[发明专利]认证自动化系统的通信网络中的节点

说明书

本发明涉及一种用于认证自动化系统的通信网络(30)中的节点(31，32a‑c)的方法，其中将相应的认证信息传输给认证服务器(34)，其基于认证信息允许或拒绝节点作为通信网络中的参与者。为了能够在冗余设计的通信网络中执行节点的认证，提出了通信网络包括多个节点，这些节点分别具有至少两个通信端口，通信网络执行生成树协议，并且节点中的至少两个通过其面向彼此的通信端口交换认证请求，并且将接收到的相应的认证信息发送给与通信网络连接的认证服务器，其根据接收到的相应的认证信息分别检查相应的节点的真实性并且作为检查的结果允许或拒绝相应的节点作为通信网络中的参与者。本发明还涉及一种节点和一种具有这种节点的通信网络。

技术领域

本发明涉及一种用于对自动化系统的通信网络中的节点进行认证的方法，其中，说明了设备的相应的认证信息被传输给认证服务器，并且认证服务器基于该认证信息允许或拒绝该设备作为通信网络中的参与者。

本发明一方面还涉及一种用于连接到自动化系统的通信网络的节点，另一方面还涉及一种具有这种节点的通信网络。

背景技术

具有通信能力的设备(以下也被称为“节点”)，即可以连接到通信网络并且通过该通信网络与其他电子设备通过传输相应的数据报文或消息来交换数据的电子设备，如今应用在许多技术领域中，例如应用在设备的自动化中。在通信网络中使用这种节点的示例是自动化系统，在该自动化系统中，具有网络能力的自动化设备(在下文中也简称为“设备”或“电子设备”)通过通信网络的以太网网桥彼此连接以交换数据报文。因此，这种通信网络的节点由其电子设备和以太网网桥形成。自动化系统用于使系统自动化，例如使电能供应网络或者电气开关设备自动化，并且通常包括自动化设备(例如所谓的现场设备)，其布置在相应设备、即例如电能供应网络的一次部件附近。在电能供应网络的情况下，这种一次部件例如可以是电缆和线路、变压器、发电机、电动机或变流器。自动化设备例如可以是所谓的电气保护设备或现场控制设备，它们安装在电能供应网络的变电站中。在技术术语中，这种自动化设备通常也被称为所谓的“IED”(Intelligent Electronic Device，智能电子设备)。在此，自动化设备与通信网络连接并且通过该通信网络交换数据报文，该数据报文例如包括控制命令、关于事件的消息(例如阈值违反)、测量值或状态消息作为有效数据。

通常，自动化系统是安全关键的系统，必须保护其免受未经授权的干预和操纵。因此，在这种自动化系统的通信网络中，通常仅允许之前已经通过注册的节点彼此交换数据，在该注册中一方面确定其身份，并且另一方面确定其权限，在通信网络中交换数据的权限由上级机构确定。该过程也被称为“认证”。

已知不同的方法：怎样能够进行对通信网络中的节点的认证。因此，IEEE 802.1X标准定义了一种认证协议，利用该认证协议可以确保，只有授权的节点才可以通过接入点、如以太网网桥的启用的通信端口(“access ports，接入端口”)访问通信网络(例如访问LAN)。这种基于端口的、根据IEEE802.1X的认证通常应用于信息技术(IT)通信网络中。在运行技术(operation technology，OT)的范围内也发生使用，但是由于特定的特性，该方法在此有时达到其极限，如后面详细解释的那样。