DE102018131124B4 - Router mit Anmeldungsfunktionalität und hierfür geeignetes Zugriffskontrollverfahren - Google Patents

Router mit Anmeldungsfunktionalität und hierfür geeignetes Zugriffskontrollverfahren Download PDF

Info

Publication number
DE102018131124B4
DE102018131124B4 DE102018131124.9A DE102018131124A DE102018131124B4 DE 102018131124 B4 DE102018131124 B4 DE 102018131124B4 DE 102018131124 A DE102018131124 A DE 102018131124A DE 102018131124 B4 DE102018131124 B4 DE 102018131124B4
Authority
DE
Germany
Prior art keywords
registration
registration data
router
access
activation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102018131124.9A
Other languages
English (en)
Other versions
DE102018131124A1 (de
Inventor
Gerrit Boysen
Ingo HILGENKAMP
Andreas Fuss
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Phoenix Contact GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Phoenix Contact GmbH and Co KG filed Critical Phoenix Contact GmbH and Co KG
Priority to DE102018131124.9A priority Critical patent/DE102018131124B4/de
Publication of DE102018131124A1 publication Critical patent/DE102018131124A1/de
Application granted granted Critical
Publication of DE102018131124B4 publication Critical patent/DE102018131124B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft ein Zugriffskontrollverfahren sowie einen Router, der zwischen wenigstens zwei Kommunikations-, Anlagen- und/oder Rechnernetzen geschaltet ist und mit Anmeldungsfunktionalität ausgestattet und eingerichtet ist, zur Anmeldung eines Nutzers, um diesen nach Eingabe von als zulässig erkannten Anmeldungsdaten Zugriff auf vorbestimmte Netzbereiche und/oder an diese angeschaltete Netzgeräte zu gewähren, dadurch gekennzeichnet, dass am Router eine mit der Anmeldungsfunktionalität zusammenwirkende Aktivierungs-/Deaktivierungseinrichtung vorgesehen ist, zum temporären Aktivieren und/oder Deaktivieren einer zur Eingabe von Anmeldungsdaten durch den Nutzer erforderlichen Anmeldungsdaten-Eingabeeinrichtung.

