用于现场设备数据通信的密码保护的方法和通信装置制造方法
【专利摘要】本发明涉及用于现场设备(11)的数据通信的密码保护的方法,具有以下步骤:由通信装置(12)基于所述现场设备(11)的标识码来识别所述现场设备(11);由所述通信装置(12)选取分配给被识别的现场设备(11)的VPN配置;由所述通信装置(12)基于所选取的VPN配置构建VPN连接(15a);以及由所述现场设备(11)通过所构建的VPN连接向VPN服务器(16)传送控制数据。
【专利说明】用于现场设备数据通信的密码保护的方法和通信装置
【技术领域】
[0001 ] 本发明涉及用于现场设备数据通信的密码保护的方法和通信装置。
【背景技术】
[0002]工业现场设备、例如用于铁路和铁道设备的控制设备总是较频繁地通过开放式通 信协议、如TCP/IP来代替通过专有协议进行通信。在此,其利用公共网络、例如因特网来向 中心站或其他的现场设备传输通信数据。为了保护数据的传输免于被操作,采用密码保护 机制、例如 MACsec、SSL/TLS、WS 安全或 IPsec。
[0003]然而,经常由于所需的计算能力、存储需求、许可或向下兼容性的原因而不可行的 是,使现场设备自身配备这样的网络技术,使得大多数的外部设备被采用,以便构建用于现 场设备通过公共网络、如因特网的通信的虚拟私人网络(VPN),并且保证所需的安全性。这 样的外部设备必须针对具有密码保护的数据的通信而被配置。为此,秘密的密码的通信密 钥是必需的,利用该通信密钥,通过VPN发送和接收的数据可以被加密和解密。
[0004]外部设备的配置是昂贵的和易出错的。一种可能性是,现场寻找和配置或重新配 置外部设备。这种可能性是时间非常密集的。
[0005]因此存在对用于现场设备的外部VPN设备的简单配置的解决方案的需求,连同该 需求同时保持保证密码数据的高安全性。
【发明内容】
[0006]因此,本发明的一种实施方式在于用于现场设备的数据通信的密码保护的方法, 具有如下步骤:由通信装置基于现场设备的标识码来识别现场设备,由该通信装置选取被 分配给所识别的现场设备的VPN配置,由该通信装置基于所选取的VPN配置来构建VPN连 接,以及由该现场设备通过所构建的VPN连接向VPN服务器传送控制数据。
[0007]根据一种有利的实施方式,该方法包括由该通信装置借助认证方法来对现场设备 进行认证。
[0008]此外,优选地可以实现来自被分配给现场设备的操作传感器的校验信号的检测以 便监控现场设备的完整性。
[0009]在一种优选的实施方式中,由该通信装置进行的VPN配置的选取可以包括被存放 在通信装置的存储器中的VPN配置的选取。
[0010]替代地,由该通信装置选取VPN配置可以包括从配置服务器接收所分配的VPN配 置并存储该VPN配置。
[0011]此外,在一种有利的实施方式中,由该VPN服务器通过该VPN连接来对现场设备进 行认证。
[0012]根据另一实施方式,在该VPN连接已被构建之后,由该通信装置监控现场设备的 运行状态,并且假如该现场设备不再与该通信装置连接或是去激活的,可以实现该VPN连 接的断开。[0013]根据另一实施方式,本发明实现用于现场设备的数据通信的密码保护的通信装 置,具有:通信接口,该通信接口被设计用于构建与连接到该通信接口上的现场设备的本地 通信;计算装置,该计算装置被设计用于通过该通信接口基于该现场设备的标识码来识别 该现场设备,并且选取分配给被识别的现场设备的VPN配置;和网络装置,该网络装置被设 计用于基于所选取的VPN配置构建与VPN服务器的VPN连接,其中该VPN连接被设计用于 向VPN服务器传送该现场设备的控制数据。
[0014]其他的修改和变形方案由从属权利要求的特征得出。
【专利附图】
【附图说明】
[0015]本发明的不同的实施方式和构型现在参考附图更详细地被描述,其中:
图1示出根据本发明的一种实施方式的VPN环境的示意图;
图2示出根据本发明的另一实施方式用于现场设备数据通信的密码保护的方法的示 意图;和
图3示出根据本发明的另一实施方式用于构建VPN的通信装置的示意图。
【具体实施方式】
[0016]只要有意义,所描述的构型和改进方案就可以被任意地相互组合。本发明的其他 可以的构型、改进方案和实施方案也包括本发明的之前或下面关于实施例所描述的特征的 未明确提到的组合。
[0017]附图应该促成对本发明的实施方式的进一步理解。附图阐明实施方式并且与说明 书关联地用于解释本发明的原理和方案。其他的实施方式和许多所提到的优点鉴于该图而 得出。图的元件不是必然地相互按正确比例示出的。相同的附图标记在此表示相同的或相 似地起作用的组件。
[0018]图1示出根据本发明的一种实施方式的VPN环境10的示意图。该VPN环境10包 括现场设备11。该现场设备11例如可以是用于铁路或铁道设备的控制设备,例如用于道 岔、护栏或信号。然而,该现场设备11可以是任何其他远程设置的设备,例如气象站或红绿 灯。为了该现场设备11可以与中心站17、例如集控站交换控制消息和控制数据,存在通信 装置12,该通信装置与现场设备11连接并且通过网络15与对方站16通信,该对方站在其 侧与中心站17连接。该通信装置12可以被构建为外部设备或被集成在该现场设备11中。
[0019]控制数据的传输通过网络15来实现,该网络可以是例如因特网的公共网络、例如 GPRS、UMTS、LTE或WiMAX的移动无线电网络、例如WLAN的无线网络、以太网网络、令牌环网 络、DSL网络或其他类似的网络。通过该网络15传输的控制数据因此遭受潜在的攻击。因 此为了通信装置12与对方站16的通信而设立有虚拟私人网络15a(VPN),通过该VPN具有 通过相应加密的密码保护的数据可以被发送和接收。为了加密,可以采用每个已知的加密 技术、例如 IPsec、IKE、EAP, SSL/TLS、MACsec、L2TP、PPTP, PGP、S/MIME 或相似的技术。在 此,加密可以被设置作为密码校验和(消息认证码、数字签名)的计算,解密可以被设置作为 密码校验和的检验。
[0020]因此,该通信装置12拥有一个(或多个)通信密钥,利用该通信密钥,现场设备的要 发送的控制数据被密码加密并且用于该现场设备11的要接收的数据被密码解密。可以直接使用通信密钥。该通信密钥同样可以在认证和密钥约定协议、例如IKE协议中被使用,以 便设立会话密钥。于是所设立的会话密钥可以被用于与该对方站16密码保护地传输控制 消息或控制数据。
[0021]此外,该VPN环境10包括配置服务器18、例如认证服务器,其中该配置服务器拥有 所谓的“自举(Bootstrapping)”功能。自举表示彼此事先未知的终端设备和服务器之间的 协商,该协商允许单方面的或相互的认证和(在此基础上)密钥的交换,由此以认证和安全 的通信关系为前提的应用的扩展的利用成为可能。该配置服务器18拥有地址、例如IP地 址或URL,该地址可以在通信装置12中被固定地编程或可以是可变化地调节的。在一种实 施方式中,配置服务器18的地址是通信装置12的制造商的地址。在另一实施方式中配置 服务器18的地址是通信装置12的运营商的地址。然而也可以通过通信装置12的其他的 地址首先确定主管相应的通信装置12的服务器19的另外的地址,并且接着构建所述另外 的地址以便构建与该配置服务器18的自举连接。此外可以为了为通信装置12选取分别所 属的配置服务器18而咨询数据库。此外可以使相应的配置服务器18的地址的选取依赖于 现场设备11的物理位置、例如卫星导航数据、如GPS或GALILEO数据或其他空间坐标。也 可以通过在通信装置12和/或现场设备11中存储的标识码、例如MAC地址来确定主管通 信装置12的配置的配置服务器18。该配置服务器18也可以被集成到该对方站16中,或者 也可能的是,该对方站16拥有相应的自举功能。在一种变形方案中该配置服务器18也可 以直接与该通信装置12连接。应该清楚的是,可以有为相应的通信装置12分配配置服务 器18的多个另外的可能性。
[0022]VPN配置包括例如关于配置服务器18的地址、对方站16的地址、对方站16的公 钥或数字证书、要使用的VPN协议、安全设置的、例如密钥的和相应的VPN连接15a的模式 的和/或关于允许的数据通信业务的过滤规则的描述的信息。这些信息能够以文本形式、 例如作为属性-值对或作为XML文件存在。此外也可以为现场设备11构建多个VPN连接 15a,以便例如在单独的VPN连接15a中实现不同的业务类型、例如控制、监控、维护访问和 相似的功能。
[0023]在一种变形方案中该VPN配置也可以包括现场设备11的标识码、例如现场设备11 的MAC地址、EAN码、制造商的序列号或相似的识别信息。该标识码例如可以通过RFID或 通过现场设备11的通信接口从现场设备11的电子型号牌读出。该现场设备11例如可以 包括例如根据ITU-T标准X.509的设备密钥或数字设备证书。在这种情况下,由设备证书 例如借助哈希函数所导出的值或设备证书的各个字段或属性可以作为现场设备11的标识 码来使用。
[0024]此外可以规定,每个VPN配置被分配VPN标识码,该VPN标识码可以在VPN配置中 被编码或可以是可由该VPN配置导出的,例如其方式是,使用配置描述的各个参数或字段 或由该参数或字段借助哈希函数所导出的值。该VPN标识码可以被用于向配置服务器18 询问,相应的VPN配置被分配给哪个现场设备11。现场设备11的标识码可以通过VPN标识 码被分配给该VPN配置并且使现场设备11的标识码为该配置服务器18所知。为此该通信 装置12向该配置服务器12和/或向该对方站16发送具有VPN标识码和现场设备11的被 分配的标识码的注册消息。
[0025]图2示出用于借助通信装置密码保护现场设备数据通信的方法30的示意图。[0026]在第一步骤31中实现连接到该通信装置上的现场设备的识别。该识别 例如可以包括被分配给现场设备的标识码的读出。优选地,例如借助挑战-响应 (Challenge-Response)方法,现场设备的认证可以与现场设备的识别同时实现,其中在所 述挑战-响应方法中校验数据、即所谓的“挑战”由该通信装置传送给该现场设备,并且由 该现场设备根据该挑战产生校验值,该校验值与预期的答复、即所谓的“响应”的一致性由 该通信装置来确定,以便能够证实现场设备的真实性。通过现场设备的认证可以有利地保 证,通过VPN连接所发送的数据可以一对一地被分配给确定的现场设备。
[0027]在此,也可以由该通信装置例如通过层2连通性的验证或通过所传输的信号的传 播时间测量来检验,是否该现场设备是直接地连接的。由此可以阻止,该通信装置远离其原 来的使用位置。此外,可以由该通信装置来验证现场设备的完整性。此外,该通信装置可以 从现场设备或外壳的装置接收校验信号,其中该现场设备被布置在该外壳中,并且可以从 外部检查可能存在的操作或所不期望的干预。该校验信号在此可以例如从该外壳中或上或 该现场设备自身中的操作传感器读入。
[0028]在第二个步骤32中由该通信装置为构建一个或必要时多个VPN连接而选取一个 或必要时多个VPN配置,该现场设备可以通过该通信装置与VPN服务器和/或VPN对方站 交换控制数据。在此,例如可以使用存储在该通信装置中的VPN配置。为此该通信装置可 以拥有存储器,在该存储器中VPN配置被预安装或预配置。被存储的VPN配置可以根据对 在步骤31中被识别的现场设备的分配来验证。如果在此应该确定被分配给现场设备的VPN 配置,那么可以选取该VPN配置。此外,替代地也可以验证,是否被选取的VPN配置当前还 是有效的。
[0029]替代地,在步骤32中联系配置服务器以便选取VPN配置,现场设备的被确定的识 别数据被传送给该配置服务器。于是该配置服务器可以根据现场设备的所传送的识别数据 从数据库中挑选出VPN配置或者专门为被识别的现场设备动态地创建VPN配置并且供该通 信装置支配。通信装置与配置服务器的通信在此可以通过以下方式安全地实现,即该通信 装置通过公共网络、例如因特网或移动无线电网络相对于该配置服务器被认证。这例如可 以通过在通信装置中专门设置的通信密钥来实现,使得该通信装置可以例如通过SSL/TLS 或IPsec来通信。
[0030]该配置服务器向该通信装置传送被分配给现场设备的具有相应的VPN配置数据 的VPN配置。该通信装置可以存储该VPN配置并且在内部分配给被识别的现场设备。
[0031]在第三步骤33中通过网络、例如因特网、移动无线电网络或相似的网络实现与 VPN服务器的VPN连接的构建。该VPN连接在此由该通信装置根据所选取的VPN配置来设 立。此外,例如也可以根据不同的VPN配置为相同的现场设备构建多个VPN连接。然后,通 过所构建的VPN连接,可以由该VPN服务器进行例如现场设备的识别和/或认证。如果在 此现场设备的标识与分配给该VPN配置的现场设备一致,那么该VPN连接可以从VPN服务 器方面被释放。
[0032]在第四步骤34中通过由该通信装置为该现场设备所构建的VPN连接向VPN服务 器传输现场设备的控制数据。同时,控制数据可以从该VPN服务器通过该VPN连接向该现 场设备传输。在此,该控制数据分别通过维持该VPN连接的通信装置被传输。该通信装置 可以被设计用于,只要该现场设备与该通信装置保持连接,就一直维持该VPN连接。为此该通信装置可以优选地周期性进行与现场设备的本地连接的验证。一旦该现场设备不再被连 接或是去激活的,该通信装置就可以断开或去激活该VPN连接。
[0033]该VPN服务器可以通过VPN配置进行对现场设备的明确分配。为此该VPN服务器 可以利用预先确定的列表调整该VPN配置或从配置服务器调用该VPN配置数据。该VPN服 务器可以在通过该VPN连接与现场设备通信期间进行数据通信业务的过滤,使得仅可被明 确分配给现场设备的数据包向控制计算机、例如集控站转发。为此可以分析在数据包中包 含的标识消息、例如MAC地址、IP地址、DNS名、SIP-URI (会话发起协议统一资源标识符) 或相似的信息。
[0034]该通信装置在一种实施方式中也可以为多个现场设备构建VPN连接,其中或者可 以为所述现场设备中的每一个构建VPN连接,或者现场设备构成现场设备组,该现场设备 可以通过分配给现场设备组的VPN连接来通信。在此,现场设备组的所有现场设备相对于 该通信装置和/或该VPN服务器作为(虚拟的)现场设备出现。
[0035]图3示出具有计算装置21、通信接口 22、存储器23和网络装置24的通信装置12 的示意图。
[0036]该通信装置12可以通过通信接口 22与现场设备11通信。特别是,该通信装置 12可以通过该通信接口 22进行该现场设备11的识别以及必要时进行该现场设备11的认 证。在存储器23中可以预安装VPN配置和/或保存从配置服务器接收的VPN配置。该存 储器23例如可以包括安全的存储区域23a,在该存储区域中存放有用于通信装置12与配置 服务器的安全通信的配置数据或通信密钥。该存储器23例如可以是存储器组件,在该存储 器组件中可持久地或可改写地存放有通信装置12的配置设置,该存储器组件例如是串行 的EEPR0M、闪存或类似的存储装置。
[0037]该计算装置21可以被设计用于从操作传感器Ilb接收校验信号并进行分析,该操 作传感器可以被布置在现场设备11或外壳Ila中,其中该现场设备11可以被布置在该外 壳中。该传感器Ilb例如可以是“篡改”传感器,即可以识别对现场设备11、对现场设备11 的部分或外壳Ila的物理操作的传感器。该计算装置21此外可以进行现场设备11的识别 和认证以及根据为现场设备11所选取的VPN配置构建和监控与VPN服务器的VPN连接。
