DE102022109134A1 - Access method to a field device in process automation technology - Google Patents

Access method to a field device in process automation technology Download PDF

Info

Publication number
DE102022109134A1
DE102022109134A1 DE102022109134.1A DE102022109134A DE102022109134A1 DE 102022109134 A1 DE102022109134 A1 DE 102022109134A1 DE 102022109134 A DE102022109134 A DE 102022109134A DE 102022109134 A1 DE102022109134 A1 DE 102022109134A1
Authority
DE
Germany
Prior art keywords
key
authorization
access
level
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022109134.1A
Other languages
German (de)
Inventor
Thomas May
Alfred Wagner
Michael Kimmich
Fabian Schorrer
Daniel SPINNENHIRN
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IFM Electronic GmbH
Original Assignee
IFM Electronic GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IFM Electronic GmbH filed Critical IFM Electronic GmbH
Priority to DE102022109134.1A priority Critical patent/DE102022109134A1/en
Publication of DE102022109134A1 publication Critical patent/DE102022109134A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/47Security arrangements using identity modules using near field communication [NFC] or radio frequency identification [RFID] modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25428Field device
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31131Field device with gateway functions for communication with pc and other field devices

Abstract

Angegeben ist sicheres Zugriffsverfahren auf ein Feldgerät der Prozessautomatisierungstechnik, wobei das Feldgerät mit dem Firmennetzwerk verbunden ist, wobei das Firmennetzwerk eine übergeordnete Einheit ÜE und ein Eingabegerät EG umfasst, das in einem zugangsgesicherten Bereich ZB angeordnet ist, wobei der zugangsgesicherte Bereich ZB örtlich isoliert ist und nur von einem Personenkreis mit einer Berechtigung der Berechtigungslevel 1 betreten werden kann.Specified is a secure access method to a field device of process automation technology, wherein the field device is connected to the company network, the company network comprising a higher-level unit ÜE and an input device EG, which is arranged in an access-secured area ZB, the access-secured area ZB being locally isolated and can only be accessed by a group of people with authorization level 1.

Description

Die Erfindung betrifft ein Zugriffsverfahren auf ein Feldgerät der Prozessautomatisierungstechnik.The invention relates to an access method to a field device in process automation technology.

Aus der WO2007/025879 ist eine Anordnung zum Bedienen eines Feldgerätes der Prozessautomatisierungstechnik, bei der der Zugriff auf das Feldgerät drahtlos mittels einer Bedieneinheit erfolgt. Problematisch hierbei ist ein Gerätewechsel. Dieser erfordert einen erheblichen Aufwand.From the WO2007/025879 is an arrangement for operating a field device in process automation technology, in which the field device is accessed wirelessly using an operating unit. Changing the device is problematic. This requires considerable effort.

Aus der DE102011083984A1 ist ein Verfahren zur Sicherstellung des autorisierten Zugriffs auf eine Feldgerät der Automatisierungstechnik bekannt. Ein unerlaubter Dateneingriff bzw. Datenabgriff kann hier jedoch nicht ausgeschlossen werden.From the DE102011083984A1 a method for ensuring authorized access to a field device in automation technology is known. However, unauthorized data interference or data access cannot be ruled out here.

Aus der DE 102014105076 A1 ist ein weiteres Verfahren zum gesicherten Zugriff einer mobilen Bedieneinheit auf ein Feldgerät bekannt. Dabei soll insbesondere das Feldgerat vor einem unautorisierten Zugriff über eine mobile Bedieneinheit geschützt werden insbesondere auch im Hinblick auf einen Datendiebstahl.From the DE 102014105076 A1 Another method for secure access of a mobile operating unit to a field device is known. In particular, the field device should be protected from unauthorized access via a mobile operating unit, especially with regard to data theft.

Dieses Verfahren ermöglicht eine Übertragung von Verifizierungscodes zwischen einer Verwaltungseinheit und einem mobilen Bediengerät, um den Zugang auf Feldgeräte zu ermöglichen. Nachteilig an diesem Verfahren ist, dass die Verwaltungseinheit nicht vorsieht den werksseitig vergebenen Code in den Feldgeräten zu ändern.This method enables verification codes to be transmitted between an administrative unit and a mobile operating device in order to enable access to field devices. The disadvantage of this method is that the management unit does not plan to change the factory-assigned code in the field devices.

Aus der DE 10 2013 202 564 A1 ist ein weiteres Zugriffsverfahren zum Parametrieren eines Busteilnehmers, z. B. einem Feldgerät, in einem Feldbus bekannt, das mit einem QR-Code arbeitet.From the DE 10 2013 202 564 A1 is another access method for parameterizing a bus participant, e.g. B. a field device, known in a fieldbus, which works with a QR code.

