用于改变自动化技术的现场设备中的实际访问密钥的方法与流程

1.本发明涉及一种用于改变自动化技术的现场设备中的实际访问密钥的方法，其中在现场设备中存储现场设备标识符和实际访问密钥，其中操作设备可以经由通信连接与现场设备连接，其中在操作设备中存储操作设备标识符和实际访问密钥，其中现场设备通过至少间接评估其实际访问密钥和操作设备的实际访问密钥检查操作设备的访问权限，并且其中在存在访问权限的情况下，操作设备与现场设备商定新访问密钥，现场设备将所述新访问密钥存储为新的实际访问密钥。


背景技术：

2.自动化技术的现场设备是与物理进程、例如工业加工设施连接并且提供相应的进程变量(例如流量、料位、温度、压力、ph值)或还例如通过操控阀、马达或加热元件影响进程的测量设备或执行器。在工程进程中通常使用大量的现场设备，往往数十或甚至数百的现场设备。现场设备通常至少部分地经由串行现场总线彼此连接并且可以经由相应的现场总线消息被寻址或者也可以经由现场总线消息本身来发送信息。
3.为了维护或参数化各个现场设备提出：相应的现场设备经由通信连接与操作设备置于连接。所述通信连接通常不同于现场设备的现场总线接口，所述通信连接可以设计为是专有的，但其通常基于既定标准(例如usb、蓝牙、以太网)。在在此考虑的情况下，出于安全原因期望的是：不是每个任意的操作设备或每个任意的用户都可以获得对现场设备的访问；更确切地说期望的是：特定的操作设备或操作设备的用户根本不应具有访问或者可能地也仅会获得对现场设备的受限的访问。为了确保这种情况，必须首先在现场设备中鉴别所连接的操作设备。这在此通过以下方式进行：即现场设备通过至少间接地评估其实际访问密钥和操作设备的实际访问密钥来检查操作设备的访问权限。这可以通过直接评估所提到的实际访问密钥通过以下方式来进行：即操作设备将其实际访问密钥传递给现场设备并且现场设备检查访问权限是否与实际访问密钥关联(实际访问密钥的直接比较)。但是，这也可以通过间接评估所提到的实际访问密钥通过以下方式来进行：即利用现场设备上和操作设备上的实际访问密钥推导测试值，所述测试值因此与相应的实际访问密钥相关，并且然后评估该推导出的测试值：实际访问密钥因此在此实际上被间接地评估并且本身不在现场设备和操作设备之间传递。这种间接评估的示例是质询-响应身份验证、零知识方法或还有密码身份验证连接建立(pace)。只有这样，——可能仅在特定的权利范围内——为操作设备给予对现场设备的参数和功能的访问。
4.在此处考虑的情况下，操作设备——在存在访问权限的情况下——与现场设备商定新访问密钥，然后现场设备将所述新访问密钥存储为新的实际访问密钥，即以数据形式存储；商定的新访问密钥最终作为新的实际访问密钥存储在操作设备中。已知的是：实现新的访问密钥在现场设备和操作设备之间的商定，使得首先在操作设备上确定新访问密钥(例如通过用户输入)并且从这里传递至现场设备。建立新的实际访问密钥会有不同的动机。如果存在关于旧的实际访问密钥是否可能被不期望地分发的不确定性，则例如可以改
变实际访问密钥，以便重新建立定义的安全状态。实际访问密钥可以在已建立的安全协议的框架内通过时间到期更新、经由通信连接在特定数量的连接建立之后更新或者简单随机地更新。实际访问密钥也可以通过自发的用户干预来更新，例如通过将新的实际访问密钥输入到操作设备中来更新。在任何情况下，都提出如下问题：如何尽可能巧妙地管理新的实际访问密钥，以便例如同样使授权访问的用户和/或原则上尽管具有对现场设备的访问但是仅具有旧的实际访问密钥的操作设备不被排除对现场设备的访问。


技术实现要素：

5.因此，本发明所基于的目的是：对用于改变现场设备中的实际访问密钥的开始所描述的方法进行设计和改进，使得尽可能巧妙地且以少量耗费也在多个授权的用户和/或操作设备的应用情况下完成实际访问密钥的改变。
6.之前描述和派生的目的，在开始描述的方法中首先通过以下方式来实现：在数据库服务器上提供密钥数据库并且密钥数据库对于多个现场设备至少包括相应的现场设备的现场设备标识符、相应的现场设备的实际访问密钥和对相应的现场设备至少一个授权访问的用户和/或至少一个授权访问的操作设备的标识符。因此，例如，可以将访问权限链接于个人、授权访问的用户还有工程设备、即授权访问的操作设备。例如，通过授权访问的用户相对于操作设备证明为是使用授权的方式，授权访问的用户可以使任意的操作设备成为授权访问的操作设备。
