Transmisión segura de datos en una red de automatización.

Procedimiento para la transmisión segura de datos en una red de automatización (100),

en el que la red de automatización comprende al menos una instancia del programa (106) y al menos un grupo de construcción (104), en el que la instancia del programa dispone de un sistema de derechos de la instancia del programa y el grupo de construcción dispone de un sistema de derechos del grupo de construcción, y en el que el procedimiento comprende la siguientes etapas:

- autentificación (S1) de un usuario a través del programa de derechos de la instancia del programa con la ayuda de datos del usuario para la liberación de una utilización de la instancia del programa a través del usuario;

- codificación (S2) y firma de datos (120) a través de la instancia del programa, en la que los datos comprenden datos del usuario;

- transmisión (S3) de los datos a través de un medio de transmisión (108; 202) desde la instancia del programa hacia el grupo de construcción;

- descodificación (S4) de los datos en el grupo de construcción;

- autentificación (S5) de la instancia del programa frente al grupo de construcción; y

- autentificación (S6) del usuario a través del sistema de derechos del grupo de construcción con la ayuda de los datos del usuario.

Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E10007119.

Solicitante: SIEMENS AKTIENGESELLSCHAFT.

Nacionalidad solicitante: Alemania.

Dirección: WITTELSBACHERPLATZ 2 80333 MUNCHEN ALEMANIA.

Inventor/es: KOPPERS,JOACHIM.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • G05B19/418 FISICA.G05 CONTROL; REGULACION.G05B SISTEMAS DE CONTROL O DE REGULACION EN GENERAL; ELEMENTOS FUNCIONALES DE TALES SISTEMAS; DISPOSITIVOS DE MONITORIZACION O ENSAYOS DE TALES SISTEMAS O ELEMENTOS (dispositivos de maniobra por presión de fluido o sistemas que funcionan por medio de fluidos en general F15B; dispositivos obturadores en sí F16K; caracterizados por particularidades mecánicas solamente G05G; elementos sensibles, ver las subclases apropiadas, p. ej. G12B, las subclases de G01, H01; elementos de corrección, ver las subclases apropiadas, p. ej. H02K). › G05B 19/00 Sistemas de control por programa (aplicaciones específicas, ver los lugares apropiados, p. ej. A47L 15/46; relojes que implican medios anejos o incorporados que permiten hacer funcionar un dispositivo cualquiera en un momento elegido de antemano o después de un intervalo de tiempo predeterminado G04C 23/00; marcado o lectura de soportes de registro con una información digital G06K; registro de información G11; interruptores horarios o de programa horario que se paran automáticamente cuando el programa se ha realizado H01H 43/00). › Control total de una fábrica, es decir, control centralizado de varias máquinas, p. ej. control numérico directo o distribuido (DNC), sistemas de fabricación flexibles (FMS), sistemas de fabricación integrados (IMS), fabricación integrada por computador (CIM).
  • H04L29/06 ELECTRICIDAD.H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS.H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.

PDF original: ES-2473472_T3.pdf

 


Fragmento de la descripción:

Transmisión segura de datos en una red de automatización La invención se refiere a redes de automatización industriales, en particular a la transmisión segura de datos en una red de automatización industrial.

Una red de automatización industrial está constituida normalmente por al menos un aparato de control y al menos un grupo de construcción. El aparato de control sirve para la programación del grupo de construcción y comprende a tal fin una instancia de programada. El grupo de construcción puede ser, por ejemplo, un control de máquinas de una máquina en una línea de producción. Una red de automatización sirve para accionar máquinas o instalaciones industriales automáticamente y sin la colaboración de personas.

Por lo tanto, deben transmitirse datos desde la instancia del programa hacia el grupo de construcción, para que el aparato de control pueda programar el grupo de construcción. Estos datos se llaman datos de proyección. Cuando la transmisión de los datos de proyección desde la instancia del programa hacia el grupo de construcción debe transmitirse a prueba de escucha y protegidos contra manipulaciones, se utiliza normalmente un protocolo de transmisión seguro como HTTPS o IPSEC. Para estos protocolos de transmisión deben cumplirse determinados requerimientos de seguridad, que no pueden ser cumplidos por cualquier red de automatización o bien cualquier grupo de construcción.

Se sabe a partir del documento EP 2 159 653 A1 que para la concesión de una autorización de acceso a un objeto basado en ordenador en un sistema de automatización para un programa de control se determina un identificador y que el identificador es codificado por medio de una clave digital privada asociada a una unidad de control y de supervisión del sistema de automatización. Con la ayuda del objeto basado en ordenador se acondiciona un primer servicio y con la ayuda del programa de control se acondiciona un segundo servicio del sistema de automatización. El identificador codificado es descodificado durante la transmisión a un servicio de autentificación y es verificado a través del servicio de autentificación. El servicio de autentificación transmite, en el caso de verificación con éxito, una señal válida al menos a corto plazo al segundo servicio. La señal es transmitida en el caso de una solicitud de acceso al objeto basado en ordenador a través del programa de control hasta el primer servicio para la verificación. Se concede un acceso al objeto basado en ordenador en el caso de un resultado de verificación positivo por el programa de control.

La invención tiene el cometido de crear un procedimiento mejorado para la transmisión segura de datos en una red de automatización. Además, la invención tiene el cometido de crear un aparato de control mejorado y un grupo de construcción mejorado en una red de automatización y de crear medios de memoria mejorados para tal grupo de construcción y para tal aparato de control.

Los cometidos en los que se basa la invención se solucionan, respectivamente, con las características de las reivindicaciones independientes de la patente.

Las formas de realización de la invención se indican en las reivindicaciones dependientes de la patente.

De acuerdo con la invención se crea un procedimiento para la transmisión segura de datos en una red de automatización. La red de automatización comprende al menos una instancia de programa y al menos un grupo de construcción. La seguridad de la transmisión de los datos se garantiza independientemente del procedimiento de transmisión utilizado.

Una red de automatización puede estar configurada, por ejemplo, como red de automatización industrial. Tales redes de automatización industriales pueden estar configuradas, instaladas y/o previstas, por ejemplo, para el control y/o la regulación de instalaciones industriales (por ejemplo, instalaciones de producción, instalaciones de transporte, etc.) , máquinas y/o aparatos. En particular, las redes de automatización o bien redes de automatización industriales pueden presentar protocolos de comunicación en tiempo real, (por ejemplo, Profinet, Profibus, RealTime-Ethernet) para la comunicación al menos entre los componentes implicados en las tareas de control y/o de regulación (por ejemplo, entre las unidades de control y las instalaciones y/o máquinas a controlar) . De la misma manera, está cubierta la transmisión segura de datos a través de medios de memoria.

Además, pero adicionalmente a un protocolo de comunicación en tiempo real, también puede estar previsto todavía otro protocolo de comunicación (que no tiene que ser, por ejemplo, capaz de tiempo real) en la red de automatización o bien red de automatización industrial, por ejemplo para la supervisión, instalación, reprogramación y/o re-parametrización de una o varias unidades de control en el red de automatización.

Una red de automatización puede comprender, por ejemplo, componentes de comunicación por cable y/o componentes de comunicación sin hilos. Además, una red de automatización puede comprender al menos una instalación de automatización.

Una instalación de automatización puede ser, por ejemplo, un ordenador, PC y/o controlador con tareas de control o bien con capacidades de control. En particular, una instalación de automatización puede ser, por ejemplo, una instalación de automatización industrial, que puede estar configurada, instalada y/o prevista, por ejemplo, especialmente para el control y/o regulación de instalaciones industriales. En particular, tales instalaciones de automatización o bien instalaciones de automatización industriales pueden ser capaces en tiempo real, es decir, que posibilitan un control o bien una regulación en tiempo real. A tal fin, la instalación de automatización o bien la instalación de automatización industrial puede comprender, por ejemplo un sistema operativo en tiempo real y/o al menos, entre otras cosas, un protocolo de comunicación capaz de tiempo real para la comunicación (por ejemplo, Profinet, Profibus, Real-Time-Ethernet) .

Una red de automatización comprende varios sensores y actuadores. Los actuadores y sensores son controlados por al menos una instalación de control. Los actuadores, los sensores y la al meno una instalación de control intercambian datos entre sí. Para el intercambio de datos se utiliza un protocolo de automatización. La al menos una instalación de control controla los actuadores, los sensores y el intercambio de datos, de tal manera que se desarrolla un proceso de fabricación mecánica, en el que se fabrica, por ejemplo, un producto.

Una instalación de automatización industrial puede ser, por ejemplo, un control programable con memoria, un módulo o parte de un control programable con memoria, un control programable con memoria integrado en un ordenador PC así como aparatos de campo correspondientes, sensores y/o actuadores, aparatos de entrada y/o salida o similares para la conexión en un control programable con memoria o pueden comprender tales componentes.

Como protocolo de automatización en el sentido de la presente invención se entiende cualquier tipo de protocolo, que está previsto, es adecuado y/o está instalado para la comunicación con instalaciones de automatización de acuerdo con la presente descripción. Tales protocolos de automatización pueden ser, por ejemplo, el protocolo Profi-Bus (por ejemplo, de acuerdo con IEC 61158/EN50170) , un protocolo prof. Bus-DP, un protocolo Profi-Bus-PA, un protocolo Prof. Net, un protocolo Profi-Net-IO, un protocolo según AS-Interface, un protocolo según IO-Link, un protocolo-KNK, un protocolo según una interfaz de varios puntos, (Multipoint-Interface, MPI) , un protocolo para un acoplamiento de punto-a-punto (Point-to-Point, PtP) , un protocolo según las especificaciones a la S7-Kommunikation (que está prevista e instalada, por ejemplo, para la comunicación de controles programables con memoria de la Firma Siemens) o también un protocolo de Ethernet Industrial, o protocolo Real-Time-Ethernet o bien otros protocolos específicos para la comunicación con aparatos de automatización. Como protocolo de automatización en el sentido de la presente invención pueden estar previstas también combinaciones discrecionales de los protocolos mencionados anteriormente.

La instancia del programa dispone de un sistema de derechos de la instancia del programa y el grupo de construcción dispone de un sistema de derechos de grupos de construcción. El procedimiento comprende las siguientes etapas. En primer lugar se autentifica un usuario de la instancia del programa. Esto se realiza a través del sistema de derechos de la instancia del programa con la ayuda de datos del usuario. Los datos del usuario pueden ser,... [Seguir leyendo]

 


Reivindicaciones:

1. Procedimiento para la transmisión segura de datos en una red de automatización (100) , en el que la red de automatización comprende al menos una instancia del programa (106) y al menos un grupo de construcción (104) , en el que la instancia del programa dispone de un sistema de derechos de la instancia del programa y el grupo de construcción dispone de un sistema de derechos del grupo de construcción, y en el que el procedimiento comprende la siguientes etapas:

-autentificación (S1) de un usuario a través del programa de derechos de la instancia del programa con la ayuda de datos del usuario para la liberación de una utilización de la instancia del programa a través del usuario;

-codificación (S2) y firma de datos (120) a través de la instancia del programa, en la que los datos comprenden datos del usuario;

-transmisión (S3) de los datos a través de un medio de transmisión (108; 202) desde la instancia del programa hacia el grupo de construcción;

-descodificación (S4) de los datos en el grupo de construcción;

-autentificación (S5) de la instancia del programa frente al grupo de construcción; y

-autentificación (S6) del usuario a través del sistema de derechos del grupo de construcción con la ayuda de los datos del usuario.

2. Procedimiento de acuerdo con la reivindicación 1, en el que la codificación es una codificación asimétrica.

3. Procedimiento de acuerdo con la reivindicación 2, en el que la instancia del programa y el grupo de construcción presentan, respectivamente, una clave pública asimétrica de la instancia del programa y una clave pública asimétrica del grupo de construcción (112) , y en el que la instancia del programa presenta una clave privada de la instancia del programa (110) y el grupo de construcción presenta una clave privada del grupo de construcción (116) , en el que el procedimiento comprende las siguientes etapas:

-codificación simétrica de los datos en la instancia del programa con la clave pública del grupo de construcción y firma de los datos con la clave privada de la instancia del programa;

-transmisión de los datos codificados y firmados desde la instancia del programa hacia el grupo de construcción; y

-descodificación de los datos codificados en el grupo de construcción con la clave privada del grupo de construcción y autentificación de la instancia del programa como emisor de los datos con la clave pública de la instancia del programa.

4. Procedimiento de acuerdo con una de las reivindicaciones anteriores, en el que los datos codificados y firmados son memorizados a través de la instancia del programa en un medio de memoria (202) y son leídos antes de la descodificación en el grupo de construcción desde el medio de memoria.

5. Procedimiento de acuerdo con una de las reivindicaciones 1 a 3, en el que los datos codificados y firmados son transmitidos a través de una conexión de cable (108) entre la instancia del programa y el grupo de construcción.

6. Procedimiento de acuerdo con la reivindicación 5, en el que la transmisión de datos se realiza a través de la conexión por cable por medio de uno de los siguientes protocolos: MPI, PROFIBUS, Ethernet, TCP-IP, PROFINET.

7. Procedimiento de acuerdo con la reivindicación 5, en el que la transmisión de datos se realiza a través de conexión sin hilos por medio de uno de los siguientes protocolos: Ethernet, TCP-IP, PROFINET.

8. Procedimiento de acuerdo con una de las reivindicaciones anteriores, en el que los datos comprenden una clave simétrica para transmisiones codificadas de datos desde la instancia del programa hacia el grupo de construcción.

9. Procedimiento de acuerdo con una de las reivindicaciones 3 a 7, en el que los datos comprenden otra clave privada de grupo de construcción y otra clave pública de la instancia el programa para transmisiones de datos codificadas desde la instancia del programa hacia el grupo de construcción.

10. Aparato de control (102) en una red de automatización, en el que el aparato de control comprende una instancia del programa y está configurado para la realización de un procedimiento de acuerdo con una de las reivindicaciones 1 a 9, y en el que la instancia el programa dispone de un sistema de derechos de la instancia del programa, con

-medios (208) para la autentificación de un usuario a través del sistema de derechos de la instancia el programa con la ayuda de datos del usuario para la liberación de una utilización de la instancia del programa a través del usuario;

-medios (10; 112; 208) para la codificación y firma de datos a través de la instancia del programa, en el que los datos comprenden datos del usuario; y

-medios (109) para la transmisión de los datos a través de un medio de transmisión.

11. Grupo de construcción (104) en una red de automatización, en el que el grupo de construcción dispone de un 5 sistema de derechos el grupo de construcción y está configurado para la realización de un procedimiento de acuerdo con una de las reivindicaciones 1 a 9, con:

-medios (111) para la recepción de datos;

-medios (116; 210) para la descodificación de datos;

-medios (114; 210) para la autentificación de un aparato de control como emisor de los datos; y

- medios (210) para la autentificación de un usuario a través del sistema de derechos del grupo de construcción con la ayuda de los datos del usuario.

12. Red de automatización que comprende un aparato de control, de acuerdo con la reivindicación 10, en el que el aparato de control está configurado para la transmisión de datos a través de un medio de transmisión desde el aparato de control hacia el grupo de construcción, y con un grupo de construcción de acuerdo con la reivindicación 11, en el que el grupo de construcción está configurado para la recepción de los datos transmitidos.

13. Medio de memoria (206) legible por ordenador con instrucciones, que en la ejecución en un grupo de construcción en una red de automatización, en la que el grupo de construcción dispone de un sistema de derechos del grupo de construcción, inducen al grupo de construcción a la realización del siguiente procedimiento:

-recepción de datos.

20. descodificación de datos,

-autentificación de un aparato de control como emisor de los datos; y

- autentificación de un usuario a través del sistema de derechos del grupo de construcción con la ayuda de los datos del usuario,

en el que el medio de memoria legible por ordenador está configurado para la realización de un procedimiento de 25 acuerdo con una de las reivindicaciones 1 a 9.


 

Patentes similares o relacionadas:

Procedimiento y dispositivo para el procesamiento de una solicitud de servicio, del 29 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para el procesamiento de una solicitud de servicio, comprendiendo el procedimiento: recibir (S201), mediante un nodo de consenso, una solicitud […]

Método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático de cliente que comprende una entidad de módulo de identidad de abonado con un kit de herramientas de módulo de identidad de abonado así como una miniaplicación de módulo de identidad de abonado, sistema, dispositivo informático de cliente y entidad de módulo de identidad de abonado para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en el dispositivo informático de cliente, programa que comprende un código de programa legible por ordenador y producto de programa informático, del 22 de Julio de 2020, de DEUTSCHE TELEKOM AG: Un método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático […]

Método para atender solicitudes de acceso a información de ubicación, del 22 de Julio de 2020, de Nokia Technologies OY: Un aparato que comprende: al menos un procesador; y al menos una memoria que incluye un código de programa informático para uno o más programas, […]

Sincronización de una aplicación en un dispositivo auxiliar, del 22 de Julio de 2020, de OPENTV, INC.: Un método que comprende, mediante un dispositivo de medios: acceder, utilizando un módulo de recepción, un flujo de datos que incluye contenido […]

Procedimiento y dispositivo para su uso en la gestión de riesgos de información de aplicación, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para la gestión de riesgos de información de aplicación en un dispositivo de red, comprendiendo el procedimiento: recibir información […]

Gestión de memoria intermedia recomendada de red de una aplicación de servicio en un dispositivo de radio, del 22 de Julio de 2020, de TELEFONAKTIEBOLAGET LM ERICSSON (PUBL): Un método llevado a cabo por un nodo de red en una red de comunicación por radio , comprendiendo el método: obtener (S1) una predicción del ancho […]

Método, servidor y sistema de inicio de sesión de confianza, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método de inicio de sesión de confianza implementado por computadora aplicado a un sistema de inicio de sesión de confianza que comprende un primer sistema de aplicación […]

Método y aparato para configurar un identificador de dispositivo móvil, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método implementado por servidor para configurar un identificador de dispositivo móvil, que comprende: obtener una lista de aplicaciones, APP, […]

Utilizamos cookies para mejorar nuestros servicios y mostrarle publicidad relevante. Si continua navegando, consideramos que acepta su uso. Puede obtener más información aquí. .