-
Die
Erfindung betrifft ein Industrienetzwerk und ein Verfahren zum Aufbau
einer Datenverbindung mit einem mobilen Endgerät und insbesondere ein Verfahren
zum Bereitstellen eines Servicezugangs in einem Industrienetzwerk.
-
Die
US 7,007,080 B2 beschreibt
ein Netzwerk mit einem Netzwerkregistrierungspunkt zum Registrieren
eines mobilen Endgerätes
sowie mehreren für
einen Nutzer frei zugänglichen
Zugangspunkten.
-
Industrienetze
verwenden zunehmend Kommunikationstechnologien, die aus der Datenkommunikation
stammen. Beispiele für
derartige Kommunikationstechnologien ist die Datenübertragung
per Ethernet oder drahtlose Datenübertragung über Wireless Local Area Networks
(WLAN) sowie entsprechende industrielle Anwendungen, beispielsweise
Profinet, Industrials Ethernet, IWLAN.
-
Herkömmliche
Feldbussysteme, wie Interbus oder Profibus sind aufgrund ihrer proprietären Protokolle,
Betriebssysteme und Applikationsprogramme bis zu einem gewissen
Maße vor
Angriffen von außen
geschützt.
-
Mit
dem Einzug offener Kommunikationstechnologien, wie beispielsweise
Ethernet oder IP-basierten Netzen bieten sich zwar einerseits neue Möglichkeiten
der Automatisierung bei gleichzeitig steigender Flexibilität. Allerdings
sind solche Industrienetze leicht angreifbar. Durch die Vernetzung
von Systemen untereinander, bei denen beispielsweise ihre Kopplungen über Unternehmensgrenzen
hinweggehen, sowie die Schaffung von Fernwartungsschnittstellen
können
Industrienetze, die auf einer offenen Kommunikationstechnologie
beruhen, mit Viren, Würmern,
Trojanern oder dergleichen angegriffen wer den, so wie dies bei herkömmlichen
Office-Netzwerken bereits in großem Umfang geschieht.
-
Firewalls
an den äußeren Grenzen
eines Industrienetzwerks bieten einen gewissen Schutz vor derartigen
Viren- und Wurmangriffen Dritter. Allerdings ist es gerade bei Industrienetzwerken
notwendig, Fertigungszellen bzw. Geräte, die von Komponenten des
Industrienetzwerkes gesteuert werden, zu warten. Daher benötigen Servicetechniker
bzw. Wartungstechniker einen Zugang zu dem Industrienetzwerk, um
beispielsweise ihr Notebook oder PDA an das Industrienetzwerk anzuschließen.
-
1 zeigt
ein Industrienetzwerk nachdem Stand der Technik. Das Industrienetzwerk
ist über eine
Firewall FW an ein externes Büro-
bzw. Office-Netzwerk angeschlossen. Das Industrienetzwerk verbindet
eine Vielzahl von Fertigungszellen FZ, die jeweils ein Sicherheitsmodul
SM zum Schutz der Fertigungszelle aufweisen. Ein Servicetechniker
hat die Möglichkeit, über Zugangspunkte
ZP bzw. Datensteckdosen einen Datenzugang zu dem Industrienetzwerk
zu erhalten. Diese Zugangspunkte können sich an vielen Stellen
innerhalb des räumlich
weit verteilten Industrienetzwerks befinden. Bei diesen Zugangspunkten
ZP kann es sich auch um Access Points handeln, die eine drahtlose
Datenverbindung zwischen einem Endgerät des Servicetechnikers und dem
Industrienetzwerk erlauben. Die Zugangspunkte können sich auch innerhalb einer
Fertigungszelle, beispielsweise in der Fertigungszelle FZ2, wie
in 1 dargestellt, befinden. Bei dem in 1 dargestellten
herkömmlichen
Industrienetzwerk besteht daher die Gefahr, dass, wenn sich ein
Service-Techniker mit seinem Laptop an einem Zugangspunkt ZP, beispielsweise
innerhalb einer Fertigungszelle FZ, an das Netzwerk anschließt, ein
auf seinem Endgerät befindlicher
Virus Systemkomponenten, beispielsweise speicherprogrammierte Steuerungen
SPS innerhalb des Industrienetzwerkes, angreifen bzw. befallen können, ohne
dass irgendein Sicherheitsschutz dagegen besteht.
