获得对现场设备的紧急设备访问的方法与流程

1.本发明涉及一种过程自动化技术中借助令牌获得对现场设备的紧急设备访问的方法。本发明还涉及一种用于执行这种方法的测量系统。


背景技术：

2.现场设备要求可能仅允许有权限人员访问的用户管理。通常经由“获知”因素进行身份验证，即，用户在登录时输入用户名和密码。如果发生紧急情况，需要快速访问现场设备却无足够的权限且不知道密码，但必须有可能访问现场设备才能处理紧急情况。特别是在ot环境(操作技术)中，与it环境(信息技术)不同，设备/系统的可用性是最高的安全目标。
3.在it环境中，即，例如在集成到域中的工作站中，通常情况下用户可以使用域帐户访问工作站。首次登录工作站时，该帐户在本地尚不可知，输入用户名和密码之后，工作站会联系域控制器或目录服务进行验证。如果目录服务确认该帐户，工作站则授予访问权限并存储凭证，这样所有后续访问都不再需要网络连接。
4.如果改为使用智能卡或多因素身份验证形式的“拥有”身份验证因素，情况非常类似。如果用户忘记密码和/或丢失硬件令牌，则用户通过域管理员重置其密码，确保其工作站连接到公司网络，然后使用其用户名和重置密码登录其工作站。以此方式，如果用户不再拥有他的数据/媒体访问权限，则他可能寻求帮助。通常不会提供可以快速帮助用户的紧急解决方案。
5.在ot领域，例如在自动化技术中，现场设备通常不属于工作站的性能等级，并且罕少具有可用于支持网络的用户管理的接口。因而，用户管理通常本地配置在现场设备上，从而仅为该现场设备工作。一些现场设备具有备份/恢复机制的选项，从而允许将设备设置从一个现场设备传送/复制到另一个现场设备。这也可能包括用户管理的凭证(用户凭证)，但这会影响数据的机密性和完整性。一种类似的方法是基于账户数据从另一台设备或中央站经由存储器元件传送到现场设备。
6.现场设备中不知道紧急访问。相反，在此情况下，可以选择为每个员工创建一个个人帐户或由多个员工共享一个帐户。这会提高在紧急情况下可快速找到拥有合适帐户(即，足够权限和拥有密码)的人员的可能性。然而，从用户的角度来看，前者存在使用这些个人账户非常耗时的问题；而后者使用共享帐户，从安全的角度来看，其使用具有不易控制的缺陷，尤其是当设备都以断网(离线)方式工作，从而无法集中监控。


技术实现要素：

7.本发明的目的是为现场设备的用户提供在紧急情况下对设备的访问。
8.本发明达成上述目的的解决方案是一种过程自动化技术中借助安全令牌获得对现场设备的紧急设备访问的方法，包括以下步骤：如果现场设备上尚无公钥，则现场设备接收公钥，其中，关联私钥所有者的一项或多项权限但至少对现场设备的访问链接到公钥；将
公钥存储在现场设备上，其中，在紧急情况发生之前执行步骤(a)和(b)，其中，令牌包括不能从外部读取的加密存储区(安全元素)，其中，将私钥存储在加密存储区中，其中，公钥和私钥形成非对称密码体系；将令牌连接到现场设备；从现场设备向令牌发送质询；借助私钥计算对质询的响应，并将响应从令牌发送到现场设备；以及如果响应正确，则授权紧急访问，其中，在紧急情况下执行步骤(c)至(f)，其中，保护令牌免遭未经授权的使用，但在紧急情况下能够克服保护。
9.非对称密码体系是一种加密法，其中通信方(这里是测量换能器及扩展)无需知道公共密钥。一般而言，每个用户会生成自己的密钥对，由私密部分(私钥)和非私密部分(公钥)组成。公钥使得任何人都能为私钥所有者加密数据、检查他的数字签名或验证他的身份。私钥使得其所有者能够解密用公钥加密的数据、生成数字签名或验证自己的身份。
10.质询响应法大体上是一种基于拥有的订户身份验证方法。在此情况下，订户提出他人必须解决(响应)的任务(质询)，以便证明他知道一条特定信息。如果第一方想要向第二方验证自己的身份，则第二方向第一方发送随机消息，诸如随机数(即，第二方提出质询)。第一方签署质询，即对该消息应用密码哈希函数，用其私钥加密该哈希值，将该加密部分附加到消息，并将结果发送到第二方(从而交付响应)。知道第一方的随机消息和公钥以及使用的哈希函数的第二方执行相同的哈希计算，并将其结果与从第一方接受到的响应中用公钥解密的附加结果进行比较。如果两个数据相同，则第一方已经成功验证自己的身份。
11.针对安全级别3的设备的安全标准iec62443描述了一种紧急机制(cr2.1 re3“supervisor override”)，以便能够在急迫情况下快速访问现场设备。这个概念解决了安全性与紧急可用性之间的矛盾。
12.本技术的一个重要方面是在实际紧急情况发生之前提供令牌，并能够使每个人均可访问，而不必以密码的形式将隐私分发给众多员工。令牌法不要求中央管理，即使小型企业也能轻松实施，无需付出大量工作。这样的令牌当然必须受到保护以防遭受未经授权的使用，但在紧急情况下所有“救援人员”都能克服这种保护。
13.在一个实施例中，在步骤(a)中经由wlan(ieee 802.11系列标准)、蓝牙、nfc、usb、现场总线、以太网、sd卡或专有服务从令牌到现场设备接收公钥界面。该服务接口例如是本技术人的“cdi接口”。
14.密钥对中的私钥和公钥不能彼此分开生成。在一个实施例中，私钥在令牌中生成，使得除令牌之外无人知道该私钥，因此公钥也必须在令牌中生成。然而，公钥从令牌到现场设备的路线可以采取任何绕路并被主动分发，例如从中央位置到现场设备。分发可以是无线的或有线的。这种连接不必安全加密。如果不存在这样的基础设施，则现场设备仍保留直接从令牌读取公钥的方式。
15.一个实施例规定，令牌是硬件令牌。
16.尤其是在令牌是硬件令牌的实施例中，它通过插入到现场设备中而连接到现场设备。具有管理员访问权限的某人则通知现场设备该插入的令牌将用作紧急令牌或安全令牌。通过使用触发从令牌中读取公钥。如此一来，现场设备即是活跃部分。最后，接收公钥并将其(安全地)存储在现场设备上。
17.在令牌是智能电话(参见下文)的实施例中，也以类似方式接收公钥。在一个实施例中，智能电话上是用于配置、使用或一般用于在智能电话与现场设备之间建立联系的
app。可以设想，用户借助该app将公钥从智能电话发送到现场设备。然而，现场设备实际上是借助该命令触发从智能电话请求公钥。最后，接收公钥并将其存储在现场设备上。然而，在此情况下是谁采取主动则无关紧要。一个实施例规定，现场设备注意到令牌的插入或与智能电话的联系，并询问用户是否应当为此目的传送该公钥。
18.在一个实施例中，活跃部分存在于现场设备之外并向现场设备提供认为所传送的密钥值得信任的指令。然而，这可能并非任何人员或机器都能完成，因为这会使该方法不安全。因此发送只能由一个有权限实体执行，尤其是在先前的身份验证之后。
19.词语“访问现场设备”是指访问处理紧急情况。哪项权限必须与之关联取决于具体个案。在一种简单情况下，管理员权限例如与带有join的令牌相关联(即，将公钥传送到现场设备，从而建立信任)。然而，也可设想，使用join立即设置权限或稍后设置权限(即，发布权限或分配给权限组等)。
20.一个实施例规定，硬件令牌是fido2棒。
21.一个实施例规定，令牌是无线设备，尤其是智能设备，尤其是智能电话。
22.一个实施例规定，经由wlan、蓝牙、nfc、usb、专有服务接口或传感器接口发生步骤(c)中从令牌到现场设备的连接。传感器接口是传感器经其连接到现场设备的接口，尤其是当现场设备被设计为测量换能器(又称为变送器)。
23.一个实施例规定，非对称密码体系被设计为rsa密码体系或椭圆曲线密码体系。
24.一个实施例规定，只有正好一个现场设备信任公钥。
25.一个实施例规定，质询是随机的。
26.一个实施例规定，在紧急情况下能够不可逆地克服保护；尤其是破坏保护；至少令牌的使用是显而易见的。
27.在一个实施例中，在令牌已经被使用之后有警报和/或通知高级单元。
附图说明
28.这将结合以下附图来予以详述。
29.图1示出了一个实施例中要求保护的测量系统。
30.图2示出了一个实施例中要求保护的测量系统。
31.在图中，相同的特征标有相同的附图标记。
具体实施方式
32.为了解决ot环境中对现场设备、尤其是测量换能器20的紧急访问的问题，在一个实施例中提出，使用硬件令牌40(例如，根据fido2标准)。该令牌40必须首先被现场设备获知，由此建立信任。为此，令牌40连接到现场设备20，即，例如插入，并且通知现场设备20应当存储令牌40的公钥并授予该令牌紧急访问权限。然后可以将硬件令牌40存储在安全位置并等待使用。可设想的存储位置是办公室中的保险箱，就像钥匙合一样，现场设备旁有易碎玻璃板。在紧急情况下，即，如果没有员工拥有足够用的帐户，则可以使用这个硬件令牌获得访问。
33.该令牌不必满足fido2标准，也不必直接位于现场设备上或必须插入。根据该构思的正确功能要求硬件令牌40具有“安全元素”的属性，即它必须支持以下可能性：它必须具
有加密的密钥对(例如，rsa，或借助椭圆曲线)。必须有可用来读取公钥的接口。必须支持质询响应法，即在将“质询”传送到令牌之后，令牌必须使用其私钥对其进行加密或签名，并将其作为“响应”返回。私钥绝不能可读。令牌可以不可复制，即必须不可能从令牌中导出具有相同密钥的第二令牌。
34.在身份验证期间，现场设备20即将“质询”发送到令牌40，并使用“响应”来检查令牌40是否实际上拥有适用的私钥。由于现场设备20每次使用不同的质询并且质询尽可能随机，几乎不可能有“重放”攻击，并且令牌40也可以经由非加密连接而连接到现场设备20。这可以是任何插式连接部24或基于无线电的接口25，诸如低功耗蓝牙。
35.本发明提出的解决方案的特殊特征在于，无需任何基础设施。现场设备20可以从令牌读取和存储公钥并使用质询响应法来控制令牌检查机制便足矣。
36.当然，这样的令牌40也可以用于多个现场设备，即，用户完全自由选择哪些令牌应当授予对哪些现场设备的紧急访问权限。也可以以所描述的方式向现场设备20展示不止一个令牌40，从而例如不同的组织单元可以各自配备有它们自己的紧急令牌。
37.另一种用途是将设备20发送给制造者或服务提供者进行维护/修理的服务实例。如果设备具有活跃用户管理，制造者或服务提供者将无法登录设备执行维护和维修任务。所有者可能先前尚未为此目的设立帐户，并且他也不想泄露现有帐户的密码。如果可以例如经由因特网在令牌与现场设备之间建立连接，则该紧急令牌也能用于这种“紧急情况”。替代地，令牌也能与现场设备一起封装或稍后发送。在定期服务的情况下，服务提供者能够永久性拥有这样的硬件令牌。
38.下面更详细地描述这些附图。
39.本文要求保护的测量系统整体上标有附图标记100并在图1中示出。系统100主要用于过程自动化。
40.测量系统100包括测量换能器20和令牌40。连接到测量换能器20的是由附图标记1表示的一个或多个传感器。在不限制一般性的前提下，下面提到“传感器”；然而，致动器等同样可以连接到测量换能器20。
41.测量换能器20包括例如微控制器形式的数据处理单元μc以及与其分立或作为其一部分的存储器23。公钥存储在存储器23中。
42.测量换能器必须具有用于令牌40的插槽24。令牌40例如是fido2棒。插槽24被相应地设计为例如usb端口或usb-c端口。如果在紧急情况下再将令牌40放置在插槽24中(由箭头指示)，则如上所述授权访问测量换能器20。
43.替代地或附加地，测量换能器20包括无线模块25，例如蓝牙模块，其中蓝牙模块和数据处理单元μc支持低能协议栈或nfc模块。它也可以是wlan模块。
44.存在多种设计令牌40的方式。如上所述，为此目的可以为对应的硬件令牌提供插槽24。测量换能器20(参见图2)的无线电范围内的智能设备也可以充当令牌。在另一个实施例中，对应的令牌可以连接到测量换能器40的传感器接口。
45.通过线缆将测量换能器20连接到传感器1。多个传感器1也可以连接到测量换能器20。两个传感器1如图1所示。可以连接相同或不同的传感器。这两者中的左边那个显示为插入状态。例如，至多八个传感器可以连接到测量换能器20。
46.传感器1包括用于检测过程自动化的测量变量的至少一个传感器元件2。传感器1
则例如是ph传感器，又称为isfet设计，一般是离子选择传感器、用于测量氧化还原势、介质中吸收电磁波(例如具有uv、ir和/或可见光范围的波长)、氧、电导率、浊度、非金属材料浓度或温度的传感器，具有相应的测量变量。
47.传感器1包括数据处理单元，例如微控制器，其处理测量变量的值，例如将它们转换为另一种数据格式。出于能量和空间原因，数据处理单元的计算能力和存储量较小且具经济效益。传感器1即仅被设计用于“简单”计算操作，例如用于取平均值、预处理和数字转换。传感器1包括一个或多个单独的或作为数据处理单元一部分的存储器。传感器的数据处理单元将作为测量变量(即，传感器元件4的测量信号)函数的值转换为测量换能器20能够理解的协议。
48.测量换能器20包括显示器21和一个或多个操作元件22，例如按钮或旋钮，借助它们可以操作测量换能器20。传感器1的测量数据例如由显示器21来显示。传感器1也可以借助操作元件22和显示器21上的对应视图来配置和参数化。
49.测量换能器20经由线缆31将测量数据转发到控制系统30。在此情况下，控制系统30被设计为过程控制系统(plc、sps)、pc或服务器。为此，测量换能器20将数据转换为控制系统能够理解的数据格式，例如在对应的总线中，诸如hart、profibus pa、profibus dp、foundation fieldbus、modbus rs485或甚至基于以太网的现场总线，诸如ethernet/ip、profinet或modbus/tcp。然后将这些数据转发到控制系统30。视需要，这可以与web服务器相结合；即，它们可以彼此并行操作。
50.图2示出了一种实施例。在此情况下，令牌40被设计为智能设备，例如智能电话或平板型计算机。例如借助蓝牙，例如低功耗蓝牙，建立到测量换能器20的无线连接5。为此，测量换能器20包括对应的无线模块25。
51.附图标记列表
[0052]1ꢀꢀꢀ
传感器
[0053]2ꢀꢀꢀ
传感器元件
[0054]5ꢀꢀꢀ
无线连接
[0055]
20
ꢀꢀ
测量换能器
[0056]
21
ꢀꢀ
显示器
[0057]
22
ꢀꢀ
操作元件
[0058]
23
ꢀꢀ
存储器
[0059]
24
ꢀꢀ
令牌插槽
[0060]
25
ꢀꢀ
无线模块
[0061]
30
ꢀꢀ
高级单元
[0062]
31
ꢀꢀ
线缆
[0063]
40
ꢀꢀ
令牌
[0064]
100 系统
[0065]
μc
ꢀꢀ
测量换能器20中的智能单元