DE102012213155A1 - Embedded device e.g. smart gas meter, has safety units provided in different protected areas, where one safety unit is arranged to unlock one of safety functions of another safety unit by predetermined de-energizing signal - Google Patents
Embedded device e.g. smart gas meter, has safety units provided in different protected areas, where one safety unit is arranged to unlock one of safety functions of another safety unit by predetermined de-energizing signal Download PDFInfo
- Publication number
- DE102012213155A1 DE102012213155A1 DE201210213155 DE102012213155A DE102012213155A1 DE 102012213155 A1 DE102012213155 A1 DE 102012213155A1 DE 201210213155 DE201210213155 DE 201210213155 DE 102012213155 A DE102012213155 A DE 102012213155A DE 102012213155 A1 DE102012213155 A1 DE 102012213155A1
- Authority
- DE
- Germany
- Prior art keywords
- unit
- security
- security unit
- safety
- protected area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
- G06F21/87—Secure or tamper-resistant housings by means of encapsulation, e.g. for integrated circuits
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Mathematical Physics (AREA)
- Selective Calling Equipment (AREA)
Abstract
Description
Die vorliegende Erfindung betrifft eine Vorrichtung mit Sicherheitseinheiten in unterschiedlich geschützten Bereichen. The present invention relates to a device with safety units in differently protected areas.
Vorrichtungen, wie eingebettete Systeme (Embedded Systems), wie z.B. Steuergeräte, intelligente Zähler (Smart Meter) oder Feldgeräte, realisieren häufig kryptographische Sicherheitsfunktionen. Dazu muss ein kryptographischer Schlüssel auf der Vorrichtung so gespeichert werden, dass er auch bei direktem Zugriff auf die Vorrichtung nicht bzw. nicht mit praktikablem Aufwand auslesbar ist. Gleichermaßen besteht häufig der Wunsch nach einer modularen Vorrichtung, bei welcher z.B. ein Kommunikationsmodul wechselbar ist. Durch einen Tausch des Kommunikationsmoduls können unterschiedliche Kommunikationsstandards, wie z.B. Ethernet, Power Line Communication (PLC), WLAN (Wireless Local Area Network) oder UMTS (Universal Mobile Telecommunications System), unterstützt werden. Devices such as embedded systems, e.g. Control units, smart meters or field devices often implement cryptographic security functions. For this purpose, a cryptographic key must be stored on the device so that it is not readable or even with direct access to the device with practical effort. Similarly, there is often a desire for a modular device in which e.g. a communication module is changeable. By exchanging the communication module, different communication standards, such as e.g. Ethernet, Power Line Communication (PLC), WLAN (Wireless Local Area Network) or UMTS (Universal Mobile Telecommunications System).
Ferner sind intelligente Zähler (Smart Meter) bekannt, die insbesondere aus einem eichpflichtigen Modul und aus einem wechselbaren Kommunikationsmodul bestehen. Furthermore, smart meters are known, which consist in particular of a custody transfer module and a removable communication module.
Bei solchen intelligenten Zählern kann auch ein Zusatzmodul mittels eines Plug-and-Play-Protokolls an ein Basismodul angebunden werden. Dabei speichert das Zusatzmodul die IP-Adresse des Basismoduls als Datenquelle für die Messwerte. In such smart meters, an additional module can be connected to a base module by means of a plug-and-play protocol. The add-on module saves the IP address of the base module as a data source for the measured values.
Ferner kann ein solches Smart Meter auch mehrere Plomben aufweisen, insbesondere eine Eichplombe und eine Betriebsplombe. Nach Brechen der jeweiligen Plombe sind unterschiedliche Funktionalitäten zugänglich. Das Basismodul kann kryptographische Operationen durchführen, z.B. eine Signatur eines Messwertes berechnen. Ebenso kann das Zusatzmodul andere kryptographische Operationen durchführen, z.B. die Verschlüsselung der Datenkommunikation. Furthermore, such a smart meter can also have a plurality of seals, in particular a calibration seal and an operating seal. After breaking the respective seal different functionalities are accessible. The base module can perform cryptographic operations, e.g. calculate a signature of a measured value. Likewise, the add-on module may perform other cryptographic operations, e.g. the encryption of the data communication.
Es ist durch das derzeit entstehende Schutzprofil (Protection Profile) und die dazugehörige technische Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Deutschlands bekannt, dass ein Smart Meter ein Sicherheitsmodul aufweist, welches für die kryptographische Sicherung einer WAN-Verbindung (WAN, Wide Area Network) über SSL/TLS vorgesehen ist. Die Messeinheit des Smart Meters, welche dem Kommunikationsmodul Messwerte bereitstellt, kann die Messwerte signieren. Ferner ist bekannt, dass das Sicherheitsmodul des Kommunikationsmoduls die digitale Signatur empfangener Messdaten prüft und die Daten erneut signiert, bevor diese an ein Back-End-System oder einen Back-End-Server übertragen werden. It is known by the currently emerging protection profile (Protection Profile) and the associated technical guideline of the Federal Office for Information Security (BSI) of Germany, that a smart meter has a security module, which for the cryptographic security of a WAN connection (WAN, Wide Area Network) over SSL / TLS is provided. The measuring unit of the smart meter, which provides measured values to the communication module, can sign the measured values. It is also known that the security module of the communication module checks the digital signature of received measurement data and re-signs the data before it is transmitted to a back-end system or a back-end server.
