数据的预定义的设备证书后或在使用具有改变的特定于设备的配置数据的预定义的设备证书的情况下取消在配置改变前所使用的设备证书。因此始终明确地通过唯一的设备证书来标记该自动化设备。
[0021]在一种有利的实施方式中可以在请求具有改变的特定于设备的配置数据的预定义的设备证书之后或在使用具有改变的特定于设备的配置数据的预定义的设备证书的情况下将在配置改变前所使用的设备证书仍在预先给定的时间内用于肯定的鉴权。这尤其实现:只要更新的设备证书仍未被创建,就也运行具有新配置的自动化设备。这在更新的设备证书只能在确定的运行模式中被产生时尤其是有利的。
[0022]在一种实施方式中,多个预定义的设备证书或在改变自动化设备的配置时所签发的设备证书具有分别不同的设备密钥或分别不同的设备密钥对。在另一实施方式中,多个预定义的设备证书或在改变设备配置时所签发的设备证书分别具有相同的设备密钥或分别具有相同的设备密钥对。分别不同的设备密钥或设备密钥对提高证书的可靠性或要求更高的用于操纵证书的花费。另一方面由不太复杂的签发中心并且以更小的签发持续时间来进行具有相同密钥或相同设备密钥对的设备证书的签发。
[0023]在根据本发明的方法的一种有利的实施方式中,自动化设备创建用于确认被改变的特定于设备的配置数据的证实信息并且将其传送到签发单元。证实信息确认配置的真实可靠性并且表示所传输的基因上特定的配置数据的更高安全度以及可以被用于消息或设备的更高的安全分级。
[0024]在根据本发明的方法的另一实施方式中,只有在对应于自动化设备的被改变的配置的设备证书对于自动化设备来说存在时才激活自动化设备的常规运行模式。因此可以确保:自动化设备仅在所预期的配置中运行。自动化设备的在没有相应设备证书的情况下运行的配置是不可能的。
[0025]自动化设施的根据本发明的自动化设备包含至少一个设备证书,其中自动化设备借助于与自动化设备的特定于设备的配置数据相联系的设备证书相对于鉴权伙伴被鉴权。自动化设备在此被构造,使得自动化设备在改变配置时或后自动地确定具有对应于自动化设备的被改变的配置的、特定于设备的配置数据的设备证书并且随后用于鉴权。
[0026]在根据本发明的自动化设备的一种实施方式中,自动化设备具有多个预定义的有不同的特定于设备的配置数据的设备证书。
[0027]在根据本发明的自动化设备的一种实施方式中,签发单元和用于控制自动化设备的运行的控制单元分别包含在分离的存储单元上并且分离的存储单元通过分离单元来连接。
[0028]根据本发明的用于更新数字设备证书的系统包括至少一个自动化设备和至少一个签发单元,其中自动化设备具有至少一个设备证书并且借助于包含自动化设备的特定于设备的配置数据的设备证书相对于鉴权伙伴被鉴权。该自动化设备被构造,使得在改变自动化设备的配置的情况下该自动化设备自动地确定具有对应于自动化设备的被改变的配置的、特定于设备的配置数据的设备证书并且随后用于鉴权。至少一个签发单元被设置用于签发具有对应于自动化设备的被改变的配置的、特定于设备的配置数据的设备证书。
【附图说明】
[0029]根据本发明的方法的实施例在附图中示例性地示出并且根据随后的描述进一步阐述。
[0030]图1作为流程图示出根据本发明的方法的第一实施例;
图2作为流程图示出在包括签发单元的情况下根据本发明的方法的第二实施例;
图3以示意图示出根据本发明的自动化设备的一个实施例;
图4以示意图示出具有在分离的存储单元上的集成签发单元的自动化设备的一个根据本发明的实施例;
图5以示意图示出在签发单元不包含在自动化设备中的情况下请求设备证书的根据本发明的第一实施例;以及
图6以示意图示出请求具有证实信息的设备证书的根据本发明的第二实施例。
[0031 ] 相互对应的部分在所有图中配备有相同的附图标记。
【具体实施方式】
[0032]图1示出在自动化设备中更新数字设备证书的一般流程I。该流程在方法步骤3中以改变自动化设备的配置开始。这种配置改变例如可以通过选择特定于国家的运行方式所借助的固件替换、特征释放或国家代码的激活来进行。用户可定义的配置的配置改变或用户可定义的安全配置同样是可能的。配置改变例如也由重置到初始状态中决定。配置改变通过非用户可定义的配置也是可能的,所述配置由例如制造商或服务雇员促使。
[0033]如果自动化设备查明这种配置改变,则该自动化设备自动地在方法步骤4中确定更新的设备证书,该设备证书包括对应于被改变的配置的特定于设备的配置数据。在例如与其它自动化设备或另外的鉴权伙伴的随后的通信(参见方法步骤5)中,消息以通过更新的设备证书保护的方式来传送。更新的设备证书可以根据当前的配置来确定以及使用。因此,所使用的设备配置的无缝的顺序可以被理解为根据证书链不中断地直至自动化设备的原始配置并且被提供用于进一步分析。
[0034]图2示出在使用证书的签发单元的情况下用于确定更新的设备证书的流程10,该签发单元例如作为在具有公开密钥的安全基础设施(PKI安全基础设施)中的认证中心来工作。在此,通过产生请求消息在签发单元处请求更新的设备证书。该请求消息在此例如通过先前的、在配置改变前与自动化设备的特定于设备的配置数据相联系的设备证书来保护。
[0035]签发单元在此包括PKI安全基础设施的注册以及认证中心的角色。流程10在此适用于集成到自动化设备中的签发单元以及空间上位移的实施方式。签发单元包括接受以及检查询问的注册中心的功能以及签发数字设备证书的认证中心的功能。两种功能同样可以在分开的单元中要么被构造为集成到自动化设备中要么作为公开密钥基础设施的分离的单元来构造。在签发单元中实施的方法步骤也在图2中的右侧示出,在自动化设备中实施的方法步骤也在图2中的左侧示出。
[0036]在方法步骤12中进行对自动化设备的配置的改变。在步骤13中确定先前的设备证书,该设备证书在改变前包含或引用自动化设备的特定于设备的配置数据。然后自动化设备产生请求消息,利用该请求消息请求具有对应于被改变的配置的特定于设备的配置数据的更新的设备证书,参见方法步骤14。在步骤15中现在请求消息通过先前的设备证书来保护并且在步骤16中被传送到签发单元。
[0037]在步骤22中在签发单元中接受请求消息。请求消息在步骤23中通过其已知的先前的设备证书来鉴权。请求消息在步骤24中针对更新的设备证书被验证。如果验证成功,则签发单元借助于签发单元的鉴权-授权证明来签发更新的设备证书。更新的设备证书在步骤27中被传送到自动化设备并且在那里在步骤18中被存储。如果请求消息不能针对更新的设备证书成功地被验证,则在步骤26中输出错误标志并且传送到自动化设备。因此结束更新流程。
[0038]在一个实施例中,在请求或使用更新的设备证书的情况下取消先前的设备证书。作为另外的选项,对应于未改变的配置的先前的设备证书也可以在签发更新的设备证书后仍在预先给定的时间内保持有效并