-
Die Erfindung bezieht sich auf ein Verfahren zum Bereitstellen von limitierten Zugangsschlüsseln für Feldgeräte, einem Verfahren zur Zugriffskontrolle an Feldgeräten der Automatisierungstechnik, einem Feldgerät der Automatisierungstechnik und einem System der Automatisierungstechnik.
-
In der Prozessautomatisierungstechnik ebenso wie in der Fertigungsautomatisierungstechnik werden vielfach Feldgeräte eingesetzt, die zur Erfassung und/oder Beeinflussung von Prozessgrößen dienen. Zur Erfassung von Prozessgrößen dienen Messgeräte bzw. Sensoren, wie beispielsweise Füllstandsmessgeräte, Durchflussmessgeräte, Druck- und Temperaturmessgeräte, pH-Redoxpotentialmessgeräte, Leitfähigkeitsmessgeräte, etc., welche die entsprechenden Prozessvariablen Füllstand, Durchfluss, Druck, Temperatur, pH-Wert bzw. Leitfähigkeit erfassen. Zur Beeinflussung von Prozessgrößen dienen Aktoren, wie zum Beispiel Ventile oder Pumpen, über die der Durchfluss einer Flüssigkeit in einem Rohrleitungsabschnitt bzw. der Füllstand in einem Behälter geändert werden kann.
-
Als Feldgeräte werden im Prinzip alle Geräte bezeichnet, die prozessnah eingesetzt werden und die prozessrelevante Informationen liefern oder verarbeiten. Neben den zuvor genannten Messgeräten/Sensoren und Aktoren werden als Feldgeräte allgemein auch solche Einheiten bezeichnet, die direkt an einem Feldbus angeschlossen sind und zur Kommunikation mit den übergeordneten Einheiten dienen, wie z. B. Remote I/Os, Gateways, Linking Devices und Wireless Adapters.
-
Eine Vielzahl solcher Feldgeräte wird von der Endress + Hauser-Gruppe hergestellt und vertrieben.
-
In modernen Industrieanlagen sind Feldgeräte in der Regel über Feldbussysteme, wie z. B. Profibus®, Foundation Fieldbus®, HART®, etc. mit übergeordneten Einheiten verbunden. Normalerweise handelt es sich bei den übergeordneten Einheiten um Leitsysteme bzw. Steuereinheiten, wie beispielsweise eine SPS (speicherprogrammierbare Steuerung) oder einen PLC (Programmable Logic Controller). Die übergeordneten Einheiten dienen unter anderem zur Prozesssteuerung, Prozessvisualisierung, Prozessüberwachung sowie zur Inbetriebnahme der Feldgeräte. Die von den Feldgeräten, insbesondere von Sensoren, erfassten Messwerte werden über das angeschlossene Bussystem an eine oder gegebenenfalls auch an mehrere übergeordnete Einheit(en) übermittelt. Daneben ist auch eine Datenübertragung von der übergeordneten Einheit über das Bussystem an die Feldgeräte erforderlich; diese dient insbesondere zur Konfigurierung und Parametrierung von Feldgeräten oder zu Diagnosezwecken. Allgemein gesprochen, wird das Feldgerät über das Bussystem von der übergeordneten Einheit her bedient.
-
Neben einer drahtgebundenen Datenübertragung zwischen den Feldgeräten und der übergeordneten Einheit besteht auch die Möglichkeit einer drahtlosen Datenübertragung. Insbesondere in den Bussystemen Profibus®, Foundation Fieldbus® und HART® ist eine drahtlose Datenübertragung über Funk spezifiziert. Ferner sind Funknetzwerke für Sensoren in dem Standard IEEE 802.15.4 näher spezifiziert.
-
Derartigen Industrieanlagen bzw. Automatisierungsanlagen sind in der Regel durch sehr hohe Sicherheitsanforderungen gekennzeichnet. Eine besondere Bedeutung gewinnt dieser Aspekt insbesondere bei drahtlosen Zugangssystemen.
-
Aus dem Stand der Technik sind passwortgeschützte Zugriffsmechanismen um sicherzustellen, dass nur autorisierte Personen an die Feldgerätedaten kommen respektive diese verändern bzw. editieren können wohl bekannt.
-
Dies betrifft sowohl den direkten Zugriff auf ein Feldgerät durch einen Menschen, wie auch den Zugriff über ein Tool, wie beispielsweise eine Softwarekomponente.
-
Anlagen der Automatisierungstechnik bestehen typisch aus einer großen Anzahl von Feldgeräten, z. B. 100 Messstellen in einem Anlagenteil. Die einzelnen Messstellen sind üblicherweise durch Zuordnung eines Gerätetags „TAG” identifizierbar. Das Tag besteht dabei aus einem kurzen menschenlesbaren String.
