[发明专利]用于在分布式系统中配置和分发访问权限的方法

说明书

技术领域

本发明涉及一种用于为被布置在分布式系统中的智能电子设备配置和分发访问权限的方法。此外，本发明涉及用于执行所述方法的设备。本发明尤其被用于网络控制自动化系统和站自动化系统中，所述网络控制自动化系统和站自动化系统例如被用于电流、燃气、水、油或者远距离供热的供应系统，但也适合于独立的工业设备中。

背景技术

智能电子设备(也称作Intelligent Electronic Devices (IED))是基于微处理器的设备，其例如被用在远程监视分布式系统中。除了其它的之外，属于所述智能电子设备的还有远程控制分站(也称作远程终端单元(RTU))、保护设备以及智能开关设备和在中电压和低电压设备中的电压调节器。

在熟知的网络控制系统中，网络控制站经由通信链路与远程终端单元(Remote Terminal Units)连接。将过程控制系统或者设备控制系统所提供的过程数据(优选实时地)从技术设备或者技术过程的空间上相距遥远的部件经由RTU传输到控制站。不仅产生危险过程状态相关的告警，而且准备分布式系统内所有重要事件的记录并且由RTU提供所述记录到网络控制站。

对存放在远程终端单元内的数据的访问和/或对这些设备的操作通常通过密码保护或者用户帐号得到保护，其中从用户帐户提供分配给相应设备的密码保护。根据现有技术，为每个设备个别配置密码保护。

用户帐户在网络控制系统的远程终端单元内分别作为文件被存放，用户帐号被集成到此文件中。除了其它的之外，所述用户帐号还包括已授权用户的名称、分配的密码以及对特定功能的访问权限或者访问许可，例如对修改RTU配置的许可。所述文件通常以加密的格式被存放在RTU的可重写的非易失性存储器内，使得RTU的用户例如只有在输入密码之后才对所述设备所检测的数据或者对设备的操作具有访问权限。

因为用户帐号的配置在每个设备上被个别实施，所以为分布式系统的设备管理访问权限要求巨大的时间开销。尤其是访问权限相关的改变花费很大，这是因为必须单独为与变化有关的每个设备实施访问权限配置。

发明内容

因此，本发明所基于的任务在于，说明一种方法和装置，所述方法和装置用于配置和分发被存放在用户帐号内的访问权限给被布置在分布式系统内的智能设备，所述方法和装置避免了先前提到的缺点。根据本发明的方法和根据本发明的装置尤其被设置用于：为同时在分布式系统的多个智能设备上，尤其是远程终端单元上访问和/或操作所述设备分发用户帐号。

所述任务通过包括在权利要求1中说明的特征的方法解决，所述方法用于配置和分发访问权限给分布式系统内的智能设备。在其它权利要求中说明用于实施所述方法的有利扩展方案和装置。

为配置和分发访问权限给被布置在技术过程或者技术设备的分布式系统中(尤其在网络控制系统中)的智能设备，设置至少一个第一智能设备，所述第一智能设备借助于Web客户端经由网络连接与分布式系统的其它智能设备连接，所述Web客户端可以被实施为用户接口、通信服务或者操作接口。从技术设备或者技术过程的空间上相距遥远的部件提供的过程数据和/或设备数据(优选实时地)被传输到分布式系统的设备。

根据本发明的用于配置和分发访问权限给分布式系统的智能设备的方法包括以下方法步骤：

在准备步骤中，在分布式系统的智能设备中分别存放设备内部的特有密钥和公共密钥，所述特有密钥用于在设备中加密地存储密码文件，所述公共密钥由被布置在分布式系统内的智能设备理解。

在第一步骤中，经由Web客户端在第一设备内创建和配置被称作用户帐户的用户帐号，优选地，所述Web客户端被集成到第一设备内或者与第一设备交互。单独的数据处理设备(例如PC)可以被设置为Web客户端，所述数据处理设备借助于网络连接(例如无线网络)可与分布式系统的智能设备连接。

在用户帐号内例如确定用户名称、密码和/或访问权限，采用它们避免未授权而直接访问所述设备。在此，借助于第一设备的特有的设备内部密钥，所述用户帐号被加密为密码文件存放在设置在第一设备内的存储模块中，优选地存放在可重写的非易失性存储器中。

在第二步骤中，在将具有用户帐号的密码文件读出到Web客户端中之前，借助于公共密钥对密码文件加密，所述密码文件由布置在系统中的其它智能设备理解，并且将现在以公共密钥加密的、包括用户帐号的密码文件提供给Web客户端以便传输到其它智能设备。