[go: up one dir, main page]

DE102024120256A1 - Verfahren zur Erlangung von erlaubtem Zugriff auf ein zu wartendes Feldgerät und entsprechendes System - Google Patents

Verfahren zur Erlangung von erlaubtem Zugriff auf ein zu wartendes Feldgerät und entsprechendes System

Info

Publication number
DE102024120256A1
DE102024120256A1 DE102024120256.4A DE102024120256A DE102024120256A1 DE 102024120256 A1 DE102024120256 A1 DE 102024120256A1 DE 102024120256 A DE102024120256 A DE 102024120256A DE 102024120256 A1 DE102024120256 A1 DE 102024120256A1
Authority
DE
Germany
Prior art keywords
field device
ticket
account
service technician
ticket server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102024120256.4A
Other languages
English (en)
Inventor
Axel Pöschmann
Simon Merklin
Thomas Alber
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Endress and Hauser Process Solutions AG
Original Assignee
Endress and Hauser Process Solutions AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Endress and Hauser Process Solutions AG filed Critical Endress and Hauser Process Solutions AG
Priority to DE102024120256.4A priority Critical patent/DE102024120256A1/de
Priority to PCT/EP2025/069769 priority patent/WO2026017545A1/de
Publication of DE102024120256A1 publication Critical patent/DE102024120256A1/de
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung offenbart ein Verfahren zur Erlangung von erlaubtem Zugriff auf ein zu wartendes Feldgerät (FG) durch einen Servicetechniker (BN), umfassend die Schritte, welche vom Hersteller des Feldgeräts (FG) durchgeführt werden: Betreiben eines Ticketservers (TS); Verknüpfen des Feldgeräts (FG) mit dem Ticketserver (TS); Erstellen eines Accounts des Servicetechnikers (BN) mit Zugangsdaten und spezifischen Zugriffsrechten für das Feldgerät (FG) am Ticketserver (TS); und Aktivieren des Empfangs von Accounttickets (T) im Feldgerät (FG); sowie umfassend die Schritte, welche vom Anwender durchgeführt werden: Ermitteln eines Identifikators für das Feldgerät (FG) ; Verknüpfen des Feldgeräts (FG) mit dem Account des Servicetechnikers (BN) am Ticketserver (TS); Generieren eines Accounttickets (T) vom Ticketserver (TS) für den Servicetechniker (BN) für das Feldgerät (FG); Anmelden eines Transportmittels am Ticketserver (TS) und Senden des Tickets (T) auf das Transportmittel; Transportieren des Tickets (T) über das Transportmittel zum Feldgerät (FG); Prüfen des Tickets (T) seitens des Feldgeräts (FG), ob das Ticket (T) tatsächlich vom Ticketserver (TS) erstellt wurde; Erstellen eines Accounts für den Servicetechniker (BN) auf dem Feldgerät (FG) mit den festgelegten Zugriffsrechten, falls die Prüfung positiv ist; und Anmelden des Servicetechnikers (BN) über den Account auf dem Feldgerät (FG).
Die Erfindung offenbart weiter ein System zur Durchführung des Verfahrens.

