RU2014146982A - Доступ пользователя к устройству промышленной автоматизации и управления - Google Patents

Доступ пользователя к устройству промышленной автоматизации и управления Download PDF

Info

Publication number
RU2014146982A
RU2014146982A RU2014146982A RU2014146982A RU2014146982A RU 2014146982 A RU2014146982 A RU 2014146982A RU 2014146982 A RU2014146982 A RU 2014146982A RU 2014146982 A RU2014146982 A RU 2014146982A RU 2014146982 A RU2014146982 A RU 2014146982A
Authority
RU
Russia
Prior art keywords
ied
user
buttons
secret
access
Prior art date
Application number
RU2014146982A
Other languages
English (en)
Inventor
Фернандо АЛЬВАРЕС
Франк ХОЛЬБАУМ
Мартин МОЙЛИ
Original Assignee
Абб Текнолоджи Аг
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Абб Текнолоджи Аг filed Critical Абб Текнолоджи Аг
Publication of RU2014146982A publication Critical patent/RU2014146982A/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • User Interface Of Digital Computer (AREA)
  • Input From Keyboards Or The Like (AREA)
  • Storage Device Security (AREA)
  • Lock And Its Accessories (AREA)

Abstract

1. Способ предоставления доступа к интеллектуальному электронному устройству IED промышленной системы автоматизации и управления IACS, в котором IED имеет локальный интерфейс человек-машина LHMI с ограниченным набором кнопок IED, содержащийпроверяют, используя механизм реализации доступа АЕ, который соединен с возможностью обмена информацией с IED, реквизиты пользователя, представленные пользователем АЕ,генерируют временный секрет сеанса, состоящий из последовательности кнопок или комбинации кнопок, выбранных из ограниченного набора кнопок IED,передают этот секрет сеанса пользователю, и передают секрет сеанса или хеш секрета сеанса в IED,предоставляют доступ IED для пользователя в случае, если секрет, впоследствии представленный в IED пользователем, соответствует секрету сеанса.2. Способ по п. 1, содержащий открытие АЕ сеанса пользователя в IED от имени пользователя, и блокирование экрана LHMI; и разблокирование IED экрана после удостоверения того, что секрет сеанса был представлен пользователем.3. Способ по п. 1 или 2, в котором реквизиты пользователя включают в себя пароль пользователя, содержащий генерируют секрет сеанса, включающий в себя множество кнопок или комбинаций кнопок, выбранных из кнопок IED, количество которых меньше, чем количество кнопок или комбинаций кнопок, требуемых для ввода пароля в LHMI IED.4. Способ по п. 1 или 2, содержащий пользователь выбирает множество IED из IACS, и генерируют одиночный секрет сеанса для всех выбранных IED.5. Способ по п. 1 или 2, содержащий генерируют секрет сеанса, включающий в себя период действительности, предоставляют доступ IED, если только период действительности не истек.6. Способ по п. 1 или 2, содержащий АЕ передает роль пользователя в IED, и предоставляют

Claims (10)

1. Способ предоставления доступа к интеллектуальному электронному устройству IED промышленной системы автоматизации и управления IACS, в котором IED имеет локальный интерфейс человек-машина LHMI с ограниченным набором кнопок IED, содержащий
проверяют, используя механизм реализации доступа АЕ, который соединен с возможностью обмена информацией с IED, реквизиты пользователя, представленные пользователем АЕ,
генерируют временный секрет сеанса, состоящий из последовательности кнопок или комбинации кнопок, выбранных из ограниченного набора кнопок IED,
передают этот секрет сеанса пользователю, и передают секрет сеанса или хеш секрета сеанса в IED,
предоставляют доступ IED для пользователя в случае, если секрет, впоследствии представленный в IED пользователем, соответствует секрету сеанса.
2. Способ по п. 1, содержащий открытие АЕ сеанса пользователя в IED от имени пользователя, и блокирование экрана LHMI; и разблокирование IED экрана после удостоверения того, что секрет сеанса был представлен пользователем.
3. Способ по п. 1 или 2, в котором реквизиты пользователя включают в себя пароль пользователя, содержащий генерируют секрет сеанса, включающий в себя множество кнопок или комбинаций кнопок, выбранных из кнопок IED, количество которых меньше, чем количество кнопок или комбинаций кнопок, требуемых для ввода пароля в LHMI IED.
4. Способ по п. 1 или 2, содержащий пользователь выбирает множество IED из IACS, и генерируют одиночный секрет сеанса для всех выбранных IED.
5. Способ по п. 1 или 2, содержащий генерируют секрет сеанса, включающий в себя период действительности, предоставляют доступ IED, если только период действительности не истек.
6. Способ по п. 1 или 2, содержащий АЕ передает роль пользователя в IED, и предоставляют доступ к IED в соответствии с этим.
7. Механизм реализации доступа ЕА для обеспечения возможности доступа кинтеллектуальному электронному устройству IED системы промышленной автоматизации и управления IACS, в которой IED соединен с возможностью обмена данными с АЕ и имеет локальный интерфейс человек-машина LHMI с ограниченным набором кнопок IED, включающий в себя
модуль аутентификации пользователя, предназначенный для проверки реквизитов пользователя, представленных пользователем в АЕ,
модуль генерирования секрета, предназначенный для генерирования временного секрета сеанса для последующего доступа IED пользователя к IED, состоящего из последовательности кнопок или комбинаций кнопок, выбранных из ограниченного набора кнопок IED,
модуль передачи данных, предназначенный для выполнения передачи данных секрета сеанса пользователю и для передачи секрета сеанса в IED.
8. Механизм реализации доступа по п. 7, в котором он содержит считыватель метки для получения доступа к сертификатам пользователя, сохраненным в метке, отличающийся тем, что модуль передачи данных выполнен с возможностью доступа к сертификатам пользователя, для ответа на вызов из IED.
9. Механизм реализации доступа по п. 7, отличающийся тем, что модуль передачи данных выполнен с возможностью открывать сеанс пользователя в IED и блокировать экран LHMI для его разблокирования после проверки достоверности секрета сеанса, представленного пользователем.
10. Механизм реализации доступа по п. 7, отличающийся тем, что модуль генерирования секрета выполнен с возможностью генерирования одного секрета сеанса для множества IED в IACS, выбранного пользователем.
RU2014146982A 2012-04-23 2013-04-23 Доступ пользователя к устройству промышленной автоматизации и управления RU2014146982A (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP12165200.2A EP2675106A1 (en) 2012-04-23 2012-04-23 Industrial automation and control device user access
EP12165200.2 2012-04-23
PCT/EP2013/058403 WO2013160309A1 (en) 2012-04-23 2013-04-23 Industrial automation and control device user access

Publications (1)

Publication Number Publication Date
RU2014146982A true RU2014146982A (ru) 2016-06-10

Family

ID=48227221

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014146982A RU2014146982A (ru) 2012-04-23 2013-04-23 Доступ пользователя к устройству промышленной автоматизации и управления

Country Status (5)

Country Link
US (1) US20150067828A1 (ru)
EP (2) EP2675106A1 (ru)
CN (1) CN104272645B (ru)
RU (1) RU2014146982A (ru)
WO (1) WO2013160309A1 (ru)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140228976A1 (en) * 2013-02-12 2014-08-14 Nagaraja K. S. Method for user management and a power plant control system thereof for a power plant system
US9760734B2 (en) * 2015-06-26 2017-09-12 Sap Se Catalog-based user authorization to access to multiple applications
US20170012991A1 (en) * 2015-07-08 2017-01-12 Honeywell International Inc. Method and system for wirelessly communicating with process machinery using a remote electronic device
EP3128382B1 (en) * 2015-08-05 2018-11-07 ABB Schweiz AG Secure mobile access for automation systems
US9882893B2 (en) * 2015-09-15 2018-01-30 Honeywell International Inc. System and method for secured password management for industrial devices
US10447682B1 (en) * 2016-09-21 2019-10-15 Amazon Technologies, Inc. Trust management in an electronic environment
IT201800008134A1 (it) * 2018-08-20 2020-02-20 Massimo Guerci Metodo evoluto per inserimento e codifica password
JP7124679B2 (ja) * 2018-12-07 2022-08-24 トヨタ自動車株式会社 監視装置
JP7283232B2 (ja) * 2019-06-03 2023-05-30 オムロン株式会社 情報提供方法および情報提供システム
DE102020128744A1 (de) * 2020-11-02 2022-05-05 Dräger Safety AG & Co. KGaA Messsystem, Kommunikationskomponente, Vorrichtung, Verfahren und Computerprogramm für eine Kommunikationskomponente eines Messsystems zum Synchronisieren von Zugangsdaten
DE102021127963A1 (de) * 2021-10-27 2023-04-27 Krones Aktiengesellschaft Behälterbehandlungsanlage mit wenigstens einer Behälterbehandlungsmaschine zum Behandeln von Behältern und einem zentralen Rechtezuweisungssystem

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2802666B1 (fr) * 1999-12-17 2002-04-05 Activcard Systeme informatique pour application a acces par accreditation
CN101390126A (zh) * 2005-05-19 2009-03-18 晟碟以色列有限公司 视个人存在而通过令牌的交易认证
US20070086590A1 (en) * 2005-10-13 2007-04-19 Rolf Blom Method and apparatus for establishing a security association
US8122240B2 (en) * 2005-10-13 2012-02-21 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for establishing a security association
JP4983197B2 (ja) * 2006-10-19 2012-07-25 富士ゼロックス株式会社 認証システム、認証サービス提供装置、および認証サービス提供プログラム
EP2037651A1 (en) * 2007-09-12 2009-03-18 ABB Technology AG Method and system for accessing devices in a secure manner
US8458485B2 (en) * 2009-06-17 2013-06-04 Microsoft Corporation Image-based unlock functionality on a computing device
US8583097B2 (en) * 2011-03-23 2013-11-12 Blackberry Limited Method for conference call prompting from a locked device
US8677464B2 (en) * 2011-06-22 2014-03-18 Schweitzer Engineering Laboratories Inc. Systems and methods for managing secure communication sessions with remote devices
TW201335784A (zh) * 2012-02-21 2013-09-01 Hon Hai Prec Ind Co Ltd 電子設備解鎖系統及方法

Also Published As

Publication number Publication date
CN104272645A (zh) 2015-01-07
EP2817915A1 (en) 2014-12-31
CN104272645B (zh) 2018-09-11
EP2817915B1 (en) 2015-06-03
US20150067828A1 (en) 2015-03-05
WO2013160309A1 (en) 2013-10-31
EP2675106A1 (en) 2013-12-18

Similar Documents

Publication Publication Date Title
RU2014146982A (ru) Доступ пользователя к устройству промышленной автоматизации и управления
CN106161032B (zh) 一种身份认证的方法及装置
CN108270571B (zh) 基于区块链的物联网身份认证系统及其方法
CN101321165B (zh) 嵌入式系统中许可的认证
CN103685323B (zh) 一种基于智能云电视网关的智能家居安全组网实现方法
EP2424185B1 (en) Method and device for challenge-response authentication
CN106533861A (zh) 一种智能家居物联网安全控制系统及认证方法
US20120249292A1 (en) Proximity based biometric identification systems and methods
CN103731756A (zh) 一种基于智能云电视网关的智能家居远程安全访问控制实现方法
CN103259667A (zh) 移动终端上eID身份认证的方法及系统
CN107454079A (zh) 基于物联网平台的轻量级设备认证及共享密钥协商方法
CN202904698U (zh) 一种门禁管理系统
CN101589400A (zh) 权限管理方法及系统、该系统中使用的服务器设备、以及信息设备终端
CN101393628A (zh) 一种新型的网上安全交易系统和方法
CN109728913A (zh) 一种设备合法性验证方法、相关设备以及系统
CN104506527A (zh) 多维信息指针平台及其数据访问方法
CN105897784A (zh) 物联网终端设备加密通信方法和装置
CN102984126A (zh) 投票认证系统和方法、电子签名工具及投票数据传输方法
CN108964897A (zh) 基于群组通信的身份认证系统和方法
CN104063650A (zh) 一种密钥存储设备及其使用方法
Wu et al. A blockchain-based network security mechanism for voting systems
CN104753682B (zh) 一种会话秘钥的生成系统及方法
León-Coca et al. Authentication systems using ID Cards over NFC links: the Spanish experience using DNIe
Hou et al. Lightweight and privacy-preserving charging reservation authentication protocol for 5G-V2G
CN108964895A (zh) 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法