DE102014112611A1 - Verfahren zur Authentifikation mindestens einer ersten Einheit an mindestens einer zweiten Einheit - Google Patents

Verfahren zur Authentifikation mindestens einer ersten Einheit an mindestens einer zweiten Einheit Download PDF

Info

Publication number
DE102014112611A1
DE102014112611A1 DE102014112611.4A DE102014112611A DE102014112611A1 DE 102014112611 A1 DE102014112611 A1 DE 102014112611A1 DE 102014112611 A DE102014112611 A DE 102014112611A DE 102014112611 A1 DE102014112611 A1 DE 102014112611A1
Authority
DE
Germany
Prior art keywords
unit
ulk
code
user
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102014112611.4A
Other languages
English (en)
Inventor
Tilman Benkert
Björn Haase
Günter Jahl
Stefan Robl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Endress and Hauser Conducta GmbH and Co KG
Original Assignee
Endress and Hauser Conducta Gesellschaft fuer Mess und Regeltechnik mbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Endress and Hauser Conducta Gesellschaft fuer Mess und Regeltechnik mbH and Co KG filed Critical Endress and Hauser Conducta Gesellschaft fuer Mess und Regeltechnik mbH and Co KG
Priority to DE102014112611.4A priority Critical patent/DE102014112611A1/de
Priority to CN201510557565.4A priority patent/CN105392134B/zh
Priority to US14/842,993 priority patent/US9710984B2/en
Publication of DE102014112611A1 publication Critical patent/DE102014112611A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/38Services specially adapted for particular environments, situations or purposes for collecting sensor information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Lock And Its Accessories (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur einseitigen oder wechselseitigen Authentifikation mindestens einer ersten Einheit (M), insbesondere einem Mobilgerät, an mindestens einer zweiten Einheit (FD), insbesondere einem Feldgerät, innerhalb einer Anlage (A), insbesondere im Bereich der Prozessautomatisierungstechnik, wobei zwischen erster Einheit (M) und zweiter Einheit (FD) eine, vorzugsweise drahtlose, Verbindung aufgebaut ist, umfassend die Schritte: Aufstellen einer Sicherheitsrichtlinie (P), wobei die Sicherheitsrichtlinie (P) Regeln (R) zur Gewährung eines Zugangs der ersten Einheit (M) auf Basis zumindest eines Freischaltcodes (ULK), und Informationen (PW_CA) zur Überprüfung des Freischaltcodes (ULK) auf seine Gültigkeit umfasst; Bereitstellung der Sicherheitsrichtlinie (P) an der zweiten Einheit (FD); Erzeugen eines Freischaltcodes (ULK) für die erste Einheit (M), und Bereitstellung des Freischaltcodes (ULK) an der ersten Einheit (M); Übermitteln des Freischaltcodes (ULK) von der ersten Einheit (M) an die zweite Einheit (FD); und Überprüfung des Freischaltcodes (ULK) durch die zweite Einheit (FD) anhand der Sicherheitsrichtlinie (P) und gegebenenfalls Gewähren von Zugang. Die Erfindung betrifft weiter ein Computerprogrammprodukt zur Ausführung des Verfahrens und eine computerlesbaren Datenträger, der das Computerprogrammprodukt umfasst.

