本发明专利技术涉及一种用于在自动化网络(100)中安全地进行数据传输的方法,其中,该方法包括以下步骤:通过程序实例授权系统在用户数据的帮助下验证(S1)用户,使该用户能够使用该程序实例;通过程序实例来对数据(120)进行加密(S2)和签名,其中,这些数据包括用户数据;通过传输介质(108;202)将数据从程序实例传输(S3)到组件;在组件中对数据进行解密(S4);相对于组件对程序实例进行验证(S5);并且通过组件授权系统在用户数据的帮助下验证(S6)用户。
【技术实现步骤摘要】
自动化网络中的安全的数据传输
本专利技术涉及一种工业自动化网络,尤其是一种在工业自动化网络中的安全的数据传输。
技术介绍
工业自动化网络通常由至少一个控制器和至少一个组件组成。控制器用于对组件进行编程,并且为此包括程序实例(Programminstanz)。组件例如可以是在生产线中的机器的机器控制系统。自动化网络用于自行地、并且在无人协作的情况下使工业机器或者设备运转。那么必须将程序实例的数据传输给组件,从而让控制器能够对组件进行编程。这些数据被称为配置数据。如果要让配置数据由程序实例传输到组件的过程中不被窃取并且被保护不被篡改,那么通常使用如HTTPS或者IPSEC这样的安全传输协议。对于这些传输协议来说必须满足一定的安全要求,这些安全要求不可能被每个自动化网络或者说每个组件所满足。
技术实现思路
本专利技术的目的在于,提出一种在自动化网络中安全地进行数据传输的改进的方法。此外,本专利技术的目的在于,提出在自动化网络中的一种改进的控制器和一种改进的组件,并且为了这种组件和这种控制器提供改进的存储介质。本专利技术的目的分别利用根据独立权利要求所述的特征得以实现。本专利技术的实施方式在从属权利要求中给出。根据本专利技术,提出了一种在自动化网络中安全地进行数据传输的方法。自动化网络包括至少一个程序实例和至少一个组件。数据传输的安全性不取决于所使用的传输方法得到保证。自动化网络例如可以设计为工业自动化网络。这种工业自动化网络例如可以设计、设定和/或设置用于控制和/或调节工业设备(例如生产设备、传送设备等等)、机器和/或仪器。特别地,自动化网络或者说工业自动化网络可以为了至少在参与了控制任务和/或调节任务的组件之间(例如在控制单元和要进行控制的设备和/或机器之间)进行通信而具有实时通信协议(例如Profinet(自动化总线)、Profibus(现场总线)、Real-Time-Ethernet(实时以太网))。通过存储介质安全地传输数据也同样地得以实现。此外,在自动化网络或者说工业自动化网络中,除了实时通信协议之外但也还可以设计至少另一个通信协议(其例如不需要有实时能力),例如用于在自动化网络中对一个或多个控制单元进行监控、设定、重新编程和/或重新参数化。自动化网络例如可以包括有线的通信组件和/或无线的通信组件。此外,自动化网络可以包括至少一个自动化装置。自动化装置例如可以是计算机、PC和/或具有控制任务或者说控制能力的控制器。特别地,自动化装置例如可以是工业自动化装置,其例如可以特别地设计、设定和/或设置用于控制和/或调节工业设备。特别地,这种自动化装置或者说工业自动化装置可以有实时能力,也就是说能够实时地进行控制或者调节。为此,自动化装置或者说工业自动化装置例如可以包括实时操作系统,和/或至少此外还支持用于通信的有实时能力的通信协议(例如Profinet,Profibus,Real-Time-Ethernet)。自动化网络包括多个传感器和执行器。这些执行器和传感器被至少一个控制装置所控制。执行器、传感器和至少一个控制装置相互之间交换数据。为了交换数据使用一种自动化协议。至少一个控制装置这样控制执行器、传感器和数据交换,即,使得机械制造过程进行下去,在这个过程中例如生产出一种产品。工业自动化装置例如可以是可编程控制器、可编程控制器的模块或者一部分、集成在计算机或者PC中的可编程控制器以及相应的现场设备、传感器和/或执行器、输入设备和/或输出设备或者用于连接在可编程控制器上的类似设备,或者包括这些设备。在本专利技术的意义内的自动化协议应理解为各种类型的根据本说明书设置、适合和/或设定用于与自动化装置进行通信的协议。这些自动化协议例如可以是现场总线协议(例如遵从IEC61158/EN50170标准),Profi-Bus-DP协议,Profi-Bus-PA协议,Profi-Net协议,Profi-Net-IO协议,根据AS-Interface总线系统的协议,根据IO-Link的协议,KNX协议,根据多点通信接口(MPI)的协议,用于点对点桥接(PtP)的协议,遵从S7通信规则的协议(其例如设置和设定用于西门子公司的可编程控制器的通信),或者还有工业以太网协议或者实时以太网协议或者其它的用于和自动化设备进行通信的特殊协议。在本说明书的意义中的自动化协议也可以被设置为前述协议的任意组合。程序实例具有程序实例授权系统,并且组件具有组件授权系统。这个方法包括以下步骤。首先要验证程序实例的用户。这通过程序实例授权系统在用户数据的帮助下进行。用户数据例如可以是用户名和密码,或者还包括其他已经公知的、用于通过程序实例授权系统验证用户的方法。程序实例授权系统是程序实例的授权系统。该程序实例授权系统也就可以在一方面在用户数据的帮助下验证用户,并且在另一方面向不同的用户分配不同的权利。