网络兼容装置的制作方法

[0001]
本发明涉及一种具有用于销毁用户数据的安全功能的网络兼容装置。


背景技术：

[0002]
网络兼容装置，尤其网络基础设施器件通常按照装置配置内容操作，该内容具有值得保护的数据。出于运营和/或法律原因，可能需要将此类数据保密，并且/或者保护其免受第三方未经授权的访问。具体而言，当网络兼容装置关闭、停用或转至新用途时，可能无法保证其先前装置配置内容不再被读出，因此无法保证其中的数据得到保护。


技术实现要素：

[0003]
本发明的目的在于提供一种更加有效的网络兼容装置，该装置尤其具有用于销毁用户数据的安全功能。
[0004]
该目的由独立权利要求的技术特征实现。有利实施方式见从属权利要求、说明书及附图的技术方案。
[0005]
本发明基于如下认识：上述目的可由一种具有安全功能的网络兼容装置实现。该安全功能可手动执行，并且/或者可由某种事件自动触发。一旦该安全功能被触发后，用户数据将以无法再被恢复的方式删除。这种安全删除方式可防止数据被再次从存储单元中读出。这一安全的用户数据删除方式尤其在所述安全功能自动调用时立刻执行。在调用所述安全功能后，本网络兼容装置将在当前应用环境下变得无法使用，但是仍可在新的配置下再次使用。
[0006]
根据第一方面，本发明涉及一种具有销毁用户数据的安全功能的网络兼容装置。该网络兼容装置包括用于接收控制信号和配置信号的信号输入端，以及用于存储第一用户数据的存储器。
[0007]
此外，所述网络兼容装置包括控制器，该控制器用于在接收到所述控制信号时，执行销毁所述存储器内所述第一用户数据的安全功能，当所述第一用户数据被销毁后，所述网络兼容装置变得无法操作。所述配置信号含第二用户数据，所述控制器还用于在接收到该配置信号后，将所述第二用户数据存储于所述存储器内，以使得所述网络兼容装置能够根据所述第二用户数据操作。
[0008]
所述网络兼容装置可尤其为基础设施组件，该基础设施组件整合于网络内，并可自该网络接收数据，尤其用户数据。该用户数据可包括配置内容，密码，证书，日志文件，个人数据和/或注意事项，以及其他用户或应用程序生成的数据。这些数据可能受运行方面的数据保护和/或法律方面的数据保护，因此可能需要利用所述网络兼容装置对待规制、记录和/或限制的用户数据进行访问。
[0009]
取决于所使用的存储器类型，数据的销毁可定义为对数据的不可恢复性删除。例如，当使用基于磁性和/或半导体的存储器时，可以通过尤其以随机数据重写含待销毁数据的存储段的方式，防止原始数据被读出。然而，在数据销毁以后，存储器仍然保持其功能，因
此可以通过将新的用户数据写入存储器的方式，使得所述网络兼容装置按照第二用户数据形式的新配置内容发挥其功能。所述第一用户数据可通过加密方法，尤其以密钥，加密存储于所述存储器内，从而使得可通过删除所述密钥的方式破环该第一用户数据。由于所述第一用户数据仅允许以所述密钥访问，因此在删除该密钥之后，该第一用户数据便再也无法解密，因而再也无法恢复。
[0010]
所述密钥可存储于所述网络兼容装置的安全模块，如可信平台模块(tpm)中。该安全模块可用于防止所述密钥被人以未经授权的方式读取。此外，该密钥无法根据所述网络兼容装置内存储的数据重构。在一种实施方式中，所述控制器用于通过密钥加密和/或解密所述第一用户数据。此外，该控制器可用于经网络接口接收所述密钥。
[0011]
在一种实施方式中，在执行上述安全删除操作之后，不但可将相应存储段、存储扇区或存储单元释放，以供重新使用，而且还可将已有数据主动移除和/或覆盖，以降低安全风险。
[0012]
在接收所述控制信号后，可以自动和/或立即执行上述删除功能，以便尽快销毁所述用户数据。其中，可尤其将该数据擦除，而且该擦除操作伴随的延迟尤其不超过通常信号运行时间和/或该擦除操作通常所需的时间。
[0013]
在一种实施方式中，所述信号输入端用于接收维护信号，所述控制器用于在所述网络兼容装置操作期间，当所述信号输入端不存在所述维护信号时，执行所述安全功能。如此，所实现的优点在于，所述网络兼容装置可在存在有效信号源时继续操作。举例而言，这一做法可以确保，当所述网络兼容装置的当前应用位置发生变动且在新的应用位置上未打开所述维护信号时，无法进一步存储用户数据。如此，当遭受未经授权的访问，或者当所述网络兼容装置被带离当前应用时，可触发所述安全功能。此外，在所述网络兼容装置变更至新的应用时，可以防止所述第一用户数据在无意间变得可供获取。其中，尤其针对每一应用，可加密特定的维护信号。
[0014]
在一种实施方式中，所述控制器设计为可配置的，以便由所述信号输入端配置所接收的维护信号的信号波形。如此，所实现的优点在于，所述网络兼容装置可按照个性化的维护信号进行操作，以防止该网络兼容装置在未停用所述个性化维护信号的情况下进一步使用。举例而言，某一用户的一组网络兼容装置可使用同一维护信号，但另一用户的另一组网络兼容装置可使用另一维护信号。如此，可以防止不同用户交换网络兼容装置时，相应用户数据仍保留于其中。
[0015]
在一种实施方式中，所述网络兼容装置包括用户接口，该用户接口连接于所述信号输入端上游，且用于记录用户输入，并经所述信号输入端使得其可供所述控制器所用，所述控制器可通过所述用户接口配置，该用户接口用于生成所述控制信号和/或所述配置信号。如此，所实现的优点在于，所述网络兼容装置是可配置的。所述用户接口尤其可检测所述网络兼容装置安装位置的触觉和/或听觉输入，从而使得所述网络兼容装置能够由用户通过按键和/或语音输入进行配置。
[0016]
此外，所述用户接口可以为电子接口，该电子接口可由电子访问终端，尤其远程设置的电子访问终端控制，以利用相应的控制命令配置所述网络兼容装置。
[0017]
在一种实施方式中，所述信号输入端为用于接收编码维护信号的数字输入端，所述控制器用于在所述网络兼容装置操作期间，当所述数字输入端存在所述编码维护信号
时，防止所述第一用户数据被销毁。
[0018]
通过所述信号的编码，可实现的优点尤其在于，可以防止所述维护信号被复制。如此，可将所述网络兼容装置的操作与所述编码维护信号相联系，从而当该网络兼容装置遭受未经授权的访问时，所述第一用户数据无法被读出，并且/或者该网络兼容装置无法根据所述第一用户数据操作。
[0019]
所述编码维护信号可进一步包括维护消息，所述控制器用于评价该维护消息，并根据该维护消息的内容触发所述安全功能。该维护消息也可通过加密而防止未经授权的访问。
[0020]
在一种实施方式中，所述网络兼容装置包括第一开关信号输入端和第二开关信号输入端，第一开关信号可施加至所述第一开关信号输入端，第二开关信号可施加至所述第二开关信号输入端。此外，所述控制器用于在当所述第一开关信号输入端存在所述第一开关信号且所述第二开关信号输入端不存在所述第二开关信号时，执行所述安全功能。
[0021]
如此，可实现的优点尤其在于，所述网络兼容装置经所述第一开关信号输入端与门触点和/或壳触点连接，而且经所述第二开关信号输入端与锁触点和/或解锁触点连接。当所述壳或门打开时，例如，所述第一开关信号可存在于所述第一开关信号输入端，从而使得该第一开关信号能够表示正在访问或接近所述网络兼容装置。所述壳的开口或门可尤其构成所述网络兼容装置的唯一物理入口。当所述壳体或门打开时，所述第二开关信号也必须同时存在，以防止所述安全功能被执行。
[0022]
所述第二开关信号可例如由锁或解锁单元生成，而所述第二开关信号能够对例如通过打开所述门或壳体而触及所述网络兼容装置进行授权。由于所述控制器可用于检验所述第二开关信号是否在所述第一开关信号存在时存在，因此为了防止所述第一用户数据被删除，所述第二开关信号必须与所述第一开关信号同时存在，而且/或者在其之前存在于所述网络兼容装置内。如果在所述检验期间未检测到第二开关信号，则可触发所述安全功能。
[0023]
所述锁触点和/或解锁触点上的所述第二开关信号可例如为表示在授权情况下以钥匙开锁的信号。所述钥匙既可以为电子钥匙，也可以为机械钥匙。
[0024]
在一种实施方式中，第一开关与所述第一开关信号输入端相连，第二开关与所述第二开关信号输入端相连，所述第一开关信号可经所述第一开关提供于所述第一开关信号输入端，所述第二开关信号可经所述第二开关提供于所述第二开关信号输入端。
[0025]
如此，可实现的优点在于，在相应开关闭合后，相应开关信号可存在于相应的开关信号输入端。各开关可分别设计为开路器或闭路器。相应地，所述控制器可用于在当所述第一开关信号不存在时，检测到第一开关为开路，并相应检验所述第二开关信号是否也不存在。如果所述第二开关信号仍然存在，则说明所述第二开关尚未断开，因此可以触发所述安全功能。
[0026]
所述控制器可用于持续监测各开关信号输入端，并在当所述第一开关信号输入端发生信号变化时，检验所述第二开关信号输入端的信号存在状况是否符合预设开关准则，当与该预设开关准则不符时，触发所述安全功能。由此可见，所述第二开关信号用于确认所述第一开关信号是否有效。如果所述第一开关信号存在相对于所述第二开关信号的无效改变，则可触发所述安全功能。
[0027]
在一种实施方式中，所述网络兼容装置包括网络接口，所述控制器用于监测是否
存在经所述网络接口对所述网络兼容装置的访问，并在检测到访问且所述第二开关信号输入端不存在所述第二开关信号时，执行所述安全功能。
[0028]
所述网络接口可以为有线接口，该有线接口尤其用于将所述网络兼容装置整合在网络中。该网络可尤其符合以下标准之一：tcp/ip；http；https；udp；以太网/ip；profinet；ethercat；modbus-tcp；powerlink；profibus dp；modbus-rtp；cc-link；canopen；devicenet；可包括现场总线系统在内的其他基于计算机的连接。此外，所述网络接口也可以为无线接口，尤其wlan，nfc或蓝牙接口以及任何类型的移动无线电。
[0029]
所述控制器还可用于通过监测所述第二开关信号输入端而检测未经授权的网络访问，并相应地触发所述安全功能。因此，在网络访问之前，可能需要确保所述第二开关信号输入端存在所述第二开关信号，以防止所述第一用户数据被销毁。
[0030]
在一种实施方式中，所述网络兼容装置包括与所述第一开关相连的第一开关信号输出端，以及与所述第二开关相连的第二开关信号输出端，所述控制器用于在所述第一开关信号输出端提供所述第一开关信号提供，以及在所述第二开关信号输出端提供所述第二开关信号。
[0031]
如此，所实现的优点在于，在对各开关的监测方面，所述网络兼容装置独立于外部设备和/或信号。通过生成所述第一开关信号和第二开关信号，进一步预先确定了当所述第一开关或第二开关开闭时相应开关信号输入端应该出现哪种信号形式。通过将各开关信号输入端接收的信号与生成后经相应开关信号输出端输出的开关信号相比较，可以将未经授权的访问与授权访问区别开来，并且可在遭受未经授权的访问时触发所述安全功能。
[0032]
在一种实施方式中，所述控制器用于生成动态独特信号，以作为所述第一开关信号和/或所述第二开关信号，并将所述第一开关信号输入端和/或所述第二开关信号输入端的信号均与所生成的动态独特信号相比较。所述控制器进一步用于当所提供的动态独特信号与所接收的开关信号之间存在信号偏差时，执行所述安全功能。
[0033]
动态独特信号可尤其异于其他网络兼容装置的动态信号。此外，所述信号可具有适于相应开关信号输入端以不发生变化的方式接收的预设信号电平序列和/或随时间变化的信号电平。此外，所述动态独特信号可含有时间戳和/或时间信息，从而对该动态独特信号的时间有效性加以限制。如此，可实现的优点例如在于，不对所述动态独特信号进行记录，而且可在稍后的时间点上作为开关信号提供给所述网络兼容装置，这是因为该开关信号的有效性与时间信息和/或时间戳相联系。
[0034]
通过所述动态独特信号，对于所述网络兼容装置在未对该动态独特信号进行复制的应用环境中的使用会被阻止，这是因为会相应触发所述安全功能。
[0035]
在一种实施方式中，所述网络兼容装置包括网络接口，所述控制器用于在所述安全功能被触发时，通过所述网络接口向至少一个其他网络兼容装置发送消息，以同时触发对所述其他网络兼容装置的用户数据的销毁。
[0036]
如此，可实现的优点尤其在于，对多个网络兼容装置当中的某个网络兼容装置的单次未经授权的访问可触发所有经所述网络彼此连接的网络兼容装置中执行所述安全功能。如此，所有网络兼容装置均可实现对用户数据的保护。为实现这一目的，各网络兼容装置可具有相同的设计，尤其在所述开关信号输入端方面具有相同设计。
[0037]
在一种实施方式中，所述多个网络兼容装置当中的第一数目个网络兼容装置可由
至少一个网络兼容装置通过消息进行控制，以对该第一数目个网络兼容装置当中的相应网络兼容装置触发所述安全功能。如此，即使所述第一数目个网络兼容装置本身不具备能够检测未经授权的访问的手段，也可实现对这些网络兼容装置的保护，以例如防止对其内相应用户数据的未经授权的访问。
[0038]
在一种实施方式中，所述消息为各自指向特定其他网络兼容装置的单独消息，该单独消息含有指令，该指令用于执行删除所述其他网络兼容装置的用户数据的安全功能。
[0039]
如此，可实现的优点例如在于，所述网络兼容装置可指向被选的一组其他网络兼容装置，并可通过触发对所述安全功能的执行而删除这些装置上的相应第一用户数据。所述网络兼容装置可尤其用于在所检测的开关信号类型以及待执行所述安全功能的网络兼容装置方面进行选择。
[0040]
在一种实施方式中，所述消息为指向无穷多其他网络兼容装置的广播消息，该广播消息含有指令，该指令用于执行删除各个网络兼容装置的用户数据的安全功能。
[0041]
在一种实施方式中，所述控制器用于监测所述网络接口，并经该网络接口接收消息，所述控制器进一步用于在接收到所述消息后，执行所述安全功能。
[0042]
此外，所述网络兼容装置可用于经所述网络接口接收广播消息和/或单独消息，并且在接收到相应消息时，触发所述安全功能。此外，所述控制器可设置为，即使接收到广播消息或单独消息，如果所述第一开关信号输入端存在所述第一开关信号且所述第二开关信号输入端存在所述第二开关信号，则防止所述安全功能被执行。
[0043]
在一种实施方式中，所述控制器用于在所述安全功能执行时，以标准数据替换所述第一用户数据，通过载入该标准数据，所述网络兼容装置无法继续执行特定应用下的其他操作。
附图说明
[0044]
以下，参考附图，对其他例示实施方式进行说明。附图中：
[0045]
图1所示为一种实施方式的网络兼容装置；
[0046]
图2所示为一种实施方式的网络兼容装置；
[0047]
图3所示为一种实施方式的网络兼容装置。
[0048]
附图标注列表
[0049]
100
ꢀꢀꢀ
网络兼容装置
[0050]
101
ꢀꢀꢀ
信号输入端
[0051]
103
ꢀꢀꢀ
存储器
[0052]
105
ꢀꢀꢀ
控制器
[0053]
107
ꢀꢀꢀ
用户接口
[0054]
109-1 第一开关信号输入端
[0055]
109-2 第二开关信号输入端
[0056]
111-1 第一开关
[0057]
111-2 第二开关
[0058]
113
ꢀꢀꢀ
网络接口
[0059]
115-1 第一开关信号输出端
[0060]
115-2 第二开关信号输出端
[0061]
301-1 其他网络兼容装置
[0062]
301-2 其他网络兼容装置
[0063]
301-3 其他网络兼容装置
[0064]
301-4 其他网络兼容装置
具体实施方式
[0065]
图1为网络兼容装置100的示意图，该装置具有用于销毁用户数据的安全功能。该网络兼容装置包括：用于接收控制信号和配置信号的信号输入端101；用于存储第一用户数据的存储器103；以及控制器105，该控制器用于在接收所述控制信号后，执行销毁存储器103内所述第一用户数据的安全功能。网络兼容装置100在所述第一用户数据被销毁后变得无法操作。
[0066]
所述配置信号含第二用户数据，控制器105还用于在接收该配置信号后，将所述第二用户数据存储于存储器103内，以使得网络兼容装置100能够根据该第二用户数据操作。
[0067]
信号输入端101还用于接收维护信号，控制器105用于在网络兼容装置100操作过程中信号输入端101不存在所述维护信号时，执行所述安全功能。此外，控制器105是可配置的，以便由信号输入端101配置所接收的维护信号的信号波形。
[0068]
网络兼容装置100包括用户接口107，该用户接口连于信号输入端101的上游，且用于记录用户输入，并通过信号输入端101使得其能够供控制器105所用，控制器105可由用户接口107配置，用户接口107用于生成所述控制信号和/或配置信号。
[0069]
信号输入端101可以为用于接收加密维护信号的数字输入端，其中，控制器105用于防止所述第一用户数据在网络兼容装置100操作过程中所述数字输入端存在所述加密维护信号时被销毁。
[0070]
图2为网络兼容装置100的示意图，该装置包括：信号输入端101，该信号输入端用于接收控制信号和配置信号；存储器103，该存储器用于存储第一用户数据；以及控制器105，该控制器用于在接收所述控制信号后，执行销毁存储器103内所述第一用户数据的安全功能。
[0071]
网络兼容装置100还包括第一开关信号输入端109-1和第二开关信号输入端109-2，其中，第一开关信号可施加至第一开关信号输入端109-1，第二开关信号可施加至第二开关信号输入端109-2。控制器105还用于在所述第一开关信号施加至第一开关信号输入端109-1且第二开关信号输入端109-2不存在所述第二开关信号时，执行所述安全功能。
[0072]
第一开关111-1与第一开关信号输入端109-1相连，第二开关111-2与第二开关信号输入端109-2相连，所述第一开关信号可通过第一开关111-1供于第一开关信号输入端109-1，所述第二开关信号可通过第二开关111-2供于第二开关信号输入端109-2。
[0073]
所述第一开关信号和第二开关信号可例如由外部信号源提供。所述第一开关信号可尤其异于所述第二开关信号。
[0074]
图3为网络兼容装置100的示意图，该装置包括：用于接收控制信号和配置信号的信号输入端101；用于存储第一用户数据的存储器103；以及控制器105，该控制器用于在接收所述控制信号后，执行销毁存储器103内所述第一用户数据的安全功能。
[0075]
网络兼容装置100还包括网络接口113，控制器105用于监测是否经网络接口113发生对网络兼容装置100的访问，并用于在当第二开关信号输入端109-2不存在所述第二开关信号且检测到访问时，执行上述安全功能。
[0076]
网络兼容装置100还包括与第一开关111-1连接的第一开关信号输出端115-1，以及与第二开关111-2连接的第二开关信号输出端115-2。控制器105用于在第一开关信号输出端115-1提供所述第一开关信号，以及在第二开关信号输出端115-2提供所述第二开关信号。
[0077]
控制器105还用于生成动态独特信号(即动态的且可唯一识别的信号)，以作为所述第一开关信号和第二开关信号，并分别将第一开关信号输入端109-1和第二开关信号输入端109-2的信号与所述动态独特信号相比较。此外，控制器105用于在当所提供的动态独特信号与所接收的各开关信号之间存在信号偏差时，执行所述安全功能。
[0078]
所述第一开关可尤其为门触点，而所述第二开关可尤其为门锁触点(door lock contact)，其中，可分别向所述门触点的第一连接和/或所述门锁触点的另一第一连接提供电压。当门打开时，所述门触点可闭合，以令所述电压存在于所述第一开关信号输入端。此外，当门锁被打开和/或启动时，所述门锁触点可闭合，以令所述电压存在于所述第二开关信号输入端。举例而言，在该状态下，可以向所述第一开关信号输入端和第二开关信号输入端提供相同信号。
[0079]
尤其在所述门触点独立于所述门锁触点被打开时，所述门锁触点可以被闭合。例如，所述门触点可在门被破开或以其他未事先对所述门锁触点进行启动的方式被打开时闭合。所述网络兼容装置可尤其设置为在不打开门的情况下无法在物理上触及该网络兼容装置。如此，在所述门锁触点与门锁触点的共同作用下，可以对所述网络兼容装置施加保护，以防止未授权的访问。
[0080]
控制器105还用于在所述安全功能经被触发后，通过网络接口113向至少一个其他网络兼容装置301-1，301-2，301-3，301-4发送消息，以同时触发对这些其他网络兼容装置301-1，301-2，301-3，301-4的用户数据的销毁。
[0081]
所述消息可以为各自指向特定其他网络兼容装置301-1，301-2，301-3，301-4的单独消息，该单独消息含有指令，该指令用于执行删除所述其他网络兼容装置301-1，301-2，301-3，301-4的用户数据的安全功能。
[0082]
在替代方案中，所述消息可以为指向无穷多其他网络兼容装置301-1，301-2，301-3，301-4的广播消息。该广播消息含有指令，该指令用于执行删除各个网络兼容装置301-1，301-2，301 3，301-4的用户数据的安全功能。
[0083]
控制器105还用于在所述安全功能执行时，以标准数据替换所述第一用户数据。通过载入所述标准数据，所述网络兼容装置无法继续执行特定应用下的其他操作。
[0084]
此外，所述标准数据可含于经网络发送的上述消息中，并且/或者可在网络兼容装置100制造过程中存于存储器103内。
[0085]
控制器105还可用于生成第一用户数据已经销毁的确认消息，并经所述网络接口进行提供。此外，该消息可尤其含有与所述安全功能触发原因相关的信息。