[发明专利]为工业化边界设备提供应用容器的安全信息的方法和系统

说明书

本发明涉及为工业化边界设备提供应用容器的安全信息的方法和系统。应用容器具有应用程序、运行时库和执行环境的一部分。在第一步中从应用程序或其源代码中获取关于由应用程序访问的数据的第一信息。在第二步中从应用程序或其源代码中获取关于用于访问数据或处理数据的运行时库和/或执行环境的一部分的第二信息。在第三步中测定与第一信息相关联的保密等级和与第二信息相关联的保密等级。在第四步中通过将出现的保密等级与出现的处理等级链接而形成安全信息并且将其与应用容器相关联。通过该方法生成了关于应用容器或App的具体并可靠的安全信息，并根据关联性将它们提供给使用者或安装系统，从而在应用App之前就存在关于具体安全或特性的信息。

技术领域

本发明公开了一种用于为工业化的边界设备提供关于应用容器的安全信息的方法和用于为工业化的边界设备提供关于应用容器的安全信息的系统。

背景技术

在工业化的自动化布局中，对自动化构件、例如工业控制器、操作和监视装置(HMI装置)的数据、配方数据、规划数据和类似的数据的读和写访问总是安全关键的过程。生产数据、产品配方等在任何情况下都是保密的并且因此要么完全不允许、要么仅在确定的条件下才允许在工业化的自动化布部之外使其可用，而在滥用的情况下写访问会对这样的系统、特别是执行器造成显著的损坏。

然而，现代的自动化系统经常在与公共网络进行数据交换的情况下进行，特别是在所谓的“云”中处理多个自动化数据，即在例如能经由互联网访问的外部的服务器上。因此，在布局有工业控制器、HMI装置等等的“私有”的自动化网络与公共网络(特别是互联网或“云”)之间的接口处，优选地采用所谓的边界设备、经常也被称为Edge-Devices。它们是具有到自动化网络的数据通道、还具有到公共网、即特别是“云”中的另外数据通道的构件。一方面，边界设备用于为自动化构件提供用于数据处理服务的计算能力，另一方面，边界设备的任务在于管理并且在可能的情况下控制自动化网络与云端之间的数据交换。特别地，边界设备上的应用程序设置用于聚集、处理来自自动化网络的数据并且提供云中的结果，例如以便为全世界分布的集团的总部提供关于本地的生产场所的负荷数据等等。

引起边界设备的功能性的应用程序被通常作为所谓的应用容器来提供，其中，这些应用容器与用于移动通信的应用类似地大多简称为“App”(英文“application”)。因此，这样的应用容器原则上在移动电话或其它的设备中并不陌生。其不仅包括原本的应用程序，还包括为了实施而必要的运行时库和部分运行环境、特别是操作系统的补充。一个实例是已知的Docker容器，其能够分别在自有的运行环境中安装在边界设备上，并且其随后通过边界设备的基础功能而具有到本地自动化网络以及到公共网络(云)的接口的连通性。这样的应用容器或App通过应用存储器、所谓的App商店或“库”来提供。在此，不同的软件供应商能够为了不同的目的并且通常针对使用费的支付提供这样的App或应用容器，从而能够使管理员以简单的方式被编程具有各种应用程序的边界设备。

尤其对于在此提出的工业化的使用情况来说，App必须对应于具体的安全要求和数据处理规则(“policies”)。在应用者或管理员从应用存储器(App商店)中装载这样的App之前，他们在使用App之前必须检查，App的全部组件在关于其对于本地数据等类似数据的保密性的潜在安全风险方面都是否被允许使用。

从移动电话和在那里应用的应用程序中已知的是，在使用之前为使用者示出信息页面，其给出的消息为：是否应当或允许使用一定的外围设备、如摄像头或麦克风或扬声器，并且是否例如访问个人地址簿和类似的数据。

从该应用情况中已知的关于App的访问权限的信息，通常通过App的制造商提供。此外，使用者能够反对使用特定的外围设备、如摄像头、麦克风和类似的或者开放对它们的使用，又或者也允许或禁止对装置的数据、如地址簿等等的访问。

问题在于，在已知的有关保密的数据信息的使用的信息中App的制造商的必须是值得信赖的，因为展示的信息通常来自于该制造商。甚至存在对App的运营商的检查，然而这种检查在通常是以抽样的形式并基本上手动地进行。