雙重安全關(guān)鍵的分布式系統(tǒng)中的非關(guān)鍵部件的軟件更新的制作方法
【專利說(shuō)明】
【背景技術(shù)】
[0001]被證實(shí)為是極其困難或幾乎不可行的是:運(yùn)行數(shù)據(jù)裝置、例如個(gè)人計(jì)算機(jī)��,使得所述數(shù)據(jù)裝置可以在無(wú)法確定安全隱患的情況下運(yùn)行�。由此當(dāng)數(shù)據(jù)裝置屬于安全關(guān)鍵的、配設(shè)有安全相關(guān)的和非安全相關(guān)的軟件的系統(tǒng)時(shí)�����,產(chǎn)生特殊問(wèn)題,所述系統(tǒng)在其使用之前必須進(jìn)行類型檢查并且(例如在聯(lián)鎖系統(tǒng)的操作裝置或列車安全系統(tǒng)中)必須以耗費(fèi)的程序來(lái)許可���。此后不再允許改變軟件�。這根據(jù)現(xiàn)有技術(shù)甚至自動(dòng)地被監(jiān)控并且這種系統(tǒng)在確定變化之后自動(dòng)地停止��。如果在檢查和許可這種系統(tǒng)之后產(chǎn)生通過(guò)升級(jí)或補(bǔ)丁將非安全相關(guān)的軟件引入到這種系統(tǒng)中的必要性�,那么要么必須使用已許可的、可明確識(shí)別的軟件要么必須執(zhí)行用于許可的重新的檢查�����。
【發(fā)明內(nèi)容】
[0002]本發(fā)明基于如下目的:提出一種用于運(yùn)行安全關(guān)鍵的系統(tǒng)的方法����,借助所述方法能夠以相對(duì)小的耗費(fèi)更新系統(tǒng)。
[0003]為了實(shí)現(xiàn)該目的�����,根據(jù)本發(fā)明����,適合的是一種用于運(yùn)行安全關(guān)鍵的系統(tǒng)的方法����,所述系統(tǒng)具有至少一個(gè)第一數(shù)據(jù)裝置和至少一個(gè)參考數(shù)據(jù)裝置��,所述第一數(shù)據(jù)裝置具有已許可的�����、安全相關(guān)的軟件��,所述參考數(shù)據(jù)裝置具有相同的已許可的安全相關(guān)的軟件��,其中在對(duì)系統(tǒng)進(jìn)行類型檢查之后�����,為至少一個(gè)第一數(shù)據(jù)裝置配設(shè)至少一個(gè)非安全相關(guān)的附加軟件并且禁止至少一個(gè)參考數(shù)據(jù)裝置的軟件修改;在輸出安全技術(shù)方面的數(shù)據(jù)信息之前����,借助于比較裝置檢查至少一個(gè)第一數(shù)據(jù)裝置和至少一個(gè)參考數(shù)據(jù)裝置的輸出信息的關(guān)于安全相關(guān)的軟件的一致性����,并且僅在一致的情況下輸出安全技術(shù)方面的數(shù)據(jù)信息。
[0004]根據(jù)本發(fā)明的方法的一個(gè)主要優(yōu)點(diǎn)在于:提供如下可行性:后續(xù)地����、即在許可之后將非安全相關(guān)的軟件更新或補(bǔ)充到安全關(guān)鍵的系統(tǒng)中����,而不必隨后與重新許可一起重新進(jìn)行類型檢查��。
[0005]為了確保安全性�����,在具有多個(gè)第一數(shù)據(jù)裝置和多個(gè)參考數(shù)據(jù)裝置的系統(tǒng)中尤其有利的是����,僅當(dāng)關(guān)于安全相關(guān)的軟件檢查第一數(shù)據(jù)裝置和參考數(shù)據(jù)裝置的輸出信息得出分別關(guān)于第一數(shù)據(jù)裝置和參考數(shù)據(jù)裝置的特定多數(shù)存在一致性時(shí),才輸出安全技術(shù)方面的數(shù)據(jù)?目息O
[0006]根據(jù)本發(fā)明的方法提供有利的可行性:使用數(shù)據(jù)保護(hù)軟件作為附加軟件��,其中所述數(shù)據(jù)保護(hù)軟件尤其能夠是病毒防護(hù)軟件或通常能夠是惡意軟件防護(hù)軟件��。
[0007]此外����,根據(jù)本發(fā)明的方法有利地允許:使用外部軟件作為附加軟件,將外部軟件理解為例如商業(yè)軟件�、而非由安全關(guān)鍵的系統(tǒng)的研發(fā)人員親自研發(fā)的軟件或未經(jīng)檢查的軟件。
