CN109842492A - 用于当在电气系统内安装时安全注册可移除电气设备的方法 - Google Patents
用于当在电气系统内安装时安全注册可移除电气设备的方法 Download PDFInfo
- Publication number
- CN109842492A CN109842492A CN201811311524.7A CN201811311524A CN109842492A CN 109842492 A CN109842492 A CN 109842492A CN 201811311524 A CN201811311524 A CN 201811311524A CN 109842492 A CN109842492 A CN 109842492A
- Authority
- CN
- China
- Prior art keywords
- electrical equipment
- equipment
- new
- certificate
- removable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000013475 authorization Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 claims description 7
- 238000001514 detection method Methods 0.000 claims description 6
- 239000000203 mixture Substances 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 4
- 230000006870 function Effects 0.000 description 6
- 238000009434 installation Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013481 data capture Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/73—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mathematical Physics (AREA)
- Computing Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
用于安全地注册可移除电气设备的该方法包括由以下组成的步骤:a)在电气系统内安装新的可移除电气设备以替换故障的可移除电气设备之前,获取(112)用于所述新的设备的第一安全性证书,该第一证书由对于所述系统已知的授权方签署;b)验证(114)所述第一获取的安全性证书的真实性,该验证由所述电子控制模块执行;c)生成包括所述新的设备的所述电子计算机生成的密钥、用于所述新的可移除电气设备的第二安全性证书;d)从受信认证授权方获得(126)用于所述第二安全性证书的签名,然后只有获得了该签名所述新的设备才被注册于所述系统内。
Description
技术领域
本发明涉及一种用于当在电气系统内安装可移除电气设备以替换故障的可移除电气设备时安全地注册可移除电气设备的方法。
本发明尤其涉及装配有嵌入式电子计算机的电切换和/或电保护设备的领域。
背景技术
通过已知的方式,大量电切换和/或电保护设备(例如电路断路器、接触器或测量和监控设备)具备用于执行远程操作和控制功能的电子计算机。这些设备被称为正在“通信”。
这些电气设备旨在与电气系统(例如配电板或包封)进行交互,从而它们可以连接到它们旨在进行动作的电气设施,并且也可以连接到它们可以通信的通信网络。这些系统例如用在工业环境中,以控制对工业设施中的各件装备的电力供应。
这些电气设备通常在例如维护操作的过程中以可移除的方式连接到电气系统促进它们的连接以及尤其是它们的替换。
然而,出于安全性的原因,期望仅先前所授权的电气设备应在电气系统内是可连接的。否则,带有损坏系统的目的的受恶意修改的电气设备可能在不知悉系统管理者的情况下安装于系统内,这样构成不可接受的安全性的丧失。
因此,典型地,当安装或替换该电气设备时,必须在电气系统内注册它,然后可以使用它。出于安全性的原因,注册操作必须由具有特定安全性特权的人(例如系统管理者)执行。
然而,实际上,系统管理者并非总是可用以在适当的时间进行注册。这是因为,在工业设施中,电气设备的数量通常很高,并且这些设备可能在地理上分散在广阔的区域上。此外,在工业上情境中,如果故障产生,则通常必须非常快速地替换故障的设备,以避免对使用工业设施的不利影响。实际上,存在如果故障产生则可以对电气设备采取快速动作的维护操作员,但在此再次出于安全性的原因,并不期望他们具有与系统管理者相同的特权。
发明内容
更具体地说,本发明旨在通过提出一种用于当在电气系统内安装可移除电气设备时安全地注册可移除电气设备的方法克服这些问题,使用该方法是便利的,而非由此危及系统的计算机安全性。
