技术领域
[0001] 本
发明涉及一种用于授权更新自动化技术设施中使用的现场设备的方法。
背景技术
[0002] 已经从
现有技术中获知工业设施中使用的现场设备。在许多情况下,现场设备被用于自动化技术中,正如在制造自动化中一样。现场设备通常指的是面向过程并处理或提供过程相关信息的所有设备。因此,现场设备用于检测和/或影响过程变量。测量设备或
传感器用于检测过程变量。它们例如用于压
力和
温度测量、电导率测量、流量测量、pH测量、填充
水平测量等,并且检测压力、温度、电导率、pH值、填充水平、流量等相对应的过程变量。
致动器用于影响过程变量。例如,这些
泵或
阀可能影响管路中的
流体的流动或罐中的填充水平。除了上述测量设备和致动器之外,现场设备还被理解为包括远程I/O、无线电适配器、或通常在现场级处布置的设备。
[0003] 各种这样的现场设备由Endress+Hauser集团生产和销售。
[0004] 在现代工业工厂中,现场设备通常经由诸如
现场总线(现场总线、 等)的通信网络连接到上级单元。高级单元是控制单
元,诸如SPS(存储可编程
控制器)或PLC(可编程逻辑控制器)。除其他外,更高级单元用于过程控制以及用于现场设备的调试。由现场设备(特别是由传感器)检测到的测量值经由各自的总线系统传输到(或可能若干)更高级别的单元,这些更高级别单元进一步适当地处理所测量的值,并且将其中继到工厂的控制站。控制站经由上级单元用于过程
可视化、过程监控、和过程控制。此外,还需要从上级单元经由总线系统到现场设备的数据传递,特别是用于现场设备的配置和参数化以及用于致动器的控制。
[0005] 在现场设备处,操作
软件(更准确地说,称为
固件)被实现用于执行现场设备的功能,例如,关于其测量功能,但也关于其
人机界面(HMI)或其图形
用户界面(GUI),以及关于其到上级单元的
接口。为了提供新功能和/或校正错误或安全漏洞,由现场设备制造商以或多或少定期的时间间隔提供固件的更新版本,应当利用该更新版本
覆盖位于现场设备上的固件的旧版本。
[0006] 在许多工业设施中,设施操作员在安装固件之前先检查固件,然后才准予发布更新现场设备。设施的安全操作对设施操作员而言很重要;然而,与此同时,他希望避免改变他的现场设备的测量操作,该测量操作通常是无误差的。目前,很可能会发生员工意外安装新版本的固件的情况,尽管这个版本尚未批准安装。
[0007] 目前还没有解决这样的问题,即设施操作员一方面实际上希望继续使用旧版本的固件以便保持现场设备的测量功能不变,但另一方面需要较新版本的固件以便消除安全漏洞。
[0008] 此外,存在这样的危险,即未经授权的个人可能将潜在有害的固件传递到现场设备,借助于该固件,他可能例如读出机密信息,例如参数设置,或者他可能例如通过停止测量和/或安全功能来破坏现场设备的操作。
发明内容
[0009] 鉴于这个问题,本发明基于提出一种允许执行安全更新操作软件的方法的目的。
[0010] 根据本发明,经由一种用于授权更新过程自动化设施中使用的现场设备的第一操作软件(特别是现场设备的固件)的方法来实现该目的,
[0011] 其中,执行用于现场设备的第二操作软件的认证测试,利用与该设施相关联的第一私钥来签名第二操作软件,
[0012] 其中,在认证测试的范围内,利用与该设施相关联的第一公钥来认证第二操作软件的由第一私钥生成的签名,以及
[0013] 其中,在认证测试已经成功执行的情况下,位于现场设备上的第一操作软件至少部分地被第二操作软件替换。
[0014] 根据本发明的方法的最大优点在于,在没有成功的认证测试的情况下,不能够将不同版本的操作软件加载到现场设备上,以替换已经位于现场设备上的操作软件的版本。没有签名或不匹配的签名的操作软件不能够替换位于现场设备上的操作软件的版本,由此根据本发明的方法允许安全更新位于现场设备上的固件。未经授权的人不能够加载受破坏的固件,因为他不拥有用其他可能签名他有害版本的固件的第一私钥。拥有第一公钥或关于第一公钥的知识不使能够由此计算出第一私钥。
