DE102011081804A1 - Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät einer Automatisierungsanlage - Google Patents
Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät einer Automatisierungsanlage Download PDFInfo
- Publication number
- DE102011081804A1 DE102011081804A1 DE102011081804A DE102011081804A DE102011081804A1 DE 102011081804 A1 DE102011081804 A1 DE 102011081804A1 DE 102011081804 A DE102011081804 A DE 102011081804A DE 102011081804 A DE102011081804 A DE 102011081804A DE 102011081804 A1 DE102011081804 A1 DE 102011081804A1
- Authority
- DE
- Germany
- Prior art keywords
- automation
- operator data
- specific operator
- data
- programmable controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Automation & Control Theory (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Programmable Controllers (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät (2) einer Automatisierungsanlage (1), welches sich mittels mindestens eines Authentisierungs-Credentials gegenüber einem Authentisierungsserver (7) der Automatisierungsanlage (1) authentisiert, wobei bei Vorhandensein aktueller gerätespezifischer Betreiberdaten des Anlagenbetreibers der Automatisierungsanlage (1) für das Automatisierungsgerät (2) diese aktuellen gerätespezifischen Betreiberdaten an das Authentisierungs-Credential des Authentisierungsgerätes (2) gebunden werden.
Description
- Die Erfindung betrifft ein Verfahren und ein System zum Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät einer Automatisierungsanlage, insbesondere ein Verfahren und ein System zum Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungssteuergerät, insbesondere ein SPS-Steuergerät oder ein Feldgerät, das an einen Feldbus angeschlossen ist.
- Automatisierungsgeräte müssen konfiguriert werden, bevor sie im Zusammenspiel mit anderen Automatisierungsgeräten in einer Automatisierungsanlage genutzt werden können. In herkömmlichen Automatisierungsanlagen bzw. Automatisierungssystemen wird daher eine Parametrisierung der Automatisierungsgeräte vor ihrem eigentlichen Einsatz durchgeführt. Diese Parametrisierung kann allgemeine Konfigurationsdaten enthalten, beispielsweise eine IP-Adresse oder auch einsatzspezifische Konfigurationsdaten, beispielsweise Schaltzeiten des Automatisierungsgerätes. Weiterhin ist es möglich, im Betrieb eine Rekonfiguration der Automatisierungsgeräte durchzuführen. Da Sicherheit gegenüber Manipulationen mehr und mehr zum integralen Bestandteil derartiger Automatisierungsgeräte wird, werden zunehmend Automatisierungsgeräte mit Sicherheitsmerkmalen bzw. Authentisierungs-Credentials ausgeliefert. Bei herkömmlichen Automatisierungsanlagen werden gerätespezifische Betreiberdaten eines Anlagenbetreibers der Automatisierungsanlage den Automatisierungsgeräten ungeschützt bereitgestellt, so dass für Dritte eine Manipulation dieser Daten möglich ist, sofern sie Zugang zu der Automatisierungsanlage erlangen.
- Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren und ein System zum sicheren Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät einer Automatisierungsanlage zu schaffen, bei denen Dritte keine Möglichkeit zur Manipulation von gerätespezifischen Betreiberdaten des Anlagenbetreibers der Automatisierungsanlage haben, selbst wenn sie Zugang zu der Automatisierungsanlage erlangen.
- Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den im Patentanspruch 1 angegebenen Merkmalen gelöst.
- Die Erfindung schafft demnach ein Verfahren zum Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät einer Automatisierungsanlage, welches sich mittels mindestens eines Authentisierungs-Credentials gegenüber einem Authentisierungsserver der Automatisierungsanlage authentisiert,
wobei bei Vorhandensein aktueller gerätespezifischer Betreiberdaten des Anlagenbetreibers der Automatisierungsanlage für das Automatisierungsgerät diese aktuellen gerätespezifischen Betreiberdaten an das Authentisierungs-Credential des Automatisierungsgerätes gebunden werden. - Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird das Authentisierungs-Credential durch ein Geräte-Zertifikat des Automatisierungsgerätes gebildet.
- Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens weisen die aktuellen gerätespezifischen Betreiberdaten für das Automatisierungsgerät Konfigurationsdaten zur Konfigurationen des Automatisierungsgerätes auf.
- Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens weisen die aktuellen gerätespezifischen Betreiberdaten für das Automatisierungsgerät Firmwaredaten für das Automatisierungsgerät auf.
- Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens weisen die aktuellen gerätespezifischen Betreiberdaten für das Automatisierungsgerät Parameterdaten von Geräten auf, die durch das Automatisierungsgerät gesteuert werden.
- Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die aktuellen gerätespezifischen Betreiberdaten in ein Attributzertifikat für das Geräte-Zertifikat des Automatisierungsgerätes eingeschrieben, um die aktuellen gerätespezifischen Betreiberdaten an das Gerätezertifikat des Automatisierungsgerätes zu binden.
- Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird eine Adresse zur Adressierung der aktuellen gerätespezifischen Betreiberdaten in das Gerätezertifikat des Automatisierungsgerätes eingeschrieben, um die aktuellen gerätespezifischen Betreiberdaten an das Gerätezertifikat des Automatisierungsgerätes zu binden.
- Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird die Adresse zur Adressierung der aktuellen gerätespezifischen Betreiberdaten anhand einer gerätespezifischen Seriennummer, die in dem Gerätezertifikat des Automatisierungsgerätes enthalten ist, ermittelt.
- Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die aktuellen gerätespezifischen Betreiberdaten als kodierte Attributdaten in das Gerätezertifikat des Automatisierungsgerätes eingeschrieben, um die aktuellen gerätespezifischen Betreiberdaten an das Gerätezertifikat des Automatisierungsgerätes zu binden.
- Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens fragt das Automatisierungsgerät in regelmäßigen Zeitabständen oder bei Auftreten eines Ereignisses an, ob aktuelle gerätespezifische Betreiberdaten des Anlagenbetreibers für das Automatisierungsgerät vorhanden sind.
- Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt das Binden der aktuellen gerätespezifischen Betreiberdaten an das Authentisierungs-Credential durch einen Policy Enforcement Server der Automatisierungsanlage.
- Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens erhält der Policy Enforcement Server die aktuellen gerätespezifischen Betreiberdaten von einem Konfigurationsserver.
- Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens bindet der Policy Enforcement Server die aktuellen gerätespezifischen Betreiberdaten an das Authentisierungs-Credential, nachdem der Authentisierungsserver dem Policy Enforcement Server die erfolgreiche Authentisierung des Automatisierungsgerätes gegenüber dem Authentisierungsservers gemeldet hat.
- Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die aktuellen gerätespezifischen Betreiberdaten digital signiert.
- Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens weist das mindestens eine Authentisierungs-Credential ein Gerätezertifikat und/oder einen kryptographischen Schlüssel und/oder ein kryptographisches Schlüsselpaar auf.
- Die Erfindung schafft ferner ein System zum Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät einer Automatisierungsanlage mit den in Patentanspruch 14 angegebenen Merkmalen.
- Die Erfindung schafft demnach ein System zum Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät einer Automatisierungsanlage, welches sich mittels mindestens eines Authentisierungs-Credentials gegenüber einem Authentisierungsserver der Automatisierungsanlage authentisiert,
wobei bei Vorhandensein aktueller gerätespezifischer Betreiberdaten des Anlagenbetreibers der Automatisierungsanlage für das Automatisierungsgerät diese aktuellen gerätespezifischen Betreiberdaten an das Authentisierungs-Credential des Automatisierungsgerätes durch einen Policy Enforcement Server der Automatisierungsanlage gebunden werden. - Bei einer möglichen Ausführungsform des erfindungsgemäßen Systems erhält der Policy Enforcement Server die aktuellen gerätespezifischen Betreiberdaten von einem Konfigurationsserver und bindet diese an das Authentisierungs-Credential des Automatisierungsgerätes, sobald dem Policy Enforcement Server die erfolgreiche Authentisierung des Automatisierungsgerätes gegenüber dem Authentisierungsserver der Automatisierungsanlage gemeldet wird.
- Bei einer möglichen Ausführungsform des erfindungsgemäßen Systems weist das Automatisierungsgerät ein Automatisierungssteuergerät, ein SPS-Steuergerät oder ein Feldgerät auf.
- Im Weiteren werden mögliche Ausführungsformen des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Systems zum Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät einer Automatisierungsanlage unter Bezugnahme auf die beigefügten Figuren detailliert beschrieben.
- Es zeigen:
-
1 ein Blockschaubild zur Verdeutlichung eines möglichen Ausführungsbeispiels eines Systems zum Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät einer Automatisierungsanlage gemäß der Erfindung; -
2 ein Beispiel für ein bei dem erfindungsgemäßen Verfahren und dem erfindungsgemäßen System in einem Ausführungsbeispiel verwendeten Zertifikates; -
3 ein weiteres Beispiel für ein bei dem erfindungsgemäßen Verfahren und dem erfindungsgemäßen System verwendbaren Zertifikates. - Im Weiteren wird das erfindungsgemäße System und das erfindungsgemäße Verfahren zum Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät einer Automatisierungsanlage anhand eines Ausführungsbeispiels beschrieben.
- Wie man aus
1 erkennen kann, weist eine Automatisierungsanlage1 in dem dargestellten Ausführungsbeispiel mindestens ein Automatisierungsgerät2 auf, das beispielsweise über einen Feldbus3 mit weiteren Geräten4-1 ,4-2 verbunden sein kann. Bei den weiteren Geräten4-1 ,4-2 kann es sich um Automatisierungsgeräte, insbesondere Feldgeräte, handeln. Bei dem Automatisierungsgerät2 handelt es sich bei einer möglichen Ausführungsform um ein Automatisierungssteuergerät zur Ansteuerung weiterer Geräte4-1 ,4-2 über einen Bus, insbesondere einen Feldbus3 . Weiterhin kann es sich bei dem Automatisierungsgerät2 um ein SPS-Steuergerät oder um ein Feldgerät handeln. Bei dem in1 dargestellten Ausführungsbeispiel ist das Automatisierungsgerät2 über ein Network Access Switch bzw. Netzzugangsswitch5 mit einem Datennetzwerk6 verbunden. An diesem Datennetzwerk6 ist ein Authentisierungsserver7 und ein Policy Enforcement Server8 angeschlossen. Außerdem kann der Policy Enforcement Server8 über das Netzwerk6 oder direkt mit einem Konfigurationsserver9 in Verbindung stehen. Das Automatisierungsgerät2 verfügt über mindestens ein Authentisierungs-Credential, mit dessen Hilfe sich das Automatisierungsgerät gegenüber dem Authentisierungsserver7 der Automatisierungsanlage1 authentisieren kann. Bei diesem Authentisierungs-Credential kann es sich beispielsweise um ein Gerätezertifikat Z des Automatisierungsgerätes2 handeln. Bei Vorhandensein aktueller gerätespezifischer Betreiberdaten des Anlagenbetreibers der Automatisierungsanlage1 für ein Automatisierungsgerät2 werden diese aktuellen gerätespezifischen Betreiberdaten an das Authentisierungs-Credential des Automatisierungsgerätes2 gebunden. Dieses Binden der aktuellen gerätespezifischen Betreiberdaten an das Authentisierungs-Credential kann bei einer möglichen Ausführungsform durch den in1 dargestellten Policy Enforcement Server8 der Automatisierungsanlage1 erfolgen. Der Policy Enforcement Server8 bindet die aktuellen gerätespezifischen Betreiberdaten, sobald dem Policy Enforcement Server8 eine erfolgreiche Authentisierung des Automatisierungsgerätes5 gegenüber dem Authentisierungsserver7 der Automatisierungsanlage1 gemeldet wird. Bei einer möglichen Ausführungsform erhält der Policy Enforcement Server8 die aktuellen gerätespezifischen Betreiberdaten von dem Konfigurationsserver9 . - Die aktuellen gerätespezifischen Betreiberdaten für das Automatisierungsgerät
2 weisen bei einer möglichen Ausführungsform Konfigurationsdaten zur Konfiguration des Automatisierungsgerätes2 auf. Weiterhin können die aktuellen gerätespezifischen Betreiberdaten für das Automatisierungsgerät2 auch Firmwaredaten für das Automatisierungsgerät2 umfassen. Weiterhin ist es möglich, dass die aktuellen gerätespezifischen Betreiberdaten für das Automatisierungsgerät2 Parameterdaten von Geräten aufweisen, die durch das Automatisierungsgerät2 gesteuert werden. Beispielsweise umfassen diese Parameterdaten Daten der in1 dargestellten Geräte4-1 ,4-2 , die über den Feldbus3 mit dem Automatisierungsgerät2 verbunden sind und gegebenenfalls durch das Automatisierungsgerät2 gesteuert werden. Diese aktuellen gerätespezifischen Betreiberdaten können beispielsweise durch den in1 dargestellten Konfigurationsserver9 bereitgestellt werden. Das Binden der aktuellen gerätespezifischen Betreiberdaten an das Authentisierungs-Credential des Automatisierungsgerätes2 erfolgt bei einer möglichen Ausführungsform durch den in1 dargestellten Policy Enforcement Server8 der Automatisierungsanlage1 . In einer alternativen Ausführungsform kann das Binden der gerätespezifischen Betreiberdaten des Anlagenbetreibers an das Authentisierungs-Credential auch direkt durch den Authentisierungsserver7 erfolgen. Bei dem Authentisierungsserver7 kann es sich beispielsweise um einen AAA-Server handeln. Bei einer möglichen Ausführungsform ist der Authentisierungsserver7 ein Radiusserver zur Durchführung der Authentisierung des Automatisierungsgerätes2 . Bei einer Ausführungsform erhält der Authentisierungsserver7 die gerätespezifischen Betreiberdaten beispielsweise direkt von einem Konfigurationsserver9 . Bei einer möglichen Ausführungsform werden die aktuellen gerätespezifischen Betreiberdaten digital signiert. - In einer möglichen Ausführungsform wird das verwendete Authentisierungs-Credential durch ein Gerätezertifikat Z des Automatisierungsgerätes
