-
Die
Erfindung betrifft ein mobiles Gerät zur Autorisierung eines Anwenders
für einen
Zugriff auf ein Automatisierungsgerät, ein Automatisierungsgerät, für das sich
ein Anwender mit genanntem mobilen Gerät autorisieren kann, eine Vorrichtung
zur Erzeugung von zur Autorisierung eines Anwenders für den Zugriff
auf das Automatisierungsgerät
benötigte Autorisierungsdaten,
ein System umfassend genanntes mobiles Gerät, Automatisierungsgerät und Vorrichtung
sowie ein Verfahren zur Autorisierung eines Anwenders für ein Automatisierungsgerät.
-
Die
Erfindung kommt im Bereich der Automatisierungstechnik zum Einsatz,
insbesondere dort, wo bei der Bedienung eines technischen Gerätes durch
einen Anwender die Sicherheit, Zugriffskontrolle und Nachverfolgbarkeit
von Bedienschritten von hoher Bedeutung ist. Ein Beispiel hierfür ist das
Bedienen und Beobachten im Bereich der Automatisierungstechnik.
Um bei der Bedienung eines komplexen Automatisierungssystems vorgenannte
Kriterien erfüllen
zu können,
ist es nötig,
einen Anwender des Automatisierungssystems sicher zu Authentifizieren und
zu Autorisieren. Eine gängige
Methode, eine derartige Authentifizierung des Anwenders an einer technischen
Einrichtung durchzuführen,
ist die Verwendung von Passwörtern.
Ein Anwender meldet sich mit Hilfe eines Passwortes und eines Benutzernamens
an einer technischen Einrichtung, beispielsweise einem PC, an. Anhand
des Passwortes und des Benutzernamens wird der Anwender authentifiziert
und es werden ihm die auf der technischen Einrichtung oder in einer übergeordneten
zentralen IT hinterlegten Zugriffsrechte für den Zugriff auf die technische
Einrichtung zugeordnet. Alternativ oder zusätzlich zu der Vergabe von Passworten
kann eine Authentifizierung des Anwenders auch durch einen Ausweisleser
erfolgen, der an die technische Einrichtung angeschlossen ist und
einen Benutzerausweis des Anwenders einlesen kann.
-
Eine
sehr einfache Methode der Authentifizierung und Autorisierung ist
die Verwendung von mechanischen Schlössern. Hierzu wird dem Anwender
ein entsprechender Schlüssel
zugeteilt, mit dem er ein derartiges Schloss öffnen kann und so an die entsprechende
Zugriffsrechte gelangt.
-
Aus
der
DE 101 16 217
A1 ist ein System und ein Verfahren zur drahtlosen Kommunikation
zwischen einer technischen Einrichtung und einer oder mehrerer mobiler
Geräte,
die zum Bedienen und Beobachten der technischen Einrichtung vorgesehen sind,
bekannt. Sobald ein Anwender mit dem mobilen Gerät in einen von der technischen
Einrichtung gesendetes Nahfeld eintritt, kann über einen drahtlosen Kommunikationsweg
die technische Einrichtung mit dem mobilen Gerät kommunizieren.
-
Aus
der
GB 2 408 129 A ist
eine Authentifizierung eines Anwenders an einem Computer durch Übertragung
von Authentifizierungsdaten wie User ID oder biometrischer Daten
von einem Mobiltelefon mittels Nahfeldkommunikation wie Bluetooth,
Infrarot oder WiFl bekannt. Der Anwender muss sich zuvor am Mobiltelefon
authentifizieren beispielsweise indem sein Fingerabdruck mit Hilfe
eines am Mobiltelefon angebrachten Fingerabdruckscanners eingelesen
wird.
-
Aus
der
EP 1 499 070 A2 sind
ein System und Verfahren zur Integration verschiedener Nahfeldkommunikationsprotokolle
bekannt. Ein Datenübertragungsprotokoll
ermöglicht
es einem Hostcontroller, einen RF Transceiver für verschiedene Kommunikationsmodule
unter Verwendung verschiedener Nahfeldkommunikationsprotokolle zu
nutzen.
-
Aus
der
US 2005/0253683
A1 ist ein tragbares Gerät bekannt, welches einen RFID
Tag zum Speichern von Autorisierungsdaten eines Anwenders umfasst.
Das Gerät
weist darüber
hinaus einen biometrischen Sensor auf, mit dem der Anwender beispielsweise über einen
Fingerabdruck identifiziert werden kann. Die erfassten biometrischen
Daten werden mit in einem Speicher hinterlegten biometrischen Daten
eines autorisierten Anwenders verglichen. Stimmen die Daten hinreichend überein,
so wird der RFID Tag über
einen Schalter in einen auslesbaren Zustand geschaltet. Entsprechend
können von
einem RFID Lesekopf die Autorisierungsdaten in diesem Betriebszustand
ausgelesen werden und die entsprechende Autorisierung veranlasst
werden.
