CN111104681A - 传送用于访问过程工业现场设备的访问信息的方法和设备 - Google Patents
传送用于访问过程工业现场设备的访问信息的方法和设备 Download PDFInfo
- Publication number
- CN111104681A CN111104681A CN201911037325.6A CN201911037325A CN111104681A CN 111104681 A CN111104681 A CN 111104681A CN 201911037325 A CN201911037325 A CN 201911037325A CN 111104681 A CN111104681 A CN 111104681A
- Authority
- CN
- China
- Prior art keywords
- user
- access information
- server
- operating device
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0423—Input/output
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/224—Monitoring or handling of messages providing notification on incoming messages, e.g. pushed notifications of received messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24154—Password with time limited access to system, protect protocol
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24167—Encryption, password, user access privileges
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Medical Informatics (AREA)
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
提出了一种传送用于访问过程自动化现场设备(100)的访问信息的方法,该方法包括以下步骤:在用户的操作设备(10、10a)上,指定被赋予所述用户的用于通过所述操作设备(10、10a)访问至少一个现场设备(100)的至少一个访问信息;在所述用户的所述操作设备(10、10a)上,将其它用户关联到所指定的所述至少一个访问信息;且从所述操作设备(10、10a)向服务器(200)发送访问许可,使得基于所述访问许可将所述至少一个访问信息提供给所述其它用户,所述访问许可包括关于所指定的所述至少一个访问信息的信息和关于与所指定的所述访问信息关联的所述其它用户的信息。
Description
技术领域
本发明总体上涉及过程自动化和/或过程工业领域。特别地,本发明涉及用于通过用户的操作设备将用于访问过程自动化和/或过程工业的现场设备的访问信息传送给其它用户的方法。此外,本发明还涉及相应的用于执行该方法的操作设备以及程序元件。此外,本发明还涉及用于通过服务器将用于访问过程自动化现场设备的访问信息传送给其它用户的方法、相应的服务器以及用于执行该方法的程序元件。
背景技术
现场设备通常在过程自动化和/或过程工业中用于监控和/或确定一个或多个过程变量和/或测量变量。例如,现场设备可以用于确定介质压力、介质物位、介质流量、介质流速、温度和/或其它过程变量。
现场设备之间和/或现场设备与其它操作设备(例如计算机、智能手机、PC、笔记本电脑和/或服务器)之间的联网越来越多。在许多情况下,通过更高级别的网络且/或通过互联网连接,可以借助此类操作设备操作现场设备。因此,现场设备可能受到黑客的攻击。为了应对这种情况,在现场设备和/或与现场设备联网的操作设备中定期设置安全机制。这种安全机制的范围可以从用于现场设备的现场操作的简单操作锁定(例如,通过带密匙的显示器)到利用验证方法进行的加密通信,以及在适当时对现场设备的下游访问锁定。也可以将用于访问现场设备的访问信息存储在服务器上以提高安全性,并且例如将其传送给操作设备,从而使操作设备可以访问现场设备。
为了能够安全地操作具有一个或多个现场设备的工厂并保护现场设备可以免受外部访问,用户可能需要激活在现场设备中实施的身份验证方法、用户管理和/或其它访问保护功能。然而,这还可能需要现场设备的希望获得现场设备的访问权的所有用户都具有用于访问现场设备的访问信息。这样的访问信息可以包括例如各种PIN、用户名、密码等。
如果使用相对较少的现场设备,则该过程可能仍保持可管理,但是如果具有多个现场设备的工厂和/或机群由多个用户管理和/或操作时,则这可能会造成混乱。
为解决上述问题,特别地,可以进行设置,使得工厂所有现场设备的所有访问信息在操作设备本地上对操作现场设备的操作设备的用户可用。访问信息在操作设备上的这种存储可以例如以将访问信息(例如PIN和/或密码)关联到现场设备编号的关联表的形式进行。在这种情况下,还可以进行如下设置:当用户通过相应操作设备再一次连接到现场设备时,用户不再需要在操作设备上输入用于访问现场设备必需的访问信息。
现场设备的用户通常具有多个用于操作现场设备的计算装置,例如多个操作设备、智能手机、平板电脑、操作计算机等。这可能需要针对每个计算装置或每个操作设备输入和/或存储现场设备的访问信息。这还可能导致每个操作设备上访问信息的不同的重叠,这可能伴随着用户和/或系统操作员工作量的增加。
为了解决上述问题,有时使用可在其上为用户存储用户帐户的服务器,从而可使用用户帐户来管理现场设备的访问信息。用户也可以使用操作设备登录到服务器,例如,登录到用户的用户帐户,以便访问存储在服务器上的访问信息。
然而,这样的解决方案和/或概念无法将关联到现场设备的用户的(“个人”)访问信息共享给诸如服务技术人员和/或公司内员工等其它用户,例如对安全工厂部分中的现场设备的访问权,从而不能将访问信息传送给其它用户且/或不能向其它用户赋予访问权。
发明内容
本发明的实施例可以有利地提供改进的用于传送和/或赋予用于访问过程自动化现场设备的访问信息的方法、改进的用于执行该方法的操作设备和/或改进的服务器。
特别是通过独立专利权利要求的主题使得这成为可能。根据从属权利要求和以下描述,本发明的进一步发展将变得显而易见。
以下描述有时涉及用于操作一个或多个现场设备的至少一个操作设备和可与所述至少一个操作设备通信的服务器之间的交互。由操作设备执行的方法特别在权利要求1中详细说明,且由服务器执行的方法特别在权利要求16中详细说明。以下描述还涉及操作设备和服务器。因此,以下公开内容同样适用于从操作设备的角度来看的方法、从服务器的角度来看的方法、操作设备和服务器。尤其应注意,从操作设备的角度来看的方法和从服务器的角度来看的方法可以组合为公共方法。
一个方面涉及用于传送、提供、共享和/或分派用于访问过程自动化和/或过程工业的现场设备的访问信息的方法。在这种情况下,访问信息可以通过用户的操作设备传送给其它用户和/或其它用户的其它操作设备。该方法包括以下步骤:
-在用户的操作设备上,指定、确定和/或定义被赋予用户的用于通过用户的操作设备访问至少一个现场设备的至少一个访问信息;
