用于安全地改變網(wǎng)絡(luò)設(shè)備的配置設(shè)定的方法和裝置制造方法
【專利摘要】用于安全地改變網(wǎng)絡(luò)設(shè)備(1)的配置設(shè)定的方法和裝置����,所述網(wǎng)絡(luò)設(shè)備(1)能夠通過至少一個接口(2;3)連接到其他網(wǎng)絡(luò)設(shè)備(1)上���,其中如果網(wǎng)絡(luò)設(shè)備(1)的所述至少一個接口(2��;3)的所檢測物理接線狀態(tài)在網(wǎng)絡(luò)設(shè)備(1)的常規(guī)運(yùn)行中不出現(xiàn)���,則網(wǎng)絡(luò)設(shè)備(1)的配置設(shè)定能夠改變。
【專利說明】用于安全地改變網(wǎng)絡(luò)設(shè)備的配置設(shè)定的方法和裝置
【背景技術(shù)】
[0001]網(wǎng)絡(luò)設(shè)備具有可被其用來與網(wǎng)絡(luò)的其他網(wǎng)絡(luò)設(shè)備通信的接口或網(wǎng)絡(luò)通信接口����。自動化設(shè)施的網(wǎng)絡(luò)設(shè)備、尤其是用于監(jiān)視和控制自動化部件的現(xiàn)場設(shè)備越來越多地具有網(wǎng)絡(luò)通信接口���,所述網(wǎng)絡(luò)通信接口使得能夠通過數(shù)據(jù)網(wǎng)絡(luò)傳輸診斷數(shù)據(jù)�����、配置數(shù)據(jù)���、運(yùn)行數(shù)據(jù)����、控制數(shù)據(jù)���、監(jiān)視數(shù)據(jù)等等���。這些數(shù)據(jù)網(wǎng)絡(luò)一部分是開放的通信網(wǎng)絡(luò)、尤其是以太網(wǎng)數(shù)據(jù)網(wǎng)絡(luò)或基于IP的數(shù)據(jù)網(wǎng)絡(luò)��。所控制或所監(jiān)視的自動化部件例如是能量網(wǎng)絡(luò)����、發(fā)電廠或運(yùn)輸系統(tǒng)的自動化部件,例如自動化裝置�、道岔、機(jī)箱等等��。此外��,所操控的自動化部件例如可以是交通燈設(shè)施����、管線、煉制廠���、制造設(shè)施等等��。為了操控這樣的自動化部件���,自動化設(shè)施的網(wǎng)絡(luò)設(shè)備需要配置設(shè)定,例如自動化服務(wù)器的網(wǎng)絡(luò)地址或者密碼密鑰�����。
[0002]在常規(guī)自動化設(shè)施或網(wǎng)絡(luò)的情況下���,對設(shè)備配置的設(shè)立或?qū)ε渲迷O(shè)定的執(zhí)行大多通過直接配置訪問來進(jìn)行��。該直接配置訪問例如具有串行接口���,例如RS232或USB,其允許連接到維護(hù)PC�。但是尤其是對于網(wǎng)絡(luò)內(nèi)的大量要安裝的自動化部件而言����,通過直接配置訪問設(shè)立設(shè)備配置是麻煩和費(fèi)力的���。另外�����,當(dāng)進(jìn)行未經(jīng)授權(quán)的配置訪問時(shí)��,這些常規(guī)處理方式可能導(dǎo)致安全問題��。在自動化設(shè)施內(nèi)的這種常規(guī)網(wǎng)絡(luò)設(shè)備或自動化設(shè)備的情況下���,網(wǎng)絡(luò)設(shè)備也可以具有用于執(zhí)行設(shè)備配置的專門用戶接口。所述用戶接口例如具有按鍵和/或觸摸屏或按鍵和顯示器�。這在大量自動化部件或網(wǎng)絡(luò)設(shè)備的情況下是顯著的技術(shù)成本。此外�����,在特定的工業(yè)應(yīng)用中以及在那里廣泛存在的惡劣情況下��,這樣的用戶接口是不實(shí)用和易出錯的����。
[0003]圖1示出了用于闡述本發(fā)明所基于的問題的網(wǎng)絡(luò)設(shè)備的示例��。在所示的應(yīng)用情況中,設(shè)置有亦稱VPN盒的現(xiàn)場通信加密設(shè)備��,其具有基于IP的外部網(wǎng)絡(luò)接口 Eth-ext以及基于IP的內(nèi)部網(wǎng)絡(luò)接口 Eth-1nt?��,F(xiàn)場設(shè)備(VPN盒)與傳感器和/或執(zhí)行器(S/A)——例如通過調(diào)節(jié)機(jī)構(gòu)SW控制的道岔或道岔控制裝置——連接��?��?刂茢?shù)據(jù)和/或監(jiān)視數(shù)據(jù)CRTL在通過網(wǎng)絡(luò)NW傳輸時(shí)通過所謂的虛擬個人網(wǎng)絡(luò)VPN來傳輸、即通過被保護(hù)免受操縱的通信連接來傳輸����。為此,控制數(shù)據(jù)和/或監(jiān)視數(shù)據(jù)CRTL以受密碼保護(hù)的方式在現(xiàn)場設(shè)備(VPN-盒)與VPN服務(wù)器(VPN-S)之間傳輸����。為此,例如可以使用IPsec協(xié)議���、L2TP協(xié)議����、PPTP協(xié)議或者SSL/TLS協(xié)議。在此��,VPN服務(wù)器VPN-S的地址以及所分配的密碼憑證——例如密碼密鑰�����、數(shù)字證書或口令——在現(xiàn)場通信加密設(shè)備投入使用的情況下例如通過內(nèi)部網(wǎng)絡(luò)接口或通過單獨(dú)的未示出的維護(hù)或診斷接口來配置��。在此應(yīng)當(dāng)防止的是�����,這些配置設(shè)定可以在現(xiàn)場安裝現(xiàn)場設(shè)備的情況下未經(jīng)授權(quán)地通過網(wǎng)絡(luò)攻擊被讀出或操縱�。但是尤其是當(dāng)對現(xiàn)場通信加密設(shè)備(VPN-盒)的管理訪問不再可能時(shí),例如當(dāng)口令或密碼密鑰丟失時(shí)����,還應(yīng)當(dāng)實(shí)現(xiàn)場設(shè)備配置的復(fù)位或刪除。