Des Weiteren sind Hardware-Security-ICs bekannt, die ähnlich wie eine Chipkarte kryptographische Schlüssel speichern und kryptographische Operationen durchführen können. Solche Hardware-Security-ICs verfügen herkömmlicherweise über einen Schutz gegen unbefugten Eingriff (Tamperschutz) des ICs selbst. Beispiele hierfür sind die Verwendung einer Passivierungsschicht und Sensoren auf dem IC, um ein Öffnen des ICs zu erkennen. Furthermore, hardware security ICs are known, which can store cryptographic keys and perform cryptographic operations similar to a chip card. Such hardware security ICs have traditionally been protected against tampering by the IC itself. Examples include the use of a passivation layer and sensors on the IC to detect opening of the IC.
Insgesamt sind typische Maßnahmen eines Security-ICs der Einsatz von Sensoren, um ungewöhnliche Betriebszustände zu erfassen, z.B. über Licht- oder Temperaturerfassung, fehlererkennende bzw. fehlerkorrigierende Schutzmaßnahmen für Speicher und Buskommunikation, redundante Ausführungen von Befehlen, verschlüsselte Daten und Buskommunikation, unregelmäßige Verdrahtungsmasken, Passivierung oder Schutzschichten auf der Chipoberfläche oder modifizierte Fertigungsverfahren, bei denen sensitive Daten in "tieferen" Schichten des Halbleiterbausteins liegen. Overall, typical measures of a security IC are the use of sensors to detect unusual operating conditions, e.g. via light or temperature detection, fault-detecting or error-correcting protective measures for memory and bus communication, redundant executions of commands, encrypted data and bus communication, irregular wiring masks, passivation or protective layers on the chip surface or modified manufacturing processes in which sensitive data in "deeper" layers of the semiconductor device lie.
Bei herkömmlichen Personalcomputern (PCs) ist bekannt, dass durch einen Schalter ein Öffnen des Gehäuses des PCs detektiert wird. Dadurch kann z.B. eine Alarmnachricht an einen Nutzer oder einen Administrator erzeugt werden. Eine solche Alarmnachricht ist auch als Case Opening Warning bekannt. In conventional personal computers (PCs) it is known that opening of the housing of the PC is detected by a switch. Thereby, e.g. an alarm message is generated to a user or an administrator. Such an alarm message is also known as Case Opening Warning.
Bei Feuermeldern oder Diebstahls-/Einbruchmeldern sind Schalter bekannt, die ein Öffnen des Gehäuses erkennen oder ein Entfernen des Meldegerätes, z.B. Abschrauben von einer Wand. In fire detectors or theft / burglar alarms, switches are known which detect opening of the housing or removal of the signaling device, e.g. Unscrew from a wall.
Des Weiteren sind tampergeschützte Sicherheitsmodule (Hardware Security Module, HSM) bekannt. Solche tampergeschützten Sicherheitsmodule speichern kryptographische Schlüssel und führen kryptographische Operationen aus. Diese Sicherheitsmodule können über physikalische Tamperschutzsensoren verfügen. So können beispielsweise Licht, Ionenstrahlung und Temperatur durch Sensoren überwacht werden. Ferner kann ein mechanisches Eindringen durch eine Tamperschutzfolie (Wire Mesh) oder Schalter erkannt werden. Bei einem unbefugten Eingriff können gespeicherte Schlüssel gelöscht werden. Furthermore, tamper-protected security modules (hardware security modules, HSM) are known. Such tamper-protected security modules store cryptographic keys and perform cryptographic operations. These security modules may have physical tamper protection sensors. For example, light, ion radiation and temperature can be monitored by sensors. Furthermore, a mechanical penetration can be detected by a tamper protection foil (wire mesh) or switch. In case of an unauthorized intervention stored keys can be deleted.
Ferner bietet die Firma Maxim sichere Speicherbausteine an, an welche Tampersensoren anschließbar sind. Bei einem erkannten unbefugten Eingriff (Tamper-Event) werden gespeicherte Daten gelöscht. Dabei wird allerdings eine Backup-Batterie benötigt, damit auch ohne externe Stromversorgung gespeicherte Daten gelöscht werden können. Im Betrieb werden Speicherwerte laufend gewechselt, um ein physikalisches "Einbrennen" der Schlüsselbits in den Halbleiter zu verhindern. Ein solcher sicherer Speicher kann z.B. innerhalb eines vergossenen, durch ein Tamper-Mesh-geschütztes Sicherheitsmodul (Security Module) zur sicheren Schlüsselspeicherung verwendet werden. Ein Beispiel hier ist das Produkt Maxim
Ferner ist es bekannt, ein Messgerät oder einen intelligenten Zähler zu verplomben. Bei einer Ablesung kann anhand der Plombe erkannt werden, ob eine Manipulation innerhalb des verplombten Bereichs erfolgte. Auch ist bekannt, Sicherheitssiegel oder Sicherheits-Label aufzukleben, mit denen ein Öffnen eines Gehäuses erkannt werden kann. Furthermore, it is known to seal a meter or an intelligent meter. During a reading, the seal can be used to detect whether a manipulation occurred within the sealed area. It is also known to glue safety seals or security labels, with which an opening of a housing can be detected.
Der intelligente Zähler selbst kann vor Manipulationen durch spezielle Tamperschutzmaßnahmen geschützt werden. Dazu können z.B. speziell verschlossene, nicht öffnen- und wiederverschließbare Gehäuse verwendet werden. Beispielsweise werden bei solchen nicht öffnen- und wiederverschließbaren Gehäusen keine Schrauben, verklebte Gehäuseschalen oder nicht zu öffnende Snap-in-Einrastungen verwendet. Auch ist bekannt, dass durch Sensoren eine Bewegung oder Neigung eines intelligenten Zählers sowie ein Entfernen von einer Befestigung detektiert werden kann. Auch ein GPS-Empfänger kann eingebaut werden, so dass der intelligente Zähler anhand der mit Hilfe des GPS-Satelliten-Navigationssystems ermittelten Position erkennen kann, ob es sich noch am vorgesehenen Ort befindet. Dies wird auch als Location-Lock bezeichnet. The intelligent meter itself can be protected against manipulation by special Tamperschutzmaßnahmen. For this, e.g. specially closed, non-open and resealable housings are used. For example, in such non-open and resealable housings, no screws, bonded housing shells, or non-openable snap-in detents are used. It is also known that a movement or inclination of an intelligent counter and a removal of a fastening can be detected by sensors. A GPS receiver can also be installed so that the smart meter can tell from the GPS satellite navigation system if it is still in its intended location. This is also called location-lock.
Weiter können in einem intelligenten Zähler auch Sicherheitsbausteine (ICs) verwendet werden, um Programmcode, Konfigurationsdaten und Messwerte manipulationsgeschützt zu speichern. Auch können einzelne Bausteine oder ein ganzer intelligenter Zähler mit einem physikalischen Manipulationsschutz versehen werden, z.B. indem sie in Epoxydharz vergossen werden. Ebenfalls ist es möglich, die Platine oder einen Teil der Platine des intelligenten Zählers mit Metallhüllen abzudecken, die als Kondensator wirken. Werden diese Platten entfernt, so ändert sich die Kapazität und ein Tamperalarm kann ausgelöst werden. Furthermore, safety components (ICs) can also be used in an intelligent counter to store program code, configuration data and measured values protected against tampering. Also, individual building blocks or an entire smart meter may be provided with physical tamper protection, e.g. by being cast in epoxy resin. It is also possible to cover the board or part of the smart meter board with metal sheaths acting as a capacitor. When these plates are removed, the capacity changes and a tamper alarm can be triggered.
Das Dokument
Weiterhin ist bekannt, einen Stromdiebstahl dadurch zu erkennen, dass mehrere Messgeräte installiert werden, z.B. im Haushalt und in der Verteilstation, um einen Stromdiebstahl auf der dazwischen liegenden Stromübertragungsstrecke anhand einer Abweichung der gemessenen Strommenge zu erkennen. Ein intelligenter Zähler zur Stromverbrauchsmessung kann durch Sensoren Strom, Spannung und Phase messen, um den Stromverbrauch zu ermitteln. Dabei kann es abweichende Messgrößen als Manipulationsversuche erkennen. So kann z.B. bei einer Stromverbrauchsmessung ein rückwärts fließender Strom erkannt werden, oder auch eine offene Kabelverbindung kann erkannt werden. Ferner ist bekannt, bei fernauslesbaren Zellen die erfassten Messdaten kryptographisch geschützt zu einem Messwerte-Erfassungsserver zu übertragen. Furthermore, it is known to detect power theft by installing several meters, e.g. in the household and in the distribution station, to detect a power theft on the intermediate power transmission line based on a deviation of the measured amount of electricity. An intelligent power meter can use sensors to measure current, voltage and phase to determine power consumption. It can detect deviating measured variables as manipulation attempts. Thus, e.g. When a power consumption measurement, a reverse flowing current can be detected, or even an open cable connection can be detected. Furthermore, it is known that in the case of remote-readable cells, the acquired measurement data is transmitted cryptographically protected to a measured value acquisition server.
Demzufolge ist es eine Aufgabe der vorliegenden Erfindung, eine verbesserte Vorrichtung mit Sicherheitseinheiten in unterschiedlich geschützten Bereichen zu schaffen. Accordingly, it is an object of the present invention to provide an improved device having security units in different protected areas.
Demgemäß wird eine Vorrichtung mit Sicherheitseinheiten in unterschiedlich geschützten Bereichen vorgeschlagen. Dabei weist ein stärker geschützter Bereich eine erste Sicherheitseinheit zur Ausführung einer Anzahl von ersten Sicherheitsfunktionen für eine zugeordnete erste Datenverarbeitungseinheit und ein schwächer geschützter Bereich eine zweite Sicherheitseinheit zur Ausführung einer Anzahl von zweiten Sicherheitsfunktionen für eine zugeordnete zweite Datenverarbeitungseinheit auf. Die zweiten Sicherheitsfunktionen umfassen zumindest eine freizuschaltende Sicherheitsfunktion, wobei die erste Sicherheitseinheit dazu eingerichtet ist, die zumindest eine freizuschaltende Sicherheitsfunktion der zweiten Sicherheitseinheit mittels eines vorbestimmten Freischaltsignals freizuschalten. Accordingly, a device with security units in differently protected areas is proposed. In this case, a more protected area has a first security unit for executing a number of first security functions for an associated first data processing unit, and a less protected area has a second security unit for executing a number of second security functions for an associated second data processing unit. The second safety functions comprise at least one safety function to be enabled, wherein the first safety unit is set up to enable the at least one safety function of the second safety unit to be unlocked by means of a predetermined enable signal.
Dadurch, dass die zumindest eine freizuschaltende Sicherheitsfunktion der zweiten Sicherheitseinheit in dem schwächer geschützten Bereich durch die erste Sicherheitseinheit des stärker geschützten Bereichs freigeschaltet werden muss, wird der höhere Schutz des stärker geschützten Bereiches für die in dem schwächer geschützten Bereich angeordnete zweite Sicherheitseinheit mitgenutzt. Damit wird die Sicherheit der Vorrichtung insgesamt erhöht. Because the at least one safety function of the second safety unit to be unlocked in the less protected area must be enabled by the first safety unit of the more protected area, the higher protection of the more protected area is shared for the second safety unit arranged in the less protected area. This increases the overall safety of the device.
Insbesondere sind alle Sicherheitsfunktionen der zweiten Sicherheitseinheit freizuschaltende Sicherheitsfunktionen. Dann kann die in dem schwächer geschützten Bereich angeordnete zweite Sicherheitseinheit nur zusammen mit der stärker geschützten Sicherheitseinheit des stärker geschützten Bereiches genutzt werden. Der Schutz der unterschiedlich geschützten Bereiche ist relativ zueinander zu sehen, d.h. der stärker geschützte Bereich hat einen stärkeren Schutz als der schwächer geschützte Bereich. Der Schutz umfasst insbesondere den physikalischen Schutz vor unbefugtem Eingriff. In particular, all safety functions of the second safety unit are to be released safety functions. Then the second security unit located in the less protected area can only be used together with the more protected security unit of the more protected area. The protection of the different protected areas is to be seen relative to each other, i. the more sheltered area has more protection than the less sheltered area. The protection includes in particular the physical protection against unauthorized intervention.
Die freizuschaltende Sicherheitsfunktion ist ohne eine Freischaltung durch das Freischaltsignal nicht aktiviert und kann demnach nicht ausgeführt werden. Die freizuschaltende Sicherheitsfunktion wird durch das Freischaltsignal freigeschalten und somit aktiviert. The safety function to be unlocked is not activated without activation by the activation signal and therefore can not be executed. The safety function to be unlocked is enabled by the enable signal and thus activated.
Die jeweilige Sicherheitseinheit ist insbesondere eine kryptographische Sicherheitseinheit. Damit sind die von den Sicherheitseinheiten ausführbaren Sicherheitsfunktionen insbesondere kryptographische Sicherheitsfunktionen, welche insbesondere Verschlüsselung und digitale Signatur umfassen. The respective security unit is in particular a cryptographic security unit. Thus, the security functions executable by the security units are, in particular, cryptographic security functions, which in particular include encryption and digital signature.
Bei einer Ausführungsform umfasst das vorbestimmte Freischaltsignal zum Freischalten der zumindest einen freizuschaltenden Sicherheitsfunktion der zweiten Sicherheitseinheit zumindest einen Sicherheitsparameter. Der Sicherheitsparameter ist insbesondere ein Passwort, eine Persönliche Identifikationsnummer oder ein kryptographischer Parameter. In one embodiment, the predetermined enabling signal for enabling the at least one safety function to be enabled by the second safety unit comprises at least one safety parameter. The security parameter is in particular a password, a personal identification number or a cryptographic parameter.
Durch die Verwendung des Sicherheitsparameters als Teil des Freischaltsignals wird das Freischalten der zweiten Sicherheitseinheit gesichert. Des Weiteren kann das Freischaltsignal auch verschlüsselt übertragen werden, so dass die Sicherheit weiter erhöht wird. The use of the safety parameter as part of the activation signal secures the activation of the second safety unit. Furthermore, the activation signal can also be transmitted encrypted, so that the security is further increased.
Bei einer weiteren Ausführungsform ist die Vorrichtung als ein intelligenter Zähler, insbesondere als ein intelligenter Stromzähler ausgebildet. In a further embodiment, the device is designed as an intelligent counter, in particular as an intelligent electricity meter.
Bei einer weiteren Ausführungsform ist die Vorrichtung als ein intelligenter Gaszähler ausgebildet. In a further embodiment, the device is designed as an intelligent gas meter.
Bei einer weiteren Ausführungsform ist die Vorrichtung als ein Feldgerät, insbesondere für eine Ampelsteuerung, ausgebildet. In a further embodiment, the device is designed as a field device, in particular for a traffic light control.
Bei einer weiteren Ausführungsform ist die Vorrichtung als ein Steuergerät, insbesondere für ein Kraftfahrzeug, ausgebildet. In a further embodiment, the device is designed as a control device, in particular for a motor vehicle.
Bei einer weiteren Ausführungsform ist die erste Sicherheitseinheit dazu eingerichtet, einen Zustand der zweiten Sicherheitseinheit zu überwachen und die zumindest eine freizuschaltende Sicherheitsfunktion der zweiten Sicherheitseinheit in Abhängigkeit des überwachten Zustands freizuschalten. In a further embodiment, the first security unit is set up to monitor a state of the second security unit and to enable the at least one safety function of the second security unit to be enabled in dependence on the monitored state.
Somit wird das Freischalten der zweiten Sicherheitseinheit ereignisgetriggert durchgeführt. Somit muss die freizuschaltende Sicherheitsfunktion der zweiten Sicherheitseinheit nicht bei einer jeden Anwendung freigeschaltet werden. Thus, the activation of the second security unit is performed event triggered. Thus, the safety function of the second safety unit to be unlocked does not have to be enabled for each application.
Bei einer weiteren Ausführungsform ist die erste Sicherheitseinheit dazu eingerichtet, die zumindest eine freizuschaltende Sicherheitsfunktion der zweiten Sicherheitseinheit bei zumindest einem der folgenden Ereignisse mittels des vorbestimmten Freischaltsignals freizuschalten:
- – Hochfahren der zweiten Sicherheitseinheit,
- – Batteriewechsel einer Batterie der zweiten Sicherheitseinheit,
- – jeweils nach Ablauf einer vorbestimmten Zeitdauer im Betrieb der zweiten Sicherheitseinheit,
- – bei einem Aufbau einer Datenverbindung der zweiten Sicherheitseinheit zu einer externen Einrichtung.
- - raising the second security unit,
- Battery replacement of a battery of the second security unit,
- Each time a predetermined period of time has elapsed during operation of the second security unit,
- - In a structure of a data connection of the second security unit to an external device.
Bei einer weiteren Ausführungsform ist der stärker geschützte Bereich verplombt oder vergossen. Der stärker geschützte Bereich ist insbesondere mittels eines Epoxydharzes vergossen. In another embodiment, the more protected area is sealed or potted. The more protected area is cast in particular by means of an epoxy resin.
Verplomben oder Vergießen sind technisch einfach realisierbare Möglichkeiten, einen Bereich der Vorrichtung stärker zu schützen als andere. Sealing or potting are technically feasible ways to protect one area of the device stronger than others.
Bei einer weiteren Ausführungsform sind der stärker geschützte Bereich und der schwächer geschützte Bereich getrennt. In a further embodiment, the more protected area and the less protected area are separated.
Durch die Trennung des stärker geschützten Bereiches und des schwächer geschützten Bereiches können diese auch zueinander modular aufgebaut sein. Durch den modularen Aufbau kann beispielsweise ein eichpflichtiger Messsystem-Teil in dem stärker geschützten Bereich mit unterschiedlichen Kommunikationsmodulen in dem schwächer geschützten Bereich kombiniert werden. Durch die Verwendung unterschiedlicher Kommunikationsmodule können auch unterschiedliche Kommunikationsstandards, wie beispielsweise WLAN, WiFi, Ethernet und dergleichen, eingesetzt werden. Due to the separation of the more protected area and the less protected area, they can also be modular in relation to one another. Due to the modular structure, for example, a part of the measuring system subject to calibration in the more protected area can be combined with different communication modules in the less protected area. By using different communication modules and different communication standards, such as WLAN, WiFi, Ethernet and the like, can be used.
Bei einer weiteren Ausführungsform integriert ein Gehäuse der Vorrichtung den stärker geschützten Bereich und den schwächer geschützten Bereich, wobei eine Gehäusetrennwand den stärker geschützten Bereich und den schwächer geschützten Bereich trennt. In another embodiment, a housing of the device integrates the more protected area and the less protected area, with a housing bulkhead separating the more protected area and the less protected area.
Bei einer weiteren Ausführungsform sind die erste Sicherheitseinheit und die zweite Sicherheitseinheit dazu eingerichtet, dass die zweite Sicherheitseinheit eine Anfrage-Antwort-Authentisierung (Challenge-Response-Authentication) der ersten Sicherheitseinheit durchführt, wobei die zweite Sicherheitseinheit ferner dazu eingerichtet ist, das Freischaltsignal aus der Antwort der ersten Sicherheitseinheit zu extrahieren. In a further embodiment, the first security unit and the second security unit are configured such that the second security unit performs a challenge-response authentication of the first security unit, wherein the second security unit is further configured to release the release signal from the first security unit Extract response of the first security unit.
Bei dieser Ausführungsform muss das Freischaltsignal nicht extra zu der zweiten Sicherheitseinheit übertragen werden, da das Freischaltsignal aus der Antwort der ersten Sicherheitseinheit extrahierbar ist. Beispielsweise wird dann die digitale Signatur einer Nachricht mit Messdaten nicht nur dazu verwendet, dass ein mit dem schwächer geschützten Bereich verbundener Back-End-Server eine empfangene Energieverbrauchsinformation in Abhängigkeit der Messwerte prüfen kann, sondern innerhalb der Vorrichtung selbst durch die zweite Datenverarbeitungseinheit, um die zweite Sicherheitseinheit freizuschalten oder deren Freischaltung aufrechtzuerhalten. In this embodiment, the enable signal does not have to be extra to the second one Security unit are transmitted because the enabling signal from the response of the first security unit is extractable. For example, the digital signature of a message with measurement data is then used not only for a back-end server connected to the less protected area to check received energy consumption information in dependence on the measured values, but within the device itself for the second data processing unit unlock the second security unit or maintain its activation.
In einer anderen Variante kann die zweite Sicherheitseinheit auch als ein eingebettetes Modul ausgebildet sein, welches einen sicheren Boot-Vorgang durch Signieren einer Attestation eines PCR-Registers (PCR, Platform Configuration Register) attestiert. Diese Attestation wird dann der zweiten Sicherheitseinheit bereitgestellt und durch diese geprüft. In another variant, the second security unit can also be embodied as an embedded module, which attests a secure boot process by signing an attestation of a PCR register (PCR, Platform Configuration Register). This attestation is then provided to and checked by the second security unit.
Bei einer weiteren Ausführungsform sind die erste Sicherheitseinheit und die zweite Sicherheitseinheit dazu eingerichtet, dass die erste Sicherheitseinheit die Identität der zweiten Sicherheitseinheit authentisiert und in Abhängigkeit der authentisierten Identität der zweiten Sicherheitseinheit ein Bestätigungssignal zur Bestätigung einer Verbindung zwischen der ersten Sicherheitseinheit und der zweiten Sicherheitseinheit generiert. Zur Authentisierung wird insbesondere eine Anfrage-Antwort-Authentisierung (Challenge-Response-Authentication) eingesetzt. In a further embodiment, the first security unit and the second security unit are configured such that the first security unit authenticates the identity of the second security unit and generates an acknowledgment signal for confirming a connection between the first security unit and the second security unit depending on the authenticated identity of the second security unit. For authentication, in particular a request-response authentication (challenge-response authentication) is used.
Dabei ist das generierte Bestätigungssignal zumindest Teil des Freigabesignals oder das Freigabesignal ist zumindest teilweise aus dem generierten Bestätigungssignal ableitbar. In this case, the generated acknowledgment signal is at least part of the enable signal or the enable signal is at least partially derivable from the generated acknowledgment signal.
Durch das Bestätigungssignal kann vorteilhafterweise eine vorhandene Verbindung zwischen der ersten Sicherheitseinheit und der zweiten Sicherheitseinheit bestätigt und verifiziert werden. Liegt eine solche Verbindung vor, so kann ein unbefugter Eingriff auf die Verbindung zwischen der ersten Sicherheitseinheit und der zweiten Sicherheitseinheit ausgeschlossen werden. By the confirmation signal advantageously an existing connection between the first security unit and the second security unit can be confirmed and verified. If such a connection exists, an unauthorized interference with the connection between the first safety unit and the second safety unit can be ruled out.
Das Bestätigungssignal ist insbesondere ein kryptographisch geschütztes Bestätigungssignal und kann auch als Assertion bezeichnet werden. Die Assertion ist eine Datenstruktur, welche mittels einer kryptographischen Prüfsumme der ersten Sicherheitseinheit geschützt ist. Dazu kann eine digitale Signatur oder ein Message-Authentication-Code eingesetzt werden. Die Datenstruktur der Assertion umfasst vorzugsweise eine Identifizierungsinformation der ersten Sicherheitseinheit, eine Identifizierungsinformation der zweiten Sicherheitseinheit sowie eine Zeitinformation, beispielsweise einen Zähler oder einen Zeitstempel. The acknowledgment signal is in particular a cryptographically protected acknowledgment signal and may also be referred to as an assertion. The assertion is a data structure which is protected by means of a cryptographic checksum of the first security unit. For this purpose, a digital signature or a message authentication code can be used. The data structure of the assertion preferably comprises identification information of the first security unit, identification information of the second security unit and time information, for example a counter or a time stamp.
Die Prüfung der Assertion erfolgt vorzugsweise durch eine dritte Stelle, z.B. durch die CPU (Central Processing Unit) der zweiten Datenverarbeitungseinheit des schwächer geschützten Bereiches, oder durch einen Back-End-Server, z.B. einen Web-Server. Dazu authentisiert sich die CPU der zweiten Datenverarbeitungseinheit gegenüber dem Back-End-Server unter Verwendung einer ersten Sicherheitsinformation der ersten Sicherheitseinheit und einer zweiten Sicherheitsinformation der zweiten Sicherheitseinheit. Eine Authentisierung der zweiten Sicherheitseinheit mit einem Schlüssel der zweiten Sicherheitseinheit wird nur dann akzeptiert, wenn zusätzlich eine Assertion der ersten Sicherheitseinheit vorliegt. The assertion is preferably checked by a third digit, e.g. by the CPU (Central Processing Unit) of the second data processing unit of the less protected area, or by a back-end server, e.g. a web server. For this purpose, the CPU of the second data processing unit authenticates itself to the back-end server using a first security information of the first security unit and a second security information of the second security unit. Authentication of the second security unit with a key of the second security unit is only accepted if there is additionally an assertion of the first security unit.
In einer Variante kann die Authentisierung der zweiten Sicherheitseinheit vorläufig oder temporär akzeptiert werden. Dabei muss innerhalb einer vorgegebenen Zeitspanne über die durch die erste Sicherheitseinheit authentisierte Kommunikationsverbindung eine Assertion der ersten Sicherheitseinheit übertragen werden. Vorteilhafterweise ist in beiden oben beschriebenen Varianten die zweite Sicherheitseinheit alleine, d.h. ohne die erste Sicherheitseinheit, nicht nutzbar oder nur eingeschränkt nutzbar. Die beiden Sicherheitseinheiten sind dadurch funktional aneinander gebunden. Der physikalische starke Tamperschutz der ersten Sicherheitseinheit wirkt somit auf die zweite Sicherheitseinheit. In a variant, the authentication of the second security unit can be provisionally or temporarily accepted. In this case, an assertion of the first security unit must be transmitted within a predetermined period of time via the communication connection authenticated by the first security unit. Advantageously, in both variants described above, the second security unit is alone, i. without the first security unit, not usable or only partially usable. The two security units are thus functionally linked to each other. The physical strong Tamperschutz the first security unit thus acts on the second security unit.
Das Bestätigungssignal kann eingeschränkt gültig sein, z.B. für eine vorgegebene Zeitdauer, z.B. eine Minute, eine Stunde oder einen Tag, oder bis zu einem vorgebbaren Ereignis, z.B. Stromunterbrechung, Verbindungsaufbau oder Verbindungsabbau. The confirmation signal may be restricted, e.g. for a predetermined period of time, e.g. one minute, one hour or one day, or until a predefinable event, e.g. Power interruption, connection establishment or disconnection.
Bei einer weiteren Ausführungsform ist zumindest ein mit der ersten Sicherheitseinheit gekoppelter Sensor zum Erkennen eines unbefugten Eingriffs in die zweite Sicherheitseinheit vorgesehen. Dabei ist die erste Sicherheitseinheit dazu eingerichtet ist, die zweite Sicherheitseinheit bei einem durch den zumindest einen Sensor erkannten unbefugten Eingriff zu sperren. In a further embodiment, at least one sensor coupled to the first safety unit is provided for detecting an unauthorized intervention in the second safety unit. In this case, the first security unit is set up to block the second security unit in the event of an unauthorized intervention detected by the at least one sensor.
Dabei kann bei einem unbefugten Eingriff in oder auf die zweite Sicherheitseinheit diese sofort gesperrt werden. Diese Sperrung übernimmt vorteilhafterweise eine andere Einrichtung, nämlich die erste Sicherheitseinheit. In this case, in an unauthorized intervention in or on the second security unit, these are immediately blocked. This blocking advantageously takes over another device, namely the first security unit.
Bei einer weiteren Ausführungsform ist die erste Sicherheitseinheit als ein Trusted-Platform-Modul ausgebildet. In a further embodiment, the first security unit is designed as a trusted platform module.
Bei einer weiteren Ausführungsform ist die zweite Sicherheitseinheit als ein M2M-Security-Module (M2M, Machine To Machine) ausgebildet. In a further embodiment, the second security unit is designed as an M2M security module (M2M, Machine To Machine).
Bei einer weiteren Ausführungsform sind die erste Sicherheitseinheit und die erste Datenverarbeitungseinheit als eine erste integrierte Baugruppe ausgebildet. In a further embodiment, the first security unit and the first data processing unit are designed as a first integrated module.
Bei einer weiteren Ausführungsform sind die zweite Sicherheitseinheit und die zweite Datenverarbeitungseinheit als eine zweite integrierte Baugruppe ausgebildet. In a further embodiment, the second security unit and the second data processing unit are designed as a second integrated module.
Durch die Ausbildung der integrierten Baugruppen kann ein modularer Aufbau der Vorrichtung bewerkstelligt werden, insbesondere hinsichtlich einer modularen Trennung des stärker geschützten Bereiches und des schwächer geschützten Bereiches. By designing the integrated assemblies, a modular construction of the device can be accomplished, particularly with respect to modular separation of the more protected area and the less protected area.
Bei einer weiteren Ausführungsform ist die erste Datenverarbeitungseinheit als eine Steuereinheit eines Messsystems ausgebildet. In a further embodiment, the first data processing unit is designed as a control unit of a measuring system.
Bei einer weiteren Ausführungsform ist die zweite Datenverarbeitungseinheit als ein Kommunikationsmodul zur Kommunikation mit einer externen Einrichtung ausgebildet. In a further embodiment, the second data processing unit is designed as a communication module for communication with an external device.
Durch das Kommunikationsmodul können die Messwerte des intelligenten Zählers insbesondere digital signiert an die externe Einrichtung, beispielsweise einen Back-End-Server, übertragen werden. By the communication module, the measured values of the intelligent counter can be transmitted, in particular digitally signed, to the external device, for example a back-end server.
Die jeweilige Einheit, Sicherheitseinheit und Datenverarbeitungseinheit, kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein. The respective unit, security unit and data processing unit can be implemented in hardware and / or software technology. In a hardware implementation, the respective unit may be embodied as a device or as part of a device, for example as a computer or as a microprocessor. In a software implementation, the respective unit may be designed as a computer program product, as a function, as a routine, as part of a program code or as an executable object.
Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden. The above-described characteristics, features, and advantages of this invention, as well as the manner in which they will be achieved, will become clearer and more clearly understood in connection with the following description of the embodiments, which will be described in detail in conjunction with the drawings.
Dabei zeigen: Showing:
In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist. In the figures, the same or functionally identical elements have been given the same reference numerals, unless stated otherwise.
In
Die Vorrichtung
Ohne Einschränkung der Allgemeinheit ist die Vorrichtung
Der stärker geschützte Bereich B1 weist eine erste Sicherheitseinheit
Beispielsweise ist der stärker geschützte Bereich B1 verplombt oder vergossen. Hierzu kann beispielsweise ein Epoxydharz verwendet werden. Der stärker geschützte Bereich B1 und der schwächer geschützte Bereich B2 sind voneinander getrennt. Beispielsweise integriert ein Gehäuse
Die jeweilige Datenverarbeitungseinheit
Die zweiten Sicherheitsfunktionen der zweiten Sicherheitseinheit
Das vorbestimmte Freischaltsignal F zum Freischalten der zumindest einen freizuschaltenden Sicherheitsfunktion der zweiten Sicherheitseinheit
Vorzugsweise ist die erste Sicherheitseinheit
Hinsichtlich der Generierung und Übertragung des Freischaltsignals F von der ersten Sicherheitseinheit
Beispielsweise können die erste Sicherheitseinheit
For example, the
Des Weiteren können die erste Sicherheitseinheit
In
Der stärker beschützte Bereich B1 kann auch als tampergeschützter Bereich oder tampergeschützte Zone bezeichnet werden. Dabei ist der stärker geschützte Bereich B1 als ein vergossener Bereich ausgestaltet. Die Trennwand
Der von den Sensoren
In dem schwächer geschützten Bereich B2, welcher über einen abnehmbaren Deckel
Die zweite Sicherheitseinheit
Zu Beginn der Kommunikation zwischen der Vorrichtung
In Schritt
Um sich zu authentisieren, muss die passende Antwortnachricht mittels einer HMAC-Funktion oder einer digitalen Signaturfunktion berechnet werden. In Schritt
Die erste Sicherheitseinheit
Technisch kann die zweite Sicherheitseinheit
In Schritt
In Schritt
Nur wenn diese gültig ist (Schritt
In Schritt
Vielfältige Varianten des mit Bezug zu
In einer weiteren Variante kann die erste Sicherheitseinheit
Die erste Sicherheitseinheit
In einer weiteren Variante ist der Schlüssel auf der zweiten Sicherheitseinheit
In einer weiteren Variante ist auf der zweiten Sicherheitseinheit
Obwohl die Erfindung im Detail durch das bevorzugte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen. Although the invention has been further illustrated and described in detail by the preferred embodiment, the invention is not limited by the disclosed examples, and other variations can be derived therefrom by those skilled in the art without departing from the scope of the invention.
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- US 2007/103334 A [0016] US 2007/103334 A [0016]
Zitierte Nicht-PatentliteraturCited non-patent literature
- DS3645 [0012] DS3645 [0012]
- www.shoup.net/papers/ thsig.pdf [0099] www.shoup.net/papers/ thsig.pdf [0099]
Claims (15)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE201210213155 DE102012213155A1 (en) | 2012-07-26 | 2012-07-26 | Embedded device e.g. smart gas meter, has safety units provided in different protected areas, where one safety unit is arranged to unlock one of safety functions of another safety unit by predetermined de-energizing signal |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE201210213155 DE102012213155A1 (en) | 2012-07-26 | 2012-07-26 | Embedded device e.g. smart gas meter, has safety units provided in different protected areas, where one safety unit is arranged to unlock one of safety functions of another safety unit by predetermined de-energizing signal |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102012213155A1 true DE102012213155A1 (en) | 2014-02-13 |
Family
ID=49999123
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE201210213155 Withdrawn DE102012213155A1 (en) | 2012-07-26 | 2012-07-26 | Embedded device e.g. smart gas meter, has safety units provided in different protected areas, where one safety unit is arranged to unlock one of safety functions of another safety unit by predetermined de-energizing signal |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102012213155A1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3451215B1 (en) | 2017-08-28 | 2019-12-18 | Siemens Aktiengesellschaft | Hardware device and method for operating and producing a hardware device |
WO2020260573A1 (en) * | 2019-06-27 | 2020-12-30 | Audi Ag | Control device for a motor vehicle, and motor vehicle |
US11232233B2 (en) * | 2016-05-24 | 2022-01-25 | Krohne Messtechnik Gmbh | Method for configuration of a field device for use in custody transfer and such field device |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070103334A1 (en) | 2005-11-09 | 2007-05-10 | Distribution Control Systems, Inc. | Tamper detection apparatus for electrical meters |
-
2012
- 2012-07-26 DE DE201210213155 patent/DE102012213155A1/en not_active Withdrawn
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070103334A1 (en) | 2005-11-09 | 2007-05-10 | Distribution Control Systems, Inc. | Tamper detection apparatus for electrical meters |
Non-Patent Citations (2)
Title |
---|
DS3645 |
www.shoup.net/papers/ thsig.pdf |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11232233B2 (en) * | 2016-05-24 | 2022-01-25 | Krohne Messtechnik Gmbh | Method for configuration of a field device for use in custody transfer and such field device |
EP3451215B1 (en) | 2017-08-28 | 2019-12-18 | Siemens Aktiengesellschaft | Hardware device and method for operating and producing a hardware device |
WO2020260573A1 (en) * | 2019-06-27 | 2020-12-30 | Audi Ag | Control device for a motor vehicle, and motor vehicle |
US20220237331A1 (en) * | 2019-06-27 | 2022-07-28 | Audi Ag | Control device for a motor vehicle, and motor vehicle |
US11989334B2 (en) * | 2019-06-27 | 2024-05-21 | Audi Ag | Control device for a motor vehicle, and motor vehicle |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2668607B1 (en) | Method for monitoring a tamper protection and monitoring system for a field device having tamper protection | |
EP2586178B1 (en) | Method for tamperproof key management | |
EP2979100B1 (en) | Device and method having a carrier having circuit structures | |
EP2628121B1 (en) | Device and method for protecting a security module from manipulation attempts in a field device | |
DE102017102677A1 (en) | Method for authenticating a field device of automation technology | |
DE102014208838A1 (en) | Method for operating a control device | |
EP3726408A1 (en) | Industrial automation device comprising a unit for testing and monitoring the integrity of the industrial automation device | |
EP3337085B1 (en) | Reloading cryptographic program instructions | |
DE102012224194B4 (en) | Control system for a motor vehicle | |
US10303891B2 (en) | Automated manufacturing system with job packaging mechanism and method of operation thereof | |
DE102012213155A1 (en) | Embedded device e.g. smart gas meter, has safety units provided in different protected areas, where one safety unit is arranged to unlock one of safety functions of another safety unit by predetermined de-energizing signal | |
EP3525390A1 (en) | Device and method for providing at least one secure cryptographic key for cryptographically protecting data initiated by a control device | |
EP3432185A1 (en) | Method and network device for protecting a device using at least one key pair generated using asymmetric encryption for encrypted communication and/or authentication against manipulation | |
CN113836564B (en) | Block chain-based network-connected automobile information security system | |
WO2020011777A1 (en) | Method for setting up authorisation verification for a first device | |
EP2850860B1 (en) | Tamper-proofing an energy meter | |
WO2016041843A1 (en) | Method and arrangement for authorising an action on a self-service system | |
EP1126655A1 (en) | Method of hardware and software authentication in a network system | |
EP2812837B1 (en) | Method for personalizing a security module for a smart meter or smart meter gateway | |
EP3642812A1 (en) | Method for checking the integrity of a dedicated physical environment for protecting data | |
DE102014103376A1 (en) | Systems and methods for secure access modules | |
EP3399457B1 (en) | Method and devices for detecting a manipulation of a device | |
Bißmeyer | Security in ecu production | |
DE202020005937U1 (en) | Retrofit module for a field device and modular field device | |
DE10350647A1 (en) | Mobile data transmission involves transmitting data via at least one mobile first transmitter, whereby transmitted data contain first data that are authenticated using cryptographic arrangement |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |