0来触发图1的与授权限制304关联的验证密钥133的生成。验证密钥133和移动设备122的标识符提供给图1的安全服务器112并且存储在授权数据134中。生成图2的授权代码236并且它包括图1的验证密钥133的编码版本和图1的面向公众服务器116的地址。图2的授权代码236还可对图2的验证应用285和移动HMI 290的选项和访问信息编码。
[0035]图4描绘根据实施例的基于位点的访问撤销的示例。面向公众服务器116配置成从移动设备122(例如移动设备122a)接收请求、进行请求的初始验证检查、基于确定请求通过请求的初始验证检查经由周边网络113将请求转发到安全服务器112以及使来自安全服务器112的数据返回移动设备122a。安全服务器112配置成从面向公众服务器116接收请求、进行请求的最后验证检查、访问控制系统网络114来检索数据以及使数据返回面向公众服务器116。安全服务器112可以应用图3的授权限制304来确保写请求和请求的返回数据可以被移动设备122a访问。公众网络120可包括无线接口 400,其具有对每个授权移动设备(例如图4的移动设备122a和122b)建立的无线链路402a和402b。
[0036]从控制系统网络114接收数据的授权可以受到移动设备122a和122b的物理位点的限制。在图4的示例中,移动设备122a在位点404a处并且移动设备122b在位点404b处。可以定义周边406,在这里越过周边406的移动设备122失去授权。例如,图2的GPS 275可以用于确定移动设备122a是否越过周边406。尽管图4的周边406表现为圆形,可以对周边406定义其他形状(包括不规则形状)。
[0037]无线接口400还可在图4的无线链路402a和402b上传播保持活跃的消息,其中移动设备122a和122b必须在超时窗口内做出响应或失去授权。每个保持活跃的消息可以使用图1的与移动设备122中的每个关联的验证密钥133来加密并且可包含移动设备122必须在可配置超时期内发回的代码。移动设备122接收保持活跃的消息,只要它们在无线接口400的范围(其可以与周边406不同)内即可。保持活跃的消息使移动设备122被其他设备的欺骗复杂化并且防止移动设备122被去除、窃取和恶意使用。
[0038]撤销的其他可能触发包括图1的控制系统数据136的值以及移动设备122的请求历史。规则引擎115采用的规则例如可在图1的控制子系统104中的一个的信号上的“高-高”警报后自动锁定移动设备122。使对于撤销的多个选项组合进一步提高安全性。
[0039]图5描绘根据示范性实施例对于移动设备验证的过程500。参考图1-5描述该过程500。过程500在框502处开始并且转变到框504。在框504处,建立对移动设备122的授权限制304。授权限制304可以包括例如以下中的一个或多个:对工厂概要数据的访问、对设备维护数据的访问、对工厂文件的访问、对控制系统设置点的特定集的访问、改变控制系统数据136中的控制系统设置点中的至少一个的能力以及对维护日志的访问。授权限制304可进一步受到以下中的一个或多个的约束:超时期、移动设备122的物理位点、检测的不寻常活动以及对保持活跃的消息的本地访问。
[0040]在框506处,生成与授权限制304关联的验证密钥133。在框508处,将移动设备122的验证密钥133和标识符306提供给安全服务器112。在框510处,生成授权代码236,其包括验证密钥133的编码版本和面向公众服务器116的地址。
[0041 ]在框512处,将授权代码236提供给移动设备122来对移动设备122建立验证以如受授权限制304约束地从控制系统网络114接收数据。授权代码236可由以下中的一个或多个提供给移动设备122:无线链路280和显示器126上的视觉指示。显示器126上的视觉指示可以是以下中的一个或多个:条形码、QR代码或移动设备122的拍摄装置295可检测的其他图像。过程500在框514处结束。
[0042]安全服务器112可进一步配置成基于以下中的一个或多个来撤销对移动设备122的访问:超时期到期、设备识别失败、用户账户验证失败、访问区域、访问角色和控制系统状态。在对移动设备122的标识符306和用户标识符308独立定义授权限制304的情况下,应用授权限制304的最具限制性的版本。访问区域可以是特定物理位点。访问角色可以区分各种角色,例如维护操作员、测试操作员、正常操作员及类似物。控制系统状态可指示控制子系统104是否在正常操作、测试操作、维护操作及类似物中使用。授权站102可以进一步配置成对规则引擎115建立规则以基于以下中的一个或多个撤销对移动设备122的访问:控制系统数据136和移动设备122的请求历史。
[0043]在图6中描绘用于提供移动设备验证并且检索数据的示例序列图602。为了解释目的,图6的示例对图2的授权代码236使用QR代码;然而,序列不限于QR代码的使用。在动作604,授权站的工厂操作员打开图1的移动设备验证应用132。在动作606,授权站102的工厂操作员选择授权选项来建立图3的授权限制304。在动作608,移动设备122的用户打开移动应用,例如图2的验证应用285。在动作610,授权站102将QR代码显示为图2的授权代码236。在动作612,移动设备122的用户在具有QR代码的显示器处指向图2的拍摄装置295。在动作614,移动设备122读取QR代码并且提取设定和图1的验证密钥133。在动作616,移动设备122使用该设定和验证密钥133来联系面向公众服务器116以请求数据。在动作618,面向公众服务器116对数据进行请求的首次通过验证。在首次通过验证时,在动作620,面向公众服务器116通过周边网络113请求来自安全服务器112的数据。在动作622,安全服务器112进行请求的最后验证并且将对数据的请求传递到控制系统105以经由图1的控制系统网络114检索数据。在动作624,安全服务器112通过周边网络113使数据返回面向公众服务器116。在动作626,面向公众服务器116使数据返回移动设备122。
[0044]在示范性实施例中,技术效果是在安全计算环境(例如控制系统环境)中提供移动设备验证。验证可以通过多级系统进行来使安全计算环境的部分与未经授权的访问尝试隔离。授权限制和多个撤销规则进一步提高安全性并且降低与丢失或被盗的授权设备关联的风险。利用授权代码对访问限制编码可以使授权设备快速配置成提出适当访问请求并且在与安全计算环境接口连接时应用正确的协议。
[0045]如将由本领域内技术人员意识到的,本发明的方面可体现为系统、方法或计算机程序产品。因此,各方面可采取完全硬件实施例、完全软件实施例(其包括固件、常驻软件、微代码等)或结合软件和硬件方面的实施例(其在本文中可大体上全部称为“电路”、“模块”或“系统”)的形式。此外,方面可采取包含在一个或多个计算机可读介质(其具有包含在其上的计算机可读程序代码)中的计算机程序产品的形式。
[0046]可利用一个或多个计算机可读介质(其包括计算机可读存储介质)的任何组合。计算机可读存储介质可例如但不限于是电子、磁、光、电磁、红外或半导体系统、装置或设备,或前述的任何适合的组合。计算机可读存储介质的更特定的示例(非详尽的列表)将包括以下:具有一个或多个线的电连接、硬盘、随机存取存储器(RAM)、只读存储器(R0M)、可擦除可编程只读存储器(EPROM或闪速存储器)、光纤、便携式压缩盘只读存储器(CD-ROM)、光存储设备、磁存储设备或前述的任何适合的组合。在该文件的上下文中,计算机可读存储介质可以是任何有形的介质,其可以包含程序或存储程序以供指令执行系统、装置或设备使用或连同指令执行系统、装置或设备一起使用。
[0047]包含在计算机可读介质上、作为非暂时性计算机程序产品的程序代码可使用任何适当的介质传送,其包括但不限于无线、有线、光纤电缆、RF等,或前述的任何适合的组合。
[0048]用于实施本发明的方面的操作的计算机程序代码可采用一个或多个编程语言的任何组合编写。程序代码可作为独立软件包全部在用户计算机上执行、部分在用户计算机上执行,部分在用户计算机且部分在远程计算机上或全部在远程计算机或服务器上执行。在后一个情况中,远程计算机可通过任何类型的网络(其包括局域网(LAN)或广域网(WAN))连接到用户计算机,或可连接到外部计算机(例如,通过使用互联网服务提供商的互联网)。
[0049]参考根据实施例的方法、装置(系统)和计算机程序产品的流程图说明和/或框图来描述各方面。将理解流程图说明和/或框图的每个框以及流程图说明和/或框图中的框的组合可以由计算机程序指令实现。这些计算机程序指令可提供给通用计算机、专用计算机的处理器或其他可编程数据处理装置来产生机器,使得经由计算机的处理器或其他可编程数据处理装置执行的指令创建用于实现流程图和/或框图的框或多个框中规定的功能/动作的工具。
[0050]这些计算机程序指令还可