Beschreibung
Verfahren zur Autorisierung des Zugriffs auf mindestens eine Automatisierungskomponente einer technischen Anlage
Die Erfindung betrifft ein Verfahren zur Autorisierung des Zugriffs auf mindestens eine Automatisierungskomponente einer technischen Anlage.
Moderne technische Anlagen umfassen in der Regel eine Vielzahl an so genannten intelligenten Automatisierungskomponenten, wie beispielsweise speicherprogrammierbare Steuerungen, Feldgeräte oder Antriebsregler, wobei diese Automatisierungskomponenten zumindest einen Prozessor und Speichermittel um- fassen, mittels welcher durch Projektierung und Parametrie- rung die Abarbeitung einer gewünschten Automatisierungslösung erfolgen kann. Derartige intelligente Automatisierungskomponenten sind folglich flexibel in ihrem Einsatz und können sich ändernden Erfordernissen leicht angepasst werden ent- sprechend den sich ändernden Erfordernissen des Automatisierungsprozesses .
Derartige Arbeiten werden üblicherweise z.B. während der Inbetriebnahme durch besonders qualifiziertes Personal durchge- führt. Die dabei vorgenommenen Arbeiten, Einstellungen und
Programmierungen sind sehr sensitiv, da sie für die ordnungsgemäße, sichere und effiziente Funktionsweise der gesamten technischen Anlage von großer Bedeutung sind. Des Weiteren sind Geheimhaltungsaspekte zu berücksichtigen, da beispiels- weise prozesstechnische Informationen oder spezielle Rezepturen, welche durch die Projektierung, Parametrierung und Programmierung festgelegt werden, nicht jedem zugänglich sein sollen .
Daher sollen derartige Arbeiten nur durch entsprechend ausgebildetes und autorisiertes Personal durchgeführt werden können. Eine Autorisierung kann dabei mehrstufig sein und von einfachen Bedien- oder Justieraufgaben bis hin zu tiefen Ein-
griffen oder Einsichten in die Funktionsweise der Anlage reichen .
Vielfach wird die laufende Wartung von technischen Anlagen Drittfirmen übertragen, wobei hier der Überprüfung der Autorisierung des Wartungspersonals eine immer größere Bedeutung zukommt. Im Zeitalter der zunehmenden Vernetzung von Anlagenkomponenten mittels Bussystemen oder eines Intranets oder des Internets kommt dem Problem der Autorisierung eine immer grö- ßere Bedeutung zu.
Des Weiteren bestimmt sich der Wert einer technischen Anlage immer mehr durch die Funktionalität der eingesetzten Software und nicht mehr durch die eingesetzten Hardware-Komponenten, welche vielfach standardisiert und austauschbar sind.
Es ist daher ein Bedürfnis von Anlagenherstellern, die von ihnen entwickelten Automatisierungskomponenten durch geeignete Lizenzierungs- und Autorisierungsverfahren vor unerlaubtem Zugriff auf die entwickelte Software zu schützen.
Neben der Autorisierung eines Benutzers der Automatisierungskomponente ist es in vielen Fällen wünschenswert oder sogar vorgeschrieben, ein Protokoll anzufertigen, über die bei ei- ner Inbetriebnahme- oder Wartungsmaßnahme vorgenommenen Handlungen. Dies betrifft vor allem die Lebensmittel- und die Pharmabranche . Weitere Gründe für eine derartige Protokollierung können die Abrechnung von Servicedienstleistungen, die Abwicklung von Garantiefällen und die Gewinnung von statisti- sehen Informationen über die Zuverlässigkeit oder aber die Problemhäufung bei automatisierten Maschinen sein.