为此目的,本发明涉及一种用于当在电气系统内安装可移除电气设备以替换故障的可移除电气设备时安全地注册可移除电气设备的方法,其特征在于,所述方法包括步骤:
a)在电气系统内安装新的可移除电气设备以替换该电气系统的故障的可移除电气设备之后,通过所述电气系统的电子控制模块自动地获取所述新的可移除电气设备的嵌入式电子计算机的计算机存储器中所存储的用于所述新的可移除电气设备的第一安全性证书,该第一证书由对于所述系统已知的授权方签署;
b)验证所述第一所获取的安全性证书的真实性,该验证由所述电子控制模块执行;
c)生成用于所述新的可移除电气设备的第二安全性证书,该第二安全性证书包括所述新的可移除电气设备的所述电子计算机所生成的密钥;
d)从受信认证授权方获得用于所述第二安全性证书的签名,然后只有获得了该签名所述新的可移除电气设备才被注册于所述电气系统内。
作为本发明的结果,使用与受信认证授权方关联的对于每个可移除设备特定的安全性证书使得负责替换故障的设备的维护操作者能够注册已经新近地安装的设备以替换故障的设备,而无需获得高级安全性许可。这样促进在替换之时在系统内注册可移除设备,而不整体危及系统的计算机安全性。
根据本发明的有利但非必要方面,在电气系统内注册可移除电气设备的该方法可以按分离的方式或按任何技术可行的组合方式包括以下特征中的一个或多个:
-在步骤b)中,通过使用来自已经发布所述第一证书的主体的公共证书执行所述验证,该公共证书由所述系统持有。
-在步骤b)中,由受信认证授权方执行所述验证。
-所述方法在步骤a)之后还包括步骤:基于所获取的所述第一安全性证书中所包含的标识数据标识所述新的可移除电气设备,如果该新的可移除电气设备并未标识为与其在所述电气系统内替换的所述故障的可移除电气设备对应的可移除电气设备,则拒绝所述新的可移除电气设备的注册。
-所述方法包括步骤:当在步骤d)的结束时所述新的可移除电气设备已经被注册在所述电气系统内时,在所述认证授权方处撤销所述第一安全性证书。
-所述方法在步骤a)之前还包括步骤:
y)从所述控制模块的用户接口获取操作者所发布的注册请求;
z)响应于通过经由所述用户接口获取所述操作者所提供的标识符对所述操作者进行鉴权,只有所获取的标识符与先前所授权的预定标识符对应,才认为所述操作者得以鉴权,如果在该步骤z)的结束时所述操作者未得以鉴权,则不执行步骤a)至d)。
-只有所述电气系统内所安装的可移除电气设备已经检测为故障的,才授权执行步骤a)至d),所述方法为此目的在步骤a)之前还包括步骤:检测所述电气系统内所安装的可移除电气设备中的故障。
-所述检测故障的步骤包括:检测所述可移除电气设备的所述嵌入式计算机与所述电气系统的所述控制模块之间的通信链路的丢失。
-所述方法包括步骤:通过所述可移除电气设备的所述嵌入式电子计算机生成所述第二安全性证书。
-所述第二安全性证书由所述可移除电气设备的所述嵌入式电子计算机的加密单元生成。
-所述方法包括以下构成的步骤:通过新的可移除电气设备以物理方式替换所述电气系统的故障的可移除电气设备,后接以下构成的步骤:通过执行上述步骤a)至d)在所述电气系统内注册所述新的可移除电气设备。
根据另一方面,本发明涉及一种电气系统,其包括装配有嵌入式电子计算机的至少一个可移除电气设备,该电气系统包括电子控制模块,其特征在于,所述电子控制模块编程为执行以下构成的步骤:
a)在电气系统内安装新的可移除电气设备以替换该电气系统的故障的可移除电气设备之后,自动地获取所述新的可移除电气设备的所述嵌入式电子计算机的计算机存储器中所存储的用于所述新的可移除电气设备的第一安全性证书,该第一证书由对于所述系统已知的授权方签署;
b)验证所述第一所获取的安全性证书的真实性,该验证由所述电子控制模块执行;
c)生成用于所述新的可移除电气设备的第二安全性证书,该第二安全性证书包括所述新的可移除电气设备的所述电子计算机所生成的密钥;
d)从受信认证授权方获得用于所述第二安全性证书的签名,然后只有获得了该签名所述新的可移除电气设备才被注册于所述电气系统内。
附图说明
根据完全通过示例参照附图的方式提供的、用于在电气系统内注册可移除电气设备的方法的实施例,以下描述本发明将更容易理解并且本发明的其它优点将更加明显,在附图中:
-图1是根据本发明的包括至少一个可移除电气设备的电气系统的示意性表示;
-图2是图1的电气设备所装配有的电子计算机的示意性表示;
-图3是根据本发明的用于当在图1的电气系统内安装可移除电气设备以替换故障的可移除电气设备时安全地注册可移除电气设备的方法的流程图。
具体实施方式
图1示出电气系统2,其包括可移除电气设备4A、4B、4C。
系统2在此与工业环境(例如比如用于对多个电力设备供电的电力分发网络)中的电气设施关联。例如,系统2是配电板或电气包封。
术语“可移除的”在此表示每个电气设备4A、4B、4C在其连接到系统2的连接位置与其断连于系统2的抽取位置之间以可逆的方式相对于系统2是可移除的。在图1中,设备4A和4B示出为处于其连接位置中,而设备4C示出为处于抽取位置中。