[0004]常規(guī)的現(xiàn)場通信加密設(shè)備大多具有自己的復(fù)位按鈕以用于復(fù)位或刪除其配置存儲器��。在此缺點(diǎn)是���,這樣的復(fù)位按鈕例如由于震動而被錯誤地操作��,并因此可能導(dǎo)致發(fā)生故障�����,或者這樣的按鈕或接觸在現(xiàn)場通信加密設(shè)備所處的惡劣現(xiàn)場環(huán)境中被污染并且不能再被操作���。
[0005]可能的是,現(xiàn)場通信加密設(shè)備或VPN-盒通過外部網(wǎng)絡(luò)接口���、例如通過外部以太網(wǎng)接口 Eth-ext�����、例如通過以SSL或TLS加密的通信連接通過網(wǎng)絡(luò)NW從如圖2中所示的配置服務(wù)器KS來加載其設(shè)備配置��。在此��,現(xiàn)場設(shè)備或VPN-盒通過外部網(wǎng)絡(luò)接口 Eth-ext從現(xiàn)場設(shè)備配置服務(wù)器KS加載配置信息���、例如以文本或XML格式的用于運(yùn)行現(xiàn)場設(shè)備的配置文件。必要時(shí)給現(xiàn)場設(shè)備配置服務(wù)器的所配置的地址分配安全憑證�����,該安全憑證可以是加密密鑰、口令或數(shù)字證書�����,并且設(shè)置有對現(xiàn)場設(shè)備配置服務(wù)器的受密碼保護(hù)的訪問��。例如�����,VPN-盒可以借助于認(rèn)證憑證向配置服務(wù)器KS認(rèn)證自己���,并且自己認(rèn)證配置服務(wù)器KS并然后請求配置數(shù)據(jù)(C-Reg)�����。接著��,從配置服務(wù)器KS接收配置數(shù)據(jù)(C-Res)����。VPN-盒的配置設(shè)定例如包括關(guān)于VPN服務(wù)器VPN-S的地址����、關(guān)于要使用的VPN協(xié)議的信息��、以及對密鑰協(xié)商協(xié)議(比如IKE 一因特網(wǎng)密鑰交換一或者IKEv2)的配置參數(shù)的VPN-隧道的安全協(xié)商的描述����。VPN-盒的配置設(shè)定可以包括憑證����,例如密鑰、口令或數(shù)字證書�。此外,配置設(shè)定可以包括關(guān)于所允許的數(shù)據(jù)通信量的過濾規(guī)則���。
[0006]這所具有的優(yōu)點(diǎn)是,配置的改變可以在現(xiàn)場設(shè)備或VPN-盒運(yùn)行期間進(jìn)行���,其方式是�����,由配置服務(wù)器KS來提供經(jīng)改變的配置信息��。為了圖2中所示的用于加載配置數(shù)據(jù)的自動配置機(jī)制能夠進(jìn)行�,必須在VPN-盒上配置配置服務(wù)器KS的網(wǎng)絡(luò)地址。另外�,為此必要時(shí)應(yīng)當(dāng)在現(xiàn)場通信加密設(shè)備或VPN-盒上配置證書Z和/或密碼密鑰K。
[0007]在常規(guī)設(shè)備的情況下����,現(xiàn)場通信加密設(shè)備或VPN-盒獲得例如以根據(jù)RS232的串行接口形式的本地配置接口,該接口是附加的連接技術(shù)成本�。在圖2中所示的常規(guī)裝置的情況下所存在的必要性是,在網(wǎng)絡(luò)現(xiàn)場設(shè)備���、尤其是圖2中所示的VPN-盒上以受保護(hù)的方式設(shè)立為了訪問現(xiàn)場設(shè)備配置服務(wù)器KS所需的配置數(shù)據(jù)��、尤其是其網(wǎng)絡(luò)地址���,或者以受保護(hù)的方式刪除或改變具有網(wǎng)絡(luò)能力的現(xiàn)場設(shè)備的配置,而不必為此設(shè)置自己的附加配置接□����。
【發(fā)明內(nèi)容】
[0008]本發(fā)明的任務(wù)在于,提供一種方法和一種裝置��,借助于所述方法和所述裝置可以以受保護(hù)的方式改變網(wǎng)絡(luò)設(shè)備的配置設(shè)定����,而不必為此在網(wǎng)絡(luò)設(shè)備處設(shè)置附加的配置接□。
[0009]根據(jù)本發(fā)明,該任務(wù)通過具有權(quán)利要求1中所說明的特征的方法來解決��。
[0010]據(jù)此�����,本發(fā)明提供了一種用于安全地改變網(wǎng)絡(luò)設(shè)備的配置設(shè)定的方法�����,所述網(wǎng)絡(luò)設(shè)備可以通過至少一個接口連接到其他網(wǎng)絡(luò)設(shè)備����,其中如果存在網(wǎng)絡(luò)設(shè)備的至少一個接口的在網(wǎng)絡(luò)設(shè)備的常規(guī)運(yùn)行中不出現(xiàn)的所檢測物理接線狀態(tài),則網(wǎng)絡(luò)設(shè)備的配置設(shè)定可以改變�����。
[0011]在根據(jù)本發(fā)明方法的一個可能的實(shí)施方式中��,根據(jù)預(yù)先給定的檢查標(biāo)準(zhǔn)在如下方面檢查網(wǎng)絡(luò)設(shè)備的至少一個接口的所檢測物理接線狀態(tài):所述物理接線狀態(tài)是否能夠在網(wǎng)絡(luò)設(shè)備的常規(guī)運(yùn)行或正常運(yùn)行中出現(xiàn)����。
