本发明专利技术要求保护一种设备单元(GE),其包括如下模块(M),所述模块能在所述设备单元启动运行时和/或在所述设备单元正在运行时以不同的运行状态中的一个运行状态来对所述设备单元(GE)进行配置,其中所述不同的运行状态中的受保护的第一运行状态被设计为:容许实施至少一个能预先确定的运行过程并且必要时利用所规定的加密方式来保护所述至少一个能预先确定的运行过程,其中所述不同的运行状态中的至少一个第二运行状态被设计为:将所述受保护的第一运行状态停用,而且容许至少一个其它的可改变的运行状态而且必要时利用可预先给定的加密方式来保护所述至少一个其它的可改变的运行状态,而且其中如果所配置的运行状态对应于所述第一运行状态,则所述模块(M)保持所述第一运行状态,或者如果所配置的运行状态对应于至少第二运行状态,则所述模块(M)将所述第一运行状态停用并且引入和/或保持所述至少第二运行状态。
Equipment units suitable for operation under protected and/or open operating conditions and methods to which they belong
【技术实现步骤摘要】
【国外来华专利技术】适合于在受保护的和/或开放的运行状态下运行的设备单元以及所属的方法
本专利技术涉及一种适合于在受保护的和/或开放的运行状态下运行的设备单元以及所属的方法和一种所属的计算机程序(产品)。
技术介绍
嵌入式系统(EmbeddedSystems或Devices(设备))常常在工业4.0的环境下、在工业因特网中以及在自动化系统中投入使用。这些嵌入式系统可在个别情况下基于类似的硬件、如工作站计算机。然而,对于这些嵌入式系统来说,通常需要严格限制的边界条件、如最小成本、小的空间占用、低能耗和小的存储器占用。各个组件、如处理器和工作存储器常常基于对旧的组件的进一步开发。由此,使得长期的可使用性和备件采购变得容易。新型的嵌入式系统常常基于处理器平台,这些处理器平台相对外设模块高度集成而且通过现代节电技术而消耗低得多的能量。在嵌入式系统中,软件必须常常满足实时要求。在这种设备上的软件被称作固件。该软件通常位于ROM上,然而越来越频繁地位于闪速存储器上。专用软件也被称作应用软件或应用。这种引导加载程序(Bootloader)引起在系统启动时对操作系统和应用软件的加载。该引导加载程序还提供了对在闪速存储器中的操作系统和应用软件进行更新的可能性。用于嵌入式系统的处理器(CPU),诸如Freescale/NXPi.MX6或者tiSitara、基于FPGA的片上系统(SystemonChips),如XilinxZynq或AlteraCycloneVSoC或具有UEFI支持的安全启动(SecureBoot)的IntelAtom处理器。为此,安全启动保证了:只有经授权的、未被改变的软件或固件被实施。存在如下要求:保护工业控制设备或嵌入式系统的完整性。在基于PC的具有UEFI-BIOS的系统中,存在如下可能性:用于安全启动的验证密钥可以由合法的用户重新设置。然而,这在其中密钥在所谓的保险丝(可燃保险丝)中烧掉的嵌入式平台上是不可能的。该UEFI-BIOS变型方案还具有如下缺点:安全启动的安全等级基本上取决于BIOS密码的安全性。由此,形成为了安全地保管BIOS密码的高花费。尤其是,用户也可以利用对BIOS配置设置的访问来改变安全启动配置。此外,引导加载程序、诸如针对基于Linux的嵌入式系统的U-Boot在有些变型方案中支持安全启动。Linux内核也可以检查内核模块的完整性(正确性、完好无损)并且只加载正确地被签名的内核模块。消息、进程或程序的不同类型的完整性都是可能的,这些消息、进程或程序可以在信息安全性方面予以检查:-正确的内容-未被修改的状态-当可以阻止不符合期望的修改时识别出修改-当时的正确性:应该遵守相关的时间条件、比如顺序或最大延迟时间。特别是在GPL许可证中公知通过许可证条件对安全启动的限制。由此形成的问题也在术语Tivo化(Tivoisierung)下公知。“Tivo化”描述了如下过程:免费软件在如下设备上投入使用,在这些设备上,只有由制造商签名的软件能运行。那么用户虽然根据许可证有权得到源代码并且根据他的设想来进行修改,但是没有在制造商的设备上运行被他修改的软件的技术可能性。根据某些许可证条件,对于制造商来说可能是必需的是:提供源代码或甚至交出加密密钥或访问代码。在安全启动的情况下,这会威胁到这种嵌入式系统的安全性和完整性。存在如下需求:保护(工业)控制系统的完整性并且仍然给予用户必要时可以在该设备上使用经修改的软件或固件的自由。由此却不应该威胁工业自动化和控制系统的安全性。本专利技术的任务是:在提供用户特定的应用软件的开放式环境下,仍然保证了针对嵌入式系统的安全或保护措施。
技术实现思路
该任务通过专利独立权利要求来解决。有利的扩展方案是从属权利要求的主题。本专利技术要求保护一种设备单元、尤其是一种嵌入式设备单元,该设备单元包括如下模块,该模块可以在该设备单元启动运行时和/或在该设备单元正在运行时以不同的运行状态中的一个运行状态来对该设备单元进行配置。在这种情况下,该模块可以以硬件和/或固件和/或软件的形式来设计。在此,这些不同的运行状态中的受保护的第一运行状态被设计为:容许加载和/或实施至少一个能预先确定的运行过程并且必要时利用所规定的加密方式(Mittel)来保护能预先确定的运行过程。在此,能预先确定的运行过程可通过一个或多个程序代码来实现或者也可以被设计为这种模块。这些不同的运行状态中的至少一个第二运行状态被设计为:将受保护的第一运行状态停用,而且容许或能够实现至少一个其它的可改变的运行状态(同样能以一个或多个程序代码/模块来实现)而且必要时利用可预先给定的加密方式来保护该至少一个其它的可改变的运行状态。如果所配置的运行状态对应于第一运行状态,则该模块保持该第一运行状态,或者如果所配置的运行状态对应于至少第二运行状态,则该模块将该第一运行状态停用并且保持/引入该至少第二运行状态。停用可能是不可撤回的。在这种情况下,所规定的加密方式应被理解为使得更新、例如通过固件升级来引起的更新在制造商侧是可能的,但是在用户侧不能进行修改而且因此对于用户来说被确定下来或预先配置或固定。在启动运行时,可设想的是如下启动运行状态:1.一种中性的运行状态,该中性的运行状态只在启动运行期间被占据。接着该模块可以对设备单元进行配置,使得在启动运行之后,在正在运行时引入或占据第一或第二运行状态。2.该设备单元在第一运行状态下启动,接着在配置时可以保持第一运行状态,或者在配置时变换到第二运行状态,接着现在所配置的运行状态对应于第二运行状态,其中接着第一运行状态被停用。3.该设备单元在第二运行状态下启动,接着在配置时将保持第二运行状态。因此,所配置的运行状态对应于第二运行状态,其中仍然将第一运行状态停用,以便防止“返回”到第一运行状态。通常,第一运行状态对应于由设备制造商预先配置的运行状态而第二运行状态对应于可由用户配置的运行状态。加密方式例如可以是设备配置或保护方式、如(设备制造商的)密钥、证书等等。本专利技术的一个扩展方案规定:该设备单元被设计为嵌入式系统或者被设计为嵌入式系统的部分。本专利技术的一个扩展方案规定:在设备侧,如果在设备单元启动运行期间和/或在设备单元正在运行时的运行状态应该被保护,则提供或可以提供在启动运行时适合的和/或在正在运行时适合的完整性保护措施。在启动运行时的完整性保护措施例如可以是在EEPROM中的加密保护的文件系统、在EEPROM中的加密保护的配置数据。在运行时的完整性保护措施例如可以是进程监控、基于主机的入侵检测系统(Host-basedIntrusionDetectionSystem)。本专利技术的一个扩展方案规定:在受保护的运行状态下,完整性保护措施还包括设备认证和/或设备完整性证明。本专利技术的一个扩展方案规定:根据运行状态,能或可以在设备侧提供或者由用户来提供针对完整性保护措施的至少一个密钥。本专利技术的一个扩展方案规定:可以针对两个运行状态分别提供设备证书。此外,根据运行状态,可以提供私人的或机密的设备认证密钥。本专利技术的一个扩展方案规定:能通过删除该至少一个密钥和/或撤销针对受保护的运行状态所提供的设备证书来执行对该受保护的运行状态的停用。必要时,证书可以通过所谓的证书颁发机构(CA)重新制造。本专利技术的一个扩展方案规定:本文档来自技高网...
