通过可携带式通信设备为使用者授权的制作方法
【技术领域】
[0001]本发明涉及一种用于通过可携带式通信设备在现场设备上为使用者授权的方法和相应的进入控制系统。
【背景技术】
[0002]基于角色的访问控制(Role-based Access Control,RBAC)的应用越来越多地从电信领域转移到自动化领域。在基于角色的访问控制中充分利用了这种可能性,即将多个主体、特别是真实的使用者分配给一个范畴、即角色。其中,为被分配给一个共同角色的主体分配共同的功能和权限。由此借助于基于角色的访问控制简化了例如在设备的单个现场设备上的权限管理,这是由于在这里、例如在真实使用者的情况下,不必再利用使用者权限对使用者进行管理,而是利用角色信息和所属的资格证明在现场设备上进行认证,并被允许与其角色相应地执行行动。在此,现场设备在此仍只实现了角色和权限的对应关系。
[0003]为了使属于角色的权利证明可供设备使用,迄今存在例如应用U盘或智能卡或与下游的公共设施连接的设计方案。对于将U盘、智能卡或类似的辅助装置用于进行认证的认证方法来说,物理端口均是必不可少的。有必要建立辅助装置和现场设备之间的连接,这例如通过插入智能卡进行。通常紧接着借助于附属的密码进行激活。
[0004]从中尤其会产生这一问题,即现场设备,特别是现场设备制造年份较久远时,不支持上述方法或者不具有相应的端口。此外,辅助装置还须由待授权人员一直随身携带,即例如一直携带U盘以备用于在设备上登陆。
[0005]从专利公开文件DE 10 2007 046 079 Al中已知了,在自动化领域中将一次性密码用于远程维护进入。
【发明内容】
[0006]在此背景下,本发明的目的在于,提出一种方法和进入控制装置,其能够简化对现场设备的访问。
[0007]该目的通过具有在独立权利要求中所述的特征的方法和进入控制装置实现。有利的设计方案在从属权利要求中进行说明。
[0008]根据本发明,用于通过可携带式通信设备在现场设备上为使用者授权的方法具有以下步骤:
[0009]通过可携带式通信设备检测用于识别现场设备的第一信息。由可携带式通信设备将该第一信息和用于识别该可携带式通信设备或其使用者的第二信息发送给系统。该系统取决于该第一信息和第二信息测定第一进入信息,并且将第一信息发回给可携带式通信设备。可携带式通信设备将第二信息和第一进入信息传输给现场设备。该现场设备取决于该第二信息测定第二进入信息,并将第一进入信息与第二进入信息进行比较。如果第一进入信息和第二进入信息一致,则允许进入现场设备。
[0010]在本专利申请书中,将特征数据理解为第一和第二信息,例如现场设备的序列号或者使用者的角色信息。第一和第二信息由此识别系统的互相进行通信的部件、例如自动化设备的互相进行通信的现场设备,或者将其与服务器或与用于维护目的的可携带式通信设备、例如笔记本电脑或智能手机视为一致。
[0011]下文中所述的优点不必一定通过独立权利要求中所述的对象实现。相反地,在此也可以涉及仅通过单个的设计方案实现的优点。
[0012]对于自动化设备领域的从业人员来说、例如对于技术服务人员来说,可携带式通信设备、特别是例如移动电话或智能手机属于常用设备。因此,用于借助于可携带式通信设备为使用者授权的方法是对于充分利用了移动通信技术优势的、基于角色的访问控制的简化方法。
[0013]在一种有利的设计方案中,该方法包括以下步骤:
[0014]为了检测第一信息,使用者利用可携带式通信设备、特别是具有嵌入式摄像头的移动电话拍摄编码、特别是一维的条形码或二维的快速响应码(Quick Response Code,缩写QR-Code)。该可携带式通信设备对编码进行解码,并通过短消息将第一信息通过通信服务发送给服务器。
[0015]为了识别现场设备而在此使用一种方法,该方法减少了在进行识别时、例如通过错误输入而发生的错误。
[0016]可携带式通信设备借助于短消息通过通信服务将用于识别现场设备的第一信息发送给设计为服务器的系统,通过这种方式,第一信息和用于识别可携带式通信设备本身的第二信息能够以有利的方式共同发送。其中,可携带式通信设备的识别能够例如通过发送短消息的手机号实现。此外,为了传输第一信息,也能够应用例如即时消息或发送电子邮件等技术。识别则随后通过在即时消息服务器上进行认证或者通过电子邮件签名而实现。
[0017]根据本发明的另一种设计方案,系统根据固定规则为由第一信息和第二信息构成的组合分配第一密码。此外,系统取决于该组合还将第一密码确定为第一进入信息。现场设备同样也根据该固定规则为该组合分配第二密码并取决于该组合将第二密码确定为第二进入?目息。
[0018]在该设计方案中,由系统发送静态密码,其中,系统取决于组合测定该静态的第一密码。现场设备具有本地数据库,在该数据库中,根据通过系统进行的分配为由第一信息和第二信息构成的可能组合储存所属的密码。
[0019]根据本方法的另一种有利的设计方案,为系统和现场设备预设共同的秘密。此外,除了第一信息和第二信息外,可携带式通信设备将日期发送给系统。系统借助于共同的秘密从第一信息、第二信息和日期中计算出第一一次性密码作为第一进入信息。现场设备借助于共同的秘密从第二信息和日期以及对于现场设备来说已知的第一信息中计算出第二一次性密码作为第二进入信息。
[0020]该共同秘密可以是单向函数、例如散列函数(SHA-1,SHA-256等),或是取决于密钥的散列函数、也称为消息认证码(Message Authenticat1n Code, MAC) (HMAC-SHA-l,HMAC-SHA-256等)。此外还能够在所谓的密码分组链接MAC-模式(Cipher-Block-ChainingMAC-Modus, CBC MAC Mode)下应用对称加密算法、例如数据加密标准(Data Encrypt1nStandard, DES)、三重数据加密标准(Tripple Data Encrypt1n Standard, 3DES)或高级加密标准(Advanced Encrypt1n Standard, AES) ο
[0021]由于将单向函数用于计算一次性密码而不必发送静态密码。静态密码存在安全风险,这主要是因为它能够被侦测到,例如通过这种方式,即攻击者成功访问与移动设备所交换的信息。
[0022]在本专利申请书中将用于确定某时间段的说明理解为日期,在该时间段内,所生成的一次性密码具有有效性。在此例如涉及当前日期的说明,其中,在这种情况下,所生成的密码例如对于所说明的日期来说是有效的。
[0023]根据本方法的另一种有利的设计方案,为系统预设第一秘密和第二秘密,以及为现场设备预设第二秘密。除了第一信息和第二信息外,可携带式通信设备将日期发送给系统。系统借助于固定规则为第二信息分配第一密码,并借助于第一秘密取决于第一信息、第二信息和第一密码计算出中间密码。随后,系统借助于第二秘密从中间密码和日期中计算出会话特定的第一一次性密码作为第一进入信息。
[0024]现场设备依据第二信息测定中间密码,其中,现场设备不了解第一密码,并且也不能测定该第一密码。最后,现场设备借助于第二秘密从中间密码和日期中计算出会话特定的第二一次性密码作为第二进入信息。
[0025]这样设计的方法一方面能够实现在系统上对进入数据进行的中央管理:在此例如为识别可携带式通信设备或其使用者的第二信息分配所属的密码。例如存在列出了所有在该自动化设备上工作的技术服务人员及其相应密码的列表。这也有益于促进对于管理