DE102011085568A1 - Method for transferring encrypted data between web server and field device in process automation system, involves generating and storing corresponding secondary key for encrypted transmission of data in web server - Google Patents
Method for transferring encrypted data between web server and field device in process automation system, involves generating and storing corresponding secondary key for encrypted transmission of data in web server Download PDFInfo
- Publication number
- DE102011085568A1 DE102011085568A1 DE201110085568 DE102011085568A DE102011085568A1 DE 102011085568 A1 DE102011085568 A1 DE 102011085568A1 DE 201110085568 DE201110085568 DE 201110085568 DE 102011085568 A DE102011085568 A DE 102011085568A DE 102011085568 A1 DE102011085568 A1 DE 102011085568A1
- Authority
- DE
- Germany
- Prior art keywords
- web server
- data
- key
- encrypted
- field device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
Description
Die Erfindung bezieht sich auf ein Verfahren zur verschlüsselten Datenübertragung zwischen einer Anlage der Prozessautomatisierungstechnik und einem Webserver.The invention relates to a method for encrypted data transmission between a plant of process automation technology and a web server.
Ferner bezieht sich die Erfindung auf eine Zugriffseinheit zum drahtlosen Zugriff auf eine Anlage der Prozessautomatisierungstechnik.Furthermore, the invention relates to an access unit for wireless access to a system of process automation technology.
Heutzutage sind Anlagen der Prozessautomatisierungstechnik oftmals über das Internet mit einem Host, der bspw. aus einem Webserver besteht, verbunden. Über das Internet können Daten aus einer Anlage bspw. über eine Feldbuszugriffseinheit an den Anlagenbetreiber, einen Servicedienstleister oder dergleichen übertragen werden.Today, process automation technology plants are often connected via the Internet to a host, which consists of a web server, for example. Data from a system, for example via a fieldbus access unit to the plant operator, a service provider or the like can be transmitted via the Internet.
In der Anlage selbst, sind die zur Prozesssteuerung bzw. -regelung Feldgeräte vorhanden, die zur Bestimmung, Steuerung und/oder Regelung etc. einer Prozessgröße dienen. Bei einem Feldgerät kann es sich um einen Sensor, einen Aktor oder ein anderes in der Anlage installiertes Gerät wie bspw. eine Anzeigeeinheit handeln. Die Feldgeräte können dabei über einen Feldbus miteinander und/oder mit der Feldbuszugriffseinheit verbunden sein, um Daten auszutauschen.In the plant itself, the field control devices are available for process control or regulation, which serve for the determination, control and / or regulation etc. of a process variable. A field device may be a sensor, an actuator or another device installed in the system, such as a display unit. The field devices can be connected to each other via a field bus and / or with the fieldbus access unit to exchange data.
Um den Zugriff Dritter oder unauthorisierter Personen auf die von der Anlage zur Verfügung gestellten Daten zu verhindern, ist es bekannt geworden, die bspw. von den Feldgeräten über den Feldbus übertragenen Daten zu verschlüsseln. Ebenso ist es auch der Computertechnik bekannt geworden Daten zu verschlüsseln, um den Zugriff auf Daten durch unauthorisierte Personen zu verhindern.In order to prevent the access of third parties or unauthorized persons to the data provided by the system, it has become known to encrypt the data transmitted, for example, by the field devices via the fieldbus. Likewise, computer technology has become known to encrypt data in order to prevent access to data by unauthorized persons.
Ferner ist es für Feldgerätehersteller und Servicedienstleister, die Dienste zur Wartung einer Anlage oder der Feldgeräte zur Verfügung stellen, schwierig die in einer oder mehreren Anlagen installierten Feldgeräte einem Kunden, der ein Feldgerät gekauft oder einen Service, bspw. zur Wartung der Anlage oder eines Feldgerätes, in Auftrag gegeben hat, zuzuordnen.Furthermore, it is difficult for field device manufacturers and service providers providing services for maintenance of a plant or field devices to install the field devices installed in one or more plants to a customer who purchased a field device or a service, for example, to maintain the plant or a field device , in order to assign.