根据一个实施例,系统2包括:外壳,其均适用于容纳设备4A、4B、4C;以及引导和固连部件,其用于促进设备4A、4B、4C的移动以及它们在连接位置中的紧固。例如,设备4A、4B、4C通过平移可移动。设备也可以在成为可移除的同时安装在轨道上。
电气设备4A、4B、4C是例如电气保护和切换设备(例如电路断路器)。在变形中,它们可以是用于测量一个或多个电气参量的接触器或设备、或用于监控电气设施的操作的设备。
为了简明,这些电气设备4A、4B、4C在数量方面描述为三个,并且在此是彼此相同的。然而,实际上,可移除设备4A、4B、4C的数量可以是不同的。
相似地,这些可移除设备4A、4B、4C不一定彼此相同,并且可以是不同的。例如,同一系统2可以容纳不同种类的可移除设备4A、4B、4C(例如电路断路器和用于测量电气参量的设备)。
系统2还包括电子控制模块6,其包括可编程电子计算机8和用户接口10。
例如,计算机8包括逻辑计算单元(例如微处理器或微控制器)以及数据记录介质(例如计算机存储器(优选地非易失性的)),这两个组件是互连的。数据记录介质包括可执行指令,以用于控制模块6的操作,尤其用于执行下述图3的方法。
接口10在此(例如液晶屏幕或在等离子体或有机发光二极管类型的屏幕的变形中)包括电子屏幕。该电子屏幕适合于向操作者显示数据。接口10还包括数据捕获部件(例如键盘或触摸屏)。
根据其它实施例,接口10在物理上距系统2是远程的。例如,接口10在仍连接到系统2的同时安装在距其某距离处。在变形中,接口10可以采取可以通过平板或移动电话类型的计算机或移动通信设备访问的网站的形式。
模块6还包括通信接口(例如网络接口),其提供对一个或多个远程计算机设备的数据链路12。例如,通过通信网络12(例如称为LAN(用于“局域网”)的类型的本地通信网络)提供链路12。
具体地说,链路12使得模块6能够将自身连接到服务器14,服务器14适用于充当认证授权方,如下所述。服务器14(又称为认证授权方(CA))因此形成对于系统2已知的受信第三方。
设备4A、4B、4C均装配有可控制的电气设备16以及嵌入式电子计算机18,该嵌入式电子计算机18被配置为提供设备16的远程控制和操作的功能。
设备16尤其旨在连接到携带电流的一个或多个电力线。实际上,设备16形成设备4A、4B、4C的核心,并且使得其能够执行其功能。
在该示例中,由于设备4A、4B、4C是电路断路器,因此设备16是用于切断电流的机电装置,其尤其包括具有可分离的触点的断路单元以及用于触发该断路单元的机构。
在变形中,如果设备4A、4B、4C具有与电路断路器的功能不同的功能,则相应地修改设备16。
当设备4A、4B、4C处于对系统2的连接的位置中时,设备16例如经由系统2内所布置的一个或多个电力导体(未示出)连接到与系统2关联的电气设施。
相似地,当设备4A、4B、4C处于对系统2的连接的位置中时,计算机18能够例如经由系统2内所布置的有线数据总线(未示出)与控制模块6进行通信。
如图2所示,计算机18在此包括数据输入/输出接口20、逻辑处理器22、加密单元24以及计算机存储器26。
处理器22在此包括可编程微控制器或微处理器。
加密单元24是安全处理器,又称为加密处理器或在汉语中称为“受信平台模块”。单元24显然能够安全地生成并且存储私有加密密钥,例如,以便实现公钥签名机制。
在变形中,加密单元24被省略。
存储器26存储用于设备4A、4B、4C的操作的可执行指令。这里,它还包含安全性证书28,其允许设备4A、4B、4C的单独鉴权。
例如,安全性证书28包括多个字段,每个字段包含数据元素,其通过示例的方式可以包括用于唯一地标识设备4A、4B、4C的序列号、软件版本号、证书的发布方的名称、证书的有效性的日期以及用以签署证书的算法的引用。根据示例,按默认提供的证书28是设备的制造商所安装的出厂证书。
在该示例中,认证授权方14在此情况下根据层级树形成包括多个认证授权方的信任链的部分。例如,一个或多个低阶层认证授权方附连至其的信任链包括根授权方。这些认证授权方中的每一个具有附连至其的甚至更低阶层的一个或多个其它认证授权方等等。每个受信授权被授权以取决于此签署认证授权方的安全性证书。该信任链是已知的,并且因此不更详细地描述。
例如,第一等级信任链与关联于诸如商业的主体的根授权方对应。紧接之下的等级与该主体的部门对应。其之下的等级与附连到这些部门的地理场所(诸如生产场所)对应。
现参照图3的流程图并且借助图1和2描述执行用于替换设备4A、4B或4C之一的方法的示例。
初始地,设备4A、4B和4C连接到系统2,并且处于操作状态下。例如,设备4A、4B、4C连接在同一网络中。这些设备之一(例如设备4C)然后变为故障的,并且终止于正常地进行操作,并且必须因此由同一类型的可移除设备的另一样品替换。
有利地,控制模块6被配置为,例如在设备4C仍处于连接位置中的同时通过自动地检测可移除电气设备4C的嵌入式计算机18与控制模块6之间的通信链路的丢失,来检测系统2中被包含在其外壳中设备4C里的故障。可以借助系统2的外壳中所安装的位置传感器来执行该检测。
然后必须由操作者人工地通过从系统2抽取故障的设备4C并且然后通过安装该设备4C的新样品(下文中称为“新的可移除设备”)执行替换。在该安装期间,将新的设备4C带领朝向连接位置,从而连接到系统2。
然而,出于安全性的原因,直到新的设备4C已经被注册在在系统2内,控制模块6才允许新的设备4C在功能上集成到系统中,以验证其真实性。
为此目的,模块6执行图3中所描述的自动注册方法。该方法开始于初始化步骤100。例如,该步骤100开始于模块6的接口10上的操作者所发送的请求之后。
有利地,除非模块6先前已经检测到故障的设备中的故障,否则不能执行初始化步骤100。这样确保操作者不能在没有有效原因时安装代替正常操作的设备的新的设备并且然后请求在系统2内注册该新的设备。
所述方法然后包括步骤102:对操作者进行鉴权。例如,模块6经由接口10向操作者自动地发送对提供预定标识符(例如用户名和密码所形成的标识符)的邀请。响应于此,操作者必须提供该标识符。
模块然后获取操作者在接口10上提供的标识符,然后将其与关于执行维护操作所授权的标识符的列表进行比较。
如果所获取的标识符并非与先前所授权的预定标识符对应,则在步骤104中,并不认为操作者得以鉴权,并且停止注册方法。
反之,如果所获取的标识符与先前所授权的预定标识符对应,则在步骤106中,认为操作者被鉴权。
然后,在步骤108中,模块6批准对操作者的授权,以替换故障的设备。例如,在此情况下经由接口10在已经对操作者进行鉴权之后并且在他已经发送请求以替换设备之后给予该授权。
当操作者已经进行用新的设备4C替换故障的设备时,模块6在步骤110中自动地验证新的设备4C是否实际上已经连接到系统2。例如,模块6尝试经由系统2的数据总线连接到嵌入式计算机18的接口20。
如果在该验证的结束时并未检测到新的设备4C,则认为替换已经失败,并且必须进而由操作者替换新的设备4C。例如,所述方法返回步骤108。
在相反的情况下,如果在步骤110的结束时正确地检测到新的设备4C,则在步骤112中,模块6连接到计算机18,以检索计算机18的存储器26中所包含的证书28。例如,模块6向控制器18发送请求,以用于控制器18将证书28发送到模块6。该证书28然后存储在模块6的计算机8的数据记录介质中。
在此可以经由安全链路(例如符合安全连接协议(例如TLS(用于传输安全层))的安全链路)提供该连接。这并非必要的,但在此情况下,过程有利地使得可以验证产品实际上是与出厂证书关联的私钥(例如模块6所生成的并且新的设备4C所签署的随机元素)的处理器。
例如,有利地,在该步骤112期间,模块6不检索证书28,直到操作者已经经由接口10预先对此进行授权。
在该阶段,新的设备4C包含标准证书(称为出厂证书),其并未由系统2识别为受信证书,因为其并非由系统2所信任的认证授权方14发布。然而,在此情况下通过信任链附连到认证授权方的已知授权方发布该出厂证书。例如,设备4C的制造商发布该出厂证书。在该示例中,该出厂证书又称为“第一安全性证书”。换言之,第一证书由对于系统2已知的授权方签署。然而,在该阶段,模块6并未获知该第一证书由已知的授权方签署。
在步骤114中,模块6自动地验证所获取的证书28的真实性。可以借助模块6信任的认证授权方(在此情况下,服务器14)执行该验证。
例如,模块6从证书28提取签名,并且经由链路12通过授权方14或通过制造商的证书验证该签名是否与对已知的根认证授权方的信任链所连接的认证授权方对应。
替代地,通过使用设备4C中所嵌入的数据(例如已经发布并且签署产品的出厂证书的主体的公共证书)执行该验证。目的在于验证设备4C实际上发源于制造商。制造商提供对应公共证书。换言之,通过使用来自已经发布第一证书的主体的公共证书执行该验证,该公共证书由系统2持有。
实际上,当对授权方14的安全链路12不可用时,使用保证出厂证书的真实性的公共证书是优选的。为此目的,制造商的公共证书优选地安装在模块6中。其例如唯一地由合适地授权的人安装在此。
如果不能验证出厂证书28的真实性,或如果验证产生否定结论,则证书未得以鉴权,并且新的设备4C的注册被拒绝。即使设备4C以物理方式安装在系统2中,其也不能在系统2内进行操作。
在相反的情况下,如果在该步骤114的结束时出厂证书28的真实性得以证实,则有利地,在步骤116中,模块6例如通过读取一个或多个对应数据字段的内容获取出厂证书28中所包含的标识数据。
标识数据尤其可以被用以标识设备4C的性质。例如,标识数据包括唯一地标识设备4C或至少设备4C的类型的产品参考。在该示例中,标识数据包括新的设备4C的序列号。该序列号可以伴随嵌入式计算机18所使用的操作系统的软件版本号。
然后,在步骤118中,模块6自动地验证设备4C是否与已经替换的故障的设备是相同类型的。基于步骤116中所获取的标识数据执行该验证。例如,这些标识数据与模块6所记录的参考数据进行比较。
如果在该步骤118的结束时,新的设备4C被标识为与已经替换的故障的设备不对应,则认为故障的设备的替换已经失败,并且操作者必须替换新的设备4C。例如,所述方法返回步骤108。
反之,如果新的设备4C标识为与故障的设备对应,则认为已经以物理方式安装新的设备。然而,在该阶段,新的设备4C不在功能方面集成到系统2中。有利地,在步骤120中,设备已经被物理地安装设备的确认经由接口10发送到操作者。
