在至少一个第二单元上认证至少一个第一单元的方法
【技术领域】
[0001]本发明涉及用于在系统内,尤其是在过程自动化技术领域中,通过位于至少一个第一单元、尤其是移动设备和至少一个第二单元、尤其是现场设备之间的通信线路,尤其是无线通信线路,在第二单元上认证第一单元的方法。本发明此外涉及执行该方法的计算机程序产品和包括该计算机程序产品的机器可读数据载体。
【背景技术】
[0002]用来捕获和/或调整过程变量的现场设备频繁用在过程自动化技术中。现场设备通常是指面向过程并且提供或处理过程相关信息的所有设备。除传感器和致动器外,直接连接到现场总线的单元一般也称为现场设备,用于与上位单元通信,诸如远程1/0、网关、链接设备和无线适配器。
[0003]企业集团Endress+Hauser提供和经销多种这样的现场设备。
[0004]认证是例如通过提供特定贡献执行其自身认证的上述第一单元的实体所声称的特性的证据(验证)。
[0005]关于可以是例如“现有访问权”或“真实”的许可的、所声称的可靠性的特性的实体的认证,允许被认证的实体实施进一步的动作。然后,该实体被视为可靠。
[0006]识别为可靠的实体可选地具有不同的授权。该文献的上下文中的授权是例如,通过某些可接受的模式和/或在特定上下文中,将所确定的上下文中的受限权限转移给实体,诸如仅读取访问权、组合的读写权或甚至仅所选择的实体可能具有的特殊管理员权限。
[0007]认证为有效,直到离开或变更相应的上下文为止或直到离开或变更相应的模式为止。
[0008]无线方案已经可用于许多用户应用。一个示例是基于来自蓝牙家族的标准之一的无线电方案。关于测量在消费者领域的技术应用,现有技术方案是例如将运动员的心率或步数无线传送到移动显示/控制单元,例如,具有集成蓝牙接口的移动电话。
[0009]通常经在两个通信方之间交换密钥的所谓的“配对过程”,执行加密。由于远程基站的限制,该密钥交换通常发生在使用仅4位的密码的认证的基础上。那4位通常设定成(不可变更的)标准值,例如,0000,特别是用于不具有显示器的测量设备,这进一步降低安全性。
[0010]这类认证以安全性为代价,优化用户客户端的操作便利。这种最小安全性对工业设施所需的安全级是不足够的。德语术语“Sicherheit”可以翻译成英语的安全性或安全。英语术语安全性(security)比相应的德语术语“Sicherheit”更精确。术语安全性是指系统如从其功能性所期望的起作用。简单地说:如其应当地可靠运行。另一方面,安全性是指信息的技术处理的保护并且是功能可靠系统的特征。意指防止未授权的数据操作或信息公开。在下文中,德语术语“Sicherheit”和“sicher”通常是指安全性的特征,除非另有表述。
[0011]IT环境已知的另一无线电技术是术语WLAN(WiFi)、“WLAN”,尤其是WiFi安全性,用来使许多第一设备,例如若干计算机或移动设备与单一第二设备,例如路由器连接(英语:一对多连接)。然而,WiFi未被设计成将单个第一设备,例如,计算机或单一移动设备与若干第二设备,例如若干路由器连接(英语:多对一连接)。
[0012]在工业上下文中,设施内存在多达几百个现场设备。这些例如被构成各种组。继而,存在那些现场设备的维护或校准现场设备等等的若干不同用户。关于现场设备组或单个现场设备,那些用户通常具有不同的授权。有规律地添加用户、修改许可,或例如,用户当他们离开公司时丧失他们的访问权。外部用户,诸如紧急消防支援人员或外部设备提供者需要临时访问某些现场设备。此外,对每一系统,必须考虑不同的安全性需求。例如,饮用水供应比废水适用更高标准。因此,在许多情况下,安全性需求完全专用于某些应用和系统。关于单个用户授权和安全性特征的单个现场设备的软件/固件的变更对大量现场设备不可行。
[0013]尤其当经公共网络,诸如移动电话网络或互联网,准许访问自动化技术设施,或经无线电接口,例如,在蓝牙标准的基础上实现访问,增强的安全性需求也适用。公共网络和无线电接口共有的问题在于与本地有线连接相比,更易于加密地“攻击”访问信道。
[0014]必须考虑在许多自动化技术设施中,所谓的防火墙有意识地将本地网络与公共网络,如互联网分离。一方面,这降低了攻击的风险,另一方面,基于互联网服务器的安全性机制不再可用于认证系统,因为现场设备不再访问它们。例如,在许多工业设施中,使用在由发布证书的当局运行的互联网上的中央服务器证实诸如由TLS标准(传输层安全性,前身是SSL标准,安全套接字层)完成的证书是不可能的。
[0015]此外,现场设备必须考虑可用性方面。例如,用于维护或在紧急情况期间对现场设备的访问必须不能被由于硬件故障使得访问中央服务器上的用户数据库不可能的事实阻止。在这样的情况下,现场设备的自主功能性是必要的,例如,以已知用户使用他们的最新有效密码访问的方式。
[0016]另一方面,即使对具有约50个现场设备和15个用户的中等大小的设施来说,没有用户管理的某种程度的中央控制,管理单个账户也是不可行的。例如,当添加用户时,该用户首先必须被添加到50个现场设备的每一个。
[0017]这就是为什么设施的用户实现所有用户共享相同密码的明显的“解决方案”如此诱人的原因,其结果是最终,由此有效地削弱任何安全性机制。
[0018]设施中的现场设备通常经模拟或数字接口,例如,经如Profibus、Foundat1nFieldbus, HAR的现场总线标准,或者另外地,通过将测量值变换成例如4至20mA的模拟电流值,链接到控制中心。
[0019]在注册时,现场总线标准或相应的控制中心均未被设计为传送用于传输有关用户账户,诸如加密的密码或用户权限的信息的数据连接。
[0020]关于将增强的安全性需求应用在设施自动化,特别是过程自动化中所禁止的一个方面还涉及集成操作单元的可用特征,即,显示器和操作选项,例如,经屏幕和密钥。由于关于灰尘、防爆、温度范围或有限能源,为设施环境设计外壳,这导致在输入“安全”密码,即难以猜测的、非常复杂的密码的许多情况下,可用特征有限。这是例如当仅有2个密钥可用于操作的情形。该方面特别与所谓的耐压防爆设备有关,因为在耐压壳体中,用于用户接口的开关/按钮的连接导致高费用,为此原因,在许多情况下,仅少数操作开关可用。
【发明内容】
[0021]本发明基于提出允许安全、简单和灵活选项来使诸如现场设备的若干第二单元与诸如移动设备的单一第一单元连接并且允许用户认证的安全性体系结构的任务。换句话说,安全登录过程也应当经移动设备,诸如智能电话、膝上型或平板计算机,即,经需要被设计成较少灰尘度和恶劣条件并且还允许例如经触摸屏舒适地输入“安全”密码的设备发生。
[0022]通过位于至少一个第一单元、尤其是移动设备和至少一个第二单元、尤其是现场设备之间的通信线路,尤其是无线通信线路,在系统内,尤其是在过程自动化技术的区域中,在第二单元上的第一单元的单向或双向认证的方法,解决该任务。该方法包括下述步骤:建立安全策略,安全策略包括用于在至少一个解锁密钥的基础上,准许访问第一单元的规则,以及检查解锁密钥有效性的信息;将安全策略提供给第二单元,生成用于第一单元的解锁密钥并且在第一单元提供该解锁密钥;将解锁密钥从第一单元传送到第二单元,并且由第二单元验证该解锁密钥使用安全策略,并且如果可用,则准许访问。
[0023]在本发明中,认证所需的信息因此分成若干部分:安全策略和一个或多个若干解锁密钥。认证所需的信息的一个优点是可以使恒定的、很少变更的信息,诸如安全策略与动态变量分离。分离成安全策略和解锁密钥还允许通过将相应的解锁密钥稍后传输到现场设备,稍后添加新授权用户,或新授权移动设备的机会。在现场设备已经投入运营后,进一步允许生成用于新雇员的解锁密钥。
[0024]在一个有利的进一步发展中,基于来自第一单元的特定数据,尤其是序列号、国际移动设备识别码、国际移动订户识别码、保存在S頂卡上的数据的电话号码,将解锁密钥生成为硬件相关的解锁密钥。
[0025]在另一有利进一步发展中,基于第一单元的用户的特定数据,尤其是名称和用户密码,将解锁密钥生成为用户特定的解锁密钥。
[0026]这允许单个用户和/或单个移动设备被授权。为增加安全级,同时使用两种方法。
[0027]在一个优选实施例中,取决于解锁密钥,将不同权限赋予第二单元。因此,解锁密钥本身已经包括相应的权限。不进行其他设置,减少管理工作。其示例是读取、写入、管理和执行防火墙更新或类似的权限。
[0028]在一个有利实施例中,检查解锁密钥的信息是来自中央管理员的公共主密钥。公共主密钥可以例如由私有(因此私密)主密钥生成。继而,私有主密钥可以由密码,优选为长且“安全”,以及例如至少随机数组成。
[0029]为了增加安全性,解锁密钥具有时限。
[0030]在一个有利进一步发展中,用户相关解锁密钥准许生成另外的解锁密钥的权限。因此,这些用户被视作次级管理员。这允许在不知道中央管理员的私有主密钥的情况下,生成另外的解锁密钥,这进一步增加安全性,因为能将解锁密钥的生成明确地分配给相应的次级管理员。
[0031]安全策略优选地包括下述信息的至少一个:设施的名称、主密钥和有关哪些组合中的哪些解锁密钥准许访问的信息。
[0032]在一个有利的实施例中,在基于文本方法,尤其是SMS、电子邮件或即时消息,或光学方法,尤其是经2D码,例如矩阵码,诸如QR码或数据矩阵(DataMatrix)码的基础上,在第一单元处提供解锁密钥。这构成分发解锁密钥的简单方法。
[0033]在优选的进一步发展中,将安全策略保存在服务器上,尤其是另外地。这考虑到在下文中所述的若干选项。
[0034]优选地将肯定列表和/或否定列表保存在该服务器上,肯定列表或否定列表分别包含授权和/或阻止的第一单元的特定数据和/或第一单元的特定数据或用户。否定列表也指黑名单或阻止列表。通过产生黑名单中的条目,管理员随后能撤消已经经解锁密钥准许的访冋。
[0035]在有利的实施例中,使用具有私密私钥和相应的公钥的非对称加密,其中要求相应的私密私钥来生成解锁密钥,并且使用公钥来验证认证。这具有用于生成解锁密钥所需的关键密钥对更少部分系统已知的优点,因此,降低由未授权个人生成的解锁密钥的风险。
[0036]对非对称加密,优选以椭圆曲线为基础的加密系统。基于椭圆曲线的方法