实施现场电气设备的被保护功能的方法以及现场电气设备的制作方法

专利名称：实施现场电气设备的被保护功能的方法以及现场电气设备的制作方法
技术领域：
本发明涉及一种实施现场电气设备的被保护功能的方法以及一种对应 的现场电气设备。
背景技术：
目前，现场电气设备被用于自动化技术的许多领域之中。例如，可以 将现场电气设备用于监视和控制化学过程和加工技术过程、工业制造过程， 或者也用于在电能供应网中用于传输和/或分配电能的过程。在此，现场电 气设备通常位于待自动化的过程的附近，并且在那里记录描述该过程的测 量值或者发出用于控制过程部件的命令。
例如，现场设备可以在电能供应网中记录电流和电压测量值，这些测 量值给出了该电能供应网的瞬时状态。此外，现场电气设备可以发出命令， 例如用于接通或断开在该电能供应网中的功率开关的命令。
通常，要保护这些现场设备免受未授权的访问。为此，例如将其设置 在对应的安全区域中，只有相关的人员才可以进入该区域。例如通过门或
者路障来保护这种安全区域；也经常进行摄像机监视，以便可以尽可能迅 速地识别和阻止对该现场设备的未经许可的外人侵入。
为了操作现场电气设备通常具有输入装置(例如键盘)和显示装置(例 如显示器)。通过输入装置可以在现场电气设备上直接地调用所有的功能。 在此，为了自动化过程的安全，通常只有在输入了对应的口令之后才可以 执行重要的功能。在最近的几年中，为了简化对现场设备的操作，在其上 设置了数据接口 ，利用这些数据接口可以在本地或者从远处操作和/或观察 现场电气设备。在此，例如常见的是在现场电气设备上设置作为数据接口 的串联接口，通过该接口例如可以连接一个外部的数据处理装置、例如参 数化的便携式计算机，以便在现场电气设备中进行参数的设置。
不过，由于该从远处操作现场电气设备的新的可能性，形成了强烈地 改变的安全条件。在没有远距离操作可能性的较旧的现场电气设备中可以相对简单地如上面所描述的那样通过结构上的措施以及对应的监视来防止 进入现场电气设备；而在从远处对带有对应的数据接口的现场设备的操作 中，不经允许的外人侵入的危险则被显著地提高。该危险由于在现场设备 上引入具有网络功能的以太网接口作为数据接口而再一次提高，因为此时 可以通过众多并不完全可保护的网络(例如，内联网或者甚至互联网)来 连接现场设备。
从西门子公司的SIPROTEC 4现场设备的系统描述(2004年6月21日 出版，订货号E50417-H1100-C151-A6)中看到了这样的现场电气设备其 包括按照键盘形式的输入装置以及按照显示器形式的显示装置(例如，参 见该系统描述的第20页至21页)。通过该键盘可以调用该现场电气设备的 所有功能。为了调用被保护功能，必须通过该输入区域输入对应的口令(例 如，参见该系统描述的第12页)。此外，该现场设备在其前侧还具有按照 串联插座连接形式的所谓操作接口作为数据接口 。在该操作接口上可以通 过串行数据传输电缆连接外部计算机，在该计算机上运行操作/观察软件和/ 或参数化软件。借助于这些软件在设备中进行和改变设置以及执行对该设 备的操作和观察。
如从所提到的系统描述中还看出的那样，可以为所述设备配备按照以 太网接口形式的数据接口，该接口允许设备的网络连接。按照标准通过该 以太网接口阻塞对该现成电气设备的被保护功能的操控，不过，也可以通 过该现场设备的用户允许该操控(参见该系统描述的第12页)。

发明内容
因此，本发明要解决的技术问题是，提供一种用于实施现场电气设备 的被保护功能的方法以及一种现场电气设备，其中，独立于与现场电气设 备的通信连接的类型保证了防止不希望的侵入的较高安全标准。
按照本发明，上述技术问题关于方法是通过 一 种用于实施现场电气设 备的被保护功能的方法解决的，其中，执行如下步骤由所述现场电气设 备接收命令数据，该命令数据指定用于实施该现场电气设备的被保护功能 的功能调用；由该现场电气设备的识別装置确定表征所述命令数据的发出 者的发出者特性数据，并且将其附加在该命令数据上；由安全装置接收扩 展了所述发出者特性数据的命令数据，并且检查它们是否允许执行由该命令数据所指定的所述现场电气设备的被保护功能，其中，在存在许可的情 况下，将该命令数据传送给所述被保护功能并且执行该命令数据，以及在 缺少许可的情况下，拒绝对该被保护功能的实施。
按照本发明的方法的基本优点在于，可以独立于对现场电气设备的访
