DE102020125372A1 - Radio system for controlling an implement - Google Patents

Radio system for controlling an implement Download PDF

Info

Publication number
DE102020125372A1
DE102020125372A1 DE102020125372.9A DE102020125372A DE102020125372A1 DE 102020125372 A1 DE102020125372 A1 DE 102020125372A1 DE 102020125372 A DE102020125372 A DE 102020125372A DE 102020125372 A1 DE102020125372 A1 DE 102020125372A1
Authority
DE
Germany
Prior art keywords
radio
authentication factor
data
radio system
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020125372.9A
Other languages
German (de)
Inventor
Jochen Antes
Friederike Brendel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Brendel Holding & Co KG GmbH
Original Assignee
Brendel Holding & Co KG GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Brendel Holding & Co KG GmbH filed Critical Brendel Holding & Co KG GmbH
Priority to DE102020125372.9A priority Critical patent/DE102020125372A1/en
Publication of DE102020125372A1 publication Critical patent/DE102020125372A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C17/00Arrangements for transmitting signals characterised by the use of a wireless electrical link
    • G08C17/02Arrangements for transmitting signals characterised by the use of a wireless electrical link using a radio link

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Funksystem (10) zur Steuerung eines Arbeitsgeräts (50), umfassend ein Bedienteil (20), welches dazu eingerichtet ist, einem Bediener zu erlauben, Steuerbefehle für das Arbeitsgerät (50) einzugeben, und welches ferner ein Funkmodul (30) zum drahtlosen Übertragen von die Steuerbefehle repräsentierenden Daten in Form von Datentelegrammen umfasst, und einen dem Arbeitsgerät (50) zugeordneten Funkempfänger (40), welcher dazu eingerichtet ist, die drahtlos übertragenen Daten des Bedienteils (20) zu empfangen und an wenigstens eine Steuereinheit (54; 56) des Arbeitsgeräts (50) weiterzugeben, wobei dem Funksystem (10) eine gemeinsame eindeutige Systemadresse zugeordnet ist und das Bedienteil (20) und der Funkempfänger (40) dazu eingerichtet sind, vor einer Weitergabe von Daten an die wenigstens eine Steuereinheit (54; 56) des Arbeitsgeräts (50) zunächst die gemeinsame Systemadresse zu verifizieren, welche gemeinsam mit den die Steuerbefehle repräsentierenden Daten in jedem der Datentelegramme übertragen wird, so dass die Systemadresse als ein erster Authentifizierungsfaktor wirkt. Hierbei umfasst das erfindungsgemäße Funksystem ferner ein Eingabemittel (58) für eine Eingabe eines zweiten, sich von der Systemadresse unterscheidenden Authentifizierungsfaktors, wobei das Eingabemittel (58) dazu eingerichtet ist, lediglich bei einer Verifizierung der gemeinsamen Systemadresse und des zweiten Authentifizierungsfaktors das Ausführen von Steuerbefehlen durch das Arbeitsgerät (50) freizugeben.The present invention relates to a radio system (10) for controlling a working device (50), comprising a control panel (20) which is set up to allow an operator to enter control commands for the working device (50), and which also has a radio module (30 ) for the wireless transmission of data representing the control commands in the form of data telegrams, and a radio receiver (40) assigned to the working device (50), which is set up to receive the wirelessly transmitted data from the control unit (20) and to at least one control unit ( 54; 56) of the implement (50), wherein the radio system (10) is assigned a common, unique system address and the control panel (20) and the radio receiver (40) are set up to transmit data to the at least one control unit ( 54; 56) of the implement (50) to first verify the common system address, which together with the represent the control commands the data is transmitted in each of the data telegrams, so that the system address acts as a first authentication factor. The radio system according to the invention further comprises input means (58) for inputting a second authentication factor that differs from the system address, the input means (58) being set up to execute control commands only when the common system address and the second authentication factor are verified release the implement (50).

Description

Die vorliegende Erfindung betrifft ein Funksystem zur Steuerung eines Arbeitsgeräts, umfassend ein Bedienteil, welches dazu eingerichtet ist, einem Bediener zu erlauben, Steuerbefehle für das Arbeitsgerät einzugeben, und welches ferner ein Funkmodul zum drahtlosen Übertragen von die Steuerbefehle repräsentierenden Daten in Form von Datentelegrammen umfasst, und einen dem Arbeitsgerät zugeordneten Funkempfänger, welcher dazu eingerichtet ist, die drahtlos übertragenen Daten des Bedienteils zu empfangen und an wenigstens eine Steuereinheit des Arbeitsgeräts weiterzugeben, wobei dem Funksystem eine gemeinsame eindeutige Systemadresse zugeordnet ist und das Bedienteil und der Funkempfänger dazu eingerichtet sind, vor einer Weitergabe von Daten an die Steuereinheit des Arbeitsgerät zunächst die gemeinsame Systemadresse zu verifizieren, welche gemeinsam mit den die Steuerbefehle repräsentierenden Daten in jedem der Datentelegramme übertragen wird, sodass die Systemadresse als ein erster Authentifizierungsfaktor wirkt.The present invention relates to a radio system for controlling an implement, comprising a control unit which is set up to allow an operator to enter control commands for the implement, and which further comprises a radio module for the wireless transmission of data representing the control commands in the form of data telegrams, and a radio receiver assigned to the implement, which is set up to receive the wirelessly transmitted data from the control unit and to forward it to at least one control unit of the work unit, a common unique system address being assigned to the radio system and the control unit and the radio receiver being set up to Forwarding of data to the control unit of the implement first to verify the common system address, which is transmitted together with the data representing the control commands in each of the data telegrams, so that the system address as a first auth verification factor works.

Hierbei können derartige Funksteuersysteme prinzipiell zusammen mit verschiedensten unterschiedlichen Typen von Arbeitsgeräten zum Einsatz kommen, die häufig einfach auch als „Maschinen“ bezeichnet werden, und erhöhen hierbei die Sicherheit für Mensch und Maschine bei der Steuerung von industriellen Anwendungen. Mit einer Funksteuerung kann sich ein Bediener frei bewegen und die Maschine aus sicherer Position mit bestmöglicher Sicht auf das Arbeitsumfeld steuern. Sichere Steuerungskonzepte werden hierbei auf der Grundlage von Risikoanalysen für die vielfältigen denkbaren Anwendungen und unterschiedlichen Maschinen entwickelt. Zahlreiche Elemente der Risikoanalysen können grundsätzlich als für die Maschinensicherheit relevant erachtet werden.In principle, such radio control systems can be used together with a wide variety of different types of work equipment, which are often simply referred to as "machines", and thereby increase the safety for people and machines when controlling industrial applications. With a radio control, an operator can move freely and control the machine from a safe position with the best possible view of the working environment. Safe control concepts are developed on the basis of risk analyzes for the diverse conceivable applications and different machines. Numerous elements of the risk analysis can generally be considered relevant for machine safety.

So wird beispielsweise in der DIN EN 60204-32 beschrieben, dass ein Funkempfänger in einem Funksystem zur Steuerung eines Arbeitsgeräts nur dann Befehle eines Funksenders an die anzusteuernde Maschine weitergeben darf, wenn dieser Funksender der Maschine, bzw. dem Funkempfänger, eindeutig zugeordnet ist.For example, DIN EN 60204-32 describes that a radio receiver in a radio system for controlling an implement may only forward commands from a radio transmitter to the machine to be controlled if this radio transmitter is clearly assigned to the machine or the radio receiver.

Um dieses technische Ziel zu erfüllen, wird dem System eine weltweit eindeutig vergebene Systemadresse zugeordnet. Diese Systemadresse wird bei jedem Funkkontakt, d.h. in jedem der oben genannten Datentelegramme, beispielsweise als Header-Information, ausgetauscht und erlaubt die eindeutige Zuordnung einer Komponente zu einem System. In diesem Sinne wirkt die eindeutige Systemadresse als ein erster Authentifizierungsfaktor, der ausgetauscht und validiert werden muss, bevor gültige Daten zu der wenigstens einen Steuereinheit des Arbeitsgeräts gesendet werden können. Auf diese Weise wird gewährleistet, dass ein weiterer Funksender mit abweichender Systemadresse oder auch ein anderer Funksender, der gegebenenfalls auf der gleichen Frequenz sendet, niemals gleichzeitig einen einzelnen Funkempfänger ansteuern können.In order to meet this technical goal, the system is assigned a system address that is unique worldwide. This system address is exchanged with each radio contact, i.e. in each of the data telegrams mentioned above, for example as header information, and allows a component to be clearly assigned to a system. In this sense, the unique system address acts as a first authentication factor that must be exchanged and validated before valid data can be sent to the at least one control unit of the implement. This ensures that another radio transmitter with a different system address or another radio transmitter that may be transmitting on the same frequency can never control a single radio receiver at the same time.

Die einmalige Vergabe der Systemadresse durch den Hersteller des Funksystems ist somit ein wichtiger Bestandteil des zugrundeliegenden Sicherheitskonzepts. Hierbei kann das Adressmerkmal des Funksystems eine Kodierung sein, die dem Funksystem per Software aufgeprägt wird, wodurch ein physikalischer Ort vorliegt, an welchem das Adressmerkmal gespeichert ist.The one-time assignment of the system address by the manufacturer of the radio system is therefore an important part of the underlying security concept. In this case, the address feature of the radio system can be a code that is impressed on the radio system by software, as a result of which there is a physical location at which the address feature is stored.

Wenngleich die Verwendung einer Systemadresse als ein erster Authentifizierungsfaktor ein unverzichtbares Sicherheitsmerkmal einer gattungsgemäßen Funksteuerung darstellt, so stellt die wiederholte Verwendung der bereits vergebenen Systemadresse im Umkehrschluss ein Sicherheitsrisiko dar und kann im Falle einer ungewollten Ansteuerung der Maschine erhebliche Risiken mit sich bringen. Es dürfen somit niemals von einem einzelnen Hersteller mehrere Systeme mit identischer Systemadresse ausgeliefert werden, sofern nicht weitere Maßnahmen ergriffen worden sind, die eine kontrollierte Übergabe der Steuerungsverantwortung zwischen mehreren Bedienern oder mehreren Funksendern gewährleisten.Although the use of a system address as a first authentication factor is an indispensable security feature of a generic radio control, the repeated use of the system address that has already been assigned represents a security risk and can entail considerable risks in the event of an unwanted activation of the machine. Therefore, multiple systems with identical system addresses may never be supplied by a single manufacturer unless further measures have been taken to ensure controlled handover of control responsibility between multiple operators or multiple radio transmitters.

Dies gilt insbesondere in Einsatzfällen, in welchen eine Ersatzkomponente in ein bestehendes Funksystem eingebunden werden muss, während gleichzeitig die ursprünglich zu diesem Zweck eingesetzte Komponente aus dem System entfernt wird. Hierbei sind verschiedene Ansätze für eine sichere Bedienung einer oder mehreren Maschinen durch einen oder mehrere Benutzer verfolgt worden, die insbesondere auch eine sichere Inbetriebnahme einer Ersatzkomponente einschließen.This applies in particular in cases where a replacement component has to be integrated into an existing radio system, while at the same time the component originally used for this purpose is removed from the system. In this context, various approaches have been pursued for safe operation of one or more machines by one or more users, which in particular also include safe commissioning of a replacement component.

Ein erstes Konzept, das häufig mit dem Begriff „Übernahme-Freigabe“ bezeichnet wird, beruht darauf, dass mehrere Bediener mit mehreren Sendern abwechselnd eine gleiche Maschine steuern können. Hierbei basiert die eindeutige Authentifizierung des jeweiligen Funksenders auf einer Subadressierung, wodurch die kontrollierte Übergabe der Maschinensteuerung von einem Funksender bzw. Bediener zu einem anderen ermöglicht wird. In einem solchen Übernahme-Freigabe-System können demzufolge Funksender, die nicht dauerhaft benötigt werden, als Ersatzsender vorgehalten werden.A first concept, which is often referred to as "takeover release", is based on the fact that several operators with several transmitters can take turns controlling the same machine. The unique authentication of the respective radio transmitter is based on sub-addressing, which enables the controlled transfer of the machine control from one radio transmitter or operator to another. In such a takeover-release system, radio transmitters that are not permanently required can be kept available as replacement transmitters.

Andererseits werden flexible Service-Konzepte verfolgt, welche auf dem Austausch von mobilen Schlüsselkomponenten (Adressdatenträgern) oder anderen Datenträgern basieren, welche ihrerseits das Adressmerkmal tragen, wodurch dieses von dem Bedienteil auch physisch separiert werden kann. Hierbei kann beispielsweise an RFID-Tags gedacht werden, welche in das entsprechende Bedienteil bzw. den entsprechenden Funkempfänger eingesetzt werden können und dort für die einfache und sichere Aktivierung von Ersatzkomponenten mit verschiedenen tauschbaren Schlüsselkomponenten bzw. Adressdatenträgern dienen. Somit wird eine Übertragung der eindeutigen Systemadresse des Funksystems auf einen baugleichen oder dafür vorbereiteten Ersatzsender bzw. ein Ersatz-Bedienteil ermöglicht. Im Bedarfsfall kann die Schlüsselkomponente aus der Originalkomponente entnommen und in die Ersatzkomponente eingesetzt werden, welche daraufhin sofort einsatzbereit ist, während die Originalkomponente sicher und vollständig deaktiviert wird.On the other hand, flexible service concepts are pursued, which are based on the exchange of mobile key components (address data carriers) or other data carriers, which in turn carry the address feature, which means that this can also be physically separated from the control panel. Here, for example, RFID tags can be thought of, which can be used in the corresponding control unit or the corresponding radio receiver and are used there for the simple and secure activation of replacement components with different interchangeable key components or address data carriers. This enables the unique system address of the radio system to be transferred to a replacement transmitter or control panel that is identical in design or prepared for it. If necessary, the key component can be removed from the original component and inserted into the replacement component, which is then immediately ready for use, while the original component is safely and completely deactivated.

Jedoch gilt es bei der Umsetzung eines Steuerbefehls von einem Bedienteil bzw. von einem an dem Bedienteil angeordneten Bedienelement bis zu einem entsprechenden Antrieb der Maschine in der Datenübertragungskette mehrere Schnittstellen zu bedenken. Da jede dieser Schnittstellen ein potentielles Angriffsziel für die Steuerung des Arbeitsgeräts darstellt, sollte aus Sicherheitsgründen auch jede dieser Schnittstellen unter Sicherheitsaspekten betrachtet und optimiert werden.However, when converting a control command from a control panel or from a control element arranged on the control panel to a corresponding drive of the machine in the data transmission chain, several interfaces must be considered. Since each of these interfaces represents a potential target for the control of the working device, each of these interfaces should also be considered and optimized from a security perspective for security reasons.

Beispiele für die Schnittstellen umfassen die Umsetzung der mechanischen Bewegung von Bedienelementen des Bedienteils in elektrische Signale, die Kodierung dieser Signale in Datentelegramme, die Umsetzung der Datentelegramme in entsprechend modulierte elektromagnetische Wellen, d.h. ein Funksignal, wenigstens zwei Schnittstellen zwischen einer jeweiligen Antenne und der Luft, die Umsetzung der Funksignale in Datentelegramme auf Empfängerseite, die Auswertung der Datentelegramme auf Gültigkeit und Nutzdateninhalt und die Umsetzung der Datentelegramme auf die Ausgabeschnittstelle des Empfängers, um anschließend dann über ein Bussystem des Arbeitsgeräts an eine zentrale Steuereinheit oder dezentrale, einer jeweiligen Arbeitsfunktion des Arbeitsgeräts zugeordnete Steuereinheiten übertragen zu werden, von wo aus die entsprechende Arbeitsfunktion bewirkt wird.Examples of the interfaces include the conversion of the mechanical movement of operating elements of the control unit into electrical signals, the coding of these signals into data telegrams, the conversion of the data telegrams into correspondingly modulated electromagnetic waves, i.e. a radio signal, at least two interfaces between a respective antenna and the air, the conversion of the radio signals into data telegrams on the receiver side, the evaluation of the data telegrams for validity and user data content and the conversion of the data telegrams to the output interface of the receiver, and then via a bus system of the implement to a central control unit or decentralized control units assigned to a respective work function of the implement to be transmitted, from where the corresponding work function is effected.

Hierbei ist die Verwendung von serieller Buskommunikation üblich, die typischerweise einkanalig ausgeführt wird, aber durch den Einsatz von Sicherheitsschichten funktional sicher ausgestaltet werden kann. Ein Trade-Oft besteht hier zwischen der Standardisierung von Busprotokollen, welche einer möglichst breiten Basis an Herstellern offenstehen und somit im Wesentlichen bekannt sind, und der proprietären Ausgestaltung der Übertragungsprotokolle, die dann geschlossene Systeme realisieren, in die Dritte ungleich schwerer eindringen können. Auf diese Weise werden beispielsweise Nachbauten von Steuerungssystemen erschwert, d.h. insbesondere auch Handelskanäle geschützt. In ähnlicher Weise erschwert ist durch diese Maßnahmen das Eindringen von Dritten, welche in böser oder zerstörerischer Absicht die Kontrolle über die Maschinen erschleichen wollen („Hacker“).Here, the use of serial bus communication is common, which is typically implemented as a single channel, but can be designed to be functionally safe through the use of security layers. There is a trade-off here between the standardization of bus protocols, which are available to the broadest possible base of manufacturers and are therefore essentially known, and the proprietary design of the transmission protocols, which then implement closed systems that are much more difficult for third parties to penetrate. In this way, for example, replicas of control systems are made more difficult, i.e. in particular trade channels are also protected. Similarly, these measures make it more difficult for third parties to gain control of the machines with malicious or destructive intent ("hackers").

In jüngerer Zeit hat der zuletzt angesprochene Aspekt, nämlich die Sicherheit im Sinne des Begriffs „Security“ als Sicherheit von Daten, erheblich an Bedeutung gewonnen, wobei hierbei insbesondere auch die Vertraulichkeit oder Integrität einer Information sowie der Schutz gegenüber einer herbeigeführten Manipulation von und durch diese Daten zu beachten ist. Dieser Überlegung liegt die Annahme zugrunde, dass Sicherheitslücken, wie auch immer sie geartet sein mögen, früher oder später von Dritten mit ausreichend böswilliger Energie ausgenutzt werden und daher stets die jeweils höchste bekannte technische Schutzmaßnahme anzuwenden ist. Es ist hierbei unerheblich, ob ein Schaden, welcher sich als Konsequenz aus einem böswilligen Eingriff ergeben könnte, auch auf andere Weise herbeigeführt werden könnte.Recently, the last aspect mentioned, namely security in the sense of the term "security" as security of data, has gained considerable importance, whereby in particular the confidentiality or integrity of information as well as protection against manipulation caused by and by it data is to be observed. This consideration is based on the assumption that security gaps, whatever their nature, will sooner or later be exploited by third parties with sufficient malicious energy and that the highest known technical protective measure must therefore always be used. It is irrelevant here whether damage that could result as a consequence of malicious interference could also be caused in another way.

Im Folgenden werden einige Szenarien diskutiert, welche für die vorliegende Erfindung besonders relevant sind und in welchen sich ein Störer oder Hacker nicht beispielsweise durch Diebstahl des eigentlichen Funksenders ermächtigen kann und er folglich aus der Ferne in das Steuersystem einzugreifen versucht, insbesondere auch unerkannt. Demzufolge besteht in den folgenden diskutierten Szenarien kein unmittelbarer Zugriff auf die Hardware des gattungsgemäßen Funksystems oder einen festen oder mobilen Speicher oder Schlüssel, welcher das Adressmerkmal trägt.In the following, some scenarios are discussed which are particularly relevant for the present invention and in which a jammer or hacker cannot, for example, steal the actual radio transmitter and attempt to intervene remotely in the control system, in particular without being detected. Consequently, in the scenarios discussed below, there is no direct access to the hardware of the generic radio system or to a fixed or mobile memory or key that carries the address feature.

Wenngleich die hier beschriebenen Risiken unterschiedlich einfach auszunutzen sind und stark vom Vorwissen und den technischen Möglichkeiten des Angreifers abhängen, so sind auch mit einer niedrigeren Auftretenswahrscheinlichkeit versehene Szenarien in einem ganzheitlichen Sicherheitskonzept stets zu beachten.Although the risks described here can be exploited with varying degrees of ease and depend heavily on the prior knowledge and technical capabilities of the attacker, scenarios with a lower probability of occurrence must always be taken into account in a holistic security concept.

In einem ersten Szenario kann ein Störer böswillig auf der Luftschnittstelle eine Störung des Funksystems herbeiführen. Hierzu muss ein Störsender mit hoher Leistung breitbandig oder mindestens auf der Betriebsfrequenz des Funksystems eingesetzt werden, der in einem ausreichend kleinen Abstand zum Funkempfänger platziert wird, sodass die durch den Störsender erzeugte Leistungsdichte am Funkempfänger groß genug ist, diesen nachhaltig zu stören. Beim Auftreten derartiger Störsignale kann der Decoder in dem Funkempfänger dann die Datentelegramme hinsichtlich der Systemadresse und gegebenenfalls weiterer Daten nicht mehr sicher auswerten. Wenngleich als eine erste Sicherheitsmaßnahme vorgesehen werden kann, dass der Funkempfänger beim Auftreten einer derartigen Störung in einen sicheren Zustand wechselt, sodass die Sicherheit der Funkstrecke im Sinne der Steuerfunktion nicht beeinträchtigt wird, so kann eine derartige Störung auf der Betriebsfrequenz sich in jedem Fall in einer reduzierten Verfügbarkeit des Funksystems niederschlagen.In a first scenario, an interferer can maliciously cause interference in the radio system on the air interface. For this purpose, a high-power jammer must be used over a wide band or at least at the operating frequency of the radio system, which is placed at a sufficiently small distance from the radio receiver so that the power density generated by the jammer at the radio receiver is large enough to sustain it time to disturb. When such interference signals occur, the decoder in the radio receiver can then no longer reliably evaluate the data telegrams with regard to the system address and possibly other data. Although it can be provided as a first security measure that the radio receiver changes to a safe state when such a fault occurs, so that the security of the radio link is not impaired in terms of the control function, such a fault on the operating frequency can in any case result in a reduced availability of the radio system.

Es ist ferner denkbar, dass ein Hacker durch eine exakte Rekonstruktion der zugrundeliegenden Hardware, ein Aufnehmen eines Funksignals und ein exaktes zeitsynchrones Wiederaussenden dieses Funksignals eine sogenannte „Capture-Release-Attacke“ ausführt und dabei ein ehemalig gültiges, aber in der Zeit bereits zurückliegendes Datentelegramm abspielt, um so die Maschinensteuerung zu manipulieren. Zwar kann diesem Risiko durch einen „Rolling Code“, d.h. eine Berechnung einer zum jeweiligen Zeitpunkt gültigen Kodierung auf Basis einer Startadresse begegnet werden, es ist jedoch denkbar, dass ein Hacker mit ausreichend Ressourcen die Datentelegramm-Struktur entschlüsselt und somit die Möglichkeit erhält, bei einer Capture-Release-Attacke sogar gezielt Teile von Datentelegramm anzupassen, um den eben genannten Sicherheitsmechanismus zu umgehen und gegebenenfalls die Maschine zu anderen Aktionen zu bewegen.It is also conceivable that a hacker could carry out a so-called "capture-release attack" by precisely reconstructing the underlying hardware, recording a radio signal and retransmitting this radio signal at exactly the same time, using a previously valid data telegram that was already in the past plays in order to manipulate the machine control. Although this risk can be countered by a "rolling code", ie a calculation of a currently valid coding based on a start address, it is conceivable that a hacker with sufficient resources could decode the data telegram structure and thus be able to In a capture-release attack, parts of the data telegram can even be adapted in a targeted manner in order to circumvent the security mechanism just mentioned and, if necessary, persuade the machine to take other actions.

Zwar kann der Gefahr derartiger als „Command-Injection-Attacken“ bekannter Angriffe durch die Verwendung von bekannten Verschlüsselungstechniken begegnet werden, beispielsweise Ende-zu-Ende-Verfahren, der große Nachteil derartiger Verschlüsselungstechniken sowie weiterer Berechnungsverfahren in der Encoder/Decoder-Kette liegt jedoch in ihrem unvermeidlichen Zeitaufwand sowohl auf Sender- als auch auf Empfängerseite. Hierbei ergibt sich durch die Verschlüsselung und Entschlüsselung der Datentelegramme eine deutlich erhöhte Latenzzeit zwischen der Eingabe einer Anweisung an das Bedienteil, beispielsweise durch ein Auslenken eines entsprechenden Bedienelements, und einer Reaktion eines entsprechenden Antriebs an dem Arbeitsgerät, was eine effiziente Maschinenführung unmöglich macht oder wenigstens deutlich erschwert.Although the risk of such attacks known as "command injection attacks" can be countered by using known encryption techniques, for example end-to-end methods, the major disadvantage of such encryption techniques and other calculation methods lies in the encoder/decoder chain in their unavoidable expenditure of time both on the sender and on the receiver side. The encryption and decryption of the data telegrams results in a significantly increased latency between the input of an instruction to the control unit, for example by deflecting a corresponding control element, and a reaction of a corresponding drive on the implement, which makes efficient machine control impossible or at least significantly difficult.

Für eine praktische Betrachtung dürfte sich das reale Risiko dieses Szenarios deutlich senken lassen, indem statt mobilen und damit auch einfacher nachzubauenden Adressdatenträgern eine feste Programmierung der Systemadresse in die Hardware des Funkmoduls zum Einsatz kommt. Dieser Ansatz steht jedoch den bewährten Service-Konzepten im den oben beschriebenen Fällen einer geplanten Ersetzung des Original-Bedienteils mit einem Ersatz-Bedienteil in einem Maße entgegen, welches es unwirtschaftlich erscheinen lässt, diesen Ansatz weiterzuverfolgen.From a practical point of view, the real risk of this scenario can be significantly reduced by using fixed programming of the system address in the hardware of the radio module instead of mobile and therefore easier to replicate address data carriers. However, this approach contradicts the proven service concepts in the above-described cases of a planned replacement of the original control panel with a replacement control panel to such an extent that it appears uneconomical to continue pursuing this approach.

Sofern weiterhin nicht ausgeschlossen werden kann, dass sich ein Hacker zu irgendeinem Zeitpunkt Zugang zu dem Arbeitsgerät selbst verschafft hat, ergibt sich ein weiteres Risiko durch die vergleichsweise offene, standardisierte Schnittstelle zwischen dem Funkempfänger und dem Arbeitsgerät. Selbst eine mehrfach gesicherte Funkübertragung schützt die Maschinensteuerung nicht vor einem bösartigen Zugriff, wenn dieser auf einem anderen Weg erfolgt, beispielsweise indem in das Bussystem des Arbeitsgeräts ein weiterer Teilnehmer integriert wird, welcher die Buskommunikation stört.If it can still not be ruled out that a hacker has gained access to the working device itself at some point in time, another risk arises from the comparatively open, standardized interface between the radio receiver and the working device. Even radio transmission that is secured multiple times does not protect the machine control from malicious access if this occurs in a different way, for example if another participant is integrated into the bus system of the implement, which disrupts the bus communication.

Somit ist es plausibel, dass ein Hacker, welcher sich der Schnittstelle zu dem Arbeitsgerät bemächtigt hat, nun aber aus der Ferne darauf zugreifen will, dies unter Umgehung des Funksteuersystems bewerkstelligen könnte. Die Verwendung von standardisierten Protokollen ermöglicht letztendlich nämlich gerade, dass auch andere Systeme, beispielsweise auch anderer Hersteller, grundsätzlich in der Lage sind, Arbeitsgeräte in einer definierten Art und Weise anzusprechen. Keine der oben beschriebenen Techniken zur Absicherung der Funkübertragung selbst kann in diesem Szenario einen Schutz vor einem böswilligen Eingriff in die Maschinensteuerung bieten, wenn dieser Eingriff auf der Seite des Arbeitsgeräts erfolgt.It is therefore plausible that a hacker who has taken possession of the interface to the working device but now wants to access it remotely could accomplish this by bypassing the radio control system. Ultimately, the use of standardized protocols makes it possible for other systems, for example also from other manufacturers, to be fundamentally able to address work devices in a defined manner. In this scenario, none of the techniques described above for securing the radio transmission itself can offer protection against malicious interference with the machine control if this interference occurs on the side of the implement.

Es ist somit die Aufgabe der vorliegenden Erfindung, ein Funksystem der oben beschriebenen Gattung derart weiterzubilden, dass einerseits an dem bewährten Konzept der eineindeutigen Adressierung der Systemkomponenten festgehalten wird, andererseits aber in einer ergänzenden Weise sichergestellt wird, dass sich der befugte Bediener vor Ort und sowohl am richtigen Bedienteil als auch am richtigen Funkempfänger bzw. dem richtigen Arbeitsgerät ausweisen kann.It is therefore the object of the present invention to further develop a radio system of the type described above in such a way that on the one hand the proven concept of unique addressing of the system components is retained, but on the other hand it is additionally ensured that the authorized operator is on site and both on the correct control unit as well as on the correct radio receiver or the correct working device.

Zu diesem Zweck und zur Lösung der eben dargelegten Aufgabe umfasst das erfindungsgemäße Funksystem ferner ein Eingabemittel für die Eingabe eines zweiten, sich von der Systemadresse unterscheidenden Authentifizierungsfaktors, wobei das Eingabemittel dazu eingerichtet ist, lediglich bei einer Verifizierung von sowohl der gemeinsamen Systemadresse als auch des zweiten Authentifizierungsfaktors das Ausführen von Steuerbefehlen durch das Arbeitsgerät freizugeben.For this purpose and to achieve the object just set out, the radio system according to the invention also comprises an input means for entering a second authentication factor that differs from the system address, the input means being set up only when verifying both the common system address and the second Authentication factor enable the execution of control commands by the working device.

Auf diese Wiese wird das System aus Arbeitsgerät, Funksystem und Maschinenbediener als Gesamtheit begriffen und die Authentizität von jeder der beteiligten Systemkomponenten, einschließlich des Bedieners, kann durch die Einbeziehung des zweiten Authentifizierungsfaktors sichergestellt werden. Hierbei stellt in der oben beschriebenen Weise die einmalig vorgegebene Systemadresse den ersten Faktor dar, wobei die Systemadresse in dem Bedienteil in einem internen Speicherelement oder mittels eines auslesbaren Adressdatenträgers hinterlegt sein kann, beispielsweise eines RFID-Tags oder eines vergleichbaren Tokens.In this way, the system of implement, radio system and machine operator is understood as a whole and the authenticity of each of the system components involved, including the operator, can be ensured by including the second authentication factor. In the manner described above, the uniquely specified system address represents the first factor, with the system address being stored in the control panel in an internal memory element or by means of a readable address data carrier, for example an RFID tag or a comparable token.

Mittels dieses ersten Authentifizierungsfaktors kann in einer Ausführungsform der vorliegenden Erfindung beispielsweise in dem erfindungsgemäßen Funksystem sichergestellt werden, dass das Bedienteil über sein Funkmodul mit dem vorliegenden Funkempfänger kommunizieren und damit die zweite Authentifizierung einleiten darf. In dieser Ausführungsform stellt somit eine gültige Auswertung des entsprechenden, die Systemadresse enthaltenden Datentelegrams in der bekannten und oben beschriebenen Weise eine notwendige Bedingung für die Auswertung des zweiten Authentifizierungsfaktors dar.In one embodiment of the present invention, for example in the radio system according to the invention, this first authentication factor can be used to ensure that the control unit can communicate with the present radio receiver via its radio module and thus initiate the second authentication. In this embodiment, a valid evaluation of the corresponding data telegram containing the system address in the known manner described above is a necessary condition for the evaluation of the second authentication factor.

Hierbei kann der zweite Authentifizierungsfaktor durch eine echtzeitbasierte Applikation zyklisch aus einer Basisinformation abgeleitet werden oder bei jeder Authentifizierungsanfrage aus einer Basisinformation neu erstellt werrden. Übliche Bezeichnungen für die beiden genannten Verfahren sind „time-based one time password (TOTP)“ bzw. „hashed message authetication code based one time password“. In beiden Fällen werden durch eine wiederholte Ableitung des zweiten Authentifizierungsfaktors auf dieser Ebene „Capture-Release“-Attacken wirkungsvoll verhindert.In this case, the second authentication factor can be derived cyclically from basic information by a real-time-based application, or it can be created anew from basic information with each authentication request. Common terms for the two methods mentioned are “time-based one-time password (TOTP)” and “hashed message authentication code-based one-time password”. In both cases, repeated derivation of the second authentication factor at this level effectively prevents "capture-release" attacks.

Weiterhin kann der zweite Authentifizierungsfaktor dem Funksystem oder einem definierten Anwendungsszenario fest zugeordnet sein. Hierbei kann pro Funksystem ein dedizierter Faktor vorgesehen sein oder es kann zunächst ein Anwendungsszenario definiert werden, innerhalb welchem ein Faktor geteilt wird, beispielsweise eine einzelne Baustelle oder ein bestimmter Anwenderkreis, so dass innerhalb dieses Szenarios mehrere Maschinen und damit mehrere Funksteuersysteme mit einem identischen zweiten Authentifizierungsfaktor arbeiten können.Furthermore, the second authentication factor can be permanently assigned to the radio system or to a defined application scenario. A dedicated factor can be provided for each radio system, or an application scenario can first be defined within which a factor is shared, for example a single construction site or a specific group of users, so that within this scenario several machines and thus several radio control systems with an identical second authentication factor can work.

Als weitere Sicherheitsmaßnahme kann der zweite Authentifizierungsfaktor aus einer Basisinformation in einem vorbestimmten Verfahren unter Hinzuziehung weiterer Informationen errechnet werden, wobei hier prinzipiell bekannte mathematische und kryptographische Verfahren und Techniken zum Einsatz kommen können.As a further security measure, the second authentication factor can be calculated from basic information in a predetermined method using further information, with mathematical and cryptographic methods and techniques known in principle being able to be used here.

Prinzipiell kann ein Ansatz zur Bereitstellung des zweiten Authentifizierungsfaktors darin bestehen, dass dieser dem Maschinenbediener bekannt oder wenigstens zugänglich gemacht wird. Zu diesem Zweck kann das erfindungsgemäße Funksystem beispielsweise ferner eine Anzeigevorrichtung umfassen, welche dazu eingerichtet ist, Daten anzuzeigen, welche den zweiten Authentifizierungsfaktor repräsentieren. Hierbei kann einerseits an eine Anzeige in oder an der Maschine oder an dem Funkempfänger und andererseits an eine Anzeige an einer von dem Bediener mitführbaren Vorrichtung gedacht werden, beispielsweise einem Smart Device. Weiterhin sind unterschiedliche Formate denkbar, in welchen der zweite Authentifizierungsfaktor an der entsprechenden Anzeigevorrichtung dargestellt wird, beispielsweise könnte er als menschenlesbarer alphanumerischer Klartext oder auch kodiert, beispielweise als QR-Code oder ähnliches, angezeigt werden. In principle, one approach to providing the second authentication factor can consist in making it known to the machine operator or at least making it accessible. For this purpose, the radio system according to the invention can, for example, also include a display device which is set up to display data which represent the second authentication factor. On the one hand, a display in or on the machine or on the radio receiver and, on the other hand, a display on a device that can be carried by the operator, for example a smart device, can be considered here. Furthermore, different formats are conceivable in which the second authentication factor is displayed on the corresponding display device, for example it could be displayed as human-readable alphanumeric plain text or encoded, for example as a QR code or the like.

Dementsprechend kann das Eingabemittel je nach Ausführungsform des erfindungsgemäßen Systems unterschiedliche Gestaltungen aufweisen, beispielsweise kann es eine Einrichtung zum Auslesen eines elektronischen Mediums umfassen, sofern in dem entsprechenden System der zweite Authentifizierungsfaktor an ein entsprechendes Medium hardwaremäßig gekoppelt ist. Alternativ könnte auch an eine Einrichtung zum Auslesen eines maschinenlesbaren Codes gedacht werden, beispielsweise eines QR-Codes, welcher dann entsprechend auf einer Anzeige einer tragbaren Vorrichtung im Besitz des Bedieners zum Auslesen angezeigt werden könnte.Accordingly, the input means can have different designs depending on the embodiment of the system according to the invention, for example it can comprise a device for reading an electronic medium if the second authentication factor is coupled to a corresponding medium in terms of hardware in the corresponding system. Alternatively, a device for reading a machine-readable code, for example a QR code, could also be thought of, which could then be displayed accordingly on a display of a portable device owned by the operator for reading.

In einer weiteren Alternative könnte das Eingabemittel eine Mensch-Maschine-Schnittstelle zum Eingeben des zweiten Authentifizierungsfaktors durch einen Bediener umfassen, beispielsweise eine Tastatur, einen Touchscreen oder ähnliches, über welche der Bediener einen ihm bekannten oder bereitgestellten Code als zweiten Authentifizierungsfaktor eingeben kann. Hierbei kann der entsprechende Code beispielsweise auch in den technischen Unterlagen zu dem Arbeitsgerät oder dem geplanten Einsatz enthalten sein oder kann ähnlich einem Passwort von einer verantwortlichen Stelle vergeben, zurückgesetzt und neu vergeben werden.In a further alternative, the input means could comprise a human-machine interface for an operator to enter the second authentication factor, for example a keyboard, a touchscreen or the like, via which the operator can enter a code known to him or provided as the second authentication factor. In this case, the corresponding code can also be contained, for example, in the technical documentation for the working device or the planned use, or, like a password, can be assigned, reset and reassigned by a responsible authority.

In allen der genannten Ausführungsformen der Eingabemittel können diese sowohl dem Arbeitsgerät als auch dem Funkempfänger oder dem Bedienteil zugeordnet sein, wobei sich dann beim Ablauf der beiden Authentifizierungsschritte Unterschiede hinsichtlich des in dem erfindungsgemäßen System geschützten Abschnitts der Datenübertragung ergeben können, da die Freigabe für das Ausführen von Steuerbefehlen durch das Arbeitsgerät an der jeweiligen Position in dem erfindungsgemäßen System durch das Eingabemittel erfolgt, welches zu diesem Zweck mit einer weiteren Steuereinheit betriebsmäßig gekoppelt oder integriert sein kann, beispielsweise einer Steuereinheit des Arbeitsgeräts, des Funkempfängers oder des Bedienteils. Somit kann das der Erfindung zugrundeliegende Konzept entweder nur auf die Funkstrecke angewendet werden, indem die Freigabe für das Ausführen von Steuerbefehlen nur auf die Schnittstelle zwischen Funkempfänger und Steuereinheit des Arbeitsgeräts wirkt, oder auch auf das gesamte Arbeitsgerät, indem die Freigabe auf die Aktoren an den Antrieben der Arbeitsfunktionen in zugeordneten Steuereinheiten bzw. einer zentralen Steuereinheit des Arbeitsgeräts wirkt.In all of the above-mentioned embodiments of the input means, these can be assigned both to the working device and to the radio receiver or the operating unit, in which case differences can arise during the course of the two authentication steps with regard to the section of the data transmission protected in the system according to the invention, since the release for the off control commands are carried out by the working device at the respective position in the system according to the invention by the input means, which for this purpose can be operationally coupled or integrated with a further control unit, for example a control unit of the working device, the radio receiver or the operating unit. Thus, the concept on which the invention is based can either only be applied to the radio link, in that the release for the execution of control commands only affects the interface between the radio receiver and the control unit of the implement, or to the entire implement, in that the release affects the actuators on the Drives the work functions in associated control units or a central control unit of the implement acts.

In diesem Zusammenhang betrifft die vorliegende Erfindung ferner ein Verfahren zum Steuern eines Arbeitsgeräts mittels eines erfindungsgemäßen Funksystems, welches vor einem Ausführen von Steuerbefehlen durch das Arbeitsgerät die folgenden Schritte umfasst:

  • - durch das Funkmodul des Bedienteils: Aussenden von Daten, welche die gemeinsame eindeutige Systemadresse repräsentieren, im Rahmen von Datentelegrammen;
  • - durch den Funkempfänger: Empfangen der von dem Funkmodul des Bedienteils ausgesendeten Datentelegramme und Verifizieren der gemeinsamen Systemadresse als den ersten Authentifizierungsfaktor;
  • - durch das Eingabemittel für den zweiten Authentifizierungsfaktor: Verifizieren des bei dem Eingabemittel eingegebenen zweiten Authentifizierungsfaktors; und
  • - bei erfolgter Verifizierung der beiden Authentifizierungsfaktoren: Freigeben eines Ausführens von Steuerbefehlen durch das Arbeitsgerät.
In this context, the present invention also relates to a method for controlling a working device by means of a radio system according to the invention, which comprises the following steps before the working device executes control commands:
  • - by the radio module of the control panel: transmission of data, which represent the common unique system address, within the framework of data telegrams;
  • - By the radio receiver: receiving the data telegrams sent out by the radio module of the control unit and verifying the common system address as the first authentication factor;
  • - by the second authentication factor input means: verifying the second authentication factor input at the input means; and
  • - if the two authentication factors have been verified: enable execution of control commands by the working device.

Während erfindungsgemäß die Übermittlung des ersten Authentifizierungsfaktors in jedem Telegrammzyklus stattfindet und auch erforderlich ist, kann das Verifizieren des zweiten Authentifizierungsfaktors zu vorgegebenen Zeitpunkten oder gemäß festgelegter Intervalle durchgeführt werden. Hierbei kann beispielsweise an ein Verifizieren bei jedem Starten des Funkbetriebs oder jeder Inbetriebnahme des Arbeitsgeräts gedacht werden.While according to the invention the transmission of the first authentication factor takes place in each telegram cycle and is also necessary, the verification of the second authentication factor can be carried out at predetermined times or according to fixed intervals. In this case, for example, verification can be considered each time radio operation is started or each time the working device is started up.

Weitere Merkmale und Vorteile der vorliegenden Erfindung werden aus der nachfolgenden Beschreibung einer Ausführungsform davon deutlich, wenn diese zusammen mit den beiliegenden Figuren betrachtet wird. Diese zeigen im Einzelnen:

  • 1 eine schematische Darstellung eines erfindungsgemäßen Funksystems; und
  • 2 ein Flussdiagramm eines erfindungsgemäßen Verfahrens unter Verwendung des Funksystems aus 1.
Further features and advantages of the present invention will become apparent from the following description of an embodiment thereof, taken in conjunction with the accompanying figures. These show in detail:
  • 1 a schematic representation of a radio system according to the invention; and
  • 2 a flow chart of a method according to the invention using the radio system 1 .

In 1 ist ein erfindungsgemäßes Funksystem schematisch dargestellt und ganz allgemein mit dem Bezugszeichen 10 bezeichnet. Das Funksystem 10 umfasst zunächst ein Bedienteil 20, welches von einem Bediener zum Eingeben von Steuerbefehlen verwendet werden kann und zu diesem Zweck eine Mehrzahl von Bedienelementen 22 umfasst, beispielsweise Knöpfe, Schieberegler, Joysticks, eine Tastatur und ähnliches. Des Weiteren umfasst das Bedienteil 20 eine Anzeigevorrichtung 24, auf welcher beispielsweise Informationen über momentan aktive Betriebsmodi und ähnliches angezeigt werden können. Wie weiter unten noch ausführlicher diskutiert werden wird, kann die Anzeigevorrichtung 24 des Bedienteils 20 in einigen Ausführungsformen der vorliegenden Erfindung auch bereits zur Bereitstellung eines Codes dienen, welcher als zweiter Authentifizierungsfaktor im Sinne der vorliegenden Erfindung Verwendung finden kann. In ähnlicher Weise können einige der Bedienelemente 22 auch bereits einen Teil der Eingabemittel für die Eingabe des zweiten Authentifizierungsfaktors bilden, wie ebenfalls im Folgenden noch beschrieben werden wird.In 1 A radio system according to the invention is shown schematically and denoted by the reference numeral 10 in a very general manner. The radio system 10 initially comprises an operating part 20 which can be used by an operator to enter control commands and for this purpose comprises a plurality of operating elements 22, for example buttons, sliders, joysticks, a keyboard and the like. Furthermore, the operating part 20 includes a display device 24 on which, for example, information about currently active operating modes and the like can be displayed. As will be discussed in more detail below, in some embodiments of the present invention, the display device 24 of the operating part 20 can already be used to provide a code, which can be used as a second authentication factor within the meaning of the present invention. In a similar way, some of the operating elements 22 can already form part of the input means for entering the second authentication factor, as will also be described below.

Weiterhin umfasst das Bedienteil 20 eine Steuereinheit 26, welche den Betrieb des Bedienteils und die damit verbundenen Komponenten steuert, beispielsweise Signale von den Bedienelementen 22 erhält und verarbeitet, so wie einen dieser Steuereinheit zugeordneten Speicher 28, auf welchem beispielsweise eine Firmware und/oder andere Software installiert sein kann und/oder beliebige Daten hinterlegt sein können. Zudem ist in dem Bedienteil 20 ein Funkmodul 30 integriert, welches eine Funkverbindung mit anderen Komponenten des Systems 10 etablieren kann und zu diesem Zweck ebenfalls mit der Steuereinheit 26 betriebsmäßig gekoppelt ist. Zuletzt umfasst das Bedienteil 20 eine Schnittstelle 32 zum Einsetzen einer mobilen Schlüsselkomponente 34, welche in einer geeignet kodierten Weise ein Adressmerkmal trägt, welches mittels der Schnittstelle 32 ausgelesen werden kann. Dieses Adressmerkmal wirkt erfindungsgemäß als erster Authentifizierungsfaktor, wobei durch das Vorsehen der mobilen Schlüsselkomponente 34 in der oben beschrieben Weise ein Ersetzen des Bedienteils 20 durch ein Ersatz-Bedienteil vereinfacht wird. Die Schlüsselkomponente 34 kann hierbei beispielsweise durch ein mit einem RFID-Tag versehenes Token gebildet sein.Furthermore, the control unit 20 comprises a control unit 26, which controls the operation of the control unit and the components connected thereto, for example receives and processes signals from the control elements 22, as well as a memory 28 assigned to this control unit, on which, for example, firmware and/or other software can be installed and/or any data can be stored. In addition, a radio module 30 is integrated in the operating part 20, which can establish a radio connection with other components of the system 10 and is also operationally coupled to the control unit 26 for this purpose. Finally, the control unit 20 includes an interface 32 for inserting a mobile key component 34 which carries an address feature in a suitably encoded manner, which can be read using the interface 32 . According to the invention, this address feature acts as the first authentication factor, with the provision of the mobile key component 34 in the manner described above simplifying a replacement of the control unit 20 by a replacement control unit. In this case, the key component 34 can be formed, for example, by a token provided with an RFID tag.

Über das Funkmodul 30 steht das Bedienteil 20 mit einem dem System 10 zugehörigen Funkempfänger 40 in Datenaustausch, welcher vorzugsweise bidirektional sein kann, so dass nicht nur Steuerbefehle von dem Bedienteil 20 zu dem Funkempfänger 40 übertragen werden können, sondern in der entgegengesetzten Richtung beispielsweise auch Daten über das Arbeitsgerät 50, welchem der Funkempfänger 40 zugeordnet ist. Zu diesem Zweck besitzt auch der Funkempfänger 40 ebenfalls ein Funkmodul 42 sowie eine Datenschnittstelle 44, über welche ein Datenaustausch mit einem Bussystem 52 des Arbeitsgeräts 50 stattfindet. Während die Kommunikation zwischen dem Bedienteil 20 und dem Funkempfänger 40 über einen proprietären Kanal stattfinden kann, so wird innerhalb des Bussystems 52 des Arbeitsgeräts 50 in der Regel ein offener Kommunikationsstandard verwendet, beispielsweise das J1939-Protokoll.About the radio module 30 is the control panel 20 with a system 10 associated radio receiver 40 in data exchange, which can preferably be bidirectional, so that not only Steuerbe missing can be transmitted from the control panel 20 to the radio receiver 40, but in the opposite direction, for example, data on the implement 50, which is assigned to the radio receiver 40. For this purpose, the radio receiver 40 also has a radio module 42 and a data interface 44 via which data is exchanged with a bus system 52 of the implement 50 . While the communication between the control unit 20 and the radio receiver 40 can take place via a proprietary channel, an open communication standard, for example the J1939 protocol, is generally used within the bus system 52 of the working device 50 .

Das Arbeitsgerät 50 weist eine Mehrzahl von mittels des Bedienteils steuerbaren Arbeitsfunktionen 54 auf, welche jeweils wenigstens einen Aktor umfassen, welcher wiederum mittels einer individuellen und/oder einer zentralen Steuereinheit 56 ansteuerbar ist. Hierbei sind in 1 eine Mehrzahl von Arbeitsfunktionen schematisch angedeutet und mit Bezugszeichen 54 bezeichnet. Diese Arbeitsfunktionen 54 stehen über das Bussystem 52 mit der Datenschnittstelle 44 des Funkempfängers 40 in Kommunikation, was im Übrigen auch für die zentrale Steuereinheit 56 des Arbeitsgeräts 50 gilt, welche wie angesprochen ebenfalls wenigstens einige der Arbeitsfunktionen 54 ansteuern kann.The working device 50 has a plurality of working functions 54 which can be controlled by means of the operating unit and which each comprise at least one actuator which in turn can be controlled by means of an individual and/or a central control unit 56 . Here are in 1 a plurality of work functions are indicated schematically and denoted by reference numeral 54 . These working functions 54 are in communication with the data interface 44 of the radio receiver 40 via the bus system 52, which incidentally also applies to the central control unit 56 of the working device 50, which, as mentioned, can also control at least some of the working functions 54.

Des Weiteren ist in 1 eine Mensch-Maschine-Schnittstelle 58 gezeigt, welche in der gezeigten Ausführungsform dem Arbeitsgerät zugeordnet ist, in alternativen Varianten des erfindungsgemäßen Systems jedoch ebenfalls dem Funkempfänger 40 zugeordnet sein könnte. Die Mensch-Maschine-Schnittstelle 58 dient zur manuellen Eingabe eines zweiten Authentifizierungsfaktors durch einen Bediener, wie im Folgenden unter Bezugnahme auf 2 beschrieben werden wird, und kann hierzu übliche Eingabeelemente, wie eine Tastatur oder einen Touchscreen, umfassen. In alternativen Varianten könnte jedoch anstelle der Mensch-Maschine-Schnittstelle 58 beispielsweise auch ein Lesegerät für einen maschinenlesbaren Code vorgesehen sein, beispielsweise einen QR-Code, welcher dann dementsprechend als der zweite Authentifizierungsfaktor wirken könnte.Furthermore, in 1 a man-machine interface 58 is shown, which in the embodiment shown is assigned to the working device, but which could also be assigned to the radio receiver 40 in alternative variants of the system according to the invention. The man-machine interface 58 is for manual entry of a second authentication factor by an operator, as referred to below with reference to FIG 2 will be described, and for this purpose can include conventional input elements such as a keyboard or a touchscreen. In alternative variants, however, instead of the man-machine interface 58, a reading device for a machine-readable code could also be provided, for example a QR code, which could then act accordingly as the second authentication factor.

2 zeigt nun in Form eines Flussdiagramms einen Ablauf eines Steuerns des Arbeitsgeräts 50 aus 1 unter Zuhilfenahme des Funksystems 10 aus 1. 2 FIG. 12 now shows a sequence of controlling the working device 50 in the form of a flowchart 1 with the aid of the radio system 10 1 .

Zunächst einmal wird von einem Benutzer bei Schritt S1 bei dem Bedienteil 20 ein Steuerbefehl eingegeben, beispielsweise durch Betätigung eines der Bedienelemente 22. Dieser Steuerbefehl wird durch die Steuereinheit 26 des Bedienteils bei Schritt S2 in ein Datentelegramm von einem vorgegebenen Datenformat umgewandelt, welches ferner in Schritt S3 mit Header-Informationen versehen wird, welche die Systemadresse in einer geeigneten Codierung enthalten, und daraufhin versendet wird. Die hierzu verwendete Systemadresse ist in der gezeigten Ausführungsform auf der Schlüsselkomponente 34 hinterlegt, könnte jedoch in einer alternativen Variante auch in dem Speicher 28 des Bedienteils 20 gespeichert sein.First of all, a control command is entered by a user in step S1 on the operating unit 20, for example by actuating one of the operating elements 22. This control command is converted by the control unit 26 of the operating unit in step S2 into a data telegram of a predetermined data format, which is also shown in step S3 is provided with header information containing the system address in a suitable coding, and is then sent. The system address used for this is stored on the key component 34 in the embodiment shown, but could also be stored in the memory 28 of the operating unit 20 in an alternative variant.

Das derart sowohl einen Steuerbefehl als auch die Systemadresse umfassende Datentelegramm wird anschließend mittels des Funkmoduls 30 von dem Bedienteil 20 zu dem Funkempfänger 40 gesendet, wo es dekodiert wird und die Systemadresse mit einer hier hinterlegten Systemadresse verifiziert wird. Indem nur bei einer erfolgreichen Verifizierung der Systemadresse bei Schritt S4 eine weitere Verarbeitung des Datentelegramms stattfindet, wirkt die Systemadresse als ein erster Authentifizierungsfaktor.The data telegram, which includes both a control command and the system address, is then sent by the radio module 30 from the control panel 20 to the radio receiver 40, where it is decoded and the system address is verified with a system address stored here. Since further processing of the data telegram only takes place in step S4 if the system address is successfully verified, the system address acts as a first authentication factor.

Zusätzlich zu der Verifizierung der Systemadresse ist gemäß der vorliegenden Erfindung jedoch auch noch ein Verifizieren eines zweiten Authentifikationsfaktors notwendig, welcher in Schritt S5 bei einem Eingabemittel eingegeben wird, welches entweder dem Bedienteil oder dem Funkempfänger oder dem Arbeitsgerät selbst zugeordnet ist. Hierbei kann die Eingabe direkt oder indirekt erfolgen, da wie bereits weiter oben angedeutet, die Eingabe bei Schritt S5 durch einen menschlichen Bediener oder mittels eines elektronischen Mediums erfolgen kann und eine weitere Verarbeitung bei Schritt S6 zwischengeschaltet sein kann, beispielsweise ein Anwenden einer mathematischen Funktion auf den eingegebenen Authentifizierungsfaktor zur Erhöhung der Sicherheit. Somit muss der Benutzer nicht notwendigerweise direkt den Authentifizierungsfaktor eingeben, sondern beispielsweise alternativ eine Basisinformation, aus welcher der zweite Authentifizierungsfaktor in einem vorbestimmten Verfahren unter Hinzuziehung weiterer Informationen berechnet oder bestimmt werden kann. Alternativ könnte der zweite Authentifizierungsfaktor auch durch eine echtzeitbasierte Applikation zyklisch aus einer Basisinformation abgeleitet werden oder bei jeder Authentifizierungsanfrage aus einer Basisinformation neu erstellt werden, wobei solche Authentifizierungsanfragen beispielsweise von der Steuereinheit 56 des Arbeitsgeräts 50 zyklisch ausgelöst und über den Funkkanal zwischen den Funkmodulen 42 und 30 an die Steuereinheit 26 weitergegeben werden können, sofern das Eingabemittel dem Bedienteil 20 zugeordnet ist.In addition to verifying the system address, the present invention also requires a second authentication factor to be verified, which is entered in step S5 using an input device that is assigned either to the control panel or to the radio receiver or to the implement itself. The input can be direct or indirect, since, as already indicated above, the input in step S5 can be made by a human operator or by means of an electronic medium and further processing can be interposed in step S6, for example applying a mathematical function the entered authentication factor to increase security. Thus, the user does not necessarily have to enter the authentication factor directly, but alternatively, for example, basic information from which the second authentication factor can be calculated or determined in a predetermined method using further information. Alternatively, the second authentication factor could also be derived cyclically from basic information by a real-time-based application or created anew from basic information for each authentication request, with such authentication requests being triggered cyclically, for example, by the control unit 56 of the working device 50 and transmitted via the radio channel between the radio modules 42 and 30 can be forwarded to the control unit 26 if the input means is assigned to the control panel 20.

Daraufhin wird bei Schritt S7 eine Verifizierung des zweiten Authentifizierungsfaktors durch das Eingabemittel durchgeführt, wobei das Eingabemittel hierzu mit einer der genannten Steuereinheiten gekoppelt oder integriert sein kann.A verification of the second authentication factor is then carried out by the input means in step S7, with the input can be coupled or integrated with one of the control units mentioned for this purpose.

Abhängig davon, welcher Komponente des Systems 10 bzw. des Arbeitsgeräts 50 das Eingabemittel zugeordnet ist, wird an der entsprechenden Stelle bei erfolgreicher Verifizierung des zweiten Authentifizierungsfaktors eine Freigabe zum Ausführen eines Steuerbefehls erteilt. So könnte beispielsweise bei einer Integration des Eingabemittels in dem Bedienteil erst bei einer Verifizierung des zweiten Authentifizierungsfaktors überhaupt mit der Kodierung von Datentelegrammen begonnen werden, im Fall einer Integration des Eingabemittels in dem Funkempfänger könnte erst bei einer Verifizierung des zweiten Authentifizierungsfaktors mit der Dekodierung der Datentelegramme begonnen werden und im Fall einer Integration des Eingabemittels in dem Arbeitsgerät könnte beispielsweise erst bei einer Verifizierung des zweiten Authentifizierungsfaktors eine Freigabe der Arbeitsfunktionen 54 durch die zentrale Steuereinheit 56 erfolgen. Diese Freigabe bei Schritt S7 zusammen mit der Verifizierung der Systemadresse bei Schritt S4 erlauben schließlich das Ausführen der entsprechenden Arbeitsfunktion bei Schritt S8.Depending on which component of the system 10 or of the working device 50 the input means is assigned to, a release for executing a control command is issued at the appropriate point if the second authentication factor is successfully verified. For example, with an integration of the input means in the operating unit, the coding of data telegrams could only start with a verification of the second authentication factor; in the case of an integration of the input means in the radio receiver, the decoding of the data telegrams could only start with a verification of the second authentication factor and in the case of an integration of the input means in the working device, for example, the working functions 54 could only be released by the central control unit 56 when the second authentication factor is verified. This enabling at step S7 together with the verification of the system address at step S4 finally allows the corresponding work function to be executed at step S8.

Es sei an dieser Stelle noch einmal erwähnt, dass in dem erfindungsgemäßen System die Übermittlung des ersten Authentifizierungsfaktors in jedem Telegrammzyklus stattfindet und auch erforderlich ist, während das Verifizieren des zweiten Authentifizierungsfaktors zu vorgegebenen Zeitpunkten oder gemäß festgelegter Intervalle durchgeführt werden kann.It should be mentioned again at this point that in the system according to the invention the transmission of the first authentication factor takes place in each telegram cycle and is also necessary, while the verification of the second authentication factor can be carried out at specified times or according to specified intervals.

Claims (10)

Funksystem (10) zur Steuerung eines Arbeitsgeräts (50), umfassend: - ein Bedienteil (20), welches dazu eingerichtet ist, einem Bediener zu erlauben, Steuerbefehle für das Arbeitsgerät (50) einzugeben, und welches ferner ein Funkmodul (30) zum drahtlosen Übertragen von die Steuerbefehle repräsentierenden Daten in Form von Datentelegrammen umfasst; und - einen dem Arbeitsgerät (50) zugeordneten Funkempfänger (40), welcher dazu eingerichtet ist, die drahtlos übertragenen Daten des Bedienteils (20) zu empfangen und an wenigstens eine Steuereinheit (54; 56) des Arbeitsgeräts (50) weiterzugeben; wobei dem Funksystem (10) eine gemeinsame eindeutige Systemadresse zugeordnet ist und das Bedienteil (20) und der Funkempfänger (40) dazu eingerichtet sind, vor einer Weitergabe von Daten an die wenigstens eine Steuereinheit (54; 56) des Arbeitsgeräts (50) zunächst die gemeinsame Systemadresse zu verifizieren, welche gemeinsam mit den die Steuerbefehle repräsentierenden Daten in jedem der Datentelegramme übertragen wird, so dass die Systemadresse als ein erster Authentifizierungsfaktor wirkt, dadurch gekennzeichnet, dass das Funksystem (10) ferner ein Eingabemittel (58) für eine Eingabe eines zweiten, sich von der Systemadresse unterscheidenden Authentifizierungsfaktors umfasst, wobei das Eingabemittel (58) dazu eingerichtet ist, lediglich bei einer Verifizierung der gemeinsamen Systemadresse und des zweiten Authentifizierungsfaktors das Ausführen von Steuerbefehlen durch das Arbeitsgerät (50) freizugeben.Radio system (10) for controlling an implement (50), comprising: - a control panel (20), which is designed to allow an operator to enter control commands for the implement (50), and which further includes a radio module (30) for wireless Transmission of data representing the control commands in the form of data telegrams; and - a radio receiver (40) assigned to the implement (50), which is set up to receive the wirelessly transmitted data from the operating unit (20) and to forward them to at least one control unit (54; 56) of the implement (50); wherein a common unique system address is assigned to the radio system (10) and the control unit (20) and the radio receiver (40) are set up to first transmit the to verify a common system address, which is transmitted together with the data representing the control commands in each of the data telegrams, so that the system address acts as a first authentication factor, characterized in that the radio system (10) also has an input means (58) for inputting a second , comprises an authentication factor that differs from the system address, the input means (58) being set up to enable the execution of control commands by the working device (50) only when the common system address and the second authentication factor are verified. Funksystem (10) nach Anspruch 1, dadurch gekennzeichnet, dass die Systemadresse in dem Bedienteil (20) in einem internen Speicherelement (28) oder mittels eines auslesbaren Adressdatenträgers (34) hinterlegt ist.Radio system (10) according to claim 1 , characterized in that the system address is stored in the control panel (20) in an internal memory element (28) or by means of a readable address data carrier (34). Funksystem (10) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der zweite Authentifizierungsfaktor durch eine echtzeitbasierte Applikation zyklisch aus einer Basisinformation abgeleitet wird oder bei jeder Authentifizierungsanfrage aus einer Basisinformation neu erstellt wird.Radio system (10) according to claim 1 or 2 , characterized in that the second authentication factor is derived cyclically from basic information by a real-time-based application or is created anew with each authentication request from basic information. Funksystem (10) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der zweite Authentifizierungsfaktor dem Funksystem (10) oder einem definierten Anwendungsszenario fest zugeordnet ist.Radio system (10) according to claim 1 or 2 , characterized in that the second authentication factor is permanently assigned to the radio system (10) or to a defined application scenario. Funksystem (10) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der zweite Authentifizierungsfaktor aus einer Basisinformation in einem vorbestimmten Verfahren unter Hinzuziehung weiterer Informationen errechnet wird.Radio system (10) according to one of the preceding claims, characterized in that the second authentication factor is calculated from basic information in a predetermined method using further information. Funksystem (10) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass es ferner eine Anzeigevorrichtung (24) umfasst, welche dazu eingerichtet ist, Daten anzuzeigen, welche den zweiten Authentifizierungsfaktor repräsentieren.Radio system (10) according to one of the preceding claims, characterized in that it further comprises a display device (24) which is set up to display data which represent the second authentication factor. Funksystem (10) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Eingabemittel (58) eine Einrichtung zum Auslesen eines elektronischen Mediums umfasst.Radio system (10) according to one of the preceding claims, characterized in that the input means (58) comprises a device for reading out an electronic medium. Funksystem (10) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Eingabemittel (58) eine Mensch-Maschine-Schnittstelle zum Eingeben des zweiten Authentifizierungsfaktors durch einen Bediener umfasst.Radio system (10) according to one of the preceding claims, characterized in that the input means (58) comprises a man-machine interface for inputting the second authentication factor by an operator. Verfahren zum Steuern eines Arbeitsgeräts (50) mittels eines Funksystems (10) nach einem der vorhergehenden Ansprüche, vor einem Ausführen von Steuerbefehlen durch das Arbeitsgerät (50) umfassend die Schritte: - durch das Funkmodul (30) des Bedienteils (20): Aussenden von Daten, welche die gemeinsame eindeutige Systemadresse repräsentieren, im Rahmen von Datentelegrammen (S2); - durch den Funkempfänger (40): Empfangen der von dem Funkmodul (30) des Bedienteils (20) ausgesendeten Datentelegramme und Verifizieren der gemeinsamen Systemadresse als den ersten Authentifizierungsfaktor (S4); - durch das Eingabemittel (58) für den zweiten Authentifizierungsfaktor: Verifizieren des bei dem Eingabemittel (58) eingegebenen zweiten Authentifizierungsfaktors (S7); und - bei erfolgter Verifizierung (S4, S7) der beiden Authentifizierungsfaktoren: Freigeben eines Ausführens von Steuerbefehlen durch das Arbeitsgerät (S8).Method for controlling a working device (50) by means of a radio system (10) according to one of the preceding claims, before execution of control commands by the working device (50), comprising the steps: - by the radio module (30) of the control unit (20): Transmission of data, which represent the common unique system address, as part of data telegrams (S2); - By the radio receiver (40): Receiving of the radio module (30) of the operating unit (20) transmitted data telegrams and verifying the common system address as the first authentication factor (S4); - by the input means (58) for the second authentication factor: verifying the second authentication factor (S7) input at the input means (58); and - if verification (S4, S7) of the two authentication factors has taken place: Enabling execution of control commands by the working device (S8). Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass das Verifizieren (S7) des zweiten Authentifizierungsfaktors zu vorgegebenen Zeitpunkten oder gemäß festgelegter Intervalle durchgeführt wird.procedure after claim 9 , characterized in that the verification (S7) of the second authentication factor is carried out at predetermined times or according to fixed intervals.
DE102020125372.9A 2020-09-29 2020-09-29 Radio system for controlling an implement Pending DE102020125372A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020125372.9A DE102020125372A1 (en) 2020-09-29 2020-09-29 Radio system for controlling an implement

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020125372.9A DE102020125372A1 (en) 2020-09-29 2020-09-29 Radio system for controlling an implement

Publications (1)

Publication Number Publication Date
DE102020125372A1 true DE102020125372A1 (en) 2022-03-31

Family

ID=80624181

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020125372.9A Pending DE102020125372A1 (en) 2020-09-29 2020-09-29 Radio system for controlling an implement

Country Status (1)

Country Link
DE (1) DE102020125372A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150332532A1 (en) 2014-05-14 2015-11-19 Lg Electronics Inc. Mobile terminal and vehicle control
DE212018000204U1 (en) 2017-04-19 2019-11-26 Gentex Corporation Locking mechanisms for activating or deactivating the operations of trainable transceivers

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150332532A1 (en) 2014-05-14 2015-11-19 Lg Electronics Inc. Mobile terminal and vehicle control
DE212018000204U1 (en) 2017-04-19 2019-11-26 Gentex Corporation Locking mechanisms for activating or deactivating the operations of trainable transceivers

Similar Documents

Publication Publication Date Title
AT506344B1 (en) METHOD AND DEVICE FOR CONTROLLING THE ACCESS CONTROL
DE102011081804B4 (en) Method and system for providing device-specific operator data, which are bound to an authentication credential, for an automation device of an automation system
EP2622527B1 (en) Method and device for providing a cryptographic key for a field device
EP3582033B1 (en) Method for securely operating a field device
EP3422628B1 (en) Method, safety device and safety system
DE102014101495A1 (en) Method of access to a physically secure rack and computer network infrastructure
EP2624223B1 (en) Method and apparatus for access control
EP2407843B1 (en) Secure data transfer in an automation network
EP3556047A1 (en) Programmable hardware security module and method on a programmable hardware security module
EP3715979A1 (en) Access control system for controlling the access of a user to one or more operating functions of a technical system
EP3009992A1 (en) Method and device for managing access rights
DE102020125372A1 (en) Radio system for controlling an implement
EP2584539A1 (en) Method for configuring an electromechanical lock
DE102016201786A1 (en) An accessory for use with a smart device and system and method with such an accessory
DE102011081803A1 (en) Method and system for providing device-specific property data for an automation device of an automation system
WO2016041843A1 (en) Method and arrangement for authorising an action on a self-service system
DE102006006804A1 (en) Mobile device for authorizing user for access to automation equipment, has memory for storing authorization data, and transmitting device providing wireless transmission of authorization data within limited zone that encloses equipment
EP1287221A1 (en) Method and device for controlling entry into a secured location, especially into a motor vehicle
DE102020123756B3 (en) Procedure for release of use and function release device for this
DE102017216677A1 (en) Method and arrangement for providing access to at least one field device of a technical installation
EP3541038A1 (en) Method and device for cryptographically secure data transmission between a first electronic device and a second device
EP3603011B1 (en) Apparatuses and method for operating mobile radio communication with a track-mounted apparatus
EP3753800A1 (en) Input method for safety-critical control commands and control system
EP4138435A1 (en) Method for granting access to a control unit in a building control system
AT13608U1 (en) Method and device for controlling access control

Legal Events

Date Code Title Description
R163 Identified publications notified