[0012]在根據(jù)本發(fā)明的方法的一個可能的實(shí)施方式中�����,如果所確定的物理接線狀態(tài)不在網(wǎng)絡(luò)設(shè)備的常規(guī)運(yùn)行中出現(xiàn),則在未向例如網(wǎng)絡(luò)的配置服務(wù)器或維護(hù)PC認(rèn)證訪問方的情況下也允許對網(wǎng)絡(luò)設(shè)備的配置設(shè)定的改變����。
[0013]在根據(jù)本發(fā)明方法的一個可能的實(shí)施方式中,只要已經(jīng)成功執(zhí)行了例如向配置服務(wù)器或維護(hù)PC對訪問方的認(rèn)證���,則如果所確定的物理接線狀態(tài)可以在網(wǎng)絡(luò)設(shè)備的常規(guī)運(yùn)行中出現(xiàn)����,也允許對網(wǎng)絡(luò)設(shè)備的配置設(shè)定的改變���。
[0014]在根據(jù)本發(fā)明的方法的一個可能的實(shí)施方式中��,網(wǎng)絡(luò)設(shè)備的配置設(shè)定具有配置服務(wù)器的網(wǎng)絡(luò)地址��。
[0015]在根據(jù)本發(fā)明方法的另一可能的實(shí)施方式中���,在改變配置服務(wù)器的網(wǎng)絡(luò)地址時(shí),刪除由迄今為止的配置服務(wù)器提供的網(wǎng)絡(luò)設(shè)備的配置數(shù)據(jù)��。
[0016]在根據(jù)本發(fā)明的方法的一個可能的實(shí)施方式中���,用信號向網(wǎng)絡(luò)的至少一個其他的網(wǎng)絡(luò)設(shè)備或配置設(shè)備通知網(wǎng)絡(luò)設(shè)備的配置設(shè)定的可改變性���,然后自動地將為了重新配置所設(shè)置的配置數(shù)據(jù)傳送給網(wǎng)絡(luò)設(shè)備��。
[0017]在根據(jù)本發(fā)明的方法的一個可能的實(shí)施方式中��,用于改變網(wǎng)絡(luò)設(shè)備的配置設(shè)定所傳送的配置數(shù)據(jù)被本地存儲在網(wǎng)絡(luò)設(shè)備的配置數(shù)據(jù)存儲器中�����。
[0018]在根據(jù)本發(fā)明方法的一個可能的實(shí)施方式中�����,網(wǎng)絡(luò)設(shè)備的所述至少一個接口與配置設(shè)備連接���,所述配置設(shè)備引起網(wǎng)絡(luò)設(shè)備的在網(wǎng)絡(luò)設(shè)備的常規(guī)運(yùn)行中不出現(xiàn)或不能出現(xiàn)的物理接線狀態(tài),以便允許或放開對網(wǎng)絡(luò)設(shè)備的配置設(shè)定的改變����。
[0019]在根據(jù)本發(fā)明的網(wǎng)絡(luò)設(shè)備的一個可能的實(shí)施方式中�����,網(wǎng)絡(luò)設(shè)備是自動化設(shè)施的自動化設(shè)備、尤其是現(xiàn)場設(shè)備�����。
[0020]本發(fā)明還提供了具有權(quán)利要求11中所說明的特征的網(wǎng)絡(luò)設(shè)備��。
[0021]據(jù)此����,本發(fā)明還提供了一種網(wǎng)絡(luò)設(shè)備,所述網(wǎng)絡(luò)設(shè)備可以通過至少一個接口連接到其他網(wǎng)絡(luò)設(shè)備上�,其中僅當(dāng)存在網(wǎng)絡(luò)設(shè)備的至少一個接口的在網(wǎng)絡(luò)設(shè)備的常規(guī)運(yùn)行中不出現(xiàn)的所檢測物理接線狀態(tài)時(shí),網(wǎng)絡(luò)設(shè)備的配置設(shè)定才可以改變���。
[0022]在根據(jù)本發(fā)明的網(wǎng)絡(luò)設(shè)備的一個可能的實(shí)施方式中����,所述至少一個接口是有線接□���。
[0023]另外�����,所述接口也可以是無線通信接口�����。
[0024]在根據(jù)本發(fā)明的網(wǎng)絡(luò)設(shè)備的一個可能的實(shí)施方式中��,網(wǎng)絡(luò)設(shè)備是集成識別設(shè)備�����,其用于識別所述至少一個接口的物理接線狀態(tài)���。
[0025]所述至少一個接口是如下的接口:所述接口被設(shè)置用于網(wǎng)絡(luò)設(shè)備的正常運(yùn)行或常規(guī)運(yùn)行而不是網(wǎng)絡(luò)設(shè)備的專門為了配置所設(shè)置的通信接口��。網(wǎng)絡(luò)設(shè)備優(yōu)選地不具有獨(dú)立的配置接口�。
[0026]本發(fā)明還提供了具有權(quán)利要求15中所說明的特征的網(wǎng)絡(luò)���。
[0027]據(jù)此���,本發(fā)明提供了一種網(wǎng)絡(luò)、尤其是自動化設(shè)施的網(wǎng)絡(luò)��,該網(wǎng)絡(luò)具有網(wǎng)絡(luò)設(shè)備�����,其中網(wǎng)絡(luò)設(shè)備可以分別通過接口連接到網(wǎng)絡(luò)的其他網(wǎng)絡(luò)設(shè)備上�����,其中僅當(dāng)存在網(wǎng)絡(luò)設(shè)備的至少一個接口的在網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)設(shè)備的常規(guī)運(yùn)行中不出現(xiàn)的所檢測物理接線狀態(tài)時(shí)���,所述網(wǎng)絡(luò)設(shè)備的配置設(shè)定可以改變�����。
[0028]本發(fā)明還提供了具有權(quán)利要求16中所說明的特征的配置設(shè)備�。
[0029]據(jù)此��,本發(fā)明提供了用于網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備的配置設(shè)備����,其中配置設(shè)備可以連接到網(wǎng)絡(luò)設(shè)備的至少一個接口上,并且引起網(wǎng)絡(luò)設(shè)備處的在網(wǎng)絡(luò)設(shè)備的常規(guī)運(yùn)行中不出現(xiàn)的物理接線狀態(tài)�����,由此允許網(wǎng)絡(luò)設(shè)備的配置設(shè)定的改變���。
【專利附圖】
【附圖說明】
[0030]后面�����,參考附圖進(jìn)一步闡述用于安全地改變網(wǎng)絡(luò)設(shè)備的配置設(shè)定的根據(jù)本發(fā)明的方法和根據(jù)本發(fā)明的裝置的可能的實(shí)施方式����。
[0031]其中:
圖1示出了用于闡述本發(fā)明所基于的問題的應(yīng)用示例;
圖2示出了用于闡述本發(fā)明所基于的問題的另一圖��;
圖3示出了用于示出根據(jù)本發(fā)明的網(wǎng)絡(luò)設(shè)備的一個實(shí)施例的框圖��,其中可以實(shí)施根據(jù)本發(fā)明的用于安全地改變配置設(shè)定的方法��;
圖4示出了根據(jù)本發(fā)明的用于安全地改變網(wǎng)絡(luò)設(shè)備的配置設(shè)定的方法的實(shí)施例的流程圖�;以及
圖5示出了用于示出根據(jù)本發(fā)明的用于安全地改變網(wǎng)絡(luò)設(shè)備的配置設(shè)定的方法的實(shí)施例的另一流程圖。
【具體實(shí)施方式】
[0032]從圖3中可以認(rèn)識到����,所示實(shí)施例中的網(wǎng)絡(luò)設(shè)備I具有兩個通信接口。圖3中所示的網(wǎng)絡(luò)設(shè)備I例如是VPN-盒�,其用于以受密碼保護(hù)的方式傳輸所連接的自動化設(shè)備的控制和監(jiān)視數(shù)據(jù)。網(wǎng)絡(luò)設(shè)備I具有兩個接口 2�、3,其例如是以太網(wǎng)接口����。通過內(nèi)部以太網(wǎng)接口 2����,網(wǎng)絡(luò)設(shè)備例如可以與傳感器或執(zhí)行器S/A連接��、例如與鐵路道岔或鐵路岔口箱或者鐵路道岔或鐵路岔口箱的控制設(shè)備連接����。通過外部以太網(wǎng)接口 3���,網(wǎng)絡(luò)設(shè)備I例如可以通過網(wǎng)絡(luò)NW與VPN服務(wù)器VPN-S和/或配置服務(wù)器KS連接�����。網(wǎng)絡(luò)設(shè)備I的兩個接口 2�����、3通過通信接口 5��、6與集成控制單元4連接�����。此外��,控制單元或CPU與配置存儲器7連接�,該配置存儲器7本地存儲網(wǎng)絡(luò)設(shè)備I的配置數(shù)據(jù)或配置設(shè)定??刂茊卧?對通過接口 2接收的數(shù)據(jù)進(jìn)行加密,并且通過接口 3將經(jīng)加密的數(shù)據(jù)發(fā)送給與之連接的設(shè)備�。此外,控制設(shè)備4對從外部以太網(wǎng)接口 3接收的數(shù)據(jù)進(jìn)行解密�,并且通過內(nèi)部以太網(wǎng)接口 2對經(jīng)解密的數(shù)據(jù)進(jìn)行發(fā)送。在配置存儲器7中可以存放配置數(shù)據(jù)�、尤其是地址信息數(shù)據(jù)以及密碼密鑰。圖3中所示的網(wǎng)絡(luò)設(shè)備I不具有例如用于復(fù)位或刪除配置存儲器7的復(fù)位按鈕�。此外,網(wǎng)絡(luò)設(shè)備I不具有本地維護(hù)接口或配置接口���。由于網(wǎng)絡(luò)設(shè)備I可以通過兩個接口 2����、3連接到其他網(wǎng)絡(luò)設(shè)備上�����,因此網(wǎng)絡(luò)設(shè)備I的存儲在本地配置存儲器7中的配置設(shè)定可以在網(wǎng)絡(luò)設(shè)備的至少一個接口 2�����、3的所檢測的物理接線狀態(tài)不在或不能在網(wǎng)絡(luò)設(shè)備的常規(guī)或正常運(yùn)行中出現(xiàn)時(shí)被改變。網(wǎng)絡(luò)設(shè)備I優(yōu)選地具有集成識別設(shè)備8以用于識別一個或兩個接口 2���、3的物理接線狀態(tài)�?��?商娲兀瑢泳€狀態(tài)的識別也可以通過控制設(shè)備4進(jìn)行����。在此,在可能的實(shí)施方式中����,網(wǎng)絡(luò)設(shè)備I的接口 2、3的所檢測的物理接線狀態(tài)根據(jù)預(yù)先給定的檢查標(biāo)準(zhǔn)在如下方面被檢查:接線狀態(tài)是否能夠在網(wǎng)絡(luò)設(shè)備的常規(guī)或正常運(yùn)行中出現(xiàn)�。這樣的在按規(guī)定的布線或接線方面的檢查標(biāo)準(zhǔn)例如包括檢查:內(nèi)部網(wǎng)絡(luò)接口 2是否僅僅與一個設(shè)備連接并且在外部網(wǎng)絡(luò)接口 3上是否未連接設(shè)備或連接電纜。這例如可以在以太網(wǎng)接口的情況下通過介質(zhì)探測或者通過設(shè)置相應(yīng)的傳感器來識別�����。傳感器例如可以檢測插頭是否被插入��,或者檢測一個或兩個網(wǎng)絡(luò)接口 2、3的接觸部之間的電阻和/或電容和/或阻抗�。此外,可以檢查插入過程����。另一檢查標(biāo)準(zhǔn)是:在一個連接器的接觸部之間或在不同連接器的接觸部之間是否存在或出現(xiàn)短路。如果網(wǎng)絡(luò)設(shè)備I例如具有傳感器接口��,則例如說明處于容許測量范圍之外的物理接線狀態(tài)的無效測量值是在網(wǎng)絡(luò)設(shè)備I的正常運(yùn)行中不出現(xiàn)的狀態(tài)��。如果例如在具有4 - 20mA值范圍的模擬接口的情況下���,電流的有效測量值處于4mA — 20mA的范圍中�����,則例如50mA或ImA的流動電流是無效值并且表示不能在網(wǎng)絡(luò)設(shè)備I的常規(guī)運(yùn)行中出現(xiàn)的物理接線狀態(tài)����。另外的可能的檢查標(biāo)準(zhǔn)是連接器的接觸部的或不同連接器的接觸部之間的預(yù)先給定的電阻�����、電容或阻抗�。此外���,可以關(guān)于外部網(wǎng)絡(luò)接口 3檢查:是否存在網(wǎng)絡(luò)連接性、或者例如是否不能到達(dá)網(wǎng)絡(luò)的例如不能作為IP地址或URL來給定的特定地址��。也可以借助于路由器發(fā)現(xiàn)協(xié)議�、如“ICMP因特網(wǎng)路由器發(fā)現(xiàn)協(xié)議(Internet Router DiscoveryProtocol, IRDP)”來檢查:不存在IP路由器。此外可以在如下方面檢查接線狀態(tài):是否使用了另一插頭布局�����。此外可能的是���,檢查對其他網(wǎng)絡(luò)部件或網(wǎng)絡(luò)設(shè)備的到達(dá)能力。例如���,在正常的常規(guī)運(yùn)行中不允許到達(dá)特定的網(wǎng)絡(luò)部件�����。此外����,可以檢查附加的另外的標(biāo)準(zhǔn)����。例如�,當(dāng)例如位置傳感器或安裝傳感器說明現(xiàn)場設(shè)備或網(wǎng)絡(luò)設(shè)備未被安裝�����、例如未被鎖定在支承軌道上時(shí)�����,自動配置服務(wù)器的地址僅在安置外部電流源以后的所確定的時(shí)間段期間是可能的��。圖3中所示的網(wǎng)絡(luò)設(shè)備或具有網(wǎng)絡(luò)能力的現(xiàn)場設(shè)備I具有電接口���、例如以太網(wǎng)網(wǎng)絡(luò)接口 2����、3��。此外����,網(wǎng)絡(luò)設(shè)備也可以具有其他接口、例如輸入/輸出接口���,在所述接口上可以通過現(xiàn)場總線���、比如CAN總線��、M總線或Profi總線或者通過模擬接口或數(shù)字接口連接傳感器和/或執(zhí)行器S/A�。為了網(wǎng)絡(luò)設(shè)備I可以履行其約定的功能�,所述網(wǎng)絡(luò)設(shè)備必須被正確連接或布線。在此���,布線是指對物理接口的接線�。檢查標(biāo)準(zhǔn)可以涉及接口的物理特性以及必要時(shí)還涉及接口的邏輯特性���。
[0033]根據(jù)本發(fā)明的網(wǎng)絡(luò)設(shè)備I具有用于確定如下信息的功能:所述信息取決于現(xiàn)場設(shè)備或網(wǎng)絡(luò)設(shè)備I的當(dāng)前存在的布線或當(dāng)前的物理接線狀態(tài)���。在此���,識別設(shè)備8檢查:是否存在按規(guī)定的物理接線����。如果情況不是如此���、即網(wǎng)絡(luò)設(shè)備I的布線或接線有誤或“不合理”���,則所存儲的配置設(shè)定����、例如存儲在配置存儲器7中的配置數(shù)據(jù)可以改變��。僅當(dāng)在網(wǎng)絡(luò)設(shè)備I的常規(guī)或正常運(yùn)行中存在不合理或不允許的接線時(shí)�,才可以進(jìn)行對配置數(shù)據(jù)的改變。在此可能的是�,檢查任意的有誤接線或布線的存在或特定的預(yù)先給定的有誤布線的存在。在一個變型方案中���,不接受任意有誤的接線或布線來放開對配置設(shè)定的改變�����,而是僅僅接受一個或多個特定的預(yù)先給定的有誤的布線或接線���。
[0034]此外,通過檢查在網(wǎng)絡(luò)設(shè)備I的常規(guī)運(yùn)行中不出現(xiàn)的網(wǎng)絡(luò)設(shè)備I的特殊布線或接線����,可靠地保證了在為了常規(guī)運(yùn)行所安裝的網(wǎng)絡(luò)設(shè)備I的情況下不能調(diào)用所述功能���。尤其是用于改變配置設(shè)定的所述功能不能由攻擊者通過數(shù)據(jù)通信經(jīng)由網(wǎng)絡(luò)接口、例如圖3所示的網(wǎng)絡(luò)接口 2���、3來執(zhí)行�。由此可靠地防止:可以從其他網(wǎng)絡(luò)設(shè)備通過傳輸合適的數(shù)據(jù)分組來觸發(fā)工廠復(fù)位(Factory-Reset)或?qū)ε渲迷O(shè)定的復(fù)位�。由此與常規(guī)網(wǎng)絡(luò)設(shè)備相比實(shí)現(xiàn)了針對濫用的顯著更高的保護(hù)。只要網(wǎng)絡(luò)設(shè)備按規(guī)定地接線或布線�����,則其配置設(shè)定就由此被鎖定(英語“configuration lock”(配置鎖))并且因此不能改變��。
[0035]在一個可能的實(shí)施方式中�����,在識別出不按規(guī)定的布線或接線的情況下也可以進(jìn)行配置改變而無須維護(hù)訪問認(rèn)證���、也即不必之前例如輸入管理口令,或者不必在使用密碼密鑰的情況下執(zhí)行維護(hù)訪問認(rèn)證�。而在一個可能的實(shí)施變型中,在識別出按規(guī)定的布線或接線的情況下僅在成功認(rèn)證檢查網(wǎng)絡(luò)設(shè)備以后才能改變配置��。