Description

  • Vorliegende Erfindung betrifft einen Router, der zwischen wenigstens zwei Kommunikations-, Anlagen- und/oder Rechnernetzen geschaltet ist und mit einer Anmeldungsfunktionalität ausgestattet und eingerichtet ist zur Anmeldung eines Nutzers, um diesen nach Eingabe von als zulässig erkannten Anmeldungsdaten Zugriff auf vorbestimmte Netzbereiche und/oder an diese angeschaltete Netzgeräte zu gewähren. Die Erfindung betrifft ferner ein, insbesondere für einen solchen Router geeignetes Zugriffskontrollverfahren.
  • Bekanntermaßen können Kommunikations-, Anlagen- und/oder Rechnernetze, im Rahmen der Erfindung auch allgemein als Netzwerke bezeichnet, an und für sich private Netze oder auch öffentliche Netze darstellen und jeweils für sich z.B. sogenannte LANs (Local Area Networks) oder WANs (Wide Area Networks) bilden, je nach Definition, sowie grundsätzlich technisch unterschiedlich aufgebaut sein. Netzwerke können folglich auch eine komplette Automatisierungsanlage, Produktionsanlage oder Büroumgebung abdecken oder auch Teilbereiche hiervon, bis hin zu einzelnen Netzzellen. Andere Beispielspiele sind z.B. Rechenzentren oder auch ein öffentliches Telefonnetz. Innerhalb eines Netzwerkes angeschaltete Netzgeräte können untereinander jedoch über ein gemeinsames Medium sowie Protokoll miteinander kommunizieren und/oder Daten austauschen sowie in der Regel auch eine Anzahl von Ressourcen gemeinsam nutzen. Im Falle von beispielsweise Automatisierungs- oder Produktionsanlagen kommunizieren die hierbei innerhalb eines Netzwerkes angeschalteten Netzteilnehmer beispielsweise über ein gemeinsames Ethernet-Netzwerk miteinander.
  • Um ein Kommunizieren und/oder einen Austausch von Daten über die Grenzen eines Netzes hinweg zu ermöglichen und/oder beispielsweise ein Netz mit dem Internet oder einem anderen Netzwerk zu verbinden, werden an den Außengrenzen eines Netzwerkes bekanntermaßen häufig Router eingesetzt, welcher ermöglicht, mehrere Netzwerke auch mit unterschiedlichen Protokollen bzw. Medien miteinander zu verbinden. Im Rahmen der Erfindung betrifft der Begriff Netz oder Netzwerk somit auch Teilbereiche eines solchen, bis hin zu einzelnen Netzzellen, an deren Außengrenzen dann jeweils ein Router eingesetzt ist.
  • Ein Zugriff von außerhalb eines solchen Kommunikations-, Anlagen- und/oder Rechnernetzes auf dieses Netz oder auf zumindest vorbestimmte Netzbereiche und/oder daran angeschaltete Netzgeräte erfolgt somit üblicherweise über einen Router und wird in der Regel nur entsprechend autorisierten Nutzern gestattet. Derartige Nutzer können Personen sein, aber auch Netzgeräte anderer Netze. Solche Zugriffe von außerhalb sind beispielsweise auch bei Fernwartungs- und/oder Security-Anwendungen oftmals notwendig, wofür von extern ein bestimmter Nutzer auf zumindest vorbestimmte Netzbereiche oder daran angeschaltete Netzgeräte zugreifen muss. Um den Zugriff von extern auf solche Bereiche oder daran angeschaltete Netzgeräte für unbefugte Nutzer zu unterbinden, ist es deswegen im Regelfall erforderlich, zunächst entsprechende Anmeldungsdaten beim Router einzugeben bzw. diesem zu übergeben, um dann entsprechend der hinsichtlich der Anmeldungsdaten hinterlegten Zugriffsautorisierung dem Nutzer einen entsprechenden Zugriff auf das hinter dem Router befindliche Netz bzw. die daran angeschalteten und folglich durch den Router geschützten Netzbereiche und Netzgeräte zu gewähren. Für einen gewährten Zugriff kann dann beispielsweise auch der Aufbau eines entsprechenden VPN-Tunnels hin zu einem bestimmten Netzbereich und/oder Netzgerät durch den Router eingeleitet werden.
  • Die DE 10 2015 003 236 A1 betrifft ein Verfahren und System zum Bereitstellen von temporären, sicheren Zugang ermöglichenden virtuellen Betriebsmitteln, welche ein Kommunikationstor für temporären, sicheren Zugang umfassen, nachdem Authentifizierungsdaten für einen temporären Zugriff von einem System außerhalb der virtuellen Betriebsmittel empfangen worden sind. Beispielsweise umfasst das virtuelle Betriebsmittel ein Empfangsmodul zum Empfangen von Authentifizierungsdaten sowie ein Aktivierungsmodul für das Kommunikationstor für temporären, sicheren Zugang, wobei das Aktivierungsmodul das Kommunikationstor aktiviert bzw. „öffnet“, nachdem die Authentifizierungsdaten von dem Empfangsmodul empfangen worden sind.
  • Aus der DE 10 2006 057 400 B4 ist eine Zugriffskontrollsteuerung für Zugriffscode-geschützte Administrator-verwaltete Datenquellen mit einem durch einen bekannten Zugriffscode geschützten Fernabfragemittel bekannt, wobei die Zugriffskontrollsteuerung ein Mittel besitzt, um die Fernabfrage mit einem als zulässig bekannten Zugriffscode temporär zu sperren. Hierzu wird der einem Nutzer bekannte Zugriffscode, der von der Zugriffskontrollsteuerung auch als zulässig bekannt ist, in einen stattdessen zu verwendenden, dem hinsichtlich seines Zugriffs zu sperrenden Nutzer jedoch nicht bekannten Substitutivcode geändert. Da der Substitutivcode den zulässigen Zugriffscode auch eines autorisierten Nutzers an der zu sperrenden Datenquelle ersetzt, müsste folglich auch der grundsätzlich autorisierte Nutzer bei temporärer Sperrung seines zulässigen Zugriffscodes, den ihm unbekannten Substitutivcode anstelle seines an und für sich zulässigen Zugriffscodes eingeben, um Zugriff gewährt zu bekommen.
  • Ein Nachteil hierbei ist, dass die Zugriffskontrollsteuerung weiterhin, d.h. auch bei temporär gesperrtem Zugriffscode, aktiv eine Prüfung des von einem Nutzer eingegebenen Zugriffscodes durchführen muss, d.h. einen Vergleich des eingegebenen Zugriffscodes mit dem zur temporären Sperrung ersetzen Substitutivcode.
  • Eine Aufgabe der Erfindung besteht daher darin, eine hohe Sicherheit gegen unerwünschte Fremdzugriffe von außen auf ein Netzwerk, auch für an und für sich autorisierte Nutzer bereitzustellen und insbesondere einen grundsätzlich möglichen Fremdzugriff zumindest temporär zu unterbinden, und zwar in einfacherer und insbesondere auch kapazitätsschonender Weise, insbesondere in Bezug auf die, die Prüfung und/oder Freigabe eines angefragten Zugriffs bewerkstelligenden Komponenten und Ressourcen.
  • Die Lösung der Erfindung ist bereits durch einen Router mit den Merkmalen nach Anspruch 1 sowie ein Zugriffskontrollverfahren mit den Merkmalen nach Anspruch 7 gegeben.
  • Die vorliegende Erfindung schlägt somit einen Router vor, bei welchem eine Anmeldungsfunktionalität zur Anmeldung eines Nutzers derart vorgesehen ist, diesem nach Eingabe von als zulässig erkannten Anmeldungsdaten Zugriff auf vorbestimmte Netzbereiche und/oder an diese angeschaltete Netzgeräte zu gewähren, dass am Router eine mit der Anmeldungsfunktionalität zusammenwirkende Aktivierungs-Deaktivierungseinrichtung vorgesehen ist zum temporären Aktivieren und/oder Deaktivieren einer zur Eingabe von Anmeldungsdaten durch den Nutzer erforderlichen Anmeldungsdaten-Eingabeeinrichtung.
  • Die Erfindung schlägt ferner ein Zugriffskontrollverfahren, insbesondere für einen solchen Router vor, bei welchem zur Kontrolle des Zugriffs das Eingeben von Anmeldungsdaten mittels einer Aktivierungs-/Deaktivierungseinrichtung temporär freigegeben und/oder gesperrt werden kann.
  • Im Gegensatz zum vorstehend zitierten Stand der Technik, insbesondere der DE 10 2006 057 400 B4 , muss somit unter Anwendung der erfindungsgemäßen Lösung keine Prüfung eines eingegebenen Codes bzw. von Anmeldungsdaten mehr stattfinden, wenn der Zugriff auf das Netzwerk temporär gesperrt werden soll, da in diesem Fall bereits die Eingaben von Anmeldungsdaten unterbunden ist. Die temporäre Sperrung eines Zugriffs auf das Netzwerk erfolgt somit, da keine aktive Prüfung auf Zulässigkeit von eingegebenen Anmeldungsdaten mehr stattfinden muss, durch eine wesentlich ressourcenschonendere Weise.
  • In Weiterbildung ist vorgesehen, dass vom Router im Rahmen der Anmeldungsfunktionalität ein über einen Desktop oder Browser aufrufbares Anmeldungsmenü als Anmeldungsdaten-Eingabeeinrichtung eingerichtet ist.
  • In besonders bevorzugter Weiterbildung ist daher von der Erfindung ferner vorgesehen, dass die Aktivierungs-/Deaktivierungseinrichtung zum temporären Deaktivieren der Anmeldungsdaten-Eingabeeinrichtung lediglich eine optische Anzeige des Anmeldungsmenüs unterbindet.
  • Entsprechend zeichnet sich ein besonders bevorzugtes Zugriffskontrollverfahren dadurch aus, dass das Eingeben der Anmeldungsdaten über einen Desktop oder ein Browser abrufbares Anmeldungsmenü erfolgt und durch Unterbinden einer optischen Anzeige dieses Anmeldungsmenüs gesperrt wird.
  • In ergänzender oder auch alternativer Weiterbildung ist jedoch auch zweckmäßig vorgesehen, dass die Anmeldungsfunktionalität bei temporär aktivierter Anmeldungsdaten-Eingabeeinrichtung zur automatisierten Eingabe von Anmeldungsdaten und/oder zum Einlesen der Anmeldungsdaten unter Nutzung von Scan- oder Sensoreinrichtungen eingerichtet ist.
  • In weiterer ergänzender oder alternativer Ausführung ist vorgesehen, dass die Aktivierungs-/Deaktivierungseinrichtung einen Schalter, insbesondere einen als Hardware oder als Software ausgebildeten Schalter besitzt.
  • So kann ein solcher Schalter in zweckmäßiger Weiterbildung, beispielsweise als Schlüsselschalter oder auch als HMI (Human Machine Interface)-Schaltfläche ausgebildet sein.
  • Gemäß einer weiteren ergänzenden oder alternativen Weiterbildung ist ferner vorgesehen, die Aktivierungs-/Deaktivierungseinrichtung in Zusammenwirken mit der Anmeldungsfunktionalität zum Bewirken einer Aktivierung und auch Deaktivierung der Anmeldungsdaten-Eingabeeinrichtung unabhängig von jeglicher aktivierten oder deaktivierten Kommunikationsverbindung einzurichten.
  • Weitere Vorteile und Merkmale der Erfindung ergeben sich aus der nachfolgenden Beschreibung einiger bevorzugter Ausführungsformen unter Bezugnahme auf die beigefügten Zeichnungen, welche zeigen:
    • 1 in stark schematisierter Darstellung eine Teilansicht eines Routers mit einer ersten Ausführungsform einer erfindungsgemäßen Aktivierungs-/Deaktivierungseinrichtung,
    • 2 in stark schematisierter Darstellung eine Teilansicht eines Routers mit einer zweiten Ausführungsform einer erfindungsgemäßen Aktivierungs-/Deaktivierungseinrichtung,
    • 3 in stark schematisierter Darstellung eine Teilansicht eines Routers mit einer dritten Ausführungsform einer erfindungsgemäßen Aktivierungs-/Deaktivierungseinrichtung,
    • 4 in stark schematisierter Darstellung eine Teilansicht eines Routers mit einer vierten Ausführungsform einer erfindungsgemäßen Aktivierungs-/Deaktivierungseinrichtung, und
    • 5 in stark vereinfachter Darstellung eine bevorzugte Ausführungsform eines erfindungsgemäßen Zugriffskontrollverfahrens.
  • Für die nachfolgende Beschreibung bevorzugter Ausführungsformen der Erfindung wird von einem Router ausgegangen, der zwischen wenigstens zwei Kommunikations-, Anlagen- und/oder Rechnernetzen geschaltet und mit einer Anmeldungsfunktionalität ausgestattet und eingerichtet ist, zur Anmeldung eines Nutzers, um diesen nach Eingabe von als zulässig erkannten Anmeldungsdaten Zugriff auf vorbestimmte Netzbereiche und/oder an diese angeschaltete Netzgeräte zu gewähren. Nach Zugriffsgewährung auf vorbestimmte Netzbereiche und/oder an diese angeschaltete Netzgeräte wird der Nutzer sodann in der Regel über eine Benutzerfirewall und basierend auf einem individuellen Regelwerk entsprechend weitergeleitet.
  • Beispielhaft sei angenommen, der zuvor notwendige Zugriff auf den, insbesondere von der Anmeldungsfunktionalität zur Verfügung gestellten Anmeldungsbereich bzw. die zur Eingabe von Anmeldungsdaten durch den Nutzer erforderliche Anmeldungsdaten-Eingabeeinrichtung, eines solchen Routers ist beispielsweise vierundzwanzig Stunden am Tag und sieben Tagen in der Woche möglich. Sowohl Service-Mitarbeiter als auch Administratoren können sich daher grundsätzlich jederzeit mit zulässigen Anmeldungsdaten anmelden, insbesondere mit ihren Benutzernamen und jeweils individuellen Passworten, um von extern auf das hinter dem Router liegende Netzwerk zu gelangen, d.h. insbesondere von einem ersten Netzwerkwerk über den an der Außengrenze eines zweiten Netzwerkes eingesetzten Routers in das zweite Netzwerk. Ein solcher Router kann insbesondere auch einzelne Netzbereiche voneinander trennen, bis hin zu kleinsten Netzzellen.
  • Dies kann jedoch beispielsweise im laufenden Betrieb einer Anlage ein unnötiges Risiko darstellen. Folglich kann es wünschenswert sein, dass zum Beispiel im Fall einer in Betrieb befindlichen Anlage oder einer bestimmten Maschine hiervon, ein Zugriff von außen auf das entsprechende Netzwerk, d.h. insbesondere die Anlage oder bestimmte Maschine betreffende Netzwerk, nicht möglich sein soll oder darf.
  • Es gibt folglich Konstellationen, bei denen ein Zugriff von außen auf ein Netzwerk nicht möglich sein soll oder darf, auch dann nicht, wenn ein in Betracht kommender Nutzer entsprechend qualifiziert ist und/oder als einziger Nutzer grundsätzlich autorisiert ist und die entsprechend zulässigen Anmeldungsdaten, wie insbesondere Passwort und Benutzernamen, kennt.
  • 5 skizziert für solche Konstellationen in stark vereinfachter Darstellung eine bevorzugte Ausführungsform eines erfindungsgemäßen Zugriffskontrollverfahrens. So ist müssen beispielsweise gemäß linker Darstellung von 5 für eine durch Anmeldungsdaten geschützte Zugriffsfunktionalität auf vorbestimmte Netzbereiche und/oder an diese angeschaltete Netzgeräte, zur Nutzung der Zugriffsmöglichkeit zunächst Anmeldungsdaten eingegeben und als zulässige Anmeldungsdaten erkannt werden. Das Eingeben dieser Daten erfolgt hierbei gemäß linker Darstellung der 5 z.B. über einen Desktop oder Browser aufrufbares Anmeldungsmenü 10, wobei im dargestellten Beispiel ein Nutzemame und ein Passwort in ein entsprechendes Eingabefeld einzugeben sind und anschließend auf den mit „Login“ bezeichneten Button gedrückt werden muss, woraufhin zur Zugriffskontrolle eine Prüfung auf zulässige Anmeldungsdaten eingeleitet wird. In einem, wie in der linken Darstellung der 5 zu sehenden, aktivierten Zustand können die Anmeldungsdaten eingegeben werden und ist folglich das Eingeben von Anmeldungsdaten freigegeben.
  • Mit der rechten Darstellung der 5 ist im Gegensatz hierzu ein deaktivierter Zustand, skizziert. In einem solchen Zustand können keine Anmeldungsdaten eingegeben werden und ist folglich das Eingeben von Anmeldungsdaten gesperrt. Ist für das Eingeben der Anmeldungsdaten beispielsweise gemäß 5 ein über einen Desktop oder Browser aufrufbares Anmeldungsmenü 10 vorgesehen, kann das Sperren bevorzugt einfach durch Unterbinden einer optischen Anzeige des Anmeldungsmenüs 10 erfolgen, wie mit der rechten Darstellung der 5 skizziert.
  • Das Freigeben und/oder Sperren der Eingabe bzw. der Eingabemöglichkeit von Anmeldungsdaten erfolgt hierbei zweckmäßig über eine Aktivierungs-/Deaktivierungseinrichtung, wie nachfolgend näher erläutert, und kann folglich temporär ausgewählt werden, d.h. je nach Bedarf das Eingeben von Anmeldungsdaten temporär freigegebenen werden und/oder temporär gesperrt werden, insbesondere durch einfaches Umschalten zwischen beiden Zuständen, wie durch den mit dem Bezugszeichen 15 gekennzeichneten Doppelpfeil angedeutet. Eine Kontrolle des Zugriffs auf vorbestimmte Netzbereiche und/oder an diese angeschaltete Netzgeräte ist somit jederzeit gegeben.
  • Die 1 und 2 zeigen in stark schematisierter Darstellung Teilansichten von Routern mit einer jeweiligen bevorzugten, insbesondere in Hardware verwirklichten Ausführungsform einer erfindungsgemäßen Aktivierungs-/Deaktivierungseinrichtung. Skizziert sind an einem jeweiligen Router 20a (1) und 20b (2) vorhandene Anschlussblöcke 21 bzw. 23. Die Anschlussblöcke 21 und 23 umfassen jeweils eine Anzahl, insbesondere eine Mehrzahl von Eingangsanschlüssen, und in der Regel auch eine Anzahl, insbesondere eine Mehrzahl von Ausgangsanschlüssen. Derartige Ein- und Ausgangsanschlüsse stellen in der Regel digitale Signalanschlüsse bereit und sind dem Fachmann an und für sich bekannt. Der Router 20a bzw. 20b ist jeweils zwischen zwei Netzen geschaltet, wie in den 1 und 2 mit den mit N1 und N2 belegten Doppelpfeilen angezeigt. Beispielsweise trennt der Router 20a oder 20b jeweils eine bestimmte Netzzelle N1 von einem anderen Netzbereich N2 ab. Die Netzzelle N1 kann z.B. einer bestimmten Produktionszelle eines Anlagennetzwerkes entsprechen, an deren Außengrenze der Router 20a, 20b eingesetzt ist, um einen Zugriff von außerhalb der Netzzelle N1, also insbesondere vom Netz oder Netzbereich N2 kommend, kontrollieren zu können.
  • Die erste, in 1 skizzierte Ausführungsformen sieht eine erfindungsgemäße, mit der Anmeldungsfunktionalität zusammenwirkende Aktivierungs-/Deaktivierungseinrichtung am Router derart vor, dass mittels einer Kontaktbrücke 22 zwei vorbestimmte Anschlüsse miteinander und direkt elektrisch verbunden sein müssen, um eine zur Eingabe von Anmeldungsdaten durch den Nutzer erforderliche, jedoch aus Gründen der Übersichtlichkeit in der Fig. nicht dargestellte Anmeldungsdaten-Eingabeeinrichtung zu aktivieren.
    Wie aus der vorhergehenden Beschreibung zur 5 ersichtlich, kann eine solche Anmeldungsdaten-Eingabeeinrichtung z.B. als ein vom Router im Rahmen der Anmeldungsfunktionalität eingerichtetes, über einen Desktop oder Browser aufrufbares Anmeldungsmenü beinhalten. Ist die Kontaktbrücke entfernt, und also eine direkt elektrische Verbindung zwischen den zwei vorbestimmten Anschlüssen nicht vorhanden, ist die Anmeldungsdaten-Eingabeeinrichtung deaktiviert. Jederzeit nach Bedarf ist die Anmeldungsdaten-Eingabeeinrichtung folglich von einem aktivierten Zustand in einen deaktivierten Zustand schaltbar und umgekehrt.
  • Die zweite, in 2 skizzierte Ausführungsformen sieht in Abwandlung zur Ausführungsform nach 1 eine Hardwarelösung vor, bei welcher ein Schalter oder Taster 24 am Router vorgesehen ist, mittels welchem die mit der Anmeldungsfunktionalität zusammenwirkende, jedoch aus Gründen der Übersichtlichkeit in der Fig. nicht dargestellte Anmeldungsdaten-Eingabeeinrichtung temporär aktivierbar und/oder deaktivierbar ist. Der Schalter oder Taster 24 kann bevorzugt als Schlüsselschalter ausgebildet sein, d.h. als elektrischer Schalter, der aus Sicherheitsgründen mit einem Schloss kombiniert ist, so dass der Schaltvorgang nur von einem befugten Personenkreis unter Zuhilfenahme des passenden Schlüssels ausgeführt werde kann. Mit dem Schalter oder Taster 24 kann z.B. ein vorbestimmter Anschluss, insbesondere mit einem digitalen Eingang, zur Eingabe der Anmeldungsdaten zunächst an ein hierzu notwendiges Spannungspotential, z.B.24V, gelegt sein. Zum Sperren der Eingabemöglichkeit von Anmeldungsdaten, d.h. wenn ein Zugriff von außen auf das durch den Router abgegrenzte Netz, z.B. vom Netz N2 kommend auf das Netz N1, nicht möglich sein soll oder darf, kann mittels des Schalters oder Tasters 24 die Verbindung mit zu dem notwendigen Spannungspotential temporär unterbrochen werden.
  • Möchte demnach z.B. ein Service-Mitarbeiter vom N2 aus auf das Netz N1, z.B. das Netz einer Produktionszelle zugreifen, um dort beispielsweise eine SPS (Speicherprogrammierbare Steuerung) anders zu konfigurieren muss er folglich hierzu zunächst grundsätzliche zulässige Anmeldungsdaten kenn, z.B. seinen Benutzernamen und ein entsprechend zugeordnetes Passwort, um den zwischen den Netzen N1 und N2 angeordneten, insbesondere zum Schutz vor das N2 geschalteten Router 20a oder 20b zu passieren. Der Router 20a oder auch 20b ist somit bevorzugt ein sogenannter Security-Router mit einer Benutzerfirewall, Mit dem erfindungsgemäßen Router, kann nun die Sicherheit dahin erhöht werden, dass die Anmeldung und die damit verbundene Authentifizierung eines grundsätzlich befugten Nutzers nur ermöglicht ist, wenn auch die am Router vorgesehene Aktivierungs-/Deaktivierungseinrichtung entsprechend aktiviert ist, also z.B. ein vorbestimmter digitaler Eingang am Router entsprechend gesetzt ist, z.B. über einen lokalen Schlüsselschalter. Ist die Aktivierungs-/Deaktivierungseinrichtung entsprechend in einem deaktiven Zustand, ist auch ein Anmeldungsversuch beim Router nicht möglich. Beispielsweise kann die Aktivierungs-/Deaktivierungseinrichtung ausgebildet sein, die optische Anzeige eines wie vorstehend aufgezeigtes Anmeldungsmenüs zu unterbinden. So kann ferner insbesondere vorgesehen sein, dass erst ein Mitarbeiter vor Ort die Aktivierungs-/Deaktivierungseinrichtung entsprechend aktivieren muss, d.h. z.B. den Schlüsselschalter in die aktivierende und also die Eingabe von Anmeldungsdaten freigebende Stellung drehen muss. Der Service-Mitarbeiter muss sich somit erst mit dem Mitarbeiter vor Ort besprechen und die „mechanische Freigabe“ von diesem zu erhalten.
  • Das bietet insbesondere den Vorteil, dass ein Nutzer von außen nur in Absprache mit dem Betreiber des Netzes, auf welches der Nutzer von außen zugreifen möchte, agieren kann (4-Augen-Prinzip). Der Betreiber des Netzes behält somit weiterhin die Hoheit über sein durch den erfindungsgemäßen Router nach außen geschütztes Netz.
  • In Abwandlung zu den Ausführungsformen nach 1 und 2 kann die Aktivierungs-/Deaktivierungseinrichtung in weiteren bevorzugten Ausführungen im Rahmen der Erfindung auch ganz oder teilweise in Software ausgebildet, z.B. als eine Software basierte HMI-Schaltfläche ausgebildet sein oder eine solche besitzen.
  • Bei der in 3 skizzierten Ausführungsformen ist z.B. in einer weiteren zweckmäßigen Abwandlung vorgesehen, dass eine im Rahmen der Erfindung vorgesehene Aktivierungs-/Deaktivierungseinrichtung des Routers 20c eine an diesen angeschaltete, insbesondere über eine Netzverbindung des Netzes N1 angeschaltete Steuerkomponente 25a sowie einen Softwareschalter umfasst, so dass mittels der angeschalteten Steuerkomponente per Steuersignal der Softwareschalter entsprechend einem gewünschten aktivierten Zustand oder deaktivierten Zustand triggerbar ist, d.h. zum Freigeben oder Sperren der Möglichkeit des Eingebens von Anmeldungsdaten.
  • In weiterer Alternative kann z.B. gemäß einer wie bei 4 skizzierten Ausführungsformen auch eine über separate bzw. individuelle Signalleitungen 26 an vorbestimmte Anschlüsse eines Routers 20d angeschaltete Steuerkomponente 25b vorgesehen sein, insbesondere um mittels entsprechender Steuersignale die zur Eingabe von Anmeldungsdaten durch den Nutzer erforderliche Anmeldungsdaten-Eingabeeinrichtung temporär zu aktiveren und/oder deaktivieren.
  • Es sei darauf hingewiesen, dass als Anmeldungsdaten-Eingabeeinrichtung im Rahmen der Erfindung nicht lediglich eine Einrichtung einsetzbar ist, über welche händisch Anmeldungsdaten einzugeben sind. Alternativ können als Anmeldungsdaten-Eingabeeinrichtung im Rahmen der Erfindung auch Einrichtungen eingesetzt werden, mit denen eine automatische oder automatisierte Eingabe von Anmeldungsdaten erfolgt und/oder bei denen die Eingabe von Anmeldungsdaten durch entsprechende Sensoren erfassbar ist, beispielsweise durch Fingerprint-Sensoren.
  • Ferner ist unabhängig von der jeweiligen Ausführung der Aktivierungs-/Deaktivierungseinrichtung und/oder der Anmeldfunktionalität, die Aktivierungs-/Deaktivierungseinrichtung in Zusammenwirken mit der Anmeldungsfunktionalität jedoch zweckmäßig derart eingerichtet, dass das Bewirken einer Aktivierung und auch das Bewirken einer Deaktivierung der Anmeldungsdaten-Eingabeeinrichtung unabhängig von jeglicher aktivierten oder deaktivierten Kommunikationsverbindung, wie z.B. VPN-Verbindung, ermöglicht ist.
  • Unter Berücksichtigung vorstehender Beschreibung kann die Lösung nach der Erfindung folglich insbesondere auch in Anwendungen genutzt werden, in denen ein VPN-Tunnel nicht genutzt wird, z.B. bei der Kommunikation aus einem Produktionsnetzbereich in eine einzelne Produktionszelle, und/oder in Anwendungen, wo ein VPN-Tunnel in ein bestimmtes Netz oder in einen bestimmten Netzbereich dauerhaft aufgebaut sein muss, der Zugriff durch den VPN-Tunnel aber nur in Absprache mit dem Betreiber dieses bestimmten Netzes oder Netzbereiches erfolgen soll.

Claims (8)

  1. Router, der zwischen wenigstens zwei Kommunikations-, Anlagen- und/oder Rechnernetzen geschaltet ist und mit Anmeldungsfunktionalität ausgestattet und eingerichtet ist, zur Anmeldung eines Nutzers, um diesen nach Eingabe von als zulässig erkannten Anmeldungsdaten Zugriff auf vorbestimmte Netzbereiche und/oder an diese angeschaltete Netzgeräte zu gewähren, dadurch gekennzeichnet, dass am Router eine mit der Anmeldungsfunktionalität zusammenwirkende Aktivierungs-/Deaktivierungseinrichtung vorgesehen ist, zum temporären Aktivieren und/oder Deaktivieren einer zur Eingabe von Anmeldungsdaten durch den Nutzer erforderlichen Anmeldungsdaten-Eingabeeinrichtung, wobei im Rahmen der Anmeldungsfunktionalität ein über ein Desktop oder Browser aufrufbares Anmeldungsmenü als Anmeldungsdaten-Eingabeeinrichtung eingerichtet ist und die Aktivierungs-/Deaktivierungseinrichtung ausgebildet ist, zum temporären Deaktivieren eine optische Anzeige des Anmeldungsmenüs zu unterbinden.
  2. Router nach Anspruch 1, ferner dadurch gekennzeichnet, dass die Anmeldungsfunktionalität bei temporär aktivierter Anmeldungsdaten-Eingabeeinrichtung zur automatisierten Eingabe der Anmeldungsdaten und/oder zum Einlesen der Anmeldungsdaten unter Nutzung von Scann- oder Sensoreinrichtungen eingerichtet ist.
  3. Router nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass die Aktivierungs-/Deaktivierungseinrichtung in Hardware- und/oder Software ausgebildet.
  4. Router nach Anspruch 2, ferner dadurch gekennzeichnet, dass die Aktivierungs-/Deaktivierungseinrichtung einen Schlüsselschalter oder eine HMI-Schaltfläche besitzt.
  5. Router nach einem der Ansprüche 1 bis 4, ferner dadurch gekennzeichnet, dass die Aktivierungs-/Deaktivierungseinrichtung eingerichtet ist, ein zur Eingabe der Anmeldungsdaten notwendiges Spannungspotential temporär zu unterbrechen.
  6. Router nach einem der Ansprüche 1 bis 5, ferner dadurch gekennzeichnet, dass die Aktivierungs-/Deaktivierungseinrichtung in Zusammenwirken mit der Anmeldungsfunktionalität zum Bewirken einer Aktivierung und auch Deaktivierung der Anmeldungsdaten-Eingabeeinrichtung, unabhängig von jeglicher aktivierten oder deaktivierten Kommunikationsverbindung, wie z.B. VPN-Verbindung, eingerichtet ist.
  7. Zugriffskontrollverfahren, insbesondere für einen Router nach einem der vorstehenden Ansprüche, für eine durch Anmeldungsdaten geschützte Zugriffsfunktionalität auf vorbestimmte Netzbereiche und/oder an diese angeschaltete Netzgeräte, wobei zur Nutzung der Zugriffsmöglichkeit Anmeldungsdaten eingegeben und als zulässige Anmeldungsdaten erkannt werden müssen, dadurch gekennzeichnet, dass zur Kontrolle des Zugriffs das Eingeben von Anmeldungsdaten mittels einer Aktivierungs-/Deaktivierungseinrichtung temporär freigegeben und/oder gesperrt werden kann, und wobei das Eingeben der Anmeldungsdaten über ein Desktop oder Browser aufrufbares Anmeldungsmenü erfolgt und durch Unterbinden einer optischen Anzeige des Anmeldungsmenüs gesperrt wird.
  8. Zugriffskontrollverfahren nach Anspruch 7, ferner dadurch gekennzeichnet, dass die Zugriffsfunktionalität eingerichtet ist, zur Eingabe von Anmeldungsdaten zur Gewährung des Zugriffs auf vorbestimmte Netzbereiche und/oder an diese angeschaltete Netzgeräte eine automatisierte Anmeldungsprozedur zu unterstützen und/oder das Einlesen von Anmeldungsdaten unter Nutzung von Scann- oder Sensoreinrichtungen zu unterstützen.
DE102018131124.9A 2018-12-06 2018-12-06 Router mit Anmeldungsfunktionalität und hierfür geeignetes Zugriffskontrollverfahren Active DE102018131124B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102018131124.9A DE102018131124B4 (de) 2018-12-06 2018-12-06 Router mit Anmeldungsfunktionalität und hierfür geeignetes Zugriffskontrollverfahren

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018131124.9A DE102018131124B4 (de) 2018-12-06 2018-12-06 Router mit Anmeldungsfunktionalität und hierfür geeignetes Zugriffskontrollverfahren

Publications (2)

Publication Number Publication Date
DE102018131124A1 DE102018131124A1 (de) 2020-06-10
DE102018131124B4 true DE102018131124B4 (de) 2020-06-18

Family

ID=70776390

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018131124.9A Active DE102018131124B4 (de) 2018-12-06 2018-12-06 Router mit Anmeldungsfunktionalität und hierfür geeignetes Zugriffskontrollverfahren

Country Status (1)

Country Link
DE (1) DE102018131124B4 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011035197A1 (en) * 2009-09-18 2011-03-24 Qualcomm Incorporated Access control based on receipt of message from access terminal
DE102006057400B4 (de) 2006-12-04 2011-06-16 Mobotix Ag Zugriffskontrollsteuerung
DE102015003236A1 (de) 2014-03-18 2015-09-24 Intuit Inc. Verfahren und System zum Bereitstellen von temporären, sicheren Zugang ermöglichenden virtuellen Betriebsmitteln

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006057400B4 (de) 2006-12-04 2011-06-16 Mobotix Ag Zugriffskontrollsteuerung
WO2011035197A1 (en) * 2009-09-18 2011-03-24 Qualcomm Incorporated Access control based on receipt of message from access terminal
DE102015003236A1 (de) 2014-03-18 2015-09-24 Intuit Inc. Verfahren und System zum Bereitstellen von temporären, sicheren Zugang ermöglichenden virtuellen Betriebsmitteln

Also Published As

Publication number Publication date
DE102018131124A1 (de) 2020-06-10

Similar Documents

Publication Publication Date Title
DE102007025162A1 (de) Alarmgesteuerte Zugriffskontrolle in einem Unternehmensnetz
EP3582033B1 (de) Verfahren zur gesicherten bedienung eines feldgeräts
DE102006054399A1 (de) Sicheres Gateway mit Alarmmanager und Unterstützung für eingehend föderierte Identität
EP3798767B1 (de) Verfahren und anordnung zur kontrolle des datenaustauschs eines industriellen edge-gerätes
EP3151503B1 (de) Verfahren und system zur authentifizierung einer umgebenden web-anwendung durch eine einzubettende web-anwendung
DE102009029876B4 (de) Verfahren und Modul zum geschützten Einstellen von Maschinen-Konfigurationsdaten
DE102018131124B4 (de) Router mit Anmeldungsfunktionalität und hierfür geeignetes Zugriffskontrollverfahren
DE102012108866A1 (de) Verfahren zum sicheren Bedienen eines Feldgerätes
DE102016107450A1 (de) Sicheres Gateway
WO2018166942A1 (de) Verfahren zur zugangskontrolle
EP3647887A1 (de) Verfahren und vorrichtung zur weitergabe einer zugriffsinformation für einen zugriff auf ein feldgerät der prozessindustrie
BE1026835B1 (de) Router mit Anmeldungsfunktionalität und hierfür geeignetes Zugriffskontrollverfahren
EP3355141B1 (de) Operator-system für ein prozessleitsystem
DE102014208839A1 (de) Verfahren zur sicheren Datenübertragung zwischen einer Automatisierungsanlage und einer IT-Komponente
EP3788807B1 (de) Verfahren zum einrichten eines kommunikationskanals zwischen einem datengerät und einem endgerät eines benutzers
DE10319365A1 (de) Computersystem für ein Fahrzeug und Verfahren zum Kontrollieren des Datenverkehrs in ein solches Computersystem
DE102019209009A1 (de) Filter, Anordnung und Betriebsverfahren für eine Anordnung
DE102019210982A1 (de) Verfahren zur abgesicherten Konfiguration von Automatisierungssystemen
EP2898635B1 (de) System und verfahren zur wartung einer werkzeugmaschine
DE102020129227B4 (de) Datenverarbeitungsvorrichtung zum Aufbauen einer Kommunikationsverbindung
EP3309699B1 (de) System aus kommunikationseinheit und zusatzgerät mit sicherungsmittel an der schnittstelle
EP2165459B1 (de) Vorrichtung und verfahren zur verarbeitung von datenströmen
DE102009060904B4 (de) Verfahren zum Steuern eines Verbindungsaufbaus sowie Netzwerksystem
EP1419636A2 (de) Verfahren zum automatischen login einer kraftfahrzeugsteilnehmerstation
EP2538627A1 (de) Verfahren zum Betreiben eines Engineering-Systems mit Benutzeridentifikation und Vorrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000