-
Die
DE 101 36 848 A1 beschreibt
ein mobiles Endgerät,
welches Autorisierungsdaten gespeichert hat und damit als eine Art
Ticket dient sowie ein Verfahren zum Erlangen einer Berechtigung,
beispielsweise eine Eintrittskarte.
-
Der
Erfindung liegt die Aufgabe zugrunde, eine einfache und sichere
Autorisierung eines Anwenders für
die Bedienung eines Automatisierungsgerätes zu ermöglichen.
-
Erfindungsgemäß wird diese
Aufgabe durch den Gegenstand der unabhängigen Patentansprüche 1 und
10 gelöst.
-
Unter
einem Automatisierungsgerät
wird hier so wie im gesamten Dokument eine Komponente eines Automatisierungssystems
verstanden. Unter einem Automatisierungssystem wird hier sowie im
gesamten Dokument ein System verstanden, welches mit Hilfe technischer
Mittel bestimmte Operationen ohne Einflussnahme des Menschen teilweise
oder ganz nach vorgegebenen Programm durchführt. Operationen bezeichnen
in diesem Zusammenhang z. B. Fertigungsprozesse, Montageprozesse,
Transportprozesse, Prozesse zur Qualitätskontrolle etc., die insbesondere
im industriellen Umfeld ablaufen.
-
Das
erfindungsgemäße mobile
Gerät erspart dem
Anwender die Eingabe eines Passwortes und einer Benutzerkennung
oder das Einschieben einer Chipkarte oder ähnliches in einen Kartenleser
des Automatisierungsgerätes,
um die ihm zustehenden Zugriffsrechte auf das Automatisierungsgerät zu erlangen.
Durch die Ausrüstung
des mobilen Gerätes mit
der Sendeeinrichtung, die innerhalb eines das Automatisierungsgerät umgebenden
räumlich
begrenzten Kommunikationsfeld in der Lage ist, die Autorisierungsdaten
drahtlos an das Automatisierungsgerät zu übertragen, wird der Anwender
automatisch entsprechend der ihm angedachten Zugriffsrechte autorisiert.
Diese Autorisierungsdaten legen z. B. eine Rolle fest, die dem Anwender
beim Zugriff auf das Automatisierungsgerät zugeteilt ist. Handelt es sich
bei dem das Automatisierungsgerät
beispielsweise um eine Steuerung für eine Werkzeugmaschine und
bei dem Anwender um einen Wartungstechniker, so würde der
Anwender aufgrund der ihm zugeteilten und über die Autorisierungsdaten
festgelegten Rolle z. B. Zugriffsrechte in Form von Produzieren und
Einrichtung erhalten. Diese Zugriffsrechte würden mit Hilfe des erfindungsgemäßen mobilen
Gerätes
automatisch freigegeben, sobald der Anwender mit dem mobilen Gerät in das
Kommunikationsfeld des Automatisierungsgerätes gelangt und das mobile Gerät mit Hilfe
seiner Sendeeinrichtung die Autorisierungsdaten drahtlos überträgt. Das
Automatisierungsgerät
empfängt
mit Hilfe seiner Empfangsvorrichtung die Autorisierungsdaten.
-
In
vorteilhafter Ausgestaltung des Automatisierungsgerätes weist
das Automatisierungsgerät Mittel
zur Überprüfung und
Freigabe der Zugriffsrechte anhand der Autorisierungsdaten auf.
-
Bei
einer besonders vorteilhaften Ausführungsform der Erfindung ist
das mobile Gerät
als drahtloses Bedien- und Beobachtungsgerät für das Automatisierungsgerät ausgeführt. Hierbei
dient das mobile Gerät
also nicht nur zur Autorisierung des Anwenders sondern auch als
Schnittstelle zum Bedienen und Beobachten des Automatisierungsgerätes. Da
die Übertragung
der Autorisierungsdaten erfindungsgemäß drahtlos mit Hilfe der Sendeeinrichtung des
mobilen Gerätes
vorgesehen ist, ist eine anschließende drahtlose Bedienung und
Beobachtung des Automa tisierungsgerätes über denselben Kommunikationsweg
besonders vorteilhaft.
