对控制访问风能设施授权的方法和风能设施的接口及认证中心与流程

本发明涉及一种用于对用户控制访问至少一个风能设施或至少一个风电厂进行授权的方法；以及一种用于至少一个风能设施或至少一个风电厂的接口；一种认证中心；和一种具有用于至少一个风能设施或至少一个风电厂的接口和认证中心的系统。

背景技术：

根据现有技术，对一个风能设施或多个组织成风电厂的风能设施的控制和读取访问是可行的。对风电厂的控制和读取访问例如通过对风电厂控制器的读取和控制访问来实现。在读取访问的情况下，用户例如能够读出当前的运行数据，如当前馈入到供电网中的能量。因此，读取访问是所有不干预风能设施的运行、即尤其不由用户干预运行参数的运行。

在控制访问的情况下，与读取访问相反，通过例如改变运行参数的方式，直接地或间接地影响风能设施或风电厂的运行。运行参数例如是控制变量等。通过控制访问，例如也能够接通或关断一个或多个风能设施，或者能够改变馈入到供电网中的能量数量以及能量的频率或电压。

根据现有技术，通过提交口令和用户标识符的元组，相对于风能设施或风电厂验证用户，使得用户能够相对于风电厂关于其身份被验明。因此，通过提交给风能设施或风电厂，允许用户进行控制和/或读取访问，其中不同用户的访问类型，即读取访问类型或控制访问类型能够通过相应的风能设施或风电厂不同地限制。这种限制在风电厂或风能设施中与用户标识符和口令一起被存储。

无论如何，至少一个用户具有如下权限：执行系统关键的控制访问类型，例如接通和关断风能设施或风电厂属于所述控制访问类型。因此，在已知所述用户的接入数据、即用户名和口令的元组时，对风能设施或风电厂的关键的控制访问类型的访问是可行的。

因此，根据通过人类错误行为和内部人员的破坏引起的威胁情况可能的是：在对于一个地区的多个风电厂已知接入数据时，关断这些风电厂。因此，在该地区中电网或供电网能够完全失效，因为由于同时关断多个风电厂，消耗器需要比由能量源所提供的更多的能量。因此，本发明的目的是，采取措施，以便更可靠地设计对风能设施和风电厂的控制访问和尤其关键的控制访问。

在本申请的优先权申请中，德国专利商标局检索到下述现有技术：de102010044517a1、ep1598729a2、wo2011/015414a1。

技术实现要素：

本发明通过根据权利要求1所述的用于对用户控制访问至少一个风能设施或至少一个风电厂进行授权的方法、根据权利要求9所述的用于至少一个风能设施或至少一个风电厂的接口、根据权利要求11所述的认证中心以及根据权利要求17所述的具有至少一个风能设施或至少一个风电厂的至少一个接口和认证中心的系统实现其目的。

根据本发明，为了对用户控制访问至少一个风能设施、即一个或多个风能设施或还有一个或多个分别由风能设施组构成的风电厂进行授权，执行下述步骤。

首先将相对于认证中心验证的用户由认证中心认证。然后，用户为了验证例如将由口令和用户名、口令和用户标识符构成的元组，电子证书，由口令、用户名和证书等构成的组合提交给认证中心，其中由此证明用户自身的身份。随后，在接入数据正确时，即在用户名和口令正确和/或证书正确时，由认证中心认证用户，即确认接入许可。因此，用户因此借助认证中心或在认证中心中由认证中心认证。

在下一步骤中，认证中心从已认证的用户接受一个或多个控制访问类型，其中所述控制访问类型尤其由用户例如借助于输入机构和/或图形用户界面提交给认证中心。

控制访问类型在此表示控制访问的不同型式，其中控制访问表示所有如下访问：通过所述访问能够对功能和运行产生影响，使得由此对风能设施的或风电厂的目前的和未来的运行状态的影响是可能的。因此，控制访问类型描述多个可能的控制访问中的一个，例如一个、多个或所有风能设施的接通和/或关断、参数化等。

因此，那么用户将一个或多个控制访问类型提交给认证中心，其中用户尤其提交一个或多个随后应用于访问风能设施或风电厂的控制访问类型。

如果控制访问类型由认证中心从已认证的用户处接受，那么根据接受的控制访问类型和/或已认证的用户的存储的访问权限借助认证中心产生数字证书。尤其，因此在证书中也存储接受的一个控制访问类型或接受的多个控制访问类型，使得所述由认证中心产生的证书也能够称作为凭证(token)。

也称作数字证书的证书是数字数据组，所述数字数据组用于通过用于对人员授权的口令式方法检查人员的特定特性。在证书中，在此除了用户特定的数据、如接入数据以外，也基本上以防伪的方式存储有其他数据，例如所谓的控制访问类型，所述数据能够由一个或多个风能设施或一个或多个风电厂读出。因此，证书也相应于凭证类型，即例如电子密匙，所述凭证基本上是防伪的，并且在所述凭证上除了用于对用户授权的数据以外也存储有其他数据。

在随后的步骤中，在风能设施或风电厂中借助证书进行验证，以执行一个或多个之前由用户提交的或由认证中心接受的控制访问类型。此外，根据一个替选的实施方式，除了由认证中心产生的证书以外附加地需要用户接入数据来提交验证，例如用户标识符和口令。

因此，有利地，设有中央认证中心，借助中央认证中心协调用户的控制访问类型。因此，在没有经由认证中心的步骤的情况下用户对风能设施或风电厂的直接的控制访问是不可能的。因此能够确保：在认证中心中，允许的控制访问的协调是可能的，进而抵抗错误行为和破坏。因此，认证中心设立成限制证书颁发，使得能够禁止由一个或多个用户要求的、即由认证中心接受的对多个风能设施或风电厂的控制访问类型，所述控制访问类型例如能够造成网络干扰。

用户在此和在下文中是人员，例如维修人员，或但是也是供能公司(evu)的或直销商的电子系统。如果用户是电子系统，那么自动地例如通过提交证书对用户进行验证。

根据一个实施方式，对风能设施或风电厂、即例如对风电厂控制器或风电厂调控器的读取访问通过与证书无关地验证用户、尤其借助于由用户标识符和口令构成的元组是可能的。也就是说，用户仅必须为控制访问风能设施和风电厂在认证中心中申请或要求证书。读取访问继续保持经由借助用户名和口令的直接验证是可行的。因此，读取访问可非常简单地且快速地由用户实现，其中基于读取访问不关键的实际情况，能够弃用认证中心的数字证书。

根据另一实施方式，证书由认证中心借助发送接口尤其发送给用户的计算单元，使得借助外部的计算单元，能够与认证中心无关地执行验证和认证，其中所述外部的计算单元例如是移动计算机或其他与计算机类似的移动设备。

因此，得出如下优点：无需与认证中心的数据连接就能够以包含在证书中的控制访问类型执行控制访问。因此，在能够不在认证中心中申请证书的远程地区中，能够“预先”产生证书，并且然后借助发送的证书，在现场在风能设施或风电厂处，在没有数据连接的情况下也执行控制访问。

根据另一实施方式，借助认证中心直接执行控制访问。为此，认证中心例如具有用户界面或用户接口，用户借助所述用户界面或用户接口将控制访问直接提交给认证中心，并且然后所述认证中心在风能设施或风电厂处对用户连同证书一起进行认证，使得也将用户的由认证中心接收的控制访问转发给风能设施或风电厂或者禁止。

根据所述实施方式，对于是供能公司(evu)的用户存在如下可能性：当需要网络稳定性时，将风电厂节流并且改变涉及馈入的其他运行参数。

在完成认证之后，通过由evu对系统的中央接口(即：认证中心)接洽(angesprochen)并且提交控制访问的必要参数，为各个风电厂执行控制访问，例如风电厂节流。随后，在内部以evu的名称由认证中心产生用于期望动作的证书，并且将控制命令连同证书(凭证)发送给风电厂。最后，将关于动作成功的反馈发给evu。

根据不同的实施方式，出于安全因素，所描述的接口能够设计为冗余的，并且能够构成为不同的协议，例如soap、iec60870-5-104、dnp3tcp或还有modbustcp。

相对于现有技术的优点在于：evu不必再为每个风电厂维护和保持自身的连接。此外，经由所述接口也可能的是：为evu提供风电厂的更多的运行参数(当前的预期值，可能是功率等)。这种类型的中央控制通过与风电厂的基于证书或凭证的通信才能够实现，因为通过常规方式，无法承受可能的风险。

如果用户是直销商，那么认证中心也能够由这些直销商使用，以便直接地或间接地，例如基于所谓的行车时刻表根据经济观点调整馈入功率。根据目前的现有技术，直销商具有与每个单独的风电厂的直接的连接。

