用於傳送數據的裝置和方法與流程
2023-08-03 14:23:31 2
本發明涉及一種用於在至少一個生成數據的單元與遠程通信單元之間傳送數據的裝置,其中,所述裝置具有至少一個用於具有網絡功能的通信協議的接口用以與遠程通信單元經由非私有的並且優選可公開訪問的網絡安全通信以及至少一個用於硬體相關的通信協議的接口用以與生成數據的單元通信。此外,本發明涉及一種用於在這樣的裝置與遠程通信單元之間傳送數據的方法。
背景技術:
在通信技術中的技術發展越來越多地能實現在不久之前還不可能的服務,因為期間越來越多的技術對象能夠經由網際網路傳送數據並且例如由遠程經由網際網路獲得控制命令。為此的例子是由智慧型電話遠程控制加熱設施,或在工業領域中對產品的監控和遠程維護。
這些新策略的重要領域稱為「智能服務」,其中可將其理解為如下服務,該服務由製造商或服務提供方經由網際網路在客戶的設備和機構上進行。然而一個問題在於,經常還必須完成用於這樣的服務的前提條件,因為需要的面向服務的架構(SOA)還不存在。
用於實現面向服務的架構的前提條件在於,所有接入的設備必須能以任意方式進行具有網絡功能的通信。結合本申請將如下協議視為「具有網絡功能的」,該協議允許經由公開的、亦即第三方可訪問的網絡特別是網際網路建立優選符合AAA並且能加密的通信連接並且進行經此的數據傳輸。具有網絡功能的協議的協議堆在此形成OSI參考模型的所有7層。
通信連接在此一般通過網絡服務方建立。網絡服務方的標記特別是連接建立的類型。在此,通信由遠程通信單元建立,該遠程通信單元將從終端設備調用數據。為此需要的是,在安全架構中在終端設備位置上用於到達通信的埠處於打開,通過該埠可以由遠程通信單元建立與終端設備的通道。打開的埠和由遠程導入數據調用的可能性是潛在的安全風險並且因此為黑客攻擊所利用。
為了更安全地設計這樣的連接而應用證書,該證書存儲在終端設備上,並且通過證書可以確保調用的設備的身份並且建立加密連接。然而為了建立安全通信,首先必須建立在遠程通信單元與終端設備之間的連接,這又提供攻擊可能。
高度複雜的例如用於生產或用於實施測試的工業設施一般包括大量製造方的設備,其中多個專家負責各個構件的維護。對於這樣的構件的製造方最大興趣在於,由客戶獲得關於其產品使用的信息,一方面以便獲得用於進一步研發的數據,另一方面以便可以提供匹配的維護和服務策略,這對於客戶也是有利的。
在工業環境中主要存在三個大的問題組,它們推遲了實現:
首先,相比於消費產品例如智慧型電話,工業系統的多個構件非常特定地對於其相應應用確定並且經常僅具有簡單有線連接的模擬信號輸出經由現場總線例如CAN或Profibus直至簡單的網絡系統例如乙太網非常受限的通信可能。關於OSI層模型,這樣的硬體相關的通信協議大多可設置在層1、2和3中。這樣的連接解決方案僅適用於局部網絡並且在安全系統上缺乏。與網際網路的連接在這樣的系統中僅通過網關就可行,但是系統由此將經受攻擊的極度危險,特別是當對於第三方亦即例如服務提供方應同意訪問系統的數據時。因此這樣的系統僅分離應用並且該分離的架構排除連接到面向服務的架構。
第二,大多涉及發展的系統,在這些系統中,共同應用多代的結構元件。基於工業構件的長的壽命,這些工業構件經常可以數十年地應用。將設施的所有構件同時更換為「具有網際網路功能的」設備然而出於成本原因大多不被考慮並且將引來另外的安全問題。
第三,系統數據經常是高度靈敏的數據,這些數據應在競爭對手面前保持秘密,並且經常也不應在系統製造方或在服務提供方給出。對於公司非常重要的是,該公司可以隨時通過其數據的使用而確定。因此出於數據安全的類似原因,出於工業目的大多不考慮如下通信系統,該通信系統對於消費方實現。
技術實現要素:
本發明的目的在於,克服現有技術的缺點。特別是也應可以將設備接入到面向服務的架構中,所述設備僅可以通過硬體相關的通信協議通信。然而對所述設備的訪問必須可以排除未經授權方。按照本發明,在此現在還應用的舊設備也應可以接入到面向服務的架構中。作為另外的安全要求,按照本發明應簡單且可實現地可行的是,準確確定對於所有參與方的數據訪問資格。
結合具體描述一般將如下通信協議稱為「硬體相關的通信協議」,該通信協議的層結構或協議堆不包括OSI模型的所有7層,特別是不具有表示層(層6)的協議,並且因此不僅不允許跨越系統的通信也不允許數據加密。硬體相關的通信協議的特徵是:該硬體相關的通信協議不能實現安全協議的實施,所述安全協議的實施將允許經由分布式的(雲)網絡的可靠的安全的通信。
用於硬體相關協議的存在的通信接口因此限於OSI模型的7層的僅最低,所述硬體相關協議例如可以利用現場總線技術或點對點乙太網連接。特別簡單的硬體相關的通信協議僅利用位傳輸層(層1)或位傳輸層和安全層(層2)的組合。
屬於用於位傳輸層的協議的例子是V.24、V.28、X.21、RS 232、RS 422、RS 423或RS 499。屬於利用層1和2的組合或僅層2的例子是乙太網協議、HDLC、SDLC、DDCMP、IEEE 802.2(LLC)、ARP、RARP、STP、IEEE 802.11(WLAN)、IEEE 802.4(令牌總線)、IEEE 802.5(令牌環)或FDDI。
附加地也可以在硬體相關的通信協議中應用較高層的協議。屬於層3至5的協議的例子是X.25、ISO 8208、ISO 8473(CLNP)、ISO 9542(ESIS)、IP、IPsec、ICMP、ISO 8073/X.224、ISO 8602、TCP、UDP、SCTP、ISO 8326/X.215(會議服務)、ISO 8327/X.225(面向連接的會議協議)或ISO 9548(無連接會議協議)。
屬於硬體相關的通信協議的例子此外是經由RS232的AK協議、經由CAN的CANopen以及經由RS485的Profibus-DP,所述硬體相關的通信協議特別是用於在測試環境範圍中例如在汽車領域中的工業應用。特別是「汽車工業聯盟e.V./用於廢氣測量的標準化的工作循環技術」的AK協議始終還是在汽車領域中多個測試設施中的實際上的標準。該協議作為簡單協議實現用於硬體相關的數據傳輸並且不提供實現三A系統(證實、授權、核算-AAA)的可能性。
按照本發明,以上限定的目標通過開頭所述類型的裝置實現,該裝置具有安全控制器,該安全控制器能夠用於控制經由具有網絡功能的接口和經由硬體相關的接口的通信,其中,給安全控制器配置安全存儲器,該安全存儲器具有限定的存儲區域,其中,給至少一個存儲區域配置至少一個證書。這樣的裝置可以經由硬體相關的接口與生成數據的單元、亦即特別是與應接入到面向服務的架構的各個設施構件經由其硬體相關的通信協議通信並且生成相應數據,該相應數據保存在確定的存儲區域中。為了調用數據,可以由遠程通信單元經由具有網絡功能的接口實施遠程請求,其中,可以通過證書檢測用於請求的資格。對於每個存儲區域可以單個地確定相應的訪問授權的證書(或具有該證書的「證書優先方」)。安全控制器確保:在安全控制器中的通信連接(所謂的「通道」)結束,並且對於遠程通信單元而言不可能建立與終端設備(亦即生成數據的單元)的直接連接。因此,相應證書也保存在安全控制器的安全存儲器中、而沒有保存在生成數據的單元的存儲器中。
證書一般表示如下對象,通過該對象可以確保人員或主管機關的信任和可配置性/不可否認性。這特別是涉及所謂AAA一致性的證實和授權步驟。證書特別是可以用於運輸和訪問保護。在此,證書的公開部分(「公開密鑰」或者說「Public Key」)用於保護,從而僅證書的相應私人部分(「私人密鑰」或者說「Private Key」)的擁有方具有訪問或了解數據的可能。對於證書現在最流行的標準是X.509,也作為「公鑰基礎設施倉庫(PKI-Store)」已知,對於本領域內技術人員而言然而也已知另外可用的方法。
有利地,至少一個存儲區域可以包含在安全控制器上能運行的程序代碼。由此,安全相關的程序部分(其例如限定安全控制器的工作方式)本身可以在安全存儲器中被保護免於操作並且其同樣可提供關於證書的訪問控制。
有利地,所述包含程序代碼的存儲區域可以配置給安全控制器的硬體提供方的證書。基本程序部分因此僅可以由安全晶片的硬體提供方改變,從而排除員工對安全特徵的錯誤解除或攻擊方的有意入侵。
本發明的一個有利的實施形式設定,至少一個存儲區域配置給確定的生成數據的單元,其中,存儲區域包含單元的明確的識別(獨特ID)、運行數據、控制數據、設置數據和/或歷史數據。由此,例如對於服務提供方可能的是,藉助於遠程訪問來訪問相關數據並且也根據權限改變這些數據(例如以便在服務之後復位這些相關數據)。通過將多個存儲區域配置給一個唯一的單元,通過不同證書的配置也可以實現負載的權限結構。因為在安全控制器中的通信連接結束,所以排除與生成數據的單元的通信以及通過遠程通信單元對生成數據的單元的操作。
本發明的另一有利的實施形式可以規定,至少一個存儲區域包含證書和/或配置。因此也可以保護本身具有相同系統的證書免於外部訪問。此外可以確定:誰有權利改變配置並因此訪問權限。在此可以特別有利的是,包含證書和/或配置的存儲區域配置給裝置的擁有方的證書。這經常是有意義的,因為擁有方本身由此可以限定:該使用方給予第三方並且特別是服務提供方哪些權利。如果限定在安全控制器的程序代碼中的訪問權限,那麼可以實現特別高的安全等級。
有利地,安全控制器可以具有用於監控生成數據的單元的機構,所述單元連接到硬體相關的接口。由此可以知道:假如設備例如已未授權地更換和設備的數據是否是可信的,例如運行小時計數器是否嚴格單調上升。
在一個優選實施形式中,安全控制器可以集成在硬體晶片中。這阻止由安全控制器執行的程序的操作。
為了保護安全控制器附加地免遭攻擊,硬體晶片可以有利地包括安全存儲器和集成的CPU。
在一個有利的實施形式中,硬體晶片可以包含加密模塊。加密模塊控制通信的加密。通過加密模塊集成到硬體晶片中,可以阻止針對加密方法的幹擾的攻擊。
通過安全存儲器、集成的CUP和加密模塊在安全控制器中的組合(安全控制器集成在硬體晶片中),安全控制器能夠不僅管理安全存儲器、而且也安全地執行運算操作本身。這具有如下優點,即安全控制器「自給自足地」運行,並且獨立於可攻擊的CUP。在此,安全控制器可以包括硬體編碼的程序部分,該程序部分通過基於數據的攻擊是不可操作的。
結合具體描述將如下存儲器稱為安全存儲器,該存儲器被保護免遭未授權的訪問。特別是這可以是如下存儲器,僅安全控制器訪問該存儲器,並且該存儲器因此是不可被第三方方面操作的。
藉助於該裝置可以有利地實施用於在裝置與遠程通信單元之間傳送數據的方法,該方法的特徵在於以下步驟:經由具有網絡功能的接口與證書優先方的通信單元建立通信連接,給所述證書優先方配置證書;確定證書優先方的證書;確定要傳送數據的存儲區域;檢測證書優先方的證書與存儲區域的配置;以及在肯定的檢測的情況下,將在存儲區域中存儲的數據傳送給遠程通信單元和/或從遠程通信單元接收數據並且將接收的數據存儲在存儲區域中。藉助於該方法可以在實踐中並且簡單地實現複雜的安全架構。
有利地,該方法還可以具有以下步驟:經由硬體相關的接口接收或調用單元的(運行)數據;以及在安全存儲器的配置給單元的存儲區域中存儲運行數據。由此可以基於時間計劃通過確定的限定的事件或基於用戶請求而由裝置調用單元的(運行)數據。在以下遠程請求中不再需要訪問該單元本身,因為數據已經保存在安全存儲器中。按照本發明因此不需要的是,通過證書證實的被授權方為了調用數據而直接訪問單元本身。由此安全地阻止在設有所述單元的設施上的操作。
在一個特別優選的實施形式中,裝置與遠程通信單元的通信可以加密地實現。因為相應的通信對象通過證書證實,所以加密可以以簡單的方式通過配置給證書的密碼對實現。
有利地可以在具有網絡功能的接口上實現純通過推動機制運行的協議。這樣的例如按照MQTT規範的協議在具有網絡功能的接口方面允許實現防火牆方針,其阻止入流量。因此可以排除系統通過網絡服務的操作和端對端連接直至生成數據的單元的構成。在純通過推動機制運行的協議中例如按照MQTT協議,已知地不建立直接端對端連接,而是使通信總是通過中間連接的中間方聯繫,該中間方由「出版方」獲得數據,並且通信提供用於一個或多個「訂戶」,其中,可以設定出版方和/或訂方的證書支持的識別。每個端點「打開」由自身到中間方的通信,並且該通信不「由外部」導入。
因為兩個通信對象可以不僅用作訂戶而且用作出版方,所以也可能的是,沿兩個方向交換數據,而無需為此設立潛在的可攻擊的網絡服務。
從安全控制器出發,為此以限定的間隔建立與中間方的連接,並且提供用於通過授權的第三方調用的數據(亦即裝置作為出版方工作)或數據由第三方調用(亦即裝置作為訂戶工作)。
附圖說明
在下文中參照附圖詳細描述本發明。附圖示出:
圖1示出網絡構件的示意圖,按照本發明的裝置與這些網絡構件通信;
圖2示出按照本發明的裝置的主要元件的示意圖;
圖3示出按照本發明的裝置的另一示意圖,以便闡明示例性的通信協議;以及
圖4示意地示出具有面向服務的架構的網絡,在該網絡中,在多個位置應用按照本發明的裝置。
具體實施方式
圖1示出示例性的網絡布置結構,其基本上可以分為五個區域,亦即:工業地點4的區域;後續稱為「證書優先方」的通信參與方(亦即硬體提供方3a)、服務提供方3b以及擁有方3c的三個區域3a、3b、3c,它們分別具有一個遠程通信單元5a、5b、5c;以及非私有網絡7的區域,該網絡具有雲基礎結構、特別是網際網路。
工業地點4例如可以是(例如用於汽車領域)的生產車間或測試設備,其中,地點配置給確定的擁有方3c。工業地點4的擁有方應歸於特別的含義,因為該擁有方必須確定訪問權限,如隨後還將闡明的那樣。在工業地點4上存在多個生成數據的單元2a至2f,其中,將基本上所有如下裝置視為「生成數據的單元」,這些裝置的狀態可以以任意方式被監控。尤其是可以特別是如下單元,這些單元源自確定的提供方,該提供方具有監控由其購買的產品的興趣,以便可以快速、預先計劃並且簡單地提供可能的服務。在圖1中給服務提供方配置自身區域3b。
在工業地點4上設有按照本發明的裝置1,該裝置1具有多個硬體相關的接口8a-8i,這些硬體相關的接口通過不同方式與生成數據的單元2a-2f連接。生成數據的單元2a-2f可以設置在多個組中,其中,在示出的布置結構中所述單元2c-2f形成一個組,該組連接到一個共同的現場總線,各單元經由該現場總線通信,其中,任何一個在專業領域中已知的通信協議可以用於現場總線,例如CANopen或Profibus-DP。裝置1經由接口8i同樣與現場總線連接,以便可以與該組的單元2c-2f通信。單元2a和2b形成另一組,這兩個單元分別通過端對端協議連接於裝置1的接口8b、8d。
應說明的是,各單元一般不具有用於通過具有網絡功能的協議經由網際網路傳送數據的機構。然而也可以是:雖然用於具有網絡功能的通信的單元的原則上的能力也不允許該單元連接到公開網絡,因為在該網絡中存在其他單元,但是這些單元由此可能經受不允許的訪問。
給裝置1的硬體提供方或給裝置1的安全相關的元件(特別是在裝置中包含的安全控制器9)的硬體提供方配置另一區域3a。在具體描述的意義上可以將術語「硬體提供方」特別是視為原本的晶片製造方或第三提供方例如認證處。術語「硬體提供方」特別是表示如下位置,該位置負責安全控制器的工作原理和進一步改進。裝置的特別的安全特徵可以設定為,基於安全控制器的程序代碼的更新可以僅通過稱為硬體提供方的位置以及可能情況下在另外特定的安全準備下進行。
圖1的裝置1具有多個具有網絡功能的接口6a-6d,經由這些接口可以建立與其他單元經由公開或私有的網絡(如內網、GSM網絡和/或網際網路)的跨越系統的通信。具有網絡功能的連接的建立、經由該連接的通信以及應用於此的協議在專業領域中充分已知並且因此在此無須進一步闡明。在圖1示出的實施例中,裝置1經由內網連接與工業地點4的擁有方3c的遠程通信單元5c通信並且經由網際網路與服務提供方3a或硬體提供方3a的遠程通信單元5a和5b通信。
參照圖2現在闡明按照本發明的裝置1的工作原理,其中,特別是討論安全控制器9的功能。裝置1的安全控制器9可以實施為單個晶片或實施為多個晶片的組合,其中,安全控制器與微控制器11(ARM-CPU)協作。也可能的是,安全控制器10和微控制器11集成在一個唯一晶片中。這雖然能實現高的安全標準,然而也涉及高的研發成本。
安全控制器調節經由硬體相關的接口8a-8i與生成數據的單元2a-2f的通信、經由具有網絡功能的接口6a-6d的通信以及對安全存儲器10的訪問。
安全存儲器10在硬體技術上如此受限,使得訪問僅可以通過安全控制器9實現。為了可以應用本裝置,該安全存儲器必須首先由輸出單元「委任」,其中,該委任在示出情況下由硬體提供方實施。在委任中對將存儲器10分為各個存儲區域A、B、C、D等進行限定,其中,在第一存儲區域A中保存用於控制安全控制器9的程序代碼。在存儲區域B中對於應被考慮用於訪問的所有主管機構保存證書a、b、c、d,其中涉及證書的公共部分。除了存儲區域A、B、C、D的限定之外,程序代碼也確定:哪些證書擁有方應具有軟存儲區域訪問並且是否訪問權限也允許數據的變化。
在示出的例子中,保存有程序代碼的存儲區域A通過硬體提供方或委任機構的證書a保護。這表示:程序代碼(並因此存儲區域的分配和訪問權限結構)僅可以由硬體提供方3a改變。程序代碼的改變因此既不可以由裝置的擁有方3c也不可以由服務提供方3b進行,而是僅可以由硬體提供方3a進行,例如如果應進行更新的話。如果程序代碼需要更新,那麼另一安全功能附加地可以需要擁有方3a和/或服務提供方3b的同意。
在所述實施形式中,每個按照本發明的裝置在委任時特別按照相應的應用條件調節,從而事後的變化是不可能的或者僅受限地可能的。然而根據安全條件可以對於各個元件允許事後的變化,其中,這樣的可能性必須限定在程序代碼中。因此例如一旦調用各個證書並且必須更新這些證書,那麼可以允許證書的更換。
另外的存儲區域C、D、…分別配置給一個生成數據的單元2a-2f或一組這樣的單元,其中,在相應存儲區域中保存的數據同樣通過程序代碼控制。數據的更新可以通過確定的事件觸發(例如如果服務提供方3b在維護之後復位服務計數器的話),或者所述數據的更新可以連續地或者以確定時間間隔產生(例如用於運行時間的記錄)。在用於單元2a-2f的相應存儲區域C、D中此外可以包含單元的獨特標誌(獨特ID)和關於要應用的通信協議的信息。
此外,經由具有網絡功能的接口6a-6d的通信由安全控制器9控制,其中,在通信連接的每次建立時檢測相應證書並且通信連接優選也通過證書加密,從而僅私人密鑰的擁有方可以訪問內容。因此準確地限定:證書的擁有方允許訪問哪個存儲區域。必要時,在確定存儲區域中的數據可以附加地利用證書加密地保存。然而由此僅可以例如以唯一證書訪問內容。在其他情況下優選的是,數據以其他方式(例如利用對稱密碼)加密或者解密地在存儲器中保存,並且僅在安全控制器的數據傳輸中以相應證書加密。
在圖2中示出的實施形式中,擁有方3c可以利用證書3c訪問存儲區域B、C和D;服務提供方3b可以利用其證書訪問存儲區域C;以及硬體提供方3a可以利用其證書a僅訪問存儲區域A。
安全控制器9確保實現經由硬體相關的接口8的通信與經由具有網絡功能的接口6的通信的嚴格分離,從而經由具有網絡功能的接口(6a-6d)不可能直接訪問生成數據的單元2a-2f。即使攻擊者成功避開安全準備並且攻入安全控制器,對於攻擊者因此也還不可能的是,也達到訪問生成數據的單元,因為訪問生成數據的單元在完全不同的協議層上通信,有別於這在具有網絡功能的接口的通信協議中的情況。
本發明的裝置和方法的安全方面可以任意地匹配於相應用戶要求,其中,不僅可以實現附加的安全措施而且可以省去確定的安全特徵。
圖3示出按照本發明的裝置示例性實施形式的另一示意圖,其中,各個元件關於功能構件和應用的協議被示例性地示意地劃分。圖3的裝置具有用於單元的直接連接的五個硬體相關的接口,它們是接口8a(LAN)、8b(RS232或RS485)、8c(CAN)、8d(USB)和8e(其他)。另外的硬體相關的接口是接口8f(LAN),8g(Ethercat),8h(USB)和8i(CAN、CANOpen)。
圖4示意地示出具有服務提供方3b的面向服務的架構的網絡,其中,按照本發明的裝置1應用在服務提供方的多個客戶(擁有方3c和3c』)中,以便能實現由相應擁有方可限定地訪問客戶的單元2a-2c的數據,所述單元生成由服務提供方3b服務的數據。
附圖標記列表
裝置 (1)
生成數據的單元 (2a-2f)
證書優先方 (3)
硬體提供方 (3a)
服務提供方 (3b)
擁有方 (3c)
工業地點 4
遠程通信單元 (5a-5c)
具有網絡功能的接口 (6a-6d)
非私有網絡 (7)
硬體相關的接口 (8a-8i)
安全控制器 (9)
安全存儲器 (10)
微控制器 11
存儲區域 (A、B、C、D)
證書 a、b、c