【技术保护点】
1.一种设备单元(GE),其包括如下模块(M),所述模块能在所述设备单元启动运行时和/或在所述设备单元正在运行时以不同的运行状态中的一个运行状态来对所述设备单元(GE)进行配置,其中所述不同的运行状态中的受保护的第一运行状态被设计为:容许实施至少一个能预先确定的运行过程并且必要时利用所规定的加密方式来保护所述至少一个能预先确定的运行过程,其中所述不同的运行状态中的至少一个第二运行状态被设计为:将所述受保护的第一运行状态停用,而且容许至少一个其它的可改变的运行状态而且必要时利用可预先给定的加密方式来保护所述至少一个其它的可改变的运行状态,而且其中如果所配置的运行状态对应于所述第一运行状态,则所述模块(M)保持所述第一运行状态,或者如果所配置的运行状态对应于至少第二运行状态,则所述模块(M)将所述第一运行状态停用并且引入和/或保持所述至少第二运行状态。
【技术特征摘要】
【国外来华专利技术】2016.12.08 EP 16202905.21.一种设备单元(GE),其包括如下模块(M),所述模块能在所述设备单元启动运行时和/或在所述设备单元正在运行时以不同的运行状态中的一个运行状态来对所述设备单元(GE)进行配置,其中所述不同的运行状态中的受保护的第一运行状态被设计为:容许实施至少一个能预先确定的运行过程并且必要时利用所规定的加密方式来保护所述至少一个能预先确定的运行过程,其中所述不同的运行状态中的至少一个第二运行状态被设计为:将所述受保护的第一运行状态停用,而且容许至少一个其它的可改变的运行状态而且必要时利用可预先给定的加密方式来保护所述至少一个其它的可改变的运行状态,而且其中如果所配置的运行状态对应于所述第一运行状态,则所述模块(M)保持所述第一运行状态,或者如果所配置的运行状态对应于至少第二运行状态,则所述模块(M)将所述第一运行状态停用并且引入和/或保持所述至少第二运行状态。2.根据上一权利要求所述的设备单元(GE),其特征在于,所述设备单元被设计为嵌入式系统或者被设计为嵌入式系统的部分。3.根据上述权利要求之一所述的设备单元(GE),其特征在于,在设备侧,如果在所述设备单元启动运行期间和/或在所述设备单元正在运行时的运行状态应该被保护,则提供在启动运行时适合的和/或在正在运行时适合的完整性保护措施。4.根据上一权利要求所述的设备单元(GE),其特征在于,所述完整性保护措施还包括设备认证和/或设备完整性证明。5.根据上述权利要求3或4之一所述的设备单元(GE),其特征在于,根据所述运行状态,能在设备侧提供或者由用户来提供针对所述完整性保护措施的至少一个密钥。6.根据上述权利要求之一所述的设备单元(GE),其特征在于,能针对两个运行状态分别提供设备证书。7.根据上述权利要求3至6之一所述的设备单元(GE),其特征在于,能通过删除所述至少一个密钥和/或撤销针对受保护的运行状态所提供的设备证书来执行对所述受保护的运行状态的停用。8.根据上述权利要求之一所述的设备单元(GE),其特征在于,能激活和/或能停用所述设备单元的部分。9.根据上述权利要求之一所述的设备单元(GE),其特征在于,所述模块(M)能借助于一个或多个软件程序代码和/或固件程序代码和/或硬件电路来配置。10.根据上一权利要求所述的设备单元(GE),其特征在于,所述一个或多个软件程序代码和/或固件程序代码能密封。11.根据上述权利要求之一所述的设备单元,其特征在于,所述设备单元的至少一个其它的第三运行状态被设计为:容许所述第一运行状态和所述第二运行状态并行运行而且必要时以加密方式保护所述第一运行状态和所述第二运行状态。12.根据上述权利要求之一所述的设...
【专利技术属性】
技术研发人员:H阿绍尔,R法尔克,S弗里斯,M海因特尔,D梅尔利,
申请(专利权)人:西门子股份公司,
类型:发明
国别省市:德国,DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。