-
Für die Zugriffssteuerung üblich im Stand der Technik ist es ferner z. B. die Zuordnung eines einzelnen individuellen Passwords bzw. Zugangsschlüssels je Feldgerät. Mit diesem Password erhält der Anwender Zugriff auf Bedienelemente des Feldgeräts, beispielsweise zur Eingabe von Kalibrierparametern. Bei mehr als einem Feldgerät in der Anlage besteht die sicherste Form der Zugriffssteuerung darin, jedem Feldgerät ein anderes individuelles Password zuzuordnen.
-
Die Verwaltung einer umfangreichen Liste von Passwörtern ist für den Anlagenbetreiber jedoch umständlich und in der Regel nicht praktikabel. Ein wesentlicher Wunsch der Anlagenbetreiber ist die Verwendung eines einzelnen, gleichen Passworts für alle Feldgeräte in einer Anlage.
-
Zusätzlich besteht bei dem Betrieb einer Automatisierungsanlage die Anforderung neben dem Personal des Anlagenbetreibers auch anderen Personenkreisen, insbesondere anlagenfremden bzw. externen Servicetechnikern, Zugriff auf die Feldgeräte zu gewähren.
-
Typischerweise wird hierfür den externen Servicetechnikern, die einen Serviceeinsatz, eine Kalibrierung oder eine Reparatur durchführen müssen, ein Zugangscode angelegt, ein bestehender Zugangscode weitergeleitet oder die Servicetechniker werden von einem internen Mitarbeiter begleitet. Dies bedeutet in allen Fällen einen großen Aufwand für den Anlagenbetreiber, da er bspw. im ersten Fall einen Zugangscode erst generieren und aktivieren muss, um ihn anschließend nach Beendigung des Serviceeinsatzes wieder zu deaktivieren. Zusätzlich birgt es ein Sicherheitsrisiko, da in dem Fall, dass der für den Serviceeinsatz generierte Zugangscode nicht deaktiviert wird, ein ungewollter Zugriff auf die entsprechenden Feldgeräte mittels des Zugangcodes möglich ist.
-
In dem Fall, dass der Anlagenbetreiber nur ein einzelnen Zugangscode für die ganze Anlage verwendet, erhält der externe Servicetechniker mit diesem Zugangscode Zugriff auf alle Bereiche, ohne dass das seitens des Anlagenbetreibers gewünscht ist. Dies stellt ebenfalls ein erhöhtes Sicherheitsrisiko für einen Anlagenbetreiber dar.
-
Zusammenfassend lässt sich somit feststellen, dass die Mechanismen zur Zugriffssteuerung aus Praktikabilitätsgründen und/oder Sicherheitsgründen nicht sicher durch den Anlagenbetreiber einsetzbar sind.
-
Es ist daher Aufgabe der Erfindung, eine benutzerfreundlichere Zugriffsprozedur für Feldgeräte einer Automatisierungsanlage zu ermöglichen.
-
Die Aufgabe wird durch ein computer-implementiertes Verfahren zum Bereitstellen eines limitierten Zugangsschlüssels für Feldgeräte in einer Automatisierungsanlage der Automatisierungstechnik, einem Verfahren zur Zugriffskontrolle an Feldgeräten der Automatisierungstechnik, einem Feldgerät der Automatisierungstechnik und einem System der Automatisierungstechnik gelöst.
-
Hinsichtlich des computer-implementierten Verfahrens wird die Aufgabe erfindungsgemäß durch ein computer-implementiertes Verfahren zum Bereitstellen eines limitierten Zugangsschlüssels für Feldgeräte in einer Automatisierungsanlage der Automatisierungstechnik gelöst, wobei der Zugangsschlüssel den Zugriff auf mindestens ein Feldgerät ermöglicht, wobei durch eine Limitierungsbeschreibung der Zugriff geregelt wird und das Verfahren folgende Schritte aufweist:
- – Eingabe der Limitierungsbeschreibung,
- – Bereitstellen eines Anlagenschlüssels, welcher für die Automatisierungsanlage gilt, in der sich das Feldgerät befindet,
- – Generierung des limitierten Zugangsschlüssels anhand der Limitierungsbeschreibung und des Anlagenschlüssels, wobei in dem Zugangsschlüssel die Limitierungsbeschreibung codiert ist.
-
Erfindungsgemäß wird für die Zugriffsprozedur für Feldgeräte einer Automatisierungsanlage ein Zugangsschlüssel, der eine Limitierungsbeschreibung beinhaltet, so dass bei Weitergabe des Zugangsschlüssels an einen externen Servicetechniker, dieser nur einen limitierten bzw. geregelten Zugriff auf die Feldgeräte der Automatisierungsanlage hat. Der limitierte Zugriff richtet sich erfindungsgemäß nach der im Zugangsschlüssel codierten Limitierungsbeschreibung. Die Erfindung basiert auf der Annahme, dass ein Anlagenkennwort bzw. Anlagenschlüssel für die Automatisierungsanlage existiert der z. B. internen Mitarbeitern bekannt ist, und unbegrenzten Zugriff auf alle in der Anlage befindlichen Geräte, insbesondere Feldgeräte ermöglicht. Ausgehend von diesem Anlagenkennwort wird ein Anlagenschlüssel der auf dem Anlagenkennwort basiert erzeugt bzw. bereitgestellt. Dieser Anlagenschlüssel ist zum Zweck der Zugriffssteuerung in allen Geräten dezentral gespeichert und gewährt ohne Erfordernis eines zentralen Zertifikatsservers lokalen Zugang bzw. Zugriff zu den Feldgeräten. Ferner sieht die Erfindung eine Software vor, bspw. eine App, die zur Generierung eines limitierten Zugangsschlüssels fähig ist, vor.
-
Die für die Erfindung wesentlichen Merkmale sind somit, dass in dem limitierten Zugangsschlüssel erstens kodierte Informationen zur Limitierung des Zugriffs sowie zweitens Daten zu einem sogenannten „Message Authenticy Code” (MAC) enthalten sind, wobei letzterer über einen kryptographischen Algorithmus ermittelt wird und für die Berechnung dieses Algorithmus die Kenntnis des Anlagenkennworts bzw. Anlagenschlüssels erforderlich ist.
-
Somit muss der Anlagenbetreiber lediglich ein einzelnes Anlagenkennwort verwalten, anhand dessen er mittels der Software einen limitierten Zugangsschlüssel erzeugen bzw. generieren kann, um ihn bspw. an einen externen Servicetechniker zu geben.
-
Gemäß einer vorteilhaften Ausführungsform umfasst die Limitierungsbeschreibung eine Zeitinformation, anhand derer der Zugriff auf das Feldgerät zeitlich limitiert wird. Insbesondere umfasst die Zeitinformation ein Startdatum und/oder eine Zeitdauer, anhand derer der Zugriff auf das Feldgerät zeitlich limitiert wird, so dass der Zugriff erst ab dem Startdatum und/oder für die Zeitdauer möglich ist.
-
Gemäß einer weiteren vorteilhaften Ausführungsform ist in der Limitierungsbeschreibung eine Feldgerätegruppe und/oder ein Anlagenteil der Automatisierungsanlage definiert, anhand derer der Zugriff auf Feldgeräte (F) der Feldgerätegruppe und/oder der Zugriff auf die sich in dem Anlagenteil befindlichen Feldgeräte limitiert wird.
-
Gemäß einer weiteren vorteilhaften Ausführungsform wurde der Anlagenschlüssel zur Bereitstellung anhand eines Anlagenkennworts ermittelt und die Länge des Anlagenschlüssels wird auf 256 Bit, vorzugsweise 128 Bit, besonders bevorzugt auf 64 Bit begrenzt. Insbesondere wird zur Ermittlung des Anlagenschlüssels aus dem Anlagenkennwort eine kryptologische Hashfunktion verwendet. Gemäß einer weiteren vorteilhaften Ausführungsform weist der Schritt der Generierung der limitierten Zugangsschlüssel zumindest einen der folgenden Teilschritte auf:
- – Verschlüsselung der Limitierungsbeschreibung anhand des Anlagenschlüssels zu einer verschlüsselten Limitierungsbeschreibung,
- – Verknüpfung zumindest von Teilen der verschlüsselten Limitierungsbeschreibung mit der Limitierungsbeschreibung zu einer authentisierten Limitierungsbeschreibung,
- – Erzeugung des limitierten Zugangsschlüssels anhand der authentisierten Limitierungsbeschreibung. Insbesondere wird zur Verschlüsselung der Limitierungsbeschreibung anhand des Anlagenschlüssels zu einer verschlüsselten Limitierungsbeschreibung ein Blockverschlüsselungsverfahren eingesetzt.
