[发明专利]用于在现场设备中保护安全模块免遭篡改尝试的装置和方法

说明书

技术领域

本发明涉及用于尤其在具有篡改保护的现场设备中保护安全模块免遭篡改尝试的一种装置和一种方法。

背景技术

诸如用于轨道和铁轨设备的、用于控制红绿灯或交通变换显示器或用于监控管道的控制设备的工业现场设备大多位于公众可接触的或者难以由运营者监控的区域，使得原则上不能排除未经授权的人试图接触现场设备并能够对其进行篡改尝试。在这种关联中，未经授权的干预和篡改也被称作“Tampering（篡改）”。

因为现场设备具有集成的安全功能，利用所述安全功能例如加密地保护与控制中心或计算中心的外部通信，所以有必要充分保护对应的安全重要的、该控制设备正常工作所需的数据免遭篡改。

为了存储安全重要的数据、例如加密的通信密钥，原则上对此适合的是针对该功能而特殊设置的安全芯片、例如安全IC，其不仅可靠地存储密钥数据，而且在芯片内部利用所述密钥数据来实施必要的加密计算。该安全芯片本身在此大多是防篡改的，也即嵌入到合适的防篡改环境中。

但是这种安全芯片不能被配备外部篡改传感器，利用所述外部篡改传感器可以检测在该芯片本身所嵌入的防篡改环境之外的篡改尝试。但是对于这种篡改尝试也期望能够保证在该安全芯片上安全重要的数据的保密。

在对该现场设备进行篡改尝试的情况下，迄今为止由该现场设备的计算单元或控制装置来负责导入安全措施。为此该控制装置必须处于激活的运行模式下。但该控制装置通常被切换为未激活状态，或者在篡改的情况下甚至不能运行或者没有被供给足够的电流。

从而需要解决方案，如果对该现场设备进行篡改尝试，那么借助所述解决方案就能够可靠、有效并快速地导入合适的安全措施，以保证在现场设备的安全芯片中安全重要的数据的保密。

发明内容

本发明的一个想法是，在现场设备的控制装置与常规的安全模块之间设置中间接口，该中间接口对在该控制装置与该安全模块之间安全重要的数据的交换进行监控，并在对该现场设备进行篡改尝试时能够自动地导入必要的措施，以对安全重要的数据保密。该中间接口不仅为该控制装置、而且为该安全模块来模拟常规的通信伙伴，使得不需要对现有的通信协议进行改变。

从而根据权利要求1所述的本发明的一个实施方案是用于在现场设备中保护安全模块免遭篡改尝试的一种装置，该装置具有控制装置，该控制装置被构造用于控制该现场设备，具有安全模块，该安全模块被构造用于准备加密的密钥数据以供该控制装置使用，并具有接口装置，该接口装置与该控制装置和该安全模块相连接，并且该接口装置被构造用于能够使该控制装置访问在该安全模块中所准备的加密的密钥数据，并在对该现场设备进行篡改尝试时阻止对所述加密的密钥数据的访问。这所具有的优点是，能够以有效而成本低廉的方式来提供具有常规安全模块的现场设备，而不必改变该现场设备的现有的部件。

根据一个优选的实施方案，该装置包含有篡改传感器，该篡改传感器与该接口装置相连接，并且该篡改传感器被构造用于检测对该现场设备或该安全模块的防篡改环境所进行的篡改尝试并指示给该接口装置。从而该接口装置自动地并且不用该控制装置支持地在篡改尝试时启动合适的安全措施。从而尤其在该控制装置未激活的状态下能够快速而可靠地导入安全措施以保护加密的密钥数据。

该接口装置优选地是硬件模块，例如可编程逻辑组件。这所具有的优点是，该接口装置可以被紧凑、成本低廉并适当指定用途地来构造。

根据一个有利的实施方案，该装置还包含有电流供应装置，该电流供应装置与该接口装置相连接，并且该电流供应装置被构造用于至少暂时地给该接口装置提供电流。这所具有的优点是，在检测到篡改尝试时不必首先激活该控制装置以导入安全措施。尤其有利的是，在该现场设备和/或该控制装置的电流供应以其他方式中断的情况下，该接口装置至少一直保持被供应电流，直到已经在安全模块中执行了合适的安全措施以保护加密的密钥数据。

本发明还提供了根据权利要求8所述的用于在现场设备中保护安全模块免遭篡改尝试的一种方法，其具有以下的步骤：

把该现场设备中的控制装置对安全模块的加密的密钥数据的请求发送到接口装置；

在该接口装置中检验是否已经检测到对该现场设备的篡改尝试；

如果没有检测到篡改尝试，那么就把该安全模块的加密的密钥数据通过该接口装置传输到该控制装置；以及

如果已经检测到篡改尝试，那么就通过该接口装置阻止该安全模块的加密的密钥数据传输到该控制装置。