[0015] 特别地,例如RSA、DSA等的非对称方法或基于所谓的默克尔树(Merkle tree)的签名方法可以被认为是用于签名第二操作软件或用于签名的认证测试的加密方法。
[0016] 结合本发明提及的现场设备已经在
说明书的导言部分中以示例的方式进行了描述。
[0017] 根据本发明的方法的特别优选的
实施例,当第二操作软件接收到来自设施操作员的准予发布时,仅用第一私钥签名第二操作软件。特别地,设施操作员对测试现场设备检查,通过覆盖位于现场设备上的第一操作软件来
修改现场设备的哪些功能,以及现场设备在(用)第二操作软件覆盖之后是否允许与使用第一操作软件时相同的操作。
[0018] 在根据本发明的方法的有利实施例中,提供了利用第二私钥附加地签名第二操作软件,特别是由现场设备制造商附加地签名。以这种方式,向设施操作员确认现场设备制造商的原始操作软件的使用。
[0019] 根据本发明的方法的优选实施例规定,在现场设备中的认证测试的范围内,利用第二公钥来认证由第二私钥生成的签名。对于未经授权的人来说,上载破坏的操作软件是非常困难的,因为他必须具有第一私钥和第二私钥二者的知识。为了测试由现场设备制造商生成的签名,所述制造商向客户传输与第二私钥相对应的第二公钥。拥有第二公钥或关于第二公钥的知识并不使得能够由此计算出第二私钥。
[0020] 根据本发明的方法的第一有利变型,规定第一操作软件和第二操作软件分别包括第一组件和第二组件,其中,在用第二操作软件替换第一操作软件时,用第二操作软件的第一组件替换第一操作软件的第一组件。
[0021] 根据本发明的方法的第二有利变型,规定第一操作软件和第二操作软件分别包括第一组件和第二组件,其中,在用第二操作软件替换第一操作软件时,用第二操作软件的第二组件替换第一操作软件的第二组件。
[0022] 根据本发明的方法的第三有利变型,规定第一操作软件和第二操作软件分别包括第一组件和第二组件,其中,在用第二操作软件替换第一操作软件时,用第二操作软件的第一组件替换第一操作软件的第一组件,并且用第二操作软件的第二组件替换第一操作软件的第二组件。
[0023] 所有三种变型的优点在于,尽管第一操作软件可以被第二操作软件完全替换,但这并不构成绝对必要。相反,可以用第二操作软件的相对应部分替换第一操作软件的部分,使得未更新部分保持不变。
[0024] 根据本发明的方法的一有利实施例,规定仅需要第二操作软件的第二组件的认证测试的成功实现方式用于由第二操作软件替换第一操作软件。例如,在不需要认证的情况下,以这种方式,可以更新仅用于显示信息(例如,现场设备的显示器中的菜单结构)或用于提高安全性的那些功能,其中更新现场设备的关键功能(例如,关于测量功能或测量功能的精确实时行为)必须要求第二操作软件的成功认证测试。
[0025] 在根据本发明的方法的有利实施例中,规定第一组件提供安全功能、HMI功能、GUI功能和/或到上级单元的接口。术语“安全”表示防止第三方操纵现场设备。以这种方式寻求保护现场设备不能够被未授权方破坏,或者防止能够通过未授权干预而关闭安全功能和/或改变现场设备的设备参数。
[0026] 术语“HMI”(“人机界面”)被理解为例如现场设备的操作功能。术语“GUI”(“
图形用户界面”)被理解为现场设备的显示元件,例如在其显示器上。GUI功能例如是在现场设备的显示器上或其菜单结构上呈现信息的方式。可以经由到上级单元的接口或者经由通信网络来
访问现场设备。
[0027] 在根据本发明的方法的有利实施例中,规定第二组件提供关于其测量功能影响现场设备的功能,特别是测量值检测的时间协调。
[0028] 根据本发明的方法的有利发展,提供了将第一操作软件或第二操作软件的第一组件和第二组件分配以分开现场设备的处理单元,例如所谓的
微控制器。在更新个别组件时,只有这些组件在其关联的处理单元处被覆盖。
附图说明
[0029] 下面将参照附图更详细地解释本发明。说明如下:
[0030] 图1是根据本发明的方法的示例性实施例的示意性概观。具体实施例
