用于当在电气系统内安装时安全注册可移除电气设备的方法与流程

本发明涉及一种用于当在电气系统内安装可移除电气设备以替换故障的可移除电气设备时安全地注册可移除电气设备的方法。

本发明尤其涉及装配有嵌入式电子计算机的电切换和/或电保护设备的领域。

背景技术：

通过已知的方式，大量电切换和/或电保护设备(例如电路断路器、接触器或测量和监控设备)具备用于执行远程操作和控制功能的电子计算机。这些设备被称为正在“通信”。

这些电气设备旨在与电气系统(例如配电板或包封)进行交互，从而它们可以连接到它们旨在进行动作的电气设施，并且也可以连接到它们可以通信的通信网络。这些系统例如用在工业环境中，以控制对工业设施中的各件装备的电力供应。

这些电气设备通常在例如维护操作的过程中以可移除的方式连接到电气系统促进它们的连接以及尤其是它们的替换。

然而，出于安全性的原因，期望仅先前所授权的电气设备应在电气系统内是可连接的。否则，带有损坏系统的目的的受恶意修改的电气设备可能在不知悉系统管理者的情况下安装于系统内，这样构成不可接受的安全性的丧失。

因此，典型地，当安装或替换该电气设备时，必须在电气系统内注册它，然后可以使用它。出于安全性的原因，注册操作必须由具有特定安全性特权的人(例如系统管理者)执行。

然而，实际上，系统管理者并非总是可用以在适当的时间进行注册。这是因为，在工业设施中，电气设备的数量通常很高，并且这些设备可能在地理上分散在广阔的区域上。此外，在工业上情境中，如果故障产生，则通常必须非常快速地替换故障的设备，以避免对使用工业设施的不利影响。实际上，存在如果故障产生则可以对电气设备采取快速动作的维护操作员，但在此再次出于安全性的原因，并不期望他们具有与系统管理者相同的特权。

技术实现要素：

更具体地说，本发明旨在通过提出一种用于当在电气系统内安装可移除电气设备时安全地注册可移除电气设备的方法克服这些问题，使用该方法是便利的，而非由此危及系统的计算机安全性。

为此目的，本发明涉及一种用于当在电气系统内安装可移除电气设备以替换故障的可移除电气设备时安全地注册可移除电气设备的方法，其特征在于，所述方法包括步骤：

a)在电气系统内安装新的可移除电气设备以替换该电气系统的故障的可移除电气设备之后，通过所述电气系统的电子控制模块自动地获取所述新的可移除电气设备的嵌入式电子计算机的计算机存储器中所存储的用于所述新的可移除电气设备的第一安全性证书，该第一证书由对于所述系统已知的授权方签署；

b)验证所述第一所获取的安全性证书的真实性，该验证由所述电子控制模块执行；

c)生成用于所述新的可移除电气设备的第二安全性证书，该第二安全性证书包括所述新的可移除电气设备的所述电子计算机所生成的密钥；

d)从受信认证授权方获得用于所述第二安全性证书的签名，然后只有获得了该签名所述新的可移除电气设备才被注册于所述电气系统内。

作为本发明的结果，使用与受信认证授权方关联的对于每个可移除设备特定的安全性证书使得负责替换故障的设备的维护操作者能够注册已经新近地安装的设备以替换故障的设备，而无需获得高级安全性许可。这样促进在替换之时在系统内注册可移除设备，而不整体危及系统的计算机安全性。

根据本发明的有利但非必要方面，在电气系统内注册可移除电气设备的该方法可以按分离的方式或按任何技术可行的组合方式包括以下特征中的一个或多个：

-在步骤b)中，通过使用来自已经发布所述第一证书的主体的公共证书执行所述验证，该公共证书由所述系统持有。

-在步骤b)中，由受信认证授权方执行所述验证。

-所述方法在步骤a)之后还包括步骤：基于所获取的所述第一安全性证书中所包含的标识数据标识所述新的可移除电气设备，如果该新的可移除电气设备并未标识为与其在所述电气系统内替换的所述故障的可移除电气设备对应的可移除电气设备，则拒绝所述新的可移除电气设备的注册。

-所述方法包括步骤：当在步骤d)的结束时所述新的可移除电气设备已经被注册在所述电气系统内时，在所述认证授权方处撤销所述第一安全性证书。

-所述方法在步骤a)之前还包括步骤：

y)从所述控制模块的用户接口获取操作者所发布的注册请求；

z)响应于通过经由所述用户接口获取所述操作者所提供的标识符对所述操作者进行鉴权，只有所获取的标识符与先前所授权的预定标识符对应，才认为所述操作者得以鉴权，如果在该步骤z)的结束时所述操作者未得以鉴权，则不执行步骤a)至d)。

-只有所述电气系统内所安装的可移除电气设备已经检测为故障的，才授权执行步骤a)至d)，所述方法为此目的在步骤a)之前还包括步骤：检测所述电气系统内所安装的可移除电气设备中的故障。

-所述检测故障的步骤包括：检测所述可移除电气设备的所述嵌入式计算机与所述电气系统的所述控制模块之间的通信链路的丢失。

-所述方法包括步骤：通过所述可移除电气设备的所述嵌入式电子计算机生成所述第二安全性证书。

-所述第二安全性证书由所述可移除电气设备的所述嵌入式电子计算机的加密单元生成。

-所述方法包括以下构成的步骤：通过新的可移除电气设备以物理方式替换所述电气系统的故障的可移除电气设备，后接以下构成的步骤：通过执行上述步骤a)至d)在所述电气系统内注册所述新的可移除电气设备。

根据另一方面，本发明涉及一种电气系统，其包括装配有嵌入式电子计算机的至少一个可移除电气设备，该电气系统包括电子控制模块，其特征在于，所述电子控制模块编程为执行以下构成的步骤：

a)在电气系统内安装新的可移除电气设备以替换该电气系统的故障的可移除电气设备之后，自动地获取所述新的可移除电气设备的所述嵌入式电子计算机的计算机存储器中所存储的用于所述新的可移除电气设备的第一安全性证书，该第一证书由对于所述系统已知的授权方签署；

b)验证所述第一所获取的安全性证书的真实性，该验证由所述电子控制模块执行；

c)生成用于所述新的可移除电气设备的第二安全性证书，该第二安全性证书包括所述新的可移除电气设备的所述电子计算机所生成的密钥；

d)从受信认证授权方获得用于所述第二安全性证书的签名，然后只有获得了该签名所述新的可移除电气设备才被注册于所述电气系统内。

附图说明

根据完全通过示例参照附图的方式提供的、用于在电气系统内注册可移除电气设备的方法的实施例，以下描述本发明将更容易理解并且本发明的其它优点将更加明显，在附图中：

-图1是根据本发明的包括至少一个可移除电气设备的电气系统的示意性表示；

-图2是图1的电气设备所装配有的电子计算机的示意性表示；

-图3是根据本发明的用于当在图1的电气系统内安装可移除电气设备以替换故障的可移除电气设备时安全地注册可移除电气设备的方法的流程图。

具体实施方式

图1示出电气系统2，其包括可移除电气设备4a、4b、4c。

系统2在此与工业环境(例如比如用于对多个电力设备供电的电力分发网络)中的电气设施关联。例如，系统2是配电板或电气包封。

术语“可移除的”在此表示每个电气设备4a、4b、4c在其连接到系统2的连接位置与其断连于系统2的抽取位置之间以可逆的方式相对于系统2是可移除的。在图1中，设备4a和4b示出为处于其连接位置中，而设备4c示出为处于抽取位置中。

根据一个实施例，系统2包括：外壳，其均适用于容纳设备4a、4b、4c；以及引导和固连部件，其用于促进设备4a、4b、4c的移动以及它们在连接位置中的紧固。例如，设备4a、4b、4c通过平移可移动。设备也可以在成为可移除的同时安装在轨道上。

电气设备4a、4b、4c是例如电气保护和切换设备(例如电路断路器)。在变形中，它们可以是用于测量一个或多个电气参量的接触器或设备、或用于监控电气设施的操作的设备。

为了简明，这些电气设备4a、4b、4c在数量方面描述为三个，并且在此是彼此相同的。然而，实际上，可移除设备4a、4b、4c的数量可以是不同的。

相似地，这些可移除设备4a、4b、4c不一定彼此相同，并且可以是不同的。例如，同一系统2可以容纳不同种类的可移除设备4a、4b、4c(例如电路断路器和用于测量电气参量的设备)。

系统2还包括电子控制模块6，其包括可编程电子计算机8和用户接口10。

例如，计算机8包括逻辑计算单元(例如微处理器或微控制器)以及数据记录介质(例如计算机存储器(优选地非易失性的))，这两个组件是互连的。数据记录介质包括可执行指令，以用于控制模块6的操作，尤其用于执行下述图3的方法。

接口10在此(例如液晶屏幕或在等离子体或有机发光二极管类型的屏幕的变形中)包括电子屏幕。该电子屏幕适合于向操作者显示数据。接口10还包括数据捕获部件(例如键盘或触摸屏)。

根据其它实施例，接口10在物理上距系统2是远程的。例如，接口10在仍连接到系统2的同时安装在距其某距离处。在变形中，接口10可以采取可以通过平板或移动电话类型的计算机或移动通信设备访问的网站的形式。

模块6还包括通信接口(例如网络接口)，其提供对一个或多个远程计算机设备的数据链路12。例如，通过通信网络12(例如称为lan(用于“局域网”)的类型的本地通信网络)提供链路12。

具体地说，链路12使得模块6能够将自身连接到服务器14，服务器14适用于充当认证授权方，如下所述。服务器14(又称为认证授权方(ca))因此形成对于系统2已知的受信第三方。

设备4a、4b、4c均装配有可控制的电气设备16以及嵌入式电子计算机18，该嵌入式电子计算机18被配置为提供设备16的远程控制和操作的功能。

设备16尤其旨在连接到携带电流的一个或多个电力线。实际上，设备16形成设备4a、4b、4c的核心，并且使得其能够执行其功能。

在该示例中，由于设备4a、4b、4c是电路断路器，因此设备16是用于切断电流的机电装置，其尤其包括具有可分离的触点的断路单元以及用于触发该断路单元的机构。

在变形中，如果设备4a、4b、4c具有与电路断路器的功能不同的功能，则相应地修改设备16。

当设备4a、4b、4c处于对系统2的连接的位置中时，设备16例如经由系统2内所布置的一个或多个电力导体(未示出)连接到与系统2关联的电气设施。

相似地，当设备4a、4b、4c处于对系统2的连接的位置中时，计算机18能够例如经由系统2内所布置的有线数据总线(未示出)与控制模块6进行通信。

如图2所示，计算机18在此包括数据输入/输出接口20、逻辑处理器22、加密单元24以及计算机存储器26。

处理器22在此包括可编程微控制器或微处理器。

加密单元24是安全处理器，又称为加密处理器或在汉语中称为“受信平台模块”。单元24显然能够安全地生成并且存储私有加密密钥，例如，以便实现公钥签名机制。

在变形中，加密单元24被省略。

存储器26存储用于设备4a、4b、4c的操作的可执行指令。这里，它还包含安全性证书28，其允许设备4a、4b、4c的单独鉴权。

例如，安全性证书28包括多个字段，每个字段包含数据元素，其通过示例的方式可以包括用于唯一地标识设备4a、4b、4c的序列号、软件版本号、证书的发布方的名称、证书的有效性的日期以及用以签署证书的算法的引用。根据示例，按默认提供的证书28是设备的制造商所安装的出厂证书。

在该示例中，认证授权方14在此情况下根据层级树形成包括多个认证授权方的信任链的部分。例如，一个或多个低阶层认证授权方附连至其的信任链包括根授权方。这些认证授权方中的每一个具有附连至其的甚至更低阶层的一个或多个其它认证授权方等等。每个受信授权被授权以取决于此签署认证授权方的安全性证书。该信任链是已知的，并且因此不更详细地描述。

例如，第一等级信任链与关联于诸如商业的主体的根授权方对应。紧接之下的等级与该主体的部门对应。其之下的等级与附连到这些部门的地理场所(诸如生产场所)对应。

现参照图3的流程图并且借助图1和2描述执行用于替换设备4a、4b或4c之一的方法的示例。

初始地，设备4a、4b和4c连接到系统2，并且处于操作状态下。例如，设备4a、4b、4c连接在同一网络中。这些设备之一(例如设备4c)然后变为故障的，并且终止于正常地进行操作，并且必须因此由同一类型的可移除设备的另一样品替换。

有利地，控制模块6被配置为，例如在设备4c仍处于连接位置中的同时通过自动地检测可移除电气设备4c的嵌入式计算机18与控制模块6之间的通信链路的丢失，来检测系统2中被包含在其外壳中设备4c里的故障。可以借助系统2的外壳中所安装的位置传感器来执行该检测。

然后必须由操作者人工地通过从系统2抽取故障的设备4c并且然后通过安装该设备4c的新样品(下文中称为“新的可移除设备”)执行替换。在该安装期间，将新的设备4c带领朝向连接位置，从而连接到系统2。

然而，出于安全性的原因，直到新的设备4c已经被注册在在系统2内，控制模块6才允许新的设备4c在功能上集成到系统中，以验证其真实性。

为此目的，模块6执行图3中所描述的自动注册方法。该方法开始于初始化步骤100。例如，该步骤100开始于模块6的接口10上的操作者所发送的请求之后。

有利地，除非模块6先前已经检测到故障的设备中的故障，否则不能执行初始化步骤100。这样确保操作者不能在没有有效原因时安装代替正常操作的设备的新的设备并且然后请求在系统2内注册该新的设备。

所述方法然后包括步骤102：对操作者进行鉴权。例如，模块6经由接口10向操作者自动地发送对提供预定标识符(例如用户名和密码所形成的标识符)的邀请。响应于此，操作者必须提供该标识符。

模块然后获取操作者在接口10上提供的标识符，然后将其与关于执行维护操作所授权的标识符的列表进行比较。

如果所获取的标识符并非与先前所授权的预定标识符对应，则在步骤104中，并不认为操作者得以鉴权，并且停止注册方法。

反之，如果所获取的标识符与先前所授权的预定标识符对应，则在步骤106中，认为操作者被鉴权。

然后，在步骤108中，模块6批准对操作者的授权，以替换故障的设备。例如，在此情况下经由接口10在已经对操作者进行鉴权之后并且在他已经发送请求以替换设备之后给予该授权。

当操作者已经进行用新的设备4c替换故障的设备时，模块6在步骤110中自动地验证新的设备4c是否实际上已经连接到系统2。例如，模块6尝试经由系统2的数据总线连接到嵌入式计算机18的接口20。

如果在该验证的结束时并未检测到新的设备4c，则认为替换已经失败，并且必须进而由操作者替换新的设备4c。例如，所述方法返回步骤108。

在相反的情况下，如果在步骤110的结束时正确地检测到新的设备4c，则在步骤112中，模块6连接到计算机18，以检索计算机18的存储器26中所包含的证书28。例如，模块6向控制器18发送请求，以用于控制器18将证书28发送到模块6。该证书28然后存储在模块6的计算机8的数据记录介质中。

在此可以经由安全链路(例如符合安全连接协议(例如tls(用于传输安全层))的安全链路)提供该连接。这并非必要的，但在此情况下，过程有利地使得可以验证产品实际上是与出厂证书关联的私钥(例如模块6所生成的并且新的设备4c所签署的随机元素)的处理器。

例如，有利地，在该步骤112期间，模块6不检索证书28，直到操作者已经经由接口10预先对此进行授权。

在该阶段，新的设备4c包含标准证书(称为出厂证书)，其并未由系统2识别为受信证书，因为其并非由系统2所信任的认证授权方14发布。然而，在此情况下通过信任链附连到认证授权方的已知授权方发布该出厂证书。例如，设备4c的制造商发布该出厂证书。在该示例中，该出厂证书又称为“第一安全性证书”。换言之，第一证书由对于系统2已知的授权方签署。然而，在该阶段，模块6并未获知该第一证书由已知的授权方签署。

在步骤114中，模块6自动地验证所获取的证书28的真实性。可以借助模块6信任的认证授权方(在此情况下，服务器14)执行该验证。

例如，模块6从证书28提取签名，并且经由链路12通过授权方14或通过制造商的证书验证该签名是否与对已知的根认证授权方的信任链所连接的认证授权方对应。

替代地，通过使用设备4c中所嵌入的数据(例如已经发布并且签署产品的出厂证书的主体的公共证书)执行该验证。目的在于验证设备4c实际上发源于制造商。制造商提供对应公共证书。换言之，通过使用来自已经发布第一证书的主体的公共证书执行该验证，该公共证书由系统2持有。

实际上，当对授权方14的安全链路12不可用时，使用保证出厂证书的真实性的公共证书是优选的。为此目的，制造商的公共证书优选地安装在模块6中。其例如唯一地由合适地授权的人安装在此。

如果不能验证出厂证书28的真实性，或如果验证产生否定结论，则证书未得以鉴权，并且新的设备4c的注册被拒绝。即使设备4c以物理方式安装在系统2中，其也不能在系统2内进行操作。

在相反的情况下，如果在该步骤114的结束时出厂证书28的真实性得以证实，则有利地，在步骤116中，模块6例如通过读取一个或多个对应数据字段的内容获取出厂证书28中所包含的标识数据。

标识数据尤其可以被用以标识设备4c的性质。例如，标识数据包括唯一地标识设备4c或至少设备4c的类型的产品参考。在该示例中，标识数据包括新的设备4c的序列号。该序列号可以伴随嵌入式计算机18所使用的操作系统的软件版本号。

然后，在步骤118中，模块6自动地验证设备4c是否与已经替换的故障的设备是相同类型的。基于步骤116中所获取的标识数据执行该验证。例如，这些标识数据与模块6所记录的参考数据进行比较。

如果在该步骤118的结束时，新的设备4c被标识为与已经替换的故障的设备不对应，则认为故障的设备的替换已经失败，并且操作者必须替换新的设备4c。例如，所述方法返回步骤108。

反之，如果新的设备4c标识为与故障的设备对应，则认为已经以物理方式安装新的设备。然而，在该阶段，新的设备4c不在功能方面集成到系统2中。有利地，在步骤120中，设备已经被物理地安装设备的确认经由接口10发送到操作者。

然后，在步骤122中，模块4c生成密钥以形成新证书。

在以下文本中，该证书和该密钥形成第二安全性证书(以下又称为“新证书”)。该第二证书与第一安全性证书或出厂证书不同。

在该示例中，计算机18基于其至少取得标识数据的第一证书中所包含的数据自动地创建第二证书。该新安全性证书以及显然密钥优选地由计算机6的加密单元26生成。然而，在变形中，当该单元26被省略时，第二证书由处理器22生成。

第二证书与第一证书显著不同在于，其在该阶段不由对于系统2已知的认证授权方签署。

然后发送让授权方14签署该新的证书的请求。

例如，该请求由设备4c生成并且发送。请求可以由模块6中继。在变形中，例如，如果设备4c可以访问服务器14，则设备4c不使用模块6发送该请求。

响应于该请求，如果认证授权方14认为其可以签署该第二证书，则其签署它并且然后将它返回模块6或设备4c。

如果由于例如链路12中的故障或因为授权方14不能签署第二证书所以在预定时间间隔内并未接收到已签署的第二证书，则注册方法在步骤124自动地停止。

反之，如果模块6或设备4c正确地接收到已签署的第二证书，则在步骤126中，设备4c使用该已签署的第二证书替代出厂证书。新的设备4c于是认为注册于系统2内并且可以在该系统2内正常地进行操作。

换言之，在注册的结束时，新的设备4c的出厂证书被由对于系统2已知并且被系统2信任的本地认证授权方签署的第二安全证书替换。

其指示新的设备4c的真实性得以识别。

有利地，在步骤126之后的步骤128中，一旦已经在系统2内注册新的可移除电气设备4c，就在认证授权方14处撤销第一安全性证书(即已经替换的故障的模块的证书)。在此，模块6通过将对该效果的请求经由链路12发送到授权方14请求该撤销。然后向系统的所有元件通知证书被撤销并且因此不能使用。

这样确保已经替换的故障的设备不能使用同一信任链重新集成到系统2中或另一电气系统中。

注册方法在最终步骤130中终止。

有利地，在该步骤130的结束时，模块6自动地向计算机18提供预定配置参数。这些参数例如记录于计算机8中并且与前一设备所使用的操作参数对应。

作为本发明的结果，使用与受信认证授权方关联的对于每个可移除设备特定的安全性证书使得负责替换故障的设备的维护操作者能够注册已经新近地安装的设备以替换故障的设备，而无需获得高级安全性许可。这样促进在替换之时在系统内注册可移除设备，而不整体危及系统的计算机安全性。

上述方法可以有利地用于同时替换同一系统2内的多个故障的可移除设备。在此情况下，关于所替换的设备中的每一个反复迭代上述步骤。

然而，例如，当故障的设备彼此相似，是同一型号并且具有相同功能时，问题可能出现。步骤118可以于是修改为使得系统2能够知道已经替换故障的设备中的哪一个。例如，操作者受邀请以经由接口10录入指定他刚已经替换的设备的标识符。这些数据由模块6记录于监控日志中，伴随时间戳信息和操作者的标识符，以确保在其它问题的情况下操作的可追溯性。

以上所考虑的实施例和变形可以彼此组合以创建新的实施例。