EP4356565A1 - Method and automation system for incorporating an automation device - Google Patents

Method and automation system for incorporating an automation device

Info

Publication number
EP4356565A1
EP4356565A1 EP22734894.3A EP22734894A EP4356565A1 EP 4356565 A1 EP4356565 A1 EP 4356565A1 EP 22734894 A EP22734894 A EP 22734894A EP 4356565 A1 EP4356565 A1 EP 4356565A1
Authority
EP
European Patent Office
Prior art keywords
automation
proof
authentication device
authentication
dvc
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP22734894.3A
Other languages
German (de)
French (fr)
Inventor
Sebastian Bode
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP4356565A1 publication Critical patent/EP4356565A1/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Definitions

  • the invention relates to a method and an automation system for integrating an automation device into the automation system.
  • Automation devices that are new, repaired, reconfigured, or have their software refreshed usually have to be configured before they can be used in the automation system or in interaction with other automation devices.
  • An adaptation of the automation device for example by configuring the configuration data stored on the automation device, for Integration into the automation system is also referred to as onboarding in the professional world.
  • parameterization of the automation device prior to its actual use is known for adapting an automation device for operation in a specific automation system.
  • This parameterization can include general configuration data, for example a network address permanently assigned to the automation device within the automation system, or application-specific configuration data, for example switching times of the automation device.
  • pre-shared keys or PSK or pre-shared secrets which are stored on the automation device, are used as proof of authorization.
  • Identification features of the automation device e.g. a serial number, are often used as proof of authorization or also as part of a proof of authorization for integrating the automation device into the automation system.
  • Stronger asymmetric cryptographic proofs of authorization are also known, in which a cryptographic custody module or also Trusted Platform Module, TPM for short, i.e. a hardware module for calculation and/or custody cryptographic phical data is used.
  • TPM Trusted Platform Module
  • a cryptographic key or a pair of cryptographic keys can already be stored in such a storage module when the automation device is delivered, with private cryptographic keys being stored within the automation device and not leaving it.
  • the object of the present invention is to provide means for integrating an automation device into an automation system, with which pre-installed proofs of authorization are required while maintaining the same level of security.
  • the object is achieved by a computer-implemented method having the features of patent claim 1.
  • the object is also achieved by an automation system with the features of an independent patent claim.
  • the object is also achieved by an authentication device with the entitlement with the features of a subordinate patent.
  • the object is also achieved by a computer program product for processing the method according to the invention.
  • the computer program is processed in a processor or controller, which executes the method with the processing.
  • an interface is formed between the automation device and the authentication device.
  • the interface can be designed as a logical communication channel or »session «. be formed.
  • this interface is a direct interface, so that for security reasons a direct connection between the automation device and the authentication device can be made necessary.
  • a proof of access authorization assigned to the automation device is generated.
  • the access authorization proof is generated, for example, in cooperation between the automation device and the authentication device connected to the automation device via the interface.
  • the access authorization proof can also be generated largely solely by the automation device, with data transmitted or exchanged, for example, from the authentication device via the interface being used in the generation.
  • the access authorization verification can also be generated largely solely by the authentication device, with data transmitted or exchanged from the automation device via the interface, for example, being used in the generation by the authentication device.
  • the proof of access authorization is received and authenticated on an automation server of the automation system and an access authorization is assigned to the automation device.
  • the proof of authorization received from the automation server can either be sent by the automation device or by the authentication device, see the exemplary embodiments explained further below.
  • the proof of authorization received by the automation server can be sent indirectly by the automation device or by the authentication device, ie passed on via one or more instances before it is received by the automation server.
  • the access authorization is not all-encompassing, but only refers to the reception of the proof of identity in the following procedural step. In other words, the access authorization is an intermediate stage in which the automation device has not yet been integrated into the automation system.
  • a proof of identity of the automation device authorized for access that is, the automation device to which access authorization was assigned—is received and authenticated on the automation server and the automation device whose identity has been authenticated is integrated into the automation system.
  • the integration of the automation device in the automation system is completed on the authorization side.
  • the integration of the automation device can also include parameterization, for example transmission and setting of configuration data on the automation device. This parameterization is ensured with the authorization-side means of the invention, but is neither a necessary prerequisite nor a necessary accompaniment of the method steps according to the invention or means according to the invention.
  • a presence of authentication tion device already acts as the first proof of authorization in the form of a multi-actuator authentication.
  • the authentication device can be plugged in and unplugged or connected and disconnected by an authorized service technician in order to activate or deactivate this first factor of the multi-factor authentication.
  • the interface may have to meet certain stricter requirements—for example, as an immediate direct connection, in order to additionally require the service technician to be present locally in the immediate vicinity of the automation device to be integrated.
  • an initial authentication procedure is carried out.
  • an automation server of the automation system receives evidence, documented by the authentication device, that a specific automation device has been connected to the authentication device. Based on this, the automation server can now assign properties to the automation device, for example set up access authorization or even at this stage—that is, before the automation device is finally integrated—cause the automation device to be parameterized.
  • a second authentication procedure is carried out.
  • This second authentication method now actually authenticates a proof of identity of the automation device with access authorization, using a proof of identity connected to the automation device.
  • "Connected” can also mean that the proof of identity is present in the automation device, but the proof of identity does not necessarily leave the automation device, for example by being transferred to the automation server.
  • the proof of identity can be provided, for example, by a challenge-response method in which the automation server sets a task or challenge for which the automation device must give a correct answer or response, for example to prove that the one knows certain information - a shared secret - without issuing or transmitting the proof of identity itself.
  • the proof of identity is connected to the automation device.
  • the proof of identity is not connected to the authentication device, as is possible in the first authentication method.
  • an authorization not an identity—is first linked to a proof—the access authorization proof.
  • the inventive feature of providing a first authentication method for authenticating a proof of access, followed by a second authentication method for authenticating a proof of identity has several advantages:
  • the access authorization according to the invention does not in itself allow access in the sense of integration. Rather, the access authorization according to the invention only allows access with the aim of linking an identity with an authorization, and thus the proof of identity according to the invention.
  • a particular advantage of the invention separate evidence - proof of access authorization and proof of identity - is when considering a provision or. »Deployment « of a number of automation devices, which are integrated via a single authentication device. It is true that the respective proof of access authorization generated with the cooperation of the individual authentication device granted each of the plurality of automation devices a comparable provisional access authorization. After the respective automation devices have been integrated, their respective access rights - i.e. their rights to store data in a specific memory area of the automation server or to read data from there - depend exclusively on the rights assigned to their identity, which in contrast to comparable provisional access authorization will definitely be different from automation device to automation device.
  • the access authorization proof and/or proof of identity according to the invention can be designed or used, for example, using a known public key infrastructure or PKI, for example using asymmetric or symmetric cryptographic keys and corresponding methods in connection with signing, certificate use, hierarchical trust models etc.
  • the interface between the automation device and the authentication device is formed by a direct optical or galvanic direct connection. While this interface can also be designed as a logical communication channel or "session" in a data network, possibly within the worldwide Internet, the interface in this development of the invention is a direct interface, so that for security reasons there is an immediate direct connection between the Automation device and the authentication device. Depending on the security criticality, this measure may be necessary in order to meet stricter requirements regarding the local presence of an authorized service technician in the immediate vicinity of the automation device to be integrated.
  • a direct connection is formed, for example, via an optical or galvanic patch cable.
  • Passive components for establishing the connection may also be involved in a direct connection.
  • an indirect connection is characterized in that at least one active unit is interposed in the optical or galvanic connection, for example a switch, a router, a repeater, a signal amplifier or signal shaper, a signal-optical component, etc.
  • an immediate direct connection is checked in order to rule out an indirect connection.
  • An examination or verification of a direct connection and/or an exclusion or falsification of an indirect connection means in particular that it can be ruled out that the automation device and the connected authentication device are connected together with a »transparent « network node, i.e. for example with a network switch.
  • Possible attackers could namely interpose active transparent units in a physical connection between the automation device and the connected authentication device.
  • transparent means that these units would not be recognized by existing monitoring procedures or intrusion detection procedures.
  • Such transparent units are connected in-line via a conventional LAN connection, but cannot be identified or detected by higher-layer surveillance systems, since their higher-layer effect can be compared to that of a passive patch cord.
  • the proof of access authorization is sent from the automation device to the automation server. This can be done in two ways:
  • the access authorization verification is sent from the automation device to the automation server, with the authentication device communicating exclusively with the automation device in this first embodiment.
  • the access authorization verification is sent from the authentication device to the automation server. Also in this second embodiment variant can Proof of access authorization are sent from the automation device according to the training explained here indirectly to the automation server, more specifically from the automation device to the authentication device and from this to the automation server.
  • the proof of access authorization is sent from the authentication device to the automation server.
  • the access authorization proof is sent directly from the authentication device to the automation server, with the automation device communicating exclusively with the authentication device.
  • the proof of access authorization is generated in cooperation with the automation device and the authentication device.
  • Such an interaction between automation device and authentication device is to be delimited from a mere request for a certificate or a signature provided with a private signing key and has the advantage that a transmission of sensitive evidence - for example a key that is to remain private - as well as an associated compromise to any man -in-the-middle attacks fen can be omitted in an advantageous manner.
  • Generating the proof of access authorization using a challenge-response method is a possible exemplary embodiment of such an interaction between the automation device and the authentication device for generating the proof of access authorization.
  • the proof of identity is received via a communication channel formed between the authentication device and the automation server.
  • This training one of the variants explained above applies, in which--although explained there for the case of transmission of the access authorization verification--an indirect or direct data exchange takes place via a communication channel configured between the authentication device and the automation server.
  • the embodiment explained here relates to the receipt of the proof of identity, which is transmitted via a communication channel configured between the authentication device and the automation server.
  • the communication channel for transmitting the proof of access authorization can be maintained until the proof of identity is transmitted between the authentication device and the automation server. In other words, the communication channel can be the same.
  • This communication channel can, for example, take place via one or more networks or network segments, so that measures to protect exchanged data from being compromised to secure this communication channel via any networks or network segments that are not subject to your own control have proven to be advantageous.
  • Such a safeguard can advantageously consist of encrypting the communication channel.
  • this measure is usually - although technically not completely correct - classified under the term of a Virtual Private Network or VPN.
  • the authentication device initiates the method according to the invention, for example by plugging the authentication device into a socket on the automation device or by plugging in a connection cable leading to the authentication device into the socket on the automation device.
  • the method according to the invention is initiated by actuating an input field displayed or provided on the authentication device
  • the authentication device is at least partially mobile Communication terminal is formed.
  • This configuration has the advantage of using commercially available hardware, which can be adapted to the respective application with suitable software for integrating the automation device using the mobile communication terminal as an authentication device.
  • the authentication device is at least partially configured as a network device, in particular as a router or as a network switch.
  • a router or network switch can use a communication channel in or via a reserved IP address space (for example in the case of a router) or a reserved communication channel, for example using (for example in the case of a network switch) a VLAN protocol (Virtual Local Area Network) can provide.
  • the reserved communication channel can be used both for the transmission of the access authorization proof and for the transmission of the proof of identity between the authentication device designed as a network device and the automation server.
  • the authentication device comprises a plurality of components that are communicatively coupled to one another.
  • this configuration can be provided in order to strive for redundant failsafety.
  • several components that are communicatively coupled to one another can also bring about continued multi-factor authentication.
  • provision could be made for a service technician to be entrusted with a first component of an authentication device and for a person responsible for the network-technical administration of the automation system to keep a second component of an authentication device.
  • FIG. 1 shows a schematic functional representation of communication paths for integrating an automation device into an automation system according to a first embodiment
  • FIG. 1 shows a section of an automation system whose administrative portal is represented in a simplified manner by an automation server SRV.
  • the automation system can also include servers and control components in addition to the automation server SRV.
  • the automation server SRV shown serves only as an example for one or more components that are used for onboarding automation devices.
  • an automation device DVC is integrated into an automation system in such a way that an interface IF is formed between the automation device DVC and the authentication device AUT, the automation device DVC being connected to the automation server via an additional communication channel NW SRV has.
  • This communication channel NW is usually designed as a possibly temporary, packet-oriented communication relationship or “session” via a packet-oriented network.
  • the interface IF can also apply to the interface IF.
  • the interface IF in order not to expose the connection of the interface IF to the arbitrary nature and risk of a poorly traceable network connection, which does not allow direct inspection of the connected authentication device AUT, provision can be made for the interface IF to be formed by an immediate optical or galvanic direct connection.
  • the automation device DVC to be connected and the authentication device AUT are provided with data for assigning the automation device DVC to be connected by the authentication device AUT.
  • An authentication process is then carried out, for example between the automation device DVC to be connected and the authentication device AUT.
  • the automation server SRV or an alternative higher-level system receives an access authorization certificate which, in its simplest form, contains a statement that a specific automation device DVC has been connected to the authentication device AUT.
  • the automation device DVC can now subsequently assign properties to the automation device DVC, for example setting up access rights.
  • the automation device DVC could be a controller and the authentication device AUT a USB stick.
  • the USB stick designed as an authentication device AUT contains, among other things, a Trusted Fiatform Module or TPM, for example, including a private key.
  • TPM Trusted Fiatform Module
  • the USB stick configured as an authentication device AUT thus makes it possible to carry out a challenge-response method for generating access authorization verification assigned to the automation device.
  • the associated challenge-response method can essentially be carried out on the automation device DVC to be connected and only to a lesser extent on the USB stick designed as an authentication device AUT.
  • an automation device DVC is integrated into an automation system in such a way that an interface IF is formed between the automation device DVC and the authentication device AUT, the authentication device AUT being connected to the automation server via an additional communication channel NW SRV has.
  • This communication channel NW can also be designed as a possibly temporary, packet-oriented communication relationship or “session” via a packet-oriented network.
  • the authentication device AUT could be a USB mobile phone adapter that is able to establish a mobile phone connection by submitting a subscriber identity, with the subscriber identity being embodied in a SIM card or stored as a digital eSIM in the USB mobile phone adapter.
  • the USB mobile radio adapter used as the authentication device AUT enables access to the additionally secured communication channel in a VPN network configured above the mobile radio connection, via which the exchange of the access authorization certificate and/or the identity certificate with the automation server SRV then takes place.
  • the authentication device AUT could be a programming device which registers connected devices after they have been identified.
  • the authentication device AUT could be designed as a network device, for example a router, or as a mobile terminal device, for example a smartphone.
  • the authentication device AUT could itself require authentication of a user or operator, for example when starting up or when the interface IF is set up with the automation device DVC.
  • the automation device DVC is provided with new access data in addition to existing access data after it has been integrated or "onboarded" into the automation system.
  • the automation system can also include servers and control components in addition to the automation server SRV.
  • the current device-specific operator data can also be linked to the authenticated proof of identity of the automation device by the policy enforcement server.
  • A--not shown--configuration server can be used to transfer current device-specific operator data to the policy enforcement server.
  • an authentication device permits access authorization which only results in a linking of an identity with an authorization in a subsequent step.
  • the method is particularly advantageous for manufacturers of automation devices DVC, which are sold as universal devices and are to be integrated into an automation system at a later date by the customer.

Abstract

Automation devices must usually be configured before they can be used in the automation system or in interaction with other automation devices. Adaptation of the automation device, for example by configuring the configuration data stored on the automation device, for the purpose of incorporation in the automation system is also referred to among experts as onboarding. The present invention provides methods for incorporating an automation device in an automation system, with which methods credentials pre-installed on the automation devices are remissible while the security remains the same. The method is particularly advantageous for manufacturers of automation devices which are sold as universal devices and are only subsequently intended to be incorporated in an automation system by the customer.

Description

Beschreibung description
Verfahren und AutomatisierungsSystem zur Einbindung eines Au tomatisierungsgeräts Method and automation system for integrating an automation device
Die Erfindung betrifft ein Verfahren und ein Automatisie rungssystem zur Einbindung eines Automatisierungsgeräts in das AutomatisierungsSystem. The invention relates to a method and an automation system for integrating an automation device into the automation system.
Mit einer zunehmenden Verbreitung verteilter, sogenannter cloudbasierter Architekturen in industriellen Fertigungsumge- bungen halten auch in industriellen Automatisierungsgeräten - also in intelligenten Feldgeräten, Sensoren, Aktoren und Steuerungseinheiten der Automatisierungstechnik sowie in Au tomatisierungsanlagen - Technologien Einzug, welche bislang einer Servergestützten Datenverarbeitung Vorbehalten waren. Auch ist eine Verlagerung von Rechenressourcen zu beobachten, durch welche ein stärkeres Gewicht auf Rechenoperationen »im Feld«, also in einer industriellen Feldebene, gelegt wird. In der Fachwelt wird diese Verlagerung auch als Edge Computing bezeichnet . With the increasing spread of distributed, so-called cloud-based architectures in industrial production environments, technologies that were previously reserved for server-based data processing are also finding their way into industrial automation devices - i.e. in intelligent field devices, sensors, actuators and control units of automation technology as well as in automation systems. A shift in computing resources can also be observed, which means that more emphasis is placed on computing operations "in the field", i.e. on an industrial field level. In the professional world, this shift is also referred to as edge computing.
Im Zuge dieser Verlagerung von Rechenressourcen müssen zuneh mend Aufgaben auf einer Ebene der Automatisierungsgeräte be wältigt werden, welche bisher höheren Leitebenen Vorbehalten waren. Aufgrund einer steigenden Zahl solcher vernetzten Au tomatisierungsgeräts und der besonderen Bedingungen in der industriellen Feldebene sind die aus der Leitebene bekannten Lösungsansätze nicht unbedingt in die Feldebene übertragbar. In the course of this relocation of computing resources, tasks increasingly have to be dealt with at a level of automation devices that were previously reserved for higher management levels. Due to an increasing number of such networked automation devices and the special conditions in the industrial field level, the solution approaches known from the control level cannot necessarily be transferred to the field level.
Neu hinzutretende, reparierte, rekonfigurierte oder bezüglich ihrer Software aufgefrischte Automatisierungsgeräte müssen üblicherweise konfiguriert werden, bevor sie im Automatisie rungssystem bzw. im Zusammenspiel mit anderen Automatisie rungsgeräten genutzt werden können. Eine Anpassung des Auto matisierungsgeräts, z.B. durch Konfiguration der auf dem Au tomatisierungsgerät gespeicherten Konfigurationsdaten, zur Einbindung in das AutomatisierungsSystem wird in der Fachwelt auch als Onboarding bezeichnet. Automation devices that are new, repaired, reconfigured, or have their software refreshed usually have to be configured before they can be used in the automation system or in interaction with other automation devices. An adaptation of the automation device, for example by configuring the configuration data stored on the automation device, for Integration into the automation system is also referred to as onboarding in the professional world.
In gegenwärtigen AutomatisierungsSystemen ist zur Anpassung eines Automatisierungsgeräts zum Betrieb in einem spezifi schen AutomatisierungsSystem noch eine Parametrisierung des Automatisierungsgeräts vor seinem eigentlichen Einsatz be kannt. Diese Parametrisierung kann allgemeine Konfigurations- daten umfassen, beispielsweise eine dem Automatisierungsgerät innerhalb des AutomatisierungsSystems fest zugewiesene Netz werkadresse oder auch einsatzspezifische Konfigurationsdaten, beispielsweise SchaltZeiten des Automatisierungsgerätes. In current automation systems, parameterization of the automation device prior to its actual use is known for adapting an automation device for operation in a specific automation system. This parameterization can include general configuration data, for example a network address permanently assigned to the automation device within the automation system, or application-specific configuration data, for example switching times of the automation device.
Während in herkömmlichen AutomatisierungsSystemen eine solche Parametrisierung ungeschützt bereitgestellt wird, wird mitt lerweile ein Schutz vor Manipulationen bis herunter zur Feld ebene als unerlässlich angesehen. Dabei soll gewährleistet werden, dass Dritte keine Möglichkeit zur Manipulation von Konfigurationsdaten auf dem Automatisierungsgerät haben, selbst wenn sie Zugang zum AutomatisierungsSystem erlangen. Heutige Automatisierungsgeräte sind im Auslieferungszustand daher üblicherweise mit Berechtigungsnachweisen bzw. Creden- tials ausgestattet. While such parameterization is provided unprotected in conventional automation systems, protection against manipulation down to the field level is now regarded as essential. It should be ensured that third parties have no possibility of manipulating configuration data on the automation device, even if they gain access to the automation system. Today's automation devices are therefore usually equipped with proof of authorization or credentials when delivered.
Als Berechtigungsnachweise werden beispielsweise von Pre- Shared Keys bzw. PSK oder Pre-Shared Secrets verwendet, wel che auf dem Automatisierungsgerät gespeichert werden. Auch Identifizierungsmerkmale des Automatisierungsgerät, z.B. eine Seriennummer, werden oftmals als Berechtigungsnachweis oder auch als Teil eines Berechtigungsnachweises zum Einbinden des Automatisierungsgerät in das AutomatisierungsSystem verwen det. For example, pre-shared keys or PSK or pre-shared secrets, which are stored on the automation device, are used as proof of authorization. Identification features of the automation device, e.g. a serial number, are often used as proof of authorization or also as part of a proof of authorization for integrating the automation device into the automation system.
Weiterhin sind stärkere asymmetrische kryptographische Be rechtigungsnachweise bekannt, bei der ein kryptographische Verwahrungsmodul oder auch Trusted Platform Module, kurz TPM, also ein im Automatisierungsgerät meist isoliert angelegtes Hardwaremodul zur Berechnung und/oder Verwahrung kryptogra- phischer Daten zum Einsatz kommt. In einem solchen Verwah rungsmodul kann im Auslieferungszustand des Automatisierungs geräts schon ein kryptographischer Schlüssel oder ein krypto- graphisches Schlüsselpaar hinterlegt sein, wobei private kryptographische Schlüssel innerhalb des Automatisierungsge räts verwahrt bleiben und dieses nicht verlassen. Stronger asymmetric cryptographic proofs of authorization are also known, in which a cryptographic custody module or also Trusted Platform Module, TPM for short, i.e. a hardware module for calculation and/or custody cryptographic phical data is used. A cryptographic key or a pair of cryptographic keys can already be stored in such a storage module when the automation device is delivered, with private cryptographic keys being stored within the automation device and not leaving it.
Die vorliegende Erfindung ist vor die Aufgabe gestellt, Mit tel zum Einbinden eines Automatisierungsgeräts in ein Automa tisierungssystem bereitzustellen, mit denen vorinstallierte Berechtigungsnachweise bei gleichbleibender Sicherheit er- lässlich sind. The object of the present invention is to provide means for integrating an automation device into an automation system, with which pre-installed proofs of authorization are required while maintaining the same level of security.
Die Aufgabe wird durch ein Computerimplementiertes Verfahren mit den Merkmalen des Patentanspruchs 1 gelöst. Die Aufgabe wird weiterhin durch ein AutomatisierungsSystem mit den mit den Merkmalen eines nebengeordneten Patentanspruchs gelöst. The object is achieved by a computer-implemented method having the features of patent claim 1. The object is also achieved by an automation system with the features of an independent patent claim.
Die Aufgabe wird weiterhin durch ein Authentisierungsgerät mit den mit den Merkmalen eines nebengeordneten Patentan spruchs gelöst. The object is also achieved by an authentication device with the entitlement with the features of a subordinate patent.
Die Aufgabe wird weiterhin durch ein Computerprogrammprodukt zur Abarbeitung des erfindungsgemäßen Verfahrens gelöst. Das Computerprogramm wird in einem Prozessor oder Controller ab gearbeitet, welcher mit der Abarbeitung das Verfahren aus führt. The object is also achieved by a computer program product for processing the method according to the invention. The computer program is processed in a processor or controller, which executes the method with the processing.
In einem vorzugweise Computerimplementierten Verfahren zum Einbinden eines Automatisierungsgeräts in ein Automatisie rungssystem unter Verwendung eines mit dem Automatisierungs gerät verbindbaren Authentisierungsgeräts, sind dabei folgen de Schritte vorgesehen: In a preferably computer-implemented method for integrating an automation device into an automation system using an authentication device that can be connected to the automation device, the following steps are provided:
