-
Die
Erfindung betrifft ein Verfahren zur Autorisierung des Zugriffs
auf mindestens eine Automatisierungskomponente einer technischen
Anlage.
-
Moderne
technische Anlagen umfassen in der Regel eine Vielzahl an so genannten
intelligenten Automatisierungskomponenten, wie beispielsweise speicherprogrammierbare
Steuerungen, Feldgeräte oder
Antriebsregler, wobei diese Automatisierungskomponenten zumindest
einen Prozessor und Speichermittel umfassen, mittels welcher durch
Projektierung und Parametrierung die Abarbeitung einer gewünschten
Automatisierungslösung
erfolgen kann. Derartige intelligente Automatisierungskomponenten sind
folglich flexibel in ihrem Einsatz und können sich ändernden Erfordernissen leicht
angepasst werden entsprechend den sich ändernden Erfordernissen des
Automatisierungsprozesses.
-
Derartige
Arbeiten werden üblicherweise
z. B. während
der Inbetriebnahme durch besonders qualifiziertes Personal durchgeführt. Die
dabei vorgenommenen Arbeiten, Einstellungen und Programmierungen
sind sehr sensitiv, da sie für
die ordnungsgemäße, sichere
und effiziente Funktionsweise der gesamten technischen Anlage von
großer
Bedeutung sind. Des Weiteren sind Geheimhaltungsaspekte zu berücksichtigen,
da beispielsweise prozesstechnische Informationen oder spezielle
Rezepturen, welche durch die Projektierung, Parametrierung und Programmierung
festgelegt werden, nicht jedem zugänglich sein sollen.
-
Daher
sollen derartige Arbeiten nur durch entsprechend ausgebildetes und
autorisiertes Personal durchgeführt
werden können.
Eine Autorisierung kann dabei mehrstufig sein und von einfachen
Bedien- oder Justieraufgaben bis hin zu tiefen Ein griffen oder Einsichten
in die Funktionsweise der Anlage reichen.
-
Vielfach
wird die laufende Wartung von technischen Anlagen Drittfirmen übertragen,
wobei hier der Überprüfung der
Autorisierung des Wartungspersonals eine immer größere Bedeutung
zukommt. Im Zeitalter der zunehmenden Vernetzung von Anlagenkomponenten
mittels Bussystemen oder eines Intranets oder des Internets kommt
dem Problem der Autorisierung eine immer größere Bedeutung zu.
-
Des
Weiteren bestimmt sich der Wert einer technischen Anlage immer mehr
durch die Funktionalität
der eingesetzten Software und nicht mehr durch die eingesetzten
Hardware-Komponenten, welche vielfach standardisiert und austauschbar sind.
-
Es
ist daher ein Bedürfnis
von Anlagenherstellern, die von ihnen entwickelten Automatisierungskomponenten
durch geeignete Lizenzierungs- und Autorisierungsverfahren vor unerlaubtem
Zugriff auf die entwickelte Software zu schützen.
-
Neben
der Autorisierung eines Benutzers der Automatisierungskomponente
ist es in vielen Fällen
wünschenswert
oder sogar vorgeschrieben, ein Protokoll anzufertigen, über die
bei einer Inbetriebnahme- oder Wartungsmaßnahme vorgenommenen Handlungen.
Dies betrifft vor allem die Lebensmittel- und die Pharmabranche.
Weitere Gründe
für eine derartige
Protokollierung können
die Abrechnung von Servicedienstleistungen, die Abwicklung von Garantiefällen und
die Gewinnung von statistischen Informationen über die Zuverlässigkeit
oder aber die Problemhäufung
bei automatisierten Maschinen sein.
-
Um
die Autorisierung eines Bedieners oder einer zu autorisierenden
Service-Person zu überprüfen, sind
heute meist Passwort-gesicherte Systeme im Einsatz. Dabei sind die
Passwörter
entweder fest in eine Steuerungssoftware kodiert oder sie können vom
Anwender frei gewählt
und gespeichert werden. In beiden Fällen besteht jedoch die Problematik,
dass derartige Passwörter
einem größeren Personenkreis ungewollt
bekannt werden und somit keinen sicheren Schutz gegen nicht-autorisierten Zugriff
bieten können.
Insbesondere in Fällen
veränderbarer
Passwörter
müssten
diese an geeigneter Stelle dokumentiert werden, wobei die Dokumentation
dieser Passwörter eine
weitere Fehlerquelle zur ungewollten Preisgabe der Passwörter darstellt.
Des Weiteren ist der Aufwand bezüglich
der Pflege insbesondere abgestufter Zugriffsrechte dabei erheblich.
Des Weiteren ist eine mittels Passwort freigegebene Automatisierungskomponente
offen für
den Zugang aller angeschlossenen Kommunikationspartner, obwohl diese
gegebenenfalls nicht die erforderliche Qualifikation und Autorisierung
besitzen.
-
Eine
weitere bekannte Möglichkeit
zum Schutz vor unautorisiertem Zugriff besteht in einer mechanischen
Sperre, beispielsweise durch das Verschließen von Schaltschranktüren. Jedoch
können moderne
Anlagen oftmals aus der Ferne beispielsweise über eine Telefonleitung oder
das Internet bedient und gewartet werden, wobei ein derartiger mechanischer
Schutz hier unwirksam ist.
-
Im
Falle der Lizenzierung einer Software gibt es heute ebenfalls eine
Reihe von Lösungen,
die von einer einfachen kostenlosen Zugabe der Software zur verkauften
Hardware bis hin zu vergütungspflichtigen
Softwarefunktionen reicht. Insbesondere bei Software besteht dabei
meist die Gefahr einer unkontrollierten und unrechtmäßigen Vervielfältigung.
Um diesem Problem zu begegnen, werden manchmal so genannte Lizenzierungs-Codes
verwendet, welche von komplexen Lizenzierungs-Algorithmen errechnet werden. Beispielsweise
kann ein Kunde die Seriennummer der Hardware angeben, auf der eine
Software ablaufen soll, und erhält
anschließend
vom Entwickler oder Hersteller einen Lizenzschlüssel, mit dem er die Software
auf dieser Hardware aktivieren kann. Jedoch sind derartige Lizenzierungsmodelle aufwändig in
der Durchführung
und es entstehen eine Reihe von Ausnahmesituationen, beispielsweise
wenn ein defektes Hardware-Teil mit einer entsprechenden Software getauscht
werden muss und der alte Lizenzierungs-Code dann nicht mehr funktioniert.
-
Eine
Protokollierung von beispielsweise Parametrierungs-, Inbetriebnahme-
und Wartungsarbeiten erfolgt üblicherweise
in der Verantwortung des durchführenden
Personals, z. B. durch Führen
von entsprechenden Anlagen-Logbüchern
in Papierform oder in elektronischer Form. Dabei entstehen oftmals Fehler
durch unvollständige
Protokollunterlagen. Manchmal findet eine Protokollierung auch automatisch
durch eine Automatisierungskomponente selbst statt, jedoch geschieht
dies vollkommen losgelöst von
der Person, welche protokollierpflichtige Handlungen an der Anlage
vornimmt. Somit kann hinterher meist nicht mit Sicherheit festgestellt
werden, wer bestimmte Handlungen durchgeführt hat.
-
Der
Erfindung liegt daher die Aufgabe zugrunde, ein verbessertes Verfahren
zur Autorisierung des Zugriffs auf mindestens eine Automatisierungskomponente
einer technischen Anlage anzugeben.
-
Für einige
Teilaspekte existieren bereits Lösungen,
wie beispielsweise so genannte SmartCards, welche z. B. eine Zutrittsberechtigung
prüfen, ein
Abheben von Bargeld am Geldautomaten ermöglichen, oder den Einsatz als
Geldkarte oder Telefonkarte realisieren.
-
Diese
SmartCards beinhalten einen integrierten Schaltkreis mit einem Microcontroller
und einen beschreibbaren, nicht-flüchtigen
Speicher. Auf dem Microcontroller können kryptographische Algorithmen
ablaufen, die ein nicht-autorisiertes
Lesen oder Verändern
der Daten in dem nicht-flüchtigen Speicher
verhindern. Daher können
diese SmartCards im Gegensatz zu den früher gebräuchlichen Magnetstreifenkarten
nicht einfach kopiert werden. Schreib-/Lesegeräte können über elektrische Kontakte mit
den SmartCards kommunizieren oder bei entsprechender Ausstattung
(RFID) auch drahtlos über
geringe Distanzen von einigen Zentimetern mit den SmartCards kommunizieren.
