用于删除设备中的安全相关信息的方法和装置与流程

本发明涉及用于删除安全相关信息、诸如加密密钥的装置和方法，所述安全相关信息被包含在移动设备或者也许位置固定地安装的设备中。

背景技术：

移动设备、诸如机器人、无人驾驶的飞行物、自主车辆可以存储敏感数据。这些敏感数据优选地通过加密方法来保护，使得这些敏感数据只能由被授权的实体读出并以明文读取。为此需要加密密钥。这种加密密钥例如通过通用密钥来产生并被存储在安全模块中。这种安全相关信息必须被保护以防未被授权的人员访问或者以防未被授权的装置访问，以便防止对使用安全关键信息的常常安全关键的功能的操纵。经常地，只有当设备为安全相关信息提供规定的保护措施时，设备也才被官方允许运行安全关键功能。

例如已知操纵传感器、诸如防钻膜、壳体开关或光传感器，其识别对布置在设备中的安全模块的设备操纵或操纵并启动密钥删除功能。

然而，这种操纵传感器仅避免对这种安全模块的直接物理攻击。

安全相关信息在移动物体中越来越多地例如被用于无人驾驶的飞行物或自主车辆的可靠的位置确定和导航。此外，对于设备或物体的不同功能而言需要密钥材料，并且因此安全相关数据的数量增长，使得必须在设备的例如由于坠落、碰撞、轰击而引起的机械破坏之前开始并且尤其结束安全相关信息的删除过程。否则存在如下风险：出事故的移动物体的敏感数据对于未经授权方变得可得到。也存在如下风险：出事故的移动设备或其中所包含的安全模块的存在的操纵传感器（也称为防篡改功能）不再正确地运转并且不再能够实现所要求的防操纵功能。

技术实现要素：

因此，本发明的任务是提供一种方法和一种装置，其确保即使在事故或其他未预料到的事件的情况下也可靠地且完全地删除设备的安全相关数据。

该任务通过在独立权利要求中所描述的措施来解决。在从属权利要求中示出了本发明的有利的改进方案。

根据本发明的用于删除设备中的安全相关信息的方法具有以下方法步骤：

-关于时间确定设备的至少一个运动参数，

-根据至少一个预先给定的运动模式监控关于时间所确定的运动参数，以及

-如果关于时间所确定的运动参数对应于至少一个预先给定的运动模式，则触发安全相关信息的删除过程。

在典型的事故场景中，移动设备也具有典型的运动模式。这样，在驱动装置发生故障的情况下，飞行物转变到对于坠落而言典型的下降飞行或以高于预先给定的极限值的速度低于地面之上的预先给定的高度。相应的运动模式作为预先给定的运动模式被存储在飞行物中。通过监控所确定的运动参数，可以以大的可靠性识别出设备的事故或破坏，并且在设备的破坏之前及时开始安全相关信息的删除。因此，可以在设备或安全模块的破坏之前结束删除过程，在所述安全模块上存储有安全相关信息。因此，可以以高的概率确保：即使在导致设备的机械破坏的未预料到的事件的情况下安全相关信息也从设备中被删除并且因此不再可访问。

在一种有利的实施方式中，设备的位置、速度、加速度或定向作为运动参数被确定。

这样，例如可以通过位置说明来监控设备在地面之上的高度，并且在低于最小高度时或在超过最大高度时触发删除过程。以同样的方式，可以通过超过最大加速度来假设设备的事故或错误行为。通过确定加速度作为运动参数，例如即使在位置固定地安装的设备的情况下也可以识别出操纵并且触发删除过程。

在一种有利的实施方式中，如果至少一个运动参数至少在预先给定的持续时间内和/或以预定的精度对应于预先给定的运动模式，则触发删除过程。

由此确保，所确定的运动参数的短时间的或统计上出现的波动不导致安全相关信息的过早或不必要的删除。

在一种有利的实施方式中，预先给定的运动模式是设备的运动轨迹。

运动轨迹表示如下空间曲线，设备、例如设备的重心沿着该空间曲线移动。通过相比于表示不允许的或对于事故典型的运动模式的预先给定的运动轨迹监控设备的运动，也可以识别出设备从轨迹的操纵偏转，并且在安全非常关键的设备的情况下这已经触发安全相关信息的删除。

在一种有利的实施方式中，预先给定的运动模式表示设备的特殊运行模式。

如果例如所记录的运动参数与例如表示紧急着陆、紧急停止、用于事故的损害限制的避开功能的特殊运行模式的运动轨迹相同，则在该情况下也可以开始和结束删除过程。

在一种有利的实施方式中，确定围绕设备的介质的运动参数。

例如，确定并监控空气在飞行设备的表面上的或在距飞行物体的某一距离处的流速，并且因此识别出导致或表示坠落的失速并且触发安全相关数据的及时删除。

根据本发明的用于删除设备中的安全相关信息的装置包括：检测单元，其被构成用于确定设备的至少一个运动参数；监控单元，其被构成用于根据至少一个预先给定的运动模式监控关于时间所确定的运动参数；和删除单元，其被构成用于如果关于时间所确定的运动参数对应于预先给定的运动模式，则触发安全相关信息的删除过程。

由此，这种装置的安全相关信息可以已经在机械破坏之前以高的概率被删除，并且因此防止在未预料到的事件之后对该信息的不允许的确定。

在一种有利的实施方式中，检测单元具有至少一个传感器、优选地惯性传感器、加速度传感器、磁场传感器或位置传感器，该传感器确定至少一个运动参数。

在一种有利的实施方式中，删除单元可以直接与存储安全相关信息的安全模块连接。

通过删除单元与存储安全相关信息的安全模块之间的直接连接，可以优化删除过程与实际删除过程的开始之间的延迟时间。同样，提高触发删除过程的可靠性，因为在删除单元与安全模块之间不存在在事故的情况下可能受损并且可能阻止删除信号在删除单元中的接收的连接线路。

为移动设备或位置固定地安装的设备的根据本发明的设备包括相应的用于删除安全相关信息的装置。

尤其移动设备可能由于碰撞到固体或表面上或由于侵入另一种介质、例如水而受损，而现有的操纵保护没有识别出这一点并且触发安全相关信息的删除。此外，通过所提到的传感器可以可靠地检测震动或突然的运动改变，所述震动或突然的运动改变在位置固定地安装的设备的情况下允许推断出设备的损坏或者也许不允许的移除。在两种情况下，可以基于所述信息促使删除。

此外，要求保护一种计算机程序产品，该计算机程序产品可以直接被加载到数字计算机的存储器中并且包括程序代码部分，所述程序代码部分适合于执行该方法的步骤。此外，要求保护一种存储该计算机程序产品的数据载体。

附图说明

根据本发明的方法以及根据本发明的装置的实施例在附图中被示例性地示出并且借助随后的描述更详细地被解释。

图1作为流程图示出根据本发明的方法的一般实施例；

图2作为流程图示出根据本发明的方法的第二实施例；

图3以框图示出根据本发明的装置的一个实施例；

图4以框图示出具有根据本发明的装置的根据本发明的设备的一个实施例；以及

图5示出预先给定的运动模式的一个实施例。

彼此对应的部分在所有图中配备有相同的附图标记。

具体实施方式

多个具有微处理器的设备、诸如计算机、并且机器人、飞行物、车辆或者也许自动化设备中的现场设备使用加密方法，以便防操纵地与通信伙伴通信和/或例如可以使用具有可信赖的且防操纵的信号的无线电导航应用。为此，安全相关信息、诸如在加密方法中使用的加密密钥被存储在相应的设备中或布置在设备中的特别的装置中。

利用如图1中所描绘的根据本发明的方法来确保：在设备不能运转之前及时地删除安全相关信息。在该方法的初始状态10中，在设备中存在安全相关信息。例如，这些信息可以被存储在安全模块中。在此，在方法步骤11中连续地关于时间确定设备的至少一个运动参数。在此，在方法步骤11中连续地关于时间确定设备的至少一个运动参数。例如，这种运动参数可以表示设备的位置、速度、加速度或者也许设备的定向。因此，例如记录该设备的运动轨迹。这种运动轨迹例如是二维空间中的轨道曲线，如在图5中所示出的，或者也许是三维坐标系中的空间曲线，该设备或装置的重心例如沿着该空间曲线移动。除了该设备的位置或空间点之外，也可以确定其速度或其加速度或者也许该设备的定向。

运动参数可以由该设备来确定。为此，在一个变型方案中可以使用设备的碰撞传感器，其例如作为其他功能触发安全气囊或安全带张紧器。在另一变型方案中，在该设备中包含安全模块，所述安全模块与所述设备的传感器独立地或者除了所述设备的传感器之外包含传感器。这种安全模块具有如下优点：所述安全模块可以以很少的耗费集成到设备中，因为所述安全模块具有根据本发明的功能作为集成的功能。

在方法步骤12中现在关于时间相对于至少一个预先给定的运动模式同样连续地监控所确定的运动参数。预先给定的运动模式尤其也可以是该设备的运动轨迹。尤其，预先给定的移动轨迹可以对应于该设备的特殊运行模式、诸如紧急着陆、紧急停止、在事故情况下用于损害限制的避开。

预先给定的运动模式可以在不同长度的持续时间上延伸。该持续时间可以从一毫秒或几毫秒直至数秒或甚至数分钟。例如，运动模式已经可以是预先给定的最大的速度的短时间的超过。预先给定的运动模式同样可以在高度剖面或者例如表面之上的恒定高度中，使得在低于该最小高度的情况下触发安全相关信息的删除过程，参见方法步骤13。

在此，此外可以使删除过程取决于，至少在预先给定的持续时间内达到或超过预先给定的阈值。这防止：可能仅由于传感器中的统计效应或测量误差而形成的短时间波动触发删除过程，并且因此例如不能继续实施设备中的重要功能。

另一方面，必须选择所确定的运动模式与预先给定的运动模式一致的预先给定的持续时间，使得留下足够的时间，以便能够完全地执行并且结束删除过程。

在一个变型方案中，也可以确定围绕该设备的介质的运动参数。例如，可以测量空气在该设备的表面或该设备的部分之上的流速，并且与介质的预先给定的运动轨迹进行比较。同样地，例如可以测量该设备的表面上的压力。在此，例如在该设备的表面上或之上的不同的部位处的或者也许在该设备之内的一个或多个传感器可以被用于检测运动参数。

在图2中使用监控设备的加速度的示例示出了该方法的流程。该方法的出发点是状态20，在该状态中例如具有安全模块的设备具有加速度传感器或惯性传感器，其连续地或以预先给定的时间间隔测量该设备并且尤其安全模块的加速度。在安全模块中，例如产生用于该设备的不同应用的加密密钥材料。在方法步骤21中，存储这种密钥材料或者也许任意其他安全相关信息。在方法步骤22中，确定该设备或者也许特别地安全模块的加速度。在方法步骤23中，现在相对于预先给定的最大加速度值比较所确定的加速度。如果所确定的加速度在预先给定的时间段期间大于预先给定的最大加速度值，则随后在方法步骤24中触发密钥存储器并且因此所有存储在该装置中或在设备中的安全相关信息的删除。这通过通向方法步骤21的箭头来表示。触发过程于是代替密钥材料的存储作为方法步骤21来实施。如果在时间点t所测量的加速度a（t）小于预先给定的最大值amax，则仅仅促使对加速度的进一步检测。这通过从方法步骤23到方法步骤22的箭头来表示。

对所测量到的运动参数的监控尤其也在一时间段期间被执行并且只有当所检测到的运动参数的产生的时间分布对应于预先给定的运动模式或对应的运动轨迹或运动参数的预先给定的分布或偏离预先给定的运动模式或运动轨迹时，才触发安全相关信息的删除。

图3示出用于删除设备中的安全相关信息的装置。该装置包括检测单元31。检测单元31可以包含一个或者也许多个传感器、例如惯性传感器，其测量主体的加速度或转速。这种惯性传感器例如在用于应用在飞机或火箭中的惯性导航系统中被用于飞行导航。检测单元31也可以多部件地并且在设备中和上的不同部位处被构成。例如，一个或多个位置传感器或速度传感器可以被安置在设备30中或上，用于检测至少一个运动参数。

监控单元32相对于预先给定的运动模式监控关于时间所确定的运动并且优选地记录所述运动。如果满足预先给定的标准，则删除单元33触发安全相关信息的删除过程。监控单元32和删除单元33例如以集成在碰撞检测器中的方式布置在装置30中。

在图3中示出的装置30例如是具有例如至根据i2c、usb、rs232或spi标准的串行数据总线的外部接口37的安全模块。经由接口37，该装置30可以例如与现场设备、控制设备、卫星导航接收器或计算机系统连接。命令处理器36实施所接收的命令，诸如用于加密或解密数据，用于签名或检查签名，用于计算或检查加密校验和或者也许用于产生加密伪随机序列。

为此，命令处理器36使用也称为加密引擎的加密单元35，该加密单元实现对称加密算法、诸如aes，非对称加密方法、诸如rsa，diffie-hellman密钥交换或ecc，用于数字签名的算法、如dsa或ecdsa，加密散列函数、诸如hmac或密钥导出函数、诸如kdf。另外，包含密钥存储器34。删除单元33与密钥存储器34连接并将删除指令发送给密钥存储器34，所述删除指令在那里促使删除全部的安全相关信息。

加速度传感器31连续地确定该装置30或设备40的加速度，在该设备中布置有该装置30并且因此记录如在图5中示例性示出的加速度轨迹50。运动轨迹50例如对应于仅仅在重力的作用下从高度x0下降的物体的下降曲线x（t）。如果由监控单元32在例如tb的时间段期间检测到相应的运动模式50，则由删除单元33触发删除过程。相应地，作为删除标准，达到这里用amax表示的最大加速度超过预先给定的时间段可以作为阈值来监控。监控时间段tb在此被选择，使得预先给定的运动模式也可以可靠地与随机的异常运动区分开。

在图4中示出了设备40，该设备包含用于删除安全相关信息的装置。例如，该设备是现场设备、控制设备、卫星导航接收器或计算机系统。所提到的设备仅仅是如下设备的选择，所述装置可以被集成到所述设备中。设备40具有设备特定的功能单元43以及例如安全模块41，在该安全模块中包含有密钥存储器34。包括一个或多个用于检测至少一个运动参数的传感器的检测单元31与监控单元32连接，所述监控单元将所检测到的并且关于时间所记录的运动参数与一个或多个预先给定的运动模式进行比较并且在超过阈值时或者在与预先给定的运动模式一致时促使删除单元33例如将删除信号经由接口42发送给安全模块41中的密钥存储器34。

因此，用于删除安全相关信息的装置可以以不同的方式集成到设备中。该装置的各个单元例如可以全部在安全模块中实现，如图3中所示出的，或者也可以分布式在设备中实现，如在图4中所示出的。所示出的功能块可以以基于硬件的功能或作为基于软件的功能实现。例如，该装置30可以被构建为安全组件或加密控制器，其具有作为加速度传感器的集成的mems（微电子机械系统）传感器和集成的碰撞检测器，所述碰撞传感器形成监控单元32。例如，设备40可以包括具有mems加速度传感器的现场设备，如果所检测到的加速度在预先给定的时间内超过预先给定的阈值，则该mems加速度传感器实施对密钥材料的自动删除。

所有所描述和/或示出的特征可以在本发明的范围中有利地彼此组合。本发明不限于所描述的实施例。