-
Zur
Erhöhung
der Sicherheit des erfindungsgemäßen Autorisierungsmechanismus
ist eine weitere Ausgestaltung der Erfindung vorteilhaft, bei dem das
mobile Gerät
Mittel zur Verschlüsselung
der Autorisierungsdaten und verschlüsselten Übertragung der Autorisierungsdaten
aufweist. Entsprechend ist insbesondere bei einer derartigen Ausführung des mobilen
Gerätes
eine Ausführung
des Automatisierungsgerätes
vorteilhaft, das Mittel zur Entschlüsselung der empfangenen Autorisierungsdaten
aufweist. Die verschlüsselte Übertragung
der Autorisierungsdaten stellt insbesondere bei der erfindungsgemäßen drahtlosen Übertragung
der Autorisierungsdaten einen signifikanten Vorteil bezüglich der Übertragungssicherheit
dar. Die drahtlos übertragenen
Autorisierungsdaten können
somit nicht ohne weiteres durch Dritte abgehört und weiterverwendet werden. Zur
Verschlüsselung
kann beispielsweise ein asynchrones Verschlüsselungsverfahren angewendet werden,
bei dem auf dem Automatisierungsgerät ein Privat Key hinterlegt
ist, mit dessen Hilfe das Automatisierungsgerät die mit dem Public Key verschlüsselten,
auf dem Speicher des mobilen Gerätes
hinterlegten Autorisierungsdaten entschlüsselt werden können.
-
In
vielen Fällen
ist es wünschenswert,
das eine Autorisierung des Anwenders an dem Automatisierungsgerät und insbesondere
eine damit verbundene Freischaltung seiner Zugriffsrechte nicht
erfolgt, sofern sich der Anwender in zu großem Abstand zu dem Automatisierungsgerät bzw. einem
mit dem Automatisierungsgerät
gesteuerten Prozess befindet. Es soll vermieden werden, dass die
Zugriffsrechte am Automatisierungsgerät freigegeben werden, obwohl
sich der Anwender gar nicht unmittelbar in der nähe des Automatisierungsgerätes befindet
und somit auch nicht kontrollieren kann, ob eine andere Person die
dem Anwender zugeteilten Zugriffsrechte missbraucht. Daher ist eine
Ausführungsform
des erfindungsgemäßen mobilen
Gerätes
vorteilhaft, bei der die Sendeeinrichtung derart aus geführt ist,
dass die Autorisierungsdaten nur innerhalb eines Bereiches übertragbar
sind, innerhalb dessen ein Sichtkontakt des Anwenders mit dem Automatisierungsgerät besteht,
wenn der Anwender das mobile Gerät bei
sich trägt.
-
Um
das Automatisierungsgerät
mit dem mobilen Gerät
zu Bedienen und/oder zu Beobachten, ist es in der Regel nicht wünschenswert,
dass insbesondere das Bedienen der technischen Einrichtung möglich ist,
wenn der Anwender weit von dem zu bedienenden Automatisierungsgerät entfernt
ist. Handelt es sich beispielsweise bei dem Automatisierungsgerät um eine
Steuerung einer Produktionsmaschine, die im laufenden Betrieb eine
Gefahrenquelle für Menschen
darstellt, die sich in unmittelbarer Nähe der Maschine befinden, so
sollte diese nur bedient werden können, wenn der Anwender Sichtkontakt
zu der Maschine hat und somit kontrollieren kann, das sich keine
Menschen im Gefahrenbereich aufhalten.
-
In
diesem Sinne ist darüber
hinaus eine vorteilhafte Ausgestaltung des Automatisierungsgerätes dadurch
gekennzeichnet, dass die Empfangsvorrichtung derart ausgeführt ist,
dass der Empfang der Autorisierungsdaten nur innerhalb eines Bereiches möglich ist,
in dem ein Sichtkontakt des Anwenders mit dem Automatisierungsgerät besteht,
wenn der Anwender das mobile Gerät
bei sich trägt.
-
Um
den Bereich, in dem die drahtlos übertragenden Autorisierungsdaten
abgehört
bzw. im Falle verschlüsselter
Daten geknackt werden können,
so klein wie möglich
zu halten, ist eine Ausführungsform des
mobilen Gerätes
vorteilhaft, bei der das mobile Geräte Mittel zum Detektieren eines
Verlassens eines geschützten
Bereiches durch das mobile Gerät und
Mittel zum automatischen Zurücksetzen
der Autorisierungsdaten bei Verlassen des geschützten Bereiches durch das mobile
Gerät aufweist.
-
Alternativ
kann zu diesem Zwecke in weiterer vorteilhafter Ausgestaltung der
Erfindung das mobile Gerät
eine Schnittstelle zur berührungslosen
Verbindung mit einer externen Komponente auf aufweisen, die zum
Zurücksetzen
der Autorisierungsdaten bei Verlassen eines geschützten Bereiches
durch das mobile Gerät
vorgesehen ist. Eine Detektion des Verlassens des geschützten Bereiches
durch das mobile Gerät
kann beispielsweise mit Hilfe der RFID (Radio Frequency Identification)
Technik realisiert werden. Beispielsweise enthält das mobile Gerät einen
RFID Tag, der an allen Stellen, an denen der geschützte Bereich
verlassen werden kann, von einer dort montierten RFID Leseeinheit
ausgelesen wird. An eben diesen Stellen könnte auch jeweils eine der
oben genannten externen Komponenten montiert sein, der die Autorisierungsdaten
zurücksetzt,
sobald das RFID Lesegerät
ein Verlassen des mobilen Gerätes detektiert.