Eine derartige near field communication ist besonders komfortabel.
Die Microcontroller dieser SmartCards sind meist leistungsfähig genug,
um zumindest für
eine begrenzte Datenmenge ein unsymmetrisches Verschlüsselungsverfahren
mit einem öffentlichen
und einem privaten Schlüssel
berechnen zu können.
Dadurch ist ein Einsatz derartiger SmartCards auch für die Verifizierung
und Signatur über
unsichere Datenverbindungen wie beispielsweise das Internet möglich. Da derartige
SmartCards eine relativ große
Menge an Informationen abspeichern können, und gegen nicht-autorisiertes
Kopieren, Auslesen und Verändern
der gespeicherten Informationen geschützt sind, ergibt sich deren
technische Eignung im Zusammenhang mit der vorliegenden Erfindung.
Insbesondere soll die Autorisierung, Lizenzierung und Protokollierung
von Inbetriebnahme- und Wartungshandlungen bei Automatisierungskomponenten
verbessert werden. Man benötigt
nur ein einziges Medium (die Autorisierungseinheit/SmartCard) für alle diese
Aufgaben, wobei ein hohes Maß an
Flexibilität für zukünftige Erweiterungen
gegeben ist.
-
Die
Erfindung führt
daher zu einem Verfahren zur Autorisierung des Zugriffs auf mindestens eine
Automatisierungskomponente einer technischen Anlage, mit folgenden
Schritten:
- A) Bereitstellen einer Autorisierungseinheit,
beispielsweise einer SmartCard, umfassend
a) eine digitale
Signierfunktion;
b) Informationen über:
(i) die Identität eines
Benutzers der Automatisierungskomponente,
(ii) diejenigen Automatisierungskomponenten
der technischen Anlage, auf welche dem Benutzer ein Zugriffsrecht
eingeräumt
ist,
(iii) Arten des eingeräumten
Zugriffsrechts,
(iv) ein Gültigkeitsumfang
des eingeräumten
Zugriffsrechts für
die Automatisierungskomponenten der betreffenden technischen Anlage
oder zusätzlich
für solche
Automatisierungskomponenten anderer techni scher Anlagen, welche
den Automatisierungskomponenten der betreffenden technischen Anlage
ihrer Art nach entsprechen,
(v) einen technischen Kenntnisstand
des Benutzers, beispielsweise über
erfolgreich absolvierte technische Ausbildungen, und
(vi) eine
Gültigkeitsdauer
des eingeräumten
Zugriffsrechts;
- B) Verbinden der Autorisierungseinheit mit der Automatisierungskomponente
der technischen Anlage; und
- C) Ausführung
von technischen Handlungen auf der Automatisierungskomponente gemäß dem eingeräumten Zugriffsrecht.
-
Die
Erfindung geht dabei von der Überlegung aus,
dass mit den genannten Merkmalen eine flexible, zuverlässige und
komfortable Autorisierung eines Zugriffs auf die Automatisierungskomponente
ermöglicht
ist.
-
Die
genannten Informationen und Funktionen können beispielsweise über entsprechende Schreibberechtigungs-Codes
sowohl vom Hersteller einer technischen Anlage bzw. Automatisierungskomponente
als auch von einem Anlagenbetreiber auf die SmartCard geschrieben
werden. Vorteilhaft kann eine Autorisierungseinheit dabei auch mehrere Autorisierungsschlüssel für eine einzige
Person umfassen. Diese Autorisierungsschlüssel können dann logisch kombiniert
werden, wenn z. B. ein Hersteller eine Person für bestimmte Arten von Inbetriebnahmehandlungen
autorisiert, da diese Person entsprechende Kenntnisse besitzt. Des
Weiteren kann ein Anlagenbetreiber eine Person dazu autorisieren,
auf eine Anzahl an technischen Anlagen eines bestimmten Typs zuzugreifen.
Diese beispielhaft genannten Autorisierungsschlüssel können auf derselben Autorisierungseinheit
abgespeichert werden, und die sich ergebenden detaillierten Zugriffsrechte
erschließen sich
aus einer logischen Kombination der eingeräumten Einzelrechte.