-
Es
sind daher mechanisch gesicherte Zugangspunkte ZP bekannt, bei denen
ein Service-Techniker einen Zugangspunkt bzw. eine Zugangssteckdose
mittels eines mechanischen Schlüssels öffnen kann.
Den zugehörigen
Schlüssel
erhält der
Servicetechniker dann bei der Verwaltung des Unternehmens. Diese
Vorgehensweise hat einen erheblichen Verwaltungsaufwand zur Folge,
d. h. die Schlüssel
müssen
an die entsprechenden Servicetechniker ausgegeben und anschließend wieder
eingesammelt werden. Darüber
hinaus besteht die Möglichkeit,
dass ein mechanischer Schlüssel
für einen Zugangspunkt
ZP nachgemacht wird. Weiterhin besteht die Gefahr, dass ein Schlüssel eines
Servicetechnikers verloren geht und gegebenenfalls alle mechanischen
Schlösser
ausgetauscht werden müssen.
-
Die
in 1 dargestellte Firewall FW ist nur wirksam, wenn
das Wartungs- bzw. Service-Endgerät außerhalb des eigentlichen Industrienetzwerkes, beispielsweise
in einem Office-Netzwerk,
angeschlossen wird.
-
Bei
weiteren bekannten Industrienetzen sind Zugangspunkte ZP in dem
Industrienetzwerk vorgesehen, bei denen der Datenverkehr durch einen VLAN
(Virtual Local Area Network)-Tunnel über die Firewall FW zu einem
außerhalb
des Industrienetzwerkes gelegenen IP-Router bzw. Switch umgeleitet bzw.
getunnelt werden. Erst anschließend
werden die Daten zurück über die
Firewall an die eigentliche Bestimmungsadresse übertragen. Diese Vorgehensweise
hat allerdings den Nachteil, dass die Netzwerkbelastung zunimmt
und bei dem Passieren durch die Firewall FW bestimmte Dienste, Port-Adressen
oder IP-Adressen für
das Endgerät
EG des Servicetechnikers gesperrt werden. Hierdurch werden die Kommunikationsmöglichkeiten
des Servicetechnikers beschränkt,
sodass er seine Dienstleistungs- bzw. Wartungsaufgabe unter Umständen nicht
mehr erfüllen kann.
-
Es
ist daher die Aufgabe der vorliegenden Erfindung, ein Netzwerk und
ein Verfahren zu schaffen, bei dem das Netzwerk vor Angriffen geschützt ist und
gleichzeitig ein an das Netz werk angeschlossenes Endgerät Zugriff
auf Komponenten des Netzwerkes hat.
-
Diese
Aufgabe wird erfindungsgemäß durch ein
Netzwerk mit den im Patentanspruch 1 angegebenen Merkmalen gelöst.
-
Die
Erfindung schafft ein Industrienetzwerk mit:
- – mindestens
einem für
einen Nutzer nicht frei zugänglichen
Netzwerk-Registrierungspunkt zum automatischen Registrieren eines
mobilen Endgerätes
des Nutzers bei einer Registrierungseinheit für einen bestimmten Zeitraum,
wenn das mobile Endgerät
an den Netzwerk-Registrierungspunkt angeschlossen wird, wobei nach
der Registrierung Parameter (P) an das mobile Endgerät übertragen
werden, die Zertifikate für
den Zugriff auf Ressourcen des Industrienetzwerkes, Datenblätter eingesetzter
Geräte
und Diagnosedaten aufweisen; und mit
- – mehreren
für den
Nutzer frei zugänglichen
Netzwerk-Zugangspunkten
zum Verbinden eines mobilen Endgerätes mit dem Industrienetzwerk, wenn
das mobile Endgerät
bei der Registrierungseinheit registriert ist und innerhalb des
bestimmten Zeitraumes an einen Netzwerk-Zugangspunkt angeschlossen
wird.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
weist der Netzwerk-Registrierungspunkt eine Einsteckbuchse auf, in
welcher ein Datenstecker des mobilen Endgerätes einsteckbar ist.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
erkennt das mobile Endgerät,
wenn ein Datenstecker des mobilen Endgerätes in die Einsteckbuchse des
Netzwerk-Registrierungspunktes
eingesteckt wird.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
versendet das mobile Endgerät
nach Einstecken seines Datensteckers in die Einsteckbuchse des Netzwerk- Registrierungspunktes
eine DHCP-Broadcast-Nachricht, die eine Adresse des Endgerätes aufweist.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
wird die von dem mobilen Endgerät
versendete DHCP-Broadcast-Nachricht
von der Registrierungseinheit empfangen und die darin enthaltene
Adresse des Endgerätes
in einem Speicher abgelegt.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