Der Erfindung liegt daher die Aufgabe zugrunde, die Sicherheit der Datenübertragung zwischen der Anlage und dem Webserver bei gleichzeitiger Bedienungsfreundlichkeit zu gewährleisten.The invention is therefore based on the object to ensure the security of data transmission between the system and the web server with simultaneous ease of use.
Die Aufgabe wird erfindungsgemäß durch ein Verfahren und eine Zugriffseinheit gelöst.The object is achieved by a method and an access unit.
Hinsichtlich des Verfahrens wird die Aufgabe dadurch gelöst, dass zu einem ersten Zeitpunkt vor der Inbetriebnahme eines Gerätes in der Anlage,
insbesondere während der Herstellung, während der Fertigstellung und/oder vor der Auslieferung des Gerätes, ein erster Schlüssel zur verschlüsselten Übertragung von Daten erzeugt und in dem Gerät, insbesondere in einer persistenten Speichereinheit des Gerätes, hinterlegt wird,
wobei zu einem zweiten Zeitpunkt ebenfalls vor der Inbetriebnahme des Gerätes in der Anlage, insbesondere während der Herstellung, während der Fertigstellung und/oder vor der Auslieferung des Gerätes, ein entsprechender zweiter Schlüssel zur verschlüsselten Übertragung von Daten erzeugt und in einem Webserver hinterlegt wird,
wobei nach der Inbetriebnahme des Gerätes in der Anlage vermittels des ersten und des zweiten Schlüssels eine verschlüsselte Übertragung von Daten zwischen dem Gerät und dem Webserver, insbesondere über eine Kommunikationsverbindung über das Internet, ermöglicht wird.With regard to the method, the object is achieved in that at a first time before starting up a device in the system,
in particular during production, during the completion and / or prior to delivery of the device, a first key for the encrypted transmission of data is generated and stored in the device, in particular in a persistent storage unit of the device,
wherein at a second time also prior to the startup of the device in the system, in particular during production, during the completion and / or prior to delivery of the device, a corresponding second key for the encrypted transmission of data is generated and stored in a web server,
wherein encrypted transmission of data between the device and the web server, in particular via a communication connection via the Internet, is made possible after the device is put into operation in the system by means of the first and the second key.
In einer Ausführungsform des Verfahrens werden der erste und der zweite Schlüssel, insbesondere zu im Wesentlichen demselben Zeitpunkt, durch ein Programm, das zur Erzeugung des ersten und des zweiten Schlüssels dient, erzeugt.In one embodiment of the method, the first and second keys are generated, in particular at substantially the same time, by a program which is used to generate the first and second keys.
In einer weiteren Ausführungsform des Verfahrens wird zusätzlich zu dem Schlüssel eine Nutzeridentifikation, die bspw. einen bestimmten Nutzer kennzeichnet, insbesondere den Nutzer an den das Gerät geliefert wird, in dem Webserver, vorzugsweise zusammen mit dem zweiten Schlüssel, gespeichert.In a further embodiment of the method, in addition to the key, a user identification, which, for example, identifies a specific user, in particular the user to whom the device is delivered, is stored in the web server, preferably together with the second key.
In einer weiteren Ausführungsform des Verfahrens sind die von dem Gerät übertragenen Daten in dem Webserver der Nutzeridentifikation zugeordnet, wobei eine Nutzerabfrage bzgl. der von dem Gerät gelieferten Daten vermittels der Nutzeridentifikation, insbesondere über das Internet, an den Webserver gerichtet werden kann, durch welche Nutzerabfrage von dem Feldgerät übertragene Daten von dem Webserver abgerufen werden können.In a further embodiment of the method, the data transmitted by the device are assigned to the user identification in the web server, wherein a user query regarding the data supplied by the device can be directed to the web server by means of the user identification, in particular via the Internet, by which user query data transmitted from the field device can be retrieved from the web server.
In einer weiteren Ausführungsform des Verfahrens sind auf dem Webserver Daten mehrer Geräte und/oder verschiedener Nutzer hinterlegt, wobei die von den Geräten übertragenen Daten der jeweiligen Nutzeridentifikationen der verschiedenen Nutzer zugeordnet und/oder vermittels der jeweiligen Nutzeridentifikation abrufbar sind.In a further embodiment of the method, data of a plurality of devices and / or different users are stored on the web server, the data transmitted by the devices being assigned to the respective user identifications of the various users and / or retrievable by means of the respective user identification.
In einer weiteren Ausführungsform des Verfahrens wird als Webserver ein logischer und/oder ein hardwaremäßiger Webserver verwendet.In a further embodiment of the method, a logical and / or a hardware-based web server is used as the web server.
In einer weiteren Ausführungsform des Verfahrens handelt es sich bei dem Gerät um ein Gerät mit einer Funkeinheit, das über eine drahtlose Kommunikation über die Funkeinheit eine Verbindung zu dem Internet herstellt, wobei Daten über die Verbindung ausgetauscht werden, die vermittels des ersten bzw. des zweiten Schlüssels verschlüsselt sind.In a further embodiment of the method, the device is a device with a radio unit which establishes a connection to the Internet via wireless communication via the radio unit, wherein data about the Connection are encrypted, which are encrypted by means of the first and the second key.
Hinsichtlich der Zugriffseinheit wird die Aufgabe durch eine Zugriffseinheit zum drahtlosen Zugriff auf eine Anlage der Prozessautomatisierungstechnik gelöst, in welcher Zugriffseinheit ein erster Schlüssel gemäß dem Verfahren nach wenigstens einem der vorherigen Ansprüche zur verschlüsselten Datenübertragung hinterlegt ist.With regard to the access unit, the object is achieved by an access unit for wireless access to a system of process automation technology, in which access unit a first key is stored according to the method according to at least one of the preceding claims for encrypted data transmission.
Die Erfindung wird anhand der nachfolgenden Zeichnungen näher erläutert. Es zeigt:The invention will be explained in more detail with reference to the following drawings. It shows:
Die Feldgeräteproduktion, d. h. die Herstellung eines Feldgerätes, durch den Hersteller von Feldgeräten wird dabei durch einen Auftragseingang ausgelöst. Dafür wird von einem Kunden ein Auftrag an den Hersteller von Feldgeräten gegeben. Während der Geräteproduktion wird das Feldgerät in einem Webserver, der ein Programm zur Inbetriebnahme, zum Betreiben, zum Warten und/oder Bedienen eines Feldgerätes enthält registriert. Da dies zu einem Zeitpunkt während der Herstellung des Feldgerätes geschieht, muss bei der späteren Inbetriebnahme des Feldgerätes in einer Anlage keine Registrierung des Feldgerätes in dem Webserver vorgenommen werden.Field device production, d. H. the production of a field device, by the manufacturer of field devices is thereby triggered by an order. For this purpose, a customer places an order with the manufacturer of field devices. During device production, the field device is registered in a web server that contains a program for commissioning, for operating, for servicing and / or operating a field device. Since this happens at a time during the production of the field device, no registration of the field device in the web server must be made during the subsequent commissioning of the field device in a system.
Nachdem das Feldgerät derartig registriert wurde kann es Ausgeliefert bzw. in einer Anlage installiert werden.After the field device has been registered in this way, it can be delivered or installed in a system.
Während der Inbetriebnahme bzw. des Betriebs des Feldgerätes können aufgrund der Registrierung des Feldgerätes in dem Webserver von dem Feldgerät stammende Daten bspw. verschlüsselt an den Webserver übertragen bzw. verschlüsselt von dem Webserver empfangen werden. Zu diesem Zweck kann die Registrierung des Feldgerätes die Erstellung eines Schlüssels oder eines Schlüsselpaares zur verschlüsselten Datenübertragung zwischen dem Feldgerät und dem Webserver beinhalten.During commissioning or operation of the field device, due to the registration of the field device in the web server, data originating from the field device can be transmitted encrypted to the web server or encrypted by the web server, for example. For this purpose, the registration of the field device may include the creation of a key or a key pair for encrypted data transmission between the field device and the web server.
In
Damit ein Feldgerät einem Kunden zugeordnet werden kann, ist es notwendig, dass dieses Feldgerät bzw. von dem Feldgerät übertragene Daten von dem Webserver identifiziert werden kann. Daher kann die Authentifizierung des Feldgerätes über einen mehrteiligen insbesondere zweiteiligen Schlüssel erfolgen. Der Schlüssel kann dabei einen ersten Teil, der zur Authentifizierung des Kunden durch den Webserver dient und über den das Feldgerät einem Kunden zugeordnet werden kann, sowie einen zweiten Teil enthalten, der den vorgenannten öffentlichen und/oder persönlichen Schlüssel zur Verschlüsselung bzw. Entschlüsselung von Daten enthält, die von dem Feldgerät stammen. Durch den ersten Teil des Schlüssels, der bspw. aus einer einem Kunden zugeordneten Kundennummer besteht, können die Daten einem dem Kunden zugehörigen Feldgerät zugeordnet werden.In order for a field device to be assigned to a customer, it is necessary that this field device or data transmitted by the field device can be identified by the web server. Therefore, the authentication of the field device via a multipart, in particular two-part key can be done. The key may include a first part, which serves for authentication of the customer by the web server and over which the field device can be assigned to a customer, and a second part containing the aforementioned public and / or personal key for encryption or decryption of data contains, which come from the field device. By the first part of the key, which, for example, consists of a customer number assigned to a customer, the data can be assigned to a customer associated field device.
In dem Webserver selbst können die Daten mehrerer insbesondere von unterschiedlichen Kunden zugehöriger Feldgeräte gespeichert werden. Vorzugsweise wird dieser Webserver von dem Hersteller der Feldgeräte verwaltet. Der Kunde der Daten von seinem Feldgerät abrufen möchte, kann diese dann von dem Webserver bspw. ebenfalls über das Internet abrufen. Über diesen Webserver können unterschiedliche Kunden, die jeweils einem ihrer Feldgeräte zugehörigen Daten abrufen.In the web server itself, the data of several field devices, in particular belonging to different customers, can be stored. Preferably, this web server is managed by the manufacturer of the field devices. The customer wants to retrieve the data from his field device, this can then retrieve from the web server, for example, also over the Internet. This web server can be used by different customers, each of which retrieves data related to their field devices.
Bei dem Feldgerät handelt es bevorzugt um eine sog. Feldbuszugriffseinheit. Von Vorteil ist dann bei der vorgeschlagenen Feldbuszugriffseinheit, dass keine Konfiguration, d. h. Authentifizierung und/oder Registrierung, mehr bei der Inbetriebnahme der Feldbuszugriffseinheit erforderlich ist, um eine sichere Datenübertragung zu dem Webserver zu gewährleisten.The field device is preferably a so-called fieldbus access unit. The advantage of the proposed fieldbus access unit is that no configuration, ie. H. Authentication and / or registration, more in commissioning the fieldbus access unit is required to ensure secure data transfer to the web server.
Eine derartige Feldbuszugriffseinheit kann bspw. an einen Feldbus angeschlossen werden über den mehrer Feldgeräte miteinander und/oder der Feldbuszugriffseinheit kommunizieren. Über eine entsprechende Schnittstelle kann die Feldbuszugriffseinheit dann drahtgebunden oder drahtlos mit dem Webserver bspw. über das Internet kommunizieren.Such a fieldbus access unit can, for example, be connected to a field bus via which a plurality of field devices communicate with one another and / or with the fieldbus access unit. Via a corresponding interface, the fieldbus access unit can then communicate with the web server, for example via the Internet, by means of a wired or wireless connection.
Claims (8)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE201110085568 DE102011085568A1 (en) | 2011-11-02 | 2011-11-02 | Method for transferring encrypted data between web server and field device in process automation system, involves generating and storing corresponding secondary key for encrypted transmission of data in web server |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE201110085568 DE102011085568A1 (en) | 2011-11-02 | 2011-11-02 | Method for transferring encrypted data between web server and field device in process automation system, involves generating and storing corresponding secondary key for encrypted transmission of data in web server |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102011085568A1 true DE102011085568A1 (en) | 2013-05-02 |
Family
ID=48084199
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE201110085568 Pending DE102011085568A1 (en) | 2011-11-02 | 2011-11-02 | Method for transferring encrypted data between web server and field device in process automation system, involves generating and storing corresponding secondary key for encrypted transmission of data in web server |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102011085568A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015169347A1 (en) * | 2014-05-06 | 2015-11-12 | Vega Grieshaber Kg | Method for encrypted data transfer in process automation technology |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6553336B1 (en) * | 1999-06-25 | 2003-04-22 | Telemonitor, Inc. | Smart remote monitoring system and method |
DE10157764A1 (en) * | 2001-11-27 | 2003-07-17 | Endress & Hauser Process Solut | Method for data exchange between a field device and a radio telephone |
US20040168053A1 (en) * | 2001-05-21 | 2004-08-26 | Siemens Aktiengesellschaft | Process automation system and process device for a process automation system |
-
2011
- 2011-11-02 DE DE201110085568 patent/DE102011085568A1/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6553336B1 (en) * | 1999-06-25 | 2003-04-22 | Telemonitor, Inc. | Smart remote monitoring system and method |
US20040168053A1 (en) * | 2001-05-21 | 2004-08-26 | Siemens Aktiengesellschaft | Process automation system and process device for a process automation system |
DE10157764A1 (en) * | 2001-11-27 | 2003-07-17 | Endress & Hauser Process Solut | Method for data exchange between a field device and a radio telephone |
Non-Patent Citations (3)
Title |
---|
Bibliographische Daten zu Chim et al.: PASS: Privacy-preserving Authentication Scheme for Smart Grid Networks. IEEE 2011. * |
Chim, T.W., et al.: PASS: Privacy-preserving Authentication Scheme for Smart Grid Network. IEEE International Conference on Smart Grid Communications (SmartGridComm), 17.-20. Oktober 2011, Seiten 196-201. * |
Granzer, W.: Securing IP Backbones in Building Automation Networks. 7th IEEE International Conference on Industrial Informatics (INDIN 2009), IEEE 2009, Seiten 410-415. * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015169347A1 (en) * | 2014-05-06 | 2015-11-12 | Vega Grieshaber Kg | Method for encrypted data transfer in process automation technology |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2527936B1 (en) | Method for accessing an automation system and system operating according to the method | |
EP2051150A1 (en) | Method for automatic modification of a program and automation system | |
EP1701478A1 (en) | System and method for automatically configuring interfaces of a wireless connection for data transmission | |
EP3023896B1 (en) | Method for transmitting medical data sets | |
EP3314868B1 (en) | Exchanging data with a laser or a machine tool | |
WO2009127479A1 (en) | Method and device for transcoding during an encryption-based access check on a database | |
WO2016169993A1 (en) | Tabletting machine having a device for executing a dashboard application | |
DE102011085568A1 (en) | Method for transferring encrypted data between web server and field device in process automation system, involves generating and storing corresponding secondary key for encrypted transmission of data in web server | |
EP3078769B1 (en) | Method for releasing machine functions on a spinning machine | |
WO2015096930A1 (en) | Transfer of a user interface | |
DE102013113499A1 (en) | Device for automated preparation of a hot beverage | |
EP2333624A1 (en) | Method and device for configuring a component in an industrial automation device | |
EP2221682A1 (en) | Method for preparing functions in an industrial automation system, control program and industrial automation system | |
EP3358802B1 (en) | Method for securely providing a cryptographic key | |
WO2018130426A1 (en) | Anonymization of a block chain | |
WO2013041360A1 (en) | System and method for providing a control program code | |
EP3762845B1 (en) | Project-related certificate management | |
EP3191902A1 (en) | Method for accessing functions of an embedded device | |
DE102016220566A1 (en) | Method for starting a control component of an automation system, control component and automation system | |
EP3552063B1 (en) | Method for automatically configuring functional units of an automation system | |
WO2015078494A1 (en) | Technical information broker for power plants | |
DE102010032798A1 (en) | Method for setting a programmable logic controller, and for setting a remote access to the programmable logic controller, involves loading website from server on user device via Internet connection | |
EP4299410A1 (en) | Diagnostic messages with unique identification | |
DE102009055186A1 (en) | Method for integrating new subscriber into wireless network in industrial plant, involves providing communication through wireless network by interface, and integrating new subscriber in network through data related to another interface | |
EP4235324A1 (en) | Method for controlling an industrial installation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R163 | Identified publications notified | ||
R012 | Request for examination validly filed | ||
R082 | Change of representative |
Representative=s name: KRATT-STUBENRAUCH, KAI, DR., DE |
|
R082 | Change of representative |
Representative=s name: KRATT-STUBENRAUCH, KAI, DR., DE |