-
Vorteilhaft
findet das Verbinden der Autorisierungseinheit mit der Automatisierungskomponente über ein
Engineeringsystem der technischen Anlage statt, welches zum Auslesen
und Auswerten der Autorisierungseinheit ausgelegt ist.
-
Komplexe
technische Anlagen umfassen eine Vielzahl von Automatisierungskomponenten und
beinhalten meist ein Engineeringsystem, welches insbesondere zu
Konfiguration und Parametrierung aller Automatisierungskomponenten
der technischen Anlage ausgelegt ist. Das Engineeringsystem ist
dabei beispielsweise über
ein Bussystem oder ein Intranet oder Internet mit den Automatisierungskomponenten
verbunden. Somit kann das Erfassen der Autorisierungseinheit an
zentraler Stelle über
das Engineeringsystem stattfinden, um auf beliebige Automatisierungskomponenten
der technischen Anlage zuzugreifen.
-
In
einer weiteren vorteilhaften Ausgestaltung der Erfindung geschieht
die Autorisierung des Zugriffs auf die Automatisierungskomponente über die Autorisierungseinheit
in Verbindung mit einem zusätzlichen
Autorisierungs-/Lizenz-Server, wobei mindestens einige der von der
Autorisierungseinheit umfassten Informationen auf dem Autorisierungs-/Lizenz-Server
speicherbar und auswertbar sind, d. h., die Funktionalität der Autorisierungseinheit
wird auf die eigentliche Autorisierungseinheit (SmartCard) und den
zusätzlichen
Autorisierungs-/Lizenz-Server aufgeteilt.
-
Insbesondere
bei untereinander vernetzten Autorisierungskomponenten, die häufig internetfähig sind,
ist die Autorisierung über
den Autorisierungs-/Lizenz-Server vorteilhaft, welcher spezialisiert ist
auf die Ausführung
von Autorisierungs- und
Lizenzaufgaben. Beispielsweise kann ein Anlagenbetreiber mit Hilfe
des Autorisierungs-/Lizenz-Servers einzelnen Personen, die sich
durch ihre jeweilige Autorisierungseinheit identifizieren, gewünschte Zugriffsrechte
auf bestimmte Automatisierungskomponenten einräumen. Dies kann online geschehen, wenn
die Automatisierungskomponenten sowie der Autorisierungs-/Lizenz-Server
internet-mäßig vernetzt
sind. Dabei kann ein Systemadministrator von einer zentralen Stelle
aus sämtliche
Zugriffsrechte zu jeder Zeit einrichten, sperren oder anpassen.
Verloren gegangene Autorisierungseinheiten oder Vertretungsregelungen
sind damit kein Problem mehr. Des Weiteren sind bei einigen, insbesondere
größeren, Unternehmen
die Strukturen zur Integration des genannten Autorisierungsverfahrens
bereits vorhanden, beispielsweise in Form von Zugangsberechtigungs-Anlagen
mittels SmartCard-Firmenausweisen. Dieselbe Autorisierungseinheit,
welche eine Parametrier-, Inbetriebnahme- und Wartungshandlung autorisieren
kann, ist auch für
eine allgemeine Bedienaufgabe, welche einer Autorisierung unterliegt, verwendbar,
wenn beispielsweise die betreffende Automatisierungskomponente ein
Lesegerät
für die
Autorisierungseinheit aufweist. Des Weiteren kann die Autorisierungseinheit
die Zutrittskontrollfunktion zu den Räumlichkeiten der technischen
Anlage übernehmen.
-
Beispielsweise
wird bei der Inbetriebnahme oder Wartung einer technischen Anlage
die Autorisierungseinheit von dem Engineeringsystem der technischen
Anlage, beispielsweise einem Notebook, das mit einer entsprechenden
Schreib-/Lesevorrichtung ausgestattet ist, eingelesen. Dadurch kann
zunächst der
Zugriff auf eventuell auf dem Engineeringsystem bereits gespeicherten
Datensätzen
für die
technische Anlage freigegeben werden. Sensitive Parameter- und Projektierungsdateien
können
vorteilhaft über eine
Verschlüsselungsfunktion
auf der Autorisierungseinheit verschlüsselt und entschlüsselt werden. Des
Weiteren kann das Engineeringsystem die Weiterleitung von Informationen
der Autorisierungseinheit an die angeschlossenen Automatisierungskomponenten übernehmen,
um auch den Zugriff auf die Automatisierungskomponenten frei zu
schalten. Die Zugriffsrechte können
hierbei je nach Inhaber der Autorisierungseinheit abgestuft sein.
