CN114510744A - 保护由传感器装置获取的测量数据的完整性 - Google Patents
保护由传感器装置获取的测量数据的完整性 Download PDFInfo
- Publication number
- CN114510744A CN114510744A CN202111360221.6A CN202111360221A CN114510744A CN 114510744 A CN114510744 A CN 114510744A CN 202111360221 A CN202111360221 A CN 202111360221A CN 114510744 A CN114510744 A CN 114510744A
- Authority
- CN
- China
- Prior art keywords
- sensor device
- measurement data
- value
- signature
- aggregate value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0221—Preprocessing measurements, e.g. data collection rate adjustment; Standardization of measurements; Time series or signal analysis, e.g. frequency analysis or wavelets; Trustworthiness of measurements; Indexes therefor; Measurements using easily measured parameters to estimate parameters difficult to measure; Virtual sensor creation; De-noising; Sensor fusion; Unconventional preprocessing inherently present in specific fault detection methods like PCA-based methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Power Engineering (AREA)
- Computing Systems (AREA)
- Arrangements For Transmission Of Measured Signals (AREA)
- Storage Device Security (AREA)
Abstract
一种用于保护由传感器装置获取的测量数据的完整性的方法,包括:●响应于测量数据被获取,由所述传感器装置确定是否已经生成聚合值,并且:○如果还没有获得聚合值,则通过将测量数据视为强制自变量并且将先前生成的聚合值视为可选自变量的预定聚集函数的方式来将所述测量数据(2)映射到聚合值;而○如果已经获得聚合值,则通过所述聚集函数的方式将这个聚合值和所述测量数据的组合映射到新聚合值;以及●响应于预定条件被满足,○使用所述传感器装置的秘密密钥来计算所述聚合值的签名;并且○经由所述传感器装置的通信接口来输出所述签名,和/或○将所述签名存储在存储器中。一种用于认证测量数据的对应的方法。
Description
技术领域
本发明涉及由传感器装置获取并且通过过程控制网络传送的测量数据的认证。
背景技术
自动化工业计划通常包括与工业生产过程有直接关系的许多现场装置。这些现场装置中的许多现场装置包括用于获取测量数据的传感器。测量数据通过过程控制网络传送到存储和/或评估测量数据的其它实体或服务器。
在可从这个测量数据的故意伪造中得到经济获益的意义上,一些获取的测量数据是关键的,因此它需要被保护以免于这样的伪造。例如,传感器装置可用于监测工业工厂遵守环境规章(regulation)。而且,工业过程可能使用控制的物质,所述控制的物质要求用来处理的准许并且必须被考虑到端到端(end to end)。如果这样的测量数据是伪造的,那么这可能允许工厂的操作违反环境规章以为了更大的利润,或者允许窃取控制的物质。
WO2019/086969A1公开了用于下列的技术:在电机的状况监测装置与便携装置之间建立安全通信,以用于监测电机的状况。根据机器的电参数和/或机械参数的测量,加密密钥用于使得状况监测装置和便携装置之间的通信安全。
密码操作在计算资源方面是昂贵的,这倾向于在现场装置侧上受到限制。