Description

  • Die Erfindung betrifft ein Verfahren zur Authentifikation mindestens einer ersten Einheit, insbesondere einem Mobilgerät, an mindestens einer zweiten Einheit, insbesondere einem Feldgerät, innerhalb einer Anlage, insbesondere im Bereich der Prozessautomatisierungstechnik, wobei zwischen erster Einheit und zweiter Einheit eine Kommunikationsverbindung, insbesondere eine drahtlose Kommunikationsverbindung aufgebaut ist. Die Erfindung betrifft weiter ein Computerprogrammprodukt zur Ausführung des Verfahrens und einen computerlesbaren Datenträger, der das Computerprogrammprodukt umfasst.
  • In der Prozessautomatisierungstechnik werden vielfach Feldgeräte eingesetzt, die zur Erfassung und/oder Beeinflussung von Prozessgrößen dienen. Als Feldgeräte werden im Prinzip alle Geräte bezeichnet, die prozessnah eingesetzt werden und die prozessrelevante Informationen liefern oder verarbeiten. Neben Sensoren und Aktoren werden als Feldgeräte allgemein auch solche Einheiten bezeichnet, die direkt an einem Feldbus angeschlossen sind, und zur Kommunikation mit den übergeordneten Einheiten dienen, wie z.B. Remote I/Os, Gateways, Linking Devices und Wireless Adapter.
  • Eine Vielzahl solcher Feldgeräte wird von der Endress + Hauser-Gruppe hergestellt und vertrieben.
  • Authentifikation ist der Nachweis (Verifizierung) einer behaupteten Eigenschaft einer Entität, beispielsweise die oben genannte ersten Einheit, die dabei durch einen bestimmten Beitrag ihre Authentifikation durchführt.
  • Die Authentifikation der Entität bezüglich der behaupteten Eigenschaft der Authentizität, die beispielsweise Einräumen einer „bestehenden Zugangsberechtigung“ oder „Echtheit“ sein kann, erlaubt der authentifizierten Entität weitere Aktionen. Die Entität gilt dann als authentisch.
  • Eine als authentisch identifizierte Entität kann optional auch mit verschiedenen Autorisierungen versehen werden. Unter Autorisierung im Sinne dieser Schrift ist zu verstehen, dass einer Entität z.B. durch bestimmte zulässige Modi und/oder in einem bestimmten Kontext eingeschränkte Rechte zugewiesen werden, beispielsweise nur lesende Zugriffsrechte, Kombinierte Lese- und Schreibrechte, oder ggf. auch besondere Administrationsrechte, die nur ausgewählte Entitäten übertragen bekommen.
  • Eine Authentifikation gilt solange, bis der betreffende Kontext verlassen oder verändert oder bis der betreffende Modus verlassen oder verändert wird.
  • Drahtlose Lösungen existieren bereits für viele Consumeranwendungen. Ein Beispiel sind Funklösungen auf Basis eines der Standards der Bluetooth-Familie. Bezüglich Messtechnikanwendungen im Consumerbereich werden im Stand der Technik z.B. Lösungen angeboten, die für Sportler eine drahtlose Übertragung der Herzfrequenz oder die Anzahl von Schritten an eine mobile Anzeige/Bedieneinheit übermitteln, beispielsweise ein Mobiltelefon mit integrierter Bluetooth-Schnittstelle.
  • Die Verschlüsselung erfolgt dort in der Regel über einen sogenannten „Pairing-Vorgang“, währenddessen ein Austausch eines geheimen Schlüssels zwischen beiden Kommunikationspartnern erfolgt. Wegen der Limitierungen der Gegenstellen erfolgt dieser Schlüsselaustausch in der Regel nur auf Basis einer Authentifikation mittels eines Zahlencodes von nur 4 Stellen. Diese 4 Stellen sind häufig auf einen (unveränderbaren) Standardwert eingestellt, beispielsweise 0000, besonders bei Messgeräten ohne Anzeige, so dass die Sicherheit weiter verringert wird.
  • Diese Authentifikationsart optimiert die Bedienfreundlichkeit für den Consumerkunden auf Kosten der security. Diese minimale Sicherheit ist für die bei Industrieanlagen anzusetzenden security nicht ausreichend. Im Deutschen entspricht „Sicherheit“ den englischen Begriffen security sowie safety. Der englische Begriff security ist präziser als das deutsche Pendant „Sicherheit“. Mit der Eigenschaft safety ist gemeint, dass sich ein System konform zur erwarteten Funktionalität verhält. Kurz gesagt: es funktioniert verlässlich so, wie es soll. Security bezieht sich dagegen auf den Schutz der technischen Verarbeitung von Informationen und ist eine Eigenschaft eines funktionssicheren Systems. Sie soll verhindern, dass nicht-autorisierte Datenmanipulationen möglich sind oder die Preisgabe von Informationen stattfindet. Im Folgenden wird unter den Begriffen „Sicherheit“ und „sicher“ die Eigenschaft security verstanden, wenn nicht anderweitig vermerkt.
  • Eine weitere aus dem IT-Umfeld bekannte Funktechnik ist WLAN (oder englisch WiFi). WLAN, insbesondere die WLAN-Sicherheit, ist dazu geeignet viele erste Geräte, etwa mehrere Computer oder Mobilgeräte, mit einem einzelnen zweiten Gerät, etwa einem Router, zu verbinden(englisch: one to many connection). Hingegen ist WLAN nicht dazu ausgelegt, um ein einzelnes erstes Gerät, etwa ein einzelner Computer und ein einzelnen Mobilgerät, mit mehreren zweiten Geräten, etwa mehreren Routern, zu verbinden(englisch: many to one connection).
  • Im industriellen Umfeld befinden sich innerhalb einer Anlage bis zu mehrere hundert Feldgeräte. Diese sind beispielsweise in verschiedenen Gruppen strukturiert. Für diese Feldgeräte wiederum gibt es mehrere verschiedene Nutzer, welche die Feldgeräte warten, kalibrieren, usw. Diese Nutzer haben üblicherweise unterschiedliche Berechtigungen hinsichtlich der Feldgerätegruppen oder der individuellen Feldgeräte. Regelmäßig werden Nutzer hinzugefügt, Berechtigungen geändert oder Nutzer verlieren ihre Berechtigung, etwa beim Ausscheiden aus der Firma. Externe Nutzer, etwa Hilfskräfte wie Feuerwehr im Notfall oder externe Dienstanbieter brauchen temporären Zugriff auf gewisse Feldgeräte. Weiterhin sind anlagenspezifisch unterschiedliche Sicherheitsanforderungen anzusetzen. So ist z.B. im Bereich der Trinkwasserversorgung ggf. ein höherer Standard anzusetzen, als im Abwasserbereich. Die Sicherheitsanforderungen sind damit in vielen Fällen stark Anwendungs- und Anlagenspezifisch. Eine Änderung der Software/Firmware der einzelnen Feldgeräte bezüglich der Berechtigungen der einzelnen Nutzer und der Sicherheitsmerkmale ist bei einer großen Anzahl an Feldgeräten nicht praktikabel.
  • Erhöhte Sicherheitsanforderungen erwachsen insbesondere auch dann, wenn der Zugriff auf eine Anlage der Automatisierungstechnik über öffentliche Netze, wie Mobilfunknetze oder das Internet ermöglicht wird, oder der Zugriff über ein Funkinterface, z.B. auf Basis eines der Bluetooth-Standards, erfolgt. Öffentliche Netze und Funkinterfaces haben die Gemeinsamkeit, dass der Zugriffskanal leichter kryptographisch „angegriffen“ werden kann, als lokale drahtgebundene Verbindungen.
  • Zu berücksichtigen ist dabei, dass auf vielen Anlagen der Automatisierungstechnik sogenannte Firewalls das lokale Netzwerk von öffentlichen Netzwerken, wie dem Internet bewusst trennen. Dies reduziert zwar auf der einen Seite die Gefahr von Angriffen, auf der anderen Seite stehen aber auch Sicherheitsmechanismen auf Basis von Servern im Internet für das Authentisierungssystem nicht mehr zur Verfügung, da diese für das Feldgerät nicht mehr erreichbar sind. Beispielsweise sind so Zertifikatsüberprüfungen, wie sie der TLS-Standard (Transport Layer Security, früher SSL-Standard, Secure Sockets Layer) unter Einbeziehung zentraler Server der zertifikatsausgebenden Stellen im Internet durchführt, in vielen Industrieanlagen nicht möglich.
  • Zusätzlich ist bei Feldgeräten der Aspekt der Verfügbarkeit zu berücksichtigen. So darf bei vielen Anwendungen der Zugriff auf ein Feldgerät im Zuge der Wartung oder eines Notfalleinsatzes nicht dadurch unterbunden werden, dass durch einen Hardwareausfall der Zugriff auf die auf einem zentralen Server verwaltete Nutzerdatenbank scheitert. Für diesen Anwendungsfall ist in gewissem Umfang eine autarke Funktion des Feldgerätes erforderlich, zum Beispiel in der Form, dass bekannten Nutzern mit ihrem zuletzt gültigen Passwort Zugriff gewährt wird.
  • Andererseits ist es bereits bei einer mittelgroßen Anlage mit etwa 50 Feldgeräten und 15 Nutzern nicht mehr praktikabel ohne eine gewisse zentrale Steuerung der Nutzerverwaltung individuelle Accounts zu verwalten. Beim Hinzufügen eines Nutzers müsste dieser beispielsweise bei allen 50 Feldgeräten zunächst eingetragen werden.
  • Aus diesem Grund ist für den Anwender einer Anlage die Versuchung hoch, die naheliegende „Lösung“, dass alle Anwender das gleiche Passwort verwenden umzusetzen, mit der Konsequenz, dass letztendlich alle Sicherheitsmechanismen dadurch ausgehebelt werden.
  • Feldgeräte werden in Anlagen vielfach über ein analoges oder digitales Interface mit einer Leitstelle verbunden, beispielsweise über Feldbusstandards wie Profibus, Foundation Fieldbus, HART oder alternativ darüber, dass der Messwert in einen analogen Stromwert von z.B. 4 bis 20 mA umgewandelt wird.
  • Weder die Feldbusstandards noch die zugehörigen Leitstellen sind zum Zeitpunkt der Anmeldung dafür ausgelegt, die Datenverbindung zur Übertragung von Informationen bezüglich von Anwender-Accounts, wie zum Beispiel verschlüsselte Passwörter oder Nutzerrechte zu übertragen.
  • Ein im Umfeld der Industrieautomation, besonders der Prozessautomatisierung, hinderlicher Aspekt bezüglich der Berücksichtigung erhöhter Sicherheitsanforderungen betrifft auch die Fähigkeiten der integrierten Bedieneinheiten, d.h. bezüglich Anzeige- und Bedienmöglichkeiten, beispielsweise über ein Display und mittels Tasten. Eine Auslegung der Gehäuse für die Industrieumgebung bezüglich Verschmutzung, Explosionsschutz, Temperaturbereich oder begrenzte Energieversorgung führt dazu, dass die Fähigkeiten der Bedieneinheiten in vielen Fällen so stark limitiert sind, dass die Eingabe eines „sicheren“, also eines schwer zu erratenden Passworts sehr umständlich ist. Dies ist beispielsweise der Fall, weil für die Bedienung nur 2 Tasten zur Verfügung stehen. Besonders relevant ist dieser Aspekt auch bei sogenannten druckgekapselten explosionsgeschützten Geräten, bei denen der Anschluss von Schaltern/Tastern für das Bedieninterface aus dem druckgekapselten Gehäuse hohen Aufwand verursacht, weswegen dort in vielen Fällen nur wenige Bedienschalter zur Verfügung stehen.
  • Der Erfindung liegt die Aufgabe zugrunde, eine Sicherheitsinfrastruktur vorzuschlagen, welche eine sichere, einfache und flexible Möglichkeit bietet mehrere zweite Einheiten, etwa Feldgeräte, mit einer einzelnen ersten Einheit, etwa ein Mobilgerät, zu verbinden und den Anwendern eine Authentifikation zu ermöglichen. Anders formuliert soll ein sicherer Anmeldeprozess auch über ein Mobilgerät, wie etwa Smartphone, Laptop oder Tablet-Computer erfolgen, d.h. über ein Gerät, das in geringerem Maß auf Verschmutzung und rauhe Umgebungsbedingungen ausgelegt werden braucht und das auf seinem Nutzerinterface auch eine komfortable Eingabe von „sicheren“ Passwörtern ermöglicht, z.B. über Touch-Screens.
  • Die Aufgabe wird gelöst durch ein Verfahren zur einseitigen oder wechselseitigen Authentifikation mindestens einer ersten Einheit, insbesondere einem Mobilgerät, an mindestens einer zweiten Einheit, insbesondere einem Feldgerät, innerhalb einer Anlage, insbesondere im Bereich der Prozessautomatisierungstechnik, wobei zwischen erster Einheit und zweiter Einheit eine, vorzugsweise drahtlose, Verbindung aufgebaut ist. Das Verfahren umfasst die Schritte: Aufstellen einer Sicherheitsrichtlinie, wobei die Sicherheitsrichtlinie Regeln zur Gewährung eines Zugangs der ersten Einheit auf Basis zumindest eines Freischaltcodes, und Informationen zur Überprüfung des Freischaltcodes auf seine Gültigkeit umfasst; Bereitstellung der Sicherheitsrichtlinie an der zweiten Einheit; Erzeugen eines Freischaltcodes für die erste Einheit, und Bereitstellung des Freischaltcodes an der ersten Einheit; Übermitteln des Freischaltcodes von der ersten Einheit an die zweite Einheit; und Überprüfung des Freischaltcodes durch die zweite Einheit anhand der Sicherheitsrichtlinie und gegebenenfalls Gewähren von Zugang.
  • Die für die Authentifikation erforderlichen Informationen sind erfindungsgemäß also in mehrere Teilkomponenten zerlegt: Die Sicherheitsrichtlinie, sowie ein oder mehrere Freischaltcodes. Der Vorteil der Trennung der für die Authentifikation erforderlichen Informationen besteht darin, dass damit konstante, selten veränderliche Informationen wie die Sicherheitsregeln von dynamisch veränderlichen Größen getrennt werden können. Insbesondere eröffnet diese Trennung in Sicherheitsrichtlinie und Freischaltcodes die Möglichkeit, auf der Anlage neu berechtigte Nutzer, oder auf der Anlage neu berechtigte Mobilgeräte nachträglich dadurch hinzuzufügen, dass entsprechende Freischaltcodes dem Feldgerät nachträglich übermittelt werden. Weiter ermöglicht dies einen Freischaltcode für einen neu eingetretenen Mitarbeiter zu einem Zeitpunkt zu generieren, zu dem die Feldgeräte bereits in Betrieb genommen wurden.
  • In einer vorteilhaften Weiterbildung wird der Freischaltcode als hardwarebezogener Freischaltcode anhand spezifischer Daten der ersten Einheit, insbesondere Seriennummer, International Mobile Equipment Identity, International Mobile Subscriber Identity, Telefonnummer oder auf der SIM-Karte gespeicherten Daten, erzeugt.
  • In einer weiteren vorteilhaften Weiterbildung wird der Freischaltcode als nutzerbezogener Freischaltcode anhand spezifischer Daten eines Nutzers der ersten Einheit, insbesondere Name und Nutzerpasswort, erzeugt.
  • Somit können einzelne Nutzer und/oder einzelne Mobilgeräte autorisiert werden. Zur Erhöhung der Sicherheit werden beide Verfahren einander nachgeschaltet angewendet.
  • In einer bevorzugten Ausführungsform werden unterschiedliche Rechte an der zweiten Einheit je nach Freischaltcode gewährt. Der Freischaltcode an sich enthält also schon die jeweiligen Berechtigungen, weitere Einstellungen sind nicht nötig, was den Verwaltungsaufwand minimiert. Beispiele hierfür sind Lesen, Schreiben, Verwalten, das Recht Firmware Updates durchzuführen o.ä.
  • In einer vorteilhaften Ausführung handelt es sich bei den Informationen zur Überprüfung des Freischaltcodes um einen öffentlichen Masterschlüssel eines zentralen Administrators. Der öffentliche Masterschlüssel kann beispielsweise aus einem privaten (also geheimen) Masterschlüssel generiert werden. Der private Masterschlüssel wiederum setzt sich etwa zusammen aus einem, vorzugsweise langen und „sicheren“, Passwort und etwa zumindest einer Zufallszahl.
  • Zur Erhöhung der Sicherheit ist der Freischaltcode zeitlich limitiert.
  • In einer vorteilhaften Weiterbildung berechtigt der nutzerbezogene Freischaltcode zur Erstellung weiterer Freischaltcodes. Der entsprechende Nutzer kann somit als Unter-Administrator betrachtet werden. Somit können ohne Kenntnis des privaten Masterschlüssels des zentralen Administrators weitere Freischaltcodes generiert werden, was die Sicherheit weiter erhöht, da die Erzeugung eines Freischaltcodes eindeutig dem entsprechenden Unter-Administrator zugeordnet werden kann.
  • Bevorzugt umfasst die Sicherheitsrichtlinie zumindest eine der Information Name der Anlage, Masterschlüssel, und Information darüber welche Freischaltcodes in welcher Kombination Zugang gewähren.
  • In einer vorteilhaften Ausgestaltung erfolgt die Bereitstellung des Freischaltcodes an der ersten Einheit mittels eines textbasierten Verfahrens, insbesondere SMS, E-Mail oder Instant Messaging, oder eines optischen Verfahrens, insbesondere mittels 2D-Code, etwa per Matrix-Code, beispielsweise als QR-Code oder DataMatrix-Code, erfolgt. Dies stellt eine einfache Art der Verteilung des Freischaltcodes dar.
  • In einer bevorzugten Weiterbildungsform ist die Sicherheitsrichtlinie, insbesondere zusätzlich, auf einem Server gespeichert. Die eröffnet mehre Möglichkeiten, die im Folgenden beschrieben werden.
  • Bevorzugt sind auf diesem Server eine Positivliste und/oder eine Negativliste gespeichert, wobei auf der Positivliste bzw. auf der Negativliste die berechtigten bzw. gesperrten spezifischen Daten der ersten Einheit und/oder spezifischen Daten eines Nutzers der ersten Einheit aufgeführt sind. Eine Negativliste wird auch blacklist oder Sperrliste genannt. Über den Eintrag in solche Sperrlisten kann ein Administrator nachträglich bereits über Freischaltcodes gewährte Zugriffe widerrufen.
  • In einer vorteilhaften Ausgestaltung wird ein asymmetrisches Kryptosystem mit einem geheimen privaten Schlüssel und einem jeweils zugehörigen öffentlichen Schlüssel verwendet, wobei der jeweilige geheime private Schlüssel für die Generierung eines Freischaltcodes erforderlich ist und der öffentliche Schlüssel zur Authentizitätsüberprüfung genutzt wird. Dies weist den Vorteil auf, dass die für die Erzeugung eines Freischaltcodes entscheidenden Schlüssel weniger Teilsystemen bekannt sind und deswegen ein geringeres Risiko besteht, dass Freischaltcodes von unberechtigten Personen generiert werden.
  • Dabei wird der beim asymmetrischen Kryptosystem bevorzugt ein Kryptosystem auf Basis elliptischer Kurven verwendet. Die bezüglich der Rechenleistung geringste Komplexität asymmetrischer Verfahren weisen Verfahren auf Basis elliptischer Kurven auf. Diese haben außerdem den Vorteil, dass zur digitalen Kodierung einer digitalen Signatur nur wenige Bytes ausreichen.
