DE102006056566B3 - Netzwerk und Verfahren zum Aufbau einer Datenverbindung mit einem mobilen Endgerät - Google Patents

Netzwerk und Verfahren zum Aufbau einer Datenverbindung mit einem mobilen Endgerät Download PDF

Info

Publication number
DE102006056566B3
DE102006056566B3 DE102006056566A DE102006056566A DE102006056566B3 DE 102006056566 B3 DE102006056566 B3 DE 102006056566B3 DE 102006056566 A DE102006056566 A DE 102006056566A DE 102006056566 A DE102006056566 A DE 102006056566A DE 102006056566 B3 DE102006056566 B3 DE 102006056566B3
Authority
DE
Germany
Prior art keywords
mobile terminal
network
registration
industrial network
industrial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102006056566A
Other languages
English (en)
Inventor
Rainer Dr. Falk
Florian Kohlmayer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102006056566A priority Critical patent/DE102006056566B3/de
Application granted granted Critical
Publication of DE102006056566B3 publication Critical patent/DE102006056566B3/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Abstract

Netzwerk (1) mit mindestens einem für einen Nutzer nicht frei zugänglichen Netzwerk-Registrierungspunkt (4) zum automatischen Registrieren eines mobilen Endgerätes (5) des Nutzers bei einer Registrierungseinheit (6) für einen bestimmten Zeitraum, wenn das mobile Endgerät (5) an den Netzwerk-Registrierungspunkt (4) angeschlossen wird, und mehreren für den Nutzer frei zugänglichen Netzwerk-Zugangspunkten (9) zum Verbinden eines mobilen Endgerätes (5) mit dem Netzwerk (1), wenn das mobile Endgerät (5) bei der Registrierungseinheit (6) registriert ist und innerhalb des bestimmten Zeitraumes an einen Netzwerk-Zugangspunkt (9) angeschlossen wird.

Description

  • Die Erfindung betrifft ein Industrienetzwerk und ein Verfahren zum Aufbau einer Datenverbindung mit einem mobilen Endgerät und insbesondere ein Verfahren zum Bereitstellen eines Servicezugangs in einem Industrienetzwerk.
  • Die US 7,007,080 B2 beschreibt ein Netzwerk mit einem Netzwerkregistrierungspunkt zum Registrieren eines mobilen Endgerätes sowie mehreren für einen Nutzer frei zugänglichen Zugangspunkten.
  • Industrienetze verwenden zunehmend Kommunikationstechnologien, die aus der Datenkommunikation stammen. Beispiele für derartige Kommunikationstechnologien ist die Datenübertragung per Ethernet oder drahtlose Datenübertragung über Wireless Local Area Networks (WLAN) sowie entsprechende industrielle Anwendungen, beispielsweise Profinet, Industrials Ethernet, IWLAN.
  • Herkömmliche Feldbussysteme, wie Interbus oder Profibus sind aufgrund ihrer proprietären Protokolle, Betriebssysteme und Applikationsprogramme bis zu einem gewissen Maße vor Angriffen von außen geschützt.
  • Mit dem Einzug offener Kommunikationstechnologien, wie beispielsweise Ethernet oder IP-basierten Netzen bieten sich zwar einerseits neue Möglichkeiten der Automatisierung bei gleichzeitig steigender Flexibilität. Allerdings sind solche Industrienetze leicht angreifbar. Durch die Vernetzung von Systemen untereinander, bei denen beispielsweise ihre Kopplungen über Unternehmensgrenzen hinweggehen, sowie die Schaffung von Fernwartungsschnittstellen können Industrienetze, die auf einer offenen Kommunikationstechnologie beruhen, mit Viren, Würmern, Trojanern oder dergleichen angegriffen wer den, so wie dies bei herkömmlichen Office-Netzwerken bereits in großem Umfang geschieht.
  • Firewalls an den äußeren Grenzen eines Industrienetzwerks bieten einen gewissen Schutz vor derartigen Viren- und Wurmangriffen Dritter. Allerdings ist es gerade bei Industrienetzwerken notwendig, Fertigungszellen bzw. Geräte, die von Komponenten des Industrienetzwerkes gesteuert werden, zu warten. Daher benötigen Servicetechniker bzw. Wartungstechniker einen Zugang zu dem Industrienetzwerk, um beispielsweise ihr Notebook oder PDA an das Industrienetzwerk anzuschließen.
  • 1 zeigt ein Industrienetzwerk nachdem Stand der Technik. Das Industrienetzwerk ist über eine Firewall FW an ein externes Büro- bzw. Office-Netzwerk angeschlossen. Das Industrienetzwerk verbindet eine Vielzahl von Fertigungszellen FZ, die jeweils ein Sicherheitsmodul SM zum Schutz der Fertigungszelle aufweisen. Ein Servicetechniker hat die Möglichkeit, über Zugangspunkte ZP bzw. Datensteckdosen einen Datenzugang zu dem Industrienetzwerk zu erhalten. Diese Zugangspunkte können sich an vielen Stellen innerhalb des räumlich weit verteilten Industrienetzwerks befinden. Bei diesen Zugangspunkten ZP kann es sich auch um Access Points handeln, die eine drahtlose Datenverbindung zwischen einem Endgerät des Servicetechnikers und dem Industrienetzwerk erlauben. Die Zugangspunkte können sich auch innerhalb einer Fertigungszelle, beispielsweise in der Fertigungszelle FZ2, wie in 1 dargestellt, befinden. Bei dem in 1 dargestellten herkömmlichen Industrienetzwerk besteht daher die Gefahr, dass, wenn sich ein Service-Techniker mit seinem Laptop an einem Zugangspunkt ZP, beispielsweise innerhalb einer Fertigungszelle FZ, an das Netzwerk anschließt, ein auf seinem Endgerät befindlicher Virus Systemkomponenten, beispielsweise speicherprogrammierte Steuerungen SPS innerhalb des Industrienetzwerkes, angreifen bzw. befallen können, ohne dass irgendein Sicherheitsschutz dagegen besteht.
  • Es sind daher mechanisch gesicherte Zugangspunkte ZP bekannt, bei denen ein Service-Techniker einen Zugangspunkt bzw. eine Zugangssteckdose mittels eines mechanischen Schlüssels öffnen kann. Den zugehörigen Schlüssel erhält der Servicetechniker dann bei der Verwaltung des Unternehmens. Diese Vorgehensweise hat einen erheblichen Verwaltungsaufwand zur Folge, d. h. die Schlüssel müssen an die entsprechenden Servicetechniker ausgegeben und anschließend wieder eingesammelt werden. Darüber hinaus besteht die Möglichkeit, dass ein mechanischer Schlüssel für einen Zugangspunkt ZP nachgemacht wird. Weiterhin besteht die Gefahr, dass ein Schlüssel eines Servicetechnikers verloren geht und gegebenenfalls alle mechanischen Schlösser ausgetauscht werden müssen.
  • Die in 1 dargestellte Firewall FW ist nur wirksam, wenn das Wartungs- bzw. Service-Endgerät außerhalb des eigentlichen Industrienetzwerkes, beispielsweise in einem Office-Netzwerk, angeschlossen wird.
  • Bei weiteren bekannten Industrienetzen sind Zugangspunkte ZP in dem Industrienetzwerk vorgesehen, bei denen der Datenverkehr durch einen VLAN (Virtual Local Area Network)-Tunnel über die Firewall FW zu einem außerhalb des Industrienetzwerkes gelegenen IP-Router bzw. Switch umgeleitet bzw. getunnelt werden. Erst anschließend werden die Daten zurück über die Firewall an die eigentliche Bestimmungsadresse übertragen. Diese Vorgehensweise hat allerdings den Nachteil, dass die Netzwerkbelastung zunimmt und bei dem Passieren durch die Firewall FW bestimmte Dienste, Port-Adressen oder IP-Adressen für das Endgerät EG des Servicetechnikers gesperrt werden. Hierdurch werden die Kommunikationsmöglichkeiten des Servicetechnikers beschränkt, sodass er seine Dienstleistungs- bzw. Wartungsaufgabe unter Umständen nicht mehr erfüllen kann.