-
Einfachere,
weniger komplexe Automatisierungskomponenten, wie z. B. einfache
Frequenzumrichter, werden häufig
ohne ein zusätzliches
Engineeringsystem in Betrieb genommen. Für die Inbetriebnahme stehen
dabei z. B. einfache Ziffernanzeigen und einige Tasten an dem Gerät selbst
zur Verfügung.
Insbesondere bei derartigen wenig komplexen Automatisierungskomponenten
bietet sich die Integrierung einer Schnittstelle basierend auf der "near-field-communication" an, um aus wenigen
Zentimeter Entfernung eine Verbindung mit der Autorisierungseinheit
aufzunehmen. Eine derartige near-field-communication-Schnittstelle lässt sich
dann auch für
andere Inbetriebnahme-Abläufe sinnvoll
nutzen, wie beispielsweise die Automatisierung des Austauschs von
Teilnehmerpaarungen bei der Installation von Bluetooth- und WLAN-Netzwerken,
die automatische Identifizierung von Bestell- und Seriennummer von
Komponenten durch RFID-Tags oder das Überflüssig-Machen von Barcodes.
-
Vorteilhaft
umfasst die Autorisierungseinheit weiterhin ein Budgetkonto, mittels
welchem eine Vergütung
von zu aktivierenden, zu entfernenden oder zu ändernden Softwarefunktionen
der Automatisierungskomponente durchführbar ist.
-
Dabei
können
beispielsweise für
die Installation lizenzpflichtiger Software oder das Freischalten von
optionalen, lizenzpflichtigen Software-Funktionen auf der Autorisierungseinheit
Lizenzpunkte auf dem Budgetkonto gespeichert sein, die daraufhin
von der betreffenden Software-Applikation abgebucht werden. Dies
entspricht dann in etwa der Funktionsweise einer Geldkarte. Die
Lizenzpunkte können
dabei auf verschiedene Weise auf das Budgetkonto gelangen:
- 1. Die Autorisierungseinheit wird direkt vom
Hersteller mit Lizenzpunkten geladen.
- 2. Ein Anlagenbetreiber kauft vom Hersteller eine Anzahl an
Lizenzpunkten und einen entsprechenden Zugriffs-Code für die Autorisierungseinheiten; dann
kann der Anlagenbetreiber die Autorisierungseinheiten mit Hilfe
von Schreib-/Lese-Geräten
selbst beschreiben.
- 3. Ein Kunde steht über
das Internet mit dem Lizenz-Server des Herstellers in Verbindung;
er identifiziert sich dort über
seine Autorisierungseinheit und ruft vorab gekaufte Lizenzpunkte
von diesem Server ab, die auf der Autorisierungseinheit gespeichert
werden.
-
Bei
der Aktivierung der Software beispielsweise bucht die Autorisierungskomponente
dann ein entsprechendes Punktebudget vom Budgetkonto der Autorisierungseinheit
ab. Umgekehrt können
bei einer Deaktivierung von Software-Funktionen auch Lizenzpunkte
zurück
auf die Autorisierungseinheit gebucht werden, um beispielsweise
einen Probebetrieb einer Software-Installation zu ermöglichen. Des Weiteren können beispielsweise
beim Austausch von Automatisierungskomponenten software-bezogene Lizenzpunkte
auf neue Automatisierungskomponenten übertragen werden.
-
Besonders
vorteilhaft können
auch Support-Dienstleistungen des Herstellers an der Automatisierungskomponente
mit Hilfe des Budgetkontos der Autorisierungseinheit abgerechnet
werden.
-
In
einer weiteren vorteilhaften Ausgestaltung der Erfindung umfassen
die technischen Handlungen, die der Bediener auf der Automatisierungskomponente
ausführt,
eine Parametrierung und/oder Projektierung und/oder Programmierung
der Automatisierungskomponente, welche protokolliert und mit einer
digitalen Signatur mittels der digitalen Signierfunktion versehen
werden.
