DE102019210982A1 - Verfahren zur abgesicherten Konfiguration von Automatisierungssystemen - Google Patents

Verfahren zur abgesicherten Konfiguration von Automatisierungssystemen Download PDF

Info

Publication number
DE102019210982A1
DE102019210982A1 DE102019210982.9A DE102019210982A DE102019210982A1 DE 102019210982 A1 DE102019210982 A1 DE 102019210982A1 DE 102019210982 A DE102019210982 A DE 102019210982A DE 102019210982 A1 DE102019210982 A1 DE 102019210982A1
Authority
DE
Germany
Prior art keywords
control device
access token
parameter
interface
local access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019210982.9A
Other languages
English (en)
Inventor
Alexander Breitenbach
Julien Rausch
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102019210982.9A priority Critical patent/DE102019210982A1/de
Priority to US16/918,044 priority patent/US11552939B2/en
Priority to CN202010718834.1A priority patent/CN112311756A/zh
Publication of DE102019210982A1 publication Critical patent/DE102019210982A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0426Programming the control sequence
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/41865Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by job scheduling, process planning, material flow
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25165Token ring network
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31183Token ring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Manufacturing & Machinery (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Konfiguration einer Steuerungsvorrichtung (10) eines Automatisierungssystems, umfassend: Erfassen (100, 200, 300, 230) eines lokalen Zugangs-Tokens (22) über eine Schnittstelle (20) der Steuerungsvorrichtung; und Ändern (120, 220, 320) mindestens eines Parameters der Steuerungsvorrichtung, welcher zur Konfiguration einer Datenverbindung (18, 40) der Steuerungsvorrichtung eingerichtet ist, in Reaktion auf die Erfassung des lokalen Zugangs-Tokens.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur Konfiguration einer Steuerungsvorrichtung eines Automatisierungssystems und ein Automatisierungssystem, in dem ein solches Verfahren angewendet werden kann, sowie eine Recheneinheit und ein Computerprogramm zur Durchführung des Verfahrens.
  • Stand der Technik
  • Große Teile der Anlagen in der industriellen Fertigung und Produktion sind mittlerweile teilweise oder vollständig automatisiert. Dazu werden spezifische Hardware- und Firmware-Module ebenso genutzt wie programmierbare Steuerungen (z.B. SPS, speicherprogrammierbare Steuerungen) oder PC-basierte Steuerungen. Diese können alle relevanten Funktionen übernehmen, wie etwa Regelung, Steuerung, Diagnose und/oder Überwachung von automatisierten Sensoren und Aktoren.
  • Ein Maschinenbediener kommt gewöhnlich nicht mit Details von Konfiguration und Einstellungen in Berührung und muss daher keine entsprechenden Kenntnisse aufweisen. Daher ist es häufig erforderlich, zur Wartung oder Konfiguration eines Automatisierungssystems einen Zugriff von außen zu ermöglichen. Beispielsweise wäre vorteilhaft, zur Wartung oder Konfiguration eine Verbindung zu externen Netzwerken bereitzuhalten und einen entsprechenden Zugang zur Anlagensteuerung zu eröffnen.
  • Dem steht entgegen, dass solche Einrichtungen und ihre Steuerungen häufig gegenüber weiteren Modulen, gegenüber dem internen Netzwerk und/oder externen Netzwerken abgesichert werden, um sicherheitsrelevante Eingriffe zu verhindern. Dazu dienen beispielsweise physisch abgetrennte Netzwerksegmente, Adressräume, Firewalls und andere Filterregeln.
  • Es ist daher wünschenswert, einen einfachen und sicheren Weg zur Konfiguration eines Automatisierungssystems bereitzustellen.
  • Offenbarung der Erfindung
  • Erfindungsgemäß werden ein Verfahren zur Konfiguration einer Steuerungsvorrichtung eines Automatisierungssystems und ein Automatisierungssystem mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.
  • Insbesondere wird ein Verfahren zur Konfiguration einer Steuerungsvorrichtung eines Automatisierungssystems vorgeschlagen, welches das Erfassen eines lokalen Zugangs-Tokens über eine Schnittstelle der Steuerungsvorrichtung und das Ändern mindestens eines Parameters der Steuerungsvorrichtung umfasst, welcher zur Konfiguration einer Datenverbindung der Steuerungsvorrichtung eingerichtet ist, in Reaktion auf die Erfassung des lokalen Zugangs-Tokens. Dabei kann auf diese Weise beispielsweise eine Datenverbindung der Steuerungsvorrichtung aus einem oder in ein externes Netzwerk aktiviert werden, oder es kann eine Datenverbindung von der Steuerungsvorrichtung oder angeschlossenen Elementen zu einem unterliegenden Netzwerk (z.B. einem Feldbus) zugänglich gemacht werden, also Zugangsbeschränkungen aufgehoben werden.
  • Gemäß einer bevorzugten Ausführungsform kann das Ändern umfassen, diesen mindestens einen Parameter von einem ersten Wert, welcher eine Kommunikation zwischen der Steuerungsvorrichtung und dem Netzwerk zumindest teilweise verhindert, auf einen zweiten Wert zu ändern (oder umgekehrt), welcher die Kommunikation zwischen der Steuerungsvorrichtung und dem Netzwerk zumindest teilweise ermöglicht. Auf diese Weise wird durch das Erkennen des lokalen Zugangs-Tokens ein Netzwerkzugriff von außen bzw. nach außen vorübergehend aktiviert, so dass verschiedenste Einstellungen, Kommunikationen und anderes über dieses Netzwerk ausgeführt werden können.
  • Zusätzlich kann mindestens ein Datenelement von dem lokalen Token empfangen werden und auf Grundlage des empfangenen Datenelements können ein oder mehrere gespeicherte Parameterwerte gewählt werden, die dann zum Ändern von Parametern genutzt werden. Diese können in einem Speicherelement der Steuervorrichtung gespeichert sein, so dass anhand von z.B. Identifikationsdaten des Zugangs-Tokens ein bestimmter Parameterwert oder ein Satz von Parameterwerten, etwa eine vollständige Konfigurationsvorlage, auf Grundlage der vom Token empfangenen/abgerufenen Daten gewählt und angewandt wird.
  • Alternativ oder zusätzlich können vom Zugangs-Token selbst Datenelemente empfangen werden, die Parameterwerte für die Änderung der Parameter der Steuerungsvorrichtung darstellen, bzw. auf deren Grundlage solche Parameterwerte für die Änderung gebildet werden können. So können beispielsweise auf einem Speicherelement eines Tokens Parametersätze abgelegt sein, die dann an die jeweiligen zu konfigurierenden Geräte übertragen und dort angewendet werden, so dass das Automatisierungssystem diese Daten (z.B. IP-Adresse eines Update-Servers) nicht bereits vorliegen haben muss.
  • Je nach Ausführungsform kann vorgesehen sein, dass die geänderten Parameter, also z.B. die Verbindungsdaten, zurückgesetzt werden, sobald das lokale Zugangs-Token nicht mehr erfasst wird, also etwa sobald ein physikalisch verbundenes Token von der Schnittstelle entfernt wird oder ein drahtlos verbundenes Token deaktiviert oder aus der Reichweite des Lesegeräts der Schnittstelle entfernt wird. Auf diese Weise kann auf einfache Weise eine vorübergehende Konfiguration von Verbindungsdaten und ähnlichen Parametern durch einen lokalen Benutzer erfolgen und sichergestellt werden, dass anschließend wieder der abgesicherte Zustand hergestellt wird.
  • Ebenso können geänderte Parameter der Steuervorrichtung auch nach Ablauf einer vorbestimmten Zeitspanne seit dem Ändern des Parameters zurückgesetzt werden, und/oder nach Ablauf einer vorbestimmten Zeitspanne seit der letzten Erfassung des Zugangstokens. Auf diese Weise ist sichergestellt, dass auch bei einem Zugangs-Token, das versehentlich verbunden bleibt und z.B. in der Schnittstelle vergessen wird, nach gewisser Zeit wieder die abgesicherte Verbindungskonfiguration des Automatisierungssystems eingestellt wird.
  • Es kann außerdem vorgesehen sein, dass ein lokales Zugangs-Token zunächst an der Schnittstelle authentifiziert werden muss, bevor die Parameter der Steuerungsvorrichtung geändert werden, um unberechtigte Zugriffe auf die Konfiguration sicherheitsrelevanter Module zu verhindern und/oder um unterschiedliche Zugangs-Token und ihre Funktion zu unterscheiden. Dabei kann eine Parameteränderung verhindert werden, falls die Authentifizierung fehlschlägt; in diesem Fall bleibt bevorzugt die sichere Verbindungskonfiguration bestehen und es kann weiterhin kein Zugriff von außen stattfinden.
  • Das Ändern von Parametern der Steuerungsvorrichtung kann verschiedene Funktionen umfassen, wie etwa das Zuweisen einer IP-Adresse für die Steuerungsvorrichtung, Definieren von Filterregeln für empfangene und/oder gesendete Paketdaten, oder das Ändern von Zugangsberechtigungen für die Steuerungsvorrichtung, z.B. die Änderung von Firewall-Regeln.
  • Außerdem wird ein Automatisierungssystem vorgeschlagen, welches eine Steuerungsvorrichtung zum Ansteuern von einer oder mehreren Automatisierungsvorrichtungen, eine Schnittstelle, die dazu eingerichtet ist, ein lokales Zugangs-Token zu erfassen; eine konfigurierbare Verbindung von der Steuerungsvorrichtung zu mindestens einem Netzwerk; sowie ein Zugangsmodul in Verbindung mit der Schnittstelle und der Steuerungsvorrichtung umfasst, das dazu eingerichtet ist, Verfahrensschritte wie vorstehend beschrieben einzeln oder in Kombination auszuführen.
  • Dabei kann die Schnittstelle, über die das lokale Zugangs-Token erfasst wird, eine drahtgebundene Schnittstelle oder eine drahtlose Schnittstelle umfassen. Das System kann außerdem ein lokales Zugangs-Token umfassen, das beispielsweise ein USB-Speicherelement, eine Flash-Speicherkarte, ein aktives oder passives RFID-Tag, ein NFC-Tag, ein Mobilgerät, oder eine Smartcard sein kann.
  • Eine erfindungsgemäße Recheneinheit, z.B. ein Steuergerät einer Fertigungsmaschine oder einer Robotereinheit, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.
  • Auch die Implementierung eines erfindungsgemäßen Verfahrens in Form eines Computerprogramms oder Computerprogrammprodukts mit Programmcode zur Durchführung aller Verfahrensschritte ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Geeignete Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
  • Es versteht sich, dass die vorstehend genannten und die nachfolgend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung ausführlich beschrieben. Figurenbeschreibung
    • 1 zeigt ein beispielhaftes Automatisierungssystem gemäß der vorliegenden Erfindung;
    • 2 zeigt einen beispielhaften Verfahrensablauf gemäß einer ersten Ausführungsform,
    • 3 zeigt einen beispielhaften Verfahrensablauf gemäß einer zweiten Ausführungsform, und
    • 4 zeigt einen weiteren beispielhaften Verfahrensablauf gemäß einer dritten Ausführungsform.
  • Detaillierte Beschreibung der Zeichnung
  • 1 zeigt ein Automatisierungssystem mit einer Steuervorrichtung 10, die eine konfigurierbare Verbindung 40 in ein externes Netzwerk 60 aufweisen kann. Die Steuervorrichtung ist über ein Bussystem 18 mit zwei Automatisierungsgeräten 12 und 14 verbunden, die beispielsweise Fertigungsautomaten oder Aktoren sein können und von der Steuervorrichtung 10 angesteuert werden.
  • Derartige Systeme sind üblicherweise gegen einen Zugriff nach und von außen, also in ein weiteres Netzwerk 60 wie etwa ein lokales Netzwerk, ein Intranet oder auch das Internet beispielsweise durch entsprechende Firewall-Regeln wie z.B. Regeln für Paketfilterung abgesichert. Es existieren verschiedenste übliche Feldbusse und zugehörige Protokolle, über die die Verbindungen innerhalb des Automatisierungssystems auf bekannte Weise eingerichtet sein können, wie etwa SERCOS (Serial REaltime COmmunication System), Ether-CAT, Modbus TCP, Profinet, TFTP und weitere. Dabei kann grundsätzlich beispielsweise ein Automatisierungsgerät wie ein Roboterarm direkt mit entsprechenden Schnittstellen für eine Netzwerkverbindung versehen sein und direkt von einer geeigneten Steuervorrichtung, die auch mit dem Automatisierungsgerät integriert ausgebildet sein kann, gesteuert werden. Ebenso ist es aber möglich, dass wie im vorliegenden Beispiel ein Feldbus 18 genutzt wird, um mehrere Automatisierungsgeräte 12, 14, also z.B. mehrere Roboterarme gleichzeitig anzusteuern. Dafür kann beispielsweise eine speicherprogrammierbare Steuerung (SPS) 10 eingesetzt und ebenfalls mit dem Feldbus verbunden werden, oder alternativ auch eine PC-Steuerung. Ebenso können weitere Sensoren oder Automatisierungsgeräte beliebig eingesetzt werden. Die genutzten Automatisierungsgeräte und Bussysteme können für die vorliegende Erfindung ohne Einschränkung geeignet gewählt werden, solange eine Steuerungsvorrichtung 10 vorhanden ist, die einem einzelnen oder mehreren Automatisierungsgeräten und/oder dem gesamten Bussystem über eine entsprechende Kommunikationsschnittstelle 30 eine Verbindung 40 in ein weiteres Netzwerk 60 ermöglicht. Dabei kann auch eine geeignete Netzwerktopologie für das beispielhafte Bussystem gewählt werden, etwa eine Ringtopologie oder eine Stern-Topologie.
  • In der Steuervorrichtung 10 oder mit dieser verbunden ist eine drahtlose oder drahtgebundene Schnittstelle 20 vorgesehen, die das Erfassen eines lokalen Zugangs-Tokens 22 ermöglicht, wenn dieses mit der Schnittstelle 20 verbunden bzw. in deren Reichweite aktiviert bzw. erfassbar ist. Über die konfigurierbare Netzverbindung 40 kann die Steuerungsvorrichtung mit externen Netzen und darin befindlichen Einrichtungen, Servern 62, 64 etc. verbunden werden oder beispielsweise direkt von einem externen Gerät 50, etwa einem zur Wartung genutzten mobilen Computer, angesprochen werden. Optional kann an der Steuervorrichtung eine Bedienschnittstelle 16 (HMI, human machine interface) vorhanden sein, die alternativ auch direkt an das Bussystem 18 angebunden sein kann und zur Interaktion des Systems mit einem Benutzer dient.
  • In 2 ist ein beispielhafter Ablauf eines erfindungsgemäßen Verfahrens gezeigt, in dem der Zugriff auf ein Feldbus-Gerät ermöglicht wird.
  • Als Ausgangszustand soll in dieser Ausführungsform davon ausgegangen werden, dass die Verbindung des Feldbus-Geräts in ein externes Netzwerk 60 wie ein Intranet oder das Internet zumindest teilweise eingeschränkt ist. Der Zugriff auf Konfigurationsprofile ist häufig im normalen Betrieb nicht möglich. Um eine Konfiguration oder Wartung bzw. eine sonstige Änderung an Einstellungen von mindestens einem Feldbus-Gerät vornehmen zu können, kann nun ein lokales Zugangs-Token 22 verwendet werden. Ein solches Zugangs-Token kann ein physikalisches Token sein, das über die Schnittstelle 20 der Steuerungsvorrichtung 10 erfasst werden kann. Dabei kann es sich um eine drahtlose oder drahtgebundene Schnittstelle handeln. Sobald das lokale Zugangs-Token in Schritt 100 über die Schnittstelle der Steuerungsvorrichtung erkannt und erfasst wird, kann dieses zunächst in Schritt 110 auf seine Gültigkeit überprüft oder authentifiziert werden, und danach kann in Schritt 120 im Steuergerät automatisch eine Änderung bestimmter Parameter erfolgen. Insbesondere kann es sich dabei um Parameter handeln, die den Zugriff von einem Netzwerk bzw. auf ein Netzwerk ermöglichen, der zuvor verhindert war. Dazu können beispielsweise Firewall-Regeln für eine Maschinenabriegelung geändert werden. Nach der Erkennung des Zugangs-Tokens werden also in der Steuerungsvorrichtung vorbestimmte Regeln bzw. Parameter, die diese Regeln bestimmen, abgeändert, so dass nun ein Zugriff auf das unterlagerte Feldbusnetz über geeignete Protokolle aktiviert wird, der vorher nicht möglich war.
  • Nun kann von außen, also z.B. über ein im Netzwerk eingebundenes Gerät 50 zur Wartung, über eine lokale Benutzerschnittstelle am Gerät 16 oder über eine Intranet- bzw. Internetverbindung 40 gemäß den geänderten Regeln auf die Steuerungsvorrichtung und das Feldbus-gerät 12, 14 zugegriffen werden, so dass geeignete Konfigurationen und Einstellungen geändert werden können. Während das Zugangs-Token 22 lokal erkannt wird, muss die weitere Änderung der Konfiguration nicht zwingend von einem lokalen Gerät oder Anwender initiiert werden, sondern kann aus der Ferne geschehen. In einer möglichen Ausführungsform ist der Zugriff in Schritt 130 auf das Netzwerk aktiviert, solange das Zugangs-Token 22 aktiv erkannt wird, also z.B. solange ein entsprechender USB-Stick in der Schnittstelle 20 eingesteckt ist oder ein RFID-Token sich in der Reichweite des Lesegeräts 20 befindet, und wird in Schritt 140 deaktiviert, sobald das Zugangs-Token nicht mehr erfasst werden kann, d.h. vom Benutzer entfernt wurde und die Prüfung auf eine Erfassung des Tokens 22 negativ verläuft. Bevorzugt können die Parameter, im vorliegenden Fall also die Firewall-Regeln zur Verbindung in ein anderes Netzwerk 60, in diesem Schritt 140 dann auf die Werte zurückgesetzt werden, die vor der Parameteränderung durch das Zugangs-Token 22 eingestellt waren. Zu diesem Zweck kann vorgesehen sein, dass die Parameter zunächst ausgelesen und abgespeichert werden, bevor sie geändert werden, und nach Entfernung bzw. Deaktivierung des Zugangs-Tokens von diesem Speicherort wieder ausgelesen und angewendet werden. Ebenso können Standard-Einstellungen für eine oder mehrere Situationen abgespeichert sein, auf die bei der Rücksetzung der Parameter zugegriffen wird.
  • In einer weiteren beispielhaften Ausführungsform kann ein Zugangstoken 22 dazu verwendet werden, eine Firewall vorübergehend für einen Zugriff von außen zu öffnen. Ein entsprechendes Verfahren wird in Bezug auf 3 erläutert, wo ein Ablaufdiagramm für das Verfahren gezeigt ist. Eine derartige Firewall wird üblicherweise zwischen zwei Netzwerkschnittstellen eingesetzt und filtert auf Basis von z.B. MAC-Adressen die für das jeweilige Subnetz vorgesehenen Daten (Bridging Firewall). Für diese Weiterleitung zwischen den beiden Netzen benötigt die Firewall im aktiven Betrieb keine eigene IP-Adresse für eine höhere Schicht, so dass sie im äußeren Netzwerk nicht direkt ansprechbar und damit „unsichtbar“ bzw. transparent ist. Auf diese Weise wird die Sicherheit eines Automatisierungssystems bzw. - geräts weiter erhöht, da die Manipulation der Firewall-Regeln in diesem Fall von außen nicht möglich ist. Für administrative Aufgaben vom Netz aus muss aber daher der transparenten Firewall vorübergehend eine IP-Adresse zugewiesen werden.
  • Wie schon im ersten Ausführungsbeispiel kann für diese Konfiguration von Verbindungsparametern der Steuervorrichtung 10 bzw. Firewall ein lokales Zugangstoken verwendet werden, das in Schritt 200 von einer entsprechenden Schnittstelle 20 der Steuervorrichtung oder einer damit direkt oder indirekt verbundenen Schnittstelle erfasst und ausgelesen werden kann. Beispielsweise kann als Token 22 ein NFC-Tag eingesetzt werden, das in die Reichweite einer NFC-Leseschnittstelle 20 in der Steuervorrichtung gebracht wird. Sobald das Token in Schritt 210 als gültig erkannt und optional authentifiziert wurde, kann der Firewall-Komponente in Schritt 220 eine vorbestimmte und z.B. in der Vorrichtung 10 abgespeicherte feste IP-Adresse zugewiesen werden. Alternativ können als Parameter auch Einstellungen geändert werden, die es ermöglichen, dass der Vorrichtung eine dynamische IP-Adresse im Netzwerk 60 zugewiesen wird. Anschließend kann die Steuervorrichtung bzw. die transparente Firewall über diese IP-Adresse im Netzwerk angesprochen und wie gewohnt konfiguriert oder gewartet werden.
  • Nachdem die Wartungsvorgänge abgeschlossen sind, kann der Nutzer das Token 22 ein zweites Mal in die Reichweite des Lesegeräts 20 bringen, wo es entsprechend wieder in Schritt 230 erfasst und in Schritt 240 optional erneut auf seine Gültigkeit überprüft wird. Falls das Token als gültig erkannt oder authentifiziert wird, kann daraufhin die Steuervorrichtung 10 in Schritt 250 das Rücksetzen der Einstellungen veranlassen, also in diesem Fall die Entfernung der IP-Adress-Zuweisung. Daraufhin kann die Firewall-Komponente nicht mehr angesprochen werden, und das System ist wieder sicher abgeschlossen.
  • Das lokale Zugangs-Token 22 soll in allen Varianten zur Verwendung mit der jeweiligen vorgesehenen Schnittstelle eingerichtet sein und daher als Gegenstück ausgelegt sein. Beispielsweise kann es sich bei der Schnittstelle 20 in der Steuervorrichtung um eine USB-Schnittstelle handeln, wobei das Zugangstoken 22 ein USB-Speicherelement wie ein USB-Stick oder ein Mobilgerät mit zugehöriger USB-Schnittstelle sein kann; alternativ kann die Schnittstelle ein RFID-Lesegerät sein und das Zugangs-Token beispielsweise einen aktiven oder passiven RFID-Transponder-Chip bzw. ein RFID-Tag umfassen. Ebenso sind alle weiteren drahtlosen und drahtgebundenen geeigneten Schnittstellen im Nahfeld denkbar, also insbesondere Bluetooth-Sender und -Empfänger; ein sonstiges Speicherelement wie eine SD-Speicherkarte mit passendem Lesegerät; ein Infrarot-Empfänger mit zugehöriger Infrarot-Quelle zur Datenübertragung, z.B. gemäß IrDA-Standards (Infrared Data Association); ein NFC (near field communication)-Lesegerät mit NFC-Tag; beliebige bekannte oder spezifisch eingerichtete Steckerelemente für eine digitale oder analoge Übertragung von Signalen zumindest von dem Zugangs-Token zu einer Schnittstelle; ein Mobilgerät, das softwaretechnisch eine Token-Funktion umsetzen kann und über entsprechende Schnittstellen wie Bluetooth, WLAN, NFC oder andere verfügt, mit denen es die passende Schnittstelle im Steuergerät ansprechen kann; und viele weitere.
  • Welche Alternative davon gewählt wird, kann beispielsweise abhängig von den bereits vorhandenen Schnittstellen sein, aber auch von Voraussetzungen wie Reichweite, erforderlichen Datenübertragungsraten und weitere. Beispielsweise kann für eine Produktionsanlage, zu der ein direkter Zugang nur erschwert möglich ist, eine drahtlose Technologie mit verhältnismäßig größerer Reichweite wie etwa RFID oder Bluetooth zur Verwendung in dem lokalen Zugangstoken sinnvoll sein, während in einer Vorrichtung mit unproblematischer Erreichbarkeit und vorhandenem USB-Anschluss sich die Nutzung dieser Schnittstelle für ein lokales Zugangstoken anbietet, aber nicht zwingend ist. Ebenso kann ein NFC-Tag mit geringer Datenübertragungsrate und geringer Reichweite von wenigen Zentimetern bevorzugt als reines Schaltelement für den Zugang ohne weitere Übermittlung von Daten sinnvoll sein, während bei der gewünschten Übertragung von größeren Mengen an Daten oder variablen Parametern an die Vorrichtung womöglich komplexere Geräte mit entsprechenden Schnittstellen bevorzugt sein können. Es können auch in einer Steuervorrichtung und/oder in einem Zugangs-Token mehrere Schnittstellen gleichzeitig vorgesehen sein, um beispielsweise ein einziges Zugangs-Token für mehrere Geräte nutzen zu können, oder um durch Wahl der Art des Zugangs-Tokens oder der Schnittstelle für ein Gerät bereits ein bestimmtes Konfigurationsprofil oder eine bestimmte Einstellungsoption zu wählen, z.B. durch Bereitstellung mehrerer digitaler Eingänge, an denen ein Zugangs-Token jeweils andere Konfigurationsfunktionen auslöst.
  • Dabei kann das lokale Zugangs-Token selbst weitere Daten an die Schnittstelle übertragen, die beispielsweise in einem darin integrierten oder damit verbundenen Speicherelement gespeichert sind, oder es kann auch nur zur einfachen Erkennung ohne weitere Datenübertragung genutzt werden, so dass bereits die reine Erfassung des Tokens als solches eine entsprechend in der Steuervorrichtung vorgegebene und gespeicherte Änderung von Parametern auslöst. Die weiteren Daten können zu verschiedenen Zwecken genutzt werden. Beispielsweise könnte ein Token Daten enthalten, die zur Authentifizierung des Tokens dienen, so dass nur ein gültiges Zugangs-Token eine Änderung der Verbindungsparameter bewirken kann. Solche Authentifizierungsdaten könnten beispielsweise geheime oder öffentliche kryptographische Schlüssel auf dem Token und in der Steuervorrichtung sein, oder ein Zertifikat, das auf dem Token gespeichert ist. Die Steuervorrichtung kann dann so eingerichtet sein, dass sie nur bei einer gültigen Prüfung die Parameteränderung auslöst. Falls auf dem Zugangs-Token auch weitere Daten wie z.B. Parameterwerte gespeichert sind, könnten diese ebenfalls geschützt und/oder verschlüsselt sein, so dass nur ein Gerät Zugriff auf die Parameterwerte hat, dem der entsprechende Schlüssel vorliegt.
  • Auch ohne sonstige Authentifizierungsmaßnahmen kann eine Steuerungsvorrichtung 10 zunächst prüfen, ob das erkannte Token gültig ist, z.B. anhand von gespeicherten Identifizierungsdaten wie einem eindeutigen Identifizierungscode und entsprechend gespeicherten Datensätzen in der Steuerungsvorrichtung. Falls das Zugangstoken zwar erkannt wurde, aber nicht zur Konfiguration der betreffenden Steuerungsvorrichtung vorgesehen ist, kann der Zugriff unter Ausgabe eines optionalen Warnsignals abgebrochen werden.
  • Die Einstellungen, die in Reaktion auf die Erkennung eines gültigen Zugangstokens vorgenommen werden, können beispielsweise lokal in dem entsprechenden Gerät gespeichert sein. So kann beispielsweise eine bereits vordefinierte IP-Adresse gespeichert sein, oder ein oder mehrere vordefinierte Regelsätze für Filtermechanismen wie eine Firewall, und bei Erkennung des Zugangstokens werden die entsprechenden Parameter durch diese gespeicherten Parameter und Einstellungen ersetzt. Zusätzlich oder alternativ ist es möglich, dass bei der Erkennung des Tokens oder daran anschließend Daten übertragen werden, die zumindest teilweise entsprechende Parameter und Konfigurationseinstellungen umfassen. So könnten beispielsweise in einem Speicherelement des Tokens ein oder mehrere Parameter gespeichert sein, die nach einer Erkennung an die Steuervorrichtung 10 über die Schnittstelle 20 übertragen werden und für die Parameteränderung genutzt werden.
  • Es ist auch möglich, dass in einem Gerät 10, 12, 14 mehrere verschiedene Einstellungen, Parameter, oder Konfigurationen als Option gespeichert sind, und dann anhand der Erkennung eines bestimmten Tokens eine dieser Optionen ausgewählt wird. Die Erkennung kann ohne weitere Übertragung von Daten erfolgen, z.B. so, dass bei jeder Erkennung eines Zugangs-Tokens an einer ersten Schnittstelle (z.B. RFID) eine erste Konfigurationsoption gewählt wird und bei jeder Erkennung eines Tokens an einer zweiten Schnittstelle (z.B. USB) eine zweite Konfigurationsoption. Ebenso ist auch möglich, dass das Token im Verlauf der Kommunikation während der Erkennung Datenelemente überträgt, welche dann die Auswahl des korrekten Parametersatzes im Gerät aus einem Speicher oder einer Datenbank ermöglichen. Auf diese Weise können beispielsweise an Personen mit unterschiedlichen Berechtigungen verschiedene Token ausgegeben werden, die dann zu verschiedenen Wartungszwecken eingesetzt werden können.
  • In weiteren kombinierbaren Ausführungsformen können in der Steuervorrichtung und/oder in dem Token komplexere Anweisungen gespeichert sein. Beispielsweise könnte nach Konfiguration der Verbindungsparameter bei vorhandenem Zugangstoken festgelegt sein, dass die Steuervorrichtung eine Wartungsanforderung als Nachricht an einen externen Server sendet, so dass eine Wartung oder Aktualisierung von dort automatisch oder durch einen Administrator begonnen werden kann. Ebenso könnten auch vorgegebene NetzwerkAdressen abgespeichert sein, etwa eine IP-Adresse oder eine URL, von denen die Steuervorrichtung nach der Konfiguration der Verbindungsparameter Dateien zur Aktualisierung oder andere Daten automatisch anfordern bzw. laden kann, um sie dann lokal auf der Steuervorrichtung oder auf damit verbundenen weiteren Geräten anzuwenden. Weiter könnten Befehle zur Ausführung von Programmen auf der Steuervorrichtung oder damit verbundenen Geräten durch das Zugangstoken ausgelöst werden, so dass z.B. nach Änderung der Zugriffsparameter auf einem Bedienelement automatisch eine entsprechende Wartungsapplikation geöffnet wird, auf die sonst kein Zugriff besteht.
  • In einer entsprechenden Bus-Konfiguration kann beispielsweise auch ein Satz von Parametern in einem als Master vorgesehenen Gerät gespeichert sein und vorgesehen sein, dass bei Erkennung des Zugangstokens diese oder andere Parameter an die entsprechenden Slave-Geräte 12, 14 weitergegeben werden. Eine ähnliche Ausführung ist auch in einer Ring-Topologie denkbar, so dass das Ändern der Konfiguration eines Elements im Netzwerk auch zu einer Änderung der übrigen Elemente führt, während die Erkennung des Tokens nur an einem Element des Rings erforderlich ist.
  • Umgekehrt kann auch vorgesehen sein, dass neben der Einstellung von Parametern, die zur Öffnung zu einem externen Netzwerk hin führen, wie beispielsweise die Zuweisung einer IP-Adresse, weitere Einstellungen vorgenommen werden, die darunterliegende Ebenen vor einem Zugriff schützen. Beispielsweise könnte bei Erkennung eines Zugangs-Tokens im Beispiel aus 2 eine IP-Adresse zugewiesen werden, die nun eine Konfiguration des Firewall-Elements nach außen ermöglicht, während Kommunikation in damit verbundene Netzwerkbereiche des unterliegenden Feldbusnetzes für diesen Zeitraum verhindert wird.
  • Je nach Anforderung kann dabei festgelegt sein, dass die geänderten Konfigurationseinstellungen (also z.B. die geänderten Firewall-Regeln aus 2 oder die zugewiesene IP-Adresse für das Firewall-Modul aus 3) so lange aktiv bleiben, bis das Zugangs-Token wieder entfernt wird, also beispielsweise bis ein entsprechendes Element wie ein USB-Stick von der Schnittstelle entfernt wird oder sich im Falle einer drahtlosen Schnittstelle wie NFC nicht mehr innerhalb der notwendigen Reichweite befindet. Auf diese Weise kann sichergestellt werden, dass die entsprechenden Parameter tatsächlich nur dann geändert werden können, wenn das lokale Zugangs-Token angewendet wird und der Zugriff von außen auf das Gerät bei Entfernung sicher widerrufen wird. Beispielsweise könnte auch bei Verwendung einer drahtlosen Schnittstelle eine mechanische Halterung vorgesehen sein, in der ein NFC-Token-Gerät eingesteckt bzw. gehalten wird, solange die Konfiguration des Geräts gewünscht wird.
  • Alternativ oder zusätzlich kann auch vorgesehen sein, dass geänderte Konfigurationseinstellungen, Parameter und ähnliches zur Steuerung der Netzwerkverbindung nach dem Erkennen eines gültigen Zugangs-Tokens für eine vorbestimmte Zeit gültig bleiben und nach Ablauf dieser vorgegebenen Zeitspanne die ursprünglichen Einstellungen bzw. Parameter wieder hergestellt werden und damit das Gerät oder das Netzwerk wieder gegenüber anderen Netzen abgesichert wird. Auf diese Weise ist es nicht zwingend nötig, dass beispielsweise ein als Token 22 verwendetes NFC-Tag ständig in Reichweite des Zugangsgeräts 20 ist, während die Konfiguration vorgenommen wird. Gleichzeitig wird durch die Festlegung einer Zeitspanne, nach der die vorherigen Einstellungen wieder hergestellt werden, sichergestellt, dass nicht versehentlich unsichere Konfigurationen am Gerät erhalten bleiben, die einen Risikofaktor darstellen könnten.
  • Optional kann innerhalb der vorbestimmten Zeitspanne oder bei Ablauf der Zeitspanne erneut geprüft werden, ob sich das Zugangs-Token in Reichweite bzw. an der Schnittstelle befindet, und falls dies der Fall ist, kann die Zeitspanne erneut gestartet werden und erst nach einem erneuten Ablauf und bei negativer Prüfung das Zurücksetzen auf die vorherigen Einstellungen vorgenommen werden. So wird ein ständiges hin- und herwechseln zwischen Konfigurationen vermieden, wenn das entsprechende Token nur kurzzeitig nicht verbunden bzw. detektierbar ist. Ebenso ist es für einen solchen Fall denkbar, eine Mindestzeit zu definieren, während der das Token für eine Änderung der Parameter an der Schnittstelle anfangs erkennbar sein muss, um beispielsweise versehentliche Aktivierungen durch drahtlose Token mit großer Reichweite zu verhindern. So könnte etwa vorgesehen sein, dass ein Token mindestens 5 Sekunden erkennbar sein muss und/oder während des Zugriffs nicht länger als 3 Sekunden (oder andere beliebige Zeitspannen) entfernt sein darf, um den Netzwerkzugriff aktiv zu halten. Umgekehrt kann eine Ablaufzeitspanne, bevorzugt mit ausreichend langer Dauer (z.B. Minuten oder Stunden), auch bei eingestecktem/erfasstem Token gültig sein, um den Zugriff auf das Gerät wieder zu schließen, auch wenn versehentlich das Token weiter eingesteckt bleibt.
  • Alternativ oder zusätzlich zu den genannten Maßnahmen wie dem Ablaufen eines Timers oder dem Rücksetzen der Konfiguration nach Entfernen des Zugangstokens kann auch vorgesehen sein, dass die Parameter durch Kommunikation von außen zurückgesetzt werden. Es ist beispielsweise denkbar, dass die Erkennung des lokalen Zugangstokens stattfindet (Schritte 100, 200, 300 und 110, 210, 310), anschließend die Verbindungparameter wie beschrieben geändert werden und über die nun geöffnete Netzwerkverbindung 40 eine Wartung oder Aktualisierung von Komponenten stattfindet. Sobald alle notwendigen Daten und Befehle über die Netzwerkverbindung ausgetauscht wurden, könnte von dem entfernt befindlichen Wartungssystem eine Anweisung zur Rücksetzung der Verbindungsparameter auf den vorherigen Wert gesendet und in der Steuervorrichtung empfangen werden, so dass auch ohne Entfernen des Tokens oder Ablauf einer Zeitspanne die potentiell unsichere Verbindung nach außen wieder verhindert wird. Die verschiedenen Varianten zur Zurücksetzung der Parameter können natürlich auch miteinander kombiniert werden, so dass z.B. sowohl ein Entfernen des Tokens von der Schnittstelle als auch eine externe Kommunikation eine Zurücksetzung bewirken kann, optional auch in Verbindung mit einem Timer.
  • 4 zeigt ein weiteres Beispiel eines erfindungsgemäßen Verfahrensablaufs, wo wieder zunächst in den Schritten 300 und 310 das Zugangstoken erkannt und auf Gültigkeit überprüft wird und bei erfolgreicher Prüfung in Schritt 320 die Verbindungsparameter geändert werden. Nachdem eine Verbindung zu einem externen Netzwerk durch eine geöffnete Verbindung aufgebaut wurde, kann dann in Schritt 330 eine Nachricht gesendet werden, die beispielsweise das Herunterladen von Aktualisierungsdaten einleiten kann oder einem entfernten Administrator die geöffnete Verbindung anzeigen kann. Außerdem kann in Schritt 340 (der ebenso auch unmittelbar beim Ändern der Parameter, oder beim Erkennen des gültigen Tokens stattfinden kann) ein Timer gestartet werden, der auf eine vorgegebene oder konfigurierbare Zeitdauer eingestellt ist. In Schritt 350 wird geprüft, ob der Timer abgelaufen ist, und sobald dies der Fall ist, werden die geänderten Parameter in Schritt 360 wieder zurückgesetzt und das System somit wieder gesichert. Die hier beispielhaft gezeigten Schritte können natürlich auch in den vorhergehenden Beispielen aus 2 und 3 eingesetzt oder auf andere Weise kombiniert werden.
  • Eine weitere Möglichkeit besteht darin, dass nach Erkennen des Zugangstokens eine weitere Interaktion mit dem Gerät oder dem Token notwendig ist, z.B. das Bestätigen der Token-Erkennung über eine Tastatur oder ein Touch-Display oder ähnliche Bedienelemente der Steuervorrichtung, um sicherzustellen, dass insbesondere bei Verwendung drahtloser Schnittstellen nur das gewünschte Gerät konfiguriert wird. Es können auch am Zugangstoken selbst Bedienelemente vorgesehen sein, die z.B. die Schnittstelle aktivieren (z.B. das RFID-Tag aktivieren oder Bluetooth-Sender einschalten), oder die eine Erfassung durch passende Lesegeräte einleiten, etwa in Form eines Handshake-Protokolls.
  • Gemäß einer weiteren Ausführungsvariante kann das Erkennen eines Zugangs-Tokens jeweils ein Umschalten aus dem aktuellen Konfigurationszustand in einen anderen Konfigurationszustand und umgekehrt bewirken. Dabei könnte also wie bei 3 beschrieben durch ein erstes Erfassen 200 eines Zugangstokens ein Parameter geändert werden (Schritt 220), etwa die IP-Adresse zugewiesen werden, und bei einer erneuten Erfassung (230) des Zugangstokens wird der Parameter zurückgesetzt, Schritt 250. Dazwischen muss bzw. soll das Zugangs-Token 22 nicht erkannt werden. Dazu kann beispielsweise wie bereits beschrieben ein Bedienelement am Zugangs-Token vorhanden sein, das zu den jeweiligen Zeitpunkten vom Benutzer aktiviert wird. Das Zugangs-Token schaltet damit bei jeder Erfassung zwischen den vorbestimmten Konfigurationszuständen hin und her, wobei auch mehr als zwei Zustände vorgesehen sein können, die z.B. der Reihe nach durchlaufen werden.
  • Optional kann aber auch ein Zugangs-Token vorgesehen sein, das auch nach einmaliger Erkennung ein dauerhaftes bzw. langfristiges Ändern der Konfigurationseinstellungen bewirkt, so dass also nach Entfernen des Tokens von der Schnittstelle keine Rücksetzung der Einstellparameter vorgenommen wird bzw. die Parameter erst dann wieder geändert werden, wenn eine weitere Erkennung eines Tokens, eventuell auch eines anderen Tokens, stattfindet.
  • Generell kann eine Vielzahl von Konfigurationen bzw. Parameteränderungen durch eine Erkennung eines lokalen Zugangstokens wie beschrieben ausgelöst werden. Unter anderem kann die Änderung von Parametern das Ändern von Filterregeln für Paketdatenverkehr umfassen, das Zuweisen von Netzwerkadressen für ein Gerät, das Ausführen von Befehlen, Programmmodulen oder Senden von Nachrichten, das Abrufen von Daten von einem entfernten Server, das Öffnen von Ports in einer Firewall, und weitere mehr, die eine Kommunikation mit einem gewünschten Netzwerk ermöglichen und/oder verhindern.
  • Ein weiterer Vorteil der vorgestellten Konfigurationsverfahren liegt darin, dass das zu konfigurierende Gerät je nach Ausführungsform keine eigenen Bedienelemente aufweisen muss. Es kann ausreichend sein, wenn eine Schnittstelle bzw. ein Lesegerät für ein geeignetes Zugangs-Token vorhanden ist, während alle weiteren Einstellungen über externe angeschlossene Geräte oder aus der Ferne über ein Netzwerk ausgeführt werden können. Ebenso können Bedienelemente für Betriebsfunktionen vorhanden sein, die aber nicht für tiefere Konfigurationsaufgaben eingerichtet sein müssen. Beides ist insbesondere für industrielle vollautomatisierte Umgebungen vorteilhaft.
  • Der Begriff des Automatisierungssystems umfasst für die vorliegende Erfindung sämtliche Sensoren, Aktoren, stationäre und mobile Roboter, teilautomatisierte und automatisierte Fertigungsmaschinen wie Druckmaschinen, Bearbeitungsmaschinen und andere, auch in Kombination mit ihren jeweiligen Steuerungsvorrichtungen, Speicherelementen, Datenbanken und Netzwerken.
  • Es versteht sich, dass die beschriebenen Ausführungsformen nur als Beispiel angeführt sind und insbesondere die verschiedenen Optionen und Alternativen auch anders kombinierbar sind. So können alle genannten Schritte und Konfigurationen auch auf die Veränderung anderer oder weiterer Parameter übertragen werden, können auf andere Weise miteinander kombiniert werden und es können optionale Schritte ausgelassen oder hinzugefügt werden. Die Ausführungsbeispiele sind auf alle beschriebenen Alternativen übertragbar, also beispielsweise auf andere Netzwerkelemente, auf eine der anderen genannten Schnittstellentechnologien für das Zugangs-Token und auf beliebige Geräte bzw. Systeme, die eine derartige Zugangssteuerung aufweisen, auch wenn die Erfindung in Bezug auf Automatisierungssysteme und Fertigungsumgebungen beschrieben wurde.

Claims (14)

  1. Verfahren zur Konfiguration einer Steuerungsvorrichtung (10) eines Automatisierungssystems, umfassend: Erfassen (100, 200, 300, 230) eines lokalen Zugangs-Tokens (22) über eine Schnittstelle (20) der Steuerungsvorrichtung; und Ändern (120, 220, 320) mindestens eines Parameters der Steuerungsvorrichtung, welcher zur Konfiguration einer Datenverbindung (18, 40) der Steuerungsvorrichtung eingerichtet ist, in Reaktion auf die Erfassung des lokalen Zugangs-Tokens.
  2. Verfahren nach Anspruch 1, wobei das Ändern (120, 220, 320) des mindestens einen Parameters das Ändern von einem ersten Wert, welcher eine Kommunikation zwischen der Steuerungsvorrichtung und einem Netzwerk (60) zumindest teilweise verhindert, auf einen zweiten Wert umfasst, welcher die Kommunikation zwischen der Steuerungsvorrichtung und dem Netzwerk zumindest teilweise ermöglicht.
  3. Verfahren nach Anspruch 1 oder 2, weiter umfassend: Empfangen mindestens eines Datenelements von dem lokalen Zugangs-Token, und Auswählen von einem oder mehreren gespeicherten Parameterwerten zum Ändern des mindestens einen Parameters auf der Grundlage des empfangenen Datenelements.
  4. Verfahren nach einem der vorherigen Ansprüche, weiter umfassend: Empfangen mindestens eines Parameterwerts von dem lokalen Zugangs-Token, und Ändern des mindestens einen Parameters der Steuerungsvorrichtung basierend auf dem empfangenen Parameterwert.
  5. Verfahren nach einem der vorherigen Ansprüche, weiter umfassend: Zurücksetzen (140) des mindestens einen geänderten Parameters der Steuervorrichtung, sobald das lokale Zugangs-Token nicht mehr erfasst wird (130).
  6. Verfahren nach einem der vorherigen Ansprüche, weiter umfassend: Zurücksetzen (360) des mindestens einen geänderten Parameters der Steuervorrichtung, sobald eine vorbestimmte Zeitspanne (350) seit dem Ändern des Parameters abgelaufen ist.
  7. Verfahren nach einem der vorhergehenden Ansprüche, weiter umfassend: Ausführen (110, 210, 310) einer Authentifizierung des lokalen Zugangs-Tokens, wobei der mindestens eine Parameter der Steuerungsvorrichtung nicht geändert wird, falls die Authentifizierung fehlschlägt.
  8. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Ändern des mindestens einen Parameters mindestens eines der folgenden umfasst: Zuweisen einer IP-Adresse für die Steuerungsvorrichtung, Definieren von Filterregeln für empfangene und/oder gesendete Paketdaten, Ändern von Zugangsberechtigungen für die Steuerungsvorrichtung.
  9. Automatisierungssystem, umfassend: eine Steuerungsvorrichtung (10) zum Ansteuern von einer oder mehreren Automatisierungsvorrichtungen (12, 14); eine Schnittstelle (20), die dazu eingerichtet ist, ein lokales Zugangs-Token (22) zu erfassen; eine konfigurierbare Verbindung (18, 40) von der Steuerungsvorrichtung zu mindestens einem Netzwerk; sowie ein Zugangsmodul in Verbindung mit der Schnittstelle (20) und der Steuerungsvorrichtung, das eingerichtet ist, Verfahrensschritte gemäß einem der vorhergehenden Ansprüche auszuführen.
  10. Automatisierungssystem nach Anspruch 9, wobei die Schnittstelle (20) zur Erfassung eines lokalen Zugangs-Tokens eine drahtgebundene Schnittstelle oder eine drahtlose Schnittstelle umfasst.
  11. Automatisierungssystem nach einem der Ansprüche 9 oder 10, weiter umfassend ein lokales Zugangstoken (22) zur unidirektionalen oder bidirektionalen Kommunikation mit der Schnittstelle, wobei das lokale Zugangs-Token eines der folgenden umfasst: ein USB-Speicherelement, eine Flash-Speicherkarte, ein aktives oder passives RFID-Tag, ein NFC-Tag, ein Mobilgerät, eine Smartcard.
  12. Recheneinheit, die dazu eingerichtet ist, ein Verfahren nach einem der Ansprüche 1 bis 8 durchzuführen.
  13. Computerprogramm, das eine Recheneinheit veranlasst, ein Verfahren nach einem der Ansprüche 1 bis 8 durchzuführen, wenn es auf der Recheneinheit ausgeführt wird.
  14. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 13.
DE102019210982.9A 2019-07-24 2019-07-24 Verfahren zur abgesicherten Konfiguration von Automatisierungssystemen Pending DE102019210982A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102019210982.9A DE102019210982A1 (de) 2019-07-24 2019-07-24 Verfahren zur abgesicherten Konfiguration von Automatisierungssystemen
US16/918,044 US11552939B2 (en) 2019-07-24 2020-07-01 Method for the secure configuration of automation systems
CN202010718834.1A CN112311756A (zh) 2019-07-24 2020-07-23 用于对自动化系统进行加保险的配置的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019210982.9A DE102019210982A1 (de) 2019-07-24 2019-07-24 Verfahren zur abgesicherten Konfiguration von Automatisierungssystemen

Publications (1)

Publication Number Publication Date
DE102019210982A1 true DE102019210982A1 (de) 2021-01-28

Family

ID=74098623

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019210982.9A Pending DE102019210982A1 (de) 2019-07-24 2019-07-24 Verfahren zur abgesicherten Konfiguration von Automatisierungssystemen

Country Status (3)

Country Link
US (1) US11552939B2 (de)
CN (1) CN112311756A (de)
DE (1) DE102019210982A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022175040A1 (de) * 2021-02-18 2022-08-25 Sew-Eurodrive Gmbh & Co. Kg Steuerungsgerät für ein automatisierungssystem, automatisierungssystem und verfahren zum betreiben eines steuerungsgerät

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8410945B2 (en) * 2002-06-11 2013-04-02 Intelligent Technologies International, Inc Atmospheric monitoring
US7574731B2 (en) * 2002-10-08 2009-08-11 Koolspan, Inc. Self-managed network access using localized access management
WO2006067471A1 (en) * 2004-12-21 2006-06-29 Airlie Connections Limited Apparatus and method for enabling network connection
US8028045B2 (en) * 2006-09-29 2011-09-27 Rockwell Automation Technologies, Inc. Web-based configuration server for automation systems
US8453226B2 (en) * 2010-07-16 2013-05-28 Visa International Service Association Token validation for advanced authorization
US20130332727A1 (en) * 2012-06-06 2013-12-12 Aventura Hq, Inc. Access token event virtualization
US20140090034A1 (en) * 2012-09-25 2014-03-27 Blackberry Limited Smart plug or cradle
CN103812726B (zh) * 2014-01-26 2017-02-01 烽火通信科技股份有限公司 一种数据通信设备的自动化测试方法及装置
DE102014008654A1 (de) * 2014-06-13 2015-12-17 Wago Verwaltungsgesellschaft Mbh Temporäre Berechtigung
EP2996299B1 (de) * 2014-09-15 2021-05-12 Wincor Nixdorf International GmbH Verfahren und Anordnung zur Autorisierung einer Aktion an einem Selbstbedienungssystem
US10360363B1 (en) * 2015-04-02 2019-07-23 Mark Y. Grosberg System and method for verified admission through access controlled locations using a mobile device
EP3128382B1 (de) * 2015-08-05 2018-11-07 ABB Schweiz AG Sicherer mobiler zugang für automatisierungssysteme
US9900285B2 (en) * 2015-08-10 2018-02-20 International Business Machines Corporation Passport-controlled firewall
DE102015122469A1 (de) * 2015-12-21 2017-06-22 Huf Hülsbeck & Fürst Gmbh & Co. Kg System und Verfahren zur Übergabe von Fahrzeug-Zugriffsrechten
US10298543B2 (en) * 2016-12-12 2019-05-21 Verisign, Inc. Real-time association of a policy-based firewall with a dynamic DNS hostname
JP6891563B2 (ja) * 2017-03-16 2021-06-18 株式会社リコー 情報処理システム、機器、情報処理装置、情報処理方法及びプログラム
DE102017215094A1 (de) * 2017-08-30 2019-02-28 Robert Bosch Gmbh Verfahren zum Ermöglichen und/oder Anfordern eines Zugriffs eines ersten Netzwerkteilnehmers auf einen zweiten Netzwerkteilnehmer in einem Netzwerk
US10917384B2 (en) * 2017-09-12 2021-02-09 Synergex Group Methods, systems, and media for modifying firewalls based on dynamic IP addresses
CA2987778A1 (en) * 2017-12-05 2019-06-05 The Toronto-Dominion Bank Dynamic generation and provisioning of tokenized data to network-connected devices
US10980084B2 (en) * 2018-02-15 2021-04-13 Huawei Technologies Co., Ltd. Supporting multiple QOS flows for unstructured PDU sessions in wireless system using non-standardized application information
US11245682B2 (en) * 2018-10-18 2022-02-08 Oracle International Corporation Adaptive authorization using access token

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022175040A1 (de) * 2021-02-18 2022-08-25 Sew-Eurodrive Gmbh & Co. Kg Steuerungsgerät für ein automatisierungssystem, automatisierungssystem und verfahren zum betreiben eines steuerungsgerät

Also Published As

Publication number Publication date
US11552939B2 (en) 2023-01-10
US20210029106A1 (en) 2021-01-28
CN112311756A (zh) 2021-02-02

Similar Documents

Publication Publication Date Title
EP2572323B1 (de) Verfahren und vorrichtung zum einbinden eines gerätes in ein netzwerk
DE102011081804B4 (de) Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten, welche an ein Authentisierungs-Credential gebunden werden, für ein Automatisierungsgerät einer Automatisierungsanlage
EP3582033B1 (de) Verfahren zur gesicherten bedienung eines feldgeräts
EP3021524B1 (de) Verfahren zum aufbau eines lokalen steuerungskanals zwischen einem steuerungsgerät und einem gebäudeinternen zugangsportal
EP4020103B1 (de) Verfahren und industrieanlage zum verwalten und steuern von produktionsmitteln
DE102019210982A1 (de) Verfahren zur abgesicherten Konfiguration von Automatisierungssystemen
EP2707782B1 (de) Verfahren und system zum bereitstellen von gerätespezifischen eigenschaftsdaten für ein automatisierungsgerät einer automatisierungsanlage
DE102016120306A1 (de) Verfahren und System zum Aktivieren zumindest einer Bedien-/Parametrierfunktion eines Feldgerätes der Automatisierungstechnik
EP2618226B1 (de) Industrielles Automatisierungssystem und Verfahren zu dessen Absicherung
EP4136824B1 (de) Gerät zum einsatz im internet der dinge
EP4078916B1 (de) Übertragung von sicherheitseinstellungen zwischen einem ersten und einem zweiten feldgerät der automatisierungstechnik
DE102011004312B4 (de) Verfahren und Vorrichtungen zur positionsabhängigen Autokonfiguration eines Gerätemoduls
WO2013041360A1 (de) System und verfahren zur bereitstellung eines steuerungsprogrammcodes
EP2721803B1 (de) Verfahren und vorrichtung zur gesicherten veränderung einer konfigurationseinstellung eines netzwerkgerätes
EP3479538B1 (de) Sicherheitseinrichtung mit ortsgebundenem schlüsselspeicher, system und verfahren
EP3208982B1 (de) Router mit separater schnittstelle zur konfiguration des routers sowie verfahren zur konfiguration eines routers
EP4138052B1 (de) Verfahren zur inbetriebnahmevorbereitung eines steuergeräts für zutrittseinrichtungen, zutrittssystem und computerprogrammprodukt
EP2416528B1 (de) Verfahren zur Kommunikation in einem Automatisierungsnetzwerk
DE102019210975A1 (de) Verfahren zum sicheren Zurücksetzen und Wiederherstellen von Zugängen auf Automatisierungssystemen
DE102006058330A1 (de) Vorrichtung und Verfahren zur Sicherung eines Zugriffs
DE102014008654A1 (de) Temporäre Berechtigung
WO2020115189A1 (de) Router mit anmeldungsfunktionalität und hierfür geeignetes zugriffskontrollverfahren
EP3211493A1 (de) Automatisierungssystem zur steuerung eines prozesses, eines geräts und/oder einer anlage
DE102016005348A1 (de) Verfahren zum Erzeugen eines Schlüsselwerts eines Datenverarbeitungssystems

Legal Events

Date Code Title Description
R012 Request for examination validly filed