2 gebildet. Um die aktuellen gerätespezifischen Betreiberdaten an das Gerätezertifikat Z des Automatisierungsgerätes2 zu binden, werden bei einer möglichen Ausführungsform die aktuellen gerätespezifischen Betreiberdaten in ein Attributzertifikat für das Gerätezertifikat Z des Automatisierungsgerätes2 eingeschrieben. Bei einer weiteren alternativen Ausführungsform wird zum Binden der gerätespezifischen Betreiberdaten an das Gerätezertifikat Z des Automatisierungsgerätes2 eine Adresse zur Adressierung der aktuellen gerätespezifischen Betreiberdaten in das Gerätezertifikat Z des Automatisierungsgerätes2 eingeschrieben. Bei einer möglichen Variante wird dabei die Adresse zur Adressierung der aktuellen gerätespezifischen Betreiberdaten anhand einer gerätespezifischen Seriennummer ermittelt, die in dem Gerätezertifikat Z des Automatisierungsgerätes2 enthalten ist. - Bei einer möglichen Ausführungsform werden die aktuellen gerätespezifischen Betreiberdaten als kodierte Attributdaten in das Gerätezertifikat Z des Automatisierungsgerätes
2 eingeschrieben, um die aktuellen gerätespezifischen Betreiberdaten an das Gerätezertifikat Z des Automatisierungsgerätes2 zu binden. - Bei einer möglichen Ausführungsform fragt das Automatisierungsgerät
2 in regelmäßigen Zeitabständen an, ob aktuelle gerätespezifische Betreiberdaten des Anlagenbetreibers für das Automatisierungsgerät2 vorhanden sind, welche beispielsweise von dem Konfigurationsserver9 zur Verfügung gestellt werden. Bei einer weiteren möglichen Ausführungsform fragt das Automatisierungsgerät2 bei Auftreten eines bestimmten Ereignisses an, ob aktuelle gerätespezifische Betreiberdaten des Anlagenbetreibers für das Automatisierungsgerät2 vorhanden sind. Bei einer weiteren möglichen Ausführungsform wird das Authentisierungs-Credential durch einen kryptographischen Schlüssel oder ein kryptographisches Schlüsselpaar gebildet. - Bei dem erfindungsgemäßen System wird bei einer möglichen Ausführungsform ein Zertifikat Z, insbesondere ein Gerätezertifikat des Automatisierungsgerätes
2 , zum Transport von gerätespezifischen Betreiberdaten des Betreibers der Automatisierungsanlage1 , insbesondere zum Transport von Konfigurationsdaten, benutzt. Weiterhin können die Betreiberdaten bei einer möglichen Ausführungsform ein gesamtes Geräteimage bzw. eine Firmware für eingebettete Geräte bzw. Teile des Betriebssystems, insbesondere Bibliotheken oder Applikationen bzw. Teile davon, enthalten. Diese Daten können beispielsweise auf die generellen Fähigkeiten der Gerätekasse oder auch des spezifischen Gerätestyps des Automatisierungsgerätes2 abgestimmt sein, wobei sie bei einer möglichen Ausführungsform einen speziellen Softwareversionsstand des bestimmten Gerätestyps des Automatisierungsgerätes2 berücksichtigen können. Auf diese Weise kann auch das Nachladen von Sicherheitspatches unterstützt werden, wenn Sicherheitslücken in einer speziellen Systemsoftwareversion behoben werden sollen. Die Dauer der Betreiberdaten bzw. Konfigurationsdaten kann von der Gültigkeitsdauer bzw. Lebenszeit des Zertifikates Z abweichen. Diese Tatsache kann bei der Neuerstellung des Zertifikates berücksichtigt werden, insbesondere, wenn die Betreiberdaten bzw. Konfigurationsdaten direkt in das Zertifikat kodiert werden. Weiterhin ist es möglich, dass eine Selektion der Betreiberdaten bzw. Konfigurationsdaten speziell auf einen bestimmten physikalischen Standort des Automatisierungsgerätes2 oder seinen logischen Standort innerhalb der Automatisierungsanlage1 abgestimmt erfolgt. Dies kann bei einer möglichen Ausführungsform durch eine Verbindung des Authentisierungsservers7 mit einem Konfigurationsserver9 erreicht werden, der auch standortabhängige Planungsdaten enthalten kann. - Bei einer möglichen Ausführungsform werden die Betreiberdaten direkt in ein Zertifikat Z, insbesondere ein Gerätezertifikat, einkodiert. Dabei kann die Größe des Zertifikates anwachsen, so dass der notwendige Speicher hierfür zur Verfügung stehen muss. Bei einer weiteren möglichen Ausführungsvariante weist das Zertifikat Z eine gerätespezifische oder serienspezifische Seriennummer auf, die zusammen mit dem Aussteller und der Seriennummer des Zertifikates Z ausreichend Informationen bietet, so dass ein Server die möglichen Betreiberdaten bzw. Konfigurationsdaten vom Betreiber der Automatisierungsanlage
1 abfragen kann. Bei einer weiteren Ausführungsform enthält das Zertifikat Z einen Link auf eine Webseite des Anlagenbetreibers in der mögliche gerätespezifische Betreiberdaten bzw. Konfigurationsdaten in Form einer Device Configuration Database abgelegt sein können. Bei einer weiteren Ausführungsform sind die von dem Betreiber zur Verfügung gestellten Betreiberdaten digital signiert, um die Integrität dieser Daten zu sichern, so dass sie für eine Automatisierung in der Planung von Anlagen nutzbar sind. Bei einer möglichen Ausführungsvariante werden die gerätespezifischen Betreiberdaten in ein Attributzertifikat für ein Gerätezertifikat des Automatisierungsgerätes2 eingeschrieben. Bei einer Ausführungsvariante kann man die Logotype Extension nutzen, um Geräte oder serienspezifische Informationen als 1D- oder 2D-Barcode zu kodieren. Bei Verwendung eines Attributzertifikats muss im Falle einer Änderung nur das Attributzertifikat erneuert werden, wobei dies zu einer vereinfachten Handhabung führt, da hierbei keine geheimen kryptographischen Schlüssel übertragen werden müssen. Die Abfrage der Betreiberdaten aus einer Konfigurationsdatenband des Konfigurationsservers9 erfolgt bei einer möglichen Ausführungsvariante online. - Bei einer möglichen Ausführungsvariante sind Betreiberdaten, beispielsweise Konfigurationsdaten, direkt in einem Zertifikat Z kodiert.
-
2 zeigt ein Beispiel für ein Zertifikat Z, bei dem Konfigurationsdaten als Attribut direkt in einem Gerätezertifikat Z eines Automatisierungsgerätes2 kodiert sind. Spezifische Konfigurationsdaten Config werden hierbei als weitere Informationen in ein Gerätezertifikat Z des Herstellers eingefügt. Die Konfigurationsinformationen können beispielsweise Adressinformationen umfassen, sowie gerätespezifische Einstellungen, beispielsweise eine time-out-Zeit, für den Abbruch einer Verbindung für ein Kommunikationsmodul oder eine vorgegebene Drehzahl für einen durch das Automatisierungsgerät2 angesteuerten Motor. Das Zertifikat Z weist z.B. als Zertifikat-ID eine Seriennummer SN auf. Ferner enthält das Zertifikat Z den Namen N1 desjenigen, für den es ausgestellt ist und den Namen N2 des Ausstellers auf. Ferner gibt das Zertifikat Z eine Zeitangabe ab, ab wann es gültig ist und eine Zeitangabe T2, bis wann es gültig ist. Darüber hinaus weist das Zertifikat Z einen öffentlichen Schlüssel Pk sowie Attribute Att, beispielsweise Attribute Att-A, Att-B auf. Das Zertifikat Z ist bei einer möglichen Ausführungsform mit einer Signatur S signiert. Bei dem in2 dargestellten Zertifikat Z kann es sich beispielsweise um ein erweitertes X.509-Zertifikat handeln. Bei Verwendung eines Zertifikates Z, wie es in2 dargestellt ist, erfolgt das Verfahren zum Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät2 einer Automatisierungsanlage1 , wie sie beispielsweise in1 dargestellt ist, bei einer Ausführungsvariante wie folgt. - Zunächst authentisiert sich das Automatisierungsgerät
2 an dem Automatisierungsserver7 , um Zugang zu dem Netzwerk6 zu erhalten. Bei dem Authentisierungsserver7 kann es sich beispielsweise um einen Radiusserver handeln. Zur Authentisierung wird das betreiberspezifische Authentisierungs-Credential des Automatisierungsgerätes2 verwendet, das dem Authentisierungsserver bekannt ist. Handelt sich bei dem Authentisierungs-Credential um ein Zertifikat, können bei einer möglichen Ausführungsvariante zertifikatsbasierte EAP-Methoden, wie beispielsweise EAP-TLS, verwendet werden. Das Authentisierungs-Credential enthält Konfigurationsdaten des Automatisierungsgerätes2 an dem spezifischen Einsatzort innerhalb der Automatisierungsanlage1 . - Nach erfolgreicher Authentisierung des Automatisierungsgerätes
2 gegenüber dem Authentisierungsserver7 sendet der Authentisierungsserver7 an das Network Access Switch5 eine Mitteilung, dass es das Automatisierungsgerät2 an das Netzwerk6 anbinden darf. Im Nachgang kann eine Adresskonfiguration des Automatisierungsgerätes2 erfolgen. - Der Authentisierungsserver
7 meldet nun die erfolgreiche Authentisierung des Authentisierungsgerätes2 an den Policy Enforcement Server8 . Hierbei wird beispielsweise das Gerätezertifikat Z des Automatisierungsgerätes2 mitgeschickt. - Auf Basis der in dem Gerätezertifikat Z enthaltenen Konfigurationsdaten, verknüpft der Policy Enforcement Server
8 den aktuellen Konfigurationsstatus des Automatisierungsgerätes2 und fordert beim Vorliegen aktuellerer Betreiberdaten diese aktuellen gerätespezifischen Betreiberdaten von dem Konfigurationsserver9 an. - Der Konfigurationsserver
9 kann einen neuen Satz von Konfigurations- bzw. Betreiberdaten entsprechend einem Einsatzplan des Automatisierungsgerätes2 erstellen und diese aktuellen gerätespezifischen Betreiberdaten an den Policy Enforcement Server8 senden. - Der Policy Enforcement Server
8 erstellt basierend auf dem in dem existierenden Gerätezertifikat Z enthaltenen öffentlichen Schlüssel und den aktuellen Betreiberdaten ein neues Gerätezertifikat und übermittelt dieses an den Authentisierungsserver7 . Alternativ kann hierbei auch ein komplettes kryptographisches Schlüsselpaar, welches einen öffentlichen und einen privaten kryptographischen Schlüssel enthält, generiert werden. - Der Policy Enforcement Server
8 übermittelt das aktualisierte Gerätezertifikat Z' und die darin enthaltenen Konfigurations- bzw. Betreiberdaten an das Automatisierungsgerät2 . Das Automatisierungsgerät2 kann sich nunmehr basierend auf den aktualisierten Betreiberdaten bzw. Konfigurationsdaten rekonfigurieren und erneut an dem Netzwerk anmelden. - Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Systems und Verfahrens wird in dem Gerätezertifikat Z ein Konfigurationslink bzw. eine Adresse zur Adressierung der aktuellen gerätespezifischen Betreiberdaten in das Gerätezertifikat des Automatisierungsgerätes
2 eingeschrieben, wie in3 dargestellt. - Bei dieser Ausführungsvariante erfolgt ebenfalls zunächst eine Authentisierung des Automatisierungsgerätes
2 bei dem Authentisierungsserver7 , um Zugang zum Netzwerk zu erhalten. Das Authentisierungs-Credential weist ein Link zu den Betreiberdaten des Automatisierungsgerätes2 auf. Nach erfolgreicher Authentisierung gibt der Authentisierungsserver dem Network Access Switch5 Anweisung, dass es das Automatisierungsgerät2 an das Netzwerk anbinden darf. Der Authentisierungsserver7 meldet anschließend die erfolgreiche Authentisierung des Automatisierungsgerätes2 an den Policy Enforcement Server8 . Hierbei wird das Gerätezertifikat Z des Automatisierungsgerätes2 mit dem darin enthaltenen Link mitgeschickt. Anhand des in dem Gerätezertifikat Z enthaltenen Link auf die Betreiberdaten, überprüft der Policy Enforcement Server8 den aktuellen Konfigurationsstatus des Automatisierungsgerätes2 und schickt bei Bedarf eine Anforderung an den Konfigurationsserver9 , um die aktuellen Betreiberdaten zu erhalten. Der Authentisierungsserver7 kann bei einer möglichen Ausführungsform einen neuen Satz von Betreiberdaten bzw. Konfigurationsparametern in Abhängigkeit des aktuellen Einsatzplanes des Automatisierungsgerätes2 erstellen und die aktuellen gerätespezifischen Betreiberdaten an den Police Enforcement Server8 senden. Der Konfigurationsserver9 hinterlegt den aktuellen Satz von Konfigurationsdaten bzw. Betreiberdaten für das entsprechende Automatisierungsgerät2 entsprechend der in dem Link des Gerätezertifikates Z angegebenen Informationen. Die Konfigurations- bzw. Betreiberdaten können zum Schutz ihrer Integrität signiert werden. Werden die Konfigurationsdaten bzw. Betreiberdaten beispielsweise in XML kodiert, kann die Signatur als Teil des XML-Files vorgesehen sein. Bei einer alternativen Ausführungsform kann der Link an den Policy Enforcement Server8 übermittelt werden. Bei einer Ausführungsform sind Link und die Betreiberdaten bzw. Gerätekonfigurationsdaten gerätespezifisch. Der Policy Enforcement Server8 übermittelt die aktuellen gerätespezifischen Betreiber- bzw. Konfigurationsdaten an das Automatisierungsgerät2 . Alternativ kann der Policy Enforcement Server8 auch das Link zu den Konfigurations- bzw. Betreiberdaten an das Automatisierungsgerät2 übermitteln. Erfolgt ein Update der Konfigurations- bzw. Betreiberdaten, kann das Automatisierungsgerät2 dies abschließend an den Policy Enforcement Server8 der Automatisierungsanlage1 melden. - Das Ausführen von sicherheitsrelevanten Aktionen während der Nutzung des Automatisierungsgerätes
2 in einem Netzwerk sichert die generelle Funktionalität des Automatisierungsgerätes2 gegen Missbrauch über das verbundene Kommunikationsnetz. Im erfindungsgemäßen System ist es möglich, dass Automatisierungsgeräte2 entweder autark konfiguriert werden können oder über eine zentrale Infrastruktur, die abhängig von einem hinzugefügten Automatisierungsgerät2 die Systemkonfiguration adaptieren kann. Durch die Einbettung in ein Gerätezertifikat Z werden die Konfigurationsinformationen bzw. Betreiberdaten kryptographisch gesichert. Die Bindung von Betreiber- bzw. Konfigurationsinformationen an einen Gerätetyp oder an ein spezifisches Automatisierungsgerät2 kann darüber hinaus auch einen Prozess eines automatisierten Inventory Managements sowie eines Policy Enforcements der Automatisierungsanlage1 unterstützen. Bei einer möglichen Ausführungsform werden die Konfigurationsdaten bzw. Betreiberdaten auch als Entscheidungskriterium genutzt, ob oder in welchem Subnetz das Automatisierungsgerät2 geschaltet wird.
Claims (16)
- Verfahren zum Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät (
2 ) einer Automatisierungsanlage (1 ), welches sich mittels mindestens eines Authentisierungs-Credentials gegenüber einem Authentisierungsserver (7 ) der Automatisierungsanlage (1 ) authentisiert, wobei bei Vorhandensein aktueller gerätespezifischer Betreiberdaten des Anlagenbetreibers der Automatisierungsanlage (1 ) für das Automatisierungsgerät (2 ) diese aktuellen gerätespezifischen Betreiberdaten an das Authentisierungs-Credential des Authentisierungsgerätes (2 ) gebunden werden. - Verfahren nach Anspruch 1, wobei das Authentisierungs-Credential durch ein Geräte-Zertifikat (Z) des Automatisierungsgerätes (
2 ) gebildet wird. - Verfahren nach Anspruch 1 oder 2, wobei die aktuellen gerätespezifischen Betreiberdaten für das Automatisierungsgerät (
2 ) Konfigurationsdaten zur Konfigurationen des Automatisierungsgerätes (2 ), Firmwaredaten für das Automatisierungsgerät (2 ), und/oder Parameterdaten von Geräten (4 ), die durch das Automatisierungsgerät (2 ) gesteuert werden, aufweisen. - Verfahren nach einem der vorangehenden Ansprüche 2, 3, wobei die aktuellen gerätespezifischen Betreiberdaten in ein Attributzertifikat für das Geräte-Zertifikat (Z) des Automatisierungsgerätes (
2 ) eingeschrieben werden, um die aktuellen gerätespezifischen Betreiberdaten an das Gerätezertifikat (Z) des Automatisierungsgerätes (2 ) zu binden. - Verfahren nach einem der vorangehenden Ansprüche 2, 3, wobei eine Adresse zur Adressierung der aktuellen gerätespezifischen Betreiberdaten in das Gerätezertifikat (Z) des Automatisierungsgerätes (
2 ) eingeschrieben wird, um die aktuellen gerätespezifischen Betreiberdaten an das Gerätezertifikat (Z) des Automatisierungsgerätes (2 ) zu binden. - Verfahren nach Anspruch 5, wobei die Adresse zur Adressierung der aktuellen gerätespezifischen Betreiberdaten anhand einer gerätespezifischen Seriennummer, die in dem Gerätezertifikat (Z) des Automatisierungsgerätes (
2 ) enthalten ist, ermittelt wird. - Verfahren nach einem der vorangehenden Ansprüche 2, 3, wobei die aktuellen gerätespezifischen Betreiberdaten als kodierte Attributdaten in das Gerätezertifikat (Z) des Automatisierungsgerätes (
2 ) eingeschrieben werden, um die aktuellen gerätespezifischen Betreiberdaten an das Gerätezertifikat (Z) des Automatisierungsgerätes (2 ) zu binden. - Verfahren nach einem der vorangehenden Ansprüche 1–7, wobei das Automatisierungsgerät (
2 ) in regelmäßigen Zeitabständen oder bei Auftreten eines Ereignisses anfragt, ob aktuelle gerätespezifische Betreiberdaten des Anlagenbetreibers für das Automatisierungsgerät (2 ) vorhanden sind. - Verfahren nach einem der vorangehenden Ansprüche 1–8, wobei das Binden der aktuellen gerätespezifischen Betreiberdaten an das Authentisierungs-Credential durch einen Policy Enforcement Server (
8 ) der Automatisierungsanlage (1 ) erfolgt. - Verfahren nach Anspruch 9, wobei der Policy Enforcement Server (
8 ) die aktuellen gerätespezifischen Betreiberdaten von einem Konfigurationsserver (9 ) erhält. - Verfahren nach Anspruch 9 oder 10, wobei der Policy Enforcement Server (
8 ) die aktuellen gerätespezifischen Betreiberdaten an das Authentisierungs-Credential bindet, nachdem der Authentisierungsserver (7 ) dem Policy Enforcement Server (8 ) die erfolgreiche Authentisierung des Automatisierungsgerätes (2 ) gegenüber dem Authentisierungsservers (7 ) gemeldet hat. - Verfahren nach einem der vorangehenden Ansprüche 1–11, wobei die aktuellen gerätespezifischen Betreiberdaten digital signiert werden.
- Verfahren nach einem der vorangehenden Ansprüche 1–12, wobei das mindestens eine Authentisierungs-Credential ein Gerätezertifikat und/oder einen kryptographischen Schlüssel und/oder ein kryptographisches Schlüsselpaar aufweist.
- System zu Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät (
2 ) einer Automatisierungsanlage (1 ), welches sich mittels mindestens eines Authentisierungs-Credentials gegenüber einem Authentisierungsserver (7 ) der Automatisierungsanlage (1 ) authentisiert, wobei bei Vorhandensein aktueller gerätespezifischer Betreiberdaten des Anlagenbetreibers der Automatisierungsanlage (1 ) für das Automatisierungsgerät (2 ) diese aktuellen gerätespezifischen Betreiberdaten an das Authentisierungs-Credential des Automatisierungsgerätes (2 ) durch einen Policy Enforcement Server (8 ) der Automatisierungsanlage (1 ) gebunden werden. - System nach Anspruch 14, wobei der Policy Enforcement Server (
8 ) die aktuellen gerätespezifischen Betreiberdaten von einem Konfigurationsserver (9 ) erhält und an das Authentisierungs-Credential des Automatisierungsgerätes (2 ) bindet, sobald dem Policy Enforcement Server (8 ) die erfolgreiche Authentisierung des Automatisierungsgerätes (2 ) gegenüber dem Authentisierungsserver (7 ) der Automatisierungsanlage (1 ) gemeldet wird. - System nach Anspruch 14 oder 15, wobei das Automatisierungsgerät (
2 ) ein Automatisierungssteuergerät, ein SPS-Steuergerät oder ein Feldgerät aufweist.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102011081804.9A DE102011081804B4 (de) | 2011-08-30 | 2011-08-30 | Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten, welche an ein Authentisierungs-Credential gebunden werden, für ein Automatisierungsgerät einer Automatisierungsanlage |
EP12753428.7A EP2705410B1 (de) | 2011-08-30 | 2012-08-08 | Verfahren und system zum bereitstellen von gerätespezifischen betreiberdaten für ein automatisierungsgerät einer automatisierungsanlage |
CN201280041023.6A CN103748526B (zh) | 2011-08-30 | 2012-08-08 | 提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统 |
PCT/EP2012/065489 WO2013029940A1 (de) | 2011-08-30 | 2012-08-08 | Verfahren und system zum bereitstellen von gerätespezifischen betreiberdaten für ein automatisierungsgerät einer automatisierungsanlage |
US14/237,824 US9544300B2 (en) | 2011-08-30 | 2012-08-08 | Method and system for providing device-specific operator data for an automation device in an automation installation |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102011081804.9A DE102011081804B4 (de) | 2011-08-30 | 2011-08-30 | Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten, welche an ein Authentisierungs-Credential gebunden werden, für ein Automatisierungsgerät einer Automatisierungsanlage |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102011081804A1 true DE102011081804A1 (de) | 2013-02-28 |
DE102011081804B4 DE102011081804B4 (de) | 2015-02-12 |
Family
ID=46763036
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102011081804.9A Expired - Fee Related DE102011081804B4 (de) | 2011-08-30 | 2011-08-30 | Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten, welche an ein Authentisierungs-Credential gebunden werden, für ein Automatisierungsgerät einer Automatisierungsanlage |
Country Status (5)
Country | Link |
---|---|
US (1) | US9544300B2 (de) |
EP (1) | EP2705410B1 (de) |
CN (1) | CN103748526B (de) |
DE (1) | DE102011081804B4 (de) |
WO (1) | WO2013029940A1 (de) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102013205051A1 (de) | 2013-03-21 | 2014-09-25 | Siemens Aktiengesellschaft | Aktualisieren eines digitalen Geräte-Zertifikats eines Automatisierungsgeräts |
EP2919414A1 (de) * | 2014-03-10 | 2015-09-16 | Siemens Aktiengesellschaft | Verfahren zur Authentifizierung einer Windturbinensteuerung |
DE102014225418A1 (de) | 2014-12-10 | 2016-06-16 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zur Überwachung einer Zertifizierungsstelle |
DE102015213412A1 (de) * | 2015-07-16 | 2017-01-19 | Siemens Aktiengesellschaft | Verfahren und Anordnung zum sicheren Austausch von Konfigurationsdaten einer Vorrichtung |
DE102015214267A1 (de) * | 2015-07-28 | 2017-02-02 | Siemens Aktiengesellschaft | Verfahren und System zum Erzeugen eines sicheren Kommunikationskanals für Endgeräte |
EP3402152A1 (de) * | 2017-05-08 | 2018-11-14 | Siemens Aktiengesellschaft | Anlagenspezifisches, automatisiertes zertifikatsmanagement |
WO2019034509A1 (de) * | 2017-08-17 | 2019-02-21 | Siemens Mobility GmbH | Verfahren zum sicheren ersetzen eines bereits in ein gerät eingebrachten ersten herstellerzertifikats |
EP3703312A1 (de) * | 2019-02-26 | 2020-09-02 | Siemens Aktiengesellschaft | In einem anlagenplanungswerkzeug integriertes zertifikatsmanagement |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2472451A1 (de) | 2010-12-30 | 2012-07-04 | Philip Morris Products S.A. | Verfahren und Vorrichtung zur Markierung von Erzeugnissen |
US9552485B1 (en) * | 2014-10-21 | 2017-01-24 | Amazon Technologies, Inc. | Cryptographic material renewal |
US10367646B1 (en) | 2014-10-21 | 2019-07-30 | Amazon Technologies, Inc. | Cryptographic material distribution and management |
CN104618327B (zh) * | 2014-12-30 | 2018-11-20 | 北京市科学技术情报研究所 | 基于可信操作指令遥控远程自控装置的物联网安全实现方法 |
EP3051469B1 (de) | 2015-01-28 | 2024-05-22 | Inexto Sa | Verfahren und Vorrichtung für Einheiten- und Behälteridentifizierung und Nachverfolgung |
PL3051372T3 (pl) * | 2015-01-31 | 2019-10-31 | Inexto Sa | Zabezpieczona identyfikacja i weryfikacja produktu |
US9961076B2 (en) * | 2015-05-11 | 2018-05-01 | Genesys Telecommunications Laboratoreis, Inc. | System and method for identity authentication |
US20180205543A1 (en) | 2015-08-13 | 2018-07-19 | Inexto Sa | Enhanced obfuscation or randomization for secure product identification and verification |
US10594494B2 (en) | 2015-08-25 | 2020-03-17 | Inexto Sa | Multiple authorization modules for secure production and verification |
EP3341880B1 (de) | 2015-08-25 | 2022-03-30 | Inexto Sa | Verifizierung mit fehlertoleranz für identifikatoren sicherer produkte |
JP6869989B2 (ja) * | 2015-12-31 | 2021-05-12 | イネクスト ソシエテ アノニム | 物理的ラベル特性に基づくセキュア品目識別 |
EP3820105B1 (de) * | 2019-11-11 | 2023-03-15 | Siemens Aktiengesellschaft | Verfahren und system zur sicheren zeitsynchronisation |
US11656864B2 (en) * | 2021-09-22 | 2023-05-23 | International Business Machines Corporation | Automatic application of software updates to container images based on dependencies |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070067512A1 (en) * | 2005-09-19 | 2007-03-22 | Smar Research Corporation | Method, system and software arrangement for processing a device support file for a field device |
DE102010038458A1 (de) * | 2010-07-27 | 2012-02-02 | Endress + Hauser Process Solutions Ag | System zur Bedienung von Feldgeräten in einer Prozessanlage |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6631476B1 (en) * | 1999-12-22 | 2003-10-07 | Rockwell Automation Technologies, Inc. | Safety network for industrial controller providing redundant connections on single media |
US6721900B1 (en) * | 1999-12-22 | 2004-04-13 | Rockwell Automation Technologies, Inc. | Safety network for industrial controller having reduced bandwidth requirements |
DE10152765B4 (de) * | 2001-07-13 | 2015-11-12 | Siemens Aktiengesellschaft | Verfahren zur elektronischen Bereitstellung von Diensten für Maschinen über eine Datenkommunikationsverbindung |
EP1429224A1 (de) * | 2002-12-10 | 2004-06-16 | Texas Instruments Incorporated | Firmware Laufzeit Authentisierung |
CN1930565A (zh) * | 2003-08-13 | 2007-03-14 | 西门子能量及自动化公司 | 用于使用嵌入在电子生产设备中的原地web服务来提供实时生产信息的方法 |
US20050229004A1 (en) * | 2004-03-31 | 2005-10-13 | Callaghan David M | Digital rights management system and method |
JP4724405B2 (ja) * | 2004-10-28 | 2011-07-13 | キヤノン株式会社 | 無線通信装置及び電子機器、並びにそれらの制御方法及びコンピュータプログラム |
US20060235973A1 (en) * | 2005-04-14 | 2006-10-19 | Alcatel | Network services infrastructure systems and methods |
JP4449933B2 (ja) * | 2006-03-31 | 2010-04-14 | ブラザー工業株式会社 | 電子証明書発行システム、電子証明書発行装置、通信装置、及び、プログラム |
JP2009533732A (ja) * | 2006-04-10 | 2009-09-17 | インベッデッド テクノロジーズ コーポレーション ピーティーワイ リミテッド | プロセス制御システムおよび方法 |
US8327132B2 (en) * | 2007-02-26 | 2012-12-04 | Microsoft Corporation | Automated certificate provisioning for non-domain-joined entities |
US20080237337A1 (en) * | 2007-03-30 | 2008-10-02 | Motorola, Inc. | Stakeholder certificates |
US20080310337A1 (en) * | 2007-06-18 | 2008-12-18 | Gainspan, Inc. | Periodic heartbeat communication between devices and a control point |
DE102007046079A1 (de) * | 2007-09-26 | 2009-04-02 | Siemens Ag | Verfahren zur Herstellung einer sicheren Verbindung von einem Service Techniker zu einer von einem Störfall betroffenen Komponente einer ferndiagnostizierbaren und/oder fernwartbaren Automatisierungs-Umgebung |
JP5331354B2 (ja) * | 2008-03-17 | 2013-10-30 | 日立コンシューマエレクトロニクス株式会社 | コンテンツ送信装置、コンテンツ受信装置 |
US8327146B2 (en) * | 2008-03-31 | 2012-12-04 | General Motors Llc | Wireless communication using compact certificates |
US8484705B2 (en) * | 2008-04-25 | 2013-07-09 | Hewlett-Packard Development Company, L.P. | System and method for installing authentication credentials on a remote network device |
CN101431517B (zh) * | 2008-12-08 | 2011-04-27 | 西安西电捷通无线网络通信股份有限公司 | 一种基于三元对等鉴别的可信网络连接握手方法 |
CN101582152A (zh) * | 2009-06-19 | 2009-11-18 | 王春林 | 基于令牌传递认证的电子商务系统及其对应的商业方法 |
EP2333624A1 (de) * | 2009-12-11 | 2011-06-15 | Siemens Aktiengesellschaft | Verfahren und Einrichtung zur Konfigurierung einer Komponente in einer industriellen Automatisierungsanordnung |
DE102010033230A1 (de) * | 2010-08-03 | 2012-02-09 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum Einbinden eines Gerätes in ein Netzwerk |
US8448228B2 (en) * | 2010-09-29 | 2013-05-21 | Microsoft Corporation | Separating authorization identity from policy enforcement identity |
EP2527936B1 (de) * | 2011-05-26 | 2016-05-18 | Siemens Aktiengesellschaft | Verfahren zum Zugriff auf ein Automatisierungssystem sowie nach dem Verfahren arbeitendes System |
CA2888443A1 (en) * | 2012-10-15 | 2014-04-24 | Open Access Technology Intenrational, Inc. | Certificate installation and delivery process, four factor authentication, and applications utilizing same |
US8966260B1 (en) * | 2013-01-30 | 2015-02-24 | Palo Alto Networks, Inc. | Credentials management in large scale virtual private network deployment |
US9892576B2 (en) * | 2013-08-02 | 2018-02-13 | Jpmorgan Chase Bank, N.A. | Biometrics identification module and personal wearable electronics network based authentication and transaction processing |
-
2011
- 2011-08-30 DE DE102011081804.9A patent/DE102011081804B4/de not_active Expired - Fee Related
-
2012
- 2012-08-08 US US14/237,824 patent/US9544300B2/en active Active
- 2012-08-08 WO PCT/EP2012/065489 patent/WO2013029940A1/de active Application Filing
- 2012-08-08 EP EP12753428.7A patent/EP2705410B1/de active Active
- 2012-08-08 CN CN201280041023.6A patent/CN103748526B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070067512A1 (en) * | 2005-09-19 | 2007-03-22 | Smar Research Corporation | Method, system and software arrangement for processing a device support file for a field device |
DE102010038458A1 (de) * | 2010-07-27 | 2012-02-02 | Endress + Hauser Process Solutions Ag | System zur Bedienung von Feldgeräten in einer Prozessanlage |
Non-Patent Citations (4)
Title |
---|
Leitner, Stefan-Helmut; Mahnke, Wolfgang: OPC UA - Service-oriented Architecture for Industrial Applications. In: Workshop der Fachgruppen Objektorientierte Softwareentwicklung, 27. Oktober 2006, S. 1 - 6. * |
Mahnke, W.; Enste, U.: OPC Unified Architecture. In: at - Automatisierungstechnik, Band 59, Juli 2011, Heft 7, S. 397 - 404. * |
Park, Joon S.; Sandhu, Ravi: Smart Certificates: Extending X.509 for Secure Attribute Services on the Web. In: PROCEEDINGS OF 22ND NATIONAL INFORMATION SYSTEMS SECURITY CONFERENCE, 1999, S. 1 - 12. * |
