[发明专利]具有安全通信的工业自动化系统装置、系统和方法

权利要求书

1.一种工业自动化系统装置（100），包括：

安全通信处理单元（102），所述安全通信处理单元（102）被配置成与另外的信任的工业自动化系统装置安全地通信；以及

预共享秘密模块（104），所述预共享秘密模块（104）包括预共享秘密（202），所述预共享秘密（202）包括共享非对称密钥对生成数据；

其中

所述安全通信处理单元（102）被配置成

从所述共享非对称密钥对生成数据中得到包括共享秘密密钥sk_CA和共享公开密钥pk_CA的共享非对称密钥对（204），

得到包括所述共享公开密钥pk_CA的共享证书C_CA（206），以及

利用所得到的共享秘密密钥sk_CA对所述共享证书C_CA进行签名；并且其中

所述安全通信处理单元（102）还被配置成

生成包括装置秘密密钥sk_i和装置公开密钥pk_i的装置非对称密钥对（208）。

2.如权利要求1所述的工业自动化系统装置（100），其中，所述工业自动化系统装置是OPC统一架构（OPC UA）装置，所述装置证书C_i是装置特定的应用实例证书，并且所述共享证书C_CA是共享的应用实例证书。

3.如权利要求1或权利要求2所述的工业自动化系统装置（100），其中，所述预共享秘密还包括共享证书相关信息；并且所述通信处理单元（102）被配置成从所述预共享秘密的所述共享证书相关信息中得到所述共享证书C_CA。

4.如权利要求1或权利要求2所述的工业自动化系统装置（100），其中，所述装置证书C_i包括预配置默认数据。

5.如前述权利要求中的任一项所述的工业自动化系统装置（100），其中，用于生成共享非对称密钥对（sk_CA，pk_CA）的密钥生成算法是与由另外的装置使用的算法相同的算法。

6.如前述权利要求中的任一项所述的工业自动化系统装置（100），其中，所述预共享秘密提供足够的熵，以便以密码安全的方式得到所述共享非对称密钥对（sk_CA，pk_CA）。

7.如前述权利要求中的任一项所述的工业自动化系统装置（100），其中，所述安全通信处理单元（102）还被配置成使用常规的熵源，以用于生成装置密钥对。

8.如前述权利要求中的任一项所述的工业自动化系统装置（100），还包括证书存储和信任列表，所述证书存储包括所述装置证书，所述信任列表包括所述共享证书。

9.如前述权利要求中的任一项所述的工业自动化系统装置（100），其中，所述预共享秘密的所述证书相关信息包括下列中的一项或多项：主题名称；有效期；证书签名算法；版本；序列号、签名散列算法；发行者；公开密钥；公开密钥参数；基本约束；备选名称；主题密钥标识符；授权机构密钥标识符；密钥使用和/或拇指指纹。

10.如前述权利要求中的任一项所述的工业自动化系统装置（100），其中，所述预共享秘密的所述装置证书和所述共享证书的所述证书相关信息各自解释为X.509证书。

11.如前述权利要求中的任一项所述的工业自动化系统装置（100），其中，所述预共享秘密通过预配置或通过外部访问接口被提供到所述装置。

12.一种工业自动化系统（300），所述工业自动化系统（300）包括至少一个如前述权利要求中的任一项所述的工业自动化系统装置。

13.如权利要求12所述的工业自动化系统（300），其中，至少所述另外的信任的装置包括用于得到相同的非对称共享密钥对和相同的共享证书的相同的预共享秘密。