EP2243058A1 - Secure transmission of data to a field appliance - Google Patents

Secure transmission of data to a field appliance

Info

Publication number
EP2243058A1
EP2243058A1 EP08715763A EP08715763A EP2243058A1 EP 2243058 A1 EP2243058 A1 EP 2243058A1 EP 08715763 A EP08715763 A EP 08715763A EP 08715763 A EP08715763 A EP 08715763A EP 2243058 A1 EP2243058 A1 EP 2243058A1
Authority
EP
European Patent Office
Prior art keywords
data
field device
transmitted
transmission
random string
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP08715763A
Other languages
German (de)
French (fr)
Inventor
Götz NEUMANN
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP2243058A1 publication Critical patent/EP2243058A1/en
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24097Camera monitors controlled machine
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24167Encryption, password, user access privileges
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/36Nc in input of data, input key till input tape
    • G05B2219/36542Cryptography, encrypt, access, authorize with key, code, password

Definitions

  • the invention relates to a method for transmitting data from an external data processing device to an electric field device of an automation system and an electric field device with a control device configured for this purpose.
  • a field device can be used in an electrical energy supply network for monitoring and / or controlling primary components of the energy supply network.
  • primary components are, for example, generators, converters, transformers, motors and electrical energy transmission lines of the power supply network.
  • the field device can, for example, record current and voltage measured values which indicate the current state of the electrical energy supply network.
  • the electric field device control commands such as a Command for opening or closing a second power switch in the electrical power supply network, deliver.
  • Control of sensitive equipment to the energy supply of entire cities or regions are used, they are to protect against unauthorized access.
  • they are usually arranged in correspondingly secured areas to which only appropriately authorized personnel have access.
  • Such secured areas can be protected, for example, by doors or barriers;
  • a camera monitoring takes place in order to recognize unauthorized third party access to the field devices as quickly as possible or to be able to completely prevent them.
  • electric field devices usually have an input device, such as a keypad, and a display device, such as a keyboard. As a display, on.
  • a display device such as a keyboard
  • the input device can be some or all
  • Functions can be called directly on the electric field device. Functions relevant to the safety of the automated process, e.g. the installation of sensitive data (for example configuration data) can usually only be carried out after entering a corresponding password.
  • sensitive data for example configuration data
  • Field devices are offered by the applicant, for example, in the form of electrical protection devices under the device series "SIPROTEC.”
  • SIPROTEC 4 field devices from Siemens AG, issue: 21.06.04, order No. E50417-H1100-C151-A6, shows electrical field devices
  • the keypad can be used to call up all the functions of the electric field device.To carry out sensitive functions, a corresponding password must be entered in the input field.
  • the field devices also have their front panel As a data interface, a so-called user interface in the form of a serial plug-in connection can be connected to this user interface via a serial data transmission interface.
  • An external computer on which an operating / monitoring and / or parameterization software runs, must be connected. With the help of this software, settings in the device can be made and changed and the operation and observation of the device can be performed.
  • the devices can also be equipped with a data interface in the form of an Ethernet interface, which enables a network connection of the device.
  • a data interface in the form of an Ethernet interface, which enables a network connection of the device.
  • the control of sensitive functions of the electric field device via the Ethernet interface is blocked by default for security reasons, but can also be approved by the operator of the field device by appropriate settings.
  • the invention has the object of providing a transfer of data to an electric Feldgerat with simple means even safer.
  • the stated object is achieved by a method in which an electronic request is received by the field device, which announces a transmission of the data to the electric field device and generates a random string in response to the request in the field device and is output from a local output device of the field device.
  • the random data string is received by the external data processing device and the data to be transmitted are linked in the external data processing device to the random string while generating a data packet.
  • the data packet is transmitted to the field device, which performs a check of the transmitted data packet using the random string. If the test result is positive, the data is extracted from the data packet and transmitted to a memory device of the field device.
  • the invention makes use of the fact already mentioned above that electric field devices which are used to carry out safety-critical tasks are usually accommodated in specially protected areas, such as, for example, closed areas and optionally additionally monitored areas. Usually only authorized personnel have access to such areas.
  • a local output device such as a display, it can be ensured that a spying out of the random character sequence by third parties that do not have access to the secure Area is prevented.
  • an employee of the operator of the automation system can be present locally to read the random sequence of characters and the read random string can be transmitted to another employee who operates the external data processing device.
  • a reading and transmission of the random string can also take place, for example, via a camera system which transmits the recorded data to the external data processing.
  • the random string is needed to generate the data packet containing the data to be transmitted, the need for a password query is also unnecessary. Furthermore, since the random string is generated directly by the field device, there is no longer any need for a standard password assigned by the manufacturer and the associated risk.
  • An advantageous embodiment of the method according to the invention provides that the transmission of the random string from the field device to the external data processing device on the one hand and the transmission of the data packet from the external data processing device to the field device on the other hand with different communication means.
  • one of the communication means is a telecommunication connection for the transmission of voice data.
  • Telecommunications connections are largely flat available available and thus represent a simple means for transmitting the random string or the data packet. Furthermore, there is the possibility of encrypted or otherwise secured telecommunication connections, so that interception can be made more difficult.
  • a further advantageous embodiment of the invention is specified in that the data packet is generated by encryption or digital signature of the data using the random string. Sufficiently safe
  • Encryption and signature methods such as a PGP encryption method, are widely used and readily available.
  • a further advantageous embodiment of the method according to the invention also provides for the data to comprise a digital certificate and / or configuration data for configuring the field device.
  • a digital certificate uses the automation system for secure data transmission between several devices, while configuration data comprise the parameters and settings necessary for the proper operation of the field device.
  • Such adjustments may include, for example, thresholds for the execution of Schutzalgorith ⁇ men or roles and rights settings that allow users access to approved loading device functions of the electric field device or prohibited.
  • the data comprises a command call to execute a function of the field device and the field device carries out the corresponding function if the check result is positive.
  • a further advantageous embodiment of the method according to the invention also provides that after transferring the data to the memory device of the field device, the random string is deleted.
  • an electric field device with a control device and a local output device, in which the control device is designed such that it in response to the receipt of an electronic request, which announces a transmission of data to the electric Feldgerat a Random string generated and output by means of the local output device.
  • this randomly generated string which is only locally output, can be used below to secure the transmission of the data to the field device.
  • Figure 2 is a schematic flow diagram of a method for
  • FIG. 1 shows an automation system of which, for the sake of simplicity, only one electric field device 10 and two options of an external data processing device 14a or 14b are shown.
  • the field device has a local input device 11 in the form of a keypad and a local output device 12 in the form of a device display and serves, for example, for controlling and monitoring a part of an electrical energy supply network not shown in FIG. 1 for the sake of simplicity.
  • the Feldgerat 10 may be, for example, an electrical protection device, a Leitgerat or a so-called power quality device.
  • the electric field device 10 is connected via a network connection to a data bus 13, shown only partially in FIG. 1, of a communication network of the automation system.
  • the external data processing device 14a in the form of a personal computer.
  • this external data processing device 14a may be a personal computer in a control center for controlling and monitoring the electrical power supply network.
  • the external data processing device 14a can, for example, have operating and monitoring software with which Functions and measurements of the electric field device can be accessed.
  • the operating and monitoring software can also be formed by a so-called configuration tool with which settings of the electric field device 10 can be programmed and transmitted to the electric field device 10 in the form of a so-called parameter set.
  • a portable external data processing device 14b may be provided, which may be, for example, a portable computer, e.g. a laptop, which can also be equipped with operating and monitoring software.
  • a portable external data processing device 14b can be used, for example, to access a local interface of the electric field device 10 via a wired or wireless connection, as indicated in FIG. 1 only by a data connection 15 shown in dashed lines, and via this a temporary data connection form the electric Feldgerat 10.
  • Digital certificates are used, for example, in an encrypted data transmission within the automation system (i.e., for example between several field devices or a field device and a control center computer) in order to confirm an assignment of a closure used for encryption with the associated electrical device.
  • the view in FIG. 2 is subdivided into method steps which are carried out in the electric field device 10, for example by a microprocessor-controlled control device, and those which are carried out in the external data processing device 14a.
  • the Feldgerat 10 is housed in a secure area, which is accessible only to authorized personnel.
  • a first step 20 an electronic inquiry, which announces a transmission of the certificate, is generated and transmitted to the electric field device 10.
  • step 21 the electric field device 10 receives the electronic request.
  • step 20 that is to say the generation of the electronic request, takes place within the data processing device 14a.
  • the electronic request can also be generated locally on the electric field device 10, for example via an input device or a data processing device connected locally to the electric field device 10.
  • the electric field device 10 In response to the electronic request, in a step 22, the electric field device 10 generates a random string designated "RND" in Figure 2 and outputs it to a local output device in step 23.
  • the local output device is preferably However, another type of output, for example an acoustic output, may also be provided, In this connection it is important that the output of the generated random string RND takes place exclusively locally on the electric field device 10 and therefore outside the secured area, In this way it can be ensured that only persons who are in an authorized manner with the electric field device 10, can get in knowledge of the random string.
  • step 23 the random character sequence RND is output with a local output device of the electric field device and read there, for example, by an on-site employee of the operator of the automation system and to another employee who controls the operation of the external data processing device 14a, transmitted.
  • the transmission can take place here, for example, via a telecommunication connection for the transmission of voice data.
  • a telecommunication connection is available almost flat cover and therefore represents a simple possibility for the transmission of the random string RND.
  • the Zufallszei ⁇ chen chenate automatically on the electrical field device 10
  • the external data processing device 14a is detected and transmitted to the external data processing device 14a, either read by an employee of the automation system and input to the external data processing device or converted by means of a character recognition program into computer-readable characters and thus provided to the external data processing device 14.
  • the key used for the encryption of the data DAT to be transmitted is formed on the basis of the random string RND.
  • a digital signature of the data DAT to be transmitted can also take place by means of the random string RND, in which case there is the danger that the data DAT to be transmitted can be spied out in clear form when transmitted to the electric field device 10.
  • the transmission of the data packet DP is preferably effected via a communication means that is different from that communica ⁇ tion medium, which has been previously used for transmitting the random string RND. In this way, the security of the method is further increased because an unauthorized third party aufspa now both communication means - to get all the necessary information necessary to manipulatively access the electric field device 10.
  • the electric field device 10 receives in step 27 the data packet DP and checks in step 28 with the aid of the known random string RND the received data packet DP for accuracy. In this case, the control device of the electric field device 10 checks whether the data packet DP has been linked to the correct random string RND.
  • the electric field device 10 for example, using the random string RND attempt to decrypt the data packet DP.
  • the key likewise ⁇ used to encrypt the data packet DP has been formed on the basis if the correct random string RND, the decryption of the data packet DP using the random string RND can be carried out successfully.
  • a comparatively secure method can be specified by simple means in order to transmit data from an external data processing device 14a to the electric field device 10.
  • the security of the method is based in particular that the Zufallszei ⁇ chenate RND is output to the electrical field device 10 is merely locally and outside the protected area, in which the electrical field device 10 is located, can not be gespaht up.
  • the transmission of the If the RND string and the data packet DP formed using the random string use different communication means, for example a telecommunication connection for transmitting the random string RND and a data transmission network for transmitting the data packet DP, the tracking of these two pieces of information by a third party is made even more difficult as it involves a plurality of different communication means had to monitor and listen.
  • different communication means for example a telecommunication connection for transmitting the random string RND and a data transmission network for transmitting the data packet DP
  • configuration data for setting parameters and functions of the electric field device 10 or certain safety-relevant commands can also be transmitted from the external data processing device 14a to the electric field device 10.
  • the transmitted data DAT is an instruction to export a specific function, for example to switch an electrical circuit breaker on or off, it can be provided that the electric field device 10 extracts it from the data packet DP after a positive test result in step extracted and then executed.
  • the random character sequence RND generated in step 22 can be deleted from the data packet DP after completion of the transmission and extraction of the data DAT, so that a new random string sequence becomes necessary for each transmission process. This way, even if an unauthorized third party in a past data transfer process

Abstract

The aim of the invention is to improve the security of a transmission of data to an electrical field appliance by simple means. To this end, a method is provided, whereby an electronic request is received by the field appliance (10), said request announcing a transmission of the data to the electrical field appliance, and, as a reaction to the request, a random character string is generated in the field appliance (10) and emitted from a local output device of the field appliance (10). The random character string is received by the external data processing device (14a, 14b) and the data to be transmitted is linked to the random character string in the external data processing device (14a, 14b), generating a data packet. The data packet is transmitted to the field appliance (10) which carries out a check of the transmitted data packet using the random character string, and in the event of a positive result, extracts the data from the data packet, and transmits said data to a storage device of the field appliance (10). The invention also relates to a corresponding electrical field appliance (10).

Description

Beschreibung description
Sichere Übermittlung von Daten an ein FeldgeratSecure transmission of data to a field device
Die Erfindung betrifft ein Verfahren zum Übermitteln von Daten von einer externen Datenverarbeitungseinrichtung an ein elektrisches Feldgerat eines Automatisierungssystems sowie ein elektrisches Feldgerat mit einer hierfür eingerichteten Steuereinrichtung .The invention relates to a method for transmitting data from an external data processing device to an electric field device of an automation system and an electric field device with a control device configured for this purpose.
Elektrische Feldgerate (häufig auch als „Intelligent Electronic Devices" = IEDs bezeichnet) werden heutzutage in vielen Bereichen der Automatisierungstechnik eingesetzt. So können elektrische Feldgerate beispielsweise zur Überwachung und Steuerung von Prozessen zur Übertragung und/oder Verteilung elektrischer Energie in elektrischen Energieversorgungsnetzen oder zur Überwachung und Steuerung von chemischen und verfahrenstechnischen Prozessen bzw. industriellen Fertigungsprozessen verwendet werden. Normalerweise befinden sich die elektrischen Feldgerate hierbei in der Nahe des zu automatisierenden Prozesses und nehmen dort den Prozess beschreibende Messwerte auf bzw. geben Befehle zur Steuerung von Prozesskomponenten ab.Electric field devices (often referred to as "Intelligent Electronic Devices" = IEDs) are used today in many areas of automation technology, such as electric field devices, for example, to monitor and control processes for transmission and / or distribution of electrical energy in electrical energy supply networks or for monitoring and Normally, the electric field devices are located close to the process to be automated where they record the process-describing measured values or issue commands for the control of process components.
Beispielsweise kann ein Feldgerat in einem elektrischen Energieversorgungsnetz zum Überwachen und/oder Steuern von Pri- markomponenten des Energieversorgungsnetzes zum Einsatz kommen. Solche Primarkomponenten sind beispielsweise Generatoren, Umrichter, Transformatoren, Motoren und elektrische Energieubertragungsleitungen des Energieversorgungsnetzes.For example, a field device can be used in an electrical energy supply network for monitoring and / or controlling primary components of the energy supply network. Such primary components are, for example, generators, converters, transformers, motors and electrical energy transmission lines of the power supply network.
Das Feldgerat kann z.B. Strom- und Spannungsmesswerte aufnehmen, die den momentanen Zustand des elektrischen Energieversorgungsnetzes angeben. Alternativ oder zusatzlich kann das elektrische Feldgerat Steuerbefehle, wie beispielsweise einen Befehl zum Offnen oder Schließen eines in dem elektrischen Energieversorgungsnetz abgeordneten Leistungsschalters, abgeben.The field device can, for example, record current and voltage measured values which indicate the current state of the electrical energy supply network. Alternatively or additionally, the electric field device control commands, such as a Command for opening or closing a second power switch in the electrical power supply network, deliver.
Da die beschriebenen Feldgerate zur Überwachung und/oderSince the field devices described for monitoring and / or
Steuerung sensibler Einrichtungen bis hin zur Energieversorgung ganzer Städte oder Regionen eingesetzt werden, sind sie vor unbefugtem Zugriff zu schützen. Dazu sind sie üblicherweise in entsprechend gesicherten Bereichen angeordnet, zu denen nur entsprechend befugtes Personal Zugang hat. Solche gesicherten Bereiche können beispielsweise durch Türen oder Absperrungen geschützt sein; häufig findet auch eine Kamera- uberwachung statt, um unerlaubten Fremdzugriff auf die Feldgerate möglichst schnell erkennen bzw. völlig verhindern zu können.Control of sensitive equipment to the energy supply of entire cities or regions are used, they are to protect against unauthorized access. For this purpose, they are usually arranged in correspondingly secured areas to which only appropriately authorized personnel have access. Such secured areas can be protected, for example, by doors or barriers; Often, a camera monitoring takes place in order to recognize unauthorized third party access to the field devices as quickly as possible or to be able to completely prevent them.
Zur lokalen Bedienung weisen elektrische Feldgerate üblicherweise eine Eingabevorrichtung, wie beispielsweise ein Tastenfeld, und eine Anzeigevorrichtung, wie z. B. ein Display, auf. Über die Eingabevorrichtung können einige oder alleFor local operation, electric field devices usually have an input device, such as a keypad, and a display device, such as a keyboard. As a display, on. About the input device can be some or all
Funktionen direkt am elektrischen Feldgerat aufgerufen werden. Für die Sicherheit des automatisierten Prozesses relevante Funktionen, wie z.B. das Einspielen sensibler Daten (z.B. Konfigurationsdaten), können hierbei üblicherweise nur nach Eingabe eines entsprechenden Passwortes ausgeführt werden.Functions can be called directly on the electric field device. Functions relevant to the safety of the automated process, e.g. the installation of sensitive data (for example configuration data) can usually only be carried out after entering a corresponding password.
Wahrend der letzten Jahre wurden zur Vereinfachung der Bedie¬ nung von Feldgeraten Datenschnittstellen an diesen vorgese- hen, mit denen eine Bedienung und/oder Beobachtung der Feldgerate lokal oder aus der Ferne möglich ist. Üblich ist hier¬ bei z. B. das Vorsehen einer seriellen Schnittstelle als Datenschnittstelle am elektrischen Feldgerat, über die beispielsweise eine externe Datenverarbeitungseinrichtung, wie z.B. ein Laptop oder ein Computer einer Leitstelle mit einer Bediensoftware, angeschlossen werden kann, um Konfigurations- Einstellungen für das elektrische Feldgerat vorzunehmen.During the last years were hen data interfaces to those provided for by which an operator and / or monitoring of field devices is possible locally or remotely to simplify Bedie ¬ planning of field Advised. Usual is ¬ here at z. B. the provision of a serial interface as a data interface on the electric Feldgerat, on the example, an external data processing device, such as For example, a laptop or a computer of a control center with an operating software, can be connected to make configuration settings for the electric Feldgerat.
Aufgrund dieser erweiterten Möglichkeit zur Bedienung von elektrischen Feldgeraten aus der Ferne ergeben sich jedoch stark veränderte Sicherheitsbedingungen. Wahrend es bei alteren elektrischen Feldgeraten ohne die Möglichkeit einer Fern¬ bedienung nämlich relativ einfach ist, einen unbefugten Zugriff auf das Feldgerat zu verhindern (beispielsweise durch bauliche Maßnahmen und/oder entsprechende Überwachungen) , ist bei der Bedienung eines mit einer entsprechenden Datenschnittstelle versehenen Feldgerates aus der Ferne die Gefahr eines unerlaubten Fremdzugriffs deutlich erhöht. Diese Gefahr steigt durch die Einfuhrung von netzwerkfahigen Ethernet- Schnittstellen als Datenschnittstellen an den Feldgeraten nochmals deutlich an, da die Feldgerate nunmehr über große, häufig nicht vollkommen absicherbare Netzwerke miteinander verbunden sein können.Due to this extended possibility to operate electric field devices from a distance, however, greatly changed safety conditions result. While it is relatively easy to prevent unauthorized access to the Feldgerat (for example, by structural measures and / or appropriate monitoring) in older electric field devices without the possibility of remote ¬ operation namely, is in the operation of a provided with a corresponding data interface field device off remotely significantly increases the risk of unauthorized third-party access. This danger increases again significantly by the introduction of network-capable Ethernet interfaces as data interfaces on the field devices, since the field devices can now be interconnected via large, often not completely secure networks.
Feldgerate werden von der Anmelderin beispielsweise in Form elektrischer Schutzgerate unter der Geratereihe „SIPROTEC" angeboten. Aus der Systembeschreibung von SIPROTEC 4 -Feldgeraten der Siemens AG, Ausgabe: 21.06.04, Bestellnr. E50417- H1100-C151-A6, gehen elektrische Feldgerate hervor, die eine Eingabevorrichtung in Form eines Tastenfeldes und eine Anzeigevorrichtung in Form eines Diplays aufweisen. Über das Tastenfeld können samtliche Funktionen des elektrischen Feldgerates aufgerufen werden. Zum Durchfuhren sensibler Funktionen muss über das Eingabefeld ein entsprechendes Passwort eingegeben werden. Die Feldgerate weisen ferner an ihrer Frontseite als Datenschnittstelle eine so genannte Bedienschnittstelle in Form einer seriellen Steckverbindung auf. An diese Bedienschnittstelle kann über ein serielles Datenubertra- gungskabel ein externer Computer angeschlossen werden, auf dem eine Bedien-/Beobachtungs- und/oder Parametriersoftware ablauft. Mit Hilfe dieser Software können Einstellungen in dem Gerat vorgenommen und geändert sowie die Bedienung und Beobachtung des Gerätes durchgeführt werden.Field devices are offered by the applicant, for example, in the form of electrical protection devices under the device series "SIPROTEC." The system description of SIPROTEC 4 field devices from Siemens AG, issue: 21.06.04, order No. E50417-H1100-C151-A6, shows electrical field devices The keypad can be used to call up all the functions of the electric field device.To carry out sensitive functions, a corresponding password must be entered in the input field.The field devices also have their front panel As a data interface, a so-called user interface in the form of a serial plug-in connection can be connected to this user interface via a serial data transmission interface. An external computer, on which an operating / monitoring and / or parameterization software runs, must be connected. With the help of this software, settings in the device can be made and changed and the operation and observation of the device can be performed.
Wie außerdem aus der erwähnten Systembeschreibung hervorgeht, können die Gerate auch mit einer Datenschnittstelle in Form einer Ethernet-Schnittstelle ausgestattet sein, die eine Netzwerkanbindung des Gerätes ermöglicht. Die Ansteuerung von sensiblen Funktionen des elektrischen Feldgerates über die Ethernet-Schnittstelle ist aus Sicherheitsgründen standardmäßig gesperrt, kann aber über den Betreiber des Feldgerates durch entsprechende Einstellungen auch zugelassen werden.As can also be seen from the mentioned system description, the devices can also be equipped with a data interface in the form of an Ethernet interface, which enables a network connection of the device. The control of sensitive functions of the electric field device via the Ethernet interface is blocked by default for security reasons, but can also be approved by the operator of the field device by appropriate settings.
Bei der Verwendung von Passwortern als Schutz vor unerlaubtem Zugriff auf ein elektrisches Feldgerat besteht die Gefahr, dass das Passwort von Dritten - beispielsweise durch Anzapfen einer zum Übertragen des Passwortes verwendeten Datenverbin- düng - ausgespäht und danach zu unerlaubten Zwecken verwendet wird. Ferner birgt ein herkömmliches Passwort auch die Gefahr in sich, dass der Betreiber des Feldgerates ein üblicherweise vom Hersteller bei allen Feldgeraten gleich lautend eingestelltes Standardpasswort unverändert beibehalt. Ein solches Standardpasswort kann auch unbefugten Dritten bekannt sein und daher in einfacher Weise für unerlaubte Manipulation eingesetzt werden.When using passwords to protect against unauthorized access to an electric field device, there is a risk that the password may be spied on by third parties - for example by tapping a data connection used to transmit the password - and then used for unauthorized purposes. Furthermore, a conventional password also entails the risk that the operator of the field device maintains a standard password, which is usually set the same for all field devices by the manufacturer, unchanged. Such a standard password may also be known to unauthorized third parties and therefore be used in a simple manner for unauthorized manipulation.
Der Erfindung liegt die Aufgabe zugrunde, eine Übermittlung von Daten an ein elektrisches Feldgerat mit einfachen Mitteln noch sicherer auszugestalten.The invention has the object of providing a transfer of data to an electric Feldgerat with simple means even safer.
Die genannte Aufgabe wird durch ein Verfahren gelost, bei dem von dem Feldgerat eine elektronische Anfrage empfangen wird, die eine Übermittlung der Daten an das elektrische Feldgerat ankündigt und als Reaktion auf die Anfrage in dem Feldgerat eine Zufallszeichenfolge erzeugt und von einer lokalen Ausgabevorrichtung des Feldgerates ausgegeben wird. Von der exter- nen Datenverarbeitungseinrichtung wird die Zufallszeichenfolge empfangen und die zu übermittelnden Daten werden in der externen Datenverarbeitungseinrichtung mit der Zufallszeichenfolge unter Erzeugen eines Datenpaketes verknüpft. Das Datenpaket wird an das Feldgerät übermittelt, das unter Ver- wendung der Zufallszeichenfolge eine Überprüfung des übermittelten Datenpaketes durchführt. Bei positivem Prufergebnis werden aus dem Datenpaket die Daten extrahiert und an eine Speichereinrichtung des Feldgerates übertragen.The stated object is achieved by a method in which an electronic request is received by the field device, which announces a transmission of the data to the electric field device and generates a random string in response to the request in the field device and is output from a local output device of the field device. The random data string is received by the external data processing device and the data to be transmitted are linked in the external data processing device to the random string while generating a data packet. The data packet is transmitted to the field device, which performs a check of the transmitted data packet using the random string. If the test result is positive, the data is extracted from the data packet and transmitted to a memory device of the field device.
Die Erfindung macht sich die bereits zuvor erwähnte Tatsache zunutze, dass elektrische Feldgerate, die zur Durchfuhrung sicherheitskritischer Aufgaben eingesetzt werden, üblicherweise in speziell geschützten Bereichen, wie beispielsweise abgeschlossenen und gegebenenfalls zusatzlich überwachten Be- reichen untergebracht sind. Zu solchen Bereichen hat üblicherweise nur befugtes Personal Zugang. Dadurch, dass von dem Feldgerat vor einer Datenübermittlung die bei der weiteren Datenübermittlung benotigte Zufallszeichenfolge ausschließlich mittels einer lokalen Ausgabevorrichtung, wie beispiels- weise einem Geratedisplay, ausgegeben wird, kann sichergestellt werden, dass ein Ausspähen der Zufallszeichenfolge durch Dritte, die keinen Zugang zu dem gesicherten Bereich haben, verhindert wird.The invention makes use of the fact already mentioned above that electric field devices which are used to carry out safety-critical tasks are usually accommodated in specially protected areas, such as, for example, closed areas and optionally additionally monitored areas. Usually only authorized personnel have access to such areas. By issuing the random character string required for the further data transmission from the field device before a data transmission exclusively by means of a local output device, such as a display, it can be ensured that a spying out of the random character sequence by third parties that do not have access to the secure Area is prevented.
Beispielsweise kann sich zum Ablesen der Zufallsuzeichenfolge ein Mitarbeiter des Betreibers des Automatisierungssystems direkt vor Ort aufhalten und die abgelesene Zufallszeichenfolge an einen weiteren Mitarbeiter, der die externe Datenverarbeitungseinrichtung bedient, übermittelt werden. Alternativ kann ein Ablesen und Übermitteln der Zufallszeichenfolge auch beispielsweise über ein Kamerasystem erfolgen, das die aufgenommenen Daten an die externe Datenverarbeitung übermittelt.For example, an employee of the operator of the automation system can be present locally to read the random sequence of characters and the read random string can be transmitted to another employee who operates the external data processing device. Alternatively, a reading and transmission of the random string can also take place, for example, via a camera system which transmits the recorded data to the external data processing.
Dadurch, dass zum Erzeugen des die zu übermittelnden Daten enthaltenden Datenpaketes die Zufallszeichenfolge benotigt wird, erübrigt sich außerdem die Notwendigkeit einer Pass- wortabfrage. Da die Zufallszeichenfolge zudem direkt durch das Feldgerat erzeugt wird, besteht ferner auch keine Notwendigkeit eines herstellerseitig vergebenen Standardpasswortes mit dem damit verbundenen Risiko mehr.The fact that the random string is needed to generate the data packet containing the data to be transmitted, the need for a password query is also unnecessary. Furthermore, since the random string is generated directly by the field device, there is no longer any need for a standard password assigned by the manufacturer and the associated risk.
Eine vorteilhafte Ausfuhrungsform des erfindungsgemaßen Verfahrens sieht vor, dass die Übermittlung der Zufallszeichenfolge von dem Feldgerat an die externe Datenverarbeitungseinrichtung einerseits und die Übermittlung des Datenpakets von der externen Datenverarbeitungseinrichtung an das Feldgerat andererseits mit unterschiedlichen Kommunikationsmitteln durchgeführt wird.An advantageous embodiment of the method according to the invention provides that the transmission of the random string from the field device to the external data processing device on the one hand and the transmission of the data packet from the external data processing device to the field device on the other hand with different communication means.
Durch die Verwendung unterschiedlicher Kommunikationsmittel einerseits zum Übertragen der Zufallszeichenfolge und ande- rerseits zum Übertragen des Datenpakets wird unbefugten Dritten ein Zugriff auf das Feldgerat noch weiter erschwert, da zum Erhalten aller notwendigen Informationen bzw. zum Verandern der zu übertragenen Daten zwei unterschiedliche Kommunikationsverbindungen überwacht werden mussten.By using different means of communication on the one hand for transmitting the random string and on the other hand for transmitting the data packet, access to the field device is made even more difficult for unauthorized third parties because two different communication links had to be monitored to obtain all necessary information or to change the data to be transmitted ,
In diesem Zusammenhang wird es als vorteilhaft angesehen, wenn eines der Kommunikationsmittel eine Telekommunikationsverbindung zur Übermittlung von Sprachdaten ist. Telekommunikationsverbindungen sind weitgehend flachendeckend verfugbar und stellen somit ein einfaches Mittel zum Übertragen der Zufallszeichenfolge oder des Datenpaketes dar. Ferner besteht die Möglichkeit verschlüsselter oder anderweitig gesicherter Telekommunikationsverbindungen, so dass ein Abhören erschwert werden kann.In this context, it is considered advantageous if one of the communication means is a telecommunication connection for the transmission of voice data. Telecommunications connections are largely flat available available and thus represent a simple means for transmitting the random string or the data packet. Furthermore, there is the possibility of encrypted or otherwise secured telecommunication connections, so that interception can be made more difficult.
Eine weitere vorteilhafte Ausfuhrungsform der Erfindung wird dadurch angegeben, dass das Datenpaket durch Verschlüsselung oder digitale Signatur der Daten unter Verwendung der Zu- fallszeichenfolge erzeugt wird. Hinreichend sichereA further advantageous embodiment of the invention is specified in that the data packet is generated by encryption or digital signature of the data using the random string. Sufficiently safe
Verschlusselungs- und Signaturverfahren, wie zum Beispiel ein PGP-Verschlusselungsverfahren, sind weit verbreitet und einfach verfugbar.Encryption and signature methods, such as a PGP encryption method, are widely used and readily available.
Eine weitere vorteilhafte Ausfuhrungsform des erfindungsgema- ßen Verfahrens sieht zudem vor, dass die Daten ein digitales Zertifikat und/oder Konfigurationsdaten zur Konfigurierung des Feldgerates umfassen.A further advantageous embodiment of the method according to the invention also provides for the data to comprise a digital certificate and / or configuration data for configuring the field device.
Bei den genannten Datenarten handelt es sich um besonders sensible Daten, da ein fremder Zugriff auf solche Daten sich auf das gesamte Automatisierungssystem auswirken wurde. Ein digitales Zertifikat wird zum Beispiel zur gesicherten Datenübertragung zwischen mehreren Geraten das Automatisierungs- System verwendet, wahrend Konfigurationsdaten die zum einwandfreien Betrieb des Feldgerates notwendigen Parameter und Einstellungen umfassen. Solche Einstellungen können beispielsweise Schwellenwerte zur Ausfuhrung von Schutzalgorith¬ men oder Rollen- und Rechteeinstellungen umfassen, die be- stimmten Nutzern Zugriff auf Geratefunktionen des elektrischen Feldgerates erlauben oder verbieten.The data types mentioned are particularly sensitive data, since a third party access to such data would affect the entire automation system. For example, a digital certificate uses the automation system for secure data transmission between several devices, while configuration data comprise the parameters and settings necessary for the proper operation of the field device. Such adjustments may include, for example, thresholds for the execution of Schutzalgorith ¬ men or roles and rights settings that allow users access to approved loading device functions of the electric field device or prohibited.
Außerdem kann gemäß einer weiteren vorteilhaften Ausfuhrungsform des erfindungsgemaßen Verfahrens vorgesehen sein, dass die Daten einen Befehlsaufruf zur Ausführung einer Funktion des Feldgerates umfassen und das Feldgerat bei positivem Prufergebnis die entsprechende Funktion ausfuhrt.In addition, it can be provided according to a further advantageous embodiment of the inventive method that the data comprises a command call to execute a function of the field device and the field device carries out the corresponding function if the check result is positive.
Auf diese Weise können besonders sicherheitsrelevante Befehle, wie beispielsweise das Ein- und Ausschalten von Leistungsschaltern, auf sichere Weise durchgeführt werden.In this way, particularly safety-related commands, such as the switching on and off of circuit breakers can be performed in a secure manner.
Eine weitere vorteilhafte Ausfuhrungsform des erfindungsgema- ßen Verfahrens sieht zudem vor, dass nach dem Übertragen der Daten an die Speichereinrichtung des Feldgerates die Zufallszeichenfolge geloscht wird.A further advantageous embodiment of the method according to the invention also provides that after transferring the data to the memory device of the field device, the random string is deleted.
Hierdurch wird die Sicherheit des Verfahrens weiter erhöht, da eine von dem Feldgerat erzeugte Zufallszeichenfolge lediglich für einen einzigen Datenubermittlungsvorgang Gültigkeit besitzt und danach wieder geloscht wird. Auf diese Weise kann auch dann, wenn eine Zufallszeichenfolge doch ausgespäht werden sollte, diese für weitere Datenübermittlungen nicht mehr benutzt werden.As a result, the security of the method is further increased since a random string generated by the field device only has validity for a single data transmission process and is then deleted again. In this way, even if a random string should still be spied out, it will no longer be used for further data transmissions.
Die oben genannte Aufgabe wird auch durch ein elektrisches Feldgerat mit einer Steuereinrichtung und einer lokalen Ausgabevorrichtung gelost, bei dem die Steuereinrichtung derart ausgebildet ist, dass sie als Reaktion auf den Empfang einer elektronischen Anfrage, die eine Übermittlung von Daten an das elektrische Feldgerat ankündigt, eine Zufallszeichenfolge erzeugt und mittels der lokalen Ausgabevorrichtung ausgibt. Wie bereits beschrieben kann diese lediglich lokal ausgege- bene Zufallszeichenfolge im Folgenden zur Absicherung der Übertragung der Daten an das Feldgerat eingesetzt werden.The above object is also achieved by an electric field device with a control device and a local output device, in which the control device is designed such that it in response to the receipt of an electronic request, which announces a transmission of data to the electric Feldgerat a Random string generated and output by means of the local output device. As already described, this randomly generated string, which is only locally output, can be used below to secure the transmission of the data to the field device.
Die Erfindung soll im Folgenden anhand von Ausfuhrungsbei¬ spielen naher erläutert werden. Hierzu zeigen Figur 1 eine schematische und vereinfachte Darstellung eines Automatisierungssystems; undThe invention will be explained in more detail below with reference to Ausfuhrungsbei ¬ games. Show this Figure 1 is a schematic and simplified representation of an automation system; and
Figur 2 ein schematisches Ablaufbild eines Verfahrens zumFigure 2 is a schematic flow diagram of a method for
Übermitteln von Daten an ein elektrisches Feldgerat von einer externen Datenverarbeitungseinrichtung.Transmitting data to an electric field device from an external data processing device.
Figur 1 zeigt ein Automatisierungssystem, von dem der Ein- fachheit halber lediglich ein elektrisches Feldgerat 10 und zwei Möglichkeiten einer externen Datenverarbeitungseinrichtung 14a bzw. 14b gezeigt sind.FIG. 1 shows an automation system of which, for the sake of simplicity, only one electric field device 10 and two options of an external data processing device 14a or 14b are shown.
Das Feldgerat besitzt eine lokale Eingabevorrichtung 11 in Form eines Tastenfeldes und eine lokale Ausgabevorrichtung 12 in Form eines Gerätedisplays und dient beispielsweise zur Steuerung und Überwachung eines in Figur 1 der Einfachheit halber nicht gezeigten Teils eines elektrischen Energieversorgungsnetzes. In diesem Zusammenhang kann das Feldgerat 10 beispielsweise ein elektrisches Schutzgerat, ein Leitgerat oder ein sogenanntes Power-Quality-Gerat sein.The field device has a local input device 11 in the form of a keypad and a local output device 12 in the form of a device display and serves, for example, for controlling and monitoring a part of an electrical energy supply network not shown in FIG. 1 for the sake of simplicity. In this context, the Feldgerat 10 may be, for example, an electrical protection device, a Leitgerat or a so-called power quality device.
Das elektrische Feldgerat 10 ist über einen Netzwerkanschluss mit einem in Figur 1 nur teilweise dargestellten Datenbus 13 eines Kommunikationsnetzes des Automatisierungssystems verbunden. Mit dem Datenbus 13 steht ebenfalls die externe Datenverarbeitungseinrichtung 14a in Form eines Personalcomputers in Verbindung. Beispielsweise kann es sich bei dieser externen Datenverarbeitungseinrichtung 14a um einen Personal- Computer in einer Leitstelle zum Steuern und Überwachen des elektrischen Energieversorgungsnetzes handeln. Die externe Datenverarbeitungseinrichtung 14a kann hierzu beispielsweise eine Bedien- und Beobachtungssoftware aufweisen, mit der auf Funktionen und Messwerte des elektrischen Feldgerates zugegriffen werden kann.The electric field device 10 is connected via a network connection to a data bus 13, shown only partially in FIG. 1, of a communication network of the automation system. Also connected to the data bus 13 is the external data processing device 14a in the form of a personal computer. For example, this external data processing device 14a may be a personal computer in a control center for controlling and monitoring the electrical power supply network. For this purpose, the external data processing device 14a can, for example, have operating and monitoring software with which Functions and measurements of the electric field device can be accessed.
Die Bedien- und Beobachtungssoftware kann auch durch ein so- genanntes Konfigurationswerkzeug ausgebildet sein, mit dem Einstellungen des elektrischen Feldgerates 10 programmiert und in Form eines sogenannten Parametersatzes an das elektrische Feldgerat 10 übertragen werden können.The operating and monitoring software can also be formed by a so-called configuration tool with which settings of the electric field device 10 can be programmed and transmitted to the electric field device 10 in the form of a so-called parameter set.
Alternativ oder zusatzlich zu der externen Datenverarbeitungseinrichtung 14a kann eine tragbare externe Datenverarbeitungseinrichtung 14b vorgesehen sein, bei der es sich beispielsweise um einen tragbaren Computer, z.B. einen Laptop, handeln kann, der ebenfalls mit einer Bedien- und Beobach- tungssoftware ausgestattet sein kann. Eine solche tragbare externe Datenverarbeitungseinrichtung 14b kann beispielsweise dazu verwendet werden, um über eine kabelgebundene oder drahtlose Verbindung, wie sie in Figur 1 lediglich mit einer strichliert dargestellten Datenverbindung 15 angedeutet ist, auf eine lokale Schnittstelle des elektrischen Feldgerates 10 zuzugreifen und darüber eine temporare Datenverbindung mit dem elektrischen Feldgerat 10 auszubilden.Alternatively or in addition to the external data processing device 14a, a portable external data processing device 14b may be provided, which may be, for example, a portable computer, e.g. a laptop, which can also be equipped with operating and monitoring software. Such a portable external data processing device 14b can be used, for example, to access a local interface of the electric field device 10 via a wired or wireless connection, as indicated in FIG. 1 only by a data connection 15 shown in dashed lines, and via this a temporary data connection form the electric Feldgerat 10.
Da elektrische Feldgerate wie das Feldgerat 10 häufig in Au- tomatisierungssystemen für sicherheitsrelevante Prozesse, wie beispielsweise Steuerung und Überwachung eines elektrischen Energieversorgungsnetzes, eingesetzt werden, muss gewahrleistet werden, das Unbefugte keinerlei Zugriff auf Funktionen und Informationen des elektrischen Feldgerates 10 erlangen können. Ein Ausfuhrungsbeispiel eines sicheren Verfahrens zur Datenübermittlung von der externen Datenverarbeitungseinrichtung 14a an das elektrische Feldgerät 10 wird im Folgenden unter Bezugnahme auf Figur 2 naher erläutert. Die folgenden Erläuterungen können in entsprechender Weise auf eine Daten- Übermittlung von der tragbaren externen Datenverarbeitungseinrichtung 14b an das Feldgerat 10 übertragen werden.Since electrical field devices such as field device 10 are frequently used in automation systems for safety-relevant processes, such as control and monitoring of an electrical energy supply network, it must be ensured that the unauthorized person can not gain access to functions and information of the electric field device 10. An exemplary embodiment of a secure method for data transmission from the external data processing device 14a to the electric field device 10 will be explained in more detail below with reference to FIG. The following explanations may apply mutatis mutandis to a data Transmission are transmitted from the portable external data processing device 14 b to the Feldgerat 10.
Bei der Erläuterung der Figur 2 soll angenommen werden, dass es sich bei den Daten, die von der externen Datenverarbeitungseinrichtung 14a an das elektrische Feldgerat 10 übertragen werden sollen, um ein digitales Zertifikat handelt. Digitale Zertifikate werden beispielsweise bei einer verschlüsselten Datenübertragung innerhalb des Automatisierungssystems (d.h. beispielsweise zwischen mehreren Feldgeraten oder einem Feldgerat und einem Leitstellenrechner) eingesetzt, um eine Zuordnung eines zur Verschlüsselung eingesetzten Schlusseis mit dem dazu gehörenden elektrischen Gerat zu bestätigen.2, assume that the data to be transmitted from the external data processing device 14a to the electric field device 10 is a digital certificate. Digital certificates are used, for example, in an encrypted data transmission within the automation system (i.e., for example between several field devices or a field device and a control center computer) in order to confirm an assignment of a closure used for encryption with the associated electrical device.
In öffentlichen Netzwerken, wie beispielsweise dem Internet, verweisen üblicherweise einzelne zur Datenverschlusselung eingesetzte Zertifikate zur Sicherheit auf hierarchisch übergeordnete Zertifikate, bis die hierdurch gebildete Zertifikatskette schließlich bei einem als vertrauenswürdig einge- stuften Wurzelzertifikat, das beispielsweise in einem sogenannten „Trust Center" verwaltet wird, angelangt ist. Diese Möglichkeit besteht in nach außen hin abgeschotteten Kommunikationsnetzwerken, wie einem Kommunikationsnetzwerk, das zur Datenübertragung innerhalb eines Automatisierungssystems ein- gesetzt wird, jedoch nicht, da keine Kommunikationsverbindung zwischen dem Automatisierungsnetzwerk und einem Trust Center besteht. Folglich besteht die Notwendigkeit, für das Automatisierungssystem ein eigenes Basiszertifikat vorzuhalten, das quasi die Funktion eines Wurzelzertifikates übernimmt und auf das sich alle anderen Gerate mit ihren personlichen Zertifikaten berufen können. Beim Speichern, Andern oder Entfernen eines solchen digitalen Basiszertifikats auf einem Feldgerat eines Automatisierungssystems muss daher mit absoluter Sicherheit gewahrleistet sein, dass keine Manipulation des Ba- siszertifikates durch Dritte während des Ubermittlungsvor- gangs an das elektrische Feldgerat ausgeschlossen ist. Ansonsten konnte ein unbefugter Dritter bei Kenntnis des Basiszertifikates eine Manipulation der gesamten Kommunikation in dem Automatisierungssystem vornehmen und somit auf sensible Funktionen des Automatisierungssystems zugreifen. Außer bei dem Basiszertifikat ist jedoch auch bei den anderen in dem Automatisierungssystem verwendeten Zertifikaten - zum Beispiel geräteindividuellen Zertifikaten, die auf das Basiszer- tifikat verweisen - eine ausreichende Sicherheit gegen äußere Manipulation zu gewahrleisten, so dass das im Folgenden beschriebene Verfahren auch hierbei eingesetzt werden kann.In public networks such as the Internet, for example, individual certificates used for data encryption refer to hierarchically higher-level certificates for security until the certificate chain formed thereby finally reaches a trustworthy root certificate, which is managed, for example, in a so-called "trust center". This possibility exists in externally isolated communication networks, such as a communication network used for data transmission within an automation system, but not because there is no communication connection between the automation network and a trust center Automation system to hold its own basic certificate, which basically assumes the function of a root certificate and to which all other devices can invoke their personal certificates Therefore, when storing, changing or removing such a digital basic certificate on a field device of an automation system, it must be ensured with absolute certainty that no manipulation of the hardware is necessary. siszertifikates by third parties during the transmission process to the electric field device is excluded. Otherwise an unauthorized third party could, with knowledge of the basic certificate, manipulate the entire communication in the automation system and thus access sensitive functions of the automation system. However, with the other certificates used in the automation system, for example device-specific certificates which refer to the base certificate, apart from the basic certificate, sufficient security against external manipulation must be guaranteed, so that the method described below can also be used here ,
Die Ansicht in Figur 2 ist unterteilt in Verfahrensschritte, die in dem elektrischen Feldgerat 10, beispielsweise von einer mikroprozessorgesteuerten Steuereinrichtung, ausgeführt werden, und solchen, die in der externen Datenverarbeitungseinrichtung 14a ausgeführt werden. Das Feldgerat 10 ist in einem gesicherten Bereich untergebracht, der nur für befugtes Personal zuganglich ist. Um auf sichere Weise ein Zertifikat an das elektrische Feldgerat 10 zu übermitteln, wird gemäß Figur 2 in einem ersten Schritt 20 eine elektronische Anfrage, die eine Übermittlung des Zertifikates ankündigt, an das elektrische Feldgerat 10 erzeugt und dorthin übertragen. Im Schritt 21 empfangt das elektrische Feldgerat 10 die elektronische Anfrage. In Figur 2 wird davon ausgegangen, dass Schritt 20, also das Erzeugen der elektronischen Anfrage, innerhalb der Datenverarbeitungseinrichtung 14a erfolgt. Alternativ kann, wie durch den strichliert dargestell- ten Schritt 20a angedeutet ist, die elektronische Anfrage auch lokal an dem elektrischen Feldgerat 10, beispielsweise über eine Eingabevorrichtung oder eine lokal mit dem elektrischen Feldgerat 10 verbundene Datenverarbeitungseinrichtung erzeugt werden. Als Reaktion auf die elektronische Anfrage erzeugt das elektrische Feldgerät 10 in einem Schritt 22 eine in Figur 2 mit „RND" (=random) bezeichnete Zufallszeichenfolge und gibt diese im Schritt 23 an eine lokale Ausgabevorrichtung aus. Bei der lokalen Ausgabevorrichtung handelt es sich bevorzugt um ein Geratedisplay. Allerdings kann auch eine andere Art der Ausgabe, beispielsweise eine akustische Ausgabe, vorgesehen sein. Wichtig ist in diesem Zusammenhang, dass die Aus- gäbe der erzeugten Zufallszeichenfolge RND ausschließlich lokal an dem elektrischen Feldgerat 10 erfolgt und daher außerhalb des gesicherten Bereiches, in dem sich das elektrische Feldgerat 10 befindet, nicht erkennbar ist. Auf diese Weise kann sichergestellt werden, dass nur Personen, die sich in befugter Weise bei dem elektrischen Feldgerates 10 aufhalten, in Kenntnis der Zufallszeichenfolge gelangen können.The view in FIG. 2 is subdivided into method steps which are carried out in the electric field device 10, for example by a microprocessor-controlled control device, and those which are carried out in the external data processing device 14a. The Feldgerat 10 is housed in a secure area, which is accessible only to authorized personnel. In order to transmit a certificate to the electric field device 10 in a secure manner, according to FIG. 2, in a first step 20, an electronic inquiry, which announces a transmission of the certificate, is generated and transmitted to the electric field device 10. In step 21, the electric field device 10 receives the electronic request. In FIG. 2, it is assumed that step 20, that is to say the generation of the electronic request, takes place within the data processing device 14a. Alternatively, as indicated by the step 20a shown by the dashed line, the electronic request can also be generated locally on the electric field device 10, for example via an input device or a data processing device connected locally to the electric field device 10. In response to the electronic request, in a step 22, the electric field device 10 generates a random string designated "RND" in Figure 2 and outputs it to a local output device in step 23. The local output device is preferably However, another type of output, for example an acoustic output, may also be provided, In this connection it is important that the output of the generated random string RND takes place exclusively locally on the electric field device 10 and therefore outside the secured area, In this way it can be ensured that only persons who are in an authorized manner with the electric field device 10, can get in knowledge of the random string.
In dem Ausfuhrungsbeispiel gemäß Figur 2 wird im Schritt 23 die Zufallszeichenfolge RND mit einer lokalen Ausgabevorrich- tung des elektrischen Feldgerates ausgegeben und dort beispielsweise von einem sich vor Ort befindenden Mitarbeiter des Betreibers des Automatisierungssystems abgelesen und an einen weiteren Mitarbeiter, der die Bedienung der externen Datenverarbeitungseinrichtung 14a vornimmt, übermittelt. Die Übermittlung kann hierbei beispielsweise über eine Telekommunikationsverbindung zur Übertragung von Sprachdaten erfolgen. Eine solche Telekommunikationsverbindung ist nahezu flachendeckend verfugbar und stellt daher eine einfache Möglichkeit für die Übertragung der Zufallszeichenfolge RND dar.In the exemplary embodiment according to FIG. 2, in step 23 the random character sequence RND is output with a local output device of the electric field device and read there, for example, by an on-site employee of the operator of the automation system and to another employee who controls the operation of the external data processing device 14a, transmitted. The transmission can take place here, for example, via a telecommunication connection for the transmission of voice data. Such a telecommunication connection is available almost flat cover and therefore represents a simple possibility for the transmission of the random string RND.
Alternativ kann auch vorgesehen sein, dass die Zufallszei¬ chenfolge an dem elektrischen Feldgerät 10 automatisch, beispielsweise über ein Kamerasystem, erfasst und an die externe Datenverarbeitungseinrichtung 14a übertragen wird, wo sie entweder von einem Mitarbeiter des Automatisierungssystems abgelesen und in die externe Datenverarbeitungseinrichtung eingegeben wird oder mittels eines Zeichenerkennungsprogramms in computerlesbare Zeichen umgesetzt und auf diese Weise der externen Datenverarbeitungseinrichtung 14 zur Verfugung gestellt wird.Alternatively, where it can also be provided that the Zufallszei ¬ chenfolge automatically on the electrical field device 10, for example via a camera system, is detected and transmitted to the external data processing device 14a, either read by an employee of the automation system and input to the external data processing device or converted by means of a character recognition program into computer-readable characters and thus provided to the external data processing device 14.
Die externe Datenverarbeitungseinrichtung 14 empfangt in Schritt 24 die empfangene Zufallszeichenfolge RND und verwen- det diese in einem folgenden Schritt 25, um das an das elektrische Feldgerat 10 zu übertragende Zertifikat - in Figur 2 mit „DAT" (=Daten) gekennzeichnet - zu verschlüsseln. Hierzu wird der für die Verschlüsselung der zu übertragenden Daten DAT verwendete Schlüssel auf Basis der Zufallszeichenfolge RND gebildet.The external data processing device 14 receives the received random string RND in step 24 and uses it in a following step 25 to encrypt the certificate to be transmitted to the electric field device 10 - labeled "DAT" (= data) in FIG. For this purpose, the key used for the encryption of the data DAT to be transmitted is formed on the basis of the random string RND.
Alternativ zu einer Verschlüsselung kann auch eine digitale Signatur der zu übertragenden Daten DAT mittels der Zufallszeichenfolge RND erfolgen, wobei in diesem Fall die Gefahr besteht, dass die zu übertragenden Daten DAT bei der Übermittlung an das elektrische Feldgerat 10 in Klarform ausgespäht werden können.As an alternative to encryption, a digital signature of the data DAT to be transmitted can also take place by means of the random string RND, in which case there is the danger that the data DAT to be transmitted can be spied out in clear form when transmitted to the electric field device 10.
Durch die so erfolgte Verknüpfung der zu übertragenden Daten DAT mit der Zufallszeichenfolge RND wird in der externen Datenverarbeitungseinrichtung 14a im Schritt 26 ein Datenpaket - mit „DP" (=Datenpaket ) bezeichnet - gebildet, das daraufhin an das elektrische Feldgerat 10 übertragen wird. Die Übermittlung des Datenpaketes DP erfolgt hierbei vorzugsweise über ein Kommunikationsmittel, das von demjenigen Kommunika¬ tionsmittel verschieden ist, das zuvor zur Übertragung der Zufallszeichenfolge RND verwendet worden ist. Auf diese Weise wird die Sicherheit des Verfahrens noch weiter erhöht, da ein unbefugter Dritter nunmehr beide Kommunikationsmittel aufspa- hen musste, um an alle notwendigen Informationen zu gelangen, die zum manipulativen Zugreifen auf das elektrische Feldgerat 10 notwendig sind.By thus linking the data DAT to be transmitted with the random string RND, a data packet-labeled "DP" (= data packet) -is formed in the external data processing device 14a in step 26, which is then transmitted to the electric field device 10. The transmission of the data packet DP is preferably effected via a communication means that is different from that communica ¬ tion medium, which has been previously used for transmitting the random string RND. In this way, the security of the method is further increased because an unauthorized third party aufspa now both communication means - to get all the necessary information necessary to manipulatively access the electric field device 10.
Das elektrische Feldgerat 10 empfangt im Schritt 27 das Datenpaket DP und prüft im Schritt 28 unter Zuhilfenahme der ihm bekannten Zufallszeichenfolge RND das empfangene Datenpaket DP auf Richtigkeit. Hierbei prüft die Steuereinrichtung des elektrischen Feldgerats 10, ob das Datenpaket DP mit der korrekten Zufallszeichenfolge RND verknüpft worden ist.The electric field device 10 receives in step 27 the data packet DP and checks in step 28 with the aid of the known random string RND the received data packet DP for accuracy. In this case, the control device of the electric field device 10 checks whether the data packet DP has been linked to the correct random string RND.
Hierzu kann das elektrische Feldgerat 10 beispielsweise unter Verwendung der Zufallszeichenfolge RND den Versuch unternehmen, das Datenpaket DP zu entschlüsseln. Wenn der zur Verschlüsselung des Datenpakets DP eingesetzte Schlüssel eben- falls auf Basis der korrekten Zufallszeichenfolge RND gebildet worden ist, kann die Entschlüsselung des Datenpaketes DP unter Verwendung der Zufallszeichenfolge RND erfolgreich durchgeführt werden.For this purpose, the electric field device 10, for example, using the random string RND attempt to decrypt the data packet DP. When the key likewise used to encrypt the data packet DP has been formed on the basis if the correct random string RND, the decryption of the data packet DP using the random string RND can be carried out successfully.
Bei einem positiven Ergebnis der Überprüfung können die in dem Datenpaket DP enthaltenen Daten DAT - in diesem Fall das digitale Zertifikat - in einem abschließenden Schritt 29 aus dem Datenpaket DP extrahiert und in einer Speichereinrichtung des elektrischen Feldgerates 10 abgelegt werden.In the case of a positive result of the check, the data DAT contained in the data packet DP-in this case the digital certificate-can be extracted from the data packet DP in a concluding step 29 and stored in a memory device of the electric field device 10.
Auf die beschriebene Weise kann mit einfachen Mitteln ein vergleichsweise sicheres Verfahren angegeben werden, um Daten von einer externen Datenverarbeitungseinrichtung 14a an das elektrische Feldgerat 10 zu übertragen. Die Sicherheit des Verfahrens beruht insbesondere darauf, dass die Zufallszei¬ chenfolge RND an dem elektrischen Feldgerat 10 lediglich lokal ausgegeben wird, und außerhalb des gesicherten Bereiches, in dem sich das elektrische Feldgerat 10 befindet, nicht auf- gespaht werden kann. Da vorzugsweise zur Übermittlung der Zu- fallszeichenfolge RND und des mit Hilfe der Zufallszeichenfolge gebildeten Datenpakets DP unterschiedliche Kommunikationsmittel verwendet werden, beispielsweise eine Telekommunikationsverbindung zur Übertragung der Zufallszeichenfolge RND und ein Datenubertragungsnetzwerk zur Übertragung des Datenpakets DP, wird das Aufspahen dieser beiden Informationen durch einen Dritten zusatzlich erschwert, da dieser mehrere verschiedene Kommunikationsmittel überwachen und abhören musste .In the manner described, a comparatively secure method can be specified by simple means in order to transmit data from an external data processing device 14a to the electric field device 10. The security of the method is based in particular that the Zufallszei ¬ chenfolge RND is output to the electrical field device 10 is merely locally and outside the protected area, in which the electrical field device 10 is located, can not be gespaht up. Since, preferably, the transmission of the If the RND string and the data packet DP formed using the random string use different communication means, for example a telecommunication connection for transmitting the random string RND and a data transmission network for transmitting the data packet DP, the tracking of these two pieces of information by a third party is made even more difficult as it involves a plurality of different communication means had to monitor and listen.
In entsprechender Weise können außer einem digitalen Zertifikat beispielsweise auch Konfigurationsdaten zum Einstellen von Parametern und Funktionen des elektrischen Feldgerates 10 oder bestimmte sicherheitsrelevante Befehle von der externen Datenverarbeitungseinrichtung 14a an das elektrische Feldgerat 10 übertragen werden. Handelt es sich bei den übertragenen Daten DAT um einen Befehl zum Ausfuhren einer bestimmten Funktion, beispielsweise zum Ein- oder Ausschalten eines elektrischen Leistungsschalters, so kann vorgesehen sein, dass das elektrische Feldgerat 10 diesen nach positivem Pruf- ergebnis in Schritt 28 aus dem Datenpaket DP extrahiert und daraufhin zur Ausfuhrung bringt.In a corresponding manner, in addition to a digital certificate, for example, configuration data for setting parameters and functions of the electric field device 10 or certain safety-relevant commands can also be transmitted from the external data processing device 14a to the electric field device 10. If the transmitted data DAT is an instruction to export a specific function, for example to switch an electrical circuit breaker on or off, it can be provided that the electric field device 10 extracts it from the data packet DP after a positive test result in step extracted and then executed.
Um die Sicherheit des erläuterten Verfahrens noch weiter zu erhohen, kann die im Schritt 22 erzeugte Zufallszeichenfolge RND nach Beendigung der Übermittlung und Extraktion der Daten DAT aus dem Datenpaket DP geloscht werden, so dass für jeden Ubermittlungsvorgang eine neue Zufallszeichenfolge notwendig wird. Auf diese Weise kann selbst dann, wenn ein unbefugter Dritter in einem vergangenen DatenubermittlungsvorgangIn order to further increase the security of the explained method, the random character sequence RND generated in step 22 can be deleted from the data packet DP after completion of the transmission and extraction of the data DAT, so that a new random string sequence becomes necessary for each transmission process. This way, even if an unauthorized third party in a past data transfer process
Zugriff auf die Zufallszeichenfolge gehabt haben sollte, diese nicht zur Manipulation des elektrischen Feldgerates 10 eingesetzt werden, da sie in folgenden Datenubermittlungsvor- gangen keine Gültigkeit mehr hat. Should have had access to the random string, these are not used for manipulation of the electric field device 10, since it has no validity in subsequent Datenuberittellungsvor- gangs.

Claims

Patentansprüche claims
1. Verfahren zum Übermitteln von Daten von einer externen Datenverarbeitungseinrichtung (14a, 14b) an ein elektrisches Feldgerat (10) eines Automatisierungssystems, bei demA method for transmitting data from an external data processing device (14a, 14b) to an electric field device (10) of an automation system, in which
- von dem Feldgerat (10) eine elektronische Anfrage empfangen wird, die eine Übermittlung der Daten an das elektrische Feldgerat (10) ankündigt;- the field device (10) receives an electronic request announcing a transmission of the data to the electric field device (10);
- als Reaktion auf die Anfrage in dem Feldgerat (10) eine Zu- fallszeichenfolge erzeugt und von einer lokalen Ausgabevorrichtung des Feldgerates (10) ausgegeben wird;- generates a random string in response to the request in the field device (10) and outputs it from a local output device of the field device (10);
- von der externen Datenverarbeitungseinrichtung (14a, 14b) die Zufallszeichenfolge empfangen wird;- the random data string is received by the external data processing device (14a, 14b);
- die zu übermittelnden Daten in der externen Datenverarbei- tungseinrichtung (14a, 14b) mit der Zufallszeichenfolge unter- The data to be transmitted in the external data processing device (14a, 14b) with the random string under
Erzeugen eines Datenpaketes verknüpft werden;Generating a data packet to be linked;
- das Datenpaket an das Feldgerat (10) übermittelt wird;- The data packet to the Feldgerat (10) is transmitted;
- das Feldgerat (10) unter Verwendung der Zufallszeichenfolge eine Überprüfung des übermittelten Datenpaketes durchfuhrt; und- the Feldgerat (10) using the random string performs a review of the transmitted data packet; and
- bei positivem Prufergebnis aus dem Datenpaket die Daten extrahiert und an eine Speichereinrichtung des Feldgerates (10) übertragen werden.- If the test result is positive, the data is extracted from the data packet and transmitted to a memory device of the field device (10).
2. Verfahren nach Anspruch 1, d a d u r c h g e k e n n z e i c h n e t, dass2. Method according to claim 1, characterized in that
- die Übermittlung der Zufallszeichenfolge von dem Feldgerat (10) an die externe Datenverarbeitungseinrichtung (14a, 14b) einerseits und die Übermittlung des Datenpakets von der ex- ternen Datenverarbeitungseinrichtung (14a, 14b) an das Feldgerat (10) andererseits mit unterschiedlichen Kommunikationsmitteln durchgeführt wird.- The transmission of the random string from the Feldgerat (10) to the external data processing device (14a, 14b) on the one hand and the transmission of the data packet from the external data processing device (14a, 14b) to the Feldgerat (10) on the other hand with different communication means is performed.
3. Verfahren nach Anspruch 2, d a d u r c h g e k e n n z e i c h n e t, dass3. The method according to claim 2, characterized in that
- eines der Kommunikationsmittel eine Telekommunikationsverbindung zur Übermittlung von Sprachdaten verwendet.- One of the communication means uses a telecommunications connection for the transmission of voice data.
4. Verfahren nach einem der vorangehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass4. Method according to one of the preceding claims, characterized in that
- das Datenpaket durch Verschlüsselung oder digitale Signatur der Daten unter Verwendung der Zufallszeichenfolge erzeugt wird .- The data packet is generated by encryption or digital signature of the data using the random string.
5. Verfahren nach einem der vorangehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass5. The method according to any one of the preceding claims, d a d u r c h e c e n e c e in that e
- die Daten ein digitales Zertifikat und/oder Konfigurationsdaten zur Konfigurierung des Feldgerates (10) umfassen.- The data include a digital certificate and / or configuration data for configuring the Feldgerates (10).
6. Verfahren nach einem der vorangehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass6. The method according to any one of the preceding claims, d a d u r c h e c e n e c e s in that e
- die Daten einen Befehlsaufruf zur Ausfuhrung einer Funktion des Feldgerates (10) umfassen; und - das Feldgerat (10) bei positivem Prufergebnis die entsprechende Funktion ausfuhrt.the data comprises a command call to execute a function of the field device (10); and - the field device (10) executes the corresponding function if the test result is positive.
7. Verfahren nach einem der vorangehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass - nach dem übertragen der Daten an die Speichereinrichtung des Feldgerates (10) die Zufallszeichenfolge geloscht wird.7. Method according to one of the preceding claims, characterized in that - after the data has been transmitted to the memory device of the field device (10), the random string sequence is deleted.
8. Elektrisches Feldgerat (10) mit einer Steuereinrichtung und einer lokalen Ausgabevorrichtung, wobei - die Steuereinrichtung derart ausgebildet ist, dass sie als Reaktion auf den Empfang einer elektronischen Anfrage, die eine Übermittlung von Daten an das elektrische Feldgerat an¬ kündigt, eine Zufallszeichenfolge erzeugt und mittels der lokalen Ausgabevorrichtung ausgibt. 8. electric field device (10) with a control device and a local output device, wherein - the control device is designed such that it generates a random string in response to the receipt of an electronic request that terminates a transmission of data to the electric Feldgerat ¬ and output by the local output device.
EP08715763A 2008-02-11 2008-02-11 Secure transmission of data to a field appliance Ceased EP2243058A1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2008/001123 WO2009100733A1 (en) 2008-02-11 2008-02-11 Secure transmission of data to a field appliance

Publications (1)

Publication Number Publication Date
EP2243058A1 true EP2243058A1 (en) 2010-10-27

Family

ID=39870372

Family Applications (1)

Application Number Title Priority Date Filing Date
EP08715763A Ceased EP2243058A1 (en) 2008-02-11 2008-02-11 Secure transmission of data to a field appliance

Country Status (2)

Country Link
EP (1) EP2243058A1 (en)
WO (1) WO2009100733A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010011657A1 (en) * 2010-03-17 2011-09-22 Siemens Aktiengesellschaft Method and apparatus for providing at least one secure cryptographic key
DE102022102662A1 (en) 2022-02-04 2023-08-10 Krohne Messtechnik Gmbh Method for securely releasing a communication link between a field device and an operator panel and a corresponding field device

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002056195A1 (en) * 2001-01-12 2002-07-18 Ponte Communications Inc. A method and apparatus for managing a network

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10144971A1 (en) * 2001-09-12 2003-03-27 Endress & Hauser Gmbh & Co Kg Method for securing data exchange between an external access unit and a field bus device that is used in monitoring a physical or chemical process variable, particularly for securing data exchange between a WAN and a LAN field bus
DE10200681B4 (en) * 2002-01-10 2004-09-23 Siemens Ag Temporary access authorization to access automation equipment
US8132240B2 (en) * 2005-09-29 2012-03-06 Siemens Aktiengesellschaft Electric field unit and method for executing a protected function of an electric field unit

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002056195A1 (en) * 2001-01-12 2002-07-18 Ponte Communications Inc. A method and apparatus for managing a network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of WO2009100733A1 *

Also Published As

Publication number Publication date
WO2009100733A1 (en) 2009-08-20

Similar Documents

Publication Publication Date Title
EP1932066A1 (en) Method for carrying out a protected function of an electrical field device, and an electrical field device
CA2614396C (en) Apparatus, methods, and system for role-based access in an intelligent electronic device
US8793767B2 (en) Network access management via a secondary communication channel
EP3582033B1 (en) Method for securely operating a field device
EP2586178B1 (en) Method for tamperproof key management
EP2572323A1 (en) Method and device for integrating a device into a network
EP1883867A1 (en) Method for adjusting an electric field device
CN105100044A (en) System and method for controlled device access
DE102013111690A1 (en) Method for providing limited access keys for field devices
EP2548358B1 (en) Method for dynamically authorizing a mobile communication device
EP2407843B1 (en) Secure data transfer in an automation network
WO2009092399A1 (en) Field device and method of operation thereof
EP3337085A1 (en) Reloading cryptographic program instructions
EP2243058A1 (en) Secure transmission of data to a field appliance
EP3525390A1 (en) Device and method for providing at least one secure cryptographic key for cryptographically protecting data initiated by a control device
DE102016120306A1 (en) Method and system for activating at least one operating / parameterizing function of a field device of automation technology
DE102012008519A1 (en) Securing an energy quantity counter against unauthorized access
EP2446599B1 (en) Data transmission between automation devices secured against manipulation
EP2816777B1 (en) Computer network, network node and method for providing certification information
EP3264714B1 (en) Method for operating a voice control system for authenticated voice control, household appliance, voice control unit, management unit and voice control system
DE102020124837A1 (en) WHITELISTING FOR HART COMMUNICATIONS IN A PROCESS CONTROL SYSTEM
CN111083146A (en) Operation authorization system of electric primary equipment
EP3005643B1 (en) Base module for an electronic device
EP4087184B1 (en) Method for authenticating interactions independent of a system time, and device for carrying out this method and flame monitor comprising such a device
WO2010124707A1 (en) Access controller for automation devices

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20100726

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA MK RS

DAX Request for extension of the european patent (deleted)
RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: SIEMENS AKTIENGESELLSCHAFT

17Q First examination report despatched

Effective date: 20160916

REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: SIEMENS AKTIENGESELLSCHAFT

18R Application refused

Effective date: 20170505