然后,在步骤122中,模块4C生成密钥以形成新证书。
在以下文本中,该证书和该密钥形成第二安全性证书(以下又称为“新证书”)。该第二证书与第一安全性证书或出厂证书不同。
在该示例中,计算机18基于其至少取得标识数据的第一证书中所包含的数据自动地创建第二证书。该新安全性证书以及显然密钥优选地由计算机6的加密单元26生成。然而,在变形中,当该单元26被省略时,第二证书由处理器22生成。
第二证书与第一证书显著不同在于,其在该阶段不由对于系统2已知的认证授权方签署。
然后发送让授权方14签署该新的证书的请求。
例如,该请求由设备4C生成并且发送。请求可以由模块6中继。在变形中,例如,如果设备4C可以访问服务器14,则设备4C不使用模块6发送该请求。
响应于该请求,如果认证授权方14认为其可以签署该第二证书,则其签署它并且然后将它返回模块6或设备4C。
如果由于例如链路12中的故障或因为授权方14不能签署第二证书所以在预定时间间隔内并未接收到已签署的第二证书,则注册方法在步骤124自动地停止。
反之,如果模块6或设备4C正确地接收到已签署的第二证书,则在步骤126中,设备4C使用该已签署的第二证书替代出厂证书。新的设备4C于是认为注册于系统2内并且可以在该系统2内正常地进行操作。
换言之,在注册的结束时,新的设备4C的出厂证书被由对于系统2已知并且被系统2信任的本地认证授权方签署的第二安全证书替换。
其指示新的设备4C的真实性得以识别。
有利地,在步骤126之后的步骤128中,一旦已经在系统2内注册新的可移除电气设备4C,就在认证授权方14处撤销第一安全性证书(即已经替换的故障的模块的证书)。在此,模块6通过将对该效果的请求经由链路12发送到授权方14请求该撤销。然后向系统的所有元件通知证书被撤销并且因此不能使用。
这样确保已经替换的故障的设备不能使用同一信任链重新集成到系统2中或另一电气系统中。
注册方法在最终步骤130中终止。
有利地,在该步骤130的结束时,模块6自动地向计算机18提供预定配置参数。这些参数例如记录于计算机8中并且与前一设备所使用的操作参数对应。
作为本发明的结果,使用与受信认证授权方关联的对于每个可移除设备特定的安全性证书使得负责替换故障的设备的维护操作者能够注册已经新近地安装的设备以替换故障的设备,而无需获得高级安全性许可。这样促进在替换之时在系统内注册可移除设备,而不整体危及系统的计算机安全性。
上述方法可以有利地用于同时替换同一系统2内的多个故障的可移除设备。在此情况下,关于所替换的设备中的每一个反复迭代上述步骤。
然而,例如,当故障的设备彼此相似,是同一型号并且具有相同功能时,问题可能出现。步骤118可以于是修改为使得系统2能够知道已经替换故障的设备中的哪一个。例如,操作者受邀请以经由接口10录入指定他刚已经替换的设备的标识符。这些数据由模块6记录于监控日志中,伴随时间戳信息和操作者的标识符,以确保在其它问题的情况下操作的可追溯性。
以上所考虑的实施例和变形可以彼此组合以创建新的实施例。
Claims (12)
1.一种用于当在电气系统(2)内安装可移除电气设备(4A、4B、4C)以替换故障的可移除电气设备时安全注册可移除电气设备(4A、4B、4C)的方法,其特征在于,所述方法包括步骤:
a)在电气系统(2)内安装新的可移除电气设备(4A、4B、4C)以替换该电气系统的故障的可移除电气设备之后,通过所述电气系统(2)的电子控制模块(6)自动地获取(112)所述新的可移除电气设备(4A、4B、4C)的嵌入式电子计算机(18)的计算机存储器(26)中存储的、用于所述新的可移除电气设备的第一安全性证书(28),该第一证书由对于所述系统(2)已知的授权方签署;
b)验证(114)获取的第一安全性证书的真实性,该验证由所述电子控制模块(6)执行;
c)生成用于所述新的可移除电气设备(4A、4B、4C)的第二安全性证书(28),该第二安全性证书包括所述新的可移除电气设备(4A、4B、4C)的所述电子计算机(18)所生成的密钥;
d)从受信认证授权方(14)获得(126)用于所述第二安全性证书的签名,然后只有获得了该签名所述新的可移除电气设备(4A、4B、4C)才被注册于所述电气系统内。
2.如权利要求1所述的方法,其特征在于,在步骤b)中,通过使用来自已经发布所述第一证书的主体的公共证书执行所述验证,该公共证书由所述系统(2)持有。
3.如权利要求1所述的方法,其特征在于,在步骤b)中,所述验证由所述受信认证授权方(14)执行。
4.如前述权利要求中的任一项所述的方法,其特征在于,其在步骤a)之后还包括步骤:基于所获取的第一安全性证书(28)中所包含的标识数据标识(118)所述新的可移除电气设备(4A、4B、4C),如果该新的可移除电气设备(4A、4B、4C)并未标识为与其在所述电气系统(2)内替换的所述故障的可移除电气设备对应的电气设备,则拒绝所述新的可移除电气设备(4A、4B、4C)的注册。
5.如前述权利要求中的任一项所述的方法,其特征在于,其包括步骤:当在步骤d)的结束时在所述电气系统内已经注册所述新的可移除电气设备(4A、4B、4C)时,在所述认证授权方(14)处撤销(128)所述第一安全性证书。
6.如前述权利要求中的任一项所述的方法,其特征在于,其在步骤a)之前还包括以下构成的步骤:
y)从所述控制模块(6)的用户接口(10)获取(100)操作者所发布的注册请求;
z)响应于通过获取所述操作者经由所述用户接口(10)所提供的标识符对所述操作者进行鉴权(102),只有所获取的标识符与先前所授权的预定标识符对应,才认为所述操作者得以鉴权,如果在该步骤z)的结束时所述操作者未得以鉴权,则不执行步骤a)至d)。
7.如前述权利要求中的任一项所述的方法,其特征在于,只有所述电气系统(2)内所安装的可移除电气设备(4A、4B、4C)已经检测为故障的,才授权执行步骤a)至d),所述方法为此目的在步骤a)之前包括步骤:检测所述电气系统(2)内安装的可移除电气设备(4A、4B、4C)中的故障。
8.如权利要求7所述的方法,其特征在于,所述检测故障的步骤包括:检测所述可移除电气设备(4A、4B、4C)的所述嵌入式计算机(18)与所述电气系统(2)的所述控制模块(6)之间的通信链路的丢失。
9.如前述权利要求中的任一项所述的方法,其特征在于,其包括步骤:通过所述可移除电气设备(4A、4B、4C)的所述嵌入式电子计算机(18)生成所述第二安全性证书。
10.如权利要求9所述的方法,其特征在于,所述第二安全性证书由所述可移除电气设备(4A、4B、4C)的所述嵌入式电子计算机(18)的加密单元(24)生成。
11.一种替换电气系统(2)内的可移除电气设备(4A、4B、4C)的方法,该方法特征在于:其包括以下构成的步骤:通过新的可移除电气设备(4A、4B、4C)以物理方式替换所述电气系统(2)内的故障的可移除电气设备(4A、4B、4C),后接以下构成的步骤:通过执行上述步骤a)至d)在所述电气系统(2)内注册所述新的可移除电气设备(4A、4B、4C)。
12.一种电子系统(2),其包括装配有嵌入式电子计算机(18)的至少一个可移除电气设备(4A、4B、4C),该电气系统(2)包括电子控制模块(6),其特征在于,所述电子控制模块(6)编程为执行包括以下构成的步骤:
a)在电气系统(2)内安装新的可移除电气设备(4A、4B、4C)以替换该电气系统的故障的可移除电气设备之后,自动地获取(112)所述新的可移除电气设备(4A、4B、4C)的嵌入式电子计算机(18)的计算机存储器(26)中所存储的用于所述新的可移除电气设备的第一安全性证书(28),该第一证书由对于所述系统(2)已知的授权方签署;
b)验证(114)获取的第一安全性证书的真实性,该验证由所述电子控制模块(6)执行;
c)生成用于所述新的可移除电气设备(4A、4B、4C)的第二安全性证书(28),该第二安全性证书包括所述新的可移除电气设备(4A、4B、4C)的所述电子计算机(18)所生成的密钥;
d)从受信认证授权方(14)获得(126)用于所述第二安全性证书的签名,然后只有获得了该签名所述新的可移除电气设备(4A、4B、4C)才被注册于所述电气系统内。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1761258A FR3074324B1 (fr) | 2017-11-28 | 2017-11-28 | Procede d'inscription securisee d'un appareil electrique amovible lors de son installation au sein d'un systeme electrique |
FR1761258 | 2017-11-28 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109842492A true CN109842492A (zh) | 2019-06-04 |
CN109842492B CN109842492B (zh) | 2023-10-31 |
Family
ID=61802039
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811311524.7A Active CN109842492B (zh) | 2017-11-28 | 2018-11-06 | 用于当在电气系统内安装时安全注册可移除电气设备的方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11115222B2 (zh) |
EP (1) | EP3489854B1 (zh) |
CN (1) | CN109842492B (zh) |
ES (1) | ES2929632T3 (zh) |
FR (1) | FR3074324B1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112835635A (zh) * | 2021-01-25 | 2021-05-25 | 广州视源电子科技股份有限公司 | 设备更换方法、装置、系统、服务器及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002065696A1 (en) * | 2001-02-14 | 2002-08-22 | Gatespace Ab | A security architecture |
CN101395597A (zh) * | 2006-03-06 | 2009-03-25 | Lg电子株式会社 | 继承设备注册方法、数据传送方法和继承设备认证方法 |
CN101753560A (zh) * | 2008-12-02 | 2010-06-23 | 戴尔产品有限公司 | 用于便携式设备的无线网络接入的预配置 |
US20110161659A1 (en) * | 2009-12-28 | 2011-06-30 | Motorola, Inc. | Method to enable secure self-provisioning of subscriber units in a communication system |
CN103202045A (zh) * | 2010-11-05 | 2013-07-10 | 交互数字专利控股公司 | 设备检验、遇险指示和补救 |
CN104813685A (zh) * | 2012-09-22 | 2015-07-29 | 谷歌公司 | 用于分布式状态的同步的订阅通知机制 |
CN106716957A (zh) * | 2014-09-17 | 2017-05-24 | 微软技术许可有限责任公司 | 高效且可靠的认证 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5534848A (en) * | 1994-05-19 | 1996-07-09 | General Motors Corporation | Automotive fault tolerant serial communication |
US6233685B1 (en) * | 1997-08-29 | 2001-05-15 | Sean William Smith | Establishing and employing the provable untampered state of a device |
US6820157B1 (en) * | 1998-06-30 | 2004-11-16 | International Business Machines Corporation | Apparatus, program product and method of replacing failed hardware device through concurrent maintenance operation |
US9130837B2 (en) * | 2012-05-22 | 2015-09-08 | Cisco Technology, Inc. | System and method for enabling unconfigured devices to join an autonomic network in a secure manner |
-
2017
- 2017-11-28 FR FR1761258A patent/FR3074324B1/fr active Active
-
2018
- 2018-10-04 US US16/151,882 patent/US11115222B2/en active Active
- 2018-11-06 CN CN201811311524.7A patent/CN109842492B/zh active Active
- 2018-11-27 EP EP18208672.8A patent/EP3489854B1/fr active Active
- 2018-11-27 ES ES18208672T patent/ES2929632T3/es active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002065696A1 (en) * | 2001-02-14 | 2002-08-22 | Gatespace Ab | A security architecture |
CN101395597A (zh) * | 2006-03-06 | 2009-03-25 | Lg电子株式会社 | 继承设备注册方法、数据传送方法和继承设备认证方法 |
CN101753560A (zh) * | 2008-12-02 | 2010-06-23 | 戴尔产品有限公司 | 用于便携式设备的无线网络接入的预配置 |
US20110161659A1 (en) * | 2009-12-28 | 2011-06-30 | Motorola, Inc. | Method to enable secure self-provisioning of subscriber units in a communication system |
CN103202045A (zh) * | 2010-11-05 | 2013-07-10 | 交互数字专利控股公司 | 设备检验、遇险指示和补救 |
CN104813685A (zh) * | 2012-09-22 | 2015-07-29 | 谷歌公司 | 用于分布式状态的同步的订阅通知机制 |
CN106716957A (zh) * | 2014-09-17 | 2017-05-24 | 微软技术许可有限责任公司 | 高效且可靠的认证 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112835635A (zh) * | 2021-01-25 | 2021-05-25 | 广州视源电子科技股份有限公司 | 设备更换方法、装置、系统、服务器及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
EP3489854A1 (fr) | 2019-05-29 |
US11115222B2 (en) | 2021-09-07 |
CN109842492B (zh) | 2023-10-31 |
ES2929632T3 (es) | 2022-11-30 |
FR3074324B1 (fr) | 2020-01-17 |
US20190165952A1 (en) | 2019-05-30 |
EP3489854B1 (fr) | 2022-10-19 |
FR3074324A1 (fr) | 2019-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109392310B (zh) | 验证无人驾驶飞行器完整性的系统 | |
KR102174665B1 (ko) | 디바이스의 보안 프로비저닝 및 관리 | |
US9544300B2 (en) | Method and system for providing device-specific operator data for an automation device in an automation installation | |
US11714633B2 (en) | Method for providing a firmware update of a device | |
CN105051627B (zh) | 自动化设备的数字设备证书的更新 | |
CN102742243B (zh) | 检查用于ied的配置修改的方法及装置 | |
CN110011848B (zh) | 一种移动运维审计系统 | |
CN104850093B (zh) | 用于监控自动化网络中的安全性的方法以及自动化网络 | |
CN103376800A (zh) | 用于保护控制器的系统和方法 | |
CN106410964B (zh) | 基于变电站继电保护装置定值远方操作方法 | |
CN104636680A (zh) | 维护部件的真实性验证及使用的许可证密钥的提供和获取 | |
CN110401613A (zh) | 一种认证管理方法和相关设备 | |
CN110768963B (zh) | 一种分布式架构的可信安全管理平台 | |
CN109842492A (zh) | 用于当在电气系统内安装时安全注册可移除电气设备的方法 | |
WO2021029160A1 (ja) | バックドア検査装置、ユーザ装置、システム、方法、及び非一時的なコンピュータ可読媒体 | |
CN109684791A (zh) | 一种软件保护方法及装置 | |
CN112654985B (zh) | 安全系统以及维护方法 | |
US11283613B2 (en) | Secure control of intelligent electronic devices in power delivery systems | |
CN105763518A (zh) | 一种基于b/s架构的远程数据加密方法 | |
Harnett et al. | Government Fleet and Public Sector Electric Vehicle Supply Equipment (EVSE) Cybersecurity Best Practices and Procurement Language Report | |
CN105959303B (zh) | 一种信息安全系统和信息安全方法 | |
CN103534979B (zh) | 将计算机加入过程控制系统的方法和装置 | |
George et al. | Implementing Cybersecurity Best Practices for Electrical Infrastructure in a Refinery: A Case Study | |
CN112995325A (zh) | 服务调试方法、调试服务、电子设备及计算机存储介质 | |
CN114207617A (zh) | 识别控制系统的被操纵的客户端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |