CN102804724B - 在自动化装置之间防操纵的数据传输 - Google Patents

在自动化装置之间防操纵的数据传输 Download PDF

Info

Publication number
CN102804724B
CN102804724B CN200980160006.2A CN200980160006A CN102804724B CN 102804724 B CN102804724 B CN 102804724B CN 200980160006 A CN200980160006 A CN 200980160006A CN 102804724 B CN102804724 B CN 102804724B
Authority
CN
China
Prior art keywords
automation
secret
automation device
data message
sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200980160006.2A
Other languages
English (en)
Other versions
CN102804724A (zh
Inventor
G.纽曼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of CN102804724A publication Critical patent/CN102804724A/zh
Application granted granted Critical
Publication of CN102804724B publication Critical patent/CN102804724B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/081Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying self-generating credentials, e.g. instead of receiving credentials from an authority or from another peer, the credentials are generated at the entity itself

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

为了能够在使用相对小的计算容量的条件下针对错误和操纵从而确保在自动化装置(20a,20b)之间的数据报文的传输,本发明建议:在两个自动化装置(20a,20b)中通过多次应用单向函数产生具有秘密字符串序列的一致的列表(26),并且对于数据报文利用秘密字符串中的一个来产生检验标识。在接收的自动化装置(20b)中将所述检验标识与同样利用秘密字符串所产生的比较检验标识进行比较。仅当所述比较检验标识与该检验标识一致时才将所述数据报文归类为可靠的。本发明还涉及自动化装置(20a,20b)和一种自动化设备(10)。