-
Dabei
ist es vorteilhaft, wenn das Protokollieren und Signieren in einem
Speicher der Autorisierungseinheit oder zumindest teilweise in einem
externen Speicher stattfindet.
-
Der
externe Speicher kann dabei die zu speichernden Logbuch-Daten aufnehmen und
in der Automatisierungskomponente selbst oder im Engineeringsystem
vorhanden sein.
-
Ein
beispielhafter Verlauf einer Protokollierung im Rahmen der Inbetriebsetzung
einer Automatisierungskomponente kann wie folgt aussehen:
- 1. Ein Inbetriebsetzer identifiziert sich mit
Hilfe seiner Autorisierungseinheit.
- 2. Er verändert
die Parametrierung bzw. Projektierung der technischen Anlage.
- 3. Nachdem er sichergestellt hat, dass die Anlage mit den geänderten
Daten ordnungsgemäß funktioniert,
erteilt er mit Hilfe der digitalen Signierfunktion seiner Autorisierungseinheit
seine digitale Signatur, die auf der Automatisierungskomponente
zusammen mit den von ihm geänderten
Parametern abgespeichert wird.
- 4. Vorteilhaft wird auf der Automatisierungskomponente aus den
aktualisierten, geänderten
Parametern, einer Seriennummer der Automatisierungskomponente, einer
Hardware- und Software-Versionsnummer, der digitalen Signatur des
Inbetriebsetzers und dem aktuellen Tagesdatum mittels eines mathematischen
Algorithmus ein so genannter GUID (Global Unique Identifier) berechnet.
- 5. Dieser GUID wird auf der Automatisierungskomponente selbst,
auf der Autorisierungseinheit und auf einem eventuell angeschlossenen
Engineeringsystem abgespeichert. Auf der Automatisierungskomponente
und dem Engineeringsystem wird der GUID dabei zusammen mit den aktualisierten
Daten, Programmen bzw. Parametern eingeengt.
-
Anhand
der GUID können
die Daten, aus der diese berechnet wurde, eindeutig identifiziert
werden. Jede Änderung
an den zugrunde liegenden Daten führt zu einer geänderten
GUID. Vorteilhaft ist auf der Automatisierungskomponente eine Liste
der letzten generierten GUIDs zusammen mit dem jeweiligen Erstellungsdatum
abgelegt.
-
Weiterhin
kann die GUID mittels der Autorisierungseinheit oder des Engineeringsystems
an einen Verwaltungsrechner des Anlagenbetreibers übertragen
werden. Auf diesem Verwaltungsrechner können kann die geänderten
Daten, wie beispielsweise Parameterwerte, gespeichert sein.
-
Durch
einen Vergleich der GUIDs, die in der Automatisierungskomponente
gespeichert sind, mit denjenigen GUIDs, welche auf dem Verwaltungsrechner
abgelegt sind, kann dann jederzeit nachgewiesen werden, wann und
welche Änderungen
durch welchen Benutzer vorgenommen wurden.
-
Um
die Sicherheit gegen eine missbräuchliche
Benutzung einer personenbezogenen Autorisierungseinheit zu erhöhen, kann
diese auch zusätzlich mit
einer persönlichen
Code-Nummer (PIN) ausgestattet werden oder mit den biometrischen
Daten zur Identifizierung ihres Eigentümers.
-
Im
Folgenden werden drei Ausführungsbeispiele
der Erfinder näher
dargestellt.
-
Es
zeigen:
-
1 ein
erfindungsgemäßes Autorisierungsverfahren
mittels SmartCard ohne Lizenzserver,
-
2 ein
erfindungsgemäßes Autorisierungsverfahren
mittels SmartCard und Lizenzserver, und
-
3 ein
erfindungsgemäßes Autorisierungsverfahren
mittels SmartCard ohne Engineeringsystem.
-
In 1 ist
ein erfindungsgemäßes Autorisierungsverfahren
dargestellt, wobei Daten aus einer als SmartCard ausgebildeten Autorisierungseinheit 3 von
einer Schreib-/Leseeinrichtung eines Engineeringsystems 17 eingelesen
und an die Automatisierungskomponente weitergeleitet werden, um
die zu autorisierenden Handlungen auf dieser freizugeben. Damit
die Autorisierung auch über
eine unsichere Datenleitung zwischen Engineeringsystem und Automatisierungskomponente
vorgenommen werden kann, finden Ver- und Entschlüsselung in diesem Anwendungsfall
zwischen Autorisierungskomponente und Automatisierungskomponente
statt. In diesem Anwendungsfall stellt das Engineeringsystem samt seiner
Schreib-/Leseeinrichtung nur eine Durchleitefunktionalität für die verschlüsselten
Daten von Autorisierungseinheit und Automatisierungskomponente dar,
d. h. auch die in 1 außerhalb von 17 eingezeichneten
Verbindungen zwischen 3 und 1 passieren die Einheit 17.
Die Autorisierungseinheit 3 umfasst dabei personenbezogene
Daten 5 eines Benutzers, welche zumindest die Identität des Benutzers bzw.
Besitzers der Autorisierungseinheit erkennen lassen. Des Weiteren
umfasst die Autorisierungseinheit 3 eine Liste der Zugriffsrechte 7,
welche dem Benutzer auf der Autorisierungskomponente 1 oder
auf weiteren Automatisierungskomponenten ähnlicher Art eingeräumt sind.
-
Weiterhin
ist eine Auswahlfunktion 9 vorgesehen, mittels welcher
aus den eingeräumten
Zugriffsrechten die im Moment benötigten ausgewählt werden.
Hierfür
ist die Auswahlfunktion 9 datentechnisch mit Anlagenidentifikationsdaten 19 der
Automatisierungskomponente 1 verbunden. Der Benutzer kann
nun optional oder standardmäßig mittels
einer Verschlüsselungseinheit 11 und
seines privaten Schlüssels 13 Handlungen
auf der Automatisierungskomponente 1 vornehmen, wobei er
zur Entschlüsselung
der Daten auf der Automatisierungskomponente 1 auch einen öffentlichen
Schlüssel 15 zur
Verfügung stellt.
-
Die
Entschlüsselung
der übermittelten
Daten auf der Automatisierungskomponente 1 übernimmt eine
Entschlüsselungseinheit 23.
Zur Überprüfung der
Autorisierung des Benutzers ist eine Verifizierungseinheit 21 vorgesehen,
welche die entschlüsselten übermittelten
Daten sowie die Anlagenidentifikationsdaten 19 erhält. Bei
einer positiven Autorisierungsprüfung
wird eine Freigabefunktion 25 der Automatisierungskomponente 1 ausgelöst und die
vom Benutzer beabsichtigten Handlungen auf der Automatisierungskomponente 1 zugelassen.
Dabei kann der Benutzer die Handlungen digital mittels einer digitalen
Signierfunktion 37 unterschreiben und somit eindeutig und
verbindlich seiner Person zuordnen. Ein von der Autorisierungseinheit 3 umfasstes
Budgetkonto 39 enthält
Lizenzpunkte, um gegebenenfalls gebührenpflichtige Handlungen auf
der Automa tisierungskomponente 1, wie beispielsweise das
Aktivieren/Freischalten einer Softwarefunktion oder Servicemaßnahme zu
vergüten.
-
2 entspricht
im Wesentlichen der 1, wobei hier jedoch zusätzlich zum
Engineeringsystem 17, das für das Einlesen, Schreiben und
Weiterleiten der verschlüsselten
Daten auf der Autorisierungseinheit 3 verantwortlich ist,
ein Autorisierungs-/Lizenz-Server 27 vorhanden ist. Der
Autorisierungs-/Lizenz-Server enthält eine Datenbank 29, welche
die privaten 13 und öffentlichen
Schlüssel 15 aller
Benutzer, sowie die zugehörigen
Zugriffsrechte enthält.
Daher ist es in diesem Fall nicht erforderlich, dass die Zugriffsrechte
direkt auf der Autorisierungskomponente selbst gespeichert sind.
-
Zur
Autorisierung derartiger Handlungen ist eine Autorisierungsanbindung 33 vorgesehen,
welche das Engineeringsystem, welches die Autorisierungseinheit
ausliest, mit dem Autorisierungs-/Lizenzserver 27 und diesen
mit der Autorisierungskomponente 1 verbindet.
-
Bei
dieser Ausführungsform
geschieht die Verbindung der Autorisierungseinheit 3 mit
der Automatisierungskomponente 1 über das Engineeringsystem 17,
welches mit einer Anzahl an Automatisierungskomponenten verbunden
sein kann. Somit kann an einer zentralen Stelle die Verbindung der
Autorisierungseinheit 3 mit einer Anzahl von Automatisierungskomponenten 1 realisiert
werden. Der Autorisierungs-/Lizenzserver 27 ist spezialisiert
auf die Überprüfung, Verwaltung,
Abrechnung und Freigabe der Zugriffsrechte.
-
Schließlich zeigt 3 ein
entsprechendes Verfahren, bei welchem jedoch kein Engineeringsystem
und kein Autorisierungs-/Lizenzserver vorgesehen ist. Dies ist besonders
vorteilhaft bei weniger komplexen Automatisierungskomponenten, wie
beispielsweise einfacheren Frequenzumrichtern. Um eine Verbindung
mit der Autorisierungseinheit 3 herzustellen, ist eine
RFID-Schreib-/Leseeinheit vorgesehen, um über eine Distanz von bevorzugt
wenigen Zentimetern eine drahtlose Verbindung zur Autorisierungseinheit 3 herzustellen
(near field communication).
-
Die
verschiedenen Ausführungen
der Erfindung haben die folgenden Elemente alternativ oder in Kombination
gemeinsam:
- – Eine personenbezogene Autorisierungseinheit (beispielsweise
eine SmartCard) wird zur Autorisierung von beispielsweise Inbetriebnahme-
und Wartungshandlungen an der Automatisierungskomponente, beispielsweise
einem Antriebsregler oder Frequenzumrichter verwendet.
- – Auf
der Autorisierungseinheit sind Informationen hinterlegt, die ihren
Besitzer identifizieren und festlegen, auf welche Anlagen oder Komponenten er
in einem bestimmten Zeitraum zugreifen kann (digitale Ausweisfunktion
der Autorisierungseinheit).
- – Alternativ
können
diese Informationen auf einem zentralen Autorisierungs-/Lizenzserver
abgelegt werden, der online mit den Automatisierungskomponenten
verbunden ist. In diesem Fall (siehe z. B. 2) dient
die SmartCard zur Identifizierung gegenüber dem Lizenzserver und der
Automatisierungskomponente.
- – Es
können
mehrere, verschiedene Zugriffsschlüssel hinterlegt werden, die
logisch kombinierbar sind, um aus den Einzelzugriffsrechten die sich
daraus ergebenden Gesamtzugriffsrechte abzuleiten.
- – Es
werden insbesondere bei Antriebsreglern und Frequenzumrichtern asymmetrische
Verschlüsselungsverfahren
mit öffentlichen
und privaten Schlüsseln
eingesetzt, so dass die Autorisierungs- und Verschlüsselungsverfahren
auch über
unsichere Netzwerke abgewickelt werden können, z. B. für Fern-Inbetriebnahme
und Diagnose oder Wartung.
- – Auf
der Autorisierungseinheit ist ein Lizenzpunktekonto beispielsweise
für Support-Dienstleistungen
vorhanden. Von diesem Budgetkonto wird bei Zugriffen z. B. über das
Intranet eine Vergütung abgebucht.
- – Neben
den Parameterwerten und/oder Projektierungsinformationen werden
eine digitale Signatur des Inbetriebsetzers, eine Seriennummer der Komponente
und ein Erstellungsdatum der auf der Automatisierungskomponente
vorgenommenen Handlungen durch einen Algorithmus in einen Global
Unique Identifier (GUID) umgerechnet, was bevorzugt auf der Automatisierungskomponente
selbst geschieht. Hierdurch wird eine digitale Unterschriftsfunktion
der Autorisierungseinheit realisiert. Der GUID wird mit den Parameterwerten
und/oder Projektierungsinformationen sowohl auf der Automatisierungskomponente
als auch auf einem gegebenenfalls vorhandenen Engineeringsystem
bzw. einem zentralen Verwaltungsrechner für die Ablage der Projektinformationen
abgespeichert; das kann ein zentraler Verwaltungsrechner für die Ablage
der Projektinformationen sein. So ist eine praktisch lückenlose Protokollierung
von Änderungen
realisiert, und die Integrität
der Anlagendaten kann nachgewiesen werden.