-
Die Erfindung betrifft ein Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik, sowie eine Bedieneinheit zum Durchführen des erfindungsgemäßen Verfahrens.
-
Aus dem Stand der Technik sind bereits Feldgeräte bekannt geworden, die in industriellen Anlagen zum Einsatz kommen. In der Prozessautomatisierung ebenso wie in der Fertigungsautomatisierung werden vielfach Feldgeräte eingesetzt. Als Feldgeräte werden im Prinzip alle Geräte bezeichnet, die prozessnah eingesetzt werden und die prozessrelevante Informationen liefern oder verarbeiten. So werden Feldgeräte zur Erfassung und/oder Beeinflussung von Prozessgrößen verwendet. Zur Erfassung von Prozessgrößen dienen Messgeräte, bzw. Sensoren. Diese werden beispielsweise zur Druck- und Temperaturmessung, Leitfähigkeitsmessung, Durchflussmessung, pH-Messung, Füllstandmessung, etc. verwendet und erfassen die entsprechenden Prozessvariablen Druck, Temperatur, Leitfähigkeit, pH-Wert, Füllstand, Durchfluss etc. Zur Beeinflussung von Prozessgrößen werden Aktoren verwendet. Diese sind beispielsweise Pumpen oder Ventile, die den Durchfluss einer Flüssigkeit in einem Rohr oder den Füllstand in einem Behälter beeinflussen können. Neben den zuvor genannten Messgeräten und Aktoren werden unter Feldgeräten auch Remote I/Os, Funkadapter bzw. allgemein Geräte verstanden, die auf der Feldebene angeordnet sind.
-
Eine Vielzahl solcher Feldgeräte wird von der Endress+Hauser-Gruppe produziert und vertrieben.
-
In modernen Industrieanlagen sind Feldgeräte in der Regel über Kommunikationsnetzwerke wie beispielsweise Feldbusse (Profibus®, FOUNDATION® Fieldbus, HART®, etc.) mit übergeordneten Einheiten verbunden. Bei den übergeordneten Einheiten handelt es sich um Steuereinheiten, wie beispielsweise eine SPS (speicherprogrammierbare Steuerung) oder einen PLC (Programmable Logic Controller). Die übergeordneten Einheiten dienen unter anderem zur Prozesssteuerung, sowie zur Inbetriebnahme der Feldgeräte. Die von den Feldgeräten, insbesondere von Sensoren, erfassten Messwerte werden über das jeweilige Bussystem an eine (oder gegebenenfalls mehrere) übergeordnete Einheit(en) übermittelt, die die Messwerte gegebenenfalls weiterverarbeiten und an den Leitstand der Anlage weiterleiten. Der Leitstand dient zur Prozessvisualisierung, Prozessüberwachung und Prozessteuerung über die übergeordneten Einheiten. Daneben ist auch eine Datenübertragung von der übergeordneten Einheit über das Bussystem an die Feldgeräte erforderlich, insbesondere zur Konfiguration und Parametrierung von Feldgeräten sowie zur Ansteuerung von Aktoren.
-
Die Leitstellen verfügen dabei in der Regel über Schnittstellen zu einer weiteren Ebene, dem sogenannten Manufacturing Execution System (MES), in dem der Schwerpunkt auf kaufmännischen und logistischen Prozessen liegt. Auf der MES-Ebene wird von den Anwendern in der Regel mit konventioneller PC-Hardware gearbeitet. Auf dieser Ebene sind auch Zugangssteuerungssysteme und Datenbanken zur Nutzerverwaltung bekannt und gebräuchlich, über die beispielsweise die Anmeldung auf den Arbeits-PCs gesteuert und verwaltet wird.
-
Feldbusse verfügen nur über beschränkte Fähigkeiten bezüglich Kommunikationsbandbreite, Message-Weiterleitung, Routing, etc. und sind daher üblicherweise Angriffen Unbefugter, beispielsweise sogenannten „Hacker“-Attacken, nur in geringem Maß ausgesetzt. Aus diesem Grund ist vielfach eine Geräteverriegelung für den zwingend vor Ort befindlichen „Operator“ nicht erforderlich, bzw. reicht ein bei mehreren Geräten identisch verwendetes kurzes Passwort, beispielsweise in Form eines PIN-Codes, vollkommen aus. Die Feldgeräte können durch Eingabe dieses Passworts entriegelt werden, bzw. können spezielle Bedienfunktionen des Feldgeräts freigeschaltet werden, das heißt ab diesem Zeitpunkt sind beispielsweise Änderungen an der Konfiguration/Parametrierung des Feldgeräts möglich.