Description

在自动化装置之间防操纵的数据传输
技术领域
本发明涉及一种用于将数据报文从自动化设备的第一自动化装置传输到自动化设备的第二自动化装置的方法。本发明还涉及一种相应的自动化装置和一种具有这样的自动化装置的自动化设备。
背景技术
对于供电网、工业过程或制造设备的自动化,采用通常包括多个自动化装置的自动化设备。在供电网的情况下,自动化设备例如具有保护装置、控制装置、站控制装置和电网控制装置作为自动化装置。在此,提到的自动化装置承担用于控制、监视和保护供电网的不同的任务。
自动化的过程通常是安全性关键的应用。因此例如关于供电网存在提高的安全性要求,因为在此涉及特定区域的基础设施的主要组成部分,用于例如对家用、公共设施、工商业和工业企业、电信设备和其他耗电器供电。
因此要保护自动化设备以防止如通过通信连接的外部干扰可能出现的错误传输数据报文。此外在自动化设备中的数据传输中还越来越频繁地应用公知的通信结构;例如在用于供电网的自动化的设备中使用越来越多的利用公知的以太网技术的通信网络。广泛应用的通信技术的采用使得一方面可以将新的装置和应用简单嵌入到现有的网络中并且不同制造商的自动化装置具有可相互操作性,然而另一方面也成为了第三方操纵对自动化设备的潜在的攻击点。
例如可以考虑如下情形,在该情形中未经授权的第三方将错误的或改变的数据报文馈入到自动化设备的未受保护的通信网络中,以便由此有针对地触发自动化设备的故障。例如在此可以由攻击者馈入冲撞通信网络的拓扑的新配置的那些数据报文。在重复馈入这些数据报文的情况下,自动化设备的通信网络通过持续的新配置被带入过载状态,在该过载状态下最坏的情况不再能够传输用于自动化所需的数据报文。
因此要保护为了对各个过程进行自动化而采用的自动化设备,一方面防止错误的数据传输,并且另一方面防止通过外部侵入进行的操纵。
为了确保在自动化装置之间的通信路径,目前公知采用加密方法,例如按照PKI(PublicKeyInfrastruktur,公钥基础设施),其中传输的数据报文借助由公共的和私有的密钥组成的不对称密钥对来验证,以确保传输的数据的数据完整性。然而这样的验证方法的前提条件是具有相对高的计算容量,以便能够实时地加密和解密要发送的和要接收的数据报文。为此所使用的自动化装置的计算容量由此不再提供给其他应用,从而自动化装置必须构造为具有高的计算容量,由此自动化装置的制造成本相应提高。
替换地,例如DE1004004344A1对于与因特网相连的自动化设备提出,通过设置单向通信连接这样构造网络拓扑,使得不可能从因特网对自动化设备进行未授权的访问。然而该替换方案没有考虑在自动化设备本身的内部未授权地馈入数据报文的可能性。
发明内容
由此本发明要解决的技术问题是,能够以对自动化装置的计算容量的相对小的要求确保在自动化设备的自动化装置之间的数据报文的传输不出现传输错误和第三方操纵。
本发明通过一种用于在自动化设备的自动化装置之间传输数据报文的方法解决上述技术问题,其中在两个自动化装置中产生具有秘密字符串序列的一致的列表,其中从对两个自动化装置来说是已知的秘密的起始字符串(Ausgangs-Zeichenfolge)中通过多次应用单向函数这样产生序列,即,分别从在序列中的前面的秘密字符串借助单向函数来产生在序列中随后的秘密字符串。在第一自动化装置中产生数据报文,其包括数据片段和检验标识,其中检验标识是在使用至少所述数据段和在第一自动化装置的列表中在序列的第n个位置上所实施的秘密字符串的条件下产生的。将数据报文传输到第二自动化装置,并且在使用至少所接收的数据报文的所述数据段和在第二自动化装置的列表中在序列的第n个位置上所实施的秘密字符串的条件下产生比较检验标识。将接收的数据报文的检验标识与比较检验标识相比较,并且当检验标识与比较检验标识一致时将其分类为可信任的。
在此,单向函数应当理解为一种对应规定,该对应规定是不可逆的,即,在使用单向函数的条件下虽然可以从输入值计算目标值,然而通过单向函数的逆从目标值反向计算输入值是不可能的或者仅具有可忽略的微小可能性。对于单向函数的例子例如是所谓的哈希(Hash)函数,例如SHA-1(SHA=SecureHashAlgorithm,安全哈希算法)、SHA-256、MD5(MD=MessageDigestAlgorithm,信息摘要算法)。