Unter Zurücksetzen
der Autorisierungsdaten ist in diesem Zusammenhang eine Modifikation der
Autorisierungsdaten zu verstehen, die dazu führt, das die so modifizierten
Autorisierungsdaten bei einer Übertragung
zum Automatisierungsgerät
nicht mehr zur Freigabe der Zugriffsrechte führen würden. Wird das mobile Gerät nach einem
derartigen Zurücksetzen
der Autorisierungsdaten wieder in den geschützten Bereich eingebracht,
so kann hierbei insbesondere automatisch das Zurücksetzen wieder rückgängig gemacht
werden, so dass eine Übertragung
der Autorisierungsdaten zum Automatisierungsgerät wieder zu einer Freigabe
der Zugriffsrechte führen
würde.
-
Je
individualisierter die Zugriffsrechte auf die technische Einrichtung
bei verschiedenen potentiellen Anwendern sind, desto vorteilhafter
ist eine Ausführungsform
der Erfindung, bei der der Speicher zum Speichern von Biometriedaten
des Anwenders vorgesehen ist. Um derartige Biometriedaten auf dem
Speicher des mobilen Gerätes
zu hinterlegen, ist eine Ausführungsform
der Erfindung vorteilhaft, bei der die Vorrichtung zur Erzeugung
der Autorisierungsdaten Mittel zur Bestimmung biometrischer Merkmale
des Anwenders und Mittel zum Schreiben entsprechender Biometriedaten
in den Speicher des mobilen Gerätes
aufweist. Mit Hilfe einer derartigen Vorrichtung werden bei der
Authentifizierung des Anwenders auch biometrische Merkmale überprüft wie beispielsweise
die Körpergröße, Iris- oder Retinamerkmale,
der Fingerabdruck, Gesichtsmerkmale, die Handgefäßstruktur bzw. die Handgeometrie,
die Stimme oder das Sprachverhalten und/oder die Handschrift des
Anwenders. Anhand dieser starken biometrischen Merkmale kann eindeutig
die Identität des
Anwenders festgestellt werden. Im Nachgang werden auf Basis dieser
detektierten biometrischen Merkmale Biometriedaten in den Speicher
des mobilen Gerätes
geschrieben.
-
Bei
einem mobilen Gerät,
in dessen Speicher Biometriedaten des Anwenders hinterlegt sind,
ist eine Ausführungsform
besonders vorteilhaft, bei der das mobile Gerät Mittel zur Bestimmung biometrischer
Messdaten des Anwenders, während
der Anwender das mobile Gerät
trägt,
und Mittel zum Vergleich der Messdaten mit den gespeicherten Biometriedaten
aufweist. Mit einem derartigen mobilen Gerät kann sichergestellt werden,
dass die Autorisierungsdaten und somit die Zugriffsrechte auf die
technische Einrichtung nicht von einem Benutzer zu einem anderen
Benutzer übertragen
werden. Würde ein
Anwender, dessen biometrische Merkmale zunächst mit Hilfe der Vorrichtung
zur Erzeugung der Autorisierungsdaten erfasst wurden, wobei entsprechende
Biometriedaten auf dem mobilen Gerät hinterlegt wurden, das mobile
Gerät an
eine andere Person übergeben,
so würde
eine Überprüfung der
abgespeicherten Biometriedaten anhand der biometrischen Messdaten
ergeben, dass die Biometriedaten nicht mehr der Person entsprechen,
für die
sie hinterlegt wurden. Zweckmäßigerweise
würden
in einem solchen Fall die Autorisierungsdaten zurückgesetzt um
einen Zugriff der nicht berechtigten Person auf das Automatisierungsgerät zu verhindern.
-
Um
Benutzerzugriffe auf das Automatisierungsgerät zu loggen, ist eine Ausführung der
Erfindung besonders vorteilhaft, bei der Zugriffe des Anwenders
in einem Speicher des Automatisierungsgerätes gespeichert werden.
-
Mit
mindestens einem mobilen Gerät
entsprechend einer der zuvor beschriebenen Ausführungsformen, mindestens einem
Automatisierungsgerät
entsprechend einer der zuvor beschriebenen Ausführungsformen und mindestens
einer Vorrichtung nach einer der zuvor beschriebenen Ausführungsformen
lässt sich
ein System realisieren, in dem Zugriffsrechte eines Anwenders auf
das Automatisierungsgerät
anhand einer Authentifizierung ermittelt und drahtlos übertragen
werden können,
ohne dass eine Eingabe von Passwörtern
oder ähnlicher
Verfahren zur Autorisierung des Anwenders notwendig sind.
