控制装置的访问数据的安全管理的制作方法

[0001]
本发明基于一种用于机器或设施的控制装置的运行方法，
[0002]-其中，控制装置在任意时间点接收访问数据，
[0003]-其中，控制装置将接收到的访问数据与当前的访问权限进行比较，
[0004]-其中，在相符的情况下，控制装置开放存储在控制装置中的使用数据的访问，
[0005]-其中，控制装置在机器或设施的控制的范畴中创建和/或考虑使用数据。
[0006]
本发明还基于一种计算机程序，该计算机程序包括机器代码，该机器代码能够由用于机器或设施的控制装置处理，其中该控制装置对机器代码的处理使得该控制装置执行开头所述类型的运行方法。
[0007]
本发明还基于一种用于机器或设施的控制装置，
[0008]-其中，控制装置具有到计算机网络的连接，控制装置能够经由该连接与计算机连接，
[0009]-其中，利用开头所述类型的计算机程序编程控制装置，使得控制装置执行开头所述类型的运行方法。


背景技术：

[0010]
用于机器和设施的控制装置在许多情况下被人操作。相应的人员制定规范，该规范被控制装置在其执行正常运行程序、即机器或设施的控制的范畴中考虑。对于某些机器或设施，制定规范的人是否有被授权制定规范能够是完全不重要。然而，在其他机器或设施的情况下，必须可靠地保证预设给控制装置的规范只能被对此授权的人预设。
[0011]
这能够已经涉及到正常运行的规范，例如需要执行哪个控制程序或应该在哪个时间点执行控制程序。为了保证仅由对此授权的人制定此类规范，通常相应的人首先必须登录到控制器，其中，预设给人用户名和密码或类似的授权。
[0012]“普通”用户、即制定正常运行规范的用户的认证和授权，能够通过简单的方式安全地来设计。例如，对于机器或设施的操作者，管理员(或类似人员)能够经由计算机网络从计算机中央地向控制装置发送用户名和相关密码的列表，并根据需要更新此列表。特别地，管理员能够在任意时候更改此列表，例如，当机器或设施的操作者的同事离开公司，或者周期性地在一个月或类似的时间段之后。反之，用户名和密码也能够从控制装置发送至计算机，并且在用户的符合规定的授权的情况下，从计算机许可。
[0013]
但是，在控制装置内还存在使用数据，在机器或设施的控制的范畴中，控制装置考虑这些使用数据，但是，在使用数据中不希望地是，使用数据能够被“普通”用户设置、更改并且部分地也仅查看。这样的使用数据能够例如涉及控制器的参数化，例如调节回路的设置，借助于该调节回路控制机器或设施的部分，使用数据或者涉及诊断数据。设置、更改和查看此类使用数据虽然同样应该可行，但同样不能通过“普通”用户进行。更确切地说，为此应该必须是机器或设施的制造商的服务员工或控制装置的制造商的服务员工使用专门的访问数据登录到控制器。
[0014]
此类访问数据的更新和更改、并且尤其保持机密性代表了一个重大问题。特别地，此类访问数据通常根本不传递至机器或设施的操作者，使得操作者既不知道也不能够改变或更新访问数据。在现有技术中，此类访问数据通常在机器或设施或控制装置的整个使用寿命中(能够数年)保持不变。
[0015]
在安全性方面，这代表了问题，尤其是黑客攻击的漏洞。一方面，长时间不更改的访问权限原则上已经代表了问题。但最重要的是，机器或设施或控制装置的制造商的服务员工知道专门的访问数据。例如，如果这样的服务员工离开了他的雇主，就存在破坏专门的访问数据的机密性的危险。对此重要的是，特别是通过服务员工的专门的访问，能够实现对控制装置的设置的很大程度的更改，在机器或设施运行时具有相应的深远的后果。
[0016]
