用于传送数据的装置和方法与流程

本发明涉及一种用于在至少一个生成数据的单元与远程通信单元之间传送数据的装置，其中，所述装置具有至少一个用于具有网络功能的通信协议的接口用以与远程通信单元经由非私有的并且优选可公开访问的网络安全通信以及至少一个用于硬件相关的通信协议的接口用以与生成数据的单元通信。此外，本发明涉及一种用于在这样的装置与远程通信单元之间传送数据的方法。

背景技术：

在通信技术中的技术发展越来越多地能实现在不久之前还不可能的服务，因为期间越来越多的技术对象能够经由因特网传送数据并且例如由远程经由因特网获得控制命令。为此的例子是由智能电话远程控制加热设施，或在工业领域中对产品的监控和远程维护。

这些新策略的重要领域称为“智能服务”，其中可将其理解为如下服务，该服务由制造商或服务提供方经由因特网在客户的设备和机构上进行。然而一个问题在于，经常还必须完成用于这样的服务的前提条件，因为需要的面向服务的架构(SOA)还不存在。

用于实现面向服务的架构的前提条件在于，所有接入的设备必须能以任意方式进行具有网络功能的通信。结合本申请将如下协议视为“具有网络功能的”，该协议允许经由公开的、亦即第三方可访问的网络特别是因特网建立优选符合AAA并且能加密的通信连接并且进行经此的数据传输。具有网络功能的协议的协议堆在此形成OSI参考模型的所有7层。

通信连接在此一般通过网络服务方建立。网络服务方的标记特别是连接建立的类型。在此，通信由远程通信单元建立，该远程通信单元将从终端设备调用数据。为此需要的是，在安全架构中在终端设备位置上用于到达通信的端口处于打开，通过该端口可以由远程通信单元建立与终端设备的通道。打开的端口和由远程导入数据调用的可能性是潜在的安全风险并且因此为黑客攻击所利用。

为了更安全地设计这样的连接而应用证书，该证书存储在终端设备上，并且通过证书可以确保调用的设备的身份并且建立加密连接。然而为了建立安全通信，首先必须建立在远程通信单元与终端设备之间的连接，这又提供攻击可能。

高度复杂的例如用于生产或用于实施测试的工业设施一般包括大量制造方的设备，其中多个专家负责各个构件的维护。对于这样的构件的制造方最大兴趣在于，由客户获得关于其产品使用的信息，一方面以便获得用于进一步研发的数据，另一方面以便可以提供匹配的维护和服务策略，这对于客户也是有利的。

在工业环境中主要存在三个大的问题组，它们推迟了实现：

首先，相比于消费产品例如智能电话，工业系统的多个构件非常特定地对于其相应应用确定并且经常仅具有简单有线连接的模拟信号输出经由现场总线例如CAN或Profibus直至简单的网络系统例如以太网非常受限的通信可能。关于OSI层模型，这样的硬件相关的通信协议大多可设置在层1、2和3中。这样的连接解决方案仅适用于局部网络并且在安全系统上缺乏。与因特网的连接在这样的系统中仅通过网关就可行，但是系统由此将经受攻击的极度危险，特别是当对于第三方亦即例如服务提供方应同意访问系统的数据时。因此这样的系统仅分离应用并且该分离的架构排除连接到面向服务的架构。

第二，大多涉及发展的系统，在这些系统中，共同应用多代的结构元件。基于工业构件的长的寿命，这些工业构件经常可以数十年地应用。将设施的所有构件同时更换为“具有因特网功能的”设备然而出于成本原因大多不被考虑并且将引来另外的安全问题。

第三，系统数据经常是高度灵敏的数据，这些数据应在竞争对手面前保持秘密，并且经常也不应在系统制造方或在服务提供方给出。对于公司非常重要的是，该公司可以随时通过其数据的使用而确定。因此出于数据安全的类似原因，出于工业目的大多不考虑如下通信系统，该通信系统对于消费方实现。

技术实现要素：

本发明的目的在于，克服现有技术的缺点。特别是也应可以将设备接入到面向服务的架构中，所述设备仅可以通过硬件相关的通信协议通信。然而对所述设备的访问必须可以排除未经授权方。按照本发明，在此现在还应用的旧设备也应可以接入到面向服务的架构中。作为另外的安全要求，按照本发明应简单且可实现地可行的是，准确确定对于所有参与方的数据访问资格。

结合具体描述一般将如下通信协议称为“硬件相关的通信协议”，该通信协议的层结构或协议堆不包括OSI模型的所有7层，特别是不具有表示层(层6)的协议，并且因此不仅不允许跨越系统的通信也不允许数据加密。硬件相关的通信协议的特征是：该硬件相关的通信协议不能实现安全协议的实施，所述安全协议的实施将允许经由分布式的(云)网络的可靠的安全的通信。

用于硬件相关协议的存在的通信接口因此限于OSI模型的7层的仅最低，所述硬件相关协议例如可以利用现场总线技术或点对点以太网连接。特别简单的硬件相关的通信协议仅利用位传输层(层1)或位传输层和安全层(层2)的组合。

属于用于位传输层的协议的例子是V.24、V.28、X.21、RS 232、RS 422、RS 423或RS 499。属于利用层1和2的组合或仅层2的例子是以太网协议、HDLC、SDLC、DDCMP、IEEE 802.2(LLC)、ARP、RARP、STP、IEEE 802.11(WLAN)、IEEE 802.4(令牌总线)、IEEE 802.5(令牌环)或FDDI。

附加地也可以在硬件相关的通信协议中应用较高层的协议。属于层3至5的协议的例子是X.25、ISO 8208、ISO 8473(CLNP)、ISO 9542(ESIS)、IP、IPsec、ICMP、ISO 8073/X.224、ISO 8602、TCP、UDP、SCTP、ISO 8326/X.215(会议服务)、ISO 8327/X.225(面向连接的会议协议)或ISO 9548(无连接会议协议)。

属于硬件相关的通信协议的例子此外是经由RS232的AK协议、经由CAN的CANopen以及经由RS485的Profibus-DP，所述硬件相关的通信协议特别是用于在测试环境范围中例如在汽车领域中的工业应用。特别是“汽车工业联盟e.V./用于废气测量的标准化的工作循环技术”的AK协议始终还是在汽车领域中多个测试设施中的实际上的标准。该协议作为简单协议实现用于硬件相关的数据传输并且不提供实现三A系统(证实、授权、核算-AAA)的可能性。

按照本发明，以上限定的目标通过开头所述类型的装置实现，该装置具有安全控制器，该安全控制器能够用于控制经由具有网络功能的接口和经由硬件相关的接口的通信，其中，给安全控制器配置安全存储器，该安全存储器具有限定的存储区域，其中，给至少一个存储区域配置至少一个证书。这样的装置可以经由硬件相关的接口与生成数据的单元、亦即特别是与应接入到面向服务的架构的各个设施构件经由其硬件相关的通信协议通信并且生成相应数据，该相应数据保存在确定的存储区域中。为了调用数据，可以由远程通信单元经由具有网络功能的接口实施远程请求，其中，可以通过证书检测用于请求的资格。对于每个存储区域可以单个地确定相应的访问授权的证书(或具有该证书的“证书优先方”)。安全控制器确保：在安全控制器中的通信连接(所谓的“通道”)结束，并且对于远程通信单元而言不可能建立与终端设备(亦即生成数据的单元)的直接连接。因此，相应证书也保存在安全控制器的安全存储器中、而没有保存在生成数据的单元的存储器中。

证书一般表示如下对象，通过该对象可以确保人员或主管机关的信任和可配置性/不可否认性。这特别是涉及所谓AAA一致性的证实和授权步骤。证书特别是可以用于运输和访问保护。在此，证书的公开部分(“公开密钥”或者说“Public Key”)用于保护，从而仅证书的相应私人部分(“私人密钥”或者说“Private Key”)的拥有方具有访问或了解数据的可能。对于证书现在最流行的标准是X.509，也作为“公钥基础设施仓库(PKI-Store)”已知，对于本领域内技术人员而言然而也已知另外可用的方法。

有利地，至少一个存储区域可以包含在安全控制器上能运行的程序代码。由此，安全相关的程序部分(其例如限定安全控制器的工作方式)本身可以在安全存储器中被保护免于操作并且其同样可提供关于证书的访问控制。

有利地，所述包含程序代码的存储区域可以配置给安全控制器的硬件提供方的证书。基本程序部分因此仅可以由安全芯片的硬件提供方改变，从而排除员工对安全特征的错误解除或攻击方的有意入侵。

本发明的一个有利的实施形式设定，至少一个存储区域配置给确定的生成数据的单元，其中，存储区域包含单元的明确的识别(独特ID)、运行数据、控制数据、设置数据和/或历史数据。由此，例如对于服务提供方可能的是，借助于远程访问来访问相关数据并且也根据权限改变这些数据(例如以便在服务之后复位这些相关数据)。通过将多个存储区域配置给一个唯一的单元，通过不同证书的配置也可以实现负载的权限结构。因为在安全控制器中的通信连接结束，所以排除与生成数据的单元的通信以及通过远程通信单元对生成数据的单元的操作。

本发明的另一有利的实施形式可以规定，至少一个存储区域包含证书和/或配置。因此也可以保护本身具有相同系统的证书免于外部访问。此外可以确定：谁有权利改变配置并因此访问权限。在此可以特别有利的是，包含证书和/或配置的存储区域配置给装置的拥有方的证书。这经常是有意义的，因为拥有方本身由此可以限定：该使用方给予第三方并且特别是服务提供方哪些权利。如果限定在安全控制器的程序代码中的访问权限，那么可以实现特别高的安全等级。

有利地，安全控制器可以具有用于监控生成数据的单元的机构，所述单元连接到硬件相关的接口。由此可以知道：假如设备例如已未授权地更换和设备的数据是否是可信的，例如运行小时计数器是否严格单调上升。

在一个优选实施形式中，安全控制器可以集成在硬件芯片中。这阻止由安全控制器执行的程序的操作。

为了保护安全控制器附加地免遭攻击，硬件芯片可以有利地包括安全存储器和集成的CPU。

在一个有利的实施形式中，硬件芯片可以包含加密模块。加密模块控制通信的加密。通过加密模块集成到硬件芯片中，可以阻止针对加密方法的干扰的攻击。

通过安全存储器、集成的CUP和加密模块在安全控制器中的组合(安全控制器集成在硬件芯片中)，安全控制器能够不仅管理安全存储器、而且也安全地执行运算操作本身。这具有如下优点，即安全控制器“自给自足地”运行，并且独立于可攻击的CUP。在此，安全控制器可以包括硬件编码的程序部分，该程序部分通过基于数据的攻击是不可操作的。

结合具体描述将如下存储器称为安全存储器，该存储器被保护免遭未授权的访问。特别是这可以是如下存储器，仅安全控制器访问该存储器，并且该存储器因此是不可被第三方方面操作的。

借助于该装置可以有利地实施用于在装置与远程通信单元之间传送数据的方法，该方法的特征在于以下步骤：经由具有网络功能的接口与证书优先方的通信单元建立通信连接，给所述证书优先方配置证书；确定证书优先方的证书；确定要传送数据的存储区域；检测证书优先方的证书与存储区域的配置；以及在肯定的检测的情况下，将在存储区域中存储的数据传送给远程通信单元和/或从远程通信单元接收数据并且将接收的数据存储在存储区域中。借助于该方法可以在实践中并且简单地实现复杂的安全架构。

有利地，该方法还可以具有以下步骤：经由硬件相关的接口接收或调用单元的(运行)数据；以及在安全存储器的配置给单元的存储区域中存储运行数据。由此可以基于时间计划通过确定的限定的事件或基于用户请求而由装置调用单元的(运行)数据。在以下远程请求中不再需要访问该单元本身，因为数据已经保存在安全存储器中。按照本发明因此不需要的是，通过证书证实的被授权方为了调用数据而直接访问单元本身。由此安全地阻止在设有所述单元的设施上的操作。

在一个特别优选的实施形式中，装置与远程通信单元的通信可以加密地实现。因为相应的通信对象通过证书证实，所以加密可以以简单的方式通过配置给证书的密码对实现。

有利地可以在具有网络功能的接口上实现纯通过推动机制运行的协议。这样的例如按照MQTT规范的协议在具有网络功能的接口方面允许实现防火墙方针，其阻止入流量。因此可以排除系统通过网络服务的操作和端对端连接直至生成数据的单元的构成。在纯通过推动机制运行的协议中例如按照MQTT协议，已知地不建立直接端对端连接，而是使通信总是通过中间连接的中间方联系，该中间方由“出版方”获得数据，并且通信提供用于一个或多个“订户”，其中，可以设定出版方和/或订方的证书支持的识别。每个端点“打开”由自身到中间方的通信，并且该通信不“由外部”导入。

因为两个通信对象可以不仅用作订户而且用作出版方，所以也可能的是，沿两个方向交换数据，而无需为此设立潜在的可攻击的网络服务。

从安全控制器出发，为此以限定的间隔建立与中间方的连接，并且提供用于通过授权的第三方调用的数据(亦即装置作为出版方工作)或数据由第三方调用(亦即装置作为订户工作)。

附图说明

在下文中参照附图详细描述本发明。附图示出：

图1示出网络构件的示意图，按照本发明的装置与这些网络构件通信；

图2示出按照本发明的装置的主要元件的示意图；

图3示出按照本发明的装置的另一示意图，以便阐明示例性的通信协议；以及

图4示意地示出具有面向服务的架构的网络，在该网络中，在多个位置应用按照本发明的装置。

具体实施方式

图1示出示例性的网络布置结构，其基本上可以分为五个区域，亦即：工业地点4的区域；后续称为“证书优先方”的通信参与方(亦即硬件提供方3a)、服务提供方3b以及拥有方3c的三个区域3a、3b、3c，它们分别具有一个远程通信单元5a、5b、5c；以及非私有网络7的区域，该网络具有云基础结构、特别是因特网。

工业地点4例如可以是(例如用于汽车领域)的生产车间或测试设备，其中，地点配置给确定的拥有方3c。工业地点4的拥有方应归于特别的含义，因为该拥有方必须确定访问权限，如随后还将阐明的那样。在工业地点4上存在多个生成数据的单元2a至2f，其中，将基本上所有如下装置视为“生成数据的单元”，这些装置的状态可以以任意方式被监控。尤其是可以特别是如下单元，这些单元源自确定的提供方，该提供方具有监控由其购买的产品的兴趣，以便可以快速、预先计划并且简单地提供可能的服务。在图1中给服务提供方配置自身区域3b。

在工业地点4上设有按照本发明的装置1，该装置1具有多个硬件相关的接口8a-8i，这些硬件相关的接口通过不同方式与生成数据的单元2a-2f连接。生成数据的单元2a-2f可以设置在多个组中，其中，在示出的布置结构中所述单元2c-2f形成一个组，该组连接到一个共同的现场总线，各单元经由该现场总线通信，其中，任何一个在专业领域中已知的通信协议可以用于现场总线，例如CANopen或Profibus-DP。装置1经由接口8i同样与现场总线连接，以便可以与该组的单元2c-2f通信。单元2a和2b形成另一组，这两个单元分别通过端对端协议连接于装置1的接口8b、8d。

应说明的是，各单元一般不具有用于通过具有网络功能的协议经由因特网传送数据的机构。然而也可以是：虽然用于具有网络功能的通信的单元的原则上的能力也不允许该单元连接到公开网络，因为在该网络中存在其他单元，但是这些单元由此可能经受不允许的访问。

给装置1的硬件提供方或给装置1的安全相关的元件(特别是在装置中包含的安全控制器9)的硬件提供方配置另一区域3a。在具体描述的意义上可以将术语“硬件提供方”特别是视为原本的芯片制造方或第三提供方例如认证处。术语“硬件提供方”特别是表示如下位置，该位置负责安全控制器的工作原理和进一步改进。装置的特别的安全特征可以设定为，基于安全控制器的程序代码的更新可以仅通过称为硬件提供方的位置以及可能情况下在另外特定的安全准备下进行。

图1的装置1具有多个具有网络功能的接口6a-6d，经由这些接口可以建立与其他单元经由公开或私有的网络(如内网、GSM网络和/或因特网)的跨越系统的通信。具有网络功能的连接的建立、经由该连接的通信以及应用于此的协议在专业领域中充分已知并且因此在此无须进一步阐明。在图1示出的实施例中，装置1经由内网连接与工业地点4的拥有方3c的远程通信单元5c通信并且经由因特网与服务提供方3a或硬件提供方3a的远程通信单元5a和5b通信。

参照图2现在阐明按照本发明的装置1的工作原理，其中，特别是讨论安全控制器9的功能。装置1的安全控制器9可以实施为单个芯片或实施为多个芯片的组合，其中，安全控制器与微控制器11(ARM-CPU)协作。也可能的是，安全控制器10和微控制器11集成在一个唯一芯片中。这虽然能实现高的安全标准，然而也涉及高的研发成本。

安全控制器调节经由硬件相关的接口8a-8i与生成数据的单元2a-2f的通信、经由具有网络功能的接口6a-6d的通信以及对安全存储器10的访问。

安全存储器10在硬件技术上如此受限，使得访问仅可以通过安全控制器9实现。为了可以应用本装置，该安全存储器必须首先由输出单元“委任”，其中，该委任在示出情况下由硬件提供方实施。在委任中对将存储器10分为各个存储区域A、B、C、D等进行限定，其中，在第一存储区域A中保存用于控制安全控制器9的程序代码。在存储区域B中对于应被考虑用于访问的所有主管机构保存证书a、b、c、d，其中涉及证书的公共部分。除了存储区域A、B、C、D的限定之外，程序代码也确定：哪些证书拥有方应具有软存储区域访问并且是否访问权限也允许数据的变化。

在示出的例子中，保存有程序代码的存储区域A通过硬件提供方或委任机构的证书a保护。这表示：程序代码(并因此存储区域的分配和访问权限结构)仅可以由硬件提供方3a改变。程序代码的改变因此既不可以由装置的拥有方3c也不可以由服务提供方3b进行，而是仅可以由硬件提供方3a进行，例如如果应进行更新的话。如果程序代码需要更新，那么另一安全功能附加地可以需要拥有方3a和/或服务提供方3b的同意。

在所述实施形式中，每个按照本发明的装置在委任时特别按照相应的应用条件调节，从而事后的变化是不可能的或者仅受限地可能的。然而根据安全条件可以对于各个元件允许事后的变化，其中，这样的可能性必须限定在程序代码中。因此例如一旦调用各个证书并且必须更新这些证书，那么可以允许证书的更换。

另外的存储区域C、D、…分别配置给一个生成数据的单元2a-2f或一组这样的单元，其中，在相应存储区域中保存的数据同样通过程序代码控制。数据的更新可以通过确定的事件触发(例如如果服务提供方3b在维护之后复位服务计数器的话)，或者所述数据的更新可以连续地或者以确定时间间隔产生(例如用于运行时间的记录)。在用于单元2a-2f的相应存储区域C、D中此外可以包含单元的独特标志(独特ID)和关于要应用的通信协议的信息。

此外，经由具有网络功能的接口6a-6d的通信由安全控制器9控制，其中，在通信连接的每次建立时检测相应证书并且通信连接优选也通过证书加密，从而仅私人密钥的拥有方可以访问内容。因此准确地限定：证书的拥有方允许访问哪个存储区域。必要时，在确定存储区域中的数据可以附加地利用证书加密地保存。然而由此仅可以例如以唯一证书访问内容。在其他情况下优选的是，数据以其他方式(例如利用对称密码)加密或者解密地在存储器中保存，并且仅在安全控制器的数据传输中以相应证书加密。

在图2中示出的实施形式中，拥有方3c可以利用证书3c访问存储区域B、C和D；服务提供方3b可以利用其证书访问存储区域C；以及硬件提供方3a可以利用其证书a仅访问存储区域A。

安全控制器9确保实现经由硬件相关的接口8的通信与经由具有网络功能的接口6的通信的严格分离，从而经由具有网络功能的接口(6a-6d)不可能直接访问生成数据的单元2a-2f。即使攻击者成功避开安全准备并且攻入安全控制器，对于攻击者因此也还不可能的是，也达到访问生成数据的单元，因为访问生成数据的单元在完全不同的协议层上通信，有别于这在具有网络功能的接口的通信协议中的情况。

本发明的装置和方法的安全方面可以任意地匹配于相应用户要求，其中，不仅可以实现附加的安全措施而且可以省去确定的安全特征。

图3示出按照本发明的装置示例性实施形式的另一示意图，其中，各个元件关于功能构件和应用的协议被示例性地示意地划分。图3的装置具有用于单元的直接连接的五个硬件相关的接口，它们是接口8a(LAN)、8b(RS232或RS485)、8c(CAN)、8d(USB)和8e(其他)。另外的硬件相关的接口是接口8f(LAN),8g(Ethercat),8h(USB)和8i(CAN、CANOpen)。

图4示意地示出具有服务提供方3b的面向服务的架构的网络，其中，按照本发明的装置1应用在服务提供方的多个客户(拥有方3c和3c’)中，以便能实现由相应拥有方可限定地访问客户的单元2a-2c的数据，所述单元生成由服务提供方3b服务的数据。

附图标记列表

装置 (1)

生成数据的单元 (2a-2f)

证书优先方 (3)

硬件提供方 (3a)

服务提供方 (3b)

拥有方 (3c)

工业地点 4

远程通信单元 (5a-5c)

具有网络功能的接口 (6a-6d)

非私有网络 (7)

硬件相关的接口 (8a-8i)

安全控制器 (9)

安全存储器 (10)

微控制器 11

存储区域 (A、B、C、D)

证书 a、b、c