[0008]由此��,根據(jù)本發(fā)明的方法關(guān)于非安全相關(guān)的軟件的類型方面不受限制。
[0009]在根據(jù)本發(fā)明的方法的一個(gè)尤其有利的實(shí)施方式中��,在進(jìn)行類型檢查之前以如下方式為至少一個(gè)第一數(shù)據(jù)裝置配設(shè)至少一個(gè)非安全相關(guān)的附加軟件:將程序與數(shù)據(jù)彼此分開(kāi)���,其中使用具有代碼的測(cè)試數(shù)據(jù)作為數(shù)據(jù);在進(jìn)行類型檢查之后���,在使用代碼的條件下在檢查當(dāng)前數(shù)據(jù)的有效性之后為至少一個(gè)第一數(shù)據(jù)裝置在同一程序中提供當(dāng)前的數(shù)據(jù)。代碼能夠是簽名����。根據(jù)本發(fā)明的方法的該實(shí)施方式的特征在于���,通過(guò)更新附加軟件以大的安全性避免安全關(guān)鍵的系統(tǒng)的故障�����。
[0010]根據(jù)本發(fā)明的該實(shí)施方式也能夠與如下安全關(guān)鍵的系統(tǒng)分開(kāi)使用��,所述安全關(guān)鍵的系統(tǒng)具有至少一個(gè)第一數(shù)據(jù)裝置和至少一個(gè)參考數(shù)據(jù)裝置�����,所述第一數(shù)據(jù)裝置具有已許可的安全相關(guān)的軟件����,所述參考數(shù)據(jù)裝置具有相同的已許可的安全相關(guān)的軟件,即也能夠在具有就上述第一數(shù)據(jù)裝置而言的一個(gè)數(shù)據(jù)裝置或多個(gè)數(shù)據(jù)裝置的安全關(guān)鍵的系統(tǒng)中使用�。
[0011]當(dāng)在作為附加軟件的數(shù)據(jù)保護(hù)軟件中保證程序的功能性不能夠由數(shù)據(jù)影響時(shí),也有利地有助于無(wú)干擾地更新附加軟件�。
[0012]在本文中有利的是:在使用附加軟件時(shí)借助于安全相關(guān)的軟件檢查該附加軟件的數(shù)據(jù)的代碼的有效性。
[0013]安全關(guān)鍵的系統(tǒng)能夠是類型完全不同的系統(tǒng)��,此外能夠是用于聯(lián)鎖機(jī)構(gòu)的操作系統(tǒng)或列車安全系統(tǒng)�。當(dāng)使用列車安全系統(tǒng)作為安全關(guān)鍵的系統(tǒng)并且使用運(yùn)行計(jì)算機(jī)作為至少一個(gè)第一數(shù)據(jù)裝置以及使用聯(lián)鎖機(jī)構(gòu)作為比較裝置時(shí),顯得是尤其有利的�����。
【附圖說(shuō)明】
[0014]為了進(jìn)一步闡述本發(fā)明�,在附圖中示意地示出具有第一數(shù)據(jù)裝置和參考數(shù)據(jù)裝置的設(shè)置。
【具體實(shí)施方式】
[0015]附圖示出第一數(shù)據(jù)裝置1�,所述第一數(shù)據(jù)裝置能夠是列車安全系統(tǒng)的運(yùn)行計(jì)算機(jī)。第一數(shù)據(jù)裝置I包含已許可的��、安全相關(guān)的軟件2��。參考數(shù)據(jù)裝置4經(jīng)由數(shù)據(jù)連接3與第一數(shù)據(jù)裝置I連接�,所述參考數(shù)據(jù)裝置同樣配設(shè)有已許可的、安全相關(guān)的軟件2��。
[0016]第一數(shù)據(jù)裝置I經(jīng)由一個(gè)數(shù)據(jù)通道5并且參考數(shù)據(jù)裝置4經(jīng)由另一數(shù)據(jù)通道6與比較裝置7連接,所述比較裝置的功能在列車安全系統(tǒng)中由未示出的聯(lián)鎖機(jī)構(gòu)或另一安全導(dǎo)向的比較器承擔(dān)�����。
[0017]為了進(jìn)一步描述根據(jù)本發(fā)明的方法而假設(shè):適才描述的設(shè)置在該狀態(tài)下經(jīng)受類型檢查和許可�����。如果此后該設(shè)置例如配設(shè)有呈病毒保護(hù)程序形式的附加軟件8����,那么同時(shí)禁止參考數(shù)據(jù)裝置4的軟件修改;所述參考數(shù)據(jù)裝置始終僅配設(shè)有安全相關(guān)的軟件2。
[0018]如果應(yīng)由比較裝置7輸出安全技術(shù)方面的數(shù)據(jù)信息D��,那么事先由比較裝置7獲取第一數(shù)據(jù)裝置和參考數(shù)據(jù)裝置4的輸出信息Al和Ar;關(guān)于安全相關(guān)的軟件2檢查這些輸出信息Al和Ar���,并且當(dāng)安全相關(guān)的軟件2—致時(shí),輸出安全技術(shù)方面的數(shù)據(jù)信息D����。
[0019]除了不相關(guān)的附加軟件8之外,第一數(shù)據(jù)裝置還能夠設(shè)有另一非安全相關(guān)的附加軟件9����,所述附加軟件在列車安全系統(tǒng)的情況下例如能夠是用于對(duì)車站設(shè)施進(jìn)行視頻監(jiān)控的任意軟件�,或者設(shè)有附加的附加軟件10�����,所述附加軟件能夠是用于鐵路交叉口監(jiān)控設(shè)施的軟件�����。
[0020]在此�,第一數(shù)據(jù)裝置I未示出地能夠以如下方式配設(shè)相應(yīng)的附加軟件8、9和10:分別將程序和屬于其的數(shù)據(jù)分開(kāi)���。在進(jìn)行類型檢查或許可之前���,將具有測(cè)試數(shù)據(jù)和代碼的相應(yīng)的程序存儲(chǔ)在第一數(shù)據(jù)裝置I中。顯然���,相應(yīng)內(nèi)容關(guān)于第一數(shù)據(jù)裝置I和參考數(shù)據(jù)裝置4適用于安全相關(guān)的軟件2�����。
[0021]如果在進(jìn)行類型檢查之后第一數(shù)據(jù)裝置應(yīng)關(guān)于例如附件軟件8方面進(jìn)行更新��,那么給第一數(shù)據(jù)裝置I提供關(guān)于該軟件的更新數(shù)據(jù)�。在此,以與當(dāng)前數(shù)據(jù)的轉(zhuǎn)移無(wú)關(guān)的方式使用代碼并且檢查一致性��。也檢查當(dāng)前數(shù)據(jù)的有效性����。在此確保:附加軟件的數(shù)據(jù)不能夠改變附加軟件的程序的功能性。
[0022]在此�����,只要保證更新無(wú)法使上述安全機(jī)制失效�����,尤其當(dāng)能夠排除參考裝置4經(jīng)由數(shù)據(jù)連接3所受的影響時(shí)更新無(wú)法使上述安全機(jī)制失效�,那么就也能夠進(jìn)行附加軟件的更新。
【主權(quán)項(xiàng)】
1.一種用于運(yùn)行安全關(guān)鍵的系統(tǒng)的方法��,所述系統(tǒng)具有至少一個(gè)第一數(shù)據(jù)裝置(I)和至少一個(gè)參考數(shù)據(jù)裝置(4)�����,所述第一數(shù)據(jù)裝置具有已許可的安全相關(guān)的軟件(2)�����,所述參考數(shù)據(jù)裝置具有相同的已許可的安全相關(guān)的軟件(2)���,其中在對(duì)所述系統(tǒng)進(jìn)行類型檢查之后為至少一個(gè)所述第一數(shù)據(jù)裝置(I)配設(shè)至少一個(gè)非安全相關(guān)的附加軟件(8�����,9����,10)�,并且禁止至少一個(gè)所述參考數(shù)據(jù)裝置(4)的軟件修改, 在輸出安全技術(shù)方面的數(shù)據(jù)信息(D)之前�����,借助于比較裝置(7)檢查至少一個(gè)所述第一數(shù)據(jù)裝置(I)的和至少一個(gè)所述參考數(shù)據(jù)裝置(4)的輸出信息(Al���,Ar)的關(guān)于所述安全相關(guān)的軟件(2)的一致性���,以及 在一致的情況下輸出安全技術(shù)方面的所述數(shù)據(jù)信息(D)。2.根據(jù)權(quán)利要求1所述的方法����, 其特征在于����, 當(dāng)關(guān)于所述安全相關(guān)的軟件檢查所述第一數(shù)據(jù)裝置的和所述參考數(shù)據(jù)裝置的所述輸出信息得出分別關(guān)于所述第一數(shù)據(jù)裝置的和所述參考數(shù)據(jù)裝置的特定多數(shù)存在一致性時(shí)����,在多個(gè)數(shù)據(jù)裝置和多個(gè)參考數(shù)據(jù)裝置中輸出安全技術(shù)方面的數(shù)據(jù)信息。3.根據(jù)權(quán)利要求1或2所述的方法����, 其特征在于, 使用數(shù)據(jù)保護(hù)軟件(8)作為附加軟件�。4.根據(jù)上述權(quán)利要求中任一項(xiàng)所述的方法, 其特征在于����, 使用外部軟件(9,10)作為附加軟件���。5.根據(jù)上述權(quán)利要求中任一項(xiàng)所述的方法�, 其特征在于����, 在進(jìn)行類型檢查之前以如下方式為至少一個(gè)所述第一數(shù)據(jù)裝置配設(shè)至少一個(gè)非安全相關(guān)的附加軟件:將程序與數(shù)據(jù)彼此分開(kāi),其中使用具有代碼的測(cè)試數(shù)據(jù)作為數(shù)據(jù)�,以及在進(jìn)行類型檢查之后,在檢查當(dāng)前數(shù)據(jù)的有效性之后使用代碼為至少一個(gè)所述第一數(shù)據(jù)裝置在相同的所述程序中提供當(dāng)前的數(shù)據(jù)����。6.根據(jù)權(quán)利要求5所述的方法, 其特征在于���, 在作為附加軟件的數(shù)據(jù)保護(hù)軟件中保證所述程序的功能性不能夠受所述數(shù)據(jù)影響����。7.根據(jù)權(quán)利要求5或6所述的方法����, 其特征在于, 在使用所述附加軟件時(shí)����,借助于所述安全相關(guān)的軟件檢查所述附加軟件的所述數(shù)據(jù)的所述代碼的有效性。8.根據(jù)權(quán)利要求5至7中任一項(xiàng)所述的方法��, 其特征在于��, 為了更新所述附加軟件(8��,9,10)�,以與當(dāng)前的數(shù)據(jù)的轉(zhuǎn)移無(wú)關(guān)的方式使用代碼為一個(gè)所述第一數(shù)據(jù)裝置(I)提供關(guān)于所述附加軟件的當(dāng)前的數(shù)據(jù)。9.根據(jù)上述權(quán)利要求中任一項(xiàng)所述的方法�, 其特征在于, 使用列車安全系統(tǒng)作為安全關(guān)鍵的系統(tǒng)并且使用運(yùn)行計(jì)算機(jī)作為至少一個(gè)所述第一數(shù)據(jù)裝置以及使用聯(lián)鎖機(jī)構(gòu)作為比較裝置����。
【專利摘要】本發(fā)明涉及一種用于運(yùn)行安全關(guān)鍵的系統(tǒng)的方法,所述系統(tǒng)具有至少一個(gè)第一數(shù)據(jù)裝置(1)和至少一個(gè)參考數(shù)據(jù)裝置(4)�,所述第一數(shù)據(jù)裝置具有已許可的安全相關(guān)的軟件(2),所述參考數(shù)據(jù)裝置具有相同的已許可的安全相關(guān)的軟件(2)��。在所述方法中���,在對(duì)系統(tǒng)進(jìn)行類型檢查之后給至少一個(gè)第一數(shù)據(jù)裝置(1)配設(shè)至少一個(gè)非安全相關(guān)的附加軟件(8�����,9�����,10)并且禁止至少一個(gè)參考數(shù)據(jù)裝置(4)的軟件修改��。在輸出安全技術(shù)方面的數(shù)據(jù)信息(D)之前�����,借助于比較裝置(7)檢查至少一個(gè)第一數(shù)據(jù)裝置(1)的和至少一個(gè)參考數(shù)據(jù)裝置(4)的輸出信息(A1�����,Ar)的關(guān)于安全相關(guān)的軟件(2)的一致性�����,以及在一致的情況下輸出安全技術(shù)方面的數(shù)據(jù)信息(D)���。
【IPC分類】G05B19/00, H04L29/06, G06F21/57, G06F21/74, G05B9/00, H04L29/08, G06F11/07, B61L27/00, H04L1/22, G06F11/16
【公開(kāi)號(hào)】CN105555638
【申請(qǐng)?zhí)枴緾N201480051903
【發(fā)明人】延斯·布拉班德
【申請(qǐng)人】西門子公司
【公開(kāi)日】2016年5月4日
【申請(qǐng)日】2014年9月4日
【公告號(hào)】DE102013218814A1, EP3027483A1, WO2015039878A1