CN102884774A - 用于在分布式***中配置和分发访问权限的方法 - Google Patents
用于在分布式***中配置和分发访问权限的方法 Download PDFInfo
- Publication number
- CN102884774A CN102884774A CN2011800243756A CN201180024375A CN102884774A CN 102884774 A CN102884774 A CN 102884774A CN 2011800243756 A CN2011800243756 A CN 2011800243756A CN 201180024375 A CN201180024375 A CN 201180024375A CN 102884774 A CN102884774 A CN 102884774A
- Authority
- CN
- China
- Prior art keywords
- smart machine
- equipment
- cryptogam
- web client
- memory module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000003860 storage Methods 0.000 claims abstract description 14
- 230000005540 biological transmission Effects 0.000 claims abstract description 13
- 238000009826 distribution Methods 0.000 claims description 12
- 239000000567 combustion gas Substances 0.000 claims description 2
- 238000000151 deposition Methods 0.000 claims description 2
- 239000003921 oil Substances 0.000 claims description 2
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 claims description 2
- 238000009434 installation Methods 0.000 abstract 3
- 238000004891 communication Methods 0.000 description 4
- 230000002349 favourable effect Effects 0.000 description 4
- 241001269238 Data Species 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000001404 mediated effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明涉及一种用于配置和分发访问权限给在技术过程或者技术设备的分布式***内的智能设备(10),(21),(22),(23)的方法和***,其中所述分布式***包括至少一个第一智能设备(10),所述第一智能设备(10)借助于Web客户端(40)经由网络连接(30)与其它智能设备(21)、(22)、(23)连接,并且从技术设备或者技术过程的空间上相距遥远的部件提供的过程数据和/或设备数据被传输到智能设备(10),(21),(22),(23)。在智能设备(10),(21),(22),(23)中分别存放设备内部的特有密钥(B1,B2,B3,...)并且分别存放公共密钥(A)。经由Web客户端在第一设备(10)中创建和配置用户帐号,并且借助于第一设备(10)的设备内部密钥(B1)将所述用户帐号加密成密码文件存放在设置在第一设备(10)中的存储模块内。所述密码文件在被读出到Web客户端(40)中之前借助于公共密钥(A)被加密并且加密过的密码文件被提供给Web客户端(40)以便传输到其它智能设备(21)、(22)、(23)。经由所述网络连接(30),加密过的密码文件由Web客户端(40)分发给其它智能设备(40),其中借助于公共密钥(A)在其它智能设备(21)、(22)、(23)中对存放在加密过的密码文件中的数据解密。然后借助于相应设备的设备内部密钥(B1,B2,B3,...)在相应其它智能设备(21)、(22)、(23)内执行对密码文件的加密存储,所述密码文件包括先前已解密的数据。
Description
技术领域
本发明涉及一种用于为被布置在分布式***中的智能电子设备配置和分发访问权限的方法。此外,本发明涉及用于执行所述方法的设备。本发明尤其被用于网络控制自动化***和站自动化***中,所述网络控制自动化***和站自动化***例如被用于电流、燃气、水、油或者远距离供热的供应***,但也适合于独立的工业设备中。
背景技术
智能电子设备(也称作Intelligent Electronic Devices (IED))是基于微处理器的设备,其例如被用在远程监视分布式***中。除了其它的之外,属于所述智能电子设备的还有远程控制分站(也称作远程终端单元(RTU))、保护设备以及智能开关设备和在中电压和低电压设备中的电压调节器。
在熟知的网络控制***中,网络控制站经由通信链路与远程终端单元(Remote Terminal Units)连接。将过程控制***或者设备控制***所提供的过程数据(优选实时地)从技术设备或者技术过程的空间上相距遥远的部件经由RTU传输到控制站。不仅产生危险过程状态相关的告警,而且准备分布式***内所有重要事件的记录并且由RTU提供所述记录到网络控制站。
对存放在远程终端单元内的数据的访问和/或对这些设备的操作通常通过密码保护或者用户帐号得到保护,其中从用户帐户提供分配给相应设备的密码保护。根据现有技术,为每个设备个别配置密码保护。
用户帐户在网络控制***的远程终端单元内分别作为文件被存放,用户帐号被集成到此文件中。除了其它的之外,所述用户帐号还包括已授权用户的名称、分配的密码以及对特定功能的访问权限或者访问许可,例如对修改RTU配置的许可。所述文件通常以加密的格式被存放在RTU的可重写的非易失性存储器内,使得RTU的用户例如只有在输入密码之后才对所述设备所检测的数据或者对设备的操作具有访问权限。
因为用户帐号的配置在每个设备上被个别实施,所以为分布式***的设备管理访问权限要求巨大的时间开销。尤其是访问权限相关的改变花费很大,这是因为必须单独为与变化有关的每个设备实施访问权限配置。
发明内容
因此,本发明所基于的任务在于,说明一种方法和装置,所述方法和装置用于配置和分发被存放在用户帐号内的访问权限给被布置在分布式***内的智能设备,所述方法和装置避免了先前提到的缺点。根据本发明的方法和根据本发明的装置尤其被设置用于:为同时在分布式***的多个智能设备上,尤其是远程终端单元上访问和/或操作所述设备分发用户帐号。
所述任务通过包括在权利要求1中说明的特征的方法解决,所述方法用于配置和分发访问权限给分布式***内的智能设备。在其它权利要求中说明用于实施所述方法的有利扩展方案和装置。
为配置和分发访问权限给被布置在技术过程或者技术设备的分布式***中(尤其在网络控制***中)的智能设备,设置至少一个第一智能设备,所述第一智能设备借助于Web客户端经由网络连接与分布式***的其它智能设备连接,所述Web客户端可以被实施为用户接口、通信服务或者操作接口。从技术设备或者技术过程的空间上相距遥远的部件提供的过程数据和/或设备数据(优选实时地)被传输到分布式***的设备。
根据本发明的用于配置和分发访问权限给分布式***的智能设备的方法包括以下方法步骤:
在准备步骤中,在分布式***的智能设备中分别存放设备内部的特有密钥和公共密钥,所述特有密钥用于在设备中加密地存储密码文件,所述公共密钥由被布置在分布式***内的智能设备理解。
在第一步骤中,经由Web客户端在第一设备内创建和配置被称作用户帐户的用户帐号,优选地,所述Web客户端被集成到第一设备内或者与第一设备交互。单独的数据处理设备(例如PC)可以被设置为Web客户端,所述数据处理设备借助于网络连接(例如无线网络)可与分布式***的智能设备连接。
在用户帐号内例如确定用户名称、密码和/或访问权限,采用它们避免未授权而直接访问所述设备。在此,借助于第一设备的特有的设备内部密钥,所述用户帐号被加密为密码文件存放在设置在第一设备内的存储模块中,优选地存放在可重写的非易失性存储器中。
在第二步骤中,在将具有用户帐号的密码文件读出到Web客户端中之前,借助于公共密钥对密码文件加密,所述密码文件由布置在***中的其它智能设备理解,并且将现在以公共密钥加密的、包括用户帐号的密码文件提供给Web客户端以便传输到其它智能设备。
在另一步骤中,经由网络连接,所述加密过的密码文件由Web客户端分发给被布置在***中的其它智能设备。例如可以借助于串行数据传输或者经由TCP/IP协议在Web客户端和分布式***内的智能设备之间实施密码文件传输。
在最后步骤中,借助于公共密钥,存放在先前由Web客户端传输的加密过的密码文件中的数据在其它智能设备中被解密。然后,借助于相应设备的设备内部密钥,在相应其它智能设备中实施对包括先前已解密的数据的密码文件的加密存储。
因此,本发明有利地实现了:在管理和分发用户帐号给分布式***的多个设备时最小化开销,这是因为现在仅仅还在第一设备中必须创建或者配置用户帐号,并且然后所述用户帐号被分发给被布置在分布式***内的其它智能设备,而不需要其它安全性相关的措施来避免对所述设备未授权的访问。