Description

  • Die Erfindung betrifft ein Verfahren zur Erlangung von erlaubtem Zugriff auf ein zu wartendes Feldgerät durch einen Servicetechniker und ein System, welches zur Durchführung des Verfahrens ausgestaltet ist.
  • Aus dem Stand der Technik sind bereits Feldgeräte bekannt geworden, die in industriellen Anlagen zum Einsatz kommen. In der Prozessautomatisierungstechnik ebenso wie in der Fertigungsautomatisierungstechnik werden vielfach Feldgeräte eingesetzt. Als Feldgeräte werden alle Geräte bezeichnet, die prozessnah eingesetzt werden und die prozessrelevante Informationen liefern oder verarbeiten. So werden Feldgeräte zur Erfassung und/oder Beeinflussung von Prozessgrößen verwendet. Zur Erfassung von Prozessgrößen dienen Messgeräte, bzw. Sensoren. Diese werden beispielsweise zur Druck- und Temperaturmessung, Leitfähigkeitsmessung, Durchflussmessung, pH-Messung, Füllstandmessung, etc. verwendet und erfassen die entsprechenden Prozessvariablen Druck, Temperatur, Leitfähigkeit, pH-Wert, Füllstand, Durchfluss etc. Zur Beeinflussung von Prozessgrößen werden Aktoren verwendet. Diese sind beispielsweise Pumpen oder Ventile, die den Durchfluss einer Flüssigkeit in einem Rohr oder den Füllstand in einem Behälter beeinflussen können. Neben den zuvor genannten Messgeräten und Aktoren werden unter Feldgeräten auch Remote I/Os, Funkadapter bzw. allgemein Geräte verstanden, die auf der Feldebene angeordnet sind.
  • Eine Vielzahl solcher Feldgeräte wird von der Endress+Hauser-Gruppe produziert und vertrieben.
  • In modernen Industrieanlagen sind Feldgeräte in der Regel über Kommunikationsnetzwerke wie beispielsweise Feldbusse (Profibus®, Foundation® Fieldbus, HART®, etc.) mit übergeordneten Einheiten verbunden. Normalerweise handelt es sich bei den übergeordneten Einheiten um Leitsysteme (DCS) bzw. Steuerungseinheiten, wie beispielsweise eine SPS (speicherprogrammierbare Steuerung). Die übergeordneten Einheiten dienen unter anderem zur Prozesssteuerung, Prozessvisualisierung, Prozessüberwachung sowie zur Inbetriebnahme der Feldgeräte. Die von den Feldgeräten, insbesondere von Sensoren, erfassten Messwerte werden über das jeweilige Bussystem an eine (oder gegebenenfalls mehrere) übergeordnete Einheit(en) übermittelt. Daneben ist auch eine Datenübertragung von der übergeordneten Einheit über das Bussystem an die Feldgeräte erforderlich, insbesondere zur Konfiguration und Parametrierung von Feldgeräten sowie zur Ansteuerung von Aktoren.
  • Auch mobile Bedieneinheiten können für die Bedienung von Feldgeräten verwendet werden. So existieren beispielsweise Bedieneinheiten, welche an das Feldbusnetzwerk angeschlossen werden. Die Bedieneinheit kann aber auch über eine drahtlose Kommunikationsverbindung, insbesondere basierend auf einem Bluetooth-Standard, mit den Feldgeräten kommunizieren. Die Anmelderin produziert und vertreibt Geräte, die als sogenannte Bluetooth-Gateways eine Kopplung der Bedieneinheiten mit den Feldgeräten erlauben. Das Feldgerät wird drahtgebunden, insbesondere unter Verwendung der Kommunikationsstandards HART oder CDI, mit einem Bluetooth-Gateway verbunden. Alternativ verfügen die Feldgeräte selbst über eigene Bluetooth-Schnittstellen.
  • Im Falle der Verwendung eines mobilen Endgeräts, beispielsweise eines Smartphones oder Tablets, als Bedieneinheit zur Drahtloskommunikation mit den Feldgeräten stehen Anwendungsprogramme, sogenannte Apps zur Verfügung, welche die Bedienfunktionen für das Feldgerät dem mobilen Endgerät zur Verfügung stellen.
  • Im industriellen Umfeld verfügen die meisten der installierten Feldgeräte über keinen oder nur recht einfachen Schutz vor nicht autorisiertem Zugriff. So kann in diesen Feldgeräten direkt oder beispielsweise nach Eingabe eines Entsperrcodes in der Regel auf alle Geräteparameter zugegriffen werden. Im Zuge des Bundessicherheitsgesetzes kommen nur vermehrt Feldgeräte auf den Markt, welche über individuelle Benutzeraccounts und eine rollenbasierte Autorisierung verfügen. Für den Zugriff über eine Benutzer- oder auch Maschinenschnittstelle ist also eine, in einem gewissen Sinne „permanente“, Autorisierung erforderlich, welche meist durch eine vorausgehende Authentifizierung gewährt wird.
  • Um den Verwaltungsaufwand für die Administration der einzelnen Feldgeräte auf ein akzeptables Maß zu senken, gibt es vereinzelt Anstrengungen einer zentralen Verwaltung, wie es auch im IT-Bereich bezüglich der dortigen IT-Geräte (beispielsweise Drucker, Workstations, etc.) seit Jahren üblich ist. Ein Beispiel eines solchen Konzepts offenbart die DE 10 2018 102 608 A1 , in welcher ein Transportmittel vorgesehen ist, auf welche von einer Benutzerdatenbank Benutzerdaten übertragen werden, wobei nach Überprüfen der Benutzerdaten von dem Feldgerät ein Zugriff auf dieses gewährt wird.
  • Auch gibt es Ideen zur Begrenzung der von Menschen benötigten Zugriffsberechtigungen auf ein minimales Maß. Die DE 10 2019 131 860 A1 beispielsweise offenbart es, ein digitales Ticket vorzusehen, welches von einem Server („Ticketserver“) auf das mobile Endgerät übertragen wird und welches Ticket die Zugriffsrechte und die autorisierten Arbeiten für das Feldgerät enthält. Beim Verbindungsaufbau mit dem Feldgerät wird dieses Ticket übertragen. Bei vorhandener Berechtigung können die in dem Ticket vorhandenen Aufgaben, beispielsweise Parametrieraktionen oder Durchführen von Funktionstest, mit dem Feldgerät bearbeitet werden.
