本發(fā)明涉及一種用于在存儲模塊上安全保護的寫過程和/或讀過程的方法和存儲模塊。

背景技術(shù)：

存儲組件用于數(shù)據(jù)的持久存儲，以便除了程序數(shù)據(jù)、諸如固件或運行系統(tǒng)之外將配置數(shù)據(jù)或用戶數(shù)據(jù)存儲在裝置上。該裝置例如可以是現(xiàn)場裝置或控制裝置。在此在實踐中經(jīng)常單獨的存儲模塊例如用于存儲固件和配置數(shù)據(jù)。

這樣的存儲模塊可以在裝置中固定安裝或是可更換的。固定安裝的存儲模塊的例子是焊接的串行EEPROM?？筛鼡Q的存儲模塊例如是所謂的組態(tài)插件（C-Plug）、ID插件、SD卡（英語：SD- Card，安全數(shù)字存儲卡）或者USB存儲器。這些存儲模塊在裝置的持續(xù)使用期間經(jīng)常部分或完全被覆蓋，以便例如改變現(xiàn)場裝置的配置數(shù)據(jù)。為了保護例如現(xiàn)場裝置上的安全相關(guān)的數(shù)據(jù)、特別是安全相關(guān)的配置數(shù)據(jù)，經(jīng)常使用存儲模塊，所述存儲模塊僅僅當用戶之前已經(jīng)認證時才允許訪問存儲模塊。所述安全保護的存儲組件特別是具有以下缺點，即其制造顯著更復雜并且更昂貴并且使用是麻煩的。

技術(shù)實現(xiàn)要素：

本發(fā)明的任務(wù)在于，提供一種用于提供存儲器內(nèi)容的安全信息的方法和具有可簡單實現(xiàn)的安全功能的存儲模塊。

該任務(wù)通過在獨立權(quán)利要求中說明的特征解決。在從屬權(quán)利要求中是本發(fā)明的有利的改進方案。

根據(jù)第一方面，本發(fā)明涉及一種用于在存儲模塊上安全保護的寫過程和/或讀過程的方法，其中實施以下方法步驟：

- 在第一方法步驟中，傳輸用戶數(shù)據(jù)給存儲模塊；

-在第二方法步驟中，確定在存儲模塊的第一存儲區(qū)域中的安全信息；

- 在第三方法步驟中，在用于在存儲模塊上的用戶數(shù)據(jù)的寫訪問時和/或在預給定的觸發(fā)時自動共同更新安全信息的至少一個預定義部分。

在此第一存儲區(qū)域以及以下所述的第二和第三存儲區(qū)域例如位于存儲模塊的共同的地址空間或存儲芯片中或者分別位于自身保護的地址空間或存儲芯片中。存儲芯片或地址空間優(yōu)選具有如下特征，所述特征考慮相應(yīng)存儲區(qū)域的安全要求。這些特征例如是僅僅一次可寫入的存儲器、僅僅存儲模塊內(nèi)部可訪問的存儲器或只讀存儲器（英語：ROM，只讀存儲器）。

優(yōu)選將“裝置”可理解為如下裝置，例如配備有主處理器的現(xiàn)場裝置，該現(xiàn)場裝置使用存儲模塊。優(yōu)選將應(yīng)用可理解為應(yīng)用程序，該應(yīng)用程序安裝在裝置上并且與存儲模塊通信，或者通過裝置或存儲模塊的接口通信。

通過在第一存儲區(qū)域中安全信息或安全信息的至少一個預定義的部分的自動共同更新明確可理解的是，發(fā)生寫訪問。特別是不必加密地保護完整性地、亦即在其完整性上保護整個存儲內(nèi)容，因為無論如何根據(jù)共同更新的安全信息可理解的是，發(fā)生寫訪問。使用存儲模塊的裝置例如能夠查詢該安全信息，以便確定是否發(fā)生無權(quán)的寫訪問。由此一方面可以實現(xiàn)簡單可實現(xiàn)的完整性保護，并且另一方面可以實現(xiàn)特別高度地保護用戶數(shù)據(jù)、優(yōu)選配置數(shù)據(jù)或安全相關(guān)的數(shù)據(jù)。

存儲模塊不必確定與寫入的數(shù)據(jù)相關(guān)的信息，例如關(guān)于存儲內(nèi)容的加密的校驗和。在這樣的校驗和方法中，根據(jù)應(yīng)用情景的實現(xiàn)可以是非常昂貴的。此外相比于提出的解決方案是不太靈活的，在所提出的解決方案中借助于安全信息確定可檢查的信息，也稱為檢驗信息。以例如校驗值形式的安全信息可以通過外部應(yīng)用或通過使用存儲模塊的裝置查詢。安全信息——其例如也可以是校驗和或簡單的計數(shù)器——的重要性沒有通過存儲模塊預先給定。因此實現(xiàn)該方法的高度靈活性，因為查詢方、優(yōu)選應(yīng)用或裝置可以自身解讀安全信息。