通过在自动化装置中呈现具有秘密字符串的一致的列表对并且在传输数据报文时分别将秘密字符串引入到检验标识的产生中,可以以相对小的计算开销检验所接收的数据报文的完整性。也就是为此仅需在使用相应的秘密字符串的条件下在接收的自动化装置中产生比较检验标识,所述比较检验标识与在所接收的数据报文中包含的检验标识相比较。比较检验标识的产生和与所传输的检验标识的比较,与PKI密钥方法的应用相比,需要明显更小的计算开销。
按照本发明的方法的一种优选扩展,如果检验标识与比较检验标识不同,则将数据报文作为无效的舍弃。由此可以实现,在检验标识与比较检验标识不一致的情况下将接收的数据报文归类为不可靠的并且作为无效的舍弃。因此在接收的自动化装置中不执行在数据报文中可能存在的命令。
按照本发明的方法的另一个优选实施方式,也可以在使用单向函数的条件下产生检验标识和比较检验标识。由此在传输数据报文时可以实现特别的安全性,因为从数据报文的数据内容中不能推出所使用的秘密字符串。
按照本发明的方法的另一个优选实施方式,在数据报文的每个进一步传输中,利用这样的秘密字符串产生检验标识和比较检验标识,所述秘密字符串在序列中分别位于在上一次传输数据报文时使用的秘密字符串的前面。
通过以相反顺序使用序列的秘密字符串-也就是例如对于第一数据报文的传输以在序列的最后的秘密字符串开始,对于数据报文的下一个传输分别跟随序列中更前面的秘密字符串-可以针对未授权的第三方的操纵实现更高的安全性。也就是,攻击者不能从窃取的数据报文中推出后面的数据报文的检验标识,因为通过单向函数产生的秘密字符串排除了对序列中的各个前面的秘密字符串的推导。
在这种关联中具有优势的是,在此分别使用这样的秘密字符串,所述秘密字符串在序列中紧挨着位于在上一次传输数据报文时使用的秘密字符串之前。以这种方式,可以以有效方式使用序列的所有秘密字符串用于传输数据报文,而不能从窃取的数据报文推导出下一个数据报文的检验标识。
按照另一个优选实施方式,在第一自动化装置中产生的数据报文也包括索引值,该索引值给出,在序列中的哪个位置上存在对于该数据报文的检验标识所使用的秘密字符串。由此可以有利地实现,即使在通过第一装置任意选择秘密字符串的情况下或在从一系列先后跟随的数据报文中丢失所发送的数据报文的情况下,第二自动化装置可以容易地找到合适的秘密字符串以用于检验所接收的数据报文的完整性。
在这种关联中具有优势的是,第二自动化装置从接收的数据报文中读出索引值,并且为了形成比较检验标识而使用在序列中位于通过索引值给出的位置上的那个秘密字符串。
关于在两个自动化装置中秘密字符串序列的产生,具有优势的是,在从第一自动化装置向第二自动化装置传输数据报文时,使用与在从第二自动化装置向第一自动化装置传输数据报文时不同的具有秘密字符串序列的列表。以这种方式更强地防范对数据报文的未授权的操纵,因为自动化装置的发送和接收装置使用具有秘密字符串的不同列表对。
按照本发明的方法的另一个优选实施方式,在两个自动化装置之一中随机产生秘密起始字符串,并且以加密的形式传输到另一个自动化装置。以这种方式可以保护为了计算秘密字符串序列的列表而被用作开始值的秘密起始字符串以防未授权的窥探。作为加密方法,例如可以使用具有不对称密钥对的PKI方法,因为该方法本来就已经由许多自动化装置所掌握。因为秘密起始字符串很少必须被传输,所以由此产生的计算负担是可忽略的小的。
优选还可以设置,在使用最后在序列中实施的秘密数据串之后,该秘密数据串还没有被用于形成检验标识和比较检验标识,在两个自动化装置中在使用新的起始字符串的条件下产生新的秘密字符串序列。以这种方式确保,在两个自动化装置中总是储备足够数量的秘密字符串用于传输数据报文。新序列的产生在此可以有利地作为后台功能进行,从而自动化装置的计算功率由此仅稍微受到影响。
上面提到的技术问题还通过一种具有控制装置和通信装置的自动化装置解决,所述通信装置构造为用于将数据报文通过通信连接传输到第二自动化装置,其中控制装置构造为用于执行按照前面描述的实施例的方法。
特别具有优势的是,自动化装置是对于供电网的自动化设备的自动化装置。因为供电网属于特别敏感的基础设施并且由此属于值得保护的对象,所以关于安全性要求对于相应的自动化设备存在特别高的要求。
上面提到的技术问题还通过一种具有至少两个相应于前面的描述而构造的为了传输数据报文而通过通信连接互相连接的自动化装置的自动化设备来解决。
附图说明
以下借助附图结合实施例详细解释本发明。其中,
图1示出了自动化设备的示意图,
图2示出了第二自动化装置的示意图,
图3示出了用于解释在两个自动化装置之间传输数据报文的方法流程,
图4A和4B示出了数据报文的例子,并且
图5示出了用于解释形成具有秘密字符串序列的列表的方法流程。
具体实施方式
图1示出了自动化设备10。对于以下解释示例性假定,自动化设备10是供电网的自动化装置。然而本发明也可以应用于其他的自动化设备,例如用于生产过程自动化或工业设备自动化的自动化设备。
自动化设备10包括所谓的现场设备11a、11b和11c,它们在空间上靠近自动化的供电网(未示出)布置并且其中例如可以是电气保护设备或电气控制设备。这些现场设备例如用于自动化地监视和保护供电网的部件,并且用于远程控制地打开和闭合在供电网中的电气开关。对于在用于供电网的自动化设备中的现场设备的其他例子例如是用于采集供电网中的电能质量的功率质量设备。
自动化设备10还包括站控制设备12,其执行被设置在上级的控制功能和对现场设备11a、11b和11c的测量值和消息进行综合。此外自动化设备10还包括电网控制设备13,例如用于操作和观察供电网的电网控制中心的数据处理装置。现场设备11a、11b、11c、站控制设备12以及电网控制设备13在下面应当被概括称为自动化装置。
现场设备11a、11b、11c和站控制设备12通过环形的通信总线14而彼此相连,而在站控制设备12和电网控制设备13之间设置了单独的通信总线15。
图1中的所述自动化设备10的拓扑结构仅仅被理解成示例性的。在本发明的范围内,可以设置任意的设备拓扑结构。
在自动化设备10的运行中,通过通信总线14和15在单个自动化装置之间交换数据报文,所述数据报文可以包含例如测量值、事件消息和控制命令。此外,通过通信总线14和15也可以传输特定的检验数据报文,其用于监视自动化设备的通信连接和拓扑结构。对于所有的传输的数据报文,存在数据完整性的要求,也就是说,数据报文的内容不允许通过传输错误或者未授权的第三方的操纵而被改变,因为否则的话可能会出现自动化设备10的故障。
传输错误主要是由于传输路径中的随机干扰或者外部影响引起的,而第三方的操纵总是有意地产生的。
图1的实施例中在此假设,在位置16将未被授权操作自动化设备10的数据处理装置17与通信总线14相连。在通信总线14的不安全实施的情况下,攻击者可以通过数据处理装置17将能够影响自动化设备工作方式安全性的错误的或被操纵了的数据报文馈入到通信总线14中。例如,这样的数据报文可能包含用于重新配置自动化设备10的自动化装置的命令、用于供电网组件的错误的控制命令或例如冒充在两个自动化装置之间的通信连接的故障的错误的检验数据报文。由此重要的是,将这些为了操纵目的而混入的数据报文识别为不可靠的并且不在自动化装置中执行其内容。以下参考图2至5描述对不可靠的数据报文的这样的识别。
图2示出了没有进一步详细示出的自动化设备的第一自动化装置20a和第二自动化装置20b。自动化装置20a和20b基本上具有相同的构造。由此仅对于自动化装置20a示例性地描述该结构。
自动化装置20a具有控制装置21,其包括计算装置22、存储装置23和安全性模块24。计算装置22例如可以是微处理器,例如所谓的CPU(CentralProcessingUnit,中央处理单元)。存储装置23可以通过可写和可读的数据存储器(例如硬盘、闪存)的任何形式来构造。安全性模块24仅出于图示目的特别强调地示出并且通常构造为由计算装置22实施的软件。计算装置22、存储装置23和安全性模块24为了数据交换而通过内部的通信总线25互相相连。此外,控制装置21还具有秘密字符串序列的列表26,其或者存储在单独的存储装置中或者存储在存储装置23中。两个自动化装置20a和20b具有相同的具有秘密字符串序列的列表。这些相同的列表也称为列表对。
控制装置21为了数据交换而与通信装置27相连。通信装置27构造为通过设置在自动化装置20a和20b之间的通信连接28来发送和接收数据报文“TEL”。
在列表对的每个列表26中包含的秘密字符串序列在两个自动化装置20a和20b中从起始字符串X0出发以相应的方式产生,方法是,首先从起始字符串X0中通过应用单向函数,例如,哈希函数H(X),形成第一秘密字符串
X1=H(X0)。
通过重新应用所述单向函数,从该第一秘密字符串X1中形成第二秘密字符串
X2=H(X1)=H(H(X0))。
该单向函数对分别最后计算的秘密字符串的该重复应用被一直应用,直到该序列包括事先确定的数量的秘密字符串。在序列中最后的秘密字符串Xm由此按照如下确定
Xm=H(Xm-1)。
除了单个秘密字符串之外,列表26附加地还包括与各个秘密字符串对应的索引值n,其给出了在秘密字符串序列中的位置,在该位置上存在确定的字符串。
以下仅示例性示出具有索引值n和各个与之对应的秘密字符串Xn的列表26的实施例,其是从起始字符串“INITIAL_VALUE”出发在应用单向函数的条件下按照哈希算法SHA-1产生的:
n Xn
1 f4c64441 45313c04 df52a0df cd53cea3 bcffc5b0
2 6a2eb64b 73d1364f c12d2fa4 dc0642fa 88d08986
3 31d6ca53 68ebc43a ce2d343a d33ef228 2bdd9ac5
... ...
m-1 6891c913 2892281e 909656a1 1f281942 dd7bb646
m 66919992 29d13ad7 38202452 340bda86 71b1bae5
在产生秘密字符串序列时,起始字符串X0或者可以被采纳到序列中或者-如在表中所示的例子中-从中排除。
由于使用的单向函数表示输入值到目标值的非可逆的(即,不可反转的)对应,因此不能从序列中从后面的秘密字符串中推导出前面的秘密字符串。
共同参考图2和图3,描述在自动化装置20a和20b之间的数据报文的防操纵的传输。
在第一自动化装置20a中该方法以在方法步骤30启动数据报文的发送为开始。在接下来的步骤31中产生待发送的数据报文的内容。在接下来的方法步骤32中在第一自动化装置20a中从具有秘密字符串序列的列表26中选出秘密字符串,例如在序列的第n个位置上的字符串。在使用待发送的数据报文的至少一个数据片段和选择的秘密字符串Xn的条件下借助另一个单向函数,例如所谓的“HMAC函数”(HMAC=HashMessageAuthentificationCode,哈希消息认证码)产生检验标识,该检验标识在步骤33中被附加于待发送的报文。
在步骤34中将数据报文从第一自动化装置20a传输到第二自动化装置20b,该第二自动化装置20b在步骤35中接收数据报文。
为了排除在两个自动化装置20a及20b之间的传输路径上发生传输错误或对数据报文的操纵,第二自动化装置20b在下一个方法步骤36中在使用与由第一自动化装置20a为了确定检验标识在步骤32中已经使用的相同的单向函数的条件下来确定比较检验标识。该比较检验标识是在使用至少所接收的数据报文的数据片段和从第二自动化装置20b的列表26中读出的秘密字符串Xn的条件下被确定的。
因为这两个列表26在自动化装置20a和20b中基于相同的起始值X0被产生并且由此是相同的,所以对于形成比较检验标识所使用的秘密字符串Xn与在第一自动化装置20a中对于形成检验标识而使用的秘密字符串Xn也是一致的。
在步骤37中此时将接收的数据报文的检验标识与在步骤36中确定的比较检验标识进行比较。如果在接下来的步骤38中识别出,该比较检验标识与检验标识一致,则将接收的数据报文在步骤39a中归类为可靠的,因为与检验标识一致的比较检验标识仅当数据报文的数据片段也保持不变时才产生。
相反如果在方法步骤38中确定,比较检验标识与检验标识不同,则推导出数据报文的数据片段发生改变并且在步骤39b中将接收的数据报文作为无效的舍弃。仅在被归类为可靠的数据报文的情况下在第二自动化装置20b中将在数据片段中包含的测量值或消息作为有效的接收或必要时执行在数据片段中包含的命令。