[0031] 图1示出了根据本发明的方法的应用示例的示意性概观。示出了被放置在过程设施的测量站中的现场设备FG。现场设备FG是用于检测过程变量(例如,管道中的压力或流速)的自动化技术现场设备。这种现场设备FG的附加应用已经在说明书的引言部分中详细解释。
[0032] 该现场设备FG具有
通信接口KS,并且经由所述通信接口KS连接到通信网络KN。通信接口KS是例如根据以太网、HART、Profibus、Modbus、或Foundation现场总线标准集成到现场设备FG中的现场总线接口。在这种情况下,通信网络KN是这样的自动化技术现场总线。现场设备FG经由通信网络KN与附加现场设备和具有一个或多个上级单元的控制级进行通信连接。根据本发明,操作单元BE参与与现场设备FG通信连接。特别地,操作单元BE是控制级的组件,例如工作站PC或在距设施一定距离处布置的
服务器,特别是
云使能服务器,即其经由互联网连接到设施的一个或多个组件,例如甚至直接连接到现场设备FG。
[0033] 可替代地,通信接口KS被设计为服务接口(例如,无线或有线CDI接口,由
申请人生产和销售的许多现场设备都具有该服务接口),其被设计为建立独立于现场总线的附加通信网络,用于连接到操作单元BE。在这种情况下,操作单元BE尤其是移动操作单元,例如由申请人生产和销售的“Field Xpert”,或移动终端设备,诸如智能电话或
平板电脑。这种类型的操作单元BE也可以连接到现场总线,并经由现场总线与现场设备FG通信。
[0034] 在现场设备FG中实现第一操作软件BS1。该第一操作软件BS1由第一组件K1和第二组件K2组成。特别地,第一组件K1提供安全功能、HMI功能、和/或GUI功能,而特别地,第二组件K2提供关于其测量功能而影响现场设备FG的功能,特别是测量值检测的时间协调。
[0035] 在开发和销售现场设备类型之后,这接收其固件的定期更新,并且因此接收第一操作软件BS1的定期更新。特别地,必须迅速地关闭所发现的安全漏洞,这就是为什么与第一操作软件的第一“快速移动”组件K1有关的更新比对第一操作软件BS1的第二“持久”组件K2的更新更频繁地发布。
[0036] 为了更新第一操作软件BS1,第二(更当前的)操作软件BS2经由通信网络KN从操作单元BE加载到现场设备。这已由设施操作员进行了充分的测试和批准。在批准过程中,签名SIG 1已被添加到第二个操作软件。借助于第一私钥S1来计算该签名SIG1。由此,第一私钥S1的内容仅对设施操作员已知。
[0037] 在接收到第二操作软件BS2之后,现场设备FG测试其真实性。为此,使用与第一私钥S1相对应的第一公钥S1’,该第一公钥S1’被存储在现场设备FG中。只有在已经成功地确认了真实性的情况下,现场设备FG才接受第二操作软件BS2,并且用第二操作软件BS2覆盖其已经存在的操作软件BS1。
[0038] 在第二操作软件BS2的真实性不应当被成功确认的情况下,现场设备上存在的第一操作软件BS1不会用第二操作软件BS2覆盖。因此,未授权方不可能利用固件的未授权版本来破坏现场设备FG。此外,也不可能意外地使用尚未被设施操作员批准用于更新的固件的版本。此外,还可以规定作为第二操作软件BS2的创建者的现场设备制造商向该第二操作软件BS2提供有利用第二私钥S2创建的其自己的签名SIG2。在这种情况下,现场设备检查签名SIG1、SIG2二者并使用第二公钥S2’来测试真实性,该第二公钥S2’与第二私钥S2相对应。只有在两种情况下都已经成功地检查了真实性的条件下,才利用第二操作软件进行现场设备固件的更新。
[0039] 在更新第一操作软件BS1时,两个组件K1、K2不必需要被更新。根据该应用,可以规定用于仅第一组件K1或仅第二组件K2将被更新。此外,可以规定仅签名第二操作软件BS2的第二组件K2’。因此只需要成功地实现第二操作软件BS2的第二组件K2’的认证测试。例如,在不需要认证的情况下,以这种方式,可以更新仅用于显示信息(例如,现场设备的显示器中的菜单结构)或用于提高安全性的那些功能,其中更新现场设备FG的关键功能必须要求成功地对第二操作软件BS2的第二组件K2’进行认证测试。
[0040] 在一有利的实施例中,现场设备FG在其内部结构中具有两个或多个处理单元(例如,以微控制器的形式);组件K1和K2在不同的处理单元上执行。该程序允许组件K1和K2彼此独立地修改,并且以简单的方式成功地用于各种
配对。可替代地,能够在单个处理单元上执行组件K1和K2,并且能够经由诸如动态库接口(DLL)或者甚至使用被称为
虚拟机的软件接口来合并这些组件,使得组件K1和K2可以在不同版本中共同操作。
[0041] 为了实际地实现,对于
软件组件的存储和传输,该方法有利地使用所谓的容器数据格式,例如经由扩展
标记语言(XML)或经由用于在互联网上使用的X509标准的范围内使用的安全证书的区分编码规则(DER)标准化的容器数据格式。除了软件的源代码之外,元信息(例如,数字签名)也可以以这样的容器格式存储。同时,在这样的容器数据格式中,还能够将各种软件子组件K1、K2
捆绑到公共文件中,并且将它们与诸如数字签名字段的公共或单独的元信息相关联。
[0042] 在设施中启动时,将该设施的公钥(第一公钥S1’)传输到现场设备FG,其中现场设备FG被配置,使得在软件更新的情况下,这可以仅接受包含在所传输的容器数据文件中存储的有效签名字段作为元信息的软件,该签名字段是用第一私钥生成的。
[0043] 因此,现场设备FG的配置可以有利地进行,使得对于批准过程的范围内的该设施所完成的、具有第一私钥S1’的附加签名SIG1仅针对包括对测量功能的直接影响的那些软件部分被强制执行。因此,即使尚未在设施操作员处执行正式批准过程,也可以快速输入安全
补丁。
[0044] 然后,针对设施操作员的批准过程将针对现场设备FG的新软件进行,使得首先发生测试功能能力(测量性能、时间响应、与控制中心处的
驱动器的兼容性等)。在已经发生了正向测试(positive testing)之后,附加的元信息将由设施操作员用现场设备制造商的固件的容器文件中的正向测试固件的签名SIG1、SIG2来补充。附加地在数据文件中包含的该签名SIG1、SIG2将借助于由设施操作员保密的第一私钥S1来计算。
[0045] 然后,可以在更新过程中将该补充文件传输到现场设备FG。由于其已经发生的配置,现场设备FG然后例如寻找设施操作员的有效签名字段,并且用所传输的第一公钥S1(在设备启动时从设施操作员传输)来测试该签名字段。
[0046] 此外,现场设备可选地或可替代地使用现场设备制造商的同样已知的第二公钥S2(其例如已经在设备制造商的生产过程的范围内传输)检查第二签名字段(由现场设备制造商生成)的存在。
[0047] 根据现场设备FG的配置,有利地为功能定义和安全定义软件子组件K1和K2设置不同的认证要求。例如,第一组件K1中的安全补丁可以仅基于现场设备制造商的有效签名SIG1(用第二私钥/公钥S2、S2’生成/测试)而被接受,而设施操作员的签名(用第一私钥/公钥S1、S1’生成/测试)对于测量功能(第二组件K2)将附加地成为强制性的。在一有利的实施例中,签名测试将外包给单独的
硬件模
块(称为
智能卡芯片组)。这些芯片可用作硬焊或还可作为可插拔模块,这些芯片经由所谓的侧通道保护,尤其是经由安全密码硬件
加速器,允许特别安全的实现。
[0048] 在可插入的智能卡芯片组的情况下,由设施操作员对现场设备FG的初始参数化可以通过将设施操作员预配置的智能卡插入到现场设备FG的相关插座中来进行,类似于如何用
移动电话实现所谓的“SIM”卡。
[0049] 元件符号列表
[0050] BE 操作单元
[0051] BS1 第一操作软件
[0052] BS2 第二操作软件
[0053] FG 现场设备
[0054] K1,K2 第一操作软件的组件
[0055] K1’,K2’ 第二操作软件的组件
[0056] KN 通信网络
[0057] KS 通信接口
[0058] S1,S2 私钥
[0059] S1’,S2’ 公钥
[0060] SIG1,SIG2 签名