  • Für Online-Feldgeräte, also Feldgeräte, die dauerhaft an ein IP-fähiges Netzwerk angeschlossen sind, sind „Single-Sign-On“-Lösungen (SSO) beispielsweise über OIDC/Oauth2 bekannt, wie sie beispielsweise von OPC UA Security und CIP Security spezifiziert sind und auch im Internet vorherrschend sind. Auch gibt es etablierte Lösungen im Enterprise-IT-Umfeld wie beispielsweise MS Active Directory oder LDAP.
  • Die überwiegende Mehrheit von Feldgeräten haben starke Ressourcenbeschränkungen (beispielsweise eine geringe zulässige Leistungsaufnahme in explosivem Umfeld, eine geringe Speicherkapazität, geringe Rechenkapazität, etc.) und sind mehrheitlich über 4...20 mA, bzw. HART mit der Leittechnik verbunden. Selbst in Anlagen, welche beispielsweise den Feldbusstandard PROFINET nutzen, sind die Feldgerät oft über Remote/IOs vom Systembus entkoppelt. Sie haben also keinen permanenten Anschluss an ein IP-fähiges Netzwerk, im Gegensatz zu den Online-Feldgeräten, welche aber wiederum nur sehr wenig in Anlagen verbreitet sind. Dennoch verfügen auch Offline-Feldgeräte über zusätzliche digitale Konfigurationsschnittstellen, (beispielsweise ein lokales Display, Bluetooth-Schnittstellen, einen Punkt-zu-Punkt Webserver, etc.), die oben beschriebenen Zugriffsschutz für Nutzerkonten erforderlich machen.
  • Gelegentlich muss ein Feldgerät gewartet werden. Dabei werden beispielsweise Firmwareupdates durchgeführt, Kalibrierungen gemacht oder Teile des Feldgeräts gereinigt. In der Regel werden diese Arbeiten von einem Servicetechniker durchgeführt. Für diese Art der Arbeiten braucht der Servicetechniker Zugriff auf das Feldgerät, also auf die Software. Dann müssen Einstellungen verändert oder Parameter gesetzt werden. Der Techniker braucht gewisse Zugriffsberechtigungen am Feldgerät.
  • Es gibt Feldgeräte bei denen ein Freischaltcode - also ein Code mittels dessen sich der Servicetechniker Zugriff auf das Feldgerät verschaffen kann - hart-codiert im Feldgerät abgelegt ist. Unbefugte könnten sich so bei dessen Kenntnis uneingeschränkt Zugriff auf das Feldgerät verschaffen. Auch kann es vorkommen, dass zwar mittels eines Feldgeräte-individuellen Codes, aber bekannten Codes, etwa die Seriennummer selbst, Zugriff auf der Feldgerät möglich ist. Dies ist zum einen unsicher und zudem aufwändig für den Hersteller des Feldgeräts die individuelle Seriennummer als Freischaltcode zu verwenden.
  • Der Erfindung liegt die Aufgabe zugrunde, eine einfache und sichere Möglichkeit bereit zu stellen, Servicetechniker Zugriff auf ein Feldgerät zu gewähren.
  • Die Aufgabe wird durch ein Verfahren gemäß Anspruch 1, sowie durch ein System gemäß Anspruch 10 gelöst.
  • Konkret erfolgt die Lösung durch die folgenden Schritte, welche vom Hersteller des Feldgeräts durchgeführt werden: Betreiben eines Ticketservers; Verknüpfen des Feldgeräts mit dem Ticketserver; Erstellen eines Accounts des Servicetechnikers mit Zugangsdaten und spezifischen Zugriffsrechten für das Feldgerät am Ticketserver; und Aktivieren des Empfangs von Accounttickets im Feldgerät; sowie umfassend die Schritte, welche vom Anwender durchgeführt werden: Ermitteln eines Identifikators für das Feldgerät; Verknüpfen des Feldgeräts mit dem Account des Servicetechnikers am Ticketserver; Generieren eines Accounttickets vom Ticketserver für den Servicetechniker für das Feldgerät; Anmelden eines Transportmittels am Ticketserver und Senden des Tickets auf das Transportmittel; Transportieren des Tickets über das Transportmittel zum Feldgerät; Prüfen des Tickets seitens des Feldgeräts, ob das Ticket tatsächlich vom Ticketserver erstellt wurde; Erstellen eines Accounts für den Servicetechniker auf dem Feldgerät mit den festgelegten Zugriffsrechten, falls die Prüfung positiv ist; und Anmelden des Servicetechnikers über den Account auf dem Feldgerät.
  • Für die Durchführung der vorliegenden Idee wird ein Ticketserver benötigt, der jeweils im gegenseitigen, kryptografischen Vertrauensverhältnis mit den Feldgeräten und der zur Offline-Bedienung erforderlichen Bedieneinheit steht.
  • „Gegenseitiges, kryptografisches Vertrauensverhältnis“ bedeutet, dass sich die Komponenten vorab bekannt gemacht wurden. Ticketserver und Feldgerät haben also eine gegenseitige Authentifikation durchgeführt. Hierfür wurden gegenseitig kryptografische Informationen, beispielsweise jeweils der öffentliche Schlüssel eines Schlüsselpaars, ausgetauscht (beispielsweise durch einen Diffie-Hellman-Schlüsselaustausch). Damit erfüllt der Datenaustausch zwischen den jeweiligen Komponenten, die dieses Vertrauensverhältnis besitzen, die Schutzziele „Integrität“, „Vertraulichkeit“ und „Verfügbarkeit“. Ein Ticket kann eine digitale Signatur umfassen, um die Authentizität zu bestätigen (Ticket wurde nicht verändert) und/oder die Authentizität des Ticketservers zu bestätigen. In anderen Worten „vertraut“ das Feldgerät dem Ticket mit dessen Inhalt, da das Feldgerät mit dem Ticketserver im gegenseitigen Vertrauensverhältnis steht. Im Rahmen dieser Schrift, dass eine bisher nicht freigeschaltete Zusatz-Funktionalität für das konkrete Feldgerät freigeschaltet werden soll.
  • Beispiele für Feldgeräte sind bereits im einleitenden Teil der Beschreibung aufgeführt worden. Auch Netzwerkkomponenten, wie beispielsweise Edge Devices und Gateways, fallen im Rahmen der hier beschriebenen Erfindung unter die Definition eines Feldgeräts.
