自动化设备的数字设备证书的更新的制作方法
【技术领域】
[0001]本发明涉及用于更新数字设备证书的方法,在该方法中自动化设备借助于至少一个设备证书相对于鉴权伙伴来鉴权并且该设备证书可以与自动化设备的特定于设备的配置数据关联,以及涉及用于更新数字设备证书的自动化设备和系统。
【背景技术】
[0002]需要安全授权证明、尤其数字证书或安全令牌以便可以利用安全机制。安全基础设施提供这种安全授权证明。在自动化设施中自动化设备、例如智能现场设备或控制计算器为了保护自动化设备或其它鉴权伙伴之间的通信而增多地使用用于鉴权或者还用于协商安全参数的证书。
[0003]例如根据X.509v3的数字证书是利用数字签名保护的数据结构,该数据结构将公共密钥防操纵地绑定到一定的属性、诸如名称、国家、组织。实际上数字证书由认证中心签发。用户为此发送询问到认证中心或注册中心。证书询问通常通过密码、通过密码校验和、通过签名等等来保护,使得仅仅被授权的用户可以为自己请求证书。
[0004]从DE 10 2011 081 804 Al中已知具有特定于设备的配置信息的设备证书。除了用于识别设备的信息、例如制造商、型号、序列号、制造日期、型号版本,这种数字设备证书包含取决于设备的配置的另外的信息。这例如是关于固件版本状态和/或关于具有例如特定于国家的版本的配置状态和/或关于所支持的选项和/或特征的信息。也可以包含关于至少一种用户可配置的配置的信息。
[0005]配置数据与设备证书的联系可以以不同的方式来进行。在一种情况中配置数据可以显式地编码到设备证书中。在另一情况中这些数据可以包含在被绑定到该设备证书的属性证书中。在另一情况中设备证书不显式地包含配置数据而是包含对配置数据的引用。
[0006]在鉴权自动化设备时例如检验:该自动化设备的在其设备证书中包含或引用的特定于设备的配置数据是否与所预期的设备配置对应。如果情况不是如此,则可以拒绝与自动化设备的通信。例如可以在将第一自动化设备的测量数据传送到第二自动化设备时在鉴权第一自动化设备的情况下分析第一自动化设备的与证书相联系的特定于设备的配置数据并且相应地解释所提供的测量数据,例如给测量数据分配精确度。
[0007]极大不同的过程、诸如通过操作人员激活设备特征或转换国家标志可以导致自动化设备的配置的改变。但是,对特定于设备的配置数据的正确分析于是不再是可能的。
【发明内容】
[0008]因此本发明的任务是提供一种方法、一种自动化设备以及一种系统,利用其可以在改变设备配置的情况下简单地追踪以及管理特定于配置的安全授权证明、尤其是数字设备证书。这应该是简单的并且对于大量设备来说也是可能的。
[0009]该任务通过根据权利要求1的根据本发明的方法、根据权利要求17的根据本发明的自动化设备以及根据权利要求20的根据本发明的系统来解决。在从属权利要求中示出了根据本发明的方法、根据本发明的自动化设备以及根据本发明的系统的有利的改进方案。
[0010]在根据本发明的用于更新自动化设施的自动化设备的数字设备证书的方法中自动化设备借助于至少一个设备证书相对于鉴权伙伴被鉴权。该设备证书在此与自动化设备的特定于设备的配置数据相联系。在改变自动化设备的配置后或时根据本发明由自动化设备确定具有对应于自动化设备的被改变的配置的、特定于设备的配置数据的更新的设备证书并且随后用于鉴权。
[0011]这使得能够也向鉴权伙伴通知更新的特定于设备的配置数据。鉴权伙伴通过在证书中传送或引用的配置数据可以假定:在此涉及实际上存在的配置数据并且例如将其自己的运行模式与被鉴权的自动化设备的配置适配。如果例如当前的设备配置提供更精确的测量数据,则该信息可以由鉴权伙伴来分析并且测量数据的可靠性说明可以被提高。但是也可以使用供应的、特定于设备的配置以便提供关于所使用的设备配置或所使用的设备配置的全部历史的可靠的、防操纵的证明。
[0012]在该方法的一种有利的实施方式中,自动化设备具有多个预定义的设备证书,其具有不同的、所分配的、特定于设备的配置数据。该自动化设备于是选择具有对应于自动化设备的被改变的配置的、特定于设备的配置数据的设备证书。这使得自动化设备能够非常快速地对配置改变作出反应,因为针对不同设备配置已经预定义的证书已经预定义地存在于自动化设备中。由此也可以通过以下方式引起对自动化设备的配置的限制,即仅允许以下配置,针对这些配置存在具有相应的特定于设备的配置数据的设备证书。
[0013]在一种有利的实施方式中,该自动化设备具有集成的签发单元,其中该签发单元签发具有对应于自动化设备的被改变的配置的、特定于设备的配置数据的设备证书。这使得能够以非常可变的方式针对极大不同的配置迅速地创建设备证书。
[0014]在此有利的是,可以在自动化设备的任意运行模式中签发设备证书。这允许在配置改变的情况下在新设备证书中引进该配置改变并且在不中断运行的情况下将被改变的配置通知鉴权伙伴。这在被改变的配置的情况下实现特别高的灵活性。
[0015]同样有利的实施方式是:仅以耦合到确定的运行模式的方式签发设备证书。因此可以确保:在规定的时间、例如在自动化设备的启动过程中激活配置改变,并且同时产生新设备证书。在运行期间错误地被解释为配置改变的动作因此不导致可能错误的设备证书,该设备证书因此将与错误的配置数据相联系。
[0016]在根据本发明的方法的一种实施方式中,集成的签发单元可以仅针对自动化设备来签发设备证书,该签发单元包含在该自动化设备中。为此可以将为此所需的密钥对直接绑定到自动化设备,例如通过根证书中的设备的固定的通用名称(common name )。
[0017]在一种优选的实施方式中,签发单元为其签发的每个设备证书分派至少一个相同的参数,尤其是相同的通用名称(common name)。这具有以下优点,即集成的签发单元只能非常有限地被攻击者用于滥用地签发另外的设备证书。这可以以简单的方式通过在证书中受限地分派参数来实现。相同的通用名称(common name)的分派尤其是合适的,因为该分派立即与特定的自动化设备关联。
[0018]在根据本发明的方法的一种实施方式中,自动化设备在改变自动化设备的配置的情况下在签发单元处请求具有对应于自动化设备的被改变的配置的、特定于设备的配置数据的设备证书,该签发单元未包含在自动化设备自身中。这具有以下优点,即自动化设备保持简单地构建的并且空间上分开的签发单元针对多个自动化设备签发设备证书。
[0019]在此有利的是,用于请求设备证书的请求消息通过借助于一般性的、非特定于配置的设备证书的数字签名和/或通过借助于先前的、与在自动化设备的配置改变前所使用的配置相对应的设备证书的数字签名来保护。替代地或者也附加地,请求消息可以通过设备密码来保护。这引起自动化设备和签发中心之间的安全的通信,在该签发中心中自动化设备的标识以及配置数据被确保。
[0020]在一种有利的实施方式中,在请求具有改变的特定于设备的配置