wird die Adresse des mobilen Endgerätes durch einen MAC-Adresse
gebildet.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
wird bei der Registrierung des mobilen Endgerätes eine Sicherheitsüberprüfung dieses
mobilen Endgerätes
durch die Registrierungseinheit durchgeführt.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
weist jeder Netzwerk-Zugangspunkt jeweils eine Einsteckbuchse auf, in
welcher ein Datenstecker des mobilen Endgerätes einsteckbar ist.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
erkennt das mobile Endgerät,
wenn der Datenstecker des mobilen Endgerätes in die Einsteckbuchse des
Netzwerk-Zugangspunktes
eingesteckt wird.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
versendet das mobile Endgerät
nach dem Einstecken seines Datensteckers in die Einsteckbuchse des
Netzwerk-Zugangspunktes
eine DHCP-Broadcast-Nachricht, die die Adresse des mobilen Endgerätes aufweist.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
wird die von dem mobilen Endgerät
versendete DHCP-Broadcast-Nachricht
durch eine Zugangskontrolleinheit (NAC) empfangen, welche bei der
Registrierungseinheit anfragt, ob das mobile Endgerät registriert
ist.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
weist die Zugangskontrolleinheit dem mobilen Endgerät eine IP-Adresse
zu, wenn das mobile Endgerät
bei einer Registrierungseinheit registriert ist.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
baut das mobile Endgerät
mit der durch die Zugangskontrolleinheit zugewiesenen IP-Adresse
eine Verbindung zu dem Netzwerk auf.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
sendet die Registrierungseinheit nach Registrierung des mobilen
Endgeräts
dem mobilen Endgerät
eine Bestätigungsnachricht
zu, welche anzeigt, dass das mobile Endgerät erfolgreich registriert ist.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
befindet sich der nicht frei zugängliche
Netzwerk-Registrierungspunkt
in einem abschließbaren
Raum.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
wird der nicht frei zugängliche
Netzwerk-Registrierungspunkt
durch eine Person überwacht.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
werden bei der Registrierung des mobilen Endgeräts bei der Registrierungseinheit
Zusatzinformationsdaten des mobilen Endgerätes in einem Speicher gespeichert.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
weisen die Zusatzinformationsdaten einen Zeitpunkt der Registrierung, einen
Gültigkeitszeitraum
der Registrierung, Zugriffsrechte und administrative Nutzerdaten
auf.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Indusrienetzwerkes
weisen die Zugriffsrechte zugelassene Protokolle, Portnummern und Netzwerksegmente
des Netzwerkes auf.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Netzwerkes
weisen die administrativen Nutzerdaten einen Namen des Nutzers,
eine Beschreibung des Zugangsanlasses, einen Organisationsnamen
und eine Auftragsnummer auf.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Industrienetzwerkes
erfolgt das Anschließen
des mobilen Endgerätes
bei dem Netzwerk-Registrierungspunkt und bei den Netzwerk-Zugangspunkten drahtlos
oder drahtgebunden.
-
Die
Erfindung schafft ferner ein Verfahren zum Aufbau einer Datenverbindung
zwischen einem mobilen Endgerät
und einem Industrienetzwerk mit den folgenden Schritten, nämlich Registrieren
des mobilen Endgerätes
bei einer Registrierungseinheit für einen bestimmten Zeitraum,
wenn das mobile Endgerät
an einen nicht frei zugänglichen
Netzwerk-Registrierungspunkt angeschlossen wird, nach der Registrierung
Parameter (P) an das mobile Endgerät übertragen werden, die Zertifikate
für den
Zugriff auf Ressourcen des Industrienetzwerkes, Datenblätter eingesetzter
Geräte
und Diagnosedaten aufweisen und Aufbauen einer Datenverbindung zwischen
dem mobilen Endgerät
und dem Industrienetzwerk, wenn das mobile Endgerät innerhalb
des bestimmten Zeitraumes bei einem frei zugänglichen Netzwerk-Zugangspunkt
angeschlossen wird und bei der Registrierungseinheit registriert
ist.
-
Im
Weiteren werden bevorzugte Ausführungsformen
des erfindungsgemäßen Netzwerkes sowie
des erfindungsgemäßen Verfahrens
unter Bezugnahme auf die beigefügten
Figuren zur Erläuterung
erfindungswesentlicher Merkmale näher beschrieben.
-
Es
zeigen:
-
1:
ein Blockschaltbild eines herkömmlichen
Netzwerkes nach dem Stand der Technik;
-
2:
eine mögliche
Ausführungsform
des erfindungsgemäßen Netzwerkes;
-
3:
ein Ablaufdiagramm zur Darstellung des Registriervorgangs eines
mobilen Endgerätes bei
einer möglichen
Ausführungsform
des erfindungsgemäßen Verfahrens;
-
4:
ein Signaldiagramm zur Darstellung des Registriervorgangs bei einer
Ausführungsform des
erfindungsgemäßen Verfahrens;
-
5:
ein Ablaufdiagramm zur Darstellung des Aufbaus einer Datenverbindung
bei einer Ausführungsform
des erfindungsgemäßen Verfahrens;
-
6:
ein Signaldiagramm zur Darstellung des Aufbauvorgangs einer Datenverbindung
bei der Ausführungsform
des erfindungsgemäßen Verfahrens.
-
Wie
man aus 2 erkennen kann, ist ein Netzwerk 1,
wobei es sich beispielsweise um ein Industrienetzwerk handelt, über eine
Firewall 2 mit einem externen Netzwerk 3 verbunden,
bei dem es sich beispielsweise um ein Office-Netzwerk handelt. Das
Netzwerk 1 weist mindestens einen für einen Nutzer nicht frei zugänglichen
Netzwerk-Registrierungspunkt 4 zum automatischen Registrieren
eines mobilen Endgerätes 5 eines
Nutzers auf. Die Registrierung des mobilen Endgerätes 5 erfolgt
bei einer Registrierungseinheit 6, die über einen Speicher bzw. eine
Datenbank 7 verfügt.
Der Netzwerk-Registrierungspunkt 4 und vorzugsweise die
Registrierungseinheit 6 sowie deren Datenbank 7 sind
für Nutzer nicht
frei zugänglich
und befinden sich beispielsweise in einem geschlossenen Raum 8.
Neben dem Netzwerk-Registrierungspunkt weist das Netzwerk 1 mehrere
für Nutzer
frei zugängliche
Netzwerk-Zugangspunkte 9 zum Verbinden des mobilen Endgerätes 5 mit
dem Netzwerk 1 auf. Der Zugang zu dem Netzwerk 1 über den
Netzwerk-Zugangspunkt 9 kann drahtlos oder drahtgebunden
erfolgen. Bei dem in 2 dargestellten Beispiel ist
das Endgerät 5A an dem
Zugangspunkt 9A angeschlossen und ein weiteres mobiles
Endgerät 5B ist
an einem Access Point 9B drahtlos mit dem Netzwerk 1 verbunden.
Das Netzwerk 1 weist ferner eine daran angeschlossene Zugangskontrolleinheit 10 (NAC:
Network Access Control) auf. Bei dem in 2 dargestellten
Beispiel hat das Netzwerk 1 ferner zwei Fertigungszellen 11A, 11B,
die über
Sicherheitsmodule 12A, 12B an einem gemeinsamen
Bus 13 des Netzwerkes 1 angeschlossen ist. Wie
man aus 2 erkennen kann, sind an dem
Bus 13 der Netzwerk-Registrierungspunkt 4, die Netzwerk-Registrierungseinheit 6,
die Netzwerk-Zugangskontrolleinheit 10 sowie die Netzwerk-Zugangspunkte 9A, 9B neben
den Fertigungszellen 11A, 11B angeschlossen. Der
Firewall-Rechner 2 trennt den Netzwerk-Bus 13 von
dem externen Netzwerk-Bus 3. Innerhalb der Fertigungszellen 11A, 11B bzw.
der Netzwerkmodule 11A, 11B befinden sich beispielsweise
speicherprogrammierte Steuerungen 14 zur Ansteuerung von
Maschinen.
-
Bevor
ein Endgerät 5,
wie in 2 dargestellt, erfolgreich eine Datenverbindung
mit einer Komponente des Industrienetzwerkes 1 aufbauen kann,
muss es zunächst
an den Netzwerk-Registrierungspunkt 4 angeschlossen
werden und bei der Registrierungseinheit 6 registriert
werden. Der Netzwerk-Registrierungspunkt 4 ist
nicht frei zugänglich und
befindet sich in dem geschlossenen Raum 8. Bei einer alternativen
Ausführungsform
wird der Netzwerk-Registrierungspunkt durch eine Bedienperson überwacht,
beispielsweise von einem für
die Netzwerksicherheit zuständigen
Netzwerkadministrator. Alternativ kann es sich bei der Bedienperson
auch um eine Empfangssekretärin
bzw. einen Pförtner handeln.
Bei dem Netzwerk-Registrierungspunkt 4 handelt es sich
beispielsweise um eine Einsteckbuchse, bei welcher ein Datenstecker
des mobilen Endgerätes 5 einsteckbar
ist. Sobald das mobile Endgerät 5 mit
seinem Datenstecker in die Einsteckbuchse des Netzwerk- Registrierungspunktes 4 eingesteckt
wird, wird dies durch das mobile Endgerät 5 erkannt und das
mobile Endgerät 5 versendet
anschließend
beispielsweise eine DHCP-Broadcast-Nachricht, die eine Adresse des
Endgerätes 5 aufweist, über den
Datenbus 13 des Netzwerkes 1. Bei der Adresse
des Endgerätes 5 handelt
es sich beispielsweise um eine eindeutige MAC-Adresse des Endgerätes 5.
Die von dem mobilen Endgerät 5 nach der
Registrierung versendete DHCP-Broadcast-Nachricht wird von der Registrierungseinheit 6 empfangen
und die in der Broadcast-Nachricht
enthaltene Adresse wird extrahiert und anschließend von der Registrierungseinheit 6 in
der Datenbank 7 abgelegt. Bei einer möglichen Ausführungsform
wird anschließend
dem mobilen Endgerät 5 eine
Bestätigungsnachricht
zugesendet, welche anzeigt, dass die Registrierung erfolgreich abgeschlossen
ist.
-
3 zeigt
ein Ablaufdiagramm eines Registriervorgangs eines mobilen Endgerätes 5 bei
der Registrierungseinheit 6.
-
In
einem Schritt S1 wird zunächst
das Endgerät 5 an
den Netzwerkregistrierungspunkt 4 angeschlossen.
-
In
einem weiteren Schritt S2 überträgt das Endgerät 5 eine
Identifizierungsinformation, beispielsweise eine MAC-Adresse des
Endgerätes 5,
an die Registrierungseinheit 6, beispielsweise in einer Broadcast-Nachricht.
-
In
einem weiteren Schritt S3 wird die Identifizierungsinformation durch
die Registrierungseinheit 6 in der Datenbank 7 abgelegt.
Bei einer möglichen Ausführungsform
ist damit die Registrierung abgeschlossen.
-
Bei
einer bevorzugten Ausführungsform
wird die Identifizierungsinformation des Endgerätes 5, d. h. beispielsweise
dessen MAC-Adresse erst dann in der Datenbank 7 abgelegt,
wenn vorher eine Sicherheitsprüfung
des Endgerätes 5 durch
die Registrierungseinheit 6 erfolgt ist. Vorzugsweise wird
bei der Sicherheitsüberprüfung geprüft, ob ein
an dem Registrierungs- Zugangspunkt 4 angeschlossenes
Endgerät 5 mit
maliziöser
Software, beispielsweise Viren, Würmern oder Trojanern, befallen
ist. Dies kann beispielsweise durch Beobachten des Netzwerkverkehrs
des angeschlossenen Endgerätes 5 erfolgen oder
aktiv durch einen Sicherheits-Check.
-
Bei
einer möglichen
Ausführungsform
des erfindungsgemäßen Netzwerkes 1 werden
bei der Registrierung des mobilen Endgerätes 5 Zusatzinformationsdaten
des mobilen Endgerätes 5 zu
der Identifizierungsinformation des Endgerätes 5 abgelegt.
-
Diese
Zusatzinformationsdaten umfassen beispielsweise einen Zeitpunkt
der Registrierung des Endgerätes 5,
einen Gültigkeitszeitraum
für die
Registrierung, Zugriffsrechte bzw. Paketfilterregeln, die den zugelassenen
Netzwerkverkehr beschränken, beispielsweise
Adressen, Protokolle, Portnummern und zugelassene Netzwerksegmente.
Darüber
hinaus können
die Zugriffsinformationsdaten administrative Nutzerdaten umfassen,
beispielsweise den Namen eines Service-Mitarbeiters, die Firma des Service-Mitarbeiters,
die Beschreibung des Zugangsanlasses, einen Namen eines eigenen
Mitarbeiters oder eine Auftragsnummer.
-
Die
Zugangsinformationsdaten können
beispielsweise automatisch durch ein Template (Defaultwerte) vorgegeben,
aus einem Auftragssystem übernommen
oder individuell administrativ festgelegt werden, beispielsweise
durch eine Bedienperson wie eine Empfangssekretärin oder einen Pförtner.
-
Bei
einer weiteren möglichen
Ausführungsform
des erfindungsgemäßen Netzwerkes 1 werden nach
der Registrierung des mobilen Endgerätes 5 bei der Registrierungseinheit 6 Parameter
an das mobile Endgerät 5 übertragen.
Bei diesen Parametern kann es sich beispielsweise um Passwörter, Zertifikate
für den
Zugriff auf Ressourcen des Netzwerkes 1, Datenblätter eingesetzter
Geräte
oder auch um vorhandene Diagnosedaten, beispielsweise den Standort defekter
Geräte,
handeln.
-
4 zeigt
ein Signalablaufdiagramm zur Darstellung des Registriervorgangs
bei einer möglichen
Ausführungsform
des erfindungsgemäßen Netzwerkes 1.
Nach dem Einstecken des Endgerätes 5 bei
dem Netzwerk-Registrierungspunkt überträgt das Endgerät eine DHCP-Broadcast-Nachricht
mit einer Identifizierung des Endgerätes, beispielsweise einer Endgeräte-MAC-Adresse. Die DHCP-Broadcast-Nachricht
gelangt über
den Bus 13 zu der Registrierungseinheit 6, welche
interaktiv eine Sicherheitsüberprüfung des
mobilen Endgerätes 5 vornimmt. Sobald
die Sicherheitsprüfung
erfolgreich abgeschlossen ist, speichert die Registrierungseinheit 6 die
extrahierte Endgeräte-MAC-Adresse
des Endgerätes 5 in
der Datenbank 7 ab. Anschließend wird vorzugsweise dem
Endgerät 5 eine
Registrierungsbestätigungsnachricht
gesendet.
-
Sobald
die Registrierung abgeschlossen ist, kann der Nutzer des registrierten
Endgerätes 5 den Anschluss
des Endgerätes 5 an
den Netzwerk-Registrierungspunkt 4 trennen und zu einem
geeigneten frei zugänglichen
Netzwerk-Zugangspunkt 9 des Netzwerkes 1 gehen.
Dort wird das mobile Endgerät 5 an
den Netzwerk-Zugangspunkt wieder angeschlossen.
-
Bei
der Registrierung des mobilen Endgerätes 5 wird die Gültigkeit
der Registrierung an einen Gültigkeitszeitraum
gebunden, beispielsweise ist die Registrierung nur einen Tag oder
eine Woche gültig. Sobald
das mobile Endgerät 5 bei
der Registrierungseinheit 6 registriert ist und innerhalb
des vorgegebenen Gültigkeitszeitraums
an einen Netzwerk-Zugangspunkt 9 angeschlossen wird, kann
eine Datenverbindung mit einer Komponente des Netzwerks 1 aufgebaut
werden.
