CN1382270A

CN1382270A - 阻止对模块,特别是对自动化系统模块非授权访问的系统和方法

Info

Publication number: CN1382270A
Application number: CN00814821A
Authority: CN
Inventors: 卡斯滕·坦布林克
Original assignee: Siemens Corp
Current assignee: Siemens Corp
Priority date: 1999-10-25
Filing date: 2000-10-25
Publication date: 2002-11-27
Also published as: ES2206343T3; EP1224510A2; EP1224510B1; HUP0203253A2; WO2001031407A3; DE50003578D1; WO2001031407B1; WO2001031407A2; US8375438B1; JP2003513347A; KR20020043237A; PL356244A1; ATE249064T1

Abstract

本发明涉及一种用于防止对模块,特别是自动化系统中的模块进行非授权访问的系统和方法。对于在模块和中央单元间访问的控制建议了一种系统AS和一种方法,所述系统具有一个中央单元(KM)和至少一个可与该中央单元(KM)相连接的第一装置(Mm),其中,至少一个第一装置(M1…Mn)具有向中央单元(KM)和/或一个第二装置(M1…Mn)发送一个识别(K)的工具,而该中央单元(KM)和/或该第二装置(M1…Mn)具有一个以下述方式分析第一装置(Mm)所发送的识别(K)的工具,即将各接收到的识别(K)与至少一个存储在该中央单元(KM)和/或该第二装置中的比较识别相比较,在接收到的识别与比较识别不一致时,该中央单元(KM)和/或该第二装置(M1…Mn)拒绝第一装置(Mm)在该系统上运行。

Description

阻止对模块，特别是对自动化系统模块非授权访问的系统和方法

本发明涉及一种用于阻止对模块，特别是自动化系统中的模块进行非授权访问的系统和方法。

本发明要解决的技术问题是，以简单而安全的方式控制对模块的访问，特别是在自动化技术中控制对模块的访问。

本发明要解决的技术问题是通过下述系统、特别是具有一个中央单元并具有至少一个可与该中央单元连接的第一装置的自动化系统实现的：其中，至少一个第一装置具有向中央单元和/或第二装置发送一个识别的工具，而该中央单元和/或该第二装置具有一个以下述方式分析由该第一装置发送的识别的工具，即将各接收到的识别与至少一个存储在该中央单元和/或该第二装置中的比较识别相比较，在接收到的识别与比较识别不一致时，该中央单元和/或第二装置拒绝第一装置在该系统上运行。

一种这样的系统和方法提供了这样一种可能，即杜绝未经许可的竞争者等连接到相应系统的可能性。本发明基于这样的认识，只允许确定的装置在自动化系统中运行，尤其是所谓的SIMATIC结构系列的自动化系统/自动化装置。

在自动化系统中常见的是，由中央单元确定结构规模，即所连接的装置的数量、类型以及功能。这发生在为此所规定的在该中央单元与各连接的装置间的数据传输中。当该连接的装置在此情况下本来就要求的数据传输中附加地发出一段意为“我是原装的西门子组件”的文本时，中央单元将检查各接收到的数据中该文本的存在，并拒绝没有发送该文本的装置的运行。

为了与相应的系统耦合而仿制相应的组件及其功能的竞争者，当其组件也传输上述文本时，他们就开始成为不合法的竞争者(§1 UWG：反不正当竞争法)。另一方面，没有发出该文本的竞争者组件在我们的系统中将不被接受。

简言之，本发明能导致在自动化系统中提供一种上述类型的方法，竞争者要在该系统中运行其组件必须同样进行拷贝，但其要进行拷贝就至少要触犯反不正当竞争法(UWG)的规定。这对竞争者来说是“无法逃避的状况”。

反不正当竞争法提供了基本上可与专利法相比的对付竞争者的可能性。尤其是第二十条关于停止、损失赔偿等。按照§1 UWG所要求的附加的不正当性，是提高自动化系统安全要求的原因：西门子公司理所当然只对自己的组件承担满足该要求的保证。因此其它组件的运行对整个系统的功能安全存在潜在的问题。这就是一方面引入/检查识别本身的原因，并且也为针对竞争者的附加的不正当性行为进行争辩建立了广泛的基础。

对于那些属于西门子公司以合作伙伴概念上允许其相应的组件在系统中运行的提供商，可以与他们协商一个明确解决方案(大体上为：“在…范围内接受的组件”)，而这些对于其它竞争者则属于在违反§1UWG的情况下进行拷贝。由于对存储模块的仿造也在不断增加，本发明例如也可以应用于与自动化装置相连接的存储模块的运行。

本发明的其它特征、优点、以及应用的可能性可由从属权利要求、此后结合附图对实施方式以及对附图本身的说明得出。

此外，所有描述的和/或图示的特征本身或其任意组合构成了本发明的对象，而与其在权利要求中的归纳或其引用关系无关。

图1示出了一种用于控制和/或监测一个图中未示出的外部技术过程的装置。

所述装置是一个具有中央主模块KM的自动化系统AS，其它模块M1、M2、…、Mn可以通过通信连接KV与该主模块连接。其中所述通信连接KV可以是一个所谓的底板总线(Rueckwandbus)，即例如是一个具有插接位置的、固定的或可固定的印刷电路板，各个装置KM、M1、M2、Mn可插接于其上。此外，作为通信连接KV可以是一种借助于相应的电缆连接(例如通过扁平电缆)在各装置KM、M1、M2、Mn之间所进行的连接。理论上作为通信连接KV甚至还可以是例如利用电感或电容耦合的无线数据传输。所述装置还可以通过常见的总线系统B相互通信连接，如图1中模块M2所示，该模块M2具有与外部总线B(如现场总线(Feldbus)，尤其是所谓的Profibus)的连接，此外，在此总线B上，可以连接上另一个能用于控制和/或监测外部技术过程的模块Mm。模块Mm尤其可以例如是直接设置在技术过程中(如在一个被控制和/或监测的机器中)的模块。

在图1中作为主模块KM示出的装置KM通常是一个存储程序控制装置的中央单元，即存储程序控制装置中至少包含处理器、通常也包含存储器部分。该主模块KM的处理器运行一个应用程序，在其运行过程中连续地或周期性地读入外部技术过程的状态，或向该外部技术过程发出命令。现在为了加以说明，在装置Mm上连接一个技术过程的马达，并且该马达由装置Mm监测和控制，这样在装置Mm中首先具有作为全部技术过程一部分的该马达的有关信息。该信息通过相应的通信连接B、KV到达主模块KM，并最终为应用程序的继续处理所用。当需要例如将由装置Mm控制的马达关闭时，情况完全相似。该信息首先是在主模块KM中运行的应用程序连接的结果。对马达的命令经通信连接KV、B到达控制该马达的装置Mm。

这种从一个第一装置(如KM)向第二装置M1、M2、Mn、Mm之一(这里例如Mm)的数据交换通过为各个通信连接B、KV所定义的传输规程实现。按照一个这样的传输规程为传输特定的数据定义了确定的电报结构，为了对本发明的理解，在图2中以示例方式对其作了描述。

按照图2，该电报T包括一个标题，即所谓的报头H以及最后的实际应用数据D。此外，该电报还可以包括另外的信息K。图2中所示的该电报的段的排序不一定是固定的，尤其例如可以是，所述应用数据D直接跟在报头H后。

通常，报头H包含关于电报T的发送者和接收者的信息。为了按照上面使用的例子关闭连接在装置Mm上的马达，装置KM向装置Mm发送一个电报T，其中，在报头H中指明装置KM是电报T的发送者，而装置Mm是电报T的接收者。此外报头H中通常还包含关于电报长度的信息，以及当应用数据D的范围超过预先给定的电报的最大尺寸时，指明当前的后续电报的信息。

如在一些传输规程中所预先给定的，当在电报报头H中明确指定电报T的接收者时，则只有该在电报T中指定的接收者会对该电报T作出反应，并分析应用数据D。

在特定的应用情况中，期望附加一种安全查询，这种安全查询用于确定消息不仅到达特定的接收者，还附加地保证各接收者对该电报T适当地进行了处理，或者该接收者能够对该电报T适当地进行处理。

对于实施自动化计划、如控制一个化学过程的自动化计划，可以要求特定的装置Mm满足特定的技术要求。对于技术要求可以例如这样理解，该装置是自保装置，即该装置可以防爆或者该装置符合某种特定的保护类型。

当对于连接到控制系统和/或监测系统的装置Mm设置了一种与总线系统B相连接的总线连接时，则在该总线系统B上还可以连接不满足该技术要求的装置。因此如果对该装置Mm误选了不满足该技术要求、且连接到总线系统B上的装置，则将该自动化系统AS投入运行就一定会发生严重错误，例如，在一个有爆炸危险的环境中，使非防爆装置Mm投入运行。

为了避免出现这种局面，并使做出这种装置连接的工程师不停留在由其所规定的配置是无须考虑的错误假定中，按照本发明，在电报中用识别K来确定有关各装置的技术要求的信息。

在上述例子中识别K可以是包含“Schutzart IP 65(保护类型IP 65)”、“explosionsgeschuetzt(防爆保护的)”、“eigensicher(自保)”等这类信息的ASCII字符串。所述主模块KM在从装置Mm接收电报时，对电报的识别K分别进行分析，并对识别K中不包含所要求的技术要求的说明的情况，利用相应的远程装置Mm调节后续的操作。例如如果在识别K中没有“防爆保护的”信息，则最迟在该主模块KM与所述装置Mm第一次通信之后，在主模块KM中建立所述装置Mm不是防爆保护的信息，于是在主模块KM中运行的应用程序就会产生相应的错误通知。这样，就能很快地告之将不具备所要求的技术要求的相应装置Mm错误地连接上的工程师，采取哪些措施可以消除当前状态。

还可能发生，一条特定的通信连接在控制和/或监测技术过程时，在相对较晚的时刻第一次被使用。依然在上述例子中，对于非防爆保护的装置Mm的情况，如在与该装置Mm的通信连接第一次被使用的时刻已经存在一个装有混合爆炸气体混合物的反应器的爆炸危险时就会造成危险的局面。但在将自动化系统AS如图1所示分布之后，通常的前提条件是，在接通该自动化系统，或在第一次使该自动化系统运行时确定该自动化系统的构造规模，且在确定构造规模时所述中央单元与主模块KM，各连接的装置M1、M2、Mn、Mm对话，并从各装置至少获得关于其功能的信息，如输入组件、输出组件、具有32个输入端的数字输入组件、具有8个输出端的模拟输出组件以及各为16位的分辨率等，因此在此时、即在确定构造规模时，上述识别K已经被确定并被检查。如果在该时刻识别K已经被确定并被检查，并且一个未发出所期望的识别K的装置的运行已被拒绝，则可以确保，一个并非其所有部件都满足所要求的情况及技术要求的自动化系统，绝对不会首先投入运行。

当具有不同功率级别的装置连接到通信连接KV时，出现基本相似的情况。在总线连接通常为规格化的接触位置之后，则在技术上必定可以在总线B上，例如在一种由制造商根据制造过程的特殊措施保证其两次出现故障之间的最小时间间隔(平均无故障时间MTBF)的数字输入组件的位置上也可以连接不满足技术要求的装置，而这有时是有市场效益的。所述电报的识别K可以相对于以描述的信息另外地或附加地包含关于装置的这种特性的信息，如“MTBF＝103h”。

本发明的另一个应用领域是，向如图1所示的自动化系统AS的提供商提供这样的可能性，即确保在该自动化系统中只使用满足相应于自动化技术过程所预先给定的边界条件的技术要求的装置。

当例如一个陌生厂商的装置由于其硬件或软件接口基本上可以连接在该自动化系统AS上时，则陌生厂商的装置由于其另外的性能特征、各技术装置的其它结构等会给自动化系统AS的持续高效能带来问题，有时甚至会造成危险的情况，如当一个装置或一个装置部分没有及时被断开时。

一个为了其生意而将自己的装置作为与另一厂商的自动化系统连接的附加的或替代的装置来提供的陌生厂商，在如前所述的确定并监测相应的识别K的情况下，相应地设置他们的装置，使该装置按照预先给定的参数确定识别，并由此使该陌生厂商的装置在自动化系统AS中的运行成为可能。

实际获得的涉及到自动化的持续高效性的安全性，使得将不满足所需的特定技术要求的装置连接进来的企图破灭。

因此按照本发明规定，所述识别至少还包括一个竞争者只有在符合相应的法律保护(在德国有例如反不正当竞争法)的情况下才能拷贝的部分。

本发明的申请人销售不同功率级别的、世界著名的自动化系统SIMATIC。为了确保在SIMATIC自动化系统中只有SIMATIC部件，或其在SIMATIC自动化系统中持续且无障碍的使用已经过相应认证过程证明的部件，例如，所述识别K可有下述形式：“SIMATI-原装-部件：xxx-yyyyy-zzzzzz”，其中，xxx、yyyyy、和zzzzzz标识各装置，其最接近的例如是一个订货号或商品粘贴标签。一个通过发送“SIMATI-原装-部件…”形式的识别来提高其装置的技术性能的陌生厂商，其与此相关的“断言”不具真实性，因为其装置并非原装的SIMATI部件，而仅仅是陌生厂商的相应的衍生物。

陌生厂商的那些在经过相应的认证措施之后可以在SIMATI自动化系统中运行的装置尽管仍不能发送“SIMATI-原装-部件…”形式的识别(因为其仍然是陌生厂商的装置，因而不能作为“原装部件”)，但却可以用“根据认证nnnnnnnnn允许的组件”形式的字符串作为识别K，其中，nnnnnnnnn是认证措施的案卷号，或者一个证明该自动化系统的制造商许可该陌生厂商的装置在该自动化系统中运行的通知。

Claims

1.一种系统，尤其是具有一个中央单元(KM)以及至少一个可与该中央单元(KM)相连接的第一装置(Mm)的自动化系统(AS)，其中，至少一个第一装置(M1…Mn)具有向中央单元(KM)和/或一个第二装置(M1…Mn)发送一个识别(K)的工具，而该中央单元(KM)和/或该第二装置(M1…Mn)具有用于以下述方式分析第一装置(Mm)所发送的识别(K)的工具，即将各接收到的识别(K)与至少一个存储在该中央单元(KM)和/或该第二装置中的比较识别相比较，在接收到的识别与比较识别不一致时，则该中央单元(KM)和/或该第二装置(M1…Mn)拒绝该第一装置(Mm)在该系统上运行。

2.如权利要求1所述的系统，其特征在于，所述识别(K)具有合法保护的概念。

3.如权利要求1或2所述的系统，其特征在于，所述中央单元(Km)是自动化系统的主模块，而所述第一装置(Mm)是该自动化系统的一个模块。

4.如权利要求1至3中任一项所述的系统，其特征在于，所述识别(K)预先规定为用于标识第一装置(Mm)的特定技术要求。

5.一种装置(Mm)，尤其是自动化系统(AS)的模块，其中，所述装置(Mm)具有向中央单元(KM)和/或一个第二装置(M1…Mn)发送一个识别(K)的工具，其中，预先规定所述识别(K)由该中央单元和/或该第二装置(M1…Mn)以下述方式进行分析，即在接收到的识别与比较识别不一致时，该中央单元(KM)和/或该第二装置(M1…Mn)拒绝该第一装置(Mm)在该系统上运行。

6.如权利要求5所述的装置，其特征在于，用于发送识别(K)的工具是这样构造的，即它们包含具有合法保护概念的发送。

7.如权利要求5或6中所述的装置，其特征在于，所述识别(K)预先规定为用于标识第一装置(Mm)的特定技术要求。

8.一个中央单元(KM)，尤其是自动化系统(AS)的中央单元，其中，所述中央单元(KM)具有用于以下述方式分析第一装置(Mm)所发送的识别(K)的工具，即将各接收到的识别(K)与至少一个存储在该中央单元(KM)中的比较识别相比较，在接收到的识别与比较识别不一致时，该中央单元(KM)拒绝该第一装置(Mm)在该中央单元(KM)上的运行。

9.如权利要求8所述的中央单元，其特征在于，所述识别(K)具有合法保护的概念。

10.如权利要求8或9所述的中央单元，其特征在于，所述中央单元(KM)是自动化系统的主模块。