本发明涉及一种用于在第一设备与第二设备、尤其是在自动化设施中的设备之间安全地交换配置数据的方法以及装置。
背景技术:
除了用于一个产品系列的所有设备并且版本相同的固件或软件之外,安装在自动化设施中的部件、诸如在制造和过程技术中的可编程存储控制装置(sps/plc)、在铁路技术中的能量分配装置或元件控制器中的智能现场设备通常还包含单独的、对于每个设备来说都不同的编程或配置。
为了简单地并且快速地更换例如失灵的设备,所述编程或配置数据附加地可以被存放在单独的外部的永久性存储器(诸如sd卡或者usb存储介质)中。在有损坏时,维修技术人员拆下有损坏的设备,取出外部存储器,将外部存储器插入到替换设备中并且将该替换设备连接在设施中。在启动时,替换设备从外部存储器读入数据,接收存放在所述外部存储器上的编程和配置数据,而且立即以与被替换的设备相同的配置来准备好投入使用。
存储介质也可以固定地安装在设施中、例如安装在开关柜中,使得所述存储介质在拆下设备时留在设施中而且在插入/嵌入设备时自动地与该设备连接。
这种外部的能插入到仪器或插入到设备中的存储设备具有如下优点:该设备在没有管理耗费的情况下立即得到正确的单独的配置数据。在经由例如设施的局域网来分配编程和/或配置数据时,必须首先确定在该设施中新的设备位于哪里以及该设备需要哪些数据。
另一方面,在外部可插入存储设备(所述外部可插入存储设备因此能以可拆卸的方式与仪器或设备连接)上的编程和配置数据可能具有如下缺点:具有对可拆卸的存储器的物理访问或对设备的物理入口的攻击者可以更简单地操纵这些数据。
技术实现要素:
因此,本发明的任务是能够实现在设备之间防操纵地交换配置数据。
按照本发明的用于在第一与第二设备之间安全地交换配置数据的方法包括如下步骤:
-利用所述第一设备的安全信息制订关于所述第一设备的配置数据的数字签名,
-将所述配置数据、所述数字签名以及安全令牌(sicherheitstokens)存储在外部存储设备中,而且
-将所述配置数据、所述数字签名以及所述安全令牌从所述外部存储设备加载到所述第二设备中。
通过第一设备的配置数据的签名,可以检验数据的完整性。为此所需的装置通过安全令牌得到第二设备,所述安全令牌连同被签名的配置数据被加载到第二设备中。在该方法中,外部存储设备用作这些信息的传输介质。因此,可以保证在外部存储设备上的数据不曾被改变。因此保证了当前的配置信息随时存在于外部存储设备上。这尤其能够实现:在通过第二设备来更换设备时,第一设备的当前配置被传输到第二设备上。因此,没有形成附加的管理耗费、例如由于中央配置服务器引起的配置耗费,在所述中央配置服务器中,必须报告配置数据的更新并且调用相对应地被更新的配置数据。
在一个有利的实施方式中,配置数据由第二设备借助于第一设备的签名和安全令牌来检验并且在检验成功时予以使用。
借此保证了:仅仅未被改变的配置数据被加载到第二设备中,并且因此没有将后来引入的有害代码插入到配置数据中。这尤其是在使用外部存储设备时是有利的,因为该外部存储设备可以简单地从设备移除并且在操纵之后重新被插入。
在一个有利的实施方式中,在第二设备中,在由第二设备加载和检验配置数据之后,利用第二设备的安全信息制订关于配置数据的数字签名,而且将所述数字签名存储在外部存储设备上。
由此,现在可以由第二设备从新更新在外部存储设备上的被改变的配置数据。
在一个有利的实施方式中,安全信息是私钥,而安全令牌是数字证书。
在此,私钥和数字证书是例如根据公钥架构(publik-key-infrastruktur)的不对称加密方法的要素。在此,包含在数字证书中的公钥明确地与私钥相关。在此,数据用私钥来加密并且可以用公钥来解密。通过对作为安全令牌随附于配置数据的数字证书的检验,也可以检验配置数据的可信性,其方式是将第一设备的现有的证书追溯到已经存在于第二设备中的证书、例如制造商的固定于固件中的值得信任的根证书上。这种值得信任的根证书、尤其是制造商的这种值得信任的根证书尤其存在于同一制造商的设备中。如果其他制造商的设备如第一设备被用作替换设备、也就是说用作第二设备,那么应保证:在第二设备中能使用适当的证书、例如第一设备的制造商的根证书。
如果针对配置数据的至少一个第一子集已经存在第一数字签名,那么在一个有利的实施方式中,仅仅针对配置数据的子集(对于所述子集来说还不存在签名),利用第一设备的安全信息来制订第二数字签名,或者通过配置数据的所有子集以及已经存在的签名利用第一设备的安全信息来制订数字签名。
在两种情况下保证了:在没有数字签名的情况下没有配置数据的子集,以及因此其完整性和可信性是不能检验的。如果配置数据的这种未被签名的子集例如被第二设备接受,那么第二设备的误配置或操纵可以变得可能。
在一个有利的实施方式中,配置数据以加密的方式存储在外部存储设备上。然而,对此,相对应的密钥例如必须存在于第一和第二设备的固件中,或者这种密钥可以由中央部件来查问。
按照本发明的用于安全地交换配置数据的装置包括如下设备,所述设备具有所述设备的配置数据、用于至少一个不对称加密方法的安全信息、加密计算单元以及与所述设备可拆卸地连接的存储设备,其中所述加密计算单元被设立为:制订关于配置数据的数字签名并且将配置数据、数字签名和安全信息的安全令牌存储到外部存储设备中。
在这种装置的情况下,在更换设备时,外部存储设备可以被拆卸、例如被拆下,而且与替换设备连接,借此所述替换设备接收被替换的设备已经具有的、精确地相同的配置。因此,使在更换设备时的管理耗费最小化并且避免了误配置。
在一个有利的实施方式中,数字签名以设备的安全信息的私钥来制订,而且安全令牌作为具有设备的公钥的数字证书存在。
通过使用数字证书,除了配置数据的完整性之外也可以检验它们的可信性而且因此可以保证配置数据由在证书中提到的证书特性来签发。
在一个有利的实施方式中,加密计算单元被设立为:在设备中的配置数据改变之后计算新的数字签名,并且将被改变的配置数据和新的数字签名存储到外部存储设备上。
在一个有利的实施方式中,加密计算单元被设立为:从外部存储设备读入安全的配置数据,借助于包含在安全的配置数据中的数字签名和安全令牌来检验安全的配置数据而且在检验成功时在该设备中使用所述安全的配置数据。
通过签名可以保证没有被操纵的数据被接收到第二设备中。
在一个有利的实施方式中,加密计算单元被设立为:利用该设备的安全信息来制订关于安全的配置数据的数字签名,并且将所述数字签名存储在外部存储设备上。
这能够实现:可以随时更新设备的配置数据,并且将所述配置数据安全地存储在外部存储设备上。
在一个有利的实施方式中,加密计算单元被设立为:在设备的证书更新之后计算新的数字签名并且将新的数字签名以及被更新的证书存储到外部存储设备上。
按照本发明的计算机程序产品能直接加载到数字计算机的存储器中,而且包括适合于执行之前提到的方法步骤的程序代码部分。相对应地,要求保护一种按照本发明的数据载体,所述数据载体存储所提到的计算机程序产品。
附图说明
按照本发明的方法以及按照本发明的装置的实施例在附图中示例性地示出而且依据随后的描述进一步予以阐述。其中:
图1作为流程图示出了按照本发明的方法的实施例;
图2a示出了配置数据的第一示例,所述配置数据已经按照本发明的方法制订;
图2b示出了配置数据的第二示例,所述配置数据已经按照本发明的方法制订;
图3以示意图示出了配置数据,所述配置数据在更新配置数据时被改变;
图4以示意图示出了配置数据,所述配置数据例如在将存储设备从第一设备更换到第二设备上时生成;并且
图5以框图示出了按照本发明的装置的实施例。
彼此相对应的部分在所有附图中都配备有相同的附图标记。
具体实施方式
图1示出了用于在第一与第二设备之间安全地交换配置数据的方法,所述第一与第二设备尤其实施相同的任务,并且是一个产品系列的相同的或非常类似的设备。这种设备例如是智能现场设备,所述智能现场设备以相同的产品系列和版本例如安装在自动化设施中,但是满足不同的任务。因而,各个现场设备仅仅在它们的配置数据的一部分中有区别。为了简化在由替换设备来更换这种设备时的耗费,使用在外部存储设备、诸如sd卡或者usb存储介质上的配置数据,所述usb存储介质在设备正常运行时与该设备连接。这种可拆卸的存储设备在更换时从设备除去并且与替换第一设备的第二设备连接。现在,为了在此保证在更换时外部存储设备不曾被操纵而且配置数据不曾被改变,使用用于不对称加密方法的安全信息用于保护,所述不对称加密方法通常存在于这种设备中。第一设备的这种安全信息例如是第一设备的私加密密钥。紧接着,配置数据连同数字签名和安全令牌被存储在外部存储设备中。安全令牌例如是数字证书,其方式是除了用于设备的标志符之外也包含与已经被用于签名的私钥匹配的公钥。现在,在交换配置数据时,外部存储设备从第一设备拆下并且与第二设备连接并且被加载到第二设备中。因此,配置数据可以有关其可信性和完整性予以检验。
在启动第二设备时,所述第二设备借助于数字签名和已经随附于配置数据的安全令牌来检验配置数据。这作为方法步骤14虚线地来绘制。有利地,第二设备仅仅在检验15成功时使用配置数据。因此,可以检验在外部存储设备上的配置数据的改变并且避免这种经操纵的配置数据的上传。
在一个有利的实施方案中,在第二设备中成功地检验配置数据的可信性和完整性之前,仅仅配置数据的一部分由第二设备使用,例如以便经由网络加载其它数据,而且稍后实施或重复检验。
检验数据的可信性,其方式是将现有的安全令牌、例如第一设备的已经存在的证书追溯到固定在第二设备的固件中的、值得信任的根证书上。通常,一个制造商的相同的产品系列和相同的版本的设备配备有该制造商的统一的证书。因此,制造商的这样的根证书适合于保护配置数据。在检验成功之后,第二设备可以利用自己的安全信息来执行对数据的新的签名,而且在外部存储设备上替换签名和所属的安全令牌。
第一设备以及也包括第二设备优选地可以将用于对在外部存储设备上的数据的签名的签名证书用作安全令牌。这种签名证书也可以被用于对测量或日志数据的签名或者也可以由控制指令来使用。不必使用自己的证书用于配置数据的数字签名。如果该设备没有这样的证书,原则上也可以使用任意的其它证书,例如用于建立安全的tls连接。这种证书不一定被设置用于这种数据签名,但是仍然可以被使用,因为这在实现用于使用和检验证书的功能时可以轻易地被考虑。
在图2a和2b中示出了用于配置数据a、b的签名的不同的选项。配置数据的子集a例如是已经在规划设备时集中地被分派的配置数据。配置数据的子集b例如是设备特定的测量数据(einmessdaten),所述测量数据在设备开始运转时单独地生成。配置数据a的子集不仅在图2a中而且在图2b中通过例如项目工程师的数字签名来予以签名。在图2a中仅仅通过第一设备b的安全信息对配置数据的子集b进行签名,而且附加相对应的安全令牌cert(b),也用参考符号105来表示。在图2b中示出的变型方案中,通过签名siga(a)的配置数据103的整个存在的集合(这里是子集a)关于子集a和子集b制订签名sigb(a,siga(a),b)或sigb(103),而且重新附加设备的安全令牌cert(b)。
在图3中示出了如下配置数据201,所述配置数据201由第一设备制订,并且作为配置数据201存放在外部存储设备中。如果配置数据的至少部分(参见被改变的配置数据
图4示出:如果第一设备得到新的安全令牌、尤其是新的证书cert(c),那么第一设备的配置数据201如何被改变。这例如可以在先前的证书cert(b)期满之后是这种情况。接着,在外部存储设备上,安全令牌由新的安全令牌cert(c)替换,而且关于配置数据的子集b的数字签名以根据安全令牌cert(c)的安全信息来生成而且被添加到配置数据。
如果外部存储设备与第二设备连接而且在检验签名和安全令牌之后以第二设备的安全信息和安全令牌对配置数据(这里是子集b)进行签名并且附加这两个数据,那么得到相同的配置数据203。接着,在这种情况下,安全令牌cert(c)对应于第二设备的安全令牌或数字证书。
现在,图5示出了具有第一设备100的装置,所述第一设备100与外部存储设备200连接。存储设备200例如可以通过usb接口以可拆卸的方式与第一设备100连接。安全的数字存储卡(简称为sd卡)同样能用作外部存储设备。这种卡例如也可以被插入到第一设备100中的相对应的插槽中或重新从第一设备100中的相对应的擦槽取出。第一设备包括内部存储器102,在所述内部存储器上存放有存储数据103、尤其是来自图2、3和4的子集a、b。这种第一设备100通常包括用于至少一个不对称加密方法(例如签名方法)的安全信息、尤其私钥104以及安全令牌105,所述安全令牌105例如包括属于私钥104的公钥作为数字证书,以及包括设备100的设备标志符,并且通过值得信任的机构来签名。所述值得信任的机构由根证书来代表。
内部存储器102与加密计算单元101连接。加密计算单元101用私钥104对配置数据103签名,也就是说形成数字签名。紧接着,配置数据103、数字签名以及安全令牌105作为配置数据201被存放在外部存储设备上。如果第一设备100的配置数据被改变,那么如已经描述的那样,被改变的配置数据重新被签名并且在外部存储设备200上更新。
如果设备100被第二设备300替换,那么外部存储设备200从第一设备拆下并且与第二设备300连接,参见虚线连接。第二设备300与第一设备不同在于第二设备的设备特定的私钥104'以及相对应地其它安全令牌105'或数字证书105'。
现在,第二设备300从外部存储设备200读出配置数据201,而且利用一并提供的处在证书中的公钥来检验数字签名。配置数据的可信性通过将数字证书105追溯到共同的根证书上来予以检验。如果不仅确定配置数据的可信性而且确认配置数据的完整性,那么第二设备300将配置数据加载到内部存储器102中,而且因此具有与第一设备100精确地相同的配置103。紧接着,通过加密计算设备101,配置数据103的数字签名利用第二设备300的私钥104'来生成,而且与第二设备300的证书105'一起存放到外部存储设备上。因此,第二设备可以重新在任意的时间在外部存储设备200上更新所述第二设备的自己的配置。
存在于第一和第二设备100、300上的安全令牌或例如用于测量数据签名、通信等的操作证书100、105也可以被用于保护在外部存储的配置数据。由此,实现了保护在外部存储设备200上的配置数据以防在物理访问时操纵。此外,不需要例如用于维修技术人员或者用于上级配置服务器的附加的管理耗费,以便提供具有与所要替换的设备精确相同的配置的替换设备。
所有被描述的和/或被绘出的特征都可以在本发明的范围内有利地彼此相结合。本发明并不限于所描述的实施例。