CN112787804A

CN112787804A - 执行现场设备与操作设备之间的取决于许可的通信的方法

Info

Publication number: CN112787804A
Application number: CN202010973044.8A
Authority: CN
Inventors: W·霍特根罗特
Original assignee: Krohne Messtechnik GmbH and Co KG
Current assignee: Krohne Messtechnik GmbH and Co KG
Priority date: 2019-11-07
Filing date: 2020-09-16
Publication date: 2021-05-11
Also published as: EP3820081A1; DE102019130067A1; US20210144016A1; DE102019130067B4

Abstract

描述并示出了一种用于执行在自动化技术的至少一个现场设备与操作设备之间的取决于许可的通信的方法，其中现场设备和操作设备经由通信连接来彼此连接而且其中现场设备具有电子现场设备标志符。该方法通过如下方式来实现：在操作设备从许可方获得与现场设备进行通信的许可的情况下，在操作设备上存放取决于现场设备标志符的密码验证数据；操作设备从现场设备获得现场设备标志符以准备与现场设备进行通信；在密码比较步骤中，检查由操作设备获得的现场设备标志符是否包含在验证数据中；并且对于由操作设备获得的现场设备标志符包含在验证数据中的情况来说，操作设备与现场设备进行通信，否则操作设备不与现场设备进行通信。

Description

执行现场设备与操作设备之间的取决于许可的通信的方法

技术领域

本发明涉及一种用于执行在自动化技术的至少一个现场设备与操作设备之间的取决于许可的通信的方法，其中现场设备和操作设备经由通信连接来彼此连接而且其中现场设备具有电子现场设备标志符。

背景技术

自动化技术的现场设备通常是各种各样的传感器或者也是各种各样的执行器，这些传感器或执行器安装“在现场”、即安装在技术过程中并且在那里记录测量值、输出控制参量或者直接作为执行器来主动影响该过程。即这样的现场设备与技术过程、例如在制造设施中的技术过程直接保持联系。这里所谈及的类型的现场设备例如用于以测量技术来检测流量、压力、温度、pH值和其它过程相关的参量或者也对该过程进行影响，例如通过这些现场设备对调节阀进行操控来对该过程进行影响。

这里所考虑的现场设备可以与操作设备经由通信连接来彼此连接，其中接着利用操作设备可能的是：从现场设备记录数据或者也对现场设备产生影响，例如其方式是将某些参数传输到现场设备上或者其方式是也对现场设备中的功能性进行激活和/或配置。

出于不同原因，可能希望：某个操作设备不应该与所连接的现场设备建立联系或者只允许在某种范围内与现场设备建立通信关系。现场设备例如必须满足某些安全技术方面的要求并且因此需要可靠的保护，但是例如也只能规定现场设备的某些功能性用于由操作设备来访问，例如通过购买某些功能模块来规定现场设备的某些功能性用于由操作设备来访问。操作设备例如可以是具有所谓的设备类型管理器（Device Type Manager，DTM）的外部设备。

从现有技术中公知的对于操作设备或在操作设备上运行的软件组件只能以某种方式与某个所连接的现场设备建立通信连接来说的解决方案例如在于：该操作设备特定于设备地来被设计并且这样只能与某些现场设备以某种方式建立通信关系。在此，相关操作设备对某些现场设备的访问可能性直接被编译到操作设备的软件装备中。其它解决方案规定：操作设备在运行时必须与许可证服务器连接，以便可以查询某些授权。两种解决方案都花费高，因为在第一种情况下必须针对操作设备产生单独的软件而在第二种情况下必须建立与许可证服务器的连接。

发明内容

本发明的任务是：找到一种对于操作设备与保持通信连接的现场设备只能在某种许可范围内建立通信连接来说的尽可能简单的解决方案。

之前引出和阐明的任务在开头所描述的用于执行在现场设备与操作设备之间的取决于许可的通信的方法中通过如下方式来被解决：在操作设备从许可方获得与现场设备进行通信的许可的情况下，在操作设备上存放取决于现场设备标志符的密码验证数据；操作设备从现场设备获得现场设备标志符以准备与现场设备进行通信；在密码比较步骤中检查由操作设备获得的现场设备标志符是否包含在验证数据中；并且对于由操作设备获得的现场设备标志符包含在验证数据中的情况来说，操作设备与现场设备进行通信，否则不与现场设备进行通信。

许可方例如可以是操作设备和/或现场设备的制造商，该制造商想要设法使操作设备只能与某些现场设备相关联地被运行或者操作设备的某个软件组件能与某些现场设备相关联地被运行。

操作设备与其对现场设备的访问可能性之间的关联通过如下方式来被实现：在操作设备上存放取决于现场设备标志符的密码验证数据。现场设备标志符例如可以存在于序列号中或者存在于现场设备在安装过程中的唯一标识中。密码验证数据指的是以加密技术——即以密码方式——来处理的信息。

如果现场设备和操作设备经由通信连接来彼此连接或彼此发生连接，则操作设备首先从现场设备获得该现场设备的现场设备标志符。接着，在密码比较步骤中，利用加密技术方法来检查由操作设备获得的现场设备标志符、即已从现场设备被传输到操作设备上的现场设备标志符是否包含在验证数据中。在此，不一定必须识别现场设备标志符是否以明文包含在验证数据中，即该验证数据不一定就是该现场设备标志符，这也是指：验证数据明确取决于现场设备标志符并且就这方面来说可以间接地确定所获得的现场设备标志符是否以某种方式（也包括密码隐藏方式）存在于验证数据中。如果从这个意义上说由操作设备获得的现场设备标志符以某种方式包含在验证数据中，即比较步骤为肯定，则在操作设备上判断其可以与现场设备进行通信；在密码比较步骤的输出为否定的情况下，操作设备或在操作设备上的所涉及到的软件组件不能与现场设备进行通信。即，操作设备基于密码比较步骤的结果来自己判断其是否能与所连接的现场设备进行通信。然而，这对于工业实践中的很多应用情况来说都是完全足够的。

如果操作设备没有与现场设备进行通信的许可，则当然仍然有可能在操作设备上存放密码验证数据，然而该密码验证数据并不取决于相对应的现场设备标志符。在这种情况下，仍然可以执行密码比较步骤，然而该密码比较步骤接着具有否定结果，使得操作设备不能与现场设备进行通信。

按照该方法的一个优选的设计方案规定：利用密码许可证算法根据现场设备标志符并且根据机密密钥来计算第一许可证密钥，作为验证数据。该计算例如可以在许可证服务器上进行，在该许可证服务器上知道通过操作设备应该能借助于通信连接来访问具有哪个现场设备标志符的哪个现场设备。通常，许可方、即尤其是操作设备的制造商和/或用于在操作设备上实施来与现场设备进行通信的通信软件的制造商知道该机密密钥。

在上述方法的一个优选的设计方案中规定：密码许可证算法根据现场设备标志符和机密密钥的组合来执行对哈希值的计算。

按照该方法的一个扩展方案，该机密密钥被寄存在操作设备上。这可以以明文来实现，尤其是然而受保护地来实现，例如以操作设备的经编译的通信软件或者以其它加密形式来实现。

在该方法的一个扩展方案中，在密码方法步骤中，利用密码许可证算法根据从现场设备获得的现场设备标志符和寄存在操作设备上的机密密钥来计算第二许可证密钥。接着，为了证实由操作设备获得的现场设备标志符是否包含在验证数据中，检查第一许可证密钥是否与第二许可证密钥一致。

优选地，在操作设备上执行对第二许可证密钥的计算。替选地，也可以在与操作设备连接的计算机上实施该计算。

在所示出的实施例方面清楚的是：现场设备标志符“包含”在验证数据中并不意味着从验证数据中必须能够以明文获得现场设备标志符。但是，根据现场设备标志符对哈希值的计算足以明确证明现场设备标志符实际包含在验证数据中。

按照该方法的一个替选的设计方案、即替选于使用机密密钥，规定：创建数字证书作为验证数据，其中该数字证书在第一证书部分中包括许可方的密码公钥以及操作设备针对其具有或应该获得通信许可的那些现场设备的至少一个现场设备标志符。该数字证书在第二证书部分中包括根据第一证书部分所计算出的数字签名，其中该数字签名利用非对称密码证书密钥对的密码证书私钥来被计算。

该方法的基于机密密钥的第一设计方案主要适合于将操作设备分配给唯一的现场设备或将在操作设备上的软件组件分配给唯一的现场设备，而现在论述的证书解决方案也适合于能够分配给多个现场设备。

优选地，该数字证书也可以由许可方来创建，即尤其是由操作设备的制造商和/或由用于在操作设备上实施来与现场设备进行通信的通信软件的制造商来创建。然而，这并不是必需的。替选地，该数字证书也可以由与许可方不同的认证机构（CertificationAuthority，CA）来创建，如这例如从在因特网通信领域的证书公知的那样。

在基于证书的方法的一个扩展方案中规定：在密码比较步骤中在操作设备上确定包含在该数字证书中的至少一个现场设备标志符并且将至少一个所确定的现场设备标志符与至少一个从现场设备获得的现场设备标志符进行比较。在现场设备标志符一致的情况下，得以证实相关的至少一个由操作设备获得的现场设备标志符包含在验证数据中。在这种情况下，操作设备可以与所连接的现场设备进行通信。

在该上下文中，在该方法的一个特别优选的设计方案中规定：将非对称密码证书密钥对的证书公钥传输到操作设备并且在操作设备上利用该证书公钥来检查证书的完整性。在检查结果为否定的情况下，排除操作设备或操作设备的软件组件与所连接的现场设备的通信；和/或在检查结果为否定的情况下，显示和/或进一步报告证书的损坏（Korruption）。

附图说明

现在，详细存在设计按照本发明的用于执行在自动化技术的至少一个现场设备与操作设备之间的取决于许可的通信的方法的多种可能性。相对应的扩展方案是从属权利要求的主题并且随后依据所示出的实施例来予以描述。在附图中：

图1非常示意性地示出了用于执行取决于许可的通信的一般方法；

图2示出了按照本发明的在使用许可证密钥的情况下的方法的实现方案，该许可证密钥根据现场设备标志符和机密密钥来被计算；以及

图3示出了按照本发明的基于数字证书的方法的设计方案。

具体实施方式

在全部三张附图中，都示出了用于执行在自动化技术的至少一个现场设备3与操作设备4之间的取决于许可的通信2的方法1。现场设备3和操作设备4经由通信连接5来彼此连接。通信连接5可以是有线连接，但是该通信连接也可以经由无线电接口来被实现。可以涉及标准化接口，但是也可以涉及例如使用特定于制造商的专用设备接口的连接；这里并不是重点。无论如何，现场设备3都具有电子现场设备标志符IDF。这样的现场设备标志符例如可以已经在制造商处被给予，替选地或附加地但是也可以由现场设备的使用者来规定明确的现场设备标志符IDF；这里也并不是重点。

利用所示出的方法1应该实现：利用非常简单的手段来实现在现场设备3与操作设备4之间的取决于许可的通信2，即例如在不需要与许可证服务器的连接或者在操作设备和/或现场设备不必利用特定于设备的软件来运行的情况下实现在现场设备3与操作设备4之间的取决于许可的通信2。

所有示出的方法1的共同之处在于：在操作设备4从许可方6获得与现场设备3进行通信的许可或者应该获得该许可的情况下，在操作设备4上存放取决于现场设备标志符IDL的密码验证数据VDL。即密码验证数据VDL是通信许可的载体。还规定：操作设备4从现场设备3获得现场设备标志符IDF以准备与现场设备3进行通信。在密码比较步骤9中，检查由操作设备4获得的现场设备标志符IDF是否包含在验证数据VDL中。在所有实施例中，密码比较步骤9都在操作设备4上被执行。对于由操作设备4获得的现场设备标志符IDF包含在验证数据VDL中的情况来说，操作设备4可以与现场设备3进行通信，否则该操作设备不能与现场设备3进行通信。即在操作设备4上的内部检查关于操作设备4或在操作设备4上运行的软件组件是否可以使用通信连接5来与现场设备3进行通信方面做出判断。

在图1中，密码验证数据VDL取决于现场设备标志符通过如下方式来勾画出：验证数据VDL是现场设备标志符IDL的函数f。这里针对现场设备标志符不是使用缩写IDF，而是使用缩写IDL，以便清楚地表明位于现场设备3上的现场设备标志符IDF可能不同于现场设备标志符IDL——在所示出的设计方案中是许可方6的认识。即，现场设备标志符IDL是用于与某个操作设备进行通信的授权应授予的那个现场设备的标志符，现场设备标志符IDF是实际连接的现场设备的现场设备标志符。

在所有图示中，密码比较步骤9都在操作设备4上进行并且在那里作为菱形来示出。在图1中十分常见地检查：现场设备3的现场设备标志符IDF是否包含在验证数据VDL中。这里，“包含”并不意味着现场设备标志符IDF以明文包含在验证数据VDL中，仅须存在验证数据VDL与所要检查的现场设备标志符IDF的明确的相关性，使得原则上可以检查是否应该允许操作设备4与具有标志符IDF的现场设备3进行通信。