Um die Autorisierung eines Bedieners oder einer zu autorisierenden Service-Person zu überprüfen, sind heute meist Pass- wort-gesicherte Systeme im Einsatz. Dabei sind die Passwörter entweder fest in eine Steuerungssoftware kodiert oder sie können vom Anwender frei gewählt und gespeichert werden. In beiden Fällen besteht jedoch die Problematik, dass derartige
Passwörter einem größeren Personenkreis ungewollt bekannt werden und somit keinen sicheren Schutz gegen nicht- autorisierten Zugriff bieten können. Insbesondere in Fällen veränderbarer Passwörter müssten diese an geeigneter Stelle dokumentiert werden, wobei die Dokumentation dieser Passwörter eine weitere Fehlerquelle zur ungewollten Preisgabe der Passwörter darstellt. Des Weiteren ist der Aufwand bezüglich der Pflege insbesondere abgestufter Zugriffsrechte dabei erheblich. Des Weiteren ist eine mittels Passwort freigegebene Automatisierungskomponente offen für den Zugang aller angeschlossenen Kommunikationspartner, obwohl diese gegebenenfalls nicht die erforderliche Qualifikation und Autorisierung besitzen .
Eine weitere bekannte Möglichkeit zum Schutz vor unautorisiertem Zugriff besteht in einer mechanischen Sperre, beispielsweise durch das Verschließen von Schaltschranktüren. Jedoch können moderne Anlagen oftmals aus der Ferne beispielsweise über eine Telefonleitung oder das Internet be- dient und gewartet werden, wobei ein derartiger mechanischer Schutz hier unwirksam ist.
Im Falle der Lizenzierung einer Software gibt es heute ebenfalls eine Reihe von Lösungen, die von einer einfachen kos- tenlosen Zugabe der Software zur verkauften Hardware bis hin zu Vergütungspflichtigen Softwarefunktionen reicht. Insbesondere bei Software besteht dabei meist die Gefahr einer unkontrollierten und unrechtmäßigen Vervielfältigung. Um diesem Problem zu begegnen, werden manchmal so genannte Lizenzie- rungs-Codes verwendet, welche von komplexen Lizenzierungs- Algorithmen errechnet werden. Beispielsweise kann ein Kunde die Seriennummer der Hardware angeben, auf der eine Software ablaufen soll, und erhält anschließend vom Entwickler oder Hersteller einen Lizenzschlüssel, mit dem er die Software auf dieser Hardware aktivieren kann. Jedoch sind derartige Lizenzierungsmodelle aufwändig in der Durchführung und es entstehen eine Reihe von Ausnahmesituationen, beispielsweise wenn ein defektes Hardware-Teil mit einer entsprechenden Software
getauscht werden muss und der alte Lizenzierungs-Code dann nicht mehr funktioniert.
Eine Protokollierung von beispielsweise Parametrierungs-, In- betriebnahme- und Wartungsarbeiten erfolgt üblicherweise in der Verantwortung des durchführenden Personals, z.B. durch Führen von entsprechenden Anlagen-Logbüchern in Papierform oder in elektronischer Form. Dabei entstehen oftmals Fehler durch unvollständige Protokollunterlagen. Manchmal findet ei- ne Protokollierung auch automatisch durch eine Automatisierungskomponente selbst statt, jedoch geschieht dies vollkommen losgelöst von der Person, welche Protokollierpflichtige Handlungen an der Anlage vornimmt. Somit kann hinterher meist nicht mit Sicherheit festgestellt werden, wer bestimmte Hand- lungen durchgeführt hat.
Der Erfindung liegt daher die Aufgabe zugrunde, ein verbessertes Verfahren zur Autorisierung des Zugriffs auf mindestens eine Automatisierungskomponente einer technischen Anlage anzugeben.
Für einige Teilaspekte existieren bereits Lösungen, wie beispielsweise so genannte SmartCards, welche z.B. eine Zutrittsberechtigung prüfen, ein Abheben von Bargeld am Geldau- tomaten ermöglichen, oder den Einsatz als Geldkarte oder Telefonkarte realisieren.
