CN113536332A - 验证自动化技术模块化现场设备电子模块真实来源的方法 - Google Patents
验证自动化技术模块化现场设备电子模块真实来源的方法 Download PDFInfo
- Publication number
- CN113536332A CN113536332A CN202110422886.9A CN202110422886A CN113536332A CN 113536332 A CN113536332 A CN 113536332A CN 202110422886 A CN202110422886 A CN 202110422886A CN 113536332 A CN113536332 A CN 113536332A
- Authority
- CN
- China
- Prior art keywords
- manufacturer
- electronic module
- field device
- public key
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000005516 engineering process Methods 0.000 title abstract description 7
- 238000004519 manufacturing process Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 5
- 238000012795 verification Methods 0.000 claims description 5
- 238000012423 maintenance Methods 0.000 claims 1
- 238000005259 measurement Methods 0.000 description 5
- 238000011049 filling Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000011179 visual inspection Methods 0.000 description 2
- 230000031018 biological processes and functions Effects 0.000 description 1
- 238000009530 blood pressure measurement Methods 0.000 description 1
- 238000009529 body temperature measurement Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000012530 fluid Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000011065 in-situ storage Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000001139 pH measurement Methods 0.000 description 1
- 238000004801 process automation Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/14—Plc safety
- G05B2219/14011—Explosion free control, intrinsically safe
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24163—Authentication tag in configuration file
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25428—Field device
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/26—Pc applications
- G05B2219/2631—Blasting, explosion
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2103—Challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/26—Testing cryptographic entity, e.g. testing integrity of encryption key or encryption algorithm
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及验证自动化技术模块化现场设备电子模块真实来源的方法。可信的电子模块的制造商被分配由公钥和私钥组成的密钥对,公钥被存储在现场设备或与现场设备通信的单元中的列表中,除将电子模块表征为可信的合适的密钥对外,每个电子模块还包含制造商的公钥和制造商签名,制造商签名将电子模块的公钥确认为可信的,方法包括:当更换或添加电子模块时,现场设备或与现场设备通信的单元检查:电子模块是否具有密钥对和制造商签名,制造商的公钥是否在列表中,制造商签名是否与制造商和电子模块相匹配,电子模块是否拥有正确的私钥。如果检查结果为肯定,则允许电子模块与现场设备或与现场设备的功能相关的另一电子模块进行通信或交互。
Description
技术领域
本发明涉及一种用于验证自动化技术中的模块化现场设备的电子模块的真实来源的方法。
背景技术
用于检测和/或影响物理、化学或生物过程变量的现场设备通常用于过程自动化以及制造自动化。测量设备用于检测过程变量。这些测量装置用于例如压力和温度测量、电导率测量、流量测量、pH测量、填充水平测量等,并且检测压力、温度、电导率、pH值、填充水平、流量等的对应过程变量。致动器系统用于影响过程变量。致动器的示例是可以影响管道中的流体的流动或罐中的填充水平的泵或阀。除了前述测量设备和致动器之外,现场设备还被理解为包括远程I/O、无线电适配器,或者更一般地包括布置在现场级的设备。结合本发明,在过程或工厂附近使用并且供应或处理与过程或工厂相关的信息的全部设备被称为现场设备。
对应现场设备通常由多个电子模块组成,诸如具有电路板的插入式模块、具有数字连接的传感器等。如果更换或添加电子模块,目前无法检查关于电子模块在其来源方面是否真实,即,电子组件是否源自原始制造商或源自被分类为可信的制造商——并且也能够证明这一点。迄今为止,在安装之前,还没有可靠地验证电子模块来源的真实性。最多,如果安装是由本领域维修技术员进行的,则执行目视检查。如果目视检查是肯定的,则假设电子模块可以安装在现场设备中。
以上描述的程序面临相当大的安全风险:因为,原则上,直到现在还不可能检测由未授权的制造商带入市场的电子模块,所以存在不符合所要求的安全规定的电子模块将在现场设备中开始使用的风险。例如,如果电子模块不符合在爆炸危险区域中使用的要求,但在这样的区域的自动化技术中使用,则它可能就有绝对致命的影响。
发明内容
本发明的目的是提出一种方法,借助于该方法确保只有源自经授权的制造商的电子模块才能在自动化技术的现场设备中功能性地使用。
本发明通过一种用于验证自动化技术中的模块化现场设备的电子模块的真实来源的方法来实现,其中被分类为可信的现场设备的电子模块的每个制造商被分配有由公钥和私钥组成的密钥对,并且其中被分类为可信的制造商的公钥被存储在现场设备中或者与现场设备通信的单元中的列表中。除了由公钥和私钥组成的标识电子模块的密钥对之外,现场设备的每个电子模块还包含制造商的公钥和制造商签名,利用该签名电子模块的公钥被确认为可信的。特别地,制造商签名是利用经授权的制造商的私钥对电子模块的公钥的加密。替代性地,制造商签名也可以直接或间接地经由所谓的数字签名算法(DSA、ECDSA等)生成。
该方法包括以下方法步骤:
当更换或当添加电子模块时,现场设备或与现场设备通信的单元检查:
-所更换或添加的电子模块是否具有密钥对和制造商签名,
-电子模块的制造商的公钥是否列在列表中并且制造商的公钥是否被分类为可信的;还可以在列表中存储与相关制造商的公钥相关联的附加形式的身份。如果以使得其比制造商的公钥需要更少的存储空间并且因此可以更快地传输的方式选择身份的形式,则这可能是有利的。
-制造商签名是否与制造商和电子模块相匹配,即,电子模块是否实际源自可信的制造商,以及
-电子模块是否拥有正确的私钥。
如果检查以肯定的结果结束,则允许更换或添加的电子模块与现场设备或与现场设备的功能相关的另一电子模块进行通信或交互。
电子模块尤其是带有电路板的插入式模块或带有数字连接的传感器。这些传感器优选地是经由可插拔线缆连接到中央转换器的智能传感器,例如Memosens传感器。传感器例如是pH传感器、浊度传感器、电导率传感器等。合适的转换器由申请人销售和分销,例如以代号CM42、CM44或Liquiline销售和分销。根据本发明的方法非常适合于确保只有经授权的制造商的传感器连接到转换器/发射器。根据使用情况,尤其是pH传感器必须以更长或更短的时间间隔进行校准。校准通常在实验室使用PC应用(例如,申请人的Memobase Plus)执行;所确定的校准数据存储在相关联的传感器中。在此还有,根据本发明的方法也可以有利地用于区分经授权的制造商的传感器和假传感器。
总之,可以说,根据本发明,进行检查以确定a)电子模块的制造商是否可信以及b)模块是否也是由可信的制造商实际制造的。或者,换句话说:如果制造商的电子模块能够验证其实际上也是由被识别为可信的制造商制造的,则这个制造商的电子模块被接受。结合本发明,制造商签名意味着例如利用制造商的私钥对电子模块的公钥的加密。如上面已经提及那样,也可以使用其他签名方法,例如DSA、ECDSA等。创建也可以使用附加的中间步骤来完成,例如使用散列(SHA256)。借助于签名,制造商确认电子模块的公钥的来源,尤其是来自其生产。