[0038]该通信装置12包括网络装置24,通过该网络装置可以构建与VPN服务器的VPN连 接15a。在此,该VPN连接15a例如可以通过因特网、例如GPRS、UMTS、LTE或WiMAX的移动 无线电网络、例如WLAN的无线网络、以太网网络、令牌环网络或其他类似的网络来构建。
【权利要求】
1.用于现场设备(11)的数据通信的密码保护的方法(30),具有以下步骤:由通信装置(12)基于所述现场设备(11)的标识码来识别所述现场设备(11);由所述通信装置(12)选取分配给被识别的现场设备(11)的VPN配置;由所述通信装置(12)基于所选取的VPN配置构建VPN连接(15a);以及由所述现场设备(11)通过所构建的VPN连接向VPN服务器(16 )传送控制数据。
2.根据权利要求1所述的方法(30),此外具有以下步骤:由所述通信装置(12)借助认证方法对所述现场设备(11)进行认证。
3.根据权利要求1和2之一所述的方法(30),此外具有以下步骤:检测来自被分配给所述现场设备(11)的操作传感器(Ilb)的校验信号以便监控所述现场设备(11)的完整性。
4.根据权利要求1到3之一所述的方法(30),其中由所述通信装置(12)选取VPN配置包括选取存放在所述通信装置(12)的存储器(23)中的VPN配置。
5.根据权利要求1到3之一所述的方法(30),其中由所述通信装置(12)选取VPN配置包括从配置服务器(18)接收所分配的VPN配置并存储该VPN配置。
6.根据权利要求1到5之一所述的方法(30),此外具有以下步骤:由所述VPN服务器(16)通过所述VPN连接(15a)对所述现场设备(11)进行认证。
7.根据权利要求1到6之一所述的方法(30),此外具有以下步骤:在所述VPN连接(15a)已被构建之后,由所述通信装置(12)监控所述现场设备(11)的运行状态;并且如果所述现场设备(11)不再与所述通信装置(12)连接或是去激活的,那么断开所述 VPN 连接(15a)。
8.用于现场设备(11)的数据通信的密码保护的通信装置(12),具有:通信接口(22),所述通信接口被设计用于构建与连接到所述通信接口(22)上的现场设备(11)的本地通信;计算装置(21),所述计算装置被设计用于通过所述通信接口(22)基于所述现场设备(11)的标识码来识别所述现场设备(11),并且选取分配给被识别的现场设备的VPN配置; 和网络装置(24),所述网络装置被设计用于基于所选取的VPN配置构建与VPN服务器(16)的VPN连接(15a),其中所述VPN连接(15a)被设计用于向所述VPN服务器(16)传送所述现场设备(11)的控制数据。
9.根据权利要求8所述的通信装置(12),其中所述计算装置(21)此外被设计用于借助认证方法对所述现场设备(11)进行认证。
10.根据权利要求8和9之一所述的通信装置(12),其中所述计算装置(21)此外被设计用于接收来自被分配给所述现场设备(11)的操作传感器(Ilb)的校验信号以便监控所述现场设备(11)的完整性。
11.根据权利要求8到10之一所述的通信装置(12),此外具有:存储器(23),在该存储中存放有多个VPN配置,所述计算装置(21)从所述多个VPN配置中选取VPN配置。
12.根据权利要求8到10之一所述的通信装置(12),其中所述计算装置(21)此外被设计用于从配置服务器(18)通过所述网络装置(24)接收被分配给所述现场设备(11)的VPN配置。
13.根据权利要求8到12之一所述的通信装置(12),其中所述计算装置(21)此外被设计用于监控所述现场设备(11)的运行状态,并且 如果所述现场设备(11)不再与所述通信装置(12)连接或是去激活的,那么断开所构建的VPN连接(15a)。
【文档编号】H04L29/06GK103460669SQ201280017859
【公开日】2013年12月18日 申请日期:2012年3月30日 优先权日:2011年4月12日
【发明者】R.法尔克 申请人:西门子公司