7.此外提出：数据库服务器对于至少一个授权访问的用户或至少一个授权访问的操作设备从密钥数据库中产生密钥数据集，其中密钥数据集对于授权访问的用户或授权访问的操作设备具有对其访问权限的现场设备包括相应的现场设备的现场设备标识符和相应的现场设备的实际访问密钥。通过该措施实现：中央地将所有对于一个现场设备或多个现场设备的访问相关的数据存储在中央数据库服务器中，并且可以从密钥数据库中产生个体的密钥数据集。现场设备标识符是对于现场设备明确的信息方面的日期。其可以是现场设备的在工厂预设的序列号，但是例如在构建其中装入现场设备的设施时，也可以是后续与现场设备相关联的明确的信息。
8.数据库服务器可以以多种方式实现，所述数据库服务器例如可以作为总归存在的控制室的服务来实现，作为硬件单独实现的数据库服务器来实现，所述数据库服务器在其中安装有现场设备的设施的环境中可以被本地联系，所述数据库服务器在其符合对数据安全的预设要求时也可以作为万维网中的扩张的云服务来实现。这与在操作设备和数据库服务器之间建立连接和在设备之间进行数据交换表现相似，在此也可以考虑各种与数据库服务器的之前提出的实现方案相关的选项。然而，详细地，数据库服务器的精确的实现方案和通过操作设备在信息方面联系数据库服务器不重要。
9.该方法还提出：将密钥数据集传递给授权访问的用户的操作设备或传递给授权访问的操作设备，使得授权访问的用户的操作设备或授权访问的操作设备具有现场设备的实际访问密钥，对于所述实际访问密钥存在访问权限。
10.通过所描述的措施，整体上可行的是：中央地管理用于一个现场设备或多个现场设备的实际访问密钥，并且对授权访问的用户或授权访问的操作设备供应从密钥数据中单独导出的密钥数据集。当然，在这种情况下可行并且更好有利的是：改变或已经改变访问信
息、即实际访问密钥。
11.在方法的一个改进形式中提出：将密钥数据集在其传递给授权访问的用户的操作设备或传递给授权访问的操作设备之前加密，并且将加密的密钥数据集在使用之前在操作设备上解密。加密和解密可以以不同耗费的方式实施。在一个简单的变型形式中可以用对称密钥来工作，所述对称密钥存储在数据库服务器上并且存储在授权访问的用户或授权访问的操作设备中。在更耗费的实施中借助不对称密钥来工作，其中将对每个授权访问的用户或对每个授权访问的操作设备的公钥存储在数据库服务器上，并且相应地，授权访问的用户或授权访问的操作设备具有相应的私钥，使得在授权访问的操作设备上于是可以借助对应的私钥来将借助公钥加密的密钥数据集进行解密。
12.该方法的另一优选的改进形式的特征在于，在密钥数据库中和在从密钥数据库中产生的密钥数据集中对于实际访问密钥分别还标注实际访问密钥的原始登记时间点。由此创建如下选项：识别多个实际访问密钥中的哪个实际访问密钥是较新的实际访问密钥。重要的是，仅标注实际访问密钥的原始创建的时间点，并且例如不在如下设备上标注传递和标注的时间点，其中实际访问密钥传递给所述设备并且在其上标注。但是，这是容易可行的，因为在方法范围中可以随时明确地决定：是否新设立实际访问密钥或新访问密钥或仅转发已知的、已经设立的实际访问密钥。
13.在标注实际访问密钥的登记时间点的上下文中，该方法的另一改进形式提出：在同步步骤中将至少一个操作设备的密钥数据库和密钥数据集在对应的实际访问密钥的登记时间点方面进行比较，并且在登记时间点偏差的情况下在仅存在较旧的实际访问密钥的位置处增补最新的实际访问密钥以及其登记时间点，使得操作设备的密钥数据集和密钥数据库具有对于相应的现场设备一致的实际访问密钥。优选地，一旦操作设备与密钥数据库连接，就自动执行同步步骤。优选地，增补的最新的实际访问密钥不替换较旧的实际访问密钥，而是除了较旧的实际访问密钥外标注增补的最新的实际访问密钥，使得之前适用的实际访问密钥仍然可用。在另一优选的设计方案中，更旧的实际访问密钥被删除，使得仅最后两个最新版本的实际访问密钥可用。
14.该方法的下面描述的改进形式涉及如下情况，即直接在现场设备中预设新的实际访问密钥或经由与现场设备连接的操作设备在现场设备中预设新的实际访问密钥。然后，优选地进行：由经由通信连接与现场设备连接的操作设备为现场设备预设新访问密钥，并且新访问密钥由现场设备存储作为新的实际访问密钥，其中操作设备在其密钥数据集中存储新访问密钥作为新的实际访问密钥，在操作设备将新访问密钥作为新的实际访问密钥存储在其密钥数据集中。或者，操作设备建立到密钥数据库的连接并且采取同步步骤，或者操作设备请求操作设备的用户：建立到密钥数据库的连接，以便能够执行同步步骤。因此确保：新确定的新访问密钥也在密钥数据库中更新，即使新访问密钥首次通过操作设备的用户或通过操作设备在现场设备上预设时也如此。操作设备和现场设备上的新访问密钥的本地信息通过传递到密钥数据库上使所有用户可用。
15.该方法的以下的实施例涉及如下应用情况，即首先在密钥数据库上预设用于现场设备的新访问密钥。在该情况下，新访问密钥由密钥数据库对于现场设备存储为新的实际访问密钥，并且至少用于现场设备的最后有效的实际访问密钥作为旧的实际访问密钥保持存储在密钥数据库中。在产生密钥数据集时，将用于现场设备的新的实际访问密钥和至少
