现场设备的访问密钥制造技术

一种提供自动化现场设备(300)的访问密钥(203)的方法，其中访问密钥(203)提供对现场设备(300)的访问，其中所述方法具有以下步骤：产生个体密钥(204，304)；将个体密钥(204)存储在数据库(202)中，其中数据库(202)连同个体密钥(204)附加地存储现场设备(300)的识别特征(205)；将个体密钥(304)存储在现场设备(300)中，该现场设备(300)意图基于已输入的访问密钥(203)来释放；至少确定访问密钥(203)意图待提供给的现场设备(300)的识别特征(205)；形成/产生/生成访问密钥(203)，使得后者包括散列值(206)，其中散列值(206)至少在所确定的识别特征(205)的辅助下根据从数据库(202)中读取的个体密钥(204)形成。

【技术实现步骤摘要】
【国外来华专利技术】现场设备的访问密钥
本专利技术涉及一种提供自动化技术现场设备的访问密钥的方法。进一步地，本专利技术涉及：一种用于解锁现场设备的方法；一种访问密钥；一种现场设备；以及一种自动化技术系统。
技术介绍
在过程自动化技术中，与在制造业自动化技术中一样，经常应用现场设备，该现场设备用于注册和/或影响过程变量。用于注册过程变量的是测量设备，其包括传感器，诸如例如填充水平测量设备、流测量设备、压力测量设备与温度测量设备、pH-氧化还原电势测量设备、导电性测量设备等，其注册对应的过程变量：填充水平、流、压力、温度、pH-值、以及导电性。用于影响过程变量的是致动器，诸如例如阀或泵，经由该阀或泵可改变管线或管道段中的流体的流动、以及容器中的填充水平。原则上，将应用于过程附近并且传递、或处理过程相关信息的全部设备称作现场设备。除了以上的测量设备/传感器和致动器之外，称作现场设备的通常还有直接连接到现场总线并且用于与上位单元通信的项目，即诸如远程I/O、网关、链接设备、以及无线适配器的项目。大量的这样的现场设备由Endress+Hauser集团公司制造和销售。在现代化工业工厂中，作为规则，现场设备经由诸如例如Foundation等的现场总线系统来与上位单元连接。通常，上位单元为控制系统——相应地，控制单元，诸如例如PLC(可编程逻辑控制器)。上位单元用于过程控制、过程可视化、过程监视以及现场设备的启动等。由现场设备——特别是传感器——注册的测量值经由所连接的总线系统传输到一个上位单元或者在给定情况下还传输到多个上位单元。除此之外，还需要经由总线系统从上位单元至现场设备的数据传输；这特别地用于现场设备的配置和参数化或者用于诊断目的。概括而言，经由总线系统由上位单元为现场设备服务。除了现场设备与上位单元之间的有线数据传输之外，无线数据传输也是可能的。特别是在总线系统Foundation以及中，规定了经由无线电的无线数据传输。无线电、或无线传感器网络在标准IEEE802.15.4中更详细地规定。作为规则，工业工厂——特别是自动化工厂——以非常高的安全性要求为特征。在无线访问系统的情况下，安全性特别重要。现有技术中众所周知的是访问机制，诸如例如输入密码或访问密钥。这些访问机制有助于确保仅被授权人可以获得对现场设备数据特别是其参数的访问权，以例如改变或编辑现场设备数据。这涉及人员对现场设备的直接访问、以及经由工具——诸如例如软件组件——的访问。为了针对忘记访问密钥的情况而避免必须更换现场设备，在现有技术中，配备通用有效(即，对于制造者的所有现场设备通用有效)的访问密钥。如果将所配备的访问密钥输入到现场设备中，则现场设备解锁并且可以为现场设备存储新的个体访问密钥。由于对于现场设备而言安全性要求变得更加严格，因此现在认为这一方案是不安全的，因为在任何时间都可以访问所有的现场设备。
技术实现思路