-
Diese im Stand der Technik bislang verwendeten einfachsten Authentifizierungsverfahren sind bei Verwendung der zunehmend in Feldgeräten integrierten IP- oder funkbasierten Kommunikationsverfahren vielfach nicht mehr adäquat. Aus Sicherheitsgründen werden daher beispielsweise Operator-individuelle lange Passwörter erforderlich. Diese Art Zugangsverfahren macht die Handhabbarkeit, bzw. die Usability für den Anwender jedoch kompliziert, was letzten Endes die Gefahr beinhaltet, dass derartige Security-Maßnahmen umgangen werden. Insbesondere ist das dann der Fall, wenn aus Sicherheitsgründen nicht nur anwenderindividuelle, sondern auch feldgeräteindividuelle Passwörter erforderlich wären. Darüber hinaus stellt sich beispielsweise das Problem, wie eine Passwortänderung und -verwaltung in einer Anlage mit einer großen Anzahl an Feldgeräten praktikabel und effizient durchgeführt werden kann.
-
Im Bereich „Zugangskontrolle“ sind Chipkartensysteme (auch Authentifizierungskartensysteme genannt) wie Mitarbeiter-Authentifizierungskarten (sogenannte „Badges“) und Torkarten bekannt. Diese können kontaktlos oder kontaktbehaftet ausgeführt werden und beinhalten neben einem elektronischen Speichermedium und einem Kommunikationsinterface, welches induktiv oder kontaktbehaftet ausgestaltet ist, eine Recheneinheit, welches kryptographische Rechenoperationen durchführen kann. Mittels dieser Systeme kann einem Operator einfach und ohne Passwörter Zugang zu Arealen, beispielsweise Räumen, in einem Unternehmen gewährt oder verweigert werden. Vergleichbare Chipsätze werden auch in Ausweisdokumenten, wie z.B. dem deutschen Personalausweis eingesetzt.
-
Diese Chipkartensysteme bieten gleichzeitig eine flexible Verwaltung der Autorisierung, beispielsweise der ausschließlichen Gewährung des Zugangs zu ausgewählten Räumen innerhalb des Unternehmens, oder Zugangsbeschränkungen zu bestimmten Zeitpunkten. Des Weiteren verfügen diese vielfach über eine Hardware, die anwendungsspezifisch programmiert werden kann und den Zugriff auf die Recheneinheit gestattet.
-
Wesentlich für diese Anmeldung ist, festzuhalten, dass die Chipkartensysteme dabei über eine Recheneinheit, eine Kommunikationsschnittstelle und einen persistenten Speicher verfügen. Beispielsweise werden im elektronischen Personalausweis in diesem Speicher ein Passwort und ein kryptographischer Schlüssel abgelegt. Die Schnittstelle wird zur Energieversorgung genutzt und die Recheneinheit implementiert kryptographische Protokolle, die z.B. zur Passwort- oder Schlüsselüberprüfung dienen. Der wesentliche Unterschied zwischen Sicherheitskarten und konventioneller Digitalelektronik besteht in dem hohen Schutzniveau gegen unberechtigtes Auslesen und Angriffe gegen die Hardware auf sogenannten Seitenkanälen. Beispielsweise wird unterbunden, dass über eine Analyse der Abstrahlung oder des Stromaufnahmeprofils Rückschlüsse auf die in der Sicherheitskarte gespeicherten Passworte und Schlüssel gezogen werden können.
-
Weiterhin sind aus dem Stand der Technik sogenannte kryptographische Zertifikate bekannt. Dabei handelt es sich um digitale Dateien, in denen Informationsfelder verschiedensten Inhalts mit einer digitalen Signatur versehen sind und die digitale Signatur unter Verwendung eines privaten Schlüssels eines privaten/öffentlichen Schlüsselpaars errechnet wurden. Über diese Signatur bestätigt die signierende Stelle in der Regel, die Korrektheit des Inhalts des Datenfelds überprüft zu haben.
-
Besagte Chipkartensysteme benötigen vielfach für Kommunikation und Kryptographieberechnung ein hohes Maß an elektrischer Leistung, beispielsweise einen Strom von 40 mA an 3.3V für 1 Sekunden Rechendauer.
-
Eine Anwendung solcher Chipkartensysteme zur Authentifizierung ist im Zusammenhang mit Feldgeräten bis dato nicht möglich, da das Energiebudget industrieller Feldgeräte den Einsatz solcher Chipkarten nicht gestattet. Im Industriebereich stehen typischerweise maximale Versorgungsleistungen im Bereich von 50 mW pro Feldgerät zur Verfügung. Insbesondere im Ex-Bereich einer Anlage ist die verfügbare elektrische Leistung noch stärker begrenzt. So steht z.B. für die Haupt-Recheneinheit eines Feldgeräts nur ein Leistungsbudget von typisch 5 mW zur Verfügung. Das Speicherbudget eines solchen Feldgeräts ist des Weiteren stark begrenzt. Eine solche energiebegrenzte Recheneinheit gestattet daher gegebenenfalls komplizierte kryptographische Berechnungen nicht, wie diese beispielsweise nach dem für Smartcards heute üblichen IT-Security-Standard RSA angewandt werden.
