[发明专利]用于在安全相关的设备之间交换消息的方法

说明书

本发明涉及一种用于在安全相关的设备(V1，V2，V3)之间交换具有不同的安全等级(S1、S2、S3、S4)的消息的方法。在此，包括私有密钥(PR1，PR2，PR3，PR4)和与之匹配的公有密钥(PU1，PU2，PU3，PU4)的密钥对与每个安全等级(S1，S2，S3，S4)相关联，其中，每个安全等级的密钥和密钥对分别彼此不同。每个安全相关的设备(V1，V2，V3)具有用于针对每个安全等级(S1，S2，S3，S4)解密消息的所有公有密钥(PU1，PU2，PU3，PU4)和用于对应于低于或等于相应的安全相关的设备(V1，V2，V3)的安全等级的安全等级(S1，S2，S3，S4)加密消息的私有密钥(PR1，PR2，PR3，PR4)。在接收时，通过利用公有密钥(PU1，PU2，PU3，PU4)解密来识别关于消息的安全等级(S1，S2，S3，S4)。此外建议一种用于实施该方法的通信系统(1)。

技术领域

本发明涉及一种用于在安全相关的设备之间交换消息的方法和一种用于实施该方法的通信系统。

背景技术

在通信系统中可以存在不同的重要性或不同的安全等级的安全相关的设备。这种安全等级例如评估对安全相关的设备(例如设备、系统、程序、机器、装置、过程等)的安全功能的可靠性和完整性的要求。安全等级越高，则安全性和可靠性的级别越高，并且故障的危险越小，或者危险降低得越大。关于标准EN50129，这例如是针对0、1、2、3或4的安全完整性级别(“safety integrity level”)SIL的安全相关的设备。在此，在通信系统中要避免的是，较低的安全等级(例如SIL1)的发送器可以这样发送消息，使得对于接收单元错误地视为其来自更高的安全等级(即例如SIL2、3或4)的发送器。迄今为止，这以如下方式解决：不同的安全等级的通信伙伴的通信系统在物理上彼此分离。此外必须明确指出的是，较低的安全等级的通信伙伴不能够产生更高的安全等级的有效的消息。例如迄今为止实现的是，仅发送相同的安全等级的消息(例如协议SAHARA、RaSTA、Secly、DevCycly、PDS、SBS、WNC+、ProfiSafe、BuRep、SEuzi、…)。

发明内容

本发明要解决的技术问题在于，建议一种用于在通信系统中的安全相关的设备之间交换消息的方法，其中应该可以识别出对更高的安全等级的无意的意外的冒充。

根据本发明的用于在安全相关的设备之间交换消息的方法原则上包括如下步骤。在第一步骤a)中，提供多个相互连接的安全相关的设备，其中，每个安全相关的设备与特定的安全等级相关联。在另外的步骤b)中，包括私有密钥和与之匹配的公有密钥的密钥对与每个安全等级相关联，其中，每个对应的安全等级的密钥和密钥对分别彼此不同。在另外的步骤c)中，提供每个安全相关的设备的每个安全等级的公有密钥。在另外的步骤d)中，对应于低于或等于相应的安全相关的设备的安全等级的安全等级，提供相应的安全相关的设备的私有密钥。在另外的步骤e)中，消息通过安全相关的设备发送，并且利用提供给安全相关的设备的、特定的安全等级的私有密钥加密。在另外的步骤f)中，消息通过一个或多个安全相关的设备接收，并且消息的安全等级通过利用与用于加密的来自步骤e)的私有密钥相同的安全等级的公有密钥解密消息来识别。

安全相关的设备例如可以是控制单元、控制设备、计算机、程序、软件、硬件、机器、设备、部件、系统单元或装置单元等，其设计用于特定的安全等级，并且与另外的安全相关的设备交换消息。在本发明的范围内，安全相关的设备与安全等级相关联。该设备借助消息与另外的安全相关的设备通信。随后替代来自于具有与其相关联的安全等级的安全相关的设备的消息，简化地约定的是，消息与安全等级相关联。安全相关的设备可以加密或签署相同的或较低的安全等级的消息，其中，发送或接收例如可以通过相关联的或集成的通信单元实现。此外，安全相关的设备可以借助私有密钥签署或加密消息，并且将接收到的签名利用公有密钥解密。通过比较接收到的消息与解密的签名来进行验证。在一致的情况下确保的是，用于解密的公有密钥的安全等级与消息的安全等级一致，由此，明确地识别消息的安全等级。其对于进行接收的安全相关的设备来说可以是明确或隐含地已知的。此外，通过成功解密也检验了完整性，即传递的消息的不变性。