在根据本发明的方法的有利扩展方案中,经由第一设备的设备内部Web服务器,用户帐号仅仅被同时分发给被布置在***中作为Web服务器工作的、设备类型与第一设备一致的所有其它设备。在这种情况下,在相同设备类型的设备中分别存放相同的公共的设备典型的密钥。相应地,在其它设备类型的设备中存放对应于这种设备类型的其它公共密钥。
在权利要求7中可以得到用于实施先前所描述的方法的装置。
用于配置和分发访问权限给在技术过程或者技术设备的分布式***内的智能设备的装置包括至少一个第一智能设备,所述第一智能设备借助于Web客户端经由网络连接与其它智能设备通信,并且从技术设备或者技术过程的空间上相距遥远的部件提供的过程数据和/或设备数据可以被传输到智能设备。
智能设备分别具有至少一个第一存储模块且分别具有第二存储模块,所述第一存储模块优选地被实施为RAM存储器,所述第二存储模块被实施为CF卡。RAM存储器配备有内部数据结构用于存放密码文件的数据。
在第一存储模块内,分别存放由分布式***的智能设备可读的或者理解的公共密钥。在第二存储模块内分别存放设备内部特有密钥,所述特有密钥仅由相应设备可读或者理解。
借助于与第一设备交互的Web客户端,在第一设备内创建和配置用户帐号,所述用户帐号被设置为文件以便在第一设备的存储模块内存放或存储。
存放在第一设备内的第一设备内部密钥被设置用于在将用户帐号作为密码文件存放在第二存储模块中之前对所述用户帐号加密。
存放在第一设备内的公共密钥被设置用于在密码文件的数据被读出到Web客户端中之前对密码文件的数据加密,所述密码文件的数据应该被分发给被布置在分布式***内的其它智能设备。
在Web客户端经由所述网络连接将借助于公共密钥加密的密码文件分发给其它智能设备之后,存放在其它智能设备中的公共密钥对存放在加密过的密码文件中的数据解密。
在所述数据可用于存储在相应其它智能设备的第二存储模块中之前规定:借助于分配给相应设备的设备内部密钥,对包括先前已解密数据的密码文件加密。
采用根据本发明的装置现在提供如下可能性:借助于第一设备的(优选设备内部的)Web服务器经由网络连接在避免未授权的访问的情况下将包括已配置用户帐号的文件可靠地传输到Web客户端,其中作为Web服务器工作的第一设备有利地被设置用于:经由已有的网络连接将用户帐号同时分发给被布置在***中的其它智能设备。
在本发明一个有利的实施形式中规定:经由第一设备的设备内部Web客户端将用户帐号分发给被布置在***内的、类似设备类型的所有其它设备。
根据本发明规定,所述智能设备分别具有至少一个第二存储模块,所述第二存储模块例如被实施为压缩闪存卡(CF-Card),其中所述第二存储模块分别经由至少一个解密模块和至少一个加密模块与第一存储模块交换数据。为了对从第一存储模块传输的或者传输到第一存储模块的数据解密或者加密,设置分配给所述设备并且优选地在第二存储模块内被创建的相应设备内部密钥。
此外,根据本发明规定,所述智能设备分别具有(例如被实施为RAM存储器的)至少一个第一存储模块,其中所述第一存储模块分别经由至少一个其它解密模块和至少一个其它解密模块与Web客户端(例如PC)交换数据。为了对从Web客户端传输的或者传输到Web客户端的数据加密或者解密,设置相应公共密钥。
因此,加密模块和解密模块被设置用于:在传输由设备设置用于传输到Web客户端、具有用户帐号的文件之前对该文件加密或者在由Web客户端接收、具有用户帐号的文件(也称作密码文件)被存放在存储模块中之前对该文件解密。
接下来示例性地示出,如何在第一设备上配置访问权限或者访问数据的改变并且将此改变分发给***中的其它设备。
在第一设备中创建和配置用户帐号(用户帐户)之后(即例如已经确定用户名称、密码和/或访问权限之后),如此配置的用户帐号作为密码文件被存放在第一设备的存储模块中。
对于访问权限的改变,在密码文件中将已有信息用新的信息覆盖,所述新的信息由改变的访问数据产生。
在用户帐号中,已授权用户的名称和分配给该用户的密码或者可以被自由选择或者受先前确定的规则支配,所述规则普遍由密码准则规定。
允许访问用户帐号的信息用相应设备内部密钥加密地存放在设备的可重写的第一存储器上的密码文件内,用于阻止访问。
附图说明
根据在图1和图2中表示的本发明实施例,进一步解说和说明本发明有利的扩展方案和改进方案。
图1示出用于配置和分发用户帐号给在技术设备的网络控制自动化***和站自动化***内的智能设备的示例性方法流程,以及
图2示出根据本发明方法的根据本发明的装置的实施例,所述装置被使用在远程监视分布式***中。
具体实施方式
在图1中表示的用于配置和分发用户帐号给在分布式网络控制自动化***和站自动化***内的智能设备的方法包括第一智能设备10,所述第一智能设备借助于Web客户端40经由网络连接30与其它智能设备21,22,23...连接。从该设备的空间上相距遥远的部件向智能设备10,21,22,23传输过程数据和/或设备数据。
根据本发明,在被布置在分布式***中的智能设备10,21,22,23中分别存放设备内部特有密钥B1,B2,B3,...以及公共密钥A,所述设备内特有密钥用于加密地存储密码文件,所述公共密钥由所有智能设备10,21,22,23理解。
设备内部密钥B1,B2,B3...被存放在相应设备10,21,22,23的(优选被实施为压缩闪存卡(CF-Card)的)存储模块中。
公共密钥A由在设备10,21,22,23上安装的固件提供。
接下来描述用于配置和分发用户帐号给智能设备10,21,22,23的方法流程。
在第一步骤1中经由与第一设备10交互的Web客户端40在第一设备10中创建和配置包括用户名和密码的用户帐号。
在第二步骤2中借助于第一设备10的特有的设备内部密钥B1在加密为密码文件的情况下创建用户帐号,优选地在被实施为压缩闪存卡的存储模块中。
通过使用被实施为压缩闪存卡的存储模块,所述存储模块是无移动部件的存储介质(在所述存储模块中信息被持续地存储在可重写的闪存内),有利地实现:即使在不利的环境条件下,密码文件的数据也被安全地保管。被固定地或者直接地布置在设备***卡上的其它存储介质(例如安全数字存储卡(SD卡))也适合于密码文件在设备中的存放。
在其它步骤3中,密码文件在被读出到Web客户端(40)中之前,借助于公共密钥A被加密(所述公共密钥A为布置在***中的其它智能设备21,22,23,...所知或者由所述其它智能设备理解)并且在接下来的步骤4中将现在以公共密钥A加密的、包括用户帐号的密码文件提供给Web客户端以便传输到其它智能设备21,22,23,...或者由所述其它智能设备从第一设备10中读出。
根据本发明,现在在接下来的步骤5中由Web客户端经由网络连接30将加密过的密码文件同时分发给被布置在***中的其它智能设备21,22,23,...。
在最后步骤6中,借助于公共密钥A在其它智能设备21,22,23中对被存放在加密过的密码文件中的数据解密(所述公共密钥也存放在分布式***的其它设备21,22,23,...上),并借助于设备内部密钥B1,B2,B3,...实施对包括先前已解密数据的密码文件在相应其它智能设备21,22,23,..中的加密存储,所述设备内部密钥存放在相应其它设备21,22,23中。
图2示例性地示出远程监视分布式***的以“远程终端单元“著称的远程控制分站10的通信单元,优选地,所述通信单元被布置在RTU的***卡上并且被设置用于:经由网络连接30与Web客户端40交换数据。所示装置适合用于实施根据本发明的方法。
根据本发明的用于配置和分发访问权限给在技术过程或者技术设备的远程监视分布式***内的智能设备10,21,22,23的装置包括至少一个Web客户端40和经由网络连接30与所述Web客户端40连接、作为Web服务器工作的智能设备10,21,22,23…,从技术设备或者技术过程的空间上相距遥远的部件提供的过程数据或者设备数据可以被实时地传输给所述智能设备10,21,22,23…。
根据本发明,对于经由Web客户端40采用在图1中描述的方法配置的设备10,21,22,23分别设置第一密钥A和其它密钥B,其中第一密钥A与Web客户端40和第一存储模块11交互以及其它密钥B与第一存储模块和第二存储模块11、CF交互。
在示出的远程终端单元10(接下来也称作第一设备10)中,创建和配置用户帐号(用户帐户),所述用户帐号作为密码文件X被存放在第一设备10的存储模块CF中。对用户帐号的创建借助于(优选PC的)Web客户端40进行,在创建用户帐号时,所述Web客户端与第一设备10交互。在此,在PC 40中输入用户数据,尤其是已授权用户的名称,所分配的密码以及对特定功能的访问权限或访问许可,所述用户数据作为密码文件以加密的格式被存放在第一设备10的被实施为压缩闪存卡CF的存储模块中。在使用第一加密模块16的情况下,借助于第一设备10的设备内部密钥B1实施对密码文件X的加密,所述设备内部密钥同样可以被存放在压缩闪存卡CF中。
借助于第一设备10的设备内部Web服务器,包括先前已配置的用户帐号的密码文件X可以经由网络连接30传输到Web客户端40,例如PC。Web客户端40被设置用于:经由现有网络连接30分发用户帐号给被布置在***内、优选地作为Web服务器工作的其它智能设备21,22,23。在此可以规定:用户帐号由第一设备10经由Web客户端40仅仅分发给被布置在***中的、类似设备类型的所有其它设备。
此外,在智能设备21,22,23内分别集成至少一个第二加密模块18和至少一个第二解密模块17,其中所述第二加密模块18被设置用于:在将由设备10为向Web客户端40传输而设置、具有用户帐号的数据传输到Web客户端40之前对所述数据加密,并且所述第二解密模块18被设置用于:在将由Web客户端40接收、具有用户帐号的文件(接下来也称作密码文件)存放在RAM存储器11中之前对所述文件解密。为此使用公共密钥A。
在图2中表示的根据本发明的包括第一设备10(所述第一设备在远程监视分布式***中被应用)的装置的实施例中,包括用户帐号的数据X例如作为明码电文被存放在作为中央源起作用的RAM存储器11中,所述用户帐号借助于Web客户端40被创建或者配置。在所述设备之外访问所述存储器11是不可能的。
因此,在第一设备10的密码文件被传输到分布式***的Web客户端40之前,采用公共的(优选地对称的)密钥A对所述密码文件编码。优选地,所述密钥A被集成在可被存放在设备10上的固件中。这允许,传输被如此编码的密码文件到被集成在***中的其它设备21,22,23,其中在所述其它设备的固件中集成了相同的密钥A。所述通常属于相同设备类型的设备可以因此配备有相同的密码文件。假如使用对称的密钥,则用于对密码文件加密和解密的算法相同。
此外,为了在设备10的闪存CF上存储密码文件,设置了公共密钥B,(也可被实施为对称密钥B),其例如借助于被分配给闪存卡CF的标识号码(优选闪存卡CF的序列号)使所述设备10上的密码文件的识别或者编码能够实现。
因此,其它密钥B可通过为对应的闪存卡分配的标识号码来标识,并且具有先前提到的特征的***中的每个设备在***中被个别表征。因此,采用先前描述的方法,被存放在闪存卡CF上的、借助于对应的其它密钥B和所属的标识号码编码的密码文件保证:相应设备的特有密码文件不能被拷贝到其它不具有标识特征(标识号码和密钥)的设备上。
此外,由此阻止:如此编码的密码文件可被用于被布置在分布式***中的其它设备上。
Claims (13)
1.一种用于配置和分发访问权限给在技术过程或者技术设备的分布式***内的智能设备(10),(21),(22),(23)的方法,其中所述分布式***包括至少一个第一智能设备(10),所述第一智能设备(10)借助于Web客户端(40)经由网络连接(30)与其它智能设备(21)、(22)、(23)连接,并且从技术设备或者技术过程的空间上相距遥远的部件提供的过程数据和/或设备数据被传输到所述智能设备(10),(21),(22),(23),其特征在于,
-在所述智能设备(10),(21),(22),(23)中分别存放设备内部的特有密钥(B1,B2,B3,...)并且分别存放公共密钥(A),
-经由所述Web客户端在第一设备(10)中创建和配置用户帐号,
-借助于第一设备(10)的设备内部密钥(B1)将所述用户帐号加密成密码文件存放在设置在第一设备(10)中的存储模块中,
-所述密码文件在被读出到所述Web客户端(40)中之前借助于所述公共密钥(A)被加密并且加密过的密码文件被提供给所述Web客户端(40)以便传输到其它智能设备(21)、(22)、(23),
-经由所述网络连接(30),加密过的密码文件由所述Web客户端(40)分发给其它智能设备(40),
-在其它智能设备(21)、(22)、(23)中借助于公共密钥(A)对存放在加密过的密码文件中的数据解密,以及
-借助于相应设备的设备内部密钥(B1,B2,B3,...)在相应其它智能设备(21)、(22)、(23)中实施对所述密码文件的加密存储,所述密码文件包括先前已解密的数据。
2.按照权利要求1的方法,其特征在于,采用在所述智能设备(10),(21),(22),(23)中分别存放的设备内部的特有密钥,实施对所述相应设备(10,(21),(22),(23)中的密码文件的加密存储。
3.按照前述权利要求之一的方法,其特征在于,所述公共密钥(A)由所有智能设备(10),(21),(22),(23)理解。
4.按照权利要求1或者2的方法,其特征在于,所述公共密钥(A)仅仅由类似设备类型的智能设备理解。
5.按照权利要求4的方法,其特征在于,经由所述Web客户端(40)和所述网络连接(30),所述用户帐号由第一设备分发给***中类似设备类型的其它设备。
6.按照前述权利要求之一的方法,其特征在于,借助于串行数据传输或者经由TCP/IP协议实施用户帐号到分布式***的所述智能设备的传输和分发。
7.一种用于配置和分发访问权限给在技术过程或者技术设备的分布式***内的智能设备(10),(21),(22),(23)的装置,其中所述分布式***包括至少一个第一智能设备(10),所述第一智能设备(10)借助于Web客户端(40)经由网络连接(30)与其它智能设备(21)、(22)、(23)连接,从技术设备或者技术过程的空间上相距遥远的部件提供的过程数据和/或设备数据可以被传输到所述智能设备(10),(21),(22),(23),并且所述智能设备(10),(21),(22),(23)分别具有至少一个第一存储模块(11)且分别具有第二存储模块(CF),其特征在于,
-在第一存储模块(11)中分别存放公共密钥(A)并且在第二存储模块(CF)中分别存放设备内部的特有密钥(B1,B2,B3,...),
-经由所述Web客户端(40)在第一设备(10)中创建和配置用户帐号,
-在将所述用户帐号作为密码文件存放在第二存储模块(CF)中之前,所述存放在第一设备(10)中的第一设备内部密钥(B1)对所述密码文件实施加密,
-在所述密码文件的数据被读出到所述Web客户端(40)中之前,存放在第一设备(10)中的公共密钥(A)对所述密码文件的数据加密,
-所述Web客户端(40)经由所述网络连接(30)将借助于所述公共密钥(A)加密的密码文件分发给其它智能设备(21)、(22)、(23),
-存放在所述其它智能设备(21)、(22)、(23)中的公共密钥(A)对存放在加密过的密码文件中的数据解密,以及
-在将所述密码文件存储到相应其它智能设备(21)、(22)、(23)中之前,相应其它智能设备(21)、(22)、(23)的其它设备内部密钥(B1,B2,B3,...)对所述密码文件加密,所述密码文件包括先前已解码的数据。
8.按照权利要求7的装置,其特征在于,所述用户帐户可经由所述第一设备(10)的设备内部Web服务器且经由所述网络连接(30)被分发给其它的、被布置在***中的类似设备类型的其它设备(21)、(22)、(23)。
9.按照权利要求7或者8的装置,其特征在于,在所述用户帐户中存放用户名称、密码和/或访问权限。
10.按照权利要求7到9之一的装置,其特征在于,所述存储模块可以作为无移动部件的存储介质、例如作为压缩闪存卡实施,并且固定地或者直接集成在所述设备中。
11.按照权利要求7到10之一的装置,其特征在于,所述智能设备(10),(21),(22),(23)分别具有至少一个被实施为压缩闪存卡的第二存储模块(CF),其中所述第二存储模块(CF)分别经由至少一个解密模块(15)和至少一个加密模块(16)与第一存储模块(11)交换数据并且为了对从第一存储模块(11)传输的或者传输到第一存储模块(11)的数据加密或者解密,设置分配给所述设备的设备内部密钥(B1,B2,B3,...)。
12.按照权利要求7到11之一的装置,其特征在于,所述智能设备(10),(21),(22),(23)分别具有至少一个被实施为RAM存储器的第一存储模块(11),其中所述第一存储模块(11)分别经由至少一个其它解密模块(18)和至少一个其它加密模块(17)与所述Web客户端(40)交换数据并且为了对从所述Web客户端(40)传输的或者传输到所述Web客户端(40)的数据加密或者解密设置相应公共密钥(A)。
13.将按照前述权利要求之一的方法和装置应用在远程监视的网络控制自动化***和站自动化***中,所述网络控制自动化***和站自动化***例如被用于电流、燃气、水、油或者远距离供热的供应***,但也适合于独立的工业设备中。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP10002790 | 2010-03-17 | ||
| EP10002790.3 | 2010-03-17 | ||
| EP10010505.5A EP2369805B1 (de) | 2010-03-17 | 2010-09-24 | Verfahren zur Konfigurieruing und Verteilung von Zugriffsrechten in einem verteilten System |
| EP10010505.5 | 2010-09-24 | ||
| PCT/EP2011/001156 WO2011113541A1 (de) | 2010-03-17 | 2011-03-09 | Verfahren zur konfigurierung und verteilung von zugriffsrechten in einem verteilten system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102884774A true CN102884774A (zh) | 2013-01-16 |
| CN102884774B CN102884774B (zh) | 2017-02-22 |
Family
ID=43566834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180024375.6A Active CN102884774B (zh) | 2010-03-17 | 2011-03-09 | 用于在分布式***中配置和分发访问权限的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20130019101A1 (zh) |
| EP (1) | EP2369805B1 (zh) |
| CN (1) | CN102884774B (zh) |
| WO (1) | WO2011113541A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114615047A (zh) * | 2022-03-07 | 2022-06-10 | 珠海格力电器股份有限公司 | 一种信息安全*** |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105141616A (zh) * | 2015-09-10 | 2015-12-09 | 北京京东尚科信息技术有限公司 | 一种分布式***管理的方法和装置 |
| CN107094172A (zh) * | 2017-04-14 | 2017-08-25 | 成都小鸟冲冲冲科技有限公司 | 一种音效包的共享方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060262928A1 (en) * | 2005-05-23 | 2006-11-23 | Hagai Bar-El | Method, device, and system of encrypting/decrypting data |
| US20070283011A1 (en) * | 2006-06-02 | 2007-12-06 | Google Inc. | Synchronizing Configuration Information Among Multiple Clients |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6948070B1 (en) * | 1995-02-13 | 2005-09-20 | Intertrust Technologies Corporation | Systems and methods for secure transaction management and electronic rights protection |
| US7958543B2 (en) * | 2005-07-12 | 2011-06-07 | Microsoft Corporation | Account synchronization for common identity in an unmanaged network |
| US20090070581A1 (en) * | 2007-09-06 | 2009-03-12 | Amir Shahindoust | System and method for centralized user identification for networked document processing devices |
-
2010
- 2010-09-24 EP EP10010505.5A patent/EP2369805B1/de active Active
-
2011
- 2011-03-09 CN CN201180024375.6A patent/CN102884774B/zh active Active
- 2011-03-09 WO PCT/EP2011/001156 patent/WO2011113541A1/de active Application Filing
-
2012
- 2012-09-17 US US13/621,416 patent/US20130019101A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060262928A1 (en) * | 2005-05-23 | 2006-11-23 | Hagai Bar-El | Method, device, and system of encrypting/decrypting data |
| US20070283011A1 (en) * | 2006-06-02 | 2007-12-06 | Google Inc. | Synchronizing Configuration Information Among Multiple Clients |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114615047A (zh) * | 2022-03-07 | 2022-06-10 | 珠海格力电器股份有限公司 | 一种信息安全*** |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130019101A1 (en) | 2013-01-17 |
| WO2011113541A1 (de) | 2011-09-22 |
| CN102884774B (zh) | 2017-02-22 |
| EP2369805A1 (de) | 2011-09-28 |
| EP2369805B1 (de) | 2017-07-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104396183B (zh) | 用于将固件或软件传送到多个设备的方法和*** | |
| CN109412794B (zh) | 一种适应电力业务的量子密钥自动充注方法及*** | |
| CN101300806B (zh) | 用于处理安全传输的***和方法 | |
| CN101873588B (zh) | 一种业务应用安全实现方法及*** | |
| WO2003107156A2 (en) | METHOD FOR CONFIGURING AND COMMISSIONING CSMs | |
| CN110535653A (zh) | 一种安全的配电终端及其通讯方法 | |
| CN105681037A (zh) | 保障密码钥在设备之间的协商的方法、***和装置 | |
| CA2592643A1 (en) | Methods and apparatuses for authentication and validation of computer-processable communications | |
| CN103051641A (zh) | 多客户端密钥更新方法和***及信息安全传输方法 | |
| CN110300108A (zh) | 一种配电自动化报文加密传输方法、***、终端及存储介质 | |
| CN115225339B (zh) | 一种输电物联网感知终端安全接入及数据传输方法和*** | |
| CN104410641A (zh) | 一种pos终端安全受控的联网激活方法及装置 | |
| CN105262586B (zh) | 汽车防盗设备的密钥分配方法及装置 | |
| Niemann | IT security extensions for PROFINET | |
| CN102884774A (zh) | 用于在分布式***中配置和分发访问权限的方法 | |
| CN103354637B (zh) | 一种物联网终端m2m通信加密方法 | |
| CN105681253A (zh) | 集中式网络中的数据加密传输方法、设备、网关 | |
| CN102542645A (zh) | 一种门禁认证方法及认证*** | |
| CN101047945B (zh) | 移动通信***及用户临时身份分发方法 | |
| CN103384233B (zh) | 一种代理转换的方法、装置和*** | |
| CN110120866B (zh) | 现场设备的用户管理方法 | |
| KR102073363B1 (ko) | 산업 제어 시스템의 보안을 강화하는 보안 통신 장치 | |
| CN101325486B (zh) | 域许可密钥的转移方法及设备 | |
| CN112153072B (zh) | 计算机网络信息安全控制装置 | |
| CN114859810A (zh) | 一种组态工程安全下装的***及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180504 Address after: Baden, Switzerland Patentee after: ABB Switzerland Co.,Ltd. Address before: Zurich Patentee before: ABB TECHNOLOGY Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210611 Address after: Baden, Switzerland Patentee after: ABB grid Switzerland AG Address before: Baden, Switzerland Patentee before: ABB Switzerland Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Swiss Baden Patentee after: Hitachi energy Switzerland AG Address before: Swiss Baden Patentee before: ABB grid Switzerland AG |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240111 Address after: Zurich, SUI Patentee after: Hitachi Energy Co.,Ltd. Address before: Swiss Baden Patentee before: Hitachi energy Switzerland AG |