-
Wird
beispielsweise ein Datenstecker des mobilen Endgerätes 5A in
die Einsteckbuchse des Netzwerk-Zugangspunktes 9A eingesteckt,
wird dies durch das mobile Endgerät 5A erkannt und dieses versendet
dann die DHCP-Broadcast-Nachricht, welche die Adresse des mobilen
Endgerätes 5A enthält. Die
von dem mobilen Endgerät 5A versendete DHCP-Broadcast-Nachricht
wird durch die in der Nähe
befindliche Zugangskontrolleinheit 10 empfangen. Die Zugangskontrolleinheit 10 fragt
dann bei der Registrierungseinheit 6 mittels einer vorgegebenen Anfragenachricht
nach, ob das mobile Endgerät
dort registriert ist. Hierzu sendet die Zugangskontrolleinheit 10 eine
Anfragenachricht, welche die Adresse des angeschlossenen mobilen
Endgerätes 5A enthält, an die
Registrierungseinheit 6. Die Registrierungseinheit 6 vergleicht
die angefragte Adresse des mobilen Endgerätes 5A, beispielsweise
die angefragte MAC-Adresse, mit den in der Datenbank 7 abgelegten
registrierten MAC-Adressen.
Wird festgestellt, dass die angefragte MAC-Adresse mit einer abgespeicherten
MAC-Adresse identisch ist, überträgt die Registrierungseinheit 6 eine
Registrierbestätigung
an die Zugangskontrolleinheit 10, welche ihrerseits dem
mobilen Endgerät 5 eine
IP-Adresse zuweist und an das mobile Endgerät 5 über den
Nutzer-Zugangspunkt 9 überträgt. Mittels
der zugewiesenen IP-Adresse kann anschließend das mobile Endgerät 5 eine
Datenverbindung mit einer beliebigen Komponente des Netzwerkes 1 aufbauen
und beispielsweise mit einem Wartungsvorgang beginnen.
-
5 zeigt
ein Ablaufdiagramm zur Darstellung des Aufbaus einer Datenverbindung
einer möglichen
Ausführungsform
des erfindungsgemäßen Verfahrens.
In einem Schritt S4 wird zunächst
das Endgerät 5 an
einen Netzwerk-Zugangspunkt 9 angeschlossen.
-
Anschließend wird
im Schritt S5 eine Identifizierungsinformation des Endgerätes 5,
beispielsweise eine MAC-Adresse, ermittelt.
-
In
einem weiteren Schritt S6 erfolgt eine Abfrage der Datenbank 7 dahingehend,
ob die Identifizierungsinformation des Endgerätes 5 dort abgelegt ist.
-
In
einem Schritt S7 entscheidet die Registrierungseinheit 6,
ob der Eintrag vorhanden ist oder nicht. Ist die MAC-Adresse des
mobilen Endgerätes 5 nicht
registriert, wird der Netzwerk-Zugangspunkt im Schritt S8 gesperrt.
Ist umgekehrt die MAC-Adresse des angeschlossenen Endgerätes 5 registriert, wird
der Netzwerk-Zugangspunkt 9 im Schritt S9 durch die Registrierungseinheit 6 geöffnet. Nach
dem Öffnen
des Netzwerk-Zugangspunktes
kann das Endgerät 5 eine
Datenverbindung zu einer Komponente des Netzwerkes 1 aufbauen.
-
6 zeigt
ein Signaldiagramm zur Darstellung des Verbindungsaufbaus über einen
Netzwerk-Zugangspunkt 9.
-
Nach
dem Einstecken des Endgerätes 5 in eine
Einsteckbuchse eine Netzwerk-Zugangspunktes 9 überträgt das angeschlossene
Endgerät
eine DHCP-Broadcast-Nachricht mit einer Endgeräte-Identifizierung bzw. einer Endgeräte-MAC-Adresse
an die Netzwerk-Zugangskontrolleinheit 10, welcher eine
Anfragen bei der Registrierungseinheit 6 vornimmt. Die
Registrierungseinheit 6 überprüft, ob in der Datenbank 7 die
extrahierte Endgeräte-MAC-Adresse abgelegt
ist oder nicht. Zusätzlich liest
die Registrierungseinheit 6 den Gültigkeitszeitraum der Registrierung
ab und vergleicht ihn mit der aktuellen Zeit. Ist das Endgerät registriert
und ist der Anschluss des mobilen Endgerätes 5 bei dem Netzwerk-Zugangspunkt 9 innerhalb
des Gültigkeitszeitraums
erfolgt, bestätigt
die Registrierungseinheit 6 der Netzwerk-Zugangskontrolleinheit 10,
dass der Anschlusswunsch berechtigt ist. Die Netzwerk-Zugangskontrolleinheit 10 weist
anschließend
dem mobilen Endgerät 5 eine
IP-Adresse zu und überträgt diese
in einer Nachricht über
den Bus 13 des Netzwerkes 1 und über den
Netzwerk-Zugangspunkt 9.