-
Eine
vorteilhafte Ausführungsform
eines derartigen Systems kennzeichnet sich dadurch, dass das System
Mittel zum Detektieren eines Verlassens eines geschützten Bereiches
durch das mobile Gerät und
Mittel zum automatischen berührungslosen
Zurücksetzen
der Autorisierungsdaten bei Verlassen des geschützten Bereiches über eine
Schnittstelle des mobilen Gerätes
aufweist. Derartige Mittel können
z. B. an den jeweiligen Zugangspunkten des geschützten Bereiches angebracht
sein. Innerhalb des geschützten
Bereiches befindet sich hierbei das Automatisierungsgerät. Bevor
der Anwender den geschützten
Bereich betritt, findet eine Authentifizierung des Anwenders statt,
wobei auf Basis der Ergebnisse der Authentifizierung die Autorisierungsdaten
erzeugt und in das mobile Gerät
bzw. dessen Speicher geschrieben werden. Mit Hilfe des mobilen Gerätes kann
sich der Anwender innerhalb des geschützten Bereiches bewegen und
erhält
die ihm zugewiesenen Zugriffsrechte, sobald er in ein Kommunikationsfeld
eines Automatisierungsgerät
eintritt, für das
er autorisiert ist. Verlässt
der Anwender den geschützten
Bereich an einem der Zugangspunkte, so werden an diesen Zusatzpunkten
die Autorisierungsdaten zurückgesetzt.
Außerhalb
des geschützten
Bereiches können
die Autorisierungsdaten daher nicht ausgelesen werden und daher später von
einem nicht autorisierten Benutzer auch nicht missbraucht werden.
-
Im
Folgenden wird die Erfindung anhand der in den Figuren dargestellten
Ausführungsbeispiele näher beschrieben
und erläutert.
Es zeigen:
-
1 ein
Automatisierungssystem mit einem mobilen Gerät zur Autorisierung eines Anwenders
für ein
Automatisierungsgerät,
-
2 eine
schematische Darstellung eines Verfahrens zur Authentifizierung
und Autorisierung eines Anwenders für den Zugriff auf ein Automatisierungsgerät,
-
3 eine
schematische Darstellung einer Einteilung einer automatisierten
Fertigungseinrichtung in verschiedene Bereiche und
-
4 eine
schematische Darstellung eines Authentifizierungsverfahrens.
-
1 zeigt
ein Automatisierungssystem mit einem mobilen Gerät 1 zur Autorisierung
eines Anwenders für
ein Automatisierungsgerät 5.
Das mobile Gerät 1 ist
als Laptop mit drahtloser Kommunikationsmöglichkeit ausgeführt. Alternativ
kann ein beliebiges anderes mobiles Gerät mit drahtloser Sendeeinrichtung
eingesetzt werden, z. B. ein PDA, ein Mobiltelefon, ein mobiles
Bedienpanel oder ein Web Pad. Die Sendeeinrichtung des Laptops 1 zur
drahtlosen Übertragung
sei in dem dargestellten Ausführungsbeispiel
WLAN-tauglich ausgeführt.
Alternativ könnte
auch eine Datenübertragung
gemäß dem DECT
oder Bluetooth Standard verwendet werden.
-
Das
Automatisierungssystem 5 ist von einem räumlich begrenzten
Kommunikationsfeld umgeben, das insbesondere kontinuierlich von
einer Sendeeinrichtung des Automatisierungsgerätes 5 ausgestrahlt wird.
Durch dieses Kommunikationsfeld wird eine begrenzte, das Automatisierungsgerät umgebene
Zone 3 geschaffen, in der eine drahtlose Datenübertragung zwischen
dem Lap top 1 und dem Automatisierungsgerät 5 möglich ist.
Die begrenzte Ausdehnung dieser Zone 3 ist durchaus gewünscht. Innerhalb
des Automatisierungssystems befinden sich weitere Automatisierungsgeräte 6,
die ebenfalls von derartigen räumlich
begrenzten Kommunikationsfeldern umgeben sind. Das Kommunikationsfeld
sowie die Sendeeinrichtung des mobilen Gerätes 1 sind also bewusst derart
gestaltet, dass eine drahtlose Datenübertragung zwischen dem als
Laptop ausgeführten
mobilen Gerät 1 und
dem Automatisierungsgerät 5 erst
möglich
ist, sobald das Laptop 1 in das begrenzte Kommunikationsfeld 3 eintritt.
Erst innerhalb des kreisförmigen
Bereiches ist die Sendeleistung des mobilen Gerätes 1 ausreichend,
um Daten zu dem Automatisierungsgerät 5 zu übertragen.