  • Es ist daher die Aufgabe der vorliegenden Erfindung, ein Netzwerk und ein Verfahren zu schaffen, bei dem das Netzwerk vor Angriffen geschützt ist und gleichzeitig ein an das Netz werk angeschlossenes Endgerät Zugriff auf Komponenten des Netzwerkes hat.
  • Diese Aufgabe wird erfindungsgemäß durch ein Netzwerk mit den im Patentanspruch 1 angegebenen Merkmalen gelöst.
  • Die Erfindung schafft ein Industrienetzwerk mit:
    • – mindestens einem für einen Nutzer nicht frei zugänglichen Netzwerk-Registrierungspunkt zum automatischen Registrieren eines mobilen Endgerätes des Nutzers bei einer Registrierungseinheit für einen bestimmten Zeitraum, wenn das mobile Endgerät an den Netzwerk-Registrierungspunkt angeschlossen wird, wobei nach der Registrierung Parameter (P) an das mobile Endgerät übertragen werden, die Zertifikate für den Zugriff auf Ressourcen des Industrienetzwerkes, Datenblätter eingesetzter Geräte und Diagnosedaten aufweisen; und mit
    • – mehreren für den Nutzer frei zugänglichen Netzwerk-Zugangspunkten zum Verbinden eines mobilen Endgerätes mit dem Industrienetzwerk, wenn das mobile Endgerät bei der Registrierungseinheit registriert ist und innerhalb des bestimmten Zeitraumes an einen Netzwerk-Zugangspunkt angeschlossen wird.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes weist der Netzwerk-Registrierungspunkt eine Einsteckbuchse auf, in welcher ein Datenstecker des mobilen Endgerätes einsteckbar ist.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes erkennt das mobile Endgerät, wenn ein Datenstecker des mobilen Endgerätes in die Einsteckbuchse des Netzwerk-Registrierungspunktes eingesteckt wird.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes versendet das mobile Endgerät nach Einstecken seines Datensteckers in die Einsteckbuchse des Netzwerk- Registrierungspunktes eine DHCP-Broadcast-Nachricht, die eine Adresse des Endgerätes aufweist.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes wird die von dem mobilen Endgerät versendete DHCP-Broadcast-Nachricht von der Registrierungseinheit empfangen und die darin enthaltene Adresse des Endgerätes in einem Speicher abgelegt.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes wird die Adresse des mobilen Endgerätes durch einen MAC-Adresse gebildet.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes wird bei der Registrierung des mobilen Endgerätes eine Sicherheitsüberprüfung dieses mobilen Endgerätes durch die Registrierungseinheit durchgeführt.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes weist jeder Netzwerk-Zugangspunkt jeweils eine Einsteckbuchse auf, in welcher ein Datenstecker des mobilen Endgerätes einsteckbar ist.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes erkennt das mobile Endgerät, wenn der Datenstecker des mobilen Endgerätes in die Einsteckbuchse des Netzwerk-Zugangspunktes eingesteckt wird.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes versendet das mobile Endgerät nach dem Einstecken seines Datensteckers in die Einsteckbuchse des Netzwerk-Zugangspunktes eine DHCP-Broadcast-Nachricht, die die Adresse des mobilen Endgerätes aufweist.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes wird die von dem mobilen Endgerät versendete DHCP-Broadcast-Nachricht durch eine Zugangskontrolleinheit (NAC) empfangen, welche bei der Registrierungseinheit anfragt, ob das mobile Endgerät registriert ist.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes weist die Zugangskontrolleinheit dem mobilen Endgerät eine IP-Adresse zu, wenn das mobile Endgerät bei einer Registrierungseinheit registriert ist.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes baut das mobile Endgerät mit der durch die Zugangskontrolleinheit zugewiesenen IP-Adresse eine Verbindung zu dem Netzwerk auf.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes sendet die Registrierungseinheit nach Registrierung des mobilen Endgeräts dem mobilen Endgerät eine Bestätigungsnachricht zu, welche anzeigt, dass das mobile Endgerät erfolgreich registriert ist.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes befindet sich der nicht frei zugängliche Netzwerk-Registrierungspunkt in einem abschließbaren Raum.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes wird der nicht frei zugängliche Netzwerk-Registrierungspunkt durch eine Person überwacht.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes werden bei der Registrierung des mobilen Endgeräts bei der Registrierungseinheit Zusatzinformationsdaten des mobilen Endgerätes in einem Speicher gespeichert.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes weisen die Zusatzinformationsdaten einen Zeitpunkt der Registrierung, einen Gültigkeitszeitraum der Registrierung, Zugriffsrechte und administrative Nutzerdaten auf.
  • Bei einer Ausführungsform des erfindungsgemäßen Indusrienetzwerkes weisen die Zugriffsrechte zugelassene Protokolle, Portnummern und Netzwerksegmente des Netzwerkes auf.
  • Bei einer Ausführungsform des erfindungsgemäßen Netzwerkes weisen die administrativen Nutzerdaten einen Namen des Nutzers, eine Beschreibung des Zugangsanlasses, einen Organisationsnamen und eine Auftragsnummer auf.
  • Bei einer Ausführungsform des erfindungsgemäßen Industrienetzwerkes erfolgt das Anschließen des mobilen Endgerätes bei dem Netzwerk-Registrierungspunkt und bei den Netzwerk-Zugangspunkten drahtlos oder drahtgebunden.
  • Die Erfindung schafft ferner ein Verfahren zum Aufbau einer Datenverbindung zwischen einem mobilen Endgerät und einem Industrienetzwerk mit den folgenden Schritten, nämlich Registrieren des mobilen Endgerätes bei einer Registrierungseinheit für einen bestimmten Zeitraum, wenn das mobile Endgerät an einen nicht frei zugänglichen Netzwerk-Registrierungspunkt angeschlossen wird, nach der Registrierung Parameter (P) an das mobile Endgerät übertragen werden, die Zertifikate für den Zugriff auf Ressourcen des Industrienetzwerkes, Datenblätter eingesetzter Geräte und Diagnosedaten aufweisen und Aufbauen einer Datenverbindung zwischen dem mobilen Endgerät und dem Industrienetzwerk, wenn das mobile Endgerät innerhalb des bestimmten Zeitraumes bei einem frei zugänglichen Netzwerk-Zugangspunkt angeschlossen wird und bei der Registrierungseinheit registriert ist.
  • Im Weiteren werden bevorzugte Ausführungsformen des erfindungsgemäßen Netzwerkes sowie des erfindungsgemäßen Verfahrens unter Bezugnahme auf die beigefügten Figuren zur Erläuterung erfindungswesentlicher Merkmale näher beschrieben.
  • Es zeigen:
  • 1: ein Blockschaltbild eines herkömmlichen Netzwerkes nach dem Stand der Technik;
  • 2: eine mögliche Ausführungsform des erfindungsgemäßen Netzwerkes;
  • 3: ein Ablaufdiagramm zur Darstellung des Registriervorgangs eines mobilen Endgerätes bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens;
  • 4: ein Signaldiagramm zur Darstellung des Registriervorgangs bei einer Ausführungsform des erfindungsgemäßen Verfahrens;
  • 5: ein Ablaufdiagramm zur Darstellung des Aufbaus einer Datenverbindung bei einer Ausführungsform des erfindungsgemäßen Verfahrens;
  • 6: ein Signaldiagramm zur Darstellung des Aufbauvorgangs einer Datenverbindung bei der Ausführungsform des erfindungsgemäßen Verfahrens.
  • Wie man aus 2 erkennen kann, ist ein Netzwerk 1, wobei es sich beispielsweise um ein Industrienetzwerk handelt, über eine Firewall 2 mit einem externen Netzwerk 3 verbunden, bei dem es sich beispielsweise um ein Office-Netzwerk handelt. Das Netzwerk 1 weist mindestens einen für einen Nutzer nicht frei zugänglichen Netzwerk-Registrierungspunkt 4 zum automatischen Registrieren eines mobilen Endgerätes 5 eines Nutzers auf. Die Registrierung des mobilen Endgerätes 5 erfolgt bei einer Registrierungseinheit 6, die über einen Speicher bzw. eine Datenbank 7 verfügt. Der Netzwerk-Registrierungspunkt 4 und vorzugsweise die Registrierungseinheit 6 sowie deren Datenbank 7 sind für Nutzer nicht frei zugänglich und befinden sich beispielsweise in einem geschlossenen Raum 8. Neben dem Netzwerk-Registrierungspunkt weist das Netzwerk 1 mehrere für Nutzer frei zugängliche Netzwerk-Zugangspunkte 9 zum Verbinden des mobilen Endgerätes 5 mit dem Netzwerk 1 auf. Der Zugang zu dem Netzwerk 1 über den Netzwerk-Zugangspunkt 9 kann drahtlos oder drahtgebunden erfolgen. Bei dem in 2 dargestellten Beispiel ist das Endgerät 5A an dem Zugangspunkt 9A angeschlossen und ein weiteres mobiles Endgerät 5B ist an einem Access Point 9B drahtlos mit dem Netzwerk 1 verbunden. Das Netzwerk 1 weist ferner eine daran angeschlossene Zugangskontrolleinheit 10 (NAC: Network Access Control) auf. Bei dem in 2 dargestellten Beispiel hat das Netzwerk 1 ferner zwei Fertigungszellen 11A, 11B, die über Sicherheitsmodule 12A, 12B an einem gemeinsamen Bus 13 des Netzwerkes 1 angeschlossen ist. Wie man aus 2 erkennen kann, sind an dem Bus 13 der Netzwerk-Registrierungspunkt 4, die Netzwerk-Registrierungseinheit 6, die Netzwerk-Zugangskontrolleinheit 10 sowie die Netzwerk-Zugangspunkte 9A, 9B neben den Fertigungszellen 11A, 11B angeschlossen. Der Firewall-Rechner 2 trennt den Netzwerk-Bus 13 von dem externen Netzwerk-Bus 3. Innerhalb der Fertigungszellen 11A, 11B bzw. der Netzwerkmodule 11A, 11B befinden sich beispielsweise speicherprogrammierte Steuerungen 14 zur Ansteuerung von Maschinen.
  • Bevor ein Endgerät 5, wie in 2 dargestellt, erfolgreich eine Datenverbindung mit einer Komponente des Industrienetzwerkes 1 aufbauen kann, muss es zunächst an den Netzwerk-Registrierungspunkt 4 angeschlossen werden und bei der Registrierungseinheit 6 registriert werden. Der Netzwerk-Registrierungspunkt 4 ist nicht frei zugänglich und befindet sich in dem geschlossenen Raum 8. Bei einer alternativen Ausführungsform wird der Netzwerk-Registrierungspunkt durch eine Bedienperson überwacht, beispielsweise von einem für die Netzwerksicherheit zuständigen Netzwerkadministrator. Alternativ kann es sich bei der Bedienperson auch um eine Empfangssekretärin bzw. einen Pförtner handeln. Bei dem Netzwerk-Registrierungspunkt 4 handelt es sich beispielsweise um eine Einsteckbuchse, bei welcher ein Datenstecker des mobilen Endgerätes 5 einsteckbar ist. Sobald das mobile Endgerät 5 mit seinem Datenstecker in die Einsteckbuchse des Netzwerk- Registrierungspunktes 4 eingesteckt wird, wird dies durch das mobile Endgerät 5 erkannt und das mobile Endgerät 5 versendet anschließend beispielsweise eine DHCP-Broadcast-Nachricht, die eine Adresse des Endgerätes 5 aufweist, über den Datenbus 13 des Netzwerkes 1. Bei der Adresse des Endgerätes 5 handelt es sich beispielsweise um eine eindeutige MAC-Adresse des Endgerätes 5. Die von dem mobilen Endgerät 5 nach der Registrierung versendete DHCP-Broadcast-Nachricht wird von der Registrierungseinheit 6 empfangen und die in der Broadcast-Nachricht enthaltene Adresse wird extrahiert und anschließend von der Registrierungseinheit 6 in der Datenbank 7 abgelegt. Bei einer möglichen Ausführungsform wird anschließend dem mobilen Endgerät 5 eine Bestätigungsnachricht zugesendet, welche anzeigt, dass die Registrierung erfolgreich abgeschlossen ist.