- In einem ersten Verfahrensschritt erfolgt eine Ausbildung einer Schnittstelle zwischen dem Automatisierungsgerät und dem Authentisierungsgerät. Die Schnittstelle kann dabei als ein logische Kommunikationskanal bzw. »Session« ausge- bildet sein. In einer bevorzugten Variante ist diese Schnittstelle eine direkte Schnittstelle, so dass aus Si cherheitsgründen eine direkte Verbindung zwischen dem Au tomatisierungsgerät und dem Authentisierungsgerät erfor derlich gemacht werden kann. Nach der Ausbildung dieser Schnittstelle zwischen dem Automatisierungsgerät und dem Authentisierungsgerät erfolgt eine Generierung eines dem Automatisierungsgerät zugeordneten Zugriffsberechtigungs- nachweises . Die Generierung des Zugriffsberechtigungsnach weises erfolgt beispielsweise in Zusammenarbeit des Auto matisierungsgeräts und des über die Schnittstelle mit dem Automatisierungsgerät verbundenen Authentisierungsgeräts. Alternativ kann eine Generierung des Zugriffsberechti- gungsnachweises auch weitgehend alleine vom Automatisie rungsgerät erfolgen, wobei z.B. vom Authentisierungsgerät über die Schnittstelle übermittelte bzw. ausgetauschte Da ten bei der Generierung verwendet werden. Entsprechend kann eine Generierung des Zugriffsberechtigungsnachweises auch weitgehend alleine vom Authentisierungsgerät erfol gen, wobei z.B. vom Automatisierungsgerät über die Schnittstelle übermittelte bzw. ausgetauschte Daten bei der Generierung durch das Authentisierungsgerät verwendet werden. - In a first method step, an interface is formed between the automation device and the authentication device. The interface can be designed as a logical communication channel or »session«. be formed. In a preferred variant, this interface is a direct interface, so that for security reasons a direct connection between the automation device and the authentication device can be made necessary. After the formation of this interface between the automation device and the authentication device, a proof of access authorization assigned to the automation device is generated. The access authorization proof is generated, for example, in cooperation between the automation device and the authentication device connected to the automation device via the interface. Alternatively, the access authorization proof can also be generated largely solely by the automation device, with data transmitted or exchanged, for example, from the authentication device via the interface being used in the generation. Correspondingly, the access authorization verification can also be generated largely solely by the authentication device, with data transmitted or exchanged from the automation device via the interface, for example, being used in the generation by the authentication device.
In einem zweiten Verfahrensschritt erfolgt ein Empfang und Authentisierung des Zugriffsberechtigungsnachweises an ei nem AutomatisierungsServer des AutomatisierungsSystems und Zuweisung einer Zugriffsberechtigung an das Automatisie rungsgerät . Der vom AutomatisierungsServer empfangene Be rechtigungsnachweis kann entweder vom Automatisierungsge rät oder vom Authentisierungsgerät gesendet werden, siehe hierzu die weiter unten erläuterten Ausführungsbeispiele. Entsprechend kann der vom AutomatisierungsServer empfange ne Berechtigungsnachweis vom Automatisierungsgerät oder vom Authentisierungsgerät indirekt gesendet werden, d.h. über ein oder mehrere Instanzen weitergereicht werden, be vor dieser von Seiten des AutomatisierungsServers empfan gen wird. Nach einer erfolgreichen Authentisierung des Zu- griffsberechtigungsnachweises durch den Automatisierungs server und nach der Zuweisung der Zugriffsberechtigung an das Automatisierungsgerät ist das Automatisierungsgerät zugriffsberechtigt am AutomatisierungsServer oder am Auto matisierungssystem. Die Zugriffsberechtigung ist jedoch nicht allumfassend, sondern bezieht sich nur auf den Emp fang des Identitätsnachweises im folgenden Verfahrens schritt. Mit anderen Worten ist die Zugriffsberechtigung ein ZwischenStadium, in der noch keine Einbindung des Au tomatisierungsgeräts im AutomatisierungsSystem erfolgt ist. In a second method step, the proof of access authorization is received and authenticated on an automation server of the automation system and an access authorization is assigned to the automation device. The proof of authorization received from the automation server can either be sent by the automation device or by the authentication device, see the exemplary embodiments explained further below. Correspondingly, the proof of authorization received by the automation server can be sent indirectly by the automation device or by the authentication device, ie passed on via one or more instances before it is received by the automation server. After successful authentication of the handle proof of authorization by the automation server and after the assignment of access authorization to the automation device, the automation device is authorized to access the automation server or the automation system. However, the access authorization is not all-encompassing, but only refers to the reception of the proof of identity in the following procedural step. In other words, the access authorization is an intermediate stage in which the automation device has not yet been integrated into the automation system.
In einem dritten Verfahrensschritt erfolgt ein Empfang und Authentisierung eines Identitätsnachweises des zugriffsbe rechtigten Automatisierungsgeräts - also des Automatisie rungsgeräts, dem eine Zugriffsberechtigung zugewiesen wur de - am AutomatisierungsServer und Einbinden des bezüglich seiner Identität authentisierten Automatisierungsgeräts in das AutomatisierungsSystem. Mit der Authentisierung der Identität des Automatisierungsgeräts ist die Einbindung des Automatisierungsgeräts im AutomatisierungsSystem be rechtigungsseitig abgeschlossen. Selbstverständlich kann die Einbindung des Automatisierungsgeräts auch eine Para metrisierung, beispielsweise eine Übermittlung und Ein stellung von Konfigurationsdaten am Automatisierungsgerät umfassen. Diese Parametrisierung wird mit den berechti gungsseitigen Mitteln der Erfindung gewährleistet, ist aber weder eine notwendige Voraussetzung noch eine notwen dige Begleitung der erfindungsgemäßen Verfahrensschritte bzw. erfindungsgemäßen Mittel. In a third method step, a proof of identity of the automation device authorized for access—that is, the automation device to which access authorization was assigned—is received and authenticated on the automation server and the automation device whose identity has been authenticated is integrated into the automation system. With the authentication of the identity of the automation device, the integration of the automation device in the automation system is completed on the authorization side. Of course, the integration of the automation device can also include parameterization, for example transmission and setting of configuration data on the automation device. This parameterization is ensured with the authorization-side means of the invention, but is neither a necessary prerequisite nor a necessary accompaniment of the method steps according to the invention or means according to the invention.
Die Erfindung sieht vor, eine Schnittstelle zwischen dem zu verbindenden Automatisierungsgerät und einem erstmals in die ser Form vorgeschlagenen Authentisierungsgerät bestehen muss, um durch über diese Schnittstelle ausgetauschte Daten zu nächst eine Zuordnung des Automatisierungsgerät zum Authenti sierungsgerät zu ermöglichen. Eine Präsenz des Authentisie- rungsgeräts wirkt also bereits als erster Berechtigungsnach weis in Form einer Mehrtaktor-Authentifizierung. According to the invention, there must be an interface between the automation device to be connected and an authentication device proposed for the first time in this form in order to allow the automation device to be initially assigned to the authentication device using data exchanged via this interface. A presence of authentication tion device already acts as the first proof of authorization in the form of a multi-actuator authentication.
Das Authentisierungsgerät kann bei Bedarf durch einen hierzu autorisierten Servicetechniker ein- und ausgesteckt oder ver bunden und getrennt werden, um diesen ersten Faktor der Mehr- faktorenauthentifizierung zu aktivieren oder zu deaktivieren. Je nach Sicherheitskritikalitat kann gefordert sein, dass die Schnittstelle bestimmte strengere Anforderungen - beispiels weise als unmittelbare Direktverbindung vorliegen muss, um zusätzlich eine örtliche Präsenz des Servicetechnikers im un mittelbaren Umfeld der einzubindenden Automatisierungsgeräts zu fordern - erfüllen muss. If required, the authentication device can be plugged in and unplugged or connected and disconnected by an authorized service technician in order to activate or deactivate this first factor of the multi-factor authentication. Depending on the safety criticality, the interface may have to meet certain stricter requirements—for example, as an immediate direct connection, in order to additionally require the service technician to be present locally in the immediate vicinity of the automation device to be integrated.
Nach Verbindung der Geräte wird ein erstes Authentisierungs- verfahren durchgeführt. Ein AutomatisierungsServer des Auto matisierungssystems erhält in diesem Schritt einen durch das Authentisierungsgerät belegten Nachweis, dass ein bestimmtes Automatisierungsgerät mit dem Authentisierungsgerät verbunden wurde. Der AutomatisierungsServer kann nun dem Automatisie rungsgerät basierend darauf Eigenschaften zuweisen, bei spielsweise eine Zugriffsberechtigung einrichten oder auch schon in diesem Stadium - also noch vor der endgültigen Ein bindung des Automatisierungsgeräts - eine Parametrisierung des Automatisierungsgerät veranlassen. After the devices have been connected, an initial authentication procedure is carried out. In this step, an automation server of the automation system receives evidence, documented by the authentication device, that a specific automation device has been connected to the authentication device. Based on this, the automation server can now assign properties to the automation device, for example set up access authorization or even at this stage—that is, before the automation device is finally integrated—cause the automation device to be parameterized.
Nach Vorliegen der Zugriffsberechtigung wird ein zweites Au- thentisierungsverfahren durchgeführt. Dieses zweite Authenti- sierungsverfahren authentisiert nun tatsächlich einen Identi tätsnachweis des zugriffsberechtigten Automatisierungsgeräts, unter Verwendung eines mit dem Automatisierungsgerät verbun denen Identitätsnachweises. »Verbunden« kann auch bedeuten, dass der Identitätsnachweis im Automatisierungsgerät vor liegt, der Identitätsnachweis das Automatisierungsgerät aber nicht notwendigerweise verlässt, indem dieser beispielswiese an den AutomatisierungsServer übergeben wird. Der Identitätsnachweis kann beispielsweise durch ein Challen- ge-Response-Verfahren erbracht werden, bei der seitens des AutomatisierungsServers eine Aufgabe bzw. Challenge gestellt wird, für die das Automatisierungsgerät eine richtige Antwort bzw. Response geben muss, etwa um zu belegen, dass des eine bestimmte Information - ein Shared Secret - kennt, ohne den Identitätsnachweis selbst herauszugeben bzw. zu übertragen. Der Identitätsnachweis ist in diesem breiten Sinn mit dem Au tomatisierungsgerät verbunden. Der Identitätsnachweis ist al so insbesondere nicht - wie im ersten Authentisierungsverfah ren möglich - mit dem Authentisierungsgerät verbunden. Mit der Authentisierung der Identität des Automatisierungsgeräts von Seiten des AutomatisierungsSystems ist die Einbindung des Automatisierungsgeräts im AutomatisierungsSystem berechti gungsseitig abgeschlossen. After the access authorization has been obtained, a second authentication procedure is carried out. This second authentication method now actually authenticates a proof of identity of the automation device with access authorization, using a proof of identity connected to the automation device. "Connected" can also mean that the proof of identity is present in the automation device, but the proof of identity does not necessarily leave the automation device, for example by being transferred to the automation server. The proof of identity can be provided, for example, by a challenge-response method in which the automation server sets a task or challenge for which the automation device must give a correct answer or response, for example to prove that the one knows certain information - a shared secret - without issuing or transmitting the proof of identity itself. In this broad sense, the proof of identity is connected to the automation device. In particular, the proof of identity is not connected to the authentication device, as is possible in the first authentication method. With the authentication of the automation device's identity by the automation system, the integration of the automation device in the automation system is completed on the authorization side.