  • Alternativ wird in einer Ausgestaltung ein symmetrisches Kryptosystem verwendet, bei dem der gleiche Schlüssel sowohl für die Generierung als auch für die Überprüfung des Freischaltcodes genutzt wird. Diese Ausgestaltung ist vor allem für Systeme vorteilhaft, bei denen die Rechenleistung für die numerischen Operationen eines asymmetrischen Kryptosystems nicht ausreicht.
  • In einer Weiterbildung handelt es sich der zweiten Einheit um ein Feldgerät in Zweileitertechnik. Geräte in Zweileitertechnik kommen in der Regel mit wenig Energie aus und arbeiten sehr energie- und kosteneffizient.
  • Dabei verfügt das Feldgerät über keinerlei Display. Das Display ist häufig der Hauptenergieverbraucher. Außerdem wird somit weniger Platz benötigt.
  • In einer vorteilhaften Ausgestaltung wird das Verfahren als dezentrales Verfahren ausgeführt, insbesondere wird kein zentrales System wie eine Leitstelle benötigt. Der erfindungsgemäße Verfahren funktioniert also auch bei Ausfall der zentralen Verwaltungseinheit, also etwa der Leitstelle, oder wenn keine Verbindung zur Leitstelle besteht.
  • Bevorzugt ist zwischen erster Einheit und zweiter Einheit eine drahtlose Verbindung, insbesondere eine drahtlose Verbindung per Bluetooth oder WLAN, aufgebaut.
  • Die Aufgabe wird weiter gelöst durch ein Computerprogrammprodukt, das so angepasst ist, dass es zumindest ein vorstehend beschriebenes Verfahren ausführt.
  • Die Aufgabe wird weiter gelöst durch einen computerlesbaren Datenträger, der das Computerprogrammprodukt wie vorstehend beschrieben umfasst.
  • Bevorzugt befindet sich der computerlesbare Datenträger dabei auf/in der ersten Einheit und/oder der zweiten Einheit.
  • Die Erfindung wird anhand der nachfolgenden Figuren näherer erläutert. Es zeigen
  • 1 eine Anlage, in der das erfindungsgemäße Verfahren angewendet wird,
  • 2 ein schematisches Ablaufdiagramm des erfindungsgemäßen Verfahrens,
  • 3a/b/c ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens um Schlüsseldaten für eine Gerät- oder eine Personenidentifikation zu generieren, mit
  • 3a Aufstellen der Sicherheitsrichtlinie durch den Administrator,
  • 3b Generierung eines Freischaltcodes für einen Nutzer,
  • 3c Generierung eines Freischaltcodes für ein Mobilgerät,
  • 4a/b ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens zur Übertragung von für die Authentifikation erforderlichen Daten an Feldgeräte,
  • 5a/b ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens zur Erzeugung von erfindungsgemäßen Freischaltcodes für Anwender und Geräte,
  • 6a/b ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens zur Überprüfung von Freischaltcodes von Anwendern und Geräteidentitäten durch Feldgeräte,
  • 7 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens zur Generierung von Sperrlisteneinträgen,
  • 8 eine schematische Übersicht der im Kontext der Erfindung relevanten Beteiligten Personen und Geräte, und
  • 9 eine Ausführungsbeispiel der Erfindung, bei der die Freischaltcodes und die Sperrlisteneinträge auf einem zentralen Datenbankserver gespeichert werden.
  • In den Figuren sind gleiche Merkmale mit gleichen Bezugszeichen gekennzeichnet. Im Folgenden und insbesondere in den Figuren werden teilweise englische Begriffe verwendet. In der Bezugszeichenliste werden diese englischen Begriffe mit ihren deutschen Übersetzungen in Klammern und in kursiver Schrift aufgelistet.
  • Zunächst soll auf eine Anlage A eingegangen werden bei der das erfindungsgemäße Verfahren angewendet werden kann. 8 gibt einen Überblick über die beteiligten Personen und Geräte. Die Anlage A umfasst als Hauptbestandteil zumindest eine erste Einheit M und zumindest eine zweite Einheit FD. Zunächst soll auf die zweite Einheit FD eingegangen werden.
  • Zu sehen ist eine zweite Einheit, im Beispiel ein Feldgerät FD (englisch field device) der Prozessautomatisierungstechnik, beispielsweise ein Sensor. Genauer sind in zwei Feldgeräte FD1 und FD2 abgebildet, die beide vom Typ „zweite Einheit FD“ sind. Die Begriffe „Feldgerät“ und „zweite Einheit“ sollen im Folgenden synonym verwendet werden. Bei dem Feldgerät FD handelt es sich insbesondere um ein Feldgerät in Zweileitertechnik. Das Feldgerät FD ist von der Bedienung her relativ „einfach“ ausgestaltet, insbesondere soll das Feldgerät nur über rudimentäre Eingabe- und Ausgabemöglichkeiten verfügen. So hat das Feldgerät etwa nur wenige Knöpfe und Schalter zur Verfügung und besitzt kein oder nur ein „einfaches“ Display, beispielsweise nur ein zweifarbiges Display mit wenigen Zeichen als Anzeigemöglichkeit oder ggf. nur Signalisierungs-Leuchtdioden.
  • Bei dem Sensor handelt es sich etwa um einen pH-, Redoxpotential-, auch ISFET-, Temperatur-, Leitfähigkeit-, Druck-, Sauerstoff-, insbesondere gelöster Sauerstoff-, oder Kohlenstoffdioxidsensor; um einen ionenselektiven Sensor; um einen optischen Sensor, insbesondere einen Trübungssensor, einen Sensor zur optischen Bestimmung der Sauerstoffkonzentration, oder einen Sensor zur Bestimmung der Anzahl von Zellen und Zellstrukturen; um einen Sensor zur Überwachung bestimmter organischer oder metallischer Verbindungen; um einen Sensor zur Bestimmung einer Konzentration einer chemischen Substanz, beispielsweise eines bestimmten Elements oder einer bestimmten Verbindung; oder um einen Biosensor, z.B. einen Glukosesensor oder einen Sensor zur ermittlung eines physikalischen Parameters wie Druck, Temperatur oder Durchfluss. Das Feldgerät FD bestimmt eine Messgröße eines Mediums 1, im Beispiel in einem Becher dargestellt. Gleichwohl sind andere Behältnisse wie Leitungen, Becken, Behälter, Kessel, Rohr, Rohrleitung o.ä. möglich.
  • Das Feldgerät FD kommuniziert mit einer übergeordneten Einheit, etwa direkt mit einem Leitsystem 5 oder mit einem Transmitter. Die Kommunikation zum Leitsystem 5 erfolgt über einen Bus 4, etwa über HART, PROFIBUS PA, PROFINET, Modbus, FOUNDATION Fieldbus oder EtherNet/IP. Es ist auch möglich die Schnittstelle 6 als drahtlose Schnittstelle auszugestalten, etwa nach dem WirelessHART Standard (nicht abgebildet). Darüber hinaus ist optional oder zusätzlich eine 4...20 mA Schnittstelle vorgesehen. Erfolgt die Kommunikation zusätzlich oder alternativ zu einem Transmitter statt direkt zum Leitsystem 5 können entweder die oben genannten Bussysteme zur Kommunikation verwendet werden, oder es wird ein proprietäres Protokoll, etwa vom Typ „Memosens“ verwendet. Das Memosens-Protokoll bzw. Feldgeräte, die mittels des Memosens-Protokolls kommunizieren, werden von der Anmelderin vertrieben.
  • Am busseitigen Ende des Feldgeräts FD ist eine Schnittstelle 6 vorgesehen. Die Schnittstelle 6 verbindet das Feldgerät FD mit dem Bus 6. Die Schnittstelle 6 ist etwa als galvanisch trennende, insbesondere als induktive Schnittstelle ausgestaltet. Im Beispiel besteht die Schnittstelle 6 aus zwei Teilen mit einem ersten Teil auf der Feldgeräteseite und einem zweiten Teil auf Busseite. Diese sind mittels einer mechanischen Steckverbindung miteinander koppelbar. In einer Ausführungsform werden über die Schnittstelle 6 Daten (bidirektional) und Energie (unidirektional, d.h. von der übergeordneten Einheit 5 zum Feldgerät FD) gesendet.
  • Das Feldgerät FD umfasst vorteilhafterweise weiter eine, ggf. drahtlose Schnittstelle 2 zur Kommunikation 3 mit einer ersten Einheit (Mobilgerät M), die etwa als Bluetooth-Schnittstelle, Ethernet-Schnittstelle, WLAN-Schnittstelle oder eine Funkverbindung auf Basis des Funkstandards IEEE 802.15.4, wie z.B. Zigbee ausgestaltet ist. Die Bluetooth-Schnittstelle genügt insbesondere dem Protokollstapel Low Energy als „Bluetooth Low Energy“ (auch als BTLE, BLE, oder Bluetooth Smart bekannt). Das Feldgerät FD genügt somit zumindest dem Standard „Bluetooth 4.0“.
  • Neben zumindest einem Feldgerät FD umfasst die Anlage A zumindest noch eine erste Einheit. Die erste Einheit ist als Mobilgerät M ausgestaltet, etwa als Mobiltelefon, Smartphone, Tablet oder Personal Digital Assistant (PDA). Alternativ kann ein tragbarer Computer, Notebook, Sub-Notebook, Netbook oder Desknote verwendet werden. Die Begriffe „Mobilgerät“ und „erste Einheit“ sollen im Folgenden synonym verwendet werden. Als besondere Alternative wird ein Industrie-PDA verwendet. Dieser ist auch in einer Ex-Ausführung erhältlich, etwa von Endress + Hauser unter der Bezeichnung „Field Xpert SFX370“. Als Ex-Ausführung soll hier etwa die Zündschutzart „II 2G Ex ia IIC T4 Gb IP64“, o.a. verstanden werden. Das Mobilgerät M umfasst eine Anzeige und Bedienelemente. Moderne Mobilgeräte sind mit einem Touchscreen ausgestattet, so dass die Bedienung direkt über die Anzeige erfolgt.
  • Im Folgenden soll darauf eingegangen werden wie das Mobilgerät M mit dem Feldgerät FD mittels der Verbindung 3 kommuniziert. In einer ersten Variante ist jedem Feldgerät FD genau ein Mobilgerät M zugeordnet. Bevorzugt kann ein Mobilgerät M jedoch mit mehreren Feldgeräten FD1, FD2 kommunizieren bzw. mehrere Mobilgeräte M können mit ein oder mehreren Feldgeräten FD1, FD2 kommunizieren.
  • Das Feldgerät FD umfasst dazu weiter einen computerlesbaren Datenträger, insbesondere einen Speicher 7, wobei der Speicher 7 ein Computerprogrammprodukt umfasst, das so angepasst ist, dass es das erfindungsgemäße Verfahren oder bestimmte Schritte daraus ausführt. Selbstredend sind etwaig nötige Bauteile wie eine Recheneinheit ebenfalls Bestandteil des Feldgerät FD (diese sind nicht dargestellt). In einer vorteilhaften Ausführungsform umfasst das Mobilgerät M ebenfalls einen computerlesbaren Datenträger, der ein Computerprogrammprodukt umfasst, welches das erfindungsgemäße Verfahren oder bestimmte Schritte daraus ausführt. Das Mobilgerät M ist vorteilhaft außerdem mit einer Kamera und/oder einem Anschluss für Speichermedien wie z.B. Memory-Sticks, mobile Festplatten, sogenannte SD-Speicherkarten oder Speichermedien auf Basis einer Drahtlostechnologie (wie RFID oder NFC) ausgestattet.
  • Das Feldgerät FD umfasst weiter einen computerlesbaren Datenträger, insbesondere einen Speicher 7, wobei der Speicher 7 ein Computerprogrammprodukt umfasst, das so angepasst ist, dass es das erfindungsgemäße Verfahren oder bestimmte Schritte daraus ausführt.
  • Selbstredend sind etwaig nötige Bauteile wie eine Recheneinheit ebenfalls Bestandteil des Feldgeräts FD (nicht dargestellt). In einer vorteilhaften Ausführungsform umfasst das Mobilgerät M ebenfalls einen computerlesbaren Datenträger, der ein Computerprogrammprodukt umfasst, welches das erfindungsgemäße Verfahren oder bestimmte Schritte daraus ausführt.
  • 2 zeigt dazu ein schematisches Ablaufdiagramm zum erfindungsgemäßen Verfahren.
  • Die Anlage A umfasst einen zentralen Administrator CA, im Folgenden Administrator genannt. Der Administrator CA ist der zentrale Ansprechpartner für die Verwaltung der Feldgeräte FD und der Mobilgeräte M. Für die Anlage A gibt es eine Sicherheitsrichtlinie P (englisch: security policy). Die Sicherheitsrichtlinie P besteht dabei aus zwei Komponenten, den Regeln R und Schlüsselinformationen UCV_KEY (englisches Akronym für unlock code verification key), welche gestatten, die Gültigkeit der im Folgenden beschriebenen Freischaltcodes ULK zu verifizieren.
  • In den Regeln R zur Gewährung eines Zugangs werden in einer für das Feldgerät FD digital auswertbaren Form alle Informationen zusammengefasst, die festlegen, wie die Authentifikation auf der Anlage A zu erfolgen hat. Die Regeln können beispielsweise festlegen, dass der Zugriff auf das Feldgerät FD nicht von beliebigen Mobilgeräten M gestattet werden soll, sondern nur von ausgewählten Mobilgeräten M, welche für das Feldgerät FD oder die Anlage A explizit autorisiert wurden, und diese Autorisierung darüber nachweisen können, dass sie einen entsprechenden für die Anlage A gültigen „Freischaltcode ULK“ vorweisen können.
  • Damit kann der Administrator CA sicherstellen, dass ein Zugriff nur über solche Mobilgeräte M erfolgen kann, die unter einer geeigneten Sicherheitskontrolle stehen und z.B. einen aktuellen Virenscanner installiert haben.
  • Weiterhin können die Regeln R alternativ oder zusätzlich festschreiben, dass der Zugriff auf bestimmte Anwender OP beschränkt werden soll. Diese Anwender OP sind berechtigt, auf der Anlage A zu arbeiten, und diese Berechtigung wird dadurch nachgewiesen, dass sie über einen nutzerbezogenen Freischaltcode ULK verfügen, und die Kenntnis des in diesem nutzerbezogenen Freischaltcode ULK hinterlegten Passworts nachweisen können.
  • Der Ablauf des durch das Feldgerät durchgeführten Authentifikationsprozesses enthält damit sowohl für die Überprüfung der Geräteauthentizität (für die Mobilgeräte M) als auch für die Überprüfung der Authentizität von Personen, d.h. den Anwendern (OP) als eine Komponente die Übermittlung von Freischaltcodes ULK an das Feldgerät FD und die Prüfung der Gültigkeit der Freischaltcodes ULK durch das Feldgerät anhand des ebenfalls in der Sicherheitsrichtlinie P enthaltenen Schlüssels UCV_KEY.
  • Die für die Authentifikation erforderlichen Informationen sind erfindungsgemäß also in mehrere Teilkomponenten zerlegt: Die Sicherheitsrichtlinie P, sowie ein oder mehrere Freischaltcodes ULK.
  • Der Vorteil der Trennung der für die Authentifikation erforderlichen Informationen besteht darin, dass damit konstante, selten veränderliche Informationen wie die Sicherheitsregeln von dynamisch veränderlichen Größen getrennt werden können. Insbesondere eröffnet diese Trennung in Sicherheitsrichtlinie P und Freischaltcodes ULK die Möglichkeit, auf der Anlage neu berechtigte Nutzer, oder auf der Anlage neu berechtigte Mobilgeräte nachträglich dadurch hinzuzufügen, dass entsprechende Freischaltcodes ULK dem Feldgerät FD nachträglich übermittelt werden. Dies soll im Folgenden erläutert werden.
  • Der erfindungsgemäß vorgeschlagene Ablauf besteht darin, dass dem Feldgerät FD zunächst die Sicherheitsrichtlinie P übermittelt wird. Das Feldgerät FD erlangt damit Kenntnis über die Regeln R auf der Anlage A und die Fähigkeit über den Schlüssel UCV_KEY, die Gültigkeit von Freischaltcodes ULK verifizieren zu können.
  • Das Feldgerät FD hat zu diesem Zeitpunkt noch keine Information darüber, welche Mobilgeräte M und welche Anwender OP zugriffsberechtigt sind.
  • In einem zweiten Schritt erzeugt der Administrator CA oder ein vom Administrator beauftragter Mitarbeiter SUBADMIN der Anlage A die in den Regeln R beschriebenen Freischaltcodes ULK für Mobilgeräte M und/oder Anwender OP.
  • Bezüglich der Freischaltcodes ULK können zwei Fälle unterschieden werden.
  • Im ersten Fall wird der Freischaltcode ULK als hardwarebezogener Freischaltcode anhand spezifischer Daten der ersten Einheit, also des Mobilgeräts M erzeugt, siehe dazu das Bezugszeichen V.2 in 2. Beispiele dafür sind etwa Seriennummer, International Mobile Equipment Identity, International Mobile Subscriber Identity, Telefonnummer oder anderer Daten, die auf der SIM-Karte (englisch: subscriber identity module) des Mobilgeräts M gespeichert sind. Somit ist ein bestimmtes Mobilgerät M zur Nutzung an einem bestimmten Feldgerät FD freigeschaltet.
  • Im zweiten Fall wird der Freischaltcode ULK als nutzerbezogener Freischaltcode anhand spezifischer Daten eines Nutzers OP der ersten Einheit M erzeugt, siehe dazu das Bezugszeichen V.3. Beispiele hierfür sind etwa Name und Nutzerpasswort des Nutzers OP. Somit ist ein bestimmter Nutzer OP zur Nutzung an einem bestimmten Feldgerät FD oder auf der gesamten Anlage freigeschaltet.
  • Bevorzugt sind die Freischaltcodes ULK zeitlich limitiert.
  • Die Freischaltcodes ULK bestehen dabei aus zwei Teilkomponenten. Einem Datenblock DB und einem digitalen Signaturfeld DS.
  • Im Datenblock DB werden die Eigenschaften des Freischaltcodes ULK kodiert. Im Fall eines nutzerbezogenen Freischaltcodes ULK enthält der Datenblock DB beispielsweise Informationen wie Namen oder Login des Anwenders OP, Kodierung der Autorisierung des Anwenders OP (z.B. Schreib-, Lese- oder Administrationsberechtigung) für die Anlage A, Ablaufdatum des Freischaltcodes ULK, und/oder Informationen, die gestatten, eine Prüfung der Anwenderauthentizität durchzuführen, wie z.B. eine verschlüsselte Kodierung des Passworts des Anwenders OP.
  • Welche Einzelelemente in welcher Kombination erforderlich sind, legen die in der Sicherheitsrichtlinie P hinterlegten Regeln R fest.
  • Im Fall eines auf ein Mobilgerät M bezogenen Freischaltcodes enthält der Datenblock DB beispielsweise Informationen wie Namen und/oder Inventarnummer des Mobilgerätes M, Typ des Mobilgerätes M, Kodierung der Autorisierung des Mobilgerätes (z.B. Schreib-, Lese-, oder Administrationsberechtigung) für die Anlage A, Ablaufdatum des Freischaltcodes ULK, und/oder Informationen, die gestatten, eine Prüfung der Authentizität des Anwenders OP durchzuführen (z.B. über eine Passwortprüfung).
  • Welche Einzelelemente in welcher Kombination erforderlich sind, kann auch hier in den in der Sicherheitsrichtlinie P hinterlegten Regeln R festgelegt werden.
  • Für die digitale Kodierung der Datenblöcke DB existieren beispielsweise aus dem Stand der Technik Datenformate wie XML oder DER/BER.
  • Die erfindungsgemäßen Freischaltcodes ULK enthalten neben den oben beschriebenen Datenblöcken DB ein digitales Signaturfeld DS. Das digitale Signaturfeld DS errechnet sich aus dem Inhalt des Datenblocks DB und einem geheimen Schlüssel eines Administrators CA.
  • Das Feldgerät FD verfügt über eine Einheit zur Prüfung einer digitalen Signatur. Mittels dieser Einheit kann das Feldgerät anhand des in der Sicherheitsrichtlinie P hinterlegten Schlüssels UCV_KEY prüfen, ob der Freischaltcode ULK auf der Anlage A gültig ist.
  • Die Erzeugung der digitalen Signatur DS über den Datenblock DB eines Freischaltcodes ULK kann alternativ über symmetrische oder über asymmetrische Verschlüsselungstechniken generiert werden. Im Fall von symmetrischen Techniken wie AES, DES, Blowfish, TEA oder XTEA wird zur Generierung des Signaturfelds DS der gleiche geheime Schlüssel UCV_KEY verwendet, der auch im Feldgerät für die Überprüfung der Gültigkeit des Signaturfelds DS verwendet wird. Das Signaturfeld DS wird in diesem Fall über Algorithmen gebildet, welche dem Fachmann als unter den Oberbegriffen Message Authentication Code oder Message Integrity Code bekannt sind.
  • Im Fall von asymmetrischen Techniken nutzt der Anlagenadministrator zur Generierung des Signaturfelds DS seinen privaten Schlüssel, während der vom Feldgerät FD verwendete Schlüssel UCV_KEY durch den öffentlichen Schlüssel des Anlagenadministrators CA gebildet wird.
  • Der Vorteil der Verwendung symmetrischer Techniken besteht darin, dass diese mit weniger Rechenleistung auskommen und gegebenenfalls auch auf Feldgeräten FD mit geringerer Leistungsfähigkeit zum Einsatz kommen können.
  • Erfindungsgemäß werden dem Feldgerät in einem nächsten Schritt die erzeugten Freischaltcodes ULK übermittelt. Diese Übermittlung kann alternativ über das Feldbusinterface zur Leitstelle, über einen direkten Zugang zum Feldgerät FD ohne Mitwirkung des Mobilgeräts M oder über das Interface 3 zum Mobilgerät M erfolgen.
  • Für den Fall, dass zwischen dem Rechner auf dem der Freischaltcode ULK durch den Administrator CA erzeugt wurde und dem Mobilgerät M keine Datenverbindung über ein Netzwerk o.ä. existiert, kann es vorteilhaft sein, den Freischaltcode ULK in einen graphischen Code, z.B. einen 2D Data-Matrix oder QR-code, umzusetzen, diesen Code auf einem Medium, wie einem Papier oder auch einer Kunststoffkarte auszudrucken, und mittels einer im Mobilgerät M verbauten Kamera einzulesen. Alternativ kann zur Übertragung des Freischaltcodes ULK an das Mobilgerät M eine Übermittlung mittels eines textbasierten Verfahrens, insbesondere SMS, E-Mail oder Instant Messaging oder einem zentralen Datenbankserver zum Einsatz kommen. Ebenfalls in Betracht kommt eine Übertragung mittels Speichermedien, wie USB-Sticks Speicherkarten oder Speichermedien auf Basis des RFID oder NFC-Standards.
  • Im Schritt V.1 wird die Sicherheitsrichtlinie P samt Regeln R und Freischaltcode-Verifikationsschlüssel UCV_KEY an das Feldgerät FD übertragen. Dies geschieht etwa initial bei Inbetriebnahme des Feldgeräts FD in der Anlage A, etwa über den Bus 4. In diesem Schritt können auch weitere Grundeinstellungen wie Stromspreizung, Messwertmittelung, Messbereichskonfiguration etc. eingestellt werden.
  • Freischaltcodes ULK (im Mobilgerät M) und Sicherheitsrichtlinie P (im Feldgerät FD) werden wie erwähnt getrennt voneinander generiert, aufbewahrt und bearbeitet.
  • Das ermöglicht z.B. einen Freischaltcode ULK für einen neu eingetretenen Mitarbeiter zu einem Zeitpunkt zu generieren, zu dem die Feldgeräte FD bereits in Betrieb genommen wurden.
  • Nachdem dem Feldgerät FD sowohl die Sicherheitsrichtlinie P als auch die Freischaltcodes ULK übermittelt wurden, ist das Feldgerät in der Lage die Authentifikationsprüfung durchzuführen. Dazu wird vom Feldgerät in einem ersten Schritt eine Überprüfung durchgeführt, ob die für die Anmeldung laut Regeln R erforderlichen Freischaltcodes ULK vorliegen. Fehlen erforderliche Freischaltcodes ULK, so kann das Feldgerät FD diese bei dem Mobilgerät M über ein geeignetes Protokoll anfordern. Das Mobilgerät M kann dann die entsprechenden Freischaltcodes ULK übermitteln.
  • Im nächsten Schritt kann das Feldgerät mit dem ihm bekannten Freischaltcode-Verifikationsschlüssels UCV_KEY (aus der Sicherheitsrichtlinie P) überprüfen, ob die Freischaltcodes ULK mit einer gültigen Signatur versehen sind.
  • Im nächsten Schritt kann das Feldgerät anhand der in den Freischaltcodes ULK hinterlegten Informationen weitere Schritte ableiten, wie z.B. die Überprüfung ob ein am Mobilgerät M befindlicher Anwender OP Kenntnis über das in seinem nutzerbezogenen Freischaltcode implizit hinterlegten (z.B. verschlüsselt hinterlegten) Anwenderpasswort verfügt. Hierzu gehören auch Prüfungen, wie die Kontrolle ob das im Freischaltcode ggf. hinterlegte Verfallsdatum nichtüberschritten ist.
  • Es kann ein nutzerbezogener Freischaltcode erzeugt werden, der berechtigt ist weitere Freischaltcodes ULK zu erzeugen. Dies ist etwa dann nützlich wenn der Anlagenbetreiber CA die Wartung seiner Feldgeräte nicht in Eigenregie übernehmen möchte, sondern zeitlich begrenzt einem spezialisierten Serviceprovider übertragen möchte, mit jeweils eigenen Mitarbeitern und eigenen Mobilgeräten M. Die Organisation des Serviceproviders kann für diesen Fall einen Unter-Administrator SUBADMIN benennen. Der Administrator CA kann dazu dem verantwortlichen Unter-Administrator SUBADMIN des Service-Providers einen Freischaltcode ULK übermitteln, der diesen dazu berechtigt seine eigenen Mobilgeräte M und seine eigenen Mitarbeiter OP für den Zugriff auf der Anlage A freizuschalten. Damit kann die Verwaltung der Mitarbeiter-Accounts des Service-Providers ohne Mitwirkung des Anlagenbetreibers CA erfolgen.
  • Hier liegt ein wesentlicher Vorteil der Nutzung von digitalen Signaturfeldern DS, welche auf Basis von asymmetrischen (Public/Private Key) Techniken generiert werden begründet. Es kann bei Nutzung asymmetrischer Techniken vermieden werden, dass der Unter-Administrator SUBADMIN selbst in Kenntnis des Masterschlüssels des Administrators CA zur Generierung von Signaturen sein muss.
  • Je nach Freischaltcode ULK werden dem Nutzer OP unterschiedliche Rechte (Autorisierungen) am Feldgerät FD gewährt. Mögliche Rechte sind dabei etwa nur Lesen, Schreiben, Verwalten, das Recht Firmware Updates durchzuführen, o.ä. So kann ein Nutzer OP ggf. auch verschiedene Freischaltcodes ULK haben, die ihm jeweils unterschiedliche Rechte gewähren. In 2 sind verschiedene Nutzer OP abgebildet, nämlich OP1, OP2 und OP3. Die gestrichelte Linie zwischen OP2 und OP3 soll andeuten, dass die Nutzer in Gruppen eingeteilt sind. Diese jeweiligen Gruppen haben hinsichtlich der Feldgeräte unterschiedliche Berechtigungen oder Aufgaben. Ebenso (aber nicht abgebildet) können die Mobilgeräte oder die Feldgeräte in Gruppen eingeteilt werden, die dann jeweils andere Rechte erfordern bzw. bereitstellen.
  • Im Folgenden wird ein konkretes Beispiel einer Ausführungsform beschrieben, welche auf Basis asymmetrischer Kryptographietechniken implementiert ist.
  • Die Sicherheitsrichtlinie P umfasst neben den Regeln R auch Informationen zur Überprüfung von Freischaltcodes ULK. Legen die Regeln beispielsweise fest, dass das Feldgerät FD zur Zugriffsgewährung prüfen soll, dass sowohl das angeschlossene Mobilgerät M als auch der menschliche Operator OP unmittelbar oder mittelbar (über etwa einen Unter-Administrator SUBADMIN) durch den Administrator CA autorisiert wurden, so umfasst die Prüfung der Zugriffsgewährung die Schritte:
    • – Ermittlung der für die Zugriffsgewährung geforderten Freischaltcodes ULK anhand der Regeln R.
    • – Übermittlung der zu verwendenden Freischaltcodes ULK für das Mobilgerät M und/oder Operator OP an das Feldgerät FD.
    • – Prüfung der Gültigkeit der Freischaltcodes ULK anhand des Prüfschlüssels UCV_KEY, welcher dem Feldgerät FD als Teil der Sicherheitsrichtlinie P bekannt ist. Das Feldgerät FD wird dann prüfen, ob die Freischaltcodes ULK unmittelbar oder mittelbar durch den Administrator CA der Anlage generiert worden und damit auf der Anlage gültig sind.
    • – Überprüfung der Authentizität des Nutzers OP und/oder der Authentizität des Mobilgeräts M über das im nutzerbezogenen Freischaltcode abgelegte Anwenderpasswort und/oder einen im gerätebezogenen Freischaltcode hinterlegten geheimen Schlüssel des Mobilgeräts.
  • Das heißt, dass sich das Verfahren aus den folgenden Teilkomponenten zusammensetzt: Der Administrator CA verfügt über einen Algorithmus zur Generierung digitaler Signaturen, welchen er dazu nutzt, um Freischaltcodes ULK mit seiner Signatur auszustatten, d.h. mit einem kryptographischen Merkmal zu versehen, welches nur von ihm selbst erzeugt werden kann. Der Administrator CA fügt der Sicherheitsrichtlinie P alle Informationen, d.h. Schlüsselinformationen UCV_KEY hinzu, die ein Feldgerät FD in die Lage versetzt, zu überprüfen, ob ein dem Feldgerät FD von einem Dritten übermittelter Freischaltcode ULK vom Administrator CA signiert wurde. Das Feldgerät FD verfügt somit über einen Algorithmus, welcher ihm gestattet, zu prüfen, ob ein dem Feldgerät FD von einem Dritten übermittelter Freischaltcode ULK vom Administrator CA signiert wurde oder nicht.
  • Im Folgenden soll die Erfindung anhand des in den 3 bis 7 gezeigten konkreten Ausführungsbeispiels genauer beschrieben werden.
  • Beachtenswert ist dabei, dass der in 1 und 2 unter dem Bezugszeichen „UCV_KEY“ referenzierte Freischaltcode-Verifikationsschlüssel in den im Folgenden beschriebenen 2 bis 7 des Ausführungsbeispiels durch einen öffentlichen Schlüssel des Administrators CA unter dem Bezugszeichen „PUBLICK_CA“ gebildet wird.
  • 3 zeigt, wie auf Basis eines ein sogenannten asymmetrischen Verfahren eine Authentifikation gemäß dieser Erfindung erfolgt.
  • Es kommt dabei ein Verfahren auf Basis eines Schlüsselpaares mit einem öffentlichen und einem privaten Schlüssel zum Einsatz. Derartige asymmetrische Signaturverfahren zeichnen sich dadurch aus, dass eine digitale Signatur nur mit Hilfe des privaten Schlüssels erzeugt werden kann, zur Überprüfung einer Signatur jedoch der öffentliche Schlüssel ausreicht.
  • Im Stand der Technik sind verschiedene Verfahren bekannt. Insbesondere gehören hierzu die Algorithmenklassen RSA, benannt nach ihren Erfindern Rivest, Shamir und Adelston, der auf Primzahlkörpern basierende Digitale Signaturalgorithmus (DSA) und Digitale Signaturverfahren auf Basis elliptischer Kurven (englisch: Elliptic Curve Digital Signature Algorithm, kurz ECDSA).
  • Die bezüglich der Rechenleistung geringste Komplexität weisen Verfahren auf Basis elliptischer Kurven auf. Diese haben außerdem den Vorteil, dass zur digitalen Kodierung einer digitalen Signatur nur wenige Bytes ausreichen, z.B. 64 Bytes im Falle digitaler Signaturen nach dem EdDSA-Verfahren als eine Variante des Signaturverfahrens auf Basis elliptischer Kurven (also ECDSA), hier auf Basis der sogenannten Curve25519. Aus diesem Grund wird in diesem Ausführungsbeispiel Bezug auf diese Algorithmenklasse genommen. Der Fachmann wird alternativ auch andere asymmetrische Verfahren in Betracht ziehen, wie den ECDSA-Standard, oder Signaturen auf Basis von DSA und RSA.
  • 3a, 3b und 3c zeigen beispielhaft, wie die Generierung eines Schlüsselpaares für den Administrator CA, einen Anwender OP oder ein Mobilgerät M erfolgen kann.
  • Das prinzipielle Vorgehen kann für alle drei Gruppen gleichartig erfolgen. Allein der Administrator CA ist dadurch ausgezeichnet, dass im Unterschied zu den anderen Fällen sein öffentlicher Schlüssel als Teil der Sicherheitsrichtlinie P in den Feldgeräten FD hinterlegt wird. Im Fall des Operators OP (siehe 3b) kann der öffentliche Schlüssel als Teil des nutzerbezogenen Freischaltcodes ULK hinterlegt werden und z.B. zur Überprüfung des Passworts des Operators OP im Verlauf des Authentifikationsprozesses durch das Feldgerät FD genutzt werden. Im Fall des Mobilgerätes M (siehe 3c) kann der Schlüssel im hardwarebezogenen Freischaltcode ULK hinterlegt werden, um zu überprüfen, ob das Mobilgerät M Zugriff auf ein nur auf dieser Hardwarekomponente abgelegtes Geheimnis verfügt.
  • In einer vorteilhaften Ausführungsform kann das Schlüsselpaar von einem Passwort abgeleitet werden. Dieses Vorgehen soll beispielhaft Anhand des Administrators CA aus 3a beschrieben werden. Dieses Vorgehen ist direkt übertragbar auf die Fälle der 3b und 3c.
  • Dazu wird die Zeichenkette des Passworts PW_CA mittels einer kryptographischen Einwegfunktion PBKDF über den Zusammenhang PRIVATEK_CA = PBKDF(PW_CA) in einen privaten Schlüssel definierter Bitlänge umgesetzt. Der Fachmann spricht hier von der Klasse der sogenannten „Password based key derivation functions“ (Akronym PBKDF) oder sogenannten password hashing algorithms, für die es verschiedene Standards gibt, die sich in ihrer numerischen Komplexität unterscheiden und z.B. mit dem Ziel der Erschwerung von sogenannten Wörterbuchangriffen auf Passwörter vorteilhafterweise so konstruiert sind, dass sie sich nur auf großen CPU-Systemen wie PCs und Smartphones implementieren lassen und z.B. auf parallelisierten Graphikkartenbeschleunigern und Großrechnern mit vielen kleinen parallelen CPUs nicht effizient ausführbar sind. Als Beispiel für PBKDF-Einwegfunktionen kann man den heute als schwach klassifizierten PBKDF2-Standard zu nennen, wie er in z.B. WLAN-Systemen zum Einsatz kommt, oder auch die im aktuellen Kryptographiewettbewerb password hashing competition, siehe https://password-hashing.net/faq.html (zugegriffen im August 2014), eingereichten Algorithmenvorschläge).
  • Der so errechnete private Schlüssel des Administrators PRIVATEK_CA wird dann über einen zweiten Algorithmus in den zugehörigen öffentlichen Schlüssel PUBLICK_CA = SCALARMULT(PRIVATEK_CA) umgesetzt. In 3 wird dieser Algorithmus als Skalarmultiplikation bezeichnet, eine Begrifflichkeit, die im Zusammenhang mit elliptischen Kurvenalgorithmen üblich ist. Es verbirgt sich dahinter eine mathematische Operation, welche auf einer Punktmenge erfolgt, welche durch eine elliptische Kurve definiert wird. In dieser Punktmenge wird ein sogenannter Basispunkt BP ausgewählt. Die elliptische Kurve zeichnet sich dabei dadurch aus, dass eine „Punktaddition“ genannte Verknüpfung von zwei Punkten auf der elliptischen Kurve existiert, wobei das Ergebnis der Addition zweier Punkte selbst wieder ein Punkt auf der elliptischen Kurve ist. Die „Skalarmultiplikation“ des Basispunktes mit einem Skalar n entspricht in diesem Zusammenhang, dem Prozess der n-mal wiederholten Additionsoperation des Basispunkts BP. Im Ergebnis erhält man die Koordinaten eines Punktes auf der elliptischen Kurve und die Kodierung der Koordinaten dieses Punktes bildet den öffentlichen Schlüssel. Im Fall von 3 wird der private Schlüssel PRIVATEK_CA durch die Skalarzahl gebildet, und der öffentliche Schlüssel durch die Kodierung der Koordinaten des Punktes auf der elliptischen Kurve PUBLICK_CA.
  • Für die im erfindungsgemäßen Verfahren hinterlegten Schlüssel ist es vorteilhaft, dass diese über eine hohe Datenentropie verfügen, welche festlegt, wie viele Rechenoperationen im Mittel erforderlich sind um den Schlüssel über sogenannte „Brute Force“ Algorithmen durch systematisches Ausprobieren zu brechen. Aus diesem Grund ist es für Anwendungen hoher Sicherheit empfehlenswert, den Schlüssel nicht auf Basis eines potentiell schwachen Passworts, sondern auf Basis einer Zufallszahl von z.B. 256 Bit Länge zu generieren. In diesem Fall kann der geheime Schlüssel PRIVATEK_CA auf Basis auch auf Basis eines kryptographischen HASH-Algorithmus durchgeführt werden, der nicht, wie eine PBKDF-Funktion über eine absichtlich hohe numerische Komplexität verfügen braucht. In einer vorteilhaften Ausführungsform schreiben die Regeln R der Sicherheitsrichtlinie P die Verwendung einer minimalen Passwortstärke vor.
  • Der Fachmann wird außer dem Einsatz von elliptischen Kurven äquivalente Verfahren, z.B. auf Basis von RSA und DAS ebenfalls in Betracht ziehen. Im Fall von DSA würde beispielsweise die Skalarmultiplikationsoperation durch eine Potenzierung einer Zahl auf dem Primzahlkörper ersetzt. Im Falle von RSA würde der Fachmann den zusätzlichen Schritt einer Primzahlsuche hinzufügen, da das Ergebnis der PBKDF-Funktion im Allgemeinen keine Primzahl ist, RSA jedoch für seinen privaten Schlüssel die Verwendung einer Primzahl benötigt.
  • 5 zeigt, wie auf Basis der generierten Schlüsselpaare ein gerätebezogener und ein nutzerbezogener Freischaltcode ULK erzeugt werden kann.
  • Dazu erzeugt ein Administrator zunächst einen Datenblock DB, in dem alle den Nutzer OP oder das Mobilgerät M beschreibende Informationen abgelegt werden, z.B. in Form eines Dateiformats wie XML oder DER (aus der X.509 Standardfamilie). Unter Nutzung einer Signaturerzeugungseinheit wird für diesen Datenblock DB im nächsten Schritt eine digitale Signatur DS errechnet. Für diesen Prozess ist der private Schlüssel des Administrators erforderlich. Als Signaturerzeugungseinheit kommt neben PC-Programmen, sogenannten WEB-Anwendungen insbesondere auch ein sogenannter Sicherheits-Dongle in Frage, d.h. kryptographische Ko-Prozessoren, die z.B. auf USB-Interfaces einer Rechnereinheit aufsteckbar sind. Die Kombination des Datenblocks mit einem zugehörigen errechneten Signaturfeld DS bildet den Freischaltcode ULK.