  • 3 zeigt ein Ablaufdiagramm eines Registriervorgangs eines mobilen Endgerätes 5 bei der Registrierungseinheit 6.
  • In einem Schritt S1 wird zunächst das Endgerät 5 an den Netzwerkregistrierungspunkt 4 angeschlossen.
  • In einem weiteren Schritt S2 überträgt das Endgerät 5 eine Identifizierungsinformation, beispielsweise eine MAC-Adresse des Endgerätes 5, an die Registrierungseinheit 6, beispielsweise in einer Broadcast-Nachricht.
  • In einem weiteren Schritt S3 wird die Identifizierungsinformation durch die Registrierungseinheit 6 in der Datenbank 7 abgelegt. Bei einer möglichen Ausführungsform ist damit die Registrierung abgeschlossen.
  • Bei einer bevorzugten Ausführungsform wird die Identifizierungsinformation des Endgerätes 5, d. h. beispielsweise dessen MAC-Adresse erst dann in der Datenbank 7 abgelegt, wenn vorher eine Sicherheitsprüfung des Endgerätes 5 durch die Registrierungseinheit 6 erfolgt ist. Vorzugsweise wird bei der Sicherheitsüberprüfung geprüft, ob ein an dem Registrierungs- Zugangspunkt 4 angeschlossenes Endgerät 5 mit maliziöser Software, beispielsweise Viren, Würmern oder Trojanern, befallen ist. Dies kann beispielsweise durch Beobachten des Netzwerkverkehrs des angeschlossenen Endgerätes 5 erfolgen oder aktiv durch einen Sicherheits-Check.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Netzwerkes 1 werden bei der Registrierung des mobilen Endgerätes 5 Zusatzinformationsdaten des mobilen Endgerätes 5 zu der Identifizierungsinformation des Endgerätes 5 abgelegt.
  • Diese Zusatzinformationsdaten umfassen beispielsweise einen Zeitpunkt der Registrierung des Endgerätes 5, einen Gültigkeitszeitraum für die Registrierung, Zugriffsrechte bzw. Paketfilterregeln, die den zugelassenen Netzwerkverkehr beschränken, beispielsweise Adressen, Protokolle, Portnummern und zugelassene Netzwerksegmente. Darüber hinaus können die Zugriffsinformationsdaten administrative Nutzerdaten umfassen, beispielsweise den Namen eines Service-Mitarbeiters, die Firma des Service-Mitarbeiters, die Beschreibung des Zugangsanlasses, einen Namen eines eigenen Mitarbeiters oder eine Auftragsnummer.
  • Die Zugangsinformationsdaten können beispielsweise automatisch durch ein Template (Defaultwerte) vorgegeben, aus einem Auftragssystem übernommen oder individuell administrativ festgelegt werden, beispielsweise durch eine Bedienperson wie eine Empfangssekretärin oder einen Pförtner.
  • Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Netzwerkes 1 werden nach der Registrierung des mobilen Endgerätes 5 bei der Registrierungseinheit 6 Parameter an das mobile Endgerät 5 übertragen. Bei diesen Parametern kann es sich beispielsweise um Passwörter, Zertifikate für den Zugriff auf Ressourcen des Netzwerkes 1, Datenblätter eingesetzter Geräte oder auch um vorhandene Diagnosedaten, beispielsweise den Standort defekter Geräte, handeln.
  • 4 zeigt ein Signalablaufdiagramm zur Darstellung des Registriervorgangs bei einer möglichen Ausführungsform des erfindungsgemäßen Netzwerkes 1. Nach dem Einstecken des Endgerätes 5 bei dem Netzwerk-Registrierungspunkt überträgt das Endgerät eine DHCP-Broadcast-Nachricht mit einer Identifizierung des Endgerätes, beispielsweise einer Endgeräte-MAC-Adresse. Die DHCP-Broadcast-Nachricht gelangt über den Bus 13 zu der Registrierungseinheit 6, welche interaktiv eine Sicherheitsüberprüfung des mobilen Endgerätes 5 vornimmt. Sobald die Sicherheitsprüfung erfolgreich abgeschlossen ist, speichert die Registrierungseinheit 6 die extrahierte Endgeräte-MAC-Adresse des Endgerätes 5 in der Datenbank 7 ab. Anschließend wird vorzugsweise dem Endgerät 5 eine Registrierungsbestätigungsnachricht gesendet.
  • Sobald die Registrierung abgeschlossen ist, kann der Nutzer des registrierten Endgerätes 5 den Anschluss des Endgerätes 5 an den Netzwerk-Registrierungspunkt 4 trennen und zu einem geeigneten frei zugänglichen Netzwerk-Zugangspunkt 9 des Netzwerkes 1 gehen. Dort wird das mobile Endgerät 5 an den Netzwerk-Zugangspunkt wieder angeschlossen.
  • Bei der Registrierung des mobilen Endgerätes 5 wird die Gültigkeit der Registrierung an einen Gültigkeitszeitraum gebunden, beispielsweise ist die Registrierung nur einen Tag oder eine Woche gültig. Sobald das mobile Endgerät 5 bei der Registrierungseinheit 6 registriert ist und innerhalb des vorgegebenen Gültigkeitszeitraums an einen Netzwerk-Zugangspunkt 9 angeschlossen wird, kann eine Datenverbindung mit einer Komponente des Netzwerks 1 aufgebaut werden.
  • Wird beispielsweise ein Datenstecker des mobilen Endgerätes 5A in die Einsteckbuchse des Netzwerk-Zugangspunktes 9A eingesteckt, wird dies durch das mobile Endgerät 5A erkannt und dieses versendet dann die DHCP-Broadcast-Nachricht, welche die Adresse des mobilen Endgerätes 5A enthält. Die von dem mobilen Endgerät 5A versendete DHCP-Broadcast-Nachricht wird durch die in der Nähe befindliche Zugangskontrolleinheit 10 empfangen. Die Zugangskontrolleinheit 10 fragt dann bei der Registrierungseinheit 6 mittels einer vorgegebenen Anfragenachricht nach, ob das mobile Endgerät dort registriert ist. Hierzu sendet die Zugangskontrolleinheit 10 eine Anfragenachricht, welche die Adresse des angeschlossenen mobilen Endgerätes 5A enthält, an die Registrierungseinheit 6. Die Registrierungseinheit 6 vergleicht die angefragte Adresse des mobilen Endgerätes 5A, beispielsweise die angefragte MAC-Adresse, mit den in der Datenbank 7 abgelegten registrierten MAC-Adressen. Wird festgestellt, dass die angefragte MAC-Adresse mit einer abgespeicherten MAC-Adresse identisch ist, überträgt die Registrierungseinheit 6 eine Registrierbestätigung an die Zugangskontrolleinheit 10, welche ihrerseits dem mobilen Endgerät 5 eine IP-Adresse zuweist und an das mobile Endgerät 5 über den Nutzer-Zugangspunkt 9 überträgt. Mittels der zugewiesenen IP-Adresse kann anschließend das mobile Endgerät 5 eine Datenverbindung mit einer beliebigen Komponente des Netzwerkes 1 aufbauen und beispielsweise mit einem Wartungsvorgang beginnen.