问的类型来对发出者的授权进行检查。这点是如下实现的该现场设备具
有识别装置，该识别装置对所有的命令数据进行发出者识别确定，而不管 这些命令数据到达现场设备的种类和方式如何。也就是说，这意味着，从 来自数据接口的针对接口的或针对协议的命令数据中确定独立的发出者特 性数据。按照与所述现场电气设备的安全装置相互作用(该安全装置根据 由识别装置进行的发出者识别，要么允许要么禁止对该现场电气设备的被 保护功能的实施)，可以实现高的安全性，即防止不希望的对现场电气设备 的被保护功能的访问。
按照本发明的方法 一种具有优势的实施方式在于，为了由所述识别装 置确定所述发出者特性数据，将与所述命令数据相关联的、表示发出者的 发出者特有的数据传递给识别数据库，由所述识别数据库确定与所述发出 者特有的数据对应的发出者特性数据，并且将所确定的发出者特性数据返 回到所述识别装置上。
关于这点发出者特有的数据是这样的数据该数据与命令数据一起被 传送到现场电气设备上，并且该数据允许按照某种方式得出关于命令数据 的发出者的结论。按照这种方式，可以通过检查在所述识别数据库中现有 的条目而按照较为简单的方式确定命令数据的发出者。同样，现场电气设 备的用户可以按照简单的方式在该识别数据库中进行改变，以便由此将关 于新的发出者的信息记录在该数据库中，或者将个别被保护功能对于特定 的发出者开放或禁止。
在一种具有优势的扩展中，由所述识别数据库根据所述发出者特有的 数据确定指定该发出者的用户类型的类型数据，并且将其作为发出者特性 数据返回到所述识别装置上，以及由所述安全装置根据该类型数据检查对 该发出者的用于执行被保护功能的许可。
关于这点，类型数据是这样的数据，即，其不规定单个具体的发出者， 而是规定分配给发出者对应的组或者分配给其对应的类型。也就是说，通 过从识别数据库中读出类型数据，不必确定具体的发出者本身。取而代之的是，如果仅仅将发出者一般地对应于一个组就足够的了 ，因为访问现场 电气设备的人员的确定的组通常在其组内具有一致的访问权限。例如，将 发出者的标志识别为"参数化的人"，就足以将对于该参数化所需的功能为 该发出者开^L。
在作为对此替换的扩展中，由所述识别数据库根据所述发出者特有的
数据确定指定该发出者的用户类型的类型数据；由该识别数据库根据所述 类型数据确定与该发出者的用户类型对应的访问权限数据，并且将其作为 发出者特性数据返回到所述识别装置上；以及由所述安全装置根据该访问 权限数据检查对该发出者的用于执行被保护功能的许可。
在这种情况下，安全装置本身不必进行将类型数据与对应的访问权限 数据的关联，因为这点由识别数据库承担。
关于这点，此外被视为本发明方法的有利扩展的是，由所述识别数据 库根据所述类型数据首先确定指定该发出者的用户角色的角色数据；由该 识别数据库根据所确定的角色数据确定与其相关联的访问权限数据；并且 将所确定的访问权限数据作为所述发出者特性数据返回到所述识别装置 上。
关于这点角色数据被视为指定任务范围的数据。通过提供角色数据， 在类型数据和访问权限数据之间建立了中间层，该中间层包含了与类型数 据对应的角色数据。例如，可以将角色"参数化，，和"执行设备检查"分 配给类型"参数化的人"。还将不同的访问权限数据分配给各自的角色数据。 最后，通过该中间层的引入可以对于识别数据库进行较为方便的参数化， 因为可以已经由制造商将角色数据作为预先设定的服务范围与由此匹配的 访问权限数据相关联，而在现场设备的运营商处为了投入运行仅仅还需要 将所希望的类型数据与对应的角色数据相关联。为此，在识别数据库中仅 仅需要进行相对很少的设置。
本发明方法的另 一种有利的扩展是如下给出的在所述发出者和现场 电气设备之间的无会议的通信连接的情况下，所述发出者特有的数据包含 指定发出者数据处理装置的识别数据；以及由所述识别数据库为所述识别 数据分配所述发出者特性数据。
这点尤其在通过带有无会议的("sessionless")通信协议、例如在因特 网中采用的"http，，(超文本传输协议)的以太网接口的条件下是具有优势的。在此，发出者特有的数据包含标志着发出者数据处理装置的识别数据。
根据该识别数据，识别数据库可以检查是否信任该发出者数据处理装置，
以及为该发出者数据处理装置分配何种用户类型。这样，可以在没有大的 开销的条件下对于该发出者数据处理装置进行识别。例如，所述识别数据
可以由所述发出者数据处理装置的MAC地址构成。识别数据库根据该MAC 地址识别发出者的用户类型。
作为对此的替换，本发明方法的另一种有利的扩展是如下给出的在 所述发出者和现场电气设备之间的基于会议的通信连接的情况下，所述发 出者特有的数据包含该发出者的密钥数据；以及由所述识别数据库为所述 密钥数据分配所述发出者特性数据。
密钥数据关于这点是这样的数据其包含了例如用于电子加密的编码 密钥。按照这种方式，识别数据库可以简单地在基于会议的通信连接的条 ^f牛下4妄照侈'H口 https十办i义(hyper text transfer protocol secure, 超文本传丰叙十办 议安全)根据密钥数据(例如发出者的公开密钥)进行对发出者的识别。
关于这点，还被视为具有优势的是建立外部无源数据存储模块与所 述现场电气设备之间的通信连接；以及将所述密钥数据从所述外部无源数 据存储模块上的存储区域传送至所述识别装置上。
按照这种方式，例如还可以建立在作为外部无源数据存储模块的USB 棒与所述现场电气设备之间的一种通信连接。在此，将密钥数据从该USB 棒传送至所述识别装置上。在这种情况下，通过现场设备的本地键盘对该 现场设备进行操作，只是根据该在USB棒上的密钥进行发出者识别。
按照本发明方法的另 一种作为替换的实施方式，还可以在借助于输入 装置在所述电气设备上建立所述发出者与该现场设备之间的通信连接的情 况下,所述发出者特有的数据包含由该发出者输入的口令数据。以这种方
上述的技术问题关于现场设备是通过一种现场电气设备解决的，该现 场电气设备包括至少一个数据接口 ，通过所述数据接口可以建立用于传送 命令数据的通信连接，所述命令数据用于实施该现场电气设备的被保护功 能，其中，利用所述数据接口与识别装置连接，其中，将所述识别装置构 造为其将表征所述命令数据的发出者的发出者特性数据附加在由所述接 口接收的命令数据；以及安全装置与该识别装置连接，其中，将所述安全装置构造为其检查扩展了所述发出者特性数据的命令数据是否具有执行 所述现场电气设备的被保护功能的许可，并且仅仅在存在许可的情况下， 才允许执行所述被保护功能。
在此，通过识别装置与安全装置的共同作用，可以保证高的安全程度， 即防止不希望的外人入侵。
关于这点，按照本发明的现场电气设备的另 一种有利的实施方式是如
下给出的所述识别装置具有识别数据库，将所述识别数据库构造为其
据。通过提供识别数据库可以相对灵活以及简单地将识别装置与在该现场 电气设备的运行商处的情形进行匹配。
最后，在按照本发明的现场电气设备的另一种有利的实施方式中，所 迷数据接口是以太网接口、 USB接口或者串行接口。例如，这些数据接口 可以按照所谓的主从(Master-Slave)协议、点对点协议(PPP )或具有网 络功能的协议(基于IP的协议)工作。这些接口被广泛地用于在近距离和 远距离范围中传送电子通信数据。


为了对本发明作进一步的说明，附图中
图1中按照示意性的框图示出了一种现场电气设备，
图2中示出了识别数据库的第一实施例，
图3中示出了识别数据库的第二实施例，以及
图4中示出了用于解释在基于会议的通信连接的条件下识别发出者的 示意性方法流程图。
具体实施例方式
图1按照示意图示出了 一种现场电气设备1的框图。该现场电气设备1 例如可以是用于控制和调节在电能供应网中电能的分配的自动化设备的组 成部分。现场设备l具有数据接口 2a至2e,其中，数据接口 2a表示所谓 的人机接口 ("HMI")、即在该现场电气设备上本地提供的输入装置(如键 盘)以及输出或显示装置(如显示器)。在此，数据接口 2a至2e不仅包含 纯物理的接口，而且也包括信息技术上的数据连接，例如公知的OSI层模型("Open Systems Interconnection Reference Model")的分酉己给各个!t才居孑妄 口的直到层4的数据抽象等级。
在图1中示出作为串行接口的数据接口 2b，在该串行接口上可以连接 串行数据传输线。数据接口 2c是设置在现场电气设备上的USB接口 ( USB-通用串行总线)，用于连接USB数据传输线。通过串行接口 2b和USB接口 2c,其它设备(例如便携式计算机)通常可以借助于相对短的电缆连接与 该现场电气设备连接。在此，将USB接口设计为比按照例如RS 232标准工 作的串行接口显著更高的数据传输率。此外，通过USB接口除了可以将有 源的电气设备(如便携式计算机)，也可以将无源的数据存储器(例如USB 棒)连接到现场电气设备上。
数据接口 2d表示用于连接调制解调器的数据连接，其中，这种调制解 调器允许对该现场电气设备进行远距离访问。原则上，数据接口 2d可以被 设计成允许连接调制解调器的任意的电气通信接口。例如，数据接口2d也 可以是串行接口或者USB接口 。
最后，数据接口 2e表示以太网接口，通过其可以将现场电气设备按照 以太网标准连接到数据网络中。由此，可以将该现场电气设备例如与公司 内联网或者甚至因特网连接。也可以通过以太网接口 2e将现场电气设备1 例如按照国际的IEC 61850标准连接到现场设备网络中。
现场电气设备还具有识别装置3,后者与识别数据库4相连接。识别装 置3还与安全装置5相连接。在安全装置5之后示出了高度示意性的设备 功能模块6a至6g。这些设备功能模块6a至6g表示现场电气设备1的基本 功能，例如，对于在现场电气设备1中设置的电气参数的读取功能，或者 用于断开或接通在该现场电气设备上连接的功率开关的开关功能。通常， 识别装置3、识别数据库4、安全装置5以及设备功能模块6a至6g不是作 为分离的电气部件出现在现场电气设备1中的，而是作为设备软件的程序 模块构成的。
通过识别装置3、识别数据库4和安全装置5的相互作用，保证了 独 立于电气数据接口 2a至2e (通过这些接口用户与现场电气设备1建立通 信)，仅仅由被授权的用户才可以实施现场电气设备1的被保护功能。下面， 将根据在图1中示例性表示的五种数据接口对这点进行说明。
首先，考虑在现场电气设备的用户通过本地输入设备(即通过数据接口 2a)访问该现场电气设备的条件下， 一种用于实施现场电气设备1的被 保护功能的方法。为此，该用户采用在该现场电气设备上提供的键盘和显 示器，以便调用该现场电气设备的不同功能。为了更简单的清楚起见，通 常将这些功能按照所谓的功能菜单来安排，正如目前从计算机领域中不同 的应用程序所了解的那样。用户可以借助于键盘通过在现场电气设备的显 示器上所显示的功能菜单导航，并且选择该现场电气设备的待实施的功能。 如果用户选择了该现场电气设备的被保护功能(例如断开电气功率开关)， 则该现场电气设备向用户要求输入为其授权执行该-故保护功能的口令。用 户通过键盘输入相应的口令，该口令作为发出者特有的数据被附加到这样 的命令数据上，即，该命令数据规定对现场电气设备的被保护功能的功能 调用。识别装置接收该带有按照口令数据形式的发出者特有的数据的命令
数据，并且将其传送至识别数据库4上。识别数据库4根据该口令数据确 定发出者特性数据，该发出者特性数据标志着该命令数据的发出者、即在 现场电气设备的键盘上操作的用户。该发出者特性数据被送回到识别装置 3。识别装置3将发出者特性数据附加到用于调用现场电气设备1的被保护 功能的命令数据上，并且将该数据组传送至安全装置5。该安全装置5检查
被保护功能，也就是说在本例的情况下，在现场电气设备上操作的用户是 否被授权断开功率开关。如果安全装置5确定了肯定的结果，即，该用户 被授权实施被保护功能，则其将该功能调用传送至现场电气设备1的带有 所希望的被保护功能的对应的功能模块，例如传送至功能块6d。现场电气 设备1的对应的功能模块据此执行对应的功能。不过,如果安全装置5确 定该发出者特性数据不被允许实施所希望的现场电气设备1的被保护功能， 即，该用户未被授权实施现场电气设备1的该被保护功能，则该安全装置 拒绝对所希望的现场电气设备1的被保护功能的实施。在这种情况下，因 此功率开关不通过功能模块6d被断开。
在第二种待考虑的情况下，通过串行数据接口 2b在现场电气设备1的 用户和现场电气设备1之间建立了通信连接。例如，可以在该串行接口 2b 上连接串行数据电缆，该串行数据电缆在其另外一端上连接了外部的数据 处理装置，例如便携式计算机。用户此时不再在现场电气设备1上本地地 通过键盘输入功能调用，而是为此采用通过串行接口 2b连接的便携式计算机。例如，用户可以通过该便携式计算机向现场电气设备传送功能调用， 利用该功能调用要改变该现场电气设备的特定的涉及安全的参数。在这种 情况下，本发明方法类似于上面对于本地数据接口所描述的方法那样地处 理。再次向在便携式计算机上的用户要求口令输入，根据该口令输入可以
确定用户的识别。然后，可以利用安全装置5进行检查，看该用户是否被
授权执行所希望的现场电气设备1的被保护功能，在此即为改变该现场电 气设备1的涉及安全的参数。只有在肯定的检查结果条件下，才执行对应 的功能而改变设备的参数设置。
与此类似，在具有USB接口的现场电气设备的条件下，便携式计算机 还可以通过USB接口 2c与该现场电气设备连接，并且通过该接口传送用于 执行现场电气设备的被保护功能的功能调用。在这种情况下，本发明方法 原则上同样如同对于串行接口所描述的那样处理。
此外，另一种采用在现场电气设备1上的USB接口 2c的可能性在于， 用户利用现场电气设备(具体为通过本地数据接口、即键盘和显示器)建 立一种通信连接，而额外地将诸如USB棒的无源数据存储模块与该现场电 气设备1连接。在此，该USB棒可以包含作为发出者特有的数据的密钥数 据，该密钥数据代替口令数据被传送至识别装置3上。识别装置3可以根 据该密钥数据在与识别数据库4相互作用的条件下确定发出者的识别。不 过，其它的方法则是类似地处理的；也就是说，识别数据库4根据以密钥 数据形式的发出者特有的数据，确定用于识别命令数据的发出者的发出者 特性数据，并且将该发出者特性数据连同命令数据一起传送至安全装置5。 后者再次检查该发出者特性数据是否被授权实施所希望的现场电气设备1 的被保护功能。
通过数据接口 2d可以将调制解调器与现场电气设备1连接，通过该调 制解调器允许对现场电气设备1的远距离访问。这种远距离访问可以原则 上类似于通过串行接口 2b或者通过USB接口 2c对现场电气设备1的本地 访问那样地进行。在这种情况下，再次将口令数据或密钥数据传送至识别 装置3作为发出者特有的数据。不过，根据在通信连接中所采用的通信协 议的不同，也将标志着发出者数据处理装置的识别数据作为发出者特有的 数据传送至识别装置3。
这点将结合以现场电气设备1的太网数据接口 2e更详细地进行解释。通过该以太网数据接口 2e通常进行对现场电气设备1的远距离访问。不过，
发出者数据处理装置也可以通过相对短的以太网通信电缆本地地与现场电
气设备连接。在通过以太网数据接口 2e对现场电气设备1的访问的条件下， 特别要区分两种通信连接，即，基于会议的通信连接和无会议的通信连接。 目前，通过以太网接口的无会议的("session less")通信连接还是被最 为广泛地采用。例如，按照由因特网技术中公知的"http，，通信协议实现该 通信连接。关于这点，无会议意味着在命令数据的发出者与接收者(即现 场电气设备)之间没有建立固定的通信连接。例如，可以将无会议的通信 连接与邮件发送进行比较。在此，即是将命令数据封装在包封中，该包封
针对的是收信人(这种情况下是现场电气设备)。例如，通过所谓的IP地址 或者MAC地址确定该收信人。此外，在该包封上还按照标志着在该包封中 命令数据的发出者的识别数据的形式规定了发出者特有的数据。例如，在 无会议的通信连接的条件下该识别数据规定了发出者数据处理装置的MAC 地址。识别装置3和识别数据库4可以根据该识别数据确定发出者的识别 或者发出者数据处理装置的识别。如果该发出者数据处理装置被分级为值 得信任(例如如下的情况发出者数据处理装置是记录于识别数据库的用 于控制电能供应网的监控室中的操纵站)，则将对应的发出者特性数据从识 别数据库4传送至识别装置3，而安全装置5可以根据该发出者特性数据允 许对于对应的现场电气设备的被保护功能的访问。如果发出者数据处理装 置的识别数据不被识别数据库4识别，或者该识别数据不是值得信任的， 则在命令数据上不附加或者附加别的发出者特性数据，而安全装置5则拒
绝对现场电气设备1的该被保护功能的访问。
在另一种情况下，即基于会议的("session based")通信连接的情况下， 在发出者和现场电气设备1之间建立固定的通信通道。这点例如可以与两 个通信伙伴之间通过模拟电话线的通话相比。在此，在开始通信建立之时， 利用命令数据传送按照密钥数据形式的发出者特有的数据，识别数据库4 可以根据该密钥数据确定用于识别发出者的发出者特性数据。此外的方法 与关于其余数据接口 2a至2d的描述那样地进行。
下面，要根据图2和图3描述，识别数据库4是如何可以根据发出者 特有的数据确定发出者特性数据的。
为此，图2示出了识别数据库4的示意图。通过输入的箭头20将发出者特有的数据的从识别装置3传送至识别数据库4。识别数据库4通过数据 输入端口 21接收该发出者特有的数据。识别数据库4根据在其中所存储的 第 一分配表22确定由该发出者特有的数据所规定的发出者。这点可以带来 对发出者的精确到人的识别。在这种情况下，必须为该现场电气设备1的 每个可能的用户在识别数据库4中提供一个条目，并且现场电气设备的每 个可能的用户必须具有一个其自己的发出者特有的数据。不过，通常仅仅 确定发出者的用户类型就足够了。例如， 一种用户类型可以表示现场电气 设备的"参数化的人"。这种情况下，与用户类型"参数化的人，，所对应的 是所有通常允许处理现场电气设备的参数化任务的所有的人员。另外可能 的用户类型是"读出的人"，其尽管被允许读出现场电气设备的设置，但不 能改变这些设置；以及"试运行的人"，其被允许在现场电气设备上改变所 有的设置，但是不能利用该现场电气设备进行切换操作。在此，如下的情 况就足够了 所有属于 一种用户类型的人员利用命令数据向现场电气设备 传送同样的发出者特有的数据，而仅仅根据在识别数据库4中唯一的条目 确定发出者的用户类型。正如上面提到的那样，对发出者的精确的识别是 不必要的。由此，特别是显著地缩短了现场电气设备的试运行阶段，因为 在识别数据库4中只要实现显著更少的条目。
也就是说，按照在图2中示出的例子，根据第一分配表22为通过数据 输入端口 21到达的发出者特有的数据分配规定发出者的用户类型的类型数 据。识别数据库按照第二分配表23将该类型数据与该用户类型被允许的访
设备功能。例如，为用户类型"参数化的人，，分配诸如与"读出设备参数"、 "改变设备参数"、"存储设备参数"、"测试设备参数"的设备功能相应的 "访问权限数据"。为用户类型"操作的人"提供例如用于"在功率开关上
进行切换(断开)"和"在功率开关上进行切换(接通)"的设备功能的访
问权限。
通过数据输出端口 24将按照第二分配表23所确定的访问权限数据沿 着箭头25送回至识别装置3。连接在识别装置3之后的安全装置5可以根 据该访问权限数据针对用于实施被保护功能的授权进行检查。
在按照图2的例子中还要提及的是，还存在如下的可能性借助于识 别数据库仅仅根据第一分配表22来确定规定用户类型的类型数据，并且将该类型数据通过输出端口 24传递至识别装置3和安全装置5。在这种情况 下，安全装置5必须具有一个与第二分配表23相对应的分配表，该分配表 为所确定的类型数据分配对应的访问权限数据。
图3示出了对于图2的一种替代的可能性如何可以利用识别数据库 来确定发出者特性数据。图3基本上对应于图2。因此，图2和3中的统一 的部件也被标记了相同的参考标记。类似于图2,沿着箭头20将发出者特 有的数据的从识别装置3传送至识别数据库4。识别数据库4利用数据输入 端口 21接收该发出者特有的数据。借助于第一分配表22为该发出者特有 的数据分配规定发出者的用户类型的类型数据。
任务范围"参数化"和"测试"与用户类型"参数化的人"对应。用户类 型"操作的人"则例如与角色数据"执行开关操作"和"读出测量值"对 应。借助于第二分配表23将更细致分级的访问权限数据分配给只有这样所 确定角色数据。例如，为角色数据"执行开关操作"分配"执行对功率开 关的切换(断开)"和"执行对功率开关的切换(接通)"的访问权限。
类似于在图2中那样，将按照这种方式所确定访问权限数据作为发出 者特性数据通过识别数据库4的数据输出端口 24传递至识别装置3。按照 图3的实施例的优点在于，已经可以由现场电气设备的制造商进行对识别 数据库4的尽可能的预先配置。即，这样可以为所有的设备功能已经分配 对应的访问权限数据，而又根据第二分配表23将这些访问权限数据划分到 对应的任务范围中并且由此被分配给对应的角色数据。最后，还仅仅需要
了在现场电气设备的制造商处的配置阶段。因为这种配置阶段通常带有极 其巨大的花费，因此通过制造商处的预先配置可以节省巨大开销。
最后，要根据图4解释如何可以在基于会议的通信连接的条件下确定 发出者的识別。为此，采用允许对命令数据签名的所谓的证书。例如，可 以采用按照目前版本3或更高版本的、在电子加密技术中公知的证书X.509。 在这种情况下，该证书包含三个密钥用户的密钥对，以及用于规定该证书的真实性的公共的证书密钥，其中，用户的密钥对由一个也为现场设备 已知的用户的密钥以及一个仅仅由用户知道的用户的私有密钥组成。
首先，现场电气设备根据随着命令数据被传送来的公共的证书密钥进 行检查，看其是否由与在该现场电气设备中提供的证书相同的证明中心
(Zertifizierungsstelle )所颁布的。根据该公共的证书密钥检查该发出者 是否由对于现场设备1 (或者现场设备1为其组成部分的整个自动化设备) 规定的证明中心所授权，即是否被归类为值得信任。在此，如果发出者被 识别为值得信任，则检查该发出者是否实际上与该证书的拥有者一致。为 此，对于采用分配给该发出者的公共密钥。为此，该发出者仅仅需要对于 该证书的证书拥有者可得到的私有的证书密钥。因此要求该发出者利用其 私有的证书密钥对任意的文本(例如随机的符号串)进行签名。可以利用 证书的公共密钥检查该签名的有效性。
下面，借助于图4更具体地解释该过程
为了可靠地识别命令数据的发出者以及为了构造安全的通信通道，而 执行在图4中所示出的方法。在此，第一方框41表示在现场电气设备中的 过程，而第二方框42表示在现场电气设备的用户处在发出者数据处理装置 上的过程。
在此，在第一步骤43中，由现场电气设备产生随机字符串RND,并 且利用现场电气设备的用户的公共密钥进行加密。加密在步骤44中完成。 在步骤45中，加密后的随机字符串RND出现在现场电气设备上。如通过 箭头46所示出的那样，将前者传送到发出者数据处理装置上。在步骤47 中，该加密后的随机字符串出现在用户的发出者数据处理装置上，并且在 步骤48中，借助于属于电气用户的该公共密钥的私有密钥(其被存放在该 发出者数据处理装置上)，对该加密后的随机字符串进行解密。为此，要求 由发出者数据处理装置的用户输入代码字符串。在步骤51中表示出了这点。 这样，通过输入代码字符串或者PIN(PIN-个人身份号码)，激活了用户的 私有密钥的使用。在步骤49中，此时解密后的随机字符串RND出现在发 出者数据处理装置上。
在步骤50中，此时借助于现场电气设备的公共密钥(其为用户所已知， 或者是例如随着命令数据被传送来的)，对该解密后的随机字符串重新进行 加密。在步骤52中，随机字符串RND按照重新加密的形式出现在发出者
17数据处理装置上。
该被重新加密后的随机字符串RND在步骤53中被传送回到现场电气 设备上，并且在步骤54中出现在现场电气设备上。在步骤55中，在采用 现场电气设备的私有密钥的条件下，对该随机字符串进行解密。最后，在 步骤56中，该随机字符串RND又按照被解密的形式出现在现场电气设备 上，并且可以将其与按照步骤43的原始随机字符串进行比较。如果两者一 致，则明确地识别了发出者，并且在现场电气设备与用户之间建立起安全 的通信连接。可以将该随机字符串用来对在用户和现场电气设备之间所交 换的数据进行解密。
此时，现场电气设备已经根据随着命令数据所传送来的用户的公共密 钥确定了用户的识别，并且根据随后借助所述随机字符串的检查对该识别 进行了验证。其它的方法类似于在上面所描述方式进行。
最后还要指出的是，带有用户的对应密钥的证书也可以例如出现在用 户的USB棒上而不是在发出者数据处理装置上，该USB棒通过USB接口 与现场电气设备连接。如本文更前面部分已经提到的那样，在这种情况下， 通过在现场电气设备上的本地输入装置和显示器建立与该现场电气设备的 通信连接。不过，现场电气设备调用在USB棒上的证书，而不是输入口令 数据，也就是说，在采用在USB棒上存储的证书的条件下，类似于在图4 中所示出的并且在上面解释的方法，在现场电气设备和用户之间建立一种 安全的通信连接。在这种情况下，按照步骤51的用于对私有密钥激活的PIN 输入，也由用户直接地通过在电气设备上的输入键盘进行。这点的优点在 于，用户不需要记住不同的口令数据，而是仅需要记住属于对应的USB棒 的代码字符串或者PIN。
18
权利要求
1.一种用于实施现场电气设备(1)的被保护功能的方法，其中，执行如下步骤-由所述现场电气设备(1)接收命令数据，该命令数据指定用于实施该现场电气设备(1)的被保护功能的功能调用；-由该现场电气设备(1)的识别装置(3)确定表征所述命令数据的发出者的发出者特性数据，并且将其附加在该命令数据上；-由安全装置(5)接收扩展了所述发出者特性数据的命令数据，并且检查该命令数据是否允许执行由该命令数据所指定的所述现场电气设备(1)的被保护功能，其中，-在存在许可的情况下，将该命令数据传送给所述被保护功能并且执行该命令数据，以及-在缺少许可的情况下，拒绝对该被保护功能的实施。
2. 根据权利要求1所述的方法，其特征在于，为了确定发出者特性数据，-由所述识别装置(3)将与所述命令数据相关联的表示发出者的发出 者特有的数据传递给识别数据库(4),-由所述识别数据库(4)确定与所述发出者特有的数据对应的发出者 特性数据，并且-将所确定的发出者特性数据返回到所述识别装置(3)上。
3. 根据权利要求2所述的方法，其特征在于，-由所述识别数据库(4)根据所述发出者特有的数据确定指定该发出 者的用户类型的类型数据，并且将其作为发出者特性数据返回到所述识别 装置(3)上，以及-由所述安全装置(5)根据该类型数据检查对该发出者的用于执行被 保护功能的许可。
4. 根据权利要求2所述的方法，其特征在于，-由所述识别数据库(4)根据所述发出者特有的数据确定指定该发出 者的用户类型的类型数据，-由该识别数据库(4)根据所述类型数据确定与该发出者的用户类型对应的访问权限数据，并且将其作为发出者特性数据返回到所述识别装置(3)上，以及-由所述安全装置(5)根据该访问权限数据检查对该发出者的用于执 行被保护功能的许可。
5. 根据权利要求4所述的方法，其特征在于，-由所述识别数据库(4)根据所述类型数据首先确定指定该发出者的 用户角色的角色数据，-由该识别数据库(4)根据所确定的角色数据确定与其相关联的访问 权限数据，并且装置(3)上。
6. 根据权利要求2至5中任一项所述的方法，其特征在于，-在所述发出者和现场电气设备(1 )之间的无会议的通信连接的情况 下，所述发出者特有的数据包含指定发出者数据处理装置的识别数据，以 及-由所述识别数据库(4)为所述识别数据分配所述发出者特性数据。
7. 根据权利要求6所述的方法，其特征在于，-采用所述发出者数据处理装置的MAC地址作为所述识别数据。
8. 根据权利要求2至5中任一项所述的方法，其特征在于，-在所述发出者和现场电气设备(1 )之间的基于会议的通信连接的情 况下，所述发出者特有的数据包含该发出者的密钥数据，以及-由所述识别数据库(4)为所述密钥数据分配所述发出者特性数据。
9. 根据权利要求8所述的方法，其特征在于，-建立外部无源数据存储模块与所述现场电气设备(1 )之间的通信连 接，以及-将所述密钥数据从所述外部无源数据存储模块上的存储区域传送至 所述识別装置(3)上。
10. 根据权利要求2至5中任一项所述的方法，其特征在于，-在借助于输入装置在所述现场电气设备(1)上建立所述发出者与该 现场电气设备(1 )之间的通信连接的情况下，所述发出者特有的数据包含 由该发出者输入的口令数据。
11. 一种现场电气设备(l)，其包括至少一个数据接口 (2a, 2b, 2c, 2d, 2e),通过所述数据接口可以建立用于传送命令数据的通信连接，所述 命令数据用于实施该现场电气设备(1)的被保护功能，其特征在于，-利用所述数据接口 (2a, 2b， 2c, 2d， 2e)与识别装置(3)连接， 其中，将所述识别装置(3)构造为其将表征所述命令数据的发出者的发 出者特性数据附加在通过该数据接口 (2a, 2b, 2c， 2d， 2e)所接收的命令 数据上；以及-安全装置(5 )与该识别装置(3 )连接，其中，将所述安全装置(5 ) 构造为其检查扩展了所述发出者特性数据的命令数据是否具有执行所述 现场电气设备(l)的被保护功能的许可，并且仅仅在存在许可的情况下， 才允许执行所述被保护功能。
12. 根据权利要求11所述的现场电气设备(1 )，其特征在于，-所述识别装置(3)具有识别数据库(4),将所述识别数据库(4) 构造为其根据在所述命令数据中包含的发出者特有的数据确定所述发出 者特性数据。
13. 根据权利要求11或12所述的现场电气设备(1 ),其特征在于， -所述数据接口 (2c, 2e)是以太网接口、 USB接口或者串行接口。
全文摘要
本发明涉及一种用于实施现场电气设备(1)的被保护功能的方法，为了如下地构造该现场电气设备，使得可以独立于用户和现场电气设备之间的通信连接的类型来保证防止不希望的侵入的高安全性，借助于该现场电气设备(1)的识别装置(3)以及安全装置(5)，检查是允许还是拒绝执行该现场电气设备(1)的被保护功能。本发明还涉及一种对应地设置的现场电气设备。
文档编号G05B19/042GK101297247SQ200580051953
公开日2008年10月29日 申请日期2005年9月29日 优先权日2005年9月29日
发明者安德烈亚斯·朱里希 申请人:西门子公司