Ein wichtiger Unterschied der Erfindung gegenüber bekannten - auch mehrstufigen - Authentisierungsverfahren ist der Um stand, dass aus dem Stand der Technik bekannten Lösungen stets eine Identität mit einem Nachweis - also einem Creden- tial wie z.B. einem kryptografisehen Schlüssel - verknüpfen. An important difference between the invention and known - also multi-stage - authentication methods is the fact that solutions known from the prior art always link an identity with a proof - i.e. a credential such as a cryptographic key.
Im Gegensatz zu diesen aus dem Stand der Technik bekannten Lösungen wird bei der erfindungsgemäß vorgeschlagenen Lösung zunächst eine Berechtigung - keine Identität - mit einem Nachweis - dem Zugriffsberechtigungsnachweis - verknüpft.In contrast to these solutions known from the prior art, in the solution proposed according to the invention, an authorization—not an identity—is first linked to a proof—the access authorization proof.
Erst in einem folgenden zweiten Authentisierungsverfahren wird eine Identität mit einem Nachweis - dem Identitätsnach weis - verknüpft. Only in a subsequent second authentication process is an identity with a proof - the proof of identity - linked.
Das erfindungsgemäße Merkmal einer Vorsehung eines ersten Au thentisierungsVerfahrens zur Authentisierung einer Zugriffs berechtigungsnachweises, gefolgt von einem zweiten Authenti- sierungsVerfahrens zur Authentisierung eines Identitätsnach weises hat mehrere Vorteile: The inventive feature of providing a first authentication method for authenticating a proof of access, followed by a second authentication method for authenticating a proof of identity has several advantages:
Während im Stand der Technik bekannte Verfahren, bei denen kryptographische Schlüssel eingesetzt werden, welche mit einem Zugangsmedium - beispielsweise ein USB-Stick mit ei nem kryptographischen Verwahrungsmodul bzw. TPM - verbun den sind, ein Besitz des Zugangsmediums allein zur Gewähr einer Zugriffsberechtigung ausreicht, gestattet die erfin dungsgemäße Zugriffsberechtigung demgegenüber für sich ge nommen noch keinen Zugang im Sinne einer Einbindung. Die erfindungsgemäße Zugriffsberechtigung erlaubt vielmehr nur einen Zugriff mit dem Ziel einer Verknüpfung einer Identi tät mit einer Berechtigung, mithin des erfindungsgemäßen Identitätsnachweises. While in the prior art methods known in which cryptographic keys are used, which with are connected to an access medium - for example a USB stick with a cryptographic storage module or TPM - possession of the access medium alone is sufficient to guarantee access authorization, the access authorization according to the invention does not in itself allow access in the sense of integration. Rather, the access authorization according to the invention only allows access with the aim of linking an identity with an authorization, and thus the proof of identity according to the invention.
- Erfindungsgemäß wird sowohl bei der Durchführung des er findungsgemäßen Verfahrens zum Einbinden des Automatisie rungsgeräts in das AutomatisierungsSystem unter Verwendung des mit dem Automatisierungsgerät verbindbaren Authenti- sierungsgeräts als auch nach Abarbeitung dieses Verfahrens weiterhin zwischen den einzelnen Geräten unterschieden. Eine spätere Entscheidung über Berechtigungen erfolgt also primär anhand des Identitätsnachweises und nicht anhand der Zugriffsberechtigungsnachweises unter Mitwirkung des ehemals verbundenen Authentisierungsgeräts. According to the invention, a distinction is made between the individual devices both when carrying out the inventive method for integrating the automation device into the automation system using the authentication device that can be connected to the automation device and after processing this method. A subsequent decision about authorizations is therefore primarily based on the proof of identity and not on the basis of the proof of access authorization with the involvement of the previously connected authentication device.
- Ein besonderer Vorteil der erfindungsgemäß getrennten Nachweise - Zugriffsberechtigungsnachweis und Identitäts nachweis - wird bei einer Betrachtung einer Bereitstellung bzw . »Deployment« einer Mehrzahl von Automatisierungsgerä ten deutlich, welche über ein einzelnes Authentisierungs- gerät eingebunden werden. Zwar hat der unter Mitwirkung des einzelnes Authentisierungsgeräts generierte jeweilige Zugriffsberechtigungsnachweis jedem einzelnen der Mehrzahl von Automatisierungsgeräten eine vergleichbare vorläufige Zugriffsberechtigung erteilt. Nach Einbindung der jeweili- gen Automatisierungsgeräte hängen deren jeweilige Zu griffsrechte - also deren Rechte, Daten auf einem bestimm ten Speicherbereichs des AutomatisierungsServers abzulegen oder Daten von dort zu lesen - ausschließlich von den ih rer Identität zugewiesenen Rechte ab, die im Gegensatz zur vergleichbaren vorläufigen Zugriffsberechtigung durchaus von Automatisierungsgerät zu Automatisierungsgerät unter schiedlich sein wird. Der erfindungsgemäße Zugriffsberechtigungsnachweis und/oder Identitätsnachweis kann beispielsweise unter Anwendung be kannter Public-Key-Infrastruktur bzw. PKI gestaltet sein oder eingesetzt werden, also beispielsweise unter Einsatz asymmet rischer oder symmetrischer kryptografischer Schlüssel sowie entsprechender Verfahren im Zusammenhang mit einer Signie rung, Zertifikatverwendung, hierarchischen Vertrauensmodellen etc. - A particular advantage of the invention separate evidence - proof of access authorization and proof of identity - is when considering a provision or. »Deployment« of a number of automation devices, which are integrated via a single authentication device. It is true that the respective proof of access authorization generated with the cooperation of the individual authentication device granted each of the plurality of automation devices a comparable provisional access authorization. After the respective automation devices have been integrated, their respective access rights - i.e. their rights to store data in a specific memory area of the automation server or to read data from there - depend exclusively on the rights assigned to their identity, which in contrast to comparable provisional access authorization will definitely be different from automation device to automation device. The access authorization proof and/or proof of identity according to the invention can be designed or used, for example, using a known public key infrastructure or PKI, for example using asymmetric or symmetric cryptographic keys and corresponding methods in connection with signing, certificate use, hierarchical trust models etc.
Weitere Ausgestaltungen der Erfindung sind Gegenstand der ab hängigen Patentansprüche. Further refinements of the invention are the subject of the dependent patent claims.
Gemäß einer Fortbildung der Erfindung ist vorgesehen, dass die Schnittstelle zwischen dem Automatisierungsgerät und dem Authentisierungsgerät durch eine unmittelbare optische oder galvanische Direktverbindung gebildet wird. Während diese Schnittstelle auch als ein logische Kommunikationskanal bzw. »Session« in einem Datennetzwerk, möglicherweise innerhalb des weltweiten Internets ausgebildet sein kann, ist in die Schnittstelle in dieser Fortbildung der Erfindung eine direk te Schnittstelle, so dass aus Sicherheitsgründen eine unmit telbare Direktverbindung zwischen dem Automatisierungsgerät und dem Authentisierungsgerät. Je nach Sicherheitskritikali- tät kann diese Maßnahme erforderlich sein, um strengere An forderungen bezüglich einer örtlichen Präsenz eines autori sierten Servicetechnikers im unmittelbaren Umfeld der einzu bindenden Automatisierungsgeräts zu erfüllen. Eine unmittel bare Verbindung wird beispielweise über ein optisches oder galvanisches Patchkabel gebildet. Zusätzlich kann vorgesehen, dass Schnittstelle mit vorbehaltenen, auch proprietären pha- sischen Buchsen bzw. Steckern gebildet wird. An einer direk ten Verbindung sind möglicherweise auch passive Komponenten zur Herstellung der Verbindung z.B. Anschlussdosen, Patchpa nels, etc. beteiligt. Eine mittelbare Verbindung ist demge genüber dadurch gekennzeichnet, dass in der optischen oder galvanischen Verbindung zumindest eine aktive Einheit zwi schengeschaltet ist, beispielsweise ein Switch, ein Router, ein Repeater, ein Signalverstärker bzw. Signal Shaper, eine signaloptische Komponente etc. According to a development of the invention, it is provided that the interface between the automation device and the authentication device is formed by a direct optical or galvanic direct connection. While this interface can also be designed as a logical communication channel or "session" in a data network, possibly within the worldwide Internet, the interface in this development of the invention is a direct interface, so that for security reasons there is an immediate direct connection between the Automation device and the authentication device. Depending on the security criticality, this measure may be necessary in order to meet stricter requirements regarding the local presence of an authorized service technician in the immediate vicinity of the automation device to be integrated. A direct connection is formed, for example, via an optical or galvanic patch cable. In addition, provision can be made for the interface to be formed with reserved, also proprietary, phasic sockets or plugs. Passive components for establishing the connection, eg junction boxes, patch panels, etc., may also be involved in a direct connection. In contrast, an indirect connection is characterized in that at least one active unit is interposed in the optical or galvanic connection, for example a switch, a router, a repeater, a signal amplifier or signal shaper, a signal-optical component, etc.
Gemäß einer weiteren möglichen Fortbildung der Erfindung ist vorgesehen, dass eine Prüfung auf eine unmittelbare Direkt verbindung erfolgt, um eine mittelbare Verbindung auszu schließen . Eine Prüfung bzw. eine Verifizierung einer unmit telbaren Verbindung und/oder ein Ausschluss bzw. eine Falsi fizierung einer mittelbaren Verbindung bedeutet insbesondere, dass auszuschließen ist, dass das Automatisierungsgerät mit dem verbundenen Authentisierungsgerät gemeinsam mit einem »transparenten« Netzknoten verbunden sind, also beispielswei se mit einem Netzwerk-Switch. Mögliche Angreifer könnten näm lich aktive transparente Einheiten in eine physische Verbin dung zwischen dem Automatisierungsgerät und dem verbundenen Authentisierungsgerät Zwischenschalten. Transparent bedeutet dabei, dass diese Einheiten von vorhandenen Überwachungsver fahren bzw. Intrusion Detection Verfahren nicht erkannt wür den. Derlei transparente Einheiten sind über eine herkömmli che LAN-Verbindung inline verbunden, können jedoch von Über wachungssystemen in höheren Schichten nicht identifiziert oder erkannt werden, da ihre Wirkung in höheren Schichten mit der eines passiven Patchkabels verglichen werden kann. According to a further possible development of the invention, it is provided that an immediate direct connection is checked in order to rule out an indirect connection. An examination or verification of a direct connection and/or an exclusion or falsification of an indirect connection means in particular that it can be ruled out that the automation device and the connected authentication device are connected together with a »transparent« network node, i.e. for example with a network switch. Possible attackers could namely interpose active transparent units in a physical connection between the automation device and the connected authentication device. In this context, transparent means that these units would not be recognized by existing monitoring procedures or intrusion detection procedures. Such transparent units are connected in-line via a conventional LAN connection, but cannot be identified or detected by higher-layer surveillance systems, since their higher-layer effect can be compared to that of a passive patch cord.
Gemäß einer möglichen Fortbildung der Erfindung ist vorgese hen, dass der Zugriffsberechtigungsnachweis vom Automatisie rungsgerät an den AutomatisierungsServer gesendet wird. Dies kann auf zwei Weisen erfolgen: According to a possible development of the invention, it is provided that the proof of access authorization is sent from the automation device to the automation server. This can be done in two ways:
- In einer ersten AusgestaltungsVariante ist vorgesehen, dass der Zugriffsberechtigungsnachweis vom Automatisie rungsgerät an den AutomatisierungsServer gesendet wird, wobei das Authentisierungsgerät in dieser ersten Ausge staltungsVariante ausschließlich mit dem Automatisie rungsgerät kommuniziert. In a first embodiment, the access authorization verification is sent from the automation device to the automation server, with the authentication device communicating exclusively with the automation device in this first embodiment.
- In einer zweiten AusgestaltungsVariante ist vorgesehen, dass der Zugriffsberechtigungsnachweis vom Authentisie rungsgerät an den AutomatisierungsServer gesendet wird. Auch in dieser zweiten AusgestaltungsVariante kann der Zugriffsberechtigungsnachweis vom Automatisierungsgerät entsprechend der hier erläuterten Fortbildung indirekt an den AutomatisierungsServer gesendet werden, genauer gesagt also vom Automatisierungsgerät an das Authenti- sierungsgerät und von diesem an den AutomatisierungsSer ver . - In a second embodiment variant it is provided that the access authorization verification is sent from the authentication device to the automation server. Also in this second embodiment variant can Proof of access authorization are sent from the automation device according to the training explained here indirectly to the automation server, more specifically from the automation device to the authentication device and from this to the automation server.
Gemäß einer möglichen Fortbildung der Erfindung ist vorgese hen, dass der Zugriffsberechtigungsnachweises vom Authenti- sierungsgerät an den AutomatisierungsServer gesendet wird. In dieser Fortbildung ist also vorgesehen, dass der Zugriffsbe- rechtigungsnachweis vom Authentisierungsgerät direkt an den AutomatisierungsServer gesendet wird, wobei das Automatisie rungsgerät ausschließlich mit dem Authentisierungsgerät kom muniziert . According to a possible development of the invention, it is provided that the proof of access authorization is sent from the authentication device to the automation server. In this development it is therefore provided that the access authorization proof is sent directly from the authentication device to the automation server, with the automation device communicating exclusively with the authentication device.
Gemäß einer möglichen Fortbildung der Erfindung ist vorgese hen, dass die Generierung des Zugriffsberechtigungsnachweises in Zusammenwirkung des Automatisierungsgerät und des Authen tisierungsgerät erfolgt. Eine solche Zusammenwirkung zwischen Automatisierungsgerät und Authentisierungsgerät ist abzugren zen von einer reinen Anforderung eines Zertifikats oder einer mit einem privaten SignierungsSchlüssel versehenen Signatur und hat den Vorteil, dass eine Übertragung sensibler Nachwei se - beispielsweise privat zu bleibendem Schlüssel - sowie eine damit verbundene Kompromittierung gegenüber eventuellen Man-in-the-Middle-Angrif fen in vorteilhafter Weise unterblei ben können. Eine Generierung des Zugriffsberechtigungsnach weises unter Durchführung eines Cha11enge-Response-Verfahrens ist ein mögliches Ausführungsbeispiel für eine solche Zusam menwirkung des Automatisierungsgerät und des Authentisie rungsgerät zur Generierung des Zugriffsberechtigungsnachwei ses. According to a possible development of the invention, it is provided that the proof of access authorization is generated in cooperation with the automation device and the authentication device. Such an interaction between automation device and authentication device is to be delimited from a mere request for a certificate or a signature provided with a private signing key and has the advantage that a transmission of sensitive evidence - for example a key that is to remain private - as well as an associated compromise to any man -in-the-middle attacks fen can be omitted in an advantageous manner. Generating the proof of access authorization using a challenge-response method is a possible exemplary embodiment of such an interaction between the automation device and the authentication device for generating the proof of access authorization.
Gemäß einer Fortbildung der Erfindung ist vorgesehen, dass der Empfang des Identitätsnachweises durch einen zwischen dem Authentisierungsgerät und dem AutomatisierungsServer ausge bildeten Kommunikationskanal erfolgt. Diese Fortbildung be- trifft also einer der oben erläuterten Varianten, bei denen - dort allerdings für den Fall der Übertragung des Zugriffs berechtigungsnachweises erläutert - ein indirekter oder di rekter Datenaustausch über einen zwischen dem Authentisie- rungsgerät und dem AutomatisierungsServer ausgebildeten Kom munikationskanal stattfindet. Die hier erläuterte Ausgestal tung betrifft den Empfang des Identitätsnachweises, welcher über einen zwischen dem Authentisierungsgerät und dem Automa tisierungsserver ausgebildeten Kommunikationskanal übertragen wird. Dabei kann der Kommunikationskanal zur Übertragung des Zugriffsberechtigungsnachweises aufrechterhalten bleiben, bis eine Übertragung des Identitätsnachweises zwischen dem Au thentisierungsgerät und dem AutomatisierungsServer erfolgt. Mit anderen Worten kann der Kommunikationskanal der gleich sein. Dieser Kommunikationskanal kann beispielsweise über ein oder mehrere Netzwerke oder Netzwerksegmente erfolgen, so dass sich Maßnahmen zum Schutz vor Kompromittierung ausge tauschter Daten zur Sicherung dieses Kommunikationskanals über eventuelle nicht einer eigenen Kontrolle unterliegenden Netzwerke oder Netzwerksegmente als vorteilhaft erweisen. Ei ne solche Sicherung kann in vorteilhafter Weise darin beste hen, den Kommunikationskanal zu verschlüsseln. Diese Maßnahme wird in der Fachwelt üblich - wenngleich technisch nicht vollständig korrekt - unter dem Begriff eines Virtual Private Network oder VPN eingeordnet. According to a development of the invention, it is provided that the proof of identity is received via a communication channel formed between the authentication device and the automation server. This training one of the variants explained above applies, in which--although explained there for the case of transmission of the access authorization verification--an indirect or direct data exchange takes place via a communication channel configured between the authentication device and the automation server. The embodiment explained here relates to the receipt of the proof of identity, which is transmitted via a communication channel configured between the authentication device and the automation server. The communication channel for transmitting the proof of access authorization can be maintained until the proof of identity is transmitted between the authentication device and the automation server. In other words, the communication channel can be the same. This communication channel can, for example, take place via one or more networks or network segments, so that measures to protect exchanged data from being compromised to secure this communication channel via any networks or network segments that are not subject to your own control have proven to be advantageous. Such a safeguard can advantageously consist of encrypting the communication channel. In the professional world, this measure is usually - although technically not completely correct - classified under the term of a Virtual Private Network or VPN.
Gemäß einer Fortbildung der Erfindung ist vorgesehen, dass das Authentisierungsgerät das erfindungsgemäße Verfahren ini tiiert, beispielsweise durch Einstecken des Authentisierungs- geräts an einer Buchse des Automatisierungsgeräts oder durch Einstecken eines zum Authentisierungsgerät führenden Verbin dungskabels an der Buchse des Automatisierungsgeräts. Alter nativ wird das erfindungsgemäße Verfahren durch eine Betäti gung eines am Authentisierungsgerät angezeigten oder vorgese henen Eingabefelds initiiert According to one development of the invention, it is provided that the authentication device initiates the method according to the invention, for example by plugging the authentication device into a socket on the automation device or by plugging in a connection cable leading to the authentication device into the socket on the automation device. Alternatively, the method according to the invention is initiated by actuating an input field displayed or provided on the authentication device
Gemäß einer Fortbildung der Erfindung ist vorgesehen, dass das Authentisierungsgerät zumindest teilweise als mobiles Kommunikationsendgerät ausgebildet ist. Diese Ausgestaltung hat den Vorteil eines Einsatzes handelsüblicher Hardware, welche mit geeigneter Software zum Einbinden des Automatisie rungsgeräts unter Verwendung des mobiles Kommunikationsendge- räts als Authentisierungsgerät auf den jeweiligen Einsatz zweck anpassbar ist. According to a further development of the invention it is provided that the authentication device is at least partially mobile Communication terminal is formed. This configuration has the advantage of using commercially available hardware, which can be adapted to the respective application with suitable software for integrating the automation device using the mobile communication terminal as an authentication device.
Gemäß einer Fortbildung der Erfindung ist vorgesehen, dass das Authentisierungsgerät zumindest teilweise als Netzwerkge rät, insbesondere als Router oder als Netzwerkswitch ausge bildet ist. Diese Ausgestaltung hat den Vorteil, dass ein Router oder Netzwerkswitch einen Kommunikationskanal in oder über einen Vorbehalten IP-Adressraum (beispielsweise im Fall eines Routers) oder einen vorbehaltenen Kommunikationskanal, etwa unter (beispielsweise im Fall eines Netzwerkswitches) Anwendung eines VLAN Protokolls (Virtual Local Area Network) bereitstellen kann. Der vorbehaltene Ko munikationskanal kann sowohl zur Übertragung des Zugriffsberechtigungsnachweises als auch zur Übertragung des Identitätsnachweises zwischen dem als Netzwerkgerät ausgebildeten Authentisierungsgerät und dem AutomatisierungsServer dienen. According to a development of the invention, it is provided that the authentication device is at least partially configured as a network device, in particular as a router or as a network switch. This configuration has the advantage that a router or network switch can use a communication channel in or via a reserved IP address space (for example in the case of a router) or a reserved communication channel, for example using (for example in the case of a network switch) a VLAN protocol (Virtual Local Area Network) can provide. The reserved communication channel can be used both for the transmission of the access authorization proof and for the transmission of the proof of identity between the authentication device designed as a network device and the automation server.
Gemäß einer Fortbildung der Erfindung ist vorgesehen, dass das Authentisierungsgerät mehrere miteinander kommunikativ gekoppelte Komponenten umfasst. Diese Ausgestaltung kann ei nerseits vorgesehen sein, eine redundante AusfallSicherheit anzustreben . Andererseits können mehrere miteinander kommuni kativ gekoppelte Komponenten auch eine fortgesetzte Mehrfak- torauthentifizierung bewirken. In einem möglichen Ausfüh rungsbeispiel könnte vorgesehen sein, dass einem Servicetech niker eine erste Komponente eines Authentisierungsgeräts an vertraut wird und dass ein zur netzwerktechnischen Administ ration des AutomatisierungsSystems Beauftragter eine zweite Komponente eines Authentisierungsgeräts verwahrt. Nach der Ausbildung der Schnittstelle zwischen dem Automatisierungsge rät und der ersten Komponente des Authentisierungsgeräts wird eine Generierung des dem Automatisierungsgerät zugeordneten Zugriffsberechtigungsnachweises so lange verschoben, bis der zur netzwerktechnischen Administration des Automatisierungs systems Beauftragte Kenntnis über die Ausbildung der Schnitt stelle zwischen dem Automatisierungsgerät und der ersten Kom ponente des Authentisierungsgerät erlangt hat und über seine zweite Komponente des Authentisierungsgeräts eine Freigabe erteilt hat. Eine Kenntniserlangung kann so eingerichtet sein, dass der Servicetechniker nach der Ausbildung der Schnittstelle zwischen dem Automatisierungsgerät und der ers ten Komponente des Authentisierungsgeräts zunächst eine An frage an die zweite Komponente des Authentisierungsgeräts senden muss. According to a development of the invention, it is provided that the authentication device comprises a plurality of components that are communicatively coupled to one another. On the one hand, this configuration can be provided in order to strive for redundant failsafety. On the other hand, several components that are communicatively coupled to one another can also bring about continued multi-factor authentication. In a possible exemplary embodiment, provision could be made for a service technician to be entrusted with a first component of an authentication device and for a person responsible for the network-technical administration of the automation system to keep a second component of an authentication device. After the formation of the interface between the Automatisierungsge advises and the first component of the authentication device generation of the automation device associated access authorization is postponed until the responsible for the network administration of the automation system has gained knowledge of the design of the interface between the automation device and the first component of the authentication device and has given approval for its second component of the authentication device. Obtaining knowledge can be set up in such a way that after the interface between the automation device and the first component of the authentication device has been configured, the service technician must first send an inquiry to the second component of the authentication device.
Im Folgenden werden weitere Ausführungsbeispiele und Vorteile der Erfindung anhand der Zeichnung näher erläutert. Dabei zeigen: Further exemplary embodiments and advantages of the invention are explained in more detail below with reference to the drawing. show:
Fig. 1: eine schematische FunktionaldarStellung von Kommu nikationsziehungen zum Einbinden eines Automatisie rungsgeräts in ein AutomatisierungsSystem gemäß ei ner ersten Ausführungsform; und; 1 shows a schematic functional representation of communication paths for integrating an automation device into an automation system according to a first embodiment; and;
Fig. 2: eine schematische FunktionaldarStellung von Kommu nikationsziehungen zum Einbinden eines Automatisie rungsgeräts in ein AutomatisierungsSystem gemäß ei ner zweiten Ausführungsform. 2: a schematic functional representation of communication paths for integrating an automation device into an automation system according to a second embodiment.
Fig. 1 zeigt einen Ausschnitt aus einem AutomatisierungsSys tem, dessen administratives Portal in vereinfachter Weise durch einen AutomatisierungsServer SRV dargestellt ist. In realen Implementierungen kann das AutomatisierungsSystem, je nach Komplexität und Größe, neben dem AutomatisierungsServer SRV weiter Server und Steuerungskomponenten umfassen. Für dies Beschreibung dient der dargestellte AutomatisierungsSer ver SRV lediglich als exemplarisch für einen oder mehrere Komponenten, welche für ein Onboarding von Automatisierungs geräten zum Einsatz kommen. Gemäß der in Fig. 1 gezeigten Darstellung erfolgt ein Einbin den eines Automatisierungsgeräts DVC in ein Automatisierungs system derart, dass zwischen dem Automatisierungsgerät DVC und dem Authentisierungsgerät AUT eine Schnittstelle IF aus gebildet wird, wobei das Automatisierungsgerät DVC über einen zusätzlichen Kommunikationskanal NW mit dem Automatisierungs server SRV verfügt. Dieser Kommunikationskanal NW wird übli cherweise als möglicherweise vorübergehende, paketorientierte Kommunikationsbeziehung bzw. »Session« über ein paketorien tiertes Netzwerk gestaltet. 1 shows a section of an automation system whose administrative portal is represented in a simplified manner by an automation server SRV. In real implementations, depending on the complexity and size, the automation system can also include servers and control components in addition to the automation server SRV. For this description, the automation server SRV shown serves only as an example for one or more components that are used for onboarding automation devices. According to the representation shown in Fig. 1, an automation device DVC is integrated into an automation system in such a way that an interface IF is formed between the automation device DVC and the authentication device AUT, the automation device DVC being connected to the automation server via an additional communication channel NW SRV has. This communication channel NW is usually designed as a possibly temporary, packet-oriented communication relationship or “session” via a packet-oriented network.
Das oben zum Kommunikationskanal NW gesagte kann grundsätz lich auch für die Schnittstelle IF zutreffen. Um aber die Verbindung der Schnittstelle IF nicht der beliebigen Natur und Gefahr einer schlecht rückverfolgbaren Netzwerkverbindung auszusetzen, welche keine unmittelbare Inspektion des verbun denen Authentisierungsgeräts AUT gestattet, kann vorgesehen sein, die Schnittstelle IF durch eine unmittelbare optische oder galvanische Direktverbindung zu bilden. In principle, what was said above about the communication channel NW can also apply to the interface IF. However, in order not to expose the connection of the interface IF to the arbitrary nature and risk of a poorly traceable network connection, which does not allow direct inspection of the connected authentication device AUT, provision can be made for the interface IF to be formed by an immediate optical or galvanic direct connection.
Nach Ausbildung der Schnittstelle IF dem zu verbindenden Au tomatisierungsgerät DVC und dem Authentisierungsgerät AUT werden vom Authentisierungsgerät AUT Daten zur Zuordnung des zu verbindenden Automatisierungsgerät DVC zu Verfügung ge stellt. After the interface IF has been formed, the automation device DVC to be connected and the authentication device AUT are provided with data for assigning the automation device DVC to be connected by the authentication device AUT.
Daraufhin wird z.B. zwischen dem zu verbindenden Automatisie rungsgerät DVC und dem Authentisierungsgerät AUT ein Authen- tisierungsverfahren durchgeführt. An authentication process is then carried out, for example between the automation device DVC to be connected and the authentication device AUT.
Der AutomatisierungsServer SRV oder ein alternatives überge ordnetes System erhält einen Zugriffsberechtigungsnachweises, welcher in seiner einfachsten Gestaltung eine Aussage ent hält, dass ein bestimmtes Automatisierungsgerät DVC mit dem Authentisierungsgerät AUT verbunden wurde. Der Automatisie rungsgerät DVC kann dem Automatisierungsgerät DVC nun in Fol ge darauf Eigenschaften zuweisen, beispielsweise Zugangsrech te einrichten. In einer Ausführungsform könnte das Automatisierungsgerät DVC eine Steuerung sein und das Authentisierungsgerät AUT ein USB-Stick . Der als Authentisierungsgerät AUT ausgestaltete USB-Stick enthält unter anderem ein beispielsweise ein Trus- ted Fiatform Module oder TPM inkl. eines privaten Schlüssels. Der als Authentisierungsgerät AUT ausgestaltete USB-Stick er möglicht somit die Durchführung eines Cha11enge-Response- Verfahren zur Generierung eines dem Automatisierungsgerät zu geordneten Zugriffsberechtigungsnachweises. Das zugehörige Cha11enge-Response-Verfahren kann im Wesentlichen auf dem zu verbindenden Automatisierungsgerät DVC und nur zu einem klei neren Teil auf dem als Authentisierungsgerät AUT ausgestalte te USB-Stick durchgeführt werden. The automation server SRV or an alternative higher-level system receives an access authorization certificate which, in its simplest form, contains a statement that a specific automation device DVC has been connected to the authentication device AUT. The automation device DVC can now subsequently assign properties to the automation device DVC, for example setting up access rights. In one embodiment, the automation device DVC could be a controller and the authentication device AUT a USB stick. The USB stick designed as an authentication device AUT contains, among other things, a Trusted Fiatform Module or TPM, for example, including a private key. The USB stick configured as an authentication device AUT thus makes it possible to carry out a challenge-response method for generating access authorization verification assigned to the automation device. The associated challenge-response method can essentially be carried out on the automation device DVC to be connected and only to a lesser extent on the USB stick designed as an authentication device AUT.
Gemäß der in Fig. 2 gezeigten Darstellung erfolgt ein Einbin den eines Automatisierungsgeräts DVC in ein Automatisierungs system derart, dass zwischen dem Automatisierungsgerät DVC und dem Authentisierungsgerät AUT eine Schnittstelle IF aus gebildet wird, wobei das Authentisierungsgerät AUT über einen zusätzlichen Kommunikationskanal NW mit dem Automatisierungs server SRV verfügt. Auch dieser Kommunikationskanal NW kann als möglicherweise vorübergehende, paketorientierte Kommuni kationsbeziehung bzw. »Session« über ein paketorientiertes Netzwerk gestaltet sein. According to the representation shown in Fig. 2, an automation device DVC is integrated into an automation system in such a way that an interface IF is formed between the automation device DVC and the authentication device AUT, the authentication device AUT being connected to the automation server via an additional communication channel NW SRV has. This communication channel NW can also be designed as a possibly temporary, packet-oriented communication relationship or “session” via a packet-oriented network.
In einer möglichen Ausführungsform könnte das Authentisie rungsgerät AUT ein USB-Mobilfunkadapter sein, welcher eine Mobilfunkverbindung unter Vorlage einer TeilnehmerIdentität auszubilden vermag, wobei die Teilnehmeridentität in einer SIM-Karte verkörpert oder als digitale eSIM im USB- Mobilfunkadapter gespeichert ist. Der als Authentisierungsge rät AUT ein USB-Mobilfunkadapter ermöglicht in dieser Ausfüh rungsform einen Zugang zu oberhalb der Mobilfunkverbindung ausgebildeten zusätzlich gesicherten Kommunikationskanal in einem VPN-Netz, über welches dann der Austausch des Zugriffs berechtigungsnachweises und/oder des Identitätsnachweises mit dem AutomatisierungsServer SRV stattfindet. In einer weiteren möglichen Ausführungsform könnte das Au- thentisierungsgerät AUT ein Programmiergerät sein, welches eine Anmeldung angeschlossener Geräte nach deren Identifizie rung durchführt. In einer weiteren möglichen Ausführungsfor men könnte das Authentisierungsgerät AUT als ein Netzwerkge rät, z.B. Router oder als ein mobiles Endgerät, z.B. Smart- phone ausgestaltet sein. In einer weiteren möglichen Ausfüh rungsform könnte das Authentisierungsgerät AUT seinerseits eine Authentisierung eines Nutzers oder Bedieners erfordern, beispielsweise bei Inbetriebnahme oder bei Ausbildung der Schnittstelle IF mit dem Automatisierungsgerät DVC. In einer weiteren möglichen Ausführungsform werden dem Automatisie rungsgerät DVC nach dessen Einbinden bzw. »Onboarding« in das AutomatisierungsSystem zusätzlich zu vorhandenen Zugangsdaten neue Zugangsdaten bereitgestellt. In one possible embodiment, the authentication device AUT could be a USB mobile phone adapter that is able to establish a mobile phone connection by submitting a subscriber identity, with the subscriber identity being embodied in a SIM card or stored as a digital eSIM in the USB mobile phone adapter. In this embodiment, the USB mobile radio adapter used as the authentication device AUT enables access to the additionally secured communication channel in a VPN network configured above the mobile radio connection, via which the exchange of the access authorization certificate and/or the identity certificate with the automation server SRV then takes place. In a further possible embodiment, the authentication device AUT could be a programming device which registers connected devices after they have been identified. In a further possible embodiment, the authentication device AUT could be designed as a network device, for example a router, or as a mobile terminal device, for example a smartphone. In a further possible embodiment, the authentication device AUT could itself require authentication of a user or operator, for example when starting up or when the interface IF is set up with the automation device DVC. In a further possible embodiment, the automation device DVC is provided with new access data in addition to existing access data after it has been integrated or "onboarded" into the automation system.
In realen Implementierungen kann das AutomatisierungsSystem, je nach Komplexität und Größe, neben dem AutomatisierungsSer ver SRV weiter Server und Steuerungskomponenten umfassen. Ne ben einem - nicht dargestellten - AuthentisierungsServer zur eigentlichen Authentifizierung des Zugriffsberechtigungsnach weises bzw. des Identitätsnachweises kann ein - nicht darge stellter - Policy Enforcement Server vorgesehen sein. Dieser Policy Enforcement Server dient beispielsweise dazu, aktuelle gerätespezifische Betreiberdaten zu binden, sobald dem Policy Enforcement Server eine erfolgreiche Authentisierung des Au tomatisierungsgerätes gegenüber dem AuthentisierungsServer gemeldet wird. Auch eine Bindung der aktuellen gerätespezifi schen Betreiberdaten an den authentisierten Identitätsnach weis des Automatisierungsgerätes kann bei einer möglichen Ausführungsform durch den Policy Enforcement Server erfolgen. Ein - nicht dargestellter - KonfigurationsServer kann dazu dienen, aktuelle gerätespezifische Betreiberdaten an den Po licy Enforcement Server zu übergeben. In real implementations, depending on the complexity and size, the automation system can also include servers and control components in addition to the automation server SRV. In addition to an authentication server--not shown--for the actual authentication of the access authorization proof or proof of identity, a policy enforcement server--not shown--can be provided. This policy enforcement server is used, for example, to bind current device-specific operator data as soon as the policy enforcement server is notified of successful authentication of the automation device to the authentication server. In one possible embodiment, the current device-specific operator data can also be linked to the authenticated proof of identity of the automation device by the policy enforcement server. A--not shown--configuration server can be used to transfer current device-specific operator data to the policy enforcement server.
Ein wesentlicher Unterschied der hier vorgeschlagenen Ausfüh rungsformen zu bekannten Lösungen mit einer PKI-basierten (Public-Key-Infrastruktur) Anmeldung an Diensten mittels ei nes Verwahrungsmodul ist, dass diese aus dem Stand der Tech nik bekannten Lösungen eine Verknüpfung einer Identität mit einem Berechtigungsnachweis - wie etwa einem kryptografisehen Schlüssel - vorsehen. Im Gegensatz dazu wird gemäß der erfin- dungsgemäßen Lösung zunächst keine Identität, sondern eine Berechtigung mit dem Berechtigungsnachweis verbunden. A significant difference between the embodiments proposed here and known solutions with a PKI-based (Public key infrastructure) Registration for services by means of a custody module is that these solutions known from the state of the art tech link an identity with a proof of authorization - such as a cryptographic key - provide. In contrast to this, according to the solution according to the invention, initially no identity but an authorization is associated with the proof of authorization.
Zwar gibt es im Stand der Technik auch Lösungen, bei denen es vorgesehen ist, dass das Zugangsmedium, welches das Verwah rungsmodul und den Schlüssel enthält, weitergegeben wird. Dennoch binden auch solche Lösungen den Schlüssel an eine Identität, nämlich die des Zugangsmediums. Diese Logik ist insbesondere auch daran zu sehen, dass in der Regel die Zu ordnung der Berechtigungen zu dem Zugangsmedium dynamisch ist und der Besitz des Zugangsmediums alleine ausreicht, um Zu gang gewährt zu bekommen. It is true that there are also solutions in the prior art in which it is provided that the access medium, which contains the custody module and the key, is passed on. Nevertheless, such solutions also bind the key to an identity, namely that of the access medium. This logic can also be seen in particular from the fact that the allocation of authorizations to the access medium is usually dynamic and possession of the access medium alone is sufficient to be granted access.
Erfindungsgemäß erlaubt eine dem oben genannten Zugangsmedium vergleichbarere Maßnahme jedoch für sich allein genommen noch keinen Zugang. Ein erfindungsgemäßes Authentisierungsgerät erlaubt vielmehr eine Berechtigung zum Zugriff, welche erst in einem folgenden Schritt eine Verknüpfung einer Identität mit einer Berechtigung nach sich zieht. According to the invention, however, a measure that is more comparable to the above-mentioned access medium does not in itself allow access. Rather, an authentication device according to the invention permits access authorization which only results in a linking of an identity with an authorization in a subsequent step.
Darüber hinaus wird auch weiterhin zwischen individuellen Au tomatisierungsgeräten DVC unterschieden. Eine spätere Ent scheidung über Berechtigungen erfolgt also primär anhand des Identitätsnachweises und nicht anhand eines ehemals verbunde nen Authentisierungsgeräts AUT. In addition, a distinction will continue to be made between individual automation devices DVC. A subsequent decision on authorizations is therefore primarily based on the proof of identity and not on the basis of a previously connected authentication device AUT.
Besonders deutlich wird dieses, wenn eine Vielzahl von Gerä ten über ein Authentisierungsgerät die Berechtigung erhält, Daten auf einem bestimmten Speicher abzulegen und eigene Da ten zu lesen. Der Lesezugriff hängt zwar wie auch der SchreibZugriff auch davon ab, eine Nutzungsberechtigung er halten zu haben, primär aber davon, ob die entsprechenden Da ten von dem Gerät selbst geschrieben wurden. Die Erfindung ermöglicht also eine einfache Konfiguration ei ner AutomatisierungsSystems bei hoher Sicherheit, nämlich ei nen Schutz gegen Angriffe von Dritten aufgrund von Nachläs sigkeiten bei der Konfiguration. This becomes particularly clear when a large number of devices are authorized via an authentication device to store data on a specific memory and to read their own data. Like write access, read access also depends on having received usage authorization, but primarily on whether the corresponding data was written by the device itself. The invention thus enables a simple configuration of an automation system with a high level of security, namely protection against attacks by third parties due to negligence in the configuration.
Das Verfahren ist insbesondere vorteilhaft für Hersteller von Automatisierungsgeräten DVC, welche als Universalgeräte ver trieben werden und erst später, kundenseitig in ein Automati sierungssystem eingebunden werden sollen. The method is particularly advantageous for manufacturers of automation devices DVC, which are sold as universal devices and are to be integrated into an automation system at a later date by the customer.

Claims

Patentansprüche patent claims
1. Verfahren zum Einbinden eines Automatisierungsgeräts in ein AutomatisierungsSystem unter Verwendung eines mit dem Au tomatisierungsgerät verbindbaren Authentisierungsgeräts, um fassend die Schritte: 1. A method for integrating an automation device into an automation system using an authentication device that can be connected to the automation device, comprising the steps:
- Ausbildung einer Schnittstelle (IF) zwischen dem Automati sierungsgerät (DVC) und dem Authentisierungsgerät (AUT) und Generierung eines dem Automatisierungsgerät (DVC) zu geordneten Zugriffsberechtigungsnachweises (ACC); - Formation of an interface (IF) between the automation device (DVC) and the authentication device (AUT) and generation of the automation device (DVC) to associated access authorization verification (ACC);
- Empfang und Authentisierung des Zugriffsberechtigungsnach weises (ACC) an einem AutomatisierungsServer (SRV) des Au tomatisierungssystems und Zuweisung einer Zugriffsberech tigung an das Automatisierungsgerät (DVC); - Receipt and authentication of the access authorization proof (ACC) on an automation server (SRV) of the automation system and assignment of an access authorization to the automation device (DVC);
- Empfang und Authentisierung eines Identitätsnachweises (IDC) des zugriffsberechtigten Automatisierungsgeräts (DVC) am AutomatisierungsServer (SRV) und Einbinden des bezüglich seiner Identität authentisierten Automatisie rungsgeräts (DVC) in das AutomatisierungsSystem. - Receiving and authenticating proof of identity (IDC) of the authorized automation device (DVC) on the automation server (SRV) and incorporating the automation device (DVC) that has been authenticated with regard to its identity into the automation system.
2. Verfahren nach Patentanspruch 1, dadurch gekennzeichnet, dass die Schnittstelle (IF) durch eine unmittelbare optische oder galvanische Direktverbindung gebildet wird. 2. The method according to claim 1, characterized in that the interface (IF) is formed by a direct optical or galvanic direct connection.
3. Verfahren nach einem der vorgenannten Patentansprüche, dadurch gekennzeichnet, dass der Zugriffsberechtigungsnach weises (ACC) vom Automatisierungsgerät (DVC) an den Automati sierungsserver (SRV) gesendet wird. 3. Method according to one of the preceding patent claims, characterized in that the access authorization verification (ACC) is sent from the automation device (DVC) to the automation server (SRV).
4. Verfahren nach einem der vorgenannten Patentansprüche, dadurch gekennzeichnet, dass der Zugriffsberechtigungsnach weises (ACC) vom Authentisierungsgerät (AUT) an den Automati sierungsserver (SRV) gesendet wird. 4. Method according to one of the preceding claims, characterized in that the access authorization verification (ACC) is sent from the authentication device (AUT) to the automation server (SRV).
5. Verfahren nach einem der vorgenannten Patentansprüche, dadurch gekennzeichnet, dass die Generierung des Zugriffsbe- rechtigungsnachweises (ACC) in Zusammenwirkung des Automati- sierungsgeräts (DVC) und des Authentisierungsgerät (AUT) er folgt. 5. The method according to any one of the preceding claims, characterized in that the generation of the access authorization proof (ACC) in cooperation with the automatic device (DVC) and the authentication device (AUT) takes place.
6. Verfahren nach einem der vorgenannten Patentansprüche, dadurch gekennzeichnet, dass die Generierung des Zugriffsbe- rechtigungsnachweises (ACC) unter Durchführung eines Challen- ge-Response-Verfahrens erfolgt. 6. Method according to one of the preceding claims, characterized in that the generation of the proof of access authorization (ACC) takes place by carrying out a challenge-response method.
7. Verfahren nach einem der vorgenannten Patentansprüche, dadurch gekennzeichnet, dass der Empfang des Identitätsnach weises (IDC) durch einen zwischen dem Authentisierungsgerät (AUT) und dem AutomatisierungsServer (SRV) ausgebildeten Kom munikationskanal erfolgt. 7. Method according to one of the preceding patent claims, characterized in that the proof of identity (IDC) is received via a communication channel configured between the authentication device (AUT) and the automation server (SRV).
8. Verfahren nach einem der vorgenannten Patentansprüche, dadurch gekennzeichnet, dass das Authentisierungsgerät (AUT) dieses Verfahren initiiert. 8. Method according to one of the preceding claims, characterized in that the authentication device (AUT) initiates this method.
9. AutomatisierungsSystem zum Einbinden eines Automatisie rungsgeräts in ein AutomatisierungsSystem unter Verwendung eines mit dem Automatisierungsgerät verbindbaren Authentisie- rungsgeräts, das AutomatisierungsSystem umfassend: 9. Automation system for integrating an automation device into an automation system using an authentication device that can be connected to the automation device, the automation system comprising:
- eine Schnittstelle (IF) zwischen dem Automatisierungsgerät (DVC) und dem Authentisierungsgerät (AUT) zur Generierung eines dem Automatisierungsgerät (DVC) zugeordneten Zu griffsberechtigungsnachweises (ACC); - An interface (IF) between the automation device (DVC) and the authentication device (AUT) for generating an automation device (DVC) assigned to access authorization proof (ACC);
- ein AutomatisierungsServer (SRV) eingerichtet zum Empfang und zur Authentisierung des Zugriffsberechtigungsnachwei ses (ACC) sowie zur Zuweisung einer Zugriffsberechtigung an das Automatisierungsgerät (DVC); - An automation server (SRV) set up to receive and authenticate the access authorization proof ses (ACC) and to assign an access authorization to the automation device (DVC);
- der AutomatisierungsServer (SRV) ferner eingerichtet zum Empfang und zur Authentisierung eines Identitätsnachweises (IDC) des zugriffsberechtigten Automatisierungsgeräts (DVC) und zur Einbindung des bezüglich seiner Identität authentisierten Automatisierungsgeräts (DVC) in das Auto matisierungssystem. - The automation server (SRV) is also set up to receive and authenticate a proof of identity (IDC) of the authorized automation device (DVC) and to integrate the automation device (DVC) whose identity has been authenticated into the automation system.
10. Authentisierungsgerät zum Einbinden eines Automatisie rungsgeräts in ein AutomatisierungsSystem gemäß Patentan spruch 9, dadurch gekennzeichnet, dass das Authentisierungs gerät zumindest teilweise als mobiles Kommunikationsendgerät ausgebildet ist. 10. Authentication device for integrating an automation device into an automation system according to patent claim 9, characterized in that the authentication device is designed at least partially as a mobile communication terminal.
11. Authentisierungsgerät zum Einbinden eines Automatisie rungsgeräts in ein AutomatisierungsSystem gemäß Patentan spruch 9, dadurch gekennzeichnet, dass das Authentisierungs- gerät zumindest teilweise als Netzwerkgerät, insbesondere als Router oder als Netzwerkswitch ausgebildet ist. 11. Authentication device for integrating an automation device into an automation system according to patent claim 9, characterized in that the authentication device is designed at least partially as a network device, in particular as a router or as a network switch.
12. Authentisierungsgerät zum Einbinden eines Automatisie rungsgeräts in ein AutomatisierungsSystem gemäß einem der vorgenannten Patentansprüche 9 bis 11, dadurch gekennzeich net, dass das Authentisierungsgerät mehrere miteinander kom munikativ gekoppelte Komponenten umfasst. 12. Authentication device for integrating an automation device into an automation system according to one of the preceding claims 9 to 11, characterized in that the authentication device comprises a plurality of components that are communicatively coupled to one another.
EP22734894.3A 2021-07-13 2022-06-08 Method and automation system for incorporating an automation device Pending EP4356565A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP21185262.9A EP4120624A1 (en) 2021-07-13 2021-07-13 Method and automation system for integrating an automation device
PCT/EP2022/065573 WO2023285039A1 (en) 2021-07-13 2022-06-08 Method and automation system for incorporating an automation device

Publications (1)

Publication Number Publication Date
EP4356565A1 true EP4356565A1 (en) 2024-04-24

Family

ID=76920542

Family Applications (2)

Application Number Title Priority Date Filing Date
EP21185262.9A Withdrawn EP4120624A1 (en) 2021-07-13 2021-07-13 Method and automation system for integrating an automation device
EP22734894.3A Pending EP4356565A1 (en) 2021-07-13 2022-06-08 Method and automation system for incorporating an automation device

Family Applications Before (1)

Application Number Title Priority Date Filing Date
EP21185262.9A Withdrawn EP4120624A1 (en) 2021-07-13 2021-07-13 Method and automation system for integrating an automation device

Country Status (3)

Country Link
EP (2) EP4120624A1 (en)
CN (1) CN117941320A (en)
WO (1) WO2023285039A1 (en)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007046079A1 (en) * 2007-09-26 2009-04-02 Siemens Ag A method for establishing a secure connection from a service technician to an incident affected component of a remote diagnosable and / or remote controllable automation environment
CN110839005B (en) * 2018-08-17 2023-08-01 恩智浦美国有限公司 Secure registration of devices with cloud platform

Also Published As

Publication number Publication date
EP4120624A1 (en) 2023-01-18
WO2023285039A1 (en) 2023-01-19
CN117941320A (en) 2024-04-26

Similar Documents

Publication Publication Date Title
EP2250598B1 (en) Client/server system for communicating according to the standard protocol opc ua and having single sign-on mechanisms for authenticating, and method for performing single sign-on in such a system
EP3125492B1 (en) Method and system for generating a secure communication channel for terminals
DE102004045147A1 (en) A setting information distribution apparatus, method, program and medium, authentication setting transfer apparatus, method, program and medium, and setting information receiving program
DE102007025162A1 (en) Alarm-controlled access control in a corporate network
DE102009059893A1 (en) Apparatus and method for securing a negotiation of at least one cryptographic key between devices
EP3582033B1 (en) Method for securely operating a field device
DE10045975A1 (en) Procedure for controlling access
EP3021524A1 (en) Method for establishing a local control channel between a control device and an access portal within a building
EP3266186B1 (en) Network device and method for accessing a data network from a network component
EP3935808B1 (en) Cryptographically protected provision of a digital certificate
EP4054143A1 (en) Authentification of a device in a communication network of an automation system
DE102011007199A1 (en) Method and communication device for cryptographically protecting a field device data communication
DE102017212474A1 (en) Method and communication system for checking connection parameters of a cryptographically protected communication connection during connection establishment
EP3432539A1 (en) Method for establishing a communication channel between a server device and a client device
WO2023285039A1 (en) Method and automation system for incorporating an automation device
EP3244360A1 (en) Method for registration of equipment, in particular for access control devices or payment or vending machines in a server of a system comprising several such devices
EP3585084A1 (en) Device of an access authorisation system for a sub-network of a mobile radio network
DE102018002466A1 (en) Method and device for establishing a secure data transmission connection
DE102016220231A1 (en) Safe control of vehicle components in a telecommunications network
EP3407309A1 (en) Access control device for controlling access to an access area
DE102021111841B3 (en) Procedure for communication of IoT nodes or IoT devices in a local network
EP3451263A1 (en) Security system for implementing an electronic application
WO2023222312A1 (en) Provisioning of terminals in radio communication networks
DE102016223633A1 (en) Method and devices for providing at least one service, in particular in the automotive environment
DE112023000147T5 (en) SECURE UNMANAGED NETWORK SWITCH AND METHODS

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20240115

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR