专利名称:用于在分布式系统中配置和分发访问权限的方法
技术领域:
本发明涉及一种用于为被布置在分布式系统中的智能电子设备配置和分发访问权限的方法。此外,本发明涉及用于执行所述方法的设备。本发明尤其被用于网络控制自动化系统和站自动化系统中,所述网络控制自动化系统和站自动化系统例如被用于电流、燃气、水、油或者远距离供热的供应系统,但也适合于独立的工业设备中。
背景技术:
智能电子设备(也称作Intelligent Electronic Devices (IED))是基于微处理器的设备,其例如被用在远程监视分布式系统中。除了其它的之外,属于所述智能电子设备的还有远程控制分站(也称作远程终端单元(RTU))、保护设备以及智能开关设备和在中电压和低电压设备中的电压调节器。在熟知的网络控制系统中,网络控制站经由通信链路与远程终端单元(Remote·Terminal Units)连接。将过程控制系统或者设备控制系统所提供的过程数据(优选实时地)从技术设备或者技术过程的空间上相距遥远的部件经由RTU传输到控制站。不仅产生危险过程状态相关的告警,而且准备分布式系统内所有重要事件的记录并且由RTU提供所述记录到网络控制站。对存放在远程终端单元内的数据的访问和/或对这些设备的操作通常通过密码保护或者用户帐号得到保护,其中从用户帐户提供分配给相应设备的密码保护。根据现有技术,为每个设备个别配置密码保护。用户帐户在网络控制系统的远程终端单元内分别作为文件被存放,用户帐号被集成到此文件中。除了其它的之外,所述用户帐号还包括已授权用户的名称、分配的密码以及对特定功能的访问权限或者访问许可,例如对修改RTU配置的许可。所述文件通常以加密的格式被存放在RTU的可重写的非易失性存储器内,使得RTU的用户例如只有在输入密码之后才对所述设备所检测的数据或者对设备的操作具有访问权限。因为用户帐号的配置在每个设备上被个别实施,所以为分布式系统的设备管理访问权限要求巨大的时间开销。尤其是访问权限相关的改变花费很大,这是因为必须单独为与变化有关的每个设备实施访问权限配置。
发明内容
因此,本发明所基于的任务在于,说明一种方法和装置,所述方法和装置用于配置和分发被存放在用户帐号内的访问权限给被布置在分布式系统内的智能设备,所述方法和装置避免了先前提到的缺点。根据本发明的方法和根据本发明的装置尤其被设置用于为同时在分布式系统的多个智能设备上,尤其是远程终端单元上访问和/或操作所述设备分发用户帐号。所述任务通过包括在权利要求I中说明的特征的方法解决,所述方法用于配置和分发访问权限给分布式系统内的智能设备。在其它权利要求中说明用于实施所述方法的有利扩展方案和装置。为配置和分发访问权限给被布置在技术过程或者技术设备的分布式系统中(尤其在网络控制系统中)的智能设备,设置至少一个第一智能设备,所述第一智能设备借助于Web客户端经由网络连接与分布式系统的其它智能设备连接,所述Web客户端可以被实施为用户接口、通信服务或者操作接口。从技术设备或者技术过程的空间上相距遥远的部件提供的过程数据和/或设备数据(优选实时地)被传输到分布式系统的设备。根据本发明的用于配置和分发访问权限给分布式系统的智能设备的方法包括以下方法步骤
在准备步骤中,在分布式系统的智能设备中分别存放设备内部的特有密钥和公共密钥,所述特有密钥用于在设备中加密地存储密码文件,所述公共密钥由被布置在分布式系统内的智能设备理解。在第一步骤中,经由Web客户端在第一设备内创建和配置被称作用户帐户的用户帐号,优选地,所述Web客户端被集成到第一设备内或者与第一设备交互。单独的数据处理设备(例如PC)可以被设置为Web客户端,所述数据处理设备借助于网络连接(例如无线网络)可与分布式系统的智能设备连接。在用户帐号内例如确定用户名称、密码和/或访问权限,采用它们避免未授权而直接访问所述设备。在此,借助于第一设备的特有的设备内部密钥,所述用户帐号被加密为密码文件存放在设置在第一设备内的存储模块中,优选地存放在可重写的非易失性存储器中。在第二步骤中,在将具有用户帐号的密码文件读出到Web客户端中之前,借助于公共密钥对密码文件加密,所述密码文件由布置在系统中的其它智能设备理解,并且将现在以公共密钥加密的、包括用户帐号的密码文件提供给Web客户端以便传输到其它智能设备。在另一步骤中,经由网络连接,所述加密过的密码文件由Web客户端分发给被布置在系统中的其它智能设备。例如可以借助于串行数据传输或者经由TCP/IP协议在Web客户端和分布式系统内的智能设备之间实施密码文件传输。在最后步骤中,借助于公共密钥,存放在先前由Web客户端传输的加密过的密码文件中的数据在其它智能设备中被解密。然后,借助于相应设备的设备内部密钥,在相应其它智能设备中实施对包括先前已解密的数据的密码文件的加密存储。因此,本发明有利地实现了 在管理和分发用户帐号给分布式系统的多个设备时最小化开销,这是因为现在仅仅还在第一设备中必须创建或者配置用户帐号,并且然后所述用户帐号被分发给被布置在分布式系统内的其它智能设备,而不需要其它安全性相关的措施来避免对所述设备未授权的访问。在根据本发明的方法的有利扩展方案中,经由第一设备的设备内部Web服务器,用户帐号仅仅被同时分发给被布置在系统中作为Web服务器工作的、设备类型与第一设备一致的所有其它设备。在这种情况下,在相同设备类型的设备中分别存放相同的公共的设备典型的密钥。相应地,在其它设备类型的设备中存放对应于这种设备类型的其它公共密钥。在权利要求7中可以得到用于实施先前所描述的方法的装置。
用于配置和分发访问权限给在技术过程或者技术设备的分布式系统内的智能设备的装置包括至少一个第一智能设备,所述第一智能设备借助于Web客户端经由网络连接与其它智能设备通信,并且从技术设备或者技术过程的空间上相距遥远的部件提供的过程数据和/或设备数据可以被传输到智能设备。智能设备分别具有至少一个第一存储模块且分别具有第二存储模块,所述第一存储模块优选地被实施为RAM存储器,所述第二存储模块被实施为CF卡。RAM存储器配备有内部数据结构用于存放密码文件的数据。在第一存储模块内,分别存放由分布式系统的智能设备可读的或者理解的公共密钥。在第二存储模块内分别存放设备内部特有密钥,所述特有密钥仅由相应设备可读或者理解。借助于与第一设备交互的Web客户端,在第一设备内创建和配置用户帐号,所述 用户帐号被设置为文件以便在第一设备的存储模块内存放或存储。存放在第一设备内的第一设备内部密钥被设置用于在将用户帐号作为密码文件存放在第二存储模块中之前对所述用户帐号加密。存放在第一设备内的公共密钥被设置用于在密码文件的数据被读出到Web客户端中之前对密码文件的数据加密,所述密码文件的数据应该被分发给被布置在分布式系统内的其它智能设备。在Web客户端经由所述网络连接将借助于公共密钥加密的密码文件分发给其它智能设备之后,存放在其它智能设备中的公共密钥对存放在加密过的密码文件中的数据解
LU O在所述数据可用于存储在相应其它智能设备的第二存储模块中之前规定借助于分配给相应设备的设备内部密钥,对包括先前已解密数据的密码文件加密。采用根据本发明的装置现在提供如下可能性借助于第一设备的(优选设备内部的)Web服务器经由网络连接在避免未授权的访问的情况下将包括已配置用户帐号的文件可靠地传输到Web客户端,其中作为Web服务器工作的第一设备有利地被设置用于经由已有的网络连接将用户帐号同时分发给被布置在系统中的其它智能设备。在本发明一个有利的实施形式中规定经由第一设备的设备内部Web客户端将用户帐号分发给被布置在系统内的、类似设备类型的所有其它设备。根据本发明规定,所述智能设备分别具有至少一个第二存储模块,所述第二存储模块例如被实施为压缩闪存卡(CF-Card),其中所述第二存储模块分别经由至少一个解密模块和至少一个加密模块与第一存储模块交换数据。为了对从第一存储模块传输的或者传输到第一存储模块的数据解密或者加密,设置分配给所述设备并且优选地在第二存储模块内被创建的相应设备内部密钥。此外,根据本发明规定,所述智能设备分别具有(例如被实施为RAM存储器的)至少一个第一存储模块,其中所述第一存储模块分别经由至少一个其它解密模块和至少一个其它解密模块与Web客户端(例如PC)交换数据。为了对从Web客户端传输的或者传输到Web客户端的数据加密或者解密,设置相应公共密钥。因此,加密模块和解密模块被设置用于在传输由设备设置用于传输到Web客户端、具有用户帐号的文件之前对该文件加密或者在由Web客户端接收、具有用户帐号的文件(也称作密码文件)被存放在存储模块中之前对该文件解密。接下来示例性地示出,如何在第一设备上配置访问权限或者访问数据的改变并且将此改变分发给系统中的其它设备。在第一设备中创建和配置用户帐号(用户帐户)之后(即例如已经确定用户名称、密码和/或访问权限之后),如此配置的用户帐号作为密码文件被存放在第一设备的存储丰吴块中。对于访问权限的改变,在密码文件中将已有信息用新的信息覆盖,所述新的信息由改变的访问数据产生。在用户帐号中,已授权用户的名称和分配给该用户的密码或者可以被自由选择或者受先前确定的规则支配,所述规则普遍由密码准则规定。允许访问用户帐号的信息用相应设备内部密钥加密地存放在设备的可重写的第 一存储器上的密码文件内,用于阻止访问。
根据在图I和图2中表示的本发明实施例,进一步解说和说明本发明有利的扩展方案和改进方案。图I示出用于配置和分发用户帐号给在技术设备的网络控制自动化系统和站自动化系统内的智能设备的示例性方法流程,以及
图2示出根据本发明方法的根据本发明的装置的实施例,所述装置被使用在远程监视分布式系统中。
具体实施例方式在图I中表示的用于配置和分发用户帐号给在分布式网络控制自动化系统和站自动化系统内的智能设备的方法包括第一智能设备10,所述第一智能设备借助于Web客户端40经由网络连接30与其它智能设备21,22,23...连接。从该设备的空间上相距遥远的部件向智能设备10,21,22,23传输过程数据和/或设备数据。根据本发明,在被布置在分布式系统中的智能设备10,21,22,23中分别存放设备内部特有密钥BI,B2, B3,...以及公共密钥A,所述设备内特有密钥用于加密地存储密码文件,所述公共密钥由所有智能设备10,21,22,23理解。设备内部密钥BI,B2, B3...被存放在相应设备10,21,22,23的(优选被实施为压缩闪存卡(CF-Card)的)存储模块中。公共密钥A由在设备10,21,22,23上安装的固件提供。接下来描述用于配置和分发用户帐号给智能设备10,21,22,23的方法流程。在第一步骤I中经由与第一设备10交互的Web客户端40在第一设备10中创建和配置包括用户名和密码的用户帐号。在第二步骤2中借助于第一设备10的特有的设备内部密钥BI在加密为密码文件的情况下创建用户帐号,优选地在被实施为压缩闪存卡的存储模块中。通过使用被实施为压缩闪存卡的存储模块,所述存储模块是无移动部件的存储介质(在所述存储模块中信息被持续地存储在可重写的闪存内),有利地实现即使在不利的环境条件下,密码文件的数据也被安全地保管。被固定地或者直接地布置在设备插入卡上的其它存储介质(例如安全数字存储卡(SD卡))也适合于密码文件在设备中的存放。在其它步骤3中,密码文件在被读出到Web客户端(40)中之前,借助于公共密钥A被加密(所述公共密钥A为布置在系统中的其它智能设备21,22,23,...所知或者由所述其它智能设备理解)并且在接下来的步骤4中将现在以公共密钥A加密的、包括用户帐号的密码文件提供给Web客户端以便传输到其它智能设备21,22,23,...或者由所述其它智能设备从第一设备10中读出。根据本发明,现在在接下来的步骤5中由Web客户端经由网络连接30将加密过的密码文件同时分发给被布置在系统中的其它智能设备21,22,23,...。在最后步骤6中,借助于公共密钥A在其它智能设备21,22,23中对被存放在加密过的密码文件中的数据解密(所述公共密钥也存放在分布式系统的其它设备21,22,23,...上),并借助于设备内部密钥BI,B2, B3,...实施对包括先前已解密数据的密 码文件在相应其它智能设备21,22,23,..中的加密存储,所述设备内部密钥存放在相应其它设备21,22,23中。图2示例性地示出远程监视分布式系统的以“远程终端单元“著称的远程控制分站10的通信单元,优选地,所述通信单元被布置在RTU的插入卡上并且被设置用于经由网络连接30与Web客户端40交换数据。所示装置适合用于实施根据本发明的方法。根据本发明的用于配置和分发访问权限给在技术过程或者技术设备的远程监视分布式系统内的智能设备10,21,22,23的装置包括至少一个Web客户端40和经由网络连接30与所述Web客户端40连接、作为Web服务器工作的智能设备10,21,22,23…,从技术设备或者技术过程的空间上相距遥远的部件提供的过程数据或者设备数据可以被实时地传输给所述智能设备10,21,22,23…。根据本发明,对于经由Web客户端40采用在图I中描述的方法配置的设备10,21,22,23分别设置第一密钥A和其它密钥B,其中第一密钥A与Web客户端40和第一存储模块11交互以及其它密钥B与第一存储模块和第二存储模块11、CF交互。在示出的远程终端单元10(接下来也称作第一设备10)中,创建和配置用户帐号(用户帐户),所述用户帐号作为密码文件X被存放在第一设备10的存储模块CF中。对用户帐号的创建借助于(优选PC的)Web客户端40进行,在创建用户帐号时,所述Web客户端与第一设备10交互。在此,在PC 40中输入用户数据,尤其是已授权用户的名称,所分配的密码以及对特定功能的访问权限或访问许可,所述用户数据作为密码文件以加密的格式被存放在第一设备10的被实施为压缩闪存卡CF的存储模块中。在使用第一加密模块16的情况下,借助于第一设备10的设备内部密钥BI实施对密码文件X的加密,所述设备内部密钥同样可以被存放在压缩闪存卡CF中。借助于第一设备10的设备内部Web服务器,包括先前已配置的用户帐号的密码文件X可以经由网络连接30传输到Web客户端40,例如PC。Web客户端40被设置用于经由现有网络连接30分发用户帐号给被布置在系统内、优选地作为Web服务器工作的其它智能设备21,22,23。在此可以规定用户帐号由第一设备10经由Web客户端40仅仅分发给被布置在系统中的、类似设备类型的所有其它设备。此外,在智能设备21,22,23内分别集成至少一个第二加密模块18和至少一个第二解密模块17,其中所述第二加密模块18被设置用于在将由设备10为向Web客户端40传输而设置、具有用户帐号的数据传输到Web客户端40之前对所述数据加密,并且所述第二解密模块18被设置用于在将由Web客户端40接收、具有用户帐号的文件(接下来也称作密码文件)存放在RAM存储器11中之前对所述文件解密。为此使用公共密钥A。在图2中表示的根据本发明的包括第一设备10 (所述第一设备在远程监视分布式系统中被应用)的装置的实施例中,包括用户帐号的数据X例如作为明码电文被存放在作为中央源起作用的RAM存储器11中,所述用户帐号借助于Web客户端40被创建或者配置。在所述设备之外访问所述存储器11是不可能的。因此,在第一设备10的密码文件被传输到分布式系统的Web客户端40之前,采用公共的(优选地对称的)密钥A对所述密码文件编码。优选地,所述密钥A被集成在可被 存放在设备10上的固件中。这允许,传输被如此编码的密码文件到被集成在系统中的其它设备21,22,23,其中在所述其它设备的固件中集成了相同的密钥A。所述通常属于相同设备类型的设备可以因此配备有相同的密码文件。假如使用对称的密钥,则用于对密码文件加密和解密的算法相同。此外,为了在设备10的闪存CF上存储密码文件,设置了公共密钥B,(也可被实施为对称密钥B),其例如借助于被分配给闪存卡CF的标识号码(优选闪存卡CF的序列号)使所述设备10上的密码文件的识别或者编码能够实现。因此,其它密钥B可通过为对应的闪存卡分配的标识号码来标识,并且具有先前提到的特征的系统中的每个设备在系统中被个别表征。因此,采用先前描述的方法,被存放在闪存卡CF上的、借助于对应的其它密钥B和所属的标识号码编码的密码文件保证相应设备的特有密码文件不能被拷贝到其它不具有标识特征(标识号码和密钥)的设备上。此外,由此阻止如此编码的密码文件可被用于被布置在分布式系统中的其它设备上。
权利要求
1.一种用于配置和分发访问权限给在技术过程或者技术设备的分布式系统内的智能设备(10),(21),(22),(23)的方法,其中所述分布式系统包括至少一个第一智能设备(10),所述第一智能设备(10)借助于Web客户端(40)经由网络连接(30)与其它智能设备(21)、(22)、(23)连接,并且从技术设备或者技术过程的空间上相距遥远的部件提供的过程数据和/或设备数据被传输到所述智能设备(10),(21),(22),(23),其特征在于, -在所述智能设备(10), (21), (22),(23)中分别存放设备内部的特有密钥(BI, B2, B3,…)并且分别存放公共密钥(A), -经由所述Web客户端在第一设备(10)中创建和配置用户帐号, -借助于第一设备(10)的设备内部密钥(BI)将所述用户帐号加密成密码文件存放在设置在第一设备(10)中的存储模块中, -所述密码文件在被读出到所述Web客户端(40)中之前借助于所述公共密钥(A)被加密并且加密过的密码文件被提供给所述Web客户端(40)以便传输到其它智能设备(21)、(22)、(23), -经由所述网络连接(30),加密过的密码文件由所述Web客户端(40)分发给其它智能设备(40), -在其它智能设备(21)、(22)、(23)中借助于公共密钥(A)对存放在加密过的密码文件中的数据解密,以及 -借助于相应设备的设备内部密钥(B1,B2,B3,···)在相应其它智能设备(21)、(22)、(23)中实施对所述密码文件的加密存储,所述密码文件包括先前已解密的数据。
2.按照权利要求I的方法,其特征在于,采用在所述智能设备(10),(21),(22),(23)中分别存放的设备内部的特有密钥,实施对所述相应设备(10,(21),(22),(23)中的密码文件的加密存储。
3.按照前述权利要求之一的方法,其特征在于,所述公共密钥(A)由所有智能设备(10),(21),(22),(23)理解。
4.按照权利要求I或者2的方法,其特征在于,所述公共密钥(A)仅仅由类似设备类型的智能设备理解。
5.按照权利要求4的方法,其特征在于,经由所述Web客户端(40)和所述网络连接(30),所述用户帐号由第一设备分发给系统中类似设备类型的其它设备。
6.按照前述权利要求之一的方法,其特征在于,借助于串行数据传输或者经由TCP/IP协议实施用户帐号到分布式系统的所述智能设备的传输和分发。
7.一种用于配置和分发访问权限给在技术过程或者技术设备的分布式系统内的智能设备(10),(21),(22),(23)的装置,其中所述分布式系统包括至少一个第一智能设备(10),所述第一智能设备(10)借助于Web客户端(40)经由网络连接(30)与其它智能设备(21)、(22)、(23)连接,从技术设备或者技术过程的空间上相距遥远的部件提供的过程数据和/或设备数据可以被传输到所述智能设备(10),(21),(22),(23),并且所述智能设备(10),(21),(22),(23)分别具有至少一个第一存储模块(11)且分别具有第二存储模块(CF),其特征在于, -在第一存储模块(11)中分别存放公共密钥(A)并且在第二存储模块(CF)中分别存放设备内部的特有密钥(BI,B2,B3,...),-经由所述Web客户端(40)在第一设备(10)中创建和配置用户帐号, -在将所述用户帐号作为密码文件存放在第二存储模块(CF)中之前,所述存放在第一设备(10)中的第一设备内部密钥(BI)对所述密码文件实施加密, -在所述密码文件的数据被读出到所述Web客户端(40)中之前,存放在第一设备(10)中的公共密钥(A)对所述密码文件的数据加密, -所述Web客户端(40)经由所述网络连接(30)将借助于所述公共密钥(A)加密的密码文件分发给其它智能设备(21)、(22)、(23), -存放在所述其它智能设备(21)、(22)、(23)中的公共密钥(A)对存放在加密过的密码文件中的数据解密,以及 -在将所述密码文件存储到相应其它智能设备(21)、(22)、(23)中之前,相应其它智能设备(21)、(22)、(23)的其它设备内部密钥(BI, B2, B3,…)对所述密码文件加密,所述密码文件包括先前已解码的数据。
8.按照权利要求7的装置,其特征在于,所述用户帐户可经由所述第一设备(10)的设备内部Web服务器且经由所述网络连接(30)被分发给其它的、被布置在系统中的类似设备类型的其它设备(21)、(22)、(23)。
9.按照权利要求7或者8的装置,其特征在于,在所述用户帐户中存放用户名称、密码和/或访问权限。
10.按照权利要求7到9之一的装置,其特征在于,所述存储模块可以作为无移动部件的存储介质、例如作为压缩闪存卡实施,并且固定地或者直接集成在所述设备中。
11.按照权利要求7到10之一的装置,其特征在于,所述智能设备(10),(21),(22),(23)分别具有至少一个被实施为压缩闪存卡的第二存储模块(CF),其中所述第二存储模块(CF)分别经由至少一个解密模块(15)和至少一个加密模块(16)与第一存储模块(11)交换数据并且为了对从第一存储模块(11)传输的或者传输到第一存储模块(11)的数据加密或者解密,设置分配给所述设备的设备内部密钥(B1,B2,B3,...)。
12.按照权利要求7到11之一的装置,其特征在于,所述智能设备(10),(21),(22),(23)分别具有至少一个被实施为RAM存储器的第一存储模块(11),其中所述第一存储模块(11)分别经由至少一个其它解密模块(18)和至少一个其它加密模块(17)与所述Web客户端(40)交换数据并且为了对从所述Web客户端(40)传输的或者传输到所述Web客户端(40)的数据加密或者解密设置相应公共密钥(A)。
13.将按照前述权利要求之一的方法和装置应用在远程监视的网络控制自动化系统和站自动化系统中,所述网络控制自动化系统和站自动化系统例如被用于电流、燃气、水、油或者远距离供热的供应系统,但也适合于独立的工业设备中。
全文摘要
本发明涉及一种用于配置和分发访问权限给在技术过程或者技术设备的分布式系统内的智能设备(10),(21),(22),(23)的方法和系统,其中所述分布式系统包括至少一个第一智能设备(10),所述第一智能设备(10)借助于Web客户端(40)经由网络连接(30)与其它智能设备(21)、(22)、(23)连接,并且从技术设备或者技术过程的空间上相距遥远的部件提供的过程数据和/或设备数据被传输到智能设备(10),(21),(22),(23)。在智能设备(10),(21),(22),(23)中分别存放设备内部的特有密钥(B1,B2,B3,...)并且分别存放公共密钥(A)。经由Web客户端在第一设备(10)中创建和配置用户帐号,并且借助于第一设备(10)的设备内部密钥(B1)将所述用户帐号加密成密码文件存放在设置在第一设备(10)中的存储模块内。所述密码文件在被读出到Web客户端(40)中之前借助于公共密钥(A)被加密并且加密过的密码文件被提供给Web客户端(40)以便传输到其它智能设备(21)、(22)、(23)。经由所述网络连接(30),加密过的密码文件由Web客户端(40)分发给其它智能设备(40),其中借助于公共密钥(A)在其它智能设备(21)、(22)、(23)中对存放在加密过的密码文件中的数据解密。然后借助于相应设备的设备内部密钥(B1,B2,B3,...)在相应其它智能设备(21)、(22)、(23)内执行对密码文件的加密存储,所述密码文件包括先前已解密的数据。
文档编号H04L29/08GK102884774SQ201180024375
公开日2013年1月16日 申请日期2011年3月9日 优先权日2010年3月17日
发明者S.莫尔, U.贝尔克斯 申请人:Abb 技术有限公司