  • In einer Ausgestaltung handelt es sich bei dem Transportmittel für das Ticket um eine Bedieneinheit, wobei sich die Bedieneinheit mit dem Feldgerät, etwa über Bluetooth, verbindet, oder um eine Speicherkarte, etwa eine SD-Karte, oder um ein digitales Protokoll, beispielsweise HART, oder wobei das Feldgerät mit dem Ticketserver in Verbindung ist und das Transportieren des Tickets über diese Verbindung erfolgt.
  • Eine Ausgestaltung sieht vor, dass das Anmelden des Servicetechnikers über den Account auf dem Feldgerät mittels den gleichen Zugangsdaten wie beim Ticketserver erfolgt.
  • Eine Ausgestaltung sieht vor, dass der Servicetechniker mit seinem Account auf dem Ticketserver den Identifikator für das Feldgerät übermittelt.
  • Eine Ausgestaltung sieht vor, dass das Ermitteln des Identifikators für das Feldgerät über eine Bedieneinheit erfolgt. Bei der Bedieneinheit handelt es sich in einer Ausgestaltung um ein mobiles Endgerät, insbesondere ein Tablet oder ein Smartphone. Der Identifikator kann durch die Bedieneinheit abfotografiert werden oder eingescannt.
  • Eine Ausgestaltung sieht vor, dass es sich bei dem Identifikator um die Seriennummer des Feldgeräts handelt. Diese kann auf dem Feldgerät numerisch oder alpha-numerisch abgedruckt sein. Der Identifikator ist in einer Ausgestaltung maschinenlesbar abgedruckt, beispielsweise als QR-Code (allgemein als zweidimensionaler Code / Barcode). Somit kann die Bedieneinheit den Identifikator leicht einlesen und übermitteln. Das Übermitteln kann mittels App erfolgen.
  • Eine Ausgestaltung sieht vor, dass es sich bei dem Identifikator um ein kryptographische Schlüsselpaar handelt mit einem privaten und einem öffentlichen Schlüssel, insbesondere nach dem Standard IEEE 802.1AR. Laut IEEE 802.1AR bekommt ein Gerät im Herstellungsprozess einen initialen „Device Identifier“ (IDevID). Dieses ist ein Zertifikat, was vom Hersteller ist und dann in einer Datenbank des Herstellers gespeichert ist. Der Anwender lässt sich aus dem Feldgerät den Hash des öffentlichen Schlüssels anstelle der Seriennummer ermitteln und übergibt diesen Wert an den Server. Damit findet er das zugehörige Feldgerät. Zusätzlich könnte diese Hash noch mit dem privaten Schlüssel des Feldgerätes signiert werden. Der Hersteller kann nun verifizieren, ob der Anfrager tatsächlich auch im Besitz des Gerätes ist.
  • Eine Ausgestaltung sieht vor, dass eine Vielzahl an Feldgeräten zum Warten ermittelt wird und pro Feldgerät ein Accountticket erstellt wird. In einer Ausgestaltung sind die Zugangsdaten für alle Feldgeräte, also die Vielzahl der Feldgeräte, gleich.
  • Eine Ausgestaltung sieht vor, dass der Account auf dem Feldgerät für den Servicetechniker zeitlich limitiert freigeschaltet wird.
  • Eine Ausgestaltung sieht vor, dass Zeitpunkt, wenn der Servicetechniker Zugriff auf das Feldgerät erhält, in der Zukunft liegt. Somit können bereits vor den eigentlichen Arbeiten die Voraussetzungen für erfolgreiche Servicetätigkeiten durchgeführt werden.
  • Eine vorteilhafte Ausgestaltung des Verfahrens sieht vor, dass nach Ablauf des Gültigkeitszeitraums eine automatische Deaktivierung des Accounts an dem entsprechenden Feldgerät erfolgt. Eine erneute Freischaltung mit dem gleichen Ticket ist nicht möglich, ein neues Ticket kann den Zugriff erneut freischalten.
  • Eine Ausgestaltung sieht vor, dass das Ticket Binärcode für den Account am Feldgerät selbst umfasst, beispielsweise als ausführbare Datei auf dem Feldgerät.
  • Hinsichtlich des Systems ist vorgesehen, dass das System zur Durchführung des erfindungsgemäßen Verfahrens ausgestaltet ist und mindestens ein Feldgerät, einen Ticketserver und eine Bedieneinheit umfasst.
  • Eine Ausgestaltung des Systems sieht dabei vor, dass es sich bei der Bedieneinheit um ein mobiles Endgerät, insbesondere ein Tablet oder ein Smartphone, handelt.
  • Dies wird anhand der nachfolgenden Figur näher erläutert.
    • 1 zeigt das beanspruchte System.
  • Die Erfindung setzt auf einer eingerichteten Feldgeräte-Ticketserver-Infrastruktur auf. Es gibt einen Ticketserver TS, der vom Hersteller des Feldgeräts FG betrieben wird. Das Feldgerät FG ist mit dem Ticketserver TS über einen „Join-Prozess“ verknüpft, siehe unten. Dies ist in 1 dargestellt durch eine gepunktete Linie. Das Verknüpfen erfolgt beispielsweise in der Produktion der Feldgeräte, auf jeden Fall aber vor der Auslieferung des Feldgeräts FG an den jeweiligen Anwender. Feldgerät FG und Ticketserver haben einen Schlüsseltausch durchgeführt und nach einem Diffie-Hellman-Schlüsselaustausch den gemeinsamen symmetrischen Schlüssel (Geheimnis) ermittelt. Es werden vorab also kryptografisch relevante Informationen ausgetauscht, beispielsweise in Form jeweils eines öffentlichen Schlüssel eines Schlüsselpaars, um dann die Authentizität und Integrität überprüfen zu können.
  • Der Anwender betreibt in der Regel eine Vielzahl verschiedener Feldgeräte, dargestellt ist ein einzelnes Feldgerät FG. Der „Anwender“ ist beispielsweise ein Anlagenbetreiber.
  • Ein solcher Ticketserver TS kann beispielsweise auf der IIoT-Infrastruktur der Anmelderin implementiert werden, etwa der Platform „Netilion“ der Endress+Hauser-Gruppe. Über diese Platform können auch weitere Services bereitgestellt werden.
  • Das Feldgerät FG weist Module auf, welche feldgeräteseitig die Benutzerzugriffsverwaltung übernehmen. Über die Benutzerzugriffsverwaltung kann der Anwender mehrere Benutzer pro Feldgerät anlegen, die jeweils unterschiedliche Rechte haben können. Des Weiteren ist das Feldgerät FG in einen Modus versetzt, in welchem das Feldgerät FG Tickets T (siehe unten) erstellen und empfangen können. „Tickets“ sind beispielsweise in der DE 10 2018 102 608 A1 und DE 10 2019 131 860 A1 beschrieben.
  • Das Feldgerät FG umfasst eine zentrale Security-Komponente, ein sogenanntes „Field Device Authentication Module“ (FDAM). Das FDAM im Feldgerät FG prüft, ob das Ticket von dem Ticketserver TS stammt. In diesem Field Device Authentication Module (FDAM) werden sensible Daten, wie z.B. Logbücher, Accountdatenbanken, Schlüssel, Zertifikate und Interface-Konfigurationen verschlüsselt abgelegt. Die Verschlüsselung dieser Daten erfolgt beispielsweise mit einem Schlüssel, der aus einem im Speicherchip des Gerätes gespeicherten Hauptschlüssel generiert wird. Da dieser Hauptschlüssel einzigartig für jeden produzierten Speicherchip ist, sind die verschlüsselten Daten in diesem Beispiel an diesen Schlüssel gebunden. Das FDAM ist auch für die Entschlüsselung des Tickets verantwortlich. Gegebenenfalls wird ein Hash als Schutz gegen Veränderungen verwendet.
  • Das Feldgerät FG kann ein Online-Feldgerät sein, also über ein Netzwerk mit dem Ticketserver TS in direkter Kommunikationsverbindung stehen. Im beschriebenen Fall in 1 handelt es sich bei dem Feldgerät FG aber um Offline-Feldgerät, d.h. es besteht keine direkte Kommunikationsverbindung mit dem Ticketserver TS. Die Tickets T können dann über ein Transportmittel, beispielsweise eine Bedieneinheit BE, von dem Ticketserver TS an das entsprechende Feldgerät FG übertragen werden, und vice versa (siehe unten). Im Prinzip ist es egal, wie das Ticket zum Gerät kommt, was weiter unten näher beschrieben wird. Der Inhalt des Tickets ist mit diesem Schlüssel sicher verschlüsselt und für Dritte nicht lesbar und nicht nutzbar.
  • Ein beanspruchtes System umfasst den Ticketserver TS, ein oder mehrere Feldgeräte FG und ein oder mehrere Bedieneinheiten BE.
  • Bei der Bedieneinheit BE handelt es sich insbesondere um ein mobiles Endgerät, beispielsweise ein Smartphone oder ein Tablet. Die Bedieneinheit BE hat ebenfalls eine Drahtlosschnittstelle, insbesondere eine Bluetooth-Schnittstelle.
  • In einer Ausgestaltung ist das Bediengerät BE mit dem Ticketserver TS über einen „Join-Prozess“ verknüpft, dies ist jedoch keine zwingende Voraussetzung für das Funktionieren des beanspruchte Verfahrens. Ein Join-Prozess des Bediengeräts BE am Ticketserver TS wurde bereits durchgeführt, so dass im Ergebnis der Ticketserver TS und das Bediengerät BE in einem kryptografisch abgesicherten, gegenseitigen Vertrauensverhältnis stehen. Der Vorgang erfolgt ähnlich zu dem Join-Prozess von Feldgerät FG und Ticketserver TS. Das kryptographische Vertrauensverhältnis ist in 1 symbolisch durch die gepunktete Linie dargestellt. Der Join-Prozess umfasst beispielsweise das Erstellen und Aussenden von Join-Tickets von dem Ticketserver TS an die Bedieneinheit BE, wodurch kryptografische Informationen, insbesondere ausgestaltet zum Berechnen von (symmetrischen) Schlüsseln, übermittelt werden, beispielsweise durch einen Diffie-Hellman-Schlüsselaustausch. Es werden vorab also kryptografisch relevante Informationen ausgetauscht, beispielsweise in Form jeweils eines öffentlichen Schlüssel eines Schlüsselpaars, um dann die Authentizität und Integrität überprüfen zu können.
  • Auf der Bedieneinheit BE laufen eine oder mehrere Apps A, die u.a. zum Verbinden und Konfigurieren mit dem Feldgerät FG ausgestaltet sind.
  • Es wurde auf dem Ticketserver TS für einen Servicetechniker BN ein Account erstellt mit Zugangsdaten und spezifischen Zugriffsrechten für das Feldgerät FG. Die Zugriffsrechte erfolgen beispielsweise für die Rollen „Produktion“, „Service“ oder „Entwickler“.
  • Der Servicetechniker BN kann ein interner Arbeiter des Anwenders sein. Der Servicetechniker kann auch ein Angestellter des Herstellers des Feldgeräts FG sein, der für eine bestimmte Art der Wartung ins Werk des Anlagenbetreibers kommt. Ein Servicetechniker des Herstellers kann gegebenenfalls eine andere Autorisierung wie der Servicetechniker des Kunden haben. Beispielsweise kann der Techniker des Herstellers temporär Features nutzen, obwohl der Kunde diese (noch) nicht gekauft hat oder kritische Einstellungen machen, die bei falscher Verwendung das Gerät schädigen können.
  • Das Feldgerät FG ist dazu ausgestaltet allgemein Tickets, konkret Accounttickets T, zu empfangen.
  • Nach der Bestellung des Feldgeräts FG durch den Anwender wird das Feldgerät FG ausgeliefert.
  • Nach einiger Zeit im Betrieb wird nun ein Wartungsauftrag beauftrag, etwa für Kalibrierung, Reparatur oder aus sonstigen Gründen.
  • Gemäß der Erfindung werden jetzt folgende zusätzliche Schritte ausgeführt, welche vom Anwender durchgeführt werden:
    • Es wird ein Identifikator für das Feldgerät FG ermittelt, beispielsweise die Seriennummer, beispielsweise über die Bedieneinheit BE.
  • Der Servicetechniker BN loggt sich beim Ticketserver TS ein und übermittelt die Seriennummer (Identifikator) des Feldgeräts FG, an dem der Service erfolgen soll. Es erfolgt also das Verknüpfen des Feldgeräts FG mit dem Account des Servicetechnikers BN am Ticketserver TS.
  • Dann wird vom Ticketserver TS ein Accountticket T für den Servicetechniker für das konkrete Feldgerät FG erstellt, und zwar für die Rolle des Servicetechnikers mit den spezifischen Zugangsberechtigungen. Das Accountticket T ist kryptographisch gesichert, also signiert und verschlüsselt. Im Allgemeinen ist wichtig, dass das Feldgerät FG mit dem FDAM (siehe oben) den Inhalt entschlüsseln und auslesen kann. Der Inhalt des Tickets T kann auch als Bitstring codiert sein. In einer Ausgestaltung ist das Ticket bzw. die entsprechenden Daten Abstract Syntax Notation One (ASN.1) spezifiziert, beispielsweise mittels Distinguished Encoding Rules (DER) codiert. Beispielsweise kann ein Ticket einige Hundert Bytes groß sein.
