-
Die
Erfindung betrifft ein Verfahren zur Übertragung und Anzeige von
eichpflichtigen Daten, die in Form von Datensätzen von einer Datenquelle
an eine Anzeigeeinheit verschlüsselt übertragen
und dort von einer manipulationssicheren Software-Applikation entschlüsselt und
in einer manipulationssicheren Form dargestellt werden.
-
Bei
einem derartigen aus der
WO 2004/049083 A2 bekannten Verfahren werden
in einem Automatisierungssystem eichpflichtige Daten, wie z. B.
Messdaten, insbesondere Wägedaten,
von einer Datenquelle, hier einer durch Kapselung gegen Manipulationen
geschützten
Mess- bzw. Wägeeinrichtung, über ein
ungekapseltes Bussystem an eine Anzeigeeinheit, z. B. ein Industrie-Visualisierungssystem,
verschlüsselt
und mit einem Prüfcode
versehen übertragen.
Die Anzeigeeinheit enthält
eine manipulationssichere, d. h. gegen absichtliche Änderungen
mittels gängiger
Software-Werkzeuge (z. B. Texteditoren) geschützte Software-Applikation,
die die empfangenen Messdaten entschlüsselt und in einer manipulationssicheren
Form, z. B. in einem sich immer in den Vordergrund schiebenden und
von anderen Fenstern nicht abdeckbaren Anzeigefenster, darstellt.
-
Aus
der
US 2006/0000896
A1 ist die Authentifizierung nach dem so genannten Challenge/Response-Verfahren
bekannt, wobei ein bei dem ein erster Partner einem zweiten zu authentifizierenden Partner
eine Zufallszahl (Challenge) sendet. Der zweite Partner verschlüsselt die
erhaltene Zufallszahl mit seinem Passwort und sendet das Ergebnis
(Response) an den ersten Partner zurück. Dieser hat inzwischen dieselbe
Zufallszahl mit dem ihm zu dem zweiten Partner bekannten Passwort
verschlüsselt und
vergleicht nun das Ergebnis dieser Verschlüsselung mit der Response, die
er von dem zweiten erhalten hat. Die Authentifizierung des zweiten
Partners gegenüber
dem ersten Partner erfolgt in entsprechender Weise.
-
Der
Erfindung liegt die Aufgabe zugrunde, bei dem Verfahren der eingangs
angegebenen Art die Authentizität
der Datenanzeige sicherzustellen.
-
Gemäß der Erfindung
wird die Aufgabe dadurch gelöst,
dass bei dem Verfahren der eingangs angegebenen Art
- – in
der Datenquelle eine Kennung der Software-Applikation schreibgeschützt hinterlegt
ist,
- – dass
die Datenquelle in regelmäßigen Zeitabständen jeweils
eine erste Zufallszahl erzeugt und in einem der Datensätze verschlüsselt an
die Anzeigeeinheit überträgt,
- – dass
die Software-Applikation die empfangene erste Zufallszahl mit der
eigenen Kennung zu einer ersten. Kontrollzahl verknüpft und
die erste Kontrollzahl unverschlüsselt
an die Datenquelle zurück überträgt,
- – dass
in der Datenquelle anhand der dort hinterlegten Kennung der Software-Applikation
die erste Zufallszahl aus der ersten Kontrollzahl rekonstruiert
und mit der erzeugten ersten Zufallszahl verglichen wird, wobei
im Falle einer Ungleichheit beider Zahlen die Übertragung weiterer Daten an die
Anzeigeeinheit unterbunden wird,
- – dass
in der Software-Applikation eine Kennung der Datenquelle schreibgeschützt hinterlegt
wird,
- – dass
die Software-Applikation in regelmäßigen Zeitabständen jeweils
eine zweite Zufallszahl erzeugt und unverschlüsselt an die Datenquelle überträgt,
- – dass
die Datenquelle die empfangene zweite Zufallszahl mit der eigenen
Kennung zu einer zweiten Kontrollzahl verknüpft und die zweite Kontrollzahl
in einem der Datensätze
verschlüsselt
an die Anzeigeeinheit zurück überträgt und
- – dass
in der Software-Applikation anhand der dort hinterlegten Kennung
der Datenquelle die zweite Zufallszahl aus der zweiten Kontrollzahl
rekonstruiert und mit der erzeugten zweiten Zufallszahl verglichen
wird, wobei im Falle einer Ungleichheit beider Zahlen die Anzeige
weiterer empfangener Daten eingestellt wird.
-
Da
die erste Zufallszahl in einem verschlüsselten Datensatz übertragen
wird, kann in der Anzeigeeinheit nur die zur Anzeige der Daten zugelassene manipulationssichere
Software-Applikation
die richtige erste Kontrollzahl bilden. Die Datenquelle kann somit
zweifelsfrei erkennen, ob die Software-Applikation in der Anzeigeeinheit
geladen und aktiv ist. Die erste Kontrollzahl muss nicht verschlüsselt werden und
wird daher unverschlüsselt
an die Datenquelle zurück übertragen.
Eine höchstmögliche Sicherheit wird
dadurch gewährleistet,
dass die Datenquelle die erste Zufallszahl mit jedem zu übertragenden
Datensatz erzeugt und an die Anzeigeeinheit überträgt.
-
Da
die zweite Kontrollzahl mit der darin enthaltenen Kennung der Datenquelle
in einem verschlüsselten
Datensatz übertragen
wird, kann ein positiver Vergleich der Zufallszahlen in der Software-Applikation
der Anzeigeeinheit nur dann zustande kommen, wenn die zweite Kontrollzahl
von der zugehörigen
Datenquelle generiert wurde. Die Software-Applikation der Anzeigeeinheit
kann somit zweifelsfrei erkennen, ob die anzuzeigenden Datensätze zeitnah
von der Datenquelle stammen. Die zweite Zufallszahl muss nicht verschlüsselt werden
und wird daher unverschlüsselt
an die Datenquelle zurück übertragen.
Auch hier wird eine höchstmögliche Sicherheit
dadurch gewährleistet,
dass die Software-Applikation die zweite Zufallszahl nach jedem Empfang
eines Datensatzes erzeugt und an die Datenquelle überträgt.
-
Die
Kennung der Datenquelle kann fest und schreibgeschützt in der
Software-Applikation hinterlegt sein oder jedesmal in den Datensätzen verschlüsselt an
die Anzeigeeinheit übertragen
werden. Im letztgenannten Fall werden die Daten zusammen mit der
Kennung oder einer daraus abgeleiteten Identifikation der Datenquelle
angezeigt.
-
Durch
das ständige
Erzeugen und Vergleichen der Kontrollzahlen ist sichergestellt,
dass die Daten zeitnah erzeugt und zur Anzeige gebracht werden.
Auf diese Weise wird verhindert, dass integre aber "alte", z. B. gespeicherte,
Daten angezeigt werden können.
-
Zur
weiteren Erläuterung
des erfindungsgemäßen Verfahrens
anhand eines Ausführungsbeispiels
wird im Folgenden auf die einzige Figur der Zeichnung Bezug genommen,
die in schematischer Darstellung eine Anordnung zur Übertragung
und Anzeige von eichpflichtigen Daten zeigt.
-
Die
gezeigte Anordnung enthält
eine Datenquelle 1, von der aus eichpflichtige Daten 2 verschlüsselt an
eine Anzeigeeinheit 3 übertragen
und dort von einer manipulationssicheren Software-Applikation 4 entschlüsselt und
in einer manipulationssicheren Form in einem Display 5 dargestellt
werden.
-
Bei
dem gezeigten Ausführungsbeispiel
besteht die Datenquelle 1 aus einer gekapselten Prozesswaage
(Wägemodul),
die über
einen Rückwandbus 6 mit
einer CPU-Baugruppe 7 verbunden ist. Die CPU-Baugruppe 7 ist
ebenso wie ein die Anzeigeeinheit 3 bildendes Industrie-Visualisierungssystem
an einem Bussystem 8, z. B. Profibus, angeschlossen.
-
In
dem Wägemodul 1 werden
von einer hier nicht gezeigten Wägezelle
erzeugte eichpflichtige Daten 2 (Wägedaten) zusammen mit einer
Kennung K1 des Wägemoduls 1,
einem Zeitstempel (Datum, Uhrzeit), gegebenenfalls weiteren Parametern
und einer aus diesen Daten berechneten CRC-Prüfsumme in einem Datensatz D
zusammengefasst und mit einem privaten Schlüssel 9 verschlüsselt. Dieser
verschlüsselte
Datensatz D wird über
den Rückwandbus 6 zu
der CPU-Baugruppe 7 übertragen
und dort zusammen mit anderen unverschlüsselten Daten in einem öffentlichen
Speicher 10 abgelegt. Bei den unverschlüsselten Daten kann es sich
auch um Wägedaten
des Wägemoduls 1 handeln,
soweit diese Wägedaten
nicht für
eichpflichtige Verwendungen vorgesehen sind, also beispielsweise
zu Steuerungszwecken innerhalb des Automatisierungssystems herangezogen
werden.
-
Zur
Darstellung der eichpflichtigen Wägedaten 2 wird der
verschlüsselte
Datensatz D über
das Bussystem 8 an das Industrie-Visualisierungssystem 3 übertragen.
Dieses ist über
eine Projektierungsschnittstelle mittels einer vorgegebenen Projektierungs-Software
projektierbar, die bestimmte Darstellungen und Darstellungsformen
zulässt.
Das Industrie-Visualisierungssystem 3 verfügt ferner über eine Standardschnittstelle
zur Einbindung von weiteren Applikationen, hier z. B. OCX-(ActiveX)-Elemente,
in das Industrie-Visualisierungssystem 3. Mittels einer solchen,
für die
Projektierungs-Software nicht zugänglichen und daher auch nicht
ohne Weiteres änderbaren
Software-Applikation 4 wird der Datensatz D entschlüsselt, wobei
der gleiche private Schlüssel 9 verwendet
wird, wie in dem Wägemodul 1.
Die Software-Applikation 4 überprüft anhand der entschlüsselten
CRC-Prüfsumme
die Integrität
der Daten und zeigt die Wägedaten 2 und
die Kennung K1 des zugehörigen
Wägemoduls 1 auf
dem Display 5 des Industrie-Visualisierungssystems 3 an.
Dabei erfolgt die Darstellung in einer durch die Projektierungs-Software
nicht projektierbaren Form. Dies geschieht z. B. in einem Fenster 11,
welches nicht von anderen Fenstern 12 überdeckt werden kann und dessen
Hintergrund ein einzigartiges Wasserzeichen 13, z. B. ein
Linienmuster, zeigt. Die entschlüsselten Daten
stehen nicht als interne Variablen zur Verfügung, so dass sie auch nicht
abgeändert
und in gleicher Darstellung angezeigt werden können.
-
Durch
den im Folgenden beschriebenen Mechanismus wird eine gegenseitige
Authentizitäts-
und Aktualitätsprüfung vorgenommen,
mit der sichergestellt wird, dass die von der Datenquelle 1 erzeugten Daten 2 zeitnah,
z. B. innerhalb von zwei Sekunden, empfangen, entschlüsselt, geprüft und zur
Anzeige gebracht werden und dass sowohl Sender (Datenquelle 1)
als auch Empfänger
(Software-Applikation 4) authentisch sind.
-
In
der Datenquelle 1 ist neben der eigenen Kennung K1 eine
Kennung K4 der Software-Applikation 4 schreibgeschützt hinterlegt.
Die Datenquelle 1 erzeugt in regelmäßigen Zeitabständen, hier
für jeden
zu übertragenden
Datensatz D, jeweils eine erste Zufallszahl Z1 und überträgt diese
in dem betreffenden Datensatz D verschlüsselt an die Anzeigeeinheit 3.
Dort verknüpft
die Software-Applikation 4 die empfangene erste Zufallszahl
Z1 mit der eigenen Kennung K4 zu einer ersten Kontrollzahl X1 und überträgt die erste
Kontrollzahl X1 unverschlüsselt an
die Datenquelle 1 zurück.
In der Datenquelle 1 wird anhand der dort hinterlegten
Kennung K4 der Software-Applikation 4 die erste Zufallszahl
Z1' aus der ersten
Kontrollzahl rekonstruiert und mit der erzeugten ersten Zufallszahl
Z1 verglichen, wobei im Falle einer Ungleichheit Y1 beider Zahlen
Z1, Z1' die Übertragung
weiterer Daten 2 an die Anzeigeeinheit 3 unterbunden
wird.
-
In
der Software-Applikation 4 ist neben einer eigenen Kennung
K4 eine Kennung K1 der Datenquelle 1 schreibgeschützt hinterlegt
oder die Kennung K1 wird regelmäßig mit
jedem Datensatz D verschlüsselt
an die Software-Applikation 4 übertragen. Die Software-Applikation 4 erzeugt
in regelmäßigen Zeitabständen, hier
nach jedem Empfang eines Datensatzes D, jeweils eine zweite Zufallszahl
Z2 und überträgt diese
unverschlüsselt
an die Datenquelle 1. Die Datenquelle 1 verknüpft die
empfangene zweite Zufallszahl Z2 mit der eigenen Kennung K1 zu einer zweiten
Kontrollzahl X2 und überträgt die zweite
Kontrollzahl X2 in einem Datensatz D verschlüsselt an die Software-Applikation 4 zurück. In der
Software-Applikation 4 wird anhand der dort hinterlegten Kennung
K1 der Datenquelle 1 die zweite Zufallszahl Z2' aus der zweiten
Kontrollzahl X2 rekonstruiert und mit der erzeugten zweiten Zufallszahl
Z2 verglichen, wobei im Falle einer Ungleichheit Y2 beider Zahlen Z2,
Z2' die Anzeige
weiterer empfangener Daten 2 unterbunden wird.
-
Die
Verknüpfung
von Zufallszahl Z1 bzw. Z2 und Kennung K4 bzw. K1 erfolgt auf einfachste
Weise durch Addition, wobei zur Rekonstruktion der Zufallszahl Z1
bzw. Z2 die Kennung K4 bzw. K1 von der Kontrollzahl X1 bzw. X2 subtrahiert
wird.