Diese SmartCards beinhalten einen integrierten Schaltkreis mit einem Microcontroller und einen beschreibbaren, nicht- flüchtigen Speicher. Auf dem Microcontroller können kryp- tographische Algorithmen ablaufen, die ein nicht- autorisiertes Lesen oder Verändern der Daten in dem nichtflüchtigen Speicher verhindern. Daher können diese SmartCards im Gegensatz zu den früher gebräuchlichen Magnetstreifenkar- ten nicht einfach kopiert werden. Schreib-/Lesegeräte können über elektrische Kontakte mit den SmartCards kommunizieren oder bei entsprechender Ausstattung (RFID) auch drahtlos über geringe Distanzen von einigen Zentimetern mit den SmartCards
kommunizieren. Eine derartige near field communication ist besonders komfortabel. Die Microcontroller dieser SmartCards sind meist leistungsfähig genug, um zumindest für eine be¬ grenzte Datenmenge ein unsymmetrisches Verschlüsselungsver- fahren mit einem öffentlichen und einem privaten Schlüssel berechnen zu können. Dadurch ist ein Einsatz derartiger SmartCards auch für die Verifizierung und Signatur über unsichere Datenverbindungen wie beispielsweise das Internet mög¬ lich. Da derartige SmartCards eine relativ große Menge an In- formationen abspeichern können, und gegen nicht-autorisiertes Kopieren, Auslesen und Verändern der gespeicherten Informationen geschützt sind, ergibt sich deren technische Eignung im Zusammenhang mit der vorliegenden Erfindung. Insbesondere soll die Autorisierung, Lizenzierung und Protokollierung von Inbetriebnahme- und Wartungshandlungen bei Automatisierungs¬ komponenten verbessert werden. Man benötigt nur ein einziges Medium (die Autorisierungseinheit / SmartCard) für alle diese Aufgaben, wobei ein hohes Maß an Flexibilität für zukünftige Erweiterungen gegeben ist.
Die Erfindung führt daher zu einem Verfahren zur Autorisierung des Zugriffs auf mindestens eine Automatisierungskompo¬ nente einer technischen Anlage, mit folgenden Schritten:
A) Bereitstellen einer Autorisierungseinheit, beispiels¬ weise einer SmartCard, umfassend a) eine digitale Signierfunktion; b) Informationen über:
(i) die Identität eines Benutzers der Automatisierungs- komponente,
(ii) diejenigen Automatisierungskomponenten der technischen Anlage, auf welche dem Benutzer ein Zugriffs¬ recht eingeräumt ist,
(iii) Arten des eingeräumten Zugriffsrechts, (iv) ein Gültigkeitsumfang des eingeräumten Zugriffsrechts für die Automatisierungskomponenten der betreffenden technischen Anlage oder zusätzlich für solche Automatisierungskomponenten anderer techni-
scher Anlagen, welche den Automatisierungskomponenten der betreffenden technischen Anlage ihrer Art nach entsprechen,
(v) einen technischen Kenntnisstand des Benutzers, bei- spielsweise über erfolgreich absolvierte technische
Ausbildungen, und
(vi) eine Gültigkeitsdauer des eingeräumten Zugriffsrechts;
B) Verbinden der Autorisierungseinheit mit der Automati- sierungskomponente der technischen Anlage; und
C) Ausführung von technischen Handlungen auf der Automatisierungskomponente gemäß dem eingeräumten Zugriffsrecht .
Die Erfindung geht dabei von der Überlegung aus, dass mit den genannten Merkmalen eine flexible, zuverlässige und komfortable Autorisierung eines Zugriffs auf die Automatisierungskomponente ermöglicht ist.
Die genannten Informationen und Funktionen können beispielsweise über entsprechende Schreibberechtigungs-Codes sowohl vom Hersteller einer technischen Anlage bzw. Automatisierungskomponente als auch von einem Anlagenbetreiber auf die SmartCard geschrieben werden. Vorteilhaft kann eine Autori- sierungseinheit dabei auch mehrere Autorisierungsschlüssel für eine einzige Person umfassen. Diese Autorisierungsschlüssel können dann logisch kombiniert werden, wenn z.B. ein Hersteller eine Person für bestimmte Arten von Inbetriebnahmehandlungen autorisiert, da diese Person entsprechende Kennt- nisse besitzt. Des Weiteren kann ein Anlagenbetreiber eine
Person dazu autorisieren, auf eine Anzahl an technischen Anlagen eines bestimmten Typs zuzugreifen. Diese beispielhaft genannten Autorisierungsschlüssel können auf derselben Autorisierungseinheit abgespeichert werden, und die sich ergeben- den detaillierten Zugriffsrechte erschließen sich aus einer logischen Kombination der eingeräumten Einzelrechte.
Vorteilhaft findet das Verbinden der Autorisierungseinheit mit der Automatisierungskomponente über ein Engineeringsystem der technischen Anlage statt, welches zum Auslesen und Auswerten der Autorisierungseinheit ausgelegt ist.
Komplexe technische Anlagen umfassen eine Vielzahl von Automatisierungskomponenten und beinhalten meist ein Engineeringsystem, welches insbesondere zu Konfiguration und Parametrie- rung aller Automatisierungskomponenten der technischen Anlage ausgelegt ist. Das Engineeringsystem ist dabei beispielsweise über ein Bussystem oder ein Intranet oder Internet mit den Automatisierungskomponenten verbunden. Somit kann das Erfassen der Autorisierungseinheit an zentraler Stelle über das Engineeringsystem stattfinden, um auf beliebige Automatisie- rungskomponenten der technischen Anlage zuzugreifen.
In einer weiteren vorteilhaften Ausgestaltung der Erfindung geschieht die Autorisierung des Zugriffs auf die Automatisierungskomponente über die Autorisierungseinheit in Verbindung mit einem zusätzlichen Autorisierungs-/Lizenz-Server, wobei mindestens einige der von der Autorisierungseinheit umfassten Informationen auf dem Autorisierungs-/Lizenz-Server speicherbar und auswertbar sind, d.h., die Funktionalität der Autorisierungseinheit wird auf die eigentliche Autorisierungsein- heit (SmartCard) und den zusätzlichen Autorisierungs-/Lizenz- Server aufgeteilt.
Insbesondere bei untereinander vernetzten Autorisierungskom- ponenten, die häufig internetfähig sind, ist die Autorisie- rung über den Autorisierungs-/Lizenz-Server vorteilhaft, welcher spezialisiert ist auf die Ausführung von Autorisierungsund Lizenzaufgaben. Beispielsweise kann ein Anlagenbetreiber mit Hilfe des Autorisierungs-/Lizenz-Servers einzelnen Personen, die sich durch ihre jeweilige Autorisierungseinheit i- dentifizieren, gewünschte Zugriffsrechte auf bestimmte Automatisierungskomponenten einräumen. Dies kann online geschehen, wenn die Automatisierungskomponenten sowie der Autori- sierungs-/Lizenz-Server internet-mäßig vernetzt sind. Dabei
kann ein Systemadministrator von einer zentralen Stelle aus sämtliche Zugriffsrechte zu jeder Zeit einrichten, sperren oder anpassen. Verloren gegangene Autorisierungseinheiten o- der Vertretungsregelungen sind damit kein Problem mehr. Des Weiteren sind bei einigen, insbesondere größeren, Unternehmen die Strukturen zur Integration des genannten Autorisierungs- verfahrens bereits vorhanden, beispielsweise in Form von Zu- gangsberechtigungs-Anlagen mittels SmartCard-Firmenausweisen . Dieselbe Autorisierungseinheit, welche eine Parametrier-, In- betriebnahme- und Wartungshandlung autorisieren kann, ist auch für eine allgemeine Bedienaufgabe, welche einer Autorisierung unterliegt, verwendbar, wenn beispielsweise die betreffende Automatisierungskomponente ein Lesegerät für die Autorisierungseinheit aufweist. Des Weiteren kann die Autori- sierungseinheit die Zutrittskontrollfunktion zu den Räumlichkeiten der technischen Anlage übernehmen.
Beispielsweise wird bei der Inbetriebnahme oder Wartung einer technischen Anlage die Autorisierungseinheit von dem Enginee- ringsystem der technischen Anlage, beispielsweise einem Notebook, das mit einer entsprechenden Schreib-/Lesevorrichtung ausgestattet ist, eingelesen. Dadurch kann zunächst der Zugriff auf eventuell auf dem Engineeringsystem bereits gespeicherten Datensätzen für die technische Anlage freigegeben werden. Sensitive Parameter- und Projektierungsdateien können vorteilhaft über eine Verschlüsselungsfunktion auf der Autorisierungseinheit verschlüsselt und entschlüsselt werden. Des Weiteren kann das Engineeringsystem die Weiterleitung von Informationen der Autorisierungseinheit an die angeschlossenen Automatisierungskomponenten übernehmen, um auch den Zugriff auf die Automatisierungskomponenten frei zu schalten. Die Zugriffsrechte können hierbei je nach Inhaber der Autorisierungseinheit abgestuft sein.
Einfachere, weniger komplexe Automatisierungskomponenten, wie z.B. einfache Frequenzumrichter, werden häufig ohne ein zusätzliches Engineeringsystem in Betrieb genommen. Für die Inbetriebnahme stehen dabei z.B. einfache Ziffernanzeigen und
einige Tasten an dem Gerät selbst zur Verfügung. Insbesondere bei derartigen wenig komplexen Automatisierungskomponenten bietet sich die Integrierung einer Schnittstelle basierend auf der "near-field-communication" an, um aus wenigen Zenti- meter Entfernung eine Verbindung mit der Autorisierungsein- heit aufzunehmen. Eine derartige near-field-communication- Schnittstelle lässt sich dann auch für andere Inbetriebnahme- Abläufe sinnvoll nutzen, wie beispielsweise die Automatisierung des Austauschs von Teilnehmerpaarungen bei der Installa- tion von Bluetooth- und WLAN-Netzwerken, die automatische I- dentifizierung von Bestell- und Seriennummer von Komponenten durch RFID-Tags oder das Überflüssig-Machen von Barcodes.
Vorteilhaft umfasst die Autorisierungseinheit weiterhin ein Budgetkonto, mittels welchem eine Vergütung von zu aktivierenden, zu entfernenden oder zu ändernden Softwarefunktionen der Automatisierungskomponente durchführbar ist.
Dabei können beispielsweise für die Installation lizenz- Pflichtiger Software oder das Freischalten von optionalen, lizenzpflichtigen Software-Funktionen auf der Autorisierungseinheit Lizenzpunkte auf dem Budgetkonto gespeichert sein, die daraufhin von der betreffenden Software-Applikation abgebucht werden. Dies entspricht dann in etwa der Funktionsweise einer Geldkarte. Die Lizenzpunkte können dabei auf verschiedene Weise auf das Budgetkonto gelangen:
1. Die Autorisierungseinheit wird direkt vom Hersteller mit Lizenzpunkten geladen. 2. Ein Anlagenbetreiber kauft vom Hersteller eine Anzahl an Lizenzpunkten und einen entsprechenden Zugriffs-Code für die Autorisierungseinheiten; dann kann der Anlagenbetreiber die Autorisierungseinheiten mit Hilfe von Schreib-/Lese-Geräten selbst beschreiben. 3. Ein Kunde steht über das Internet mit dem Lizenz-Server des Herstellers in Verbindung; er identifiziert sich dort über seine Autorisierungseinheit und ruft vorab
gekaufte Lizenzpunkte von diesem Server ab, die auf der Autorisierungseinheit gespeichert werden.
Bei der Aktivierung der Software beispielsweise bucht die Au- torisierungskomponente dann ein entsprechendes Punktebudget vom Budgetkonto der Autorisierungseinheit ab. Umgekehrt können bei einer Deaktivierung von Software-Funktionen auch Lizenzpunkte zurück auf die Autorisierungseinheit gebucht werden, um beispielsweise einen Probebetrieb einer Software- Installation zu ermöglichen. Des Weiteren können beispielsweise beim Austausch von Automatisierungskomponenten soft- ware-bezogene Lizenzpunkte auf neue Automatisierungskomponenten übertragen werden.
Besonders vorteilhaft können auch Support-Dienstleistungen des Herstellers an der Automatisierungskomponente mit Hilfe des Budgetkontos der Autorisierungseinheit abgerechnet werden .
In einer weiteren vorteilhaften Ausgestaltung der Erfindung umfassen die technischen Handlungen, die der Bediener auf der Automatisierungskomponente ausführt, eine Parametrierung und/oder Projektierung und/oder Programmierung der Automatisierungskomponente, welche protokolliert und mit einer digi- talen Signatur mittels der digitalen Signierfunktion versehen werden .
Dabei ist es vorteilhaft, wenn das Protokollieren und Signieren in einem Speicher der Autorisierungseinheit oder zumin- dest teilweise in einem externen Speicher stattfindet.
Der externe Speicher kann dabei die zu speichernden Logbuch- Daten aufnehmen und in der Automatisierungskomponente selbst oder im Engineeringsystem vorhanden sein.
Ein beispielhafter Verlauf einer Protokollierung im Rahmen der Inbetriebsetzung einer Automatisierungskomponente kann wie folgt aussehen:
1. Ein Inbetriebsetzer identifiziert sich mit Hilfe seiner Autorisierungseinheit .
2. Er verändert die Parametrierung bzw. Projektierung der technischen Anlage.
3. Nachdem er sichergestellt hat, dass die Anlage mit den geänderten Daten ordnungsgemäß funktioniert, erteilt er mit Hilfe der digitalen Signierfunktion seiner Autorisierungseinheit seine digitale Signatur, die auf der Automatisierungskomponente zusammen mit den von ihm geänderten Parametern abgespeichert wird.
4. Vorteilhaft wird auf der Automatisierungskomponente aus den aktualisierten, geänderten Parametern, einer Seriennummer der Automatisierungskomponente, einer Hard- wäre- und Software-Versionsnummer, der digitalen Signatur des Inbetriebsetzers und dem aktuellen Tagesdatum mittels eines mathematischen Algorithmus ein so genannter GUID (Global Unique Identifier) berechnet.
5. Dieser GUID wird auf der Automatisierungskomponente selbst, auf der Autorisierungseinheit und auf einem e- ventuell angeschlossenen Engineeringsystem abgespeichert. Auf der Automatisierungskomponente und dem Engineeringsystem wird der GUID dabei zusammen mit den aktualisierten Daten, Programmen bzw. Parametern einge- engt.
Anhand der GUID können die Daten, aus der diese berechnet wurde, eindeutig identifiziert werden. Jede Änderung an den zugrunde liegenden Daten führt zu einer geänderten GUID. Vor- teilhaft ist auf der Automatisierungskomponente eine Liste der letzten generierten GUIDs zusammen mit dem jeweiligen Erstellungsdatum abgelegt.
Weiterhin kann die GUID mittels der Autorisierungseinheit o- der des Engineeringsystems an einen Verwaltungsrechner des
Anlagenbetreibers übertragen werden. Auf diesem Verwaltungsrechner können kann die geänderten Daten, wie beispielsweise Parameterwerte, gespeichert sein.
Durch einen Vergleich der GUIDs, die in der Automatisierungskomponente gespeichert sind, mit denjenigen GUIDs, welche auf dem Verwaltungsrechner abgelegt sind, kann dann jederzeit nachgewiesen werden, wann und welche Änderungen durch welchen Benutzer vorgenommen wurden.
Um die Sicherheit gegen eine missbräuchliche Benutzung einer personenbezogenen Autorisierungseinheit zu erhöhen, kann die- se auch zusätzlich mit einer persönlichen Code-Nummer (PIN) ausgestattet werden oder mit den biometrischen Daten zur I- dentifizierung ihres Eigentümers.
Im Folgenden werden drei Ausführungsbeispiele der Erfinder näher dargestellt.
Es zeigen:
FIG 1 ein erfindungsgemäßes Autorisierungsverfahren mit- tels SmartCard ohne Lizenzserver,
FIG 2 ein erfindungsgemäßes Autorisierungsverfahren mittels SmartCard und Lizenzserver, und
FIG 3 ein erfindungsgemäßes Autorisierungsverfahren mittels SmartCard ohne Engineeringsystem.
In Figur 1 ist ein erfindungsgemäßes Autorisierungsverfahren dargestellt, wobei Daten aus einer als SmartCard ausgebilde- ten Autorisierungseinheit 3 von einer Schreib-/Leseeinrich- tung eines Engineeringsystems 17 eingelesen und an die Automatisierungskomponente weitergeleitet werden, um die zu autorisierenden Handlungen auf dieser freizugeben. Damit die Autorisierung auch über eine unsichere Datenleitung zwischen Engineeringsystem und Automatisierungskomponente vorgenommen werden kann, finden Ver- und Entschlüsselung in diesem Anwendungsfall zwischen Autorisierungskomponente und Automatisierungskomponente statt. In diesem Anwendungsfall stellt das
Engineeringsystem samt seiner Schreib-/Leseeinrichtung nur eine Durchleitefunktionalität für die verschlüsselten Daten von Autorisierungseinheit und Automatisierungskomponente dar, d.h. auch die in Fig. 1 außerhalb von 17 eingezeichneten Ver- bindungen zwischen 3 und 1 passieren die Einheit 17. Die Autorisierungseinheit 3 umfasst dabei personenbezogene Daten 5 eines Benutzers, welche zumindest die Identität des Benutzers bzw. Besitzers der Autorisierungseinheit erkennen lassen. Des Weiteren umfasst die Autorisierungseinheit 3 eine Liste der Zugriffsrechte 7, welche dem Benutzer auf der Autorisierungs- komponente 1 oder auf weiteren Automatisierungskomponenten ähnlicher Art eingeräumt sind.
Weiterhin ist eine Auswahlfunktion 9 vorgesehen, mittels wel- eher aus den eingeräumten Zugriffsrechten die im Moment benötigten ausgewählt werden. Hierfür ist die Auswahlfunktion 9 datentechnisch mit Anlagenidentifikationsdaten 19 der Automatisierungskomponente 1 verbunden. Der Benutzer kann nun optional oder standardmäßig mittels einer Verschlüsselungseinheit 11 und seines privaten Schlüssels 13 Handlungen auf der Automatisierungskomponente 1 vornehmen, wobei er zur Entschlüsselung der Daten auf der Automatisierungskomponente 1 auch einen öffentlichen Schlüssel 15 zur Verfügung stellt.
Die Entschlüsselung der übermittelten Daten auf der Automatisierungskomponente 1 übernimmt eine Entschlüsselungseinheit 23. Zur Überprüfung der Autorisierung des Benutzers ist eine Verifizierungseinheit 21 vorgesehen, welche die entschlüsselten übermittelten Daten sowie die Anlagenidentifikationsdaten 19 erhält. Bei einer positiven Autorisierungsprüfung wird eine Freigabefunktion 25 der Automatisierungskomponente 1 ausgelöst und die vom Benutzer beabsichtigten Handlungen auf der Automatisierungskomponente 1 zugelassen. Dabei kann der Benutzer die Handlungen digital mittels einer digitalen Sig- nierfunktion 37 unterschreiben und somit eindeutig und verbindlich seiner Person zuordnen. Ein von der Autorisierungseinheit 3 umfasstes Budgetkonto 39 enthält Lizenzpunkte, um gegebenenfalls gebührenpflichtige Handlungen auf der Automa-
tisierungskomponente 1, wie beispielsweise das Aktivieren / Freischalten einer Softwarefunktion oder Servicemaßnahme zu vergüten .
Figur 2 entspricht im Wesentlichen der Figur 1, wobei hier jedoch zusätzlich zum Engineeringsystem 17, das für das Einlesen, Schreiben und Weiterleiten der verschlüsselten Daten auf der Autorisierungseinheit 3 verantwortlich ist, ein Auto- risierungs-/Lizenz-Server 27 vorhanden ist. Der Autorisie- rungs-/Lizenz-Server enthält eine Datenbank 29, welche die privaten 13 und öffentlichen Schlüssel 15 aller Benutzer, sowie die zugehörigen Zugriffsrechte enthält. Daher ist es in diesem Fall nicht erforderlich, dass die Zugriffsrechte direkt auf der Autorisierungskomponente selbst gespeichert sind.
Zur Autorisierung derartiger Handlungen ist eine Autorisie- rungsanbindung 33 vorgesehen, welche das Engineeringsystem, welches die Autorisierungseinheit ausliest, mit dem Autori- sierungs-/Lizenzserver 27 und diesen mit der Autorisierungskomponente 1 verbindet.
Bei dieser Ausführungsform geschieht die Verbindung der Autorisierungseinheit 3 mit der Automatisierungskomponente 1 über das Engineeringsystem 17, welches mit einer Anzahl an Automatisierungskomponenten verbunden sein kann. Somit kann an einer zentralen Stelle die Verbindung der Autorisierungseinheit 3 mit einer Anzahl von Automatisierungskomponenten 1 realisiert werden. Der Autorisierungs-/Lizenzserver 27 ist spezia- lisiert auf die Überprüfung, Verwaltung, Abrechnung und Freigabe der Zugriffsrechte.
Schließlich zeigt Figur 3 ein entsprechendes Verfahren, bei welchem jedoch kein Engineeringsystem und kein Autorisie- rungs-/Lizenzserver vorgesehen ist. Dies ist besonders vorteilhaft bei weniger komplexen Automatisierungskomponenten, wie beispielsweise einfacheren Frequenzumrichtern. Um eine Verbindung mit der Autorisierungseinheit 3 herzustellen, ist
eine RFID-Schreib-/Leseeinheit vorgesehen, um über eine Distanz von bevorzugt wenigen Zentimetern eine drahtlose Verbindung zur Autorisierungseinheit 3 herzustellen (near field communication) .
Die verschiedenen Ausführungen der Erfindung haben die folgenden Elemente alternativ oder in Kombination gemeinsam:
- Eine personenbezogene Autorisierungseinheit (beispiels- weise eine SmartCard) wird zur Autorisierung von beispielsweise Inbetriebnahme- und Wartungshandlungen an der Automatisierungskomponente, beispielsweise einem Antriebsregler oder Frequenzumrichter verwendet.
- Auf der Autorisierungseinheit sind Informationen hinter- legt, die ihren Besitzer identifizieren und festlegen, auf welche Anlagen oder Komponenten er in einem bestimmten Zeitraum zugreifen kann (digitale Ausweisfunktion der Autorisierungseinheit) .
- Alternativ können diese Informationen auf einem zentra- len Autorisierungs-/Lizenzserver abgelegt werden, der online mit den Automatisierungskomponenten verbunden ist. In diesem Fall (siehe z.B. Figur 2) dient die SmartCard zur Identifizierung gegenüber dem Lizenzserver und der Automatisierungskomponente. - Es können mehrere, verschiedene Zugriffsschlüssel hinterlegt werden, die logisch kombinierbar sind, um aus den Einzelzugriffsrechten die sich daraus ergebenden Gesamtzugriffsrechte abzuleiten.
- Es werden insbesondere bei Antriebsreglern und Frequenz- Umrichtern asymmetrische Verschlüsselungsverfahren mit öffentlichen und privaten Schlüsseln eingesetzt, so dass die Autorisierungs- und Verschlüsselungsverfahren auch über unsichere Netzwerke abgewickelt werden können, z.B. für Fern-Inbetriebnahme und Diagnose oder Wartung. - Auf der Autorisierungseinheit ist ein Lizenzpunktekonto beispielsweise für Support-Dienstleistungen vorhanden. Von diesem Budgetkonto wird bei Zugriffen z.B. über das Intranet eine Vergütung abgebucht.
Neben den Parameterwerten und/oder Projektierungsinformationen werden eine digitale Signatur des Inbetriebset- zers, eine Seriennummer der Komponente und ein Erstellungsdatum der auf der Automatisierungskomponente vorge- nommenen Handlungen durch einen Algorithmus in einen
Global Unique Identifier (GUID) umgerechnet, was bevorzugt auf der Automatisierungskomponente selbst geschieht. Hierdurch wird eine digitale Unterschriftsfunktion der Autorisierungseinheit realisiert. Der GUID wird mit den Parameterwerten und/oder Projektierungsinformationen sowohl auf der Automatisierungskomponente als auch auf einem gegebenenfalls vorhandenen Engineeringsystem bzw. einem zentralen Verwaltungsrechner für die Ablage der Projektinformationen abgespeichert; das kann ein zentraler Verwaltungsrechner für die Ablage der Projektinformationen sein. So ist eine praktisch lückenlose Protokollierung von Änderungen realisiert, und die Integrität der Anlagendaten kann nachgewiesen werden.