-
Hinsichtlich dem Verfahren zur Zugriffskontrolle an Feldgeräten der Automatisierungstechnik wird die Aufgabe durch ein Verfahren zur Zugriffskontrolle an Feldgeräten der Automatisierungstechnik auf die durch Eingabe von Zugangsdaten der Zugriff kontrolliert wird, gelöst, wobei das Verfahren folgende Schritte aufweist:
- – Eingabe von Zugangsdaten an einem Feldgerät,
- – Prüfung der Gültigkeit der eingegebenen Zugangsdaten, wobei die Zugangsdaten anhand des Anlagenschlüssels überprüft werden und in dem Fall einer Übereinstimmung, ein unbeschränkter Zugriff auf das Feldgerät gewährt wird, und anderen Falls überprüft wird, ob die Zugangsdaten einem Zugangsschlüssel, wie er gemäß zumindest einem der vorhergehenden Ansprüche ausgebildet ist, entsprechen, wobei in dem Fall, dass die Zugangsdaten keinem Zugangsschlüssel entsprechen der Zugriff verweigert wird und in dem Fall, dass die Zugangsdaten einem Zugangsschlüssel entsprechen, die Zugangsdaten gültig sind, und die folgenden Schritte durchgeführt werden:
- – Ermittlung einer limitierten Zugriffsregelung anhand der in den eingegebenen Zugangsdaten codierten Limitierungsbeschreibung,
- – Zugriffssteuerung an dem Feldgerät gemäß der ermittelten limitierten Zugriffsregelung.
-
Erfindungsgemäß wird für eine externe Person, bspw. einen externen Servicetechniker, mittels der Software ein limitierter Zugangsschlüssel generiert, der anschließend an die externe Person übergeben wird. Die externe Person kann diesen limitierten Zugangsschlüssel an allen Feldgeräten der Automatisierungsanlage nutzen, die er bedienen möchte. Ferner wird erfindungsgemäß die an einem Feldgerät eingegebenen Zugangsdaten von dem Feldgerät geprüft, ob ein Zugriff gestattet ist und falls ja, ob ein limitierter Zugriff auf das Feldgerät vorgesehen ist. Die Zugangsdaten müssen nicht zwangsläufig mit dem limitierten Zugangsschlüssel übereinstimmen, da die Zugangsdaten beispielsweise auch den Anlagenschlüssel selbst entsprechen können, oder aber beliebige Zugangsdaten, durch die kein Zugriff auf das Feldgerät ermöglicht werden sollen, sein können. Auf diese Weise ist es möglich, mehrere Alternativen zum Zugang bzw. Zugriff auf ein Feldgerät zu ermöglichen. Mittels des eingegebenen Anlagenschlüssels ist bspw. ein Vollzugriff auf das Feldgerät möglich, wohingegen bei Eingabe von Zugangsdaten für die kein Zugriff vorgesehen ist, bspw. bei einem versuchten Hackerangriff oder aber auch bei Eingabe eines „alten” limitierenden Zugangsschlüssels, der seine Limitierung verloren hat, wird kein Zugriff gewährt.
-
Gemäß einer vorteilhaften Ausführungsform des Verfahrens zur Zugriffskontrolle werden zur Prüfung der Gültigkeit der eingegebenen Zugangsdaten, in dem Fall, dass diese einem Zugangsschlüssel entsprechen die folgenden Teilschritte ausgeführt:
- – Errechnung eines binären Datenblocks anhand der eingegebenen Zugangsdaten,
- – Verschlüsselung des binären Datenblocks mit dem Anlagenschlüssel mittels des Blockverschlüsselungsverfahrens zu einem verschlüsselten binären Datenblock,
- – Vergleich zumindest von Teilen des verschlüsselten binären Datenblocks mit Teilen der Zugangsdaten, wobei in dem Fall, dass eine Übereinstimmung vorliegt, die Zugangsschlüssel gültig sind.
-
Gemäß einer weiteren vorteilhaften Ausführungsform des Verfahrens zur Zugriffskontrolle wird zur Umsetzung der limitierten Zugriffsregelung zur Zugriffskontrolle die Limitierungsbeschreibung mit zumindest einem der folgenden feldgerätespezifischen Merkmalen verglichen:
- – eine Zeitinformation und/oder
- – eine Feldgerätegruppe, zu der das Feldgerät gehört und/oder
- – einen Anlagenteil der Automatisierungsanlage in dem sich das Feldgerät befindet.
-
Gemäß einer weiteren vorteilhaften Ausführungsform des Verfahrens zur Zugriffskontrolle wird die Eingabe der Zugangsdaten durch manuelle Eingabe an dem Feldgerät oder mittels eines optischen Scanners oder über eine Funkverbindung durchgeführt.