-在用户的操作设备上,将所指定的至少一个访问信息关联到和/或链接到其它用户和/或其它用户的其它操作设备;且
-从操作设备向服务器发送和/或传送访问许可,使得可以例如通过服务器基于访问许可向其它用户和/或其它用户的其它操作设备提供至少一个访问信息,访问许可包括关于所指定的至少一个访问信息的信息和关于与所指定的访问信息关联的其它用户的信息。
操作设备的用户可以在服务器和/或操作设备上选择用于访问一个或多个现场设备的一个或多个访问信息,并为其它用户将访问许可发送到服务器。有利地,这使得用户可以将访问信息传送给其它用户,从而将访问信息许可和/或传达给其它用户。
在此和下文中,用户可表示具有第一操作设备的第一用户,并且其它用户可表示具有第二操作设备的第二用户,它们可彼此不同。下面描述的用户的操作设备的所有功能等同适用于其它用户的其它操作设备。
特别地,根据本发明的方法能够使任意的和/或任意数量的用户可以与其它用户单独地共享和/或向其提供现场设备的访问信息。根据其它用户的情况(例如在某些情况下应该获得对现场设备的有限访问的服务员工或应该获得无限访问权的公司内员工),用户可以通过操作设备单独与其它用户共享访问信息。
现场设备可以是用于确定任意过程变量和/或测量变量的任意现场设备。例如,现场设备可以是检测例如容器中的介质物位的物位测量设备、检测介质压力的压力测量设备、检测介质流量的流量测量设备、检测介质流速的流速测量设备、温度测量设备和/或任意其它现场设备。
原则上,操作设备可以是可与现场设备建立通信连接的任意终端设备。操作设备和现场设备可以是彼此独立的和/或是单独的设备。例如,操作设备可以是便携式和/或移动式操作设备。替代地或附加地,操作设备可以是平板PC、智能电话、笔记本电脑和/或计算机。而且,操作设备可以被配置为例如穿戴式显示设备(Datenbrille)。特别地,可以将操作设备配置为与现场设备进行无线通信。然而,替代地或附加地,还可以将操作设备配置为与现场设备进行有线通信。为了连接到现场设备,操作设备可以具有至少一个可建立通信连接的通信模块,通信连接例如是以太网连接、LAN(局域网)连接、WLAN(无线局域网)连接、GPRS(通用分组无线服务)连接、蜂窝连接、LTE(长期演进)连接、3G连接、NBIoT连接、LPWAN连接、Lora连接、蓝牙连接、4...20mA连接和/或红外连接。操作设备还可以通过现场总线连接到现场设备(和/或服务器),现场总线例如是HART总线、Profibus总线、FF-Bus总线、Modbus总线、PROFINET总线、基于IP的总线、以太网IP总线、串行总线和/或并行总线。也可以考虑例如通过IO-Link和/或USB连接实现的其它连接。
该服务器可以包括一个或多个计算设备。服务器还可以称为服务器网络(例如云端)或任何其它计算设备。特别地,服务器可以通过网络和/或互联网连接与操作设备通信,交换数据和/或交换信号。为此,类似于上述的操作设备与现场设备之间的通信连接,操作设备和/或服务器可以具有一个或多个用于建立通信连接的通信模块。
操作设备可以包括允许用户进行用户输入的用户界面。例如由于通过用户的用户输入,可以通过使用现场设备的访问信息将操作设备连接和/或耦接到现场设备。
访问信息可以包括例如许可操作设备对至少一个现场设备的操作的至少一个访问标识。操作的许可以包括例如取消现场设备的操作锁定。这样可以允许操作设备对现场设备的操作。例如可以从现场设备中获取且/或在操作设备和现场设备之间交换诊断数据、测量数据、参数化数据、软件信息和/或任何其它数据。这也使得可以通过操作设备来管理和/或控制现场设备。访问标识可以例如是PIN、数字代码、字母代码、数字字母代码和/或其它标识,在输入访问标识时,可以通过现场设备启用现场设备。还可以进行如下设置:通过输入访问标识来锁定现场设备。
替代地或附加地,访问信息可以包括用于建立与至少一个现场设备的通信连接的至少一个连接标识。通信连接可以例如是蓝牙连接、网络连接和/或现场总线连接。连接标识可以例如是PIN、数字代码、字母代码、数字字母代码和/或用于建立通信连接的其它标识。连接标识也可以是预共享密钥(PSK),借助于预共享密匙,操作设备可以连接到也与现场设备连接的网络。
用于访问现场设备的访问信息可以包括用于许可现场设备的访问标识和/或用于建立通信连接的连接标识。基于访问信息,用户可以获得对现场设备的访问,并且可以有效地避免对现场设备的外部访问。
本发明的方法可以使用户能够经由操作设备选择该用户希望与至少一个其它用户共享的一个或多个现场设备的一个或多个访问信息。在这种情况下,至少一个访问信息可以在本地存储在用户的操作设备的存储器中,并且例如通过操作设备上的App本地地管理。替代地或附加地,至少一个访问信息可以存储在服务器上,并且例如经由操作设备通过与服务器的互联网连接和/或网络连接来进行选择。例如,用户的用户帐户可以存储在服务器上,用户可以通过操作设备利用用户账户登录到服务器,以便能够对被提供给和/或关联到该用户的访问信息进行管理。例如,可以通过操作设备上的浏览器窗口例如以列表的形式显示和/或控制由服务器提供的访问信息的管理。为了登录服务器上的用户帐户,用户可以通过操作设备的用户界面输入例如电子邮件地址和/或用户名以及可选的密码或其它标识。
操作设备和/或服务器还可以被配置为同步和/或匹配操作设备上本地存储的访问信息和服务器上的与用户关联的访问信息(例如服务器上的与用户的用户帐户链接的访问信息)。这样可以确保:对于与用户关联的现场设备,用户在操作设备和/或服务器上始终拥有与该用户关联的完整访问信息集。
在选择一个或多个访问信息之后,用户可以通过操作设备来指定其它用户和/或其它操作设备,且/或关联所指定的访问信息,以便与其它用户共享访问信息。此外,用户可从操作设备向服务器发送访问许可,访问许可包括关于所指定的至少一个访问信息的信息和/或数据和关于与指定的访问信息关联的其它用户(和/或其它操作设备)的信息和/或数据。由此,可以使服务器基于访问许可向其它用户许可所指定的访问信息,且和/或将该访问信息关联到其它用户。因此,可使由用户指定的访问信息提供给其它用户和/或对其它用户可用。其它用户也可以通过服务器接收指定的访问信息。为此,其它用户可以登录到服务器上的与其关联的用户帐户。可选地,其它用户还可将访问信息加载到其它操作设备,并将其存储在例如存储器中。
根据一个实施例,该方法还包括以下步骤:通过用户的操作设备登录到服务器上的与该用户关联的用户帐户,其中,用户帐户管理用于用户访问一个或多个现场设备的一个或多个访问信息。访问信息和/或相关的现场设备可链接到服务器上的用户的用户帐户。类似地,访问信息可以通过服务器上的用户帐户关联到用户。这使得用户可以通过多个操作设备登录到其用户帐户,且始终具有完整的访问信息集。通过任何操作设备登录到用户帐户之后,与用户的用户帐户关联的访问信息可下载到相应的操作设备,且/或与其上本地存储的访问信息进行匹配和/或同步。
根据一个实施例,该方法还包括以下步骤:在用户的操作设备上提供用于通过操作设备访问多个现场设备的多个访问信息的列表,其中,指定被赋予用户的至少一个访问信息的步骤包括:在用户的操作设备上,在列表中选择和/或标记被赋予用户的至少一个访问信息。例如,列表可包括现场设备条目,例如现场设备的序列号和/或其它条目。列表使用户能够轻松管理被关联到和/或赋予他的访问信息或现场设备。这可以简化与其它用户的访问信息共享。
根据一个实施例,列表被存储在用户的操作设备的存储器中。替代地或附加地,列表通过操作设备的互联网连接和/或网络连接被提供给服务器,例如在操作设备的浏览器窗口中。为此,用户可以例如登录到服务器上的用户帐户。
根据一个实施例,该方法还包括以下步骤:将至少一个用户属性关联到、指定到和/或定义至所指定的至少一个访问信息,其中,至少一个用户属性定义了其它用户对所指定的至少一个访问信息的使用授权。在这种情况下,从操作设备发送到服务器的访问许可还包括关于至少一个用户属性的信息。换句话说,变得对其它用户可用的指定访问信息的用户可以关联至少一个用户属性,用户属性指定所指定的访问信息的使用授权。此外,可以将用户授权理解为授权级别,以便可以为其它用户分别关联使用访问信息的授权级别。如果其它用户例如是维修技术人员,则可通过用户属性指定访问信息的使用为受限的使用授权。另一方面,如果其它用户例如是另一员工,则可通过用户属性定义访问信息为无限使用授权。这可以显著增加用于传送关于其它用户情况的访问信息的方法的灵活性。
根据一个实施例,在至少一个用户属性中定义的使用授权包括从以下各项组成的组中选出的至少一个要素:
-允许其它用户使用所指定的访问信息的持久、永久和/或无时间限制授权;
-允许其它用户使用所指定的访问信息的临时和/或时间限制授权;
-允许其它用户使用所指定的访问信息的授权,不包括允许其它用户查看所指定的访问信息的授权,从而使得其它用户无法查看访问信息,且/或使得访问信息对其它用户处于隐藏,但其它用户仍然可以使用访问信息来启用现场设备;
-允许其它用户使用所指定的访问信息的授权,包括允许其它用户查看所指定的访问信息的授权;和
-允许其它用户更改所指定的访问信息的授权。
替代地或附加地,在至少一个用户属性中定义的使用授权可以使其它用户不能改变访问信息。替代地或附加地,在至少一个用户属性中定义的使用授权可以包括使其它用户将访问信息共享和/或传送给第三方或其它用户的授权。类似地,在用户属性中指定的使用授权可以使其它用户只能使用自己的访问信息,而不能传送访问信息。总体而言,访问信息可以安全地、灵活地传送给其它用户。
因此,根据本发明的方法共享、传送和/或赋予访问信息可以使其它用户能够永久和/或限制地(例如时间限制地)使用访问信息。总体而言,提供了全面、灵活和简单的向第三方传送访问信息的方法,使得访问信息可以例如通过应用程序、软件、软件应用程序和/或App在(其它)操作设备上使用,以操作任何(其它)用户的现场设备。
根据一个实施例,将其它用户关联到所指定的至少一个访问信息的步骤包括关联其它用户的电子邮件地址。替代地或附加地,该方法可以提供以下步骤:向其它用户和/或与其它用户关联的电子邮件地址发送通知。这种通知可以例如从用户的操作设备发送到与其它用户关联的电子邮件地址。
替代地或附加地,从操作设备发送到服务器的访问许可可以进一步包括关于其它用户的电子邮件地址的信息,其中,从操作设备向服务器发送访问许可使得服务器向与其它用户指定的电子邮件地址发送通知。例如,如果对于其它用户的用户账户,其它用户的电子邮件地址存储在服务器上,则例如,对其它用户的电子邮件地址的确定可以使服务器将指定的访问信息链接到服务器上的用户的用户帐户。除电子邮件地址之外或作为其替代,可以使用任何其它标识来识别其它用户。通知的发送可以进一步允许其它用户意识到用户已经传送和/或与共享一个或多个访问信息。
根据一个实施例,该方法还包括以下步骤:利用操作设备向服务器发送访问撤销,以撤销其它用户对至少一个访问信息的使用授权。也就是说,也可以从其它用户撤回向其它用户许可的访问信息。特别地,可以在要确保其它用户不再获得对访问信息的访问的情况下避免访问信息的必须改变。这可以提高使用访问信息的总体安全性。
另一个方面涉及一种被配置为执行如上文和下文所述的方法的步骤的操作设备。操作设备可以例如具有可以存储软件指令的存储器,软件指令例如在所述操作设备的控制单元和/或处理器上执行时引起和/或引导操作设备执行如上文和下文所述的方法的步骤。也可以在存储器中存储一个或多个访问信息。而且,也可以在操作设备上执行可允许对服务器上的用户账户的访问和/或对一个或多个现场设备的访问的应用程序、软件和/或App。
如上文和下文所述的操作设备的特征、要素和/或功能可以是如上和如下所述的方法的特征、要素和/或步骤,反之亦然。
另一方面涉及一种程序元件,程序元件在由操作设备和/或操作设备的控制单元执行时引起和/或引导操作设备执行如上文和下文所述的方法的步骤。
另一方面涉及一种计算机可读介质,在该计算机可读介质上存储有程序元件,程序元件当由操作设备和/或操作设备的控制单元执行引起和/或引导操作设备执行如上文和下文所述的方法的步骤。
另一方面涉及一种传送用于访问过程自动化和/或过程工业的现场设备的访问信息的方法。可以从服务器的角度来描述例如传送访问信息的下述方法。以上说明的所有特征和/或以上说明方法的步骤可以同样适用于以下描述的方法,反之亦然。这两种方法和/或单独的步骤也可以组合使用。该方法包括以下步骤:
-接收和/或获取由用户的操作设备向服务器发送的访问许可,在服务器上存储有用于访问至少一个现场设备的至少一个访问信息,其中,访问许可包括关于至少一个访问信息的信息和关于与至少一个访问信息关联的其它用户的信息;
-基于所接收的访问许可,在服务器上为与至少一个访问信息关联的其它用户创建和/或存储使用授权;且
-从服务器向其它用户和/或其它用户的其它操作设备提供至少一个访问信息。
根据一个实施例,所接收的访问许可还包括关于与至少一个访问信息和/或其它用户关联的至少一个用户属性的信息,其中,在服务器上,基于至少一个用户属性来创建和/或存储使用授权。例如,服务器可以处理访问许可且/或从访问许可中导出至少一个用户属性。然后,基于用户属性,服务器可以关联使用授权(例如权限级别)。为此,服务器可将用户属性和/或由此定义的使用授权关联到所指定的访问信息和/或其它用户。
根据一个实施例,使用授权包括从由以下项组成的群组中选择的至少一个要素:
-允许其它用户使用至少一个访问信息的持久、永久和/或无限制授权;
-允许其它用户使用至少一个访问信息的临时和/或限制授权;
-允许其它用户使用至少一个访问信息的授权,不包括允许其它用户查看至少一个访问信息的授权,使得访问信息对其它用户保持隐藏,但其它用户仍然可以使用访问信息来操作现场设备;
-允许其它用户使用至少一个访问信息的授权,包括允许其它用户查看至少一个访问信息的授权;和
-允许其它用户更改至少一个访问信息的授权。
替代地或附加地,通过用户属性定义的用户授权可以使其它用户不可改变访问信息。替代地或附加地,通过用户属性定义的用户授权可以允许或禁止其它用户传送访问信息。
根据一个实施例,向其它用户提供至少一个访问信息的步骤包括:从服务器向其它用户的其它操作设备发送至少一个访问信息。替代地或附加地,向其它用户提供至少一个访问信息的步骤包括:通过其它用户的其它操作设备,使其它用户能够访问存储在服务器上的至少一个访问信息。也就是说,其它用户可以将向其许可的访问信息从服务器下载到其它操作设备和/或通过其它操作设备与服务器的互联网连接(和/或网络连接)获得对该访问信息的访问。替代地或附加地,服务器可以主动地例如以推送消息的形式将访问信息发送给其它用户和/或其它操作设备。还可以期望的是,例如在其它用户登录到服务器上的与其关联的用户帐户之后,可以匹配和/或同步其它操作设备上的访问信息和服务器上的许可的访问信息。
根据一个实施例,其它用户的用户帐户存储在服务器上,其中,向其它用户提供至少一个访问信息的步骤包括:通过服务器将至少一个访问信息链接到其它用户的用户帐户。
根据一个实施例,向其它用户提供至少一个访问信息的步骤包括:通过其它用户的其它操作设备,使其它用户登录到存储在服务器上的其它用户的用户账户,其中,其它操作设备通过互联网连接和/或网络连接与服务器连接。为了登录到用户帐户,可能需要其它用户的电子邮件地址和/或其它用户的用户名以及密码或任何其它标识。
根据一个实施例,从用户的操作设备从服务器接收的访问许可还包括关于其它用户的电子邮件地址的信息,其中,向其它用户提供至少一个访问信息的步骤包括:从服务器向其它用户的电子邮件地址发送通知。因此,可以向其它用户通知用户已经向其提供了至少一个访问信息。
根据一个实施例,该方法还包括以下步骤:
-利用服务器接收由用户的操作设备发送的访问撤销;和
-通过服务器基于所接收的访问撤销,撤销其它用户对至少一个访问信息的使用授权。
因此,可以从其它用户撤销为其它用户授权的访问信息。这可以通过用户和/或用户的操作设备灵活地完成。这也可以避免访问信息的更改,例如员工的更改。
根据一个实施例,该方法还包括以下步骤:撤销至少一个访问信息与存储在服务器上的其它用户的用户账户的链接。例如,服务器可以根据和/或响应于从用户和/或其操作设备获得访问撤销来取消和/或删除访问信息与其它用户的用户帐户的链接,使得其它用户不再能够访问访问信息。
根据一个实施例,该方法还包括以下步骤:向其它用户的其它操作设备发送删除命令,以删除其它用户的其它操作设备上的至少一个访问信息。例如,服务器可以通过删除命令从其它操作设备主动删除访问信息。替代地或附加地,可以设置的是,例如在同步和/或调整在其它操作设备和在服务器上赋予其它用户的访问信息的情况下,在其它用户下次登录到他在服务器上的用户帐户时,从其它操作设备删除不应向其它用户提供的访问信息,
另一个方面涉及被配置为执行如上文和下文所述的方法的步骤的服务器。例如,服务器可以包括可以存储软件指令的存储器,软件指令在例如在服务器的控制单元和/或处理器上执行时引起和/或引导服务器执行如上文和下文所述的方法的步骤。在存储器也可以存储用于访问至少一个现场设备的一个或多个访问信息。在存储器中也可以为一个或多个用户存储一个或多个用户账户。在这种情况下,可以将与相应用户关联和/或为此用户授权的访问信息存储在每个用户帐户中。此外,可以在服务器上执行应用程序、软件和/或App,通过该应用程序、软件和/或App,可以经由相应的操作设备访问相应的用户帐户。
如上文和下文所述的服务器的特征、元素和/或功能可以为如上文和下文所述的方法的特征、元素和/或步骤,反之亦然。服务器特征和/或元素也可以为操作设备的特征和/或元素,反之亦然。
另一个方面涉及一种程序元件,该程序元件当由服务器和/或服务器的控制器执行时引起和/或引导服务器执行如上所述和以下所述的方法的步骤。
另一方面涉及一种存储有程序元件的计算机可读介质,程序元件在由服务器和/或服务器的控制器执行时引起和/或引导服务器执行如上所述和以下所述方法的步骤。
另一个方面涉及一种系统,该系统具有一个或多个如上文和下文所述的操作设备以及一个如上文和下文所述的服务器。该系统可以被配置为执行如上文和下文所述的方法。优选地,该系统可以包括一个或多个如上文和下文所述的现场设备。
在下文中,将参考附图说明本发明的实施例。
附图说明
图1A示意性地示出了根据实施例的操作设备。
图1B示意性地示出了根据实施例的现场设备。
图1C示意性地示出了根据实施例的服务器。
图2示意性地示出了具有多个根据图1A的操作设备、多个根据图1B的现场设备和根据图1C的服务器的系统。
图3示意性地示出了用于说明根据实施例的方法的步骤的系统。
图4示出了用于说明根据实施例的方法的步骤的流程图。
图5示出了用于说明根据实施例的方法的步骤的流程图。
附图中相似、相似作用、相同或相同的元件具有相似或相同的附图标记。附图仅是示意性的,而不是按比例绘制的。
具体实施方式
图1A示意性地示出了根据实施例的操作设备10。
图1的操作设备10被示例为智能电话10。然而,操作设备10可以替代地为PC、平板PC、计算机、笔记本电脑和/或诸如头戴式显示设备等任何其它终端装置。
操作设备10包括允许操作设备10的用户进行用户输入的用户界面12。此外,操作设备10包括指示器14和/或显示器14,通过显示器可以显示和/或管理用于访问一个或多个现场设备100(参见图2)的例如一个或多个访问信息。显示器14和用户界面12可例如以触摸显示器的形式组合。
操作设备10还包括控制单元16和存储器18,控制单元16可以具有例如一个或多个处理器。存储器18可以存储软件指令、程序元件、程序和/或App,当存储的软件指令、程序元件、程序和/或App由控制单元16执行时,操作设备10执行如上文和下文所述的方法的步骤。
此外,操作设备10包括用于建立与一个或多个现场设备100的通信连接和/或与服务器200的通信连接的通信模块20(参见图1C、2和3)。通信模块20可以被设计为无线或有线通信模块20。例如,操作设备10可以通过通信模块20与一个或多个现场设备100建立WLAN连接、蓝牙连接、红外连接和/或无线电连接且/或交换数据或信号。通信模块20可以包含多个可通过不同的通信协议连接到其它设备和/或互联网的通信单元。例如,操作设备10可以通过通信模块20建立互联网连接且/或连接到服务器200,并且可以通过蓝牙连接耦接到至少一个现场设备100。操作设备10可以特别被配置为与一个或多个现场设备100进行无线通信。然而,替代地或附加地,操作设备10也可以被配置为与一个或多个现场设备100进行有线通信。为了连接到一个或多个现场设备100,通信模块20可以例如建立以太网连接、LAN(局域网)连接、WLAN(无线局域网)连接、GPRS(通用分组无线服务)连接、移动通信连接、LTE(长期演进)连接、3G连接、NBIoT连接、LPWAN连接、Lora连接、蓝牙连接、4...20mA连接和/或红外连接。而且,操作设备10还可以通过现场总线连接到一个或多个现场设备100和/或连接到服务器200,现场总线例如是HART总线、过程现场总线(Profibus)、基金会现场总线(FF-Bus)、Modbus总线、基于IP的总线(IP basierten Bus)、以太网IP总线(Ethernet-IP-Bus)、工业以太网总线(PROFINET-Bus)、串行总线和/或并行总线。也可以考虑例如通过IO-Link和/或USB连接实现的其它连接。
用于访问至少一个现场设备100的至少一个访问信息可以存储在操作设备10的存储器18中。特别地,用于访问多个现场设备100的多个访问信息可以存储在存储器18中。每个访问信息例如可以包括用于许可操作设备10对至少一个现场设备100的操作的至少一个访问标识。许可对现场设备100的操作可以包括例如取消现场设备100的操作锁定。访问标识可以是例如PIN、数字代码、字母代码、数字字母代码和/或其它标识,在输入访问标识时,可以启用现场设备100。还可以进行如下设置:能够通过输入访问标识再次锁定现场设备100。
替代地或附加地,访问信息可以包括用于建立与至少一个现场设备100的通信连接的至少一个连接标识。通信连接可以是例如蓝牙连接、网络连接和/或现场总线连接。连接标识可以是例如PIN、数字代码、字母代码、数字字母代码和/或用于建立通信连接的其它标识。另外,连接标识也可以是预共享密钥(PSK),操作设备10可以通过连接标识连接到也与现场设备100连接的网络。
图1B示意性地示出了根据一个实施例的现场设备100。
现场设备100可以是例如在过程自动化和/或过程工业中用于确定任何过程变量和/或测量变量的任何现场设备100。例如,现场设备100可以是检测例如容器中的介质的物位的物位测量设备、检测介质的压力的压力测量设备、检测介质的流量的流量测量设备、检测介质的流速的流速测量设备、温度测量设备和/或任何其它现场设备100。
现场设备100包括用于检测一个或多个过程变量的传感器101和/或传感器元件101。
此外,现场设备100包括控制单元102和存储器104。用于控制现场设备100的软件指令和/或程序元件可以存储在存储器104中。
现场设备100还包括通信模块106,现场设备100通过通信模块106耦接和/或连接到操作设备10。类似于操作设备10或其通信模块20,现场设备100的通信模块106也可以与操作设备10建立例如以太网连接、LAN(局域网)连接、WLAN(无线局域网)连接、GPRS(通用分组无线服务)连接、移动通信连接、LTE(长期演进)连接、3G连接、NBIoT连接、LPWAN连接、Lora连接、蓝牙连接、4...20mA连接和/或红外连接。现场设备100还可以通过现场总线连接到一个或多个其它现场设备100、连接到一个或多个操作设备10和/或连接到服务器200,现场总线例如是HART总线、过程现场总线(Profibus)、基金会现场总线(FF-Bus)、Modbus总线、基于IP的总线(IP basierten Bus)、以太网IP总线(Ethernet-IP-Bus)、工业以太网总线(PROFINET-Bus)、串行总线和/或并行总线。也可以考虑诸如通过IO-Link和/或USB连接实现的其它连接。
图1C示意性地示出了根据实施例的服务器200。服务器200可以包括一个或多个计算设备。服务器200还可以称为诸如云端等服务器网络或任何其它计算设备。
服务器200包括控制单元202和通信模块206。通过通信模块206,服务器200可以与一个或多个操作设备10和/或与一个或多个现场设备100建立通信连接。特别地,服务器200可以被配置为与一个或多个操作设备10建立互联网连接和/或网络连接。
服务器200还包括存储器204,在存储器204中可存储有用于访问一个或多个现场设备100的一个或多个访问信息。特别地,可以在服务器200的存储器中实现管理模块208和/或用户帐户管理208。在用户帐户管理208和/或存储器204中,可以为一个或多个用户存储一个或多个用户帐户208a-c。特别地,可以为已经在服务器200上存储了访问信息的每个用户存储用户帐户208a-c。每个用户可以例如通过操作设备10使用诸如其电子邮件地址和/或用户名等个人标识以及密码登录到与其相关的用户账户208a-c。这允许每个用户完全访问对其共享的访问信息和/或与其用户帐户208a-c相链接的访问信息。
特别地,例如当用户已经登录到其用户帐户208a-c时,服务器200可以被配置为匹配和/或同步操作设备10上本地存储的用户的访问信息与账户208a-c中的为用户存储的访问信息。
图2示意性地示出了具有根据图1A的多个操作设备10a、10b、根据图1B的多个现场设备100a、100b和根据图1C的服务器200的系统500。
图2所示的双箭头示意性地示出了系统500的组件之间的数据通信、通信和/或数据交换。
特别地,系统500包括第一现场设备100a。在此,第一现场设备100a通过通信连接与第一操作设备10a连接和/或耦接。如在前面附图中所述,通信连接可以通过操作设备10a的通信模块20和现场设备100a的通信模块106实现。
此外,系统500包括第二现场设备100b。在此,第二现场设备100b通过通信连接与第二操作设备10b连接和/或耦接。如在前面附图中所述,通信连接可以通过操作设备10b的通信模块20和现场设备100b的通信模块106实现。
为了建立通信连接,操作设备10a、10b可以使用用于访问各个现场设备100a、100b所需的访问信息。这些访问信息可以本地存储在操作设备10a、10b上。每个访问信息可以包括访问标识和/或连接标识。
替代地或附加地,访问信息也可以存储在服务器200上,并且一个或两个操作设备10a、10b可以通过互联网连接201和/或网络连接201耦接到服务器200,以便能够获取用于现场设备100a、100b的访问信息且/或能够建立与现场设备100a、100b的通信连接。
以下是系统500的一些方面的总结。为了与现场设备100a、100b一起运转(例如用于诊断、配置等),经常使用带有相应应用程序(例如具有DTM的PACTware)的PC和笔记本电脑。附加地或替代地,如今也可以使用带有相应App的平板电脑和/或智能手机来完成工作。如图2所示,这样的操作设备10a、10b以及它们的应用程序和/或App既可以连接到现场设备100a、100b,也可以通过网络201或互联网201连接到服务器200。在这种情况下,服务器200可以用作中央数据库,以用于管理操作设备10a、10b对现场设备100a、100b的访问的访问信息。网络201当然也可以是例如WLAN、移动通信连接或例如基于GPRS和/或LTE的移动无线网络、NBIoT、LPWAN和/或Lora。
当建立与服务器200的通信连接时且/或登录到相应的用户帐户208a-c时,操作设备10a、10b可以借助于服务器200在用户的多个操作设备10a-b之间同步和/或匹配访问信息。如下文参照图3所举例说明,图2的系统500还可被配置为在不同用户之间共享和/或传递访问信息。
图3示意性地示出了用于说明根据实施例的方法的步骤的系统500。
图3的系统500示出了三个操作设备10a-c。除非另有说明,否则操作设备10a-c具有与关于前面附图描述的操作设备相同的特征。
操作设备10a可例如关联到用户A,操作设备10b可例如关联到用户B,且操作设备10c可例如关联到用户C。操作设备10a-c通过诸如互联网201等网络201连接到服务器200,在服务器200上存储有用户A的用户账户208a、用户B的用户账户208b和用户C的用户账户208c。
例如,访问信息可以通过系统500与外部维护技术人员和/或临时员工共享,在下文中将外部维护技术人员和/或临时员工与操作设备10b示例性地一起称为用户B。
用户A可以是访问信息的所有者,并可以通过其操作设备10a并且例如通过在操作设备10a上的用户界面12和/或其用户帐户208a在浏览器窗口中的配置页面上的用户界面12管理每个现场设备100的访问信息。特别地,用户A可以通过如下方式来标记各个现场设备100的访问信息并使它们对其它人(例如用户B)可用:将用户B的至少一个用户属性和/或电子邮件地址关联到所标记的访问信息。通过完成操作,例如通过按下“共享”功能,可以在服务器200上触发用户B的相应使用授权。此外,用户B可能会收到有关已经向其共享新的访问信息的通知。
根据所提到的用户属性,可以定义访问信息是永久关联或临时关联。此外,可进行调整以使关联到用户B的访问信息保持隐藏。也就是说,尽管用户B可因此访问所定义的现场设备100,但访问信息不向其显示。
因此,访问信息通常可以与其它人共享,其中,共享可以具有可以由至少一个用户属性确定的不同特性。例如,访问信息可以永久共享,访问信息可以在有限时间内被赋予,访问信息可以被“隐藏”地关联,访问信息可以被“可见”地关联,访问信息可以被接收者更改,关联的访问信息可以被再次撤销,且/或共享的访问信息不能被收件人转发。这使得在任意用户之间安全独立地共享访问信息。
在另一个示例中,可与示例性地称为用户C的同事共享访问信息。访问信息的所有者用户A可通过其操作设备10a上的用户界面12和/或其用户帐户208a的配置页面(例如,浏览器窗口中)上的用户界面12管理每个现场设备100的访问信息。特别地,用户A可以通过如下方式标记各个现场设备100的访问信息并使它们可供其它人(例如用户C)使用:将用户C的至少一个用户属性和/或电子邮件地址关联到标记的访问信息。通过完成操作,例如通过按下“共享”功能,可以在服务器200上触发用户C的相应使用授权。可选地,用户C可收到有关已经向其关联新的访问信息的通知。在这种情况下,用户属性可以优选地被配置为永久使用。此外,可以选择设定,使得关联到用户C的访问信息为可见。也就是说,用户C可以因此访问所定义的现场设备100,且还可以改变访问信息。如果用户C进行更改,则可以将该访问信息重新同步至用户A。
如果用户B或C贸然终止了工厂上的活动因此可能无法再使用访问信息,用户A能够撤销访问信息。为此,用户A还可通过其操作设备10a标记各个现场设备100或访问信息,并取消用户B和/或C的共享。此外,还可以进行如下设置:在没有预先选择的情况下,可以撤销与用户B或C共享的所有访问信息。当用户B或C的操作设备10b、10c与服务器200下次连接时,相应操作设备10b、10c上的本地访问信息将被擦除。
因此,这允许在任意用户之间安全有效地共享访问信息。
图4示出了根据一个实施例的传送用于访问过程自动化现场设备100的访问信息的方法的步骤的流程图。
在步骤S1中,在用户的操作设备10a上指定被赋予用户的用于访问至少一个现场设备100的至少一个访问信息。
在另一步骤S2中,在用户的操作设备10a上将指定的至少一个访问信息关联到其它用户。
在另一步骤S3中,将访问许可从操作设备10a发送到服务器200,使得通过服务器200基于访问许可将至少一个访问信息提供给其它用户,该访问许可包含关于指定的至少一个访问信息的信息以及关于与指定的访问信息关联的其它用户的信息。
图5示出了根据一个实施例的传送用于访问过程自动化现场设备100的访问信息的方法的步骤的流程图。
在步骤S1中,通过服务器200接收由用户的操作设备10a发送的访问许可,在服务器200上存储有用于访问至少一个现场设备100的至少一个访问信息,其中,访问许可包括关于至少一个访问信息的信息以及关于与至少一个访问信息关联的其它用户的信息。
在另一步骤S2中,基于访问许可,在服务器200上为与至少一个访问信息关联的其它用户创建使用授权。
在步骤S3中,通过服务器200将至少一个访问信息提供给其它用户。
另外,应注意,“包括”和“具有”不排除其它元件或步骤,并且不定冠词“一”或“一个”不排除多个。还应理解,参照上述实施例说明的特征或步骤也可以与上述其它实施例的其它特征或步骤组合。权利要求中的附图标记不应被看作限制。
相关申请的交叉引用
本申请要求于2018年10月29日提交的欧洲专利申请18 203 150.0的优先权,其全部内容通过引入的方式并入本文。
Claims (21)
1.一种传送用于访问过程自动化现场设备(100)的访问信息的方法,所述方法包括以下步骤:
在用户的操作设备(10、10a)上,指定被赋予所述用户的用于通过所述操作设备(10、10a)访问至少一个现场设备(100)的至少一个访问信息;
在所述用户的所述操作设备(10、10a)上,将其它用户关联到所指定的所述至少一个访问信息;且
从所述操作设备(10、10a)向服务器(200)发送访问许可,使得基于所述访问许可将所述至少一个访问信息提供给所述其它用户,所述访问许可包括关于所指定的所述至少一个访问信息的信息和关于与所指定的所述访问信息关联的所述其它用户的信息。
2.根据权利要求1所述的方法,
其中,所述至少一个访问信息包括用于许可对所述至少一个现场设备(100)的操作的至少一个访问标识。
3.根据前述任一项权利要求所述的方法,
其中,所述至少一个访问信息包括用于建立与所述至少一个现场设备(100)的通信连接的至少一个连接标识。
4.根据前述任一项权利要求所述的方法,其还包括:
通过所述用户的所述操作设备(10、10a),登录到所述服务器(200)上的与所述用户关联的用户账户(208a),其中,所述用户账户管理用于所述用户访问一个或多个现场设备的一个或多个访问信息。
5.根据前述任一项权利要求所述的方法,其还包括:
在所述用户的所述操作设备(10、10a)上,提供用于通过所述操作设备(10、10a)访问多个现场设备(100)的多个访问信息的列表,并且
其中,指定被赋予所述用户的所述至少一个访问信息的步骤包括在所述用户的所述操作设备(10、10a)上在所述列表中选择和/或标记被赋予所述用户的所述至少一个访问信息。
6.根据权利要求5所述的方法,
其中,所述列表被存储在所述用户的所述操作设备(10、10a)的存储器(18)中,且/或
其中,所述列表通过所述操作设备(10、10a)的互联网连接和/或网络连接被提供给所述服务器(200)。
7.根据前述任一项权利要求所述的方法,其还包括:
将至少一个用户属性关联到所指定的所述至少一个访问信息,其中,至少一个所述用户属性定义所述其它用户对所指定的所述至少一个访问信息的使用授权,并且
其中,从所述操作设备(10、10a)向所述服务器(200)发送的所述访问许可还包括关于所述至少一个用户属性的信息。
8.根据权利要求7所述的方法,
其中,在所述至少一个用户属性中定义的所述使用授权包括从由以下项组成的群组中选择的至少一个要素:
-允许所述其它用户使用所指定的所述访问信息的永久授权;
-允许所述其它用户使用所指定的所述访问信息的临时授权;
-允许所述其它用户使用所指定的所述访问信息的授权,不包括允许所述其它用户查看所指定的所述访问信息的授权;
-允许所述其它用户使用所指定的所述访问信息的授权,包括允许所述其它用户查看所指定的所述访问信息的授权;和
-允许所述其它用户更改所指定的所述访问信息的授权。
9.根据前述任一项权利要求所述的方法,
其中,将所述其它用户关联到所指定的所述至少一个访问信息的步骤包括关联所述其它用户的电子邮件地址。
10.根据前述任一项权利要求所述的方法,其还包括:
向所述其它用户和/或与所述其它用户关联的电子邮件地址发送通知。
11.根据权利要求10所述的方法,
其中,所述通知被从所述用户的所述操作设备(10、10a)发送到与所述其它用户关联的所述电子邮件地址。
12.根据权利要求10或11所述的方法,
其中,从所述操作设备(10、10a)向所述服务器(200)发送的所述访问许可还包括关于所述其它用户的所述电子邮件地址的信息,并且
其中,从所述操作设备(10、10a)向所述服务器发送的所述访问许可使所述服务器向与所述其它用户关联的所述电子邮件地址发送通知。
13.根据前述任一项权利要求所述的方法,其还包括:
利用所述操作设备(10、10a)向所述服务器(200)发送用于撤销所述其它用户对所述至少一个访问信息的使用授权的访问撤销。
14.一种被配置为执行根据前述任一项权利要求所述的方法的步骤的操作设备(10、10a-c)。
15.一种程序元件,其当在操作设备(10、10a-c)上被执行时使所述操作设备(10、10a-c)执行根据权利要求1至13中任一项所述的方法的步骤。
16.一种传送用于访问过程自动化现场设备(100)的访问信息的方法,所述方法包括以下步骤:
接收由用户的操作设备(10、10a)向服务器(200)发送的访问许可,在所述服务器上存储有用于访问至少一个现场设备(100)的至少一个访问信息,其中,所述访问许可包括关于所述至少一个访问信息的信息和关于与所述至少一个访问信息关联的其它用户的信息;
基于所接收的所述访问许可,在所述服务器(200)上为与所述至少一个访问信息关联的所述其它用户创建和/或存储使用授权;且
从所述服务器(200)向所述其它用户提供所述至少一个访问信息。
17.根据权利要求16所述的方法,
其中,所接收的所述访问许可还包括关于与所述至少一个访问信息和/或所述其它用户关联的至少一个用户属性的信息,并且
其中,在所述服务器(200)上基于所述至少一个用户属性创建和/或存储所述使用授权。
18.根据权利要求16至17中任一项所述的方法,
其中,向所述其它用户提供所述至少一个访问信息的步骤包括从所述服务器(200)向所述其它用户的其它操作设备(10、10b、10c)发送所述至少一个访问信息,且/或
其中,向所述其它用户提供所述至少一个访问信息的步骤包括使所述其它用户能够通过所述其它用户的所述其它操作设备(10、10b、10c)访问被存储在所述服务器(200)上的所述至少一个访问信息。
19.根据权利要求16至18中任一项所述的方法,
其中,在所述服务器(200)上存储有所述其它用户的用户帐户(208b、208c),并且
其中,向所述其它用户提供所述至少一个访问信息的步骤包括将所述至少一个访问信息链接到所述其它用户的所述用户账户(208b、208c)。
20.一种被配置为执行根据权利要求16至19中任一项所述的方法的步骤的服务器(200)。
21.一种程序元件,其当在服务器(200)上被执行时使所述服务器(200)执行根据权利要求16至19中任一项所述的方法的步骤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP18203150.0 | 2018-10-29 | ||
| EP18203150.0A EP3647887B1 (de) | 2018-10-29 | 2018-10-29 | Verfahren und vorrichtung zur weitergabe einer zugriffsinformation für einen zugriff auf ein feldgerät der prozessindustrie |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111104681A true CN111104681A (zh) | 2020-05-05 |
| CN111104681B CN111104681B (zh) | 2022-11-01 |
Family
ID=64100590
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911037325.6A Active CN111104681B (zh) | 2018-10-29 | 2019-10-29 | 传送用于访问过程工业现场设备的访问信息的方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11336649B2 (zh) |
| EP (1) | EP3647887B1 (zh) |
| CN (1) | CN111104681B (zh) |
| HU (1) | HUE058223T2 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2019236667B2 (en) * | 2018-09-28 | 2023-10-05 | Infosys Limited | System and method for decentralized identity management, authentication and authorization of applications |
| DE102019204077B4 (de) | 2019-03-25 | 2022-11-17 | Vega Grieshaber Kg | Berechtigungsvergabe an Feldgeräte |
| EP4321948A1 (de) * | 2022-08-11 | 2024-02-14 | VEGA Grieshaber KG | Teilen von gesammelten gerätedaten bei feldgeräten |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127625A (zh) * | 2006-08-18 | 2008-02-20 | 华为技术有限公司 | 一种对访问请求授权的系统及方法 |
| CN105164663A (zh) * | 2013-01-09 | 2015-12-16 | 艾菲尼莫公司 | 访问可控交互的系统和方法 |
| US20170052522A1 (en) * | 2015-08-21 | 2017-02-23 | Rachio, Inc. | Remote and shared access for sprinkler systems |
| WO2017121928A1 (en) * | 2016-01-13 | 2017-07-20 | Valmet Automation Oy | Executing operation to service in industrial automation system |
| CN107111697A (zh) * | 2014-10-15 | 2017-08-29 | 艾拉物联公司 | 对于所连接的消费者设备的基于角色的访问控制 |
| CN107643733A (zh) * | 2016-07-20 | 2018-01-30 | 费希尔-罗斯蒙特系统公司 | 用于控制对过程工厂中过程控制设备的访问的认证和授权 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7380008B2 (en) * | 2000-12-22 | 2008-05-27 | Oracle International Corporation | Proxy system |
| DE102012109348A1 (de) * | 2012-10-02 | 2014-04-03 | Endress + Hauser Process Solutions Ag | Verfahren zum sicheren Bedienen eines Feldgerätes |
| DE102013111690A1 (de) * | 2013-10-23 | 2015-05-07 | Endress + Hauser Conducta Gesellschaft für Mess- und Regeltechnik mbH + Co. KG | Verfahren zum Bereitstellen von limitierten Zugangsschlüsseln für Feldgeräte |
| EP3312692B1 (de) | 2016-10-19 | 2022-07-06 | VEGA Grieshaber KG | Bediengerät und verfahren zur bedienung eines messgeräts |
| US10341735B2 (en) * | 2017-11-06 | 2019-07-02 | Rovi Guides, Inc. | Systems and methods for sharing content service provider subscriptions |
| US10866963B2 (en) * | 2017-12-28 | 2020-12-15 | Dropbox, Inc. | File system authentication |
-
2018
- 2018-10-29 EP EP18203150.0A patent/EP3647887B1/de active Active
- 2018-10-29 HU HUE18203150A patent/HUE058223T2/hu unknown
-
2019
- 2019-10-29 US US16/667,558 patent/US11336649B2/en active Active
- 2019-10-29 CN CN201911037325.6A patent/CN111104681B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127625A (zh) * | 2006-08-18 | 2008-02-20 | 华为技术有限公司 | 一种对访问请求授权的系统及方法 |
| CN105164663A (zh) * | 2013-01-09 | 2015-12-16 | 艾菲尼莫公司 | 访问可控交互的系统和方法 |
| CN107111697A (zh) * | 2014-10-15 | 2017-08-29 | 艾拉物联公司 | 对于所连接的消费者设备的基于角色的访问控制 |
| US20170052522A1 (en) * | 2015-08-21 | 2017-02-23 | Rachio, Inc. | Remote and shared access for sprinkler systems |
| WO2017121928A1 (en) * | 2016-01-13 | 2017-07-20 | Valmet Automation Oy | Executing operation to service in industrial automation system |
| CN107643733A (zh) * | 2016-07-20 | 2018-01-30 | 费希尔-罗斯蒙特系统公司 | 用于控制对过程工厂中过程控制设备的访问的认证和授权 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11336649B2 (en) | 2022-05-17 |
| HUE058223T2 (hu) | 2022-07-28 |
| CN111104681B (zh) | 2022-11-01 |
| US20210185044A9 (en) | 2021-06-17 |
| EP3647887A1 (de) | 2020-05-06 |
| US20200162468A1 (en) | 2020-05-21 |
| EP3647887B1 (de) | 2022-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111104681B (zh) | 传送用于访问过程工业现场设备的访问信息的方法和设备 | |
| JP7010612B2 (ja) | プロセスプラントにおけるユーザインターフェイスデバイスに対する二要素認証 | |
| EP1621944B1 (en) | Security system and method for an industrial automation system | |
| CN104468179B (zh) | 由控制器装置执行的方法及控制器装置 | |
| CN105392134B (zh) | 在至少一个第二单元上认证至少一个第一单元的方法 | |
| JP7013153B2 (ja) | プロセスプラント内のプロセス制御装置へのアクセスを制御する認証と権限付与 | |
| JP2020013591A (ja) | 自己プロビジョニングアクセス制御 | |
| CN104919467B (zh) | 控制对网络驱动器的访问的方法和网络驱动器系统 | |
| US20190334890A1 (en) | Wi-fi enabled credential enrollment reader and credential management system for access control | |
| JP2016515784A5 (zh) | ||
| CN104169935A (zh) | 信息处理装置、信息处理系统、信息处理方法及程序 | |
| JP2012038145A (ja) | プロビジョニング装置 | |
| US9100830B2 (en) | Wireless communication system | |
| US10298556B2 (en) | Systems and methods for secure storage and management of credentials and encryption keys | |
| US20200314185A1 (en) | A Method and a System for User Authentication in an Offline Mobile Calibration or Checklist Performing Device | |
| JP5041257B2 (ja) | フィールド通信システムおよびフィールド通信方法 | |
| CN103988209A (zh) | 信息处理装置、服务提供系统、服务提供方法和程序 | |
| US10970369B2 (en) | Rapid file authentication on automation devices | |
| WO2016182749A1 (en) | Apparatus and method for protecting proprietary information over public notification infrastructure | |
| KR20120110693A (ko) | 모바일 환경으로 확장 가능한 통합형 원방감시제어시스템 | |
| WO2018212456A1 (ko) | 데이터 분산형 통합 관리시스템 | |
| US11971973B2 (en) | Uilization control system, use permit issuance device, uilization control method, and computer-readable program | |
| US20220094541A1 (en) | Method for obtaining emergency device access for field devices | |
| CN116982043A (zh) | 控制系统及其控制方法 | |
| JP2013033339A (ja) | 制御プログラム改変許可装置、プログラム改変作業システム、および制御プログラム改変許可方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |