[发明专利]在自动化装置之间防操纵的数据传输

说明书

技术领域

本发明涉及一种用于将数据报文从自动化设备的第一自动化装置传输到自动化设备的第二自动化装置的方法。本发明还涉及一种相应的自动化装置和一种具有这样的自动化装置的自动化设备。

背景技术

对于供电网、工业过程或制造设备的自动化，采用通常包括多个自动化装置的自动化设备。在供电网的情况下，自动化设备例如具有保护装置、控制装置、站控制装置和电网控制装置作为自动化装置。在此，提到的自动化装置承担用于控制、监视和保护供电网的不同的任务。

自动化的过程通常是安全性关键的应用。因此例如关于供电网存在提高的安全性要求，因为在此涉及特定区域的基础设施的主要组成部分，用于例如对家用、公共设施、工商业和工业企业、电信设备和其他耗电器供电。

因此要保护自动化设备以防止如通过通信连接的外部干扰可能出现的错误传输数据报文。此外在自动化设备中的数据传输中还越来越频繁地应用公知的通信结构；例如在用于供电网的自动化的设备中使用越来越多的利用公知的以太网技术的通信网络。广泛应用的通信技术的采用使得一方面可以将新的装置和应用简单嵌入到现有的网络中并且不同制造商的自动化装置具有可相互操作性，然而另一方面也成为了第三方操纵对自动化设备的潜在的攻击点。

例如可以考虑如下情形，在该情形中未经授权的第三方将错误的或改变的数据报文馈入到自动化设备的未受保护的通信网络中，以便由此有针对地触发自动化设备的故障。例如在此可以由攻击者馈入冲撞通信网络的拓扑的新配置的那些数据报文。在重复馈入这些数据报文的情况下，自动化设备的通信网络通过持续的新配置被带入过载状态，在该过载状态下最坏的情况不再能够传输用于自动化所需的数据报文。

因此要保护为了对各个过程进行自动化而采用的自动化设备，一方面防止错误的数据传输，并且另一方面防止通过外部侵入进行的操纵。

为了确保在自动化装置之间的通信路径，目前公知采用加密方法，例如按照PKI(Public Key Infrastruktur，公钥基础设施)，其中传输的数据报文借助由公共的和私有的密钥组成的不对称密钥对来验证，以确保传输的数据的数据完整性。然而这样的验证方法的前提条件是具有相对高的计算容量，以便能够实时地加密和解密要发送的和要接收的数据报文。为此所使用的自动化装置的计算容量由此不再提供给其他应用，从而自动化装置必须构造为具有高的计算容量，由此自动化装置的制造成本相应提高。

替换地，例如DE1004004344A1对于与因特网相连的自动化设备提出，通过设置单向通信连接这样构造网络拓扑，使得不可能从因特网对自动化设备进行未授权的访问。然而该替换方案没有考虑在自动化设备本身的内部未授权地馈入数据报文的可能性。

发明内容

由此本发明要解决的技术问题是，能够以对自动化装置的计算容量的相对小的要求确保在自动化设备的自动化装置之间的数据报文的传输不出现传输错误和第三方操纵。

本发明通过一种用于在自动化设备的自动化装置之间传输数据报文的方法解决上述技术问题，其中在两个自动化装置中产生具有秘密字符串序列的一致的列表，其中从对两个自动化装置来说是已知的秘密的起始字符串(Ausgangs-Zeichenfolge)中通过多次应用单向函数这样产生序列，即，分别从在序列中的前面的秘密字符串借助单向函数来产生在序列中随后的秘密字符串。在第一自动化装置中产生数据报文，其包括数据片段和检验标识，其中检验标识是在使用至少所述数据段和在第一自动化装置的列表中在序列的第n个位置上所实施的秘密字符串的条件下产生的。将数据报文传输到第二自动化装置，并且在使用至少所接收的数据报文的所述数据段和在第二自动化装置的列表中在序列的第n个位置上所实施的秘密字符串的条件下产生比较检验标识。将接收的数据报文的检验标识与比较检验标识相比较，并且当检验标识与比较检验标识一致时将其分类为可信任的。

在此，单向函数应当理解为一种对应规定，该对应规定是不可逆的，即，在使用单向函数的条件下虽然可以从输入值计算目标值，然而通过单向函数的逆从目标值反向计算输入值是不可能的或者仅具有可忽略的微小可能性。对于单向函数的例子例如是所谓的哈希(Hash)函数，例如SHA-1(SHA＝Secure Hash Algorithm，安全哈希算法)、SHA-256、MD5(MD＝Message Digest Algorithm，信息摘要算法)。