-
Gemäß einer weiteren vorteilhaften Ausführungsform des Verfahrens zur Zugriffskontrolle wird die Eingabe der Zugangsdaten mittels einer Bedieneinheit über eine Funkverbindung und/oder über eine Remote-Verbindung durchgeführt. So kann bspw. eine Fernwartung an denen Feldgeräte durchgeführt werden, die bspw. über Ethernet und/oder WLAN ans Internet angebunden sind.
-
Hinsichtlich des Feldgerätes wird die Aufgabe durch ein Feldgerät der Automatisierungstechnik gelöst, welches zumindest folgendes umfasst:
- – einen internen Speicher, in dem ein Anlagenschlüssel gespeichert ist,
- – eine Zeitermittlungseinheit,
- – eine Eingabeeinheit mittels derer eine Eingabe von Zugangsdaten für den Zugriff auf das Feldgerät möglich ist,
- – eine Zugriffskontrolleinheit, die derartig ausgebildet ist, dass sie zum Durchführen des Verfahrens zur Zugriffskontrolle nach einer der vorhergehenden Ausführungsformen ausgebildet ist.
-
Eine vorteilhafte Ausgestaltung des Feldgerätes sieht vor, dass die Zeitermittlungseinheit als integrierte Uhr im Feldgerät ausgebildet ist. Insbesondere ist vorgesehen, dass die im Feldgerät integrierte Uhr mit einer externen Zeitquelle synchronisierbar ist. Beispielsweise ist die im Feldgerät integrierte Uhr eine Batterie- oder Pufferkondensator-gestützte Echtzeituhr mit einem 32768 Hz Quarz.
-
Eine alternative vorteilhafte Ausgestaltung des Feldgerätes sieht vor, dass die Zeitermittlungseinheit an eine Funkeinheit des Feldgerätes angebunden ist, so dass eine aktuelle Zeitinformation von einer externen Zeitquelle abrufbar ist.
-
Eine weitere vorteilhafte Ausgestaltung des Feldgerätes sieht vor, dass die Eingabeeinheit an eine Funkeinheit des Feldgerätes angebunden ist, so dass die Eingabe der Zugangsdaten über eine Funkverbindung möglich ist.
-
Eine weitere vorteilhafte Ausgestaltung des Feldgerätes sieht vor, dass die Eingabeeinheit als optischer Scanner ausgebildet ist, so dass die Eingabe der Zugangsdaten über ein scannbares Objekte, welches die Zugangsdaten repräsentiert, möglich ist. Auf diese Weise können die Zugangsdaten auch als scannbares Objekt eingegeben werden, z. B. 2D-Barcode, QR Code, etc. um somit eine schnelle und fehlerfreie Übertragung bzw. Eingabe der Zugangsdaten an dem Feldgerät zu ermöglichen. Insbesondere bei Zugangsdaten die mehr als bspw. zehn Zeichen aufweisen, ist die Eingabe mittels eines scannbaren Objektes und optischen Scanners des Feldgerätes nicht so fehleranfällig wie die manuelle Eingabe.
-
Hinsichtlich des Systems wird die Aufgabe durch ein System der Automatisierungstechnik gelöst, welches mind. folgendes umfasst:
- – eine Computereinheit auf der ein computer-implementiertes Verfahren zum Bereitstellen von limitierten Zugangsschlüsseln die als Zugangsdaten für den Zugriff auf ein Feldgerät der Automatisierungstechnik dienen, abläuft und das Verfahren nach zumindest einem der Ausführungsformen des Verfahrens zum Bereitstellen eines limitierten Zugangsschlüssels für Feldgeräte ausgeführt wird,
- – eine Vielzahl von Feldgeräten, die sich in einer Automatisierungsanlage befinden, wobei die Feldgeräte gemäß einer der beschriebenen Ausgestaltungen ausgebildet sind,
- – eine Bedieneinheit über die eine Eingabe der Zugangsdaten an dem Feldgerät möglich ist.
-
Eine vorteilhafte Ausgestaltung des Systems sieht vor, dass die Feldgeräte über einen Feldbus mit einer übergeordneten Einheit verbunden sind und der Anlagenschlüssel in den Feldgeräten über den Feldbus aktualisierbar ist.
-
Die Erfindung wird anhand der nachfolgenden Zeichnungen näher erläutert. Es zeigt:
-
1: ein Flussdiagramm des computer-implementierten Verfahrens zum Bereitstellen eines limitierten Zugangsschlüssels für Feldgeräte in einer Automatisierungsanlage der Automatisierungstechnik,
-
2: ein erstes und ein zweites Flussdiagramme des Verfahrens zur Zugriffskontrolle an Feldgeräten der Automatisierungstechnik, und
-
3: eine schematische Darstellung des erfindungsgemäßen Feldgerätes, sowie des Systems der Automatisierungstechnik.
-
1 zeigt ein Flussdiagramm des computer-implementierten Verfahrens zum Bereitstellen eines limitierten Zugangsschlüssels für Feldgeräte F in einer Automatisierungsanlage A der Automatisierungstechnik.
-
Für die Generierung eines limitierten Zugangsschlüssel ZS wird in einem ersten Schritt aus einem Anlagenkennwort AK, z. B. ein String mit 8 Zeichen, welche der Anlagenbetreiber auswählt ein Anlagenschlüssel AS mit z. B. 128 Bit Länge bereitgestellt. Hierzu wird vorteilhafterweise ein kryptologischer Hash-Algorithmus bzw. eine Hash-Funktion HF verwendet.
-
Dieser Anlagenschlüssel AS wird sowohl in den Feldgeräten F als auch bei der Generierung des limitierten Zugangsschlüssels ZS als bekannt vorausgesetzt.
-
Zur Generierung des limitierten Zugangsschlüssels ZS wird zunächst eine Limitierungsbeschreibung LB bspw. in die Software die die limitierten Zugangsschlüssel ZS generiert, eingegeben. Beispielsweise wird dort mit 2 Bytes das Startdatum der Gültigkeit des limitierten Zugangsschlüssels ZS kodiert, mit 1 Byte die Dauer in Tagen der Gültigkeit und mit 1 Byte der Anlagenteil, in dem der limitierte Zugangsschlüssel ZS Gültigkeit erlangen soll.
-
Dieser LB Datenblock wird im Ausführungsbeispiel durch geeignetes Padding, z. B. mit 0-Bits auf eine Länge von 128 Bit erweitert. Das Padding ist erforderlich, um Standard-Algorithmen der Kryptographie, welche auf Datenblöcken von z. B. 128 Bit Länge arbeiten, verwenden zu können. Der 128 Bit Block LBP wird dann mit einem Blockkryptographiealgorithmus BV, z. B AES128 unter Nutzung des Anlagenschlüssels AS verschlüsselt. Im Ergebnis erhält man einen 128-Bit Datenblock, welcher die verschlüsselte Limitierungsbeschreibung ELB darstellt.
-
Ausgehend von der verschlüsselten Limitierungsbeschreibung ELB werden Teile dieser verschlüsselten Limitierungsbeschreibung ELB als Authentifizierungscode MAC verwendet. Im Beispiel sind dies die ersten 4 Bytes.
-
Somit ist es nur in Kenntnis des Anlagenschlüssels AS möglich, den zu der Limitierungsbeschreibung LB passenden Authentifizierungscode MAC zu generieren. Die Verknüpfung der (vier Byte der) Limitierungsbeschreibung LB mit den z. B. vier Bytes des Authentifizierungscode MAC ergibt eine authentisierte Limitierungsbeschreibung ALB mit in dem Fall 8 Bytes.
-
Diese authentisierte Limitierungsbeschreibung ALB (von bspw. 8 Bytes) enthält im Ergebnis beliebige Zahlenwerte und lässt sich damit mit den üblichen ASCII des Alphabets nicht unmittelbar kodieren, da ein Zeichenvorrat von 256 Zeichen nötig wäre.
-
Aus diesem Grund wird die authentisierte Limitierungsbeschreibung ALB (von 8 Bytes) über ein geeignetes Verfahren, wie z. B. UUENCODE oder MIME reversibel in eine Sequenz von ASCII-Symbolen von z. B. 12 Zeichen umgesetzt. Diese Sequenz aus z. B. 12 ASCII-Zeichen bildet den limitierten Zugangsschlüssel ZS.
-
2a zeigt ein erstes Flussdiagramm des Verfahrens zur Zugriffskontrolle an Feldgeräten F der Automatisierungstechnik auf die durch Eingabe von Zugangsdaten ZD der Zugriff kontrolliert wird. Hierbei können die Zugangsdaten ZD beliebige Daten sein, die in das Feldgerät F eingegeben werden, wobei das Feldgerät F mittels des Verfahrens die Gültigkeit der eingegebenen Zugangsdaten ZD überprüft und in Abhängigkeit der Überprüfung den Zugriff auf das Feldgerät F regelt.
-
Die Überprüfung bzw. Prüfung der Gültigkeit der eingegebenen Zugangsdaten ZD erfolgt hierbei in zwei Schritten. Im ersten Schritt wird überprüft, ob die eingegebenen Zugangsdaten ZD dem Anlagenschlüssel AS entsprechen. Dieser Anlagenschlüssel AS, wird wie bereits beschrieben aus dem Anlagenkennwort AK abgeleitet und anschließend lokal in den Feldgeräten F, bspw. in einem internen Speicher S vorgehalten bzw. gespeichert. In dem Fall, dass eine Übereinstimmung vorliegt, wird ein unbeschränkter Zugriff bzw. Vollzugriff auf das Feldgerät F gewährt.
-
Liegt keine Übereinstimmung vor, wird in einem zweiten Schritt geprüft, ob die eingegebenen Zugangsdaten ZD einem limitierten Zugangsschlüssel ZS entsprechen, wobei in dem Fall, dass die Zugangsdaten ZD keinem Zugangsschlüssel ZS entsprechen, kein Zugriff auf das Feldgerät F gewährt wird und in dem Fall, dass die Zugangsdaten ZD einem Zugangsschlüssel ZS entsprechen, die Zugangsdaten ZD Gültigkeit besitzen und eine limitierende Zugriffsregelung ZR für das Feldgerät F ermittelt wird.
-
Hierzu wird, wie in 2b dargestellt, zunächst aus dem eingegebenen Zugangsdaten ZD, welche in diesem Fall einem limitierten Zugangsschlüssel ZS entsprechen, der binäre Datenblock ALB_FG, welcher einer authentisierten Limitierungsbeschreibung ALB_FG, die durch das Feldgerät F ermittelt bzw. berechnet wurde, entspricht.
-
Die ersten vier Bytes des ALB_FG-Blocks werden anschließend mit Nullen zu einem LBP FG-Block „gepadded”. Der sich so ergebende LBP_FG-Block wird im Feldgerät F mit dem AES128-Algorithmus mit dem bekannten Anlagenschlüssel AS verschlüsselt. Aus dem sich so ergebenden verschlüsselten Datenblock bzw. Limitierungsbeschreibung des Feldgerätes ELB_FG werden wiederum zumindest Teile des verschlüsselten Datenblock bzw. der Limitierungsbeschreibung des Feldgerätes MAC_FG mit den Teilen des Authentifizierungscodes MAC des limitierten Zugangsschlüssels verglichen.
-
Nur wenn diese im Feldgerät F selbst errechneten Werte mit den entsprechenden, bei der Generierung des limitierten Zugangsschlüssels ZS errechneten MAC-Block übereinstimmen ist der Zugriffsschlüssel ZS gültig.
-
Im Anschluss kann durch Überprüfung der im Feldgerät F gespeicherten Kodierung der eigenen Anlagenteil-Zugehörigkeit und/oder Echtzeit und/oder Feldgerätegruppe-Zugehörigkeit mit der im limitierten Zugangsschlüssel ZS kodierten Limitierung geprüft werden, ob der limitierte Zugangsschlüssel ZS auch für den eigenen Anlagenteil und/oder das aktuelle Datum bzw. Uhrzeit und/oder Feldgerätegruppe-Zugehörigkeit Gültigkeit besitzt. Anschließend wird die Zugriffssteuerung an dem Feldgerät F gemäß der Limitierungsbeschreibung LB geregelt bzw. gesteuert.
-
3 zeigt eine schematische Darstellung des erfindungsgemäßen Feldgerätes F, sowie des Systems S der Automatisierungstechnik.
-
Das erfindungsgemäße Feldgerät F umfasst hierbei zumindest:
- – einen internen Speicher S, in dem ein Anlagenschlüssel AS gespeichert ist,
- – eine Zeitermittlungseinheit ZE,
- – eine Eingabeeinheit EE mittels derer eine Eingabe von Zugangsdaten ZD für den Zugriff auf das Feldgerät F möglich ist,
- – eine Zugriffskontrolleinheit ZKE, die derartig ausgebildet ist, dass sie das zuvor beschriebene Verfahren zur Zugriffskontrolle durchführen kann.
-
Die Zeitermittlungseinheit ZE ist typischerweise als integrierte Uhr U, insbesondere Echtzeituhr, im Feldgerät ausgebildet. Diese integrierte Uhr U bzw. Echtzeituhr ist vorteilhafterweise mit einer externen Zeitquelle Z synchronisierbar, bspw. über eine Funkverbindung zu einem Funkserver, wie ihn die Physikalisch-Technische Bundesanstalt PTB betreibt.
-
Eine Alternative zu der integrierten Uhr U besteht darin, dass die Zeitermittlungseinheit ZE an eine Funkeinheit FE des Feldgerätes F angebunden ist, so dass eine aktuelle Zeitinformation von einer externen Zeitquelle Z abrufbar ist. Bei einem funkgesteuerten System kann das beispielsweise dadurch realisiert werden, dass eine Funkeinheit dem Feldgerät über ein geeignetes Datenprotokoll die aktuelle Zeitinformation übermittelt.
-
Bezüglich der Eingabeeinheit EE mittels derer eine Eingabe von Zugangsdaten ZD für den Zugriff auf das Feldgerät F möglich ist, sind mehrere alternative Ausgestaltungen denkbar. So kann die Eingabeeinheit EE bspw. an eine Funkeinheit FE des Feldgerätes F angebunden sein, so dass die Eingabe der Zugangsdaten ZD über eine Funkverbindung FV möglich ist. Alternativ ist die Eingabeeinheit EE als optischer Scanner OS ausgebildet ist, so dass die Eingabe der Zugangsdaten ZD über ein scannbares Objekte SO, welches die Zugangsdaten ZD repräsentiert, möglich ist. In 3 ist die Eingabe der Zugangsdaten ZD über ein scannbares Objekt SO mit einer gestrichelten Linie angedeutet.
-
Die Zugriffskontrolleinheit ZKE ist derartig ausgebildet, dass sie einen Mikrokontroller zur digitalen Datenverarbeitung aufweist oder aber mit einem derartigen Mikrokontroller verbunden ist. Ferner ist eine Hardware-Baugruppe zur Übermittelung der Zugangsdaten von der Eingabeeinheit an den Mikrokontroller vorgesehen. In dem Mikrokontroller läuft eine Software ab, die die eingegebenen Zugangsdaten ZD bzw. die in den Zugangsdaten ZD kodierte Limitierungsbeschreibung LB mit den für das Feldgerät F gültigen Werten vergleicht, insbesondere der Uhrzeit, der Feldgerätegruppe des Feldgerätes und/oder der Anlagenteilzugehörigkeit des Feldgerätes F. Gemäß dieser durch die Prüfung ermittelten Limitierung schaltet die Zugriffskontrolleinheit ZKE anschließend das Feldgerät F frei.
-
3 zeigt ferner das erfindungsgemäße System S der Automatisierungstechnik umfassend:
- – eine Computereinheit CE, auf der ein computer-implementiertes Verfahren zum Bereitstellen von limitierten Zugangsschlüsseln ZS die als Zugangsdaten ZD für den Zugriff auf ein Feldgerät F der Automatisierungstechnik dienen, abläuft, wobei die limitierten Zugangsschlüssel wie zuvor beschrieben erzeugt werden,
- – eine Vielzahl von Feldgeräten F, die sich in einer Automatisierungsanlage A befinden und derartig ausgebildet sind, wie zuvor beschrieben, wobei die Feldgeräte F vorteilhafterweise über einen Feldbus FB mit einer übergeordneten Einheit E verbunden sind und der Anlagenschlüssel AS in den Feldgeräten F über den Feldbus FB aktualisierbar ist,
- – eine Bedieneinheit BE über die eine Eingabe der Zugangsdaten ZD an dem Feldgerät F möglich ist.
-
Bezugszeichenliste
-
-
- A
- Automatisierungsanlage
- AK
- Anlagenkennwort
- ALB_FG
- Authentisierte Limitierungsbeschreibung, errechnet durch das Feldgerät
- AS
- Anlagenschlüssel
- AT
- Anlagenteil
- BE
- Bedieneinheit
- OS
- Scanner, insbesondere optischer Scanner
- BV
- Blockverschlüsselungsverfahren
- CE
- Computereinheit
- DE
- Datenverarbeitungseinheit
- E
- Übergeordnete Einheit
- EE
- Eingabeeinheit
- ELB
- verschlüsselten Limitierungsbeschreibung
- ELB_FG
- verschlüsselter binärer Datenblock
- F
- Feldgerät
- FB
- Feldbus
- FE
- Funkeinheit
- FG
- Feldgerätegruppe
- FV
- Funkverbindung
- HF
- Hashfunktion
- LB
- Limitierungsbeschreibung
- MAC
- Teile der verschlüsselten Limitierungsbeschreibung
- RV
- Remote-Verbindung
- S
- Speicher
- SO
- Scannbares Objekt
- U
- Uhr
- VZ
- Vorrichtung zur Zeiterfassung
- Z
- Zeitquelle
- ZE
- Zeitermittlungseinheit
- ZD
- Zugangsdaten
- ZI
- Zeitinformation
- ZR
- Zugriffsregelung
- ZS
- Zugangsschlüssel
- EM
- Externer Mitarbeiter
- IM
- Interner Mitarbeiter
- ZKE
- Zugriffskontrolleinheit
- ALB
- Authentisierte Limitierungsbeschreibung
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- Standard IEEE 802.15.4 [0006]