Umgekehrt ist auch nur innerhalb des kreisförmigen Bereiches die Sendeleistung
des Automatisierungsgerätes 5 stark
genug, um Daten drahtlos zum mobilen Gerät 1 zu übertragen.
Die angedeuteten räumlich
begrenzten Kommunikationsfelder 3 genügen dem WLAN Standard. Alternativ
wäre auch
eine Verwendung des DECT oder Bluetooth Standards denkbar.
-
Die
Begrenzung des Kommunikationsfeldes auf den angedeuteten kreisförmigen Radius
ist bewusst so eingestellt worden, um eine drahtlose Kommunikation
zwischen dem Laptop 1 und dem Automatisierungsgerät 5 über zu große Entfernungen
zu vermeiden. Vielmehr ist gewünscht,
dass ein Anwender, der das mobile Gerät 1 bei sich trägt, nur
dann einen drahtlosen Kommunikationskanal zu dem Automatisierungsgerät 5 aufbauen
kann, wenn er sich in Sichtkontakt zum Automatisierungsgerät 5 und
dem mit Hilfe des Automatisierungsgerätes 5 gesteuerten Prozess
befindet. Ein weiterer Grund für
die räumliche
Begrenzung des Kommunikationsfeldes 3 ist dadurch gegeben,
das sichergestellt werden soll, dass das mobile Gerät 1 nicht
mit mehreren Automatisierungsgeräten 5, 6 drahtlos
in Verbindung steht.
-
In
dem in 1 dargestellten Ausführungsbeispiel befindet sich
das Laptop 1 zunächst
außerhalb
des begrenzten Kommuni kationsfeldes 3 und ist daher in
dieser Position nicht in der Lage, Daten zum Automatisierungsgerät 5 zu
senden bzw. vom Automatisierungsgerät 5 zu empfangen.
-
Bevor
der Anwender des mobilen Gerätes 1 auf
das Automatisierungsgerät 5,
bei dem es sich beispielsweise um eine speicherprogrammierbare Steuerung
handelt, erhält,
muss er sich am Automatisierungsgerät 5 für einen
solchen Zugriff autorisieren. Zu diesem Zweck sind im Speicher des
Laptops 1 Autorisierungsdaten abgelegt. Die Autorisierungsdaten
werden mit Hilfe einer Vorrichtung 7 in den Speicher des
Laptops 1 geschrieben, nach dem der Anwender z. B. vor
Eintritt in den automatisierten Bereich identifiziert wird. Nach
eindeutiger Feststellung der Person des Anwenders können z.
B. dieser Person zugeordnete Autorisierungsdaten aus einem Speicher
der Vorrichtung 7, die beispielsweise als einfacher PC
ausgeführt
ist, ermittelt werden, und in den Speicher des Laptops 1 geschrieben
werden.
-
Betritt
nun der Anwender mit dem mobilen Gerät 1 das räumlich begrenzte
Kommunikationsfeld 3, so dass eine drahtlose Kommunikation
zwischen dem Laptop 1 und dem Automatisierungsgerät 5 aufgebaut
wird, so werden zunächst
die Autorisierungsdaten vom Laptop 1 zum Automatisierungsgerät 5 drahtlos übertragen.
Das Automatisierungsgerät 5 überprüft die Autorisierungsdaten
und teilt dem Anwender die entsprechenden Zugriffsrechte zu. Anschließend kann
der Anwender bedienend und beobachtend auf das Automatisierungsgerät 5 zugreifen. Auch
dieser Bedien- und
Beobachtungsvorgang kann drahtlos geschehen. Beispielsweise ist
auf dem Laptop 1 eine entsprechende Bedien- und Beobachtungssoftware
hinterlegt, die es dem Anwender erlaubt, direkt Daten in das Automatisierungsgerät 5 zu schreiben
oder Daten aus dem Automatisierungsgerät 5 drahtlos auszulesen.
-
2 zeigt
eine schematische Darstellung eines Verfahrens zur Authentifizierung
und Autorisierung eines Anwenders 2 für den Zugriff auf ein Automatisierungsgerät 5.
Zunächst
betritt der Anwender 2 einen Eingangsbereich, hinter dem
sich der automatisierte Bereich, dem auch das Automatisierungsgerät 5 zugehörig ist,
befindet. Unmittelbar hinter dem Eingangsbereich findet zunächst ein
Authentifizierungsvorgang statt. Hierbei wird z. B. mit Hilfe einer Kamera 9 die
Identität
des Anwenders 2 festgestellt. Zur Authentifizierung des
Anwenders können
z. B. starke biometrische Verfahren, Keycards oder auch simple Passwörter angewandt
werden.
-
Der
Anwender 2 trägt
ein mobiles Gerät 1 bei sich,
bei dem es sich beispielsweise um ein Laptop, ein PDA, ein drahtloses
Bedien- und Beobachtungspanel etc. handeln kann. Auf dieses mobiles
Gerät 1 wird
ein Ticket 15 gespeichert, welches nach erfolgreicher Authentifizierung
des Anwenders 2 seine Rolle und somit seine Zugriffsrechte
für das
oder die Automatisierungsgeräte 5 innerhalb
des automatisierten Prozessbereiches festlegt. Diese Zugriffsrechte werden
in Form von Autorisierungsdaten 4 in dem mobilen Gerät gespeichert.
Neben den Autorisierungsdaten 4, die die Zugriffsrechte
auf das Automatisierungsgerät 5 definieren,
sind noch weitere Autorisierungsdaten 10 im Speicher des
mobilen Gerätes in
Form des Tickets 15 hinterlegt, wobei die weiteren Autorisierungsdaten 10 Zugriffsrechte
auf weitere Automatisierungsgeräte
innerhalb der automatisierten Prozessumgebung definieren.
-
Da
die Autorisierungsdaten 4 zur drahtlosen Übertragung
zum Automatisierungsgerät 5 vorgesehen
sind, werden die Autorisierungsdaten 4 zur Erhöhung der
Datensicherheit verschlüsselt,
bevor sie in den Speicher des mobilen Gerätes 1 geschrieben werden.
Beispielsweise wird ein asynchrones Verschlüsselungsverfahren angewendet,
bei dem die Autorisierungsdaten mit einem Public Key bzw. öffentlichen
Schlüssel
des Automatisierungsgerätes 5 verschlüsselt werden
und später
nach Übertragung der
verschlüsselten
Autorisierungsdaten 4 zum Automatisierungsgerät 5 mit
Hilfe des Private Key 12, der innerhalb des Automatisierungsgerätes 5 hinterlegt ist,
entschlüsselt
werden.
-
Tritt
nun der Anwender 2 dem mobilen Gerät 1 in ein das Automatisierungsgerät 5 umgebendes, räumlich begrenztes
Kommunikationsfeld 3, so werden die Autorisierungsdaten 4 automatisch
zum Automatisierungsgerät 5 gesendet.
Nach erfolgreicher Entschlüsselung
der Autorisierungsdaten 4 mit Hilfe des Private Keys 12 gibt
das Automatisierungsgerät 5 dem
Anwender 2 die durch die Autorisierungsdaten 4 definierten
Zugriffsrechte frei.
-
3 zeigt
eine schematische Darstellung einer Einteilung einer automatisierten
Fertigungseinrichtung in verschiedene Bereiche 13, 14, 17.
Nach dem ein Anwender 2 eine Pforte 8 durchschritten
hat, tritt er in einen Eingangsbereich 14, in dem die bereits
unter 2 beschriebene Authentifizierung des Anwenders 2 stattfindet.
Nach erfolgreicher Authentifizierung des Anwenders 2 wird
ihm innerhalb des Eingangsbereiches 14 mit Hilfe einer
Vorrichtung 7 ein entsprechendes Ticket ausgestellt, welches
die für
ihn angedachten Autorisierungsdaten für Zugriffe innerhalb eines
geschützten
Bereiches 17 enthält. Die
Autorisierungsdaten werden, wie bereits beschrieben, in ein mobiles
Gerät 1 geschrieben,
welches der Anwender 2 in der automatisierten Fertigungseinrichtung
bei sich trägt.
Innerhalb des geschützten
Bereiches 17, in dem sich verschiedene Automatisierungsgeräte 5 und
verschiedene von den Automatisierungsgeräten gesteuerte Produktionsanlagen 18 befinden,
werden die Autorisierungsdaten automatisch von dem mobilen Gerät 1 des
Anwenders 2 zu dem entsprechenden Automatisierungsgerät 5 übertragen,
sobald sich das mobile Gerät 1 innerhalb
eines das Automatisierungsgerät 5 umgebenen
räumlich
begrenzten Kommunikationsfeldes befindet.
-
Zur
Erhöhung
der Datensicherheit werden die Autorisierungsdaten verschlüsselt übertragen.
-
Verlässt der
Anwender 2 den geschützten Bereich 17 wieder
durch den Eingangsbereich 14, der gleichzeitig auch den
einzigen Ausgangsbereich der automatisierten Fertigungseinrich tung
darstellt, so verfällt
das Ticket bzw. die Automatisierungsdaten automatisch. Bei Wiedereintritt
durch den Eingangsbereich 14 muss der Anwender zur Erhöhung der
Sicherheit neu authentifiziert werden. Auf diese Art und Weise ist
sichergestellt, dass die Autorisierungsdaten nicht aus der automatisierten
Fertigungsumgebung herausgetragen werden.
-
Der
geschützte
Bereich 17 ist darüber
hinaus durch eine weitere Pforte 11 mit einem nicht geschützten Bereich 13 verbunden,
der zwar noch zur automatisierten Fertigungsumgebung gehört, aber eine
Umgebung geringerer Vertrauenswürdigkeit darstellt.
Ein Beispiel für
einen derartigen nicht geschützten
Bereich 13 sind z. B. sanitäre Anlagen. Verlässt der
Anwender 2 den geschützten
Bereich 17 durch die weitere Pforte 11, so wird
sein Ticket automatisch für
die Dauer seines Aufenthaltes im nicht geschützten Bereich 13 deaktiviert.
D. h., die Autorisierungsdaten werden automatisch innerhalb des nicht
geschützten
Bereiches 13 zurückgesetzt,
so dass sie innerhalb des nicht geschützten Bereiches 13 nicht
abgehört
und missbraucht werden können. Betritt
der Anwender 2 durch die weitere Pforte 11 danach
wieder den geschützten
Bereich 17, so werden die Autorisierungsdaten automatisch
wieder aktiviert, ohne dass eine weitere Authentifizierung des Anwenders
notwendig ist. Das beschriebene Verfahren trägt deutlich zur Erhöhung der
Datensicherheit bei der drahtlosen Übertragung der Autorisierungsdaten
bei.
-
4 zeigt
eine schematische Darstellung eines Authentifizierungsverfahrens
eines Anwenders 2, bei dem auch biometrische Merkmale überprüft werden.
Zunächst
wird der Anwender 2 z. B. an einem Eingangsbereich eines
geschützten
Bereiches, der eine automatisierte Fertigungsumgebung darstellt,
identifiziert und authentifiziert. Bei der Authentifizierung des
Anwenders 2 werden auch so genannte starke biometrische
Merkmale erfasst. Bei diesen starken biometrischen Merkmalen handelt
es sich beispielsweise um Iris- oder Retinamerkmale, Fingerabdruck
oder Stimmcharakteristika des Anwenders. Auf Basis der erfassten
biometrischen Merkmale des Anwenders werden nach Authentifizierung
und Ermittlung der dem Anwender 2 zugedachten Autorisierungsdaten
Biometriedaten auf einem Ticket 15 zusammen mit den Autorisierungsdaten 4 gespeichert.
Zuvor werden die Autorisierungsdaten 4 zusammen mit den
Biometriedaten 16 mit einem Public Key 11 verschlüsselt.
-
Durch
die Überprüfung der
biometrischen Merkmale bei der Authentifizierung des Anwenders 2 wird
ein Höchstmaß an Sicherheit
erreicht. Anhand von biometrischen Merkmalen wie Iris- oder Retinamerkmalen
können
Personen eindeutig erkannt werden. Weiterhin sind derartige Merkmale
nahezu fälschungssicher.
Durch die Übertragung
der Biometriedaten 16 auf das mobile Gerät 1 wird
zusätzlich
noch erreicht, dass das Ticket 15 bzw. die Autorisierungsdaten 4 nicht übertragbar
sind. Hierzu umfasst das mobile Gerät 1 eine Messeinrichtung,
mit deren Hilfe schwache biometrische Messverfahren durchgeführt werden.
Beispielsweise wird ein Körperkontakt
des mobilen Gerätes 1 zum
Anwender 2 durch eine Wärmemessung
oder eine elektrische Messung über
den Hautkontakt detektiert. Mit Hilfe der schwachen biometrischen
Messverfahren soll überprüft werden,
ob das mobile Gerät 1 von
dem Anwender 2 getragen wird, für den das Ticket 15 ausgestellt
wurde bzw. dessen Autorisierungsdaten 4 auf dem mobilen
Gerät 1 gespeichert
sind. Wird mit Hilfe der schwachen biometrischen Messverfahren festgestellt,
dass das mobile Gerät 1 von
dem Anwender 2, für
den es vorgesehen ist, entfernt wird, so werden die Autorisierungsdaten 4 automatisch
zurückgesetzt
und somit der Person, die das mobile Gerät 1 zu unrecht an
sich genommen hat, der Zugriff auf sämtliche Automatisierungsgeräte verweigert
wird.
-
Durch
die Einbeziehung biometrischer Merkmale bei der Authentifizierung
des Anwenders 2 und die anschließende kontinuierliche Überprüfung mittels
schwacher biometrischer Verfahren wird eine eindeutige Bindung des
Tickets 15 bzw. der Autorisierungsdaten 4 an die
Person gewährleistet
für die das
Ti cket 15 bzw. die Autorisierungsdaten 4 ausgestellt
wurden. Hierdurch ergibt sich zusammen mit der bereits beschriebenen
verschlüsselten Übertragung
der Daten ein Höchstmaß an Sicherheit,
was insbesondere bei drahtlosen Zugriffen auf komplexe Automatisierungssysteme
erwünscht
ist.