在第一實施方式中，存儲的安全信息在共同更新期間被覆蓋。

原則上可以的是，存儲模塊將安全信息的歷史保存在存儲器或存儲模塊的存儲區(qū)域中。然而為了盡可能少地保持安全信息的存儲需求，優(yōu)選分別在共同更新時覆蓋安全信息。但是也可以設(shè)想的是，例如將預定義數(shù)量的安全信息作為歷史存儲。例如存儲模塊可以保存安全信息的最后五個值。由此裝置或應(yīng)用方具有如下可能，即安全信息由之前的、更過去的寫過程調(diào)用。

在該方法的另外的實施方式中，除了用戶數(shù)據(jù)之外還傳輸標記信息，其中標記信息特別是包括存儲器地址和/或文件名，其中安全信息特別是包括標記信息。

由此可以通過應(yīng)用方或裝置附加地確定：哪些數(shù)據(jù)潛在在無權(quán)的寫訪問中改變。這特別是允許系統(tǒng)管理者在失敗的檢查中借助于安全信息準確分析實施的操縱。

在該方法另外的實施方式中，安全信息的共同更新根據(jù)傳輸?shù)臉擞浶畔崿F(xiàn)。

假如存儲模塊存儲安全關(guān)鍵和安全不關(guān)鍵的信息，那么例如不必要的是，在安全不關(guān)鍵的數(shù)據(jù)的寫過程中更新安全信息。這特別是具有如下優(yōu)點，即存儲模塊可以用于安全關(guān)鍵和安全不關(guān)鍵的應(yīng)用并且裝置僅僅必須具有存儲模塊，因為該裝置覆蓋兩個應(yīng)用情景。

在該方法另外的實施方式中，安全信息和/或用戶數(shù)據(jù)由存儲模塊提供。

通過提供安全信息對于使用存儲模塊的應(yīng)用方或裝置可能的是，查詢安全信息并且自身處理該安全信息。

在該方法另外的實施方式中附加地實施以下方法步驟：借助于檢查算法根據(jù)預定義的檢查標準實施用于檢查安全信息的自動共同更新的部分的另一方法步驟。檢查算法可以特別是加密的算法，例如加密的校驗和、亦即消息認證碼或數(shù)字簽名的檢查。附加地，在另一方法步驟中，假如檢查算法已經(jīng)確定與預定義的檢查標準的關(guān)鍵偏差，那么提供信號。

存儲模塊可以附加地配備如下能力，即自身檢查安全信息。假如確定與預定義的檢查標準的關(guān)鍵偏差，那么可以通過例如編碼控制信息的信號告知系統(tǒng)管理者。替代地例如可以將裝置置于安全保護的模式下，使得通過未授權(quán)的第三者的另外的操縱是不可能的。

在該方法的另外的實施方式中，安全信息包括用于存儲模塊的識別信息。

通過識別信息可由例如系統(tǒng)管理者容易地識別所使用的存儲模塊，假如其已經(jīng)將操縱例如經(jīng)由無線通信接口通知管理者。

在該方法另外的實施方式中，信號使安裝有存儲模塊的裝置處于安全模式。

由此在識別的操縱時阻止：在裝置上進行另外的操縱。特別是對于安全關(guān)鍵的設(shè)備重要的是，立刻以自動化形式對識別的操縱做出反應(yīng)。

在該方法另外的實施方式中，該信號經(jīng)由接口傳輸給中央存儲器監(jiān)控裝置。

由此可以的是，中央監(jiān)控和分析設(shè)備、例如風力發(fā)電設(shè)備的安全保護的存儲模塊。

在該方法另外的實施方式中，預給定的觸發(fā)是對存儲模塊的每次寫訪問和/或結(jié)束對存儲模塊的寫過程和/或激活用于存儲模塊的寫模式，其中寫模式優(yōu)選借助于密碼輸入開始。

由此實現(xiàn)，可以通過盡可能靈活的方式共同更新安全信息。

在該方法另外的實施方式中，安全信息的要共同更新的部分包括寫周期計數(shù)值，該寫周期計數(shù)值特別是實現(xiàn)為遞增計數(shù)器。

寫周期計數(shù)值可以非常簡單地實現(xiàn)。附加地，計數(shù)值的更新是節(jié)省資源的，使得不必將昂貴的運算構(gòu)件安裝到存儲模塊中。

作為遞增計數(shù)器的實現(xiàn)可以特別簡單地實現(xiàn)，因為為此不必安裝用于存儲模塊的昂貴的附加的系統(tǒng)構(gòu)件。

在該方法另外的實施方式中，安全信息的要共同更新的部分包括隨機值，該隨機值優(yōu)選由存儲模塊內(nèi)部的隨機生成器產(chǎn)生。

通過隨機值還進一步提高方法的安全性，因為該隨機值例如可以在請求-應(yīng)答協(xié)議中（英語：Challenge-Response-Protocol）在查詢方、例如應(yīng)用方或裝置與存儲模塊之間使用。由此可以特別是阻止所謂的重放攻擊以及回滾攻擊。

在該方法另外的實施方式中，安全信息的要共同更新的部分包括時間信息，該時間信息優(yōu)選由存儲模塊內(nèi)部的實時時鐘提供。

通過時間信息可以以簡單的方式確定最后的寫訪問。特別是可以由此確定：何時例如無權(quán)的第三者將數(shù)據(jù)寫到存儲模塊上。

在該方法另外的實施方式中，用于檢查用戶數(shù)據(jù)的第一校驗和通過存儲模塊提供。

通過第一校驗和不僅僅可以確定是否無權(quán)的第三者將數(shù)據(jù)寫到存儲模塊上。附加地可以確定是否數(shù)據(jù)自身被操縱。

在該方法另外的實施方式中，加密的密鑰處于第二存儲區(qū)域中，其中第二存儲區(qū)域優(yōu)選可一次寫入。

利用加密的密鑰例如可以通過簡單的方式實施存儲模塊和/或應(yīng)用方或裝置的認證。應(yīng)用方或裝置為此必須同樣具有加密的密鑰或分配給加密的密鑰的第二加密的密鑰或者借助于對稱或非對稱的加密的密鑰對實施基于證書的認證。在這樣的應(yīng)用情景下，例如裝置創(chuàng)建用于如下數(shù)據(jù)的第一數(shù)字簽名，所述數(shù)據(jù)應(yīng)寫到存儲模塊上。存儲模塊優(yōu)選使用加密的密鑰，例如公共密鑰，以便認證數(shù)字簽名或數(shù)字證書。為了實現(xiàn)該方法的盡可能高的安全性，第二存儲區(qū)域優(yōu)選僅僅一次地可利用加密的密鑰寫入。第二存儲區(qū)域因此例如可以是只讀存儲器。

在該方法另外的實施方式中，借助于加密的密鑰實施存儲模塊和/或用戶數(shù)據(jù)的認證。附加地，為了認證優(yōu)選使用請求-應(yīng)答協(xié)議，其中第二校驗和借助于加密的密鑰通過用戶數(shù)據(jù)的一部分或者通過全部用戶數(shù)據(jù)計算。為了認證，對請求-應(yīng)答協(xié)議的請求的應(yīng)答優(yōu)選地包括請求自身和/或加密的密鑰和/或安全信息的一部分或者完全的安全信息或據(jù)此計算的應(yīng)答值。由此可以的是，操縱保護地確定存儲模塊的共同更新的安全信息的當前值。

通過這些特征實現(xiàn)在存儲模塊上的用戶數(shù)據(jù)的顯著更高的完整保護。由此不僅可以確定對存儲模塊的未允許的寫訪問，而且可以基本上確定對傳輸數(shù)據(jù)的操縱，所述操縱可以潛在地在數(shù)據(jù)傳輸期間進行。

在該方法另外的實施方式中，關(guān)于存儲模塊的特別是用戶數(shù)據(jù)的所有數(shù)據(jù)或數(shù)據(jù)的一部分的完整性值存儲在存儲模塊的第三存儲區(qū)域中，其中完整性值特別是自動通過存儲模塊也在存儲模塊上存儲用戶數(shù)據(jù)時產(chǎn)生，其中完整性值特別是通過存儲模塊提供。

由此可以的是，提供關(guān)于存儲模塊的安全相關(guān)數(shù)據(jù)的完整性值。對于應(yīng)用方或裝置、例如現(xiàn)場裝置可以的是，通過以下方式以簡單方式檢查數(shù)據(jù)完整性，即由存儲模塊調(diào)用該完整性值。這例如在以下工作環(huán)境中是有意義的，在所述工作環(huán)境中潛在存在高的如下可能，即數(shù)據(jù)在存儲模塊上可能損壞或不期望地改變。

在該方法另外的實施方式中，在完整性值變化時實施共同更新。附加地，數(shù)據(jù)的完整性優(yōu)選在讀出時通過以下方式被檢查，即形成關(guān)于全部數(shù)據(jù)或數(shù)據(jù)的一部分的另一完整性值。附加地，如果完整性值和另一完整性值優(yōu)選足夠一致，那么確認完整性。

由此，存儲模塊能夠自身檢查用戶數(shù)據(jù)的完整性。如果該裝置確定：用戶數(shù)據(jù)的完整性不再得出或者完整性是無效的，那么例如可以將用于數(shù)據(jù)保護或數(shù)據(jù)修復的功能或者裝置置于自身安全的狀態(tài)中。

在該方法另外的實施方式中，應(yīng)答附加地包括完整性值。

由此可以特別是顯著提高請求-應(yīng)答協(xié)議的安全性，因為用戶數(shù)據(jù)的完整性同樣包含在應(yīng)答中。

在該方法另外的實施方式中，形成關(guān)于完整性值的第一校驗和和/或第二校驗和。

這特別是具有如下優(yōu)點，完整性值以非常快速的方式和方法形成。假如存儲模塊應(yīng)該應(yīng)用于高性能應(yīng)用，這是特別重要的，因為關(guān)于全部用戶數(shù)據(jù)的完整性值的形成太昂貴。

在該方法另外的實施方式中，第一存儲區(qū)域和/或第二存儲區(qū)域和/或第三存儲區(qū)域完全或部分位于受保護的存儲區(qū)域中，其中通過第三者僅僅讀取訪問受保護的存儲區(qū)域。

存儲模塊優(yōu)選包括多個存儲組件，所述存儲組件通過不同的存儲區(qū)域是可尋址的。就此而言存在如下可能，即第一存儲區(qū)域是存儲模塊中獨立的存儲芯片。通過從存儲模塊外部僅僅讀取地訪問這些存儲區(qū)域或這些單個的存儲芯片，保護這些存儲區(qū)域或這些單個的存儲芯片免于由第三者的改變或無權(quán)的改變。

根據(jù)另一方面，本發(fā)明涉及一種存儲模塊，其包括：用于存儲用戶數(shù)據(jù)的用戶數(shù)據(jù)存儲器、第一存儲區(qū)域以及至少一個控制機構(gòu)?？刂茩C構(gòu)確定存儲模塊的第一存儲區(qū)域中的安全信息。控制機構(gòu)在存儲模塊上的用戶數(shù)據(jù)的寫訪問時和/或在預給定的觸發(fā)時自動共同更新安全信息的至少一個預定義部分，其中存儲模塊自動確定共同更新的安全信息。

在第一實施方式中，存儲模塊附加地具有檢查機構(gòu)，該檢查機構(gòu)用于根據(jù)預定義的檢查標準檢查安全信息的自動更新的部分。附加地，存儲模塊包括提供機構(gòu)，該提供機構(gòu)用于在檢查得出與預定義的檢查結(jié)果的足夠偏差的情況下提供信號。

在該存儲模塊另外的實施方式中，存儲模塊附加地包括隨機生成器和/或?qū)崟r時鐘。

在該存儲模塊另外的實施方式中，存儲模塊是EEPROM。

根據(jù)另一方面，本發(fā)明涉及一種計算機系統(tǒng)，例如現(xiàn)場裝置，其具有根據(jù)上述特征的存儲模塊。

根據(jù)另一方面，本發(fā)明涉及一種根據(jù)上述特征的虛擬化存儲模塊。

此外要求保護一種計算機程序產(chǎn)品，其具有用于實施上述根據(jù)本發(fā)明的方法的程序命令。附加地要求保護一種用于存儲和/或提供數(shù)據(jù)結(jié)構(gòu)的提供裝置，該提供裝置包括計算機程序產(chǎn)品。提供裝置例如是數(shù)據(jù)載體，該數(shù)據(jù)載體存儲和/或提供計算機程序產(chǎn)品。替代地，提供裝置例如是計算機系統(tǒng)、服務(wù)器系統(tǒng)、網(wǎng)絡(luò)、基于云的運算系統(tǒng)和/或虛擬運算系統(tǒng)，其存儲和/或提供計算機程序產(chǎn)品。該提供優(yōu)選實現(xiàn)為整個計算機程序產(chǎn)品的下載，但是例如也可以實現(xiàn)為部分下載，該下載由多個部分組成并且特別是通過對等網(wǎng)絡(luò)下載。這樣的計算機程序產(chǎn)品例如在使用數(shù)據(jù)載體形式的提供裝置的情況下被讀入系統(tǒng)中并且執(zhí)行程序命令，使得根據(jù)本發(fā)明的方法在計算機上實施。

附圖說明

本發(fā)明的上述特性、特征和優(yōu)點以及其如何實現(xiàn)的方式和方法結(jié)合實施例的以下描述變得更清楚和更明白地理解，所述實施例結(jié)合附圖進一步描述。在此：

圖1示出根據(jù)現(xiàn)有技術(shù)的現(xiàn)場裝置的示意圖；

圖2示出存儲模塊的第一實施例的示意圖；

圖3示出存儲模塊的第二實施例的示意圖；

圖4示出存儲模塊的第三實施例的示意圖；

圖5示出用于在存儲模塊上安全保護的寫和/或讀過程的方法的一個實施例的流程圖；以及

圖6示出具有存儲模塊的現(xiàn)場裝置的示意圖。

在附圖中，只要沒有另外說明，功能相同的元件配備有相同附圖標記。

具體實施方式

圖1示出現(xiàn)場裝置100的示意圖，如其由現(xiàn)有技術(shù)所已知的那樣?，F(xiàn)場裝置首先被分為稱為子系統(tǒng)110的未受保護的區(qū)域和稱為安全子系統(tǒng)150的受保護的子系統(tǒng)。子系統(tǒng)110利用通信總線111與安全子系統(tǒng)150連接。此外，現(xiàn)場裝置100的子系統(tǒng)110具有第一輸入/輸出接口112、網(wǎng)絡(luò)接口113、主處理器114、例如以EPROM存儲器的形式的配置存儲器115、雙端口工作存儲器（DPRAM）116、第一工作存儲器117、第一閃存存儲器118、時鐘119以及電源120。安全子系統(tǒng)150包括安全配置存儲模塊151、第二輸入/輸出接口152、安全處理器153、第二工作存儲器154以及第二閃存存儲器155。

主處理器114經(jīng)由內(nèi)部接口訪問配置存儲器115。在此例如涉及串行EEPROM。此外，主處理器114使用易失性存儲器（RAM）作為第一工作存儲器117、以及第一閃存存儲器118用于例如運行系統(tǒng)、控制程序或其他程序命令的加載。現(xiàn)場裝置100的子系統(tǒng)110例如具有如下任務(wù)，即利用網(wǎng)絡(luò)接口113與網(wǎng)絡(luò)、例如TCP/IP網(wǎng)絡(luò)（傳輸控制協(xié)議/因特網(wǎng)協(xié)議）通信，但是也可以執(zhí)行監(jiān)控和診斷功能。主處理器114通過雙端口工作存儲器116借助于安全總線121與安全子系統(tǒng)150的安全處理器153通信。該通信在圖1中單通道（主處理器）地示出，然而也可以設(shè)有多個冗余通道。通過第二輸入/輸出接口或安全接口152可以連接例如安全關(guān)鍵的傳感器或執(zhí)行器。這例如可以是轉(zhuǎn)轍驅(qū)動傳感器或軸計數(shù)傳感器。

此外，安全子系統(tǒng)115包括安全接口，安全配置存儲模塊151可插入到該安全接口中。在安全配置存儲模塊151上例如包含規(guī)劃數(shù)據(jù)。根據(jù)現(xiàn)場裝置100的安全配置，安全處理器153實施安全相關(guān)的控制操作。

為此安全處理器153可以產(chǎn)生或處理安全協(xié)議的安全協(xié)議消息。與另一現(xiàn)場裝置或中央運算器的通信于是例如通過子系統(tǒng)110的雙端口工作存儲器116和主處理器114實現(xiàn)。為此例如經(jīng)由網(wǎng)絡(luò)接口113發(fā)送和接收數(shù)據(jù)包。

在圖1中所述的現(xiàn)場裝置原則上具有三個存儲器。這是配置存儲器（EEPROM）、閃存存儲器和安全配置存儲模塊。原則上這些存儲器中的每個、這些存儲器的子集或者所有存儲器可以是如在圖2至4中所述的存儲模塊。

圖2示出用于安全保護的寫過程和/或讀過程的存儲模塊200的第一實施例的示意圖。

存儲模塊200包括具有處理器的控制單元210、內(nèi)部總線、存儲器接口220、第二總線221、在第一存儲區(qū)域230中的安全信息、識別信息232、寫周期識別信息234、訪問表格250、裝置密鑰260以及用戶數(shù)據(jù)存儲器270，該用戶數(shù)據(jù)存儲器永久存儲數(shù)據(jù)。存儲器控制單元210經(jīng)由內(nèi)部總線與第一存儲區(qū)域230、訪問表格250、裝置密鑰260以及用戶存儲器270連接，該內(nèi)部總線例如可以分為第一子總線211、第二子總線212、第三子總線213、第四子總線214、第五子總線215以及第六子總線216。例如是存儲模塊100的識別符的身份信息232和寫周期識別信息234是安全信息的部分，安全信息保存在存儲模塊100的第一存儲區(qū)域230中并且優(yōu)選分別經(jīng)由自身子總線、第五子總線215和第六子總線216與存儲器控制單元210連接。

存儲器接口220和總線221用于與處理器、例如裝置或現(xiàn)場裝置的主處理器通信。經(jīng)由存儲器接口220或總線221可以將命令、諸如讀命令、寫命令、用于讀取識別符的命令、檢查命令或密碼輸入命令傳輸給存儲模塊200。

存儲模塊200于是應(yīng)答這些命令，例如以查詢的確認或者發(fā)送數(shù)據(jù)給查詢方。存儲器控制單元210在此訪問原本的用戶數(shù)據(jù)存儲器270，其中例如可保存配置數(shù)據(jù)。利用裝置密鑰260可以通過存儲模塊200進行用戶、例如裝置的主處理器的認證。在訪問表格250中例如可預先規(guī)定，在何種條件下用戶數(shù)據(jù)存儲器270的存儲區(qū)域是可讀取或可寫入的。

在寫訪問時更新寫周期識別信息234。這可以在每次寫訪問時進行，在借助于命令、例如通過密碼輸入激活寫訪問可能時進行，在預給定的時間間隔結(jié)束之后通過復位命令（英語：Reset命令）例如對于確定的存儲器地址結(jié)束寫過程時進行，或者在結(jié)束寫訪問可能時進行，該寫訪問可能通過命令、如用于密碼輸入的命令優(yōu)選利用空密碼參數(shù)實施。同樣可以的是，在每次寫訪問（亦即寫命令）時進行更新。

寫周期識別信息234可以通過不同方式實現(xiàn)。例如可以的是計數(shù)器遞增。

在另一變型方案中，寫周期識別信息234利用隨機值設(shè)置。在該情況下，存儲模塊200附加地具有隨機生成器。

替代地，存儲模塊200包括內(nèi)部實時時鐘，使得寫周期識別信息234可以根據(jù)當前時間確定。

以下闡明在現(xiàn)場裝置的處理器與存儲模塊200之間通信的原理上的流程。

首先，處理器、例如現(xiàn)場裝置的主處理器向存儲模塊200發(fā)送用于確定的存儲器地址的讀命令。只要該存儲器地址位于非關(guān)鍵的或者未受保護的區(qū)域中，那么存儲模塊將數(shù)據(jù)和確認通知發(fā)送回給處理器。處理器在另一步驟中利用命令從存儲模塊200查詢安全信息230，亦即識別信息和寫周期識別信息234。處理器檢查該信息，并且只要該信息是正確的，那么該處理器傳送密碼給存儲模塊200，以便激活存儲模塊200的寫模式。如果存儲模塊200已經(jīng)確認密碼的正確性，那么現(xiàn)場裝置的處理器發(fā)送寫命令連同數(shù)據(jù)和期望的存儲器地址給存儲模塊200，數(shù)據(jù)應(yīng)寫入到該期望的存儲器地址。存儲模塊200在數(shù)據(jù)寫入期間自動更新寫周期識別信息234。在成功結(jié)束數(shù)據(jù)的寫入和寫周期識別信息234的更新之后，這相對于處理器被確認。處理器現(xiàn)在又可以從存儲模塊200查詢安全信息。存儲模塊提供更新的安全信息、亦即更新的寫周期識別信息234給處理器。處理器或現(xiàn)場裝置可以檢查安全信息，以便確定是否數(shù)據(jù)正確寫入。

圖3示出存儲模塊300的第二實施例的示意圖。在該實施例中，在圖2的描述中闡明的存儲模塊被擴展了用于加密的密鑰存儲器的第二存儲區(qū)域310。第二存儲區(qū)域310例如經(jīng)由第七子總線317與存儲器控制單元210連接。

詳細地，存儲模塊300借助于第二存儲區(qū)域310具有在其中保存的加密的密鑰。該第二存儲區(qū)域優(yōu)選實現(xiàn)為可一次寫入的存儲器，例如OTP存儲器（英語：一次可編程的）。利用該存儲器可以實現(xiàn)存儲模塊300的認證。為此，使用存儲模塊300的裝置（或用戶）例如發(fā)送如下認證命令，該認證命令使用請求-應(yīng)答協(xié)議（英語：Challenge-Response-Protocol）。對此，存儲器控制單元210優(yōu)選在使用加密的密鑰的情況下計算加密的校驗和、例如消息認證碼（英語：Message Authentication Code）。

為了計算消息認證碼，可以使用如下方法，如HMAC-SHA256（Keyed-Hash Message Authentication Code- Secure Hash Algorithm：加密哈希消息認證碼-安全哈希算法）、AES-CBCMAC(Advanced Encryption Standard - Cipher Block Chaining Message Authentication Code：高級加密標準-密碼塊鏈接消息認證碼)，或者數(shù)字簽名EC-DSA(Elliptic Curve Digital Signature Algorithm：橢圓曲線數(shù)字簽名算法)。加密的校驗和可以或者僅僅通過存儲模塊300的確定的存儲區(qū)域、通過所有用戶數(shù)據(jù)或者通過被查詢的用戶數(shù)據(jù)計算。

在認證中，存儲模塊300借助于請求-應(yīng)答協(xié)議從查詢方接收請求（英語：Challenge）。存儲器控制單元210于是產(chǎn)生應(yīng)答（英語：Response），作為參數(shù)優(yōu)選請求和/或加密的校驗和和/或識別信息232和/或?qū)懼芷谧R別信息234進入到該應(yīng)答中。所確定的應(yīng)答于是由存儲模塊300提供，使得該應(yīng)答可以由現(xiàn)場裝置、系統(tǒng)或應(yīng)用來檢查。

圖4示出存儲模塊400的第三實施例的示意圖。在該實施例中，通過圖3的描述闡明的存儲模塊被擴展了用于完整性校驗和存儲器的第三存儲區(qū)域410。第三存儲區(qū)域410例如經(jīng)由第八子總線418與存儲器控制單元210連接。

該第三存儲區(qū)域410被設(shè)置用于存儲優(yōu)選以完整性校驗和形式的完整性值。詳細地，僅僅在寫入該第三存儲區(qū)域410時更新寫周期識別信息234。

優(yōu)選地，系統(tǒng)、應(yīng)用方或裝置的處理器可以將關(guān)于存儲模塊的數(shù)據(jù)、例如用戶數(shù)據(jù)的完整性值優(yōu)選以配置文件、安全信息或配置數(shù)據(jù)的形式寫入到第三存儲區(qū)域410中。完整性值例如可以利用SHA256 (Secure Hash Algorithm：安全哈希算法)算法形成。在寫入該第三存儲區(qū)域410時更新寫周期識別信息234，以便使得在該完整性值上的變化是可檢查的。

在例如通過裝置的處理器從存儲模塊400讀取數(shù)據(jù)時，處理器確定所讀取的數(shù)據(jù)的完整性值并且將其與第三存儲區(qū)域410中的值比較。這些完整性值必須一致，以便所讀取的數(shù)據(jù)識別為有效的。

此外，例如裝置的處理器利用認證命令和請求-應(yīng)答協(xié)議的請求認證存儲模塊400。存儲模塊400計算應(yīng)答，該應(yīng)答作為參數(shù)包括完整性值，該完整性值存儲在第三存儲區(qū)域410中。附加地，應(yīng)答同樣可以包括請求和/或加密的校驗和和/或識別信息232和/或?qū)懼芷谧R別信息234。

換言之，為了認證存儲模塊400如下信息進入應(yīng)答中，所述信息在圖3的描述中闡明。附加地，但是完整性值也還進入應(yīng)答中。

存儲模塊400的該實施例具有如下優(yōu)點，即關(guān)于存儲器內(nèi)容的認證的未操縱的完整性值是可存儲的。在此必須僅僅在小范圍中實施加密計算。存儲模塊400必須僅僅通過固定的小的數(shù)據(jù)量實施加密的校驗和并且因此不必通過原本的存儲器內(nèi)容自身確定完整性值。例如裝置的處理器可以實施這一點，該裝置使用存儲模塊400。為此處理器使用存儲模塊400的通過存儲模塊400保護的第三存儲區(qū)域410，以便存儲完整性值。

如果第三存儲區(qū)域410的存儲器內(nèi)容已經(jīng)被寫入，那么通過使用寫周期識別信息234可以視為現(xiàn)實信息的安全信息是可用的。特別是根據(jù)變化的寫周期識別信息234可識別的是：是否進行了寫過程。

在一個應(yīng)用情景下，其中存儲模塊400用作安全配置存儲器，因此根據(jù)變化的寫周期識別信息234可識別的是，已經(jīng)發(fā)生寫過程。這例如可以由安全子系統(tǒng)的安全處理器檢查。假如已經(jīng)發(fā)生寫過程，那么使用存儲模塊400的裝置的通過用戶的重新安全釋放可能與是否或如何改變存儲器內(nèi)容無關(guān)地在寫過程之后是必需的。

在一個變型方案中，第三存儲區(qū)域的寫周期識別信息234也可以用于例如控制裝置或現(xiàn)場裝置的裝置識別符的存儲。為此由用戶可選擇的識別符、例如可自由選擇的字符串被寫入到第三存儲區(qū)域410中。該字符串被補充由存儲模塊400隨機選擇的寫周期識別信息234，以便形成可認證的識別信息。該字符串通過硬件機制保護地由通過用戶可選擇的部分和不可預給定的部分組成。由此用戶不可以復制另一裝置的相同的裝置識別符，即使該識別符在其他方面是可自由選擇的。

在另一變型方案中，對第三存儲區(qū)域的讀訪問和/或?qū)懺L問通過安全功能、例如密碼輸入或利用加密的密鑰的認證來保護。

圖5示出用于在存儲模塊上安全保護的寫和/或讀過程的方法的一個實施例的流程圖。

在此提出，存儲模塊的安全信息在寫過程中共同更新。安全信息優(yōu)選由固定不變的部分、例如存儲模塊的識別信息和/或由可變的部分、例如寫周期識別信息組成，該寫周期識別信息在對存儲模塊或存儲模塊的用戶數(shù)據(jù)存儲器的內(nèi)容的寫過程中自動更新。

在寫過程中安全信息的更新在此可以借助不同觸發(fā)控制。在最簡單情況下，例如在所有涉及整個存儲器內(nèi)容的寫過程中更新安全信息。但是優(yōu)選地，僅僅當在存儲模塊的全部存在的存儲區(qū)域的、也稱為受保護的存儲區(qū)域的特定子區(qū)域上寫入時，才觸發(fā)更新。

在一個變型方案中可以配置該受保護的存儲區(qū)域。通過這種方式保護的存儲區(qū)域的這樣的配置可以或者可一次性地配置，例如在第一次使用存儲模塊時，或者該受保護的存儲區(qū)域可以在特定運行模式下被配置。該運行模式例如可以通過用戶名和密碼輸入、存儲模塊的特定的軟件或硬件開關(guān)、例如跳線或者通過配置信息來配置，該配置信息連同數(shù)字簽名被存儲，其中用于檢查簽名的密鑰例如保存在第二存儲區(qū)域中。

附加地，第三存儲區(qū)域可以被設(shè)置為完整性校驗和存儲器。完整性值被寫入到該第三存儲區(qū)域中。例如傳輸?shù)挠脩魯?shù)據(jù)、特別是配置參數(shù)或者存儲模塊上的數(shù)據(jù)的校驗和值。

在此更新存儲器的安全信息、例如特別是寫周期計數(shù)值形式的寫周期識別信息。寫周期識別信息和其更新可以通過不同方式實現(xiàn)。例如計數(shù)值可以遞增或隨機地選擇。附加地或者自身單獨考慮地也可以形成關(guān)于舊的寫周期識別信息或者關(guān)于舊的寫周期識別信息和新的寫周期識別信息的校驗和。

于是可以檢查完整性值。為此，存儲模塊確定加密的校驗和、例如消息認證碼，寫周期計數(shù)值的當前值進入其中。該寫周期計數(shù)值例如可以是簡單的計數(shù)器，該計數(shù)器在每次寫入訪問時遞增。

在一個變型方案中，區(qū)別不同寫訪問，例如利用寫命令的覆蓋、刪除存儲器或者用于篡改刪除的命令。更新在此可以在一個變型方案中僅僅在確定的寫訪問方式下實現(xiàn)。

在另一變型方案中，寫周期識別信息被結(jié)構(gòu)化成多個部分。在確定的寫訪問中，在此可以更新寫周期識別信息的確定的部分。

通過檢查寫周期識別信息可識別的是，是否進行了寫訪問。通過加密的校驗和的檢查也可以隨后關(guān)于操縱檢查完成的寫訪問。

寫周期識別信息可以由使用存儲模塊的裝置自身檢查。在有別于檢查標準時，例如在覆蓋安全配置時，該裝置可以關(guān)斷，使得首先又必須由管理者釋放。

此外可以的是，寫周期識別信息由裝置傳輸給中央監(jiān)控系統(tǒng)，例如作為診斷數(shù)據(jù)或日志數(shù)據(jù)的一部分。由此，如果描述存儲模塊的存儲器內(nèi)容，那么可以中央地識別。這當最初的存儲器內(nèi)容例如在設(shè)備的操縱之后重新建立時仍舊是可識別的，因為存儲模塊的安全信息、特別是寫周期識別信息和識別信息僅僅可以通過存儲模塊自身改變并且不可以通過第三者、例如應(yīng)用程序、用戶或裝置從外部改變。

換言之，本發(fā)明涉及一種用于在存儲模塊上安全保護的寫過程和/或讀過程的方法。

在該方法中，在第一方法步驟505中將用戶數(shù)據(jù)、例如配置數(shù)據(jù)從使用存儲模塊的裝置傳輸給存儲模塊。

在第二方法步驟510中，確定存儲模塊的第一存儲區(qū)域中的安全信息。該確定例如可以在存儲模塊的制造期間發(fā)生或者在存儲模塊的第一次使用中通過管理者配置。

在第三方法步驟515中，在存儲模塊上的用戶數(shù)據(jù)的寫訪問時和/或在預給定的觸發(fā)時自動共同更新安全信息的至少一個預定義部分，其中存儲模塊自動確定共同更新的安全信息。

圖6示出具有存儲模塊的現(xiàn)場裝置600的示意圖。

現(xiàn)場裝置具有根據(jù)上述實施例之一的存儲模塊。附加地，現(xiàn)場裝置600包括傳感器610、例如以轉(zhuǎn)轍驅(qū)動形式的執(zhí)行器620和顯示裝置630，其中現(xiàn)場裝置600的這些元件經(jīng)由數(shù)據(jù)總線605相互通信連接。

雖然本發(fā)明詳細地通過實施例進一步闡明和描述，但是本發(fā)明不由公開的例子限制，并且其他變型方案可以由本領(lǐng)域內(nèi)技術(shù)人員由此導出，而不脫離本發(fā)明的保護范圍。