在图2中的实施例已经清楚地表明：现场设备标志符IDF不必以明文包含在验证数据VDL中指的是什么。在图2中示出了：利用密码许可证算法f来计算第一许可证密钥，即根据现场设备标志符IDL并且根据机密密钥KEY来计算第一许可证密钥，作为验证数据VDL。这里，许可方6知道机密密钥KEY，该许可方例如是操作设备的制造商或者也可能是用于在操作设备4中实施来与现场设备3进行通信的通信软件的制造商。

在图2中所示出的实施例中，密码许可证算法f根据现场设备标志符IDL和机密密钥KEY的组合来执行对哈希值的计算。

在图2中所示出的方法1的情况下，机密密钥KEY被寄存在操作设备4上。由此，接着可能的是：在操作设备4上实施密码比较步骤9。这里，即在密码比较步骤9中，利用密码许可证算法f根据从现场设备3获得的现场设备标志符IDF和寄存在操作设备4上的机密密钥KEY来计算第二许可证密钥f(IDF, KEY)。为了证实由操作设备4获得的现场设备标志符IDF是否包含在验证数据VDL中，检查第一许可证密钥VDL是否与第二许可证密钥f(IDF, KEY)一致。对这些许可证密钥的一致性的检查可以为肯定（pos）并且借此以对通信的准许来结束，但是该检查也可以为否定（neg）并且借此导致阻止在操作设备4与现场设备3之间的通信。

方法1的在图3中所示出的实施例是对于在图2中示出的在使用机密密钥的情况下的实现方案的替选实现方案。在图3中所示出的替选解决方案利用数字证书来工作。即创建数字证书ZERT作为验证数据VDL，其中数字证书ZERT在第一证书部分中包括许可方6的密码公钥PUBL以及操作设备4针对其应该获得通信许可的那些现场设备的现场设备标志符IDL或现场设备标志符IDL1、IDL2。数字证书ZERT在第二证书部分中包括根据第一证书部分所计算出的数字签名SIGN_PRIVZ。数字签名——如对于证书来说常见的那样——利用非对称密码证书密钥对PUBZ、PRIVZ的密码证书私钥PRIVZ来被计算。该密钥对通常由认证机构签发。该认证机构可以是与许可方6完全无关的机构，但是许可方6（例如以操作设备4和/或现场设备3和/或用于操作设备4的通信软件的制造商的形式）当然也可以作为认证机构来工作。

在密码比较步骤9中，在操作设备4上确定10包含在数字证书ZERT中的至少一个现场设备标志符IDL。在当前情况下，在数字证书ZERT中包含两个现场设备标志符，即现场设备标志符IDL1和IDL2。将所确定的现场设备标志符IDL1、IDL2与从现场设备3获得的现场设备标志符IDF1、IDF2 进行比较。在现场设备标志符IDF1、IDF2、IDL1、IDL2一致的情况下，得以证实相关的并且由操作设备3获得的现场设备标志符IDF1、IDF2包含在验证数据VDL中。相对应地准许或者也包括阻止在操作设备4与一个或多个现场设备3之间的通信。

在图3中还能看出：非对称密码证书密钥对PUBZ、PRIVZ的证书公钥PUBZ已被传输到操作设备4。在操作设备4上，利用证书公钥PUBZ来检查证书ZERT的完整性。这是对于在比较步骤9中的检查来说附加的检查。这里，在检查结果为否定的情况下也排除操作设备4与至少一个现场设备3的通信。替选地或附加地，可能会规定：在检查结果为否定的情况下显示和/或进一步报告证书ZERT的损坏。

附图标记

1 方法

2 通信

3 现场设备

4 操作设备

5 通信连接

6 许可方

7 存放验证数据

8 获得现场设备标志符

9 比较步骤

10 确定现场设备标志符

IDL 用于授予通信许可的现场设备标志符

IDF 实际连接的现场设备的现场设备标志符

VDL 验证数据

COM 通信许可/禁止

KEY 机密密钥

ZERT 数字证书

PUBZ 认证机构的公钥

PRIVZ 认证机构的私钥

PUBL 许可方的公钥。

Claims

1.一种用于执行在自动化技术的至少一个现场设备（3）与操作设备（4）之间的取决于许可的通信（2）的方法（1），其中所述现场设备（3）和所述操作设备（4）经由通信连接（5）来彼此连接而且其中所述现场设备（3）具有电子现场设备标志符（IDF），

其特征在于，

在所述操作设备（4）从许可方（6）获得与所述现场设备（3）进行通信的许可的情况下，在所述操作设备（4）上存放（7）取决于所述现场设备标志符（IDL、IDF）的密码验证数据（VDL）；

所述操作设备（4）从所述现场设备（3）获得（8）所述现场设备标志符（IDF）以准备与所述现场设备（3）进行通信；

在密码比较步骤（9）中，检查由所述操作设备（4）获得的现场设备标志符（IDF）是否包含在所述验证数据（VDL）中；并且

对于由所述操作设备（4）获得的现场设备标志符（IDF）包含在所述验证数据（VDL）中的情况来说，所述操作设备（4）与所述现场设备（3）进行通信，否则所述操作设备不与所述现场设备（3）进行通信。

2.根据权利要求1所述的方法（1），其特征在于，利用密码许可证算法（f）根据所述现场设备标志符（IDL）并且根据机密密钥（KEY）来计算第一许可证密钥，作为验证数据（VDL），尤其是其中所述许可方（6）知道所述机密密钥（KEY），尤其是所述操作设备（4）的制造商和/或用于在所述操作设备上实施来与所述现场设备（3）进行通信的通信软件的制造商知道所述机密密钥（KEY）。

3.根据权利要求2所述的方法（1），其特征在于，所述密码许可证算法（f）根据所述现场设备标志符（IDL）和所述机密密钥（KEY）的组合来执行对哈希值的计算。

4.根据权利要求2或3所述的方法（1），其特征在于，所述机密密钥（KEY）被寄存在所述操作设备（4）上，尤其是受保护地被寄存在所述操作设备（4）上，尤其是以经编译的通信软件或者以其它加密形式来被寄存在所述操作设备（4）上。

5.根据权利要求2至4中任一项所述的方法（1），其特征在于，在所述密码比较步骤（9）中，利用所述密码许可证算法（f）根据从所述现场设备（3）获得的现场设备标志符（IDF）和寄存在所述操作设备（4）上的机密密钥（KEY）来计算第二许可证密钥（VDF）；而且为了证实由所述操作设备（4）获得的现场设备标志符（IDF）是否包含在所述验证数据（VDL）中，检查所述第一许可证密钥是否与所述第二许可证密钥（VDF）一致。

6.根据权利要求5所述的方法（1），其特征在于，对所述第二许可证密钥（VDF）的计算在所述操作设备（4）上进行。

7.根据权利要求1所述的方法（1），其特征在于，创建数字证书（ZERT）作为验证数据（VDL），其中所述数字证书（ZERT）在第一证书部分中包括所述许可方（6）的密码公钥（PUBL）以及所述操作设备（4）针对其具有通信许可的那些现场设备（3）的至少一个现场设备标志符（IDL、IDL1、IDL2），而且其中所述数字证书（ZERT）在第二证书部分中包括根据所述第一证书部分所计算出的数字签名（SIGN_PRIVZ），其中所述数字签名（SIGN_PRIVZ）利用非对称密码证书密钥对（PUBZ、PRIVZ）的密码证书私钥（PRIVZ）来被计算。

8.根据权利要求7所述的方法（1），其特征在于，所述数字证书（SIGN_PRIVZ）由所述许可方（6）来创建，尤其是由所述操作设备（4）的制造商和/或由用于在所述操作设备（4）上实施来与所述现场设备（3）进行通信的通信软件的制造商来创建。

9.根据权利要求7或8所述的方法（1），其特征在于，在所述密码比较步骤（9）中，在所述操作设备（4）上确定（10）包含在所述数字证书（SIGN_PRIVZ）中的至少一个现场设备标志符（IDL1、IDL2），并且将至少一个所确定的现场设备标志符（IDL1、IDL2）与至少一个从所述现场设备（3）获得的现场设备标志符（IDF1、IDF2）进行比较，而且在现场设备标志符一致的情况下，得以证实相关的至少一个由所述操作设备（4）获得的现场设备标志符（IDF1、IDF2）包含在所述验证数据（VDL）中。

10.根据权利要求7至9中任一项所述的方法（1），其特征在于，将所述非对称密码证书密钥对（PUBZ、PRIVZ）的证书公钥（PUBZ）传输到所述操作设备（4），并且在所述操作设备（4）上利用所述证书公钥（PUBZ）来检查所述证书（SIGN_PRIVZ）的完整性，其中在检查结果为否定的情况下排除所述现场设备（4）与至少一个现场设备（3）的通信和/或其中在检查结果为否定的情况下显示和/或进一步报告所述证书（SIGN_PRIVZ）的损坏。