  • In anderen Worten wird das Accountticket T erstellt. Der Servicetechniker BN bekommt einen Account mit einer der Systemberechtigungen „(Hersteller) Service“, „Developer“ oder „Produktion“ für das Feldgerät FG. Das Verknüpfen erfolgt durch die Verwendung des symmetrischen Schlüssels zur Verschlüsselung des Tickets T, der aus dem gespeicherten öffentlichen Schlüssels des Feldgerätes FG (Identifizierung etwa über die Seriennummer) und dem privaten Schlüssel des Ticketservers TS gebildet wurde. Dieses Ticket T kann dann nur von dem einen (richtigen) Feldgerät FG entschlüsselt werden und der Account für den Servicetechniker BN wird dann im Feldgerät FG angelegt. Nachfolgend kann es sich am Gerät anmelden und mit den entsprechenden Rechten agieren.
  • Das Ticket T beinhaltet eine bzw. entspricht einer Transaktion. Eine Transaktion ist eine Folge von Programmschritten, die als eine logische Einheit betrachtet werden, weil sie den Datenbestand nach fehlerfreier und vollständiger Ausführung in einem konsistenten Zustand hinterlassen. Daher wird für eine Transaktion gefordert, dass sie entweder vollständig und fehlerfrei oder gar nicht ausgeführt wird.
  • In einem Ticket sind allgemein Auftragsdaten für einen durchzuführenden Arbeitsauftrag definiert. Bei den Auftragsdaten kann es sich z.B. um folgende Daten handeln: Login-Daten, eindeutige Kennzeichnung des Service-Mitarbeitenden bzw. des Nutzers, des Feldgeräts, des Arbeitsauftrags, z.B. Wartungsmaßnahme, Freischaltung eines definierten Parameters, Kalibrierung, Austausch des Feldgeräts, usw., und ggf. des Zeitraums, in dem der Arbeitsauftrag durchzuführen ist.
  • In der vorliegenden Schrift geht es bei einem „Ticket“ aber vor allem darum, dass mittels des Tickets ein Account für den Servicetechniker BN auf dem Feldgerät FG erstellt wird und sich der Servicetechniker schließlich am Feldgerät FG anmelden kann. Das Ticket T umfasst also Metadaten, die zumindest teilweise spezifisch für das jeweilige Feldgerät sind, etwa die Seriennummer oder einen anderen eindeutigen Identifier des Feldgeräts. Weiter umfasst das Ticket den „eigentlichen“ Inhalt (im englischen spricht man häufig von „payload“). Bei der vorliegenden Schrift sind dies also Anweisungen einen Account auf dem Feldgerät zu erstellen.
  • Es wird ein Transportmittel am Ticketserver TS angemeldet und das Ticket T auf das Transportmittel gesendet. Dies ist in 1 mit dem Bezugszeichen (1) gekennzeichnet. Das Ticket T wird über ein beliebiges Transportmittel, also einen beliebigen Datenübertragungskanal - z.B. manuell, über ein Bedieneinheit, über ein drahtloses oder drahtgebundenes Netzwerk (beispielsweise HART, Bluetooth) - schließlich an das Feldgerät FG übertragen oder es ist auf einem Speichermedium, z.B. einem USB-Stick oder SD-Karte, gespeichert und wird an das Feldgerät FG übertragen. Dargestellt ist der Transportweg über die Bedieneinheit BE, was näher erläutert wird.
  • Das Ticket T wird via dem Transportmittel zum Feldgerät FG transportiert und transferiert. Dies ist in 1 mit dem Bezugszeichen (2) gekennzeichnet. Beispielsweise wird eine Verbindung aufgebaut, etwa via Bluetooth, mittels der App A zwischen dem Feldgerät FG und der Bedieneinheit BE und das Ticket T auf diese Weise transferiert. Das Feldgerät FG hat beispielsweise eine integrierte Bluetooth-Schnittstelle.
  • Dann wird seitens des Feldgeräts FG geprüft, ob das Ticket T tatsächlich vom Ticketserver TS erstellt wurde. Genauer validiert und entschlüsselt das FDAM das Ticket.
  • Ist die Prüfung positiv, wird ein Account für den Servicetechniker BN auf dem Feldgerät FG erstellt mit den festgelegten Zugriffsrechten und gegebenenfalls der hinterlegten Gültigkeitsdauer.
  • Schließlich erfolgt das Anmelden des Servicetechnikers BN über den Account auf dem Feldgerät FG. Der Servicetechniker BN kann sich nun mit dem gleichen Passwort wie am Ticketserver TS einloggen. Weiterhin hat der Servicetechniker BN nun Zugang mit den von ihm beim Ticketserver TS hinterlegten Rechten am Feldgerät FG. Somit kann der Servicetechniker BN, sich über verschiedene Schnittstellen am Feldgerät FG für seine Serviceaktivitäten einloggen.
  • Das Anmelden des Benutzers BN am Feldgerät FG erfolgt mit den Zugangsdaten. Der Benutzer BN ist hierfür vor Ort am Feldgerät FG und wählt dieses zum Verbindungsaufbau (beispielsweise durch Selektieren in einer Live List) aus. Der Login erfolgt über den Benutzername mit Passwort. Kann das Feldgerät FG diese als gültig überprüfen und befindet sich der Anmeldezeitpunkt innerhalb des festgelegten Gültigkeitszeitraums, so erfolgt die Anmeldung des Benutzers BN mittels seiner Bedieneinheit BE am Feldgerät FG. Es wird Zugriff auf das Feldgerät FG gemäß den vergebenen Zugangsrechten gewährt.
  • Bezugszeichenliste
    • A
    App
    BE
    Bedieneinheit
    BN
    Nutzer/Benutzer/Servicetechniker
    FG
    Feldgerät
    T
    Ticket
    TB
    Bestätigungsticket
    TS
    Ticketserver
    ZF
    Zusatz-Funktionalität von FG
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 10 2018 102 608 A1 [0008, 0037]
    • DE 10 2019 131 860 A1 [0009, 0037]

Claims (12)

  1. Verfahren zur Erlangung von erlaubtem Zugriff auf ein zu wartendes Feldgerät (FG) durch einen Servicetechniker (BN), umfassend die Schritte, welche vom Hersteller des Feldgeräts (FG) durchgeführt werden: - Betreiben eines Ticketservers (TS); - Verknüpfen des Feldgeräts (FG) mit dem Ticketserver (TS); - Erstellen eines Accounts des Servicetechnikers (BN) mit Zugangsdaten und spezifischen Zugriffsrechten für das Feldgerät (FG) am Ticketserver (TS); und - Aktivieren des Empfangs von Accounttickets (T) im Feldgerät (FG); sowie umfassend die Schritte, welche vom Anwender durchgeführt werden: - Ermitteln eines Identifikators für das Feldgerät (FG); - Verknüpfen des Feldgeräts (FG) mit dem Account des Servicetechnikers (BN) am Ticketserver (TS); - Generieren eines Accounttickets (T) vom Ticketserver (TS) für den Servicetechniker (BN) für das Feldgerät (FG); - Anmelden von einem Transportmittels am Ticketserver (TS) und Senden des Tickets (T) auf das Transportmittel; - Transportieren des Tickets (T) über das Transportmittel zum Feldgerät (FG); - Prüfen des Tickets (T) seitens des Feldgeräts (FG), ob das Ticket (T) tatsächlich vom Ticketserver (TS) erstellt wurde; - Erstellen eines Accounts für den Servicetechniker (BN) auf dem Feldgerät (FG) mit den festgelegten Zugriffsrechten, falls die Prüfung positiv ist; und - Anmelden des Servicetechnikers (BN) über den Account auf dem Feldgerät (FG).
  2. Verfahren nach Anspruch 1, wobei es sich bei dem Transportmittel für das Ticket (T) um eine Bedieneinheit (BE) handelt, wobei sich die Bedieneinheit (BE) mit dem Feldgerät (FG), etwa über Bluetooth, verbindet, oder um eine Speicherkarte, etwa eine SD-Karte, oder um ein digitales Protokoll, beispielsweise HART, handelt oder wobei das Feldgerät (FG) mit dem Ticketserver (TS) in Verbindung ist und das Transportieren des Tickets (T) über diese Verbindung erfolgt.
  3. Verfahren nach Anspruch 1 oder 2, wobei das Anmelden des Servicetechnikers (BN) über den Account auf dem Feldgerät (FG) mittels den gleichen Zugangsdaten wie beim Ticketserver (TS) erfolgt.
  4. Verfahren nach einem der vorherigen Ansprüche, wobei der Servicetechniker (BN) mit seinem Account auf dem Ticketserver (TS) den Identifikator für das Feldgerät (FG) übermittelt.
  5. Verfahren nach einem der vorherigen Ansprüche wobei das Ermitteln des Identifikators für das Feldgerät (FG) über eine Bedieneinheit (BE) erfolgt.
  6. Verfahren nach einem der vorherigen Ansprüche, wobei es sich bei dem Identifikator um die Seriennummer des Feldgeräts (FG) handelt.
  7. Verfahren nach einem der vorherigen Ansprüche, wobei es sich bei dem Identifikator um ein kryptographische Schlüsselpaar handelt mit einem privaten und einem öffentlichen Schlüssel, insbesondere nach dem Standard IEEE 802.1AR.
  8. Verfahren nach einem der vorherigen Ansprüche, wobei eine Vielzahl an Feldgeräten zum Warten ermittelt wird und pro Feldgerät ein Accountticket erstellt wird.
  9. Verfahren nach einem der vorherigen Ansprüche, wobei der Account auf dem Feldgerät (FG) für den Servicetechniker (BN) zeitlich limitiert ist.
  10. Verfahren nach einem der vorherigen Ansprüche, wobei das Ticket (T) Binärcode für den Account am Feldgerät (FG) selbst umfasst, beispielsweise als ausführbare Datei auf dem Feldgerät (FG).
  11. System, welches zur Durchführung des Verfahrens nach einem der vorherigen Ansprüche ausgestaltet ist, umfassend mindestens ein Feldgerät (FG), einen Ticketserver (TS) und ein Bedieneinheit (BE).
  12. System nach dem vorherigen Anspruch, wobei es sich bei der Bedieneinheit (BE) um ein mobiles Endgerät, insbesondere ein Tablet oder ein Smartphone, handelt.
DE102024120256.4A 2024-07-18 2024-07-18 Verfahren zur Erlangung von erlaubtem Zugriff auf ein zu wartendes Feldgerät und entsprechendes System Pending DE102024120256A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102024120256.4A DE102024120256A1 (de) 2024-07-18 2024-07-18 Verfahren zur Erlangung von erlaubtem Zugriff auf ein zu wartendes Feldgerät und entsprechendes System
PCT/EP2025/069769 WO2026017545A1 (de) 2024-07-18 2025-07-10 Verfahren zur erlangung von erlaubtem zugriff auf ein zu wartendes feldgerät und entsprechendes system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102024120256.4A DE102024120256A1 (de) 2024-07-18 2024-07-18 Verfahren zur Erlangung von erlaubtem Zugriff auf ein zu wartendes Feldgerät und entsprechendes System

Publications (1)

Publication Number Publication Date
DE102024120256A1 true DE102024120256A1 (de) 2026-01-22

Family

ID=96432413

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102024120256.4A Pending DE102024120256A1 (de) 2024-07-18 2024-07-18 Verfahren zur Erlangung von erlaubtem Zugriff auf ein zu wartendes Feldgerät und entsprechendes System

Country Status (2)

Country Link
DE (1) DE102024120256A1 (de)
WO (1) WO2026017545A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014112611A1 (de) * 2014-09-02 2016-03-03 Endress + Hauser Conducta Gesellschaft für Mess- und Regeltechnik mbH + Co. KG Verfahren zur Authentifikation mindestens einer ersten Einheit an mindestens einer zweiten Einheit
DE102018102608A1 (de) * 2018-02-06 2019-08-08 Endress+Hauser Conducta Gmbh+Co. Kg Verfahren zur Benutzerverwaltung eines Feldgeräts
DE102019131860A1 (de) * 2019-11-25 2021-05-27 Endress+Hauser Conducta Gmbh+Co. Kg Verfahren zur manipulationssicheren Bedienung von Feldgeräten der Automatisierungstechnik

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012214018B3 (de) * 2012-08-07 2014-02-13 Siemens Aktiengesellschaft Autorisierung eines Nutzers durch ein tragbares Kommunikationsgerät
EP2990981B1 (de) * 2014-08-27 2018-04-11 F. Hoffmann-La Roche AG Identifizierungs-, Authentifizierungs- und Autorisierungsverfahren in einem Laborsystem

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014112611A1 (de) * 2014-09-02 2016-03-03 Endress + Hauser Conducta Gesellschaft für Mess- und Regeltechnik mbH + Co. KG Verfahren zur Authentifikation mindestens einer ersten Einheit an mindestens einer zweiten Einheit
DE102018102608A1 (de) * 2018-02-06 2019-08-08 Endress+Hauser Conducta Gmbh+Co. Kg Verfahren zur Benutzerverwaltung eines Feldgeräts
DE102019131860A1 (de) * 2019-11-25 2021-05-27 Endress+Hauser Conducta Gmbh+Co. Kg Verfahren zur manipulationssicheren Bedienung von Feldgeräten der Automatisierungstechnik

Also Published As

Publication number Publication date
WO2026017545A1 (de) 2026-01-22

Similar Documents

Publication Publication Date Title
EP3705955B1 (de) Verfahren zur sicheren kommunikation zwischen einem feldgerät der automatisierungstechnik und einem endgerät sowie system zur sicheren kommunikation zwischen einem feldgerät und einem endgerät
DE102014112611A1 (de) Verfahren zur Authentifikation mindestens einer ersten Einheit an mindestens einer zweiten Einheit
EP3681102B1 (de) Verfahren zur validierung eines digitalen nutzerzertifikats
DE10124800A1 (de) Prozessautomatisierungssystem und Prozessgerät für ein Prozessautomatisierungssystem
EP3125492A1 (de) Verfahren und system zum erzeugen eines sicheren kommunikationskanals für endgeräte
DE102017106777A1 (de) Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik und eine Bedieneinheit zum Durchführen des Verfahrens
EP3582033A1 (de) Verfahren und vorrichtung zur gesicherten bedienung eines feldgeräts
WO2025113933A1 (de) Verfahren und system zur anmeldung eines benutzers an einem oder mehreren feldgeräten der automatisierungstechnik
EP4154070A1 (de) Digital-twin basierte prozesssteuerung in einem iot-netzwerk
EP3714575A1 (de) Verfahren und system zum steuern und/oder überwachen von geräten
WO2020207717A1 (de) Verfahren und steuersystem zum steuern einer ausführung von transaktionen
WO2022022997A1 (de) Kanalbasierte kommunikation in einem iot-netzwerk
DE102024120256A1 (de) Verfahren zur Erlangung von erlaubtem Zugriff auf ein zu wartendes Feldgerät und entsprechendes System
DE102023128606A1 (de) Verfahren und System zur Benutzerverwaltung eines Feldgeräts Automatisierungstechnik
DE102024120255A1 (de) Verfahren zur Veränderung von Funktionalitäten eines Feldgeräts und entsprechendes System
DE102024120257A1 (de) Verfahren zur Veränderung von Funktionalitäten eines Feldgeräts und entsprechendes System
WO2020221523A1 (de) Verfahren zur vergabe von zertifikaten, leitsystem, verwendung eines solchen, technische anlage, anlagenkomponente und verwendung eines identitätsproviders
EP3758320A1 (de) Geräte und verfahren zum überprüfen von geräten
DE102024120888A1 (de) Verfahren zur Authentifizierung an einem Feldgerät und entsprechendes System
DE102024120251A1 (de) Verfahren und System zur Anmeldung eines Benutzers an einem oder mehreren Feldgeräten der Automatisierungstechnik
DE102019130067B4 (de) Verfahren zur Durchführung einer erlaubnisabhängigen Kommunikation zwischen wenigstens einem Feldgerät der Automatisierungstechnik und einem Bediengerät
DE102024120254A1 (de) Verfahren zur Inbetriebnahme eines Feldgeräts und entsprechendes System
DE102024120252A1 (de) Verfahren zur Verwaltung eines Bestandsfeldgeräts und entsprechendes System
DE102023128597A1 (de) Verfahren zum Integrieren eines Feldgeräts in ein Bediensystem einer Anlage der Automatisierungstechnik
DE102024105113A1 (de) Verfahren zur Erlangung von Zugriff auf ein Feldgerät und entsprechendes System

Legal Events

Date Code Title Description
R163 Identified publications notified