如果希望确保电子模块仅用于授权制造商的现场设备,可以在电子模块中存储被分类为可信的现场设备的制造商的列表。只有在电子模块能够确保其用于可信的现场设备的情况下,它才能提供其(全部)功能。
为了检查制造商签名是否与制造商和所更换或添加的电子模块相匹配,制造商签名、制造商的公钥和电子模块的公钥被读出并检查。如果所更换或添加的电子模块的制造商签名可以利用制造商的公钥解密,则确保电子模块的公钥源自可信的制造商。优选地,经由挑战/应答方法,执行确定现场设备或单元与其通信的所更换或添加的电子模块和电子模块的公钥是否实际上属于一起的对应检查。在这种情况下,从现场设备或替代性地与现场设备通信的单元发送任意消息,作为通过请求利用私钥进行加密或签名创建的对所更换或添加的电子模块的挑战。所更换或添加的电子模块利用其私钥对消息进行加密或签名,并将所签名的消息作为应答返回给现场设备或单元。现场设备或单元使用所更换或添加的电子模块的公钥解密所签名的消息,并在肯定的验证的情况下接收该消息。替代性地,也可以先对消息进行散列处理,并且然后利用电子模块的私钥对其进行加密。如果传达较长消息或未知/可变长度的消息,这尤其有利。通过散列,可以使消息等可以为定义的长度。
根据本发明的方法的另外的发展,提出了以下方法步骤:
如果检查指示所更换或添加的电子模块不具有制造商签名或没有密钥对,则关于是否可以为电子模块生成或提供制造商签名和/或密钥对进行检查。在可以提供或生成制造商签名和/或密钥对的情况下,制造商签名和/或密钥对被传送到所更换或添加的电子模块。注意以下内容:经授权的制造商的私钥当然要由制造商保密;因此,它们在现场设备中不可用。如果电子模块不具有密钥对,则在存在对应生成器的情况下可以生成密钥对并且将其分配给电子模块。如果缺少制造商签名,作为替代,现场设备可以做制造商自己通常做的事情:它充当具有现场设备的公钥Q的制造商,并通过使用现场设备的私钥q创建签名q(Pk)来担保电子模块的公钥。在这种情况下,当然有必要将现场设备的公钥Q列为被分类为可信的制造商的列表中的准制造商。
另外,提供了以下方法步骤:在电子模块不具有制造商签名和/或没有合适的密钥对,或者不能为电子模块生成制造商签名和/或合适的密钥对的情况下,电子模块保持从现场设备的通信被排除。
优选的实施例提供了以下方法步骤:如果检查指示所更换或添加的电子模块具有制造商签名和适当的密钥对,但是制造商的公钥没有被存储在列表中,则如果经授权的人员——例如维修技术人员——确认电子模块的制造商的可信度,则制造商的公钥被分配给列表。
另外,提出以下内容:如果可以为电子模块生成制造商签名q(Pk)和合适的密钥对(Pk、pk),则数据被分配给电子模块或被存储在电子模块中。
结合本发明,提供了在生产过程期间,电子模块各自由经授权的制造商、原始制造商或由原始制造商授权的第三方提供合适的密钥对;另外,经授权的制造商的公钥存储在被分类为可信的制造商的列表中。电子模块的密钥对和制造商签名的生成通常发生在制造商的生产中。只有以这样的方式才能确保厂商的私钥被保密。否则,签名——即,利用制造商的私钥的加密——将失去其效力或意义。
然而,在原位维修访问期间,在某些情况下,可以将另外的制造商添加到被分类为可信的制造商的列表中。例如,这可以以经授权的人员登录到现场设备并主动地将附加制造商的公钥写入到列表中、或者从插入式电子模块中的一个采用它的方式发生。另外,附加制造商有可能联系已经记录在列表中的制造商,尤其原始制造商,并要求这个制造商例如创建添加供应商票证,附加制造商然后可以将该票证添加到其全部电子模块。这种票证必须包含由经授权的制造商签名的附加制造商的公钥,授权制造商据此担保附加制造商的公钥。
另外,规定当更换电子模块时,如果经授权的制造商没有提供现场设备的任何其他电子模块,则从列表中删除该制造商的公钥。
该检查优选地在现场设备正在进行的操作期间执行。这种检查也可以在现场设备重启后执行,或者根据任意预定的时间间隔循环执行。
如前提及那样,也可以使用派生物,例如散列值,或者一些其他独立且唯一的标识,而不是经授权的制造商的公钥。
还可以使用附加的中间步骤来计算制造商签名:例如,在利用制造商的私钥的加密之前,确定电子模块的公钥的散列值。
附图说明
参考以下附图更详细地解释本发明。以下示出的是:
图1:具有多个模块的现场设备的示意性表示和被分类为可信的模块制造商的列表,
图2:具有多个模块的现场设备的示意图,未知制造商的模块已经被添加在其中,
图3:具有多个模块的现场设备的示意图,其中现场设备本身使自己能够作为制造商,以及
图4是可视化根据本发明及其实施例的方法的流程图。
具体实施方式
图1示出了现场设备FG的示意性表示,该现场设备FG具有多个模块Mk(其中k=1、2、3)和列表PTL,列表PTL具有被分类为可信的模块制造商的公钥H、V1。电子模块中的两个M1、M2由原始制造商制造;一个模块M3源自被分类为可信的授权制造商(供应商1)。因为原始制造商和被分类为可信的(一个或多个)模块制造商两者是经授权的制造商,为了简单起见,在专利权利要求和图4的描述中,缩写Vm用于经授权的模块制造商的公钥,并且缩写vm用于对应私钥,其中m=1、2、……、I。
除了它自己的密钥对(Q、q)之外,具有被分类为可信的模块制造商的公钥H、V1的列表PTL被存储在现场设备FG中。除了它自己的密钥对(Pk、pk)之外,每个电子模块Mk包含对应模块制造商的公钥H、V1和利用模块制造商的对应私钥h、v1加密的电子模块Mk的公钥h(P1)、h(P2)、v1(P3)。利用模块制造商的对应私钥h、vm加密的电子模块Mk的公钥h(P1)、h(P2)、v1(P3)也被称为制造商签名。在图1至图3中,加密本身用字母E标记。
现场设备FG的密钥对(Q、q)可以用于使现场设备FG能够相对于其他现场设备被配置为原始制造商或经授权的制造商的真实现场设备FG。然而,为了识别电子模块Mk是否源自经授权的制造商并且因此可以被结合到现场设备的操作所必需的通信中,密钥对(Q、q)仅在要生成电子模块Mk的制造商签名q(Pk)的情况下具有相关性。这是特别必要的,因为电子模块Mk本身没有关于哪个制造商是可信的或不可信的任何信息。然而,经授权的制造商可以——如上所提及那样——直接在电子模块Mk上安装对应的添加供应商票证。
图2是具有多个模块Mk的现场设备FG的示意性表示,迄今未知的制造商的模块M4被添加到其中。制造商具有公钥V2,在安装M4电子模块时,该公钥尚未被输入被分类为可信的制造商的列表PTL中。然而,制造商的公钥V2由列表中被分类为可信的制造商中的一个签名,在这种情况下由原始制造商的私钥h签名。如果例如经授权的人员登录现场设备FG并将新制造商的公钥V2添加到列表PTL中,则制造商V2的公钥被记录在被分类为可信的制造商的列表PTL中。
另外,电子模块M4具有分配给电子模块M4的密钥对(P4、p4)和制造商签名v2(P4)。
图3示出了具有多个模块Mk的现场设备FG的示意性表示。在这种情况下,可以看到下述情况:现场设备FG本身使自己能够作为制造商。现场设备FG对所添加的模块M4进行签名——因此,它利用其私钥q对电子模块M4的公钥P4进行加密——将制造商签名q(P4)传送给电子模块M4,使得随后可以相对于现场设备FG标识电子模块M4。另外,现场设备FG必须将其公钥Q添加到被分类为可信的制造商的列表PTL中。利用这个程序,现场设备FG随后接受由此签名的全部电子模块Mk。
这方面的替代性方案是现场设备FG除了具有被分类为可信的制造商的列表PTL,还具有带有被分类为可信的电子模块的列表MTL。在这种情况下,可以省略电子模块M4的制造商签名q(P4)。在与本专利申请同时提交的申请人的专利申请中,在其他方面详细描述了一种用于确保在现场设备FG中仅使用被分类为可信的电子模块Mk的方法。
图4示出了显示根据本发明的方法及其实施例的流程图。在现场设备FG的生产期间或正在进行的操作期间,在点20处更换电子模块MK或插入新模块M4(图2)。因为只有在确保电子模块Mk源自经授权的制造商V1并且在这个意义上是真实的情况下所更换或添加的电子模块Mk、M4才被包括在现场设备FG的操作所需的通信中,所以电子模块Mk的来源必须是可验证的。
在程序点30下,在第一步骤中关于所更换或添加的电子模块Mk是否具有以下数据元素进行检查:
a)制造商的公钥Vm——这由现场设备FG进行请求,以便确定制造商的身份并验证制造商是否被分类为可信,
b)分配给电子模块Mk的密钥对Pk、pk——其加密身份,由公钥Pk和私钥pk组成,
c)制造商签名vm(Pk)——即,利用制造商的私钥vm加密的电子模块Mk的公钥Pk。
如果在程序点30处确认了前述数据元素的可用性,则在程序点40处关于电子模块Mk的制造商的公钥Vm是否列在被分配给现场设备FG的被分类为可信的制造商的列表PTL中进行检查。在验证的肯定输出的情况下,看起来其是可信的制造商的电子模块Mk。这一假设将在下文得到证明。
验证所需的措施在程序点50下陈述:现场设备FG请求电子模块Mk的公钥Pk和制造商签名vm(Pk)。
在程序点60,关于签名vm(Pk)是否匹配模块Mk的经授权的制造商进行检查。如果由制造商利用其私钥vm签名的电子模块Mk的公钥Pk可以利用制造商的公钥Vm解密,则这个检查是肯定的。然后可以假设已经将签名vm(Pk)写入到模块Mk的制造商拥有经授权的制造商的私钥vm。因此,在确保私钥vm没有被泄露的情况下,电子模块Mk的公钥Pk必须由这个经授权的制造商签名。
在程序点70,然后关于电子模块MK是否也拥有相关联的私钥pk进行检查。这个第三步骤可以确保所更换或添加的电子模块Mk和电子模块Mk的公钥Pk实际上也属于一起。然后,这个最后的检查在具有或没有散列的情况下通过挑战/应答方法执行。
作为挑战,所更换或添加的模块Mk使用其自己的私钥pk加密由现场设备FG发送的消息m,并将经签名的消息pk(m)作为应答发送给现场设备FG。现场设备FG使用电子模块Mk的现有公钥pk解密签名pk(m),并期望结果是未加密的消息m。如果是这样,则可以清楚地得出结论,电子模块Mk必然拥有私钥pk。因此,公钥pk也必然属于电子模块Mk的私钥Pk。
只有在前述检查中的每种情况下获得肯定的结果时,电子模块Mk才被认为是可信的——其来自被分类为可信的制造商的来源被证明——并且被包括在现场设备FG的操作所需的通信中(程序点80);程序在点90终止。
如果在程序点30处的检查指示所更换或添加的电子模块Mk不具有以下数据元素:制造商的公钥vm、分配给电子模块Mk的密钥对Pk、pk和制造商签名Vm(Pk)——即,利用制造商的私钥Vm加密的电子模块Mk的公钥Pk——则在程序点100关于这些数据元素是否可能被生成或添加进行检查。如果在程序点100处的检查指示不可能生成或添加数据元素,则在程序点110输出错误消息“不完整数据”;随后,终止检查。如果可以在程序点120处生成或添加数据元素,则在程序点40处继续检查。
如果在程序点40处的检查指示模块制造商的公钥Vm没有被输入到被分类为可信的制造商的列表PTL中,则在程序点130处经授权的用户/维修技术人员仍然可以确认模块Mk的可信度。替代性地,添加供应商票证也可以存在于现场设备FG中或电子模块Mk中。如果进行了这种验证,则制造商的公钥Vm被记录在被分类为可信的制造商的列表中(程序点140)。如果在程序点130处可信度未被验证,则在程序点150处生成错误消息“制造商不可信”,并且检查结束。
如果在程序点60、70中的一个处的检查指示签名vm(Pk)与制造商或电子模块Mk不匹配,或者电子模块Mk不拥有相关联的私钥pk,则输出错误消息:“模块不是真实的”(程序点160)。然后排除现场设备的操作所需的通信。
Claims (15)
1.一种用于验证自动化技术中的模块化现场设备(FG)的电子模块(Mk)的真实来源的方法,其中k=1、2、……、n,
其中,被分类为可信的现场设备(FG)的电子模块(Mk)的每个制造商被分配由公钥(Vm)和私钥(vm)组成的密钥对(Vm、vm),并且其中被分类为可信的制造商的所述公钥(Vm)被存储在所述现场设备(FG)或与所述现场设备(FG)通信的单元中的列表(PTL)中,其中m=1、……、I,
其中,除了将所述电子模块(Mk)表征为可信的并且由公钥(Pk)和私钥(pk)组成的合适的密钥对(Pk、pk)之外,所述现场设备(FG)的每个电子模块(Mk)还包含所述制造商的公钥(Vm)和制造商签名(vm(Pk)),其中所述制造商签名(vm(Pk))将所述电子模块(Mk)的公钥(Pk)确认为可信的,
其中,所述方法具有以下方法步骤:
-当更换或添加电子模块(Mk)时,所述现场设备(FG)或与所述现场设备(FG)通信的单元(U)检查,
-所更换或添加的电子模块(Mk)是否具有密钥对(Pk、pk)和制造商签名(vm(Pk)),
-所述电子模块(Mk)的制造商的公钥(Vm)是否被列在具有被分类为可信的制造商的公钥(Vm)的所述列表(PTL)中,
-所述制造商签名(vm(Pk))是否与所述制造商和所述电子模块(Mk)相匹配,即,所述电子模块(Mk)是否实际源自可信的制造商,以及
-所述电子模块(Mk)是否拥有正确的私钥(pk),
如果检查以肯定的结果结束,则允许所更换或添加的电子模块(Mk)与所述现场设备(FG)或与所述现场设备(FG)的功能相关的另一电子模块(Mk)进行通信或交互。
2.根据权利要求1所述的方法,包括以下方法步骤:
为了检查所述制造商签名(vm(Pk))是否与所述制造商和所更换或添加的电子模块(Mk)相匹配,所述制造商签名(vm(Pk))、所述制造商的公钥(Vm)和所述电子模块(Mk)的公钥(Pk)被读出并检查。
3.根据权利要求1或2所述的方法,包括以下方法步骤:
如果所更换或添加的电子模块(Mk)的制造商签名(vm(Pk))能够利用所述制造商的公钥(Vm)解密,则确保所述电子模块(Mk)的公钥(Pk)源自可信的制造商。
4.根据权利要求3所述的方法,包括以下方法步骤:
经由挑战/应答方法来执行对所述现场设备(FG)或所述单元(U)与其通信的所更换或添加的电子模块(Mk)和所述电子模块(Mk)的公钥(Pk)是否实际上属于一起的检查。
5.根据权利要求4所述的方法,包括以下方法步骤:
从所述现场设备(FG)或与所述现场设备通信的单元,发送任意消息(m)作为通过请求签名创建(pk(m))或加密的对所更换或添加的电子模块(Mk)的挑战,
所更换或添加的电子模块(Mk)利用其私钥(pk)对所述消息进行加密或签名,并将所签名的消息(pk(m))作为应答返回给所述现场设备(FG)或所述单元,
所述现场设备(FG)或所述单元使用所更换或添加的电子模块(Mk)的公钥(Pk)解密所签名的消息(pk(m)),并在肯定的验证的情况下接收所述消息(m)。
6.根据前述权利要求中的一项或多项所述的方法,包括以下方法步骤:
