WO2004029783A2 - Method and device for control of access to data - Google Patents

Method and device for control of access to data Download PDF

Info

Publication number
WO2004029783A2
WO2004029783A2 PCT/DE2003/002979 DE0302979W WO2004029783A2 WO 2004029783 A2 WO2004029783 A2 WO 2004029783A2 DE 0302979 W DE0302979 W DE 0302979W WO 2004029783 A2 WO2004029783 A2 WO 2004029783A2
Authority
WO
WIPO (PCT)
Prior art keywords
data
access
processing
user
level
Prior art date
Application number
PCT/DE2003/002979
Other languages
German (de)
French (fr)
Other versions
WO2004029783A3 (en
Inventor
Arno SCHÖNHALS
Lothar Trapp
Harald Herberth
Harald Hammon
Roland Heymann
Siegfried Richter
Walter Grube
Werner Becherer
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2004029783A2 publication Critical patent/WO2004029783A2/en
Publication of WO2004029783A3 publication Critical patent/WO2004029783A3/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/101Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
    • G06F21/1012Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to domains
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6236Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Definitions

  • the invention relates to a method and a device for controlling access (also called access control) to data of a local and / or a data processing unit belonging to a networked data processing system, which is used by several user units.
  • Different user access rights to the data are usually assigned to a user for processing and for calling up data from an individual data processing unit or a data processing unit in a networked data processing system.
  • Access of an engineer or user to the entire data system are by means of access rights in the form of user IDs, e.g. by password, the data restricted by the user, e.g. read only, or unlimited, e.g. Both read and write rights can be used to prevent unauthorized deletion, modification, reading and / or copying of the data.
  • the data e.g. Programs, files, databases, assigned to different processing levels, which in turn can lead to different access rights for one and the same user.
  • Processing levels are understood to mean, for example, the so-called operating system level and / or the user or application level.
  • the processing levels are defined as so-called objects, which in turn can include system and user programs and / or a data volume of a subsystem.
  • the invention is therefore based on the object of specifying a method for controlling access to data of a local and / or a data processing unit associated with a networked data processing system, which is used by a plurality of user units, in which access control is carried out particularly simply and as securely as possible. Furthermore, a particularly suitable device for controlling access to data of a data processing unit is to be specified.
  • the first-mentioned object is achieved according to the invention in that, in a method for controlling access to data of a local and / or a data processing unit belonging to a networked data processing system and which is used by several user units, the data are assigned to different processing levels, the data belonging to user-specific and / or level-specific access rights are stored in an access platform common to all processing levels, and the respective user unit accessing data in one of the processing levels based on the access platform that affects the the underlying access right is assigned to the relevant data.
  • the invention is based on the consideration that a plurality of access rights for one and / or several processing levels should be combined instead of a separate assignment for the most secure and particularly simple access control.
  • Access control should be both level-independent and cross-level.
  • an access platform common to all processing levels is set up, on the basis of which the data of the relevant processing level with the access rights on which it is based are called up when a user unit is requested.
  • the access platform is stored in one of the processing levels so that a simple assignment of access rights can be carried out regardless of the level.
  • the access platform also called role or role register, can be located on a central processing level, e.g. at an operating system level, or at a user-specific processing level, e.g. a plant level, an automation level and / or an application level.
  • the access rights associated with one of the processing levels are expediently controlled by another processing level by means of the access platform. In addition to the level-independent assignment of the access rights, this also enables a cross-level assignment of the access rights.
  • the access rights of the associated and / or other processing levels can be changed, deleted, copied and / or activated using the access platforms.
  • the respective processing level is preferably given different access rights by means of the access platform assigned. In this way, for example, when several user units simultaneously access one and the same data, one user unit is assigned write and read rights and the other user unit only one read right.
  • the second object is achieved according to the invention in a device for controlling access to data of a local and / or a data processing unit belonging to a networked data processing system and which is used by several user units, in that the data are assigned to different processing levels, one being common to all processing levels
  • Access platform is provided for storing user-specific and / or level-specific access rights associated with the data, and the access platform is provided when the respective user unit accesses data in one of the processing levels for assigning the access right on which the relevant data are based to the relevant user unit.
  • various data representing the respective processing level and / or rights for one and the same user can be assigned.
  • one of the processing levels is designed as an operating system.
  • one of the other processing levels is advantageously designed as a user system.
  • the user system is understood to be the subsystems, automation levels, which characterize them and which are generally also referred to as objects.
  • the access platform common to all processing levels is expediently stored in one of the processing levels.
  • the handle platform stored in the operating system.
  • the access platform can be stored at the user level, for example a project or plant level. The structure of the access or access rights is saved according to the structure of the project data and thus remains in the
  • Get project context This makes it possible to maintain the structure of the access rights and thus reusability, particularly in the case of cross-project and thus cross-level data exchange, which significantly reduces the time and administration effort.
  • n number of user units
  • the user unit requesting in each case can log on to another processing level independently of one of the processing levels assigned to them, so that an access right on which the requested data is based, for example only write or write and read rights, is assigned to the user unit.
  • Such an abstract or virtual access platform for a large number of different systems, for example automation systems, partial systems, in a technical system allows the access rights to be controlled, monitored and maintained independently of the system and system, ie without knowledge of the structure and / or objects of the system , Furthermore, such a system-independent access control leads to particularly little effort when converting access rights from one system to another system. Furthermore, in the case of changing user units, the access rights can be updated quickly and easily due to the centrally formed common access platform.
  • FIG. 1 shows schematically a data processing system with several data processing units connected via a data transmission unit
  • FIG. 2 shows schematically an access platform for access control of user units to data of at least one of the data processing units
  • FIGS. 3 and 4 schematically show possible embodiments for an access platform.
  • FIG. 1 shows a data processing system 1 with a plurality of data processing units 4a to 4c, connected via at least one data transmission unit 2, of a technical system 6, e.g. a chemical plant or a power plant.
  • a technical system 6 e.g. a chemical plant or a power plant.
  • the data processing system 1 is, for example, a programmable logic controller or an automation system which, for the control and / or regulation of the technical system 6, comprises automation units in which, on the one hand, measured values MW and message signals MS are preprocessed and converted into process signals PS.
  • control signals SI are sent to components K, e.g. Drives, motors, valves, the technical system 6 delivered.
  • the system 6 is divided into system parts AI to An, which in turn are associated with data processing units 4a.
  • the division of the system 6 and the associated data processing units 4 into the system parts AI to An is exemplified in FIG. 1 by containers.
  • the data processing system 1 has corresponding data processing units for process control and process monitoring 4b, which are shown in FIG. 1 as personal computers. Likewise, the data processing system 1 has an associated data processing unit 4c for the project planning and construction of the technical system 6. Due to the different requirements resulting from the respective function of the data processing unit 4a to 4c, the different data processing units 4a to 4c have different processing levels Vm. Processing levels Vm are understood to mean, for example, an operating system level V8, the system parts AI to An, user level V10, for example an application level.
  • An access platform 12 common to all processing levels Vm, as shown in FIG. 2, is provided for processing and calling up data D of the different processing levels Vm of one of the data processing units 4a to 4c.
  • the data processing units 4a to 4c shown in FIG. 1 can be used by several user units Bn. Depending on the type of user unit Bn, it can be a single user B or a user group BG composed of several users B.
  • the data D are user or utility programs, files, databases, individual signals, for example process signals PS or the like.
  • Each of the processing levels VI to Vm can be determined on the one hand by the data D representing them and on the other hand by the plant parts AI to An representing them. Furthermore, the respective processing level VI to Vm is determined by these assigned access rights Z.
  • access platform 12 For simple access control of a requesting user unit Bn, user-specific and / or level-specific access rights Znm associated with the data D are stored in the access platform 12 common to all processing levels Vm, also called a role or role register.
  • the access platform 12 can be stored in one of the processing levels Vm.
  • the access platform 12 in one of the data processing units 4b or 4c can be stored and can be stored either in the engineering environment or in the process monitoring environment.
  • FIGS. 3 and 4 show different embodiments for the access platform 12 common to all processing levels VI to Vm for several user units B1 to Bn. The operation of the data processing system 1 is explained in more detail below with reference to FIGS. 3 and 4.
  • an access right Z77 or Z78 on which the requested data D is based is assigned to the user unit B7 by means of the access platform 12 on the basis of the user-specific and / or level-specific access rights Znm stored there. That Regardless of the data processing unit 4a to 4c used, the associated access right Z77 and / or Z78 is assigned to the user unit B7 by means of the access platform 12 in the form of a so-called role.
  • the user unit B7 defined as a maintenance technician can thus archive process data and / or exchange hardware in accordance with the assigned access rights Z77 and / or Z78.
  • the user unit B7 can do this from any processing level VI to Vm, i.e.
  • the processing level VI for example one of the data processing units 4a or 4b, is assigned both a write right w and a read right r for one of the user units B1, for example all maintenance engineers of the north installation, combined in a user group BG.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)