[0036]如果存在網(wǎng)絡(luò)設(shè)備I的通常被認(rèn)為有誤的接線或布線,則網(wǎng)絡(luò)設(shè)備I的特定配置設(shè)定可以改變或者可以以特定方式改變���。因此當(dāng)網(wǎng)絡(luò)設(shè)備I被正確安裝時(shí)��、即當(dāng)其處于操作上的常規(guī)運(yùn)行或正常運(yùn)行中時(shí)����,對配置設(shè)定的這樣的改變不能進(jìn)行���。
[0037]在一個可能的實(shí)施方式中�,根據(jù)本發(fā)明受保護(hù)的配置設(shè)定具有現(xiàn)場設(shè)備配置服務(wù)器KS的網(wǎng)絡(luò)地址�。對該網(wǎng)絡(luò)地址的設(shè)置尤其是可以通過第一網(wǎng)絡(luò)接口、尤其是圖3所示的網(wǎng)絡(luò)設(shè)備I的內(nèi)部網(wǎng)絡(luò)接口 2進(jìn)行����,其中對配置文件或配置數(shù)據(jù)的加載可以通過第二網(wǎng)絡(luò)接口、尤其是通過圖3所示的外部網(wǎng)絡(luò)接口 3由針對網(wǎng)絡(luò)地址所確定的現(xiàn)場設(shè)備配置服務(wù)器進(jìn)行��。
[0038]在一個變型方案中��,受保護(hù)的配置設(shè)定具有分配給配置服務(wù)器KS的密碼密鑰�。
[0039]在一個變型方案中,僅當(dāng)存在網(wǎng)絡(luò)設(shè)備的按規(guī)定的接線或布線時(shí),網(wǎng)絡(luò)設(shè)備才使用現(xiàn)場設(shè)備服務(wù)器KS的受保護(hù)的網(wǎng)絡(luò)地址����。
[0040]圖4示出了用于示出根據(jù)本發(fā)明的用于安全地改變網(wǎng)絡(luò)設(shè)備I的配置設(shè)定的方法的一個實(shí)施變型的流程圖。
[0041]在開始步驟SO以后���,首先在步驟SI例如通過網(wǎng)絡(luò)設(shè)備I的識別設(shè)備檢查網(wǎng)絡(luò)設(shè)備I的接口的連線或接線��。
[0042]如果該檢查在步驟S2中得出:該連線或接線是按規(guī)定的�,則首先在步驟S3中阻斷用于改變配置數(shù)據(jù)的改變可能性�����。接著��,在步驟S4中�,根據(jù)所存儲的配置數(shù)據(jù)激活常規(guī)的運(yùn)行模式或常規(guī)運(yùn)行。
[0043]相反如果該檢查得出:網(wǎng)絡(luò)設(shè)備I的連線或接線不是按規(guī)定的或者物理接線狀態(tài)不能在網(wǎng)絡(luò)設(shè)備I的常規(guī)運(yùn)行中出現(xiàn)���,則在步驟5中允許或放開配置設(shè)定的可改變性并且必要時(shí)將這用信號通知其他網(wǎng)絡(luò)設(shè)備�。在另一步驟S6中�����,通過網(wǎng)絡(luò)設(shè)備I接收針對配置或重新配置所設(shè)置的配置數(shù)據(jù)���,并且在步驟S7中將其存儲在本地配置存儲器7中以用于重新配置�。該過程在步驟S8 中結(jié)束���。
[0044]例如����,在根據(jù)本發(fā)明的方法中����,對配置服務(wù)器KS的地址的配置按如下方式進(jìn)行。通過形成根據(jù)圖3的網(wǎng)絡(luò)設(shè)備I的現(xiàn)場加密設(shè)備或VPN-盒來檢查:是否存在現(xiàn)場加密設(shè)備I的按規(guī)定的布線��。如果情況如此���,則在步驟S4中激活常規(guī)的運(yùn)行模式或操作模式���。如果該接線不是按規(guī)定的,則在步驟S5中激活自動配置機(jī)制�,也就是說,放開或允許對配置服務(wù)器地址的配置設(shè)定的改變���。這也可以在沒有認(rèn)證的情況下借助于口令或借助于密碼密鑰來進(jìn)行���。接著���,現(xiàn)場加密設(shè)備I接收配置數(shù)據(jù)、例如配置服務(wù)器KS的URL并且將所述配置數(shù)據(jù)本地存儲在其配置存儲器7中�����。
[0045]在一個可能的有利變型方案中�,在設(shè)置新配置服務(wù)器KS的網(wǎng)絡(luò)地址時(shí)刪除通過迄今為止的配置服務(wù)器所定義的全部配置。由此防止:存在迄今為止存在的配置的數(shù)據(jù)殘
&3甶O
[0046]在一個可能的實(shí)施方式中��,該配置流程可以重復(fù)���、例如以有規(guī)律的時(shí)間間隔自動地重復(fù)�。此外�����,所述配置流程可以在接通現(xiàn)場加密設(shè)備I或在給網(wǎng)絡(luò)設(shè)備施加供電電壓時(shí)進(jìn)行��。
[0047]在一個可能的實(shí)施變型中���,配置數(shù)據(jù)的接收可以進(jìn)行得使得現(xiàn)場通信加密設(shè)備I通過內(nèi)部接口 2發(fā)送廣播/多播消息����,以便確定可通過內(nèi)部接口 2到達(dá)的第二配置服務(wù)器的網(wǎng)絡(luò)地址。這例如可以是到廣播IP地址255.255.255.255的所謂PING消息�����。內(nèi)部配置服務(wù)器用其IP地址��、例如192.168.15.7來應(yīng)答所述消息����。此外�����,現(xiàn)場通信加密設(shè)備I例如通過http提出詢問以用于請求配置�。例如,這通過如下方式進(jìn)行:借助于對URL http: //192.168.15.7/Config的GET進(jìn)行調(diào)用����。在此,可選地可以一并傳輸關(guān)于制造商或現(xiàn)場加密設(shè)備I的序列號的標(biāo)識信息���,例如可以將URL編碼進(jìn)去(http://192.168.15.7/Config?Siemens-VPN-Box-071382456)���。在一個可能的實(shí)施方式中�����,第二內(nèi)部配置服務(wù)器可以通過其提供配置信息來對此進(jìn)行應(yīng)答��。在此�����,網(wǎng)絡(luò)地址�、即IP地址�����、DNS名或URL尤其是可以包括可通過第一網(wǎng)絡(luò)接口到達(dá)的第一配置服務(wù)器的地址?��,F(xiàn)場加密設(shè)備I將該配置信息本地存儲在其配置存儲器7中�。然后�,在常規(guī)的運(yùn)行或常規(guī)運(yùn)行中,可以從所述網(wǎng)絡(luò)地址加載該配置����。
[0048]圖5示出了用于示出本發(fā)明方法的一個實(shí)施變型的流程圖��。步驟SO — S2是與圖4所示的實(shí)施變型相同的步驟�。如果在步驟S2中得出:連線是按規(guī)定的�����,則在步驟S3a中首先封鎖對配置“Address-Config-Server”的改變�。接著����,在步驟S3b中,從網(wǎng)絡(luò)地址“Address-Config-Server”加載配置數(shù)據(jù)�。然后,在步驟S4中��,根據(jù)所加載的配置數(shù)據(jù)激活常規(guī)的運(yùn)行模式或常規(guī)運(yùn)行�����。相反��,如果該檢查得出不按規(guī)定的接線或連線����,則在步驟S5中實(shí)現(xiàn)或允許對配置“Address-Config-Server”的改變�。
[0049]接著��,在步驟S6中接收關(guān)于“Address-Config-Server”的配置數(shù)據(jù)���。
[0050]在步驟S7中存儲關(guān)于“Address-Config-Server”的配置數(shù)據(jù)�。在步驟S7以后���,該過程返回到步驟SI��。
[0051]在根據(jù)本發(fā)明的用于安全地改變配置設(shè)定的方法中����,對按規(guī)定安裝的處于常規(guī)運(yùn)行中的網(wǎng)絡(luò)設(shè)備I的改變受保護(hù)的配置設(shè)定的無意改變�、或者甚至有意的操縱是不可能的或被可靠地防止。尤其是可靠地防止了由對網(wǎng)絡(luò)設(shè)備I不具有物理訪問����、而是僅對網(wǎng)絡(luò)設(shè)備I具有通過網(wǎng)絡(luò)連接的遠(yuǎn)程訪問的外人的操縱。
[0052]僅當(dāng)內(nèi)部和/或外部網(wǎng)絡(luò)接口 2�、3處的網(wǎng)絡(luò)配置滿足特定檢查標(biāo)準(zhǔn)時(shí),才可以通過內(nèi)部接口設(shè)置具有兩個網(wǎng)絡(luò)接口的現(xiàn)場設(shè)備配置服務(wù)器KS的地址。在此檢查:是否存在不能在網(wǎng)絡(luò)設(shè)備I的常規(guī)運(yùn)行中出現(xiàn)的網(wǎng)絡(luò)配置���。由此防止了網(wǎng)絡(luò)設(shè)備I的常規(guī)運(yùn)行中的意外的不允許的改變���。僅能通過對網(wǎng)絡(luò)設(shè)備I的直接物理訪問來改變配置設(shè)定。在此�,根據(jù)本發(fā)明實(shí)現(xiàn)了一種保護(hù)水平,其相當(dāng)于一種復(fù)位按鈕�,而為此不必在網(wǎng)絡(luò)設(shè)備I處設(shè)置相應(yīng)的復(fù)位按鈕。因此����,根據(jù)本發(fā)明的網(wǎng)絡(luò)設(shè)備I也可以用在可能導(dǎo)致這樣的復(fù)位按鈕被強(qiáng)烈污染的環(huán)境中。此外�����,由此還排除了的危險(xiǎn)是�,例如由于復(fù)位按鈕的震動而可能導(dǎo)致錯誤觸發(fā)���。此外�,通過放棄復(fù)位按鈕的可能性減少了網(wǎng)絡(luò)設(shè)備I的電路技術(shù)成本��。
【權(quán)利要求】
1.一種用于安全地改變網(wǎng)絡(luò)設(shè)備(I)的配置設(shè)定的方法�,所述網(wǎng)絡(luò)設(shè)備(I)能夠通過至少一個接口(2; 3)連接到其他網(wǎng)絡(luò)設(shè)備上�����, 其中如果存在網(wǎng)絡(luò)設(shè)備(I)的所述至少一個接口(2;3)的在網(wǎng)絡(luò)設(shè)備(I)的常規(guī)運(yùn)行中不出現(xiàn)的所檢測物理接線狀態(tài)�����,則網(wǎng)絡(luò)設(shè)備(I)的配置設(shè)定能夠改變����。
2.根據(jù)權(quán)利要求1所述的方法��, 其中根據(jù)預(yù)先給定的檢查標(biāo)準(zhǔn)對網(wǎng)絡(luò)設(shè)備(I)的所述至少一個接口(2;3)的所檢測物理接線狀態(tài)進(jìn)行如下檢查:所述物理接線狀態(tài)是否能夠在網(wǎng)絡(luò)設(shè)備(I)的常規(guī)運(yùn)行中出現(xiàn)��。
3.根據(jù)權(quán)利要求1或2所述的方法����, 其中如果所確定的物理接線狀態(tài)在網(wǎng)絡(luò)設(shè)備(I)的常規(guī)運(yùn)行中不出現(xiàn),則在沒有網(wǎng)絡(luò)設(shè)備(I)的認(rèn)證的情況下也允許對網(wǎng)絡(luò)設(shè)備(I)的配置設(shè)定進(jìn)行改變�����。
4.根據(jù)權(quán)利要求1至3之一所述的方法��, 其中如果所確定的物理接線狀態(tài)在成功執(zhí)行網(wǎng)絡(luò)設(shè)備(I)的認(rèn)證情況下能夠在網(wǎng)絡(luò)設(shè)備(I)的常規(guī)運(yùn)行中出現(xiàn),則允許對網(wǎng) 絡(luò)設(shè)備(I)的配置設(shè)定的改變��。
5.根據(jù)前述權(quán)利要求1至4之一所述的方法����, 其中網(wǎng)絡(luò)設(shè)備(I)的配置設(shè)定具有配置服務(wù)器(KS)的網(wǎng)絡(luò)地址。
6.根據(jù)權(quán)利要求5所述的方法�����, 其中在配置服務(wù)器(KS)的網(wǎng)絡(luò)地址改變的情況下�����,刪除網(wǎng)絡(luò)設(shè)備(I)的由迄今為止的配置服務(wù)器所提供的配置數(shù)據(jù)��。
7.根據(jù)前述權(quán)利要求1至6之一所述的方法��, 其中將網(wǎng)絡(luò)設(shè)備(I)的配置設(shè)定的可改變性用信號通知給網(wǎng)絡(luò)的至少一個其他的網(wǎng)絡(luò)設(shè)備或者配置設(shè)備����,然后將針對網(wǎng)絡(luò)設(shè)備(I)的重新配置所設(shè)置的配置數(shù)據(jù)自動傳送給網(wǎng)絡(luò)設(shè)備(I)�。
8.根據(jù)權(quán)利要求7所述的方法, 其中所傳送的用于改變網(wǎng)絡(luò)設(shè)備(I)的配置設(shè)定的配置數(shù)據(jù)存儲在網(wǎng)絡(luò)設(shè)備(I)的配置數(shù)據(jù)存儲器(7)中��。
9.根據(jù)權(quán)利要求1所述的方法, 其中網(wǎng)絡(luò)設(shè)備(I)的所述至少一個接口(2; 3)與配置設(shè)備連接��,所述配置設(shè)備引起網(wǎng)絡(luò)設(shè)備(I)處的在網(wǎng)絡(luò)設(shè)備(I)的常規(guī)運(yùn)行中不出現(xiàn)的物理接線狀態(tài)�,以便允許對網(wǎng)絡(luò)設(shè)備(I)的配置設(shè)定的改變。
10.根據(jù)權(quán)利要求9所述的方法��, 其中在允許對網(wǎng)絡(luò)設(shè)備(I)的配置設(shè)定的改變以后��,所述配置設(shè)備或者其他網(wǎng)絡(luò)設(shè)備通過網(wǎng)絡(luò)設(shè)備(I)的相同的或其他接口傳輸針對網(wǎng)絡(luò)設(shè)備(I)的重新配置所設(shè)置的配置數(shù)據(jù)�����。
11.一種網(wǎng)絡(luò)設(shè)備(1)�����,其能夠通過至少一個接口(2;3)連接到其他網(wǎng)絡(luò)設(shè)備上���,其中僅當(dāng)存在網(wǎng)絡(luò)設(shè)備(I)的所述至少一個接口(2;3)的在網(wǎng)絡(luò)設(shè)備(I)的常規(guī)運(yùn)行中不出現(xiàn)的所檢測物理接線狀態(tài)時(shí)����,網(wǎng)絡(luò)設(shè)備(I)的配置設(shè)定才能夠改變�。
12.根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò)設(shè)備, 其中接口(2; 3)是無線接口或有線接口��。
13.根據(jù)權(quán)利要求11或12所述的網(wǎng)絡(luò)設(shè)備, 其中網(wǎng)絡(luò)設(shè)備(I)具有識別設(shè)備(8)���,所述識別設(shè)備(8)用于識別網(wǎng)絡(luò)設(shè)備(I)的所述至少一個接口(2; 3)的物理接線狀態(tài)���。
14.根據(jù)權(quán)利要求11至13之一所述的網(wǎng)絡(luò)設(shè)備, 其中網(wǎng)絡(luò)設(shè)備(I)是自動化設(shè)施的自動化設(shè)備���、尤其是現(xiàn)場設(shè)備��。
15.一種網(wǎng)絡(luò)����、尤其是用于自動化設(shè)施的網(wǎng)絡(luò)���,所述網(wǎng)絡(luò)具有網(wǎng)絡(luò)設(shè)備(1)���, 其中網(wǎng)絡(luò)設(shè)備(I)能夠分別通過接口(2 ;3)連接到所述網(wǎng)絡(luò)的其他網(wǎng)絡(luò)設(shè)備上, 其中僅當(dāng)存在網(wǎng)絡(luò)設(shè)備(I)的所述至少一個接口(2;3)的在所述網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)設(shè)備(O的常規(guī)運(yùn)行中不出現(xiàn)的物理接線狀態(tài)時(shí)���,網(wǎng)絡(luò)設(shè)備(I)的配置設(shè)定才能夠改變�。
16.一種用于網(wǎng)絡(luò)設(shè)備(I)的配置設(shè)備�,所述配置設(shè)備能夠連接到網(wǎng)絡(luò)設(shè)備(I)的至少一個接口(2; 3)上,以便引起網(wǎng)絡(luò)設(shè)備(I)處的在網(wǎng)絡(luò)設(shè)備(I)的常規(guī)運(yùn)行中不出現(xiàn)的物理接線狀態(tài)��,由此允許對網(wǎng)絡(luò)設(shè) 備(I)的配置設(shè)定的改變��。
【文檔編號】H04L29/06GK103782567SQ201280044459
【公開日】2014年5月7日 申請日期:2012年8月10日 優(yōu)先權(quán)日:2011年9月12日
【發(fā)明者】R.法爾克, M.賽費(fèi)爾特 申請人:西門子公司