CN114402565A

CN114402565A - 确认或验证现场设备的方法

Info

Publication number: CN114402565A
Application number: CN202080064764.0A
Authority: CN
Inventors: 托马斯·阿尔伯; 马库斯·基利安; 阿克塞尔·保施曼; 萨沙·比勒; 西蒙·梅克林
Original assignee: Endress and Hauser Process Solutions AG
Current assignee: Endress and Hauser Process Solutions AG
Priority date: 2019-09-20
Filing date: 2020-08-20
Publication date: 2022-04-26
Also published as: EP4031945A1; WO2021052711A1; EP4031945B1; DE102019125417A1; US20220353063A1

Abstract

本发明涉及一种用于确认或验证现场设备的方法，该现场设备在自动化技术中确定或监测过程介质的物理、化学或生物过程变量，其中：该现场设备(FG)由多个硬件模块和软件模块构成；该现场设备在制造商侧(HS)设置有第一加密签名(S1)；该第一加密签名(S1)明确地识别该现场设备(FG)的设备制造商和/或原始交付状态，其由真实的硬件和软件/固件以及真实的配置设置定义；该现场设备(FG)的来源和完整性在客户侧(KS)借助于第一加密签名(S1)来确认/验证；一旦该现场设备(FG)被适配于定义的机器，那么该现场设备(FG)在客户侧(KS)上被设置第二加密签名(S2)；该第二加密签名(S2)明确地将在客户侧(KS)进行的该现场设备(FG)的适配识别为该现场设备(FG)的机器特定的预期状态；并且在将该现场设备(FG)安装在定义的机器中的时间段期间，借助于第二加密签名(S2)在客户侧(KS)执行对该现场设备(FG)的至少一次确认或验证。

Description

确认或验证现场设备的方法

技术领域

本发明涉及一种用于确认或验证现场设备的方法，该现场设备在自动化技术中确定或监测过程介质的物理、化学或生物过程变量。

背景技术

在自动化系统中，尤其是在过程自动化系统中，经常使用用于检测和/或影响介质的过程变量的现场设备。介质本身可以是液体、气体，甚至是固体。传感器用于检测过程变量，所使用的传感器例如被集成到液位计、流量计、压力计和温度计、pH氧化还原电位计、电导率计等中，这些传感器检测液位、流量、压力、温度、pH值或电导率的相应过程变量。诸如例如阀门或泵的致动器用于影响过程变量，经由这些致动器可以改变管段中的流体的流率或容器中介质的液位。结合本发明，与过程相关使用并且提供或处理与过程相关的信息的所有设备被称为现场设备。术语“现场设备”也被理解为表示远程I/O、无线电适配器以及在过程中布置在现场级别的其它部件。Endress+Hauser公司生产并销售各种这样的现场设备。

现场设备通常连接到现场总线。现场设备之间的通信和/或与更高级别单元的通信经由在自动化技术中常用的至少一种现场总线协议进行。然而，越来越多的通信也经由互联网协议进行。

如果在其中一个现场设备上执行未经授权的干预——该现场设备因此被操纵，则这可能会给自动化系统的操作员带来相当大的不利影响。在最坏的情况下，操纵会导致相应工厂的生产故障，和/或可能导致人身伤害和财产损失。此外，是否在可校准的现场设备上执行操纵是很重要的。

为了确保不会对现场设备的配置进行操纵，在复杂的比较过程中检查现在库存清单和配置参数。该过程可以确定自动化系统是否仍处于操作员所期望和定义的预期状态。如果考虑到在自动化系统中可以使用数百甚至数千个现场设备，则证明经由前述比较过程发现附加的和/或被操纵的现场设备是极其困难的。由于这种非常耗时的验证方法，因此通常根本不被执行。