要注意的是,同样有可能的是,所有被验证的用户都被授予了全部的权利。组件授权系统是组件的授权系统。该组件授权系统同样可以在一方面在用户数据的帮助下验证用户,并且在另一方面向不同的用户分配不同的权利。在此也要注意的是,同样有可能的是,所有被验证的用户都被授予了全部的权利。要进行传输的数据通过该程序实例加密并签名。例如,程序实例为此包括签名的DLL文件(动态链接库文件)或者签名的可执行文件,它们因此被保护不被篡改。优选地,用于对数据进行加密和签名的程序实例配置有非对称密钥。这些数据同样包括用户数据。用户数据就连同要进行传输的配置数据加密地并且签名地传输给组件。在组件中,这些数据被解密。紧接着,相对于组件对程序实例进行验证。这例如可以通过以下方式进行,即,利用程序实例的非对称私人密钥对数据进行签名,并且这个签名在组件中通过程序实例的公共密钥来验证。也就在组件中检查数据的签名。由此确认了不会发生对数据的篡改,并且组件仅仅从一个有权控制该组件的程序实例那里接收到数据。通过利用程序实例的私人密钥进行签名,不需要从组件向程序实例进行数据传输,这与例如所谓的质询-响应-方法不同。所述程序实例得到验证,而不必将数据从组件传输给程序实例。这些解密的数据包括用户数据。用户在此在用户数据的帮助下通过组件授权系统验证。此外,用户可以被授权将数据传输给组件。在此也就涉及一个后续的授权过程。如果发现该用户无权进行数据传输,那么数据将被丢弃。否则,数据被用于控制组件。这个步骤确保了在程序实例上注册的用户有权向组件传输数据。也就不可能对数据进行篡改,并且在组件中仅对那些由程序实例的授权的用户传输给组件的数据进行处理。传输途径在此完全无关紧要。即也可以是一个不安全的传输通道。通过对数据进行加密、对数据进行签名并且将用户数据传输给组件,这些数据被保护不受到任何篡改,并且不取决于传输途径地确保了这些数据不可能被截获或者被篡改。根据本专利技术的实施方式进行数据传输的特别的安全性在于,用户数据被加密地连同配置数据由程序实例传输给组件,并且在该组件中对用户进行验证。除了在程序实例中对用户进行验证并且签名地和加密地进行数据传输之外,还得出一个保护数据不被篡改的自动化网络,该自动化网络不取决于传输通道的安全性而提供安全的数据传输。根据本专利技术的实施方式,对数据进行的加密是非对称加密。根据本专利技术的实施方式,程序实例本文档来自技高网...
【技术保护点】
1.一种用于在自动化网络(100)中安全地进行数据传输的方法,其中,所述自动化网络包括至少一个程序实例(106)和至少一个组件(104),其中,所述程序实例具有程序实例授权系统,并且所述组件具有组件授权系统,并且其中所述方法包括以下步骤:-通过所述程序实例授权系统在用户数据的帮助下验证(S1)用户,使所述用户能够使用所述程序实例;-通过所述程序实例来对数据(120)进行加密(S2)和签名,其中,所述数据包括所述用户数据;-通过传输介质(108;202)将所述数据从所述程序实例传输(S3)到所述组件;-在所述组件中对所述数据进行解密(S4);-相对于所述组件对所述程序实例进行验证(S5);并且-通过所述组件授权系统在所述用户数据的帮助下验证(S6)所述用户。
【技术特征摘要】
2010.07.09 EP 100071191.一种用于在自动化网络(100)中安全地进行数据传输的方法,其中,所述自动化网络包括至少一个程序实例(106)和至少一个组件(104),其中,所述程序实例具有程序实例授权系统,并且所述组件具有组件授权系统,并且其中所述方法包括以下步骤:-通过所述程序实例授权系统在用户数据的帮助下验证(S1)用户,使所述用户能够使用所述程序实例;-通过所述程序实例来对数据(120)进行加密(S2)和签名,其中,所述数据包括用户数据;-通过传输介质(108;202)将数据从所述程序实例传输(S3)到所述组件;-在所述组件中对数据进行解密(S4);-相对于所述组件对所述程序实例进行验证(S5);并且-通过所述组件授权系统在所述用户数据的帮助下验证(S6)所述用户。2.根据权利要求1所述的方法,其中,所述加密是非对称加密。3.根据权利要求2所述的方法,其中,所述程序实例和所述组件分别具有一个非对称公共程序实例密钥和一个非对称公共组件密钥(112),并且其中所述程序实例具有一个私人程序实例密钥(110),并且所述组件具有一个私人组件密钥(116),其中,所述方法包括以下步骤:-在所述程序实例中利用所述公共组件密钥对数据进行非对称加密,并且利用所述私人程序实例密钥对数据进行签名;-将所述加密的并签名的数据从所述程序实例传输到所述组件;并且-在所述组件中利用所述私人组件密钥对所述加密的数据进行解密,并且利用所述公共程序实例密钥将所述程序实例验证为数据的发送器。4.根据前述权利要求中任一项所述的方法,其中,将通过所述程序实例加密和签名的数据存储到存储介质(202)上并且在所述组件中进行解密之前从所述存储介质中读取。5.根据权利...
【专利技术属性】
技术研发人员:约阿希姆·科佩尔斯,
申请(专利权)人:西门子公司,
类型:发明
国别省市:DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。