检查自动化技术中模块化现场设备电子模块真实性的方法
阅读说明:本技术 检查自动化技术中模块化现场设备电子模块真实性的方法 (Method for checking the authenticity of an electronic module of a modular field device in automation technology ) 是由 托马斯·阿尔伯 马库斯·基利安 阿克塞尔·保施曼 萨沙·比勒 西蒙·梅克林 于 2021-04-14 设计创作,主要内容包括:本发明涉及检查自动化技术中模块化现场设备电子模块真实性的方法。为现场设备的每个电子模块分配合适的密钥对,该合适的密钥对确认电子模块的身份,每个密钥对均由公钥和私钥构成,并且将合适的密钥对的公钥存储在列表中,将列表分配给现场设备或者与该现场设备通信的单元,该方法包括当更换或添加电子模块时,该现场设备或与该现场设备通信的单元检查:所更换或添加的电子模块是否具有密钥对,以及所更换或添加的电子模块的公钥是否列举在公钥的列表中,该电子模块是否拥有正确的私钥;如果检查的结论是肯定的,则允许所更换或添加的电子模块与现场设备或与该现场设备的功能有关的某个其它电子模块进行通信或交互。(The invention relates to a method for checking the authenticity of an electronic module of a modular field device in automation technology. Assigning to each electronic module of the field device an appropriate key pair, which confirms the identity of the electronic module, each key pair consisting of a public key and a private key, and storing the public keys of the appropriate key pairs in a list, the list being assigned to the field device or to a unit communicating with the field device, the method comprising, when replacing or adding an electronic module, checking by the field device or the unit communicating with the field device: whether the replaced or added electronic module has a key pair, and whether the public key of the replaced or added electronic module is listed in a list of public keys, whether the electronic module possesses the correct private key; if the conclusion of the check is positive, the replaced or added electronic module is allowed to communicate or interact with the field device or some other electronic module related to the function of the field device.)
技术领域
本发明涉及一种用于在自动化技术中检查模块化现场设备的电子模块的真实性的方法。
背景技术
用于检测和/或影响物理、化学或生物过程变量的现场设备通常用于过程自动化以及制造自动化中。测量设备用于检测过程变量。这些测量设备例如用于压力和温度测量、电导率测量、流量测量、pH测量、料位测量等,并且检测压力、温度、电导率、pH值、料位、流量等的对应过程变量。致动器系统用于影响过程变量。致动器的示例是泵或阀,这些泵或阀可以影响管道中流体的流量或储罐中的料位。除了前述测量设备和致动器以外,现场设备还应理解为包括远程I/O、无线电适配器、或者通常包括布置在现场水平处的设备。结合本发明,所有这样的设备均称为现场设备,这些设备在过程或工厂附近使用并且提供或处理与过程或工厂有关的信息。
对应的现场设备通常由多个电子模块构成,例如带有电路板的插电式模块、具有数字连接的传感器等。如果更换或添加电子模块,则当前并不检查该电子模块是否真实。当前,通常对电子模块进行目视检查,并且在经过肯定的目视检查后、才将该电子模块视为真实。
上述过程带来了相当大的安全风险:原则上,由于不可能检测到可能已被篡改的任何类型的电子模块,因此在自动化技术的安装中,存在会安装可能已被篡改的电子模块的风险。例如,如果电子模块不满足在潜在爆炸性区域中使用的要求、但却在此类区域中使用,则这绝对会危及生命。
发明内容
本专利申请描述了一种用于确保模块真实性的方法:该模块是否实际上是它所假装的模块。主要考虑在这里是检查是否存在特定模块,其中在这里检查身份并且并不自动地接受相同设计的模块。在与本专利申请同时提交的申请人的专利申请中,检查了制造商的真实性,即,电子模块是否源于初始制造商或可信赖的第三方或供应商。当然,两种方法也可以同时或依次地用于检查电子模块。
本发明的目的是自动检测非真实的电子模块。
该目的通过一种用于在自动化技术中检查模块化现场设备的电子模块的真实性的方法来实现,其中,为现场设备的每个电子模块分配合适的密钥对,该密钥对用于确认电子模块的身份,其中,每个密钥对均由公钥Pk和私钥pk构成,并且其中,将合适密钥对的公钥存储在列表中,其中,该列表分配给现场设备或与现场设备通信的单元,其中该方法包括以下方法步骤:
-当更换或添加电子模块时,该现场设备或与现场设备通信的单元检查:
-所更换或添加的电子模块是否具有密钥对,以及
-所更换或添加的电子模块的公钥是否列举在公钥的列表中,
-该电子模块是否拥有正确的私钥;
-如果检查的结论是肯定的,则允许所更换或添加的电子模块与现场设备或与现场设备的功能有关的某个其它电子模块进行通信或交互。
因此,检查是否存在根据模块信赖列表应该存在的那些单个模块。如果更换或添加了电子模块,则使用根据本发明的方法来进行检测。如果该电子模块无法证明其真实性,则拒绝集成到操作中。
根据本发明,在现场设备将所更换或添加的电子模块纳入到操作现场设备所需的通信中之前,该现场设备由此检查该电子模块的公钥是否包含在被识别为可信赖的电子模块的列表中。通常在现场设备的运行时间期间检查电子模块的真实性。
分配给每个电子模块的密钥对也称为该电子模块的加密身份。对称加密和非对称加密原则上是已知的。在对称加密的情况下,加密和解密使用相同的密钥发生,而在非对称加密的情况下,加密和解密使用两个不同的密钥发生。
在非对称加密中,通常使用基于RSA的密钥对,这些密钥对可能在密钥长度上有所不同。当前,长度为2048位的RSA密钥已经被认为是必要的;要求更高安全性的人员则使用3072或甚至4096位的密钥长度。然而,增加的密钥长度不仅对所需的存储器空间有负面影响,而且性能也受到影响,即在非对称加密和解密的情况下、尤其是在密钥对生成方面。比基于素数体的RSA加密系统明显有效得多的是那些使用椭圆曲线的系统。已经建立了一些EC(椭圆曲线)。其中之一是曲线25519。
优选地,结合本发明使用非对称密钥对。非对称加密方法被认为是极为安全的,因为使用了无法相互推导的两个密钥:用于加密的公钥和用于解密的私钥,反之亦然。私钥始终保留在密钥的生成器中。使用私钥进行加密并且使用公钥进行解密,或者反之亦然。
此外,建议以下方法步骤:
为了检查电子模块是否拥有合适密钥对的公钥,该现场设备或与现场设备进行通信的单元请求所更换或添加的电子模块的公钥,并检查该电子模块的公钥是否存储在分类为可信赖的公钥列表中。
此外,执行关于该电子模块是否拥有合适密钥对的私钥的测试。质询/响应方法优选地用于这一测试。电子模块传送可信赖公钥的事实尚未证明该公钥也是与该电子模块相关联的公钥。最终,该电子模块也可能是使用非法获取的公钥的伪造模块。因此,必须检查该电子模块是否是真实的,即所提供的公钥是否实际上也属于该电子模块,该电子模块是否已提供与其相关联的正确公钥,以及是否也可以证明这一点。如上所述,质询/响应方法优选地用于这一证明。
为此,该现场设备或电子部件将任意消息发送给所更换或添加的电子模块,并带有签名创建的请求(“质询”)。该模块对该消息进行签名,然后将签名(“响应”)发送回现场设备或发送回请求的电子模块。现在,该现场设备或请求的电子模块可以基于该签名检查该电子模块是否拥有正确的私钥。
该签名举例而言通过以下方式创建:模块k将哈希方法应用于消息m,并利用其私钥对所获得的哈希值进行加密。该现场设备利用模块的公钥解密所获得的签名,并将其与所发送消息的自计算哈希值进行比较。理想情况下,两个哈希值是相同的,这证明了:a)由于该模块已经发送了正确的公钥,因此该模块被验真,以及b)由于该模块拥有相关联的私钥,因此也可以证明这一点。通过提供这一证明,所更换或添加的电子模块被认为是真实的。针对签名创建,还已经了解了特殊算法(DSA ECDSA等),然而,这些特殊算法最终也可以与非对称密钥对一起使用。
如果该电子模块现在没有合适的密钥对,或者只有一个基于不同曲线或基于不同加密系统的密钥对,则该电子模块无法参与质询/响应方法。如果该电子模块具有生成器,则可能进行补救,通过该生成器可以生成这种合适的密钥对;替代地,该电子模块必须具有对应的接口和密钥存储器,以使得可以随后将外部生成的密钥对写入到电子模块中。然而,在两种情况下,该模块都必须了解适用的/相关联的操作,例如,用私钥加密。
总而言之,特别是从现场设备将任意消息发送到所更换或添加的电子模块,以作为对使用私钥的签名创建的请求的质询。该电子模块使用其私钥对消息进行签名,并返回签名作为响应。该签名用于检查该电子模块是否拥有合适的密钥对的私钥。就非对称加密而言,任何密钥对都被认为是合适的。基于RSA或基于EC的密钥对是常见的。密钥对是一种工具。这样的密钥对现在由现场设备用来确定该电子模块的真实性。
在特定情况下,可以对“合适的”加以进一步限制:现场设备和电子模块两者都必须了解利用密钥对的相应操作(加密、解密)。例如,如果该现场设备仅了解例如EC且仅了解模块RSA,则本发明将不起作用。如果该电子模块根本没有非对称加密,则也就没有合适的密钥对。
下面描述一些特殊情况:如果检查显示所更换或添加的电子模块没有密钥对,则检查是否可以生成或提供用于该电子模块的密钥对,
其中,在由另一电子模块提供或生成该密钥对的情况中,将该密钥对传递到所更换或添加的电子模块。
此外,结合本发明提出,没有合适的密钥对或者不能为其生成合适的密钥对的所更换或添加的电子模块仍然被排除在通信之外。
如果检查显示所更换或添加的电子模块具有密钥对,但是即使该电子模块看起来是真实的、该密钥对的公钥却并未存储在列表中,则一旦经授权人员已确认该电子模块的可信赖性,就将所生成密钥对的公钥分配给分类为可信赖的电子模块的列表。
在可以为电子模块生成合适的密钥对的情况下,如果经授权人员确认该电子模块的可信赖性,则该密钥对的公钥也被存储在分类为可信赖的电子模块的列表中。这样,该列表可以变大并且包含多个电子模块的公钥。当然,在更换模块时,便于从模块信赖列表中删除所更换模块的公钥。
如果电子模块没有合适的密钥对,或者只有一个基于另一曲线或基于另一加密系统的密钥对,则该电子模块无法参与质询/响应方法。为了生成合适的密钥对,该电子模块必须具有生成器,通过该生成器可以生成这样的(合适的)密钥对,或者该电子模块必须具有接口和密钥存储器,从而外部生成的密钥对可以被写入到电子模块中。然而,在两种情况下,该电子模块都必须了解适用的/相关联的先决条件和操作(例如,用私钥加密)。
规定在生产过程期间或服务使用期间,每个电子模块均由初始制造商或初始制造商授权的第三方提供合适的密钥对;此外,合适的密钥对的公钥在对应的时间点存储在分类为可信赖的电子模块的列表中。在生产过程期间或之后,由于正更换或添加模块,可信赖的人员会通知现场设备已将所更换或添加的电子模块视为可信赖的。在这种情况下,该现场设备将电子模块的公钥纳入其模块信赖列表MTL。
当更换电子模块时,将所更换电子模块的公钥从分类为可信赖的电子模块的列表中删除。
如上文已经提及的,可以在现场设备的正进行的操作期间执行关于该电子模块是否真实的检查或测试。
还已提及的是,结合本发明,代替电子模块的公钥,可以使用派生物(例如哈希值)或一些其它独立的和唯一的标识。
附图说明
参照以下附图来更详细地解释本发明。附图中示出:
图1是现场设备的示意图,该现场设备适合于执行根据本发明的方法,且具有多个电子模块,以及
图2是描述了具有不同发展的根据本发明方法的流程图。
具体实施方式
图1是现场设备FG的示意图,该现场设备具有多个电子模块Mk并且适合于执行根据本发明的方法。在所示的情况下,现场设备FG具有三个电子模块Mk,其中k=1、2、3。为现场设备FG的每个电子模块Mk分配合适的密钥对Pk、pk,其中k=1、2、3。这种合适的密钥对Pk、pk是相关联的电子模块Mk能够确认其真实性的先决条件。每个密钥对Pk、pk均由公钥Pk和私钥pk构成。此外,将合适的密钥对Pk、pk的公钥Pk存储在列表MTL中,其中,该列表MTL分配给该现场设备FG或与现场设备FG通信的单元U。MTL是模块信赖列表的缩写。该列表包含被分类为可信赖的电子模块Mk的公钥Pk。仅仅当对根据本发明的方法和/或其进一步的实施例的检查步骤进行肯定评价时,才将所更换或新添加的电子模块Mk功能性地集成到现场设备FG中。
由公钥Q和私钥q构成的单独的密钥对Q、q也被分配给该现场设备。现场设备FG可以在必要时将公钥Q发送到一个或多个电子模块Mk,从而例如确定现场设备FG与电子模块Mk之间的秘密共识并将其(或其派生物)用作加密通信的对称密钥(关键字:“DiffieHellman”,公钥的更换)。此外,可能的是,不仅电子模块Mk必须向现场设备FG证明其身份,而且现场设备FG也必须向电子模块Mk证明其身份。例如,如果电子模块Mk已存储许多敏感(秘密)数据,则该电子模块可能应该能够将这些数据仅仅传递给一个现场设备或仅传递给特定的现场设备FG。为此,每个电子模块Mk将必须具有所存储的现场设备信赖列表,其中,列举了被分类为可信赖的现场设备FGk的公钥。
图2示出了描述了具有不同发展的根据本发明方法的流程图。
例如,在程序点10下方,插入新的电子模块Mk(例如Mod3new),来代替电子模块Mod3;替代地,新添加了新模块Mk,例如电子模块Mod4。在程序点20处,检查新的电子模块Mk是否具有合适的密钥对Pk、pk。如果具有合适的密钥对,则在程序点30处检查所更换或添加的电子模块Mk的公钥Pk是否列举在公钥Pk的MTL列表中。如果测试结果是肯定的,则在程序点40处检查新电子模块Mk是否拥有正确的私钥pk。如果该检查结果是肯定的,则允许所更换或添加的电子模块Mk与现场设备FG或与该现场设备FG的某个其它电子模块Mk(与该现场设备FG的功能有关)进行通信或交互。该检查在程序点60处终止。该检查也可能由单独的单元执行。这在图2中并未单独示出。
为了检查电子模块Mk是否拥有在程序点30处确定的合适密钥对Pk、pk的公钥Pk,现场设备FG或与现场设备FG通信的单元U请求所更换或添加的电子模块Mk的公钥Pk,并检查电子模块Mk的公钥Pk是否存储在列表MTL中。
关于电子模块Mk是否也拥有合适密钥对Pk、pk的正确私钥pk的检查(程序点40)、通过质询/响应方法来执行。为此,特别是由现场设备FG将任意消息m发送到所更换或添加的电子模块Mk,以作为对使用现有私钥pk的签名创建的请求的质询。电子模块Mk用其私钥pk对消息m签名,并返回签名作为响应。该签名用于检查该电子模块Mk是否拥有合适的密钥对Pk、pk的正确的私钥pk。如果加密和解密后的消息m再次为消息m,则情况如此。
现在考虑如果在程序点20、30或40处的检查结果是否定的话,则可能发生的情况。
如果在程序点20处的检查显示电子模块Mk没有合适的密钥对Pk、pk,则检查是否可以为电子模块Mk生成或提供密钥对Pk、pk(程序点70)。如果可以由现场设备FG或另一电子模块Mk提供或生成密钥对Pk、pk(程序点80),则将密钥对Pk、pk传递到所更换或添加的电子模块Mk。所更换或添加的模块Mk本身也可能会生成合适的密钥对Pk、pk。为此,必须具有合适的技术先决条件。一旦经授权人员已确认了电子模块Mk的可信赖性,就将公钥Pk存储在列表MTL中。
在电子模块Mk没有合适的密钥对Pk、pk或无法为电子模块Mk生成合适的密钥对Pk、pk(程序点70)的情况下,则电子模块Mk保持被排除在通信之外。可选地,生成错误消息,即电子模块Mk没有合适的密钥对Pk、pk(程序点90)。
如果所更换或添加模块Mk的公钥Pk不被包含在列表MTL中(程序点30),并且经授权用户未确认电子模块Mk的可信赖性,则会发出错误消息,指出电子模块Mk并非是可信赖的(程序点120)。现场设备FG不会将所更换或添加的模块集成到通信中。
如果在程序点40处的质询/响应测试表明该电子模块并不拥有正确的私钥pk,则在程序点130处生成错误消息,指出电子模块Mk不真实。
根据本发明的方法可能可靠地证明电子模块Mk的正确身份。可以清除掉伪造模块。
- 上一篇:一种医用注射器针头装配设备
- 下一篇:自动保护电路