一种可能的解决方案是，通常停用服务员工对控制装置的专门的访问，并且由管理员仅短暂激活该专门的访问，使得服务员工能够登录到控制装置并且实施其活动，然后再次注销。注销后，管理员再次停用服务员工的专门的访问。但是，该解决方案具有很多缺点。首先，必须在控制装置内提供一种可行性，使得管理员登录到控制装置，使得管理员能够激活和停用服务员工的专门的访问。此外，必须亲自在场，由此管理员能够执行激活和停用。此外，管理员必须不仅能够经由计算机网络登录控制装置，而且还能够直接在现场登录。否则，尤其当在控制装置中出现涉及计算机网络的连接的功能的问题时，可能不能够实现激活用于服务员工的访问。
[0017]
另一种方法是永久停用或阻止服务员工的专门的访问。在这种情况下，不能够进行专门的、深入的诊断和设置。或者必须接受控制的机器或设施较长的停机时间。
[0018]
另一种方法是将控制装置临时或永久地与机器或设施或控制装置的制造商的计算机连接，然后将服务员工的访问数据传输至该计算机并在那里检查，或者相反，将访问权限从该计算机传输至控制装置。该处理方法的问题在于，与计算机网络的连接可能会被干扰。在这种情况下，服务员工将无法再登录控制装置。
[0019]
另一种方法是，简单来说，控制装置将源代码输出给现场的服务员工，其中，服务员工通过算法从源代码中导出次级代码，而服务员工必须给控制装置预设次级代码。这种处理方法的弱点是该算法可能是已知的。
[0020]
另一种方法是，服务员工只允许利用特定的设备(例如特定的笔记本电脑)登陆到控制装置，这些特定的设备具有被分类为值得信任的证书。但是，在这种情况下，控制装置必须能够可靠地识别这样的证书。因此证书必须存储在控制装置中。还不能能够允许篡改或伪造这样的证书。虽然这通常是能够保证的。但是，必须小心确保设备上的证书(服务员工借助于该证书登录到控制装置)与控制装置上的证书之一相符。因此，必须能够在控制装置上存储新证书并且再次删除较早存储证书。
[0021]
理论上能够想到，每个普通用户也能够更改专门的使用数据。由此，服务员工的专门的访问变得多余，应该严格地避免每个普通用户对专门的使用数据的更改。
[0022]
开头所述类型的运行方法例如从us2007/0079355a1已知。
[0023]
从us 5,842,043 a中已知一种在商业交易的范畴中使用的数据处理设施。在该设施中提出，计算机网络的一个称为网络管理器的单元根据需要将访问权限发送至计算机网络的其他单元。


技术实现要素：

[0024]
本发明的目的在于提供一种可行性，借助于该可行性解决现有技术的问题。
[0025]
目的通过具有权利要求1的特征的运行方法实现。该运行方法的有利的设计方案是从属权利要求2至4的主题。
[0026]
由此，根据本发明，开头所述类型的运行方法被设计为，
[0027]-控制装置偶尔经由到计算机网络的连接接收来自计算机的加密的验证数据，并将接收到的验证数据以加密或未加密的形式存储在控制装置内作为当前的验证数据，
[0028]-控制装置从未加密的当前的验证数据中得出当前的访问权限，
[0029]-控制装置将在接收到验证数据的时间点已经作为当前的验证数据存储在控制装置内的验证数据作为旧的验证数据保持存储，
[0030]-先前作为旧的验证数据存储的数据将被覆盖，
[0031]-控制装置还将接收到的访问数据与从旧的验证数据得出的旧的访问权限进行比较，
[0032]-然后，当接收到的访问数据与旧的访问权限相符时，控制装置开放操作员对使用数据的访问，并且
[0033]-然后，当所接收到的访问数据既不与当前的访问权限也不与旧的访问权限相符时，控制装置不开放对存储在控制装置内的使用数据的访问。
[0034]
一方面，虽然偶尔并且因此重复更新验证数据。由此能够避免能够由于访问数据过时而引起的问题。然而，不只是当在控制装置、机器或设施处出现问题时，进而尤其是到计算机网络的连接能够被干扰时才发送加密的验证数据，而是恰好偶尔发送。然后，在下一次发送新的验证数据之前，最后发送的验证数据才是有效的或当前的。当在发送加密的验证数据或在验证数据作为当前的验证数据存储时出现问题时，则通过存储“旧的”验证数据还能够实现在控制装置中还出现有效的验证数据。通过覆盖先前存储为旧的验证数据的数据将实现，仅知道“足够旧的验证数据”的人不会未经授权访问控制装置。
[0035]
优选地，为了加密和解密验证数据而应用非对称加密方法。优选地，在存储验证数据之前或之后，控制装置借助于私钥解密接收到的验证数据，而加密借助于与该私钥不同的公钥实现。为此目的，控制装置能够提供该公钥，以用于经由计算机网络和/或布置在控制装置处的接口进行调用。
[0036]
加密的验证数据的发送能够根据需要偶尔进行。例如，能够由计算机以周期性的时间间隔预设控制装置的加密的验证数据。在这种情况下，计算机是主动部件，其独立地分别得出控制装置的加密的验证数据。替代地，可行的是，控制装置能够是主动部件，即控制装置能够经由计算机网络从计算机调用加密的验证数据。例如，能够基于由控制装置监视的时间变化和/或基于由操作员预设的更新命令来实现该调用。该操作员能够是服务员工或“普通”操作员。
[0037]
控制装置例如能够被设计为cnc(computer numeric control＝数控装置)、mc(motion control＝运动控制)或sps(可编程逻辑控制器，通常也称为plc＝可编程逻辑控制器)。控制装置也能够设计为驱动控制器。
[0038]
该目的还通过具有权利要求5的特征的计算机程序来实现。根据本发明，开头所述类型的计算机程序设计为，使得通过控制装置引起处理机器代码，使得控制装置实施根据
本发明的运行方法。
[0039]
该目的还通过具有权利要求6的特征的用于机器或设施的控制装置来实现。根据本发明，首先利用根据本发明的计算机程序编程控制装置，使得控制程序实施根据本发明的运行方法。
附图说明
[0040]
参照结合附图对实施例的以下描述，更加清楚地解释本发明的上述特性、特征和优点以及如何实现它们的方法和方式。在此，示意性地示出：
[0041]
图1示出了用于设施或机器的控制装置和其他部件，并且
[0042]
图2至9示出了流程图。
具体实施方式
[0043]
根据图1，需要借助于控制装置1控制设施或机器2。设施或机器2原则上能够是任意种类。例如，能够是机床、机器人、包装机、化工设施或另一个机器或设施。它也能够是驱动器。根据其应用设计控制装置1。例如，在机床中，控制装置1被设计为cnc(＝计算机数字控制)。在机器人中，控制装置1能够被设计为cnc或mc(＝运动控制)。在另一设施2中，例如在包装机中，控制装置1能够被设计为mc或spc(＝可编程逻辑控制，在英语中通常被称为plc＝可编程逻辑控制)。驱动器是驱动控制器。
[0044]
不管其具体设计为cnc、mc、spc或者其他类型的控制装置，控制装置1根据图2中的附图在控制机器或设施2的正常运行中循环实施步骤s1到s3。
[0045]
在步骤s1中，控制装置1经由传感器3接收机器或设施2的状态数据z，例如位置信号、速度信号、温度信号或来自限位开关的响应。在步骤s2中，控制装置1得出用于执行器4的控制信号c。在步骤s3中，控制装置1将得出的控制信号c输出至执行器4，使得通过对执行器4的驱控来影响机器或设施2的状态。
[0046]
控制装置1在考虑状态数据z的情况下执行步骤s2的得出。附加地，控制装置1考虑存储在控制装置1内的状态数据z
′
和存储在控制装置1内的使用数据nd，以下简称为内部状态数据z
′
和内部使用数据nd。因此，控制装置1在控制机器或设施2的范畴中考虑内部状态数据z
′
和内部使用数据nd。替代于或附加于考虑使用数据nd，控制装置1还能够创建内部使用数据nd。
[0047]
内部状态数据z
′
能够例如是计数器、记录器或计时器的值。这些值能够在机器或设施2运行中(即控制装置1的正常运行中)改变。改变的一个可能原因是时间变化。然而，在得出控制信号c时被控制装置1考虑的那些内部使用数据nd在正常运行中至少通常是不变的。例如，这种内部使用数据nd能够是调节器的参数化，借助于该参数化得出控制信号c。例如，使用数据nd能够包括p调节器的比例常数或pi调节器的比例常数和重置时间。由控制装置1创建的那些内部使用数据nd能够例如是诊断数据。
[0048]
内部状态数据z
′
能够根据需要易失性地或非易失性地存储在控制装置1中。内部使用数据nd通常非易失性地存储在控制装置1中。非易失性的存储意味着，当断开对控制装置1的能量供应，也保持保留相应的数据z
′
、nd。例如，能够将相应的数据z
′
、nd存储在硬盘上、存储在eeprom(带电可擦可编程只读存储器)、电池支持的ram(随机存取存储器)或其他
存储器中，当断开控制装置1的能量供应时，其内容保持保留。
[0049]
利用计算机程序5编程控制装置1。计算机程序5包括能够被控制装置1处理的机器代码6。通过控制装置1对机器代码6的处理首先引起控制装置1在正常运行中根据结合图2所说明的处理方法控制机器或设施2。或许，在此，控制装置1还能够一同考虑补充的参数化。然而，这在本发明的范畴中是次要的。但是，附加地，控制装置1实施另外的措施，该措施在下面结合另外的附图来说明。在该上下文中重要的是，控制装置1具有到计算机网络8的连接7，使得控制装置1能够与计算机9连接。计算机网络8能够例如是因特网或万维网。相反于机器或设施2的操作者，计算机9例如能够由控制装置1的制造者或机器或设施2的制造者来运行。
[0050]
在其他措施的范畴中，控制装置1根据图3在步骤s11中经由到计算机网络8的连接7从计算机9接收验证数据vd。验证数据vd被密码加密。特别地，验证数据vd能够根据非对称密码方法进行加密，即根据这样一种方法进行加密，在该方法中，为了加密而使用第一密钥，相反为解密而使用与第一密钥不同的第二密钥。通常将第一密钥称为公钥(public key)，将第二密钥称为专用密钥或私钥(private key或secret key)。已知的这种类型的非对称密码方法是以其发明者rivest，shamir和adleman命名的rsa方法。但是，其他方法也是已知的。
[0051]
在步骤s12中，控制装置1将接收到的验证数据vd解密，并得出解密后的验证数据vd
′
。在步骤s13中，控制装置1存储解密的验证数据vd
′
。步骤s12的解密通常仅涉及与传输有关的加密。借助于步骤s12得出的验证数据vd
′
通常在内部被再次加密。通常非易失性地实现验证数据vd
′
在控制装置1中的存储。
[0052]
以下涉及验证数据vd、vd
′
的所有实施方式基于以下假设，即控制装置1在步骤s12中(部分地)对接收到的验证数据vd进行解密，并且由此，在步骤s13中存储(部分地)解密的验证数据vd
′
。然而，也能够省略步骤s12，并且控制装置1在步骤s13中存储(完全)加密的验证数据vd。因此，在图3中仅利用虚线示出步骤s12。
[0053]
控制装置1偶尔实施步骤s11至s13。这样步骤s11至s13的两个实施行之间的时间间隔能够是根据需要的。通常，该间隔处于几天的范围内，也能够处于几周或几个月的范围内。
[0054]
确保将验证数据vd重复发送至控制装置1的方式和方法能够是根据需要的。
[0055]
例如，能够在计算机9方面保证计算机9重复独立地发起新的验证数据vd的发送。在这种情况下，计算机9以周期性的时间间隔预设控制装置1的加密验证数据vd。在这种情况下，根据图4中的附图，步骤s11被分为两个步骤s21和s22。在步骤s21中，控制装置1检查是否正在向其发送验证数据vd。一旦是这种情况，控制装置1在步骤s22中接收所发送的验证数据vd。
[0056]
替代地，如图5所示，控制装置1能够在步骤s31中等待计时器10(见图1)到期。如果计时器10已到期，则控制装置1转到步骤s32。在步骤s32中，控制装置1请求计算机9发送新的加密验证数据vd。如果计时器10尚未到期，则控制装置1能够返回到步骤s31。作为步骤s31的替代或补充，能够存在步骤s33。在步骤s33中，控制装置1检查操作员11是否已经对其给出了更新命令a(见图1)。如果是这种情况，则控制装置1转到步骤s32。否则，控制装置返回到步骤s31或步骤s33。在根据图5的设计方案的情况下，控制装置1是主动部分，其请求传
输加密的验证数据vd。
[0057]
此外，根据图6，控制装置1在步骤s41中接收访问数据d。访问数据d的预设能够在任意时间点实现。访问数据d例如能够由操作员11预设给控制装置1。如果省略了步骤s12(见图3)，则控制装置1在步骤s42中对存储的验证数据vd进行解密，并且得出解密后的验证数据vd
′
。在图6中仅利用虚线示出了步骤s42，因为仅当不存在步骤s12时才存在该步骤。步骤s42在内容上对应于步骤s12。
[0058]
在步骤s43中，控制装置1将接收到的访问数据d与当前的访问权限d
′
进行比较。控制装置1从解密的验证数据vd’中得出当前的访问权限p
′
。在最简单的情况下，当前的访问权限d
′
与解密的验证数据vd
′
相同。但是，在许多情况下，解密后的验证数据vd包括检查许用于多人或多个设备的访问权限所需的数据。在这种情况下，在步骤s43的范畴中，控制装置1事先分离各个访问权限d
′
。
[0059]
在步骤s44中，控制装置1检查在步骤s43中的比较是否得出相符。在相符的情况下，在步骤s45中，控制装置1允许操作者11访问使用数据nd。否则，也就是说，在不相符的情况下，在步骤s46中不允许控制装置1访问使用数据。
[0060]
如上所述，解密后的验证数据vd
′
仍在内部加密。因此，在步骤s44的范畴中，在实际比较之前再次将验证数据vd
′
解密。这些验证数据vd
′
仅在当前需要时被控制装置1(完全)解密。替代地，控制装置1能够在步骤s41的范畴中将预设的访问数据d当前地加密，并在步骤s44的范畴中在此基础上比较访问数据d和访问权限d
′
。例如，能够将所谓的哈希值相互比较。
[0061]
如上所述，加密(即得出加密的验证数据vd)优选地借助于第一密钥(public key(公钥))实现，而解密(即得出未加密的验证数据vd
′
)优选地借助于与第一密钥不同的第二密钥(private key(私钥))实现。为了使计算机9能够得出加密的验证数据vd，计算机9必须知道第一密钥(public key)。当制造控制装置1时，控制装置1的制造商能够已知第一密钥和第二密钥。在这种情况下，当制造商能够将第一密钥存储在控制装置内，制造商能够将第二密钥存储在控制装置1中。虽然能够公开第一密钥，但不是强制性必需的。替代地，能够将两个密钥存储在控制装置1中。在这种情况下，如图7所示，控制装置1也能够实施步骤s51，在该步骤中，控制装置1提供第一密钥用于经由计算机网络8进行调用。替代地或附加地，控制装置1能够提供第一密钥，以用于经由布置在控制装置1处的接口12进行调用。
[0062]
在经由计算机网络8提供第一密钥的情况中，控制装置1能够在后台并行于或近似并行于图2至6的处理方法来实施图7的处理方法。在这种情况下，控制装置1实施图7的处理方法，而与是否也实施图2至图6的处理方法无关。替代地，控制装置1能够响应来自计算机9的具体的请求而将第一密钥发送至计算机9。在经由布置在控制装置1处的接口12提供第一密钥的情况下，则通常响应操作者11的具体的请求进行传输。
[0063]
控制装置1通常同样也在后台实施图3的处理方法或者根据图4和5的相关设计方案，即，不取决于是否实施图2和6的处理方法。然而，图2和6中的处理方法通常是互斥的。因此，虽然容易地能够在特定的时间点既不实施图2的处理方法也不实施图6的处理方法。同样能够在特定的时间点实施图2的处理方法或图6的处理方法。相反地，通常不允许在特定的时间点即实施图2的处理方法又实施图6的处理方法。但是，在例外情况下也能够这样做。
[0064]
根据本发明，进一步将以下面结合图8说明的方式进一步修改图3的处理方法(这
也适用于根据图4和图5的设计方案)。此外，根据本发明，修改根据图6的处理方法，如下面结合图9所解释的。
[0065]
如上所述，偶尔重新实施图3的处理方法。当控制装置1在确定的时间点接收到验证数据vd，则在该时间点其他验证数据vd
′
已经存储在控制装置1内。图8中的处理方法的意义和目的是为了保持这个已经存储的用于(1)迭代的验证数据vd
′
，即直到再次接收新的验证数据vd的下一个时间点。因此，图8除了图3的步骤之外还包括步骤s61。在步骤s61中，控制装置1还保持存储验证数据vd
′
，该验证数据在接收到验证数据vd的时间点在控制装置1内已经被存储作为当前验证数据vd
′
。然而，它将该验证数据vd
′
标记为旧的验证数据vd
″
。为了实施步骤s61，例如能够将最初仍然是当前的验证数据vd
′
从基本存储器13转存储到附加存储器14中。然后，控制装置1才将从新接收的验证数据vd得出的解密的验证数据vd
′
存储在基本存储器13中。先前得到的数据在附加存储器14中被覆盖。
[0066]
因此，在直到下一次更新验证数据vd
′
的每个时间点，控制装置1(确切地)具有两个验证数据vd
′
、vd
″
，即一方面是当前的验证数据vd
′
，并且另一方面是旧的验证数据vd
″
。因此，根据图9中的图示，除了图6的步骤之外，还存在步骤s71，在该步骤中，控制装置1将接收到的访问数据d与旧的访问权限d
″
进行比较。或者，步骤s71还能够包括对旧的验证数据vd
″
的解密。此外，控制装置1在步骤s72中检查在步骤s71的比较中是否相符。在相符的情况下，控制装置1进入步骤s45。否则，控制装置1进入步骤s46。
[0067]
因此，步骤s71和s72的内容对应于步骤s43(可能包括步骤s42)和s44，当然参考访问数据d与从旧验证数据vd
″
得出的旧的访问权限d
″
的比较。
[0068]
当恰好在更新验证数据vd
′
的时间点在控制装置1中出现错误时，图8和9中的处理方法的优点特别明显。因为由此控制装置1还具有验证数据的有效的数据组、即旧的验证数据vd
″
可用。
[0069]
总而言之，本发明涉及以下事实：
[0070]
机器或设施2的控制装置1在任意时间点都接收访问数据d，并将其与当前访问权限d
′
进行比较。在相符的情况下，控制装置1开放对存储在控制装置1内的使用数据nd的访问。控制装置1在机器或者设施2的控制的范畴中创建和/或考虑用户数据nd。控制装置1偶尔借助于到计算机网络8的连接7从计算机9接收加密验证数据vd，并以加密或未加密的形式将接收到的验证数据vd存储在控制装置1内作为当前的验证数据vd
′
。控制装置从未加密的当前验证数据vd
′
得出当前的访问权限d
′
。在接收到验证数据vd时在控制装置1内已经存储为当前的验证数据vd
′
的验证数据vd
′
被控制装置1保持存储为旧的验证数据vd
″
。先前保存为旧的验证数据vd
″
的数据被覆盖。控制装置1还将接收到的访问数据d与从旧的验证数据vd
″
得出的旧的访问权限d
″
进行比较。当存在与旧的访问权限d
″
的相符时，控制装置才开放操作员11访问使用数据nd。否则，控制装置不开放对使用数据nd的访问。
[0071]
本发明具有许多优点。特别地，全面消除了现有技术的安全问题。
[0072]
尽管已经通过优选的实施例详细地说明和描述了本发明，但是本发明不受公开的示例的限制，并且本领域技术人员能够在不脱离本发明保护范围的情况下从中得出其他变体方案。