DE102017106777A1 - Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik und eine Bedieneinheit zum Durchführen des Verfahrens - Google Patents

Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik und eine Bedieneinheit zum Durchführen des Verfahrens Download PDF

Info

Publication number
DE102017106777A1
DE102017106777A1 DE102017106777.9A DE102017106777A DE102017106777A1 DE 102017106777 A1 DE102017106777 A1 DE 102017106777A1 DE 102017106777 A DE102017106777 A DE 102017106777A DE 102017106777 A1 DE102017106777 A1 DE 102017106777A1
Authority
DE
Germany
Prior art keywords
authentication
field device
operating unit
certificate
card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017106777.9A
Other languages
English (en)
Inventor
Björn Haase
Ralf Schmidt
Markus Kilian
Helmut Kalteis
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Endress and Hauser Conducta GmbH and Co KG
Original Assignee
Endress and Hauser Conducta GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Endress and Hauser Conducta GmbH and Co KG filed Critical Endress and Hauser Conducta GmbH and Co KG
Priority to DE102017106777.9A priority Critical patent/DE102017106777A1/de
Priority to CN201810255069.7A priority patent/CN108696500B/zh
Priority to US15/938,203 priority patent/US10938804B2/en
Publication of DE102017106777A1 publication Critical patent/DE102017106777A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein zum Betreiben eines Feldgeräts (FG) der Automatisierungstechnik, umfassend:
- Etablieren einer, insbesondere drahtlosen und/oder drahtgebundenen, Kommunikationsverbindung zwischen dem Feldgerät (FG) und einer Bedieneinheit (BE);
- Etablieren einer Kommunikationsverbindung zwischen einer Authentifizierungskarte (AK) und dem Feldgerät (FG) unter Verwendung der Bedieneinheit (BE), wobei zumindest das Feldgerät (FG) und die Authentifizierungskarte (AK) Schlüsselinformationen (PSFG, PSAK, ÖSFG, ÖSAK) symmetrischer oder asymmetrischer Art enthalten; und
- Durchführen einer zumindest einseitigen Authentifizierung der Authentifizierungskarte (AK) am Feldgerät (FG), sowie eine Bedieneinheit (BE) zum Durchführen des erfindungsgemäßen Verfahrens.

Description

  • Die Erfindung betrifft ein Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik, sowie eine Bedieneinheit zum Durchführen des erfindungsgemäßen Verfahrens.
  • Aus dem Stand der Technik sind bereits Feldgeräte bekannt geworden, die in industriellen Anlagen zum Einsatz kommen. In der Prozessautomatisierung ebenso wie in der Fertigungsautomatisierung werden vielfach Feldgeräte eingesetzt. Als Feldgeräte werden im Prinzip alle Geräte bezeichnet, die prozessnah eingesetzt werden und die prozessrelevante Informationen liefern oder verarbeiten. So werden Feldgeräte zur Erfassung und/oder Beeinflussung von Prozessgrößen verwendet. Zur Erfassung von Prozessgrößen dienen Messgeräte, bzw. Sensoren. Diese werden beispielsweise zur Druck- und Temperaturmessung, Leitfähigkeitsmessung, Durchflussmessung, pH-Messung, Füllstandmessung, etc. verwendet und erfassen die entsprechenden Prozessvariablen Druck, Temperatur, Leitfähigkeit, pH-Wert, Füllstand, Durchfluss etc. Zur Beeinflussung von Prozessgrößen werden Aktoren verwendet. Diese sind beispielsweise Pumpen oder Ventile, die den Durchfluss einer Flüssigkeit in einem Rohr oder den Füllstand in einem Behälter beeinflussen können. Neben den zuvor genannten Messgeräten und Aktoren werden unter Feldgeräten auch Remote I/Os, Funkadapter bzw. allgemein Geräte verstanden, die auf der Feldebene angeordnet sind.
  • Eine Vielzahl solcher Feldgeräte wird von der Endress+Hauser-Gruppe produziert und vertrieben.
  • In modernen Industrieanlagen sind Feldgeräte in der Regel über Kommunikationsnetzwerke wie beispielsweise Feldbusse (Profibus®, FOUNDATION® Fieldbus, HART®, etc.) mit übergeordneten Einheiten verbunden. Bei den übergeordneten Einheiten handelt es sich um Steuereinheiten, wie beispielsweise eine SPS (speicherprogrammierbare Steuerung) oder einen PLC (Programmable Logic Controller). Die übergeordneten Einheiten dienen unter anderem zur Prozesssteuerung, sowie zur Inbetriebnahme der Feldgeräte. Die von den Feldgeräten, insbesondere von Sensoren, erfassten Messwerte werden über das jeweilige Bussystem an eine (oder gegebenenfalls mehrere) übergeordnete Einheit(en) übermittelt, die die Messwerte gegebenenfalls weiterverarbeiten und an den Leitstand der Anlage weiterleiten. Der Leitstand dient zur Prozessvisualisierung, Prozessüberwachung und Prozessteuerung über die übergeordneten Einheiten. Daneben ist auch eine Datenübertragung von der übergeordneten Einheit über das Bussystem an die Feldgeräte erforderlich, insbesondere zur Konfiguration und Parametrierung von Feldgeräten sowie zur Ansteuerung von Aktoren.
  • Die Leitstellen verfügen dabei in der Regel über Schnittstellen zu einer weiteren Ebene, dem sogenannten Manufacturing Execution System (MES), in dem der Schwerpunkt auf kaufmännischen und logistischen Prozessen liegt. Auf der MES-Ebene wird von den Anwendern in der Regel mit konventioneller PC-Hardware gearbeitet. Auf dieser Ebene sind auch Zugangssteuerungssysteme und Datenbanken zur Nutzerverwaltung bekannt und gebräuchlich, über die beispielsweise die Anmeldung auf den Arbeits-PCs gesteuert und verwaltet wird.
  • Feldbusse verfügen nur über beschränkte Fähigkeiten bezüglich Kommunikationsbandbreite, Message-Weiterleitung, Routing, etc. und sind daher üblicherweise Angriffen Unbefugter, beispielsweise sogenannten „Hacker“-Attacken, nur in geringem Maß ausgesetzt. Aus diesem Grund ist vielfach eine Geräteverriegelung für den zwingend vor Ort befindlichen „Operator“ nicht erforderlich, bzw. reicht ein bei mehreren Geräten identisch verwendetes kurzes Passwort, beispielsweise in Form eines PIN-Codes, vollkommen aus. Die Feldgeräte können durch Eingabe dieses Passworts entriegelt werden, bzw. können spezielle Bedienfunktionen des Feldgeräts freigeschaltet werden, das heißt ab diesem Zeitpunkt sind beispielsweise Änderungen an der Konfiguration/Parametrierung des Feldgeräts möglich.
  • Diese im Stand der Technik bislang verwendeten einfachsten Authentifizierungsverfahren sind bei Verwendung der zunehmend in Feldgeräten integrierten IP- oder funkbasierten Kommunikationsverfahren vielfach nicht mehr adäquat. Aus Sicherheitsgründen werden daher beispielsweise Operator-individuelle lange Passwörter erforderlich. Diese Art Zugangsverfahren macht die Handhabbarkeit, bzw. die Usability für den Anwender jedoch kompliziert, was letzten Endes die Gefahr beinhaltet, dass derartige Security-Maßnahmen umgangen werden. Insbesondere ist das dann der Fall, wenn aus Sicherheitsgründen nicht nur anwenderindividuelle, sondern auch feldgeräteindividuelle Passwörter erforderlich wären. Darüber hinaus stellt sich beispielsweise das Problem, wie eine Passwortänderung und -verwaltung in einer Anlage mit einer großen Anzahl an Feldgeräten praktikabel und effizient durchgeführt werden kann.
  • Im Bereich „Zugangskontrolle“ sind Chipkartensysteme (auch Authentifizierungskartensysteme genannt) wie Mitarbeiter-Authentifizierungskarten (sogenannte „Badges“) und Torkarten bekannt. Diese können kontaktlos oder kontaktbehaftet ausgeführt werden und beinhalten neben einem elektronischen Speichermedium und einem Kommunikationsinterface, welches induktiv oder kontaktbehaftet ausgestaltet ist, eine Recheneinheit, welches kryptographische Rechenoperationen durchführen kann. Mittels dieser Systeme kann einem Operator einfach und ohne Passwörter Zugang zu Arealen, beispielsweise Räumen, in einem Unternehmen gewährt oder verweigert werden. Vergleichbare Chipsätze werden auch in Ausweisdokumenten, wie z.B. dem deutschen Personalausweis eingesetzt.
  • Diese Chipkartensysteme bieten gleichzeitig eine flexible Verwaltung der Autorisierung, beispielsweise der ausschließlichen Gewährung des Zugangs zu ausgewählten Räumen innerhalb des Unternehmens, oder Zugangsbeschränkungen zu bestimmten Zeitpunkten. Des Weiteren verfügen diese vielfach über eine Hardware, die anwendungsspezifisch programmiert werden kann und den Zugriff auf die Recheneinheit gestattet.
  • Wesentlich für diese Anmeldung ist, festzuhalten, dass die Chipkartensysteme dabei über eine Recheneinheit, eine Kommunikationsschnittstelle und einen persistenten Speicher verfügen. Beispielsweise werden im elektronischen Personalausweis in diesem Speicher ein Passwort und ein kryptographischer Schlüssel abgelegt. Die Schnittstelle wird zur Energieversorgung genutzt und die Recheneinheit implementiert kryptographische Protokolle, die z.B. zur Passwort- oder Schlüsselüberprüfung dienen. Der wesentliche Unterschied zwischen Sicherheitskarten und konventioneller Digitalelektronik besteht in dem hohen Schutzniveau gegen unberechtigtes Auslesen und Angriffe gegen die Hardware auf sogenannten Seitenkanälen. Beispielsweise wird unterbunden, dass über eine Analyse der Abstrahlung oder des Stromaufnahmeprofils Rückschlüsse auf die in der Sicherheitskarte gespeicherten Passworte und Schlüssel gezogen werden können.
  • Weiterhin sind aus dem Stand der Technik sogenannte kryptographische Zertifikate bekannt. Dabei handelt es sich um digitale Dateien, in denen Informationsfelder verschiedensten Inhalts mit einer digitalen Signatur versehen sind und die digitale Signatur unter Verwendung eines privaten Schlüssels eines privaten/öffentlichen Schlüsselpaars errechnet wurden. Über diese Signatur bestätigt die signierende Stelle in der Regel, die Korrektheit des Inhalts des Datenfelds überprüft zu haben.
  • Besagte Chipkartensysteme benötigen vielfach für Kommunikation und Kryptographieberechnung ein hohes Maß an elektrischer Leistung, beispielsweise einen Strom von 40 mA an 3.3V für 1 Sekunden Rechendauer.
  • Eine Anwendung solcher Chipkartensysteme zur Authentifizierung ist im Zusammenhang mit Feldgeräten bis dato nicht möglich, da das Energiebudget industrieller Feldgeräte den Einsatz solcher Chipkarten nicht gestattet. Im Industriebereich stehen typischerweise maximale Versorgungsleistungen im Bereich von 50 mW pro Feldgerät zur Verfügung. Insbesondere im Ex-Bereich einer Anlage ist die verfügbare elektrische Leistung noch stärker begrenzt. So steht z.B. für die Haupt-Recheneinheit eines Feldgeräts nur ein Leistungsbudget von typisch 5 mW zur Verfügung. Das Speicherbudget eines solchen Feldgeräts ist des Weiteren stark begrenzt. Eine solche energiebegrenzte Recheneinheit gestattet daher gegebenenfalls komplizierte kryptographische Berechnungen nicht, wie diese beispielsweise nach dem für Smartcards heute üblichen IT-Security-Standard RSA angewandt werden.
  • Weiterhin ist konstruktiv der Einbau von Lesegeräten für die Chipkarten in spezielle Gehäuse der Feldgeräte, beispielsweise hygienegeeignete Gehäuse, nicht, oder nur schwer möglich.
  • Selbst in Fällen, bei denen eine Verbindung zu einer Smartcard in einem Feldgerät technisch möglich wäre, ermöglichen Beschränkungen im Dateninterface zur Leitstelle vielfach keinen Zugang zu einer zentralen Benutzerrechteverwaltung.
  • Ausgehend von dieser Problematik liegt der Erfindung die Aufgabe zugrunde, ein Verfahren und eine Bedieneinheit vorzustellen, welches es erlauben, die Sicherheit eines Feldgeräts auf effiziente Art und Weise zu verbessern.
  • Die Aufgabe wird durch ein Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik gelöst, umfassend:
    • - Etablieren einer, insbesondere drahtlosen und/oder drahtgebundenen, Kommunikationsverbindung zwischen dem Feldgerät und einer Bedieneinheit;
    • - Etablieren einer Kommunikationsverbindung zwischen der Authentifizierungskarte und dem Feldgerät unter Verwendung der Bedieneinheit, wobei zumindest das Feldgerät und die Authentifizierungskarte Schlüsselinformationen symmetrischer oder asymmetrischer Art enthalten; und
    • - Durchführen einer zumindest einseitigen Authentifizierung der Authentifizierungskarte am Feldgerät.
  • Der Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass sich ein Bediener auf einfache und effiziente Art und Weise gegenüber einem Feldgerät authentifizieren kann. Dazu benötigt der Bediener zwei Komponenten: eine Bedieneinheit und eine Authentifizierungskarte.
  • Bei der Bedieneinheit handelt es sich beispielsweise um ein handgehaltenes Konfigurationsgerät wie den Field Xpert, welcher von der Anmelderin produziert und vertrieben wird. Es kann sich beispielsweise auch um einen PC oder um einen Laptop handeln. Insbesondere handelt es sich um ein mobiles Endgerät, wie ein Tablet oder ein Smartphone, oder um ein Wearable wie eine Smartwatch. Die Bedieneinheit muss über ein Interface verfügen, welches zur Kommunikation mit der Authentifizierungskarte ausgestaltet ist, um diese auslesen zu können.
  • Bei der Authentifizierungskarte handelt es sich um eine Chipkarte, insbesondere eine Smartcard. Beispiele einer solchen Chipkarte sind bereits im einleitenden Teil der Beschreibung beispielhaft genannt worden.
  • Ein weiterer Vorteil der Erfindung besteht darin, dass die Authentifizierungskarte nicht mit dem Feldgerät direkt kommuniziert, sondern diese Kommunikation über die Bedieneinheit abgewickelt wird. Beruht diese Kommunikation, insbesondere ein Auslesen der Authentifizierungskarte, auf einer drahtlosen Kommunikationsverbindung, so wird die hierfür notwendige elektrische Leistung von der Bedieneinheit geliefert. Das Feldgerät benötigt daher keine erhöhte Energieversorgung, weswegen das erfindungsgemäße Verfahren mit nahezu jedem handelsüblichen Feldgerät ausgeführt werden kann, welches für eine Kommunikationsverbindung mit der Bedieneinheit geeignet ist.
  • Unter einer drahtgebundenen Kommunikationsverbindung zwischen Feldgerät und Bedieneinheit wird beispielsweise eine Kabelverbindung mit der Serviceschnittstelle, bei Feldgeräten der Anmelderin als CDI-Schnittstelle bezeichnet, verstanden. Es kann sich hier aber auch um einen Feldbus der Automatisierungstechnik, beispielsweise HART, Foundation Fieldbus, Profibus, etc. handeln, oder um ein IT-Kommunikationsnetzwerk, beispielsweise Ethernet.
  • Feldgeräte, welche im Zusammenhang mit dem erfindungsgemäßen Verfahren erwähnt werden, sind bereits im einleitenden Teil der Beschreibung beispielhaft genannt worden.
  • Eine vorteilhafte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass nach erfolgreicher Authentifizierung der Authentifizierungskarte am Feldgerät eine authentifizierte und verschlüsselte Sitzung aufgebaut wird, wobei in dieser Sitzung Daten zwischen der Bedieneinheit und dem Feldgerät ausgetauscht werden, beispielsweise unter Nutzung von Protokollen wie AES128GCM oder alternativen authentifizierten Verschlüsselungsverfahren, wie sie z.B. aktuell sich im CESAR-Wettbewerb in der Sicherheitsbewertung befinden (https://competitions.cr.yp.to/caesar.html).
  • Gemäß einer ersten Variante des erfindungsgemäßen Verfahrens ist vorgesehen, dass als Authentifizierung eine asymmetrische Kryptographie verwendet wird, wobei die Authentifizierung die Übermittlung eines ersten Zertifikats mittels der Bedieneinheit von der Authentifizierungskarte an das Feldgerät sowie ein Überprüfen der Gültigkeit des ersten Zertifikats durch eine Signaturprüfung mittels eines im Feldgerät hinterlegten öffentlichen Schlüssels beinhaltet. Die asymmetrische Kryptographie basiert insbesondere auf elliptischen Kurven.
  • Gemäß einer vorteilhaften Ausgestaltung der ersten Variante des erfindungsgemäßen Verfahrens ist vorgesehen, dass im ersten Zertifikat Schlüsselinformationen enthalten sind, die die mindestens einseitige Authentifizierung der Karte am Feldgerät ermöglichen und ein kryptographisches Authentifizierungsprotokoll mittels der im ersten Zertifikat hinterlegten Schlüsselinformation die Authentizität der Karte überprüft.
  • Gemäß einer zweiten Variante des erfindungsgemäßen Verfahrens ist vorgesehen, dass als Authentifizierung eine symmetrische Kryptographie verwendet wird und wobei die Authentifizierung der Karte am Feldgerät mittels eines symmetrischen Authentifizierungsprotokolls mithilfe der im Feldgerät enthaltenen Schlüsselinformationen in Form zumindest eines kryptographischen Schlüssel erfolgt.
  • In einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass zusätzlich eine zumindest einseitige Authentifizierung des Feldgeräts an der Bedieneinheit durchgeführt wird.
  • Eine bevorzugte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass als Authentifizierung eine asymmetrische Kryptographie verwendet wird, wobei die Bedieneinheit ein auf dem Feldgerät enthaltenes, insbesondere im Zuge der Fertigung oder der Inbetriebnahme der Industrieanlage auf dem Feldgerät gespeichertes, zweites Zertifikat ausliest und das Feldgerät mittels des zweiten Zertifikats authentifiziert, wobei im zweiten Zertifikat Schlüsselinformationen enthalten sind, die eine mindestens einseitige Authentifizierung des Feldgeräts an der Bedieneinheit ermöglichen und ein kryptographisches Authentifizierungsprotokoll mittels der im zweiten Zertifikat hinterlegten Schlüsselinformation die Authentizität des Feldgeräts überprüft.
  • Eine alternative Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass als Authentifizierung eine symmetrische Kryptographie verwendet wird und wobei die Authentifizierung des Feldgeräts an der Bedieneinheit mittels eines symmetrischen Authentifizierungsprotokolls erfolgt.
  • In einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass zusätzlich eine zumindest einseitige Authentifizierung der Authentifizierungskarte an der Bedieneinheit durchgeführt wird.
  • Eine bevorzugte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass als Authentifizierung eine asymmetrische Kryptographie verwendet wird, wobei die Bedieneinheit das auf der Authentifizierungskarte enthaltene erste Zertifikat oder ein drittes Zertifikat ausliest und die Bedieneinheit das das Feldgerät mittels des ersten oder des dritten Zertifikats authentifiziert, indem ein kryptographisches Authentifizierungsprotokoll mittels der im ersten oder im dritten Zertifikat hinterlegten Schlüsselinformation die Authentizität der Authentifizierungskarte überprüft.
  • Eine alternative Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass als Authentifizierung eine symmetrische Kryptographie verwendet wird und wobei die Authentifizierung des Feldgeräts an der Bedieneinheit mittels eines symmetrischen Authentifizierungsprotokolls erfolgt.
  • Eine bevorzugte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass als Teilkomponente der Authentifizierung eine Eingabe eines Passworts an der Bedieneinheit erfolgt. Dieser Schritt erhöht die Sicherheit.
  • Gemäß einer bevorzugten Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass nach erfolgter Authentifizierung zumindest eine mit der Authentifizierungskarte verknüpfte Bedienfunktion des Feldgeräts autorisiert, bzw. freigegeben, wird, wobei die Informationen über die freizuschaltenden Bedienfunktionen in einem Datenfeld des ersten Zertifikats enthalten sind.
  • Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass eine mit dem Feldgerät über ein zweites kabelloses oder kabelgebundenes Kommunikationsnetzwerk in Kommunikationsverbindung stehende zentrale Datenbank die zu autorisierende, bzw. freizugebende Bedienfunktion des Feldgeräts ermittelt.
  • Unter Bedienfunktionen werden insbesondere das Anzeigen, bzw. Auslesen aktueller und/oder gespeicherter vergangener Messwerte und/oder Hüllkurven und das Anzeigen, bzw. Auslesen aktueller und/oder gespeicherter Diagnosemeldungen, oder aber auch Parametrierfunktionen verstanden. Die Bedienung erfolgt entweder direkt über die Bedieneinheit, kann aber beispielsweise auch über das Display des Feldgeräts, über Gerätetasten am Gehäuse des Feldgeräts, bzw. im Inneren des Gehäuse des Feldgeräts angeordnete Tasten, oder über eine Serviceschnittstelle des Feldgeräts erfolgen. Unter Parametrierfunktionen werden insbesondere Funktionen zum Anzeigen und Ändern der Parameterwerte des Feldgeräts verstanden.
  • Besagte zentrale Datenbank ist beispielsweise in einer Rechnereinheit oder in einem Server, insbesondere auf der MES-Ebene, implementiert. Bei dem zweiten Kommunikationsnetzwerk handelt es sich beispielsweise um einen Feldbus der Automatisierungstechnik. In einem solchen Fall kann die Datenbank in der Leitebene der Anlage angeordnet sein und beispielsweis in einer übergeordneten Einheit implementiert sein. Im Falle, dass das zweite Kommunikationsnetzwerk drahtlos ausgestaltet ist, handelt es sich bei diesem insbesondere um GSM, UMTS, LTE, 5G, etc.
  • Alternativ handelt es sich bei dem zweiten Kommunikationsnetzwerk um das Internet, bzw. an ein auf Internet-Protokollen basierendes Netzwerk, welches einen Zugriff auf das Internet oder ein sogenanntes Anlageninternes Intranet ermöglicht. Die Datenbank kann sich in diesem Fall auch außerhalb der Anlage befinden. Insbesondere ist die Datenbank cloudfähig ausgestaltet, falls diese über das Internet kontaktierbar ist.
  • Gemäß einer bevorzugten Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass eine zumindest einseitige Authentifizierung der der Datenbank am Feldgerät durchgeführt wird, insbesondere unter Verwendung einer asymmetrischen Kryptographie. Auch hier kann auf diese Art und Weise sichergestellt werden, dass es sich um die vorgesehene, sichere Datenbank handelt und um keine manipulierte Einheit.
  • Eine vorteilhafte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass das Auslesen des ersten Zertifikats aus der Authentifizierungskarte mittels der Bedieneinheit kontaktlos, insbesondere mittels einer Funkverbindung, oder mittels eines Kontakts, insbesondere mittels eines integrierten oder als Zusatzmodul ausgestalteten Kartenlesers, erfolgt. Das kontaktlose Auslesen des ersten Zertifikats erfolgt insbesondere mittels RFID oder NFC. Es kann hierbei auch vorgesehen sein, dass die Authentifizierungskarte in der Form einer SIM-Karte ausgestaltet ist.
  • Eine bevorzugte Weiterbildung des erfindungsgemäßen Verfahrens sieht vor, dass für das Freischalten von der zumindest einen mit der Berechtigungsstufe verknüpften Bedienfunktion des Feldgeräts oder im Rahmen zumindest einer der Authentifizierungen zusätzlich eine Eingabe eines Passworts, einer Pins, oder einer Transaktionsnummer oder das Betätigen eines Schalters, bzw. Knopfs am Feldgerät erfolgen muss. Hierdurch wird die Sicherheit für das autorisierte Freischalten der Berechtigungsstufe erhöht.
  • Eine weitere bevorzugte Weiterbildung des erfindungsgemäßen Verfahrens sieht vor, dass die Gültigkeit der Zertifikate nur innerhalb eines definierten Zeitraums erfolgreich geprüft werden kann, wobei das jeweilige Zertifikataußerhalb des definierten Zeitraums als ungültig geprüft wird. Hierbei kann vorgesehen sein, für die jeweiligen Zertifikaten jeweils unterschiedliche Zeiträume zu definieren, oder die Zeiträume nur für ausgewählte Zertifikate zu definieren.
  • Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die Authentifizierungskarte vorab in der mobilen Einheit integriert wird. Hierfür kann vorgesehen sein, dass die Authentifizierungskarte als elektronisches Modul direkt in der Elektronikeinheit der Bedieneinheit integriert ist und beschreibbar ausgestaltet ist.
  • Gemäß einer alternativen vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die Authentifizierungskarte vorab in ein Kleidungsstück oder in ein Werkzeug integriert wird. Bei dem Kleidungsstück kann es sich beispielsweise um einen Helm oder einen Handschuh handeln. Beispielsweise kann es sich um jedes beliebige Kleidungsstück oder Werkzeug eines Servicetechnikers handeln, welches er beim Betreten der Anlage trägt.
  • In einer bevorzugten Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass als asymmetrische Kryptographie ein Lattice-basiertes Authentifizierungsverfahren oder ein voll-homomorphes Verschlüsselungssystem verwendet wird. Diese Verfahrensklasse ermöglichen es, komplexe Berechnungen, zu denen des Feldgerät selbst nicht in der Lage ist, auf die Bedieneinheit auszulagern, ohne dass kryptographische Angriffe möglich werden. Es wird damit möglich, die kryptographieberechnungen zu delegieren. Das ist insbesondere dann vorteilhaft, wenn Angriffe mit Quantencomputer praktikabel werden sollten und zur kryptographischen Absicherung erheblich aufwändigere Algorithmen erforderlich machen.
  • Des Weiteren wird die Aufgabe durch eine Bedieneinheit gelöst, welche dazu ausgestaltet ist, das erfindungsgemäße Verfahren durchzuführen.
  • Die Erfindung wird anhand der nachfolgenden Figuren näher erläutert. Es zeigt
    • 1: einen schematischen Überblick über ein Anwendungsbeispiel des erfindungsgemäßen Verfahrens; und
    • 2: ein Ausführungsbeispiel eines Ablaufdiagramms des erfindungsgemäßen Verfahrens.
  • 1 zeigt einen schematischen Überblick über ein Anwendungsbeispiel des erfindungsgemäßen Verfahrens. Gezeigt ist ein Feldgerät FG, welches in einer Messstelle einer Prozessanlage eingesetzt ist. Bei dem Feldgerät FG handelt es sich um ein Feldgerät der Prozessautomatisierung zur Erfassung einer Prozessgröße, wie z.B. dem Druck oder dem Durchflusswert in einer Rohrleitung. Weitere Anwendungen eines solchen Feldgeräts FG sind bereits im einleitenden Teil der Beschreibung ausführlich erläutert worden. Das Feldgerät verfügt über eine beispielsweise drahtlos ausgeführte erste Kommunikationsschnittstelle KS1 zur Verbindung mit einer Bedieneinheit BE, welches ebenfalls eine erste, zur ersten Kommunikationsschnittstelle KS1 des Feldgeräts FG korrespondierende, erste Kommunikationsschnittstelle KS1' verfügt. Das Feldgerät FG und die Bedieneinheit BE kommunizieren über die ersten Kommunikationsschnittstellen KS1, KS1' via einem ersten Kommunikationsnetzwerk KN1. Das erste Kommunikationsnetzwerk KN1 ist beispielsweise nach dem Bluetooth- oder WLAN-Standard ausgestaltet. Alternativ ist das erste Kommunikationsnetzwerk KN1 drahtgebunden ausgestaltet.
  • Die Bedieneinheit BE verfügt über eine zweite Kommunikationsschnittstelle KS2 zur Verbindung mit einer Authentifizierungskarte AK, beispielsweise auf Basis eines Standards wie RFID oder Near-Field-Communication (NFC), oder einem anderen handelsüblichen Drahtlosstandard für Authentifizierungskarten AK. Alternativ kann die Bedieneinheit BE auch über einen externen oder internen angeschlossenen Kartenleser enthalten, welcher als zweite Kommunikationsschnittstelle KS2 dient.
  • In der Anlage befindet sich ein MES-System in dem eine zentrale Datenbank DB zur Verwaltung von Zugangs- und/oder Schlüsseldaten verfügbar ist.
  • In der folgenden Beschreibung wird Bezug genommen auf ein Ausführungsbeispiel auf der Basis von asymmetrischer Kryptographie und Zertifikaten ZFFG , ZFAK , ZFBE . Diese Variante hat Vorteile bezogen auf die Sicherheit, benötigt aber vergleichsweise viel Rechenleistung. Alternativ kann auch bei Verzicht auf Schutz gegen verschiedene Angriffe eine symmetrische Verschlüsselung eingesetzt werden.
  • Alle Teilkomponenten (Feldgerät FG, Authentifizierungskarte AK, zentrale Datenbank DB) verfügen über einen privaten kryptographischen Schlüssel PSDB , PSFG , PSAK , PSBE und einen zugehörigen öffentlichen Schlüssel ÖSDB , ÖSFG , ÖSAK , ÖSBE . Vorteilhafterweise wird der öffentliche Schlüssel ÖSDB der zentralen Datenbank DB im Feldgerät FG, in der Bedieneinheit BE und in der Authentifizierungskarte AK bei der Inbetriebnahme der jeweiligen Komponente FG, BE, AK in der Anlage persistent gespeichert. Die Datenbank selbst enthält eine Kopie der öffentlichen Schlüssel ÖSFG , ÖSAK , ÖSBE der Teilkomponenten FG, BE, AK, um diese Teilkomponenten FG, BE, AK der Datenbank DB gegenüber authentifizieren zu können.
  • Weiterhin erhalten die Teilkomponenten FG, BE, AK bei der Inbetriebnahme Zertifikate ZFFG , ZFAK , ZFBE , in denen der jeweilige öffentliche Schlüssel ÖSFG , ÖSAK , ÖSBE hinterlegt ist, und Signaturen SigDB , welche mittels des privaten Schlüssels PSDB der Datenbank DB erstellt wurden.
  • Im Fall der Authentifizierungskarte AK oder der Bedieneinheit BE werden im jeweiligen Zertifikat ZFAK , ZFBE vorteilhafterweise auch Autorisierungsinformationen über das Ausmaß, bzw. die Berechtigungsstufe der Zugangsgewährung hinterlegt. So können, bedingt durch die erfolgreiche Authentifizierung, Bedienfunktionen am Feldgerät FG freigeschaltet werden. Ob Bedienfunktionen freigeschaltet werden, bzw. welche Bedienfunktionen freigeschaltet werden, ist in besagter Berechtigungsstufe der Zugangsgewährung festgelegt. Mithilfe dieser Stufen lassen sich auch unterschiedliche Benutzergruppen (junior, senior, etc.) definieren, welche zueinander verschiedene Berechtigungsstufen aufweisen.
  • Die Zertifikate ZFFG , ZFAK , ZFBE enthalten vorteilhafter Weise auch Verfallsdaten. Nach Ablauf des Verfallsdatums wird ein jeweiliges Zertifikat ZFFG , ZFAK , ZFBE ungültig geprüft.
  • Damit werden kryptographische Authentifizierungsprotokolle möglich, welche sicherstellen, dass alle beteiligten Teilkomponenten FG, BE, AK zur Anlage zugehörig sind. Die Authentifizierung beinhaltet dabei in der Regel zwei Schritte. Zusätzlich zur Prüfung des jeweiligen Zertifikats ZFFG , ZFAK , ZFBE mittels des öffentlichen Schlüssels ÖSDB der zentralen Datenbank DB, welcher in der Inbetriebnahme den Teilkomponenten FG, BE, AK jeweils übermittelt und persistent gespeichert wird, wird in der Regel noch ein Authentifizierungsprotokoll zwischen den an der Authentifizierungsprüfung beteiligten Teilkomponenten FG, BE, AK eingesetzt.
  • Im Falle der Authentifizierungskarte AK können auf der Authentifizierungskarte AK auch Informationen über ein Passwort hinterlegt werden, welche eine Passwortüberprüfung über ein kryptographisches Protokoll gestatten, beispielsweise unter Verwendung eines augmentierten Password-Authenticated-Key-Exchange-Protokolls. Derartige Protokolle sind in vielen Authentifizierungskarten integriert, z.B. auch im deutschen Personalausweis, das sogenannte PACE(Password Authenticated Connection Establishment)-Protokoll.
  • 2 zeigt ein Ausführungsbeispiel eines Ablaufdiagramms. Die Zahlen in Klammern geben die jeweils ausgeführten Verfahrensschritte an. In diesem Ausführungsbeispiel überprüft die Bedieneinheit BE nach einem Verbindungsaufbau (1) zum Feldgerät FG mittels des öffentlichen Schlüssels der zentralen Datenbank DB und dem im Zertifikat ZFFG des Feldgeräts FG enthaltenen privaten Schlüssels PSDB der zentralen Datenbank DB zunächst, ob das Feldgerät FG authentisch ist und zur Anlage gehört (3). Hierfür wird zuerst das Zertifikat ZFFG an die Bedieneinheit BE übermittelt (2).
  • Ist das Zertifikat ZFFG nicht korrekt, erfolgt ein Abbruch (x). Ist das Zertifikat ZFFG korrekt, übermittelt die Bedieneinheit BE eine Zufallszahl an das Feldgerät FG und lässt diese Zufallszahl vom Feldgerät signieren (4). Die Bedieneinheit BE überprüft anschließend die vom Feldgerät FG erzeugte Signatur auf Korrektheit (5). Ist diese nicht korrekt, so erfolgt ein Abbruch (x).
  • Ist diese Signatur korrekt, wird anschließend vom Feldgerät FG geprüft, ob eine Authentifizierungskarte AK verfügbar ist. Falls ja, wird die Authentifizierungskarte AK am Feldgerät FG authentifiziert. Hierfür fordert das Feldgerät FG das Zertifikat ZFAK und den öffentlichen Schlüssel ÖSAK der Authentifizierungskarte AK an (6). Das Zertifikat ZFAK enthält den privaten Schlüssel PSAK der Authentifizierungskarte AK und Informationen über freizugebende Bedienfunktionen des Feldgeräts FG. Anschließend überprüft das Feldgerät FG das Zertifikat ZFAK Korrektheit (7). Liegt diese nicht vor, so erfolgt ein Abbruch (x).
  • Liegt diese vor, so fordert die Authentifizierungskarte AK gegebenenfalls eine Passwortüberprüfung (8). Der Bediener gibt hierfür das Passwort in der Bedieneinheit BE ein (9). Authentifizierungskarte AK und Bedieneinheit BE führen dabei ein Protokoll zur Passwortüberprüfung aus. Die Korrektheit der Passwortüberprüfung zwischen der Bedieneinheit BE und der Authentifizierungskarte AK wird dem Feldgerät FG über ein kryptographisches Protokoll bestätigt. Gegebenenfalls wird hierfür das PACE-Protokoll verwendet (10) und das Ergebnis auf Korrektheit überprüft (11). Liegt Korrektheit vor, so übermittelt das Feldgerät FG eine Zufallszahl an die Authentifizierungskarte AK und lässt diese von der Authentifizierungskarte zur Bestätigung der erfolgreichen Passwort-Prüfung signieren (12). Abschließend überprüft das Feldgerät FG die Signatur der Zufallszahl auf Korrektheit (13). Falls die Korrektheit nicht erfolgreich überprüft werden kann, erfolgt ein Abbruch (x). Falls die Korrektheit erfolgreich überprüft werden kann, wird eine sichere Sitzung zwischen Feldgerät FG und Bedieneinheit BE aufgebaut und gegebenenfalls die auf der Authentifizierungskarte AK definierten Funktionen des Feldgeräts FG auf der Bedieneinheit BE freigegeben (14).
  • Nur sofern alle erforderlichen wechselseitigen Authentifizierungen erfolgreich abgeschlossen sind, erfolgt die Generierung eines Sitzungsschlüssels zwischen der Bedieneinheit BE und dem Feldgerät FG und der Aufbau einer sogenannten Sitzung (Session) und gegebenenfalls die Freigabe einer oder mehrerer Bedienfunktionen des Feldgeräts FG auf der Bedieneinheit BE (14). Einem Unbefugten ist es somit so gut wie unmöglich, das Feldgerät FG ohne authentische Teilkomponenten BE, AK und ohne Kenntnis des Passworts zu bedienen.
  • Im vorliegenden Beispiel beinhaltet die Authentifizierung
    • • eine Authentifizierung des Feldgeräts FG an der Bedieneinheit BE,
    • • eine Authentifizierung des Bedieners/der Bedieneinheit BE (über Password) an der Authentifizierungskarte, und
    • • eine Authentifizierung der Authentifizierungskarte AK, also implizit des Bedieners, am Feldgerät FG.
  • Es sind erfindungsgemäß ebenso andere Kombinationen der wechselseitigen Authentifizierung möglich. Beispielsweise könnte es erforderlich sein zusätzlich die Bedieneinheit BE am Feldgerät FG zu authentifizieren oder auf die Authentifizierung des Feldgeräts FG an der Bedieneinheit BE, wie in 2 gezeigt, oder auf die Komponente der Passwortüberprüfung zu verzichten. Der Fachmann wird je nach Sicherheitsanforderung der konkreten Anwendung die notwenige Kombination von Authentifizierungsverfahren wählen. Vorteilhafterweise wird für die Authentifizierung ein Protokoll eingesetzt, welches als Ergebnis des Authentifizierungsprozesses direkt einen Sitzungsschlüssel generiert.
  • Wesentlich für das erfindungsgemäße Verfahren ist, dass aus Anwendersicht die Authentifizierungskarte AK und/oder das Passwort vorgewiesen werden muss, um erfolgreich eine Sitzung zwischen dem Feldgerät FG und der Bedieneinheit BE aufbauen zu können. Insbesondere bei Verzicht auf ein Passwort kann so ein hoher Bedienkomfort in Kombination mit einem sehr hohen Maß an Sicherheit ermöglicht werden.
  • In einer vorteilhaften Weiterbildung tauscht eine der Teilkomponenten, beispielsweise das Feldgerät FG, auch Informationen direkt mit der Datenbank DB aus, beispielsweise um die Korrektheit eines Zertifikats ZFFG , ZFAK , ZFBE zusätzlich zu überprüfen, oder um Autorisierungsinformationen, bzw. freizugebende Bedienfunktionen des Feldgeräts FG zu beziehen.
  • Bezugszeichenliste
    • 1, 2, ..., x
    Verfahrensschritte
    AK
    Authentifizierungskarte
    BE
    Bedieneinheit
    DB
    Zentrale Datenbank
    FG
    Feldgerät
    KN1
    erstes Kommunikationsnetzwerk
    KN2
    zweites Kommunikationsnetzwerk
    KS1, KS1'
    erste Kommunikationsschnittstelle des Feldgeräts, bzw. der Bedieneinheit
    KS2
    zweite Kommunikationsschnittstelle der Bedieneinheit
    ÖSDB, ÖSFG, ÖSAK, ÖSBE
    Öffentliche Schlüssel
    PSDB, PSFG, PSAK, PSBE
    private Schlüssel
    SigDB
    Signatur
    ZFFG, ZFAK, ZFBE
    Zertifikate

Claims (22)

  1. Verfahren zum Betreiben eines Feldgeräts (FG) der Automatisierungstechnik, umfassend: - Etablieren einer, insbesondere drahtlosen und/oder drahtgebundenen, Kommunikationsverbindung zwischen dem Feldgerät (FG) und einer Bedieneinheit (BE); - Etablieren einer Kommunikationsverbindung zwischen einer Authentifizierungskarte (AK) und dem Feldgerät (FG) unter Verwendung der Bedieneinheit (BE), wobei zumindest das Feldgerät (FG) und die Authentifizierungskarte (AK) Schlüsselinformationen (PSFG, PSAK, ÖSFG, ÖSAK) symmetrischer oder asymmetrischer Art enthalten; und - Durchführen einer zumindest einseitigen Authentifizierung der Authentifizierungskarte (AK) am Feldgerät (FG).
  2. Verfahren nach Anspruch 1, wobei nach erfolgreicher Authentifizierung der Authentifizierungskarte (AK) am Feldgerät (FG) eine authentifizierte und verschlüsselte Sitzung aufgebaut wird, wobei in dieser Sitzung Daten zwischen der Bedieneinheit (BE) und dem Feldgerät (FG) ausgetauscht werden.
  3. Verfahren nach zumindest einem der Ansprüche 1 oder 2, wobei als Authentifizierung eine asymmetrische Kryptographie verwendet wird, wobei die Authentifizierung die Übermittlung eines ersten Zertifikats (ZFAK) mittels der Bedieneinheit (BE) von der Authentifizierungskarte (AK) an das Feldgerät (FG) sowie ein Überprüfen der Gültigkeit des ersten Zertifikats (ZFAK) durch eine Signaturprüfung mittels eines im Feldgerät (FG) hinterlegten öffentlichen Schlüssels (ÖSDB) beinhaltet.
  4. Verfahren nach Anspruch 3, wobei im ersten Zertifikat (ZFAK) Schlüsselinformationen (ÖSAK) enthalten sind, die die mindestens einseitige Authentifizierung der Karte am Feldgerät (FG) ermöglichen und ein kryptographisches Authentifizierungsprotokoll mittels der im ersten Zertifikat (ZFAK) hinterlegten Schlüsselinformationen (ÖSAK) die Authentizität der Authentifizierungskarte (AK) überprüft.
  5. Verfahren nach zumindest einem der Ansprüche 1 oder 2, wobei als Authentifizierung eine symmetrische Kryptographie verwendet wird und wobei die Authentifizierung der Authentifizierungskarte (AK) am Feldgerät (FG) mittels eines symmetrischen Authentifizierungsprotokolls mithilfe der im Feldgerät (FG) enthaltenen Schlüsselinformationen (ÖSAK) in Form zumindest eines kryptographischen Schlüssels erfolgt.
  6. Verfahren nach zumindest einem der vorherigen Ansprüche, wobei zusätzlich eine zumindest einseitige Authentifizierung des Feldgeräts (FG) an der Bedieneinheit (BE) durchgeführt wird.
  7. Verfahren nach Anspruch 6, wobei als Authentifizierung eine asymmetrische Kryptographie verwendet wird, wobei die Bedieneinheit (BE) ein auf dem Feldgerät (FG) enthaltenes, insbesondere im Zuge der Fertigung auf dem Feldgerät (FG) gespeichertes, zweites Zertifikat (ZFFG) ausliest und das Feldgerät (FG) mittels des zweiten Zertifikats (ZFFG) authentifiziert, wobei im zweiten Zertifikat (ZFFG) Schlüsselinformationen (ÖSFG) enthalten sind, die eine mindestens einseitige Authentifizierung des Feldgeräts (FG) an der Bedieneinheit (BE) ermöglichen und ein kryptographisches Authentifizierungsprotokoll mittels der im zweiten Zertifikat (ZFFG) hinterlegten Schlüsselinformationen (ÖSAK) die Authentizität des Feldgeräts (FG) überprüft.
  8. Verfahren nach Anspruch 6, wobei als Authentifizierung eine symmetrische Kryptographie verwendet wird und wobei die Authentifizierung des Feldgeräts (FG) an der Bedieneinheit (BE) mittels eines symmetrischen Authentifizierungsprotokolls erfolgt.
  9. Verfahren nach zumindest einem der vorherigen Ansprüche, wobei zusätzlich eine zumindest einseitige Authentifizierung der Authentifizierungskarte (AK) an der Bedieneinheit (BE) durchgeführt wird.
  10. Verfahren nach Anspruch 9, wobei als Authentifizierung eine asymmetrische Kryptographie verwendet wird, wobei die Bedieneinheit (BE) das auf der Authentifizierungskarte (AK) enthaltene erste Zertifikat (ZFAK) oder ein drittes Zertifikat ausliest und die Bedieneinheit das Feldgerät (FG) mittels des ersten (ZFAK) oder des dritten Zertifikats authentifiziert, indem ein kryptographisches Authentifizierungsprotokoll mittels der im ersten (ZFAK) oder im dritten Zertifikat hinterlegten Schlüsselinformation (ÖSAK) die Authentizität der Authentifizierungskarte (AK) überprüft.
  11. Verfahren nach Anspruch 9, wobei als Authentifizierung eine symmetrische Kryptographie verwendet wird und wobei die Authentifizierung des Feldgeräts (FG) an der Bedieneinheit (BE) mittels eines symmetrischen Authentifizierungsprotokolls erfolgt.
  12. Verfahren nach zumindest einem der Ansprüche 9 bis 11, wobei als Teilkomponente der Authentifizierung eine Eingabe eines Passworts an der Bedieneinheit (BE) erfolgt.
  13. Verfahren nach zumindest einem der vorherigen Ansprüche, wobei nach erfolgter Authentifizierung zumindest eine mit der Authentifizierungskarte (AK) verknüpfte Bedienfunktion des Feldgeräts (FG) autorisiert, bzw. freigegeben, wird, wobei die Informationen über die freizuschaltenden Bedienfunktionen in einem Datenfeld des ersten Zertifikats (ZFAK) enthalten sind.
  14. Verfahren nach Anspruch 13, wobei eine mit dem Feldgerät (FG) über ein zweites kabelloses oder kabelgebundenes Kommunikationsnetzwerk (KN2) in Kommunikationsverbindung stehende zentrale Datenbank (DB) die zu autorisierende, bzw. freizugebende Bedienfunktion des Feldgeräts (FG) ermittelt.
  15. Verfahren nach Anspruch 14 wobei eine zumindest einseitige Authentifizierung der der zentralen Datenbank (DB) am Feldgerät (FG) durchgeführt wird, insbesondere unter Verwendung einer asymmetrischen Kryptographie.
  16. Verfahren nach zumindest einem der vorherigen Ansprüche, wobei das Auslesen des ersten Zertifikats (ZFAK) aus der Authentifizierungskarte (AK) mittels der Bedieneinheit (BE) kontaktlos, insbesondere mittels einer Funkverbindung, oder kontaktgebunden, insbesondere mittels eines integrierten oder als Zusatzmodul ausgestalteten Kartenlesers, erfolgt.
  17. Verfahren nach zumindest einem der vorherigen Ansprüche, wobei für das Freischalten von der zumindest einen mit der Berechtigungsstufe verknüpften Bedienfunktion des Feldgeräts (FG) oder im Rahmen zumindest einer der Authentifizierungen zusätzlich eine Eingabe eines Passworts, einer Pins, oder einer Transaktionsnummer oder das Betätigen eines Schalters, bzw. Knopfs am Feldgerät (FG) erfolgen muss.
  18. Verfahren nach zumindest einem der vorherigen Ansprüche, wobei die Gültigkeit der Zertifikate (ZFAK, ZFFG) nur innerhalb eines definierten Zeitraums erfolgreich geprüft werden kann, wobei das jeweilige Zertifikat (ZFAK, ZFFG) außerhalb des definierten Zeitraums als ungültig geprüft wird.
  19. Verfahren nach zumindest einem der vorherigen Ansprüche, wobei die Authentifizierungskarte (AK) vorab in der Bedieneinheit (BE) integriert wird.
  20. Verfahren nach zumindest einem der Ansprüche 1 bis 18, wobei die Authentifizierungskarte (AK) vorab in ein Kleidungsstück oder in ein Werkzeug integriert wird.
  21. Verfahren nach zumindest einem der Ansprüche 3, 4, 7, 10 und 15, wobei als asymmetrische Kryptographie ein Lattice-basiertes Authentifizierungsverfahren oder ein voll-homomorphes Verschlüsselungssystem verwendet wird.
  22. Bedieneinheit (BE), welche dazu ausgestaltet ist, das Verfahren nach einem der Ansprüche 1 bis 21 durchzuführen.
DE102017106777.9A 2017-03-29 2017-03-29 Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik und eine Bedieneinheit zum Durchführen des Verfahrens Pending DE102017106777A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102017106777.9A DE102017106777A1 (de) 2017-03-29 2017-03-29 Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik und eine Bedieneinheit zum Durchführen des Verfahrens
CN201810255069.7A CN108696500B (zh) 2017-03-29 2018-03-22 操作自动化技术现场设备的方法和执行该方法的操作单元
US15/938,203 US10938804B2 (en) 2017-03-29 2018-03-28 Method for operating a field device of automation technology and an operating unit for carrying out the method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017106777.9A DE102017106777A1 (de) 2017-03-29 2017-03-29 Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik und eine Bedieneinheit zum Durchführen des Verfahrens

Publications (1)

Publication Number Publication Date
DE102017106777A1 true DE102017106777A1 (de) 2018-10-04

Family

ID=63525385

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017106777.9A Pending DE102017106777A1 (de) 2017-03-29 2017-03-29 Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik und eine Bedieneinheit zum Durchführen des Verfahrens

Country Status (3)

Country Link
US (1) US10938804B2 (de)
CN (1) CN108696500B (de)
DE (1) DE102017106777A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111901355A (zh) * 2020-08-04 2020-11-06 北京天融信网络安全技术有限公司 一种认证方法及装置

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016106179B4 (de) * 2016-04-05 2019-03-28 Endress+Hauser Flowtec Ag Feldgerät der Mess- und Automatisierungstechnik
US10491404B1 (en) * 2018-09-12 2019-11-26 Hotpyp, Inc. Systems and methods for cryptographic key generation and authentication
US11234125B2 (en) * 2019-08-09 2022-01-25 Rosemount Inc. Two-factor authentication for wireless field devices
DE102019125092A1 (de) * 2019-09-18 2021-03-18 Endress+Hauser SE+Co. KG System und Verfahren zum manipulationssicheren Verwalten von Daten eines Feldgeräts der Automatisierungstechnik
DE102019125417A1 (de) * 2019-09-20 2021-03-25 Endress+Hauser Process Solutions Ag Verfahren zur Validierung oder Verifikation eines Feldgeräts
DE102019130067B4 (de) * 2019-11-07 2022-06-02 Krohne Messtechnik Gmbh Verfahren zur Durchführung einer erlaubnisabhängigen Kommunikation zwischen wenigstens einem Feldgerät der Automatisierungstechnik und einem Bediengerät
CN111047257A (zh) * 2019-12-09 2020-04-21 中铝国际工程股份有限公司 一种基于5g网络的生产订单管理***
DE102019135268A1 (de) * 2019-12-19 2021-06-24 Endress+Hauser Process Solutions Ag Übertragung von Sicherheitseinstellungen zwischen einem ersten und einem zweiten Feldgerät der Automatisierungstechnik
DE102020109896A1 (de) 2020-04-08 2021-10-14 Endress + Hauser Process Solutions Ag Verfahren zum Verschlüsseln von Daten eines Feldgeräts

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1535247B1 (de) * 2002-07-19 2010-07-21 Ident Technology AG System zur unfallverhütung
US20140281480A1 (en) * 2013-03-15 2014-09-18 Vmware, Inc. Systems and methods for providing secure communication
DE102014112611A1 (de) * 2014-09-02 2016-03-03 Endress + Hauser Conducta Gesellschaft für Mess- und Regeltechnik mbH + Co. KG Verfahren zur Authentifikation mindestens einer ersten Einheit an mindestens einer zweiten Einheit

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7010366B2 (en) * 2001-07-06 2006-03-07 Endress & Hauser Wetzer Gmbh & Co. Kg Field device with display
DE102005048996A1 (de) * 2005-10-11 2007-04-12 Endress + Hauser Gmbh + Co. Kg Verfahren zum sicheren Versenden von Daten eines Feldgerätes der Prozessautomatisierungstechnik
DE102007038061A1 (de) * 2007-08-10 2009-02-12 Endress + Hauser Gmbh + Co. Kg Modular aufgebautes Feldgerät der Prozessautomatisierungstechnik
DE102011082962A1 (de) * 2011-09-19 2013-01-24 Siemens Aktiengesellschaft System und Verfahren zur Bereitstellung eines Steuerungsprogrammcodes
US10834820B2 (en) * 2013-08-06 2020-11-10 Bedrock Automation Platforms Inc. Industrial control system cable
US20130201316A1 (en) * 2012-01-09 2013-08-08 May Patents Ltd. System and method for server based control
DE102012212412A1 (de) * 2012-06-29 2014-01-02 Siemens Ag Netzwerkeinrichtung und Verfahren zum Betreiben einer Netzwerkeinrichtung für ein Automatisierungsnetzwerk
DE102012106652A1 (de) * 2012-07-23 2014-01-23 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Automatisierungstechnik
DE102012108990A1 (de) * 2012-09-24 2014-05-15 Endress + Hauser Process Solutions Ag Verfahren zum Lokalisieren eines Feldgerätes in einer Automatisierungsanlage
US9881250B2 (en) * 2013-06-07 2018-01-30 Fisher Controls International Llc Methods and apparatus for RFID communications in a process control system
US10613567B2 (en) * 2013-08-06 2020-04-07 Bedrock Automation Platforms Inc. Secure power supply for an industrial control system
DE102014110385B4 (de) * 2014-07-23 2018-01-11 Endress+Hauser Conducta Gmbh+Co. Kg Eigensicherer Funkdongle für ein Feldgerät
CN104468124B (zh) * 2014-12-22 2018-04-27 联想(北京)有限公司 基于ssl的认证方法及电子设备
DE102015121809A1 (de) * 2015-12-15 2017-06-22 Endress+Hauser Conducta Gmbh+Co. Kg Funkdongle und Verfahren zur drahtlosen Übertragung von Daten von einem Computer zu zumindest einem Feldgerät
CN105744524B (zh) * 2016-05-06 2019-03-22 重庆邮电大学 一种wia-pa工业无线网络中移动设备入网认证方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1535247B1 (de) * 2002-07-19 2010-07-21 Ident Technology AG System zur unfallverhütung
US20140281480A1 (en) * 2013-03-15 2014-09-18 Vmware, Inc. Systems and methods for providing secure communication
DE102014112611A1 (de) * 2014-09-02 2016-03-03 Endress + Hauser Conducta Gesellschaft für Mess- und Regeltechnik mbH + Co. KG Verfahren zur Authentifikation mindestens einer ersten Einheit an mindestens einer zweiten Einheit

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Digitale Signatur. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 3. März 2017. URL: https://de.wikipedia.org/w/index.php?title=Digitale_Signatur&oldid=163217000 [abgerufen am 8. Dezember 2017] *
Digitale Signatur. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 3. März 2017. URL: https://de.wikipedia.org/w/index.php?title=Digitale_Signatur&oldid=163217000 [abgerufen am 8. Dezember 2017]
Mobile identity management. In: Wikipedia, The Free Encyclopedia. Bearbeitungsstand: 28. März 2017. URL: https://en.wikipedia.org/wiki/System_Management_Mode?oldid=162012639 [abgerufen am 8. Dezember 2017] *
Mobile identity management. In: Wikipedia, The Free Encyclopedia. Bearbeitungsstand: 28. März 2017. URL: https://en.wikipedia.org/wiki/System_Management_Mode?oldid=162012639 [abgerufen am 8. Dezember 2017]

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111901355A (zh) * 2020-08-04 2020-11-06 北京天融信网络安全技术有限公司 一种认证方法及装置
CN111901355B (zh) * 2020-08-04 2022-09-16 北京天融信网络安全技术有限公司 一种认证方法及装置

Also Published As

Publication number Publication date
US10938804B2 (en) 2021-03-02
CN108696500A (zh) 2018-10-23
CN108696500B (zh) 2021-08-31
US20180288039A1 (en) 2018-10-04

Similar Documents

Publication Publication Date Title
DE102017106777A1 (de) Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik und eine Bedieneinheit zum Durchführen des Verfahrens
EP2859705B1 (de) Autorisierung eines nutzers durch ein tragbares kommunikationsgerät
EP3391278B1 (de) Id-token mit geschütztem mikrocontroller
EP3410241B1 (de) Verfahren zur sicheren kommunikation mit einem feldmessgerät der prozesstechnik und entsprechendes feldmessgerät
EP3465513B1 (de) Nutzerauthentifizierung mittels eines id-tokens
DE112013002396T5 (de) Anwendungsprogrammausführungsgerät
EP3336732B1 (de) Nutzerauthentifizierung mit einer mehrzahl von merkmalen
EP3298350A1 (de) System und verfahren zum intelligenten koppeln und anbinden mobiler endgeräte an ein koordinatenmessgerät
WO2011072952A1 (de) Vorrichtung und verfahren zum gewähren von zugriffsrechten auf eine wartungsfunktionalität
WO2016041843A1 (de) Verfahren und anordnung zur autorisierung einer aktion an einem selbstbedienungssystem
EP4078916B1 (de) Übertragung von sicherheitseinstellungen zwischen einem ersten und einem zweiten feldgerät der automatisierungstechnik
EP3336736B1 (de) Hilfs-id-token zur multi-faktor-authentifizierung
DE102015011336A1 (de) Farbcodezertifikatsserver
EP2764671A1 (de) Markieren unsicherer daten durch ein nfc-modul
DE102017111475A1 (de) Zutrittskontrollvorrichtung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich
EP4258599A1 (de) Ausbilden einer kryptographisch geschützten verbindung
EP4141713A1 (de) Verfahren zum zuordnen eines digitalen modells zu einer physikalischen komponente eines automatisierungssystems, automatisierungssystem und fertigungsanlage
EP3671669A1 (de) Zugangskontrollvorrichtung und verfahren zur überprüfung einer zugangsanfrage in einer zugangskontrollvorrichtung
EP4295533A1 (de) Authentisierung unter verwendung einer mehrzahl von elektronischen identitäten
DE102010013200A1 (de) System zum Eingeben eines Geheimnisses
EP3758320A1 (de) Geräte und verfahren zum überprüfen von geräten
DE102020115033A1 (de) System zum Betrieb eines USB-Geräts
EP2890078A1 (de) Verfahren und Vorrichtungen zum Verwenden eines Sicherheitselements mit einem mobilen Endgerät
EP3461162A1 (de) Verfahren, kommunikationspartner und system zum rechnergestützten erzeugen einer kryptographisch geschützten kommunikationsverbindung zwischen einem ersten kommunikationspartner und einem zweiten kommunikationspartner
DE102016123787A1 (de) Chipimplantat mit Zweifaktorauthentifizierung

Legal Events

Date Code Title Description
R163 Identified publications notified
R082 Change of representative

Representative=s name: KRATT-STUBENRAUCH, KAI, DR., DE

R082 Change of representative

Representative=s name: KRATT-STUBENRAUCH, KAI, DR., DE

R012 Request for examination validly filed