在第一和第二自动化工程现场设备之间传输安全设置的制作方法

1.本发明涉及一种用于在第一自动化工程现场设备与第二自动化工程现场设备之间传输安全设置的方法，其中第一现场设备和第二现场设备各自具有至少一个数据存储器，安全设置存储在数据存储器中，其中安全设置包括具有多个授权组的至少一个操作员名册管理装置，其中授权组允许操作员访问现场设备的至少一个操作功能和/或数据记录，其中授权组在操作员名册中定义的操作功能的数目和形式方面不同，其中提供管理员授权组，管理员授权组允许访问现场设备的安全设置。此外，本发明涉及一种现场设备和一种服务单元，它们中的每一个被实施用于本发明的方法中。


背景技术：

2.从现有技术已知的是在工业工厂中使用的现场设备。现场设备通常应用于过程自动化技术以及制造自动化技术。原则上，应用在过程附近并传递或处理过程相关信息的所有设备被称为现场设备。现场设备用于记录和/或影响过程变量。测量设备或传感器用于记录过程变量。例如，这些用于压力和温度测量、电导率测量、流量测量、ph测量、液位测量等，并记录对应过程变量、压力、温度、电导率、ph值、液位、流量等。致动器用于影响过程变量。例如，泵或阀可能影响管子或管道中的液体流动或容器中的液位。除了上面提到的测量设备和致动器之外，远程i/o、无线电适配器以及通常布置在现场水平的设备也被称为现场设备。
3.大量此类现场设备由endress+hauser(恩德莱斯和豪瑟尔)集团公司生产和销售。
4.在现代工业工厂中，现场设备通常经由诸如例如现场总线(fieldbus、等)的通信网络与上级单元连接。通常，上级单元是控制系统或控制单元，诸如例如plc(可编程逻辑控制器)。上级单元尤其用于过程控制、过程可视化、过程监控以及用于现场设备的调试。由现场设备，尤其由现场设备的传感器记录的测量值通过给定的总线系统传输到一个或多个上级单元。另外，还需要通过总线系统从上级单元到现场设备的数据传输，尤其是对于现场设备的配置和参数化以及致动器的操作。
5.为了维护现场设备，需要对应操作程序(操作工具)，这些操作程序独立地运行(endress+hauser fieldcare、pactware、ams fisher-rosemount、pds siemens)或集成到上级单元中的控制系统应用程序(siemens pcs7、abb symphony、emerson delta v)中。同样，可以在移动服务设备中执行操作程序，以便以这种方式服务现场设备。
6.现场设备中存在大量应用特定和用户特定的数据。这包括例如定义现场设备的操作行为，尤其测量行为的配置或参数化数据。还存在日志文件或日志数据，例如，它们保留配置或参数化数据，并且对其进行可追溯的操作员更改。
7.此外，现场设备具有安全设置。这些主要包括拥有不同授权组的各种操作员账户。授权组定义准许操作员在现场设备中执行哪些动作以及阻止哪些动作。
8.虽然当前可以将现场设备的过程相关数据或参数化传输到另一个设备，但安全设
置目前不准许这样做。如今在每个单独的现场设备上，必须手动地安装操作员账户，定义授权组，并将授权组分配给各个操作员账户。这代表了相当数量的工作和时间消耗。此外，安全设置涉及敏感数据，出于安全原因，不得仅由任何人创建或更改安全设置。


技术实现要素：

9.本发明的目标是在自动化技术的现场设备之间提供安全设置的安全传递。
10.该目标通过如权利要求1所述的方法、如权利要求11所述的自动化工程现场设备和如权利要求12所述的服务单元来实现。
11.关于该方法，提供了方法用于在第一自动化工程现场设备与第二自动化工程现场设备之间传输安全设置，其中第一现场设备和第二现场设备各自具有至少一个数据存储器，安全设置存储在数据存储器中，其中安全设置包括具有多个授权组的至少一个操作员名册管理装置，其中授权组允许操作员访问现场设备的至少一个操作功能和/或数据记录，其中授权组在操作员名册中定义的操作功能的数目和形式方面不同，其中提供管理员授权组，管理员授权组允许访问第一现场设备的安全设置，其中方法包括如下步骤：
12.a.通过服务单元识别和认证操作员；
13.b.基于识别和认证操作员的步骤来分配授权组；
14.c.在向操作员分配管理员授权组的情况下：
15.i.由第一现场设备对以明文形式存在的至少一个安全设置进行加密；
16.ii.导出所加密的安全设置；
17.iii.将所述密的安全设置导入第二现场设备；
18.iv.对所加密的安全设置进行解密；
19.v.将所解密的安全设置加载到第二现场设备的数据存储器中，
20.并且用第一现场设备的所加载的安全设置操作第二现场设备。
21.本发明的方法允许将现场设备的至少一部分安全设置传输到另一现场设备。在此种情况下，实施安全功能：只有当操作员具有管理员授权时，才准许安全设置导出。如果操作员具有较少授权，或者例如因为由于例如操作员在现场设备中没有账户而输入不正确的标识，操作员无法认证，则不能导出。
22.作为附加的安全因素，对导出的安全设置进行加密，因此它们不能以明文形式读出。
23.本发明的方法可独立于第一现场设备的现场设备类型和第二现场设备的现场设备类型而使用。因此，两个现场设备也可以是相互不同的现场设备类型。
24.可以结合本发明使用的现场设备已经在说明书的介绍部分中以示例的方式命名。
25.在本发明的方法的有利实施例中，提供了在加密过程中，操作员输入第一密码或第一代码，其中以明文形式存在的至少一个安全设置通过第一密码或代码加密，其中在解密过程中，操作员输入第一密码或第一代码，并且其中只有在正确地输入第一密码或第一代码时才发生成功解密。
26.在本发明的方法的替代有利实施例中，提供了在加密过程中，生成预定长度的随机数，其中以明文形式存在的安全设置通过第一密码或第一代码并且补充地通过随机数加密，其中随机数与加密的安全设置相结合，并且其中随机数作为第一密码或第一代码的补
充用于解密。
27.在本发明的方法的第一变体中，提供了移动服务单元用作服务单元。移动服务单元例如是申请人销售的现场xpert平板电脑意义上的服务单元。然而，它也可以是pc、膝上型计算机、诸如例如智能手机或一些其它平板电脑的移动终端设备，或诸如例如智能手表或智能眼镜的可穿戴设备。
28.在本发明的方法的第一变体的有利实施例中，提供了将加密的安全设置导出到服务单元，并且其中由第二现场设备从服务单元导入加密的安全设置。为此，服务单元可以通过导线与第一现场设备和第二现场设备进行通信，或者根据例如蓝牙或wifi的习惯标准中的一个，替代地与第一现场设备和第二现场设备建立无线通信。
29.在本发明的方法的第二变体中，提供了集成在第一现场设备中或与其固定地连接的移动服务单元用作服务单元。在这种情况下，这例如是设备交互装置，设备交互装置包括一个或多个键或开关元件和用于显示信息的显示单元。或者，服务单元是触摸屏，触摸屏被实施用于输入服务命令和例如密码并且还用于显示信息。
30.在本发明的方法的第二变体的有利实施例中，提供了将加密的安全设置导出到外部存储介质，并且其中由第二现场设备从外部存储介质导入加密的安全设置。在这种情况下，第一现场设备和第二现场设备具有对应接口。外部存储介质例如是usb棒快闪存储器、外部硬盘驱动器、sd卡等。
31.在本发明的方法的有利实施例中，提供了通过输入操作员标识和第二密码或第二代码执行识别和认证。然后通过服务单元进行输入。代替密码，也可以提供需要操作员的生物特征(例如指纹等)来进行认证。
32.在本发明的方法的第二变体的有利实施例中，提供了由服务单元通过在服务单元与第一现场设备之间交换密码密钥对来执行识别和认证。另外，可以将标识信息从服务单元传输到第一现场设备。只有当现场设备中存储对应识别信息时，才能成功地识别。标识信息可以更早地存储在安全设置中。
33.关于自动化工程现场设备，提供了将自动化工程现场设备实施用于本发明的方法中。为此，现场设备获得软件或固件更新，以便可以执行对应方法步骤(导出和加密)。
34.关于服务单元，提供了将服务单元实施用于本发明的方法中。在这种情况下，合适的程序在服务单元中执行，合适的程序允许执行与服务单元相关的方法步骤。
附图说明
35.现将基于附图更详细地解释本发明。附图如下示出：
36.图1是本发明的方法的实施例的示例；以及
37.图2是说明本发明的方法步骤的流程图。
具体实施方式
38.图1示出本发明的方法的实施例的示例。在这种情况下，示出两个现场设备fg1、fg2。除了为现场设备fg1、fg2的预期操作提供的组件，因此，例如传感器或致动器和操作电子设备，其中将现场设备fg1、fg2实施用于记录或影响过程的物理变量，其中产品通过应用使用化学、物理或生物过程从原材料或起始材料制成，两个现场设备各具有数据存储器
ds1、ds2，被设置用于存储配置数据kd或参数化数据、日志文件lb或日志数据以及安全设置se。
39.另外，现场设备fg1、fg2中的每一个可以具有服务单元be1、be2，可以经由服务单元直接在设备处服务现场设备。
40.配置数据kd可以容易地从现场设备fg1导出并且例如经由外部服务单元be3或外部存储介质sm传输到另一现场设备fg2。
41.安全设置se是不同的，因为这种类型的数据对于工厂来说是敏感或关键的。因此，安全设置se仅可以由授权操作员从现场设备fg1作为加密数据导出并传输到一个或多个其它现场设备fg2。图2示出了说明为此所需的方法步骤的流程图：
42.在第一方法步骤a)中，操作员通过服务单元be1、be3相对于现场设备fg1识别自己。在这种情况下，操作员将例如操作员姓名输入到服务单元be1、be3中。服务单元be1、be3可以是移动服务单元be3。移动服务单元例如是服务单元be3，例如申请人销售的field xpert平板电脑。然而，它也可以是pc、膝上型计算机、诸如例如智能手机或一些其它平板电脑的移动终端设备，或诸如例如智能手表或智能眼镜的可穿戴设备。
43.或者，服务单元be1、be3是集成在第一现场设备fg1中或与其固定地连接的服务单元be1。
44.识别检测这是哪个操作员。然而，操作员仅在也实现认证时才能获得访问权限。这例如通过正确地输入密码或通过收集例如指纹的操作员的生物特征来执行。
45.在使用移动服务单元be3的情况下，识别和认证也可以替代地或补充地通过在服务单元be3与第一现场设备fg1之间交换密码密钥对来执行。
46.在操作员成功地识别和认证的情况下，然后在方法步骤b)中，向操作员分配授权组。授权组允许操作员访问现场设备fg1的至少一个操作功能(例如，参数化程序)和/或数据记录。存在多个授权组，它们在定义的操作功能的数目和形式上不同。在这种情况下，提供管理员权限组，除了其它功能之外，管理员授权组还允许操作员访问现场设备fg1的安全设置se。
47.在以下方法步骤c)中，检查是否已向操作员分配管理员授权组。如果不是这种情况，则操作员无权访问安全设置se并且无法执行后续方法步骤。方法在步骤d)中终止。
48.如果已向操作员分配管理员授权组，则方法以方法步骤c-i)继续。在此步骤中，操作员通过服务单元be1、be3选择要导出的一个或多个安全设置se。在现场设备中，安全设置se以明文形式存在。为了使未经授权的人无法截获和复制这些安全设置se，安全设置ses在由现场设备fg1导出之前进行加密。为此，要求操作员输入第一密码或第一代码。在这种情况下，代码或密码用作密钥，它使用安全设置se进行散列。另外，还可以生成预定长度的随机数，随机数用第一代码或密码进行散列。在这种情况下，随机数与加密的安全设置se相结合，然后与它一起导出并用于以后的解密。
49.在方法步骤c-ii)中，导出加密的安全设置se。安全设置se被加密的格式并不重要；原则上，它可以是任何合适的文件格式。在这种情况下，对应于所使用的服务单元be1、be3的类型的确切导出程序不同：
50.如果服务单元be1与现场设备fg1连接或与其集成，则可以在外部存储介质，例如sd卡或usb记忆棒快闪存储器中导出安全设置。为此，现场设备fg1具有对应接口。
51.在服务单元be3是移动服务单元的情况下，可以直接将加密的安全设置se传输到此服务单元。
52.在方法步骤c-iii)中，由第二现场设备fg2导出加密的安全设置se。在这种情况下，对应于所使用的服务单元be1、be3的导出程序也不同。
53.在方法步骤c-iv)中，对加密的安全设置se进行解密。为此，操作员输入用于加密的代码。仅当正确地输入代码时，才能对安全设置se进行解密。
54.在最后的方法步骤c-v)中，将现在解密的安全设置se写入到第二现场设备fg2的数据存储器ds2中。然后可以使用第一现场设备fg1的加载的安全设置se来操作第二现场设备fg2。
55.参考符号列表
56.be1,be2,be3
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
服务单元
57.ds1,ds2
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
数据存储器
58.fg1,fg2
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
现场设备
59.kd
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
配置数据
60.lb
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
日志文件
61.se
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
安全设置
62.sm
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
存储介质
63.1),2),
…
5)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
方法步骤