專利名稱:用于防篡改地傳輸控制數(shù)據的方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及一種用于防篡改地在網絡的控制單元之間傳輸控制數(shù)據的方法和系統(tǒng)。
背景技術:
圖1示出一種傳統(tǒng)網絡,其中,控制數(shù)據在控制單元之間傳輸或者說交換。在圖1 中所示的實例中,兩個控制網絡通過一個傳輸網絡相互相連。這兩個控制網絡分別具有用于連接到傳輸網絡上的網關(GW)。這兩個控制網絡分別包含多個控制單元SE,這些控制單元例如通過總線連接到控制網絡的網關上。這兩個控制網絡通過傳輸網絡交換控制數(shù)據 SDl, SD2,SD3…??刂茊卧猄E可以是不同的裝置,例如控制計算器、可存儲編程的控制裝置、機器人手臂、傳感器、執(zhí)行器和類似物。此外,還有可能的是,控制網絡通過傳輸網絡與控制中心通信,例如SCADA系統(tǒng)(數(shù)據采集與監(jiān)視控制系統(tǒng))。
傳輸網絡例如可以是基于以太網的或者基于IP的生產網絡,該生產網絡將不同制造單元的控制網絡相互連接。此外,傳輸網絡也可以是列車網絡,該列車網絡將各個車廂的網絡相互連接。列車例如具備用于執(zhí)行列車控制或者說車輛控制或者其他運行功能的數(shù)據網絡。此外,傳輸網絡還可以是能量自動化網的網絡。
為了正確地執(zhí)行控制裝置的監(jiān)控功能,控制網絡和通過它相連接的控制組件或者說控制單元必須按規(guī)定運行。然而,在對控制網絡進行篡改的情況下,就無法確保這一點。 這樣一來就可能影響正常運行,并且有可能威脅受控設備的安全。
在空間上緊湊連續(xù)的環(huán)境中,可以通過物理性的安全措施保護控制網絡不被篡改,使得攻擊者無法入侵該控制網絡。然而,在分散的控制網絡中,例如布置在生產設備中或者車輛中(例如列車),就不可能做到這一點。在這樣的分散的控制網絡中,控制數(shù)據一般都通過傳輸網絡在分隔開的網絡區(qū)域之間傳輸。例如這樣就能夠在列車各部分(車廂)之間實現(xiàn)數(shù)據傳輸。此外,還能夠在列車內在空間上分隔開的區(qū)域之間進行數(shù)據傳輸,例如在安裝在車頂容器中或者車廂地板中的開關柜和控制組件之間。此外例如還從信號塔向車道信號單元或者向道岔傳輸控制數(shù)據。另一個實例是在具有不同的控制網絡的制造單元之間傳輸數(shù)據。此外,能夠通過傳輸網絡在傳感器/執(zhí)行器和過程自動化設備的控制裝置,例如精煉廠,之間進行數(shù)據傳輸。還有一個實例是在能量自動化系統(tǒng)的變電站控制器 (Substation-Controller)和控制中心之間傳輸數(shù)據。
因此,控制網絡經常用物理方法布置成訪問保護的形式,例如布置在特殊的電纜盒中,從而使第三者不能觸及控制網絡,并盡可能地防止發(fā)生篡改。然而這樣做通常耗費巨大,并且由于安裝麻煩,而且還必須要采取維修保養(yǎng)措施,所以一般無法實施。
此外公知的是,在傳輸時通過校驗和來保護數(shù)據,例如利用CRC校驗和。然而校驗和僅適合用于識別偶然的傳輸錯誤。因此,傳統(tǒng)的方法也采用 或者說使用加密校驗和,例如信息確認碼或者數(shù)字簽名。其中,被傳輸?shù)目刂茢?shù)據被添加上加密校驗和。在接收時會檢查加密校驗和。在進行接收的控制器一方僅進一步處理這種其加密校驗和已被檢查通過的控制數(shù)據。于是通過加密校驗和保護了被傳輸?shù)目刂茢?shù)據。然而,要將這種加密的保護集成到現(xiàn)有的組件中花費高昂,因為這需要一定的計算量、一定的存儲空間和一定的改進消耗。同樣地,要預設一個在傳輸之前對數(shù)據進行解密或者說設有加密校驗和的單獨的前置加密組件,只能通過大量的技術上的耗費才能實現(xiàn)。另一個缺點在于,進行加密計算操作會導致延遲,這尤其是在實時性很關鍵的控制和調節(jié)任務中不希望發(fā)生,或者甚至可能有損安全性。 此外,預設這種前置加密組件對相應的控制設備并非無反作用的。發(fā)明內容
因此,本發(fā)明的目的是,實現(xiàn)用于通過網絡在控制單元之間防篡改地傳輸控制數(shù)據的一種方法和一種系統(tǒng),該方法和系統(tǒng)能夠技術上以低耗費來實現(xiàn),但是在傳輸控制數(shù)據時能夠相對于篡改提供高級保護。
該目的通過一種具有權利要求1提供的特征的方法得以解決。
本發(fā)明實現(xiàn)一種用于在通過網絡將控制數(shù)據從第一控制單元傳輸?shù)降诙刂茊卧獣r識別篡改的方法,具有步驟
a)在發(fā)送方通過完整性校驗信息生成單元為由第一控制單元發(fā)送的控制數(shù)據生成完整性校驗信息數(shù)據;
b)借助加密的密鑰通過完整性校驗信息生成單元為發(fā)送方生成的完整性校驗信息數(shù)據計算加密的校驗和;
c)將發(fā)送方生成的完整性?!を炐畔?shù)據和所屬的由完整性校驗信息生成單元計算的加密的校驗和傳輸給完整性校驗確認單元,該完整性校驗確認單元在接收方借助加密的密鑰確認加密校驗和;
d)在接收方通過完整性校驗確認單元為通過第二控制單元所接收的控制數(shù)據生成完整性校驗信息數(shù)據;并且
e)將完整性校驗確認單元在接收方生成的完整性校驗信息數(shù)據和連同通過完整性校驗確認單元確認的加密的校驗和一起被接收的、在發(fā)送方生成的完整性校驗信息數(shù)據進行比較,用于識別對傳輸?shù)目刂茢?shù)據的篡改。
在根據本發(fā)明的方法的一種可能的實施方式中,在具有包管理數(shù)據和有效數(shù)據的控制數(shù)據包中不加密地傳輸控制數(shù)據。
在根據本發(fā)明的方法的一種可能的實施方式中,生成的完整性校驗信息數(shù)據是由至少一部分在控制數(shù)據包中或者在一定數(shù)量的控制數(shù)據包中包含的控制數(shù)據和/或包管理數(shù)據的哈希值構成的。
在根據本發(fā)明的方法的一種可能的實施方式中,完整性校驗信息數(shù)據是由完整性校驗信息生成單元為每個控制數(shù)據包生成,其中,完整性校驗信息數(shù)據具有控制數(shù)據包的包管理數(shù)據的哈希值,控制數(shù)據包的有效數(shù)據的哈希值和用于提供發(fā)送方生成完整性校驗信息數(shù)據的時間點的時間標記。
在根據本發(fā)明的方法的一種可能的實施方式中,完整性校驗信息數(shù)據以有規(guī)律的時間間隔由完整性校驗信息生成單元生成。
在根據本發(fā)明的方法的一種可能的實施方式中,控制數(shù)據通過無線的或者有線的傳輸網絡實時地傳輸。
在根據本發(fā)明的方法的一種可能的實施方式中,由完整性校驗信息生成單元計算的加密校驗和連同發(fā)送方生成的完整性校驗信息數(shù)據通過用于控制數(shù)據的傳輸網絡或者通過單獨的通信連接從第一控制單元傳輸?shù)降诙刂茊卧?br>
在根據本發(fā)明的方法的一種可能的實施方式中,完整性校驗確認單元在識別出由第一控制單元向第二控制單元傳輸控制數(shù)據時出現(xiàn)篡改的情況下生成警報信息,并且將這個生成的警報信息發(fā)送給第二控制單元。
在根據本發(fā)明的方法的一種可能的實施方式中,第二控制單元在接收到警報信息后通過完整性校驗確認單元轉為安全運行狀態(tài)。
本發(fā)明還實現(xiàn)一種數(shù)據傳輸系統(tǒng),用于將控制數(shù)據通過網絡從第一控制單元傳輸?shù)降诙刂茊卧?,其具?br>
a)至少一個完整性校驗信息生成單元,其在發(fā)送方為由第一控制單元發(fā)送的控制數(shù)據生成完整性校驗信息數(shù)據,并且借助加密的密鑰為生成的完整性校驗信息數(shù)據計算加密校驗和,并且具有
b)至少一個完整性校驗確認單元,其接收由完整性校驗信息生成單元在發(fā)送方生成的完整性校驗信息數(shù)據和所屬的計算出的加密校驗和,并且借助加密的密鑰確認該加密校驗和,其中,完整性校驗確認單元為通過第二控制單元接收到的控制數(shù)據在接收方生成完整性校驗信息數(shù)據,并且將這些在接收方生成的完整性校驗信息數(shù)據與連同被確認的加密校驗和一起被接收到的、在發(fā)送方生成的、獲得的完整性校驗信息數(shù)據進行比較,用于識別對傳輸?shù)目刂茢?shù)據的篡改。
在根據本發(fā)明的數(shù)據傳輸系統(tǒng)的一種可能的實施方式中,第一控制單元連接在具有第一網關的第一控制網絡上,其中,第二控制單元連接在具有第二網關的第二控制網絡上,其中,控制網絡的這兩個網關通過傳輸網絡相互連接。
在根據本發(fā)明的數(shù)據傳輸系統(tǒng)的一種可能的實施方式中,第一控制網絡和/或第二控制網絡和/或傳輸網絡是以太網,特別是Profinet。
在根據本發(fā)明的數(shù)據傳輸系統(tǒng)的一種可能的實施方式中,控制單元分別具有傳感器、執(zhí)行器和控制計算機。
在根據本發(fā)明的數(shù)據傳輸系統(tǒng)的一種可能的實施方式中,網絡是車輛網絡,特別是列車網絡。
在根據本發(fā)明的數(shù)據傳輸系統(tǒng)的另一種可能的實施方式中,網絡是能量控制網絡。
在根據本發(fā)明的數(shù)據傳輸系統(tǒng)的另一種可能的實施方式中,網絡是自動化控制網絡,特別是過程控制網絡或者生產控制網絡。
在根據本發(fā) 明的數(shù)據傳輸系統(tǒng)的一種可能的實施方式中,完整性校驗信息生成單元集成在第一控制網絡的第一網關中,并且完整性校驗確認單元集成在第二控制網絡的第二網關中。
此外,參照附圖描述用于防篡改地通過網絡在控制單元之間傳輸控制數(shù)據的、根據本發(fā)明的數(shù)據傳輸系統(tǒng)的根據本發(fā)明的方法的可能的實施方式。
其示出
圖1是用于示出在傳統(tǒng)的系統(tǒng)中為傳輸網絡在控制單元之間進行數(shù)據傳輸?shù)膱D表;
圖2是在根據本發(fā)明的數(shù)據傳輸系統(tǒng)中用于示出在控制單元之間防篡改地傳輸控制數(shù)據的、可能的實施方式的圖表;
圖3是在根據本發(fā)明的數(shù)據傳輸系統(tǒng)中用于示出在控制單元之間防調制地傳輸控制數(shù)據的、可能的實施方式的另一個圖表;
圖4是用于示出根據本發(fā)明的、在控制單元之間防篡改地傳輸控制數(shù)據的方法的一種可能的實施方式的流程圖。
圖5是用于示出根據本發(fā)明的、在控制單元之間防篡改地傳輸控制數(shù)據的方法的一種可能的實施方式的信號圖表。
具體實施方式
正如能夠從圖2中看出的那樣,在根據本發(fā)明的數(shù)據傳輸系統(tǒng)I的一種可能的實施方式中,控制數(shù)據SD在控制單元SE之間通過數(shù)據傳輸系統(tǒng)I的傳輸網絡2進行傳輸。在圖2中所示的實施例中,兩個分隔開的控制網絡3-1,3-2通過傳輸網絡2相互連接。在圖 2中所示的實施例中,兩個控制網絡3-1,3-2中的每一個都具有網關(GW) 4-1,4_2,用于將各自的控制網絡連接到傳輸網絡2上。在這兩個網關4-1,4-2的每一個上都通過總線5-1 連接著至少一個控制單元SE。這兩個控制網絡3-1,3-2例如構成生產設備中的不同制造單元的控制網絡。
在根據本發(fā)明的方法中,首先在步驟SI中,正如按照圖4所示的過程圖中所示的那樣,在發(fā)送方,也就是說在進行發(fā)送的控制單元SE —邊,通過完整性校驗信息生成單元 IPEE為由控制單元發(fā)送的控制數(shù)據生成完整性校驗信息數(shù)據IPID。完整性校驗信息生成單元IPEE例如能集成到第一控制網絡3-1的第一網關4-1中。
在進一步的步驟S2中,在發(fā)送方借助加密密鑰通過完整性校驗信息生成單元 IPEE為發(fā)送方生成的完整性校驗信息數(shù)據IPID計算出加密校驗和KPS。在一種可能的實施方式中,集成到第一控制網絡3-1的網關4-1中的完整性校驗信息生成單元IPEE從通過總線5-1所連接的、第一控制網絡3-1的控制單元SE獲得控制數(shù)據,并且為從控制單元SE 獲得的控制數(shù)據生成完整性校驗信息數(shù)據IPID。緊接著,集成到網關4-1中的完整性校驗信息生成單元IPEE借助加密密鑰為發(fā)送方生成的完整性校驗信息數(shù)據IPID計算出加密校驗和KPS。
緊接著,在步驟S3中,在發(fā)送方生成的完整性校驗信息數(shù)據IPID和所屬的由完整性校驗信息生成單元IPEE計算出的加密校驗和KPS連同控制數(shù)據SD或者時間上偏移地傳輸給完整性校驗確認單元IPVE,該完整性校驗確認單元例如集成在第二控制網絡3-2的網關4-2中。在一種變體中,完整性校驗信息數(shù)據IPID的傳輸是與控制數(shù)據SD的傳輸分開實現(xiàn)的。特別是能夠在不同的數(shù)據幀或者說不同的數(shù)據包中實現(xiàn)對完整性校驗信息數(shù)據IPID 和控制數(shù)據SD的傳輸。在一種變體中,通過不同的網絡或者說通過不同的虛擬局域網VLAN 實現(xiàn)對完整性校驗信息數(shù)據IPID和控制數(shù)據SD的傳輸。完整性校驗確認單元IPVE借助加密的密鑰確認獲得的加密 校驗和KPS。
此外,在進一步的步驟S4中,通過完整性校驗確認單元IPVE為未加密地接收到的控制數(shù)據SD在接收方生成完整性校驗信息數(shù)據IPID'。
在進一步的步驟S5中,將由完整性校驗確認單元IPVE在接收方生成的完整性校驗信息數(shù)據IPID'與發(fā)送方生成的完整性校驗信息數(shù)據IPID進行比較,用于識別出對傳輸?shù)目刂茢?shù)據的篡改,完整性校驗信息數(shù)據連同由完整性校驗確認單元IPVE所確認的加密校驗和KPS —起被接收。
正如圖2中所示的那樣,在一種可能的實施方式中,控制數(shù)據SD被傳輸?shù)骄哂邪芾頂?shù)據和有效數(shù)據的控制數(shù)據包中。在根據本發(fā)明的方法中,控制數(shù)據SD在未改變或者說未加密的情況下通過傳輸網絡2傳輸。然而,與控制數(shù)據分開地通過傳輸網絡2 —起傳輸控制數(shù)據SD的加密保護的校驗信息或者說加密校驗和KPS。在圖2中所示的實施例中, 第一控制網絡3-1的網關4-1向由第一控制網絡3-1傳輸?shù)降诙刂凭W絡3-2的控制數(shù)據 SD額外地發(fā)送由第二網關4-2檢查的加密的校驗信息或者說加密校驗和KPS。在根據本發(fā)明的方法中,在檢查點上獲得通過傳輸網絡2加密保護的控制數(shù)據,并且與控制數(shù)據分開地向遠離的檢查單元傳輸控制數(shù)據SD的校驗信息。在圖2中所示的實例中,這個遠離的檢查單元,也就是完整性校驗確認單元IPVE,位于一個單獨的子網絡中。同樣地,該完整性校驗確認單元IPVE也獲得通過傳輸網絡2接收到的控制數(shù)據SD,并且在使用接收到的校驗信息的情況下進行檢查。如果在接收方生成的完整性校驗信息數(shù)據IPID'與發(fā)送方生成的完整性校驗信息數(shù)據IPID不同,那么被傳輸?shù)目刂茢?shù)據SD就有可能已經被篡改了。在這種情況下,可以發(fā)起一次控制行動或者說錯誤處理。在一種可能的實施方式中,在識別出從第一控制單元SEl向第二控制單元SE2傳輸控制數(shù)據SD時出現(xiàn)的篡改行為的情況下,完整性校驗確認單元IPVE生成警報信息,并且將這個警報信息例如發(fā)送給第二控制單元SE2。第二控制單元能夠在接收到警報信息后通過完整性校驗確認單元IPVE轉為安全運行狀態(tài)??蛇x地,也可以使整個進行接收的控制網絡3-2進入安全運行狀態(tài)。此外有可能的是,僅向操作人員顯示警報信息。安全運行狀態(tài)例如能夠通過緊急關機或者說緊急停機觸發(fā)。此外有可能的是,以網絡為基礎的控制局限在安全運行狀態(tài)下,例如為此要關閉相應的網關。在這種情況下,僅仍然進行自主的控制。此外,還能夠要求向操作者發(fā)出警報提示,或者說由操作人員明確地做出警報確認。
在根據本發(fā)明的方法的一種可能的實施方式中,在步驟SI中的發(fā)送方生成的完整性校驗信息數(shù)據IPID是由至少一部分在控制數(shù)據包或者在一定數(shù)量的控制數(shù)據包中包含的控制數(shù)據和/或包管理數(shù)據的哈希值構成的。此外,為了計算該哈希值,可以使用加密的哈希函數(shù),例如MD5,SHA-1, SHA256。在一種可能的實施方式中,通過完整性校驗信息生成單元IPEE為每個控制數(shù)據包生成完整性校驗信息數(shù)據IPID。此外,完整性校驗信息數(shù)據 IPID可以具有控制數(shù)據包的包管理數(shù)據的哈希值、控制數(shù)據包的有效數(shù)據的哈希值以及用于提供發(fā)送方生成完整性校驗信息數(shù)據IPID的時間點的時間標記。
在根據本發(fā)明的方法的一種可能的實施方式中,在步驟SI中以有規(guī)律的時間間隔由完整性校驗信息生成單元IPEE生成完整性校驗信息數(shù)據IPID。在一種可能的實施方式中,由完整性校驗信息生成單元IPEE計算出的加密校驗和KPS連同發(fā)送方生成的完整性校驗信息`數(shù)據IPID通過傳輸網絡2傳輸??蛇x地,計算出的加密校驗和KPS可以通過單獨的通訊連接從第一控制網絡3-1的第一控制單元SEl傳輸?shù)降诙刂凭W絡3-2的第二控制單元SE1。每個在圖2中所示的控制單元SE都可以分別具備傳感器、執(zhí)行器和集成的控制計算機。
在圖2中所示的實施方式中,完整性校驗信息生成單元IPEE集成在第一控制網絡 3-1的第一網關4-1中,并且完整性校驗確認單元IPVE集成在第二控制網絡3-2的第二網關4-2中。在一種可選的實施方式中,完整性校驗信息生成單元IPEE和完整性校驗確認單元IPVE分別構成為單獨的附加設備。圖3示出一個這種實施例。此外,完整性校驗信息生成單元IPEE和完整性校驗確認單元IPVE分別構成一個能夠單獨地連接到相應的控制網絡上的設備。例如,這些附加設備IPEE和IPVE能夠設計為前置組。在另一種可能的實施方式中,完整性校驗信息生成單元IPEE能夠集成到進行發(fā)送的控制單元SE中,并且完整性校驗確認單元IPVE能夠集成到進行接收的控制單元SE中。在一種可能的實施方式中,附加設備不僅包括完整性校驗信息生成單元IPEE,還包括完整性校驗確認單元IPVE,并且因此能夠在進行傳輸?shù)碾p方使用。
在一種可能的實施方式中,校驗信息或者說計算出的加密校驗和KPS在它那一方以加密保護的形式傳輸,例如通過MACsec,IPsec或者SSL/TLS??梢酝ㄟ^加密校驗和,例如信息確認碼或者數(shù)字簽名,來保護校驗信息。
在一種可能的實施方式中,延遲地傳輸校驗信息或者說計算出的加密校驗和KPS。 例如每隔I秒或者每隔5秒或者每隔60秒傳輸校驗信息或者說加密校驗和KPS。在這種實施方式中,進行接收的控制單元直接處理接收到的控制數(shù)據SD。如果后來由控制單元接收到的校驗信息或者說加密校驗和KPS顯示出可能有篡改,那么進行接收的控制單元SE2能夠相應地做出反應。
在一種可能的實施方式中,通過有線的傳輸網絡傳輸控制數(shù)據SD。在一種可選的實施方式中,通過無線的傳輸網絡2傳輸控制數(shù)據SD。在一種可能的實施方式中,實現(xiàn)實時地傳輸控制數(shù)據SD。
圖5示出一個實例,用于闡述根據本發(fā)明的、在控制單元SE之間防篡改地傳輸數(shù)據的方法。在所示實例中,控制單元SEl傳輸三個控制數(shù)據包SD到例如位于第二控制網絡 3-2中第二控制單元SE2。完整性校驗信息生成單元IPEE為控制數(shù)據SD測定加密保護的校驗信息,并且將該校驗信息傳輸給完整性校驗確認單元IPVE。該完整性校驗確認單元IPVE 借助獲得的加密校驗和KPS檢查接收到的控制數(shù)據SD是否正確。如果不正確,那么就由完整性校驗確認單元IPVE生成警報信息。警報信息能夠傳輸給進行接收的控制單元SE,該控制單元就轉為安全運行狀態(tài)。
正如在圖5中 能夠看出的那樣,在所示實例中,在第二控制數(shù)據包SD中發(fā)生了一次篡改M。在所示實例中,只有在傳輸了三個控制數(shù)據包SDl,SD2,SD3之后才由完整性校驗信息生成單元IPEE計算加密校驗和KPS :KPS=F (PI1, PI2,PI3),其中,F(xiàn)是加密函數(shù)。該計算出的加密校驗和KPS被傳輸給完整性校驗信息生成單元IPVE。在圖5中所示的實例中, 在完整性校驗信息生成單元IPEE —方為每個被傳輸?shù)目刂茢?shù)據包SD形成并緩存一個校驗信息PI。在發(fā)送出預先給定數(shù)量HI3的控制數(shù)據包SD之后,就在發(fā)送方實現(xiàn)對加密校驗和 KPS的計算,并且將該校驗和KPS發(fā)送給完整性校驗確認單元IPVE。在所示實例中,完整性校驗確認單元一方在接收到控制數(shù)據包SD時同樣也分別測定并緩存一個校驗信息PI。借助接收到的加密校驗和KPS,接收方存儲的校驗信息PI在確認步驟V中得以確認。如果必須考慮到一個或者多個控制數(shù)據包SD中存在偏差或者說出現(xiàn)篡改,那么完整性校驗確認單元IPVE使接收到被篡改的控制數(shù)據SD2'的控制單元SE2緊急停機NH,正如圖5中所示的那樣。在圖5中所示的實例中,加密的校驗信息PI是由多個輸入內容組成的,其中,為每個控制數(shù)據包SD分別實現(xiàn)一次輸入。在一種可能的實施方式中,每個輸入內容都由時間標記、包管理數(shù)據的哈希值以及有效數(shù)據的哈希值組成。例如包管理數(shù)據包括發(fā)送地址、接收地址以及使用的協(xié)議。在另一種可能的實施方式中,可以添加包含在控制數(shù)據SD中的計數(shù)值。編碼提供的優(yōu)點在于,不必為未修改的值,也就是報頭(Header)和有效數(shù)據,計算新的哈希值。
由三個輸入內容組成的加密校驗信息的一種可能的改進方案,例如
20100517-163325129. 87. 3. 2129. 76. 2. 15TCP/657-8003AE6
20100517-163327129. 87. 3. 1129. 76. 2. 12UDP/3124A1EFE23
20100517-163412129. 87. 3. 4129. 77. 2. 14TCP/80-31239E6B8A26
加密的校驗信息PI由三個輸入內容組成以YYYYMMDD-HHMMSS格式化的時間標記、發(fā)送IP地址、接收IP地址以及協(xié)議(TCP/UDP)。此外,每個輸入內容具有發(fā)送端口號和接收端口號,這些端口號具有數(shù)據域的32比特位的哈希值。
在另一種類型的編碼中,可以提供存在于一定的時間段內的測量變量或者說控制指示的數(shù)值范圍。在循環(huán)的數(shù)據通訊中可以有利的是,其中,被傳輸?shù)臄?shù)據高度冗余。
根據本發(fā)明的方法可以被理解為加密的完整性覆蓋網絡,其中,通過完整性覆蓋防篡改地傳輸加密的校驗信息,以便確認控制數(shù)據SD的準確傳輸。
如果在根據本發(fā)明的方法中通過傳輸網絡2傳輸?shù)目刂茢?shù)據SD被篡改了,那么這就會被識別出,并且向操作者發(fā)出警報,或者說自動地觸發(fā)安全功能。在對控制數(shù)據可能進行的篡改中,對于相應的設備防止了威脅安全性的情況的發(fā)生。
根據本發(fā)明的方法能夠以簡單的方式應用在已存在的系統(tǒng)和設備中,并且能夠進行改進,因為不是加密保護原本的控制通訊,而是額外補充地實現(xiàn)對控制數(shù)據傳輸?shù)募用鼙Wo式監(jiān)控。在一種根據本發(fā)明的方法中,原本的控制通訊不發(fā)生變化。此外,根據本發(fā)明的方法能夠以節(jié)約資源的方式得以實施,因為不必為每個控制數(shù)據數(shù)據包SD都計算一個單獨的加密校驗和。
權利要求
1.一種用于在通過網絡將控制數(shù)據從第一控制單元(SEl)傳輸?shù)降诙刂茊卧?SE2)時識別篡改的方法,具有以下步驟 Ca)在發(fā)送方通過完整性校驗信息生成單元(IPEE)為由所述第一控制單元(SEl)發(fā)送的控制數(shù)據(SD)生成(SI)完整性校驗信息數(shù)據(IPID); (b)借助加密密鑰通過所述完整性校驗信息生成單元(IPEE)為發(fā)送方生成的所述完整性校驗信息數(shù)據(IPID)計算(S2)加密校驗和(KPS); (c)將發(fā)送方生成的所述完整性校驗信息數(shù)據(IPID)和所屬的由所述完整性校驗信息生成單元(IPEE)計算的加密的所述校驗和(KPS)傳輸(S3)給完整性校驗確認單元(IPVE),所述完整性校驗確認單元在接收方借助加密密鑰確認所述加密校驗和(KPS); Cd)在接收方通過所述完整性校驗確認單元(IPVE)為由所述第二控制單元(SE2)所接收的控制數(shù)據(SD)生成(S4)完整性校驗信息數(shù)據(IPID');并且 (e)將通過所述完整性校驗確認單元(IPVE)在接收方生成的所述完整性校驗信息數(shù)據(IPIDi )和連同通過所述完整性校驗確認單元(IPVE)所確認的所述加密校驗和(KPS) —起被接收的、在發(fā)送方生成的所述完整性校驗信息數(shù)據(IPID)進行比較(S5),用于識別對所述傳輸?shù)目刂茢?shù)據(SD)的篡改。
2.根據權利要求1所述的方法,其中,所述控制數(shù)據(SD)在具有包管理數(shù)據和有效數(shù)據的控制數(shù)據包中以不加密的方式傳輸。
3.根據權利要求1或2所述的方法,其中,生成的所述完整性校驗信息數(shù)據(IPID)由至少一部分在控制數(shù)據包中或者在一定數(shù)量的控制數(shù)據包中包含的控制數(shù)據和/或包管理數(shù)據的哈希值構成。
4.根據權利要求3所述的方法,其中,通過所述完整性校驗信息生成單元(IPEE)為每個控制數(shù)據包生成所述完整性校驗信息數(shù)據(IPID),其中,所述完整性校驗信息數(shù)據(IPID)具有 所述控制數(shù)據包的所述包管理數(shù)據的哈希值, 所述控制數(shù)據包的所述有效數(shù)據的哈希值和 用于提供發(fā)送方生成所述完整性校驗信息數(shù)據(IPID)的時間點的時間標記。
5.根據權利要求1-4所述的方法,其中,所述完整性校驗信息數(shù)據(IPID)以有規(guī)律的時間間隔由所述完整性校驗信息生成單元(IPEE)生成。
6.根據權利要求1-5所述的方法,其中,所述控制數(shù)據(SD)通過無線的或者有線的傳輸網絡(2)實時地傳輸。
7.根據權利要求1-6所述的方法,其中,由所述完整性校驗信息生成單元(IPEE)計算的所述加密校驗和(KPS)連同發(fā)送方生成的所述完整性信息數(shù)據(IPID)通過用于所述控制數(shù)據的所述傳輸網絡(2)或者通過單獨的通信連接從所述第一控制單元傳輸?shù)剿龅诙刂茊卧?br>
8.根據權利要求1-7所述的方法,其中,所述完整性校驗確認單元(IPVE)在識別出由所述第一控制單元(SEl)向所述第二控制單元(SE2)傳輸所述控制數(shù)據(SD)時出現(xiàn)篡改的情況下生成警報信息,并且將所述警報信息發(fā)送給所述第二控制單元(SE2 )。
9.根據權利要求8所述的方法,其中,所述第二控制單元(SE2)在接收到所述警報信號后通過所述完整性校驗確認單元(IPVE)轉為安全運行狀態(tài)。
10.一種用于通過網絡將控制數(shù)據(SD)從第一控制單元(SEl)傳輸?shù)降诙刂茊卧?SE2)的數(shù)據傳輸系統(tǒng),具有 (a)至少一個完整性校驗信息生成單元(IPEE),所述完整性校驗信息生成單元在發(fā)送方為由所述第一控制單元(SEl)發(fā)送的所述控制數(shù)據生成完整性校驗信息數(shù)據(IPID),并且借助加密密鑰為生成的所述完整性校驗信息數(shù)據(IPID)計算加密校驗和(KPS),并且具有 (b)至少一個完整性校驗確認單元(IPVE),所述完整性校驗確認單元接收由所述完整性校驗信息生成單元(IPEE)在發(fā)送方生成的所述完整性校驗信息數(shù)據(IPID)和所屬的計算出的所述加密校驗和(KPS),并且借助加密密鑰確認所述加密校驗和(KPS),其中,所述完整性校驗確認單元(IPVE)為通過所述第二控制單元(SE2)接收到的所述控制數(shù)據(SD)在接收方生成所述完整性校驗信息數(shù)據(IPID,),并且將這些在接收方生成的所述完整性校驗信息數(shù)據(IPIN )與連同被確認的所述加密校驗和(KPS) —起被接收到的、在發(fā)送方生成的、獲得的所述完整性校驗信息數(shù)據(IPID)進行比較,用于識別對傳輸?shù)乃隹刂茢?shù)據(SD)的篡改。
11.根據權利要求10所述的數(shù)據傳輸系統(tǒng),其中,第一控制單元(SEl)連接在具有第一網關(4-1)的第一控制網絡(3-1)上,其中,第二控制單元(SE2)連接在具有第二網關(4-2)的第二控制網絡(3-2)上,其中,所述控制網絡(3-1,3-2)的兩個所述網關(4-1,4-2)通過傳輸網絡(2)連接。
12.根據權利要求11所述的數(shù)據傳輸系統(tǒng),其中,所述第一控制網絡(3-1)和/或所述第二控制網絡(3-2)和/或所述傳輸網絡(2)是以太網,特別是Profinet。
13.根據權利要求11-12所述的數(shù)據傳輸系統(tǒng),其中,所述控制單元(SE)分別具有傳感器、執(zhí)行器和控制計算機。
14.根據權利要求10-13所述的數(shù)據傳輸系統(tǒng),其中,所述網絡是車輛網絡,特別是列車網絡,能量控制網絡或者自動化控制網絡,特別是過程控制網絡或者生產控制網絡。
15.根據權利要求11-14所述的數(shù)據傳輸系統(tǒng),其中,所述完整性校驗信息生成單元(IPEE)集成在所述第一控制網絡(3-1)的所述第一網關(4-1)中,并且所述完整性校驗確認單元(IPVE)集成在所述第二控制網絡(3-2)的所述第二網關(4-2)中。
全文摘要
本發(fā)明涉及一種用于在通過網絡將控制數(shù)據從第一控制單元(SE1)傳輸?shù)降诙刂茊卧?SE2)時識別篡改的方法和系統(tǒng),其具有以下步驟在發(fā)送方通過完整性校驗信息生成單元(IPEE)為由第一控制單元(SE1)發(fā)送的控制數(shù)據(SD)生成(S1)完整性校驗信息數(shù)據(IPID),借助加密密鑰通過完整性校驗信息生成單元(IPEE)為發(fā)送方生成的完整性校驗信息數(shù)據(IPID)計算(S2)加密的校驗和(KPS),將發(fā)送方生成的完整性校驗信息數(shù)據(IPID)和所屬的由完整性校驗信息生成單元(IPEE)計算的加密的校驗和(KPS)傳輸(S3)給完整性校驗確認單元(IPVE),該單元在接收方借助加密的密鑰確認加密的校驗和(KPS),在接收方通過完整性校驗確認單元(IPVE)為通過第二控制單元(SE2)所接收的控制數(shù)據(SD)生成(S4)完整性校驗信息數(shù)據(IPID′),并且將完整性校驗確認單元(IPVE)在接收方生成的完整性校驗信息數(shù)據(IPID′)和連同由完整性校驗確認單元(IPVE)確認的加密的校驗和(KPS)一起被接收的、在發(fā)送方生成的完整性校驗信息數(shù)據(IPID)進行比較(S5),用于識別對傳輸?shù)目刂茢?shù)據(SD)的篡改。根據本發(fā)明的方法能夠以簡單的方式得以實施,特別用于在現(xiàn)存的系統(tǒng)中進行改進,該方法在傳輸數(shù)據時針對篡改還提供了很高的安全性,例如在自動化網絡、能量控制網絡和車輛網絡中。
文檔編號G05B19/418GK103053131SQ201180038045
公開日2013年4月17日 申請日期2011年7月22日 優(yōu)先權日2010年8月3日
發(fā)明者賴納·法爾克 申請人:西門子公司