通过在图3中描述的方法,一方面可以确保,传输的数据报文没有在传输路径上被操纵,即被改变(所谓的“Man-in-the-middle-Angriff”)。另一方面可以防止由第三方在两个自动化装置20a和20b之间的传输路径上附加馈入的数据报文被第二自动化装置20b归类为可靠的,因为馈入错误数据报文的攻击者没有关于为此要使用的秘密字符串的所需消息,以产生用于数据报文的正确检验标识。
通过如下还可以进一步提高安全性,即,对于数据报文的各个数据传输所选择的字符串以序列的相反顺序从列表26中选出,即,例如在传输具有在使用秘密字符串Xn的条件下产生的检验标识的数据报文之后,在随后对数据报文的传输中仅使用在秘密字符串Xn前面的秘密字符串,例如Xn-1或Xn-2。为了确保尽可能有效利用列表,总是使用在序列中直接位于最后所使用的秘密字符串之前的字符串(即,例如首先Xn,然后Xn-1,然后Xn-2,等等。)
为了进一步提高在数据传输中的安全性,可以设置,对于发送装置和接收装置准备好具有秘密字符串序列的不同的列表对,从而在从第一自动化装置20a向第二自动化装置20b传输数据报文时,采用与在从第二自动化装置20b向第一自动化装置20a反向传输数据报文时不同的列表对中之一。
此外在具有多于两个自动化装置的自动化设备中具有优点的是,对于在各两个相邻的自动化装置之间的通信分别使用本身的列表对,从而在两个自动化装置之间的各传输路径通过具有秘密字符串的至少一个本身的列表对来确保。
图4A示例性示出了传输的数据报文的结构。示出的数据报文40包括数据片段41“DATA”,其包含了与数据报文一起传输的真实的信息。检验标识42“CHK”附加于数据片段41,该检验标识42是在使用至少所述数据片段41和从列表26中读出的秘密字符串Xn的条件下产生的。必要时数据报文也可以包含所谓的头片段43“HEAD”,其例如可以包含数据报文的发送者和接收者以及其他通信相关的参数。在这种情况下也可以,不仅在仅使用数据片段41的条件下产生检验标识42,而且为此附加地还使用头片段43。
图4B示例性示出数据报文44,其除了包括数据片段“DATA”和检验标识“CHK”以及必要时的头片段“HEAD”之外还包括在索引值片段45中的索引值n,其表示序列中的位置,在该位置上存在为了检验数据报文在第一自动化装置中所使用的字符串Xn,以便使接收自动化装置对相应的秘密字符串Xn的选择变得容易。必要时检验标识“CHK”还可以在使用索引值块的条件下产生。
索引值n可以与图4B不同也包含在头片段“HEAD”中、在检验标识“CHK”中或者在数据片段“DATA”中。
因为如所解释的,数据报文的结构可以任意确定,所以必要的是,两个自动化装置20a和20b应用相同的规定来形成检验标识以及比较检验标识。
图5最后示出用于在两个自动化装置20a和20b中形成具有列表26的列表对的方法步骤。为此,在第一步骤50中在第一自动化装置20a中产生随机的起始字符串X0。在下一个步骤51中将该秘密的起始字符串X0利用第二自动化装置20b的公共密钥加密并且传输到第二自动化装置20b。
第二自动化装置20b在步骤52中接收加密了的秘密起始字符串X0并且在步骤53中在使用其私有密钥的条件下将其解密,从而在自动化装置20b中该秘密的起始字符串X0也以明文形式呈现。
从该起始字符串X0出发,当对于两个自动化装置20a和20b一致地确定秘密字符串的最大数量m时,可以在两个自动化装置20a和20b中产生具有秘密字符串序列的相同的列表。在采用该方法时提供,最迟在使用列表26中的最后的秘密字符串之后产生对于自动化装置20a和20b的新的列表对。为此例如可以在一个自动化装置中重新产生随机的起始字符串X0并且以加密形式传输到另一个自动化装置。由此总是提供足够多的秘密字符串以供数据报文的传输使用。
利用描述的方法步骤,可以特别简单,即,无需显著提高自动化装置的计算负荷,来确定传输的数据报文的完整性,因为为了检验完整性,仅产生比较检验标识并且将其与数据报文的接收的检验标识进行比较。由此与在利用PKI密钥对所有的数据报文应用数据报文的数字签名情况下相比,在自动化装置中产生显著更少的计算负荷。

Claims (13)

1.一种用于从自动化设备的第一自动化装置(20a)向所述自动化设备的第二自动化装置(20b)传输数据报文的方法,其中执行以下步骤:
-在两个自动化装置(20a,20b)中产生具有秘密字符串序列的一致的列表(26),其中,由两个自动化装置(20a,20b)中已知的秘密起始字符串通过多次应用单向函数这样产生序列,即,分别从在所述序列中的前面的秘密字符串中借助单向函数产生在该序列中随后的秘密字符串;
-在所述第一自动化装置(20a)中产生数据报文,其包括数据片段和检验标识,其中,所述检验标识是在使用至少所述数据片段和在该第一自动化装置(20a)的列表中在序列的第n个位置上实施的秘密字符串的条件下产生的;
-将数据报文传输到所述第二自动化装置(20b);
-在使用至少所接收的数据报文的所述数据片段和在所述第二自动化装置(20b)的列表中在序列的第n个位置上实施的秘密字符串的条件下产生比较检验标识;
-将所接收的数据报文的所述检验标识与所述比较检验标识进行比较;并且
-如果该检验标识与该比较检验标识一致,则将所接收的数据报文分类为可信任的。
2.根据权利要求1所述的方法,其特征在于,
-如果所述检验标识与所述比较检验标识不同,则将所述数据报文作为无效的舍弃。
3.根据权利要求1所述的方法,其特征在于,
-所述检验标识和所述比较检验标识也在使用单向函数的条件下产生。
4.根据权利要求1所述的方法,其特征在于,
-在数据报文的每个进一步传输中,利用这样的秘密字符串产生所述检验标识和所述比较检验标识,所述秘密字符串在序列中分别位于在上一次传输数据报文时使用的秘密字符串的前面。
5.根据权利要求4所述的方法,其特征在于,
-使用这样的秘密字符串,所述秘密字符串在序列中紧挨着位于在上一次传输数据报文时使用的秘密字符串之前。
6.根据权利要求1所述的方法,其特征在于,
-在所述第一自动化装置(20a)中所产生的数据报文也包括索引值,所述索引值给出,在所述序列中的哪个位置上存在对于该数据报文的检验标识所使用的秘密字符串。
7.根据权利要求6所述的方法,其特征在于,
-所述第二自动化装置(20b)从所接收的数据报文中读出索引值,并且为了形成所述比较检验标识而使用在所述序列中位于通过所述索引值给出的位置上的那个秘密字符串。
8.根据权利要求1所述的方法,其特征在于,
-在从所述第一自动化装置(20a)向所述第二自动化装置(20b)传输数据报文时,使用与在从该第二自动化装置(20b)向该第一自动化装置(20a)传输数据报文时不同的具有秘密字符串序列的列表。
9.根据权利要求1所述的方法,其特征在于,
-在一个或两个自动化装置(20a,20b)中随机产生所述秘密起始字符串并且以加密的形式传输到另一个自动化装置(20b,20a)。
10.根据上述权利要求中任一项所述的方法,其特征在于,
-在使用最后在序列中实施的秘密数据串之后,所述秘密数据串还没有被用于形成检验标识和比较检验标识,在两个自动化装置(20a,20b)中在使用新的起始字符串的条件下产生新的秘密字符串序列。
11.一种具有控制装置(21)和通信装置(27)的自动化装置(20a),所述通信装置被构造为用于通过通信连接(28)将数据报文传输到第二自动化装置(20b),其特征在于,
-所述控制装置(21)被构造为用于执行按照上述权利要求中任一项所述的方法。
12.根据权利要求11所述的自动化装置,其特征在于,
-所述自动化装置是用于供电网的自动化设备的自动化装置。
13.一种具有至少两个自动化装置的自动化设备,所述自动化装置为了传输数据报文而通过通信连接被互相连接并且被按照权利要求11或12构造。
CN200980160006.2A 2009-06-23 2009-06-23 在自动化装置之间防操纵的数据传输 Expired - Fee Related CN102804724B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2009/004705 WO2010149191A1 (de) 2009-06-23 2009-06-23 Gegen manipulation geschützte datenübertragung zwischen automatisierungsgeräten

Publications (2)

Publication Number Publication Date
CN102804724A CN102804724A (zh) 2012-11-28
CN102804724B true CN102804724B (zh) 2015-11-25

Family

ID=42304597

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200980160006.2A Expired - Fee Related CN102804724B (zh) 2009-06-23 2009-06-23 在自动化装置之间防操纵的数据传输

Country Status (6)

Country Link
EP (1) EP2446599B1 (zh)
CN (1) CN102804724B (zh)
BR (1) BRPI0924743A2 (zh)
RU (1) RU2491747C1 (zh)
WO (1) WO2010149191A1 (zh)
ZA (1) ZA201108809B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013205166A1 (de) * 2013-03-22 2014-09-25 Robert Bosch Gmbh Verfahren zum Erzeugen einer Einwegfunktion
DE102017102677A1 (de) * 2017-02-10 2018-08-16 Endress+Hauser Conducta Gmbh+Co. Kg Verfahren zur Authentifizierung eines Feldgeräts der Automatisierungstechnik

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101088245A (zh) * 2004-12-07 2007-12-12 思科技术公司 在网络元件中对消息有效载荷执行安全性功能

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6721890B1 (en) * 1999-05-04 2004-04-13 Microsoft Corporation Application specific distributed firewall
JP2001326632A (ja) * 2000-05-17 2001-11-22 Fujitsu Ltd 分散グループ管理システムおよび方法
US7352868B2 (en) * 2001-10-09 2008-04-01 Philip Hawkes Method and apparatus for security in a data processing system
US7401217B2 (en) * 2003-08-12 2008-07-15 Mitsubishi Electric Research Laboratories, Inc. Secure routing protocol for an ad hoc network using one-way/one-time hash functions
US7669058B2 (en) * 2004-08-10 2010-02-23 International Business Machines Corporation Secure remote password validation

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101088245A (zh) * 2004-12-07 2007-12-12 思科技术公司 在网络元件中对消息有效载荷执行安全性功能

Also Published As

Publication number Publication date
RU2012102017A (ru) 2013-07-27
EP2446599A1 (de) 2012-05-02
EP2446599B1 (de) 2016-04-20
RU2491747C1 (ru) 2013-08-27
CN102804724A (zh) 2012-11-28
WO2010149191A1 (de) 2010-12-29
BRPI0924743A2 (pt) 2016-01-26
ZA201108809B (en) 2012-08-29

Similar Documents

Publication Publication Date Title
US9252945B2 (en) Method for recognizing a manipulation of a sensor and/or sensor data of the sensor
EP2775660B1 (en) Message authentication method in communication system and communication system
US8693683B2 (en) Cryptographically secure authentication device, system and method
RU2690887C2 (ru) Модульное устройство управления безопасностью
CN102150392A (zh) 网络节点间的数据传输方法
US10728037B2 (en) Method for authenticating a field device of automation technology
WO2003107626A2 (en) Method for establishing secure network communications
CN112448941B (zh) 认证系统和用于认证微控制器的方法
US11303453B2 (en) Method for securing communication without management of states
CN106685775A (zh) 一种智能家电自检式防入侵方法及系统
CN112202773B (zh) 一种基于互联网的计算机网络信息安全监控与防护系统
US10862675B2 (en) Method for exchanging messages between security-relevant devices
CN115529168A (zh) 一种基于机器人与区块链多点操控加密系统
CN110120866B (zh) 现场设备的用户管理方法
KR102018064B1 (ko) Scada 통신 네트워크 보안을 위한 보안 통신 장치 및 방법
WO2022110688A1 (zh) 基于现场总线的数据传输方法、身份识别方法及系统
CN102804724B (zh) 在自动化装置之间防操纵的数据传输
CN109104401B (zh) 安全的基于实时的数据传输
CN109688584B (zh) 适用于资源受限网络节点的数据安全存储系统及方法
EP2023530A1 (en) Communication node authentication system and method, and communication node authentication program
US20200382521A1 (en) Network security interface component and data transmission method
KR20200043018A (ko) 차량 내부에서의 통신 방법
CN118413392B (zh) 一种可信的指令传输系统
US12058241B2 (en) Securely and reliably transmitting messages between network devices
CN111478948B (zh) 区块链接入方法、物联网设备及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20151125

Termination date: 20190623