Durch dieses Verfahren wird die Übertragung von Parametrier- oder Anlageninformationen erleichtert und es werden Fehler durch eine händische Eingabe weitestgehend vermieden. Es wird auch sichergestellt, dass der Bediener das richtige Gerät bedient und keine Verwechslung vorliegen kann.This procedure makes the transfer of parameterization or system information easier and errors caused by manual input are largely avoided. It also ensures that the operator is using the correct device and there can be no mix-up.

Nachteilig an diesem Zugriffsverfahren ist, dass keinerlei Vorkehrungen zur Authentifizierung des Bedieners getroffen werden. Somit kann ein unbefugter Zugriff auf Daten des Feldgeräts nicht verhindert werden.The disadvantage of this access method is that no precautions are taken to authenticate the operator. This means that unauthorized access to data on the field device cannot be prevented.

Aufgabe der Erfindung ist es ein Sicheres Zugriffsverfahren auf ein Feldgerät der Prozessautomatisierungstechnik anzugeben, welches die oben genannten Nachteile nicht aufweist, das praktikabel und einfach zu realisieren ist.The object of the invention is to provide a secure access method to a field device in process automation technology that does not have the above-mentioned disadvantages and is practical and easy to implement.

Gelöst wird diese Aufgabe durch das im Anspruch 1 angegebene Verfahren.This task is solved by the method specified in claim 1.

Vorteilhafte Weiterentwicklungen der Erfindung sind in den Unteransprüchen angegeben.Advantageous further developments of the invention are specified in the subclaims.

Die wesentliche Idee der Erfindung besteht darin, dass sich der Benutzer bei der Anforderung des Berechtigungsschlüssels von der übergeordneten Einheit in einem zugangsgesicherten Bereich befinden muss. Erst danach wird der Berechtigungsschlüssel in der übergeordneten Einheit generiert und an ein Ausgabegerät, das ebenfalls im zugangsgesicherten Bereich angeordnet ist, übertragen.The essential idea of the invention is that the user must be in an access-secured area when requesting the authorization key from the higher-level unit. Only then is the authorization key generated in the higher-level unit and transmitted to an output device, which is also located in the access-secured area.

Da sich der Benutzer im zugangsgesicherten Bereich befindet, erhält er einen ersten Berechtigungslevel, der jedem, der Zutritt zum zugangsgesicherten Bereich hat, zusteht. Der auf dem Display des Ausgabegeräts AG als optisches Muster (QR-Code) dargestellte Berechtigungsschlüssel wird z. B. mit einem Smartphone erfasst und in diesem gespeichert. Daraufhin kann sich der Benutzer im Prozessumgebungs-Bereich, d. h. dem Bereich in dem das zu bedienende Feldgerät befindet, durch Übertragung des Berechtigungsschlüssels von seinem Smartphone an eine Netzwerkeinheit, die sich ebenfalls in dem Prozessumgebungsbereich befindet, authentifizieren. Bei erfolgreicher Authentifizierung des Benutzers erfolgt die Freigabe der Zugriffe auf das Feldgerät entsprechend des dem Berechtigungsschlüssel zugeordneten Berechtigungslevels.Since the user is in the access-secured area, he receives a first authorization level that is available to anyone who has access to the access-controlled area. The authorization key shown on the display of the output device AG as an optical pattern (QR code) is z. B. recorded with a smartphone and stored in it. The user can then log into the process environment area, i.e. H. the area in which the field device to be operated is located by transmitting the authorization key from his smartphone to a network unit that is also located in the process environment area. If the user is successfully authenticated, access to the field device is released in accordance with the authorization level assigned to the authorization key.

Nachfolgend ist die Erfindung anhand eines in der Zeichnung dargestellten Ausführungsbeispiels näher erläutert.The invention is explained in more detail below using an exemplary embodiment shown in the drawing.

Es zeigen:

  • 1 Firmennetzwerk mit zwei separaten Bereichen Prozessumgebung/Zugangsgesicherter Bereich
  • 2 Mesh-Netzwerk
  • 3 klassische Automatisierungspyramide Cyber-physikalisches-Automatisierungs-System
  • 4 Mesh-Netzwerk der Automatisierungstechnik
Show it:
  • 1 Company network with two separate areas: process environment/access-secured area
  • 2 Mesh network
  • 3 classic automation pyramid cyber-physical automation system
  • 4 Mesh network of automation technology

1 zeigt ein Firmennetzwerk mit einer übergeordneten Einheit ÜE (Steuerung oder PC), die mit verschiedenen Einheiten in einer Prozessumgebung PU und mit verschiedenen Einheiten in einem zugangsgesicherten Bereich ZB, der örtlich isoliert ist, verbunden ist. 1 shows a company network with a higher-level unit ÜE (control or PC), which is connected to various units in a process environment PU and to various units in an access-secured area ZB, which is locally isolated.

