WO2008022606A1 - Verfahren zur authentifizierung in einem automatisierungssystem - Google Patents

Verfahren zur authentifizierung in einem automatisierungssystem Download PDF

Info

Publication number
WO2008022606A1
WO2008022606A1 PCT/DE2006/001481 DE2006001481W WO2008022606A1 WO 2008022606 A1 WO2008022606 A1 WO 2008022606A1 DE 2006001481 W DE2006001481 W DE 2006001481W WO 2008022606 A1 WO2008022606 A1 WO 2008022606A1
Authority
WO
WIPO (PCT)
Prior art keywords
certificate
automation
automation system
communication
authentication server
Prior art date
Application number
PCT/DE2006/001481
Other languages
English (en)
French (fr)
Inventor
Hendrik Gerlach
Thomas Talanis
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to DE112006004090T priority Critical patent/DE112006004090A5/de
Priority to PCT/DE2006/001481 priority patent/WO2008022606A1/de
Publication of WO2008022606A1 publication Critical patent/WO2008022606A1/de

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by the network communication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31135Fieldbus
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/36Nc in input of data, input key till input tape
    • G05B2219/36542Cryptography, encrypt, access, authorize with key, code, password
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Definitions

  • the invention relates to a method for authenticating a communication subscriber in an automation system.
  • the automation system is understood to mean a plurality of automation devices communicating with one another and possibly further devices which are intended individually or in combination for controlling and / or monitoring a technical process.
  • the term "automation device” includes all devices, devices or systems, so in addition to eg., Controls, such as programmable logic controllers, process computers, (industrial) computers, decentralized peripherals, HMI devices and the like also drive or other aggregate controls, frequency and the like, as they are used or can be used to control, regulate and / or monitor technological processes, for example for reshaping or transporting material, energy or information, etc., in particular via suitable technical devices, such as, for example, sensors
  • automation devices are also understood to mean those communication users in an automation system who do not interact directly with the respective technical process but, for example, for diagnostic purposes or for operator control and monitoring functions, possibly even only t up, are part of the automation system.
  • Ethernet and IP communication also penetrate the so-called fieldbus level, eg. B. down to the level of individual automation cells before.
  • fieldbus level eg. B.
  • These new threats increase the demands on the protection of Automat! s réellestechnikn.
  • access protection based on rights also plays a key role.
  • a client an operator / user or a device used by the user
  • a client must first be identified and authenticated, with authentication as proof that the particular client is the one he claims to be before it Basis of an assignment, ie an authorization, can take place.
  • Automation devices are so far, if at all, by comparatively simple mechanisms, eg. As passwords, in particular embodiments decentrally stored passwords, protected. The respective client must always re-authenticate itself when accessing such devices. To support such operations aids are known, the z.
  • automation network is here and in the following
  • an automation system which is provided for controlling and / or monitoring a complete installation comprising a large-scale technical process is an automation system which will also be referred to simply as a system in the following: The same applies to terms such as an automation network or the like.
  • the advantage here is in particular a facilitated operability or the avoidance of the need to remember a variety of access authorization information, to be called Wachwach part.
  • a method for authenticating a communication subscriber in or with respect to an automation system having a plurality of communicatively connected automation devices it is provided in a first step that the communication user sends an identifier to the automation system.
  • the communication participant is a permanently or temporarily communicatively connected to the automation system device, eg. For example, a programming device with which a user can access the automation system and at least temporarily included automation devices.
  • the identifier sent by the communication subscriber to the automation system identifies either the respective device or the user, or both, collectively referred to as "client.”
  • client Such identifier may include a user name and password
  • a certificate is generated or a certificate already generated is selected or selecting the The certificate is based on the identifier.
  • the certificate is transmitted to the communication subscriber / client.
  • the latter can transmit the certificate to all communication users included in the automation system, that is to say, in particular, to the automation devices communicating with one another in a communicative manner. Transmission of the certificate to a communication user in the automation system, referred to hereafter as the "target device", normally leads to authentication of the communication subscriber / client transmitting the certificate Client thus for the respective automation device, ie an access to this device, authenticated.
  • the above-mentioned problems are solved by the above method, as well as a device or a system by which the method is implemented by allowing the client to authenticate one-time and then based on this authentication on components of the Automation system. Access is then usually under consideration of rights granted to the client based on its authentication.
  • components includes all devices that serve directly or indirectly to fulfill automation tasks, eg. B. automation devices, but also z. B. network components and the like.
  • the term "one-time authentication" is to be understood here and below in the sense that the client can log on once and then access other components without having to re-authenticate. However, this does not exclude that the acquired authentication has a time limit beyond which re-authentication may become necessary.
  • an automation domain designates a common, so-called “trust domain” in which devices or components with an automation function are located a once acquired authentication of a client valid everywhere, ie all devices "trust” a common entity, which is included in the automation system and is also the basis for performing the authentication.
  • An automation solution provided for the automation of a technical process may comprise one or more automation domains.
  • An essential advantage of the solution according to the invention is that the client does not have to log on / authenticate to each device, but a single login to the automation domain, ie an authentication in or with respect to the respective automation system, is sufficient. It also provides easy user management that can be centralized to the entire automation domain, eliminating the need for a single device or effect for each device, and increased security and consistency. The latter has an effect especially in the user management, if z. For example, a new client for the automation domain should be allowed or an authorization of a client that is no longer allowed to be revoked should be revoked. For new devices added to the automation domain, they do not require a passphrase. In addition, the respective client only has to remember a password, which results in not only a time saving for this.
  • the automation system comprises at least one authentication server, wherein the identifier is sent by the respective Koxnmunikationsteilêt / client to the authentication server and the certificate is then generated or selected by the authentication server.
  • the devices encompassed by the automation system in particular the automation devices provided for controlling and / or monitoring the technical process, of administrative functions, such.
  • the generation, selection and storage of certificates can be assigned to a dedicated device or device group, namely the authentication server, so that a separation between "automation resources” and "administration resources” becomes possible to that extent.
  • At least one private key and a public key belonging to the or each private key are assigned to the authentication server.
  • the authentication server signs the selected or created certificate with the or a private key. This is known in the automation system or is in the automation system, eg. B. after selection or generation of the certificate or in connection with the signing of the certificate, made known. Such notification is expediently carried out by the fact that the public key belonging to the private key used for the signing is transmitted to the other communication users in the automation system, in particular the automation devices included therein.
  • the certificate acts for the communication user, who asks for an authentication in the automation system or for the automation system, as a soft token that "proofed” the authenticity of individual or multiple devices in the automation system "presented", that is transmitted
  • Signing turns the certificate into a soft token that is protected against change known and also in connection with the described embodiment of the present invention, the known signature methods come into consideration in principle. It is also known to recognize any changes in data units based on the respective signature. These known methods should also be used in conjunction with this embodiment of the invention.
  • a secure communication channel is preferably used for transmission of the certificate.
  • z This ensures, for example, that no unauthorized user can come into possession of the certificate. At least, such unauthorized access is made more difficult.
  • the certificate is either rejected or accepted by the respective target device in connection with a transmission of the certificate by the client to a target device based on additional information about the origin of the certificate.
  • This additional information relates preferably to the signing of the certificate by, in particular, the authentication server, wherein z.
  • the target device verifies the signature of the transmitted certificate on the basis of the public key made known by the authentication server.
  • a client works on a at least temporarily connected to an automation system communication participants, eg. B. a programmer. From there, the client authenticates itself to the automation system, eg. On the authentication server. This authentication is carried out using standard mechanisms by transmitting a user-specific identifier. Such an identifier may, for. B. User name and / or password, or a so-called RFID, etc., or be based on biometric data or the like.
  • This authentication information is usually transmitted between client and authentication server on a secure channel. For this an SSL channel is used. After successful authentication, the authentication server generates a certificate for the client, which it receives back via the secure channel.
  • This certificate can the user below to prove its authenticity to other communication participants in the automation system, eg. B. automation system comprised by the automation system, submit.
  • the certificate can be installed in local, so-called certificate stores of the client.
  • the issued certificate is signed by the authentication server. To do this, the authentication server uses a private key.
  • the associated public key is distributed in the form of a so-called root certificate to all members of the automation domain, that is to say in particular to the automation devices included in the automation system. This can also be done in an upstream th configuration step, z. B. during a so-called configuration done.
  • this certificate is "submitted", ie transmitted by the client to the respective target device.
  • a request thus initiated by the client initiates the establishment of a secure so-called SSL tunnel between the client and the target device
  • This secure channel is used to transfer the client's certificate to the target device, where it can be used to assign and / or check appropriate authorizations without the client having to log on to the target device or the authentication server.
  • the target device will generally not trust each submitted certificate, but check whether the respective issuer, ie the source of the certificate, is a trustworthy so-called stand certification authority, whereby the trustworthiness z. B. may result from the fact that the issuer is the authentication server of its own domain. If both a valid and trusted certificate are then available, the client can access the target device within the scope of the rights assigned to it without the need for further authentication.
  • Kerberos is that the SSL protocol is a widely used protocol that is available on a variety of devices. SSL enables the transparent packaging of TCP telegrams in an SSL channel, so that no modifications are required for TCP-based applications. The use of z. B. Kerberos usually requires an adjustment of the application protocol, with Kerberos speaking of "Kerberization".
  • the certificate is a so-called X509 ⁇ certificate, which is used to prove the authenticity of the client.
  • Certificates can be determined using, in particular, secure data transmission protocols, e.g. B. SSL, comparatively easy to transport one of the automation devices in the automation system, where on the basis of the certificate, the authentication of the client, ie the communication subscriber from whom the certificate is sent, is checked. Certificates can be stored in secured storage areas that exist under many platforms, so that access protection is ensured on the one hand and compatibility with existing platforms on the other hand guaranteed.
  • Kerberos trust mechanisms are used, the advantage of which is, above all, the relatively simple realizability, if Kerberos is already implemented on the participating devices.
  • Kerberos trust mechanisms are used, the advantage of which is, above all, the relatively simple realizability, if Kerberos is already implemented on the participating devices.
  • Kerberos also uses so-called "shared secrets" by default, and to the best of Applicant's knowledge, Kerberos has not been used in automation devices because of the significant problems it poses, including in connection with a so-called Kerberization of the application protocols
  • the alternative use of X509 certificates has the advantage that a so-called trust ratio can be easily checked on the basis of the respective signature and no recourse to shared secrets or the like is required Unlike the shared secrets, special root certificates do not need to be kept in a secure store because they do not receive any secret information, unlike shared secrets, certificates can be time-limited have duration. Even if unauthorized third parties gain access to certificates, this may result in unauthorized access for a limited time only.
  • root certificates can be revoked if an authentication server or its public key has been compromised. All certificates issued by him will then become invalid and a new private key can be assigned to the authentication server so that new certificates can be issued based on which clients can then re-authenticate.
  • the single sign-on system is designed so that issued by the authentication server for the client certificates have a fixed or definable period of validity. After expiry of the validity period, the client needs a new certificate in order to continue to have access to the automation system.
  • provision may be made for such a new certificate to be requested from the authentication server using an old, in particular expired, or shortly before expiration certificate.
  • Such a requirement can be automatic. This has the advantage that the client does not have to specify his password again even if the certificate has to be renewed.
  • the use of certificates protected against alteration, in particular of X509 certificates, can also be used to secure authorization information for access to automation components.
  • Authorization information can be privileges, rights, roles, and so on.
  • the transfer of such authorization information is secured in a special way.
  • z For example, the following scenario is conceivable: The client logs on to an authentication server and receives from it a certificate that identifies him as an authenticated client in the future. The authentication server has signed the certificate so that each target device can verify that the authentication is trusted. The certificate now contains one or more roles. One of these roles includes z.
  • B. Information such as "operator", "maintenance personnel” or the like. This role information is transmitted with the transmission of the certificate to the target device.
  • the target device extracts after a verification of Authentication the role information. Based on locally stored rights tables, the target device can now assign rights to the respective client via the role. This has the advantage that the rights tables do not contain any user information, so that they do not have to be changed when clients are removed or when new clients are added. In addition, the role information is securely transmitted to the respective target device together with the authentication information.
  • Relationships used in subclaims indicate the further development of the subject of the main claim by the features of the respective subclaim; they should not be construed as a waiver of obtaining independent, objective protection for the feature combinations of the dependent claims. Furthermore, in terms of an interpretation of the claims in a closer concretization of a feature in a downstream Claim that such a restriction does not exist in the respective preceding claims.
  • FIG. 1 shows a schematically simplified representation of communication relationships between an automation system provided for controlling a technical process and a client with which access to the automation system is to take place.
  • the automation system 10 comprises a number of communicatively interconnected communication participants. Some of the communication stations comprised by the automation system 10 are automation devices 14, 16, 18, 20 corresponding to the definition given at the outset, namely a first and second automation device 14, 16 and further automation devices 18, 20.
  • the automation system 10 likewise includes a Authentication server 22.
  • the automation devices 14-20, the authentication server 22, and possibly other, not shown devices or components are communicatively connected via a bus 24, in particular a field bus. A permanent or temporary connection of another communication subscriber 26 to the automation system 10 is also possible via the bus 24.
  • the client sends the automation system 10 an identifier 28 (indicated by the double arrow).
  • the identifier 28 is received and checked by one of the devices included in the automation system 10, in the present scenario by the authentication server 22.
  • a certificate 30 is generated or selected.
  • the generation or selection of the certificate 30 preferably also takes place by the authentication server 22.
  • the generated or selected certificate 30 is transmitted to the client, in particular by the authentication server 22 (illustrated by a first communication relationship 32 in the context of the single sign-on method).
  • the authentication server 22 is signed.
  • a private key (not shown) associated with the authentication server 22 is considered.
  • its "integrity" can be recognized by checking the signature, for which purpose the authentication server 22 sends a public key 34 belonging to the private key at least also to the automation devices 14-20 included in the automation system 10. In this transmission it is a second communication relationship 36 in the context of the single-sign-on method.
  • the client Upon receipt of the certificate 30, the client can access individual components of the automation system 10, e.g. B. one of the programmable controllers 14-20, in these, in Described below for distinction as a target device, submit the certificate 30.
  • This transmission is a third communication relationship 38 in the context of the single-sign-on method.
  • the respective target device in the example shown the second automation device 16, checks the transmitted certificate 30, in particular on the basis of the public key 34 previously transmitted by the authentication server 22.
  • the certificate 30 is sent after such a check, and possibly after a check, whether the certificate 30 originates from a trusted source, ie in particular a device comprised by the automation system 10 itself, namely, for.
  • the authentication server 22 The respective client is then granted access to the addressed target device. If the client wants to access other target devices, as long as a possibly envisaged time limit for the validity of the certificate 30 has not expired, submission of the certificate 30 to this target device is sufficient to gain access, in particular after a subsequent authorization certain rights are assigned to the client, in particular with regard to the transmitted certificate 30.
  • a method for authenticating a communication subscriber 26, also referred to as client, in an automation system 10 with automation devices 14, 16, 18, 20 communicating with one another is indicated, in which the communication subscriber 26 sends an identifier 28 to the automation system 10, the identifier 28 is checked in the area of the automation system 10 and, upon successful verification, a certificate 30 is generated or selected and transmitted to the communication user 26, and the certificate 30 authenticates the client to a respective target device this, in particular one of the programmable controllers 14-20, can be transmitted.

Abstract

Es wird ein Verfahren zur Authentifizierung eines auch als Client bezeichneten Kommunikations teilnehmers (26) in einem Automatisierungssystem (10) mit untereinander kommunikativ verbundenen Automatisierungsgeräte (14, 16, 18, 20) angegeben, bei dem der Kommunikationsteilnehmer (26) eine Kennung (28) an das Automatisierungssystem (10) sendet, im Bereich des Automatisierungssystems (10) die Kennung (28) überprüft und bei erfolgreicher Prüfung ein Zertifikat (30) erzeugt oder ausgewählt und dieses dem Kommunikationsteilnehmer (26) übermittelt wird, und dass das Zertifikat (30) zur Authentifizierung des Clients gegenüber einem jeweiligen Zielgerät an dieses, insbesondere eines der Automatisierungsgeräte (14-20), übermittelbar ist.

Description

Beschreibung
Verfahren zur Authentifizierung in einem Automatisierungssystem
Die Erfindung betrifft ein Verfahren zur Authentifizierung eines Kommunikationsteilnehmers in einem Automatisierungssystem.
Als Automatisierungssystem wird dabei eine Mehrzahl untereinander kommunikativ verbundener Automatisierungsgeräte sowie ggf. weiterer Geräte aufgefasst, die einzeln oder in Kombination zur Steuerung und/oder Überwachung eines technischen Prozesses bestimmt sind. Der Begriff „Automatisierungsgerät" umfasst sämtliche Geräte, Einrichtungen oder Systeme, also neben z. B. Steuerungen, wie speicherprogrammierbaren Steuerungen, Prozessrechnern, (Industrie-) Computern, dezentralen Peripheriegeräten, Bedien- und Beobachtungsgeräten und dergleichen auch Antriebs- oder sonstige AggregatSteuerungen, Frequenzumrichter und Ähnliches, wie sie zur Steuerung, Regelung und/oder Überwachung technologischer Prozesse z. B. zum Umformen oder Transportieren von Material, Energie oder Information etc. eingesetzt werden oder einsetzbar sind, wobei insbesondere über geeignete technische Einrichtungen, wie z. B. Sensoren oder Aktoren, Energie aufgewandt oder gewandelt wird. Als Automatisierungsgeräte werden dabei auch solche Kommunikationsteilnehmer in einem Automatisierungssystem aufgefasst, die nicht unmittelbar mit dem jeweiligen technischen Prozess interagieren, sondern z. B. zu Diagnosezwecken oder für Bedien- und Beobachtungsfunktionen, ggf. auch nur temporär, Bestandteil des Automatisierungssystems sind.
Ethernet- und IP-Kommunikation dringt im Bereich der Automatisierungstechnik auch auf die so genannte Feldbus-Ebene, al- so z . B. bis auf das Niveau einzelner Automatisierungszellen, vor. Damit werden die Sicherheitsbedrohungen über Netzwerkverbindungen auch für die Feldebene relevant . Diese neuen Bedrohungen erhöhen die Ansprüche an den Schutz von Automat!- sierungsgeräten. Neben anderen Sicherheitsmechanismen spielt dabei auch der Zugriffsschutz auf Basis von Rechten eine zentrale Rolle. Für einen Zugriffsschutz muss ein Client (ein Bediener/Benutzer oder ein von diesem verwendetes Gerät) zu- nächst identifiziert und authentifiziert werden, wobei die Authentifizierung als Nachweis dafür gilt, dass der jeweilige Client derjenige ist, für den er sich ausgibt, ehe auf dieser Basis eine Rechtzuteilung, also eine Autorisierung, erfolgen kann.
Automatisierungsgeräte sind bisher, wenn überhaupt, durch vergleichsweise einfache Mechanismen, z. B. Passworte, in besonderen Ausführungsformen dezentral gespeicherte Passworte, geschützt. Der jeweilige Client muss sich beim Zugriff auf solche Geräte immer wieder neu authentifizieren. Zur Unterstützung solcher Bedienvorgänge sind Hilfsmittel bekannt, die z. B. ein zuletzt verwendetes Passwort temporär Zwischenspeichern („cachen"). Speziell eine dezentrale Speicherung der Passworte erschwert jedoch deren Verwaltung. Weiterhin ist es schwierig, die Konsistenz der Passwörter in einem Automatisierungssystem oder Automatisierungsverbund manuell sicherzustellen. Der Begriff Automatisierungsverbund wird hier und im Folgenden z. B. für ein Automatisierungssystem verwendet, das zur Steuerung und/oder Überwachung einer einen großräumigen technischen Prozess umfassenden Gesamtanlage vorgesehen ist. Ein Automatisierungssystem wird im Folgenden auch kurz einfach als System bezeichnet. Entsprechendes gilt auch für Begriffe wie Automatisierungsverbund oder dergleichen.
Bei dem Verfahren, auf das sich die Erfindung bezieht, steht im Vordergrund, dass eine Authentifizierung in dem Automatisierungssystem (Kommunikationsverbund) , also mit Wirkung für das System oder gegenüber dem System erfolgt. D. h. eine mehrfache Authentifizierung gegenüber einer Mehrzahl von ein- zelnen Geräten, die als Kommunikationsteilnehmer in dem System fungieren, soll vermieden werden. Eine solche, einmalige Authentifizierung wird nach dem mittlerweile üblichen Sprachgebrauch mit dem eingeführten Begriff als „Single-Sign-On" (SSO) bezeichnet. Entsprechend wird dieser Begriff auch im Folgenden verwendet .
Verfahren zum „Single-Sign-On" sind allgemein, z. B. aus der WO 00/67415, bekannt.
Eine Aufgabe der Erfindung besteht darin, die Vorteile, die sich durch eine nur einmalige Authentifizierung (Single-Sign- On) ergeben, auch im Bereich der Automatisierungstechnik be- reitzustellen. Als Vorteil ist dabei insbesondere eine erleichterte Bedienbarkeit oder die Vermeidung des mit der Notwendigkeit, sich eine Vielzahl von Zugangsberechtigungsinformationen merken zu müssen, einhergehenden Wachteils zu nennen.
Diese Aufgabe wird erfindungsgemäß mit den Merkmalen des Anspruchs 1 gelöst. Dazu ist bei einem Verfahren zur Authentifizierung eines Kommunikationsteilnehmers in oder gegenüber einem Automatisierungssystem mit einer Mehrzahl kommunikativ verbundener Automatisierungsgeräte in einem ersten Schritt vorgesehen, dass der Kommunikationsteilnehmer eine Kennung an das Automatisierungssystem sendet. Der Kommunikationsteilnehmer ist dabei ein dauerhaft oder temporär mit dem Automatisierungssystem kommunikativ verbundenes Gerät, z. B. ein Pro- grammiergerät , mit dem ein Benutzer Zugriff auf das Automatisierungssystem und davon zumindest temporär umfasste Automatisierungsgeräte nehmen kann. Die durch den Kommunikations- teilnehmer an das Automatisierungssystem gesendete Kennung identifiziert entweder das jeweilige Gerät oder den Benutzer oder beides, nachfolgend zusammenfassend als „Client" bezeichnet. Eine solche Kennung kann einen Benutzernamen und ein Passwort umfassen. Diese Kennung wird in einem nächsten Schritt im Bereich des Automatisierungssystems, also z. B. durch ein vom Automatisierungssystem umfasstes Gerät, über- prüft. Bei erfolgreicher Prüfung, wenn also die Kennung für das Automatisierungssystem zugelassen ist, wird in einem weiteren Schritt ein Zertifikat erzeugt oder ein bereits erzeugtes Zertifikat ausgewählt. Das Erzeugen oder Auswählen des Zertifikats erfolgt dabei anhand der Kennung. Daraufhin wird in einem nochmals weiteren Schritt das Zertifikat dem Kommunikationsteilnehmer/Client übermittelt. Dieser kann in einem nicht notwendig unmittelbar anschließenden Schritt das Zerti- fikat an sämtliche von dem Automatisierungssystem umfassten Kommunikationsteilnehmer, also insbesondere die darin kommunikativ untereinander verbundenen Automatisierungsgeräte, übermitteln. Eine Übermittlung des Zertifikats an einen Kommunikationsteilnehmer in dem Automatisierungssystem, im FoI- genden als „Zielgerät" bezeichnet, führt normalerweise zu einer Authentifizierung des Kommunikationsteilnehmers/Clients, der das Zertifikat übermittelt. Wenn das Zielgerät eines der von dem Automatisierungssystem umfassten Automatisierungsgeräte ist, ist der Client damit für das jeweilige Automatisie- rungsgerät, also einen Zugriff auf dieses Gerät, authentifiziert .
Die weiter oben genannten Probleme werden durch das vorstehende .Verfahren, sowie ein Gerät oder ein System, mit dem oder durch das das Verfahren implementiert wird, gelöst, indem es dem Client erlaubt, sich einmalig zu authentifizieren und dann auf Basis dieser Authentifizierung auf Komponenten des Automatisierungssystems zuzugreifen. Der Zugriff erfolgt dann üblicherweise unter Prüfung von Rechten, die dem Client auf Basis seiner Authentifizierung zugeteilt werden. Der Begriff Komponenten schließt alle Geräte ein, die direkt oder indirekt zur Erfüllung von Automatisierungsaufgaben dienen, also z. B. Automatisierungsgeräte, aber auch z. B. Netzwerkkomponenten und dergleichen. Der Begriff der einmaligen Au- thentifizierung ist hier und im Folgenden in dem Sinne zu verstehen, dass sich der Client einmal anmeldet und dann auf andere Komponenten zugreifen kann, ohne sich erneut zu authentifizieren. Dies schließt jedoch nicht aus, dass die erworbene Authentifizierung eine zeitliche Beschränkung hat, nach deren Ablauf eine erneute Authentifizierung notwendig werden kann. Zur sprachlichen Unterscheidung soll hier noch die Bezeichnung „Automatisierungsdomäne" eingeführt werden, die einen gemeinsamen, so genannten Vertrauensbereich bezeichnet, in dem sich Geräte oder Komponenten mit automatisierungstechni- scher Funktion befinden. Die Bezeichnungen Automatisierungsdomäne und Automatisierungssystem werden dabei synonym verwendet. Innerhalb der Automatisierungsdomäne ist eine einmal erworbene Authentifizierung eines Clients überall gültig, d. h. alle Geräte „vertrauen" einer gemeinsamen Instanz, die von dem Automatisierungssystem umfasst ist und auch Basis für die Durchführung der Authentifizierung ist. Eine zur Automatisierung eines technischen Prozesses vorgesehene Automatisierungslösung kann eine oder auch mehrere Automatisierungsdomänen umfassen.
Ein wesentlicher Vorteil der erfindungsgemäßen Lösung besteht darin, dass sich der Client nicht an jedem Gerät neu anmelden/authentifizieren muss, sondern eine einmalige Anmeldung an der Automatisierungsdomäne, also eine Authentifizierung in oder gegenüber dem jeweiligen Automatisierungssystem, ausreicht. Darüber hinaus ergibt sich eine einfache Benutzerverwaltung, die zentral für die gesamte Automatisierungsdomäne erfolgen kann und damit nicht auf jedem einzelnen Gerät oder mit Wirkung für jedes einzelne Gerät erfolgen muss und eine damit einhergehende erhöhte Sicherheit und bessere Konsistenz. Letzteres wirkt sich besonders bei der Benutzerverwaltung aus, wenn z. B. ein neuer Client für die Automatisierungsdomäne zugelassen oder eine Berechtigung eines zukünftig nicht mehr zugelassenen Clients zurückgenommen werden soll. Bei neu in die Automatisierungsdomäne eingefügten Geräten benötigen diese keinen Passwortsatz. Zudem muss sich der jeweilige Client nur ein Passwort merken, woraus sich für diesen nicht nur eine Zeitersparnis ergibt.
Zweckmäßige Weiterbildungen dieses Verfahrens sind Gegenstand weiterer Ansprüche. Bevorzugt umfasst das Automatisierungssystem zumindest einen Authentifizierungsserver, wobei die Kennung durch den jeweiligen Koxnmunikationsteilnehmer/Client an den Authentifizierungsserver gesandt wird und das Zertifikat daraufhin vom Authentifizierungsserver erzeugt oder ausgewählt wird. Auf diese Art und Weise werden die vom Automatisierungssystem um- fassten Geräte, insbesondere die zur Steuerung und/oder Überwachung des technischen Prozesses vorgesehenen Automatisierungsgeräte, von administrativen Funktionen, wie z. B. der Authentifizierung von Geräten oder Nutzern (Clients) , entlastet. Des Weiteren kann die Erzeugung, Auswahl und Speicherung von Zertifikaten einem dafür vorgesehenen Gerät oder einer Gerätegruppe, nämlich dem Authentifizierungsserver, zugewiesen werden, so dass insoweit auch eine Trennung zwischen „Au- tomatisierungsressourcen" und „Administrationsressourcen" möglich wird. Bevorzugt sind zumindest dem Authentifizierungsserver zumindest ein privater Schlüssel und ein zu dem oder jedem privaten Schlüssel gehöriger öffentlicher Schlüssel zugeordnet. Der Authentifizierungsserver signiert das ausgewählte oder erzeugte Zertifikat mit dem oder einem privaten Schlüssel. Dieser ist im Automatisierungssystem bekannt oder wird im Automatisierungssystem, z. B. nach Auswahl oder Erzeugung des Zertifikats oder im Zusammenhang mit der Signierung des Zertifikats, bekannt gemacht. Eine solche Be- kanntmachung erfolgt zweckmäßig indem der zu dem bei der Signierung verwendeten privaten Schlüssel gehörige öffentliche Schlüssel an die anderen Kommunikationsteilnehmer in dem Automatisierungssystem, insbesondere die davon umfassten Automatisierungsgeräte, übermittelt wird.
Das Zertifikat fungiert dabei für den Kommunikationsteilnehmer, der um eine Authentifizierung in dem Automatisierungssystem oder für das Automatisierungssystem nachsucht, als Soft-Token, das zum Nachweis der Authentizität einzelnen oder mehreren Geräten in dem Automatisierungssystem „vorgelegt", d. h. übermittelt, werden kann. Mit der Signierung wird das Zertifikat zu einem Soft-Token, das gegen Veränderung geschützt ist. Eine Signierung einer Dateneinheit ist an sich bekannt und auch im Zusammenhang mit der beschriebenen Ausführungsform der vorliegenden Erfindung kommen die bekannten Signaturverfahren grundsätzlich in Betracht. Ebenfalls bekannt ist das Erkennen von eventuellen Veränderungen von Da- teneinheiten anhand der jeweiligen Signatur. Auch diese insoweit bekannten Verfahren sollen im Zusammenhang mit dieser Ausführungsform der Erfindung eingesetzt werden.
Zur Übermittlung des Zertifikats, insbesondere zur Übermitt- lung des signierten Zertifikats durch den Client an ein Zielgerät oder auch bereits bei der erstmaligen Übermittlung an den Client, wird bevorzugt ein sicherer Kommunikationskanal verwendet. Auf diese Art und Weise wird z. B. sichergestellt, dass keine unberechtigten Benutzer in den Besitz des Zertifi- kats kommen können. Zumindest wird ein solcher unberechtigter Zugriff erschwert. Auf Seiten des Automatisierungssystems wird im Zusammenhang mit einer Übermittlung des Zertifikats durch den Client an ein Zielgerät das Zertifikat anhand von Zusatzinformationen über den Ursprung des Zertifikats durch das jeweilige Zielgerät entweder abgewiesen oder akzeptiert.
Diese Zusatzinformationen beziehen sich dabei bevorzugt auf die Signierung des Zertifikats durch insbesondere den Authen- tifizierungsserver, wobei z. B. das Zielgerät die Signatur des übermittelten Zertifikats anhand des durch den Authenti- fizierungsserver bekannt gemachten öffentlichen Schlüssels überprüft .
Zwischen dem jeweiligen Kommunikationsteilnehmer einerseits, also dem Client, und dem Automatisierungssystem andererseits, insbesondere dem Authentifizierungsserver, sowie nachfolgend zwischen Client und dem jeweiligen Zielgerät oder zwischen dem Authentifizierungsserver und anderen, als Zielgerät in Frage kommenden Kommunikationsteilnehmern im Automatisierungssystem, werden sensitive Daten übertragen, für die je nach Anwendungsszenario des Automatisierungssystem eine starke Authentifizierung erforderlich sein kann. Entsprechend ist gemäß der Erfindung vorgesehen, diese Kommunikationsbeziehungen auch bei einer Kommunikation im Rahmen des Single-Sign-On mit sicheren Kanälen zu schützen, um eine sichere Authentifizierung oder Autorisierung zu ermöglichen. Zur KanalSicherung kann SSL, IPSEC, Kerberos oder dergleichen verwendet werden. Mit der Verwendung sicherer Kanäle ist neben dem primären Si- cherheitsgewinn der Vorteil verbunden, dass die übertragenen Informationen nicht applikativ gesichert werden müssen.
Auf Basis des so genannten SSL-Protokolls zum Aufbau eines sicheren Kommunikationskanals ergibt sich danach z. B. fol- gendes Szenario: Ein Client arbeitet an einem zumindest temporär an einem Automatisierungssystem angeschlossenen Kommunikationsteilnehmer, z. B. einem Programmiergerät. Von dort aus authentifiziert sich der Client gegenüber dem Automatisierungssystem, z. B. am Authentifizierungsserver . Diese Au- thentifizierung erfolgt unter Anwendung üblicher Mechanismen durch Übertragung einer benutzerspezifischen Kennung. Eine solche Kennung kann z. B. Benutzernamen und/oder Passwort, oder eine so genannte RFID, etc. umfassen oder auf biometrische Daten oder dergleichen gestützt sein. Diese Authentifi- zierungsinformationen werden zwischen Client und Authentifizierungsserver üblicherweise auf einen gesicherten Kanal übertragen. Hierfür wird ein SSL-Kanal genutzt. Nach erfolgreicher Authentifizierung generiert der Authentifizierungsserver ein diesbezügliches Zertifikat für den Client, das dieser über den gesicherten Kanal zurück erhält. Dieses Zertifikat kann der Nutzer nachfolgend zum Nachweis seiner Authentizität bei anderen Kommunikationsteilnehmern im Automatisierungssystem, z. B. vom Automatisierungssystem umfassten Automatisierungsgeräten, vorlegen. Das Zertifikat kann in lo- kalen, so genannten Certificate Stores des Clients installiert werden. Das ausgestellte Zertifikat wird vom Authentifizierungsserver signiert. Dazu verwendet der Authentifizierungsserver einen privaten Schlüssel. Der zugehörige öffentliche Schlüssel wird in Form eines so genannten Stammzertifi- kats an alle Mitglieder der Automatisierungsdomäne, also insbesondere die vom Automatisierungssystem umfassten Automatisierungsgeräte, verteilt. Dies kann auch in einem vorgelager- ten Konfigurationsschritt, z. B. während einer so genannten Projektierung, erfolgen.
Wenn der Client auf einen als Zielgerät fungierenden Kommuni- kationsteilnehmer im Automatisierungssystem, z. B. ein Automatisierungsgerät, zugreifen will, wird dieses Zertifikat „vorgelegt", also durch den Client an das jeweilige Zielgerät übermittelt. Ein damit auf diese Weise vom Client initiierter Request veranlagst den Aufbau eines sicheren so genannten SSL-Tunnels zwischen Client und Zielgerät. Über diesen sicheren Kanal wird das Zertifikat des Clients zum Zielgerät übertragen und kann dort zur Zuweisung und/oder zum Prüfen entsprechender Berechtigungen führen, ohne dass der Client sich erneut an dem jeweiligen Zielgerät oder am Authentifizie- rungsserver anmelden muss.
Das Zielgerät wird in der Regel nicht jedem vorgelegten Zertifikat vertrauen, sondern prüfen, ob es sich bei dem jeweiligen Aussteller, also der Quelle des Zertifikats, um eine vertrauenswürdige so genannte Standzertifizierungsstelle handelt, wobei sich die Vertrauenswürdigkeit z. B. daraus ergeben kann, dass der Aussteller der Authentifizierungsserver der eigenen Domäne ist. Liegt daraufhin sowohl ein gültiges, wie auch vertrauenswürdiges Zertifikat vor, kann der Client im Rahmen der ihm zugewiesenen Rechte auf das Zielgerät zugreifen, ohne dass dazu eine weitere Authentifizierung erforderlich gewesen wäre.
Der Vorteil des Verfahrens gemäß der beschriebenen Ausfüh- rungsform der Erfindung gegenüber anderen Single-Sign-On- Verfahren - wie z. B. Kerberos - liegt darin, dass es sich bei dem SSL-Protokoll um ein weit verbreitetes Protokoll handelt, das auf einer Vielzahl von Geräten verfügbar ist. SSL ermöglicht das transparente Verpacken von TCP-Telegrammen in einem SSL-Kanal, so dass für TCP-basierte Applikationen keinerlei Modifikationen erforderlich sind. Der Einsatz von z. B. Kerberos erfordert in der Regel eine Anpassung des je- weiligen Applikationsprotokolls, wobei man bei Kerberos von einer „Kerberisierung" spricht.
In einer besonders bevorzugten Ausführungsform des Ansatzes gemäß der Erfindung handelt es sich bei dem Zertifikat um ein so genanntes X509~Zertifikat, das zum Nachweis der Authentizität des Clients verwendet wird. Zertifikate, und damit insbesondere X509-Zertifikate, lassen sich unter Verwendung von insbesondere gesicherten Datenübertragungsprotokollen, z. B. SSL, vergleichsweise einfach zu einem der Automatisierungsgeräte im Automatisierungssystem transportieren, wo anhand des Zertifikats die Authentifizierung des Clients, also des Kommunikationsteilnehmers, von dem das Zertifikat gesendet wird, überprüft wird. Zertifikate können in unter vielen Plattfor- men vorhandenen gesicherten Speicherbereichen hinterlegt werden, so dass einerseits ein Zugriffsschutz besteht und andererseits eine Kompatibilität zu vorhandenen Plattformen gewährleistet ist.
Eine Alternative zu der Verwendung von X509-Zertifikaten besteht in der Verwendung so genannter Kerberos-Trust-Mechanismen, die in Büroumgebungen häufig im Zusammenhang mit einer Authentifizierung zum Einsatz kommen. Gemäß einer weiteren Ausführungsform der Erfindung ist entsprechend vorgese- hen, dass ein insbesondere in einer Büroumgebung erworbener Authentifizierungsnachweis in Form eines so genannten Kerberos-Tickets für die Authentifizierung in einer Automatisierungsdomäne verwendet wird. Dazu werden Kerberos-Trust-Mechanismen verwendet, deren Vorteil vor allem in der vergleichs- weise einfachen Realisierbarkeit besteht, wenn Kerberos bereits auf den beteiligten Geräten implementiert ist. Darüber hinaus ergibt sich eine InterOperabilität mit Domänen, die auf Betriebssystemen wie Windows, UNIX, o. ä. basieren, in denen die Clients dann nicht doppelt geführt werden müssen. Des Weiteren besteht eine Möglichkeit der Trennung der Benutzerverwaltung, z. B. derart, dass die Automatisierungsdomäne der Bürodomäne „vertraut", aber nicht umgekehrt, so dass in der Bürodomäne nicht bekannte Clients, z. B. temporäre Clients mit Wartungsaufgaben, nur in der Automatisierungsdomäne verwaltet werden.
Kerberos nutzt standardmäßig so genannte „Shared Secrets". Kerberos ist zudem nach bestem Wissen der Anmelderin in Automatisierungsgeräten bisher noch nicht eingesetzt worden, da dieses erhebliche Probleme, unter anderem im Zusammenhang mit einer so genannten Kerberisierung der Applikationsprotokolle, mit sich bringt. Dem gegenüber hat die alternative Verwendung von X509-Zertifikaten den Vorteil, dass sich ein so genanntes Trust-Verhältnis einfach anhand der jeweiligen Signatur prüfen lässt und kein Rückgriff auf Shared Secrets oder dergleichen erforderlich ist. Es müssen insoweit keine sensitiven Daten, nämlich z. B. die Shared Secrets, auf sicherem Weg zwischen den beteiligten Kommunikationsteilnehmern übertragen werden. Im Gegensatz zu den Shared Secrets müssen besondere Stammzertifikate nicht in einem sicheren Speicher gehalten werden, da sie keine geheimen Informationen erhalten. Im Gegensatz zu Shared Secrets können Zertifikate eine zeitliche Begrenzung der Gültigkeitsdauer haben. Selbst wenn unberechtigte Dritte Zugriff auf Zertifikate erhalten, ist damit ein eventuell unberechtigter Zugriff nur zeitlich begrenzt möglich. Unter Nutzung einer so genannten PKI-Infrastruktur können Stammzertifikate zurückgezogen werden, wenn ein Authenti- fizierungsserver oder dessen öffentlicher Schlüssel kompromittiert wurde. Alle von ihm ausgestellten Zertifikate werden dann ungültig und dem Authentifizierungsserver kann ein neuer privater Schlüssel zugewiesen werden, so dass auf dessen Basis neue Zertifikate ausstellbar sind, mit denen sich Clients dann wieder authentifizieren können.
In einer besonders bevorzugten Ausführungsform kann vorgesehen sein, dass nach einer einmaligen Zertifizierung eines Clients dessen weitere Autorisierung oder Authentifizierung nur noch, also ausschließlich, zertifikatsbasiert erfolgt.
Als Vorteil ist damit eine Durchgängigkeit des Konzepts verbunden, wobei zusätzlich keine Shared Secrets für die Authen- tifizierung bei den jeweiligen Geräten, auf die ein Zugriff erfolgen soll, nötig ist.
Zur weiteren Erhöhung der Sicherheit kann vorgesehen sein, dass das Single-Sign-On-System so ausgelegt ist, dass die vom Authentifizierungsserver für den Client ausgestellten Zertifikate eine festgelegte oder festlegbare Gültigkeitsdauer haben. Nach Ablauf der Gültigkeitsdauer benötigt der Client ein neues Zertifikat, um weiterhin Zugriff auf das Automatisie- rungssystem zu bekommen. In einer besonders bevorzugten Ausführungsform kann dazu vorgesehen sein, dass ein solches neues Zertifikat unter Verwendung eines alten, insbesondere abgelaufenen oder kurz vor Ablauf stehenden Zertifikats beim Authentifizierungsserver angefordert wird. Eine solche Anfor- derung kann automatisch erfolgen. Damit ist der Vorteil verbunden, dass der Client sein Passwort auch bei einer erforderlichen Erneuerung des Zertifikats nicht noch einmal angeben muss .
Die Verwendung von gegen Veränderung geschützten Zertifikaten, also insbesondere von X509-Zertifikaten, kommt auch für die Sicherung von Autorisierungsinformationen für den Zugriff auf Automatisierungskomponenten in Betracht. Autorisierungs- informationen können Privilegien, Rechte, so genannte Rollen, usw. sein. Damit ist auch der Transfer solcher Autorisierungsinformationen in besonderer Weise gesichert. Bei dieser Ausgestaltung des erfindungsgemäßen Verfahrens ist z. B. folgendes Szenario denkbar: Der Client meldet sich an einem Authentifizierungsserver an und erhält von diesem ein Zerti- fikat zurück, das ihn zukünftig als authentifizierten Client ausweist. Der Authentifizierungsserver hat das Zertifikat signiert, so dass jedes Zielgerät prüfen kann, ob die Authentifizierung als vertrauenswürdig eingestuft wird. Im Zertifikat sind nun ein oder mehrere Rollen hinterlegt. Eine dieser Rollen umfasst z. B. Informationen, wie „Bediener", „Wartungspersonal" oder dergleichen. Diese Rolleninformation wird mit der Übertragung des Zertifikats an das Zielgerät übermittelt. Das Zielgerät extrahiert nach einer Verifikation der Authentifizierung die Rolleninformation. Anhand lokal hinter- legter Rechte-Tabellen kann das Zielgerät nun dem jeweiligen Client über die Rolle Rechte zuteilen. Damit ergibt sich der Vorteil, dass die Rechte-Tabellen keinerlei Benutzerinforma- tionen umfassen, so dass sie beim Entfernen von Clients oder beim Aufnehmen von neuen Clients nicht geändert werden müssen. Darüber hinaus werden die Rolleninformationen zusammen mit der Authentifizierungsinformation sicher zum jeweiligen Zielgerät übertragen.
Die mit der Anmeldung eingereichten Patentansprüche sind Formulierungsvorschläge ohne Präjudiz für die Erzielung weitergehenden Patentschutzes. Die Anmelderin behält sich vor, noch weitere, bisher nur in der Beschreibung und/oder Zeichnung offenbarte Merkmalskombination zu beanspruchen.
Das oder jedes Ausführungsbeispiel ist nicht als Einschränkung der Erfindung zu verstehen. Vielmehr sind im Rahmen der vorliegenden Offenbarung zahlreiche Abänderungen und Modifi- kationen möglich, insbesondere solche Varianten und Kombinationen, die zum Beispiel durch Kombination oder Abwandlung von einzelnen in Verbindung mit den im allgemeinen oder speziellen Beschreibungsteil beschriebenen sowie in den Ansprüchen und/oder der Zeichnung enthaltenen Merkmalen bzw. EIe- menten oder Verfahrensschritten für den Fachmann im Hinblick auf die Lösung der Aufgabe entnehmbar sind und durch kombinierbare Merkmale zu einem neuen Gegenstand oder zu neuen Verfahrensschritten bzw. Verfahrensschrittfolgen führen.
In Unteransprüchen verwendete Rückbeziehungen weisen auf die weitere Ausbildung des Gegenstandes des Hauptanspruches durch die Merkmale des jeweiligen Unteranspruches hin; sie sind nicht als ein Verzicht auf die Erzielung eines selbständigen, gegenständlichen Schutzes für die Merkmalskombinationen der rückbezogenen Unteransprüche zu verstehen. Des Weiteren ist im Hinblick auf eine Auslegung der Ansprüche bei einer näheren Konkretisierung eines Merkmals in einem nachgeordneten Anspruch davon auszugehen, dass eine derartige Beschränkung in den jeweils vorangehenden Ansprüchen nicht vorhanden ist.
Nachfolgend wird ein Ausführungsbeispiel der Erfindung anhand der Zeichnung näher erläutert. Einander entsprechende Gegenstände oder Elemente sind in allen Figuren mit den gleichen Bezugszeichen versehen.
Darin zeigt die einzige Figur
FIG 1 eine schematisch vereinfachte Darstellung von Kommunikationsbeziehungen zwischen einem zur Steuerung eines technischen Prozesses vorgesehenen Automatisierungssystem und einem Client, mit dem ein Zugriff auf das Automatisierungssystem erfolgen soll.
FIG 1 zeigt ein Automatisierungssystem 10, das zur Steuerung und/oder Überwachung eines nicht näher dargestellten technischen Prozesses 12 vorgesehen ist. Das Automatisierungssystem 10 umfasst eine Anzahl kommunikativ miteinander verbundener Kommunikationsteilnehmer. Bei einigen der vom Automatisierungssystem 10 umfassten Kommunikationsteilnehmer handelt es sich um Automatisierungsgeräte 14, 16, 18, 20 entsprechend der eingangs angegebenen Definition, nämlich ein erstes und zweites Automatisierungsgerät 14, 16 sowie weitere Automatisierungsgeräte 18, 20. Von dem Automatisierungssystem 10 ebenfalls umfasst ist ein Authentifizierungsserver 22. Die Automatisierungsgeräte 14-20, der Authentifizierungsserver 22, sowie ggf. weitere, nicht dargestellte Geräte oder Kompo- nenten sind kommunikativ über einen Bus 24, insbesondere einen Feldbus, verbunden. Über den Bus 24 ist auch ein dauerhafter oder temporärer Anschluss eines weiteren Kommunikati- onsteilnehmers 26 an das Automatisierungssystem 10 möglich.
Für den weiteren Kommunikationsteilnehmer 26 wird für die weitere Beschreibung angenommen, dass dieser von einem Bediener benutzt wird, der Zugriff auf das Automatisierungssystem 10, d. h. z. B. auf zumindest eines der Automatisierungsgerä- te 14-20, nehmen möchte. Die Bezeichnungen Kommunikationsteilnehmer oder weiterer Kommunikationsteilnehmer 26, sowie eine Bezeichnung des entsprechenden Gerätes und des das Gerät bedienenden Benutzers, werden im Folgenden synonym verwendet. Zur zusammenfassenden Bezeichnung wird auch der Begriff „Client" verwendet.
Zum Zugriff auf das Automatisierungssystem 10 im Rahmen des erfindungsgemäßen Single-Sign-On Ansatzes übermittelt der Client dem Automatisierungssystem 10 eine Kennung 28 (verdeutlicht durch den Doppelpfeil) . Die Kennung 28 wird durch eines der vom Automatisierungssystem 10 umfassten Geräte, im vorliegenden Szenario durch den Authentifizierungsserver 22, empfangen und überprüft. Bei erfolgreicher Prüfung wird ein Zertifikat 30 erzeugt oder ausgewählt. Das Erzeugen oder Auswählen des Zertifikats 30 erfolgt bevorzugt ebenfalls durch den Authentifizierungsserver 22. Das erzeugte oder ausgewählte Zertifikat 30 wird, insbesondere durch den Authentifizierungsserver 22, an den Client übermittelt (verdeutlicht durch eine erste Kommunikationsbeziehung 32 im Rahmen des Single- Sign-On Verfahrens) .
In einer bevorzugten Ausführungsform ist das dem Client übermittelte Zertifikat 30 durch z. B. den Authentifizierungsser- ver 22 signiert. Für eine solche Signierung kommt ein dem Authentifizierungsserver 22 zugeordneter privater Schlüssel (nicht dargestellt) in Betracht. Im Falle eines signierten Zertifikats 30 kann dessen „Unversehrtheit" durch Prüfen der Signatur erkannt werden. Dazu sendet der Authentifizierungs- Server 22 einen zu dem privaten Schlüssel gehörigen öffentlichen Schlüssel 34 zumindest auch an die vom Automatisierungssystem 10 umfassten Automatisierungsgeräte 14-20. Bei dieser Übermittlung handelt es sich um eine zweite Kommunikationsbeziehung 36 im Rahmen des Single-Sign-On Verfahrens.
Mit dem Erhalt des Zertifikats 30 kann der Client zum Zugriff auf einzelne Komponenten des Automatisierungssystems 10, z. B. eines der Automatisierungsgeräte 14-20, bei diesen, im Folgenden zur Unterscheidung als Zielgerät bezeichnet, das Zertifikat 30 vorlegen. Bei dieser Übermittlung handelt es sich um eine dritte Kommunikationsbeziehung 38 im Rahmen des Single-Sign-On Verfahrens.
Das jeweilige Zielgerät, im dargestellten Beispiel das zweite Automatisierungsgerät 16, prüft das übermittelte Zertifikat 30, insbesondere anhand des zuvor vom Authentifizierungsser- ver 22 übermittelten öffentlichen Schlüssels 34. Das Zertifi- kat 30 wird nach einer solchen Prüfung, sowie ggf. nach einer Prüfung, ob das Zertifikat 30 aus einer als vertrauenswürdig eingestuften Quelle stammt, also insbesondere einem vom Automatisierungssystem 10 selbst umfassten Gerät, nämlich z. B. dem Authentifizierungsserver 22, akzeptiert. Dem jeweiligen Client wird danach Zugriff auf das angesprochene Zielgerät gewährt. Wenn der Client auf andere Zielgeräte zugreifen will, reicht, solange eine eventuell vorgesehene zeitliche Beschränkung der Gültigkeit des Zertifikats 30 nicht abgelaufen ist, eine Vorlage des Zertifikats 30 bei diesem Zielge- rät, um darauf Zugriff zu nehmen, insbesondere nachdem im Rahmen einer nachgeschalteten Autorisierung dem Client bestimmte Rechte, insbesondere in Ansehung des übermittelten Zertifikats 30, zugeteilt werden.
Zusammenfassend lässt sich die vorliegende Erfindung damit kurz wie folgt beschreiben: Es wird ein Verfahren zur Authen- tifizierung eines auch als Client bezeichneten Kommunikationsteilnehmers 26 in einem Automatisierungssystem 10 mit untereinander kommunikativ verbundenen Automatisierungsgeräte 14, 16, 18, 20 angegeben, bei dem der Kommunikationsteilnehmer 26 eine Kennung 28 an das Automatisierungssystem 10 sendet, im Bereich des Automatisierungssystems 10 die Kennung 28 überprüft und bei erfolgreicher Prüfung ein Zertifikat 30 erzeugt oder ausgewählt und dieses dem Kommunikationsteilnehmer 26 übermittelt wird, und dass das Zertifikat 30 zur Authentifizierung des Clients gegenüber einem jeweiligen Zielgerät an dieses, insbesondere eines der Automatisierungsgeräte 14-20, übermittelbar ist.

Claims

Patentansprüche
1. Verfahren zur Authentifizierung eines Kommunikationsteilnehmers (26) in einem Automatisierungssystem (10) mit einer Mehrzahl untereinander kommunikativ verbundener Automatisierungsgeräte (14-20), d a d u r c h g e k e n n z e i c h n e t , dass der Kommunikationsteilnehmer (26) eine Kennung (28) an das Automatisierungssystem (10) sendet, dass im Bereich des Automatisierungssystems (10) die Kennung (28) überprüft und bei erfolgreicher Prüfung ein Zertifikat (30) erzeugt oder ausgewählt wird, dass das Zertifikat (30) dem Kommunikationsteilnehmer (26) übermittelt wird und dass das Zertifikat (30) von dem Kommunikationsteilnehmer
(26) an sämtliche Automatisierungsgeräte (14-20) übermittelbar ist und zu einer Authentifizierung des Kommunikationsteilnehmers (26) für das jeweilige Automatisierungsgerät (14- 20) führt.
2. Verfahren nach Anspruch 1, wobei das Automatisierungssystem (10) zumindest einen AuthentifizierungsServer (22) um- fasst und wobei die Kennung (28) an den Authentifizierungs- server (22) gesandt wird und das Zertifikat (30) daraufhin vom AuthentifizierungsServer (22) erzeugt oder ausgewählt wird.
3. Verfahren nach Anspruch 2, wobei dem Authentifizierungs- server (22) zumindest ein privater Schlüssel und ein zu dem oder jedem privaten Schlüssel gehöriger öffentlicher Schlüssel zugeordnet ist, wobei der AuthentifizierungsServer (22) das Zertifikat (30) mit dem oder einem privaten Schlüssel signiert und wobei zugehörige öffentliche Schlüssel im Auto- matisierungssystem (10) bekannt ist oder bekannt gemacht wird.
4. Verfahren nach einem der vorangehenden Ansprüche, wobei beim Übertragen des Zertifikats (30) durch den Kommunika- tionsteilnehmer (26) an ein Automatisierungsgerät (14-20) ein sicherer Kommunikationskanal verwendet wird.
5. Verfahren nach einem der vorangehenden Ansprüche, wobei im Zusammenhang mit einer Übermittlung des Zertifikats (30) durch den Kommunikationsteilnehmer (26) an ein Automatisierungsgerät (14-20) das oder jedes Automatisierungsgerät (14- 20) das Zertifikat (30) anhand von Zusatzinformationen über den Ursprung des Zertifikats (30) abweist oder akzeptiert.
6. Verfahren nach einem der vorangehenden Ansprüche, wobei es sich bei dem Zertifikat (30) um ein X509-Zertifikat handelt.
7. Verfahren nach einem der vorangehenden Ansprüche, wobei das Zertifikat (30) nach einer vorgegebenen oder vorgebbaren
Zeitspanne verfällt.
8. Verfahren nach einem der vorangehenden Ansprüche, wobei zu einem ablaufenden Zertifikat (30) automatisch ein neues Zer- tifikat angefordert wird.
9. Computerprogramm mit durch einen Computer ausführbaren Programmcodeanweisungen zur Implementierung des Verfahrens nach einem der Ansprüche 1 bis 8 wenn das Computerprogramm auf einem Computer ausgeführt wird.
10. Computerprogrammprodukt, insbesondere Speichermedium, mit einem durch einen Computer ausführbaren Computerprogramm gemäß Anspruch 9.
PCT/DE2006/001481 2006-08-23 2006-08-23 Verfahren zur authentifizierung in einem automatisierungssystem WO2008022606A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE112006004090T DE112006004090A5 (de) 2006-08-23 2006-08-23 Verfahren zur Authentifizierung in einem Automatisierungssystem
PCT/DE2006/001481 WO2008022606A1 (de) 2006-08-23 2006-08-23 Verfahren zur authentifizierung in einem automatisierungssystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/DE2006/001481 WO2008022606A1 (de) 2006-08-23 2006-08-23 Verfahren zur authentifizierung in einem automatisierungssystem

Publications (1)

Publication Number Publication Date
WO2008022606A1 true WO2008022606A1 (de) 2008-02-28

Family

ID=37905904

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2006/001481 WO2008022606A1 (de) 2006-08-23 2006-08-23 Verfahren zur authentifizierung in einem automatisierungssystem

Country Status (2)

Country Link
DE (1) DE112006004090A5 (de)
WO (1) WO2008022606A1 (de)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2159653A1 (de) * 2008-09-02 2010-03-03 Siemens Aktiengesellschaft Verfahren zur Einräumung einer Zugriffsberechtigung auf ein rechnerbasiertes Objekt in einem Automatisierungssystem, Computerprogramm und Automatisierungssystem
DE102010011657A1 (de) * 2010-03-17 2011-09-22 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Bereitstellen mindestens eines sicheren kryptographischen Schlüssels
EP2407843A1 (de) * 2010-07-09 2012-01-18 Siemens Aktiengesellschaft Sichere Datenübertragung in einem Automatisierungsnetzwerk
EP2618226A1 (de) * 2012-01-19 2013-07-24 Siemens Aktiengesellschaft Industrielles Automatisierungssystem und Verfahren zu dessen Absicherung
EP2680529A1 (de) * 2012-06-29 2014-01-01 Siemens Aktiengesellschaft Netzwerkeinrichtung und Verfahren zum Betreiben einer Netzwerkeinrichtung für ein Automatisierungsnetzwerk
EP2579116A3 (de) * 2011-10-04 2014-05-07 Endress + Hauser Process Solutions AG Verfahren zur Sicherstellung des autorisierten Zugriffs auf ein Feldgerät der Automatisierungstechnik
EP3355141A1 (de) * 2017-01-27 2018-08-01 Siemens Aktiengesellschaft Operator-system für ein prozessleitsystem

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10200681A1 (de) * 2002-01-10 2003-07-31 Siemens Ag Temporäre Zugansberechtigung zum Zugriff auf Automatisierungseinrichtungen
EP1403749A1 (de) * 2002-09-30 2004-03-31 Siemens Aktiengesellschaft Automatisierungssystem sowie Verfahren zu dessen Betrieb
EP1582950A2 (de) * 2004-03-31 2005-10-05 Rockwell Automation Technologies, Inc. Verfahren und System zur Verwaltung digitaler Rechte
EP1624350A1 (de) * 2004-08-02 2006-02-08 Siemens Aktiengesellschaft Verfahren zur Authentifizierung in einem Automatisierungssystem

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10200681A1 (de) * 2002-01-10 2003-07-31 Siemens Ag Temporäre Zugansberechtigung zum Zugriff auf Automatisierungseinrichtungen
EP1403749A1 (de) * 2002-09-30 2004-03-31 Siemens Aktiengesellschaft Automatisierungssystem sowie Verfahren zu dessen Betrieb
EP1582950A2 (de) * 2004-03-31 2005-10-05 Rockwell Automation Technologies, Inc. Verfahren und System zur Verwaltung digitaler Rechte
EP1624350A1 (de) * 2004-08-02 2006-02-08 Siemens Aktiengesellschaft Verfahren zur Authentifizierung in einem Automatisierungssystem

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010026152A1 (de) * 2008-09-02 2010-03-11 Siemens Aktiengesellschaft Verfahren zur einräumung einer zugriffsberechtigung auf ein rechnerbasiertes objekt in einem automatisierungssystem, computerprogramm und automatisierungssystem
EP2159653A1 (de) * 2008-09-02 2010-03-03 Siemens Aktiengesellschaft Verfahren zur Einräumung einer Zugriffsberechtigung auf ein rechnerbasiertes Objekt in einem Automatisierungssystem, Computerprogramm und Automatisierungssystem
CN102144193B (zh) * 2008-09-02 2013-11-20 西门子公司 在自动化系统中同意对基于计算机的对象的访问权限的方法、设备和自动化系统
DE102010011657A1 (de) * 2010-03-17 2011-09-22 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Bereitstellen mindestens eines sicheren kryptographischen Schlüssels
US8989386B2 (en) 2010-03-17 2015-03-24 Siemens Aktiengesellschaft Method and device for providing at least one secure cryptographic key
EP2407843A1 (de) * 2010-07-09 2012-01-18 Siemens Aktiengesellschaft Sichere Datenübertragung in einem Automatisierungsnetzwerk
US8832446B2 (en) 2010-07-09 2014-09-09 Siemens Aktiengesellschaft Secure data transfer in an automation network
EP2579116A3 (de) * 2011-10-04 2014-05-07 Endress + Hauser Process Solutions AG Verfahren zur Sicherstellung des autorisierten Zugriffs auf ein Feldgerät der Automatisierungstechnik
US9124581B2 (en) 2012-01-19 2015-09-01 Siemens Aktiengesellschaft Industrial automation system and method for safeguarding the system
EP2618226A1 (de) * 2012-01-19 2013-07-24 Siemens Aktiengesellschaft Industrielles Automatisierungssystem und Verfahren zu dessen Absicherung
CN103532732A (zh) * 2012-06-29 2014-01-22 西门子公司 网络装置和用于运行自动化网络的网络装置的方法
DE102012212412A1 (de) * 2012-06-29 2014-01-02 Siemens Ag Netzwerkeinrichtung und Verfahren zum Betreiben einer Netzwerkeinrichtung für ein Automatisierungsnetzwerk
EP2680529A1 (de) * 2012-06-29 2014-01-01 Siemens Aktiengesellschaft Netzwerkeinrichtung und Verfahren zum Betreiben einer Netzwerkeinrichtung für ein Automatisierungsnetzwerk
US9736021B2 (en) 2012-06-29 2017-08-15 Siemens Aktiengesellschaft Network device and method for operating a network device for an automation network
EP3355141A1 (de) * 2017-01-27 2018-08-01 Siemens Aktiengesellschaft Operator-system für ein prozessleitsystem
CN108363616A (zh) * 2017-01-27 2018-08-03 西门子公司 用于过程控制系统的操作者系统
US10114961B2 (en) 2017-01-27 2018-10-30 Siemens Aktiengesellschaft Operator system for a process control system
CN108363616B (zh) * 2017-01-27 2020-07-24 西门子公司 用于过程控制系统的操作者系统

Also Published As

Publication number Publication date
DE112006004090A5 (de) 2009-07-30

Similar Documents

Publication Publication Date Title
EP3125492B1 (de) Verfahren und system zum erzeugen eines sicheren kommunikationskanals für endgeräte
AT513016B1 (de) Verfahren und Vorrichtung zur Steuerung eines Schließmechanismus mit einem mobilen Endgerät
DE60119857T2 (de) Verfahren und Vorrichtung zur Ausführung von gesicherten Transaktionen
WO2018104276A1 (de) Masterblockchain
WO2012031821A1 (de) Verfahren zur zertifikats-basierten authentisierung
WO2008022606A1 (de) Verfahren zur authentifizierung in einem automatisierungssystem
EP2250598A2 (de) Client/server-system zur kommunikation gemäss dem standardprotokoll opc ua und mit single sign-on mechanismen zur authentifizierung sowie verfahren zur durchführung von single sign-on in einem solchen system
EP3422628B1 (de) Verfahren, sicherheitseinrichtung und sicherheitssystem
DE102013203101A1 (de) Erweitern der Attribute einer Credentialanforderung
EP3556047A1 (de) Programmierbares hardware-sicherheitsmodul und verfahren auf einem programmierbaren hardware-sicherheitsmodul
EP3935808B1 (de) Kryptographisch geschütztes bereitstellen eines digitalen zertifikats
EP3785416B1 (de) Verfahren zur anbindung eines endgerätes in eine vernetzbare rechner-infrastruktur
EP3785459B1 (de) Einrichtung einer zugangsberechtigung zu einem teilnetzwerk eines mobilfunknetzes
EP3244360A1 (de) Verfahren zur registrierung von geräten, insbesondere von zugangskontrollvorrichtungen oder bezahl- bzw. verkaufsautomaten bei einem server eines systems, welches mehrere derartige geräte umfasst
DE102018102608A1 (de) Verfahren zur Benutzerverwaltung eines Feldgeräts
EP2289052B1 (de) Verfahren zur erstellung, vergabe und überprüfung von autorisierungs-bewilligungen
EP2816777B1 (de) Rechnernetz, Netzknoten und Verfahren zur Bereitstellung von Zertifizierungsinformationen
DE102021130243A1 (de) Verfahren für die bevollmächtigte gemeinsame Nutzung eines Schlüssels für digitales Fahrzeugschlüsselsystem
EP3267619B1 (de) Verfahren zur herstellung einer ausfallsicherung in einem netzwerk
WO2011000608A1 (de) Vorrichtungen und verfahren zum erstellen und validieren eines digitalen zertifikats
EP3881486B1 (de) Verfahren zur bereitstellung eines herkunftsortnachweises für ein digitales schlüsselpaar
EP3917103A1 (de) Verfahren, system, sender und empfänger zum authentifizieren eines senders
EP1624350B1 (de) Verfahren zur Authentifizierung in einem Automatisierungssystem
EP3739834A1 (de) Verfahren, vorrichtung und anordnung zum verarbeiten von daten
EP3937451B1 (de) Verfahren zu herstellung einer verschlüsselten verbindung

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 06791315

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: RU

WWE Wipo information: entry into national phase

Ref document number: 1120060040901

Country of ref document: DE

REF Corresponds to

Ref document number: 112006004090

Country of ref document: DE

Date of ref document: 20090730

Kind code of ref document: P

122 Ep: pct application non-entry in european phase

Ref document number: 06791315

Country of ref document: EP

Kind code of ref document: A1