最后有效的实际访问密钥记录在密钥数据集中。特别地，在同步步骤中在增补最新的实际访问密钥时至少保留之前有效的较旧的实际访问密钥。与首先在操作设备上预设新访问密钥的之前提出的实施例相反，在此首先在数据库服务器上或在数据库服务器的密钥数据库中预设新访问密钥。在此也证实为有利的是：不仅新访问密钥存储为新的实际访问密钥，而且至少也还有最后有效的实际访问密钥在记录新访问密钥之前存储为新的实际访问密钥。
16.之前提出的方法的一个优选的改进形式的特征在于，操作设备与如下现场设备连接，所述操作设备对所述现场设备具有访问权限，操作设备具有用于现场设备的密钥数据集，所述密钥数据集具有实际访问密钥和之前适用的实际访问密钥，操作设备使用之前适用的实际访问密钥以获得对现场设备的访问权限，并且在存在访问权限的情况下将实际访问密钥作为新访问密钥传输给现场设备。
17.之前提出的方法的一个替代的设计方案提出：操作设备与如下现场设备连接，所述操作设备对所述现场设备具有访问权限，操作设备具有用于现场设备的密钥数据集，所述密钥数据集具有实际访问密钥和之前适用的实际访问密钥，操作设备首先使用实际访问密钥以获得对现场设备的访问权限，并且在拒绝访问权限的情况下使用之前适用的实际访问密钥。根据该示例变得显而易见的是：在公布新访问密钥作为新的实际发访问密钥之后存储之前适用的实际访问密钥，即当现场设备(还)不知道在密钥数据库中尽管预标注的、但是对现场设备还没有宣布的新访问密钥时存储之前适用的实际访问密钥。
18.其中首先在密钥数据库中预设新访问密钥的方法的一个改进形式的特征在于，作为新的实际访问密钥存储在用于现场设备的密钥数据库中的新访问密钥设有同步标志，其中同步标志指示：新的实际访问密钥是存储在现场设备上还是未存储在现场设备上，并且同步标志指示：实际访问密钥未存储在现场设备上。在产生密钥数据集时，将同步标志记录在密钥数据集中。在同步步骤中调准同步标志，但其中同步标志仅从“实际访问密钥未存储在现场设备上”改变为“实际访问密钥存储在现场设备上”。
19.在之前的方法步骤的一个改进形式中，操作设备与现场设备连接，并且操作设备评估实际访问密钥的同步标志。在同步标志指示“实际访问密钥未存储在现场设备上”的情况下，操作设备使用之前适用的实际访问密钥以获得对现场设备的访问权限，并且否则所述现场设备使用实际访问密钥
20.在该方法的一个附加的改进形式中，操作设备与如下现场设备连接，所述操作设备对所述现场设备具有访问权限，并且操作设备在将新的实际访问密钥传递到现场设备上之后在其密钥数据集中将所传递的新的实际访问密钥的同步标志改变为“实际访问密钥存储在现场设备上”。
21.在该方法的另一优选的设计方案中提出：在存在访问权限的情况下，操作设备与现场设备通过以下方式商定新访问密钥：即操作设备请求现场设备提供新访问密钥、即将新访问密钥传递至操作设备。现场设备可以例如通过随机数生成器产生新访问密钥，特别是通过非确定性随机数生成器来产生。由现场设备产生的新访问密钥可以立即作为新的实际访问密钥存储在现场设备上，但也可以需要：将新访问密钥必须首先本身从操作设备向回传递到现场设备上，以便完成新访问密钥的构建。
附图说明
22.详细地，现在存在大量设计用于改变现场设备中的实际访问密钥的根据本发明的方法的选项。相应的改进形式是从属权利要求的主题，并且在下面根据所示的实施例进行描述。在附图中：
23.图1非常示意地示出现有技术中已知的用于改变现场设备中的实际访问密钥的方法，
24.图2示意地示出在使用具有密钥数据库的数据库服务器和产生和分发密钥数据集的情况下的根据本发明的方法，
25.图3示意地示出具有密钥数据集的加密和解密的方法的一个设计方案，
26.图4示意地示出具有实际访问密钥的原始登记时间点的注释的方法的一个设计方案，
27.图5示意地示出用于在数据库服务器的密钥数据库和操作设备的密钥数据集之间进行数据调准的同步步骤，
28.图6示意地示出经由数据库服务器预设新访问密钥，
29.图7示意地示出将新访问密钥从操作设备到现场设备的转发，其中新访问密钥是操作设备的实际访问密钥，并且
30.图8示意部分地示出用于使用同步标志来改变现场设备中的实际访问密钥的方法。
具体实施方式
31.在附图中，全部或部分地示出用于改变自动化技术的现场设备f1中的实际访问密钥f1 cur的方法1。不言而喻，在实际中出现的自动化的或加工的系统中使用了大量的现场设备，所述现场设备通常经由现场总线相互连接。为了清楚起见，在此总是仅示出一个现场设备f1，但这并不限制视图的一般性质。
32.图1中所示的实施例示出从现有技术中已知的方法1，借助所述方法改变现场设备f1中的实际访问密钥f1_cur。现场设备f1具有现场设备标识符f1_id，根据所述标识符可以明确地鉴别所述现场设备。实际访问密钥f1_cur也存储在现场设备f1上。操作设备b可以经由通信连接2与现场设备f1连接并且在图1中还与现场设备f1连接。操作设备b例如可以是手机、手持计算机、平板电脑、笔记本计算机等；在视图中其是具有相应的应用程序的手机。
33.在操作设备b中，存储操作设备标识符b_id和实际访问密钥b_f1_cur。如果操作设备b与现场设备f1连接，则现场设备f1会找出：操作设备b在多大程度上具有对现场设备f1的访问权限。由于用于此的数据交换，其中所述数据交换的精确流程在此不详细关注，在所示出的实施例中的现场设备f1无论如何都获得实际访问密钥b_f1_cur，所述实际访问密钥存储在用于现场设备f1的操作设备b上。现场设备f1通过直接评估3其自身的实际访问密钥f1_cur和操作设备b对于现场设备f1的实际访问密钥b_f1_cur来检查操作设备b的访问权限。如在一般描述部分中所详述的那样，实际访问密钥f1_cur、b_f1_cur的评估也通过以下方式间接进行(未示出)：即利用操作设备b和现场设备f1上的相应的实际访问密钥f1_cur、b_f1_cur导出测试值，然后所述测试值进行比较。在存在操作设备b对现场设备f1的访问权限的情况下，操作设备b为现场设备f1传输4新访问密钥b_f1_new，现场设备f1将所述新访
问密钥b_f1_new存储5为新的实际访问密钥f1_cur。新访问密钥b_f1_new可以已经存储在操作设备b中，所述新访问密钥可以由操作设备的用户输入，所述新访问密钥也可以在操作设备中经由随机数生成器产生；在所示的实施例中，所述新访问密钥由操作设备b的用户经由操作设备b的输入接口输入。在此处未示出的替代的变型形式中，由操作设备b请求现场设备f1提供新访问密钥，这例如可以通过现场设备上的随机数生成器来完成。
34.在下面的附图中示出方法1的设计方案，借助所述设计方案以简单的方式和方法实现管理现场设备f1中的新访问密钥或给予现场设备f1的新的访问密钥。
35.图2示出：在方法1中首先提出：在数据库服务器ds上提供密钥数据库。对于多个现场设备f1、f2，密钥数据库至少包括相应的现场设备f1、f2的现场设备标识符f1_id、f2_id，相应的现场设备f1、f2的实际访问密钥d_f1_cur、d_f2_cur和至少一个授权访问的用户u1、u2、u3的标识符u1_id、u2_id、u3_id。替代地或附加地，密钥数据库还至少可以包括对相应的现场设备f1、f2的授权访问的操作设备b的标识符。但是，在该实施例中，访问权限结合于用户u1、u2、u3。
36.在图2中还示出：数据库服务器ds对于访问授权的用户u1从密钥数据库中产生6密钥数据集d(u1)，其中在这种情况下，用于授权访问的用户u1对其具有访问权限的现场设备f1的密钥数据集d包括相应的现场设备f1的实际访问密钥d_f1_cur和现场设备标识符f1_id。
37.然后，将密钥数据集d传递7到授权访问的用户u1的操作设备b，使得授权访问的用户u1的操作设备b具有现场设备f1的实际访问密钥b_f1_cur＝d_f1_cur，对于所述现场设备存在访问权限。因此，方法1实现中央密钥管理和向授权用户和/或授权操作设备的单独密钥分发，这是期望的密钥组织和密钥分发的重要的技术基础。
38.图3示出方法1的一个优选的设计方案，其中密钥数据集d在其被传递7到授权访问的用户u1的操作设备b之前被加密8，并且其中加密的密钥数据集d在使用之前在操作设备b上解密9，由此在方法1中实现附加的数据安全性。在所示的实施例中，借助于不对称密钥对实现加密。密钥数据集在此借助不对称密钥对的公钥加密，并且在授权访问的用户u1的操作设备b上借助不对称密钥对的对应的私钥进行解密。
39.图4示出在密钥数据库中和在从密钥数据库中对实际访问密钥d_f1_cur、d_f2_cur产生的密钥数据集d中分别还标注实际访问密钥d_f1_cur、d_f2_cur的原始登记时间点d_t_f1、d_t_f2，由此只要存在用于现场设备f1的不同的实际访问密钥，就可以决定现有的实际访问密钥中的哪个是最新的实际访问密钥。相同的内容意义上也适用于存储在操作设备上的密钥数据集。在此，也存储实际访问密钥b_f1_cur的原始的登记时间点b_t_f1。
40.图5示出补充了同步步骤10的方法1。在同步步骤10中，数据库服务器ds的密钥数据库和操作设备b的密钥数据组d在现场设备f1的对应的实际访问密钥d_f1_cur、b_f1_cur的登记时间点d_t_f1、b_t_f1方面进行比较。在图5中通过d_t_f1＜b_t_f1和d_t_f1＞b_t_f1表明的登记时间点d_t_f1、b_t_f1偏差的情况下，在仅存在较旧的实际访问密钥d_f1_cur、b_f1_cur的位置处增补较新的实际访问密钥d_f1_cur、b_f1_cur与其登记时间点，使得数据库服务器ds的密钥数据库和操作设备b的密钥数据集d具有对相应现场设备f1的一致的实际访问密钥d_f1_cur、b_f1_cur。
41.所描述的方法针对以下情况示出，即存储在数据库服务器ds上的密钥数据库中
的、用于现场设备f1的实际访问密钥d_f1_cur具有比操作设备b的密钥数据集中的登记时间点b_tf1更晚的登记时间点d_t_f1(指向左侧的箭头)，并且针对以下另一种情况示出，即存储在数据库服务器ds上的密钥数据库中的、用于现场设备f1的实际访问密钥d_f1_cur具有比操作设备b的密钥数据集中的登记时间点b_t_f1更早的登记时间点d_t_f1(指向右侧的箭头)。
42.在该实施例中，相应地也增补登记时间点d_t_f1、b_t_f1。此外，在所示的实施例中，一旦操作设备b与数据库服务器ds的密钥数据库连接，就自动执行同步步骤10。同步步骤10在根据图5的实施例中还实现为，使得增补的较新的实际访问密钥不替换较旧的实际访问密钥，即被替换成，使得较旧的实际访问密钥不再可用，而且除了较旧的实际访问密钥之外标注增补的较新的实际访问密钥，使得之前适用的实际访问密钥也仍然可用(在图5中通过b_f1_old＝b_f1_cur和d_f1_old＝d_f1_cur说明)。在此，删除了更旧的实际访问密钥，使得仅最后两个最新版本的实际访问密钥(b_f1_old和b_f1_cur或d_f1_old和d_f1_cur)可用。在该方法的此处未示出的另一设计方案中，还存储较旧的登记时间点的更早的实际访问密钥。
43.现在，借助对于上述方法1的各种组成可以如下描述经由操作设备b预设新访问密钥b_f1_new，其中不需要新的附图，所需的步骤原则上在图1和5中示出。操作设备b具有用于现场设备f1的新访问密钥b_f1_new，所述新访问密钥在此通过用户u1为操作设备预设。由经由通信连接2与现场设备f1连接的操作设备b为现场设备f1预设新访问密钥b_f1_new，并且将新访问密钥b_f1_new由现场设备f1存储5为新的实际访问密钥b_f1_cur。操作设备b将新访问密钥b_f1_new作为新的实际访问密钥b_f1_cur存储在其密钥数据集中。然后，操作设备b建立到数据库服务器ds的密钥数据库的连接并采取同步步骤10。存在方法1的如下实现方案，其中不直接可行的是：立即采取同步步骤10，例如是因为无法立即联系数据库服务器ds。然后，当可以建立到数据库服务器ds的连接时，以时间间隔执行同步步骤10。
44.方法1在图6中描述，其中新访问密钥d_f1_new经由数据库服务器ds预设11。为数据库服务器ds的密钥数据库预设11用于现场设备f1的新访问密钥d_f1_new。新访问密钥d_f1_new作为新的实际访问密钥d_f1_cur存储在用于现场设备f1的数据库服务器ds的密钥数据库中，并且用于现场设备f1的最后有效的实际访问密钥d_f1_cur仍作为旧的实际访问密钥d_f1_old存储在密钥数据库中。在此也存储旧的实际访问密钥的登记时间点d_t_f1_old。在新的实际访问密钥的新条目的时间点，检测登记时间点d_t_f1(get_time())。当从密钥数据库中产生密钥数据集d时，实际访问密钥d_f1_cur和至少对于现场设备f1最后有效的实际访问密钥d_f1_old记录在密钥数据集d中。在同步步骤10中，在操作设备b增补最新的实际访问密钥(b_f1_cur＝d_f1_cur)时，至少保留之前有效的较旧的实际访问密钥(b_f1_old＝b_f1_cur)(也参见图5)。
45.在图7中示意地针对如下情况示出方法1，即将新访问密钥从操作设备b转发给现场设备f1，其中新访问密钥是操作设备b的实际访问密钥b_f1_cur。操作设备b与如下现场设备f1连接，所述操作设备对于所述现场设备具有访问权限。操作设备b具有用于现场设备f1的密钥数据集，所述密钥数据集具有实际访问密钥b_f1_cur和之前适用的实际访问密钥b_f1_old。为了获得对现场设备f1的访问权限，操作设备b使用之前适用的实际访问密钥b_f1_old，并且在存在访问权限的情况下，则操作设备b将实际访问密钥b_f1_cur作为新访问
密钥传输给现场设备f1。对于具有之前适用的实际访问密钥b_f1_old的操作设备没有获得访问权限的情况，操作设备b传输实际访问密钥b_f1_cur以检查3访问权限，使得也涵盖实际访问密钥在现场设备f1中已经事先、例如通过另一操作设备由新访问密钥替换的情况。