-
Anschließend erfolgt
eine Datenverbindung des angeschlossenen Endgerätes 5 mit einer gewünschten
Netzwerkkomponente des Netzwerkes 1 über die Netzwerk-Zugangskontrolleinheit 10.
-
Die
Sicherheit für
den Zugriff auf das Industrienetz 1 durch Service-Mitarbeiter
wird bei dem erfindungsgemäßen Netzwerk
verbessert, indem nur registrierte Service-Notebooks Zugriff auf
das Industrienetz 1 erhalten. Bei der Registrierung eines
Endgerätes 5 werden
optional zusätzliche
Beschränkungen
neben der Dauer der Registrierung festgelegt, beispielsweise Zugriffsrechte.
Bei diesen Zugriffsrechten handelt es sich beispielsweise um zugelassene
Protokolle, Portnummern oder auch Netzwerksegmente des Netzwerkes 1.
Bei der eigentlichen Datenkommunikation wird der Service-Datenverkehr dabei
vorzugsweise über
eine Enforcement-Komponente geleitet, um diese Beschränkungen
auch durchzusetzen.
-
Bei
dem erfindungsgemäßen Netzwerk 1 wird
die Sicherheit dadurch erhöht,
dass der Netzwerk-Registrierungspunkt 4 in einem speziell
geschützten
Raum untergebracht ist und eventuell nur beaufsichtigt zugänglich ist.
Demgegenüber
sind die Netzwerk-Zugangspunkte 9 flächendeckend in dem Industrienetz 1 untergebracht.
Für die
Netzwerk-Zugangspunkte 9 ist kein spezieller physischer
Zugriffsschutz, beispielsweise eine verschraubte Abdeckung oder
ein mechanischer Schlüssel
zum Öffnen,
erforderlich. Bei den Netzwerk-Zugangspunkten 9 kann es
sich beispielsweise um eine Ethernet-Buchse oder auch um ein logisches
Port bei einem drahtlosen Netzwerk-Zugang (WLAN Access) handeln.
-
Ein
mögliches
Anwendungsbeispiel des erfindungsgemäßen Netzwerkes 1 besteht
darin, Besuchern eines Firmenstandortes einen Netzwerkzugang zu
ermöglichen.
Bei den Besuchern kann es sich um externe Mitarbeiter oder auch
um eigene Mitarbeiter eines anderen Standortes handeln. Bei herkömmlichen
Firmennetzen erfolgt das Eintragen der MAC-Adresse an dem Standort,
um einen Zugang zu dem Firmennetz zu erhalten, manuell, beispielsweise telefonisch
durch einen Anruf bei einem Systemadministrator. Dies ist relativ
umständlich
und es besteht die Gefahr, dass nicht mehr benötigte Einträge nicht wieder gelöscht werden.
Bei dem erfindungsgemäßen Netzwerk 1 ist
eine Registrierungsstation 4 vorgesehen, um temporär die MAC-Adresse von Notebooks
von Mitarbeitern anderer Standort zu erfassen. Dies geschieht beispielsweise
an der Werkspforte des Firmenstandortes. Erst nach Überprüfung eines
Firmenausweises, beispielsweise durch einen Mitarbeiter an der Pforte
oder durch Einstecken des Firmenausweises in die Registrierungsstation,
wird die MAC-Adresse des Notebooks registriert. Bei dem mobilen
Endgerät 5 kann
es sich um ein beliebiges mobiles Endgerät handeln, beispielsweise um
einen Laptop, ein PDA oder auch um ein mobiles Telefon oder dergleichen.