发明目的
本发明的目的是要在传感器装置侧上的计算资源的更少消耗的情况下,确保由传感器装置获取的测量数据的真实性。
这个目的通过用于保护测量数据的完整性的方法来实现,并且通过用于认证如此保护的测量数据的对应的方法来实现。
发明内容
本发明提供了用于保护由传感器装置获取的测量数据的完整性的方法。这个方法包括通过将测量数据视为(take as)强制自变量并且将先前生成的聚合值视为可选自变量的预定聚集函数的方式来计算测量数据的聚合值。
特别地,响应于新测量数据被获取,传感器装置确定是否已经生成聚合值。如果还没有获得聚合值,则通过将测量数据馈送到聚集函数来创建新聚合值。如果已经存在聚合值,则这个聚合值连同新测量数据一起被馈送到聚集函数,以便获得更新的聚合值。
这个过程可以持续,直到预定条件被满足。这样的预定条件可例如包括以下:
●预定时间周期已经到期;和/或
●新聚合值已经被生成预定次数;和/或
●传感器装置已经从另一装置接收到对签名的请求;和/或
●已经完成签名的先前计算。
如果预定条件被满足,则传感器装置使用传感器装置的秘密密钥来计算聚合值的签名。这个签名经由传感器装置的通信接口来输出,和/或它存储在存储器中。这样的存储器可存在于传感器装置的内部或外部。在那之后,聚合值可被清除,并且利用接下来获取的测量数据,可创建新聚合值。
在此,“秘密”相对于加密方案不要被视为限制。用于签名的加密方案可以是对称的,使得签名可利用相同的秘密密钥来验证。用于签名的加密方案也可以是不对称的,使得签名可以利用对应于秘密密钥的公开密钥来验证。因此,“秘密密钥”仅是密钥,并且可属于任何适当的加密方案,没有未经授权的第三方具有对所述密钥的访问权。
发明人已经发现,相比于更新聚合值,签名操作是在计算上昂贵得多的操作。例如,在典型的星座(constellation)中,更新作为聚合值的散列值可采取毫秒的数量级,而对这样的散列值签名可采取秒的数量级。因此,可通过聚合多个测量值并且然后对聚合值签名来节约许多资源消耗。如果聚合值的签名被成功验证,则这意味着已经进入到这个聚合值中的所有测量值是真实的。如果签名没有被成功验证,则这意味着那些测量值中的一个或多个可能已经被破坏和/或被篡改。
因此,进入到聚合值中的测量值的数量可用于在一方面的计算资源的节约和另一方面的时间分辨率(利用其,无效的测量值可被准确定位)之间设置权衡。
例如,虽然测量值可在非常频繁的步调下被需要,以用于自组网(ad-hoc)过程控制的目的,但是用来认证测量值的需要可能仅不经常出现。例如,如果测量数据表示污染的排放或者控制的物质的行踪,则用来认证它们的需要可能仅在由监管机构的抽样检查(spot check)时出现。出于这样的目的,将若干小时或者甚至整天的测量值组合到单个聚合值(其然后被签名)中可能是足够的。
降低不得不被计算的签名的次数仅仅是对计算资源中的节约的一个贡献。计算上的费用还取决于要被签名的数据的量。测量数据的聚合极大地降低了要被签名的数据的这个量。
特别地,响应于签名的先前计算已经完成而开始新签名的计算允许仅使用原本将花费在空闲状态中的CPU循环来计算签名。每当传感器装置的CPU没有其它事情做时,它就继续致力于为先前已经形成的聚合值来计算签名。CPU对于其它事情一被需要,这个计算就被中断,之后当CPU再次空闲时要被恢复。同时,使用继续产生的测量数据,接下来的聚合值已经正在被形成。签名的计算何时将完成是事先不知晓的;仅确定的是,它将在某个时间完成,这取决于传感器装置的CPU的利用。当计算完成时,可开始关于在那个时间可用的接下来的聚合值的接下来的签名的计算。
如将在用于认证测量数据的对应方法的讨论中被更详细说明的,测量值不能被单独认证。相反,至少一个聚合值(测量值被包括在其中)需要被重新计算,并且从无论什么资源中获得的签名需要基于下列假定来验证:这个重新计算的聚合的值是实际由传感器装置签名的值。也就是说,确保测量数据的真实性的责任(burden)的一部分从产生签名的传感器装置转移到之后使用给定签名来认证测量数据的给定集合的装置。
在特别有利的实施例中,聚合函数是将测量数据或者测量数据与一个或多个另外的自变量的组合映射到固定大小的散列值以作为聚合值的散列函数。优选地,在查找通过散列函数映射到相同的输出值的两个有区别的输入值是非常困难的意义上,这样的散列函数是密码安全的。如果这样的散列值的签名被成功验证,则这甚至更好地保证已经进入到这个散列值的所有测量数据是真实的。
在另外的特别有利的实施例中,聚合函数进一步将传感器装置的配置信息视为另外的自变量。这个配置信息控制传感器装置的行为,和/或控制通过传感器装置对测量数据的获取。以这种方式,聚合值的签名的成功验证还确保了传感器装置的配置在测量数据被获取的时候处于某个定义的状态中。
为了准许签名的验证,配置信息可例如从传感器装置传递到认证测量数据的装置,或者存储在这样的认证装置能够检索到它的地方中。但是,这不被要求。相反,认证装置也可计算聚合值并且基于配置信息的标称值和/或预计值来验证签名。例如,当使用某些配置信息来设置传感器装置时,这个配置信息可被节约,以用于之后的签名验证。
以这种方式,还可检测传感器装置的配置是否有意地或者无意地偏离某个预计状态或者标称状态。这样的偏离可能以有意义的方式使测量值比不上先前获取的测量值。
例如,在其中利用细菌和/或生物酶来产生期望的化学化合物的设置中,细菌或者酶的浓度可能不是直接可测量的。相反,在当使得包含细菌和/或酶的样品与测试反应物相接触时在测试反应物上展开的活性中,这样的浓度可被间接测量。这是确定酶的浓度的特别灵敏的方式,因为当在一个单位的测试反应物中催化反应时,酶的单位不是“用尽”。相反,一个单位或者相同单位的酶可被反复使用,以用于在另外的单位的测试反应物中催化反应,从而导致测量信号的大放大。在这样的活性测量中的关键参数是温度,在所述温度下执行测量。相比于在20℃下,一个和相同的酶可在37℃下展现多得多的活性。因此,如果在传感器装置中的反应温度应当正常设置到20℃,并且测量数据的另外的处理基于下列假定:反应温度是20℃,传感器装置到37℃的反应温度的配置将使得具有正确测量单位的测量值被输出,但是这些测量值的解释(interpretation)将是错误的。
在另外的实施例中,配置可包括以下中的一个或多个:
●传感器装置的测量范围;
●由传感器装置使用的测量单位;
●计划表(schedule),传感器装置根据所述计划表来获取测量数据;
●传感器装置应用于至少一个传感器信号和/或测量数据的一个或多个处理步骤;以及
●传感器装置的固件的至少一部分,和/或在其上计算的散列值。
例如,尝试故意过分掩饰污染物的高排放或者窃取控制的物质可包括更改测量的计划表,以便创建适当的时间“盲点”。而且,固件的操纵可用于相同的目的。
但是,将配置信息包括在聚合值的计算中还可有助于检测偶然的配置变化。例如,物理访问工厂中的传感器装置并且希望将当前的温度测量值以开尔文显示而不是以℃显示的操作者可能按下切换数据获取而不是仅切换从℃到开尔文的显示的错误的键。如果要被监测的温度是相当高的绝对温度(像炉内温度),那么偏离273.15K的错误值可能仍然第一眼看上去貌似是真实的。
在另外的特别有利的实施例中,触发签名的计算的预定条件可取决于对于计算签名所需要的传感器装置的至少一个处理资源的利用而作出。以这种方式,签名可在不干扰传感器装置的主要功能的情况下尽可能频繁地被计算。
例如,传感器装置还可包括作用在工业过程(测量数据在其中被获取)上的一个或多个动作器(actor)。例如,搅拌器过程模块可包括用于将离析物馈送到反应容器中并且将产物从这个容器中排出的多个阀、用于驱动容器内的搅拌器的马达、用于将容器加热到期望温度的加热器以及还有用于感测容器内温度的温度计,所有都由单个CPU协调地结合在一起。可能存在时间,在所述时间下,处理器在不对动作有迫切需要的情况下运行,使得CPU几乎是空闲的,并且CPU容量的大部分容量可用于计算签名。但是,还可能存在时间,在所述时间下,CPU非常忙碌于使搅拌器模块中的各种动作协调地结合在一起,因此CPU的容量中的仅20%或者甚至更少对于计算签名可能是可用的。在这种情况下,例如,时间间隔(在所述时间间隔下,签名被计算)可以变得更长。
在另外的有利的实施例中,聚集函数可将时期(epoch)索引视为另外的自变量。这个时期索引可例如最初在0或1处开启。每当预定条件被满足并且签名被计算时,它就递增。这可以例如用于检查提交以用于认证的测量数据是否是完整的,从而使得抑制测量数据中的一部分更困难。
在排放监测的示例中,如果存在时间周期(在所述时间周期期间,超出规章限制的污染被排放),可能作出尝试,以便刚好使得在这个时间周期期间被收集的测量数据“消失”,如同它从来不曾在那里一样。
在另一示例中,采取它们最纯的形式的制药化合物或者其它物质可能具有每单位体积的天文数字的价值(对于单个烧杯(breaker)的物质高达若干100000€),但是如果规定的制造协议(protocol)被违反,那么那个价值可能立即失去。例如,如果物质在制造协议的处理步骤中的一个处理步骤中已经被加热得太热,那么它不再适合于医疗使用并且必须被丢弃。在这样的不幸事故的情况下,刚好“忘记”它并且继续处理所述物质好像没有事情发生过一样可能看上去在经济上是吸引人的。
