DE102022109134A1 - Access method to a field device in process automation technology - Google Patents
Access method to a field device in process automation technology Download PDFInfo
- Publication number
- DE102022109134A1 DE102022109134A1 DE102022109134.1A DE102022109134A DE102022109134A1 DE 102022109134 A1 DE102022109134 A1 DE 102022109134A1 DE 102022109134 A DE102022109134 A DE 102022109134A DE 102022109134 A1 DE102022109134 A1 DE 102022109134A1
- Authority
- DE
- Germany
- Prior art keywords
- key
- authorization
- access
- level
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000005516 engineering process Methods 0.000 title claims abstract description 12
- 238000004801 process automation Methods 0.000 title claims abstract description 7
- 238000013475 authorization Methods 0.000 claims abstract description 63
- 230000008569 process Effects 0.000 claims description 11
- 230000003287 optical effect Effects 0.000 claims description 7
- 230000008859 change Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 241001136792 Alle Species 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- ZINJLDJMHCUBIP-UHFFFAOYSA-N ethametsulfuron-methyl Chemical compound CCOC1=NC(NC)=NC(NC(=O)NS(=O)(=O)C=2C(=CC=CC=2)C(=O)OC)=N1 ZINJLDJMHCUBIP-UHFFFAOYSA-N 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- BUHVIAUBTBOHAG-FOYDDCNASA-N (2r,3r,4s,5r)-2-[6-[[2-(3,5-dimethoxyphenyl)-2-(2-methylphenyl)ethyl]amino]purin-9-yl]-5-(hydroxymethyl)oxolane-3,4-diol Chemical compound COC1=CC(OC)=CC(C(CNC=2C=3N=CN(C=3N=CN=2)[C@H]2[C@@H]([C@H](O)[C@@H](CO)O2)O)C=2C(=CC=CC=2)C)=C1 BUHVIAUBTBOHAG-FOYDDCNASA-N 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/12—Arrangements for remote connection or disconnection of substations or of equipment thereof
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0423—Input/output
- G05B19/0425—Safety, monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/47—Security arrangements using identity modules using near field communication [NFC] or radio frequency identification [RFID] modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25428—Field device
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31131—Field device with gateway functions for communication with pc and other field devices
Abstract
Angegeben ist sicheres Zugriffsverfahren auf ein Feldgerät der Prozessautomatisierungstechnik, wobei das Feldgerät mit dem Firmennetzwerk verbunden ist, wobei das Firmennetzwerk eine übergeordnete Einheit ÜE und ein Eingabegerät EG umfasst, das in einem zugangsgesicherten Bereich ZB angeordnet ist, wobei der zugangsgesicherte Bereich ZB örtlich isoliert ist und nur von einem Personenkreis mit einer Berechtigung der Berechtigungslevel 1 betreten werden kann.Specified is a secure access method to a field device of process automation technology, wherein the field device is connected to the company network, the company network comprising a higher-level unit ÜE and an input device EG, which is arranged in an access-secured area ZB, the access-secured area ZB being locally isolated and can only be accessed by a group of people with authorization level 1.
Description
Die Erfindung betrifft ein Zugriffsverfahren auf ein Feldgerät der Prozessautomatisierungstechnik.The invention relates to an access method to a field device in process automation technology.
Aus der
Aus der
Aus der
Dieses Verfahren ermöglicht eine Übertragung von Verifizierungscodes zwischen einer Verwaltungseinheit und einem mobilen Bediengerät, um den Zugang auf Feldgeräte zu ermöglichen. Nachteilig an diesem Verfahren ist, dass die Verwaltungseinheit nicht vorsieht den werksseitig vergebenen Code in den Feldgeräten zu ändern.This method enables verification codes to be transmitted between an administrative unit and a mobile operating device in order to enable access to field devices. The disadvantage of this method is that the management unit does not plan to change the factory-assigned code in the field devices.
Aus der
Durch dieses Verfahren wird die Übertragung von Parametrier- oder Anlageninformationen erleichtert und es werden Fehler durch eine händische Eingabe weitestgehend vermieden. Es wird auch sichergestellt, dass der Bediener das richtige Gerät bedient und keine Verwechslung vorliegen kann.This procedure makes the transfer of parameterization or system information easier and errors caused by manual input are largely avoided. It also ensures that the operator is using the correct device and there can be no mix-up.
Nachteilig an diesem Zugriffsverfahren ist, dass keinerlei Vorkehrungen zur Authentifizierung des Bedieners getroffen werden. Somit kann ein unbefugter Zugriff auf Daten des Feldgeräts nicht verhindert werden.The disadvantage of this access method is that no precautions are taken to authenticate the operator. This means that unauthorized access to data on the field device cannot be prevented.
Aufgabe der Erfindung ist es ein Sicheres Zugriffsverfahren auf ein Feldgerät der Prozessautomatisierungstechnik anzugeben, welches die oben genannten Nachteile nicht aufweist, das praktikabel und einfach zu realisieren ist.The object of the invention is to provide a secure access method to a field device in process automation technology that does not have the above-mentioned disadvantages and is practical and easy to implement.
Gelöst wird diese Aufgabe durch das im Anspruch 1 angegebene Verfahren.This task is solved by the method specified in
Vorteilhafte Weiterentwicklungen der Erfindung sind in den Unteransprüchen angegeben.Advantageous further developments of the invention are specified in the subclaims.
Die wesentliche Idee der Erfindung besteht darin, dass sich der Benutzer bei der Anforderung des Berechtigungsschlüssels von der übergeordneten Einheit in einem zugangsgesicherten Bereich befinden muss. Erst danach wird der Berechtigungsschlüssel in der übergeordneten Einheit generiert und an ein Ausgabegerät, das ebenfalls im zugangsgesicherten Bereich angeordnet ist, übertragen.The essential idea of the invention is that the user must be in an access-secured area when requesting the authorization key from the higher-level unit. Only then is the authorization key generated in the higher-level unit and transmitted to an output device, which is also located in the access-secured area.
Da sich der Benutzer im zugangsgesicherten Bereich befindet, erhält er einen ersten Berechtigungslevel, der jedem, der Zutritt zum zugangsgesicherten Bereich hat, zusteht. Der auf dem Display des Ausgabegeräts AG als optisches Muster (QR-Code) dargestellte Berechtigungsschlüssel wird z. B. mit einem Smartphone erfasst und in diesem gespeichert. Daraufhin kann sich der Benutzer im Prozessumgebungs-Bereich, d. h. dem Bereich in dem das zu bedienende Feldgerät befindet, durch Übertragung des Berechtigungsschlüssels von seinem Smartphone an eine Netzwerkeinheit, die sich ebenfalls in dem Prozessumgebungsbereich befindet, authentifizieren. Bei erfolgreicher Authentifizierung des Benutzers erfolgt die Freigabe der Zugriffe auf das Feldgerät entsprechend des dem Berechtigungsschlüssel zugeordneten Berechtigungslevels.Since the user is in the access-secured area, he receives a first authorization level that is available to anyone who has access to the access-controlled area. The authorization key shown on the display of the output device AG as an optical pattern (QR code) is z. B. recorded with a smartphone and stored in it. The user can then log into the process environment area, i.e. H. the area in which the field device to be operated is located by transmitting the authorization key from his smartphone to a network unit that is also located in the process environment area. If the user is successfully authenticated, access to the field device is released in accordance with the authorization level assigned to the authorization key.
Nachfolgend ist die Erfindung anhand eines in der Zeichnung dargestellten Ausführungsbeispiels näher erläutert.The invention is explained in more detail below using an exemplary embodiment shown in the drawing.
Es zeigen:
-
1 Firmennetzwerk mit zwei separaten Bereichen Prozessumgebung/Zugangsgesicherter Bereich -
2 Mesh-Netzwerk -
3 klassische Automatisierungspyramide Cyber-physikalisches-Automatisierungs-System -
4 Mesh-Netzwerk der Automatisierungstechnik
-
1 Company network with two separate areas: process environment/access-secured area -
2 Mesh network -
3 classic automation pyramid cyber-physical automation system -
4 Mesh network of automation technology
Die Netzwerkeinheiten in der Prozessumgebung PU sind eine Netzwerkkomponente NK z. B. ein Gateway und mehrere Feldgeräte FG1, FG2, die an das Gateway angeschlossen sind. angeschlossen sind.The network units in the process environment PU are a network component NK z. B. a gateway and several field devices FG1, FG2, which are connected the gateway are connected. are connected.
Die Einheiten im zugangsgesicherten Bereich ZG sind ein Eingabegerät EG an dem sich der Benutzer B anmelden kann und ein Ausgabegerät AG an dem ein Display D vorgesehen ist.The units in the access-secured area ZG are an input device EG on which the user B can log in and an output device AG on which a display D is provided.
Der Benutzer B kann auf bestimmten Einheiten in der Prozessumgebung PU drahtlos zugreifen.User B can wirelessly access certain units in the process environment PU.
Nachfolgend ist das erfindungsgemäße Verfahren näher erläutert.The method according to the invention is explained in more detail below.
Der Benutzer befindet sich auf dem Firmengelände oder einem bestimmten Firmenbereich, der zugangsgesichert ist. Allein schon durch, dass der Benutzer diesen Bereich betreten kann, besitzt er schon gewisse Berechtigung einzelne Einheiten in der Prozessumgebung zu bedienen.The user is on the company premises or in a specific area of the company that has secured access. Simply because the user can enter this area, he already has a certain authorization to operate individual units in the process environment.
In einem ersten Verfahrensschritt meldet sich der Benutzer an dem Eingabegerät an und fordert einen Berechtigungsschlüssel für den Zugriff z. B. auf das Feldgerät FG1 an.In a first procedural step, the user logs on to the input device and requests an authorization key for access, for example. B. on the field device FG1.
Hierbei ist es nicht zwingend erforderlich, dass sich der Benutzer an dem Eingabegerät EG authentifiziert. Das Auslesen eines Messwertes von dem Feldgerät FG ist sicher für eine größere Gruppe von Benutzern möglich. Sollen mit dem Berechtigungsschlüssel Änderungen an dem Feldgerät im Hinblick auf die Konfiguration oder Parametrierung möglich sein, ist eine persönliche Identifizierung des Benutzers an der Eingabeeinheit EG erforderlich (Key Card/Firmenausweis etc.)It is not absolutely necessary that the user authenticates himself on the input device EG. Reading out a measured value from the field device FG is certainly possible for a larger group of users. If changes to the field device in terms of configuration or parameterization are to be possible with the authorization key, personal identification of the user on the input unit EG is required (key card/company ID, etc.)
In der übergeordneten Einheit sind die verschiedenen Berechtigungsschlüssel mit den zugeordneten verschiedenen Benutzern bzw. Benutzergruppen gespeichert.The different authorization keys with the assigned different users or user groups are stored in the higher-level unit.
Im nächsten Verfahrensschritt wird der Berechtigungsschlüssel, der dem Benutzer zugeordnet ist, in der übergeordneten Einheit ÜE generiert und anschließend an das Ausgabegerät AG, das in dem zugangsgesicherten Bereich angeordnet ist, übertragen.In the next method step, the authorization key that is assigned to the user is generated in the higher-level unit ÜE and then transmitted to the output device AG, which is arranged in the access-secured area.
Je nach dem Berechtigungslevel des Benutzers kann der Berechtigungsschlüssel unterschiedlich sein. Da der Benutzer aber den zugangsgesicherten Bereich betreten konnte, hat er mindestens das Berechtigungslevel 1.Depending on the user's authorization level, the authorization key can be different. However, since the user was able to enter the access-secured area, he has at least
Am Ausgabegerät wird der gesendete Berechtigungsschlüssel optisch als Muster z. B. als QR-Code dargestellt.The sent authorization key is displayed optically as a sample on the output device, e.g. B. shown as a QR code.
Der Benutzer nimmt das Muster, d. h. denn optisch dargestellten Berechtigungsschlüssel key1 mit seinem Bediengerät auf. Im Bediengerät wird der Berechtigungsschlüssel key1 abgespeichert.The user takes the pattern, i.e. H. because the optically displayed authorization key key1 with his operating device. The authorization key key1 is saved in the operating device.
Anschließend begibt sich der Benutzer in die Prozessumgebung, wo er je nach Berechtigungslevel nur Sensordaten lesen oder Parameterwerte ändern möchte.The user then goes to the process environment, where, depending on the authorization level, he only wants to read sensor data or change parameter values.
Im nächsten Verfahrensschritt muss sich der Benutzer im Netzwerk anmelden und als Berechtigter authentifizieren. Hierzu überträgt er den Berechtigungsschlüssel an eine der Netzwerkkomponenten entweder das Gateway GW oder an eines der Feldgeräte FG1, FG2.In the next procedural step, the user must log in to the network and authenticate as an authorized user. To do this, it transmits the authorization key to one of the network components, either the gateway GW or to one of the field devices FG1, FG2.
Stimmt der an die Netzwerkkomponente vom Benutzer übertragene Netzwerkschlüssel mit dem im Firmennetzwerk direkt an einer Netzwerkkomponente zur Verfügung stehende Berechtigungsschlüssel oder über das Firmennetzwerk abfragbare Berechtigungsschlüssel key1 überein, werden die Zugriffe auf das Feldgerät entsprechend dem Berechtigungslevel freigegeben.If the network key transmitted by the user to the network component matches the authorization key available directly on a network component in the company network or the authorization key key1 that can be queried via the company network, access to the field device is released according to the authorization level.
Nachfolgend sind verschiedene Anwendungsbeispiele in einer etwas detaillierteren Form näher beschrieben.Various application examples are described in more detail below.
Anwendungsbeispiel 1:
- 1. Der Benutzer (Leseberechtigter Werker) erhält mit seiner Key-Card (Firmenausweis) Zutritt in einen zugangsgesicherten Raum.
- 2. Er authentifiziert sich mit seiner Key-Card an dem RFID Eingabegerät
- 3. Die übergeordnete Einheit prüft die Berechtigung des Werkers und generiert davon abhängig ein Berechtigungsschlüssel (hier Leseberechtigung) key1.
- 4. Die übergeordnete Einheit überträgt den neu generierten Berechtigungsschlüssel an das Ausgabegerät (IO-Link Display), sowie über die Basisstation an alle betroffenen Mesh-Adapter
- 5. Der Werker scannt mit seinem Mobiltelefon den QR-Code mit dem Berechtigungsschlüssel auf dem Display ab.
- 6. Der Werker kann nun mit seinem Mobiltelefon über Bluetooth eine Verbindung zu den Mesh Adaptern aufbauen. Die App authentifiziert sich mit dem erhaltenen Schlüssel auf dem jeweiligen Mesh Adapter.
- 7. Der Werker erhält nun Zugriff auf die Parameter/Daten des Adapters und kann diese auslesen, jedoch nicht verändern
- 1. The user (read-authorized worker) gains access to a secure room with his key card (company ID).
- 2. He authenticates himself with his key card on the RFID input device
- 3. The higher-level unit checks the worker's authorization and, depending on this, generates an authorization key (here read authorization) key1.
- 4. The higher-level unit transmits the newly generated authorization key to the output device (IO-Link display) and via the base station to all affected mesh adapters
- 5. The worker scans the QR code with the authorization key on the display using his mobile phone.
- 6. The worker can now establish a connection to the mesh adapters with his mobile phone via Bluetooth. The app authenticates itself with the received key on the respective mesh adapter.
- 7. The worker now has access to the adapter's parameters/data and can read them, but cannot change them
Anwendungsbeispiel 2:
- 1. Leseberechtigter Benutzer (Werker) bekommt mit seiner Key-Card Zutritt in einen abgeschlossenen Raum.
- 2. Der Werker authentifiziert sich mit seiner Key-Card an dem RFID Eingabegerät
- 3. Die übergeordnete Steuerung prüft die Berechtigung des Werkers und generiert davon abhängig ein Zugriffsschlüssel (hier im Beispiel Leseberechtigung)
- 4. Die übergeordnete Steuerung überträgt den neu generierten Zugriffsschlüssel an das Ausgabegerät (IO-Link Display) und speichert diesen lokal ab. Es werden keine Zugriffsschlüssel an die Adapter übertragen.
- 5. Der Werker scannt mit seinem Mobiltelefon den QR-Code mit dem Berechtigungsschlüssel auf dem Display ab.
- 6. Der Werker kann nun mit seinem Mobiltelefon über Bluetooth eine Verbindung zu den Mesh Adaptern aufbauen.
- 7. Die App authentifiziert sich mit dem erhaltenen Schlüssel auf dem jeweiligen Mesh Adapter. Der Mesh Adapter sendet die erhaltenen Authentifizierungsdaten über das Mesh Netzwerk zu der übergeordneten Steuereinheit. Diese prüft die Authentifizierungsdaten und sendet eine Antwort mit den Berechtigungen zurück an den Adapter
- 8. Der Werker erhält nun Zugriff auf die Parameter/Daten des Adapters und kann diese auslesen, jedoch nicht verändern
- 1. Read-authorized user (worker) gains access to a locked room with his key card.
- 2. The worker authenticates himself with his key card on the RFID input device
- 3. The higher-level control checks the worker's authorization and, depending on this, generates an access key (here in the example read authorization)
- 4. The higher-level controller transfers the newly generated access key to the output device (IO-Link display) and saves it locally. No access keys are transmitted to the adapters.
- 5. The worker scans the QR code with the authorization key on the display using his mobile phone.
- 6. The worker can now establish a connection to the mesh adapters with his mobile phone via Bluetooth.
- 7. The app authenticates itself with the received key on the respective mesh adapter. The Mesh Adapter sends the received authentication data over the Mesh network to the higher-level control unit. This checks the authentication data and sends a response with the permissions back to the adapter
- 8. The worker now has access to the parameters/data of the adapter and can read them, but cannot change them
Anwendungsbeispiel 3:
- 1. Schreibberechtigter Benutzer (Techniker) bekommt mit seiner Key-Card Zutritt in einen abgeschlossenen Raum.
- 2. Der Techniker authentifiziert sich mit seiner Key-Card an dem RFID Eingabegerät
- 3. Die übergeordnete Steuerung prüft die Berechtigung des Werkers und generiert davon abhängig 2 Zugriffsschlüssel mit vollwertiger Schreibberechtigung. Einen für die Mesh Basisstation und einen für alle Mesh Adapter.
- 4. Die übergeordnete Steuerung überträgt die neu generierten Zugriffsschlüssel an das Ausgabegerät (IO-Link Display) und speichert diese lokal ab (die Zugriffsschlüssel könnten auch direkt an die Geräte übertragen werden, wie in
Anwendungsbeispiel 1 beschrieben). - 5. Der Techniker scannt mit seinem Mobiltelefon den QR-Code mit den Berechtigungsschlüsseln auf dem Display ab.
- 6. Der Werker kann nun mit seinem Mobiltelefon über Bluetooth eine Verbindung zu den Mesh Adaptern oder der Basisstation aufbauen.
- 7. Die App authentifiziert sich mit dem erhaltenen Schlüssel auf dem jeweiligen Gerät. Der Mesh Adapter/Basisstaion sendet die erhaltenen Authentifizierungsdaten über das Mesh Netzwerk zu der übergeordneten Steuereinheit. Diese prüft die Authentifizierungsdaten und sendet eine Antwort mit den Berechtigungen zurück an das Gerät.
- 8. Der Techniker erhält nun vollwertigen Schreib- und Lesezugriff auf die Mesh Adapter oder die Basisstation und kann Änderungen vornehmen.
- 1. Write-authorized user (technician) gains access to a locked room with his key card.
- 2. The technician authenticates himself with his key card on the RFID input device
- 3. The higher-level control checks the worker's authorization and, depending on this, generates 2 access keys with full write authorization. One for the mesh base station and one for all mesh adapters.
- 4. The higher-level controller transfers the newly generated access keys to the output device (IO-Link display) and saves them locally (the access keys could also be transferred directly to the devices, as described in application example 1).
- 5. The technician uses his mobile phone to scan the QR code with the authorization keys on the display.
- 6. The worker can now use his mobile phone to establish a connection to the mesh adapters or the base station via Bluetooth.
- 7. The app authenticates itself with the received key on the respective device. The mesh adapter/base station sends the received authentication data via the mesh network to the higher-level control unit. This checks the authentication data and sends a response with the authorizations back to the device.
- 8. The technician now has full read and write access to the mesh adapter or base station and can make changes.
Nachfolgend sind die Verfahrensschritte des erfindungsgemäßen sicheren Zugriffsverfahren auf ein Feldgerät der Prozessautomatisierungstechnik angegeben, wobei das Feldgerät mit dem Firmennetzwerk verbunden ist, wobei das Firmennetzwerk eine übergeordnete Einheit ÜE und ein Eingabegerät EG umfasst, das in einem zugangsgesicherten Bereich ZB angeordnet ist, wobei der zugangsgesicherte Bereich ZB örtlich isoliert ist und nur von einem Personenkreis mit einer Berechtigung der Berechtigungslevel 1 betreten werden kann:
- i. Anforderung eines Berechtigungsschlüssels key von der übergeordneten Einheit ÜE durch einen Benutzer an dem Eingabegerät EG in dem zugangsgesicherten Bereich ZB
- ii. Generierung eines Berechtigungsschlüssel key in der übergeordneten Einheit
- iii. Übertragen des generierten Berechtigungsschlüssels key von der übergeordneten Einheit ÜE an ein Ausgabegerät AG das im zugangsgesicherten Bereich angeordnet ist, wobei der Berechtigungsschlüssel key
mindestens einem Berechtigungslevel 1 entspricht - iv. Darstellung des Berechtigungsschlüssels key auf einem Display des Ausgabegeräts AG als optisches Muster (QR-Code)
- v. Erfassen des optischen Musters mit einem Handbediengerät HG (Smartphone/Tablet/ handheld device)
- vi. Speichern des Berechtigungsschlüssels key, der dem optischen Muster zugeordneten ist, im Handbediengerät HG
- vii. Authentifizierung des Benutzers im Prozessumgebungs-Bereich durch Übertragung des Berechtigungsschlüssels key von seinem Handbediengerät HG an eine Netzwerkeinheit
- viii. Bei erfolgreicher Authentifizierung des Benutzers B Freigabe der Zugriffe auf das Feldgerät FG der Automatisierungstechnik entsprechend der dem Berechtigungsschlüssel key zugeordnete Berechtigungslevels
- i. Request an authorization key from the higher-level unit ÜE a user on the input device EG in the access-secured area ZB
- ii. Generation of an authorization key key in the parent unit
- iii. Transmitting the generated authorization key key from the higher-level unit ÜE to an output device AG which is arranged in the access-secured area, the authorization key key corresponding to at least one
authorization level 1 - iv. Representation of the authorization key on a display of the output device AG as an optical pattern (QR code)
- v. Capturing the optical pattern with a handheld device HG (smartphone/tablet/handheld device)
- vi. Saving the authorization key, which is assigned to the optical pattern, in the hand-held control device HG
- vii. Authentication of the user in the process environment area by transmitting the authorization key key from his handheld control device HG to a network unit
- viii. If user B is successfully authenticated, access to the field device FG of the automation technology is released in accordance with the authorization level assigned to the authorization key key
Mit dem erfindungsgemäßen Verfahren sind folgende Vorteile erzielbar:
- Die zur Authentifizierung des Benutzers erforderlichen Informationen (Identifikationen) werden von der übergeordneten Einheit ÜE automatisch wieder in das Gateway oder das Feldgerät übertragen. Ein Gerätewechsel ist deshalb unproblematisch.