如果所述检查指示所更换或添加的电子模块(Mk)不具有制造商签名(vm(pk))或没有密钥对(Pk、pk),则关于是否能够为所述电子模块(Mk)生成或提供制造商签名(vm(Pk))和/或密钥对(Pk、pk)进行检查,
其中,在所述制造商签名(vm(pk))和/或所述密钥对(Pk、pk)由另一电子模块(Mk)提供或生成的情况下,所述制造商签名(vm(Pk))和/或所述密钥对(Pk、pk)被传送到所更换或添加的电子模块(Mk)。
7.根据权利要求6所述的方法,包括以下方法步骤:
在所述电子模块(Mk)不具有制造商签名(vm(pk))和/或合适的密钥对(Pk、pk),或者不能为所述电子模块(Mk)生成制造商签名(vm(Pk))和/或合适的密钥对(Pk、pk)的情况下,所述电子模块(Mk)保持从所述通信被排除。
8.根据前述权利要求中的一项或多项所述的方法,包括以下方法步骤:
如果所述检查指示所更换或添加的电子模块(Mk)具有所述制造商签名(vm(Pk))和适当的密钥对(Pk、pk),但是所述制造商的公钥(Vm)没有被存储在所述列表中(PTL),则如果经授权的人员确认所述电子模块(Mk)制造商的可信度,则所述制造商的公钥(Vm)被分配给所述列表(PTL)。
9.根据前述权利要求中的一项或多项所述的方法,包括以下方法步骤:
如果能够为所述电子模块(Mk)生成制造商签名(q(Pk))和合适的密钥对(Pk、pk),则所述数据被分配给所述电子模块(Mk)或被存储在所述电子模块(Mk)中。
10.根据前述权利要求中的一项或多项所述的方法,包括以下方法步骤:
-在生产过程期间或在维修访问期间,所述电子模块(Mk)各自由经授权的制造商、原始制造商或由所述原始制造商授权的第三方提供合适的密钥对(Pk、pk),以及
经授权的制造商的公钥(Vm)被存储在所述列表(PTL)中。
11.根据前述权利要求中的一项或多项所述的方法,包括以下方法步骤:
当更换电子模块(Mk)时,经授权的制造商的公钥(Vm)从所述列表(PTL)中被删除。
12.根据前述权利要求中的一项或多项所述的方法,包括以下方法步骤:
所述检查在所述现场设备(FG)的正在进行的操作期间执行。
13.根据前述权利要求中的一项或多项所述的方法,包括以下方法步骤:
代替经授权的制造商的公钥(Vm),使用派生物,例如散列值,或一些其他独立且唯一的标识。
14.根据前述权利要求中的一项或多项所述的方法,包括以下方法步骤:
-使用附加的中间步骤计算所述制造商签名vm(Pk):在利用所述制造商的私钥(vm)加密之前,确定散列值。
15.根据权利要求1至14中的一项或多项所述的方法,
其中,特别是具有电路板的插入式模块或具有数字连接的传感器被用作所述电子模块(Mk)。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102020111020.0 | 2020-04-22 | ||
| DE102020111020.0A DE102020111020A1 (de) | 2020-04-22 | 2020-04-22 | Verfahren zur Überprüfung der authentischen Herkunft von elektronischen Modulen eines modular aufgebauten Feldgeräts der Automatisierungstechnik |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113536332A true CN113536332A (zh) | 2021-10-22 |
Family
ID=75203020
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110422886.9A Pending CN113536332A (zh) | 2020-04-22 | 2021-04-20 | 验证自动化技术模块化现场设备电子模块真实来源的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20210336773A1 (zh) |
| EP (1) | EP3901715B1 (zh) |
| CN (1) | CN113536332A (zh) |
| DE (1) | DE102020111020A1 (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6751735B1 (en) * | 1998-03-23 | 2004-06-15 | Novell, Inc. | Apparatus for control of cryptography implementations in third party applications |
| US20050289343A1 (en) * | 2004-06-23 | 2005-12-29 | Sun Microsystems, Inc. | Systems and methods for binding a hardware component and a platform |
| CN103001923A (zh) * | 2003-06-05 | 2013-03-27 | 英特特拉斯特技术公司 | 用于对等服务编排的可互操作系统和方法 |
| CN103109495A (zh) * | 2010-05-17 | 2013-05-15 | 捷讯研究有限公司 | 用于认证并登记设备的方法 |
| US20160294829A1 (en) * | 2015-04-02 | 2016-10-06 | The Boeing Company | Secure provisioning of devices for manufacturing and maintenance |
| CN108989042A (zh) * | 2017-05-31 | 2018-12-11 | 恩德莱斯和豪瑟尔分析仪表两合公司 | 用于授权更新自动化技术现场设备的方法 |
| CN110138562A (zh) * | 2018-02-09 | 2019-08-16 | 腾讯科技(北京)有限公司 | 智能设备的证书签发方法、装置及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB9914262D0 (en) * | 1999-06-18 | 1999-08-18 | Nokia Mobile Phones Ltd | WIM Manufacture certificate |
| US7010682B2 (en) | 2002-06-28 | 2006-03-07 | Motorola, Inc. | Method and system for vehicle authentication of a component |
| US20050138387A1 (en) * | 2003-12-19 | 2005-06-23 | Lam Wai T. | System and method for authorizing software use |
| US8989380B1 (en) * | 2011-08-08 | 2015-03-24 | Sprint Spectrum L.P. | Controlling communication of a wireless communication device |
| WO2013093209A1 (en) * | 2011-12-21 | 2013-06-27 | Ssh Communications Security Oyj | Automated access, key, certificate, and credential management |
-
2020
- 2020-04-22 DE DE102020111020.0A patent/DE102020111020A1/de not_active Withdrawn
-
2021
- 2021-03-23 EP EP21164328.3A patent/EP3901715B1/de active Active
- 2021-04-20 CN CN202110422886.9A patent/CN113536332A/zh active Pending
- 2021-04-22 US US17/237,546 patent/US20210336773A1/en not_active Abandoned
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6751735B1 (en) * | 1998-03-23 | 2004-06-15 | Novell, Inc. | Apparatus for control of cryptography implementations in third party applications |
| CN103001923A (zh) * | 2003-06-05 | 2013-03-27 | 英特特拉斯特技术公司 | 用于对等服务编排的可互操作系统和方法 |
| US20050289343A1 (en) * | 2004-06-23 | 2005-12-29 | Sun Microsystems, Inc. | Systems and methods for binding a hardware component and a platform |
| CN103109495A (zh) * | 2010-05-17 | 2013-05-15 | 捷讯研究有限公司 | 用于认证并登记设备的方法 |
| US20160294829A1 (en) * | 2015-04-02 | 2016-10-06 | The Boeing Company | Secure provisioning of devices for manufacturing and maintenance |
| CN108989042A (zh) * | 2017-05-31 | 2018-12-11 | 恩德莱斯和豪瑟尔分析仪表两合公司 | 用于授权更新自动化技术现场设备的方法 |
| CN110138562A (zh) * | 2018-02-09 | 2019-08-16 | 腾讯科技(北京)有限公司 | 智能设备的证书签发方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210336773A1 (en) | 2021-10-28 |
| DE102020111020A1 (de) | 2021-10-28 |
| EP3901715B1 (de) | 2023-08-02 |
| EP3901715A1 (de) | 2021-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10051059B2 (en) | Methods and apparatus to control communications of endpoints in an industrial enterprise system based on integrity | |
| CN1956372B (zh) | 指示相关密码令牌的参数的数字证书 | |
| US8321933B2 (en) | Securing electronic control unit code | |
| US10728037B2 (en) | Method for authenticating a field device of automation technology | |
| TW201820132A (zh) | 用於可程式化設備的統一程式設計環境 | |
| CN103368739A (zh) | 用于车辆控制模块的安全软件文件传输系统和方法 | |
| US10958447B2 (en) | Method, security device and security system | |
| US11522723B2 (en) | Secure provisiong of baseboard management controller identity of a platform | |
| US10700871B2 (en) | Securing network communications on industrial automation systems | |
| US10911432B2 (en) | Use of certificates using a positive list | |
| CN111433774B (zh) | 用于系统的完整性确认的方法和确认装置 | |
| CN108540447A (zh) | 一种基于区块链的证书验证方法及系统 | |
| CN113536399A (zh) | 检查自动化技术中模块化现场设备电子模块真实性的方法 | |
| CN113536332A (zh) | 验证自动化技术模块化现场设备电子模块真实来源的方法 | |
| US20220353063A1 (en) | Method for validating or verifying a field device | |
| CN112787804A (zh) | 执行现场设备与操作设备之间的取决于许可的通信的方法 | |
| KR102378989B1 (ko) | 산업제어시스템 운영 환경을 고려한 취약점 시험 결과 확인 시스템 및 방법 | |
| CN114430895B (zh) | 用于以安全方式管理自动化现场设备的数据以防止操纵的系统和方法 | |
| CN113228558B (zh) | 用于监测物理对象的完整性的方法 | |
| JP5386860B2 (ja) | 決済システム、決済処理装置、正当性検証装置、正当性検証要求処理プログラム、正当性検証処理プログラム、及び正当性検証方法 | |
| Karch et al. | Security Evaluation of Smart Cards and Secure Tokens: Benefits and Drawbacks for Reducing Supply Chain Risks of Nuclear Power Plants | |
| KR20220042208A (ko) | 제어 시스템에서의 조작된 클라이언트들의 검출 | |
| KR20220153602A (ko) | 애플리케이션별 키를 인증하고 이런 인증을 요청하는 방법 및 디바이스 | |
| CN115883507A (zh) | 信息处理方法及装置、电子设备、计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |