签逐渐移除数据库记录。

随着现场设备FG中用户数据库的持续发展，只要现场设备数据库中的信息仍然有效(即，在标签中规定的超期周期之前发生连接建立)，即使没有来自中央用户管理DB的标签出现在智能电话M中，对于用户也变得有可能使用智能电话M来登录。

如果应该对用户U撤销权限，则这经由中央用户管理DB中的记号来完成。为此，所有对应的用户标签A、B、C、D被标记为“移除”并且设置强制标志。如果接着发生智能电话M与中央用户管理DB的同步，并且智能电话M稍后访问现场设备FG，因强制标志而直接实现权限的撤销，而不论此时哪个用户登录。因而，用户U不能通过退出与中央用户管理的同步来应对权限撤销。所有的“活动的”智能电话M辅助删除所有的现场设备FG上的该一个用户U的权限。

同样，有可能定义标签，使用该标签，例如，与整个系统相关的加密密钥将被发送到现场设备，诸如，针对用于错误状态传输的保护协议或者针对在机器到机器接口中发送所测量的值。还经由强制标志来将诸如为这些的标签确定优先级。

再次如下地概述本方法：首先，经由传输装置在现场设备与用户数据库之间交换密钥，基于此能够生成用户数据库与现场设备之间的共享密钥。有利地，交换数据库与现场设备的公钥。这样，用户数据库具有例如拥有系统中现场设备和/或控制单元的所有公钥的列表。用户数据库因而知晓哪些现场设备属于它；现场设备知晓其属于哪个用户数据库。当适用时，额外地交换现场设备的特征数据，如序列号或生产日期，或者用户数据库的特征数据，如名称。

在接下来的步骤中，由现场设备计算共享密钥并且其在用户数据库中。如果将Diffie-Hellman密钥交换用于计算，使用相应的外部公钥和自身的私钥获得相同的密钥，也就是“共享密钥”。

借助于该共享密钥，例如经由单个或多个哈希函数(经由该哈希函数，对用户数据库中的有效载荷数据进行加密)来计算密钥。加密能够使用一次性使用的数字(一次数)来执行。进而，添加从由共享密钥得到的密钥计算的消息认证码。现场设备能够经由消息认证码(MAC)来检查标签的来源和完整性。作为消息认证码的替代，还可以使用签名。在标签检查事件中，由此使用数据库的公钥。

现场设备能够经由共享密钥来解密被加密的标签。

因为标签自身被加密和认证，传输自身可以非加密以及非认证地发生。

借助于标签，能够给用户授权对应的权限或从用户撤销对应的权限。

如所提及的，标签被加密(保密性)和被认证(对应于一种签名)。

对于两个加密任务，能够以任意组合来使用直接公钥/私钥系统(非对称)或对称加密方法。在认证方法的情况下，使用术语“签名”(非对称)和“消息认证码”(MAC，对称的)。

公钥交换与经由Diffie-Hellman密钥交换的共享密钥的计算以及使用共享密钥的消息认证码的计算的组合是有利的，因为其足够安全(共享密钥仅仅由精确的一个现场设备来使用)并且还有效。“昂贵的”非对称Diffie-Hellman DH操作仅仅需要被执行精确的一次，然而当将签名用于认证时，昂贵的非对称签名检查必须对于每个标签重新被执行。

附图标记列表

A 标签

B 标签

C 标签

D 标签

E 标签

M 传输装置/移动设备

F 系统/工厂

S 同步

U 用户

V1 连接

V2 连接

App App

DB 用户数据库

FG 现场设备

Claims

1.一种用于过程自动化技术的现场设备的用户管理方法，包括以下步骤：

-把传输装置连接到用户数据库，所述传输装置特别是智能电话；

-使来自所述用户数据库的用户数据与所述传输装置同步；

-把所述传输装置连接到所述现场设备；

-把所述用户数据从所述传输装置发送到所述现场设备；

-由所述现场设备检查所述用户数据；以及，

-基于经验证的有效用户数据来授权访问所述现场设备。

2.根据权利要求1所述的方法，其中所述用户数据包括一个或多个标签，其中标签是用户特有的和现场设备特有的。

3.根据权利要求2所述的方法，其中所述标签由所述用户数据库特异地创建。

4.根据权利要求2或3所述的方法，其中所述现场设备的公钥和所述用户数据库的公钥经由所述传输装置来交换。

5.根据权利要求4所述的方法，

其中所述现场设备根据其自己的私钥和所述用户数据库的公钥计算共享密钥，特别地，使用Diffie-Hellman密钥交换计算共享密钥；以及

其中所述用户数据库根据其自己的私钥和所述现场设备的公钥计算相同的共享密钥，特别地，使用Diffie-Hellman密钥交换计算相同的共享密钥。

6.根据权利要求5所述的方法，其中经由所述传输装置来交换所述共享密钥。

7.根据权利要求2至6中至少一项所述的方法，其中标签包括以下特征数据中的一个或多个：用户名、口令、经加密的口令、传输装置的标识、现场设备的序列号、权限、修订号、有效性计数器、从“有效性计数器”起有效、有效至“有效性计数器”、访问类型、有效性持续时间、有效自、有效至、标签创建日期；和/或函数代码：移除、添加、强制标志。

8.根据权利要求2至7中至少一项所述的方法，其中发送至少与所述传输装置处当前登录的用户相关的所有标签以及具有函数代码特性“强制标志”的所有标签。

9.根据权利要求2至8中至少一项所述的方法，其中所述标签中的特征数据使用从所述共享密钥得到的第一密钥来加密，特别地，经由一个或多个哈希函数来加密。

10.根据权利要求2至9中至少一项所述的方法，其中所述现场设备中的标签能够利用所述共享密钥来解密。

11.根据权利要求2至10中至少一项所述的方法，其中所述标签包括一次数，特别地，该一次数前置于所述特征数据。

12.根据权利要求2至11中至少一项所述的方法，其中所述标签包括消息认证码，特别地，该消息认证码后置于所述特征数据。

13.根据权利要求12所述的方法，其中所述消息认证码使用从所述共享密钥得到的第二密钥来计算和验证。

14.根据权利要求2至13中至少一项所述的方法，其中所述标签，特别是后置于所述特征数据的标签，包括签名，所述签名从所述用户数据库的私钥来产生并且能够根据所述用户数据库的公钥来验证。

15.根据权利要求1至14中至少一项所述的方法，其中所述用户数据包括一个或多个标签，其中标签是用户特有的和现场设备特有的，其中所述标签使用每个现场设备与中央用户数据库共享的对称密钥来加密和认证。

16.根据权利要求2至15中至少一项所述的方法，其中在执行认证之前经由非加密信道来交换经加密的标签。

17.根据权利要求2至16中至少一项所述的方法，其中经加密的标签包含作为有效载荷数据的用于密钥交换或认证协议、特别是PAKE协议的信息。

18.根据权利要求2至17中至少一项所述的方法，其中经加密的标签包含作为有效载荷数据的与智能卡有关的信息，并且该信息用于合并了智能卡上存储的密钥的密钥交换或认证协议。

19.根据权利要求2至18中至少一项所述的方法，其中经加密的标签包含作为有效载荷数据的与控制设备有关的信息，并且该信息用于合并了控制设备上存储的密钥的密钥交换或认证协议。