方法类似于evu接口进行。优点在于：直销商不必再建立和维护大量连接。此外，通过所述方法提高安全性。

根据另一实施方式，在认证中心中存储有控制系统，例如动态的调节机构或控制数据库，在所述控制系统中为多个、尤其所有注册的用户可分别分配或分别分配至少一个允许的和/或不允许的控制访问类型。根据本实施方式，借助认证中心，仅在由用户提交的控制访问类型在控制系统中对于用户是允许的时，才产生用于已认证的用户的具有由用户接受的控制访问类型的证书。因此，控制系统是权限调节机构，所述权限调节机构能够是静态的或根据不同因数动态地变化。

因此，能为不同风电厂的不同用户在中央在认证中心中分配不同的控制访问类型，使得能够在中央为多个风电厂或风能设施管理访问权限。

根据另一实施方式，每个由认证中心产生的证书具有有效期限，所述有效期限也称作时间戳。因此，电子证书在设置的有效期限之后丧失用于认证用户控制访问风能设施或风电厂的权限。

有效期限例如在控制数据库中为每个用户和/或每个控制访问类型单独地存储，或者在认证中心中为所有证书设有普遍的有效期限，借助所述认证中心产生证书。

由此，现在由认证中心颁发的控制访问类型的协调变得简单，因为在认证中心中能够存储当前发送的证书的有效期限。因此，认证中心始终了解：哪些以及多少控制访问类型现在是可能的。因此，证书在其使用之后不必由用户交还给认证中心，而是“自行”到期。

根据另一实施方式，在控制系统中为每个和/或所有控制访问类型存储每预定区域的最大总数量或最大数量。仅在基于其有效期限当前有效的、颁发的证书的数量或总数量低于对于相应区域的最大总数量或最大数量时，才为控制访问类型产生或颁发证书。

因此确保：对于控制访问类型和尤其关键的控制访问类型，例如关断风能设施，仅产生使得供电网尤其在特定区域中保持稳定的数量的证书。因此，不出现如下风险：在一个区域中或整体上允许具有关键的控制访问类型的多个控制访问，使得激发供电网的崩溃。

根据另一实施方式，由认证中心附加地根据至少一个确定的当前的或预测的参数、尤其网络状态参数、气象和/或风能设施或其他风能设施的状态产生证书。因此，例如能够根据网络参数、例如网络状态参数来调整每预定区域的最大总数量或最大数量。因此，在例如通过确定的当前的参数查明弱电网的区域中，不允许或仅允许非常少量的风能设施完全关断或降低馈入的能量。因此，由认证中心为所述地区限制或约束控制访问类型的数量。

因此，控制系统那么例如通过外部的参数来动态地调整。

此外，本发明包括一种用于至少一个风能设施、即尤其风电厂的一个或多个风能设施的接口。接口构建成用于：接收由认证中心产生的电子数字证书，并且根据电子证书、尤其存储在证书中的信息，允许存储在证书中的一个或多个控制访问类型的控制访问。因此，对风能设施或风电厂的控制访问仅通过之前产生的证书是可行的，所述证书由认证中心产生。

根据一个实施方式，风能设施的或风电厂的接口还构建成用于：读出存储在证书中的有效期限，并且仅在有效期限有效的情况下允许控制访问。

因此，通过检查证书的有效期限可行的是：将已经到期的证书分类，使得用户在使用这种证书时不允许执行控制访问。

根据另一实施方式，风能设施的或风电厂的接口构建成用于：读出存储在证书中的设施标识符，并且仅在设施标识符对应于应被访问的风能设施的设施标识符的情况下允许控制访问。

因此，通过检查证书的设施标识符可行的是：仅允许用户访问由认证中心开放的风能设施。

此外，本发明包括一种用于为控制访问至少一个风能设施认证用户的认证中心。认证中心具有用于在认证中心中或借助认证中心验证和认证用户的接口，其中接口还构建成用于：从用户接受至认证中心的控制访问类型。

此外，认证中心构建成用于：根据提交的控制访问类型、即由认证中心接受的控制访问类型，和/或已认证的用户的存储的访问权限，产生电子数字证书。此外，接口也用于发送产生的证书。

因此，借助于认证中心，中央地颁发控制访问多个风能设施或风电厂的访问权限是可行的，使得关键的控制访问类型是可控的。

根据一个实施方式，认证中心构建成用于：产生具有有效期限和/或一个或多个设施标识符的证书，其中有效期限和/或一个或多个设施标识符存储在证书中。

因此，借助证书仅允许用户对由认证中心开放的、具有相应的设施标识符的风能设施和/或在通过有效期限预设的时间段中，执行具有存储在证书中的控制访问类型的控制访问。

根据另一实施方式，认证中心包括控制系统，其中借助控制系统为至少一个、多个或所有注册的用户可分别分配或分别分配至少一个允许的和/或不允许的控制访问类型。认证中心构建成用于：如果由相应的用户提交的控制访问类型在控制数据库中归于允许的，那么为之前已认证的用户产生电子的、即数字的证书。

因此，访问权限管理能够存储在认证中心中的唯一的控制数据库中，进而能够进行用户权限的中央管理。

根据另一实施方式，认证中心构建成用于：为证书分配有效期限，即在证书中存储有效期限。

根据另一实施方式，在控制数据库中为每个控制访问类型存储每预定区域的最大总数量和最大数量。认证中心还构建成，使得仅在如下情况下才为控制访问类型产生证书：已经颁发的且当前有效的、具有所述控制访问类型的电子证书的数量保持低于该区域的最大总数量或最大数量。因此，那么仅颁发或产生使得此外确保稳定的网络的数量的用于例如关键的控制访问类型的证书。

根据另一实施方式，认证中心的接口构建成用于：除了控制访问类型以外也从已认证的用户接受设施标识符，其中设施标识符是一个或多个风能设施的或一个或多个风电厂的明确无误的标识符。

因此，经由认证中心的接口不仅将至少一个控制访问类型、而且也将至少一个设施标识符由已认证的用户输送给认证中心。认证中心于是构建成用于：根据设施标识符产生电子证书。因此，在证书中存储提交的设施标识符。因此，仅对设施标识符有效的风能设施或风电厂的访问是可行的。

因此，对之前借助认证中心确定的风能设施的控制访问的限制是可行的。

根据另一实施方式，认证中心具有另一接口，以便接收参数，例如当前的气象数据、气象预测、当前的网络状态和/或网络状态预测，并且根据这些参数调整控制数据库。

因此，设有动态的控制系统，所述控制系统由于接受的参数更新或变化。尤其，通过这些参数能够调整例如每预定区域的最大总数量或最大数量。因此，在存在本来弱的供电网的区域中，能够防止可能使所述网络状态继续变差的控制访问。为此，例如可能减少允许的风能设施的最大数量和控制访问类型的最大总数量。

此外，本发明包括一种具有根据前述实施方式之一的发电厂或风能设施的接口和根据上述实施方式之一的认证中心的系统，所述系统尤其用于执行根据前述实施方式之一的方法。

附图说明

下面，根据实施例参照附图详细描述本发明。附图示出：

图1示出风能设施，

图2示出风电厂，

图3示出根据本发明的系统的一个实施例，以及

图4示出根据本发明的设备的一个实施例的流程。

具体实施方式

图1示出根据本发明的风能设施的示意图。风能设施100具有塔102和在塔102上的吊舱104。在吊舱104上设有空气动力学的转子106，所述转子具有三个转子叶片108和导流罩110。空气动力学的转子106在风能设施的运行中由风置于转动运动进而也使发电机的转子或工作轮转动，所述转子或工作轮直接地或间接地与空气动力学的转子106耦联。发电机设置在吊舱104中并且产生电能。转子叶片108的桨距角能够通过在相应的转子叶片108的转子叶片根部108b上的浆距发动机改变。

图2示出示例性地具有三个风能设施100的风电厂112，所述风能设施能够是相同的或不同的。因此，三个风能设施100基本上代表风电厂112的任意数量的风能设施。风能设施100经由电厂网络114提供其功率，即尤其产生的电流。在此，各个风能设施100的分别产生的电流或功率叠加，并且通常设有变压器116，所述变压器将电厂中的电压进行升压变换，以便然后在馈入点118馈入到供电网120中，所述馈入点通常也称作为pcc。图2仅是风电厂112的简化图，图2例如没有示出控制装置，尽管当然存在控制装置。电厂网络114例如也能够不同地设计，其中例如在每个风能设施100的出口处也存在变压器，仅为了列举其他实施例。

图3示出根据本发明的系统的一个实施例，所述系统尤其具有认证中心10和风电厂112的接口12。风电厂112的接口12例如是scada系统的接口，其中scada表示监视控制与数据采集系统(supervisorycontrolanddataacquisition)。

此外，示出用户18的移动设备16。用户18经由移动设备16建立与认证中心10的接口20的连接。为了验证用户18，借助移动设备16向接口20传送用户18的用户名和口令。此外，由用户18借助于移动设备16向接口20传送控制访问类型和设施标识符。设施标识符说明：用户18期望以传送的控制访问类型对哪个风电厂进行控制访问。

接口20将提交的数据传送给处理器22，所述处理器首先借助控制系统24检查：已认证的用户18是否被许可在通过设施标识符说明的风电厂处执行所要求的控制访问类型。

此外，处理器22借助控制系统24检查：是否已经超过所要求的控制访问类型的控制访问的最大数量。如果没有超过所述数量，那么处理器22产生证书。证书得到有效期限，所述有效期限借助于日期和时间源26创建。其中日期和时间信号例如从gps信号中确定并且传送给处理器。然后，在处理器22中，为尤其通过控制系统24预定的时间段在证书中存储有效期限。有效期限的实例例如是两小时、八小时、一天或五天。

由处理器22产生的证书还包含由用户18借助移动设备16提交给接口20的控制访问类型、设施标识符以及用于证书的真实性检查的其他口令学参数。

证书28经由接口20传递给移动设备16。经由在移动设备16和风电厂112的接口12之间的另外的数据连接30，用户18能够通过输入其用户名和其口令开始对风电厂112进行读取访问，并且读出风电厂112的数据。然而，如果用户期望对风电厂112进行写入访问，写入访问在此对应于控制访问，那么经由另外的数据连接30将证书28提交给风电厂112的接口12。然后，在风电厂112中或在风电厂112的在此未示出的控制装置中，检查经由风电厂112的接口12读入的证书的真实性。

此外，借助风电厂的接口12检查：证书28是否仍有效，即有效期限是否还未到期，和在证书中存储的设施标识符是否与风电厂的设施标识符一致。在有效期限有效、设施标识符一致以及证书真实的情况下，允许用户18对风电厂112进行涉及在证书28中存储的控制访问类型的控制访问。因此，通过用户18经由移动设备16能够进行对风电厂112的控制访问。

在风电厂112经由变压器116和馈入点118所连接的供电网32弱或不稳定的情况下，因为例如所有连接到所述网络上的电能发生器现在仅将少量能量馈入到网络中，所以这种情况由认证中心10通过从外部输送的参数36探测。例如通过风电厂112所连接的供电网32的网络或频率测量38能够确定参数36。

此外，设有气象数据库39，从所述气象数据库中将当前的和预测的气象数据提交给认证中心，或由认证中心调取当前的和预测的气象数据。根据其他实施例，气象数据库39是用于气象记录和预测的完整的气象系统。

如果现在由用户18将可能对于供电网32关键的控制访问类型提交给接口20用于在处理器22中创建证书，那么禁止这种关键的控制访问类型，因为事先通过参数32已经动态地更新控制数据库24，进而涉及在供电网32的区域中的风电厂112的关键的控制访问类型原则上被标记成禁止的。

因此，在最后提到的情况下，不由接口20将证书28发送给移动设备16。替代于此，由接口20将下述消息发送给移动设备16：这种控制访问类型当前是不可能的。

图4示出方法的一个实施例的流程。在第一步骤40中，将口令、用户名、期望的控制访问类型以及设施标识符提交给认证中心10的接口20。在下一步骤42中，当用户已在认证中心10中注册并且口令以及用户名正确时，用户被认证进而被授权与认证中心10继续通信。如果输入错误的用户名或错误的口令，那么访问在步骤44中终止。

如果用户名和口令与在控制系统24中存储的数据一致，那么在下一步骤46中检查：控制访问类型是否对于已认证的用户对具有提交的设施标识符的风能设施100是允许的。如果控制访问类型对于用户是不允许的，那么方法再一次在步骤44中终止。如果控制访问类型以及选择的风能设施100对于用户是允许的，那么在下一步骤46中在认证中心中检查：基于对同一区域的风电厂的当前有效的要求的控制访问的数量，是否允许要求的控制访问类型。如果所述控制访问类型是不允许的，那么方法再次在步骤44中终止。

如果现在控制访问类型是允许的，那么在步骤48中创建证书28，其中证书28具有用户名、设施标识符、控制访问类型以及时间戳或有效期限。然后，在步骤50中将证书28发送给用户18的移动设备16。

在随后的步骤52中，用户借助移动设备16在风能设施100中验证，其中为此再一次经由风能设施100的接口12输入口令和用户名。如果提交的用户名和提交的口令与在风能设施中存储的用户名和口令一致，那么用户18对于读取访问是授权的。否则，方法再次在步骤44中终止。

在用户18对于读取访问成功授权之后，在步骤54中将证书28由移动设备16提交给风能设施100的接口12，并且如果证书中的设施标识符与风能设施100的设施标识符一致并且有效期限还未到期，那么为用户对在证书中存储的控制访问授权。

然后，在步骤56中，允许用户进行根据在证书28中存储的一个或多个控制访问类型的控制访问，并且能够由用户18进行控制。在执行控制访问之后，方法在步骤44中终止。