-
Weiterhin ist konstruktiv der Einbau von Lesegeräten für die Chipkarten in spezielle Gehäuse der Feldgeräte, beispielsweise hygienegeeignete Gehäuse, nicht, oder nur schwer möglich.
-
Selbst in Fällen, bei denen eine Verbindung zu einer Smartcard in einem Feldgerät technisch möglich wäre, ermöglichen Beschränkungen im Dateninterface zur Leitstelle vielfach keinen Zugang zu einer zentralen Benutzerrechteverwaltung.
-
Ausgehend von dieser Problematik liegt der Erfindung die Aufgabe zugrunde, ein Verfahren und eine Bedieneinheit vorzustellen, welches es erlauben, die Sicherheit eines Feldgeräts auf effiziente Art und Weise zu verbessern.
-
Die Aufgabe wird durch ein Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik gelöst, umfassend:
- - Etablieren einer, insbesondere drahtlosen und/oder drahtgebundenen, Kommunikationsverbindung zwischen dem Feldgerät und einer Bedieneinheit;
- - Etablieren einer Kommunikationsverbindung zwischen der Authentifizierungskarte und dem Feldgerät unter Verwendung der Bedieneinheit, wobei zumindest das Feldgerät und die Authentifizierungskarte Schlüsselinformationen symmetrischer oder asymmetrischer Art enthalten; und
- - Durchführen einer zumindest einseitigen Authentifizierung der Authentifizierungskarte am Feldgerät.
-
Der Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass sich ein Bediener auf einfache und effiziente Art und Weise gegenüber einem Feldgerät authentifizieren kann. Dazu benötigt der Bediener zwei Komponenten: eine Bedieneinheit und eine Authentifizierungskarte.
-
Bei der Bedieneinheit handelt es sich beispielsweise um ein handgehaltenes Konfigurationsgerät wie den Field Xpert, welcher von der Anmelderin produziert und vertrieben wird. Es kann sich beispielsweise auch um einen PC oder um einen Laptop handeln. Insbesondere handelt es sich um ein mobiles Endgerät, wie ein Tablet oder ein Smartphone, oder um ein Wearable wie eine Smartwatch. Die Bedieneinheit muss über ein Interface verfügen, welches zur Kommunikation mit der Authentifizierungskarte ausgestaltet ist, um diese auslesen zu können.
-
Bei der Authentifizierungskarte handelt es sich um eine Chipkarte, insbesondere eine Smartcard. Beispiele einer solchen Chipkarte sind bereits im einleitenden Teil der Beschreibung beispielhaft genannt worden.
-
Ein weiterer Vorteil der Erfindung besteht darin, dass die Authentifizierungskarte nicht mit dem Feldgerät direkt kommuniziert, sondern diese Kommunikation über die Bedieneinheit abgewickelt wird. Beruht diese Kommunikation, insbesondere ein Auslesen der Authentifizierungskarte, auf einer drahtlosen Kommunikationsverbindung, so wird die hierfür notwendige elektrische Leistung von der Bedieneinheit geliefert. Das Feldgerät benötigt daher keine erhöhte Energieversorgung, weswegen das erfindungsgemäße Verfahren mit nahezu jedem handelsüblichen Feldgerät ausgeführt werden kann, welches für eine Kommunikationsverbindung mit der Bedieneinheit geeignet ist.
-
Unter einer drahtgebundenen Kommunikationsverbindung zwischen Feldgerät und Bedieneinheit wird beispielsweise eine Kabelverbindung mit der Serviceschnittstelle, bei Feldgeräten der Anmelderin als CDI-Schnittstelle bezeichnet, verstanden. Es kann sich hier aber auch um einen Feldbus der Automatisierungstechnik, beispielsweise HART, Foundation Fieldbus, Profibus, etc. handeln, oder um ein IT-Kommunikationsnetzwerk, beispielsweise Ethernet.
-
Feldgeräte, welche im Zusammenhang mit dem erfindungsgemäßen Verfahren erwähnt werden, sind bereits im einleitenden Teil der Beschreibung beispielhaft genannt worden.
-
Eine vorteilhafte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass nach erfolgreicher Authentifizierung der Authentifizierungskarte am Feldgerät eine authentifizierte und verschlüsselte Sitzung aufgebaut wird, wobei in dieser Sitzung Daten zwischen der Bedieneinheit und dem Feldgerät ausgetauscht werden, beispielsweise unter Nutzung von Protokollen wie AES128GCM oder alternativen authentifizierten Verschlüsselungsverfahren, wie sie z.B. aktuell sich im CESAR-Wettbewerb in der Sicherheitsbewertung befinden (https://competitions.cr.yp.to/caesar.html).
-
Gemäß einer ersten Variante des erfindungsgemäßen Verfahrens ist vorgesehen, dass als Authentifizierung eine asymmetrische Kryptographie verwendet wird, wobei die Authentifizierung die Übermittlung eines ersten Zertifikats mittels der Bedieneinheit von der Authentifizierungskarte an das Feldgerät sowie ein Überprüfen der Gültigkeit des ersten Zertifikats durch eine Signaturprüfung mittels eines im Feldgerät hinterlegten öffentlichen Schlüssels beinhaltet. Die asymmetrische Kryptographie basiert insbesondere auf elliptischen Kurven.
-
Gemäß einer vorteilhaften Ausgestaltung der ersten Variante des erfindungsgemäßen Verfahrens ist vorgesehen, dass im ersten Zertifikat Schlüsselinformationen enthalten sind, die die mindestens einseitige Authentifizierung der Karte am Feldgerät ermöglichen und ein kryptographisches Authentifizierungsprotokoll mittels der im ersten Zertifikat hinterlegten Schlüsselinformation die Authentizität der Karte überprüft.
-
Gemäß einer zweiten Variante des erfindungsgemäßen Verfahrens ist vorgesehen, dass als Authentifizierung eine symmetrische Kryptographie verwendet wird und wobei die Authentifizierung der Karte am Feldgerät mittels eines symmetrischen Authentifizierungsprotokolls mithilfe der im Feldgerät enthaltenen Schlüsselinformationen in Form zumindest eines kryptographischen Schlüssel erfolgt.
-
In einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass zusätzlich eine zumindest einseitige Authentifizierung des Feldgeräts an der Bedieneinheit durchgeführt wird.
-
Eine bevorzugte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass als Authentifizierung eine asymmetrische Kryptographie verwendet wird, wobei die Bedieneinheit ein auf dem Feldgerät enthaltenes, insbesondere im Zuge der Fertigung oder der Inbetriebnahme der Industrieanlage auf dem Feldgerät gespeichertes, zweites Zertifikat ausliest und das Feldgerät mittels des zweiten Zertifikats authentifiziert, wobei im zweiten Zertifikat Schlüsselinformationen enthalten sind, die eine mindestens einseitige Authentifizierung des Feldgeräts an der Bedieneinheit ermöglichen und ein kryptographisches Authentifizierungsprotokoll mittels der im zweiten Zertifikat hinterlegten Schlüsselinformation die Authentizität des Feldgeräts überprüft.
-
Eine alternative Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass als Authentifizierung eine symmetrische Kryptographie verwendet wird und wobei die Authentifizierung des Feldgeräts an der Bedieneinheit mittels eines symmetrischen Authentifizierungsprotokolls erfolgt.
-
In einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass zusätzlich eine zumindest einseitige Authentifizierung der Authentifizierungskarte an der Bedieneinheit durchgeführt wird.
-
Eine bevorzugte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass als Authentifizierung eine asymmetrische Kryptographie verwendet wird, wobei die Bedieneinheit das auf der Authentifizierungskarte enthaltene erste Zertifikat oder ein drittes Zertifikat ausliest und die Bedieneinheit das das Feldgerät mittels des ersten oder des dritten Zertifikats authentifiziert, indem ein kryptographisches Authentifizierungsprotokoll mittels der im ersten oder im dritten Zertifikat hinterlegten Schlüsselinformation die Authentizität der Authentifizierungskarte überprüft.
-
Eine alternative Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass als Authentifizierung eine symmetrische Kryptographie verwendet wird und wobei die Authentifizierung des Feldgeräts an der Bedieneinheit mittels eines symmetrischen Authentifizierungsprotokolls erfolgt.
-
Eine bevorzugte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass als Teilkomponente der Authentifizierung eine Eingabe eines Passworts an der Bedieneinheit erfolgt. Dieser Schritt erhöht die Sicherheit.
-
Gemäß einer bevorzugten Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass nach erfolgter Authentifizierung zumindest eine mit der Authentifizierungskarte verknüpfte Bedienfunktion des Feldgeräts autorisiert, bzw. freigegeben, wird, wobei die Informationen über die freizuschaltenden Bedienfunktionen in einem Datenfeld des ersten Zertifikats enthalten sind.
-
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass eine mit dem Feldgerät über ein zweites kabelloses oder kabelgebundenes Kommunikationsnetzwerk in Kommunikationsverbindung stehende zentrale Datenbank die zu autorisierende, bzw. freizugebende Bedienfunktion des Feldgeräts ermittelt.
-
Unter Bedienfunktionen werden insbesondere das Anzeigen, bzw. Auslesen aktueller und/oder gespeicherter vergangener Messwerte und/oder Hüllkurven und das Anzeigen, bzw. Auslesen aktueller und/oder gespeicherter Diagnosemeldungen, oder aber auch Parametrierfunktionen verstanden. Die Bedienung erfolgt entweder direkt über die Bedieneinheit, kann aber beispielsweise auch über das Display des Feldgeräts, über Gerätetasten am Gehäuse des Feldgeräts, bzw. im Inneren des Gehäuse des Feldgeräts angeordnete Tasten, oder über eine Serviceschnittstelle des Feldgeräts erfolgen. Unter Parametrierfunktionen werden insbesondere Funktionen zum Anzeigen und Ändern der Parameterwerte des Feldgeräts verstanden.
-
Besagte zentrale Datenbank ist beispielsweise in einer Rechnereinheit oder in einem Server, insbesondere auf der MES-Ebene, implementiert. Bei dem zweiten Kommunikationsnetzwerk handelt es sich beispielsweise um einen Feldbus der Automatisierungstechnik. In einem solchen Fall kann die Datenbank in der Leitebene der Anlage angeordnet sein und beispielsweis in einer übergeordneten Einheit implementiert sein. Im Falle, dass das zweite Kommunikationsnetzwerk drahtlos ausgestaltet ist, handelt es sich bei diesem insbesondere um GSM, UMTS, LTE, 5G, etc.
-
Alternativ handelt es sich bei dem zweiten Kommunikationsnetzwerk um das Internet, bzw. an ein auf Internet-Protokollen basierendes Netzwerk, welches einen Zugriff auf das Internet oder ein sogenanntes Anlageninternes Intranet ermöglicht. Die Datenbank kann sich in diesem Fall auch außerhalb der Anlage befinden. Insbesondere ist die Datenbank cloudfähig ausgestaltet, falls diese über das Internet kontaktierbar ist.
-
Gemäß einer bevorzugten Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass eine zumindest einseitige Authentifizierung der der Datenbank am Feldgerät durchgeführt wird, insbesondere unter Verwendung einer asymmetrischen Kryptographie. Auch hier kann auf diese Art und Weise sichergestellt werden, dass es sich um die vorgesehene, sichere Datenbank handelt und um keine manipulierte Einheit.
-
Eine vorteilhafte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass das Auslesen des ersten Zertifikats aus der Authentifizierungskarte mittels der Bedieneinheit kontaktlos, insbesondere mittels einer Funkverbindung, oder mittels eines Kontakts, insbesondere mittels eines integrierten oder als Zusatzmodul ausgestalteten Kartenlesers, erfolgt. Das kontaktlose Auslesen des ersten Zertifikats erfolgt insbesondere mittels RFID oder NFC. Es kann hierbei auch vorgesehen sein, dass die Authentifizierungskarte in der Form einer SIM-Karte ausgestaltet ist.
-
Eine bevorzugte Weiterbildung des erfindungsgemäßen Verfahrens sieht vor, dass für das Freischalten von der zumindest einen mit der Berechtigungsstufe verknüpften Bedienfunktion des Feldgeräts oder im Rahmen zumindest einer der Authentifizierungen zusätzlich eine Eingabe eines Passworts, einer Pins, oder einer Transaktionsnummer oder das Betätigen eines Schalters, bzw. Knopfs am Feldgerät erfolgen muss. Hierdurch wird die Sicherheit für das autorisierte Freischalten der Berechtigungsstufe erhöht.
-
Eine weitere bevorzugte Weiterbildung des erfindungsgemäßen Verfahrens sieht vor, dass die Gültigkeit der Zertifikate nur innerhalb eines definierten Zeitraums erfolgreich geprüft werden kann, wobei das jeweilige Zertifikataußerhalb des definierten Zeitraums als ungültig geprüft wird. Hierbei kann vorgesehen sein, für die jeweiligen Zertifikaten jeweils unterschiedliche Zeiträume zu definieren, oder die Zeiträume nur für ausgewählte Zertifikate zu definieren.
-
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die Authentifizierungskarte vorab in der mobilen Einheit integriert wird. Hierfür kann vorgesehen sein, dass die Authentifizierungskarte als elektronisches Modul direkt in der Elektronikeinheit der Bedieneinheit integriert ist und beschreibbar ausgestaltet ist.
-
Gemäß einer alternativen vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die Authentifizierungskarte vorab in ein Kleidungsstück oder in ein Werkzeug integriert wird. Bei dem Kleidungsstück kann es sich beispielsweise um einen Helm oder einen Handschuh handeln. Beispielsweise kann es sich um jedes beliebige Kleidungsstück oder Werkzeug eines Servicetechnikers handeln, welches er beim Betreten der Anlage trägt.
-
In einer bevorzugten Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass als asymmetrische Kryptographie ein Lattice-basiertes Authentifizierungsverfahren oder ein voll-homomorphes Verschlüsselungssystem verwendet wird. Diese Verfahrensklasse ermöglichen es, komplexe Berechnungen, zu denen des Feldgerät selbst nicht in der Lage ist, auf die Bedieneinheit auszulagern, ohne dass kryptographische Angriffe möglich werden. Es wird damit möglich, die kryptographieberechnungen zu delegieren. Das ist insbesondere dann vorteilhaft, wenn Angriffe mit Quantencomputer praktikabel werden sollten und zur kryptographischen Absicherung erheblich aufwändigere Algorithmen erforderlich machen.
-
Des Weiteren wird die Aufgabe durch eine Bedieneinheit gelöst, welche dazu ausgestaltet ist, das erfindungsgemäße Verfahren durchzuführen.
-
Die Erfindung wird anhand der nachfolgenden Figuren näher erläutert. Es zeigt
- 1: einen schematischen Überblick über ein Anwendungsbeispiel des erfindungsgemäßen Verfahrens; und
- 2: ein Ausführungsbeispiel eines Ablaufdiagramms des erfindungsgemäßen Verfahrens.
-
1 zeigt einen schematischen Überblick über ein Anwendungsbeispiel des erfindungsgemäßen Verfahrens. Gezeigt ist ein Feldgerät FG, welches in einer Messstelle einer Prozessanlage eingesetzt ist. Bei dem Feldgerät FG handelt es sich um ein Feldgerät der Prozessautomatisierung zur Erfassung einer Prozessgröße, wie z.B. dem Druck oder dem Durchflusswert in einer Rohrleitung. Weitere Anwendungen eines solchen Feldgeräts FG sind bereits im einleitenden Teil der Beschreibung ausführlich erläutert worden. Das Feldgerät verfügt über eine beispielsweise drahtlos ausgeführte erste Kommunikationsschnittstelle KS1 zur Verbindung mit einer Bedieneinheit BE, welches ebenfalls eine erste, zur ersten Kommunikationsschnittstelle KS1 des Feldgeräts FG korrespondierende, erste Kommunikationsschnittstelle KS1' verfügt. Das Feldgerät FG und die Bedieneinheit BE kommunizieren über die ersten Kommunikationsschnittstellen KS1, KS1' via einem ersten Kommunikationsnetzwerk KN1. Das erste Kommunikationsnetzwerk KN1 ist beispielsweise nach dem Bluetooth- oder WLAN-Standard ausgestaltet. Alternativ ist das erste Kommunikationsnetzwerk KN1 drahtgebunden ausgestaltet.
-
Die Bedieneinheit BE verfügt über eine zweite Kommunikationsschnittstelle KS2 zur Verbindung mit einer Authentifizierungskarte AK, beispielsweise auf Basis eines Standards wie RFID oder Near-Field-Communication (NFC), oder einem anderen handelsüblichen Drahtlosstandard für Authentifizierungskarten AK. Alternativ kann die Bedieneinheit BE auch über einen externen oder internen angeschlossenen Kartenleser enthalten, welcher als zweite Kommunikationsschnittstelle KS2 dient.
-
In der Anlage befindet sich ein MES-System in dem eine zentrale Datenbank DB zur Verwaltung von Zugangs- und/oder Schlüsseldaten verfügbar ist.
-
In der folgenden Beschreibung wird Bezug genommen auf ein Ausführungsbeispiel auf der Basis von asymmetrischer Kryptographie und Zertifikaten ZFFG , ZFAK , ZFBE . Diese Variante hat Vorteile bezogen auf die Sicherheit, benötigt aber vergleichsweise viel Rechenleistung. Alternativ kann auch bei Verzicht auf Schutz gegen verschiedene Angriffe eine symmetrische Verschlüsselung eingesetzt werden.
-
Alle Teilkomponenten (Feldgerät FG, Authentifizierungskarte AK, zentrale Datenbank DB) verfügen über einen privaten kryptographischen Schlüssel PSDB , PSFG , PSAK , PSBE und einen zugehörigen öffentlichen Schlüssel ÖSDB , ÖSFG , ÖSAK , ÖSBE . Vorteilhafterweise wird der öffentliche Schlüssel ÖSDB der zentralen Datenbank DB im Feldgerät FG, in der Bedieneinheit BE und in der Authentifizierungskarte AK bei der Inbetriebnahme der jeweiligen Komponente FG, BE, AK in der Anlage persistent gespeichert. Die Datenbank selbst enthält eine Kopie der öffentlichen Schlüssel ÖSFG , ÖSAK , ÖSBE der Teilkomponenten FG, BE, AK, um diese Teilkomponenten FG, BE, AK der Datenbank DB gegenüber authentifizieren zu können.
-
Weiterhin erhalten die Teilkomponenten FG, BE, AK bei der Inbetriebnahme Zertifikate ZFFG , ZFAK , ZFBE , in denen der jeweilige öffentliche Schlüssel ÖSFG , ÖSAK , ÖSBE hinterlegt ist, und Signaturen SigDB , welche mittels des privaten Schlüssels PSDB der Datenbank DB erstellt wurden.
-
Im Fall der Authentifizierungskarte AK oder der Bedieneinheit BE werden im jeweiligen Zertifikat ZFAK , ZFBE vorteilhafterweise auch Autorisierungsinformationen über das Ausmaß, bzw. die Berechtigungsstufe der Zugangsgewährung hinterlegt. So können, bedingt durch die erfolgreiche Authentifizierung, Bedienfunktionen am Feldgerät FG freigeschaltet werden. Ob Bedienfunktionen freigeschaltet werden, bzw. welche Bedienfunktionen freigeschaltet werden, ist in besagter Berechtigungsstufe der Zugangsgewährung festgelegt. Mithilfe dieser Stufen lassen sich auch unterschiedliche Benutzergruppen (junior, senior, etc.) definieren, welche zueinander verschiedene Berechtigungsstufen aufweisen.
-
Die Zertifikate ZFFG , ZFAK , ZFBE enthalten vorteilhafter Weise auch Verfallsdaten. Nach Ablauf des Verfallsdatums wird ein jeweiliges Zertifikat ZFFG , ZFAK , ZFBE ungültig geprüft.
-
Damit werden kryptographische Authentifizierungsprotokolle möglich, welche sicherstellen, dass alle beteiligten Teilkomponenten FG, BE, AK zur Anlage zugehörig sind. Die Authentifizierung beinhaltet dabei in der Regel zwei Schritte. Zusätzlich zur Prüfung des jeweiligen Zertifikats ZFFG , ZFAK , ZFBE mittels des öffentlichen Schlüssels ÖSDB der zentralen Datenbank DB, welcher in der Inbetriebnahme den Teilkomponenten FG, BE, AK jeweils übermittelt und persistent gespeichert wird, wird in der Regel noch ein Authentifizierungsprotokoll zwischen den an der Authentifizierungsprüfung beteiligten Teilkomponenten FG, BE, AK eingesetzt.
-
Im Falle der Authentifizierungskarte AK können auf der Authentifizierungskarte AK auch Informationen über ein Passwort hinterlegt werden, welche eine Passwortüberprüfung über ein kryptographisches Protokoll gestatten, beispielsweise unter Verwendung eines augmentierten Password-Authenticated-Key-Exchange-Protokolls. Derartige Protokolle sind in vielen Authentifizierungskarten integriert, z.B. auch im deutschen Personalausweis, das sogenannte PACE(Password Authenticated Connection Establishment)-Protokoll.
-
2 zeigt ein Ausführungsbeispiel eines Ablaufdiagramms. Die Zahlen in Klammern geben die jeweils ausgeführten Verfahrensschritte an. In diesem Ausführungsbeispiel überprüft die Bedieneinheit BE nach einem Verbindungsaufbau (1) zum Feldgerät FG mittels des öffentlichen Schlüssels der zentralen Datenbank DB und dem im Zertifikat ZFFG des Feldgeräts FG enthaltenen privaten Schlüssels PSDB der zentralen Datenbank DB zunächst, ob das Feldgerät FG authentisch ist und zur Anlage gehört (3). Hierfür wird zuerst das Zertifikat ZFFG an die Bedieneinheit BE übermittelt (2).
-
Ist das Zertifikat ZFFG nicht korrekt, erfolgt ein Abbruch (x). Ist das Zertifikat ZFFG korrekt, übermittelt die Bedieneinheit BE eine Zufallszahl an das Feldgerät FG und lässt diese Zufallszahl vom Feldgerät signieren (4). Die Bedieneinheit BE überprüft anschließend die vom Feldgerät FG erzeugte Signatur auf Korrektheit (5). Ist diese nicht korrekt, so erfolgt ein Abbruch (x).
-
Ist diese Signatur korrekt, wird anschließend vom Feldgerät FG geprüft, ob eine Authentifizierungskarte AK verfügbar ist. Falls ja, wird die Authentifizierungskarte AK am Feldgerät FG authentifiziert. Hierfür fordert das Feldgerät FG das Zertifikat ZFAK und den öffentlichen Schlüssel ÖSAK der Authentifizierungskarte AK an (6). Das Zertifikat ZFAK enthält den privaten Schlüssel PSAK der Authentifizierungskarte AK und Informationen über freizugebende Bedienfunktionen des Feldgeräts FG. Anschließend überprüft das Feldgerät FG das Zertifikat ZFAK Korrektheit (7). Liegt diese nicht vor, so erfolgt ein Abbruch (x).
-
Liegt diese vor, so fordert die Authentifizierungskarte AK gegebenenfalls eine Passwortüberprüfung (8). Der Bediener gibt hierfür das Passwort in der Bedieneinheit BE ein (9). Authentifizierungskarte AK und Bedieneinheit BE führen dabei ein Protokoll zur Passwortüberprüfung aus. Die Korrektheit der Passwortüberprüfung zwischen der Bedieneinheit BE und der Authentifizierungskarte AK wird dem Feldgerät FG über ein kryptographisches Protokoll bestätigt. Gegebenenfalls wird hierfür das PACE-Protokoll verwendet (10) und das Ergebnis auf Korrektheit überprüft (11). Liegt Korrektheit vor, so übermittelt das Feldgerät FG eine Zufallszahl an die Authentifizierungskarte AK und lässt diese von der Authentifizierungskarte zur Bestätigung der erfolgreichen Passwort-Prüfung signieren (12). Abschließend überprüft das Feldgerät FG die Signatur der Zufallszahl auf Korrektheit (13). Falls die Korrektheit nicht erfolgreich überprüft werden kann, erfolgt ein Abbruch (x). Falls die Korrektheit erfolgreich überprüft werden kann, wird eine sichere Sitzung zwischen Feldgerät FG und Bedieneinheit BE aufgebaut und gegebenenfalls die auf der Authentifizierungskarte AK definierten Funktionen des Feldgeräts FG auf der Bedieneinheit BE freigegeben (14).
-
Nur sofern alle erforderlichen wechselseitigen Authentifizierungen erfolgreich abgeschlossen sind, erfolgt die Generierung eines Sitzungsschlüssels zwischen der Bedieneinheit BE und dem Feldgerät FG und der Aufbau einer sogenannten Sitzung (Session) und gegebenenfalls die Freigabe einer oder mehrerer Bedienfunktionen des Feldgeräts FG auf der Bedieneinheit BE (14). Einem Unbefugten ist es somit so gut wie unmöglich, das Feldgerät FG ohne authentische Teilkomponenten BE, AK und ohne Kenntnis des Passworts zu bedienen.
-
Im vorliegenden Beispiel beinhaltet die Authentifizierung
- • eine Authentifizierung des Feldgeräts FG an der Bedieneinheit BE,
- • eine Authentifizierung des Bedieners/der Bedieneinheit BE (über Password) an der Authentifizierungskarte, und
- • eine Authentifizierung der Authentifizierungskarte AK, also implizit des Bedieners, am Feldgerät FG.
-
Es sind erfindungsgemäß ebenso andere Kombinationen der wechselseitigen Authentifizierung möglich. Beispielsweise könnte es erforderlich sein zusätzlich die Bedieneinheit BE am Feldgerät FG zu authentifizieren oder auf die Authentifizierung des Feldgeräts FG an der Bedieneinheit BE, wie in 2 gezeigt, oder auf die Komponente der Passwortüberprüfung zu verzichten. Der Fachmann wird je nach Sicherheitsanforderung der konkreten Anwendung die notwenige Kombination von Authentifizierungsverfahren wählen. Vorteilhafterweise wird für die Authentifizierung ein Protokoll eingesetzt, welches als Ergebnis des Authentifizierungsprozesses direkt einen Sitzungsschlüssel generiert.
-
Wesentlich für das erfindungsgemäße Verfahren ist, dass aus Anwendersicht die Authentifizierungskarte AK und/oder das Passwort vorgewiesen werden muss, um erfolgreich eine Sitzung zwischen dem Feldgerät FG und der Bedieneinheit BE aufbauen zu können. Insbesondere bei Verzicht auf ein Passwort kann so ein hoher Bedienkomfort in Kombination mit einem sehr hohen Maß an Sicherheit ermöglicht werden.
-
In einer vorteilhaften Weiterbildung tauscht eine der Teilkomponenten, beispielsweise das Feldgerät FG, auch Informationen direkt mit der Datenbank DB aus, beispielsweise um die Korrektheit eines Zertifikats ZFFG , ZFAK , ZFBE zusätzlich zu überprüfen, oder um Autorisierungsinformationen, bzw. freizugebende Bedienfunktionen des Feldgeräts FG zu beziehen.
-
Bezugszeichenliste
-
- 1, 2, ..., x
- Verfahrensschritte
- AK
- Authentifizierungskarte
- BE
- Bedieneinheit
- DB
- Zentrale Datenbank
- FG
- Feldgerät
- KN1
- erstes Kommunikationsnetzwerk
- KN2
- zweites Kommunikationsnetzwerk
- KS1, KS1'
- erste Kommunikationsschnittstelle des Feldgeräts, bzw. der Bedieneinheit
- KS2
- zweite Kommunikationsschnittstelle der Bedieneinheit
- ÖSDB, ÖSFG, ÖSAK, ÖSBE
- Öffentliche Schlüssel
- PSDB, PSFG, PSAK, PSBE
- private Schlüssel
- SigDB
- Signatur
- ZFFG, ZFAK, ZFBE
- Zertifikate