Renjie, H.; Feng, L.; Dongbo, P.: Research on OPC UA security. In: Industrial Electronics and Applications (ICIEA), 2010 the 5th IEEE Conference on, 2010, S. 1439 -1444. * |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10798085B2 (en) | 2013-03-21 | 2020-10-06 | Siemens Aktiengesellschaft | Updating of a digital device certificate of an automation device |
WO2014146895A1 (de) | 2013-03-21 | 2014-09-25 | Siemens Aktiengesellschaft | Aktualisieren eines digitalen geräte-zertifikats eines automatisierungsgeräts |
CN105051627A (zh) * | 2013-03-21 | 2015-11-11 | 西门子公司 | 自动化设备的数字设备证书的更新 |
DE102013205051A1 (de) | 2013-03-21 | 2014-09-25 | Siemens Aktiengesellschaft | Aktualisieren eines digitalen Geräte-Zertifikats eines Automatisierungsgeräts |
CN105051627B (zh) * | 2013-03-21 | 2019-09-06 | 西门子公司 | 自动化设备的数字设备证书的更新 |
EP2919414A1 (de) * | 2014-03-10 | 2015-09-16 | Siemens Aktiengesellschaft | Verfahren zur Authentifizierung einer Windturbinensteuerung |
DE102014225418A1 (de) | 2014-12-10 | 2016-06-16 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zur Überwachung einer Zertifizierungsstelle |
WO2016091415A1 (de) * | 2014-12-10 | 2016-06-16 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zur überwachung einer zertifizierungsstelle |
DE102015213412A1 (de) * | 2015-07-16 | 2017-01-19 | Siemens Aktiengesellschaft | Verfahren und Anordnung zum sicheren Austausch von Konfigurationsdaten einer Vorrichtung |
DE102015214267A1 (de) * | 2015-07-28 | 2017-02-02 | Siemens Aktiengesellschaft | Verfahren und System zum Erzeugen eines sicheren Kommunikationskanals für Endgeräte |
US11218323B2 (en) | 2015-07-28 | 2022-01-04 | Siemens Aktiengesellschaft | Method and system for producing a secure communication channel for terminals |
US10243745B2 (en) | 2015-07-28 | 2019-03-26 | Siemens Aktiengesellschaft | Method and system for producing a secure communication channel for terminals |
EP3402152A1 (de) * | 2017-05-08 | 2018-11-14 | Siemens Aktiengesellschaft | Anlagenspezifisches, automatisiertes zertifikatsmanagement |
US11163870B2 (en) | 2017-05-08 | 2021-11-02 | Siemens Aktiengesellschaft | Plant-specific, automated certificate management |
WO2019034509A1 (de) * | 2017-08-17 | 2019-02-21 | Siemens Mobility GmbH | Verfahren zum sicheren ersetzen eines bereits in ein gerät eingebrachten ersten herstellerzertifikats |
WO2020173903A1 (de) * | 2019-02-26 | 2020-09-03 | Siemens Aktiengesellschaft | In einem anlagenplanungswerkzeug integriertes zertifikatsmanagement |
EP3703312A1 (de) * | 2019-02-26 | 2020-09-02 | Siemens Aktiengesellschaft | In einem anlagenplanungswerkzeug integriertes zertifikatsmanagement |
Also Published As
Publication number | Publication date |
---|---|
WO2013029940A1 (de) | 2013-03-07 |
US9544300B2 (en) | 2017-01-10 |
CN103748526A (zh) | 2014-04-23 |
EP2705410B1 (de) | 2020-01-08 |
DE102011081804B4 (de) | 2015-02-12 |
CN103748526B (zh) | 2016-10-12 |
EP2705410A1 (de) | 2014-03-12 |
US20140173688A1 (en) | 2014-06-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102011081804B4 (de) | Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten, welche an ein Authentisierungs-Credential gebunden werden, für ein Automatisierungsgerät einer Automatisierungsanlage | |
EP3125492B1 (de) | Verfahren und system zum erzeugen eines sicheren kommunikationskanals für endgeräte | |
EP2936259B1 (de) | Aktualisieren eines digitalen geräte-zertifikats eines automatisierungsgeräts | |
EP3681102B1 (de) | Verfahren zur validierung eines digitalen nutzerzertifikats | |
EP3649768A1 (de) | Verfahren zum sicheren ersetzen eines bereits in ein gerät eingebrachten ersten herstellerzertifikats | |
EP3226464B1 (de) | Datenstruktur zur verwendung als positivliste in einem gerät, verfahren zur aktualisierung einer positivliste und gerät | |
EP3582521A1 (de) | Vorrichtung und verfahren zum einrichtung und/oder bereitstellen einer arbeitsumgebung, insbesondere eingesetzt in einer maschinen economy umgebung | |
EP3718263B1 (de) | Verfahren und steuersystem zum steuern und/oder überwachen von geräten | |
EP2707782B1 (de) | Verfahren und system zum bereitstellen von gerätespezifischen eigenschaftsdaten für ein automatisierungsgerät einer automatisierungsanlage | |
EP3723007B1 (de) | Verfahren und steuersystem zum steuern einer ausführung von transaktionen | |
EP3732608B1 (de) | Verfahren zur rechnergestützten parametrierung eines technischen systems | |
EP3714575B1 (de) | Verfahren und system zum steuern und/oder überwachen von geräten | |
EP3561745A1 (de) | Digitaler marktplatz zur steuerung verteilter produktionssysteme | |
WO2013041360A1 (de) | System und verfahren zur bereitstellung eines steuerungsprogrammcodes | |
EP3762845B1 (de) | Projektbezogenes zertifikatsmanagement | |
EP3306514B1 (de) | Verfahren und vorrichtung zum zertifizieren einer sicherheitskritischen funktionskette | |
EP3881486B1 (de) | Verfahren zur bereitstellung eines herkunftsortnachweises für ein digitales schlüsselpaar | |
EP4115584B1 (de) | Gesicherter und dokumentierter schlüsselzugriff durch eine anwendung | |
EP3836489B1 (de) | Dynamische zuordnung von automatisierungseinheiten zu automatisierungsservern | |
EP3306856B1 (de) | Verfahren zum bereitstellen einer gesicherten kommunikationsverbindung zwischen komponenten einer sicherheitskritischen funktionskette | |
EP4250146A1 (de) | Interaktion physischer entitäten | |
EP4333362A1 (de) | Leitsystem für eine technische anlage und computer-implementiertes verfahren zur ausserbetriebnahme einer anlagenkomponente | |
WO2022069247A1 (de) | Gerät und verfahren zur einrichtung einer dienstbezogenen authentisierung | |
DE112022000627T5 (de) | Datenverwaltungssystem, Datenverwaltungsserver, Datenverwaltungsverfahren, Datenverwaltungsprogramm, und Aufzeichnungsmedium | |
DE102020202879A1 (de) | Verfahren und Vorrichtung zur Zertifizierung eines anwendungsspezifischen Schlüssels und zur Anforderung einer derartigen Zertifizierung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |