用於現場設備數據通信的密碼保護的方法和通信裝置製造方法

2023-10-06 06:43:59 1

用於現場設備數據通信的密碼保護的方法和通信裝置製造方法
【專利摘要】本發明涉及用於現場設備（11）的數據通信的密碼保護的方法，具有以下步驟：由通信裝置（12）基於所述現場設備（11）的標識碼來識別所述現場設備（11）；由所述通信裝置（12）選取分配給被識別的現場設備（11）的VPN配置；由所述通信裝置（12）基於所選取的VPN配置構建VPN連接（15a）；以及由所述現場設備（11）通過所構建的VPN連接向VPN伺服器（16）傳送控制數據。
【專利說明】用於現場設備數據通信的密碼保護的方法和通信裝置
【技術領域】
[0001 ] 本發明涉及用於現場設備數據通信的密碼保護的方法和通信裝置。
【背景技術】
[0002]工業現場設備、例如用於鐵路和鐵道設備的控制設備總是較頻繁地通過開放式通 信協議、如TCP/IP來代替通過專有協議進行通信。在此，其利用公共網絡、例如網際網路來向 中心站或其他的現場設備傳輸通信數據。為了保護數據的傳輸免於被操作，採用密碼保護 機制、例如 MACsec、SSL/TLS、WS 安全或 IPsec。
[0003]然而，經常由於所需的計算能力、存儲需求、許可或向下兼容性的原因而不可行的 是，使現場設備自身配備這樣的網絡技術，使得大多數的外部設備被採用，以便構建用於現 場設備通過公共網絡、如網際網路的通信的虛擬私人網絡(VPN)，並且保證所需的安全性。這 樣的外部設備必須針對具有密碼保護的數據的通信而被配置。為此，秘密的密碼的通信密 鑰是必需的，利用該通信密鑰，通過VPN發送和接收的數據可以被加密和解密。
[0004]外部設備的配置是昂貴的和易出錯的。一種可能性是，現場尋找和配置或重新配 置外部設備。這種可能性是時間非常密集的。
[0005]因此存在對用於現場設備的外部VPN設備的簡單配置的解決方案的需求，連同該 需求同時保持保證密碼數據的高安全性。

【發明內容】

[0006]因此，本發明的一種實施方式在於用於現場設備的數據通信的密碼保護的方法， 具有如下步驟:由通信裝置基於現場設備的標識碼來識別現場設備，由該通信裝置選取被 分配給所識別的現場設備的VPN配置，由該通信裝置基於所選取的VPN配置來構建VPN連 接，以及由該現場設備通過所構建的VPN連接向VPN伺服器傳送控制數據。
[0007]根據一種有利的實施方式，該方法包括由該通信裝置藉助認證方法來對現場設備 進行認證。
[0008]此外，優選地可以實現來自被分配給現場設備的操作傳感器的校驗信號的檢測以 便監控現場設備的完整性。
[0009]在一種優選的實施方式中，由該通信裝置進行的VPN配置的選取可以包括被存放 在通信裝置的存儲器中的VPN配置的選取。
[0010]替代地，由該通信裝置選取VPN配置可以包括從配置伺服器接收所分配的VPN配 置並存儲該VPN配置。
[0011]此外，在一種有利的實施方式中，由該VPN伺服器通過該VPN連接來對現場設備進 行認證。
[0012]根據另一實施方式，在該VPN連接已被構建之後，由該通信裝置監控現場設備的 運行狀態，並且假如該現場設備不再與該通信裝置連接或是去激活的，可以實現該VPN連 接的斷開。[0013]根據另一實施方式，本發明實現用於現場設備的數據通信的密碼保護的通信裝 置，具有:通信接口，該通信接口被設計用於構建與連接到該通信接口上的現場設備的本地 通信；計算裝置，該計算裝置被設計用於通過該通信接口基於該現場設備的標識碼來識別 該現場設備，並且選取分配給被識別的現場設備的VPN配置；和網絡裝置，該網絡裝置被設 計用於基於所選取的VPN配置構建與VPN伺服器的VPN連接，其中該VPN連接被設計用於 向VPN伺服器傳送該現場設備的控制數據。
[0014]其他的修改和變形方案由從屬權利要求的特徵得出。
【專利附圖】

【附圖說明】
[0015]本發明的不同的實施方式和構型現在參考附圖更詳細地被描述，其中:
圖1示出根據本發明的一種實施方式的VPN環境的示意圖；
圖2示出根據本發明的另一實施方式用於現場設備數據通信的密碼保護的方法的示 意圖；和
圖3示出根據本發明的另一實施方式用於構建VPN的通信裝置的示意圖。
【具體實施方式】
[0016]只要有意義，所描述的構型和改進方案就可以被任意地相互組合。本發明的其他 可以的構型、改進方案和實施方案也包括本發明的之前或下面關於實施例所描述的特徵的 未明確提到的組合。
[0017]附圖應該促成對本發明的實施方式的進一步理解。附圖闡明實施方式並且與說明 書關聯地用於解釋本發明的原理和方案。其他的實施方式和許多所提到的優點鑑於該圖而 得出。圖的元件不是必然地相互按正確比例示出的。相同的附圖標記在此表示相同的或相 似地起作用的組件。
[0018]圖1示出根據本發明的一種實施方式的VPN環境10的示意圖。該VPN環境10包 括現場設備11。該現場設備11例如可以是用於鐵路或鐵道設備的控制設備，例如用於道 岔、護欄或信號。然而，該現場設備11可以是任何其他遠程設置的設備，例如氣象站或紅綠 燈。為了該現場設備11可以與中心站17、例如集控站交換控制消息和控制數據，存在通信 裝置12，該通信裝置與現場設備11連接並且通過網絡15與對方站16通信，該對方站在其 側與中心站17連接。該通信裝置12可以被構建為外部設備或被集成在該現場設備11中。
[0019]控制數據的傳輸通過網絡15來實現，該網絡可以是例如網際網路的公共網絡、例如 GPRS、UMTS、LTE或WiMAX的移動無線電網絡、例如WLAN的無線網絡、乙太網網絡、令牌環網 絡、DSL網絡或其他類似的網絡。通過該網絡15傳輸的控制數據因此遭受潛在的攻擊。因 此為了通信裝置12與對方站16的通信而設立有虛擬私人網絡15a(VPN)，通過該VPN具有 通過相應加密的密碼保護的數據可以被發送和接收。為了加密，可以採用每個已知的加密 技術、例如 IPsec、IKE、EAP, SSL/TLS、MACsec、L2TP、PPTP, PGP、S/MIME 或相似的技術。在 此，加密可以被設置作為密碼校驗和(消息認證碼、數字籤名)的計算，解密可以被設置作為 密碼校驗和的檢驗。
[0020]因此，該通信裝置12擁有一個(或多個)通信密鑰，利用該通信密鑰，現場設備的要 發送的控制數據被密碼加密並且用於該現場設備11的要接收的數據被密碼解密。可以直接使用通信密鑰。該通信密鑰同樣可以在認證和密鑰約定協議、例如IKE協議中被使用，以 便設立會話密鑰。於是所設立的會話密鑰可以被用於與該對方站16密碼保護地傳輸控制 消息或控制數據。
[0021]此外，該VPN環境10包括配置伺服器18、例如認證伺服器，其中該配置伺服器擁有 所謂的「自舉(Bootstrapping)」功能。自舉表示彼此事先未知的終端設備和伺服器之間的 協商，該協商允許單方面的或相互的認證和(在此基礎上)密鑰的交換，由此以認證和安全 的通信關係為前提的應用的擴展的利用成為可能。該配置伺服器18擁有地址、例如IP地 址或URL，該地址可以在通信裝置12中被固定地編程或可以是可變化地調節的。在一種實 施方式中，配置伺服器18的地址是通信裝置12的製造商的地址。在另一實施方式中配置 伺服器18的地址是通信裝置12的運營商的地址。然而也可以通過通信裝置12的其他的 地址首先確定主管相應的通信裝置12的伺服器19的另外的地址，並且接著構建所述另外 的地址以便構建與該配置伺服器18的自舉連接。此外可以為了為通信裝置12選取分別所 屬的配置伺服器18而諮詢資料庫。此外可以使相應的配置伺服器18的地址的選取依賴於 現場設備11的物理位置、例如衛星導航數據、如GPS或GALILEO數據或其他空間坐標。也 可以通過在通信裝置12和/或現場設備11中存儲的標識碼、例如MAC地址來確定主管通 信裝置12的配置的配置伺服器18。該配置伺服器18也可以被集成到該對方站16中，或者 也可能的是，該對方站16擁有相應的自舉功能。在一種變形方案中該配置伺服器18也可 以直接與該通信裝置12連接。應該清楚的是，可以有為相應的通信裝置12分配配置服務 器18的多個另外的可能性。
[0022]VPN配置包括例如關於配置伺服器18的地址、對方站16的地址、對方站16的公 鑰或數字證書、要使用的VPN協議、安全設置的、例如密鑰的和相應的VPN連接15a的模式 的和/或關於允許的數據通信業務的過濾規則的描述的信息。這些信息能夠以文本形式、 例如作為屬性-值對或作為XML文件存在。此外也可以為現場設備11構建多個VPN連接 15a，以便例如在單獨的VPN連接15a中實現不同的業務類型、例如控制、監控、維護訪問和 相似的功能。
[0023]在一種變形方案中該VPN配置也可以包括現場設備11的標識碼、例如現場設備11 的MAC地址、EAN碼、製造商的序列號或相似的識別信息。該標識碼例如可以通過RFID或 通過現場設備11的通信接口從現場設備11的電子型號牌讀出。該現場設備11例如可以 包括例如根據ITU-T標準X.509的設備密鑰或數字設備證書。在這種情況下，由設備證書 例如藉助哈希函數所導出的值或設備證書的各個欄位或屬性可以作為現場設備11的標識 碼來使用。
[0024]此外可以規定，每個VPN配置被分配VPN標識碼，該VPN標識碼可以在VPN配置中 被編碼或可以是可由該VPN配置導出的，例如其方式是，使用配置描述的各個參數或欄位 或由該參數或欄位藉助哈希函數所導出的值。該VPN標識碼可以被用於向配置伺服器18 詢問，相應的VPN配置被分配給哪個現場設備11。現場設備11的標識碼可以通過VPN標識 碼被分配給該VPN配置並且使現場設備11的標識碼為該配置伺服器18所知。為此該通信 裝置12向該配置伺服器12和/或向該對方站16發送具有VPN標識碼和現場設備11的被 分配的標識碼的註冊消息。
[0025]圖2示出用於藉助通信裝置密碼保護現場設備數據通信的方法30的示意圖。[0026]在第一步驟31中實現連接到該通信裝置上的現場設備的識別。該識別 例如可以包括被分配給現場設備的標識碼的讀出。優選地，例如藉助挑戰-響應 (Challenge-Response)方法，現場設備的認證可以與現場設備的識別同時實現，其中在所 述挑戰-響應方法中校驗數據、即所謂的「挑戰」由該通信裝置傳送給該現場設備，並且由 該現場設備根據該挑戰產生校驗值，該校驗值與預期的答覆、即所謂的「響應」的一致性由 該通信裝置來確定，以便能夠證實現場設備的真實性。通過現場設備的認證可以有利地保 證，通過VPN連接所發送的數據可以一對一地被分配給確定的現場設備。
[0027]在此，也可以由該通信裝置例如通過層2連通性的驗證或通過所傳輸的信號的傳 播時間測量來檢驗，是否該現場設備是直接地連接的。由此可以阻止，該通信裝置遠離其原 來的使用位置。此外，可以由該通信裝置來驗證現場設備的完整性。此外，該通信裝置可以 從現場設備或外殼的裝置接收校驗信號，其中該現場設備被布置在該外殼中，並且可以從 外部檢查可能存在的操作或所不期望的幹預。該校驗信號在此可以例如從該外殼中或上或 該現場設備自身中的操作傳感器讀入。
[0028]在第二個步驟32中由該通信裝置為構建一個或必要時多個VPN連接而選取一個 或必要時多個VPN配置，該現場設備可以通過該通信裝置與VPN伺服器和/或VPN對方站 交換控制數據。在此，例如可以使用存儲在該通信裝置中的VPN配置。為此該通信裝置可 以擁有存儲器，在該存儲器中VPN配置被預安裝或預配置。被存儲的VPN配置可以根據對 在步驟31中被識別的現場設備的分配來驗證。如果在此應該確定被分配給現場設備的VPN 配置，那麼可以選取該VPN配置。此外，替代地也可以驗證，是否被選取的VPN配置當前還 是有效的。
[0029]替代地，在步驟32中聯繫配置伺服器以便選取VPN配置，現場設備的被確定的識 別數據被傳送給該配置伺服器。於是該配置伺服器可以根據現場設備的所傳送的識別數據 從資料庫中挑選出VPN配置或者專門為被識別的現場設備動態地創建VPN配置並且供該通 信裝置支配。通信裝置與配置伺服器的通信在此可以通過以下方式安全地實現，即該通信 裝置通過公共網絡、例如網際網路或移動無線電網絡相對於該配置伺服器被認證。這例如可 以通過在通信裝置中專門設置的通信密鑰來實現，使得該通信裝置可以例如通過SSL/TLS 或IPsec來通信。
[0030]該配置伺服器向該通信裝置傳送被分配給現場設備的具有相應的VPN配置數據 的VPN配置。該通信裝置可以存儲該VPN配置並且在內部分配給被識別的現場設備。
[0031]在第三步驟33中通過網絡、例如網際網路、移動無線電網絡或相似的網絡實現與 VPN伺服器的VPN連接的構建。該VPN連接在此由該通信裝置根據所選取的VPN配置來設 立。此外，例如也可以根據不同的VPN配置為相同的現場設備構建多個VPN連接。然後，通 過所構建的VPN連接，可以由該VPN伺服器進行例如現場設備的識別和/或認證。如果在 此現場設備的標識與分配給該VPN配置的現場設備一致，那麼該VPN連接可以從VPN服務 器方面被釋放。
[0032]在第四步驟34中通過由該通信裝置為該現場設備所構建的VPN連接向VPN服務 器傳輸現場設備的控制數據。同時，控制數據可以從該VPN伺服器通過該VPN連接向該現 場設備傳輸。在此，該控制數據分別通過維持該VPN連接的通信裝置被傳輸。該通信裝置 可以被設計用於，只要該現場設備與該通信裝置保持連接，就一直維持該VPN連接。為此該通信裝置可以優選地周期性進行與現場設備的本地連接的驗證。一旦該現場設備不再被連 接或是去激活的，該通信裝置就可以斷開或去激活該VPN連接。
[0033]該VPN伺服器可以通過VPN配置進行對現場設備的明確分配。為此該VPN伺服器 可以利用預先確定的列表調整該VPN配置或從配置伺服器調用該VPN配置數據。該VPN服 務器可以在通過該VPN連接與現場設備通信期間進行數據通信業務的過濾，使得僅可被明 確分配給現場設備的數據包向控制計算機、例如集控站轉發。為此可以分析在數據包中包 含的標識消息、例如MAC地址、IP位址、DNS名、SIP-URI (會話發起協議統一資源標識符) 或相似的信息。
[0034]該通信裝置在一種實施方式中也可以為多個現場設備構建VPN連接，其中或者可 以為所述現場設備中的每一個構建VPN連接，或者現場設備構成現場設備組，該現場設備 可以通過分配給現場設備組的VPN連接來通信。在此，現場設備組的所有現場設備相對於 該通信裝置和/或該VPN伺服器作為(虛擬的)現場設備出現。
[0035]圖3示出具有計算裝置21、通信接口 22、存儲器23和網絡裝置24的通信裝置12 的示意圖。
[0036]該通信裝置12可以通過通信接口 22與現場設備11通信。特別是，該通信裝置 12可以通過該通信接口 22進行該現場設備11的識別以及必要時進行該現場設備11的認 證。在存儲器23中可以預安裝VPN配置和/或保存從配置伺服器接收的VPN配置。該存 儲器23例如可以包括安全的存儲區域23a，在該存儲區域中存放有用於通信裝置12與配置 伺服器的安全通信的配置數據或通信密鑰。該存儲器23例如可以是存儲器組件，在該存儲 器組件中可持久地或可改寫地存放有通信裝置12的配置設置，該存儲器組件例如是串行 的EEPR0M、快閃記憶體或類似的存儲裝置。
[0037]該計算裝置21可以被設計用於從操作傳感器Ilb接收校驗信號並進行分析，該操 作傳感器可以被布置在現場設備11或外殼Ila中，其中該現場設備11可以被布置在該外 殼中。該傳感器Ilb例如可以是「篡改」傳感器，即可以識別對現場設備11、對現場設備11 的部分或外殼Ila的物理操作的傳感器。該計算裝置21此外可以進行現場設備11的識別 和認證以及根據為現場設備11所選取的VPN配置構建和監控與VPN伺服器的VPN連接。
[0038]該通信裝置12包括網絡裝置24，通過該網絡裝置可以構建與VPN伺服器的VPN連 接15a。在此，該VPN連接15a例如可以通過網際網路、例如GPRS、UMTS、LTE或WiMAX的移動 無線電網絡、例如WLAN的無線網絡、乙太網網絡、令牌環網絡或其他類似的網絡來構建。
【權利要求】
1.用於現場設備(11)的數據通信的密碼保護的方法(30)，具有以下步驟:由通信裝置(12)基於所述現場設備(11)的標識碼來識別所述現場設備(11)；由所述通信裝置(12)選取分配給被識別的現場設備(11)的VPN配置；由所述通信裝置(12)基於所選取的VPN配置構建VPN連接(15a)；以及由所述現場設備(11)通過所構建的VPN連接向VPN伺服器(16 )傳送控制數據。
2.根據權利要求1所述的方法(30)，此外具有以下步驟:由所述通信裝置(12)藉助認證方法對所述現場設備(11)進行認證。
3.根據權利要求1和2之一所述的方法(30)，此外具有以下步驟:檢測來自被分配給所述現場設備(11)的操作傳感器(Ilb)的校驗信號以便監控所述現場設備(11)的完整性。
4.根據權利要求1到3之一所述的方法(30)，其中由所述通信裝置(12)選取VPN配置包括選取存放在所述通信裝置(12)的存儲器(23)中的VPN配置。
5.根據權利要求1到3之一所述的方法(30)，其中由所述通信裝置(12)選取VPN配置包括從配置伺服器(18)接收所分配的VPN配置並存儲該VPN配置。
6.根據權利要求1到5之一所述的方法(30)，此外具有以下步驟:由所述VPN伺服器(16)通過所述VPN連接(15a)對所述現場設備(11)進行認證。
7.根據權利要求1到6之一所述的方法(30)，此外具有以下步驟:在所述VPN連接(15a)已被構建之後，由所述通信裝置(12)監控所述現場設備(11)的運行狀態；並且如果所述現場設備(11)不再與所述通信裝置(12)連接或是去激活的，那麼斷開所述 VPN 連接(15a)。
8.用於現場設備(11)的數據通信的密碼保護的通信裝置(12)，具有:通信接口(22)，所述通信接口被設計用於構建與連接到所述通信接口(22)上的現場設備(11)的本地通信；計算裝置(21)，所述計算裝置被設計用於通過所述通信接口(22)基於所述現場設備(11)的標識碼來識別所述現場設備(11)，並且選取分配給被識別的現場設備的VPN配置； 和網絡裝置(24)，所述網絡裝置被設計用於基於所選取的VPN配置構建與VPN伺服器(16)的VPN連接(15a)，其中所述VPN連接(15a)被設計用於向所述VPN伺服器(16)傳送所述現場設備(11)的控制數據。
9.根據權利要求8所述的通信裝置(12)，其中所述計算裝置(21)此外被設計用於藉助認證方法對所述現場設備(11)進行認證。
10.根據權利要求8和9之一所述的通信裝置(12)，其中所述計算裝置(21)此外被設計用於接收來自被分配給所述現場設備(11)的操作傳感器(Ilb)的校驗信號以便監控所述現場設備(11)的完整性。
11.根據權利要求8到10之一所述的通信裝置(12)，此外具有:存儲器(23)，在該存儲中存放有多個VPN配置，所述計算裝置(21)從所述多個VPN配置中選取VPN配置。
12.根據權利要求8到10之一所述的通信裝置(12)，其中所述計算裝置(21)此外被設計用於從配置伺服器(18)通過所述網絡裝置(24)接收被分配給所述現場設備(11)的VPN配置。
13.根據權利要求8到12之一所述的通信裝置(12)，其中所述計算裝置(21)此外被設計用於監控所述現場設備(11)的運行狀態，並且 如果所述現場設備(11)不再與所述通信裝置(12)連接或是去激活的，那麼斷開所構建的VPN連接(15a)。
【文檔編號】H04L29/06GK103460669SQ201280017859
【公開日】2013年12月18日 申請日期:2012年3月30日 優先權日:2011年4月12日
【發明者】R.法爾克 申請人:西門子公司