Beschreibung description
Sichere Übermittlung von Daten an ein FeldgeratSecure transmission of data to a field device
Die Erfindung betrifft ein Verfahren zum Übermitteln von Daten von einer externen Datenverarbeitungseinrichtung an ein elektrisches Feldgerat eines Automatisierungssystems sowie ein elektrisches Feldgerat mit einer hierfür eingerichteten Steuereinrichtung .The invention relates to a method for transmitting data from an external data processing device to an electric field device of an automation system and an electric field device with a control device configured for this purpose.
Elektrische Feldgerate (häufig auch als „Intelligent Electronic Devices" = IEDs bezeichnet) werden heutzutage in vielen Bereichen der Automatisierungstechnik eingesetzt. So können elektrische Feldgerate beispielsweise zur Überwachung und Steuerung von Prozessen zur Übertragung und/oder Verteilung elektrischer Energie in elektrischen Energieversorgungsnetzen oder zur Überwachung und Steuerung von chemischen und verfahrenstechnischen Prozessen bzw. industriellen Fertigungsprozessen verwendet werden. Normalerweise befinden sich die elektrischen Feldgerate hierbei in der Nahe des zu automatisierenden Prozesses und nehmen dort den Prozess beschreibende Messwerte auf bzw. geben Befehle zur Steuerung von Prozesskomponenten ab.Electric field devices (often referred to as "Intelligent Electronic Devices" = IEDs) are used today in many areas of automation technology, such as electric field devices, for example, to monitor and control processes for transmission and / or distribution of electrical energy in electrical energy supply networks or for monitoring and Normally, the electric field devices are located close to the process to be automated where they record the process-describing measured values or issue commands for the control of process components.
Beispielsweise kann ein Feldgerat in einem elektrischen Energieversorgungsnetz zum Überwachen und/oder Steuern von Pri- markomponenten des Energieversorgungsnetzes zum Einsatz kommen. Solche Primarkomponenten sind beispielsweise Generatoren, Umrichter, Transformatoren, Motoren und elektrische Energieubertragungsleitungen des Energieversorgungsnetzes.For example, a field device can be used in an electrical energy supply network for monitoring and / or controlling primary components of the energy supply network. Such primary components are, for example, generators, converters, transformers, motors and electrical energy transmission lines of the power supply network.
Das Feldgerat kann z.B. Strom- und Spannungsmesswerte aufnehmen, die den momentanen Zustand des elektrischen Energieversorgungsnetzes angeben. Alternativ oder zusatzlich kann das elektrische Feldgerat Steuerbefehle, wie beispielsweise einen
Befehl zum Offnen oder Schließen eines in dem elektrischen Energieversorgungsnetz abgeordneten Leistungsschalters, abgeben.The field device can, for example, record current and voltage measured values which indicate the current state of the electrical energy supply network. Alternatively or additionally, the electric field device control commands, such as a Command for opening or closing a second power switch in the electrical power supply network, deliver.
Da die beschriebenen Feldgerate zur Überwachung und/oderSince the field devices described for monitoring and / or
Steuerung sensibler Einrichtungen bis hin zur Energieversorgung ganzer Städte oder Regionen eingesetzt werden, sind sie vor unbefugtem Zugriff zu schützen. Dazu sind sie üblicherweise in entsprechend gesicherten Bereichen angeordnet, zu denen nur entsprechend befugtes Personal Zugang hat. Solche gesicherten Bereiche können beispielsweise durch Türen oder Absperrungen geschützt sein; häufig findet auch eine Kamera- uberwachung statt, um unerlaubten Fremdzugriff auf die Feldgerate möglichst schnell erkennen bzw. völlig verhindern zu können.Control of sensitive equipment to the energy supply of entire cities or regions are used, they are to protect against unauthorized access. For this purpose, they are usually arranged in correspondingly secured areas to which only appropriately authorized personnel have access. Such secured areas can be protected, for example, by doors or barriers; Often, a camera monitoring takes place in order to recognize unauthorized third party access to the field devices as quickly as possible or to be able to completely prevent them.
Zur lokalen Bedienung weisen elektrische Feldgerate üblicherweise eine Eingabevorrichtung, wie beispielsweise ein Tastenfeld, und eine Anzeigevorrichtung, wie z. B. ein Display, auf. Über die Eingabevorrichtung können einige oder alleFor local operation, electric field devices usually have an input device, such as a keypad, and a display device, such as a keyboard. As a display, on. About the input device can be some or all
Funktionen direkt am elektrischen Feldgerat aufgerufen werden. Für die Sicherheit des automatisierten Prozesses relevante Funktionen, wie z.B. das Einspielen sensibler Daten (z.B. Konfigurationsdaten), können hierbei üblicherweise nur nach Eingabe eines entsprechenden Passwortes ausgeführt werden.Functions can be called directly on the electric field device. Functions relevant to the safety of the automated process, e.g. the installation of sensitive data (for example configuration data) can usually only be carried out after entering a corresponding password.
Wahrend der letzten Jahre wurden zur Vereinfachung der Bedie¬ nung von Feldgeraten Datenschnittstellen an diesen vorgese- hen, mit denen eine Bedienung und/oder Beobachtung der Feldgerate lokal oder aus der Ferne möglich ist. Üblich ist hier¬ bei z. B. das Vorsehen einer seriellen Schnittstelle als Datenschnittstelle am elektrischen Feldgerat, über die beispielsweise eine externe Datenverarbeitungseinrichtung, wie
z.B. ein Laptop oder ein Computer einer Leitstelle mit einer Bediensoftware, angeschlossen werden kann, um Konfigurations- Einstellungen für das elektrische Feldgerat vorzunehmen.During the last years were hen data interfaces to those provided for by which an operator and / or monitoring of field devices is possible locally or remotely to simplify Bedie ¬ planning of field Advised. Usual is ¬ here at z. B. the provision of a serial interface as a data interface on the electric Feldgerat, on the example, an external data processing device, such as For example, a laptop or a computer of a control center with an operating software, can be connected to make configuration settings for the electric Feldgerat.
Aufgrund dieser erweiterten Möglichkeit zur Bedienung von elektrischen Feldgeraten aus der Ferne ergeben sich jedoch stark veränderte Sicherheitsbedingungen. Wahrend es bei alteren elektrischen Feldgeraten ohne die Möglichkeit einer Fern¬ bedienung nämlich relativ einfach ist, einen unbefugten Zugriff auf das Feldgerat zu verhindern (beispielsweise durch bauliche Maßnahmen und/oder entsprechende Überwachungen) , ist bei der Bedienung eines mit einer entsprechenden Datenschnittstelle versehenen Feldgerates aus der Ferne die Gefahr eines unerlaubten Fremdzugriffs deutlich erhöht. Diese Gefahr steigt durch die Einfuhrung von netzwerkfahigen Ethernet- Schnittstellen als Datenschnittstellen an den Feldgeraten nochmals deutlich an, da die Feldgerate nunmehr über große, häufig nicht vollkommen absicherbare Netzwerke miteinander verbunden sein können.Due to this extended possibility to operate electric field devices from a distance, however, greatly changed safety conditions result. While it is relatively easy to prevent unauthorized access to the Feldgerat (for example, by structural measures and / or appropriate monitoring) in older electric field devices without the possibility of remote ¬ operation namely, is in the operation of a provided with a corresponding data interface field device off remotely significantly increases the risk of unauthorized third-party access. This danger increases again significantly by the introduction of network-capable Ethernet interfaces as data interfaces on the field devices, since the field devices can now be interconnected via large, often not completely secure networks.
Feldgerate werden von der Anmelderin beispielsweise in Form elektrischer Schutzgerate unter der Geratereihe „SIPROTEC" angeboten. Aus der Systembeschreibung von SIPROTEC 4 -Feldgeraten der Siemens AG, Ausgabe: 21.06.04, Bestellnr. E50417- H1100-C151-A6, gehen elektrische Feldgerate hervor, die eine Eingabevorrichtung in Form eines Tastenfeldes und eine Anzeigevorrichtung in Form eines Diplays aufweisen. Über das Tastenfeld können samtliche Funktionen des elektrischen Feldgerates aufgerufen werden. Zum Durchfuhren sensibler Funktionen muss über das Eingabefeld ein entsprechendes Passwort eingegeben werden. Die Feldgerate weisen ferner an ihrer Frontseite als Datenschnittstelle eine so genannte Bedienschnittstelle in Form einer seriellen Steckverbindung auf. An diese Bedienschnittstelle kann über ein serielles Datenubertra-
gungskabel ein externer Computer angeschlossen werden, auf dem eine Bedien-/Beobachtungs- und/oder Parametriersoftware ablauft. Mit Hilfe dieser Software können Einstellungen in dem Gerat vorgenommen und geändert sowie die Bedienung und Beobachtung des Gerätes durchgeführt werden.Field devices are offered by the applicant, for example, in the form of electrical protection devices under the device series "SIPROTEC." The system description of SIPROTEC 4 field devices from Siemens AG, issue: 21.06.04, order No. E50417-H1100-C151-A6, shows electrical field devices The keypad can be used to call up all the functions of the electric field device.To carry out sensitive functions, a corresponding password must be entered in the input field.The field devices also have their front panel As a data interface, a so-called user interface in the form of a serial plug-in connection can be connected to this user interface via a serial data transmission interface. An external computer, on which an operating / monitoring and / or parameterization software runs, must be connected. With the help of this software, settings in the device can be made and changed and the operation and observation of the device can be performed.
Wie außerdem aus der erwähnten Systembeschreibung hervorgeht, können die Gerate auch mit einer Datenschnittstelle in Form einer Ethernet-Schnittstelle ausgestattet sein, die eine Netzwerkanbindung des Gerätes ermöglicht. Die Ansteuerung von sensiblen Funktionen des elektrischen Feldgerates über die Ethernet-Schnittstelle ist aus Sicherheitsgründen standardmäßig gesperrt, kann aber über den Betreiber des Feldgerates durch entsprechende Einstellungen auch zugelassen werden.As can also be seen from the mentioned system description, the devices can also be equipped with a data interface in the form of an Ethernet interface, which enables a network connection of the device. The control of sensitive functions of the electric field device via the Ethernet interface is blocked by default for security reasons, but can also be approved by the operator of the field device by appropriate settings.
Bei der Verwendung von Passwortern als Schutz vor unerlaubtem Zugriff auf ein elektrisches Feldgerat besteht die Gefahr, dass das Passwort von Dritten - beispielsweise durch Anzapfen einer zum Übertragen des Passwortes verwendeten Datenverbin- düng - ausgespäht und danach zu unerlaubten Zwecken verwendet wird. Ferner birgt ein herkömmliches Passwort auch die Gefahr in sich, dass der Betreiber des Feldgerates ein üblicherweise vom Hersteller bei allen Feldgeraten gleich lautend eingestelltes Standardpasswort unverändert beibehalt. Ein solches Standardpasswort kann auch unbefugten Dritten bekannt sein und daher in einfacher Weise für unerlaubte Manipulation eingesetzt werden.When using passwords to protect against unauthorized access to an electric field device, there is a risk that the password may be spied on by third parties - for example by tapping a data connection used to transmit the password - and then used for unauthorized purposes. Furthermore, a conventional password also entails the risk that the operator of the field device maintains a standard password, which is usually set the same for all field devices by the manufacturer, unchanged. Such a standard password may also be known to unauthorized third parties and therefore be used in a simple manner for unauthorized manipulation.
Der Erfindung liegt die Aufgabe zugrunde, eine Übermittlung von Daten an ein elektrisches Feldgerat mit einfachen Mitteln noch sicherer auszugestalten.The invention has the object of providing a transfer of data to an electric Feldgerat with simple means even safer.
Die genannte Aufgabe wird durch ein Verfahren gelost, bei dem von dem Feldgerat eine elektronische Anfrage empfangen wird,
die eine Übermittlung der Daten an das elektrische Feldgerat ankündigt und als Reaktion auf die Anfrage in dem Feldgerat eine Zufallszeichenfolge erzeugt und von einer lokalen Ausgabevorrichtung des Feldgerates ausgegeben wird. Von der exter- nen Datenverarbeitungseinrichtung wird die Zufallszeichenfolge empfangen und die zu übermittelnden Daten werden in der externen Datenverarbeitungseinrichtung mit der Zufallszeichenfolge unter Erzeugen eines Datenpaketes verknüpft. Das Datenpaket wird an das Feldgerät übermittelt, das unter Ver- wendung der Zufallszeichenfolge eine Überprüfung des übermittelten Datenpaketes durchführt. Bei positivem Prufergebnis werden aus dem Datenpaket die Daten extrahiert und an eine Speichereinrichtung des Feldgerates übertragen.The stated object is achieved by a method in which an electronic request is received by the field device, which announces a transmission of the data to the electric field device and generates a random string in response to the request in the field device and is output from a local output device of the field device. The random data string is received by the external data processing device and the data to be transmitted are linked in the external data processing device to the random string while generating a data packet. The data packet is transmitted to the field device, which performs a check of the transmitted data packet using the random string. If the test result is positive, the data is extracted from the data packet and transmitted to a memory device of the field device.
Die Erfindung macht sich die bereits zuvor erwähnte Tatsache zunutze, dass elektrische Feldgerate, die zur Durchfuhrung sicherheitskritischer Aufgaben eingesetzt werden, üblicherweise in speziell geschützten Bereichen, wie beispielsweise abgeschlossenen und gegebenenfalls zusatzlich überwachten Be- reichen untergebracht sind. Zu solchen Bereichen hat üblicherweise nur befugtes Personal Zugang. Dadurch, dass von dem Feldgerat vor einer Datenübermittlung die bei der weiteren Datenübermittlung benotigte Zufallszeichenfolge ausschließlich mittels einer lokalen Ausgabevorrichtung, wie beispiels- weise einem Geratedisplay, ausgegeben wird, kann sichergestellt werden, dass ein Ausspähen der Zufallszeichenfolge durch Dritte, die keinen Zugang zu dem gesicherten Bereich haben, verhindert wird.The invention makes use of the fact already mentioned above that electric field devices which are used to carry out safety-critical tasks are usually accommodated in specially protected areas, such as, for example, closed areas and optionally additionally monitored areas. Usually only authorized personnel have access to such areas. By issuing the random character string required for the further data transmission from the field device before a data transmission exclusively by means of a local output device, such as a display, it can be ensured that a spying out of the random character sequence by third parties that do not have access to the secure Area is prevented.
Beispielsweise kann sich zum Ablesen der Zufallsuzeichenfolge ein Mitarbeiter des Betreibers des Automatisierungssystems direkt vor Ort aufhalten und die abgelesene Zufallszeichenfolge an einen weiteren Mitarbeiter, der die externe Datenverarbeitungseinrichtung bedient, übermittelt werden.
Alternativ kann ein Ablesen und Übermitteln der Zufallszeichenfolge auch beispielsweise über ein Kamerasystem erfolgen, das die aufgenommenen Daten an die externe Datenverarbeitung übermittelt.For example, an employee of the operator of the automation system can be present locally to read the random sequence of characters and the read random string can be transmitted to another employee who operates the external data processing device. Alternatively, a reading and transmission of the random string can also take place, for example, via a camera system which transmits the recorded data to the external data processing.
Dadurch, dass zum Erzeugen des die zu übermittelnden Daten enthaltenden Datenpaketes die Zufallszeichenfolge benotigt wird, erübrigt sich außerdem die Notwendigkeit einer Pass- wortabfrage. Da die Zufallszeichenfolge zudem direkt durch das Feldgerat erzeugt wird, besteht ferner auch keine Notwendigkeit eines herstellerseitig vergebenen Standardpasswortes mit dem damit verbundenen Risiko mehr.The fact that the random string is needed to generate the data packet containing the data to be transmitted, the need for a password query is also unnecessary. Furthermore, since the random string is generated directly by the field device, there is no longer any need for a standard password assigned by the manufacturer and the associated risk.
Eine vorteilhafte Ausfuhrungsform des erfindungsgemaßen Verfahrens sieht vor, dass die Übermittlung der Zufallszeichenfolge von dem Feldgerat an die externe Datenverarbeitungseinrichtung einerseits und die Übermittlung des Datenpakets von der externen Datenverarbeitungseinrichtung an das Feldgerat andererseits mit unterschiedlichen Kommunikationsmitteln durchgeführt wird.An advantageous embodiment of the method according to the invention provides that the transmission of the random string from the field device to the external data processing device on the one hand and the transmission of the data packet from the external data processing device to the field device on the other hand with different communication means.
Durch die Verwendung unterschiedlicher Kommunikationsmittel einerseits zum Übertragen der Zufallszeichenfolge und ande- rerseits zum Übertragen des Datenpakets wird unbefugten Dritten ein Zugriff auf das Feldgerat noch weiter erschwert, da zum Erhalten aller notwendigen Informationen bzw. zum Verandern der zu übertragenen Daten zwei unterschiedliche Kommunikationsverbindungen überwacht werden mussten.By using different means of communication on the one hand for transmitting the random string and on the other hand for transmitting the data packet, access to the field device is made even more difficult for unauthorized third parties because two different communication links had to be monitored to obtain all necessary information or to change the data to be transmitted ,
In diesem Zusammenhang wird es als vorteilhaft angesehen, wenn eines der Kommunikationsmittel eine Telekommunikationsverbindung zur Übermittlung von Sprachdaten ist. Telekommunikationsverbindungen sind weitgehend flachendeckend verfugbar
und stellen somit ein einfaches Mittel zum Übertragen der Zufallszeichenfolge oder des Datenpaketes dar. Ferner besteht die Möglichkeit verschlüsselter oder anderweitig gesicherter Telekommunikationsverbindungen, so dass ein Abhören erschwert werden kann.In this context, it is considered advantageous if one of the communication means is a telecommunication connection for the transmission of voice data. Telecommunications connections are largely flat available available and thus represent a simple means for transmitting the random string or the data packet. Furthermore, there is the possibility of encrypted or otherwise secured telecommunication connections, so that interception can be made more difficult.
Eine weitere vorteilhafte Ausfuhrungsform der Erfindung wird dadurch angegeben, dass das Datenpaket durch Verschlüsselung oder digitale Signatur der Daten unter Verwendung der Zu- fallszeichenfolge erzeugt wird. Hinreichend sichereA further advantageous embodiment of the invention is specified in that the data packet is generated by encryption or digital signature of the data using the random string. Sufficiently safe
Verschlusselungs- und Signaturverfahren, wie zum Beispiel ein PGP-Verschlusselungsverfahren, sind weit verbreitet und einfach verfugbar.Encryption and signature methods, such as a PGP encryption method, are widely used and readily available.
Eine weitere vorteilhafte Ausfuhrungsform des erfindungsgema- ßen Verfahrens sieht zudem vor, dass die Daten ein digitales Zertifikat und/oder Konfigurationsdaten zur Konfigurierung des Feldgerates umfassen.A further advantageous embodiment of the method according to the invention also provides for the data to comprise a digital certificate and / or configuration data for configuring the field device.
Bei den genannten Datenarten handelt es sich um besonders sensible Daten, da ein fremder Zugriff auf solche Daten sich auf das gesamte Automatisierungssystem auswirken wurde. Ein digitales Zertifikat wird zum Beispiel zur gesicherten Datenübertragung zwischen mehreren Geraten das Automatisierungs- System verwendet, wahrend Konfigurationsdaten die zum einwandfreien Betrieb des Feldgerates notwendigen Parameter und Einstellungen umfassen. Solche Einstellungen können beispielsweise Schwellenwerte zur Ausfuhrung von Schutzalgorith¬ men oder Rollen- und Rechteeinstellungen umfassen, die be- stimmten Nutzern Zugriff auf Geratefunktionen des elektrischen Feldgerates erlauben oder verbieten.The data types mentioned are particularly sensitive data, since a third party access to such data would affect the entire automation system. For example, a digital certificate uses the automation system for secure data transmission between several devices, while configuration data comprise the parameters and settings necessary for the proper operation of the field device. Such adjustments may include, for example, thresholds for the execution of Schutzalgorith ¬ men or roles and rights settings that allow users access to approved loading device functions of the electric field device or prohibited.
Außerdem kann gemäß einer weiteren vorteilhaften Ausfuhrungsform des erfindungsgemaßen Verfahrens vorgesehen sein, dass
die Daten einen Befehlsaufruf zur Ausführung einer Funktion des Feldgerates umfassen und das Feldgerat bei positivem Prufergebnis die entsprechende Funktion ausfuhrt.In addition, it can be provided according to a further advantageous embodiment of the inventive method that the data comprises a command call to execute a function of the field device and the field device carries out the corresponding function if the check result is positive.
Auf diese Weise können besonders sicherheitsrelevante Befehle, wie beispielsweise das Ein- und Ausschalten von Leistungsschaltern, auf sichere Weise durchgeführt werden.In this way, particularly safety-related commands, such as the switching on and off of circuit breakers can be performed in a secure manner.
Eine weitere vorteilhafte Ausfuhrungsform des erfindungsgema- ßen Verfahrens sieht zudem vor, dass nach dem Übertragen der Daten an die Speichereinrichtung des Feldgerates die Zufallszeichenfolge geloscht wird.A further advantageous embodiment of the method according to the invention also provides that after transferring the data to the memory device of the field device, the random string is deleted.
Hierdurch wird die Sicherheit des Verfahrens weiter erhöht, da eine von dem Feldgerat erzeugte Zufallszeichenfolge lediglich für einen einzigen Datenubermittlungsvorgang Gültigkeit besitzt und danach wieder geloscht wird. Auf diese Weise kann auch dann, wenn eine Zufallszeichenfolge doch ausgespäht werden sollte, diese für weitere Datenübermittlungen nicht mehr benutzt werden.As a result, the security of the method is further increased since a random string generated by the field device only has validity for a single data transmission process and is then deleted again. In this way, even if a random string should still be spied out, it will no longer be used for further data transmissions.
Die oben genannte Aufgabe wird auch durch ein elektrisches Feldgerat mit einer Steuereinrichtung und einer lokalen Ausgabevorrichtung gelost, bei dem die Steuereinrichtung derart ausgebildet ist, dass sie als Reaktion auf den Empfang einer elektronischen Anfrage, die eine Übermittlung von Daten an das elektrische Feldgerat ankündigt, eine Zufallszeichenfolge erzeugt und mittels der lokalen Ausgabevorrichtung ausgibt. Wie bereits beschrieben kann diese lediglich lokal ausgege- bene Zufallszeichenfolge im Folgenden zur Absicherung der Übertragung der Daten an das Feldgerat eingesetzt werden.The above object is also achieved by an electric field device with a control device and a local output device, in which the control device is designed such that it in response to the receipt of an electronic request, which announces a transmission of data to the electric Feldgerat a Random string generated and output by means of the local output device. As already described, this randomly generated string, which is only locally output, can be used below to secure the transmission of the data to the field device.
Die Erfindung soll im Folgenden anhand von Ausfuhrungsbei¬ spielen naher erläutert werden. Hierzu zeigen
Figur 1 eine schematische und vereinfachte Darstellung eines Automatisierungssystems; undThe invention will be explained in more detail below with reference to Ausfuhrungsbei ¬ games. Show this Figure 1 is a schematic and simplified representation of an automation system; and
Figur 2 ein schematisches Ablaufbild eines Verfahrens zumFigure 2 is a schematic flow diagram of a method for
Übermitteln von Daten an ein elektrisches Feldgerat von einer externen Datenverarbeitungseinrichtung.Transmitting data to an electric field device from an external data processing device.
Figur 1 zeigt ein Automatisierungssystem, von dem der Ein- fachheit halber lediglich ein elektrisches Feldgerat 10 und zwei Möglichkeiten einer externen Datenverarbeitungseinrichtung 14a bzw. 14b gezeigt sind.FIG. 1 shows an automation system of which, for the sake of simplicity, only one electric field device 10 and two options of an external data processing device 14a or 14b are shown.
Das Feldgerat besitzt eine lokale Eingabevorrichtung 11 in Form eines Tastenfeldes und eine lokale Ausgabevorrichtung 12 in Form eines Gerätedisplays und dient beispielsweise zur Steuerung und Überwachung eines in Figur 1 der Einfachheit halber nicht gezeigten Teils eines elektrischen Energieversorgungsnetzes. In diesem Zusammenhang kann das Feldgerat 10 beispielsweise ein elektrisches Schutzgerat, ein Leitgerat oder ein sogenanntes Power-Quality-Gerat sein.The field device has a local input device 11 in the form of a keypad and a local output device 12 in the form of a device display and serves, for example, for controlling and monitoring a part of an electrical energy supply network not shown in FIG. 1 for the sake of simplicity. In this context, the Feldgerat 10 may be, for example, an electrical protection device, a Leitgerat or a so-called power quality device.
Das elektrische Feldgerat 10 ist über einen Netzwerkanschluss mit einem in Figur 1 nur teilweise dargestellten Datenbus 13 eines Kommunikationsnetzes des Automatisierungssystems verbunden. Mit dem Datenbus 13 steht ebenfalls die externe Datenverarbeitungseinrichtung 14a in Form eines Personalcomputers in Verbindung. Beispielsweise kann es sich bei dieser externen Datenverarbeitungseinrichtung 14a um einen Personal- Computer in einer Leitstelle zum Steuern und Überwachen des elektrischen Energieversorgungsnetzes handeln. Die externe Datenverarbeitungseinrichtung 14a kann hierzu beispielsweise eine Bedien- und Beobachtungssoftware aufweisen, mit der auf
Funktionen und Messwerte des elektrischen Feldgerates zugegriffen werden kann.The electric field device 10 is connected via a network connection to a data bus 13, shown only partially in FIG. 1, of a communication network of the automation system. Also connected to the data bus 13 is the external data processing device 14a in the form of a personal computer. For example, this external data processing device 14a may be a personal computer in a control center for controlling and monitoring the electrical power supply network. For this purpose, the external data processing device 14a can, for example, have operating and monitoring software with which Functions and measurements of the electric field device can be accessed.
Die Bedien- und Beobachtungssoftware kann auch durch ein so- genanntes Konfigurationswerkzeug ausgebildet sein, mit dem Einstellungen des elektrischen Feldgerates 10 programmiert und in Form eines sogenannten Parametersatzes an das elektrische Feldgerat 10 übertragen werden können.The operating and monitoring software can also be formed by a so-called configuration tool with which settings of the electric field device 10 can be programmed and transmitted to the electric field device 10 in the form of a so-called parameter set.
Alternativ oder zusatzlich zu der externen Datenverarbeitungseinrichtung 14a kann eine tragbare externe Datenverarbeitungseinrichtung 14b vorgesehen sein, bei der es sich beispielsweise um einen tragbaren Computer, z.B. einen Laptop, handeln kann, der ebenfalls mit einer Bedien- und Beobach- tungssoftware ausgestattet sein kann. Eine solche tragbare externe Datenverarbeitungseinrichtung 14b kann beispielsweise dazu verwendet werden, um über eine kabelgebundene oder drahtlose Verbindung, wie sie in Figur 1 lediglich mit einer strichliert dargestellten Datenverbindung 15 angedeutet ist, auf eine lokale Schnittstelle des elektrischen Feldgerates 10 zuzugreifen und darüber eine temporare Datenverbindung mit dem elektrischen Feldgerat 10 auszubilden.Alternatively or in addition to the external data processing device 14a, a portable external data processing device 14b may be provided, which may be, for example, a portable computer, e.g. a laptop, which can also be equipped with operating and monitoring software. Such a portable external data processing device 14b can be used, for example, to access a local interface of the electric field device 10 via a wired or wireless connection, as indicated in FIG. 1 only by a data connection 15 shown in dashed lines, and via this a temporary data connection form the electric Feldgerat 10.
Da elektrische Feldgerate wie das Feldgerat 10 häufig in Au- tomatisierungssystemen für sicherheitsrelevante Prozesse, wie beispielsweise Steuerung und Überwachung eines elektrischen Energieversorgungsnetzes, eingesetzt werden, muss gewahrleistet werden, das Unbefugte keinerlei Zugriff auf Funktionen und Informationen des elektrischen Feldgerates 10 erlangen können. Ein Ausfuhrungsbeispiel eines sicheren Verfahrens zur Datenübermittlung von der externen Datenverarbeitungseinrichtung 14a an das elektrische Feldgerät 10 wird im Folgenden unter Bezugnahme auf Figur 2 naher erläutert. Die folgenden Erläuterungen können in entsprechender Weise auf eine Daten-
Übermittlung von der tragbaren externen Datenverarbeitungseinrichtung 14b an das Feldgerat 10 übertragen werden.Since electrical field devices such as field device 10 are frequently used in automation systems for safety-relevant processes, such as control and monitoring of an electrical energy supply network, it must be ensured that the unauthorized person can not gain access to functions and information of the electric field device 10. An exemplary embodiment of a secure method for data transmission from the external data processing device 14a to the electric field device 10 will be explained in more detail below with reference to FIG. The following explanations may apply mutatis mutandis to a data Transmission are transmitted from the portable external data processing device 14 b to the Feldgerat 10.
Bei der Erläuterung der Figur 2 soll angenommen werden, dass es sich bei den Daten, die von der externen Datenverarbeitungseinrichtung 14a an das elektrische Feldgerat 10 übertragen werden sollen, um ein digitales Zertifikat handelt. Digitale Zertifikate werden beispielsweise bei einer verschlüsselten Datenübertragung innerhalb des Automatisierungssystems (d.h. beispielsweise zwischen mehreren Feldgeraten oder einem Feldgerat und einem Leitstellenrechner) eingesetzt, um eine Zuordnung eines zur Verschlüsselung eingesetzten Schlusseis mit dem dazu gehörenden elektrischen Gerat zu bestätigen.2, assume that the data to be transmitted from the external data processing device 14a to the electric field device 10 is a digital certificate. Digital certificates are used, for example, in an encrypted data transmission within the automation system (i.e., for example between several field devices or a field device and a control center computer) in order to confirm an assignment of a closure used for encryption with the associated electrical device.
In öffentlichen Netzwerken, wie beispielsweise dem Internet, verweisen üblicherweise einzelne zur Datenverschlusselung eingesetzte Zertifikate zur Sicherheit auf hierarchisch übergeordnete Zertifikate, bis die hierdurch gebildete Zertifikatskette schließlich bei einem als vertrauenswürdig einge- stuften Wurzelzertifikat, das beispielsweise in einem sogenannten „Trust Center" verwaltet wird, angelangt ist. Diese Möglichkeit besteht in nach außen hin abgeschotteten Kommunikationsnetzwerken, wie einem Kommunikationsnetzwerk, das zur Datenübertragung innerhalb eines Automatisierungssystems ein- gesetzt wird, jedoch nicht, da keine Kommunikationsverbindung zwischen dem Automatisierungsnetzwerk und einem Trust Center besteht. Folglich besteht die Notwendigkeit, für das Automatisierungssystem ein eigenes Basiszertifikat vorzuhalten, das quasi die Funktion eines Wurzelzertifikates übernimmt und auf das sich alle anderen Gerate mit ihren personlichen Zertifikaten berufen können. Beim Speichern, Andern oder Entfernen eines solchen digitalen Basiszertifikats auf einem Feldgerat eines Automatisierungssystems muss daher mit absoluter Sicherheit gewahrleistet sein, dass keine Manipulation des Ba-
siszertifikates durch Dritte während des Ubermittlungsvor- gangs an das elektrische Feldgerat ausgeschlossen ist. Ansonsten konnte ein unbefugter Dritter bei Kenntnis des Basiszertifikates eine Manipulation der gesamten Kommunikation in dem Automatisierungssystem vornehmen und somit auf sensible Funktionen des Automatisierungssystems zugreifen. Außer bei dem Basiszertifikat ist jedoch auch bei den anderen in dem Automatisierungssystem verwendeten Zertifikaten - zum Beispiel geräteindividuellen Zertifikaten, die auf das Basiszer- tifikat verweisen - eine ausreichende Sicherheit gegen äußere Manipulation zu gewahrleisten, so dass das im Folgenden beschriebene Verfahren auch hierbei eingesetzt werden kann.In public networks such as the Internet, for example, individual certificates used for data encryption refer to hierarchically higher-level certificates for security until the certificate chain formed thereby finally reaches a trustworthy root certificate, which is managed, for example, in a so-called "trust center". This possibility exists in externally isolated communication networks, such as a communication network used for data transmission within an automation system, but not because there is no communication connection between the automation network and a trust center Automation system to hold its own basic certificate, which basically assumes the function of a root certificate and to which all other devices can invoke their personal certificates Therefore, when storing, changing or removing such a digital basic certificate on a field device of an automation system, it must be ensured with absolute certainty that no manipulation of the hardware is necessary. siszertifikates by third parties during the transmission process to the electric field device is excluded. Otherwise an unauthorized third party could, with knowledge of the basic certificate, manipulate the entire communication in the automation system and thus access sensitive functions of the automation system. However, with the other certificates used in the automation system, for example device-specific certificates which refer to the base certificate, apart from the basic certificate, sufficient security against external manipulation must be guaranteed, so that the method described below can also be used here ,
Die Ansicht in Figur 2 ist unterteilt in Verfahrensschritte, die in dem elektrischen Feldgerat 10, beispielsweise von einer mikroprozessorgesteuerten Steuereinrichtung, ausgeführt werden, und solchen, die in der externen Datenverarbeitungseinrichtung 14a ausgeführt werden. Das Feldgerat 10 ist in einem gesicherten Bereich untergebracht, der nur für befugtes Personal zuganglich ist. Um auf sichere Weise ein Zertifikat an das elektrische Feldgerat 10 zu übermitteln, wird gemäß Figur 2 in einem ersten Schritt 20 eine elektronische Anfrage, die eine Übermittlung des Zertifikates ankündigt, an das elektrische Feldgerat 10 erzeugt und dorthin übertragen. Im Schritt 21 empfangt das elektrische Feldgerat 10 die elektronische Anfrage. In Figur 2 wird davon ausgegangen, dass Schritt 20, also das Erzeugen der elektronischen Anfrage, innerhalb der Datenverarbeitungseinrichtung 14a erfolgt. Alternativ kann, wie durch den strichliert dargestell- ten Schritt 20a angedeutet ist, die elektronische Anfrage auch lokal an dem elektrischen Feldgerat 10, beispielsweise über eine Eingabevorrichtung oder eine lokal mit dem elektrischen Feldgerat 10 verbundene Datenverarbeitungseinrichtung erzeugt werden.
Als Reaktion auf die elektronische Anfrage erzeugt das elektrische Feldgerät 10 in einem Schritt 22 eine in Figur 2 mit „RND" (=random) bezeichnete Zufallszeichenfolge und gibt diese im Schritt 23 an eine lokale Ausgabevorrichtung aus. Bei der lokalen Ausgabevorrichtung handelt es sich bevorzugt um ein Geratedisplay. Allerdings kann auch eine andere Art der Ausgabe, beispielsweise eine akustische Ausgabe, vorgesehen sein. Wichtig ist in diesem Zusammenhang, dass die Aus- gäbe der erzeugten Zufallszeichenfolge RND ausschließlich lokal an dem elektrischen Feldgerat 10 erfolgt und daher außerhalb des gesicherten Bereiches, in dem sich das elektrische Feldgerat 10 befindet, nicht erkennbar ist. Auf diese Weise kann sichergestellt werden, dass nur Personen, die sich in befugter Weise bei dem elektrischen Feldgerates 10 aufhalten, in Kenntnis der Zufallszeichenfolge gelangen können.The view in FIG. 2 is subdivided into method steps which are carried out in the electric field device 10, for example by a microprocessor-controlled control device, and those which are carried out in the external data processing device 14a. The Feldgerat 10 is housed in a secure area, which is accessible only to authorized personnel. In order to transmit a certificate to the electric field device 10 in a secure manner, according to FIG. 2, in a first step 20, an electronic inquiry, which announces a transmission of the certificate, is generated and transmitted to the electric field device 10. In step 21, the electric field device 10 receives the electronic request. In FIG. 2, it is assumed that step 20, that is to say the generation of the electronic request, takes place within the data processing device 14a. Alternatively, as indicated by the step 20a shown by the dashed line, the electronic request can also be generated locally on the electric field device 10, for example via an input device or a data processing device connected locally to the electric field device 10. In response to the electronic request, in a step 22, the electric field device 10 generates a random string designated "RND" in Figure 2 and outputs it to a local output device in step 23. The local output device is preferably However, another type of output, for example an acoustic output, may also be provided, In this connection it is important that the output of the generated random string RND takes place exclusively locally on the electric field device 10 and therefore outside the secured area, In this way it can be ensured that only persons who are in an authorized manner with the electric field device 10, can get in knowledge of the random string.
In dem Ausfuhrungsbeispiel gemäß Figur 2 wird im Schritt 23 die Zufallszeichenfolge RND mit einer lokalen Ausgabevorrich- tung des elektrischen Feldgerates ausgegeben und dort beispielsweise von einem sich vor Ort befindenden Mitarbeiter des Betreibers des Automatisierungssystems abgelesen und an einen weiteren Mitarbeiter, der die Bedienung der externen Datenverarbeitungseinrichtung 14a vornimmt, übermittelt. Die Übermittlung kann hierbei beispielsweise über eine Telekommunikationsverbindung zur Übertragung von Sprachdaten erfolgen. Eine solche Telekommunikationsverbindung ist nahezu flachendeckend verfugbar und stellt daher eine einfache Möglichkeit für die Übertragung der Zufallszeichenfolge RND dar.In the exemplary embodiment according to FIG. 2, in step 23 the random character sequence RND is output with a local output device of the electric field device and read there, for example, by an on-site employee of the operator of the automation system and to another employee who controls the operation of the external data processing device 14a, transmitted. The transmission can take place here, for example, via a telecommunication connection for the transmission of voice data. Such a telecommunication connection is available almost flat cover and therefore represents a simple possibility for the transmission of the random string RND.
Alternativ kann auch vorgesehen sein, dass die Zufallszei¬ chenfolge an dem elektrischen Feldgerät 10 automatisch, beispielsweise über ein Kamerasystem, erfasst und an die externe Datenverarbeitungseinrichtung 14a übertragen wird, wo sie
entweder von einem Mitarbeiter des Automatisierungssystems abgelesen und in die externe Datenverarbeitungseinrichtung eingegeben wird oder mittels eines Zeichenerkennungsprogramms in computerlesbare Zeichen umgesetzt und auf diese Weise der externen Datenverarbeitungseinrichtung 14 zur Verfugung gestellt wird.Alternatively, where it can also be provided that the Zufallszei ¬ chenfolge automatically on the electrical field device 10, for example via a camera system, is detected and transmitted to the external data processing device 14a, either read by an employee of the automation system and input to the external data processing device or converted by means of a character recognition program into computer-readable characters and thus provided to the external data processing device 14.
Die externe Datenverarbeitungseinrichtung 14 empfangt in Schritt 24 die empfangene Zufallszeichenfolge RND und verwen- det diese in einem folgenden Schritt 25, um das an das elektrische Feldgerat 10 zu übertragende Zertifikat - in Figur 2 mit „DAT" (=Daten) gekennzeichnet - zu verschlüsseln. Hierzu wird der für die Verschlüsselung der zu übertragenden Daten DAT verwendete Schlüssel auf Basis der Zufallszeichenfolge RND gebildet.The external data processing device 14 receives the received random string RND in step 24 and uses it in a following step 25 to encrypt the certificate to be transmitted to the electric field device 10 - labeled "DAT" (= data) in FIG. For this purpose, the key used for the encryption of the data DAT to be transmitted is formed on the basis of the random string RND.
Alternativ zu einer Verschlüsselung kann auch eine digitale Signatur der zu übertragenden Daten DAT mittels der Zufallszeichenfolge RND erfolgen, wobei in diesem Fall die Gefahr besteht, dass die zu übertragenden Daten DAT bei der Übermittlung an das elektrische Feldgerat 10 in Klarform ausgespäht werden können.As an alternative to encryption, a digital signature of the data DAT to be transmitted can also take place by means of the random string RND, in which case there is the danger that the data DAT to be transmitted can be spied out in clear form when transmitted to the electric field device 10.
Durch die so erfolgte Verknüpfung der zu übertragenden Daten DAT mit der Zufallszeichenfolge RND wird in der externen Datenverarbeitungseinrichtung 14a im Schritt 26 ein Datenpaket - mit „DP" (=Datenpaket ) bezeichnet - gebildet, das daraufhin an das elektrische Feldgerat 10 übertragen wird. Die Übermittlung des Datenpaketes DP erfolgt hierbei vorzugsweise über ein Kommunikationsmittel, das von demjenigen Kommunika¬ tionsmittel verschieden ist, das zuvor zur Übertragung der Zufallszeichenfolge RND verwendet worden ist. Auf diese Weise wird die Sicherheit des Verfahrens noch weiter erhöht, da ein unbefugter Dritter nunmehr beide Kommunikationsmittel aufspa-
hen musste, um an alle notwendigen Informationen zu gelangen, die zum manipulativen Zugreifen auf das elektrische Feldgerat 10 notwendig sind.By thus linking the data DAT to be transmitted with the random string RND, a data packet-labeled "DP" (= data packet) -is formed in the external data processing device 14a in step 26, which is then transmitted to the electric field device 10. The transmission of the data packet DP is preferably effected via a communication means that is different from that communica ¬ tion medium, which has been previously used for transmitting the random string RND. In this way, the security of the method is further increased because an unauthorized third party aufspa now both communication means - to get all the necessary information necessary to manipulatively access the electric field device 10.
Das elektrische Feldgerat 10 empfangt im Schritt 27 das Datenpaket DP und prüft im Schritt 28 unter Zuhilfenahme der ihm bekannten Zufallszeichenfolge RND das empfangene Datenpaket DP auf Richtigkeit. Hierbei prüft die Steuereinrichtung des elektrischen Feldgerats 10, ob das Datenpaket DP mit der korrekten Zufallszeichenfolge RND verknüpft worden ist.The electric field device 10 receives in step 27 the data packet DP and checks in step 28 with the aid of the known random string RND the received data packet DP for accuracy. In this case, the control device of the electric field device 10 checks whether the data packet DP has been linked to the correct random string RND.
Hierzu kann das elektrische Feldgerat 10 beispielsweise unter Verwendung der Zufallszeichenfolge RND den Versuch unternehmen, das Datenpaket DP zu entschlüsseln. Wenn der zur Verschlüsselung des Datenpakets DP eingesetzte Schlüssel eben- ■ falls auf Basis der korrekten Zufallszeichenfolge RND gebildet worden ist, kann die Entschlüsselung des Datenpaketes DP unter Verwendung der Zufallszeichenfolge RND erfolgreich durchgeführt werden.For this purpose, the electric field device 10, for example, using the random string RND attempt to decrypt the data packet DP. When the key likewise ■ used to encrypt the data packet DP has been formed on the basis if the correct random string RND, the decryption of the data packet DP using the random string RND can be carried out successfully.
Bei einem positiven Ergebnis der Überprüfung können die in dem Datenpaket DP enthaltenen Daten DAT - in diesem Fall das digitale Zertifikat - in einem abschließenden Schritt 29 aus dem Datenpaket DP extrahiert und in einer Speichereinrichtung des elektrischen Feldgerates 10 abgelegt werden.In the case of a positive result of the check, the data DAT contained in the data packet DP-in this case the digital certificate-can be extracted from the data packet DP in a concluding step 29 and stored in a memory device of the electric field device 10.
Auf die beschriebene Weise kann mit einfachen Mitteln ein vergleichsweise sicheres Verfahren angegeben werden, um Daten von einer externen Datenverarbeitungseinrichtung 14a an das elektrische Feldgerat 10 zu übertragen. Die Sicherheit des Verfahrens beruht insbesondere darauf, dass die Zufallszei¬ chenfolge RND an dem elektrischen Feldgerat 10 lediglich lokal ausgegeben wird, und außerhalb des gesicherten Bereiches, in dem sich das elektrische Feldgerat 10 befindet, nicht auf- gespaht werden kann. Da vorzugsweise zur Übermittlung der Zu-
fallszeichenfolge RND und des mit Hilfe der Zufallszeichenfolge gebildeten Datenpakets DP unterschiedliche Kommunikationsmittel verwendet werden, beispielsweise eine Telekommunikationsverbindung zur Übertragung der Zufallszeichenfolge RND und ein Datenubertragungsnetzwerk zur Übertragung des Datenpakets DP, wird das Aufspahen dieser beiden Informationen durch einen Dritten zusatzlich erschwert, da dieser mehrere verschiedene Kommunikationsmittel überwachen und abhören musste .In the manner described, a comparatively secure method can be specified by simple means in order to transmit data from an external data processing device 14a to the electric field device 10. The security of the method is based in particular that the Zufallszei ¬ chenfolge RND is output to the electrical field device 10 is merely locally and outside the protected area, in which the electrical field device 10 is located, can not be gespaht up. Since, preferably, the transmission of the If the RND string and the data packet DP formed using the random string use different communication means, for example a telecommunication connection for transmitting the random string RND and a data transmission network for transmitting the data packet DP, the tracking of these two pieces of information by a third party is made even more difficult as it involves a plurality of different communication means had to monitor and listen.
In entsprechender Weise können außer einem digitalen Zertifikat beispielsweise auch Konfigurationsdaten zum Einstellen von Parametern und Funktionen des elektrischen Feldgerates 10 oder bestimmte sicherheitsrelevante Befehle von der externen Datenverarbeitungseinrichtung 14a an das elektrische Feldgerat 10 übertragen werden. Handelt es sich bei den übertragenen Daten DAT um einen Befehl zum Ausfuhren einer bestimmten Funktion, beispielsweise zum Ein- oder Ausschalten eines elektrischen Leistungsschalters, so kann vorgesehen sein, dass das elektrische Feldgerat 10 diesen nach positivem Pruf- ergebnis in Schritt 28 aus dem Datenpaket DP extrahiert und daraufhin zur Ausfuhrung bringt.In a corresponding manner, in addition to a digital certificate, for example, configuration data for setting parameters and functions of the electric field device 10 or certain safety-relevant commands can also be transmitted from the external data processing device 14a to the electric field device 10. If the transmitted data DAT is an instruction to export a specific function, for example to switch an electrical circuit breaker on or off, it can be provided that the electric field device 10 extracts it from the data packet DP after a positive test result in step extracted and then executed.
Um die Sicherheit des erläuterten Verfahrens noch weiter zu erhohen, kann die im Schritt 22 erzeugte Zufallszeichenfolge RND nach Beendigung der Übermittlung und Extraktion der Daten DAT aus dem Datenpaket DP geloscht werden, so dass für jeden Ubermittlungsvorgang eine neue Zufallszeichenfolge notwendig wird. Auf diese Weise kann selbst dann, wenn ein unbefugter Dritter in einem vergangenen DatenubermittlungsvorgangIn order to further increase the security of the explained method, the random character sequence RND generated in step 22 can be deleted from the data packet DP after completion of the transmission and extraction of the data DAT, so that a new random string sequence becomes necessary for each transmission process. This way, even if an unauthorized third party in a past data transfer process
Zugriff auf die Zufallszeichenfolge gehabt haben sollte, diese nicht zur Manipulation des elektrischen Feldgerates 10 eingesetzt werden, da sie in folgenden Datenubermittlungsvor- gangen keine Gültigkeit mehr hat.
Should have had access to the random string, these are not used for manipulation of the electric field device 10, since it has no validity in subsequent Datenuberittellungsvor- gangs.