本發(fā)明涉及一種用于在至少一個(gè)生成數(shù)據(jù)的單元與遠(yuǎn)程通信單元之間傳送數(shù)據(jù)的裝置，其中，所述裝置具有至少一個(gè)用于具有網(wǎng)絡(luò)功能的通信協(xié)議的接口用以與遠(yuǎn)程通信單元經(jīng)由非私有的并且優(yōu)選可公開(kāi)訪(fǎng)問(wèn)的網(wǎng)絡(luò)安全通信以及至少一個(gè)用于硬件相關(guān)的通信協(xié)議的接口用以與生成數(shù)據(jù)的單元通信。此外，本發(fā)明涉及一種用于在這樣的裝置與遠(yuǎn)程通信單元之間傳送數(shù)據(jù)的方法。

背景技術(shù)：

在通信技術(shù)中的技術(shù)發(fā)展越來(lái)越多地能實(shí)現(xiàn)在不久之前還不可能的服務(wù)，因?yàn)槠陂g越來(lái)越多的技術(shù)對(duì)象能夠經(jīng)由因特網(wǎng)傳送數(shù)據(jù)并且例如由遠(yuǎn)程經(jīng)由因特網(wǎng)獲得控制命令。為此的例子是由智能電話(huà)遠(yuǎn)程控制加熱設(shè)施，或在工業(yè)領(lǐng)域中對(duì)產(chǎn)品的監(jiān)控和遠(yuǎn)程維護(hù)。

這些新策略的重要領(lǐng)域稱(chēng)為“智能服務(wù)”，其中可將其理解為如下服務(wù)，該服務(wù)由制造商或服務(wù)提供方經(jīng)由因特網(wǎng)在客戶(hù)的設(shè)備和機(jī)構(gòu)上進(jìn)行。然而一個(gè)問(wèn)題在于，經(jīng)常還必須完成用于這樣的服務(wù)的前提條件，因?yàn)樾枰拿嫦蚍?wù)的架構(gòu)(SOA)還不存在。

用于實(shí)現(xiàn)面向服務(wù)的架構(gòu)的前提條件在于，所有接入的設(shè)備必須能以任意方式進(jìn)行具有網(wǎng)絡(luò)功能的通信。結(jié)合本申請(qǐng)將如下協(xié)議視為“具有網(wǎng)絡(luò)功能的”，該協(xié)議允許經(jīng)由公開(kāi)的、亦即第三方可訪(fǎng)問(wèn)的網(wǎng)絡(luò)特別是因特網(wǎng)建立優(yōu)選符合AAA并且能加密的通信連接并且進(jìn)行經(jīng)此的數(shù)據(jù)傳輸。具有網(wǎng)絡(luò)功能的協(xié)議的協(xié)議堆在此形成OSI參考模型的所有7層。

通信連接在此一般通過(guò)網(wǎng)絡(luò)服務(wù)方建立。網(wǎng)絡(luò)服務(wù)方的標(biāo)記特別是連接建立的類(lèi)型。在此，通信由遠(yuǎn)程通信單元建立，該遠(yuǎn)程通信單元將從終端設(shè)備調(diào)用數(shù)據(jù)。為此需要的是，在安全架構(gòu)中在終端設(shè)備位置上用于到達(dá)通信的端口處于打開(kāi)，通過(guò)該端口可以由遠(yuǎn)程通信單元建立與終端設(shè)備的通道。打開(kāi)的端口和由遠(yuǎn)程導(dǎo)入數(shù)據(jù)調(diào)用的可能性是潛在的安全風(fēng)險(xiǎn)并且因此為黑客攻擊所利用。

為了更安全地設(shè)計(jì)這樣的連接而應(yīng)用證書(shū)，該證書(shū)存儲(chǔ)在終端設(shè)備上，并且通過(guò)證書(shū)可以確保調(diào)用的設(shè)備的身份并且建立加密連接。然而為了建立安全通信，首先必須建立在遠(yuǎn)程通信單元與終端設(shè)備之間的連接，這又提供攻擊可能。

高度復(fù)雜的例如用于生產(chǎn)或用于實(shí)施測(cè)試的工業(yè)設(shè)施一般包括大量制造方的設(shè)備，其中多個(gè)專(zhuān)家負(fù)責(zé)各個(gè)構(gòu)件的維護(hù)。對(duì)于這樣的構(gòu)件的制造方最大興趣在于，由客戶(hù)獲得關(guān)于其產(chǎn)品使用的信息，一方面以便獲得用于進(jìn)一步研發(fā)的數(shù)據(jù)，另一方面以便可以提供匹配的維護(hù)和服務(wù)策略，這對(duì)于客戶(hù)也是有利的。

在工業(yè)環(huán)境中主要存在三個(gè)大的問(wèn)題組，它們推遲了實(shí)現(xiàn)：

首先，相比于消費(fèi)產(chǎn)品例如智能電話(huà)，工業(yè)系統(tǒng)的多個(gè)構(gòu)件非常特定地對(duì)于其相應(yīng)應(yīng)用確定并且經(jīng)常僅具有簡(jiǎn)單有線(xiàn)連接的模擬信號(hào)輸出經(jīng)由現(xiàn)場(chǎng)總線(xiàn)例如CAN或Profibus直至簡(jiǎn)單的網(wǎng)絡(luò)系統(tǒng)例如以太網(wǎng)非常受限的通信可能。關(guān)于OSI層模型，這樣的硬件相關(guān)的通信協(xié)議大多可設(shè)置在層1、2和3中。這樣的連接解決方案僅適用于局部網(wǎng)絡(luò)并且在安全系統(tǒng)上缺乏。與因特網(wǎng)的連接在這樣的系統(tǒng)中僅通過(guò)網(wǎng)關(guān)就可行，但是系統(tǒng)由此將經(jīng)受攻擊的極度危險(xiǎn)，特別是當(dāng)對(duì)于第三方亦即例如服務(wù)提供方應(yīng)同意訪(fǎng)問(wèn)系統(tǒng)的數(shù)據(jù)時(shí)。因此這樣的系統(tǒng)僅分離應(yīng)用并且該分離的架構(gòu)排除連接到面向服務(wù)的架構(gòu)。

第二，大多涉及發(fā)展的系統(tǒng)，在這些系統(tǒng)中，共同應(yīng)用多代的結(jié)構(gòu)元件?；诠I(yè)構(gòu)件的長(zhǎng)的壽命，這些工業(yè)構(gòu)件經(jīng)?？梢詳?shù)十年地應(yīng)用。將設(shè)施的所有構(gòu)件同時(shí)更換為“具有因特網(wǎng)功能的”設(shè)備然而出于成本原因大多不被考慮并且將引來(lái)另外的安全問(wèn)題。

第三，系統(tǒng)數(shù)據(jù)經(jīng)常是高度靈敏的數(shù)據(jù)，這些數(shù)據(jù)應(yīng)在競(jìng)爭(zhēng)對(duì)手面前保持秘密，并且經(jīng)常也不應(yīng)在系統(tǒng)制造方或在服務(wù)提供方給出。對(duì)于公司非常重要的是，該公司可以隨時(shí)通過(guò)其數(shù)據(jù)的使用而確定。因此出于數(shù)據(jù)安全的類(lèi)似原因，出于工業(yè)目的大多不考慮如下通信系統(tǒng)，該通信系統(tǒng)對(duì)于消費(fèi)方實(shí)現(xiàn)。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于，克服現(xiàn)有技術(shù)的缺點(diǎn)。特別是也應(yīng)可以將設(shè)備接入到面向服務(wù)的架構(gòu)中，所述設(shè)備僅可以通過(guò)硬件相關(guān)的通信協(xié)議通信。然而對(duì)所述設(shè)備的訪(fǎng)問(wèn)必須可以排除未經(jīng)授權(quán)方。按照本發(fā)明，在此現(xiàn)在還應(yīng)用的舊設(shè)備也應(yīng)可以接入到面向服務(wù)的架構(gòu)中。作為另外的安全要求，按照本發(fā)明應(yīng)簡(jiǎn)單且可實(shí)現(xiàn)地可行的是，準(zhǔn)確確定對(duì)于所有參與方的數(shù)據(jù)訪(fǎng)問(wèn)資格。

結(jié)合具體描述一般將如下通信協(xié)議稱(chēng)為“硬件相關(guān)的通信協(xié)議”，該通信協(xié)議的層結(jié)構(gòu)或協(xié)議堆不包括OSI模型的所有7層，特別是不具有表示層(層6)的協(xié)議，并且因此不僅不允許跨越系統(tǒng)的通信也不允許數(shù)據(jù)加密。硬件相關(guān)的通信協(xié)議的特征是：該硬件相關(guān)的通信協(xié)議不能實(shí)現(xiàn)安全協(xié)議的實(shí)施，所述安全協(xié)議的實(shí)施將允許經(jīng)由分布式的(云)網(wǎng)絡(luò)的可靠的安全的通信。

用于硬件相關(guān)協(xié)議的存在的通信接口因此限于OSI模型的7層的僅最低，所述硬件相關(guān)協(xié)議例如可以利用現(xiàn)場(chǎng)總線(xiàn)技術(shù)或點(diǎn)對(duì)點(diǎn)以太網(wǎng)連接。特別簡(jiǎn)單的硬件相關(guān)的通信協(xié)議僅利用位傳輸層(層1)或位傳輸層和安全層(層2)的組合。

屬于用于位傳輸層的協(xié)議的例子是V.24、V.28、X.21、RS 232、RS 422、RS 423或RS 499。屬于利用層1和2的組合或僅層2的例子是以太網(wǎng)協(xié)議、HDLC、SDLC、DDCMP、IEEE 802.2(LLC)、ARP、RARP、STP、IEEE 802.11(WLAN)、IEEE 802.4(令牌總線(xiàn))、IEEE 802.5(令牌環(huán))或FDDI。

附加地也可以在硬件相關(guān)的通信協(xié)議中應(yīng)用較高層的協(xié)議。屬于層3至5的協(xié)議的例子是X.25、ISO 8208、ISO 8473(CLNP)、ISO 9542(ESIS)、IP、IPsec、ICMP、ISO 8073/X.224、ISO 8602、TCP、UDP、SCTP、ISO 8326/X.215(會(huì)議服務(wù))、ISO 8327/X.225(面向連接的會(huì)議協(xié)議)或ISO 9548(無(wú)連接會(huì)議協(xié)議)。

屬于硬件相關(guān)的通信協(xié)議的例子此外是經(jīng)由RS232的AK協(xié)議、經(jīng)由CAN的CANopen以及經(jīng)由RS485的Profibus-DP，所述硬件相關(guān)的通信協(xié)議特別是用于在測(cè)試環(huán)境范圍中例如在汽車(chē)領(lǐng)域中的工業(yè)應(yīng)用。特別是“汽車(chē)工業(yè)聯(lián)盟e.V./用于廢氣測(cè)量的標(biāo)準(zhǔn)化的工作循環(huán)技術(shù)”的AK協(xié)議始終還是在汽車(chē)領(lǐng)域中多個(gè)測(cè)試設(shè)施中的實(shí)際上的標(biāo)準(zhǔn)。該協(xié)議作為簡(jiǎn)單協(xié)議實(shí)現(xiàn)用于硬件相關(guān)的數(shù)據(jù)傳輸并且不提供實(shí)現(xiàn)三A系統(tǒng)(證實(shí)、授權(quán)、核算-AAA)的可能性。

按照本發(fā)明，以上限定的目標(biāo)通過(guò)開(kāi)頭所述類(lèi)型的裝置實(shí)現(xiàn)，該裝置具有安全控制器，該安全控制器能夠用于控制經(jīng)由具有網(wǎng)絡(luò)功能的接口和經(jīng)由硬件相關(guān)的接口的通信，其中，給安全控制器配置安全存儲(chǔ)器，該安全存儲(chǔ)器具有限定的存儲(chǔ)區(qū)域，其中，給至少一個(gè)存儲(chǔ)區(qū)域配置至少一個(gè)證書(shū)。這樣的裝置可以經(jīng)由硬件相關(guān)的接口與生成數(shù)據(jù)的單元、亦即特別是與應(yīng)接入到面向服務(wù)的架構(gòu)的各個(gè)設(shè)施構(gòu)件經(jīng)由其硬件相關(guān)的通信協(xié)議通信并且生成相應(yīng)數(shù)據(jù)，該相應(yīng)數(shù)據(jù)保存在確定的存儲(chǔ)區(qū)域中。為了調(diào)用數(shù)據(jù)，可以由遠(yuǎn)程通信單元經(jīng)由具有網(wǎng)絡(luò)功能的接口實(shí)施遠(yuǎn)程請(qǐng)求，其中，可以通過(guò)證書(shū)檢測(cè)用于請(qǐng)求的資格。對(duì)于每個(gè)存儲(chǔ)區(qū)域可以單個(gè)地確定相應(yīng)的訪(fǎng)問(wèn)授權(quán)的證書(shū)(或具有該證書(shū)的“證書(shū)優(yōu)先方”)。安全控制器確保：在安全控制器中的通信連接(所謂的“通道”)結(jié)束，并且對(duì)于遠(yuǎn)程通信單元而言不可能建立與終端設(shè)備(亦即生成數(shù)據(jù)的單元)的直接連接。因此，相應(yīng)證書(shū)也保存在安全控制器的安全存儲(chǔ)器中、而沒(méi)有保存在生成數(shù)據(jù)的單元的存儲(chǔ)器中。

證書(shū)一般表示如下對(duì)象，通過(guò)該對(duì)象可以確保人員或主管機(jī)關(guān)的信任和可配置性/不可否認(rèn)性。這特別是涉及所謂AAA一致性的證實(shí)和授權(quán)步驟。證書(shū)特別是可以用于運(yùn)輸和訪(fǎng)問(wèn)保護(hù)。在此，證書(shū)的公開(kāi)部分(“公開(kāi)密鑰”或者說(shuō)“Public Key”)用于保護(hù)，從而僅證書(shū)的相應(yīng)私人部分(“私人密鑰”或者說(shuō)“Private Key”)的擁有方具有訪(fǎng)問(wèn)或了解數(shù)據(jù)的可能。對(duì)于證書(shū)現(xiàn)在最流行的標(biāo)準(zhǔn)是X.509，也作為“公鑰基礎(chǔ)設(shè)施倉(cāng)庫(kù)(PKI-Store)”已知，對(duì)于本領(lǐng)域內(nèi)技術(shù)人員而言然而也已知另外可用的方法。

有利地，至少一個(gè)存儲(chǔ)區(qū)域可以包含在安全控制器上能運(yùn)行的程序代碼。由此，安全相關(guān)的程序部分(其例如限定安全控制器的工作方式)本身可以在安全存儲(chǔ)器中被保護(hù)免于操作并且其同樣可提供關(guān)于證書(shū)的訪(fǎng)問(wèn)控制。

有利地，所述包含程序代碼的存儲(chǔ)區(qū)域可以配置給安全控制器的硬件提供方的證書(shū)?；境绦虿糠忠虼藘H可以由安全芯片的硬件提供方改變，從而排除員工對(duì)安全特征的錯(cuò)誤解除或攻擊方的有意入侵。

本發(fā)明的一個(gè)有利的實(shí)施形式設(shè)定，至少一個(gè)存儲(chǔ)區(qū)域配置給確定的生成數(shù)據(jù)的單元，其中，存儲(chǔ)區(qū)域包含單元的明確的識(shí)別(獨(dú)特ID)、運(yùn)行數(shù)據(jù)、控制數(shù)據(jù)、設(shè)置數(shù)據(jù)和/或歷史數(shù)據(jù)。由此，例如對(duì)于服務(wù)提供方可能的是，借助于遠(yuǎn)程訪(fǎng)問(wèn)來(lái)訪(fǎng)問(wèn)相關(guān)數(shù)據(jù)并且也根據(jù)權(quán)限改變這些數(shù)據(jù)(例如以便在服務(wù)之后復(fù)位這些相關(guān)數(shù)據(jù))。通過(guò)將多個(gè)存儲(chǔ)區(qū)域配置給一個(gè)唯一的單元，通過(guò)不同證書(shū)的配置也可以實(shí)現(xiàn)負(fù)載的權(quán)限結(jié)構(gòu)。因?yàn)樵诎踩刂破髦械耐ㄐ胚B接結(jié)束，所以排除與生成數(shù)據(jù)的單元的通信以及通過(guò)遠(yuǎn)程通信單元對(duì)生成數(shù)據(jù)的單元的操作。

本發(fā)明的另一有利的實(shí)施形式可以規(guī)定，至少一個(gè)存儲(chǔ)區(qū)域包含證書(shū)和/或配置。因此也可以保護(hù)本身具有相同系統(tǒng)的證書(shū)免于外部訪(fǎng)問(wèn)。此外可以確定：誰(shuí)有權(quán)利改變配置并因此訪(fǎng)問(wèn)權(quán)限。在此可以特別有利的是，包含證書(shū)和/或配置的存儲(chǔ)區(qū)域配置給裝置的擁有方的證書(shū)。這經(jīng)常是有意義的，因?yàn)閾碛蟹奖旧碛纱丝梢韵薅ǎ涸撌褂梅浇o予第三方并且特別是服務(wù)提供方哪些權(quán)利。如果限定在安全控制器的程序代碼中的訪(fǎng)問(wèn)權(quán)限，那么可以實(shí)現(xiàn)特別高的安全等級(jí)。

有利地，安全控制器可以具有用于監(jiān)控生成數(shù)據(jù)的單元的機(jī)構(gòu)，所述單元連接到硬件相關(guān)的接口。由此可以知道：假如設(shè)備例如已未授權(quán)地更換和設(shè)備的數(shù)據(jù)是否是可信的，例如運(yùn)行小時(shí)計(jì)數(shù)器是否嚴(yán)格單調(diào)上升。

在一個(gè)優(yōu)選實(shí)施形式中，安全控制器可以集成在硬件芯片中。這阻止由安全控制器執(zhí)行的程序的操作。

為了保護(hù)安全控制器附加地免遭攻擊，硬件芯片可以有利地包括安全存儲(chǔ)器和集成的CPU。

在一個(gè)有利的實(shí)施形式中，硬件芯片可以包含加密模塊。加密模塊控制通信的加密。通過(guò)加密模塊集成到硬件芯片中，可以阻止針對(duì)加密方法的干擾的攻擊。

通過(guò)安全存儲(chǔ)器、集成的CUP和加密模塊在安全控制器中的組合(安全控制器集成在硬件芯片中)，安全控制器能夠不僅管理安全存儲(chǔ)器、而且也安全地執(zhí)行運(yùn)算操作本身。這具有如下優(yōu)點(diǎn)，即安全控制器“自給自足地”運(yùn)行，并且獨(dú)立于可攻擊的CUP。在此，安全控制器可以包括硬件編碼的程序部分，該程序部分通過(guò)基于數(shù)據(jù)的攻擊是不可操作的。

結(jié)合具體描述將如下存儲(chǔ)器稱(chēng)為安全存儲(chǔ)器，該存儲(chǔ)器被保護(hù)免遭未授權(quán)的訪(fǎng)問(wèn)。特別是這可以是如下存儲(chǔ)器，僅安全控制器訪(fǎng)問(wèn)該存儲(chǔ)器，并且該存儲(chǔ)器因此是不可被第三方方面操作的。

借助于該裝置可以有利地實(shí)施用于在裝置與遠(yuǎn)程通信單元之間傳送數(shù)據(jù)的方法，該方法的特征在于以下步驟：經(jīng)由具有網(wǎng)絡(luò)功能的接口與證書(shū)優(yōu)先方的通信單元建立通信連接，給所述證書(shū)優(yōu)先方配置證書(shū)；確定證書(shū)優(yōu)先方的證書(shū)；確定要傳送數(shù)據(jù)的存儲(chǔ)區(qū)域；檢測(cè)證書(shū)優(yōu)先方的證書(shū)與存儲(chǔ)區(qū)域的配置；以及在肯定的檢測(cè)的情況下，將在存儲(chǔ)區(qū)域中存儲(chǔ)的數(shù)據(jù)傳送給遠(yuǎn)程通信單元和/或從遠(yuǎn)程通信單元接收數(shù)據(jù)并且將接收的數(shù)據(jù)存儲(chǔ)在存儲(chǔ)區(qū)域中。借助于該方法可以在實(shí)踐中并且簡(jiǎn)單地實(shí)現(xiàn)復(fù)雜的安全架構(gòu)。

有利地，該方法還可以具有以下步驟：經(jīng)由硬件相關(guān)的接口接收或調(diào)用單元的(運(yùn)行)數(shù)據(jù)；以及在安全存儲(chǔ)器的配置給單元的存儲(chǔ)區(qū)域中存儲(chǔ)運(yùn)行數(shù)據(jù)。由此可以基于時(shí)間計(jì)劃通過(guò)確定的限定的事件或基于用戶(hù)請(qǐng)求而由裝置調(diào)用單元的(運(yùn)行)數(shù)據(jù)。在以下遠(yuǎn)程請(qǐng)求中不再需要訪(fǎng)問(wèn)該單元本身，因?yàn)閿?shù)據(jù)已經(jīng)保存在安全存儲(chǔ)器中。按照本發(fā)明因此不需要的是，通過(guò)證書(shū)證實(shí)的被授權(quán)方為了調(diào)用數(shù)據(jù)而直接訪(fǎng)問(wèn)單元本身。由此安全地阻止在設(shè)有所述單元的設(shè)施上的操作。

在一個(gè)特別優(yōu)選的實(shí)施形式中，裝置與遠(yuǎn)程通信單元的通信可以加密地實(shí)現(xiàn)。因?yàn)橄鄳?yīng)的通信對(duì)象通過(guò)證書(shū)證實(shí)，所以加密可以以簡(jiǎn)單的方式通過(guò)配置給證書(shū)的密碼對(duì)實(shí)現(xiàn)。

有利地可以在具有網(wǎng)絡(luò)功能的接口上實(shí)現(xiàn)純通過(guò)推動(dòng)機(jī)制運(yùn)行的協(xié)議。這樣的例如按照MQTT規(guī)范的協(xié)議在具有網(wǎng)絡(luò)功能的接口方面允許實(shí)現(xiàn)防火墻方針，其阻止入流量。因此可以排除系統(tǒng)通過(guò)網(wǎng)絡(luò)服務(wù)的操作和端對(duì)端連接直至生成數(shù)據(jù)的單元的構(gòu)成。在純通過(guò)推動(dòng)機(jī)制運(yùn)行的協(xié)議中例如按照MQTT協(xié)議，已知地不建立直接端對(duì)端連接，而是使通信總是通過(guò)中間連接的中間方聯(lián)系，該中間方由“出版方”獲得數(shù)據(jù)，并且通信提供用于一個(gè)或多個(gè)“訂戶(hù)”，其中，可以設(shè)定出版方和/或訂方的證書(shū)支持的識(shí)別。每個(gè)端點(diǎn)“打開(kāi)”由自身到中間方的通信，并且該通信不“由外部”導(dǎo)入。

因?yàn)閮蓚€(gè)通信對(duì)象可以不僅用作訂戶(hù)而且用作出版方，所以也可能的是，沿兩個(gè)方向交換數(shù)據(jù)，而無(wú)需為此設(shè)立潛在的可攻擊的網(wǎng)絡(luò)服務(wù)。

從安全控制器出發(fā)，為此以限定的間隔建立與中間方的連接，并且提供用于通過(guò)授權(quán)的第三方調(diào)用的數(shù)據(jù)(亦即裝置作為出版方工作)或數(shù)據(jù)由第三方調(diào)用(亦即裝置作為訂戶(hù)工作)。

附圖說(shuō)明

在下文中參照附圖詳細(xì)描述本發(fā)明。附圖示出：

圖1示出網(wǎng)絡(luò)構(gòu)件的示意圖，按照本發(fā)明的裝置與這些網(wǎng)絡(luò)構(gòu)件通信；

圖2示出按照本發(fā)明的裝置的主要元件的示意圖；

圖3示出按照本發(fā)明的裝置的另一示意圖，以便闡明示例性的通信協(xié)議；以及

圖4示意地示出具有面向服務(wù)的架構(gòu)的網(wǎng)絡(luò)，在該網(wǎng)絡(luò)中，在多個(gè)位置應(yīng)用按照本發(fā)明的裝置。

具體實(shí)施方式

圖1示出示例性的網(wǎng)絡(luò)布置結(jié)構(gòu)，其基本上可以分為五個(gè)區(qū)域，亦即：工業(yè)地點(diǎn)4的區(qū)域；后續(xù)稱(chēng)為“證書(shū)優(yōu)先方”的通信參與方(亦即硬件提供方3a)、服務(wù)提供方3b以及擁有方3c的三個(gè)區(qū)域3a、3b、3c，它們分別具有一個(gè)遠(yuǎn)程通信單元5a、5b、5c；以及非私有網(wǎng)絡(luò)7的區(qū)域，該網(wǎng)絡(luò)具有云基礎(chǔ)結(jié)構(gòu)、特別是因特網(wǎng)。

工業(yè)地點(diǎn)4例如可以是(例如用于汽車(chē)領(lǐng)域)的生產(chǎn)車(chē)間或測(cè)試設(shè)備，其中，地點(diǎn)配置給確定的擁有方3c。工業(yè)地點(diǎn)4的擁有方應(yīng)歸于特別的含義，因?yàn)樵摀碛蟹奖仨毚_定訪(fǎng)問(wèn)權(quán)限，如隨后還將闡明的那樣。在工業(yè)地點(diǎn)4上存在多個(gè)生成數(shù)據(jù)的單元2a至2f，其中，將基本上所有如下裝置視為“生成數(shù)據(jù)的單元”，這些裝置的狀態(tài)可以以任意方式被監(jiān)控。尤其是可以特別是如下單元，這些單元源自確定的提供方，該提供方具有監(jiān)控由其購(gòu)買(mǎi)的產(chǎn)品的興趣，以便可以快速、預(yù)先計(jì)劃并且簡(jiǎn)單地提供可能的服務(wù)。在圖1中給服務(wù)提供方配置自身區(qū)域3b。

在工業(yè)地點(diǎn)4上設(shè)有按照本發(fā)明的裝置1，該裝置1具有多個(gè)硬件相關(guān)的接口8a-8i，這些硬件相關(guān)的接口通過(guò)不同方式與生成數(shù)據(jù)的單元2a-2f連接。生成數(shù)據(jù)的單元2a-2f可以設(shè)置在多個(gè)組中，其中，在示出的布置結(jié)構(gòu)中所述單元2c-2f形成一個(gè)組，該組連接到一個(gè)共同的現(xiàn)場(chǎng)總線(xiàn)，各單元經(jīng)由該現(xiàn)場(chǎng)總線(xiàn)通信，其中，任何一個(gè)在專(zhuān)業(yè)領(lǐng)域中已知的通信協(xié)議可以用于現(xiàn)場(chǎng)總線(xiàn)，例如CANopen或Profibus-DP。裝置1經(jīng)由接口8i同樣與現(xiàn)場(chǎng)總線(xiàn)連接，以便可以與該組的單元2c-2f通信。單元2a和2b形成另一組，這兩個(gè)單元分別通過(guò)端對(duì)端協(xié)議連接于裝置1的接口8b、8d。

應(yīng)說(shuō)明的是，各單元一般不具有用于通過(guò)具有網(wǎng)絡(luò)功能的協(xié)議經(jīng)由因特網(wǎng)傳送數(shù)據(jù)的機(jī)構(gòu)。然而也可以是：雖然用于具有網(wǎng)絡(luò)功能的通信的單元的原則上的能力也不允許該單元連接到公開(kāi)網(wǎng)絡(luò)，因?yàn)樵谠摼W(wǎng)絡(luò)中存在其他單元，但是這些單元由此可能經(jīng)受不允許的訪(fǎng)問(wèn)。

給裝置1的硬件提供方或給裝置1的安全相關(guān)的元件(特別是在裝置中包含的安全控制器9)的硬件提供方配置另一區(qū)域3a。在具體描述的意義上可以將術(shù)語(yǔ)“硬件提供方”特別是視為原本的芯片制造方或第三提供方例如認(rèn)證處。術(shù)語(yǔ)“硬件提供方”特別是表示如下位置，該位置負(fù)責(zé)安全控制器的工作原理和進(jìn)一步改進(jìn)。裝置的特別的安全特征可以設(shè)定為，基于安全控制器的程序代碼的更新可以?xún)H通過(guò)稱(chēng)為硬件提供方的位置以及可能情況下在另外特定的安全準(zhǔn)備下進(jìn)行。

圖1的裝置1具有多個(gè)具有網(wǎng)絡(luò)功能的接口6a-6d，經(jīng)由這些接口可以建立與其他單元經(jīng)由公開(kāi)或私有的網(wǎng)絡(luò)(如內(nèi)網(wǎng)、GSM網(wǎng)絡(luò)和/或因特網(wǎng))的跨越系統(tǒng)的通信。具有網(wǎng)絡(luò)功能的連接的建立、經(jīng)由該連接的通信以及應(yīng)用于此的協(xié)議在專(zhuān)業(yè)領(lǐng)域中充分已知并且因此在此無(wú)須進(jìn)一步闡明。在圖1示出的實(shí)施例中，裝置1經(jīng)由內(nèi)網(wǎng)連接與工業(yè)地點(diǎn)4的擁有方3c的遠(yuǎn)程通信單元5c通信并且經(jīng)由因特網(wǎng)與服務(wù)提供方3a或硬件提供方3a的遠(yuǎn)程通信單元5a和5b通信。

參照?qǐng)D2現(xiàn)在闡明按照本發(fā)明的裝置1的工作原理，其中，特別是討論安全控制器9的功能。裝置1的安全控制器9可以實(shí)施為單個(gè)芯片或?qū)嵤槎鄠€(gè)芯片的組合，其中，安全控制器與微控制器11(ARM-CPU)協(xié)作。也可能的是，安全控制器10和微控制器11集成在一個(gè)唯一芯片中。這雖然能實(shí)現(xiàn)高的安全標(biāo)準(zhǔn)，然而也涉及高的研發(fā)成本。

安全控制器調(diào)節(jié)經(jīng)由硬件相關(guān)的接口8a-8i與生成數(shù)據(jù)的單元2a-2f的通信、經(jīng)由具有網(wǎng)絡(luò)功能的接口6a-6d的通信以及對(duì)安全存儲(chǔ)器10的訪(fǎng)問(wèn)。

安全存儲(chǔ)器10在硬件技術(shù)上如此受限，使得訪(fǎng)問(wèn)僅可以通過(guò)安全控制器9實(shí)現(xiàn)。為了可以應(yīng)用本裝置，該安全存儲(chǔ)器必須首先由輸出單元“委任”，其中，該委任在示出情況下由硬件提供方實(shí)施。在委任中對(duì)將存儲(chǔ)器10分為各個(gè)存儲(chǔ)區(qū)域A、B、C、D等進(jìn)行限定，其中，在第一存儲(chǔ)區(qū)域A中保存用于控制安全控制器9的程序代碼。在存儲(chǔ)區(qū)域B中對(duì)于應(yīng)被考慮用于訪(fǎng)問(wèn)的所有主管機(jī)構(gòu)保存證書(shū)a、b、c、d，其中涉及證書(shū)的公共部分。除了存儲(chǔ)區(qū)域A、B、C、D的限定之外，程序代碼也確定：哪些證書(shū)擁有方應(yīng)具有軟存儲(chǔ)區(qū)域訪(fǎng)問(wèn)并且是否訪(fǎng)問(wèn)權(quán)限也允許數(shù)據(jù)的變化。

在示出的例子中，保存有程序代碼的存儲(chǔ)區(qū)域A通過(guò)硬件提供方或委任機(jī)構(gòu)的證書(shū)a保護(hù)。這表示：程序代碼(并因此存儲(chǔ)區(qū)域的分配和訪(fǎng)問(wèn)權(quán)限結(jié)構(gòu))僅可以由硬件提供方3a改變。程序代碼的改變因此既不可以由裝置的擁有方3c也不可以由服務(wù)提供方3b進(jìn)行，而是僅可以由硬件提供方3a進(jìn)行，例如如果應(yīng)進(jìn)行更新的話(huà)。如果程序代碼需要更新，那么另一安全功能附加地可以需要擁有方3a和/或服務(wù)提供方3b的同意。

在所述實(shí)施形式中，每個(gè)按照本發(fā)明的裝置在委任時(shí)特別按照相應(yīng)的應(yīng)用條件調(diào)節(jié)，從而事后的變化是不可能的或者僅受限地可能的。然而根據(jù)安全條件可以對(duì)于各個(gè)元件允許事后的變化，其中，這樣的可能性必須限定在程序代碼中。因此例如一旦調(diào)用各個(gè)證書(shū)并且必須更新這些證書(shū)，那么可以允許證書(shū)的更換。

另外的存儲(chǔ)區(qū)域C、D、…分別配置給一個(gè)生成數(shù)據(jù)的單元2a-2f或一組這樣的單元，其中，在相應(yīng)存儲(chǔ)區(qū)域中保存的數(shù)據(jù)同樣通過(guò)程序代碼控制。數(shù)據(jù)的更新可以通過(guò)確定的事件觸發(fā)(例如如果服務(wù)提供方3b在維護(hù)之后復(fù)位服務(wù)計(jì)數(shù)器的話(huà))，或者所述數(shù)據(jù)的更新可以連續(xù)地或者以確定時(shí)間間隔產(chǎn)生(例如用于運(yùn)行時(shí)間的記錄)。在用于單元2a-2f的相應(yīng)存儲(chǔ)區(qū)域C、D中此外可以包含單元的獨(dú)特標(biāo)志(獨(dú)特ID)和關(guān)于要應(yīng)用的通信協(xié)議的信息。

此外，經(jīng)由具有網(wǎng)絡(luò)功能的接口6a-6d的通信由安全控制器9控制，其中，在通信連接的每次建立時(shí)檢測(cè)相應(yīng)證書(shū)并且通信連接優(yōu)選也通過(guò)證書(shū)加密，從而僅私人密鑰的擁有方可以訪(fǎng)問(wèn)內(nèi)容。因此準(zhǔn)確地限定：證書(shū)的擁有方允許訪(fǎng)問(wèn)哪個(gè)存儲(chǔ)區(qū)域。必要時(shí)，在確定存儲(chǔ)區(qū)域中的數(shù)據(jù)可以附加地利用證書(shū)加密地保存。然而由此僅可以例如以唯一證書(shū)訪(fǎng)問(wèn)內(nèi)容。在其他情況下優(yōu)選的是，數(shù)據(jù)以其他方式(例如利用對(duì)稱(chēng)密碼)加密或者解密地在存儲(chǔ)器中保存，并且僅在安全控制器的數(shù)據(jù)傳輸中以相應(yīng)證書(shū)加密。

在圖2中示出的實(shí)施形式中，擁有方3c可以利用證書(shū)3c訪(fǎng)問(wèn)存儲(chǔ)區(qū)域B、C和D；服務(wù)提供方3b可以利用其證書(shū)訪(fǎng)問(wèn)存儲(chǔ)區(qū)域C；以及硬件提供方3a可以利用其證書(shū)a僅訪(fǎng)問(wèn)存儲(chǔ)區(qū)域A。

安全控制器9確保實(shí)現(xiàn)經(jīng)由硬件相關(guān)的接口8的通信與經(jīng)由具有網(wǎng)絡(luò)功能的接口6的通信的嚴(yán)格分離，從而經(jīng)由具有網(wǎng)絡(luò)功能的接口(6a-6d)不可能直接訪(fǎng)問(wèn)生成數(shù)據(jù)的單元2a-2f。即使攻擊者成功避開(kāi)安全準(zhǔn)備并且攻入安全控制器，對(duì)于攻擊者因此也還不可能的是，也達(dá)到訪(fǎng)問(wèn)生成數(shù)據(jù)的單元，因?yàn)樵L(fǎng)問(wèn)生成數(shù)據(jù)的單元在完全不同的協(xié)議層上通信，有別于這在具有網(wǎng)絡(luò)功能的接口的通信協(xié)議中的情況。

本發(fā)明的裝置和方法的安全方面可以任意地匹配于相應(yīng)用戶(hù)要求，其中，不僅可以實(shí)現(xiàn)附加的安全措施而且可以省去確定的安全特征。

圖3示出按照本發(fā)明的裝置示例性實(shí)施形式的另一示意圖，其中，各個(gè)元件關(guān)于功能構(gòu)件和應(yīng)用的協(xié)議被示例性地示意地劃分。圖3的裝置具有用于單元的直接連接的五個(gè)硬件相關(guān)的接口，它們是接口8a(LAN)、8b(RS232或RS485)、8c(CAN)、8d(USB)和8e(其他)。另外的硬件相關(guān)的接口是接口8f(LAN),8g(Ethercat),8h(USB)和8i(CAN、CANOpen)。

圖4示意地示出具有服務(wù)提供方3b的面向服務(wù)的架構(gòu)的網(wǎng)絡(luò)，其中，按照本發(fā)明的裝置1應(yīng)用在服務(wù)提供方的多個(gè)客戶(hù)(擁有方3c和3c’)中，以便能實(shí)現(xiàn)由相應(yīng)擁有方可限定地訪(fǎng)問(wèn)客戶(hù)的單元2a-2c的數(shù)據(jù)，所述單元生成由服務(wù)提供方3b服務(wù)的數(shù)據(jù)。

附圖標(biāo)記列表

裝置 (1)

生成數(shù)據(jù)的單元 (2a-2f)

證書(shū)優(yōu)先方 (3)

硬件提供方 (3a)

服務(wù)提供方 (3b)

擁有方 (3c)

工業(yè)地點(diǎn) 4

遠(yuǎn)程通信單元 (5a-5c)

具有網(wǎng)絡(luò)功能的接口 (6a-6d)

非私有網(wǎng)絡(luò) (7)

硬件相關(guān)的接口 (8a-8i)

安全控制器 (9)

安全存儲(chǔ)器 (10)

微控制器 11

存儲(chǔ)區(qū)域 (A、B、C、D)

證書(shū) a、b、c