Die Netzwerkeinheiten in der Prozessumgebung PU sind eine Netzwerkkomponente NK z. B. ein Gateway und mehrere Feldgeräte FG1, FG2, die an das Gateway angeschlossen sind. angeschlossen sind.The network units in the process environment PU are a network component NK z. B. a gateway and several field devices FG1, FG2, which are connected the gateway are connected. are connected.

Die Einheiten im zugangsgesicherten Bereich ZG sind ein Eingabegerät EG an dem sich der Benutzer B anmelden kann und ein Ausgabegerät AG an dem ein Display D vorgesehen ist.The units in the access-secured area ZG are an input device EG on which the user B can log in and an output device AG on which a display D is provided.

Der Benutzer B kann auf bestimmten Einheiten in der Prozessumgebung PU drahtlos zugreifen.User B can wirelessly access certain units in the process environment PU.

2 zeigt ein konkretes Beispiel eines Firmennetzwerkes, wobei in der Prozessumgebung eine Basisstation als Gateway GW und Feldgeräte FG1, FG2 als Mesh-Adapter via Bluetooth kommunizieren. Die übergeordnete Steuerung ist ein PC, der mit einem lO-Link-Master an den ein IO-Link Display angeschlossen ist, kommuniziert. 2 shows a concrete example of a company network, where in the process environment a base station acts as a gateway GW and field devices FG1, FG2 communicate as a mesh adapter via Bluetooth. The higher-level controller is a PC that communicates with an IO-Link master to which an IO-Link display is connected.

3 links zeigt ein klassisches Firmennetzwerk als Automatisierungspyramide, mit mehreren Feldgeräten in der Feldebene. Der Zugriff auf ein Feldgerät konnte bisher nur vor Ort per Tasteneingabe oder über Steuereinheit kabelgebunden erfolgen 3 The left shows a classic company network as an automation pyramid, with several field devices at the field level. Previously, access to a field device could only be done on site using a key input or via a wired control unit

3 rechts zeigt ein entsprechendes Cyber physikalisches System, mit einer starken Vernetzung insbesondere einer drahtlosen Vernetzung, die den zukünftigen Entwicklungstrend darstellt. In solchen Systemen ist ein sicherer Datenzugriff zwingend erforderlich. 3 on the right shows a corresponding cyber physical system, with strong networking, especially wireless networking, which represents the future development trend. In such systems, secure data access is essential.

4 zeigt ein Mesh-Netzwerk der Automatisierungstechnik mit mehreren Feldgeräten, die mit einem Gateway wireless verbunden sind. Das Gateway ist an ein Ethernet-basiertes Kommunikations-Netzwerk angeschlossen. 4 shows an automation technology mesh network with several field devices that are wirelessly connected to a gateway. The gateway is connected to an Ethernet-based communication network.

Nachfolgend ist das erfindungsgemäße Verfahren näher erläutert.The method according to the invention is explained in more detail below.

Der Benutzer befindet sich auf dem Firmengelände oder einem bestimmten Firmenbereich, der zugangsgesichert ist. Allein schon durch, dass der Benutzer diesen Bereich betreten kann, besitzt er schon gewisse Berechtigung einzelne Einheiten in der Prozessumgebung zu bedienen.The user is on the company premises or in a specific area of the company that has secured access. Simply because the user can enter this area, he already has a certain authorization to operate individual units in the process environment.

In einem ersten Verfahrensschritt meldet sich der Benutzer an dem Eingabegerät an und fordert einen Berechtigungsschlüssel für den Zugriff z. B. auf das Feldgerät FG1 an.In a first procedural step, the user logs on to the input device and requests an authorization key for access, for example. B. on the field device FG1.

Hierbei ist es nicht zwingend erforderlich, dass sich der Benutzer an dem Eingabegerät EG authentifiziert. Das Auslesen eines Messwertes von dem Feldgerät FG ist sicher für eine größere Gruppe von Benutzern möglich. Sollen mit dem Berechtigungsschlüssel Änderungen an dem Feldgerät im Hinblick auf die Konfiguration oder Parametrierung möglich sein, ist eine persönliche Identifizierung des Benutzers an der Eingabeeinheit EG erforderlich (Key Card/Firmenausweis etc.)It is not absolutely necessary that the user authenticates himself on the input device EG. Reading out a measured value from the field device FG is certainly possible for a larger group of users. If changes to the field device in terms of configuration or parameterization are to be possible with the authorization key, personal identification of the user on the input unit EG is required (key card/company ID, etc.)

In der übergeordneten Einheit sind die verschiedenen Berechtigungsschlüssel mit den zugeordneten verschiedenen Benutzern bzw. Benutzergruppen gespeichert.The different authorization keys with the assigned different users or user groups are stored in the higher-level unit.

Im nächsten Verfahrensschritt wird der Berechtigungsschlüssel, der dem Benutzer zugeordnet ist, in der übergeordneten Einheit ÜE generiert und anschließend an das Ausgabegerät AG, das in dem zugangsgesicherten Bereich angeordnet ist, übertragen.In the next method step, the authorization key that is assigned to the user is generated in the higher-level unit ÜE and then transmitted to the output device AG, which is arranged in the access-secured area.

Je nach dem Berechtigungslevel des Benutzers kann der Berechtigungsschlüssel unterschiedlich sein. Da der Benutzer aber den zugangsgesicherten Bereich betreten konnte, hat er mindestens das Berechtigungslevel 1.Depending on the user's authorization level, the authorization key can be different. However, since the user was able to enter the access-secured area, he has at least authorization level 1.

Am Ausgabegerät wird der gesendete Berechtigungsschlüssel optisch als Muster z. B. als QR-Code dargestellt.The sent authorization key is displayed optically as a sample on the output device, e.g. B. shown as a QR code.

Der Benutzer nimmt das Muster, d. h. denn optisch dargestellten Berechtigungsschlüssel key1 mit seinem Bediengerät auf. Im Bediengerät wird der Berechtigungsschlüssel key1 abgespeichert.The user takes the pattern, i.e. H. because the optically displayed authorization key key1 with his operating device. The authorization key key1 is saved in the operating device.

Anschließend begibt sich der Benutzer in die Prozessumgebung, wo er je nach Berechtigungslevel nur Sensordaten lesen oder Parameterwerte ändern möchte.The user then goes to the process environment, where, depending on the authorization level, he only wants to read sensor data or change parameter values.

Im nächsten Verfahrensschritt muss sich der Benutzer im Netzwerk anmelden und als Berechtigter authentifizieren. Hierzu überträgt er den Berechtigungsschlüssel an eine der Netzwerkkomponenten entweder das Gateway GW oder an eines der Feldgeräte FG1, FG2.In the next procedural step, the user must log in to the network and authenticate as an authorized user. To do this, it transmits the authorization key to one of the network components, either the gateway GW or to one of the field devices FG1, FG2.

Stimmt der an die Netzwerkkomponente vom Benutzer übertragene Netzwerkschlüssel mit dem im Firmennetzwerk direkt an einer Netzwerkkomponente zur Verfügung stehende Berechtigungsschlüssel oder über das Firmennetzwerk abfragbare Berechtigungsschlüssel key1 überein, werden die Zugriffe auf das Feldgerät entsprechend dem Berechtigungslevel freigegeben.If the network key transmitted by the user to the network component matches the authorization key available directly on a network component in the company network or the authorization key key1 that can be queried via the company network, access to the field device is released according to the authorization level.

Nachfolgend sind verschiedene Anwendungsbeispiele in einer etwas detaillierteren Form näher beschrieben.Various application examples are described in more detail below.

Anwendungsbeispiel 1:

  1. 1. Der Benutzer (Leseberechtigter Werker) erhält mit seiner Key-Card (Firmenausweis) Zutritt in einen zugangsgesicherten Raum.
  2. 2. Er authentifiziert sich mit seiner Key-Card an dem RFID Eingabegerät
  3. 3. Die übergeordnete Einheit prüft die Berechtigung des Werkers und generiert davon abhängig ein Berechtigungsschlüssel (hier Leseberechtigung) key1.
  4. 4. Die übergeordnete Einheit überträgt den neu generierten Berechtigungsschlüssel an das Ausgabegerät (IO-Link Display), sowie über die Basisstation an alle betroffenen Mesh-Adapter
  5. 5. Der Werker scannt mit seinem Mobiltelefon den QR-Code mit dem Berechtigungsschlüssel auf dem Display ab.
  6. 6. Der Werker kann nun mit seinem Mobiltelefon über Bluetooth eine Verbindung zu den Mesh Adaptern aufbauen. Die App authentifiziert sich mit dem erhaltenen Schlüssel auf dem jeweiligen Mesh Adapter.
  7. 7. Der Werker erhält nun Zugriff auf die Parameter/Daten des Adapters und kann diese auslesen, jedoch nicht verändern
Application example 1:
  1. 1. The user (read-authorized worker) gains access to a secure room with his key card (company ID).
  2. 2. He authenticates himself with his key card on the RFID input device
  3. 3. The higher-level unit checks the worker's authorization and, depending on this, generates an authorization key (here read authorization) key1.
  4. 4. The higher-level unit transmits the newly generated authorization key to the output device (IO-Link display) and via the base station to all affected mesh adapters
  5. 5. The worker scans the QR code with the authorization key on the display using his mobile phone.
  6. 6. The worker can now establish a connection to the mesh adapters with his mobile phone via Bluetooth. The app authenticates itself with the received key on the respective mesh adapter.
  7. 7. The worker now has access to the adapter's parameters/data and can read them, but cannot change them

Anwendungsbeispiel 2:

  1. 1. Leseberechtigter Benutzer (Werker) bekommt mit seiner Key-Card Zutritt in einen abgeschlossenen Raum.
  2. 2. Der Werker authentifiziert sich mit seiner Key-Card an dem RFID Eingabegerät
  3. 3. Die übergeordnete Steuerung prüft die Berechtigung des Werkers und generiert davon abhängig ein Zugriffsschlüssel (hier im Beispiel Leseberechtigung)
  4. 4. Die übergeordnete Steuerung überträgt den neu generierten Zugriffsschlüssel an das Ausgabegerät (IO-Link Display) und speichert diesen lokal ab. Es werden keine Zugriffsschlüssel an die Adapter übertragen.
  5. 5. Der Werker scannt mit seinem Mobiltelefon den QR-Code mit dem Berechtigungsschlüssel auf dem Display ab.
  6. 6. Der Werker kann nun mit seinem Mobiltelefon über Bluetooth eine Verbindung zu den Mesh Adaptern aufbauen.
  7. 7. Die App authentifiziert sich mit dem erhaltenen Schlüssel auf dem jeweiligen Mesh Adapter. Der Mesh Adapter sendet die erhaltenen Authentifizierungsdaten über das Mesh Netzwerk zu der übergeordneten Steuereinheit. Diese prüft die Authentifizierungsdaten und sendet eine Antwort mit den Berechtigungen zurück an den Adapter
  8. 8. Der Werker erhält nun Zugriff auf die Parameter/Daten des Adapters und kann diese auslesen, jedoch nicht verändern
Application example 2:
  1. 1. Read-authorized user (worker) gains access to a locked room with his key card.
  2. 2. The worker authenticates himself with his key card on the RFID input device
  3. 3. The higher-level control checks the worker's authorization and, depending on this, generates an access key (here in the example read authorization)
  4. 4. The higher-level controller transfers the newly generated access key to the output device (IO-Link display) and saves it locally. No access keys are transmitted to the adapters.
  5. 5. The worker scans the QR code with the authorization key on the display using his mobile phone.
  6. 6. The worker can now establish a connection to the mesh adapters with his mobile phone via Bluetooth.
  7. 7. The app authenticates itself with the received key on the respective mesh adapter. The Mesh Adapter sends the received authentication data over the Mesh network to the higher-level control unit. This checks the authentication data and sends a response with the permissions back to the adapter
  8. 8. The worker now has access to the parameters/data of the adapter and can read them, but cannot change them

Anwendungsbeispiel 3:

  1. 1. Schreibberechtigter Benutzer (Techniker) bekommt mit seiner Key-Card Zutritt in einen abgeschlossenen Raum.
  2. 2. Der Techniker authentifiziert sich mit seiner Key-Card an dem RFID Eingabegerät
  3. 3. Die übergeordnete Steuerung prüft die Berechtigung des Werkers und generiert davon abhängig 2 Zugriffsschlüssel mit vollwertiger Schreibberechtigung. Einen für die Mesh Basisstation und einen für alle Mesh Adapter.
  4. 4. Die übergeordnete Steuerung überträgt die neu generierten Zugriffsschlüssel an das Ausgabegerät (IO-Link Display) und speichert diese lokal ab (die Zugriffsschlüssel könnten auch direkt an die Geräte übertragen werden, wie in Anwendungsbeispiel 1 beschrieben).
  5. 5. Der Techniker scannt mit seinem Mobiltelefon den QR-Code mit den Berechtigungsschlüsseln auf dem Display ab.
  6. 6. Der Werker kann nun mit seinem Mobiltelefon über Bluetooth eine Verbindung zu den Mesh Adaptern oder der Basisstation aufbauen.
  7. 7. Die App authentifiziert sich mit dem erhaltenen Schlüssel auf dem jeweiligen Gerät. Der Mesh Adapter/Basisstaion sendet die erhaltenen Authentifizierungsdaten über das Mesh Netzwerk zu der übergeordneten Steuereinheit. Diese prüft die Authentifizierungsdaten und sendet eine Antwort mit den Berechtigungen zurück an das Gerät.
  8. 8. Der Techniker erhält nun vollwertigen Schreib- und Lesezugriff auf die Mesh Adapter oder die Basisstation und kann Änderungen vornehmen.
Application example 3:
  1. 1. Write-authorized user (technician) gains access to a locked room with his key card.
  2. 2. The technician authenticates himself with his key card on the RFID input device
  3. 3. The higher-level control checks the worker's authorization and, depending on this, generates 2 access keys with full write authorization. One for the mesh base station and one for all mesh adapters.
  4. 4. The higher-level controller transfers the newly generated access keys to the output device (IO-Link display) and saves them locally (the access keys could also be transferred directly to the devices, as described in application example 1).
  5. 5. The technician uses his mobile phone to scan the QR code with the authorization keys on the display.
  6. 6. The worker can now use his mobile phone to establish a connection to the mesh adapters or the base station via Bluetooth.
  7. 7. The app authenticates itself with the received key on the respective device. The mesh adapter/base station sends the received authentication data via the mesh network to the higher-level control unit. This checks the authentication data and sends a response with the authorizations back to the device.
  8. 8. The technician now has full read and write access to the mesh adapter or base station and can make changes.