此外，客户还没有机会无需大量麻烦地和“一目了然地”检测现场设备中是否仅安装了制造商的原始部件；这不仅适用于首次交付的情况，而且适用于维修实例，即当为了维修目的现场设备进入服务提供商的范围。在本发明的上下文中，原始部件被理解为是指硬件部件、诸如固件和应用程序等的软件部件以及现场设备的参数或配置设置。

为了确保现场设备的固件不被操纵，已知将基于CRC32(CRC：循环冗余校验)的校验和与固件相关联。这是能够检测数据变化的代码。固件被理解为嵌入在电子设备中的软件。它通常存储在闪存、EPROM、EEPROM或ROM中，并且用户无法更换或只能通过特殊方式或功能进行更换。该术语源于固件在功能上永久地被连接到硬件的事实。没有固件，硬件就无法有意义地加以使用。固件具有硬件和应用软件之间的中间位置，即现场设备的可能可交换的程序。顺便说一下，已知的真实性保护优选地用于可校准的现场设备中。为现场设备提供一般操作保护的解决方案尚未为人所知。

发明内容

本发明的目的是指定一种用于检查现场设备的完整性的简单方法。当现场设备在其所有部件中对应于在交付给用户时的原始制造商状态时，现场设备在本发明的含义内是完好的。

该目的通过用于确认或验证自动化技术中确定或监测过程介质的物理、化学或生物过程变量的现场设备的方法来实现，其中该现场设备由多个硬件模块和软件模块组成。在制造商侧，现场设备设置有第一加密签名，其中该签名明确地识别现场设备的设备制造商和/或原始交付状态，该设备制造商和/或原始交付状态由真实的硬件和软件/固件以及真实的配置设置定义。在客户侧，现场设备的来源和/或完整性借助于第一加密签名进行确认/验证。在现场设备已经被适配于定义的应用之后，在客户侧为现场设备提供第二加密签名，其中该第二加密签名明确地将在客户侧进行的现场设备的适配识别为现场设备的特定于应用的预期状态。在定义的应用中安装现场设备的持续时间期间，客户可以随时通过第二加密签名执行对现场设备的确认或验证。

通常为模块化设计的现场设备优选在生产过程结束时设置有第一加密签名。现场设备由硬件部件(例如，电子组件)和软件部件(诸如固件、应用程序和配置参数)组成。该第一加密签名明确地识别制造商和/或原始交付状态，从而识别对应现场设备的完整性。

在交付时，制造商或供应商的此加密签名用于使客户/用户能够确认/验证现场设备的来源和完整性。

如果客户例如在自动化系统中已安装现场设备，则现场设备通常被适配于客户侧的相应用例或应用。现场设备被配置/参数化，其中如果适用的话，由制造商预设的配置数据被更改。然后在客户侧为现场设备设置第二加密签名。该签名例如是客户特定的、系统特定的、设备特定的等。利用第二签名，客户/授权用户因此根据他们的期望识别现场设备的预期状态。

在此进一步签名的基础上，客户可以随时检查现场设备的完整性。他们尤其可以以简单的方式检查和确定是否对电子组件、固件、软件和/或现场设备的配置数据进行了更改。

因此，可以使用现场设备的确认或验证来检查现场设备的实际状态是否对应于客户/用户授权和/或定义的预期状态，以及现场设备是否完好。此外，如果已经尝试或执行了对现场设备的硬件模块和/或软件模块的未经授权的更改，则可以经由签名比较以简单的方式来确定。

根据本发明的方法的一个实施例规定，第一加密签名和/或第二加密签名通过由私人秘钥和公共验证密钥、公共秘钥组成的非对称密码系统来创建。

术语“非对称密码系统”是公共秘钥加密方法、公共秘钥认证和数字签名的通用术语。非对称密码系统或公共秘钥密码系统是一种加密方法，其中与对称密码系统相比，通信方不需要知道共享秘密密钥。每个用户生成他们自己的由秘密部分(私人秘钥)和非秘密部分(公共秘钥)组成的密钥对。公共秘钥使任何人都可以为私人秘钥所有者加密数据、检查他们的数字签名或对他们进行身份验证。私人秘钥使其所有者能够解密使用公共秘钥加密的数据，以生成或验证数字签名。

利用本发明及其实施例，可以经由简单的、可自动化的签名检查可靠地查明现场设备的模块是否是真实的，以及现场设备是否仍处于客户期望和授权的预期状态。没有有效签名的现场设备可以被自动查明并有选择地被拒绝。

具体实施方式

使用图1更详细地解释了根据本发明的用于确认或验证现场设备FG的方法，该现场设备FG在自动化技术中确定或监测过程介质的物理、化学或生物过程变量。图1示出多个现场设备FG位于制造商侧HS和客户侧KS。每一个现场设备FG都由多个硬件模块和软件模块构成。在制造商侧HS，现场设备FG在交付给客户之前设置有第一加密签名S1。第一加密签名S1明确地识别现场设备FG的设备制造商和/或原始交付状态。现场设备保证了真实的硬件和软件/固件以及真实的配置设置。

在客户侧KS，现场设备FG的来源和完整性由服务人员S借助于第一加密签名S1确认/验证。

通常，在客户侧进行新配置，以使现场设备FG最佳地适配于其被安装的定义的应用。现场设备FG接下来在客户侧KS上由服务人员S设置第二加密签名S2。第二加密签名S2明确地将在客户侧执行的现场设备FG的适配识别为现场设备FG的应用特定的预期状态。这使客户可以选择使用第二加密签名S2随时——甚至在现场设备FG在定义的应用中运行期间——确定现场设备是否仍处于其经过确认和验证的预期状态。因为确认/验证过程可以被自动化，所以甚至在现场设备FG的操作期间，也可以在不花费大量时间的情况下进行实际/预期检查。

Claims

1.一种用于确认或验证现场设备(FG)的方法，所述现场设备(FG)在自动化技术中确定或监测过程介质的物理、化学或生物过程变量，其中，所述现场设备(FG)由多个硬件模块和软件模块构成，

其中，在制造商侧(HS)，所述现场设备(FG)设置有第一加密签名(S1)；其中所述第一加密签名(S1)明确地识别所述现场设备(FG)的设备制造商和/或原始交付状态，所述设备制造商和/或原始交付状态由真实的硬件和软件/固件以及真实的配置设置定义；

其中，所述现场设备(FG)的来源和完整性在所述客户侧(KS)借助于所述第一加密签名(S1)来确认/验证；其中，在所述现场设备(FG)被适配于定义的应用之后，在所述客户侧(KS)上为所述现场设备(FG)设置第二加密签名(S2)；其中，所述第二加密签名(S2)明确地将在所述客户侧(KS)进行的所述现场设备(FG)的适配识别为所述现场设备(FG)的应用特定的预期状态；并且其中，在所述定义的应用中安装所述现场设备(FG)的时间段期间，在所述客户侧(KS)经由所述第二加密签名(S2)执行对所述现场设备(FG)的至少一次确认或验证。

2.根据权利要求1所述的方法，

其中，尤其是客户特定的、系统特定的和/或设备特定的签名被用作第二加密签名(S2)。

3.根据权利要求1或2所述的方法，

其中，使用对所述现场设备(FG)的确认或验证来检查所述现场设备(FG)的相应实际状态是否与预期状态匹配并且所述现场设备(FG)是否完好，或者是否对所述现场设备(FG)的硬件模块和/或软件模块进行了未经授权的更改。

4.根据前述权利要求中的一项或多项所述的方法，其中，所述第一加密签名(S1)和/或所述第二加密签名(S2)经由由私人秘钥和公共验证密钥、公共秘钥组成的非对称密码系统创建。

5.根据前述权利要求中的一项或多项所述的方法，其中，尤其将电子组件识别为硬件模块。

6.根据前述权利要求中的一项或多项所述的方法，其中，尤其将固件或配置参数识别为软件模块。