专利名称:检测设备构件违背真实性的方法、控制装置和系统的制作方法
技术领域:
本发明涉及用于检测设备构件、尤其是机器构件和/或工具构件违背真实性的一种方法、一种控制装置和ー种系统。
背景技术:
综合性机床越来越多地以模块式结构原理,由不同厂家的各种构件组成。厂家大多承担相应构件的安全性和质量的担保,因此机床的经销商要确保安装的构件也来自于事先已经选择和检验过的厂家。
相反,如果装入价廉或盗版的构件往往就会损害整个设备或机床的安全性,这是因为这些构件既没有经过安全性检验,也没有质量标准或者检测书。相应的构件常常被厂家仿制,从外面看不出与相应的复制的市场产品有区別。未被认出地装入以伪造的方式检测为原型产品的构件可能使机床的安全性丧失,并且带来很多缺点、安全技术许可的损失或者责任-和担保方面的问题。因此对于机床或者其它设备的经销商重要的是,要检查每个应用在机器或者设备里的构件的原创性和真实性。组件和构件一般通过厂家特有的序列号来识别。在通过设备技术人员进行安设和投入运行时,最初可以进行对序列号的检查。这一次性地进行并为机床或者设备的经销商保证了按照规则和确认真实性地装入相应的构件。尽管如此,构件的序列号还是可以相对容易地复制,并且因此冒充真实性。为了阻止这种情况,应用了全球数据库,在该数据库里管理真实的序列号。通过“Track &Trace”-附件可以将全球数据库里的厂家序列号与当前的序列号进行比较,并跟踪产品的逻辑路径。这常常带来数据库管理和维护的高昂费用。此外另一方面还必须保护具有所要确认真实性构件的全球数据库的数据通信,防止对秘密序列号的操纵和泄露。除此之外还存在有其它不同的初始检查真实性的方法,例如像检查“不可复制功能”,其有效性取决于方法而进行不同的评估。然而在安装或者安设之后,常常难于保证安设的构件连续保持真实性。因此需要有效的、成本低廉的而且可以简单地实施的解决办法,用于检测在开始进行的、对于设备-或机床构件的富有成效的真实性检查之后违背真实性的情況。
发明内容
因此本发明的ー个思路在于在对设备构件进行一次开始的和可靠的认证之后,相比于控制装置,例如通过维护-或者安装技术人员,在构件的局部范围里保证了自动和可靠、连续地对设备构件的真实性进行检验,而不必与远离的检测地点进行网络连接。为此设有ー个中央的、存取保护的控制装置,借助于该装置通过ー种具有单向函数的方法,可以连续地监测设备构件的真实性。被更换的真实性编码基于ー种尽可能不冲突的单向函数,从而潜在的侵入者就不能操纵或者更换设备构件,而中央控制装置并不发现这种侵入。本发明的一个实施方式因此在于ー种根据权利要求I所述的方法,用于检测设备构件违背真实性,该方法具有以下步骤将认证询问从控制装置发送至设备构件的认证装置;基于存储在认证装置里的、用于设备构件的识别码,借助于ー个共同的单向函数,在设备构件的认证装置里计算出第一认证码;基于同一个存储在控制装置里的、用于设备构件的识别码,借助于该共同的单向函数,在控制装置里计算出第二认证码;将具有第一认证码的认证回答从设备构件的认证装置发送至控制装置;并且在控制装置里将第一认证码与第ニ认证码对比,用于检测设备构件违背真实性。可以有利地将被发送的第一认证码存储在控制装置里和/或存储在设备构件的认证装置里,作为用于设备构件的更新的识别码。因而可以避免原始识别码和当前认证码的并行存储,这在有资源限制的构件的情况下是有利的。除此之外,难于通过将控制和/或设备构件回复到初始识别码来规避真实性的检查。这是因为这种识别码已经被覆盖并且因此不再是已知的。优选地,如果在将第一认证码与第二认证码对比时确定有偏差,或者如果在ー个确定的时间窗内接收认证回答失败,则可以将故障信息存储在控制装置里的故障记录里。由此也可以在一定的时间延迟之后,保持并检验认证问题,例如在例行的维护期限里,而不 需要立即着手对设备构件进行检验。单向函数有利地可以是ー种抗冲突性的散列函数。这样的函数是可以重现的,可以简单地实施,并且对比于控制装置来说,减小了对设备构件的认证进行不能识别的操作的风险。为了进一步改进安全性,认证询问还可以包括随机产生的询问码,其中在认证装置里计算第一认证码,并在控制装置里计算第二认证码,这是基于将识别码与随机产生的询问码组合进行的。按此方式可以排除掉基于认证码的预先计算的工作。根据另ー种实施方式,按权利要求8所述,提出一种控制装置,用于检测设备构件违背真实性,该控制装置具有发送_/接收装置,该装置设计用干,将认证询问发送至设备构件的认证装置,并接收在认证装置里基于存储在认证装置里的、用于设备构件的识别码,借助于ー个共同的单向函数计算出的第一认证码,作为对于认证询问的回答;数据库,其设计用于,存储用于设备构件的识别码;和计算装置,其设计用于,基于存储在数据库里的、用于设备构件的识别码,借助于该共同的单向函数计算出第二认证码,并将第一认证码与第ニ认证码对比,用于检测设备构件违背真实性。根据另ー种实施方式,本发明提出了ー种根据权利要求13所述的系统,该系统用于检测设备构件违背真实性,该系统具有根据本发明的控制装置和配属于设备构件的认证装置,并且这种认证装置设计用于,基于存储在认证装置里的、用于设备构件的识别码,借助于ー个共同的单向函数计算出第一认证码,作为对于认证询问的回答,并发送至发送-/接收装置。认证装置可以优选地包括射频识别-标签(RFID-Tag),并且发送_/接收装置包括射频识别-阅读器。利用这种硬件可以以简单、经济和容易操作的方式形成一种系统,用于检测设备构件违背真实性。其它的变型和变体可由从属权利要求所述的特征中获得。
现在參照附图详细说明本发明的不同实施方式和设计方案,其中图I示出根据本发明的一种实施方式的、用于检测设备构件违背真实性的ー种方法的示意图;图2示出根据本发明的另ー种实施方式的、用于检测设备构件违背真实性的ー种方法的示意图;图3示出根据本发明的另ー种实施方式的、用于检测设备构件违背真实性的ー种系统的不意图。所述的设计方案和改进方案可以,只要合理的话,任意地相互组合。其它可能的设计方案、改进方案和本发明的实施方式也包括之前或者随后针对实施例所述的本发明特征的、没有明显列出的组合。 附图应该有利于进一歩理解本发明的实施方式。它们表明了不同的实施方式,并且与说明书相联系用于说明本发明的原理和方案思路。其它的实施方式和多个所述的优点可參见附图。附图的元素不必显示为相互按真实比例的。相同的或者作用类似的构件采用相同的标号。
具体实施例方式根据本发明的设备构件是指机器、工具、系统设备,或者类似的综合性技术装置的构件,它们作为设备的一部分,由単独的厂家或者供货商提供,而且它们的原创性、产地检测和一致性应该得到确保。设备构件例如可以包括机器零部件、机器的高价值的消耗材料,例如像色粉盒、激光管、电池、制动盘或者类似的构件。然而不言而喻的是,其它没有列出的、具有类似性能的构件也可以理解为根据本专利申请的设备构件。根据本发明的单向函数可以包括有计算函数,这些函数根据数字的或者文字数字的输入值,按照预先确定的和已知的算法计算出输出值。单向函数例如可以包括散列函数、分散值函数、校验和函数或者类似的函数。这些函数可以是原型受保护的(urbildresistent),也就是说由输出值绝不允许推断出输入值。此外,单向函数可以是低冲突性的或者说抗冲突性的,这就是说,特别难于找到另外ー个原型,该原型产生与第一个原型相同的输出值。图I示出了ー种用于检测设备构件违背真实性的方法的示意图。在此,为了说明该方法10可以參见图3的元素,其中示出了用于对设备构件25进行认证的系统30的示意图。在方法10的第一步骤11里,将认证询问从控制装置22发送至认证装置21。控制装置22例如可以是服务装置、设备的ー个机器控制装置,或者在其中安设或者装入设备构件25的机器,或者机器接ロ(“人机接ロ”,HMI)。控制装置22可以在本地设置在机器或者设备的区域里,例如在エ厂或者在设有设备构件25的加工设备里。控制装置22也可以是一种便携式装置,例如像笔记本电脑或者掌上电脑(PDA),它们可以被使用在相应的、在其中装有设备构件25的设备里。控制装置22包括发送_/接收装置22a,用于发送认证询问,该发送_/接收装置具有与认证装置21连接的连接件。认证装置21自身可以包括计算单元21a,该计算単元可以接收发送_/接收装置22a的认证询问,并且还包括存储器21b。
认证装置21例如可以是射频识别-标签,该标签设置于ー个附属的设备构件25上。射频识别-标签在这种情况下在存储器21b里可以包括有识别码,例如像ー个序列号或者另ー个识别号,其可以允许推断出所属设备构件25的一致性。在第二步骤12里,基于存储在认证装置21的存储器21b里的、用于设备构件25的识别码,借助于ー个单向函数,在认证装置21里计算出第一认证码。按照提议通过认证询问,计算出第一认证码。计算例如可以在认证装置21的计算单元21a里进行。单向函数例如可以是ー种散列函数,它将存储器21b里的识别码用作为输入值,以便产生ー个散列输出值作为第一认证码。单向函数不仅对于认证装置21,而且也对于控制装置22来说都是已知的,在这里单向函数例如可以作为配置数据存储在控制装置22的数据库22b里。在第三步骤13里,基于存储在控制装置22的数据库22b里的、用于设备构件25 的识别码,借助于单向函数,在控制装置22里计算出第二认证码。步骤13例如可以同时地并与步骤12无关地实施。在此,产生第二认证码,将它保存在控制装置22里。由控制装置22的计算装置22c计算出第二认证码。计算装置22c追溯到用于设备构件25的一个识别码,该识别码存储在控制装置22的数据库22b里。在数据库22b里的识别码和在认证装置21的存储器21b里的识别码可以优选地在一个初始的认证步骤里已经被比较。例如在设备构件25安装或者投入运行吋,维护-或者安装技术人员可以将设备构件25的识别码与厂家或者另ー个有资质的机构的全球数据库进行比较,以便检验和证实设备构件25的真实性。这种对比必须只是一次地在方法10开始之前进行,以便在存储器21b和数据库22b里出现有相同的识别码作为起动条件。如果在控制装置22里特别地有ー个定义为空的初值,那么控制装置22也可以采用初始接收的认证码,而且系统30的装置进行记录,这就是说实施自动同歩。因此可以有利地取消系统30的一种预先配置,这就是说可以无配置地检测违背真实性,这是因为控制装置22可以自动地在与设备构件25的第一种组合的情况下接收整体上对于方法所必需的參数。可以在ー个记录里存储參数的接收情况用于以后的检验。在存储器21b里的识别码不必必需地保密。例如可以使存储器21相对来说容易地从外接近,并且使识别码可以相对来说容易读取。在一种可替换的实施方式中然而可以规定存储器21b不必为存储于存储器21b里的数据、尤其是为识别码提供阅读功能。其优点在于对于潜在的入侵者来说,不可能从存储器21b里读取识别码并用模仿的设备构件用于进行造假尝试。相应地也可以对数据库22b加以保护,防止读出存储在那里的、用于设备构件25的识别码。在第四步骤14里,将具有第一认证码的认证回答从认证装置21发送至控制装置22。认证装置21的计算单元21a可以将步骤11里对认证询问的回答转送给控制装置22的发送_/接收装置22a。通过通道可以发送认证询问和认证回答,该通道不必设计成必要时防监听或者防读出的。这里例如可以设有ー种局部无线的或者有线连接的数据连接。例如可以采用ー种在控制装置22里常见的射频识别-阅读器,与认证装置21里的ー个射频识别-标签连接,并且可以通过一种在控制装置22和认证装置21之间的射频识别-通信来交换认证信息。
在第五步骤15里,将接收到的第一认证码与控制装置22里的保存的第二认证码对比,用于对设备构件25进行认证。发送_/接收装置22a为此可以将回答从具有第一认证码的认证装置21的计算单元21a传输至控制装置22的计算装置22c,在该装置里将以前计算出的第二认证码保存。因为第一和第二认证码已经借助于相同的单向函数,并从同样的识别码出发计算出,因此如果设备构件25确保了真实性,则在比较认证码时就会符合一致。如果第一和第二认证码的比较没有偏差或者仅出现在预期之中的偏差,例如如果设备构件25只是退回了计算出的认证码的一部分,那么将设备构件25归入为相比于初始的认证来说没有改变,并因此归入为真实的。控制装置22例如在这种情况下通过设备构件25的按确定的认证,在可以存储在数据库22b里的记录里进行登录。同时例如可以将认证询问的一个时间标记和其它參 数存储在记录里。如果认证码的比较结果与期待的结果不同,例如因为设备构件25在中间时间里通过ー个不按规则的设备构件,例如另外ー个厂家的或者另外ー个商标的,进行了交換,并且因此在控制装置22里对第一认证码的计算与第二认证码的计算并不一致,那么控制装置22可能在数据库22b里的一个相应的记录里引起错误。同样地可以适合于在控制装置22和认证装置21之间的通信受到干扰的情況。如果例如对认证询问的认证回答的发送失败,例如由于断电,通信线路的故障或者其它的功能故障,那么控制装置可以将相应的事件记录到数据库22b里的一个记录里。为此可以规定ー个时间窗,在该时间窗内必须在事件登入到记录里之前,接收对认证询问的一种认证回答。在任何情况下,以下的认证询问都可以通过控制装置22来实施,而在出现差错或者认证失败之后,不必进行系统30的重新配置。将最后提供的、有偏差的认证码在控制装置22里接收到数据库22b里,并由此出发,继续计算认证码(自动-同歩)。尽管如此,周期性地进行系统30的维护或检查的维护技术人员可以读取数据库22b里相应的记录,并对可能出现故障的时刻和类型进行分析评估。图2示出ー种用于检测设备构件违背真实性的方法20的流程的示意图。示出了认证装置21和控制装置22,它们通过数据连接相互实现通信。认证装置21和控制装置22可以对应于图3所示的装置。控制装置22将认证询问23a发送给认证装置21。认证装置21借助于单向函数f(x),基于存储在认证装置21里的并且识别设备构件的识别码ID,计算出第一认证码f (ID)0将该认证码f (ID)在认证回答24a里传输给控制装置22。控制装置22将接收的认证码f (ID)与在控制装置22内部里计算出的认证码对比,并以这种方式对设备构件进行认证。例如可以规定,使认证装置21和控制装置22在第一次认证之后,通过认证码f(ID)来替代分别存储在附属的数据库或存储器里的识别码ID。这种更新的识别码f (ID)则可以用作为以后认证步骤的计算依据。在一个预定的时间间隔之后,例如在若干毫秒或者秒之后,控制装置22可以重新向认证装置21提出ー个认证询问23b,该认证装置又借助于单向函数f(x)计算出ー个认证码。因为反正存储在认证装置21里的识别码就是原始的识别码f (ID),因此在认证回答24b里将更新的认证码f(f(ID))进行传输。因为在控制装置22里也存在有更新形式的相应识别码f (ID),因此在控制装置22里计算出的比较码同样也是f(f (ID))。在两个认证询问23a和23b之间的时间间隔选择得越短,那么越难于对一个当前的认证回答进行监听并传输至ー种可能造假的设备构件上,这就是说,ー种可能的假冒,并与物理地装入这种可能造假的设备构件一起进行。特殊的可能性是入侵者对此需要物理性通向设备构件的通道,而在静态识别方法中,可能在认证回答的监听和将其传输至假冒品之间要经过ー个任意大的时间间隔。根据图2的本方法减小了用于监听、传输适用的认证回答到假冒品的可能的时间间隔,并这样发送认证回答,使得例如对构件制造厂家的配置数据库,或者在技术人员熟悉设备时,对“社会工程”的监听,或者对运输路段的监听入侵或者其它不需要通向设备或者通向设备构件的物理性的通道的入侵不再能达到入侵者的目的。因为不能在定义的时间间隔里采用,因此未经允许地将窃听到的认证回答大量传输至没有发明人法定保护的国家,或者物理地花费很多地拆卸、更换和装入造假的构件同样也很难达到目的。在进行认证之后,识别码既可以在认证装置21里,也可以在控制装置22里,按最 后的认证码f(f(ID))进行更新。这种方法现在可以任意地经常重复,使得认证码fn(ID)可以按照第η个认证询问23η,作为认证回答24η进行传输。在ー个可能的实施方式中可以规定利用控制装置22的认证询问23,将ー个任意产生的询问码、一种所谓的“质问”传输给认证装置21,其在计算认证码时在单向函数里被加以考虑。其优点在于认证码不能被潜在的入侵者预先计算。其优点还在于该方法可以阻止在传统方法中可能是有效的、简单的造假措施,例如像交換序列号或者时间标记。为此可以规定,在控制装置22里设置ー个可靠的随机数发生器,借助于此可以产生质问。在另ー种实施方式中,可以利用认证询问23给控制装置22传输ー个迭代数,这个迭代数说明了 应该以怎样的频繁程度将单向函数应用于存储的识别码。同时可以将识别码防读出地和不可改变地存储在认证装置21的存储器里,而且基于不可改变的识别码,通过单向函数的η倍的迭代数应用于识别码而产生认证码。所说明的方法和系统使得在防止假冒品的解决办法中可能出现的“克隆”入侵,也就是说通过未认证的设备构件与经过认证的设备构件进行未经许可的或者秘密的交换变得更加困难。在此,不需要密码管理,而只需要一种生效的单向函数,优选是ー种原型受保护的、低冲突性的散列函数,和必要时需要一种可靠的、在控制装置一侧上的随机发生器。在此,可以在必要时动用通常的射频识別-硬件和射频识别-软件,而不会使整个方法或者整个系统的安全性下降。
权利要求
1.一种用于检测设备构件(25)违背真实性的方法(10),所述方法具有以下步骤将认证询问(23)从控制装置(22)发送至所述设备构件(25)的认证装置(21);基于存储在所述认证装置(21)里的、用于所述设备构件(25)的识别码,借助于ー个共同的单向函数,在所述认证装置(21)里计算出第一认证码;基于存储在所述控制装置(22)里的、用于所述设备构件(25)的识别码,借助于所述共同的单向函数,在所述控制装置(22)里计算出第二认证码;将具有所述第一认证码的认证回答(24)从所述认证装置(21)发送至所述控制装置(22);并且在所述控制装置(22)里将所述第一认证码与所述第二认证码对比,用于检测所述设备构件(25)违背真实性。
2.根据权利要求I所述的方法(10),还具有以下步骤将发送的所述第一认证码存储在所述控制装置里,作为用于所述设备构件的更新的识别码。
3.根据权利要求2所述的方法(10),还具有以下步骤将计算出的所述第一认证码存 储在所述认证装置(21)里,作为用于所述设备构件(25)的更新的识别码。
4.根据权利要求I至3中任一项所述的方法(10),还具有以下步骤如果在将所述第一认证码与所述第二认证码对比时确定有偏差,则将故障信息存储在所述控制装置(22)里的故障记录里。
5.根据权利要求I至3中任一项所述的方法(10),还具有以下步骤如果发送所述认证回答(24)失败,则将故障信息存储在所述控制装置(22)里的故障记录里。
6.根据权利要求I至5中任一项所述的方法(10),其中所述单向函数是原型受保护的、低冲突性的散列函数。
7.根据权利要求I至6中任一项所述的方法(10),其中所述认证询问(23)还包括随机产生的询问码,而且其中还基于所述随机产生的询问码,在所述认证装置(21)里计算出所述第一认证码并在所述控制装置(22)里计算出所述第二认证码。
8.一种用于检测设备构件(25)违背真实性的控制装置(22),所述控制装置具有发送-/接收装置(22a),所述发送-/接收装置设计用于,将认证询问(23)发送至所述设备构件(25)的认证装置(21),并接收在所述认证装置(21)里基于存储在所述认证装置(21)里的、用于所述设备构件(25)的识别码,借助于ー个共同的单向函数计算出的第一认证码,作为对于所述认证询问(23)的回答(24);数据库(22b),所述数据库设计用于,存储用于所述设备构件(25)的所述识别码;和计算装置(22c),所述计算装置设计用于,基于存储在所述数据库(22b)里的、用于所述设备构件(25)的所述识别码,借助于所述共同的单向函数计算出第二认证码,并将所述第一认证码与所述第二认证码对比,用于检测所述设备构件(25)违背真实性。
9.根据权利要求8所述的控制装置(22),其中所述数据库(22b)还设计用于,将由所述发送-/接收装置(22a)接收的所述第一认证码作为用于所述设备构件(25)的更新的识别码存储。
10.根据权利要求8和9中任一项所述的控制装置(22),其中所述计算装置(22c)还设计用于,如果在对所述第一认证码和所述第二认证码对比时出现偏差,则将故障信息存储在所述数据库(22b)里的故障记录里。
11.根据权利要求8和9中任一项所述的控制装置(22),其中所述计算装置(22c)还设计用于,如果所述发送-/接收装置(22a)对于所述认证询问(23),在一个确定的时间窗内没有得到所述认证装置(21)的回答,则将故障信息存储在所述数据库(22b)里的故障记录里。
12.根据权利要求8至11中任一项所述的控制装置(22),其中所述单向函数是原型受保护的、低冲突性的散列函数。
13.一种用于检测设备构件(25)违背真实性的系统(30),所述系统具有根据权利要求8至12中任一项所述的控制装置(22);和认证装置(21),所述认证装置配属于所述设备构件(25),并且所述认证装置设计用于,基于存储在所述认证装置(21)里的、用于所述设备构件(25)的识别码,借助于ー个共同的单向函数计算出第一认证码,作为对于认证询问(23)的回答(24),并将所述第一认证码发送至发送-/接收装置(22a)。
14.根据权利要求13所述的系统(30),其中所述发送-/接收装置(22a)还设计用干,在所述认证询问(23)里发送随机产生的询问码,而且其中所述认证装置(21)还设计用干,基于所述随机产生的询问码计算出所述第一认证码。
15.根据权利要求13和14中任一项所述的系统(30),其中所述认证装置(21)包括射 频识别-标签,并且其中所述发送_/接收装置(22a)包括射频识别-阅读器。
全文摘要
本发明涉及一种用于检测设备构件(25)违背真实性的方法,该方法具有以下步骤将认证询问从控制装置(22)发送至设备构件(25)的认证装置(21);基于存储在认证装置(21)里的、用于设备构件(25)的识别码,借助于一个共同的单向函数,在认证装置(21)里计算出第一认证码;基于存储在控制装置(22)里的、用于设备构件(25)的识别码,借助于该共同的单向函数,在控制装置(22)里计算出第二认证码;将具有第一认证码的认证回答从认证装置(21)发送至控制装置(22);并且在控制装置(22)里将第一认证码与第二认证码对比,用于检测设备构件(25)违背真实性。
文档编号H04L9/32GK102724040SQ20121005442
公开日2012年10月10日 申请日期2012年3月2日 优先权日2011年3月2日
发明者安杰拉·沙特莱特内尔, 沃尔夫冈·克拉森 申请人:西门子公司