[发明专利]用于安全地交换设备的配置数据的方法和装置

说明书

技术领域

本发明涉及一种用于在第一设备与第二设备、尤其是在自动化设施中的设备之间安全地交换配置数据的方法以及装置。

背景技术

除了用于一个产品系列的所有设备并且版本相同的固件或软件之外，安装在自动化设施中的部件、诸如在制造和过程技术中的可编程存储控制装置（SPS/PLC）、在铁路技术中的能量分配装置或元件控制器中的智能现场设备通常还包含单独的、对于每个设备来说都不同的编程或配置。

为了简单地并且快速地更换例如失灵的设备，所述编程或配置数据附加地可以被存放在单独的外部的永久性存储器（诸如SD卡或者USB存储介质）中。在有损坏时，维修技术人员拆下有损坏的设备，取出外部存储器，将外部存储器插入到替换设备中并且将该替换设备连接在设施中。在启动时，替换设备从外部存储器读入数据，接收存放在所述外部存储器上的编程和配置数据，而且立即以与被替换的设备相同的配置来准备好投入使用。

存储介质也可以固定地安装在设施中、例如安装在开关柜中，使得所述存储介质在拆下设备时留在设施中而且在插入/嵌入设备时自动地与该设备连接。

这种外部的能插入到仪器或插入到设备中的存储设备具有如下优点：该设备在没有管理耗费的情况下立即得到正确的单独的配置数据。在经由例如设施的局域网来分配编程和/或配置数据时，必须首先确定在该设施中新的设备位于哪里以及该设备需要哪些数据。

另一方面，在外部可插入存储设备（所述外部可插入存储设备因此能以可拆卸的方式与仪器或设备连接）上的编程和配置数据可能具有如下缺点：具有对可拆卸的存储器的物理访问或对设备的物理入口的攻击者可以更简单地操纵这些数据。

发明内容

因此，本发明的任务是能够实现在设备之间防操纵地交换配置数据。

按照本发明的用于在第一与第二设备之间安全地交换配置数据的方法包括如下步骤：

- 利用所述第一设备的安全信息制订关于所述第一设备的配置数据的数字签名，

- 将所述配置数据、所述数字签名以及安全令牌（Sicherheitstokens）存储在外部存储设备中，而且

- 将所述配置数据、所述数字签名以及所述安全令牌从所述外部存储设备加载到所述第二设备中。

通过第一设备的配置数据的签名，可以检验数据的完整性。为此所需的装置通过安全令牌得到第二设备，所述安全令牌连同被签名的配置数据被加载到第二设备中。在该方法中，外部存储设备用作这些信息的传输介质。因此，可以保证在外部存储设备上的数据不曾被改变。因此保证了当前的配置信息随时存在于外部存储设备上。这尤其能够实现：在通过第二设备来更换设备时，第一设备的当前配置被传输到第二设备上。因此，没有形成附加的管理耗费、例如由于中央配置服务器引起的配置耗费，在所述中央配置服务器中，必须报告配置数据的更新并且调用相对应地被更新的配置数据。

在一个有利的实施方式中，配置数据由第二设备借助于第一设备的签名和安全令牌来检验并且在检验成功时予以使用。

借此保证了：仅仅未被改变的配置数据被加载到第二设备中，并且因此没有将后来引入的有害代码插入到配置数据中。这尤其是在使用外部存储设备时是有利的，因为该外部存储设备可以简单地从设备移除并且在操纵之后重新被插入。

在一个有利的实施方式中，在第二设备中，在由第二设备加载和检验配置数据之后，利用第二设备的安全信息制订关于配置数据的数字签名，而且将所述数字签名存储在外部存储设备上。

由此，现在可以由第二设备从新更新在外部存储设备上的被改变的配置数据。

在一个有利的实施方式中，安全信息是私钥，而安全令牌是数字证书。

在此，私钥和数字证书是例如根据公钥架构（Publik-Key-Infrastruktur）的不对称加密方法的要素。在此，包含在数字证书中的公钥明确地与私钥相关。在此，数据用私钥来加密并且可以用公钥来解密。通过对作为安全令牌随附于配置数据的数字证书的检验，也可以检验配置数据的可信性，其方式是将第一设备的现有的证书追溯到已经存在于第二设备中的证书、例如制造商的固定于固件中的值得信任的根证书上。这种值得信任的根证书、尤其是制造商的这种值得信任的根证书尤其存在于同一制造商的设备中。如果其他制造商的设备如第一设备被用作替换设备、也就是说用作第二设备，那么应保证：在第二设备中能使用适当的证书、例如第一设备的制造商的根证书。