Abstract

According to the invention, for a simple and secure access control in a method for control of access to data (D), a data processing unit (4) is locally provided and/or belonging to a networked data processing system (1), which is used by several user units (B1 to Bn), whereby the data (D) is allocated to different processing levels (V1 to Vm). The data (D) is provided with corresponding user-specific and/or level-specific access rights (Znm) in an access platform (12), common to all processing levels (V1 to Vm), whereby each user unit (B1 to Bn) is provided with an access authorisation (Znm) for the relevant data (D) by the access platform (12), on accessing data (D) of one of the processing levels (V1 to Vm).

Description

Beschreibungdescription
Verfahren und Vorrichtung zur Steuerung von Zugriffen auf DatenMethod and device for controlling access to data
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Steuerung von Zugriffen (auch Zugriffskontrolle genannt) auf Daten einer lokalen und/oder einer einem vernetzten Datenverarbeitungssystem zugehörigen Datenverarbeitungseinheit, die von mehreren Benutzereinheiten genutzt wird.The invention relates to a method and a device for controlling access (also called access control) to data of a local and / or a data processing unit belonging to a networked data processing system, which is used by several user units.
Zur Bearbeitung und zum Aufruf von Daten einer einzelnen Datenverarbeitungseinheit oder einer Datenverarbeitungseinheit in einem vernetzten Datenverarbeitungssystem werden üblicher- weise einem Benutzer unterschiedliche Zugriffsrechte auf die Daten zugeordnet. Insbesondere zur Vermeidung von Sicherheitsrisiken, z.B. Zugriff eines Bearbeiters oder Benutzers auf das gesamte Datensystem, sind mittels der Zugriffsrechte in Form von Benutzerkennungen, z.B. durch Passwort, die Daten vom Benutzer eingeschränkt, z.B. nur Leserechte, oder uneingeschränkt, z.B. sowohl Lese- als auch Schreibrechte, nutzbar, um so ein unerlaubtes Löschen, Verändern, Lesen und/oder Kopieren der Daten zu verhindern. Daneben sind die Daten, z.B. Programme, Dateien, Datenbanken, verschiedenen Verarbei- tungsebenen zugeordnet, die wiederum für ein- und denselben Benutzer zu unterschiedlichen Zugriffsrechten führen können. Unter Verarbeitungsebenen wird beispielsweise die sogenannte Betriebssystemebene und/oder die Anwender- oder Applikationsebene verstanden. In einem als Automatisierungssystem oder als Automatisierungseinheit für eine technische Anlage ausgebildeten Datenverarbeitungssystem sind die Verarbeitungsebenen als sogenannte Objekte definiert, die wiederum System- und Anwenderprogramme und/oder eine Datenmenge einer Teilanlage umfassen können.Different user access rights to the data are usually assigned to a user for processing and for calling up data from an individual data processing unit or a data processing unit in a networked data processing system. In particular to avoid security risks, e.g. Access of an engineer or user to the entire data system are by means of access rights in the form of user IDs, e.g. by password, the data restricted by the user, e.g. read only, or unlimited, e.g. Both read and write rights can be used to prevent unauthorized deletion, modification, reading and / or copying of the data. In addition, the data, e.g. Programs, files, databases, assigned to different processing levels, which in turn can lead to different access rights for one and the same user. Processing levels are understood to mean, for example, the so-called operating system level and / or the user or application level. In a data processing system designed as an automation system or as an automation unit for a technical system, the processing levels are defined as so-called objects, which in turn can include system and user programs and / or a data volume of a subsystem.
Die Zugriffsrechte werden dabei üblicherweise getrennt und somit separat in der jeweiligen Verarbeitungsebene struktu- riert, archiviert und verarbeitet. Dies hat den Nachteil, dass bei einem derartig getrennten Verfahren zur Zuordnung der Zugriffsrechte immer noch mehrere Personen, z.B. mehrere Systemadministratoren (= einer für das Betriebssystem und ein anderer für eine Applikation) oder mehrere Wartungsingenieure (= einer für die eine Teilanlage und ein anderer für die andere Teilanlage) die Zugriffsrechte für die jeweilige Anwendung setzen können und somit ein Sicherheitsrisiko darstellen können. Daneben kommt es aufgrund einer daraus resultierenden Vielzahl von einzelnen Zuordnungen von Rechten und Objekten zu den Benutzereinheiten, wobei diese wiederum einen einzelnen Nutzer oder mehrere zu einer Benutzergruppe zusammenge- fasste Nutzer sein können, zu einer besonders zeit- und kostenintensiven Wartung und Kontrolle der Zugriffsrechte.The access rights are usually separated and thus structured separately in the respective processing level. archived, archived and processed. This has the disadvantage that with such a separate method for assigning access rights, there are still several people, for example several system administrators (= one for the operating system and another for an application) or several maintenance engineers (= one for one subsystem and another for the other subsystem) can set the access rights for the respective application and can therefore pose a security risk. In addition, due to the resulting large number of individual assignments of rights and objects to the user units, which in turn can be a single user or several users combined to form a user group, maintenance and control of access rights is particularly time-consuming and cost-intensive.
Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zur Steuerung von Zugriffen auf Daten einer lokalen und/oder einer einem vernetzten Datenverarbeitungssystem zugehörigen Datenverarbeitungseinheit, die von mehreren Benutzereinheiten genutzt wird, anzugeben, bei dem eine Zugriffskontrolle besonders einfach und möglichst sicher ausgeführt wird. Des Weiteren ist eine besonders geeignete Vorrichtung zur Steuerung von Zugriffen auf Daten einer Datenverarbeitungseinheit anzugeben.The invention is therefore based on the object of specifying a method for controlling access to data of a local and / or a data processing unit associated with a networked data processing system, which is used by a plurality of user units, in which access control is carried out particularly simply and as securely as possible. Furthermore, a particularly suitable device for controlling access to data of a data processing unit is to be specified.
Die erstgenannte Aufgabe wird erfindungsgemäß dadurch gelöst, dass bei einem Verfahren zur Steuerung von Zugriffen auf Daten einer lokalen und/oder einer einem vernetzten Datenverarbeitungssystem zugehörigen Datenverarbeitungseinheit, die von mehreren Benutzereinheiten genutzt wird, die Daten verschiedenen Verarbeitungsebenen zugeordnet sind, wobei den Daten zugehörige benutzerspezifische und/oder ebenenspezifische Zugriffsrechte in einer allen Verarbeitungsebenen gemeinsamen Zugriffsplattform hinterlegt werden, und wobei der jeweiligen Benutzereinheit bei deren Zugriff auf Daten einer der Verarbeitungsebenen anhand der Zugriffsplattform das den betref- fenden Daten zugrunde liegende Zugriffsrecht zugeordnet wird.The first-mentioned object is achieved according to the invention in that, in a method for controlling access to data of a local and / or a data processing unit belonging to a networked data processing system and which is used by several user units, the data are assigned to different processing levels, the data belonging to user-specific and / or level-specific access rights are stored in an access platform common to all processing levels, and the respective user unit accessing data in one of the processing levels based on the access platform that affects the the underlying access right is assigned to the relevant data.
Die Erfindung geht dabei von der Überlegung aus, dass für eine möglichst sichere und besonders einfache Zugriffskontrolle von einer Vielzahl von Zugriffsrechten für eine und/oder mehrere Verarbeitungsebenen anstelle einer separaten Zuordnung mehrere Zugriffsrechte zusammengefasst werden sollten. Dabei sollte sowohl eine ebenenunabhängige als auch ebenenübergreifende Zugriffskontrolle ermöglicht sein. Hierzu wird eine allen Verarbeitungsebenen gemeinsame Zugriffsplattform eingerichtet, anhand welcher bei einer Anforderung einer Benutzereinheit die Daten der betreffenden Verarbeitungsebene mit den diesen zugrunde liegenden Zugriffsrechten aufgerufen werden.The invention is based on the consideration that a plurality of access rights for one and / or several processing levels should be combined instead of a separate assignment for the most secure and particularly simple access control. Access control should be both level-independent and cross-level. For this purpose, an access platform common to all processing levels is set up, on the basis of which the data of the relevant processing level with the access rights on which it is based are called up when a user unit is requested.
Damit ebenenunabhängig eine einfache Zuordnung von Zugriffsrechten ausgeführt werden kann, wird die Zugriffsplattform in einer der Verarbeitungsebenen hinterlegt. Je nach Vorgabe und/oder Systemauslegung kann die Zugriffsplattform, auch Rolle oder Rollenregister genannt, auf einer zentralen Verar- beitungsebene, z.B. einer Betriebssystemebene, oder auf einer anwenderspezifischen Verarbeitungsebene, z.B. einer Anlagenebene, einer Automatisierungsebene und/oder einer Applikationsebene, hinterlegt werden. Zweckmäßigerweise werden die einer der Verarbeitungsebenen zugehörigen Zugriffsrechte von einer anderen Verarbeitungsebene mittels der Zugriffsplattform gesteuert. Hierdurch ist ergänzend zur ebenenunabhängigen Zuordnung der Zugriffsrechte auch eine ebenenübergreifende Zuordnung der Zugriffsrechte ermöglicht. Dabei können mittels der Zugriffsplattformen die Zugriffsrechte der jeweils zugehörigen und/oder der anderen Verarbeitungsebenen geändert, gelöscht, kopiert und/oder aktiviert werden.The access platform is stored in one of the processing levels so that a simple assignment of access rights can be carried out regardless of the level. Depending on the specification and / or system design, the access platform, also called role or role register, can be located on a central processing level, e.g. at an operating system level, or at a user-specific processing level, e.g. a plant level, an automation level and / or an application level. The access rights associated with one of the processing levels are expediently controlled by another processing level by means of the access platform. In addition to the level-independent assignment of the access rights, this also enables a cross-level assignment of the access rights. The access rights of the associated and / or other processing levels can be changed, deleted, copied and / or activated using the access platforms.
Um beispielsweise bei einer Datenanforderung durch mehrere Benutzereinheiten einen differenzierten Zugriff auf die der jeweiligen Verarbeitungsebene zugehörigen Daten zu ermöglichen, werden der jeweiligen Verarbeitungsebene vorzugsweise unterschiedliche Zugriffsrechte mittels der Zugriffsplattform zugeordnet. Hierdurch wird beispielsweise bei einem gleichzeitigen Zugriff von mehreren Benutzereinheiten auf ein- und dieselben Daten der einen Benutzereinheit ein Schreib- und Leserecht und der anderen Benutzereinheit nur ein Leserecht zugeordnet .In order, for example, to enable differentiated access to the data belonging to the respective processing level in the event of a data request by several user units, the respective processing level is preferably given different access rights by means of the access platform assigned. In this way, for example, when several user units simultaneously access one and the same data, one user unit is assigned write and read rights and the other user unit only one read right.
Die zweitgenannte Aufgabe wird erfindungsgemäß bei einer Vorrichtung zur Steuerung von Zugriffen auf Daten einer lokalen und/oder einer einem vernetzten Datenverarbeitungssystem zu- gehörigen Datenverarbeitungseinheit, die von mehreren Benutzereinheiten genutzt wird, gelöst, indem die Daten verschiedenen Verarbeitungsebenen zugeordnet sind, wobei eine allen Verarbeitungsebenen gemeinsame Zugriffsplattform zur Hinterlegung von den Daten zugehörigen benutzerspezifischen und/oder ebenenspezifischen Zugriffsrechte vorgesehen ist, und die Zugriffsplattform bei einem Zugriff der jeweiligen Benutzereinheit auf Daten einer der Verarbeitungsebenen zur Zuordnung des den betreffenden Daten zugrunde liegenden Zugriffsrechts an die betreffende Benutzereinheit vorgesehen ist. Mit anderen Worten: Mittels der gemeinsamen Zugriffsplattform für verschiedene Verarbeitungsebenen, z.B. Anlagen-, Automatisierungs- , Dienst- und/oder Anwenderebenen für Dienst- bzw. Anwenderprogramme, können verschiedene die jeweilige Verarbeitungsebene repräsentierende Daten und/oder Rechte für ein- und denselben Benutzer zugeordnet sein.The second object is achieved according to the invention in a device for controlling access to data of a local and / or a data processing unit belonging to a networked data processing system and which is used by several user units, in that the data are assigned to different processing levels, one being common to all processing levels Access platform is provided for storing user-specific and / or level-specific access rights associated with the data, and the access platform is provided when the respective user unit accesses data in one of the processing levels for assigning the access right on which the relevant data are based to the relevant user unit. In other words: by means of the common access platform for different processing levels, e.g. Plant, automation, service and / or user levels for service or user programs, various data representing the respective processing level and / or rights for one and the same user can be assigned.
In einer bevorzugten Ausführungsform ist eine der Verarbeitungsebenen als Betriebssystem ausgebildet. Zusätzlich ist vorteilhafterweise eine der anderen Verarbeitungsebenen als Anwendersystem ausgebildet. Als Anwendersystem wird beispielsweise bei einer technischen Anlage die diese kennzeichnenden Teilanlagen, Automatisierungsebenen, verstanden, welche im allgemeinen auch als Objekte bezeichnet werden.In a preferred embodiment, one of the processing levels is designed as an operating system. In addition, one of the other processing levels is advantageously designed as a user system. In a technical system, for example, the user system is understood to be the subsystems, automation levels, which characterize them and which are generally also referred to as objects.
Je nach Art und Vorgabe ist die allen Verarbeitungsebenen gemeinsame Zugriffsplattform zweckmäßigerweise in einer der Verarbeitungsebenen hinterlegt. Beispielsweise ist die Zu- griffsplattform im Betriebssystem hinterlegt. Alternativ kann die Zugriffsplattform in der Anwenderebene, z.B. einer Projekt- oder Anlagenebene, hinterlegt sein. Hierbei wird die Struktur der Zugriffs- oder Zugriffsrechte entsprechend der Struktur der Projektdaten gespeichert und bleibt somit imDepending on the type and specification, the access platform common to all processing levels is expediently stored in one of the processing levels. For example, the handle platform stored in the operating system. Alternatively, the access platform can be stored at the user level, for example a project or plant level. The structure of the access or access rights is saved according to the structure of the project data and thus remains in the
Projektkontext erhalten. Dies ermöglicht insbesondere bei einem projektübergreifenden und somit auch ebenenübergreifenden Datenaustausch eine Beibehaltung der Struktur der Zugriffsrechte und somit eine Wiederverwendbarkeit, wodurch der Zeit- und Administrationsaufwand deutlich reduziert ist.Get project context. This makes it possible to maintain the structure of the access rights and thus reusability, particularly in the case of cross-project and thus cross-level data exchange, which significantly reduces the time and administration effort.
Die mit der Erfindung erzielten Vorteile bestehen insbesondere darin, dass durch eine allen Verarbeitungsebenen gemeinsamen Zugriffsplattform für einzelne oder mehrere zu einer Benutzergruppe zusammengefassten Benutzereinheiten eine Vielzahl von Zugriffsrechten in Form einer n * m-Zuordnung ermöglicht ist (mit n=Anzahl von Benutzereinheiten, m=Anzahl der Verarbeitungsebenen (=Anzahl von Objekten und/oder Anzahl von Rechten)). D.h. die jeweils anfordernde Benutzereinheit kann unabhängig von einer dieser zugeordneten Verarbeitungsebene in einer anderen Verarbeitungsebene sich mittels der gemeinsamen Zugriffsplattform anmelden, so dass ein den angeforderten Daten zugrunde liegendes Zugriffsrecht, z.B. nur Schreiboder Schreib- und Leserecht, der Benutzereinheit zugeordnet wird. Durch eine derartige abstrakte oder virtuelle Zugriffsplattform für eine Vielzahl von unterschiedlichen Systemen, z.B. Automatisierungssystemen, Teilanlagen, in einer technischen Anlage können die Zugriffsrechte system- und anlagenunabhängig, d.h. ohne Kenntnisse der Struktur und/oder der Objekte der Anlage, gesteuert, kontrolliert und gewartet werden. Des Weiteren führt eine derartige systemunabhängige Zugriffskontrolle zu einem besonders geringen Aufwand bei der Umsetzung von Zugriffsrechten eines Systems auf ein anderes System. Ferner ist bei wechselnden Benutzereinheiten aufgrund der zentral ausgebildeten gemeinsamen Zugriffsplattform eine schnelle und einfache Aktualisierung der Zugriffsrechte ermöglicht. Ausführungsbeispiele der Erfindung werden anhand einer Zeichnung näher erläutert. Darin zeigen:The advantages achieved by the invention consist in particular in that an access platform common to all processing levels for individual or multiple user units combined to form a user group enables a large number of access rights in the form of an n * m assignment (with n = number of user units, m = Number of processing levels (= number of objects and / or number of rights)). This means that the user unit requesting in each case can log on to another processing level independently of one of the processing levels assigned to them, so that an access right on which the requested data is based, for example only write or write and read rights, is assigned to the user unit. Such an abstract or virtual access platform for a large number of different systems, for example automation systems, partial systems, in a technical system allows the access rights to be controlled, monitored and maintained independently of the system and system, ie without knowledge of the structure and / or objects of the system , Furthermore, such a system-independent access control leads to particularly little effort when converting access rights from one system to another system. Furthermore, in the case of changing user units, the access rights can be updated quickly and easily due to the centrally formed common access platform. Embodiments of the invention are explained in more detail with reference to a drawing. In it show:
FIG 1 schematisch ein Datenverarbeitungssystem mit mehreren über eine Datenübertragungseinheit verbundenen Datenverarbeitungseinheiten, FIG 2 schematisch eine Zugriffsplattform zur Zugriffskontrolle von Benutzereinheiten auf Daten mindestens einer der Datenverarbeitungseinheiten, und FIG 3 und 4 schematisch mögliche Ausführungsformen für eine Zugriffsplattform.1 shows schematically a data processing system with several data processing units connected via a data transmission unit, FIG. 2 shows schematically an access platform for access control of user units to data of at least one of the data processing units, and FIGS. 3 and 4 schematically show possible embodiments for an access platform.
Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.Corresponding parts are provided with the same reference symbols in all figures.
Die Figur 1 zeigt ein Datenverarbeitungssystem 1 mit mehreren über mindestens eine Datenübertragungseinheit 2 verbundenen Datenverarbeitungseinheit 4a bis 4c einer technischen Anlage 6, z.B. einer Chemieanlage oder einer Kraftwerksanlage.1 shows a data processing system 1 with a plurality of data processing units 4a to 4c, connected via at least one data transmission unit 2, of a technical system 6, e.g. a chemical plant or a power plant.
Das Datenverarbeitungssystem 1 ist beispielsweise eine speicherprogrammierbare Steuerung oder ein Automatisierungssystem, welches zur Steuerung und/oder Regelung der technischen Anlage 6 Automatisierungseinheiten umfasst, in denen einer- seits Messwerte MW und Meldesignale MS vorverarbeitet und in Prozesssignale PS umgewandelt werden. Zu Steuerzwecken werden andererseits dort Steuersignale SI an Komponenten K, z.B. Antriebe, Motoren, Ventile, der technischen Anlage 6 abgegeben. Aufgrund der Komplexität derartiger technischer Anlagen 6 ist die Anlage 6 in Anlagenteile AI bis An unterteilt, denen wiederum betreffende Datenverarbeitungseinheiten 4a zugeordnet sind. Die Aufteilung der Anlage 6 und der zugehörigen Datenverarbeitungseinheiten 4 in die Anlagenteile AI bis An ist beispielhaft in der Figur 1 durch Container dargestellt.The data processing system 1 is, for example, a programmable logic controller or an automation system which, for the control and / or regulation of the technical system 6, comprises automation units in which, on the one hand, measured values MW and message signals MS are preprocessed and converted into process signals PS. For control purposes, on the other hand, control signals SI are sent to components K, e.g. Drives, motors, valves, the technical system 6 delivered. Due to the complexity of such technical systems 6, the system 6 is divided into system parts AI to An, which in turn are associated with data processing units 4a. The division of the system 6 and the associated data processing units 4 into the system parts AI to An is exemplified in FIG. 1 by containers.
Zur Prozessführung und Prozessüberwachung weist das Datenverarbeitungssystem 1 entsprechende Datenverarbeitungseinheiten 4b auf, welche in der Figur 1 als Personalcomputer abgebildet sind. Ebenso weist das Datenverarbeitungssystem 1 zur Projektierung und Konstruktion der technischen Anlage 6 eine zugehörige Datenverarbeitungseinheit 4c auf. Bedingt durch die aus der jeweiligen Funktion der Datenverarbeitungseinheit 4a bis 4c resultierenden unterschiedlichen Anforderungen weisen die verschiedenen Datenverarbeitungseinheiten 4a bis 4c verschiedene Verarbeitungsebenen Vm auf. Unter Verarbeitungsebenen Vm werden beispielsweise eine Betriebssystemebene V8, die Anlagenteile AI bis An, Anwenderebene V10, z.B. eine Applikationsebene, verstanden.The data processing system 1 has corresponding data processing units for process control and process monitoring 4b, which are shown in FIG. 1 as personal computers. Likewise, the data processing system 1 has an associated data processing unit 4c for the project planning and construction of the technical system 6. Due to the different requirements resulting from the respective function of the data processing unit 4a to 4c, the different data processing units 4a to 4c have different processing levels Vm. Processing levels Vm are understood to mean, for example, an operating system level V8, the system parts AI to An, user level V10, for example an application level.
Zur Bearbeitung und zum Aufruf von Daten D der verschiedenen Verarbeitungsebenen Vm einer der Datenverarbeitungseinheiten 4a bis 4c ist eine allen Verarbeitungsebenen Vm gemeinsame Zugriffsplattform 12, wie sie in Figur 2 dargestellt ist, vorgesehen. Dabei können die in Figur 1 dargestellten Datenverarbeitungseinheiten 4a bis 4c durch mehrere Benutzereinheiten Bn genutzt werden. Je nach Art der Benutzereinheit Bn kann es sich um einen einzelnen Benutzer B oder um eine aus mehreren Benutzern B zusammengefasste Benutzergruppe BG handeln. Bei den Daten D handelt es sich um Anwender- oder Dienstprogramme, Dateien, Datenbanken, einzelne Signale, z.B. Prozesssignale PS oder ähnliches. Dabei kann jede der Verar- beitungsebenen VI bis Vm zum einen durch die diese repräsentierenden Daten D und zum anderen durch die diese repräsentierenden Anlagenteile AI bis An bestimmt sein. Des Weiteren ist die jeweilige Verarbeitungsebene VI bis Vm durch diese zugeordneten Zugriffsrechte Z bestimmt. Für eine einfache Zu- griffskontrolle einer anfordernden Benutzereinheit Bn werden in der allen Verarbeitungsebenen Vm gemeinsamen Zugriffsplattform 12, auch Rolle oder Rollenregister genannt, den Daten D zugehörige benutzerspezifischen und/oder ebenenspezifische Zugriffsrechte Znm hinterlegt. Je nach Art und Aufbau des Datenverarbeitungssystems 1 kann die Zugriffsplattform 12 in einer der Verarbeitungsebenen Vm hinterlegt sein. Beispielsweise kann die Zugriffsplattform 12 in einer der Datenverarbeitungseinheiten 4b oder 4c hinterlegt sein und d.h. entweder in der Engineering-Umgebung oder in der Prozessüberwachungsumgebung hinterlegt sein.An access platform 12 common to all processing levels Vm, as shown in FIG. 2, is provided for processing and calling up data D of the different processing levels Vm of one of the data processing units 4a to 4c. The data processing units 4a to 4c shown in FIG. 1 can be used by several user units Bn. Depending on the type of user unit Bn, it can be a single user B or a user group BG composed of several users B. The data D are user or utility programs, files, databases, individual signals, for example process signals PS or the like. Each of the processing levels VI to Vm can be determined on the one hand by the data D representing them and on the other hand by the plant parts AI to An representing them. Furthermore, the respective processing level VI to Vm is determined by these assigned access rights Z. For simple access control of a requesting user unit Bn, user-specific and / or level-specific access rights Znm associated with the data D are stored in the access platform 12 common to all processing levels Vm, also called a role or role register. Depending on the type and structure of the data processing system 1, the access platform 12 can be stored in one of the processing levels Vm. For example, the access platform 12 in one of the data processing units 4b or 4c can be stored and can be stored either in the engineering environment or in the process monitoring environment.
In den Figuren 3 und 4 sind verschiedene Ausführungsformen für die allen Verarbeitungsebenen VI bis Vm gemeinsame Zugriffsplattform 12 für mehrere Benutzereinheiten Bl bis Bn dargestellt. Anhand der Figuren 3 und 4 wird nachfolgend der Betrieb des Datenverarbeitungssystems 1 näher erläutert.FIGS. 3 and 4 show different embodiments for the access platform 12 common to all processing levels VI to Vm for several user units B1 to Bn. The operation of the data processing system 1 is explained in more detail below with reference to FIGS. 3 and 4.
Bei einer Anforderung einer der Benutzereinheiten B7, z.B. eines Wartungstechnikers, an einer der Datenverarbeitungseinheiten 4a bis 4c zum Zugriff auf Daten D wird mittels der Zugriffsplattform 12 anhand der dort hinterlegten benutzerspe- zifischen und/oder ebenenspezifischen Zugriffsrechte Znm ein den angeforderten Daten D zugrundeliegendes Zugriffsrecht Z77 oder Z78 der Benutzereinheit B7 zugeordnet. D.h. unabhängig von der verwendeten Datenverarbeitungseinheit 4a bis 4c wird der Benutzereinheit B7 mittels der Zugriffsplattform 12 in Form einer sogenannten Rolle das zugehörige Zugriffsrecht Z77 und/oder Z78 zugeordnet. Somit kann die als Wartungstechniker definierte Benutzereinheit B7 gemäß den zugeordneten Zugriffsrechten Z77 und/oder Z78 Prozessdaten archivieren und/oder Hardware austauschen. Dabei kann die Benutzereinheit B7 dies von jeder beliebigen Verarbeitungsebene VI bis Vm ausführen, d.h. der Wartungstechniker kann beispielsweise von der Betriebssystemebene V8 Zugriff auf die Daten D repräsentierenden Prozesssignale PS der Anwenderebene V10 (= eine mögliche Engineeringebene) haben, wenn ihm dieses Recht zuge- wiesen ist, wohingegen ein Zugriff auf die Daten D der Betriebsebene V8 mittels der Zuordnung der Zugriffsrechte Znm der Zugriffsplattform 12 gesperrt ist.Upon request from one of the user units B7, e.g. a maintenance technician, on one of the data processing units 4a to 4c for accessing data D, an access right Z77 or Z78 on which the requested data D is based is assigned to the user unit B7 by means of the access platform 12 on the basis of the user-specific and / or level-specific access rights Znm stored there. That Regardless of the data processing unit 4a to 4c used, the associated access right Z77 and / or Z78 is assigned to the user unit B7 by means of the access platform 12 in the form of a so-called role. The user unit B7 defined as a maintenance technician can thus archive process data and / or exchange hardware in accordance with the assigned access rights Z77 and / or Z78. The user unit B7 can do this from any processing level VI to Vm, i.e. The maintenance technician can, for example, have access to the process signals PS representing the data D of the user level V10 (= a possible engineering level) from the operating system level V8, if this right has been assigned to him, whereas access to the data D of the operating level V8 by means of the assignment of the Access rights Znm of the access platform 12 is blocked.
Ergänzend zu den Zugriffsrechten Znm der Benutzereinheit Bn auf eine der Verarbeitungsebenen Vm können der jeweiligen Verarbeitungsebene VI bis Vm mehrere Zugriffsrechte Z zugeordnet sein. Dies ist beispielhaft in der Figur 4 darge- stellt. Dabei wird der Verarbeitungsebene VI, z.B. einer der Datenverarbeitungseinheiten 4a oder 4b, für eine der Benutzereinheiten Bl, z.B. alle in einer Benutzergruppe BG zusam- mengefassten Wartungsingenieure der Anlage Nord, als Zugriffsrechte Znm sowohl ein Schreibrecht w als auch ein Leserecht r zugeordnet . In addition to the access rights Znm of the user unit Bn to one of the processing levels Vm, several access rights Z can be assigned to the respective processing level VI to Vm. This is exemplified in FIG. provides. In this case, the processing level VI, for example one of the data processing units 4a or 4b, is assigned both a write right w and a read right r for one of the user units B1, for example all maintenance engineers of the north installation, combined in a user group BG.

Claims

Patentansprüche claims
1. Verfahren zur Steuerung von Zugriffen auf Daten (D) einer lokalen und/oder einer einem vernetzten Datenverarbei- tungssystem (1) zugehörigen Datenverarbeitungseinheit (4), die von mehreren Benutzereinheiten (Bl bis Bn) genutzt wird, bei dem die Daten (D) verschiedenen Verarbeitungsebenen (VI bis Vm) zugeordnet sind, wobei den Daten (D) zugehörige benutzerspezifische und/oder ebenenspezifische Zugriffsrechte (Znm) in einer allen Verarbeitungsebenen1. Method for controlling access to data (D) of a local and / or a data processing unit (4) belonging to a networked data processing system (1), which is used by several user units (Bl to Bn), in which the data (D ) are assigned to different processing levels (VI to Vm), the user-specific and / or level-specific access rights (Znm) associated with the data (D) in all processing levels
(VI bis Vm) gemeinsamen Zugriffsplattform (12) hinterlegt werden, und wobei der jeweiligen Benutzereinheit (Bl bis Bn) bei deren Zugriff auf Daten (D) einer der Verarbeitungsebenen (VI bis Vm) anhand der Zugriffsplattform (12) das den betreffenden Daten (D) zugrunde liegende Zugriffsrecht (Znm) zugeordnet wird.(VI to Vm) common access platform (12) are stored, and the respective user unit (Bl to Bn) when accessing data (D) one of the processing levels (VI to Vm) using the access platform (12) that the relevant data ( D) underlying access right (Znm) is assigned.
2. Verfahren nach Anspruch 1, bei dem die Zugriffsplattform2. The method of claim 1, wherein the access platform
(12) in einer der Verarbeitungsebenen (VI bis Vm) hinter- legt wird.(12) is deposited in one of the processing levels (VI to Vm).
3. Verfahren nach Anspruch 1 oder 2 , bei dem die einer der Verarbeitungsebenen (VI bis Vm) zugehörigen Zugriffsrechte3. The method according to claim 1 or 2, wherein the one of the processing levels (VI to Vm) associated access rights
(Znm) von einer anderen Verarbeitungsebene (VI bis Vm) mittels der Zugriffsplattform (12) gesteuert werden.(Znm) can be controlled from another processing level (VI to Vm) by means of the access platform (12).
4. Verfahren nach einem der Ansprüche 1 bis 3, bei dem der jeweiligen Verarbeitungsebene (VI bis Vm) unterschiedliche Zugriffsrechte (Znm) mittels der Zugriffsplattform (12) zugeordnet werden.4. The method according to any one of claims 1 to 3, in which the respective processing level (VI to Vm) different access rights (Znm) are assigned by means of the access platform (12).
5. Vorrichtung zur Steuerung von Zugriffen auf Daten (D) einer lokalen und/oder einer einem vernetzten Datenverarbeitungssystem (1) zugehörigen Datenverarbeitungseinheit (4a bis 4c) , die von mehreren Benutzereinheiten (Bl bis Bn) genutzt wird, bei dem die Daten (D) verschiedenen Verarbeitungsebenen (VI bis Vm) zugeordnet sind, wobei eine al- len Verarbeitungsebenen (VI bis Vm) gemeinsame Zugriffsplattform (12) zur Hinterlegung von den Daten (D) zugehörigen benutzerspezifischen und/oder ebenenspezifischen Zugriffsrechte (Znm) vorgesehen ist, und die Zu- griffsplattform (12) bei einem Zugriff der jeweiligen Benutzereinheit (Bl bis Bn) auf Daten (D) einer der Verarbeitungsebenen (VI bis Vm) zur Zuordnung des den betreffenden Daten (D) zugrunde liegenden Zugriffsrechts (Znm) an die betreffende Benutzereinheit (Bl bis Bn) vorgesehen ist.5. Device for controlling access to data (D) of a local and / or a networked data processing system (1) associated data processing unit (4a to 4c), which is used by several user units (Bl to Bn), in which the data (D ) are assigned to different processing levels (VI to Vm), whereby an len processing levels (VI to Vm) common access platform (12) for storing user-specific and / or level-specific access rights (Znm) associated with the data (D) is provided, and the access platform (12) when the respective user unit (Bl to Bn) on data (D) of one of the processing levels (VI to Vm) for assigning the access right (Znm) on which the relevant data (D) is based to the relevant user unit (B1 to Bn) is provided.
6. Vorrichtung nach Anspruch 5, bei der eine der Verarbeitungsebenen (VI bis Vm) als Betriebssystem (V8) ausgebildet ist.6. The device according to claim 5, wherein one of the processing levels (VI to Vm) is designed as an operating system (V8).
7. Vorrichtung nach Anspruch 5 oder 6, bei der eine der Verarbeitungsebenen (VI bis Vm) als AnwenderSystem (V10) ausgebildet ist.7. The device according to claim 5 or 6, wherein one of the processing levels (VI to Vm) is designed as a user system (V10).
8. Vorrichtung nach einem der Ansprüche 5 bis 7, bei der die Zugriffsplattform (12) in einer der Verarbeitungsebenen (VI bis Vm) hinterlegt ist. 8. Device according to one of claims 5 to 7, wherein the access platform (12) is stored in one of the processing levels (VI to Vm).
PCT/DE2003/002979 2002-09-20 2003-09-08 Method and device for control of access to data WO2004029783A2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10243774.2 2002-09-20
DE10243774A DE10243774A1 (en) 2002-09-20 2002-09-20 Data access control procedure e.g. for local and networked data processing systems, requires filing right-of-data access in an access platform common to all processing planes

Publications (2)

Publication Number Publication Date
WO2004029783A2 true WO2004029783A2 (en) 2004-04-08
WO2004029783A3 WO2004029783A3 (en) 2004-06-24

Family

ID=31896231

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2003/002979 WO2004029783A2 (en) 2002-09-20 2003-09-08 Method and device for control of access to data

Country Status (2)

Country Link
DE (1) DE10243774A1 (en)
WO (1) WO2004029783A2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0697662A1 (en) * 1994-08-15 1996-02-21 International Business Machines Corporation Method and system for advanced role-based access control in distributed and centralized computer systems
US5761669A (en) * 1995-06-06 1998-06-02 Microsoft Corporation Controlling access to objects on multiple operating systems
EP1124172A2 (en) * 2000-02-07 2001-08-16 Emc Corporation Controlling access to a storage device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0697662A1 (en) * 1994-08-15 1996-02-21 International Business Machines Corporation Method and system for advanced role-based access control in distributed and centralized computer systems
US5761669A (en) * 1995-06-06 1998-06-02 Microsoft Corporation Controlling access to objects on multiple operating systems
EP1124172A2 (en) * 2000-02-07 2001-08-16 Emc Corporation Controlling access to a storage device

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
SANDHU R S ET AL: "ACCESS CONTROL: PRINCIPLES AND PRACTICE" IEEE COMMUNICATIONS MAGAZINE, IEEE SERVICE CENTER. PISCATAWAY, N.J, US, Bd. 32, Nr. 9, 1. September 1994 (1994-09-01), Seiten 40-48, XP000476554 ISSN: 0163-6804 *

Also Published As

Publication number Publication date
DE10243774A1 (en) 2004-03-25
WO2004029783A3 (en) 2004-06-24

Similar Documents

Publication Publication Date Title
DE3938018C3 (en) Information processing system and method for determining its configuration
EP0829046B1 (en) Method and system for setting up user programs as well as user computer in a computer net
DE4123126C1 (en)
CH698536B1 (en) Textile machine and software protection device for a textile machine.
DE19860069B4 (en) Programmable control device
DE102004062432A1 (en) System and method for automatically creating, installing, and configuring enhancements to the functionalities in the distributed network nodes
DE10208530A1 (en) Method for configuration and operation of peripheral devices connected to a host unit via a field bus in which the peripherals are supplied with a configuration file so that they can be directly configured by the host over the bus
WO2004029783A2 (en) Method and device for control of access to data
EP3657285B1 (en) Integration of technical modules in a hierarchically higher control level
EP2899632A1 (en) Method for usage-controlled update of a software product
EP1033647B1 (en) Method for porting a software system to other hardware platforms
EP1561172B1 (en) Device for provision of access to data
DE102019130794A1 (en) Procedure for the safe commissioning of a device
DE102016108997A1 (en) Device for reading data from a safety-critical control device
EP2221694B1 (en) Method for assigning a usage right for a function in an industrial automation system comprising several networked control units and industrial automation system
DE102020204148A1 (en) Information processing architecture for implementation in a vehicle
EP1431898A2 (en) Automation system and method for operating such a system
EP3798878A1 (en) System and method for secure execution of an automation program in a cloud computation environment
EP1923810A2 (en) Method for granting data access permissions
EP1674957A1 (en) Rule based, distributed engineering
DE102006062093B4 (en) Automation system and method for exclusive connections to client computers
DE102019217618A1 (en) Industrial control system in automation technology to reduce the damage caused by executing malware
EP3028814B1 (en) Method for allocating a screw curve describing a screw process to a screw program controlling the screw curve
DE102019217624A1 (en) Industrial control system in automation technology with independently acting modules
EP4231256A1 (en) Access system to a machine

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): US

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PT RO SE SI SK TR

121 Ep: the epo has been informed by wipo that ep was designated in this application
122 Ep: pct application non-entry in european phase