如果时期索引进入到聚合值的计算中,那么这样的操纵变得相当更加困难。如果测量数据被供应以用于检查,并且所述数据包括与时期索引1、2、3和5相关联的记录时,那么立刻显而易见的是,具有时期索引4的记录丢失了,因此有些记录是不正确的。可能尝试通过将测量数据的最后部分的时期索引从5变化到4来掩饰这点。但是然后,签名的验证将总是失败,因为为验证签名而计算的聚合值将与实际被签名的聚合值不同。只有已经进入到经签名的聚合值的计算中的每件事物——测量数据、配置信息、时期索引以及任何其它——与当之后重构聚合值并且检查这个聚合值是否已经被有效签名时恰好是相同的,签名才能够被成功验证。
在另外的特别有利的实施例中,传感器装置的用于输出签名的通信接口被配置成输出来自传感器装置的数据,但是不被配置成接受数据到传感器装置的输入。以这种方式,通信接口不可能通过故意向传感器装置发送无效数据而被误用来恶意接管传感器装置的控制。例如,攻击者可能尝试向传感器装置发送比它期待的数据更多的数据,以便触发“缓冲区溢出”攻击并且在传感器装置上执行任意码。攻击者还可以通过供应越界(out-of-bounds)值(诸如具有超过60的分钟字段的时间戳或者对于搅拌器的旋转速度的负设定点)来争取这样的目标。接受非置信输入的每个软件原则上易受到这样的攻击,除非每一个(each and every)非置信输入在使用之前被适当地清洁。
例如,通信接口可以以通信接口和/或传感器装置从电流环路(诸如4-20mA电流环路)汲取的电流的值对传感器装置输出的数据进行编码。不存在在这样的接口上将信息反馈到传感器装置的方式。
传感器装置可通过通信接口输出数据中的至少一部分,传感器装置根据所述数据的至少一部分来计算聚合值。这个数据可包括已经进入到聚合值(所述聚合值然后被签名)中的测量数据、配置数据、时期索引以及任何其它信息。但是,基于给定签名来认证给定测量数据的装置可以获得来自无论什么源(甚至来自多个源)的信息中的所有这些片段。例如,测量值可以从一些存储器(传感器装置先前将测量值放在其中)中获得,但是关于一些聚合值的签名可在之后根据需求由传感器装置来创建。
本发明还提供一种用于认证测量数据的方法,所述测量数据已经由传感器装置获取并且使用之前所述的方法来保护。也就是说,为源自这个测量数据的一些聚合值而已经生成的给定签名是可用的。
因此,所述方法开始于获得测量数据以及获得取决于这个测量数据的聚合值的至少一个签名。所述聚合值至少部分基于测量数据被重构。也就是说,也在传感器装置侧上被应用的相同的预定聚集函数被应用到已经进入到传感器装置侧上的聚合值的确定中的测量数据和所有其它信息。
签名相对于重构的聚合值来验证。也就是说,确定获得的签名是否是重构的聚合值的有效签名。这意味着如果重构的聚合值与先前在传感器装置侧上获得的聚合值不对应,或者签名不是利用传感器装置的正确的秘密密钥来制成的,那么签名的认证将失败。如果签名算法是对称的,那么签名验证可使用在传感器装置侧上使用的相同的秘密密钥来执行;或者如果签名算法是不对称的,那么签名验证可利用与传感器装置的秘密密钥相对应的公开密钥来执行。
如果签名的验证是成功的,那么确定测量数据是真实的。
在特别有利的实施例中,所述重构至少部分基于对于测量数据和/或另外的自变量的候选值,所述聚合值根据其来得到。如果签名验证不成功,则确定新候选值并且至少部分基于所述新候选值来重构新聚合值。
也就是说,不确实知晓什么已经确切地进入到聚合值(所述聚合值然后被签名)中,并且不得不作出对这个效应的一个或多个猜测。
例如,可能不知道确切有多少测量值已经被聚合来在传感器装置侧上形成聚合值。它可以是2至100之间的任何数的测量值。聚合值然后可以首先根据2个测量值来重构,然后根据3个测量值来重构等等,直到给定签名能够在这样的聚合值上被成功验证。一旦签名被成功验证,那么这指示同时有多少测量值在传感器装置侧上被聚合。
特别地,如果传感器装置侧上的签名的计算被“背对背”执行(即,先前的计算一完成,使用别的空闲的CPU循环的新签名计算就被开启),那么可能出现这样的情形。认证装置无法知晓哪些测量值进入到经签名的聚合值中,因为这取决于传感器装置的CPU的利用。因此,认证装置需要尝试测量值的候选组成,直到签名最终验证成功。
可利用时期索引或者利用传感器装置的已经进入到聚合值中的配置信息来执行类似的过程。例如,如果温度计可被配置成以℃、开尔文或℉测量,那么聚合值可首先被确定以用于以℃测量的配置,然后被确定以用于以开尔文测量的配置,并且然后被确定以用于以℉测量的配置。
如果存在聚合值的多个构成部分(constituent)(需要对其探究相应的候选值),那么这些构成部分可跨越多维的搜索空间,所述搜索空间可能需要被穷尽搜索,直到签名被成功验证。但是,这个搜索可以通过接收测量数据和签名的任意强大的计算系统来执行。相比之下,生成签名的传感器装置通常具有非常有限的计算能力。一个原因在于工业工厂通常包括非常大数量的传感器装置,因此,将传感器装置配备有更多计算能力的额外成本被乘以装置的这个大的数量。另一个原因是能量消耗。传感器装置(其通过它们从电流环路中汲取的电流的方式输出它们的测量值)也由那个电流环路供电。在4-20mA电流环路系统中,这意味着有时可能仅存在可用来为整个传感器装置供电的4mA。在由电池供电的无线传感器装置中,能量甚至是更加缺乏的。
因此,具有对于在传感器装置侧上生成签名(仅仅执行任何聚集并且对那个聚集签名)的小责任并且将责任中的较大的部分(搜索星座,对于其聚合值被确定)转移到认证测量数据的装置是有意义的。
这里描述的方法可在软件(所述软件可被加载到传感器装置、过程控制器或者任何其它适合的计算装置上)中体现。因此,本发明还涉及具有机器可读指令的计算机程序,所述机器可读指令当由一个或多个计算机来执行时使得一个或多个计算机升级到上文所述的接口装置。
计算机程序可以例如在非暂时性计算机可读存储介质上销售或者以下载产品(其例如允许在线上商店购买之后即时实现)的形式来销售。因此,本发明还涉及具有计算机程序的非暂时性计算机可读存储介质或者下载产品。本发明还涉及具有计算机程序和/或具有非暂时性计算机存储介质和/或下载产品的一个或多个计算机。
附图说明
在下文中,本发明在没有用于限制本发明的范围的任何意图的情况下使用附图来图示。附图示出:
图1:用于保护测量数据2的完整性的方法100的示范实施例;
图2:用于认证测量数据2的方法200的示范实施例;
图3:传感器装置1和认证测量数据2的装置10之间的示范协作。
具体实施方式
图1是用于保护测量数据2的完整性的方法100的实施例的示意流程图。
方法100对事件105(测量数据2的记录已经由传感器装置1获取)进行反应。在步骤110中,然后由传感器装置1来确定测量数据2的记录的聚合值3是否已经被生成。如果这不是所述情况(真值为0),那么测量值2可选地连同传感器装置1的配置信息1a和/或运行的时期索引5一起通过预定聚集函数H的方式来映射到新生成的聚合值3,所述聚合值3在这时涉及测量数据2的仅一个单条记录。然而,如果聚合值3已经存在(在菱形110处的真值为1),那么相同的聚集函数H在步骤130中用来更新聚合值3。也就是说,先前涉及测量数据2的n条记录的聚合值3被变换成涉及测量数据3的n+1条记录的新聚合值3'。与步骤120相类似,如果时期索引5被使用,那么这也可进入到更新的聚合值3'中。同样,传感器装置1的配置信息1a可进入到更新的聚合值3'中。如果这个配置信息1a自从聚合值3的最后更新以来已经被更新,那么这样的更新的配置信息1a可被使用。
方法100还对事件140(预定条件被满足)(诸如预定时间周期的到期、生成某个数量的新聚合值3'或者来自希望认证测量数据2的另一装置10的对签名4的特定请求)进行反应。根据框141,预定条件(诸如时间周期或者新聚合值3'的数量)可能取决于对于计算签名4所需要的传感器装置1的处理资源的利用。
如果运行的时期索引5被使用,那么这可以在框145中响应于预定条件被满足而更新。
在步骤150中,聚合值3的签名4使用传感器装置1的秘密密钥来计算。这个签名4然后可在步骤160中经由传感器装置1的通信接口来输出,和/或在步骤170中存储在传感器装置1内部或者外部的存储器中。出于之后认证测量数据2的目的,唯一重要的是,将执行这样的认证的装置10从无论什么源中抓取测量数据2和签名4。根据框161,已经进入到聚合值3中的其它信息(诸如时期索引5或者配置信息1a)也可被输出,以便帮助认证。
图2是用于认证测量数据2(其已经使用上述方法100来保护)的方法200的示意流程图。在步骤210中,获得测量数据2和取决于这个测量数据2的聚合值3的至少一个签名4。在步骤220中,至少部分基于测量数据2来重构聚合值3。理论上,聚合值3也可在步骤210中从无论什么源中获得,并且可被立即使用,而不对它进行重构。然而,总是在步骤220中重构聚合值3对于安全性更好,因为这个重构证明聚合值3实际上属于供应的测量数据2。在这样的证据的情况下,签名4相对于聚合值3的成功验证还暗示测量数据2的所探寻的真实性。
在步骤230中,相对于聚合值3来验证签名4。如果这个验证是成功的(真值为1),那么在步骤240中确定测量数据2是真实的。
根据框221,聚合值3的重构220可以基于对于测量数据2和/或另外的自变量的候选值C,聚合值3根据其来得到。也就是说,如果这个信息中的一些信息确实不是已知的,那么它可通过尝试候选值C来搜索:如果验证失败(在菱形230处的真值为0),那么可在步骤250中确定新候选值C*。这些新候选值C*可被反馈到框221中的聚合值3的重构,使得产生新聚合值。然后可相对于这个新候选值3来验证给定签名4。
图3图示传感器装置1和要认证测量数据2的装置10的协作。如图3中所图示的以及如之前所详细讨论的,传感器装置1按照方法100的步骤120和130根据测量数据2的记录、传感器装置的配置信息1a以及运行的时期索引5来计算聚合值3。传感器装置1按照方法100的步骤150使用它的秘密密钥来计算这个聚合值3的签名4。
测量数据2和签名4可从传感器装置1供应到希望认证测量数据2的装置10。同样应用到配置信息1a以及应用到时期索引5。这可以用作对认证测量数据2的帮助,但是它不被要求。相反,希望认证测量数据2的装置10可从任何源中获得所有信息。毕竟,认证的主要优点是:成功认证的测量数据2可被自由使用,即使它们来自未置信的源。例如,如果认证装置10是连接到与传感器装置1相同网络的过程控制器时,那么配置信息1a甚至可从认证装置10供应到传感器装置1。
如之前所讨论的,在认证装置10中,按照方法200的步骤220,聚合值3根据测量数据2、配置信息1a和时期索引5来重构。然后按照方法200的步骤230相对于重构的聚合值3来验证签名4。
参考符号列表
1 传感器装置
1a 传感器装置1的配置信息
2 测量数据
3、3' 聚合值
4 聚合值3的签名
5 时期索引
10 认证装置
100 用于保护测量数据2的完整性的方法
105 测量数据2的获取
110 确定聚合值3是否已经存在
120 创建新聚合值3
130 更新现有的聚合值3
140 满足预定条件
141 基于资源利用来变化预定条件
145 更新时期索引5
150 计算聚合值3的签名
160 经由接口输出签名
161 输出信息,利用其来计算聚合值3
170 存储签名4
200 用于认证测量数据2的方法
210 获得测量数据2和签名4
220 重构聚合值3
221 基于候选值C、C*来重构
230 相对于重构的聚合值3来验证签名4
240 确定测量数据2是真实的
250 确定新候选值C*
C、C* 候选值
H 聚集函数
Claims (15)
1.一种用于保护由传感器装置(1)获取的测量数据(2)的完整性的方法(100),包括:
●响应于测量数据(2)被获取(105),由所述传感器装置(1)确定(110)是否已经生成聚合值(3),并且:
○如果还没有获得聚合值(3),则通过将测量数据(2)视为强制自变量并且将先前生成的聚合值(3)视为可选自变量的预定聚集函数(H)的方式来将所述测量数据(2)映射(120)到聚合值(3);而
○如果已经获得聚合值(3),则通过所述聚集函数(H)的方式将这个聚合值(3)和所述测量数据(2)的组合映射(130)到新聚合值(3');以及
●响应于预定条件(140)被满足,
○使用所述传感器装置(1)的秘密密钥来计算(150)所述聚合值(3)的签名(4);并且
○经由所述传感器装置(1)的通信接口来输出(160)所述签名(4),和/或
○将所述签名(4)存储(170)在存储器中。
2.如权利要求1所述的方法(100),其中,所述聚合函数(H)是将测量数据(2)或者所述测量数据(2)与一个或多个另外的自变量的组合映射到固定大小的散列值以作为聚合值(3)的散列函数。
3.如权利要求1或2中的任一项所述的方法(100),其中,所述聚合函数(H)进一步将所述传感器装置(1)的配置信息(1a)视为另外的自变量,其中所述配置信息(1a)控制所述传感器装置(1)的行为和/或控制通过所述传感器装置(1)对测量数据(2)的获取。
4.如权利要求3中所述的方法(100),其中,所述配置信息(1a)包括以下中的一个或多个:
●所述传感器装置(1)的测量范围;
●由所述传感器装置(1)使用的测量单位;
●计划表,所述传感器装置(1)根据所述计划表来获取测量数据(2);
●所述传感器装置(1)应用于至少一个传感器信号和/或所述测量数据(2)的一个或多个处理步骤;以及
●所述传感器装置(1)的固件的至少一部分,和/或在其上计算的散列值。
5.如权利要求1至4中的任一项所述的方法(100),其中,所述预定条件(140)包括以下:
●预定时间周期已经到期;和/或
●新聚合值(3')已经被生成预定次数;和/或
●所述传感器装置(1)已经从另一装置(10)接收到对签名(4)的请求;和/或
●已经完成签名(4)的先前计算。
6.如权利要求1至5中的任一项所述的方法(100),其中,所述预定条件(140)取决于对于计算签名(4)所需要的所述传感器装置(1)的至少一个处理资源的利用而作出。
7.如权利要求1至6中的任一项所述的方法(100),其中,所述聚集函数(H)将时期索引(5)视为另外的自变量,并且其中所述方法(100)进一步包括响应于所述预定条件(140)被满足:将所述时期索引(5)递增。
8.如权利要求1至7中的任一项所述的方法(100),其中,所述传感器装置(1)的用于输出(160)所述签名(4)的所述通信接口被配置成输出来自所述传感器装置(1)的数据,但是不被配置成接受数据到所述传感器装置(1)的输入。
9.如权利要求8所述的方法(100),其中,所述通信接口(1)以所述通信接口和/或所述传感器装置(1)从电流环路汲取的电流的值对所述传感器装置(1)输出的数据进行编码。
10.如权利要求1至9中的任一项所述的方法(100),进一步包括通过所述通信接口输出(161)所述数据的至少一部分,所述传感器装置(1)根据所述数据的所述至少一部分来计算聚合值(3)。
11.一种用于认证测量数据(2)的方法(200),所述测量数据(2)已经由传感器装置(1)获取并且使用如权利要求1至10中的任一项所述的方法(100)来保护,所述方法(200)包括:
●获得(210)所述测量数据(2)以及取决于这个测量数据(2)的聚合值(3)的至少一个签名(4);
●至少部分基于所述测量数据(2)来重构(220)所述聚合值(3);
●相对于重构的聚合值(3)来验证所述签名(4);以及
●如果这个验证是成功的,则确定(240)所述测量数据(2)是真实的。
12.如权利要求11所述的方法(200),其中,所述重构(220)至少部分基于对于所述测量数据(2)和/或另外的自变量的候选值(C),所述聚合值(3)根据其来得到(221),并且其中所述方法进一步包括:如果所述验证不成功,则确定(250)新候选值(C*)并且至少部分基于所述新候选值(C*)来重构(220)新聚合值(3)。
13.一种计算机程序,包括机器可读指令,所述机器可读指令当由一个或多个计算机和/或由传感器装置来执行时使得所述一个或多个计算机和/或所述传感器装置(1)执行如权利要求1至12中的任一项所述的方法(100、200)。
14.一种非暂时性存储介质和/或下载产品,其具有如权利要求13所述的计算机程序。
15.一个或多个计算机和/或传感器装置,所述一个或多个计算机和/或所述传感器装置具有如权利要求13所述的计算机程序和/或具有如权利要求14所述的非暂时性存储介质和/或下载产品。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP20208137.8 | 2020-11-17 | ||
EP20208137.8A EP4002179A1 (en) | 2020-11-17 | 2020-11-17 | Protecting the integrity of measurement data acquired by a sensor device |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114510744A true CN114510744A (zh) | 2022-05-17 |
Family
ID=73475860
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111360221.6A Pending CN114510744A (zh) | 2020-11-17 | 2021-11-17 | 保护由传感器装置获取的测量数据的完整性 |
Country Status (2)
Country | Link |
---|---|
EP (1) | EP4002179A1 (zh) |
CN (1) | CN114510744A (zh) |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019086969A1 (en) | 2017-11-01 | 2019-05-09 | Abb Schweiz Ag | Condition monitoring device and method for secure communication |
DE102018126533A1 (de) * | 2018-10-24 | 2020-04-30 | Basler Ag | Beglaubigungsmodul für Sensordaten |
-
2020
- 2020-11-17 EP EP20208137.8A patent/EP4002179A1/en active Pending
-
2021
- 2021-11-17 CN CN202111360221.6A patent/CN114510744A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
EP4002179A1 (en) | 2022-05-25 |
US20220158827A1 (en) | 2022-05-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8693683B2 (en) | Cryptographically secure authentication device, system and method | |
TWI450556B (zh) | 外部通信實體可認證的裝置及方法 | |
CN110874494B (zh) | 密码运算处理方法、装置、系统及度量信任链构建方法 | |
US8327125B2 (en) | Content securing system | |
CN107368744B (zh) | 用于更新固件组件的方法以及测量和控制技术的设备 | |
Dave et al. | Care: Lightweight attack resilient secure boot architecture with onboard recovery for risc-v based soc | |
EP2397959B1 (en) | System and method for N-ary locality in a security co-processor | |
CN111107094B (zh) | 轻量级地面向医疗物联网的大数据共享系统 | |
US8683563B1 (en) | Soft token posture assessment | |
CN106022136B (zh) | 信息处理装置及该装置的控制方法 | |
US20080155673A1 (en) | Device, system, and method for reporting execution flow of program | |
Formby et al. | Temporal execution behavior for host anomaly detection in programmable logic controllers | |
CN114257376B (zh) | 数字证书更新方法、装置、计算机设备和存储介质 | |
US20230108034A1 (en) | Method and System for Secure Interoperability between Medical Devices | |
CN111131144A (zh) | IoT设备管理方法、装置、服务器及存储介质 | |
CN113747426B (zh) | 数据审计方法及系统、电子设备、存储介质 | |
CN110995720A (zh) | 加密方法、装置、主机端及加密芯片 | |
CN105868657B (zh) | 装置和用于安全地操作该装置的方法 | |
CN111161075A (zh) | 区块链交易数据证明监管方法、系统及相关设备 | |
CN111934882B (zh) | 基于区块链的身份认证方法、装置、电子设备及存储介质 | |
CN107026729B (zh) | 用于传输软件的方法和装置 | |
CN114510744A (zh) | 保护由传感器装置获取的测量数据的完整性 | |
CN107077568A (zh) | 对称密钥和信任链 | |
US9305153B1 (en) | User authentication | |
US12132822B2 (en) | Protecting the integrity of measurement data acquired by a sensor device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |