[发明专利]用于对自动化设备进行访问控制的方法

说明书

随着将信息技术(IT)引人自动化中并且随着与办公环境的集成 度的日益增加，对自动化环境的安全解决方案的需求也提高。在此， 访问控制是一种重要的安全功能，通过该访问控制来确定和实施：谁 可以执行哪些动作(Handlung)。这样，例如可以确定：为了操作和 观察方法或者生产或者工艺过程或者生产过程，哪些访问可以由操作 人员来进行。

IT安全的三个主要支柱是机密性、完整性以及可用性。对于典型 的办公环境而言，大多为数据的机密性和完整性发挥最重要的作用。 然而在自动化环境中，可用性大多比数据的机密性更重要。在这种情 况下，通常通过网络几乎不传输高度机密的数据，而是主要传输控制 指令和状态指令。

由于使用环境，在那必须考虑特定的边界条件。这样，例如在工 艺过程的自动化环境中，在设备控制中发生安全紧急情况时不允许简 单地停止过程工业的生产过程/物理过程(诸如加热和搅拌粘合剂)。 相反，同样不允许在紧急情况下(例如在粘合剂过热时)由于IT安全 措施而阻止操作人员的干预。被严格设置的访问权限(如这从IT安全 的角度而言是所期望的那样)不允许导致在这种紧急情况下阻止或者 不必要地妨碍必需的人工干预。

公知有一种基于角色的访问控制(RBAC；Role Based Access Control)。在实践中，常常将其仅仅理解成基于角色的访问权限管理。 在此，根据出现的任务来限定组。访问权限被指派给各个组。各个工 作人员被分配给对应于其任务的组，并且这样得到其任务所需的访问 权限。

从理论的观点来看，RBAC意味着：单独的工作人员在不同的时刻 履行不同的任务，相对应地在不同的时刻履行不同的角色。如果工作 人员的任务在多个时刻之间变化，则该工作人员为此分别执行角色更 换，以便得到分别被分配给当前所履行的角色的访问权限。

此外，通过Covington等人的“Securing Context-Aware Applications Using Environment Roles”(Proceedings of the sixth ACM symposium on Access control models and technologies， Chantilly，Virginia，United States，第10-20页，2001年， ISBN：1-58113-350-2)公开了一种基于情景(Kontext-basiert)的老 年人家庭护理和监控的访问控制，其中所述访问权限与也被称为环境 信息的情景信息有关。所述情景信息或者相互联系信息涉及白天时间、 工作日、住所或者工作流程的当前状态。所述访问权限被分配给一定 的环境角色。不同的环境角色可以由情景信息触发。环境角色的激活 可自动触发行动。这样，例如在激活环境角色“受伤”的情况下，紧 急呼叫被自动建立。

可被视为本发明的任务的是提供一种更好地与自动化环境相匹配 的访问控制。

根据本发明，该任务通过权利要求1的特征来解决。

一种根据本发明的用于对自动化设备进行访问控制的方法规定： 通过所述访问控制所预先给定的访问权限与所述自动化设备的运行状 态有关，其中至少在紧急情况下与正常运行时的访问权限无关地准许 与在正常运行时相比被扩展的访问权限。

通过至少在紧急情况下准许具有被扩展的访问权限的紧急情况访 问，使得能够进行快速和灵活的动作，所述动作不被IT安全措施阻碍 或者被不必要地妨碍。

尤其是由此得到本发明相对于现有技术的优点：对于自动化设备 的规则的操作运行，可以根据规则运行的要求限制性地设置访问权限。 对于特别的运行状态、尤其是在紧急情况下，准许被相对应扩展的访 问权限。

原则上，限定有对应于自动化设备的不同运行状态的角色。不是 像在RBAC的情况下那样随意选择地进行角色更换，而是访问权限与运 行状态有关。在正常运行时，实现高度的安全性，并且访问权限可以 被限制性地设置，因为仅仅在特别的运行状态下、诸如在维护工作中 或者在紧急情况下才准许那时所需的被扩展的访问权限。这也可以被 视为一种超控(Override)功能，其中在一定情形下可以把对所述访 问权限的控制设置成失效。