CN103299310B - 用于在现场设备中保护安全模块免遭篡改尝试的装置和方法 - Google Patents

用于在现场设备中保护安全模块免遭篡改尝试的装置和方法 Download PDF

Info

Publication number
CN103299310B
CN103299310B CN201180065025.4A CN201180065025A CN103299310B CN 103299310 B CN103299310 B CN 103299310B CN 201180065025 A CN201180065025 A CN 201180065025A CN 103299310 B CN103299310 B CN 103299310B
Authority
CN
China
Prior art keywords
interface arrangement
control device
security module
field apparatus
trial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201180065025.4A
Other languages
English (en)
Other versions
CN103299310A (zh
Inventor
R.法尔克
S.弗里斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of CN103299310A publication Critical patent/CN103299310A/zh
Application granted granted Critical
Publication of CN103299310B publication Critical patent/CN103299310B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25428Field device
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)
  • Selective Calling Equipment (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)

Abstract

本发明涉及用于在现场设备(10)中保护安全模块(7)免遭篡改尝试的一种装置,其具有控制装置(1),该控制装置被构造用于控制该现场设备(10),具有安全模块(7),该安全模块被构造用于准备加密的密钥数据以由该控制装置(1)来使用,以及具有接口装置(6),该接口装置与该控制装置(1)和该安全模块(7)连接,并且其被构造用于使该控制装置(1)能够访问在该安全模块(7)中所准备的加密的密钥数据并在对该现场设备(10)进行篡改尝试时阻止对该加密的密钥数据的访问。

Description

用于在现场设备中保护安全模块免遭篡改尝试的装置和方法
技术领域
本发明涉及用于尤其在具有篡改保护的现场设备中保护安全模块免遭篡改尝试的一种装置和一种方法。
背景技术
诸如用于轨道和铁轨设备的、用于控制红绿灯或交通变换显示器或用于监控管道的控制设备的工业现场设备大多位于公众可接触的或者难以由运营者监控的区域,使得原则上不能排除未经授权的人试图接触现场设备并能够对其进行篡改尝试。在这种关联中,未经授权的干预和篡改也被称作“Tampering(篡改)”。
因为现场设备具有集成的安全功能,利用所述安全功能例如加密地保护与控制中心或计算中心的外部通信,所以有必要充分保护对应的安全重要的、该控制设备正常工作所需的数据免遭篡改。
为了存储安全重要的数据、例如加密的通信密钥,原则上对此适合的是针对该功能而特殊设置的安全芯片、例如安全IC,其不仅可靠地存储密钥数据,而且在芯片内部利用所述密钥数据来实施必要的加密计算。该安全芯片本身在此大多是防篡改的,也即嵌入到合适的防篡改环境中。
但是这种安全芯片不能被配备外部篡改传感器,利用所述外部篡改传感器可以检测在该芯片本身所嵌入的防篡改环境之外的篡改尝试。但是对于这种篡改尝试也期望能够保证在该安全芯片上安全重要的数据的保密。
在对该现场设备进行篡改尝试的情况下,迄今为止由该现场设备的计算单元或控制装置来负责导入安全措施。为此该控制装置必须处于激活的运行模式下。但该控制装置通常被切换为未激活状态,或者在篡改的情况下甚至不能运行或者没有被供给足够的电流。
从而需要解决方案,如果对该现场设备进行篡改尝试,那么借助所述解决方案就能够可靠、有效并快速地导入合适的安全措施,以保证在现场设备的安全芯片中安全重要的数据的保密。
发明内容
本发明的一个想法是,在现场设备的控制装置与常规的安全模块之间设置中间接口,该中间接口对在该控制装置与该安全模块之间安全重要的数据的交换进行监控,并在对该现场设备进行篡改尝试时能够自动地导入必要的措施,以对安全重要的数据保密。该中间接口不仅为该控制装置、而且为该安全模块来模拟常规的通信伙伴,使得不需要对现有的通信协议进行改变。
从而根据本发明的一个实施方案是用于在现场设备中保护安全模块免遭篡改尝试的一种装置,该装置具有控制装置,该控制装置被构造用于控制该现场设备,具有安全模块,该安全模块被构造用于准备加密的密钥数据以供该控制装置使用,并具有接口装置,该接口装置连接在该控制装置和该安全模块之间并实现所述控制装置和所述安全模块之间的通信,并且该接口装置被构造用于检验是否出现对该现场设备进行篡改尝试、能够使该控制装置访问在该安全模块中所准备的加密的密钥数据、并在对该现场设备进行篡改尝试时阻止对所述加密的密钥数据的访问。在该现场设备和/或该控制装置的电流供应以其他方式中断的情况下,该接口装置至少一直保持被供应电流,直到已经在安全模块中执行了合适的安全措施以保护加密的密钥数据。这所具有的优点是,能够以有效而成本低廉的方式来提供具有常规安全模块的现场设备,而不必改变该现场设备的现有的部件。
根据一个优选的实施方案,该装置包含有篡改传感器,该篡改传感器与该接口装置相连接,并且该篡改传感器被构造用于检测对该现场设备或该安全模块的防篡改环境所进行的篡改尝试并指示给该接口装置。从而该接口装置自动地并且不用该控制装置支持地在篡改尝试时启动合适的安全措施。从而尤其在该控制装置未激活的状态下能够快速而可靠地导入安全措施以保护加密的密钥数据。
该接口装置优选地是硬件模块,例如可编程逻辑组件。这所具有的优点是,该接口装置可以被紧凑、成本低廉并适当指定用途地来构造。优选地,该安全模块和该接口装置嵌入到防篡改环境中。所述的装置还可以具有第二篡改传感器,该第二篡改传感器与该接口装置相连接,该第二篡改传感器嵌入到该防篡改环境中,并且该第二篡改传感器被构造用于检测对该防篡改环境的篡改尝试并指示给该接口装置。所述的装置还可以具有:输入/输出装置,其与该控制装置相连接并且被构造用于为该控制装置提供外部通信;第三篡改传感器,其与该输入/输出装置相连接并且被构造用于检测对该现场设备的篡改尝试并指示给该控制装置;以及存储装置,其与该控制装置相连接并且被构造用于存储在该控制装置中所使用的数据。该接口装置可以是可编程逻辑组件。
根据一个有利的实施方案,该装置还包含有电流供应装置,该电流供应装置与该接口装置相连接,并且该电流供应装置被构造用于至少暂时地给该接口装置提供电流。这所具有的优点是,在检测到篡改尝试时不必首先激活该控制装置以导入安全措施。尤其有利的是,在该现场设备和/或该控制装置的电流供应以其他方式中断的情况下,该接口装置至少一直保持被供应电流,直到已经在安全模块中执行了合适的安全措施以保护加密的密钥数据。
本发明还提供了用于在现场设备中保护安全模块免遭篡改尝试的一种方法,其具有以下的步骤:
把该现场设备中的控制装置对安全模块的加密的密钥数据的请求发送到接口装置;
在该接口装置中检验是否已经检测到对该现场设备的篡改尝试;
如果没有检测到篡改尝试,那么就把该安全模块的加密的密钥数据通过该接口装置传输到该控制装置;以及
如果已经检测到篡改尝试,那么就通过该接口装置阻止该安全模块的加密的密钥数据传输到该控制装置,其中在该现场设备和/或该控制装置的电流供应以其他方式中断的情况下,该接口装置至少一直保持被供应电流,直到已经在安全模块中执行了合适的安全措施以保护加密的密钥数据。
此外,如果已经检测到篡改尝试,那么就有利地通过该接口装置来删除该安全模块中的加密的密钥数据。通过这种方式,如果对该现场设备进行了篡改,那么就可以有利地使得不能通过未经授权的人读取该安全模块中的加密的密钥数据。
根据一个实施方案,通过该接口装置来阻止或截止针对该安全模块对该控制装置的认证,或者阻止或截止该控制装置与该安全模块的通信。从而如果存在篡改意图,那么就能够防止能够对加密的密钥数据进行可能的未经授权的访问。
本发明还提供了一种现场设备,其具有如上所述的根据本发明的用于现场设备中保护安全模块免遭篡改尝试的装置。
优选地,所述请求的发送可以包括针对该安全模块来认证该控制装置。
附图说明
现在参照附图来更准确地阐述本发明的不同实施方案和扩展方案,其中
图1示出了现场设备的示意图,该现场设备具有根据本发明一个实施方案的用于保护安全模块的装置;
图2示出了现场设备的示意图,该现场设备具有根据本发明另一实施方案的用于保护安全模块的装置;
图3示出了根据本发明另一实施方案的与用于保护安全模块的装置相通信的方法的简图;以及
图4示出了根据本发明另一实施方案的用于保护安全模块的方法的示意图。
所述的扩展和改进只要有意义就可以任意地相互组合。本发明的其他可能的扩展、改进和实施也包括前文或下文中参照实施例所述的本发明特征的未明确提到的组合。
附图应便于对本发明的实施方案进行进一步的理解。其示出了实施方案,并结合说明书来用于解释本发明的原理和概念。其他实施方案和许多所提到的优点参照附图而得到。附图的元件不一定相互按比例来示出。相同的参考符号在此表示相同的或类似作用的部件。
具体实施方式
在下文中篡改传感器在本说明书的意义上可以包含以下的所有检测装置,即其能够识别对所监控设备的物理干预并能够把对应的指示信号传输到所属的计算或控制装置。例如这种检测装置可以通过光、离子射线、温度、压力、电阻、电压或类似的物理效应来识别正常状态的、与对所监控设备的篡改干预或篡改相伴随的变化。从而在本说明书的意义上,篡改传感器例如可以包括开关、篡改薄膜(例如所谓的“Wire Mesh(铁丝网)”或安全导体网格薄膜)、光屏障、电容装置、光敏感传感器面或类似的装置。应明确的是,具有类似功能的其他检测装置也可以是本说明书意义上的篡改传感器。
图1示出了现场设备10的示意图,其具有用于保护安全模块7的装置。该现场设备10例如可以是用于轨道或铁轨设备的控制设备,例如用于转接设备、屏障或信号。但该现场设备10可以是其他每种远程设置的设备,例如管道监控装置、气象站或红绿灯。该现场设备10包含有控制装置1,该控制装置一方面可以控制该现场设备10的功能任务,另一方面可以控制在该现场设备1内部或与外部世界的通信过程。输入/输出装置2可以设置用于把该控制装置1例如与诸如控制中心或计算中心的中心站相连接。通过该输入/输出装置2,该现场设备10可以在采用加密的密钥的情况下与外部通信。
具有加密保护的数据例如可以通过对应的加密借助该输入/输出装置2被发送和接收。为了加密,可以采用每种已知的编码技术,例如IPsec、SSL/TLS、MACsec、L2TP、PPTP、PGP、S/MIME或类似的具有所属的密钥管理的技术,例如IKE、EAP或其他的方法。为此该现场设备10包含有通信连接端3,其把该输入/输出装置2与外部世界相连接。
在该输入/输出装置2上例如可以连接篡改传感器5,该篡改传感器可以检测或识别对该现场设备10的篡改尝试或未经授权的访问。该篡改传感器5在检测到篡改尝试的情况下通过该输入/输出装置2把对应的信号传输到该控制装置1,该控制装置接着可以采取对应的安全措施。
该现场设备10还可以包含有存储装置4,该存储装置与该控制装置1相连接。该存储装置4例如可以是其中可以长久并可重写地存储该现场设备10的配置设置的存储组件,例如串行EEPROM、闪存或类似的存储装置。
该现场设备10还包含有安全模块7,在该安全模块上可以存储安全重要的数据、例如加密的密钥数据,以由该控制设备1使用。该安全模块7例如可以是集成电路,其拥有无源篡改保护,例如在该安全模块7自身上的钝化层或篡改传感器。该安全模块7例如可以通过用于存储器和总线通信的识别并校正错误的措施、内部数据加密、不规则的布线屏蔽或物理保护的数据存储来被保护免遭外部篡改尝试。作为安全模块7例如可以采用市售的常规安全芯片。
该现场设备10包含有接口装置6,该接口装置连接在该控制装置1与该安全模块7之间,并且该接口装置作为一种硬件防火墙实现并监控在该控制装置1与该安全模块7之间的通信。该接口装置例如可以包括集成电路、可编程逻辑组件—如GAL(Generic Array Logic,通用阵列逻辑)、PAL(Programmable Array Logic,可编程阵列逻辑)、CPLD(Complex Programmable Logic Device,复杂可编程逻辑器件)或FPGA(Field Programmable Gate Array,现场可编程门阵列)、ASIC(Application Specific Integrated Circuit,专用集成电路)、或微处理器。该接口装置6例如可以通过诸如USB的数据接口、诸如I2C的串行数据总线、或芯片卡接口与该控制装置1相耦合。该现场设备10还可以包含有篡改传感器8,该篡改传感器连接到该接口装置6上并能够识别对该现场设备10或对该现场设备10的组成部分所进行的篡改尝试,并能够把对应的篡改信号传输到该接口装置6。在通过该篡改传感器8识别到篡改尝试的情况下,该接口装置6可以自动采取合适的安全措施,以保证该安全模块7中的加密的密钥数据的保密。可能的是,在该现场设备10中设置该篡改传感器8来代替篡改传感器5。但也可以在该现场设备10中设置两种篡改传感器5和8。
该现场设备10另外还可以包含有(未示出的)电流供应装置,其中即使该现场设备10或该控制装置6关闭、未激活或与其他的电源长久或临时地断开,该电流供应装置也给该接口装置6提供电流。例如该电流供应装置可以具有电池、蓄电池、诸如Goldcap、Ultracap或Supercap的双层电容器、或类似的电流供应装置。该电流供应装置可以构造用于至少临时地给该接口装置6提供电流。在此可以规定,至少一直保证该接口装置6的电流供应,直到该接口装置6在篡改尝试的情况下采取或完成合适的安全措施以对该安全模块7上安全重要的数据保密。也可以把该电流供应装置集成在该接口装置6中。
图2示出了现场设备20的示意图,其具有用于保护安全模块7的装置。该现场设备20与在图1中示出并描述的现场设备10的不同之处在于,该接口装置6和该安全模块7嵌入到共同的防篡改环境21中。该环境21例如可以具有完整的或部分的物理篡改保护,例如通过浇注环氧树脂。另外还可以设置另外的篡改传感器28,该传感器设置在该防篡改环境21中,并能够识别诸如侵入浇注材料中的篡改。该篡改传感器28例如可以包括特殊的薄膜、即所谓的“Tamper-Mesh(篡改丝网)”或“Wire Mesh(铁丝网)”。这种薄膜包含有印刷电路网格,它们可以围绕要保护的设备地被粘合。对这种被保护的环境21的篡改尝试触发生成对应信号的中断和/或短路。但应明确的是,该篡改传感器28的许多扩展方案也是可以的。
在所示的现场设备20的例子中,篡改传感器5和8没有嵌入到防篡改环境21中。但也可以在该防篡改环境21中一同嵌入篡改传感器5和8的一个或两个。该控制装置1以及该现场设备20的其他部件也没有被嵌入到该防篡改环境21中。由此不必对例如敏感的部件进行浇注,这使得紧凑而成本低廉地来实现该防篡改环境21。
图3示出了用于与保护安全模块的装置通信的方法的简图。该方法30在此尤其可以由按照图1或2的扩展方案的现场设备来执行。
在第一步骤31中,该控制装置1把具有认证的请求传输到该接口装置6。该认证例如可以具有激活代码、PIN或类似的内容,其中该控制装置3可以利用该认证而针对该安全模块7来得到识别。在此该接口装置6用作接收器,并从而相对于该控制装置1来模拟该安全模块7。在第二步骤32中,只要没有检测到篡改尝试并且在该控制装置1与该安全模块7之间的通信被分级为安全的,该接口装置6就把该请求转发到该安全模块7。
在该安全模块7中对该控制装置1进行认证之后,在第三步骤33中该安全模块7把确认应答发送到该接口装置6,在第四步骤34中该确认应答被转发到该控制装置1。在认证之后,在第五步骤35中该控制装置1发送随机值、即所谓的挑战到该接口装置6,在第六步骤36中该随机值由该接口装置6转发到该安全模块7。在该安全模块7中借助采用所述加密的密钥数据的加密计算来进一步处理该挑战,以例如生成通信密钥。该计算例如可以包括加密、加密的校验和的计算、散列值形成、数字签名的计算或者类似的计算。在第七步骤37中该计算结果由该安全模块7传输到该接口装置6,在第八步骤38中该接口装置把该结果转发到该控制装置1。该计算结果例如可以用于由该控制装置1来构建加密保护的通信连接。
所示的方法流程30适用于如下的情况,即在该控制装置1与安全模块7之间的连接由该接口装置6分级为安全的,也即,该接口装置6没有检测到篡改尝试。只要在该控制装置1与该安全模块7之间通信期间在任何时间点检测到这种篡改尝试,该接口装置6就可以构造用于阻止在该控制装置1与该安全模块7之间传输数据。在此可以完全阻止在该控制装置1与该安全模块6之间的数据传输,或者也可以仅阻止特定数据的传输。在后一情况中,该接口装置6在识别到篡改时对所接收的数据进行分析,并且仅当这些数据满足预先给定的检验标准,才转发所述数据。由此在识别到篡改时也可以由该控制装置1来部分地使用该安全模块7。
图4示出了用于保护安全模块、例如在图1至3中的安全模块7的方法40的示意图。在第一步骤41中,把现场设备、例如在图1或图2中的现场设备10或20的控制装置1的、对该安全模块7的加密的密钥数据的请求发送到该接口装置6。接着在步骤42中在该接口装置6中检验是否已经检测到对该现场设备的篡改尝试。为此例如可以通过连接到该接口装置6的篡改传感器、例如在图2中的篡改传感器8和28来连续地监控是否存在篡改信号。如果没有检测到篡改尝试,那么就可以在步骤43中按照图3所示的方法通过该接口装置6把该安全模块7的加密的密钥数据传输到该控制装置1。但是如果检测到篡改尝试,那么就在一个步骤44中通过该接口装置6来阻止该安全模块7的加密的密钥数据向该控制装置1的传输。所述阻止例如可以如此来进行,即通过该接口装置6完全地截止或者部分地限制在该控制装置1与该安全模块7之间的通信。相应的分级例如可以按照篡改尝试的严重性来进行。还可能的是,只要通信的安全性没有得到保证,就不把诸如PIN的对应的认证代码通过该接口装置6转发到该安全模块7。也可以规定该接口装置6在检测到篡改尝试的情况下把截止指令发送到该安全模块7,以通过该安全模块7本身就已经阻止任何安全重要的数据通过该安全模块7的输出。
在另一步骤45中还可能的是,如果存在篡改尝试,那么该接口装置6就通过删除指令由该安全模块7来物理删除在该安全模块7中的加密的密钥数据。通过这种方式可以保证甚至在未经授权拆卸或读取该安全模块时所有安全重要的数据已经被破坏。
可以规定把对应的安全措施按照可能的篡改尝试的严重性或分级而早已作为紧急措施事先存储在该接口装置6中,使得在篡改尝试的情况下可以立刻导入所有的安全措施。该接口装置6从而可以非常快速地对篡改尝试进行反应。尤其如果该接口装置6能够由电流供应装置至少临时地持续供电,那么就不需要必须首先等待激活该控制装置1以启动安全措施。在例如由于该控制装置1失去电流供应或遭到破坏而使该控制装置1失效的情况下,可以由该接口装置6自主地来进行所有的安全措施。

Claims (15)

1.用于在现场设备(10;20)中保护安全模块(7)免遭篡改尝试的装置,其具有:
控制装置(1),其被构造用于控制该现场设备(10;20);
安全模块(7),其被构造用于准备加密的密钥数据以由该控制装置(1)来使用;以及
接口装置(6),其连接在该控制装置(1)与该安全模块(7)之间并实现所述控制装置(1)和所述安全模块(7)之间的通信,并且该接口装置被构造用于:检验是否出现对该现场设备(10;20)进行篡改尝试,使该控制装置(1)能够访问在该安全模块(7)中所准备的加密的密钥数据,并在对该现场设备(10;20)进行篡改尝试时阻止对所述加密的密钥数据的访问,其中在该现场设备和/或该控制装置的电流供应以其他方式中断的情况下,该接口装置(6)至少一直保持被供应电流,直到已经在安全模块中执行了合适的安全措施以保护加密的密钥数据。
2.根据权利要求1所述的装置,其还具有:
第一篡改传感器(8),其与该接口装置(6)相连接并且被构造用于检测对该现场设备(10;20)的篡改尝试和指示给该接口装置(6)。
3.根据权利要求1所述的装置,其中该安全模块(7)和该接口装置(6)嵌入到防篡改环境(21)中。
4.根据权利要求3所述的装置,其还具有:
第二篡改传感器(28),该第二篡改传感器与该接口装置(6)相连接,该第二篡改传感器嵌入到该防篡改环境(21)中,并且该第二篡改传感器被构造用于检测对该防篡改环境(21)的篡改尝试并指示给该接口装置(6)。
5.根据前述权利要求1-4之一所述的装置,其还具有:
输入/输出装置(2),其与该控制装置(1)相连接并且被构造用于为该控制装置(1)提供外部通信;
第三篡改传感器(5),其与该输入/输出装置(2)相连接并且被构造用于检测对该现场设备(10;20)的篡改尝试并指示给该控制装置(1);以及
存储装置(4),其与该控制装置(1)相连接并且被构造用于存储在该控制装置(1)中所使用的数据。
6.根据前述权利要求1-4之一所述的装置,其中该接口装置(6)是可编程逻辑组件。
7.根据前述权利要求1-4之一所述的装置,其还具有:
电流供应装置,其与该接口装置(6)相连接并且被构造用于给该接口装置(6)至少临时地提供电流。
8.用于在现场设备(10;20)中保护安全模块(7)免遭篡改尝试的方法,其具有以下的步骤:
把该现场设备(10;20)中的控制装置(1)的、对安全模块(7)的加密的密钥数据的请求发送到接口装置(6);
在该接口装置(6)中检验是否已经检测到对该现场设备(10;20)的篡改尝试;
如果没有检测到篡改尝试,那么就通过该接口装置(6)把该安全模块(7)的加密的密钥数据传输到该控制装置(1);以及
如果检测到篡改尝试,那么就通过该接口装置(6)来阻止该安全模块(7)的加密的密钥数据传输到该控制装置(1),
其中在该现场设备和/或该控制装置的电流供应以其他方式中断的情况下,该接口装置(6)至少一直保持被供应电流,直到已经在安全模块中执行了合适的安全措施以保护加密的密钥数据。
9.根据权利要求8所述的方法,其还具有以下的步骤:
如果检测到篡改尝试,那么就通过该接口装置(6)来删除在该安全模块(7)中的加密的密钥数据。
10.根据权利要求8所述的方法,其中所述请求的发送包括针对该安全模块(7)来认证该控制装置(1)。
11.根据权利要求10所述的方法,其中所述传输的阻止包括通过该接口装置(6)阻止针对该安全模块(7)对该控制装置(1)的认证。
12.根据权利要求8至11之一所述的方法,其中所述传输的阻止包括通过该接口装置(6)来截止该控制装置(1)与该安全模块(7)的通信。
13.根据权利要求8至11之一所述的方法,其中在该接口装置(6)中对是否已经检测到对该现场设备(10;20)的篡改尝试的检验包括对与该接口装置(6)相连的篡改传感器(8;28)的分析。
14.根据权利要求8至11之一所述的方法,其还具有以下的步骤:
如果该控制装置(1)和/或该现场设备(10;20)的电流供应中断或者该控制装置(1)切换为未激活,那么就通过电流供应装置至少临时地给该接口装置(6)提供电流。
15.具有根据权利要求1至7之一所述的装置的现场设备(10;20)。
CN201180065025.4A 2011-01-14 2011-12-15 用于在现场设备中保护安全模块免遭篡改尝试的装置和方法 Active CN103299310B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102011002706.8 2011-01-14
DE102011002706A DE102011002706B4 (de) 2011-01-14 2011-01-14 Vorrichtung und Verfahren zum Schutz eines Sicherheitsmoduls gegen Manipulationsversuche in einem Feldgerät
PCT/EP2011/072904 WO2012095237A1 (de) 2011-01-14 2011-12-15 Vorrichtung und verfahren zum schutz eines sicherheitsmoduls gegen manipulationsversuche in einem feldgerät

Publications (2)

Publication Number Publication Date
CN103299310A CN103299310A (zh) 2013-09-11
CN103299310B true CN103299310B (zh) 2016-10-19

Family

ID=45463564

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201180065025.4A Active CN103299310B (zh) 2011-01-14 2011-12-15 用于在现场设备中保护安全模块免遭篡改尝试的装置和方法

Country Status (7)

Country Link
US (1) US10528484B2 (zh)
EP (1) EP2628121B1 (zh)
CN (1) CN103299310B (zh)
AU (1) AU2011355202B2 (zh)
DE (1) DE102011002706B4 (zh)
ES (1) ES2532772T3 (zh)
WO (1) WO2012095237A1 (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104335564B (zh) * 2012-02-02 2017-03-08 塔塔咨询服务有限公司 用于标识和分析用户的个人情景的系统和方法
DE102015202215A1 (de) 2015-02-09 2016-03-24 Siemens Aktiengesellschaft Vorrichtung und Verfahren zum sicheren Betreiben der Vorrichtung
DE102016110723A1 (de) 2016-06-10 2017-12-14 Endress+Hauser Process Solutions Ag Verfahren zum Verhindern eines unerlaubten Zugriffs auf Softwareanwendungen in Feldgeräten
DE102016222617A1 (de) 2016-11-17 2018-05-17 Siemens Aktiengesellschaft Schutzvorrichtung und Netzwerkverkabelungsvorrichtung zur geschützten Übertragung von Daten
EP3401831B1 (de) * 2017-05-11 2021-06-30 Siemens Aktiengesellschaft Vorrichtung und verfahren zum erkennen einer physikalischen manipulation an einem elektronischen sicherheitsmodul
EP3656085A1 (en) * 2017-07-18 2020-05-27 Square, Inc. Devices with physically unclonable functions
EP3451215B1 (de) 2017-08-28 2019-12-18 Siemens Aktiengesellschaft Hardwareeinrichtung und verfahren zum betreiben und herstellen einer hardwareeinrichtung
CN112313654A (zh) * 2018-12-12 2021-02-02 开利公司 中枢连接的物联网装置的篡改检测
EP3722983A1 (de) 2019-04-09 2020-10-14 Siemens Aktiengesellschaft Sicherheitsvorrichtung und verfahren zur überwachung eines zugriffs eines gerätes auf eine sicherheitsvorrichtung
US11480445B2 (en) * 2020-07-22 2022-10-25 Rockwell Automation Technologies, Inc. Method and apparatus for industrial product tamper detection
DE102022117142A1 (de) 2022-07-08 2024-01-11 Christian Dietz Analyseanordnung und Analyseverfahren

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5805711A (en) 1993-12-21 1998-09-08 Francotyp-Postalia Ag & Co. Method of improving the security of postage meter machines
DE4344476A1 (de) * 1993-12-21 1995-06-22 Francotyp Postalia Gmbh Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen
DE4401325C1 (de) * 1994-01-18 1995-06-08 Reinhold Ott Überwachungsfühler
US7124170B1 (en) * 1999-08-20 2006-10-17 Intertrust Technologies Corp. Secure processing unit systems and methods
US6865515B2 (en) * 2002-01-24 2005-03-08 Engius, L.L.C. Method and device for securely storing data
DK1556992T3 (en) * 2002-10-31 2017-01-09 ERICSSON TELEFON AB L M (publ) Safety performance and use of device-specific safety data
US7644290B2 (en) * 2003-03-31 2010-01-05 Power Measurement Ltd. System and method for seal tamper detection for intelligent electronic devices
US7343496B1 (en) * 2004-08-13 2008-03-11 Zilog, Inc. Secure transaction microcontroller with secure boot loader
BRPI0515159A (pt) * 2004-09-10 2008-07-08 Cooper Technologies Co sistema e método para monitoramento e gerenciamento protetor de circuito
US7571475B2 (en) * 2005-04-05 2009-08-04 Cisco Technology, Inc. Method and electronic device for triggering zeroization in an electronic device
DE102006014133A1 (de) * 2006-03-28 2007-10-04 Lang, Klaus, Dr. Verfahren zur einfachen, schnellen und sicheren Eingabe, Speicherung und Anzeige von sensiblen persönlichen Daten sowie Vorrichtung zur Durchführung dieses Verfahrens
US20070255966A1 (en) * 2006-05-01 2007-11-01 Vincenzo Condorelli Cryptographic circuit with voltage-based tamper detection and response circuitry
US7684028B2 (en) * 2006-12-14 2010-03-23 Spx Corporation Remote sensing digital angle gauge
DE202007018769U1 (de) * 2007-02-23 2009-04-23 First Data Corp., Greenwood Village Betrugsdetektionssystem für Kassenterminals
EP1808830B1 (en) 2007-02-23 2011-04-06 First Data Corporation Fraud detection system for point-of-sale terminals
US7953987B2 (en) * 2007-03-06 2011-05-31 International Business Machines Corporation Protection of secure electronic modules against attacks
JP4838349B2 (ja) * 2007-03-27 2011-12-14 三菱電機株式会社 秘密情報記憶装置及び秘密情報の消去方法及び秘密情報の消去プログラム
DE102007016170A1 (de) * 2007-04-02 2008-10-09 Francotyp-Postalia Gmbh Sicherheitsmodul für eine Frankiermaschine
US7937596B2 (en) * 2007-08-30 2011-05-03 Harris Corporation Adaptable microcontroller based security monitor
US7945792B2 (en) * 2007-10-17 2011-05-17 Spansion Llc Tamper reactive memory device to secure data from tamper attacks
US8188860B2 (en) * 2007-10-22 2012-05-29 Infineon Technologies Ag Secure sensor/actuator systems
DE102007055248A1 (de) * 2007-11-16 2009-06-25 Secunet Security Networks Ag Sicherheitsmodul
US8947258B2 (en) * 2008-08-08 2015-02-03 Powermax Global Llc Reliable, long-haul data communications over power lines for meter reading and other communications services
US9015789B2 (en) * 2009-03-17 2015-04-21 Sophos Limited Computer security lock down methods
US8184812B2 (en) * 2009-06-03 2012-05-22 Freescale Semiconductor, Inc. Secure computing device with monotonic counter and method therefor

Also Published As

Publication number Publication date
ES2532772T3 (es) 2015-03-31
US20130305062A1 (en) 2013-11-14
DE102011002706A1 (de) 2012-07-19
EP2628121A1 (de) 2013-08-21
EP2628121B1 (de) 2015-01-28
AU2011355202A1 (en) 2013-07-04
AU2011355202B2 (en) 2016-07-21
US10528484B2 (en) 2020-01-07
CN103299310A (zh) 2013-09-11
WO2012095237A1 (de) 2012-07-19
DE102011002706B4 (de) 2013-12-19

Similar Documents

Publication Publication Date Title
CN103299310B (zh) 用于在现场设备中保护安全模块免遭篡改尝试的装置和方法
RU2690887C2 (ru) Модульное устройство управления безопасностью
CN107508797B (zh) 车联网平台数据传输保密方法
CN101976320B (zh) 一种可信计算机平台
US10305679B2 (en) Method for implementing a communication between control units
US9674164B2 (en) Method for managing keys in a manipulation-proof manner
AU2017100661A4 (en) An information security method of distributed electric vehicle controllers
CN102355467B (zh) 基于信任链传递的输变电设备状态监测系统安全防护方法
CN104960496A (zh) 车载驾驶员识别认证定位系统
CN103282912A (zh) 安全和私密位置
CN105184196B (zh) 电子系统信息安全保护系统及方法
CN105892348A (zh) 用于运行控制设备的方法
CN106250760A (zh) 一种基于TPM2.0芯片的U‑Boot可信启动方法
CN106292646B (zh) 一种电网控制端数据端口监控系统及方法
CN105488421A9 (zh) 无需电池的用于工业和计量装置的侵扰检测系统以及方法
CN102315563B (zh) 用于有保护地建立网络连接的插接连接系统
CN203271342U (zh) 一种物联网密码锁
WO2017078427A1 (ko) 보안 장치 및 그 동작 방법
CN204895391U (zh) 车载驾驶员识别认证定位系统
US8601281B2 (en) Method for operating a sensor apparatus and sensor apparatus
CN206003100U (zh) 计量安全装置
US9177161B2 (en) Systems and methods for secure access modules
CN207348677U (zh) 一种基于物联网的保险柜
CN107317925B (zh) 移动终端
CN212660173U (zh) 一种基于网络多媒体的安全防护装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20190203

Address after: Munich, Germany

Patentee after: Siemens Mobile Co., Ltd.

Address before: Munich, Germany

Patentee before: Siemens AG

CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: Munich, Germany

Patentee after: Siemens Transport Co., Ltd.

Address before: Munich, Germany

Patentee before: Siemens Mobile Co., Ltd.