专利名称:现场设备及其操作方法
技术领域:
本发明涉及一种用于保护、控制或监视配电设备或能量供应设备的具有权利要求 1的前序部分的特征的现场设备,特别是保护设备。
背景技术:
在国际专利申请W02007/036178中描述了这样的现场设备。该现场设备具有访问 控制装置,其控制对该现场设备的访问。访问控制装置包括存储器,后者具有在其中存储的 访问权限(Zugriffsrechten)、角色(Rollen)和用户,其中每个访问权限分别定义对至少 一个设备值、设备参数或设备功能的访问,每个角色分别对应于一个或多个访问权限,并且 每个用户分别对应于一个或多个角色。此外,访问控制装置还包括控制装置,其适合于,当 相应的用户没有对应于具有对于相应的访问所需的访问权限的角色时,禁止由用户对设备 值、设备参数或设备功能的访问。
发明内容
本发明要解决的技术问题是,提供一种现场设备,其更好地保护现场设备免受不 允许的设备访问,并且特别是防止不允许的设备操纵。从本文开始部分提到种类的现场设备出发,上述技术问题通过权利要求1的特征 部分解决。本发明的优选实施方式在从属权利要求中给出。按照本发明,控制装置具有检验模块,只有当对于各个访问所需的并且在存储器 中存储的访问权限具有有效的电子签名时,该检验模块才允许由用户进行访问。按照本发明的现场设备的主要优点是,其排外地允许基于验证的、非伪造的访问 权限的访问。伪造的访问权限被识别和阻止,从而即使访问限制的间接的或多级的失效不 会成功。结合以下的例子详细解释这一点如果用户虽然其访问权限不够却想要访问在现 有技术中公知的现场设备,可以想到,在设备操纵的范围内用户首先操纵并扩展一个或多 个对于其允许的访问权限,也就是这样地操纵并扩展,使得扩展的访问权限允许期望的访 问;也就是,在第一级中通过伪造和扩展现有的开启(freigeschalteter)的访问权限并在 第二级中通过激活操纵的开启的访问权限来进行这样的不允许的访问。本发明着重于此, 其中,在每个设备访问的情况下检验,各个访问权限是否是验证的而不是伪造的;只有肯定 地通过该检验时,才激活所请求的用户权限。也就是,如上所述的多级的设备操纵在按照本 发明的现场设备中不会成功。按照本发明的现场设备的另一个优点是,通过只有授权人员的参数化才可以进行 现场设备的功能性的扩展并且对于该扩展同样又可以定义访问限制。有效的电子签名优选分配给授权的访问权限管理员,从而有效的电子签名确定了 由授权的访问权限管理员释放各个访问权限。例如通过如下产生电子签名,S卩,作为数据序列考察待签名的内容并且作为对于 Hash算法的输入信息使用该序列。作为输出信息获得检验码。然后例如借助非对称加密算法加密该检验码。加密的Hash码是对于作为Hash算法的输入信息使用的内容的电子签名 并且附加到所述内容。对于Hash码的加密和解密,例如使用由私有和公共的加密的密钥组成的密钥对。 电子签名的发行商(Aussteller)将其对于加密使用的私有密钥例如存储在证书中。为了 能够检验电子签名,检验者需要公共的密钥。检验者利用该密钥可以解密Hash码并且借助 Hash算法通过待检验的数据序列第二次形成Hash码。如果解密的和本身形成的Hash码一 致,则内容不变。只有当为加密和解密使用的密钥属于相同的密钥对时,Hash码的解密才 是需要的。为检验电子签名使用的公共密钥在以下称为检验密钥。这样的方法的其它信息 可以在如下中找到:http://de. wirkipedia. org/wiki/Digitale_Signatur。根据操纵安全性的特别高的度量,具有优势的是,在现场设备中至少一个可用以 确定电子签名的有效性的检验密钥被按照不可改写的形式固定地存储。通过检验密钥的提 出的保护可以避免在多级的设备操纵的范围内首先修改检验密钥,以便能够激活随后的假 造的访问权限。为了简化通过授权的用户,例如访问权限管理员的维护工作、参数化工作或其它 服务工作,具有优势的是,可以从外部,特别是通过数据线,间接或直接联系(ansprechbar) 存储器并且可以从外部存储其它访问权限。优选地,只有当另一个访问权限具有有效的电子签名并且特别是对电子签名的检 验确定,其来自为释放访问权限而被授权的访问权限管理员时,控制装置才将该另一个访 问权限存储在存储器中。例如检验模块在存储另一个访问权限之前利用一个或多个在现场 设备中固定地存储的并且不可改写的检验密钥检验该另一个访问权限的电子签名的有效 性。按照现场设备的一种特别具有优势的实施方式,访问权限、角色和用户按照第一 数据组(该第一数据组将每个用户分别对应于至少一个角色),并且按照第二数据组(该第 二数据组将每个访问权限分别对应于至少一个角色)存储在存储器中。检验模块优选具有至少一个第一辅助模块、一个第二辅助模块和一个与该第一辅 助模块和第二辅助模块相连的比较模块,其中,第一辅助模块适合于,在由用户的访问的情 况下,从第一数据组读出各个用户的角色,并且将其传输到比较模块,其中所述第二辅助模 块适合于,从第二数据组读出具有对于各个访问所需的访问权限的那些角色,并且将读出 的角色传输到比较模块,并且其中比较模块适合于,将从第一辅助模块读出的角色与从第 二辅助模块读出的比较,并且如果没有确定到一个角色一致时,阻止用户的访问。此外,本发明还涉及一种操作用于保护、控制或监视配电设备或能量供应设备的 现场设备,特别是保护设备的方法,其中对现场设备的访问借助在存储器中存储的访问权 限、角色和用户来控制,其中每个访问权限分别定义对至少一个设备值、设备参数或设备功 能的访问,每个角色分别对应于一个或多个访问权限,并且每个用户分别对应于一个或多 个角色,并且,当相应的用户没有对应于具有对于相应的访问所需的访问权限的角色时,禁 止由用户对设备值、设备参数或设备功能的访问。按照本发明,在这样的方法中,只有当对于相应的访问所需的并且在存储器中存 储的访问权限具有有效的电子签名时,才允许由用户的访问。有效的电子签名优选确定,相 应的访问权限是由授权的访问权限管理员允许的。
5
关于按照本发明的方法的优点和关于本方法的优选实施方式参见上面结合按照 本发明的现场设备的描述。
以下借助附图详细解释本发明。其中,示例性地图1示出了对于按照本发明的现场设备的第一实施例,图2示出了对于按照本发明的现场设备的第二实施例,其中定义两个分开的数据 组,一方面用于定义在用户和角色之间的对应,而另一方面用于定义在角色和访问权限之 间的对应,图3以树形结构示例性示出在用户、角色和访问权限之间的对应,图4-5以树形结构以及对应的表示出了对于在用户、角色和访问权限之间的对应 的实施例,图6示出了用于按照图1和2的现场设备的控制装置的检验模块的实施例,以及图7示出了对于按照本发明的现场设备的第三实施例,其中访问权限、角色和用 户按照另一种形式存储。为清楚起见,在附图中对于相同的或类似的组件始终使用相同的附图标记。
具体实施例方式图1示出了对于现场设备10的实施例,其具有访问控制装置20。为清楚起见,在 图1中没有进一步示出现场设备10的其余组件。访问控制装置20具有存储器30以及通过总线40与存储器30相连的控制装置 50。控制装置50此外与现场设备10的接头60相连。在接头60上例如可以连接外部的数 据线70,用户(例如用户Ni)通过该数据线可以通过该数据线与现场设备10连接。从图1可以看出,在存储器30中存储了访问权限Z1、Z2、. . . Zn。每个访问权限分 别具有有效的电子签名;相应的签名在图1中用附图标记Ul、U2、...Un表示。电子签名Ul 至Un例如可以是利用RSA方法产生的数字签名。在存储器30中还存储了用户m至Nm以及角色Rl至Rp。每个角色Rl至Rp分别 对应于一个或多个访问权限Zl至Zn,并且每个用户m至Nm分别对应于一个或多个角色 Rl至Rp。访问权限Zl至Zn分别定义对现场设备10的至少一个设备值、设备参数或设备 功能的访问。控制装置50具有检验模块80,其与总线40以及现场设备10的接头60相连。此 外,检验模块80可以访问一个或多个检验密钥P,该检验密钥或者可以存储在控制装置50 中或者存储在其它地方、例如现场设备10的存储器30中。在按照图1的实施例中在控制 装置50中示例性地存储唯一的检验密钥P。检验密钥P优选地以不可改写的形式固定地存储,以便防止在访问的范围内从外 部对检验密钥P的操纵。密钥P例如可以以X. 509证书的形式存储。例如可以如下操作现场设备10 如果用户附在角色Rl中要访问现场设备10,则其通过接头60登录控制装置 50。控制装置50在这样的登录的情况下首先检验,用户m是否是有权访问的。这样的访问权限检验例如可以基于密码和证书地进行,如这点例如在本文开头提到的国际专利申请 W02007/036178中解释的。如果控制装置50在该访问检验中确定,用户M是有权访问现场 设备10的,则其然后检验,在存储器30中的用户m是否对应于由m期望的角色R1。如果 不是,则控制装置50拒绝访问,否则其准许该访问。此时,如果用户m在角色Rl中要利用访问权限Zl并且其将相应的请求通过数据 线70发送到现场设备10,则控制装置50检验,用户m的角色Rl是否对应于访问权限Zl。 如果是,但控制装置50还不是直接地允许访问,而是首先检验,其是否存储在存储器30中 并且由m请求的访问权限ZI实际上是否具有有效的电子签名U1。或者,可以在将访问权 限存储在存储器30中时进行电子签名的检验。利用在控制装置50中以不可改写的形式固定地存储的、可用以检验签名Ul的有 效性的检验密钥P进行签名Ul的检验。利用该签名检验可以确定,在存储器30中存储的 访问权限Zl是否是实际上由授权的访问权限管理员允许的只有当是这样的情况并且通 过签名检验确定了访问权限Zl的验证时,控制装置50才允许访问权限Zl的行使。访问权限Zl至Zn的有效性或真实性检验用于确保,实际上只能行使或激活实际 上由授权的管理员产生的或允许的那些访问权限。通过该真实性检验例如可以防止没有授 权的用户在存储器30中操纵访问权限,以便使得本来不可能的访问变得可能。所述真实性 检验也就是确保,只能通过事先授权的或验证的访问权限进行访问。未经授权改变访问权 限是不可能的。为了确保存储器30仅具有由授权的访问权限管理员允许的访问权限,优选地还 这样构造控制装置50,使得只有当另一个新的访问权限具有有效的电子签名(该电子签名 确定,该访问权限实际上是由授权的访问权限管理员允许的)时,控制装置50才允许在存 储器30中存储该另一个新的访问权限。同样对于该检验优选也引入在控制装置50中存储 的检验密钥P。图2示出了现场设备10的实施例,其中在存储器30中存储了两个分开的数据组 Dl和D2。以下将数据组Dl称为第一数据组并且将数据组D2称为第二数据组。在第一数据组Dl中定义了,每个用户可以承担哪个角色或哪些角色。在第二数据 组D2中确定了,每个角色Rl至Rp允许行使哪个访问权限Zl至Zn。两个数据组Dl和D2 都可以例如以树形结构存储在存储器30中,如示例性地在图3中所示。按照图3的树形结构例如给用户m分配角色R2和Rp,给用户N2分配角色R3和 R4并且给用户N3分配角色Rl、R2和R3。角色又可以分配访问权限Zl至Zn,这些访问权 限Zl至Zn可以激活各个角色和由此对应于这些角色的用户。在按照图3的树形结构中按照图2的第一数据组Dl直观地通过图3的两个上面 的块Bl和B2形成并且第二数据组D2通过在图3中两个下面的块B2和B3形成。中间的 块属于两个数据组Dl和D2。替代在图3中示出的树形结构,也可以以表格的形式进行两个数据组Dl和D2的 定义。还可以考虑的是,两个数据组中的一个以树形结构来定义而另一个数据组借助表格 来定义。这样的结构例如在图4和5中示出。在图4中可以看出,给每个用户分别分配至少一个角色的第一数据组Dl以树形结 构存储。
在角色Rl至Rp和访问权限Zl至Zn之间的对应按照表格进行,如在图5中示例 性示出的。在图5中通过字母“X”确定,存在在角色和访问权限之间的对应;如果没有这样 的“X”,则不存在这样的对应并且相应的角色不能行使相应的访问权限。在图6中示出了按照图1及2的控制装置50的检验模块80的实施例。可以看出, 检验模块80具有第一辅助模块81、第二辅助模块82以及与两个辅助模块81和82相连的 比较模块83。两个辅助模块81和82在输入侧与检验模块80的接头80a相连,后者与总 线40相连。比较模块83的输出端A83与检验模块80的接头80b相连并且由此与现场设 备10的接头60相连。第一辅助模块81的功能在于,在由用户(例如按照图1的用户Ni)访问的情况下, 从第一数据组Dl读出相应的用户m的角色或多个角色并且将其传送到比较模块83。由 此,在用户m的访问的情况下第一辅助模块81从第一数据组Dl请求两个角色R2和Rp并 且将其传送到比较模块83。第二辅助模块82在用户m的所述访问的情况下从数据组D2读出所有那些具有 对于相应的访问所需的访问权限的角色。如果用户m要在其角色Rl中例如激活访问权限 Z3,则通过第二辅助模块82对数据组D2的查询由此具有角色R4和Rp作为结果,第二辅助 模块82将其传输到比较装置83。此时,比较装置83比较由第一辅助模块81和由第二辅助模块82读出的角色是否 具有一致性如果是,则比较模块83在其输出端A83产生控制信号ST,利用该控制信号进 行所请求的访问权限的允许。如果没有确定相应的一致性,如在该实施例的情况下那样,则 比较模块83产生阻止相应的访问的控制信号ST。控制信号ST例如可以二进制地编码并且 当允许访问时具有逻辑1,并且当要阻止访问时具有逻辑0。在图7中示出了对于现场设备的第三实施例。在该实施例中两个数据组Dl和D2 在存储器30中不是分开地存储的,并且不是附加于访问权限Zl至Zn、用户m至Nm和角色 Rl至Rp,而是与其关联。在数据组Dl和D2中具体包含用户、角色和访问权限的定义,如示 意性在图7中所示。就工作方式来说,按照图7的现场设备相应于按照图1和2的两个实 施例。上面描述的访问权限Zl至Zn例如还可以在没有进一步示出的访问模块中执行, 该访问模块实际上进行对现场设备10的至少一个设备值、设备参数或设备功能的访问;在 这种情况下,只有当对于访问所需的、具有其中执行的访问权限的访问模块具有有效的电 子签名U时,检验模块80才允许由用户的访问。上面描述的访问权限例如还可以通过访问模块本身构成,该访问模块实际上进行 对现场设备10的至少一个设备值、设备参数或设备功能的访问;在这种情况下,只有当对 于访问所需的访问模块本身具有有效的电子签名时,检验模块80才允许由用户的访问。
权利要求
一种用于保护、控制或监视配电设备或能量供应设备的现场设备(10),特别是保护设备,具有控制对现场设备的访问的访问控制装置(20),其中,所述访问控制装置包括 存储器(30),具有在其中存储的访问权限(Z1 Zn)、角色(R1 Rp)和用户(N1 Nm),其中,每个访问权限分别定义对至少一个设备值、设备参数或设备功能的访问,每个角色分别对应于一个或多个访问权限,并且每个用户分别对应于一个或多个角色,和 控制装置(50),其适合于,当相应的用户没有对应于具有对于相应的访问所需的访问权限的角色时,禁止由用户对设备值、设备参数或设备功能的访问,其特征在于,所述控制装置具有检验模块(80),只有当对于各个访问所需的并且在存储器中存储的访问权限具有有效的电子签名(U1 Un)时,该检验模块才允许由用户(N1)进行访问。
2.根据权利要求1所述的现场设备,其特征在于,在所述现场设备中以不可改写的形 式固定地存储了至少一个检验密钥,利用该检验密钥能够确定电子签名的有效性。
3.根据权利要求1或2所述的现场设备,其特征在于,能够从外部、特别是通过数据线 (70),间接或直接地联系所述存储器,并且从外部存储其它访问权限。
4.根据权利要求3所述的现场设备,其特征在于,只有当另一个访问权限具有电子签 名并且对电子签名的检验确定其来自为允许访问权限而被授权的访问权限管理员时,所述 控制装置才将该另一个访问权限存储在存储器中。
5.根据上述权利要求中任一项所述的现场设备,其特征在于,所述访问权限、角色和用户_按照第一数据组,该第一数据组将每个用户分别对应于至少一个角色,并且 _按照第二数据组,该第二数据组将每个访问权限分别对应于至少一个角色, 存储在存储器中。
6.根据权利要求5所述的现场设备,其特征在于,_所述检验模块具有至少一个第一辅助模块(81)、第二辅助模块(82)和与该第一辅助 模块和第二辅助模块相连的比较模块(83),-其中,所述第一辅助模块适合于,在由用户的访问的情况下,从第一数据组读出各个 用户的角色,并且将其传输到比较模块,-其中,所述第二辅助模块适合于,从第二数据组读出具有对于各个访问所需的访问权 限的那些角色,并且将读出的角色传输到比较模块,并且-其中,所述比较模块适合于,将从第一辅助模块读出的角色与从第二辅助模块读出的 角色比较,并且在从第一辅助模块读出的角色中没有一个与从第二辅助模块读出的角色一 致的情况下,阻止用户的访问。
7.一种操作用于保护、控制或监视配电设备或能量供应设备的现场设备(10),特别是 保护设备的方法,其中-借助在存储器(30)中存储的访问权限(Zl-Zn)、角色(Rl-Rp)和用户(m_Nm)控制 对现场设备的访问,其中,每个访问权限分别定义对至少一个设备值、设备参数或设备功能 的访问,每个角色分别对应于一个或多个访问权限,并且每个用户分别对应于一个或多个 角色,并且_当相应的用户没有对应于具有对于相应的访问所需的访问权限的角色时,禁止由用户对设备值、设备参数或设备功能的访问, 其特征在于,只有当对于各个访问所需的并且在存储器中存储的访问权限具有有效的电子签名 (Ul-Un)时,才允许由用户(Ni)进行访问。
8.根据权利要求7所述的方法,其特征在于,在所述现场设备中以不可改写的形式固 定地存储了至少一个检验密钥,利用该检验密钥能够确定电子签名的有效性。
9.根据权利要求7或8所述的方法,其特征在于,能够从外部、特别是通过数据线 (70),存储至少另一个访问权限。
10.根据权利要求9所述的方法,其特征在于,只有当另一个访问权限具有电子签名并 且对电子签名的检验确定,其来自为允许访问权限而被授权的访问权限管理员时,才将该 另一个访问权限存储在存储器中。
11.根据权利要求10所述的方法,其特征在于,在另一个访问权限的存储之前,利用一 个或多个在现场设备中固定存储的并且不可改写的检验密钥检验该另一个访问权限的电 子签名的有效性。
12.根据权利要求7至11中任一项所述的方法,其特征在于,所述访问权限、角色和用户_按照第一数据组,该第一数据组将每个用户分别对应于至少一个角色,并且 _按照第二数据组,该第二数据组将每个访问权限分别对应于至少一个角色, 存储在存储器中。
13.根据权利要求12所述的方法,其特征在于,-在由用户的访问的情况下,从第一数据组读出各个用户的角色或多个角色, -从第二数据组读出具有对于各个访问所需的访问权限的那些角色,并且 -将从第一辅助模块读出的角色与从第二辅助模块读出的角色比较,并且在从第一辅 助模块读出的角色中没有一个与从第二辅助模块读出的角色一致的情况下,阻止用户的访 问。
全文摘要
本发明除了别的之外涉及一种用于保护、控制或监视配电设备或能量供应设备的现场设备,特别是保护设备,具有控制对现场设备的访问的访问控制装置,其中,访问控制装置包括存储器,具有在其中存储的访问权限、角色和用户,其中,每个访问权限分别定义对至少一个设备值、设备参数或设备功能的访问,每个角色分别对应于一个或多个访问权限,并且每个用户分别对应于一个或多个角色;和控制装置,其适合于,当相应的用户没有对应于具有对于相应的访问所需的访问权限的角色时,禁止由用户对设备值、设备参数或设备功能的访问。按照本发明,所述控制装置具有检验模块,只有当对于各个访问所需的并且在存储器中存储的访问权限具有有效的电子签名时,该检验模块才允许由用户进行访问。
文档编号G05B19/02GK101925867SQ200880125552
公开日2010年12月22日 申请日期2008年1月24日 优先权日2008年1月24日
发明者安德烈亚斯·朱里希 申请人:西门子公司