从计算机向至少一个现场设备无线发送数据的无线加密收发器和方法与流程

本发明涉及一种无线加密收发器(wireless dongle)，其用于从计算机，特别地，从个人电脑、膝上电脑、笔记本或平板电脑，向过程自动化系统的至少一个现场设备无线发送数据。此外，本发明涉及一种对应的方法。

背景技术：

经常在过程自动化技术中使用用于捕获和/或修改过程变量的现场设备。现场设备总体上指面向过程的并提供或编辑过程相关信息的所有设备。除传感器和传动器外，直接连接到现场总线的单元通常也被称作现场设备，并用于与诸如远程I/O、网关、链接设备和无线适配器的更高级别单元通信。

Endress+Hauser组织提供并分销了各种各样的这种现场设备。

在工业中，前述连接现场设备的有线数据传输具有降低布线成本、提高可服务性并从而为用户生成利益的潜力。在工业应用中，信息安全通常被认为比传统消费者应用更重要。无线解决方案在工业中尚未被普遍接受的一个原因是因为存在数据安全性不足导致的持续预留。

无线解决方案已经可用于许多消费者应用。一个示例是基于蓝牙系列中标准之一的无线解决方案。关于消费者区域内的测量技术应用，现有技术提供了诸如将运动者的心率或步数无线传输至移动显示/控制单元，例如，传输至具有集成蓝牙接口的移动电话的解决方案。

通常通过所谓的“配对过程”执行加密，在加密期间，两个通信伙伴之间交换加密密钥。由于远程站的限制，该密钥交换通常仅基于使用仅4个数字的密钥码的认证而发生。该4个数字通常被设置为(不可变更的)标准值，例如0000，特别地，用于不具有显示器的测量设备中，使得安全性进一步降低。

该类型的认证以牺牲安全性(security)为代价来优化消费者的操作方便性。这种最低限度的安全性不足以满足工业设施所需的安全级别。德国术语“Sicherheit”可被翻译为英语，如security或safety。英语术语security(安全性)比对应的德语单词“Sicherheit”更精确。术语safety(安全)意味着系统从其功能所预期地作出反应。总之，其像应当的那样可靠地工作。另一方面，安全性是指对信息的技术处理的保护，并且是功能可靠系统的特征。其旨在防止任何未授权的数据操纵或信息的公开。在下文中，如果未另外明确说明，德国术语“Sicherheit”和“sicher”总是指安全特征。

对于用户，使用计算机寻址和配置或参数化相应的现场设备是方便和容易的。例如，具有高计算性能以及通过鼠标、键盘和显示屏轻松操作的基础结构的优势可以用于在实际使用之前，甚至在现场中，配置对应现场设备。具有移动计算机的本地参数化也是常规方法。

通常，不仅在后一种情况下，而且还使用固定计算机，也不能确保安全。操作系统可能已过时，并且病毒扫描器可能未安装或更新。此外，诸如硬盘的存储器不能在被偷的情况下提供足够的避免被读取的保护。因此，例如因为可能在例如RAM的存储器上存在木马或病毒攻击，计算机不能进行安全加密操作。

许多计算机在潜在的外围设备方面是灵活的。然而，任何存在的无线接口，诸如蓝牙接口，不是针对工业应用优化的，例如关于现场设备的部分的功率预算。

结果是，计算机不能满足安全性和无线接口的特定需要，并且因此不适合用于工业应用。

技术实现要素：

本发明的目的是提出一种使现场设备能够安全且容易地配置的设备。

该目的通过一种用于从计算机向过程自动化系统的至少一个现场设备发送数据的无线加密收发器实现，该无线加密收发器包括：连接接口，特别地，USB接口，用于将所述无线加密收发器连接至计算机；无线接口，用于从所述无线加密收发器向所述现场设备发送数据；存储器，其上可保存至少一个密钥；算法单元，被设计为用于生成并测试签名和释放代码，以及用于进行至少一个非对称加密；以及壳体，其中无线接口、存储器、算法单元以及连接接口被布置在壳体中，其中，仅从壳体省略了与用于连接到计算机相关的连接接口的部分。

通过无线加密收发器，能够容易地并以用户友好的方式从计算机参数化一个或多个现场设备。通过使用加密，这些参数对攻击者是安全的。

优选地，无线接口是蓝牙接口；特别地，蓝牙接口对于低能量协议栈是足够的。这是节能接口。

为了防止潜在攻击者能够修改无线加密收发器的硬件，在一个有利的实施例中，无线加密收发器是铸造的。

此外，所述无线加密收发器包括保护措施，用于识别对壳体的操纵，诸如壳体的移除。如果攻击者试图移除无线加密收发器，这些保护措施开始起作用，并且复制最终呈现无害地使用。

为了进一步增强安全性，无线加密收发器在硬件中包括随机生成器。安全加密需要随机数；随机生成器硬件确保安全随机数。

该目的进一步通过一种用于从计算机向包括如上所述的无线加密收发器的过程自动化系统的至少一个现场设备发送数据的方法实现。该方法包括以下步骤：将无线加密收发器连接至计算机；建立无线加密收发器和现场设备之间的双向无线连接；利用密钥在现场设备中认证无线加密收发器，其中密钥存储在无线加密收发器上；当通过密钥的认证成功时，从现场设备向无线加密收发器发送数据块，其中通过非对称加密方法，特别地，使用混合加密，保护认证以及数据块的传输免于窃听；以及从无线加密收发器向现场设备发送数据。

在有利的实施例中，非对称加密方法包括基于算法类RSA的方法、基于素元(prime element)的数字信号算法(DSA)和/或基于椭圆曲线的数字信号方法(ECDSA)。这些是方便且安全的加密方法。

在另一个优选实施例中，方法包括用于执行抵抗边信道攻击的保护措施的步骤，特别地，通过持续运行代码、诸如插入冗余的运行平滑，以独立于数据地执行机器指令并避免条件转移；功耗随机化；用于抵抗电磁辐射的物理保护措施；和/或插入噪声，诸如代码混淆、栅格混淆和/或信号噪声。这使攻击者更难破解连接。

在一个有利的实施例中，现场设备对无线加密收发器的认证被进行为多因素认证，特别地，被进行为双因素认证，至少包括密码和无线加密收发器或无线加密收发器密钥的因素。这创建了多层防护。因此未授权的人更加难于获得对连接的访问。如果一个因素被泄露或失灵，攻击者必须处理至少一个其他障碍以成功侵入。

附图说明

参考以下附图更详细地解释本发明。这些附图示出了：

图1根据本发明的无线加密收发器，以及

图2在应用中的根据本发明的无线加密收发器。

在附图中，使用相同的参考符号标记相同的特征。

具体实施方式

使用参考符号D标记根据本发明的整体无线加密收发器，并在图1中示出。

无线加密收发器D包括连接接口USB。连接接口USB例如是USB接口、防火墙接口或雷电(thunderbolt)接口。无线加密收发器D可通过该接口USB连接至计算机C。

无线加密收发器D进一步包括无线接口BT，用于从无线加密收发器D或计算机C向现场设备FG传输数据。接口BT例如被设计为蓝牙接口、WLAN接口或诸如紫蜂(Zigbee)的基于无线标准IEEE 802.15.4的无线连接。优选地使用蓝牙。蓝牙接口特别地满足作为“蓝牙低能量”(也称为BTLE、BLE或Bluetooth Smart)的低能量协议栈。因此现场设备FG至少满足“蓝牙4.0”标准。

无线加密收发器D进一步包括算法单元μC和存储器M。在存储器中可保存至少一个密钥。算法单元μC被设计为生成和测试签名和释放代码，以及执行至少一个非对称加密。

无线加密收发器D包括壳体，其中布置有无线接口BT、存储器、算法单元μC和连接接口USB。仅从壳体省略了与用于连接到计算机C相关的连接接口USB的那部分。无线加密收发器D被封装或铸造，使得在不破坏与操作相关的部分的情况下不可能打开无线加密收发器。此外，无线加密收发器包括保护措施，例如用于识别对壳体的操纵，诸如壳体的移除。

此外，无线加密收发器包括硬件随机生成器Z。

图2示出了无线加密收发器D的应用。可看到诸如传感器的过程自动化系统的现场设备。特别地，示出了两个现场设备FG1和FG2。传感器例如是pH传感器、氧化还原电位或ISFET传感器、温度传感器、电导率传感器、压力传感器、氧气传感器特别是溶解氧气传感器、或二氧化碳传感器；离子选择性传感器；光传感器特别是浊度传感器、用于进行氧浓度的光测定的传感器、或用于确定细胞数量和细胞结构的传感器；用于监控特定有机或金属混合物的传感器；确定化学物质例如特定元素或特定复合物浓度的传感器；或生物传感器，例如葡萄糖传感器。现场设备FG确定在所示的示例中的烧杯中的介质1的测量值。然而，可能使用其他容器，例如铅制容器、池、容器、导管、管道等等。

现场设备FG与更高级单元通信，例如直接与控制系统5或发射机通信。与控制系统5的通信通过总线4，例如通过HART、PROFIBUS PA、PROFINET、Modebus、FOUNDATION现场总线或EtherNet/IP来完成。附加地或可替代地，还可能将至总线的接口6设计为无线接口，例如根据WirelessHART标准(未示出)。此外，可选地或另外地，提供4.20mA接口。如果附加地或可替代地完成至发射机而不是直接至控制系统5的通信，则以上提及的总线系统均可用于通信，或者使用例如“Memosens”类型的专有协议。由申请人分配通过Memonses协议通信的Memosens协议或现场设备。

如所述，在现场设备FG的总线侧部分设置接口6。接口6将现场设备FG连接到总线4。在大多数通用有线方案中，接口6被设计为电隔离的特别是感应的接口。接口6包括两个部件，第一部件位于现场设备侧，第二部件位于总线侧。它们可通过机械插头连接。在一个实施例中，接口6用于发送数据(双向)并供能(单向，即从上级单元5至现场设备FG)。

现场设备FG还包括用于无线通信3的无线接口2，其例如被设计为蓝牙接口、WLAN接口或诸如紫峰(Zigbee)的基于无线标准IEEE802.15.4的无线连接。特别地，蓝牙接口特别地满足作为“蓝牙低能量”(也被称作BTLE、BLE、或Bluetooth Smart)的低能量协议栈。因此现场设备FG至少满足“蓝牙4.0”标准。

此外，图2示出了通过连接接口USB连接至计算机的无线加密收发器D。计算机C是个人计算机、膝上电脑、笔记本、亚笔记本、网络本、桌上型电脑、平板电脑等等。工业PDA用作另一个替换。加密收发器D通过接口USB由计算机C供电。

在一个过程自动化技术设施中发现多个现场设备FG。在大型设施中，存在多达几百个这样的现场设备FG。所有现场设备必须为其特定应用来配置。为此，必须在每个现场设备中进行特定配置、参数和设置。这可以例如通过总线4完成。然而之后，现场设备FG已经位于设施中并连接到总线，其通常是不合乎需要的。现场设备FG因此通常被预先配置，与设施分开。为了实现该目的，现场设备还连接到另一个总线或单独连接到对应的配置设备。这通常非常费力。利用根据本发明的加密收发器D，可以同时对多个现场设备FG无线地进行配置。此外，可从加密收发器D建立至一个或多个现场设备FG的连接。

在计算机上运行设计为配置现场设备FG的程序或应用。申请人出售这种软件。可以在计算机C上以用户友好和明确的方式快速地配置对应的现场设备FG的。计算机C可通过无线加密收发器D建立至现场设备FD的链路。由于配置现场设备FG时必须注意防止攻击者操控参数，在加密收发器D中实施前述(硬件)安全测量。

以下将介绍根据本发明的用于通过无线加密收发器D从计算机C向现场设备FG无线传输数据的方法。

无线加密收发器D连接至计算机C后，在加密收发器D和现场设备FG之间建立双向无线链路。在现场设备FG中借助密钥认证无线加密收发器D，其中密钥存储在无线加密收发器D中。一般地，在加密收发器D上优选地存储所有敏感数据，例如密码或密钥。因此加密收发器D还是密钥存储器。计算机C上不存储敏感数据，因为如所述，计算机易受到病毒或木马的攻击。计算机C上的用户必须输入正确的密码。一旦认证成功，在第二步，现场设备FG向计算机C发送数据块。优选地，在加密收发器的CPU中进行认证协议的计算，因为如果计算机被感染，加密收发器也可能遭受攻击。

将现场设备FG中对无线加密收发器D的认证被进行为多因素认证，特别地，被进行为双因素认证，至少包括密码和加密收发器或无线加密收发器密钥的因素。多因素认证是一种需要多于一种形式的认证，以验证连接的合法性的系统。组合授权的两个或更多独立证据，例如用户已知的东西(密码)、用户拥有的东西(安全令牌)、以及用户的东西(生物特征识别)。在当前示例中，是无线加密收发器D和密码。目标是建立多层防卫。因此未授权的人更加难于获得对连接的访问。如果一个因素被泄露或失灵，攻击者必须处理至少一个其他障碍以成功侵入。另一个可能的因素例如是计算机C上合适的读取器读入的指纹。

在连接时，在加密收发器D和现场设备FG之间建立双向连接，通过非对称编码方法特别是通过混合编码，抵抗非授权的读取和替换而进行认证以及数据块的传输。非对称加密方法包括基于算法类RSA的方法、基于素元(prime element)的数字信号算法(DSP)、基于椭圆曲线的数字信号方法(ECDSA)、和/或基于前述算法类的被称作PAKE协议(密码认证的密钥建立)。

加密收发器D或算法单元μC和运行在其上的程序包括抵抗边信道攻击的保护措施，特别地，通过持续运行代码、诸如插入冗余的运行时间平滑，以独立于数据地执行机器指令并避免条件转移；功耗随机化；抵抗电磁辐射的物理保护措施；和/或插入噪声，诸如代码混淆、栅格混淆和/或信号噪声。

如果当双向地建立连接时使用密码认证失败，允许仅在特定时间后建立另一个双向连接，特别地，在大于一分钟的时间之后。如果连接建立失败了多次，则将等待时间逐步增加到例如2分钟、5分钟等等。

在该情况下密码很短，特别地非常短以至于不能够被认为是加密地安全的。其具有例如小于128比特的熵。

在下一步中，从无线加密收发器D或计算机C向现场设备FG传输数据。数据例如是用于配置连接到加密收发器的现场设备FG的参数和设置数据。

参考标记列表

1 具有待测介质的容器

2 现场设备中的无线接口

3 无线连接

4 总线

5 控制系统

6 接口

7 现场设备中的存储器

BT 无线接口

C 计算机

D 无线加密收发器

FG 现场设备

G 壳体

M D中的存储器

μC 算法单元

USB 连接接口

Z 随机生成器