Nachfolgend sind die Verfahrensschritte des erfindungsgemäßen sicheren Zugriffsverfahren auf ein Feldgerät der Prozessautomatisierungstechnik angegeben, wobei das Feldgerät mit dem Firmennetzwerk verbunden ist, wobei das Firmennetzwerk eine übergeordnete Einheit ÜE und ein Eingabegerät EG umfasst, das in einem zugangsgesicherten Bereich ZB angeordnet ist, wobei der zugangsgesicherte Bereich ZB örtlich isoliert ist und nur von einem Personenkreis mit einer Berechtigung der Berechtigungslevel 1 betreten werden kann:

  1. i. Anforderung eines Berechtigungsschlüssels key von der übergeordneten Einheit ÜE durch einen Benutzer an dem Eingabegerät EG in dem zugangsgesicherten Bereich ZB
  2. ii. Generierung eines Berechtigungsschlüssel key in der übergeordneten Einheit
  3. iii. Übertragen des generierten Berechtigungsschlüssels key von der übergeordneten Einheit ÜE an ein Ausgabegerät AG das im zugangsgesicherten Bereich angeordnet ist, wobei der Berechtigungsschlüssel key mindestens einem Berechtigungslevel 1 entspricht
  4. iv. Darstellung des Berechtigungsschlüssels key auf einem Display des Ausgabegeräts AG als optisches Muster (QR-Code)
  5. v. Erfassen des optischen Musters mit einem Handbediengerät HG (Smartphone/Tablet/ handheld device)
  6. vi. Speichern des Berechtigungsschlüssels key, der dem optischen Muster zugeordneten ist, im Handbediengerät HG
  7. vii. Authentifizierung des Benutzers im Prozessumgebungs-Bereich durch Übertragung des Berechtigungsschlüssels key von seinem Handbediengerät HG an eine Netzwerkeinheit
  8. viii. Bei erfolgreicher Authentifizierung des Benutzers B Freigabe der Zugriffe auf das Feldgerät FG der Automatisierungstechnik entsprechend der dem Berechtigungsschlüssel key zugeordnete Berechtigungslevels
The method steps of the secure access method according to the invention to a field device of process automation technology are given below, the field device being connected to the company network, the company network comprising a higher-level unit ÜE and an input device EG, which is arranged in an access-secured area ZB, the access-secured area For example, it is locally isolated and can only be accessed by a group of people with authorization level 1:
  1. i. Request an authorization key from the higher-level unit ÜE a user on the input device EG in the access-secured area ZB
  2. ii. Generation of an authorization key key in the parent unit
  3. iii. Transmitting the generated authorization key key from the higher-level unit ÜE to an output device AG which is arranged in the access-secured area, the authorization key key corresponding to at least one authorization level 1
  4. iv. Representation of the authorization key on a display of the output device AG as an optical pattern (QR code)
  5. v. Capturing the optical pattern with a handheld device HG (smartphone/tablet/handheld device)
  6. vi. Saving the authorization key, which is assigned to the optical pattern, in the hand-held control device HG
  7. vii. Authentication of the user in the process environment area by transmitting the authorization key key from his handheld control device HG to a network unit
  8. viii. If user B is successfully authenticated, access to the field device FG of the automation technology is released in accordance with the authorization level assigned to the authorization key key

Mit dem erfindungsgemäßen Verfahren sind folgende Vorteile erzielbar:

  • Die zur Authentifizierung des Benutzers erforderlichen Informationen (Identifikationen) werden von der übergeordneten Einheit ÜE automatisch wieder in das Gateway oder das Feldgerät übertragen. Ein Gerätewechsel ist deshalb unproblematisch.
The following advantages can be achieved with the method according to the invention:
  • The information (identifications) required to authenticate the user are automatically transferred back to the gateway or the field device by the higher-level unit ÜE. Changing the device is therefore unproblematic.