  • Nutzerbezogene und gerätebezogene Freischaltcodes ULK unterscheiden sich dabei konzeptionell nur bezüglich der im Datenfeld DB hinterlegten Informationen. So enthält ein gerätebezogener Freischaltcode Informationen wie Seriennummer, Inventarnummer, etc. des Mobilgeräts M, während ein nutzerbezogener Freischaltcode Namen, persönliche Daten, etc. enthält (siehe auch oben).
  • Vorteilhafterweise wird im Datenblock eines Freischaltcode ULKs auch ein Datenfeld hinterlegt, welches gestattet, eine Authentifikationsprüfung bezüglich des Nutzers OP und/oder des Mobilgeräts M durchzuführen. Beispielsweise wird dazu vorgeschlagen, den anhand von 3 ermittelten öffentlichen Schlüssel des Mobilgeräts M und/oder des Nutzers OP im Datenblock DB abzulegen.
  • Dies dient dazu, dem Feldgerät FD später die Fähigkeit zu geben, die Authentizität des Mobilgeräts M und des Anwenders OP zu prüfen, ohne dem Feldgerät das Passwort des Anwenders bzw. den geheimen Schlüssel des Mobilgeräts M im Klartext zu übermitteln.
  • 5b zeigt, wie es gelingt, Nutzern das Recht zum Generieren eines gültigen Freischaltcodes ULK zu gewähren, ohne diesen Kenntnis über den privaten Schlüssel des Administrator CA zu geben.
  • Dazu erstellt der Administrator CA dem Unter-Administrator SUBADMIN einen entsprechenden Freischaltcode ULK, in dessen Datenblock DB ein Datenfeld enthalten ist, welches den Unter-Administrator SUBADMIN autorisiert Freischaltcodes ULK zu generieren. In diesem Freischaltcode ULK des Unter-Administrators SUBADMIN ist auch der öffentliche Schlüssel des Unter-Administrators SUBADMIN hinterlegt. Der Unter-Administrator SUBADMIN kann nun für einen neu zu generierenden Freischaltcode ULK einen Datenblock erzeugen und diesen mit seinem privaten Schlüssel signieren. Im Unterschied zu einem Freischaltcode ULK, wie er vom zentralen Administrator CA generiert wird, fügt der Unter-Administrator SUBADMIN dem von ihm selbst generierten Freischaltcode seinen eigenen Freischaltcode bei, der ihn über die Signatur des zentralen Administrators CA als berechtigten Unteradministrator ausweist.
  • Ein Feldgerät FD kann nun zunächst anhand der Signatur des zentralen Administrator CA erkennen, ob der Unter-Administrator SUBADMIN vom zentralen Administrator CA autorisiert wurde, selbst Freischaltcodes zu erzeugen. Anschließend kann das Feldgerät FD überprüfen, ob der ihm vorgelegte Freischaltcode in der Tat vom Unter-Administrator SUBADMIN signiert wurde.
  • 4 zeigt, wie die beschriebenen Informationen an das Feldgerät übertragen werden. Die in gezeigte Übertragung der Sicherheitsrichtlinie P an das Feldgerät FD erfolgt dabei über das Feldbusinterface, den Austausch von Speichermedien, wie Speicherkarten oder Memory-Sticks oder über ein Interface zur Mobileinheit M oder einen beliebigen anderen Kommunikationskanal. 4b zeigt, wie Informationen wie signierte Sperrlisteinträge (siehe unten) oder Freischaltcodes ULK das Feldgerät erreichen können. Man erkennt, dass die Speicherung der Authentifikationsinformationen in Form von Freischaltcodes ULK insbesondere die Möglichkeit eröffnet, dass ein Anwender OP oder ein Mobilgerät M dem Feldgerät selbst dem Feldgerät FD alle für ihre eigene Anmeldung erforderlichen Informationen beizustellen. Beispielsweise erhält ein Anwender den Freischaltcode ULK für seine Person in Form eines auf einem Ausdruck gespeicherten Graphikcodes, liest diesen mit seinem Mobilgerät M ein und übermittelt diesen über das Interface 3 mit dem Mobilgerät M an das Feldgerät FD. Dieses Vorgehen erfordert durch einen Administrator CA nur die Mitwirkung bei der Generierung des Freischaltcodes ULK. Der Administrator CA braucht nicht mehr selbst zum Feldgerät zu laufen, um die Authentifikationsdaten des Nutzers OP im Feldgerät FD einzutragen, z.B. indem er diesen in die Liste der berechtigten Anwender im Feldgerät FD einträgt. Vielmehr kann nun der Anwender OP selbst mit der im Freischaltcode ULK hinterlegten Information, nämlich dass er zugriffsberechtigt ist, zum Feldgerät FD gehen. Der Freischaltcode ULK des neuen Benutzers ist in diesem Fall auf dem Mobilgerät M oder verfügbar oder kann bei Bedarf, z.B. über die Kamera des Mobilgeräts M verfügbar gemacht werden, und wird bei Bedarf an das Feldgerät FD übermittelt.
  • 6 zeigt, wie der Authentifikationsvorgang im Feldgerät FD abläuft. 6a zeigt dabei die beteiligten Einheiten, während 6b die einzelnen Schritte aufschlüsselt.
  • Das Feldgerät FD hat in einem Speicher die Sicherheitsrichtlinie P, welche auf der Anlage A gilt, abgelegt. In dieser Sicherheitsrichtlinie P sind die anzuwendenden Regeln R enthalten. Diese Regeln R spezifizieren, welche Freischaltcodes ULK in welcher Kombination von einem Mobilgerät M und/oder einem Anwender OP vorgewiesen werden müssen, um Zugriff zu erhalten. In einem ersten Schritt analysiert das Feldgerät FD daher die Regeln R und fordert vom Mobilgerät M ggf. die Übermittlung der darin beschriebenen Freischaltcodes ULK an. Sofern diese nicht übermittelt werden, bricht das Feldgerät FD den Authentifikationsprozess ab. Gleiches gilt für die in den Regeln R ggf. geforderten Freischaltcodes ULK des Nutzers OP.
  • Nach erfolgter Übermittlung aller erforderlichen Freischaltcodes ULK erfolgt im Feldgerät in einer Signaturprüfungseinheit die Kontrolle, dass die übermittelten Freischaltcodes ULK unmittelbar oder mittelbar durch den Anlagenadministrator CA signiert wurden. Bei ungültigen Signaturen wird der Authentifikationsprozess mit einem Fehler abgebrochen.
  • Anschließend kann anhand der in den nun als gültig erkannten Freischaltcodes ULK eine Authentifikation des Mobilgerätes M und des Anwenders OP erfolgen. Diese Authentifikation erfolgt dabei auf Basis der im Datenblock der Freischaltcodes ULK hinterlegten Informationen, beispielsweise des dort abgelegten öffentlichen Schlüssels des Mobilgeräts M und/oder des öffentlichen Schlüssels des Anwenders OP. Die Prüfung der Authentizität kann z.B. derart erfolgen, dass das Feldgerät FD eine Zufallszahl CHALLENGE generiert und das Mobilgerät und/oder den Benutzer OP auffordert, diese Zufallszahl mit dem geheimen Schlüssel des Mobilgeräts M und/oder des Benutzers OP zu signieren.
  • Dazu würde die Zufallszahl CHALLANGE an das Mobilgerät M übermittelt, der Benutzer OP durch eine Bedienführung am Display des Mobilgeräts M beispielsweise aufgefordert, sein geheimes Passwort einzugeben. Das Mobilgerät M würde die in 3b gezeigten Operationen zur Ermittlung des privaten Schlüssels PRIVATEK_USER durchführen, die digitale Signatur über die in einem Datenfeld gespeicherte Zufallszahl CHALLENGE mittels des privaten Schlüssel des Nutzers PRIVATEK_USER errechnen und das Ergebnis der Signatur an das Feldgerät FD übermitteln. Die Authentizität kann im Feldgerät FD dann über eine Signaturprüfung erfolgen, in dem überprüft wird, ob die Signatur über die in einem Datenfeld hinterlegte Zufallszahl CHALLENGE mit dem privaten Schlüssel erfolgte, dessen zugehöriger öffentlicher Schlüssel im Freischaltcode ULK des Nutzers im Feld PUBLICK_USER hinterlegt wurde.
  • Ein entsprechendes Vorgehen erfolgt für den Gerätebezogenen Freischaltcode ULK, wobei in diesem Fall der private Schlüssel des Mobilgeräts M nicht von einem Passwort abgeleitet ist, sondern auf einem geeigneten persistenten Speichermedium im Mobilgerät M abgelegt wird.
  • In einer vorteilhaften Ausführungsform verfügt das Feldgerät FD über einen Speicher, in dem Sperrlisteneinträge (auch blacklist oder Negativliste genannt) abgelegt werden können. Eine Prüfung der Signatur der im 7 gezeigten Sperrlisteneinträge kann in gleicher Weise erfolgen, wie bei Freischaltcodes ULK. Über den Eintrag in solche Sperrlisten kann ein Administrator CA nachträglich bereits über Freischaltcodes ULK gewährte Zugriffe widerrufen.
  • 7 zeigt, wie der für Freischaltcodes ULK beschriebene Mechanismus dazu genutzt werden kann, auch andere Informationen zu signieren, beispielsweise einen Datenblock DB, welcher eine Liste zu sperrender Anwender OP und/oder Mobilgeräte M enthält.
  • In einer vorteilhaften Ausführungsform existiert auf der Anlage A mindestens ein Datenbankserver, auf dem eine aktuell gehaltene Liste aller gültigen Freischaltcodes ULK und die aktuell gültige Sperrliste abgelegt sind. Optional verfügt dieser Datenbankserver über einen Dienst, der einem angeschlossenen Mobilgerät M oder Feldgerät FD die aktuelle Uhrzeit vertrauenswürdig übermittelt (z.B. wie oben beschrieben über digitale Signaturen abgesichert).
  • In einer vorteilhaften Ausführungsform verfügt das Mobilgerät M über eine Datenverbindung zu diesem Datenbankserver (9). Dies kann beispielsweise dadurch erfolgen, dass das Mobilgerät M einerseits eine Bluetooth-Verbindung zum Feldgerät FD aufrecht erhält und gleichzeitig über eine Verbindung zum Datenbankserver, z.B. über WLAN oder einen Mobilfunkstandard wie etwa UMTS, aufrechterhält.
  • Bei Feldgeräten FD, welche selbst über Ethernet, WLAN oder Internet-Schnittstellen verfügen, kann der Zugriff auf den Datenbankserver auch direkt ohne Mitwirkung des Mobilgeräts M erfolgen. In dieser Ausführungsform kann der Prozess der Übermittlung von Freischaltcodes ULK, wie er in 4b gezeigt ist, vereinfacht werden, um den Preis, dass der Anlagenbetreiber sich um die Administration und die Verfügbarkeit der zentralen Datenbank kümmern muss.
  • In einer vorteilhaften Ausführungsform verfügt das Feldgerät FD über einen persistenten Speicher, in dem es die Freischaltcodes ULK berechtigter Nutzer oder Mobilgeräte ablegt, nachdem diese sich erfolgreich am Feldgerät FD autorisiert haben. Der Nutzer/das Mobilgerät ist dem Feldgerät dann „bekannt“. Der Vorteil des lokalen persistenten Speichers besteht darin, dass bei Ausfall des zentralen Datenbankservers zumindest für bereits „bekannte“ Anwender und Mobilgeräte eine Authentifikation möglich bleibt.
  • Dem in den vorigen Absätzen beschriebene Verfahren zur Übermittlung von Informationen wie Freischaltcodes ULK, und damit der Berechtigung eines Geräts oder Nutzers am Feldgerät, ist in einer Ausgestaltung ein weiterer sicherheitsrelevanter Schritt vorgeschaltet.
  • In diesem vorgeschalteten Schritt wird die Verbindung zwischen erstem Gerät M und zweitem Gerät FD zuerst abhörsicher gemacht. Dies geschieht in einer ersten Weiterbildung ebenfalls durch ein symmetrisches Kryptosystem mit einem geheimen ggf. temporären Sitzungsschlüssel. Für die Erzeugung des geheimen Sitzungsschlüssels kommt vorteilhaft ein Diffie-Hellman-Schlüsselaustausch-Verfahren, insbesondere mittels elliptischer Kurven zum Einsatz. Das Hinzufügen eines solchen zusätzlichen Schritts ist insbesondere bei Nutzung von Funkverbindungen vorteilhaft, weil sich so die Übermittlung von Freischaltcodes ULK gegen mitlauschende Angreifer schützen lässt.
  • Typischerweise sind die für die Authentifikation genutzten Schlüssel und der Sitzungsschlüssel unterschiedlich.
  • Die Anlage A kann über die in der Sicherheitsrichtlinie P hinterlegten Regeln so eingestellt werden, dass nach Abweisung eine Mobilgeräts M eine bestimmte Zeit, etwa eine Minute oder länger, verstreichen soll, bis dasselbe Mobilgerät M erneut Zugang abfragen kann.
  • Wird nun der Anlage A ein neuer Nutzer OP oder eine neues Mobilgerät M hinzugefügt oder ändern sich die Rechte eines bestehenden Nutzers OP oder Mobilgeräts M, so genügt es einen neuen Freischaltcode ULK zu generieren oder den bestehenden Freischaltcode ULK zu ändern. Das Feldgerät FD kann anhand der bereits vorhandenen Informationen auf dem Feldgerät FD selbst feststellen, ob der neue oder der geänderte Freischaltcode ULK bzw. der dazugehörige Nutzer oder Mobilgerät berechtigt ist, das jeweilige Feldgerät FD zu nutzen. Es ist nicht notwendig, dass die Software/Firmware eines jeden einzelnen Feldgeräts geändert wird. Die gesamte Sicherheitsinfrastruktur ist also als dezentrales System ausgelegt. Es wird kein zentrales System benötigt. So funktioniert die Sicherheitsabfrage ohne Zutun der Leitstelle 5. Auch wird kein zentraler Passwortserver benötigt.
  • In einer Ausgestaltung ist die Sicherheitsrichtlinie P zusätzlich, auf einem Datenbankserver SERVER gespeichert, siehe dazu 9.
  • Auf dem Server SERVER und/oder als Teil der Sicherheitsrichtlinie P ist eine Positivliste und/oder eine Negativliste gespeichert, wobei auf der Positivliste bzw. auf der Negativliste die berechtigten bzw. gesperrten spezifischer Daten der ersten Einheit und/oder spezifischen Daten eines Nutzers der ersten Einheit aufgeführt sind. Vom Server zum Mobilgerät M besteht eine Datenverbindung, bevorzugt eine IP-basierte Datenverbindung, beispielsweise per WLAN oder UMTS. Der Administrator CA kann somit durch Aktualisieren der Positiv- bzw. der Negativliste die jeweiligen Berechtigungen aktuell halten. Auch beim Ausscheiden eines Nutzers OP oder beim Verlust eines Mobilgeräts M braucht somit nicht jedes einzelne Feldgerät FD aktualisiert werden.
  • Für Anwendungsfälle, bei denen die Sicherheitsrichtlinie P von vornherein feststeht, beispielsweise weil die Merkmale durch eine Norm zwingend vorgeschrieben sind, wird der Fachmann auch den Fall betrachten, dass der Regelsatz im Feldgerät an anderer Stelle fest abgelegt und als bekannt vorausgesetzt werden kann und die Sicherheitsrichtlinie alleine aus dem Freischaltcode-Prüfungsschlüssel UCV_KEY besteht.
  • Für Feldgeräte, welche über eine eigene Bedieneinheit (z.B. LCD und Tasten) verfügen, wird der Fachmann auch die Ausführungsform betrachten, bei der die Einträge der Sicherheitsrichtlinie im Feldgerät dadurch hinterlegt werden, dass die in der Sicherheitsrichtlinie P enthaltenen Informationen über die lokale Bedieneinheit eingetragen werden, z.B. dadurch, dass ein Passwort des Anlagenadministrators oder der über die Tasten eingegeben wird und der Schlüssel zur Verifikation von Freischaltcodes UCV_KEY im Feldgerät daraus errechnet wird.
  • In einer vorteilhaften Ausführungsform wird in den Fertigungsanlagen, welche zur Produktion des Feldgerätes FD dienen, eine Einheit vorgesehen, welche dazu dient, eine vom Kunden bei der Bestellung beigestellte Sicherheitsrichtlinie P ab Werk auf das Feldgerät einzuprogrammieren. Dem Anwender wird damit in vorteilhafter Weise ermöglicht, dieses Feldgerät FD von Beginn an sicher auf seiner Anlage A betreiben zu können.
  • In einer vorteilhaften Ausführungsform wird in den Fertigungsanlagen zur Produktion des Feldgerätes FD und/oder des Mobilgeräts M ein Identifikationsschlüssel übertragen, welcher das Gerät als Teil einer Geräteklasse, Baureihe oder als Produkt eines vertrauenswürdigen Herstellers ausweist. Das kann beispielsweise über eine Signatur mit einem asymmetrischen Schlüsselsatz des Geräteherstellers erfolgen.
  • Der Vorteil eines solchen Verfahrens besteht darin, dass potentiell sensitive Informationen im Zuge des Authentifikationsverfahrens vom Mobilgerät M nur an mittels dieses Identifikationsschlüssels als vertrauenswürdig erkannte Geräte weitergeleitet werden. Das Mobilgerät M würde in diesem Fall Informationen wie Freischaltcodes ULK oder Sperrlisten nur an solche Feldgeräte FD übermitteln, die sich über den Hersteller-Identifikationsschlüssel als vertrauenswürdig ausweisen.
  • Der Vorteil dieses Verfahrens besteht darin, dass damit sogenannte Phishing-Attacken eines Angreifers erschwert werden.
  • Bezugszeichenliste
    • 1
    Behältnis
    2
    Funkmodul
    3
    Verbindung
    4
    Bus
    5
    Leitsystem
    6
    Schnittstelle
    7
    Speicher
    A
    Anlage (plant)
    CA
    Zentraler Administrator (central administrator)
    CHALLENGE
    Zufallszahl (random number)
    DB
    Datenblock (data field)
    DS
    Digitale Signatur (digital signature)
    FD
    Erste Einheit (Feldgerät, field device)
    FD1
    Erste Einheit
    FD2
    Erste Einheit
    M
    Zweite Einheit (Mobilgerät, mobile device)
    OP
    Nutzer (user)
    OP1
    Nutzer
    OP2
    Nutzer
    OP3
    Nutzer
    P
    Sicherheitsrichtlinie (policy)
    PBKDFA
    Kryptographische Einwegfunktion
    PUBLICK_CA
    Öffentlicher Schlüssel von CA (public key)
    PUBLICK_M
    Öffentlicher Schlüssel von M (public key)
    PUBLICK_SUBADMIN
    Öffentlicher Schlüsseln von SUBADMIN (public key)
    PUBLICK_USER
    Öffentlicher Schlüssel von OP (public key)
    PRIVATEK_CA
    Privater Schlüssel von CA (private key)
    PRIVATEK_M
    Privater Schlüssel von M (private key)
    PRIVATEK_SUBADMIN
    Privater Schlüssel von SUBADMIN (private key)
    PRIVATEK_USER
    Privater Schlüssel von OP (private key)
    PW_CA
    Passwort von CA (password)
    PW_USER
    Passwort von OP (password)
    R
    Regeln (rules)
    SERVER
    Server (central database server)
    SUBADMIN
    Unter-Administrator
    UCV_KEY
    Schlüssel zur Verifikation von Freischaltcodes
    ULK
    Freischaltcode (unlock key)
    V.1
    Verfahrensschritt
    V.2
    Verfahrensschritt
    V.3
    Verfahrensschritt
    V.4
    Verfahrensschritt
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • IEEE 802.15.4 [0064]
    • https://password-hashing.net/faq.html [0119]

Claims (20)

  1. Verfahren zur einseitigen oder wechselseitigen Authentifikation mindestens einer ersten Einheit (M), insbesondere einem Mobilgerät, an mindestens einer zweiten Einheit (FD), insbesondere einem Feldgerät, innerhalb einer Anlage (A), insbesondere im Bereich der Prozessautomatisierungstechnik, wobei zwischen erster Einheit (M) und zweiter Einheit (FD) eine, vorzugsweise drahtlose, Verbindung aufgebaut ist, umfassend die Schritte: – Aufstellen einer Sicherheitsrichtlinie (P), wobei die Sicherheitsrichtlinie (P) • Regeln (R) zur Gewährung eines Zugangs der ersten Einheit (M) auf Basis zumindest eines Freischaltcodes (ULK), und • Informationen (PW_CA) zur Überprüfung des Freischaltcodes (ULK) auf seine Gültigkeit umfasst, – Bereitstellung der Sicherheitsrichtlinie (P) an der zweiten Einheit (FD), – Erzeugen eines Freischaltcodes (ULK) für die erste Einheit (M), und Bereitstellung des Freischaltcodes (ULK) an der ersten Einheit (M), – Übermitteln des Freischaltcodes (ULK) von der ersten Einheit (M) an die zweite Einheit (FD), und – Überprüfung des Freischaltcodes (ULK) durch die zweite Einheit (FD) anhand der Sicherheitsrichtlinie (P) und gegebenenfalls Gewähren von Zugang.
  2. Verfahren nach Anspruch 1, wobei der Freischaltcode (ULK) als hardwarebezogener Freischaltcode anhand spezifischer Daten der ersten Einheit (M), insbesondere Seriennummer, International Mobile Equipment Identity, International Mobile Subscriber Identity, Telefonnummer oder auf der SIM-Karte gespeicherten Daten, erzeugt wird.
  3. Verfahren nach Anspruch 1 oder 2, wobei der Freischaltcode (ULK) als nutzerbezogener Freischaltcode anhand spezifischer Daten eines Nutzers (OP) der ersten Einheit (M), insbesondere Name und Nutzerpasswort, erzeugt wird.
  4. Verfahren nach Anspruch 2 oder 3, wobei unterschiedliche Rechte an der zweiten Einheit je nach Freischaltcode (ULK) gewährt werden.
  5. Verfahren nach zumindest einem der Ansprüche 1 bis 4, wobei es sich bei den Informationen (PW_CA) zur Überprüfung des Freischaltcodes (ULK) um einen öffentlichen Masterschlüssel (PUBLICK_CA) eines zentralen Administrators (CA) handelt.
  6. Verfahren nach zumindest einem der Ansprüche 1 bis 5, wobei der Freischaltcode (ULK) zeitlich limitiert ist.
  7. Verfahren nach zumindest einem der Ansprüche 3 bis 6, wobei der nutzerbezogene Freischaltcode zur Erstellung weiterer Freischaltcodes berechtigt.
  8. Verfahren nach zumindest einem der Ansprüche 1 bis 7, wobei die Sicherheitsrichtlinie (P) zumindest eine der Information Name der Anlage, Masterschlüssel (PW_CA), und Information darüber welche Freischaltcodes (ULK) in welcher Kombination Zugang gewähren, umfasst.
  9. Verfahren nach zumindest einem der Ansprüche 1 bis 8, wobei die Bereitstellung des Freischaltcodes (ULK) an der ersten Einheit (M) mittels eines textbasierten Verfahrens, insbesondere SMS, E-Mail oder Instant Messaging, eines optischen Verfahrens, insbesondere mittels 2D-Code, etwa per Matrix-Code, beispielsweise als QR-Code oder DataMatrix-Code, oder mittels Speichermedien auf Basis einer Drahtlostechnologie, etwa RFID oder NFC, erfolgt.
  10. Verfahren nach zumindest einem der Ansprüche 1 bis 9, wobei die Sicherheitsrichtlinie (P), insbesondere zusätzlich, auf einem Server gespeichert ist.
  11. Verfahren nach Anspruch 10 in Verbindung mit Anspruch 2 und/oder 3, wobei auf dem Server eine Positivliste und/oder eine Negativliste gespeichert sind, wobei auf der Positivliste bzw. auf der Negativliste die berechtigten bzw. gesperrten spezifischen Daten der ersten Einheit (M) und/oder spezifischen Daten eines Nutzers (OP) der ersten Einheit (M) aufgeführt sind.
  12. Verfahren nach zumindest einem der Ansprüche 1 bis 11, wobei ein asymmetrisches Kryptosystem mit einem geheimen privaten Schlüssel (PRIVATEK_CA, PRIVATEK_M, PRIVATEK_SUBADMIN, PRIVATEK_USER) und einem jeweils zugehörigen öffentlichen Schlüssel (PUBLICK_CA, PUBLICK_M, PUBLICK_SUBADMIN, PUBLICK_USER) verwendet wird, wobei der jeweilige geheime private Schlüssel für die Generierung eines Freischaltcodes (ULK) erforderlich ist und der öffentliche Schlüssel (PUBLICK_CA, PUBLICK_M, PUBLICK_SUBADMIN, PUBLICK_USER) zur Authentizitätsüberprüfung genutzt wird.
  13. Verfahren nach zumindest einem der Ansprüche 1 bis 11, wobei ein symmetrisches Kryptosystem verwendet wird, bei dem der gleiche Schlüssel sowohl für die Generierung als auch für die Überprüfung des Freischaltcodes (ULK) genutzt wird.
  14. Verfahren nach zumindest einem der Ansprüche 1 bis 13, wobei es sich der zweiten Einheit (FD) um ein Feldgerät in Zweileitertechnik handelt.
  15. Verfahren nach dem vorhergehenden Anspruch, wobei die erste Einheit (FD) über keinerlei Display verfügt.
  16. Verfahren nach zumindest einem der Ansprüche 1 bis 15, wobei das Verfahren als dezentrales Verfahren ausgeführt wird, insbesondere wird kein zentrales System wie eine Leitstelle benötigt.
  17. Verfahren nach zumindest einem der Ansprüche 1 bis 16, wobei zwischen erster Einheit (M) und zweiter Einheit (FD) eine drahtlose Verbindung, insbesondere eine drahtlose Verbindung per Bluetooth oder WLAN, aufgebaut ist.
  18. Computerprogrammprodukt, das so angepasst ist, dass es ein Verfahren nach zumindest einem der Ansprüche 1 bis 17 ausführt.
  19. Computerlesbarer Datenträger, der das Computerprogrammprodukt nach Anspruch 18 umfasst.
  20. Computerlesbare Datenträger nach Anspruch 19, wobei sich der computerlesbare Datenträger auf/in der ersten Einheit und/oder der zweiten Einheit befindet.
DE102014112611.4A 2014-09-02 2014-09-02 Verfahren zur Authentifikation mindestens einer ersten Einheit an mindestens einer zweiten Einheit Pending DE102014112611A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102014112611.4A DE102014112611A1 (de) 2014-09-02 2014-09-02 Verfahren zur Authentifikation mindestens einer ersten Einheit an mindestens einer zweiten Einheit
CN201510557565.4A CN105392134B (zh) 2014-09-02 2015-09-02 在至少一个第二单元上认证至少一个第一单元的方法
US14/842,993 US9710984B2 (en) 2014-09-02 2015-09-02 Method for the authentication of at least one first unit on at least one second unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014112611.4A DE102014112611A1 (de) 2014-09-02 2014-09-02 Verfahren zur Authentifikation mindestens einer ersten Einheit an mindestens einer zweiten Einheit

Publications (1)

Publication Number Publication Date
DE102014112611A1 true DE102014112611A1 (de) 2016-03-03

Family

ID=55311873

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014112611.4A Pending DE102014112611A1 (de) 2014-09-02 2014-09-02 Verfahren zur Authentifikation mindestens einer ersten Einheit an mindestens einer zweiten Einheit

Country Status (3)

Country Link
US (1) US9710984B2 (de)
CN (1) CN105392134B (de)
DE (1) DE102014112611A1 (de)

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE202016004859U1 (de) 2016-08-07 2016-09-15 Frank Schütze Türschloss mit einem Schließmechanismus
DE102016106638A1 (de) * 2016-04-11 2017-10-12 Balluff Gmbh Verfahren zum Freischalten einer Funktion einer Mess- und/oder Stellvorrichtung sowie entsprechend ausgebildete Mess- und/oder Stellvorrichtung
DE102016009638A1 (de) 2016-08-07 2018-02-08 Frank Schütze Türschloss mit einem Schließmechanismus
DE102016216921A1 (de) 2016-09-07 2018-03-08 Siemens Schweiz Ag Verfahren und Anordnung zur Inbetriebnahme von Regel- und Steuergeräten für eine Gebäudeautomatisierung
DE102016117631A1 (de) 2016-09-19 2018-03-22 Endress+Hauser Conducta Gmbh+Co. Kg Prozessleitsystem der Automatisierungstechnik
WO2018130492A1 (de) * 2017-01-10 2018-07-19 Vega Grieshaber Kg Feldgerät und verfahren zur bereitstellung von broadcast-informationen
DE102017106777A1 (de) * 2017-03-29 2018-10-04 Endress+Hauser Conducta Gmbh+Co. Kg Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik und eine Bedieneinheit zum Durchführen des Verfahrens
WO2019211066A1 (de) 2018-05-02 2019-11-07 Truma Gerätetechnik GmbH & Co. KG Verfahren zum zurücksetzen eines geräts sowie gerät und steuereinheit
EP3582033A1 (de) 2018-06-12 2019-12-18 ABB Schweiz AG Verfahren und vorrichtung zur gesicherten bedienung eines feldgeräts
DE102019128402A1 (de) * 2019-10-21 2021-04-22 Ifm Electronic Gmbh Verfahren zur Bedienung einer Einheit eines Bussystems der Automatisierungstechnik
US20210144016A1 (en) * 2019-11-07 2021-05-13 Krohne Messtechnik Gmbh Method for Carrying Out Permission-Dependent Communication Between at Least one Field Device of Automation Technology and an Operating Device
DE102019135268A1 (de) * 2019-12-19 2021-06-24 Endress+Hauser Process Solutions Ag Übertragung von Sicherheitseinstellungen zwischen einem ersten und einem zweiten Feldgerät der Automatisierungstechnik
DE102020124909A1 (de) 2020-09-24 2022-03-24 Endress+Hauser Conducta Gmbh+Co. Kg Verfahren zur Erlangung eines Notfall-Gerätezugriffs bei Feldgeräten
EP3993317A1 (de) * 2020-11-02 2022-05-04 Dräger Safety AG & Co. KGaA Messsystem, kommunikationskomponente, vorrichtung, verfahren und computerprogramm für eine kommunikationskomponente eines messsystems zum synchronisieren von zugangsdaten
DE102020128758A1 (de) 2020-11-02 2022-05-05 Vega Grieshaber Kg Mobiles Servicegerät
DE102021129430A1 (de) 2021-11-11 2023-05-11 Endress+Hauser Flowtec Ag Verfahren zum Erkennen von Manipulation von Daten in einem Netzwerk
DE102022102662A1 (de) 2022-02-04 2023-08-10 Krohne Messtechnik Gmbh Verfahren zur sicheren Freigabe einer Kommunikationsverbindung zwischen einem Feldgerät und einem Bediengerät und ein entsprechendes Feldgerät
WO2023110487A3 (de) * 2021-12-13 2023-08-10 WAGO Verwaltungsgesellschaft mit beschränkter Haftung Fehlermeldungs-quittierung

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11080414B2 (en) 2015-05-22 2021-08-03 Huawei Device Co., Ltd. Cryptographic unit for public key infrastructure (PKI) operations
US10079679B2 (en) * 2016-04-28 2018-09-18 Bank Of America Corporation Cryptographic encryption key escrow and recovery
CN107548064A (zh) * 2016-06-29 2018-01-05 上海连尚网络科技有限公司 用于提供无线接入点的安全信息的方法与设备
CN110024324B (zh) 2016-09-23 2022-09-20 苹果公司 网络通信业务的安全传送装置
DE102016118610A1 (de) * 2016-09-30 2018-04-05 Endress+Hauser Gmbh+Co. Kg Verfahren zur Sicherstellung der Authentizität eines Feldgeräts
DE102017203235A1 (de) * 2017-02-28 2018-08-30 Siemens Aktiengesellschaft Verfahren und System zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System gekoppelten Server
DE102017111939A1 (de) * 2017-05-31 2018-12-06 Krohne Messtechnik Gmbh Verfahren zur sicheren Kommunikation mit einem Feldgerät der Prozessmesstechnik und ein entsprechendes Feldmessgerät der Prozessmesstechnik
DE102017129698A1 (de) * 2017-12-13 2019-06-13 Endress+Hauser Conducta Gmbh+Co. Kg Verfahren und System zum Betreiben einer Erweiterung an einem Messumformer der Prozessautomatisierungstechnik
DE102018102608A1 (de) * 2018-02-06 2019-08-08 Endress+Hauser Conducta Gmbh+Co. Kg Verfahren zur Benutzerverwaltung eines Feldgeräts
CN108762791B (zh) * 2018-06-07 2022-09-16 深圳市元征科技股份有限公司 固件升级方法及装置
CN114787935A (zh) 2019-07-16 2022-07-22 贝塔仿生公司 血糖控制系统
US11957876B2 (en) 2019-07-16 2024-04-16 Beta Bionics, Inc. Glucose control system with automated backup therapy protocol generation
EP4002038A1 (de) * 2020-11-13 2022-05-25 VEGA Grieshaber KG Vorrichtung zum schützen eines zugriffs für segmente in verteilten systemen
CN112598827B (zh) * 2020-12-25 2023-01-20 北京智芯微电子科技有限公司 智能锁认证方法、安全芯片、智能锁及其管理系统
WO2022219434A1 (en) * 2021-04-14 2022-10-20 Abb Schweiz Ag Method and system for providing wireless connection between field devices with computing device

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4766746A (en) * 1986-02-21 1988-08-30 Supra Products, Inc. Electronic real estate lockbox system
EP1234084A1 (de) * 1999-11-30 2002-08-28 Bording Data A/S Eine methode und ein system für steuern zugang zu einem standort
US9009084B2 (en) * 2002-10-21 2015-04-14 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
US9217998B2 (en) * 2006-09-29 2015-12-22 Rockwell Automation Technologies, Inc. Management and development of an industrial environment
US8276186B2 (en) * 2008-01-22 2012-09-25 Honeywell International Inc. System and method for synchronizing security settings of control systems
GB2474545B (en) * 2009-09-24 2015-06-24 Fisher Rosemount Systems Inc Integrated unified threat management for a process control system
JP5170585B2 (ja) * 2010-08-09 2013-03-27 横河電機株式会社 プロビジョニング装置
DE102010040688A1 (de) * 2010-09-14 2012-03-15 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Authentisieren von Multicast-Nachrichten
CN103888940B (zh) * 2012-12-19 2017-05-10 中国科学院沈阳自动化研究所 多级加密与认证的wia‑pa网络手持设备的通讯方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Emsenhuber, E.: COM+ in der Prozeßautomatisierung. Diplomarbeit. Linz, Oktober 2002.URL: http://www.fim.uni-linz.ac.at/diplomarbeiten/diplomarbeit_emsenhuber/thesis.pdf *
https://password-hashing.net/faq.html
IEEE 802.15.4
Joos, Th.: Windows-Phone-7-Praxis - Exchange-Anbindung und Zertifikate, Zertifikate auf dem Smartphone installieren. In Tec Channel, 22.07.2011.URL: http://www.tecchannel.de/kommunikation/handy_pda/2036585/windows_phone_7_praxis_anbindung_an_exchange_und_sharepoint/index2.html *

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016106638B4 (de) * 2016-04-11 2020-09-24 Balluff Gmbh Verfahren zum Freischalten einer Funktion einer Mess- und/oder Stellvorrichtung sowie entsprechend ausgebildete Mess- und/oder Stellvorrichtung
DE102016106638A1 (de) * 2016-04-11 2017-10-12 Balluff Gmbh Verfahren zum Freischalten einer Funktion einer Mess- und/oder Stellvorrichtung sowie entsprechend ausgebildete Mess- und/oder Stellvorrichtung
DE102016009638A1 (de) 2016-08-07 2018-02-08 Frank Schütze Türschloss mit einem Schließmechanismus
DE202016004859U1 (de) 2016-08-07 2016-09-15 Frank Schütze Türschloss mit einem Schließmechanismus
DE102016216921A1 (de) 2016-09-07 2018-03-08 Siemens Schweiz Ag Verfahren und Anordnung zur Inbetriebnahme von Regel- und Steuergeräten für eine Gebäudeautomatisierung
DE102016117631A1 (de) 2016-09-19 2018-03-22 Endress+Hauser Conducta Gmbh+Co. Kg Prozessleitsystem der Automatisierungstechnik
WO2018130492A1 (de) * 2017-01-10 2018-07-19 Vega Grieshaber Kg Feldgerät und verfahren zur bereitstellung von broadcast-informationen
US11153848B2 (en) 2017-01-10 2021-10-19 Vega Grieshaber Kg Field device and method for providing broadcast information
DE102017106777A1 (de) * 2017-03-29 2018-10-04 Endress+Hauser Conducta Gmbh+Co. Kg Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik und eine Bedieneinheit zum Durchführen des Verfahrens
US10938804B2 (en) 2017-03-29 2021-03-02 Endress+Hauser Conducta Gmbh+Co. Kg Method for operating a field device of automation technology and an operating unit for carrying out the method
DE102018003525A1 (de) * 2018-05-02 2019-11-07 Truma Gerätetechnik GmbH & Co. KG Verfahren zum Zurücksetzen eines Geräts sowie Gerät und Steuereinheit
WO2019211066A1 (de) 2018-05-02 2019-11-07 Truma Gerätetechnik GmbH & Co. KG Verfahren zum zurücksetzen eines geräts sowie gerät und steuereinheit
EP3582033A1 (de) 2018-06-12 2019-12-18 ABB Schweiz AG Verfahren und vorrichtung zur gesicherten bedienung eines feldgeräts
US11165569B2 (en) 2018-06-12 2021-11-02 Abb Schweiz Ag Method and device for securely operating a field device
DE102019128402A1 (de) * 2019-10-21 2021-04-22 Ifm Electronic Gmbh Verfahren zur Bedienung einer Einheit eines Bussystems der Automatisierungstechnik
DE102019128402A8 (de) * 2019-10-21 2021-06-17 Ifm Electronic Gmbh Verfahren zur Bedienung einer Einheit eines Bussystems der Automatisierungstechnik
US20210144016A1 (en) * 2019-11-07 2021-05-13 Krohne Messtechnik Gmbh Method for Carrying Out Permission-Dependent Communication Between at Least one Field Device of Automation Technology and an Operating Device
DE102019135268A1 (de) * 2019-12-19 2021-06-24 Endress+Hauser Process Solutions Ag Übertragung von Sicherheitseinstellungen zwischen einem ersten und einem zweiten Feldgerät der Automatisierungstechnik
DE102020124909A1 (de) 2020-09-24 2022-03-24 Endress+Hauser Conducta Gmbh+Co. Kg Verfahren zur Erlangung eines Notfall-Gerätezugriffs bei Feldgeräten
US11809541B2 (en) 2020-09-24 2023-11-07 Endress+Hauser Conducta Gmbh+Co. Kg Method for obtaining emergency device access for field devices
EP3993317A1 (de) * 2020-11-02 2022-05-04 Dräger Safety AG & Co. KGaA Messsystem, kommunikationskomponente, vorrichtung, verfahren und computerprogramm für eine kommunikationskomponente eines messsystems zum synchronisieren von zugangsdaten
DE102020128744A1 (de) 2020-11-02 2022-05-05 Dräger Safety AG & Co. KGaA Messsystem, Kommunikationskomponente, Vorrichtung, Verfahren und Computerprogramm für eine Kommunikationskomponente eines Messsystems zum Synchronisieren von Zugangsdaten
DE102020128758A1 (de) 2020-11-02 2022-05-05 Vega Grieshaber Kg Mobiles Servicegerät
DE102021129430A1 (de) 2021-11-11 2023-05-11 Endress+Hauser Flowtec Ag Verfahren zum Erkennen von Manipulation von Daten in einem Netzwerk
WO2023110487A3 (de) * 2021-12-13 2023-08-10 WAGO Verwaltungsgesellschaft mit beschränkter Haftung Fehlermeldungs-quittierung
DE102022102662A1 (de) 2022-02-04 2023-08-10 Krohne Messtechnik Gmbh Verfahren zur sicheren Freigabe einer Kommunikationsverbindung zwischen einem Feldgerät und einem Bediengerät und ein entsprechendes Feldgerät

Also Published As

Publication number Publication date
CN105392134A (zh) 2016-03-09
US9710984B2 (en) 2017-07-18
CN105392134B (zh) 2019-09-06
US20160063785A1 (en) 2016-03-03

Similar Documents

Publication Publication Date Title
DE102014112611A1 (de) Verfahren zur Authentifikation mindestens einer ersten Einheit an mindestens einer zweiten Einheit
EP2859705B1 (de) Autorisierung eines nutzers durch ein tragbares kommunikationsgerät
DE102012219618B4 (de) Verfahren zur Erzeugung eines Soft-Tokens, Computerprogrammprodukt und Dienst-Computersystem
DE102016226311A1 (de) Authentifizierung eines lokalen gerätes
DE102017116161A1 (de) Zwei-Faktor-Authentifizierung für Benutzerschnittstelleneinrichtungen in einer Prozessanlage
EP3077952B1 (de) Verfahren zum zugriff auf einen datenspeicher eines cloud-computersystems
DE102015113054A1 (de) Sichern von Vorrichtungen bei Prozesssteuerungssystemen
DE102015121809A1 (de) Funkdongle und Verfahren zur drahtlosen Übertragung von Daten von einem Computer zu zumindest einem Feldgerät
DE102014106727A1 (de) Verfahren zum Senden/Empfangen einer Nachricht mittels einer verschlüsselten drahtlosen Verbindung
DE102017116311A1 (de) Authentifizierung und autorisierung zum kontrollieren des zugriffs auf prozesskontrolleinrichtungen in einer prozessanlage
EP3422628B1 (de) Verfahren, sicherheitseinrichtung und sicherheitssystem
EP3582033B1 (de) Verfahren zur gesicherten bedienung eines feldgeräts
DE102014204252A1 (de) Sicherheitssystem mit Zugriffskontrolle
EP3647887B1 (de) Verfahren und vorrichtung zur weitergabe einer zugriffsinformation für einen zugriff auf ein feldgerät der prozessindustrie
DE112022001753T5 (de) Inbetriebnahme von Vorrichtungen für Prozessautomatisierungssysteme unter Verwendung von tragbaren Einrichtungsvorrichtungen
EP3198826B1 (de) Authentisierungs-stick
DE102017003957A1 (de) mobile Verschlüsselungsapplikation
EP3556071B1 (de) Verfahren, vorrichtung und computerlesbares speichermedium mit instruktionen zum signieren von messwerten eines sensors
WO2019243054A1 (de) Einrichtung einer zugangsberechtigung zu einem teilnetzwerk eines mobilfunknetzes
WO2022106653A1 (de) Dezentrale bereitstellung von benutzerdaten
EP3289509A1 (de) Verfahren zur erzeugung einer elektronischen signatur
DE102015011336A1 (de) Farbcodezertifikatsserver
EP4087184B1 (de) Verfahren zur von einer systemzeit unabhängigen authentifizierung von interaktionen sowie vorrichtung zur durchführung dieses verfahrens und flammenwächter mit einer derartigen vorrichtung
DE102020124909A1 (de) Verfahren zur Erlangung eines Notfall-Gerätezugriffs bei Feldgeräten
Díaz et al. Multiprotocol authentication device for hpc and cloud environments based on elliptic curve cryptography

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0009320000

Ipc: G06F0021350000

R163 Identified publications notified
R081 Change of applicant/patentee

Owner name: ENDRESS+HAUSER CONDUCTA GMBH+CO. KG, DE

Free format text: FORMER OWNER: ENDRESS + HAUSER CONDUCTA GESELLSCHAFT FUER MESS- UND REGELTECHNIK MBH + CO. KG, 70839 GERLINGEN, DE

R082 Change of representative

Representative=s name: KOSLOWSKI, CHRISTINE, DIPL.-CHEM. DR. RER. NAT, DE

R012 Request for examination validly filed