本专利技术的目标在于一种更安全的方法，通过该方法，对现场设备的访问可控制。本专利技术的目标通过一种提供自动化技术现场设备的访问密钥的方法来实现，其中访问密钥控制对现场设备特别是其参数的访问，其中所述方法包括以下步骤：产生个体密钥；将所述个体密钥存储在数据库中，其中附加地将所述现场设备的识别特征连同所述个体密钥一起存储在所述数据库中；将所述个体密钥存储在所述现场设备中，所述现场设备将基于输入的访问密钥来被解锁；至少确定所述访问密钥待被提供给的所述现场设备的所述识别特征；形成/产生/生成所述访问密钥，使得所述访问密钥包括至少一个散列值，其中所述散列值至少在所确定的识别特征的辅助下根据从所述数据库中读出的所述个体密钥形成。本专利技术的方法实现了：可以在任意时间并且如所期望的频繁地针对特定的现场设备产生——特别是由现场设备制造者来产生访问密钥。本专利技术的方法的实施例的有利形式提供：除了所述识别特征之外，还确定所述访问密钥待被提供给的所述现场设备的时间信息并且在形成/产生/生成访问密钥被给予预先确定的有效性持续时间。特别地，实施例的形式可以提供：所述时间信息根据所述现场设备的操作时间计数器中的值导出。通过提供时间信息，能够产生具有限定的有效性或有效性时间期限的密钥。本专利技术的方法的实施例的有利形式提供：所述时间信息被转换成对应的二进制形式并且被用作第一时间戳，其中，在所述预先确定的有效性持续时间以对相关的低值比特的比特掩码形式被屏蔽并且所屏蔽的比特的至少一部分被存储为偏移值的情况下，将所述第一时间戳转换成第二时间戳，以及其中，形成/产生/生成所述访问密钥，使得所述访问密钥至少包括以所述比特掩码或者所述比特掩码的表示形式的所述预先确定的有效性持续时间、所述偏移值和所述散列值，其中，所述散列值是至少根据所述个体密钥(204)(在所确定的识别特征的辅助下从所述数据库中读出)和所述第二时间戳来形成的。在信息学领域中，比特掩码为比特字段，其位置不表示信息，但是作为替代用于读出和/或操纵一个或多个比特字段。本专利技术的方法的实施例的有利形式提供：所述偏移值还被附加地用于形成所述散列值。当偏移值参与散列值的形成时，可以阻止非法侵入。此外，所述目标通过一种通过访问密钥来解锁自动化技术现场设备的方法来实现，所述访问密钥控制对所述现场设备特别是其参数的访问，其中，所述方法包括以下步骤：输入访问密钥，所述输入访问密钥包括至少一个散列值；基于存储在所述现场设备中的个体密钥来计算/形成比较散列值；当所述比较散列值与输入的所述访问密钥的散列值吻合时，启用或执行所述现场设备的至少一个功能。本专利技术的方法的实施例的有利形式提供：所述功能为重置用于所述现场设备的访问授权的密码。本专利技术的方法的实施例的替选的形式提供：所述功能为访问所述现场设备的参数值。本专利技术的方法的实施例的另一替选形式提供：所述功能为解锁所述现场设备的软件功能。本专利技术的方法的实施例的有利形式提供：所述解锁或所述至少一个功能的执行在由所述访问密钥预先确定的有效性持续时间内进行。本专利技术的方法的实施例的有利形式提供：所述解锁或所述至少一个功能的执行仅能够在由所述访问密钥预先确定的有效性持续时间期间执行。本专利技术的方法的实施例的有利形式提供：访问密钥进一步包括偏移值和比特掩码或其表示，其中，所述比较散列值是基于存储在所述现场设备中的所述个体密钥、通过所述访问密钥输入的所述偏移值、和第三时间戳来形成的，其中所述第三时间戳是通过从操作时间计数器的当前值中减去所述偏移值并且随后基于所述比特掩码或其表示对相关的低值比特进行屏蔽来确定的。此外，所述目标通过一种自动化技术现场设备实现，包括：内部存储器，在所述内部存储器中存储个体密钥，其中，所述内部存储器是非外部可访问的；以及计算单元，所述计算单元被设计用于进行或执行根据上述实施例的形式中的至少一个的解锁方法。本专利技术的现场设备的有利实施例提供：所述个体密钥被加密存储在所述现场设备的所述内部存储器中。此外，所述目标通过一种自动化技术现场设备的访问密钥实现，其中所述访问密钥具有至少一个散列值、偏移值和比特掩码或其表示。此外，所述目标通过一种自动化技术系统实现，包括：多个现场设备，其中，在每种情况下，存储至少一个个体密钥，并且所述多个现场设备中的每一个具有计算单元，所述计算单元被设计用于运行或执行根据上述实施例的形式中的至少本文档来自技高网...

【技术保护点】
1.一种向自动化技术的现场设备(300)提供访问密钥(203)的方法，其中，所述访问密钥(203)控制对所述现场设备(300)特别是其参数的访问，其中，所述方法包括以下步骤：产生个体密钥(204，304)；将所述个体密钥(204)存储在数据库(202)中，其中附加地将所述现场设备(300)的识别特征(205)连同所述个体密钥(204)一起存储在所述数据库(202)中；将所述个体密钥(304)存储在所述现场设备(300)中，所述现场设备(300)将基于输入的访问密钥(203)来被解锁；至少确定所述访问密钥(203)待被提供给的所述现场设备(300)的所述识别特征(205)；形成/产生/生成所述访问密钥(203)，使得所述访问密钥(203)包括至少一个散列值(206)，其中所述散列值(206)至少在所确定的所述识别特征(205)的辅助下根据从所述数据库(202)中读出的所述个体密钥(204)形成。

【技术特征摘要】
【国外来华专利技术】2015.12.15 DE 102015121861.51.一种向自动化技术的现场设备(300)提供访问密钥(203)的方法，其中，所述访问密钥(203)控制对所述现场设备(300)特别是其参数的访问，其中，所述方法包括以下步骤：产生个体密钥(204，304)；将所述个体密钥(204)存储在数据库(202)中，其中附加地将所述现场设备(300)的识别特征(205)连同所述个体密钥(204)一起存储在所述数据库(202)中；将所述个体密钥(304)存储在所述现场设备(300)中，所述现场设备(300)将基于输入的访问密钥(203)来被解锁；至少确定所述访问密钥(203)待被提供给的所述现场设备(300)的所述识别特征(205)；形成/产生/生成所述访问密钥(203)，使得所述访问密钥(203)包括至少一个散列值(206)，其中所述散列值(206)至少在所确定的所述识别特征(205)的辅助下根据从所述数据库(202)中读出的所述个体密钥(204)形成。2.如权利要求1所述的方法，其中，除了所述识别特征(205)之外，还确定所述访问密钥(203)待被提供给的所述现场设备的时间信息(307)并且在形成/产生/生成访问密钥(203)被给予预先确定的有效性持续时间。3.如权利要求2所述的方法，其中，所述时间信息(307)根据所述现场设备(300)的操作时间计数器(302)中的值导出。4.如权利要求2或3所述的方法，其中，所述时间信息被转换成对应的二进制形式并且被用作第一时间戳(207)，其中，在所述预先确定的有效性持续时间以对相关的低值比特的比特掩码(209)形式被屏蔽并且所屏蔽的比特的至少一个部分被存储为偏移值(210)的情况下，将所述第一时间戳(207)转换成第二时间戳(208)，以及其中，形成/产生/生成所述访问密钥(203)，使得所述访问密钥(203)至少包括以所述比特掩码(209)或者所述比特掩码的表示形式的所述预先确定的有效性持续时间、所述偏移值(210)和所述散列值(206)，其中，所述散列值(206)是至少根据所述个体密钥(204)(在所确定的识别特征(205)的辅助下从所述数据库(202)中读出)和所述第二时间戳(208)来形成的。5.如权利要求4所述的方法，其中，所述偏移值(210)被附加地用于形成所述散列值(206)。6.一种通过访问密钥来解锁自动化技术中的现场设备(300)的方法，所述访问密钥控制对所述现场设备(300)特别是其参数的访问，其中，所述方法包括以下步骤：输入访问密钥(203)，所述访问密钥(203)包括至少一个散列值(206)；基于存储在所述现场设备(300)中的个体密钥(304)来计算/形成比较散列值(306)；当所述比较散列值(306)与输入的所述访问密钥(203)的散列值(203)吻...

【专利技术属性】
技术研发人员：尼古拉·芬克，苏希尔·西德什，
申请(专利权)人：恩德斯豪斯流量技术股份有限公司，
类型：发明
国别省市：瑞士,CH