46.在这里未示出的替代的处理方案中，在方法1中提出：操作设备b与如下现场设备f1连接，所述操作设备对所述现场设备具有访问权限，操作设备b具有用于现场设备f1的密钥数据集，所述密钥数据集具有实际访问密钥b_f1_cur和之前适用的实际访问密钥b_f1_old，操作设备b首先使用实际访问密钥b_f1_cur以获得对现场设备f1的访问权限并且在访问授权被拒绝的情况下使用之前适用的实际访问密钥b_f1_old。在该实施例中，因此，在检查3访问权限时颠倒测试顺序。
47.图8提出方法1的一个改进形式，所述方法具有用于指示成功存储在现场设备f1上的新的实际访问密钥的安全的指示器。方法1的特征在于，新访问密钥d_f1_new设有同步标志s，所述新访问密钥对于现场设备f1作为新的实际访问密钥d_f1_cur在数据库服务器ds的密钥数据库中预设11并存储(类似于图6)，其中同步标志s指示：新的实际访问密钥d_f1_cur是否存储在现场设备f1上(s_yes)或没有存储在现场设备上(s_no)上。在所示的实施例中，在预设新的实际访问密钥d_f1_new之前用于实际访问密钥d_f1_cur的同步标志指示：实际访问密钥d_f1_cur已经存储在现场设备f1上s_yes(图8中的上部块)。
48.在新访问密钥d_f1_new首次作为新的实际访问密钥d_f1_cur存储的情况下，同步标志s指示：实际访问密钥d_f1_cur没有存储在现场设备f1上s_no。在产生密钥数据集(未示出)时，同步标志也记录在密钥数据集中。在随后的同步步骤(未示出)中，同步标志s同样被调准，即随密钥数据集传递到操作设备上。如果新的实际访问密钥——如前所述——已成功传递到现场设备上，则同步标志从“实际访问密钥未存储在现场设备上”(s_no)改变为“实际访问密钥存储在现场设备上”(s_yes)在操作设备上改变。在另一同步过程中，在数据库服务器ds的密钥数据库中的、用于现场设备f1的实际访问密钥中的同步标志从s_no(“实际访问密钥未存储在现场设备上”)改变为s_yes(“实际访问密钥存储在现场设备上”)。
49.换言之，方法1使用同步标志s提出：操作设备b与现场设备f1连接，操作设备b评估实际访问密钥b_f1_cur的同步标志s，并且在同步标志s指示“实际访问密钥未存储在现场设备上”s no的情况下，操作设备使用之前适用的实际访问密钥b f1 old以获得对现场设备f1的访问权限，并且否则使用实际访问密钥b f1 cur。
50.此外提出：与现场设备f1连接的操作设备b在将新的实际访问密钥b f1 cur传递到现场设备f1之后在其密钥数据集中将所传递的新的实际访问密钥b f1 cur的同步标志s改变到“实际访问密钥存储在现场设备上”s yes。
51.在使用同步标志s的情况下，因此有针对性可行的是：识别是否发生将新的实际访问密钥d f1 cur传递到现场设备f1上，使得操作设备b也识别：所述操作设备为了访问现场设备f1必须选择何种访问密钥，并且是否还需要将实际访问密钥b f1 cur作为新的访问密钥存储在现场设备f1上。该方法还实现：在数据库服务器ds处识别计划的密码改变是否已经实施以及何时实施。
52.附图标记列表
[0053]1ꢀꢀꢀꢀ
方法
[0054]2ꢀꢀꢀꢀ
通信连接
[0055]3ꢀꢀꢀꢀ
检查访问权限
[0056]4ꢀꢀꢀꢀ
传输新访问密钥
[0057]5ꢀꢀꢀꢀ
将新访问密钥存储为实际访问密钥
[0058]6ꢀꢀꢀꢀ
产生密钥数据集
[0059]7ꢀꢀꢀꢀ
传递密钥数据集
[0060]8ꢀꢀꢀꢀ
加密密钥数据集
[0061]9ꢀꢀꢀꢀ
解密加密过的密钥数据集
[0062]
10
ꢀꢀꢀꢀꢀ
同步步骤
[0063]
11
ꢀꢀꢀꢀꢀ
在数据库服务器处预设新访问密钥
[0064]
f1、f2 现场设备
[0065]
f1cur 现场设备f1的实际访问密钥
[0066]
f1_id
ꢀꢀꢀ
现场设备f1的现场设备标识符
[0067]bꢀꢀꢀꢀ
操作设备
[0068]
b_id 操作设备标识符
[0069]
b_f1_cur 操作设备b的现场设备f1的实际访问密钥
[0070]
b_f1_new 新访问密钥
[0071]
b_f1_old 操作设备的之前适用的实际访问密钥
[0072]
ds
ꢀꢀꢀꢀꢀꢀꢀꢀꢀ
数据库服务器
[0073]
d_f1_cur 数据库服务器的现场设备f1的实际访问密钥
[0074]
d_f1_new 数据库服务器的新访问密钥
[0075]
d_f1_old 数据库服务器的之前适用的实际访问密钥
[0076]dꢀꢀꢀꢀꢀꢀꢀꢀ
用于用户或操作设备的密钥数据集
[0077]
u1
ꢀꢀꢀꢀꢀꢀꢀꢀꢀ
用户
[0078]
u1_id
ꢀꢀꢀꢀꢀꢀꢀ
用户标识符
[0079]
d_t_f1
ꢀꢀꢀꢀ
数据库服务器的实际访问密钥的原始登记时间点
[0080]
b_t_f1
ꢀꢀꢀꢀ
操作设备的实际访问密钥的原始登记时间点

技术特征：
1.一种用于改变自动化技术的现场设备(f1)中的实际访问密钥(f1_cur)的方法(1)，其中在所述现场设备(f1)中存储现场设备标识符(f1_id)和所述实际访问密钥(f1_cur)，其中操作设备(b)能够经由通信连接(2)与所述现场设备(f1)连接，其中在所述操作设备(b)中存储操作设备标识符(b_id)和实际访问密钥(b_f1_cur)，其中所述现场设备(f1)通过至少间接评估所述现场设备的实际访问密钥(f1_cur)和所述操作设备(b)的所述实际访问密钥(b_f1_cur)检查(3)所述操作设备(b)的访问权限，并且其中在存在所述访问权限的情况下，所述操作设备(b)与所述现场设备(f1)商定(4)新访问密钥(b_f1_new)，所述现场设备(f1)将所述新访问密钥(b_f1_new)存储(5)为新的实际访问密钥(f1_cur)，其特征在于，在数据库服务器(ds)上提供密钥数据库，并且所述密钥数据库对于多个现场设备(f1，f2)至少包括相应的现场设备(f1，f2)的现场设备标识符(f1_id，f2_id)、相应的现场设备(f1，f2)的实际访问密钥(d_f1_cur，d_f2_cur)和对相应的现场设备(f1，f2)至少一个授权访问的用户(u1，u2，u3)和/或至少一个授权访问的操作设备(b)的标识符(u1_id，u2_id)，所述数据库服务器(ds)对于至少一个授权访问的用户(u1)或至少一个授权访问的操作设备(b)从所述密钥数据库中产生(6)密钥数据集(d)，其中所述密钥数据集(d)对于所述授权访问的用户(u1)或所述授权访问的操作设备(b)具有对其访问权限的现场设备(f1)包括相应的现场设备(f1)的现场设备标识符(f1_id)和实际访问密钥(d_f1_cur)，并且将所述密钥数据集(d)传递给所述授权访问的用户(u1)的操作设备(b)或传递给所述授权访问的操作设备(b)，使得所述授权访问的用户(u1)的操作设备(b)或所述授权访问的操作设备(b)具有所述现场设备(f1)的实际访问密钥(b_f1_cur＝d_f1_cur)，对于所述实际访问密钥存在所述访问权限。2.根据权利要求1所述的方法(1)，其特征在于，将所述密钥数据集(d)在其传递给所述授权访问的用户(u1)的操作设备(b)或传递给所述授权访问的操作设备(b)之前加密(8)，并且将加密的所述密钥数据集(d)在使用之前在所述操作设备(b)上解密(9)。3.根据权利要求1或2所述的方法(1)，其特征在于，在所述密钥数据库中和在从所述密钥数据库中产生的密钥数据集(d)中和/或在所述操作设备(b)的密钥数据集中对于所述实际访问密钥(d_f1_cur，d_f2_cur、b_f1_cur)分别还标注所述实际访问密钥(d_f1_cur，d_f2_cur)的原始登记时间点(d_t_f1，d_t_f2；b_t_f1)。4.根据权利要求3所述的方法(1)，其特征在于，在同步步骤(10)中，将至少一个操作设备(b)的密钥数据库和密钥数据集(d)在对应的实际访问密钥(d_f1_cur，b_f1_cur)的登记时间点(d_t_f1，b_t_f1)方面进行比较，并且在所述登记时间点(d_t_f1，b_t_f1)偏差的情况下在仅存在较旧的实际访问密钥(d_f1_cur，b_f1_cur)的位置处增补最新的实际访问密钥及其登记时间点，使得所述操作设备(b)的密钥数据库和密钥数据集(ds)具有对于相应的现场设备(f1)一致的实际访问密钥(d_f1_cur，b_f1_cur)，特别是其中一旦操作设备(b)与所述数据库服务器(ds)的密钥数据库连接，就自动执行所述同步步骤(10)。5.根据权利要求4所述的方法(1)，其特征在于，由经由所述通信连接(2)与所述现场设备(f1)连接的操作设备(b)为所述现场设备(f1)预设新访问密钥(b_f1_new)，并且所述新访问密钥(b_f1_new)由所述现场设备(f1)存储(5)作为新的实际访问密钥(f1_cur)，其中所述操作设备(b)在其密钥数据集中存储所述新访问密钥(b_f1_new)作为新的实际访问密
钥(b_f1_cur)，并且所述操作设备(b)建立到所述数据库服务器(ds)的密钥数据库的连接(2)并且采取所述同步步骤(10)或请求所述操作设备(b)的用户(u1)：建立到所述密钥数据库的连接(2)，以便能够执行所述同步步骤(10)。6.根据权利要求4所述的方法(1)，其特征在于，所述数据库服务器(ds)的密钥数据库预设用于所述现场设备(f1)的新访问密钥(d_f1_new)，并且将所述新访问密钥(d_f1_new)由所述密钥数据库为所述现场设备(f1)存储作为新的实际访问密钥(d_f1_cur)，并且至少用于所述现场设备(f1)的最后有效的实际访问密钥(d_f1_cur)作为旧的实际访问密钥(d_f1_old)保持存储在所述密钥数据库中，其中在产生所述密钥数据集(d)时，将用于所述现场设备(f1)的实际访问密钥(d_f1_cur)和至少最后有效的实际访问密钥(d_f1_old)记录在所述密钥数据集(d)中，特别是其中在所述同步步骤(10)中在所述操作设备(b)中增补所述最新的实际访问密钥(b_f1_cur＝d_f1_cur)时至少保留之前有效的较旧的实际访问密钥(b_f1_old＝b_f1_cur)。7.根据权利要求6所述的方法(1)，其特征在于，所述操作设备(b)与如下现场设备(f1)连接，所述操作设备对所述现场设备具有访问权限，所述操作设备(b)具有用于所述现场设备(f1)的密钥数据集，所述密钥数据集具有所述实际访问密钥(b_f1_cur)和之前适用的实际访问密钥(b_f1_old)，所述操作设备(b)使用所述之前适用的实际访问密钥(b_f1_old)以获得对所述现场设备(f1)的访问权限，并且在存在所述访问权限的情况下将所述实际访问密钥(b_f1_cur)作为新访问密钥传输给所述现场设备(f1)。8.根据权利要求6所述的方法(1)，其特征在于，所述操作设备(b)与如下现场设备(f1)连接，所述操作设备对所述现场设备具有访问权限，所述操作设备(b)具有用于所述现场设备(f1)的密钥数据集，所述密钥数据集具有所述实际访问密钥(b_f1_cur)和之前适用的实际访问密钥(b_f1_old)，所述操作设备(b)首先使用所述实际访问密钥(b_f1_cur)以获得对所述现场设备(f1)的访问权限，并且在拒绝所述访问权限的情况下使用所述之前适用的实际访问密钥(b_f1_old)。9.根据权利要求6至8中任一项所述的方法(1)，其特征在于，作为新的实际访问密钥(d_f1_cur)存储在用于所述现场设备(f1)的密钥数据库中的新访问密钥设有同步标志(s)，其中所述同步标志(s)指示：所述新的实际访问密钥(d_f1_cur)是存储在所述现场设备(f1)上(s_yes)还是未存储在所述现场设备上(s_no)，并且所述同步标志(s)指示：所述实际访问密钥(d_f1_cur)未存储在所述现场设备(f1)上，其中在产生(6)所述密钥数据集(d)时将所述同步标志(s)记录到所述密钥数据集(d)中，并且其中在所述同步步骤(10)中调准所述同步标志(s)，但所述同步标志(s)仅从“实际访问密钥未存储在所述现场设备上”(s_no)改变为“实际访问密钥存储在所述现场设备上”(s_yes)。10.根据权利要求9所述的方法(1)，其特征在于，所述操作设备(b)与所述现场设备(f1)连接，所述操作设备(b)评估所述实际访问密钥(b_f1_cur)的同步标志(s)，并且在所述同步标志(s)指示“所述实际访问密钥未存储在所述现场设备上”(s_no)的情况下，所述操作设备使用所述之前适用的实际访问密钥(b_f1_old)以获得对所述现场设备的访问权限，否则使用所述实际访问密钥(b_f1_cur)。11.根据权利要求10所述的方法(1)，其特征在于，所述操作设备(b)与如下现场设备(f1)连接，所述操作设备对所述现场设备具有访问权限，并且所述操作设备(b)在将所述新
的实际访问密钥(b_f1_cur)传递到所述现场设备(f1)上之后在其密钥数据集中将所传递的新的实际访问密钥(b_f1_cur)的同步标志(s)改变为“实际访问密钥存储在所述现场设备上”(s_yes)。

技术总结
本发明描述用于改变自动化技术的现场设备中的实际访问密钥的方法，其中在现场设备中存储现场设备标识符和实际访问密钥，操作设备可以经由通信连接与现场设备连接，在操作设备中存储操作设备标识符和实际访问密钥，现场设备通过至少间接评估其实际访问密钥和操作设备的实际访问密钥检查操作设备的访问权限，在存在访问权限时，操作设备与现场设备商定新访问密钥，现场设备将新访问密钥存储为新的实际访问密钥。通过以下方式实现可靠且简单地管理实际访问密钥的改变：在数据库服务器上提供密钥数据库且密钥数据库对于多个现场设备至少包括相应现场设备的现场设备标识符、实际访问密钥和对其的至少一个授权访问的用户和/或操作设备的标识符。作设备的标识符。作设备的标识符。


技术研发人员：P
受保护的技术使用者：克洛纳测量技术有限公司
技术研发日：2023.01.28
技术公布日：2023/7/31