- The information (identifications) required to authenticate the user are automatically transferred back to the gateway or the field device by the higher-level unit ÜE. Changing the device is therefore unproblematic.
Gemäß der vorliegenden Erfindung sieht das Verfahren vor, den Verifizierungscode sowohl im mobilen Bediengerät als auch im Feldgerät FG bzw. im Gateway zu ändern. Dies erhöht sowohl die Flexibilität wie auch die Sicherheit.According to the present invention, the method provides for changing the verification code both in the mobile operating device and in the field device FG or in the gateway. This increases both flexibility and security.
Als übergeordnete Einheit ÜE dient eine Steuerung bzw. ein PC, welche eine Verwaltungseinrichtung darstellen und als Server ausgebildet sind.A controller or a PC serves as the higher-level unit ÜE, which represents an administrative device and is designed as a server.
Es ist möglich unterschiedliche Berechtigungsschlüssel (je nach Qualifikation des User) in das mobile Handbediengerät HG zu übertragen, um im Feldgerät FG (Endgerät) unterschiedliche Zugriffsebenen (Berechtigungslevel) freizuschaltenIt is possible to transfer different authorization keys (depending on the user's qualifications) to the mobile handheld control device HG in order to activate different access levels (authorization levels) in the field device FG (terminal device).
Der Berechtigungsschlüssel (Zugriffscode) wird automatisch über die übergeordnete Einheit (Server) sowohl an das Feldgerät FG, als auch an das Handbediengerät HG übertragen.The authorization key (access code) is automatically transmitted via the higher-level unit (server) to both the field device FG and the hand-held control device HG.
Für die Zugangsberechtigung auf die Feldgeräte FG kann das erfindungsgemäße Verfahren in unterschiedlichen Ausprägungen eingesetzt werden. Es ist dadurch sehr flexibel. Es setzt jedoch immer eine gewisse Art der Authentifizierung voraus. Einen unbefugten Zugriff wird dadurch stark erschwert.The method according to the invention can be used in different forms for access authorization to the field devices FG. This makes it very flexible. However, it always requires some form of authentication. This makes unauthorized access much more difficult.
ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents listed by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- WO 2007025879 [0002]WO 2007025879 [0002]
- DE 102011083984 A1 [0003]DE 102011083984 A1 [0003]
- DE 102014105076 A1 [0004]DE 102014105076 A1 [0004]
- DE 102013202564 A1 [0006]DE 102013202564 A1 [0006]
Claims (1)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102022109134.1A DE102022109134A1 (en) | 2022-04-13 | 2022-04-13 | Access method to a field device in process automation technology |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102022109134.1A DE102022109134A1 (en) | 2022-04-13 | 2022-04-13 | Access method to a field device in process automation technology |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102022109134A1 true DE102022109134A1 (en) | 2023-10-19 |
Family
ID=88191708
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102022109134.1A Pending DE102022109134A1 (en) | 2022-04-13 | 2022-04-13 | Access method to a field device in process automation technology |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102022109134A1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007025879A1 (en) | 2005-09-02 | 2007-03-08 | Siemens Aktiengesellschaft | Arrangement for operating a field device |
DE102011083984A1 (en) | 2011-10-04 | 2013-04-04 | Endress + Hauser Process Solutions Ag | Method for ensuring authorized access to a field device of automation technology |
DE102013202564A1 (en) | 2013-02-18 | 2014-08-21 | Ifm Electronic Gmbh | Method for parameterizing slave-bus station, involves detecting optical code on slave-bus station with optical code reader of service unit, where identification of master-bus station is determined with help of code |
DE102014105076A1 (en) | 2014-04-09 | 2015-10-15 | Krohne Messtechnik Gmbh | Method for secure access to a field device |
-
2022
- 2022-04-13 DE DE102022109134.1A patent/DE102022109134A1/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007025879A1 (en) | 2005-09-02 | 2007-03-08 | Siemens Aktiengesellschaft | Arrangement for operating a field device |
DE102011083984A1 (en) | 2011-10-04 | 2013-04-04 | Endress + Hauser Process Solutions Ag | Method for ensuring authorized access to a field device of automation technology |
DE102013202564A1 (en) | 2013-02-18 | 2014-08-21 | Ifm Electronic Gmbh | Method for parameterizing slave-bus station, involves detecting optical code on slave-bus station with optical code reader of service unit, where identification of master-bus station is determined with help of code |
DE102014105076A1 (en) | 2014-04-09 | 2015-10-15 | Krohne Messtechnik Gmbh | Method for secure access to a field device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2859705B1 (en) | Authorising a user by means of a portable communications terminal | |
EP2898483B1 (en) | Method and system for the configuration of small locking systems | |
DE102014111046A1 (en) | Method for operating a field device | |
EP3130167B1 (en) | Method for the secure access to a field device | |
DE102006042358A1 (en) | Method and service center for updating authorization data in an access arrangement | |
EP2781058A1 (en) | Smart home appliance, smart home control unit, smart home system and method for incorporating a smart home appliance into a smart home system | |
EP3582033B1 (en) | Method for securely operating a field device | |
DE102009038035A1 (en) | Method for configuring infotainment applications in a motor vehicle | |
DE102017106777A1 (en) | Method for operating a field device of automation technology and an operating unit for performing the method | |
DE102014101495A1 (en) | Method of access to a physically secure rack and computer network infrastructure | |
EP2548358B1 (en) | Method for dynamically authorizing a mobile communication device | |
DE102010021257A1 (en) | Plug-in system for the protected construction of a network connection | |
EP3647887A1 (en) | Method and apparatus for the transmission of an access token for access to a field device used in the processing industry | |
DE102014108162A1 (en) | Method for operating a field device by means of an operating device | |
DE102022109134A1 (en) | Access method to a field device in process automation technology | |
EP3135546A1 (en) | Car key, communication system and method for same | |
DE102006006804B4 (en) | Authorization of a user for an automation device | |
EP3657750B1 (en) | Method for the authentication of a pair of data glasses in a data network | |
DE102018202173A1 (en) | Method and device for authenticating a user of a vehicle | |
EP3407309B1 (en) | Access control device for controlling access to an access area | |
DE102010018021A1 (en) | Method for configuring an application for a terminal | |
DE102013010171A1 (en) | Computer network, network nodes and method for providing certification information | |
BE1030391B1 (en) | Service provider-customer communication system with central data storage and management, integrated synchronized time recording system and local terminals | |
EP4138435A1 (en) | Method for granting access to a control unit in a building control system | |
DE102016117482A1 (en) | SAFE AND SAFE SAFETY SYSTEM |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R163 | Identified publications notified |