用于检验风力发电设备的模块的完整性的方法和装置与流程

本发明的对象是一种根据专利权利要求1的前序部分的用于检验技术设备的模块的完整性的方法和装置。

背景技术：

作为技术设备下面示例地描述了一种风力发电设备。

可再生能量在能量供应中起到越来越大的作用。尤其大型风电场被视为关键基础设备，其it安全性须随时得到保障。

为了风力发电设备的自动化例如使用直至四个的控制套件和操作终端。风力发电设备的主控制装置例如被划分成在风力发电设备的基座中和在吊舱中的两个控制套件。另一控制套件处在桨叶中且控制转子叶片。为了设备监控可设置有另一控制套件。在操作终端(涡轮机op)上显示了设备的操作界面。

控制套件具有经保护的(＝经加密的)范围，其包括配置参数或者实时环境。该范围以主密钥来保护。

在这样的高度复杂的风力发电设备的情形中存在如下问题，即，模块可未经授权地被从模块的组合体中移除，从而然后在风力发电设备的组合体之外被分析或同样可能被改变。

目前为止这是可能的，因为在风力发电设备的目前为止的模块的情形中对于模块的运行而言必要的主密钥被存储在模块本身中。然而因此存在如下缺点，即，在主密钥在风力发电设备的相应模块中的永久储存的情形中模块可以如下方式被危及，即，在模块处发生未经授权的干预。

现代的基于加密编码方法的安全设计的核心部件是主密钥(master-key)。在当前系统的情形中，master-key由用户来输入或借助于masterkey-derivation-funktion(主密钥导出函数)由控制装置的硬件特征(内部设备或直接被插到控制装置处的设备，例如cf卡或usb加密狗)被推导出。

在自动化技术的环境中，不仅主密钥通过用户的输入而且主密钥由硬件特征的推导具有如下缺点：

·在自动化技术中，主密钥通常由机器制造商来分派。由主密钥推导出的密钥被用于保护机器制造商的知识产权。当主密钥被直接输入时，其对于机器制造商的职员而言是已知的。当这些职员离开该公司时，这是安全风险。

·当主密钥通过内部设备的硬件特征的密钥导出函数被推导出时，控制装置的维修更换在不产生新的主密钥的情形中是不可能的。随后，所有被推导出的密钥同样须被重新产生，所有经加密的数据须以旧的密钥来解密且以新的密钥被再次加密。

·当密钥导出函数基于内部设备或插入的设备时，控制装置和设备可能被盗窃。被盗的控制装置正常启动，侵入者可无干扰地分析该控制装置。

技术实现要素：

本发明因此基于如下目的，即，说明一种避免上述缺点的用于检验技术设备、尤其风力发电设备的模块完整性的方法和装置。

该目的通过一种根据独立专利权利要求的特征的方法和装置来实现。

本发明的优选的设计方案和另外的有利的特征在从属权利要求中进行说明。

根据本发明的一个优选的实施例作如下设置，即，主密钥不被存储在风力发电设备的控制套件上且因此不可被读出。这是特别有利的，因为即使当控制套件被危及或被盗窃时，风力发电设备的开始运转不可以被改变的控制套件实现，因为主密钥在运行时借助于控制套件的周围环境才被推导出。

该方法的目的此时是经由其周围环境、也就是说经由其它被安装在设备中的控制套件推导出用于风力发电设备的控制套件的开始运转的主密钥。仅当主密钥由所有被安装在技术设备中的控制套件的特征被推导出且被鉴定为好时，技术设备的起动或开始运转是可能的。

作为对于所描述的方法而言的前提条件适用如下定义：

控制套件：

控制套件由cpu模块构成，其经由总线与设备的不同功能模块相连接。

主密钥(master-key):

在加密系统中的核心密钥，由其推导出在加密系统内的其它密钥。

密钥导出函数：

算法，其产生由密码或其它密钥构成的加密编码的密钥。

完整性：

完整性(作为cia分级标准的部分)包括数据的正确性以及系统的正确的工作方式。

不否认性(non-repudiation)：

之后，任何一个参与方不可拒绝向第三方的通信或数据。。

控制套件的预运行状态：

控制套件在初始启动过程之后的预运行状态，在其中对于主密钥而言的密钥导出方法被激活。

作为对于所描述的方法而言的前提条件适用如下定义和条件：

·在风力发电设备中存在三个或多个控制套件或操作终端。因为是否其是控制套件或操作终端对于该方法而言不重要，所以在进一步的描述中仅使用控制套件的概念。

·每个控制套件以例如经由ip或mac地址来定义的参数形式了解其周围环境。在这些参数的情形中此外如下同样须被确保，即，其不可被第三方操纵。

·控制套件在风力发电设备中以其被置于运行中的顺序不可影响密钥导出方法。

·各个控制套件须可执行重新启动，例如通过看门狗程序来触发，而其它的控制套件在此不被负面影响。这同样意味着如下，即，控制套件在正常运行状态中须能够响应协议。

·维修更换工作须可无问题地且无额外耗费地被执行。

·在主密钥被危及的情况中，其须可被更换。

每个在风力发电设备中的控制套件在供电之后在初步的所谓的预运行状态(pre-operationalstatus)中起动。在该预运行状态中，密钥导出方法被执行。

为了密钥导出首先每个控制套件基于其特性确定令牌。该特性可包括不同的特征，例如唯一的部件id、模块在总线处的位置、环境条件等等。紧接着，处在预运行状态中的控制套件经由请求要求其它控制套件的所谓的令牌，该其它的控制套件是其经配置的周围环境的部分。该其它的控制套件又加密编码地经由已知方法保护其令牌且将该令牌发回到发出请求的控制套件处。在此，加密编码的方法确保如下，即，令牌不可否认地(不否认性的确保)源于控制装置且令牌的任何操纵可被发现(完整性的遵守)。

在该时刻，此时每个控制套件具有其自己的令牌和其周围环境的所有控制套件的令牌。为了确保如下，即，相应的令牌同样明确地源于周围环境的经授权的控制套件，令牌经加密编码地对其完整性和起源进行检查。如果检验正确，环境控制套件的所有令牌流入到决策模块中，在其处借助于算法由这些令牌推导出最终的主密钥。借助于该主密钥，控制套件的经加密的范围此时被解密且控制套件的启动过程可被继续，其中，控制套件被转移到正常的运行状态中。如果所有控制套件处在该运行状态中，风力发电设备可被置于运行中。

本发明的一个特别的优点是，存在协议模块，其可构造成硬件模块或构造成软件模块。在为决策模块的部分的协议模块中，由各个控制套件所产生的令牌彼此相比较，且进行决策，是否所有控制套件设有有效的令牌。在令牌的检验和所有令牌存在的鉴定之后，主密钥才被产生且被用于将控制套件转移到其运行状态中。然后风力发电设备才可被置于运行中。

本发明的另一优选的特征是各个控制套件的完整性的检验，其同样在协议模块中被检验。这在前置于密钥电路的上游的决策节点中实现，且仅当在决策节点中令牌的有效性被鉴定为好时，实现密钥导出且其后于是在另一决策节点中实现经由被推导出的密钥的鉴定的决策，且然后设备才可被置于运行中。

本发明的发明对象不仅由各个专利权利要求的对象，而且由各个专利权利要求彼此的组合得出。

所有在附件包含摘要中所公开的内容和特征、尤其在附图中所示出的空间构造可作为对于本发明而言重要的被要求保护，只要其单独地或组合地相对现有技术是新的。“重要的”或“根据本发明”或“对于本发明而言重要的”概念的使用是主观的，且不意味着所谓的特征须强制是一个或多个专利权利要求的组成部分。

附图说明

下面，本发明借助示出仅一种实施途径的附图作详细说明。在此，由附图和其说明书得悉本发明的另外的对于本发明而言重要的特征和优点。

其中：

图1：显示了风力发电设备的示意性框图；

图2：显示了决策装置的示意性框图；

图3：显示了协议模块的框图。

具体实施方式

在图1中示意性示出了风力发电设备1，其包括借助于塔基7被锚固在地面处的塔44。吊舱2被固定在塔44的上端部处，在其内部空间中存在发电机，该发电机经由驱动轴与转子3相连接。

在吊舱2中布置有上级的监控控制装置4，其在下面通常被称作控制套件a或控制套件b或控制套件c。

在吊舱2中，此外存在逆变器5，其包括控制模块，该控制模块在下面通常被称作控制套件a,b或c。

在转子3的区域中存在转子控制装置14，其在下面同样通常被称作控制套件a和控制套件b或控制套件c。

上述模块4,5和14中的每个可承担下面所描述的控制套件a和控制套件b或控制套件c的任务。

由吊舱2起，以太网连接6或其它合适的总线连接经由塔44至塔基7，在其处大量另外的模块存在且同样地主控制装置8被安装。

主控制装置8处在与例如终端11的功能连接中，该终端例如包括显示装置和输入装置和用户输入，其中，该终端11经由信号连接12被连接在主控制装置8中。

此外还可存在另外的模块，其中，作为例子提及了监控模块10和网络交换机9。

整个风力发电设备1经由主控制装置8与高速通讯总线13相连接，风力发电设备经由该高速通讯总线与其它风力发电设备相连接且可与这些风力发电设备通讯。

图2作为功能框图显示了在控制套件a16与控制套件b17之间的电气连接，其中，控制套件a16与控制套件b17经由上述以太网连接6处在通讯连接中。

控制套件b17包括用于处理数据的cpu47，其经由以太网连接6和/或多个信号输入端将数据输送给控制套件b17，其中，例如可设置有传感器输入端、温度输入端、状态输入端1和状态输入端2。控制套件b17可具有大量另外的信号输入端。

由cpu47操控硬件安全模块45，由其出发产生内部的密钥46，由该密钥出发在cpu47的影响下产生令牌48。该令牌48经由逻辑路径27被输送给决策模块15，在其中实现关于令牌48的有效性的决策且最终同样实现对于所有连接在一起的模块而言有效的主密钥49的产生。

在图2中所示出的控制套件16,17以及在图3中被示意性示出的控制套件c18可相同地构造或至少具有上面所描述的部件，其中，相同的零件设有相同的附图标记。

因此同样由控制套件a(16)产生令牌48，其经由逻辑路径27被传送给决策模块15。相同的适用于控制套件c18(参见图3)。

在此如下被优选，当处在预运行状态中且还须被检查的控制套件b自身产生请求(询问25)，以便于要求决策模块15以其它控制套件a,c的其它令牌a,c(其在决策模块15中汇集)检查其所传输的令牌b。

决策模块15的功能在图3中被示出。在此如下被优选，当在图3中所示出的协议模块50被集成在决策模块15中时。

图3显示了用于主密钥由控制套件a,b,c所产生的令牌a,b,c的导出的部件。

假设如下，即，控制套件b16被重新安装到风力发电设备中或在控制套件b16处执行改变。

在控制套件b16的启动的情形中，下面所描述的流程被相应地执行。

为了简化假设如下，即，控制套件a17和控制套件c18已处在正常运行状态中。控制套件b16被起动且经历用于主密钥的导出的方法。

在起动之后，控制套件b16切换到预运行状态中且由控制套件a17和c18要求相应的令牌19,21。控制套件a17和c18相应地将其令牌19,21传输到相应的联结节点22,23处。令牌19,21的有效性由控制套件a来检验。当令牌有效时，主密钥被推导出。如果主密钥同样有效，控制套件b切换到正常运行状态中。

两个其它的控制套件17和18产生有效的令牌，其经由逻辑路径19和21被输送给协议模块的相关联的联结节点22,23。

假设如下，即，控制套件16尚未可投入使用且因此须对其完整性进行检查。为此，被存储在控制套件中的主密钥不是必要的。而是，根据本发明由控制套件16所产生的令牌足够，其经由逻辑路径20被输送给功能状态模块24。功能状态模块24产生控制套件b16的预运行状态，这也就是说，控制套件b16的完整性尚未被检验且因此整个风力发电设备尚不可被置于运行中。

在控制套件b16的该预运行状态中，由功能状态模块24出发将询问经由逻辑路径25和26发送到两个联结节点22和23处，以便于比较是否在逻辑路径19和21上的令牌以及在路径20或者路径25,26上的令牌有效。

相应地，在第一决策阶段中在联结节点22和23中实现来自各个控制套件17,16,18的各个令牌19,20,21的有效性检验，其中，控制套件b16仍处在预运行状态中，直至令牌20的有效性被检查。

在联结节点22和23中的令牌比较的鉴定的情形中，经由逻辑路径27,28,29操控另一联结节点30。

在此如下被优选，即，由处在预运行状态中的且待检验的控制套件16将询问25,26提给联结节点22,23，其用于经由联结节点22,23要求相应的控制套件17和18由联结节点22,23发出其令牌，更确切地说经由逻辑路径27和29，其中，于是总共三个令牌27,28,29在下游的联结节点30中被汇集，其之后经由逻辑路径31被发送到决策节点32处，该决策节点此时对于有效性检查所有三个传入的令牌。

如果产生故障，于是经由决策输出端33将最终状态34标记为故障，且风力发电设备1不可被置于运行中。

然而如果决策节点32对于三个待检验的令牌a,b,c决策，在下游的逻辑路径35上实现密钥导出37，且由该密钥此时产生主密钥49，其被输入给决策节点38。

在决策节点38中，主密钥49的有效性被检查。在此如果产生故障，经由决策输出端39将故障状态确定为最终状态40且风力发电设备1不可被置于运行中。

然而如果存在有效的主密钥49，那么在决策节点38的输出端处在逻辑路径41上将继续消息发送到中央控制装置处，其因此将控制套件b识别为有效。通过功能状态模块24，控制套件b16由预运行状态被置于正常运行状态中且风力发电设备可被置于运行中。

该措施的优点是，首先在第一步骤中在多个彼此平行布置的联结节点22,23的区域中将发出令牌的请求发到所有控制套件处，以便于可在下游的第二联结节点30中检查这些令牌。

只有当所有令牌的有效性在该下游的联结节点30中被识别出时，实现密钥导出，且由此然后产生主密钥。

例如，对于密钥导出而言可使用如下函数，如其作为pbkdf2(password-basedkeyderivationfunction2(基于密码的密钥导出函数))已知的那样。这是用于由密码推导出密钥的标准化函数，该密钥可以对称的方法被使用。

在使用这样的方法的情形中如下被优选，当对于密码而言伪随机函数(例如加密的哈希函数或hmac)与盐值一起被使用。该函数其后被多次应用到结果上。该联结使得如下变得困难，即，经由强力法从密钥推断出原始的密码。通过盐的使用额外地强烈地使得彩虹表的使用变得困难。通过提高通道的数量，该函数同样可被匹配于计算机的上升的功率。

pbkdf2方法仅是对于用于产生主密钥49的这样的密钥导出37的例子。然而还存在其它优选的方法，其适合用于由密码导出密钥，该密钥可以对称的方法来使用。

本发明不参照用于产生密钥46的硬件安全模块45的使用。

同样存在其它的带有加密编码操作的方法，其使得如下成为可能，即，确保数据和与此相联系的信息的可信度和完整性。

这样所描述的硬件安全模块是非常简单的情况，其同样可在其它实施方案中非常广泛地且更复杂地被执行。

硬件安全模块大多数提供了用于设备和密钥的安全管理的广泛功能。例子是操作者和管理者通过硬件令牌的授权(例如芯片卡或安全令牌)、在多眼原则中的访问保护(从n个人中的k个是必要的)、密钥和配置数据的经加密的备份、硬件安全模块的安全克隆。

原则上，硬件安全模块可被相应地用于加密编码地产生令牌。

附图标记列表

1风力发电设备

2吊舱

3转子

4监控控制装置

5逆变器

6以太网连接

7塔基

8主控制装置

9交换机(网络)

10监控模块

11终端

12信号连接

13通讯总线

14转子控制装置

15决策模块

16控制套件b

17控制套件a

18控制套件c

19逻辑路径(a)

20逻辑路径(b)

21逻辑路径(c)

22联结节点

23联结节点

24功能状态模块

25询问

26询问

27逻辑路径

28逻辑路径

29逻辑路径

30联结节点

31逻辑路径

32决策节点(令牌)

33决策输出

34最终状态

35逻辑路径

36决策节点

37密钥推导

38决策节点(密钥)

39决策输出

40最终状态

41逻辑路径

42起动过程

43决策装置

44塔

45硬件安全模块

46密钥

47中央处理单元

48令牌

49主密钥

50协议模块