  • 5 zeigt ein Ablaufdiagramm zur Darstellung des Aufbaus einer Datenverbindung einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens. In einem Schritt S4 wird zunächst das Endgerät 5 an einen Netzwerk-Zugangspunkt 9 angeschlossen.
  • Anschließend wird im Schritt S5 eine Identifizierungsinformation des Endgerätes 5, beispielsweise eine MAC-Adresse, ermittelt.
  • In einem weiteren Schritt S6 erfolgt eine Abfrage der Datenbank 7 dahingehend, ob die Identifizierungsinformation des Endgerätes 5 dort abgelegt ist.
  • In einem Schritt S7 entscheidet die Registrierungseinheit 6, ob der Eintrag vorhanden ist oder nicht. Ist die MAC-Adresse des mobilen Endgerätes 5 nicht registriert, wird der Netzwerk-Zugangspunkt im Schritt S8 gesperrt. Ist umgekehrt die MAC-Adresse des angeschlossenen Endgerätes 5 registriert, wird der Netzwerk-Zugangspunkt 9 im Schritt S9 durch die Registrierungseinheit 6 geöffnet. Nach dem Öffnen des Netzwerk-Zugangspunktes kann das Endgerät 5 eine Datenverbindung zu einer Komponente des Netzwerkes 1 aufbauen.
  • 6 zeigt ein Signaldiagramm zur Darstellung des Verbindungsaufbaus über einen Netzwerk-Zugangspunkt 9.
  • Nach dem Einstecken des Endgerätes 5 in eine Einsteckbuchse eine Netzwerk-Zugangspunktes 9 überträgt das angeschlossene Endgerät eine DHCP-Broadcast-Nachricht mit einer Endgeräte-Identifizierung bzw. einer Endgeräte-MAC-Adresse an die Netzwerk-Zugangskontrolleinheit 10, welcher eine Anfragen bei der Registrierungseinheit 6 vornimmt. Die Registrierungseinheit 6 überprüft, ob in der Datenbank 7 die extrahierte Endgeräte-MAC-Adresse abgelegt ist oder nicht. Zusätzlich liest die Registrierungseinheit 6 den Gültigkeitszeitraum der Registrierung ab und vergleicht ihn mit der aktuellen Zeit. Ist das Endgerät registriert und ist der Anschluss des mobilen Endgerätes 5 bei dem Netzwerk-Zugangspunkt 9 innerhalb des Gültigkeitszeitraums erfolgt, bestätigt die Registrierungseinheit 6 der Netzwerk-Zugangskontrolleinheit 10, dass der Anschlusswunsch berechtigt ist. Die Netzwerk-Zugangskontrolleinheit 10 weist anschließend dem mobilen Endgerät 5 eine IP-Adresse zu und überträgt diese in einer Nachricht über den Bus 13 des Netzwerkes 1 und über den Netzwerk-Zugangspunkt 9.
  • Anschließend erfolgt eine Datenverbindung des angeschlossenen Endgerätes 5 mit einer gewünschten Netzwerkkomponente des Netzwerkes 1 über die Netzwerk-Zugangskontrolleinheit 10.
  • Die Sicherheit für den Zugriff auf das Industrienetz 1 durch Service-Mitarbeiter wird bei dem erfindungsgemäßen Netzwerk verbessert, indem nur registrierte Service-Notebooks Zugriff auf das Industrienetz 1 erhalten. Bei der Registrierung eines Endgerätes 5 werden optional zusätzliche Beschränkungen neben der Dauer der Registrierung festgelegt, beispielsweise Zugriffsrechte. Bei diesen Zugriffsrechten handelt es sich beispielsweise um zugelassene Protokolle, Portnummern oder auch Netzwerksegmente des Netzwerkes 1. Bei der eigentlichen Datenkommunikation wird der Service-Datenverkehr dabei vorzugsweise über eine Enforcement-Komponente geleitet, um diese Beschränkungen auch durchzusetzen.
  • Bei dem erfindungsgemäßen Netzwerk 1 wird die Sicherheit dadurch erhöht, dass der Netzwerk-Registrierungspunkt 4 in einem speziell geschützten Raum untergebracht ist und eventuell nur beaufsichtigt zugänglich ist. Demgegenüber sind die Netzwerk-Zugangspunkte 9 flächendeckend in dem Industrienetz 1 untergebracht. Für die Netzwerk-Zugangspunkte 9 ist kein spezieller physischer Zugriffsschutz, beispielsweise eine verschraubte Abdeckung oder ein mechanischer Schlüssel zum Öffnen, erforderlich. Bei den Netzwerk-Zugangspunkten 9 kann es sich beispielsweise um eine Ethernet-Buchse oder auch um ein logisches Port bei einem drahtlosen Netzwerk-Zugang (WLAN Access) handeln.
  • Ein mögliches Anwendungsbeispiel des erfindungsgemäßen Netzwerkes 1 besteht darin, Besuchern eines Firmenstandortes einen Netzwerkzugang zu ermöglichen. Bei den Besuchern kann es sich um externe Mitarbeiter oder auch um eigene Mitarbeiter eines anderen Standortes handeln. Bei herkömmlichen Firmennetzen erfolgt das Eintragen der MAC-Adresse an dem Standort, um einen Zugang zu dem Firmennetz zu erhalten, manuell, beispielsweise telefonisch durch einen Anruf bei einem Systemadministrator. Dies ist relativ umständlich und es besteht die Gefahr, dass nicht mehr benötigte Einträge nicht wieder gelöscht werden. Bei dem erfindungsgemäßen Netzwerk 1 ist eine Registrierungsstation 4 vorgesehen, um temporär die MAC-Adresse von Notebooks von Mitarbeitern anderer Standort zu erfassen. Dies geschieht beispielsweise an der Werkspforte des Firmenstandortes. Erst nach Überprüfung eines Firmenausweises, beispielsweise durch einen Mitarbeiter an der Pforte oder durch Einstecken des Firmenausweises in die Registrierungsstation, wird die MAC-Adresse des Notebooks registriert. Bei dem mobilen Endgerät 5 kann es sich um ein beliebiges mobiles Endgerät handeln, beispielsweise um einen Laptop, ein PDA oder auch um ein mobiles Telefon oder dergleichen.

Claims (22)

  1. Industrienetzwerk (1) mit: (a) mindestens einem für einen Nutzer nicht frei zugänglichen Netzwerk-Registrierungspunkt (4) zum automatischen Registrieren eines mobilen Endgerätes (5) des Nutzers bei einer Registrierungseinheit (6) für einen bestimmten Zeitraum, wenn das mobile Endgerät (5) an den Netzwerk-Registrierungspunkt (4) angeschlossen wird, wobei nach der Registrierung Parameter (P) an das mobile Endgerät (5) übertragen werden, die Zertifikate für den Zugriff auf Ressourcen des Industrienetzwerkes, Datenblätter eingesetzter Geräte und Diagnosedaten aufweisen und mit (b) mehreren für den Nutzer frei zugänglichen Netzwerk-Zugangspunkten (9) zum Verbinden eines mobilen Endgerätes (5) mit dem Industrienetzwerk (1), wenn das mobile Endgerät (5) bei der Registrierungseinheit (6) registriert ist und innerhalb des bestimmten Zeitraumes an einen Netzwerk-Zugangspunkt (9) angeschlossen wird.
  2. Industrienetzwerk nach Anspruch 1, wobei der Netzwerk-Registrierungspunkt (4) eine Einsteckbuchse aufweist, in welche ein Datenstecker des mobilen Endgerätes (5) einsteckbar ist.
  3. Industrienetzwerk nach Anspruch 2, wobei das mobile Endgerät (5) erkennt, wenn ein Datenstecker des mobilen Endgerätes (5) in die Einsteckbuchse des Netzwerk-Registrierungspunktes (4) eingesteckt wird.
  4. Industrienetzwerk nach Anspruch 3, wobei das mobile Endgerät (5) nach Einstecken seines Datensteckers in die Einsteckbuchse des Netzwerk-Registrierungspunktes (4) eine DHCP-Broadcastnachricht versendet, die eine Adresse des Endgerätes (5) aufweist.
  5. Industrienetzwerk nach Anspruch 4, wobei die von dem mobilen Endgerät (5) versendete DHCP-Broadcastnachricht von der Registrierungseinheit (6) empfangen wird und die darin enthaltene Adresse des mobilen Endgerätes (5) in einem Speicher (7) abgelegt wird.
  6. Industrienetzwerk nach Anspruch 4 und 5, wobei die Adresse des mobilen Endgerätes (5) eine MAC-Adresse ist.
  7. Industrienetzwerk nach Anspruch 1, wobei bei der Registrierung des mobilen Endgerätes (5) eine Sicherheitsprüfung dieses mobilen Endgerätes (5) durch die Registrierungseinheit (6) durchgeführt wird.
  8. Industrienetzwerk nach Anspruch 1, wobei jeder Netzwerk-Zugangspunkt (9) jeweils eine Einsteckbuchse aufweist, in welcher ein Datenstecker des mobilen Endgerätes (5) einsteckbar ist.
  9. Industrienetzwerk nach Anspruch 8, wobei das mobile Endgerät (5) erkennt, wenn der Datenstecker des mobilen Endgerätes (5) in die Einsteckbuchse des Netzwerk-Zugangspunktes (9) eingesteckt wird.
  10. Industrienetzwerk nach Anspruch 9, wobei das mobile Endgerät (5) nach dem Einstecken seines Datensteckers in die Einsteckbuchse des Netzwerk-Zugangspunktes (9) eine DHCP-Broadcastnachricht versendet, die die Adresse des mobilen Endgerätes (5) aufweist.
  11. Industrienetzwerk nach Anspruch 10, wobei die von dem mobilen Endgerät (5) versendete DHCP-Broadcastnachricht durch eine Zugangskontrolleinheit (10) empfangen wird, welche bei der Registrierungseinheit (6) anfragt, ob das mobile Endgerät (5) registriert ist.
  12. Industrienetzwerk nach Anspruch 11, wobei die Zugangskontrolleinheit (NAC) dem mobilen Endgerät (5) eine IP-Adresse zuweist, wenn das mobile Endgerät (5) bei der Registrierungseinheit (6) registriert ist.
  13. Industrienetzwerk nach Anspruch 12, wobei das mobile Endgerät (5) mit der durch die Zugangskontrolleinheit (10) zugewiesenen IP-Adresse eine Verbindung zu dem Industrienetzwerk (1) aufbaut.
  14. Industrienetzwerk nach Anspruch 1, wobei die Registrierungseinheit (6) nach der Registrierung des mobilen Endgerätes (5) dem mobilen Endgerät (5) eine Bestätigungsnachricht zusendet, welche anzeigt, dass das mobile Endgerät (5) erfolgreich registriert ist.
  15. Industrienetzwerk nach Anspruch 1, wobei sich der nicht frei zugängliche Netzwerk-Registrierungspunkt (4) in einem abschließbaren Raum befindet.
  16. Industrienetzwerk nach Anspruch 1, wobei der nicht frei zugängliche Netzwerk-Registrierungspunkt (4) durch eine Person überwacht wird.
  17. Industrienetzwerk nach Anspruch 1, wobei bei der Registrierung des mobilen Endgerätes (5) bei der Registrierungseinheit (6) Zusatzinformationsdaten des mobilen Endgerätes (5) in einem Speicher (7) gespeichert werden.
  18. Industrienetzwerk nach Anspruch 17, wobei die Zusatzinformationsdaten einen Zeitpunkt der Registrierung, einen Gültigkeitszeitraum der Registrierung, Zugriffsrechte und administrative Nutzerdaten aufweisen.
  19. Industrienetzwerk nach Anspruch 18, wobei die Zugriffsrechte zugelassene Protokolle, Portnummern und Netzwerksegmente des Netzwerkes aufweisen.
  20. Industrienetzwerk nach Anspruch 18, wobei die administrativen Nutzerdaten den Namen des Nutzers, eine Beschreibung des Zugangsanlasses, einen Organisationsnamen und eine Auftragsnummer aufweisen.
  21. Industrienetzwerk nach Anspruch 1, wobei das Anschließen des mobilen Endgerätes (5) bei dem Netzwerk-Registrierungspunkt (4) und bei den Netzwerk-Zugangspunkten (9) drahtlos oder drahtgebunden erfolgt.
  22. Verfahren zum Aufbau einer Datenverbindung zwischen einem mobilen Endgerät (5) und einem Industrienetzwerk (1) mit den folgenden Schritten: (a) Registrieren des mobilen Endgerätes (5) bei einer Registrierungseinheit (6) für einen bestimmten Zeitraum, wenn das mobile Endgerät (5) an einen nicht frei zugänglichen Netzwerk-Registrierungspunkt (4) angeschlossen wird, wobei nach Registrierung Parameter (P) an das mobile Endgerät (5) übertragen werden, die Zertifikate für den Zugriff auf Ressourcen des Industrienetzwerkes, Datenblätter eingesetzter Geräte und Diagnosedaten aufweisen. (b) Aufbauen einer Datenverbindung zwischen dem mobilen Endgerät (5) und dem Industrienetzwerk (1), wenn das mobile Endgerät (5) innerhalb des bestimmten Zeitraumes bei einem frei zugänglichen Netzwerk-Zugangspunkt (9) angeschlossen wird und bei der Registrierungseinheit (6) registriert ist.
DE102006056566A 2006-11-30 2006-11-30 Netzwerk und Verfahren zum Aufbau einer Datenverbindung mit einem mobilen Endgerät Expired - Fee Related DE102006056566B3 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102006056566A DE102006056566B3 (de) 2006-11-30 2006-11-30 Netzwerk und Verfahren zum Aufbau einer Datenverbindung mit einem mobilen Endgerät

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102006056566A DE102006056566B3 (de) 2006-11-30 2006-11-30 Netzwerk und Verfahren zum Aufbau einer Datenverbindung mit einem mobilen Endgerät

Publications (1)

Publication Number Publication Date
DE102006056566B3 true DE102006056566B3 (de) 2008-05-08

Family

ID=39265207

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102006056566A Expired - Fee Related DE102006056566B3 (de) 2006-11-30 2006-11-30 Netzwerk und Verfahren zum Aufbau einer Datenverbindung mit einem mobilen Endgerät

Country Status (1)

Country Link
DE (1) DE102006056566B3 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012109212B4 (de) 2011-09-28 2023-02-09 Fisher-Rosemount Systems, Inc. Methoden, Vorrichtung und Herstellungsprodukte zur Bereitstellung von Firewalls für Prozesssteuerungssysteme

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7007080B2 (en) * 1999-12-23 2006-02-28 Solution Inc Limited System for reconfiguring and registering a new IP address for a computer to access a different network without user intervention

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7007080B2 (en) * 1999-12-23 2006-02-28 Solution Inc Limited System for reconfiguring and registering a new IP address for a computer to access a different network without user intervention

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012109212B4 (de) 2011-09-28 2023-02-09 Fisher-Rosemount Systems, Inc. Methoden, Vorrichtung und Herstellungsprodukte zur Bereitstellung von Firewalls für Prozesssteuerungssysteme

Similar Documents

Publication Publication Date Title
DE602004005461T2 (de) Mobile Authentifizierung für den Netzwerkzugang
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
EP3129888B2 (de) Übermittlung von daten aus einem gesicherten speicher
DE602004003568T2 (de) Netzzugangskontrolle für ein mit einem VPN-Tunnel verbundenes Endgerät
DE102007025162A1 (de) Alarmgesteuerte Zugriffskontrolle in einem Unternehmensnetz
EP1417820A2 (de) Verfahren und computersystem zur sicherung der kommunikation in netzwerken
EP2400708A1 (de) Netzwerk-Schutzeinrichtung
EP2448182B1 (de) Verfahren zur Kommunikation in einem Automatisierungssystem
EP2656580B1 (de) Verfahren und kommunikationseinrichtung zum kryptographischen schützen einer feldgerät-datenkommunikation
DE102016107450A1 (de) Sicheres Gateway
DE102006056566B3 (de) Netzwerk und Verfahren zum Aufbau einer Datenverbindung mit einem mobilen Endgerät
EP2557733A1 (de) Konfiguration eines Kommunikationsnetzwerks
EP1645098B1 (de) Vorrichtung und koppelgerät, so genannter secure-switch, zur sicherung eines datenzugriffes
EP2721803B1 (de) Verfahren und vorrichtung zur gesicherten veränderung einer konfigurationseinstellung eines netzwerkgerätes
EP1496666A1 (de) Vorrichtung und Koppelgerät, so genannter transparenter Tunnel-Proxy, zur Sicherung eines Datenzugriffs
DE102007052523A1 (de) Verbinder und Verfahren zum Bereitstellen eines Zugangs zu einem Datenverarbeitungsnetz für eine Datenverarbeitungseinrichtung
DE10146397B4 (de) Verfahren, Rechnerprogramm, Datenträger und Datenverarbeitungseinrichtung zum Konfigurieren einer Firewall oder eines Routers
EP1496665B1 (de) Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz
DE102020129228B4 (de) Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung
DE102020129224B4 (de) Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung über einen Zugangspunkt
DE102007030775B3 (de) Verfahren zum Filtern von Netzwerkdiensten und Netzwerkdiensteinhalten
DE102006051878B4 (de) Vorrichtung und Verfahren zum Herstellen einer gesicherten Verbindung zwischen einem Endgerät und einem Internetserver
DE112023000147T5 (de) Sicherer unverwalteter netzwerk-switch und entsprechende methoden
DE102007012750B3 (de) Netzwerkadapter
EP4120624A1 (de) Verfahren und automatisierungssystem zur einbindung eines automatisierungsgeräts

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee