[发明专利]用于为第一设备设立授权证明的方法

说明书

用于为第一设备（FD1）设立授权证明的方法，所述第一设备例如是自动化设施的现场设备，其中借助于配置数据来配置所述第一设备（FD1），所述配置数据从与所述第一设备（FD1）可拆卸地连接的配置模块（CM）传输到所述第一设备（FD1），所述配置模块例如以SD卡或USB棒的形式来实施，该方法包括：‑识别出：配置模块（CM）与所述第一设备（FD1）的连接（S1），‑从所述配置模块（CM）中读取（S2）配置模块特定的设备信息（Kn），‑由所述第一设备（FD1）向授权设备（BE）请求（S3）针对配置模块特定的设备信息（Kn）的配置模块特定的授权证明（C‑Kn），以及‑将所请求的配置模块特定的授权证明（C‑Kn）存储（S6）在所述第一设备（FD1）的安全存储单元（SE）上。

技术领域

本发明涉及一种用于为第一设备设立授权证明的方法，其中借助于如下配置数据来配置所述第一设备，其中从与所述第一设备可拆卸地连接的配置模块将所述配置数据传输到所述第一设备，并且本发明涉及一种第一设备、一种配置模块、一种授权设备和一种用于执行所述方法的计算机程序产品。

背景技术

经由通信连接与其他设备或控制设备交换数据的设备、特别是物联网中的设备被用在私有网络中并且特别是也用在工业设施中。为了实现高可用性、特别是在自动化设施中实现高可用性，必须能够快速更换有缺陷的设备。在此，必须用相同的设置来配置替换设备。为了使得能够快速采用设备配置，已知将配置所述设备所需要的配置数据存储在存储模块上，例如存储在USB棒、SD卡或组态插件（C-Plug）上。于是，在更换设备时只需要将有缺陷的设备的这种存储模块（以下称为配置模块）插入新设备。由此使得所述新设备看起来像是旧设备那样，并因此在自动化网络中也被识别为旧设备。

但是，这种设备更换从安全的角度来看仍是不足的，因为在运行中不能区分旧设备和新设备。极其敏感的安全配置数据、特别是设备运行者证书和、所分配的私有设备密钥也可以保存在所述配置模块上。在此，这些敏感的安全配置数据要么是以明文形式要么是在必要时用跨设备的组密钥加密的。

发明内容

本发明的任务是创建一种方法，利用该方法可以在运行中可靠地区分通过配置模块、也就是使用相同配置数据配置的设备。

该任务通过独立权利要求中描述的措施来解决。在从属权利要求中示出了本发明的有利扩展。

根据第一方面，本发明涉及一种用于为第一设备设立授权证明的方法，其中借助于如下配置数据来配置所述第一设备，其中从与所述第一设备可拆卸地连接的配置模块将所述配置数据传输到所述第一设备。所述方法具有以下方法步骤：

- 识别出：配置模块与所述第一设备的连接，

- 从所述配置模块中读取配置模块特定的设备信息，

- 由所述第一设备向授权设备请求针对所述配置模块特定的设备信息的配置模块特定的授权证明，以及

- 将从所述授权设备请求的配置特定的授权证明存储在所述第一设备的安全存储单元上。

通过将所述配置模块与所述第一设备连接，由此触发对所述设备的授权证明的请求和分发，其中所述授权证明考虑了存储在所述配置模块上的设备信息。通过将配置模块特定的授权证明存储在所述第一设备的安全存储单元上，可以更好地保护配置模块特定的授权证明和/或与所述授权证明关联的密码密钥，因为设备通常具有专用的安全存储单元或专用的安全存储区域，其中所述安全存储单元或所述安全存储区域具有附加的安全措施。例如，通过防篡改措施可以使存储器的读取变得困难或得以阻止，或者可以识别出：到所述安全存储单元中的入侵并且可以删除在其中所存储的数据。