Gemäß der vorliegenden Erfindung sieht das Verfahren vor, den Verifizierungscode sowohl im mobilen Bediengerät als auch im Feldgerät FG bzw. im Gateway zu ändern. Dies erhöht sowohl die Flexibilität wie auch die Sicherheit.According to the present invention, the method provides for changing the verification code both in the mobile operating device and in the field device FG or in the gateway. This increases both flexibility and security.

Als übergeordnete Einheit ÜE dient eine Steuerung bzw. ein PC, welche eine Verwaltungseinrichtung darstellen und als Server ausgebildet sind.A controller or a PC serves as the higher-level unit ÜE, which represents an administrative device and is designed as a server.

Es ist möglich unterschiedliche Berechtigungsschlüssel (je nach Qualifikation des User) in das mobile Handbediengerät HG zu übertragen, um im Feldgerät FG (Endgerät) unterschiedliche Zugriffsebenen (Berechtigungslevel) freizuschaltenIt is possible to transfer different authorization keys (depending on the user's qualifications) to the mobile handheld control device HG in order to activate different access levels (authorization levels) in the field device FG (terminal device).

Der Berechtigungsschlüssel (Zugriffscode) wird automatisch über die übergeordnete Einheit (Server) sowohl an das Feldgerät FG, als auch an das Handbediengerät HG übertragen.The authorization key (access code) is automatically transmitted via the higher-level unit (server) to both the field device FG and the hand-held control device HG.

Für die Zugangsberechtigung auf die Feldgeräte FG kann das erfindungsgemäße Verfahren in unterschiedlichen Ausprägungen eingesetzt werden. Es ist dadurch sehr flexibel. Es setzt jedoch immer eine gewisse Art der Authentifizierung voraus. Einen unbefugten Zugriff wird dadurch stark erschwert.The method according to the invention can be used in different forms for access authorization to the field devices FG. This makes it very flexible. However, it always requires some form of authentication. This makes unauthorized access much more difficult.

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents listed by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • WO 2007025879 [0002]WO 2007025879 [0002]
  • DE 102011083984 A1 [0003]DE 102011083984 A1 [0003]
  • DE 102014105076 A1 [0004]DE 102014105076 A1 [0004]
  • DE 102013202564 A1 [0006]DE 102013202564 A1 [0006]

Claims (1)

Sicheres Zugriffsverfahren auf ein Feldgerät der Prozessautomatisierungstechnik das mit einem Firmennetzwerk verbunden ist, wobei das Firmennetzwerk eine übergeordnete Einheit und ein Eingabegerät umfasst, das in einem zugangsgesicherten Bereich angeordnet ist, wobei der zugangsgesicherte Bereich örtlich isoliert ist und nur von einem Personenkreis mit einer Berechtigung der Berechtigungslevel 1 betreten werden kann, kennzeichnet durch folgende Verfahrensschritte: i. Anforderung eines Berechtigungsschlüssels key von der übergeordneten Einheit ÜE durch einen Benutzer an dem Eingabegerät EG in dem zugangsgesicherten Bereich ZB ii. Generierung eines Berechtigungsschlüssel key in der übergeordneten Einheit iii. Übertragen des generierten Berechtigungsschlüssels key von der übergeordneten Einheit ÜE an ein Ausgabegerät AG das im zugangsgesicherten Bereich angeordnet ist, wobei der Berechtigungsschlüssel key mindestens einem Berechtigungslevel 1 entspricht iv. Darstellung des Berechtigungsschlüssels key auf einem Display des Ausgabegeräts AG als optisches Muster (QR-Code) v. Erfassen des optischen Musters mit einem Handbediengerät HG (Smartphone/Tablet/ handheld device) vi. Speichern des Berechtigungsschlüssels key, der dem optischen Muster zugeordneten ist, im Handbediengerät HG vii. Authentifizierung des Benutzers im Prozessumgebungs-Bereich durch Übertragung des Berechtigungsschlüssels key von seinem Handbediengerät HG an eine Netzwerkeinheit viii. Bei erfolgreicher Authentifizierung des Benutzers B Freigabe der Zugriffe auf das Feldgerät FG der Automatisierungstechnik entsprechend der dem Berechtigungsschlüssel key zugeordnete BerechtigungslevelsSecure access method to a field device of process automation technology that is connected to a company network, the company network comprising a higher-level unit and an input device that is arranged in an access-secured area, the access-secured area being locally isolated and only accessible by a group of people with authorization at the authorization level 1 can be entered, characterized by the following procedural steps: i. Request of an authorization key from the higher-level unit ÜE by a user on the input device EG in the access-secured area ZB ii. Generation of an authorization key key in the parent unit iii. Transmitting the generated authorization key key from the higher-level unit ÜE to an output device AG which is arranged in the access-secured area, the authorization key key corresponding to at least one authorization level 1 iv. Representation of the authorization key on a display of the output device AG as an optical pattern (QR code) v. Capturing the optical pattern with a handheld device HG (smartphone/tablet/handheld device) vi. Saving the authorization key, which is assigned to the optical pattern, in the hand-held control device HG vii. Authentication of the user in the process environment area by transmitting the authorization key key from his handheld control device HG to a network unit viii. If user B is successfully authenticated, access to the field device FG of the automation technology is released in accordance with the authorization level assigned to the authorization key key
DE102022109134.1A 2022-04-13 2022-04-13 Access method to a field device in process automation technology Pending DE102022109134A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022109134.1A DE102022109134A1 (en) 2022-04-13 2022-04-13 Access method to a field device in process automation technology

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022109134.1A DE102022109134A1 (en) 2022-04-13 2022-04-13 Access method to a field device in process automation technology

Publications (1)

Publication Number Publication Date
DE102022109134A1 true DE102022109134A1 (en) 2023-10-19

Family

ID=88191708

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022109134.1A Pending DE102022109134A1 (en) 2022-04-13 2022-04-13 Access method to a field device in process automation technology

Country Status (1)

Country Link
DE (1) DE102022109134A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007025879A1 (en) 2005-09-02 2007-03-08 Siemens Aktiengesellschaft Arrangement for operating a field device
DE102011083984A1 (en) 2011-10-04 2013-04-04 Endress + Hauser Process Solutions Ag Method for ensuring authorized access to a field device of automation technology
DE102013202564A1 (en) 2013-02-18 2014-08-21 Ifm Electronic Gmbh Method for parameterizing slave-bus station, involves detecting optical code on slave-bus station with optical code reader of service unit, where identification of master-bus station is determined with help of code
DE102014105076A1 (en) 2014-04-09 2015-10-15 Krohne Messtechnik Gmbh Method for secure access to a field device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007025879A1 (en) 2005-09-02 2007-03-08 Siemens Aktiengesellschaft Arrangement for operating a field device
DE102011083984A1 (en) 2011-10-04 2013-04-04 Endress + Hauser Process Solutions Ag Method for ensuring authorized access to a field device of automation technology
DE102013202564A1 (en) 2013-02-18 2014-08-21 Ifm Electronic Gmbh Method for parameterizing slave-bus station, involves detecting optical code on slave-bus station with optical code reader of service unit, where identification of master-bus station is determined with help of code
DE102014105076A1 (en) 2014-04-09 2015-10-15 Krohne Messtechnik Gmbh Method for secure access to a field device

Similar Documents

Publication Publication Date Title
EP2859705B1 (en) Authorising a user by means of a portable communications terminal
EP2898483B1 (en) Method and system for the configuration of small locking systems
DE102014111046A1 (en) Method for operating a field device
EP3130167B1 (en) Method for the secure access to a field device
DE102006042358A1 (en) Method and service center for updating authorization data in an access arrangement
EP2781058A1 (en) Smart home appliance, smart home control unit, smart home system and method for incorporating a smart home appliance into a smart home system
EP3582033B1 (en) Method for securely operating a field device
DE102009038035A1 (en) Method for configuring infotainment applications in a motor vehicle
DE102017106777A1 (en) Method for operating a field device of automation technology and an operating unit for performing the method
DE102014101495A1 (en) Method of access to a physically secure rack and computer network infrastructure
EP2548358B1 (en) Method for dynamically authorizing a mobile communication device
DE102010021257A1 (en) Plug-in system for the protected construction of a network connection
EP3647887A1 (en) Method and apparatus for the transmission of an access token for access to a field device used in the processing industry
DE102014108162A1 (en) Method for operating a field device by means of an operating device
DE102022109134A1 (en) Access method to a field device in process automation technology
EP3135546A1 (en) Car key, communication system and method for same
DE102006006804B4 (en) Authorization of a user for an automation device
EP3657750B1 (en) Method for the authentication of a pair of data glasses in a data network
DE102018202173A1 (en) Method and device for authenticating a user of a vehicle
EP3407309B1 (en) Access control device for controlling access to an access area
DE102010018021A1 (en) Method for configuring an application for a terminal
DE102013010171A1 (en) Computer network, network nodes and method for providing certification information
BE1030391B1 (en) Service provider-customer communication system with central data storage and management, integrated synchronized time recording system and local terminals
EP4138435A1 (en) Method for granting access to a control unit in a building control system
DE102016117482A1 (en) SAFE AND SAFE SAFETY SYSTEM

Legal Events

Date Code Title Description
R163 Identified publications notified