从计算机向至少一个现场设备无线发送数据的无线加密收发器和方法技术

本发明专利技术涉及从计算机向至少一个现场设备无线发送数据的无线加密收发器和方法。计算机(C)特别是个人计算机、膝上电脑、笔记本或平板电脑。无线加密收发器(D)包括：连接接口(USB)，特别地，USB接口，用于将无线加密收发器连接至计算机；无线接口(BT)，用于从无线加密收发器向现场设备传输数据；存储器(M)，其上可保存至少一个密钥；算法单元(μC)，设计用于生成并测试签名和释放代码，以及用于执行至少一个非对称加密；以及壳体(G)，其中无线接口、存储器、算法单元以及连接接口被布置在壳体中，其中仅从壳体省略了与用于连接到计算机连接接口相关的部分。

Wireless encrypted transceiver and method for transmitting data wirelessly from a computer to at least one field device

The present invention relates to a wireless encrypted transceiver and method for wirelessly transmitting data to at least one field device. Computers (C), especially personal computers, laptops, notebooks, or tablet computers. The wireless transceiver encryption (D) includes a connection interface (USB), in particular, the USB interface for wireless encryption transceiver connected to the computer; wireless interface (BT), for wireless transceiver to transmit data from the encrypted site equipment; memory (M), which can save at least one key algorithm; unit (Mu C), designed to generate and test signature and release the code, and for performing at least one non symmetric encryption; and shell (G), the wireless interface, memory, arithmetic unit and a connecting interface is arranged in the shell, which only omitted from the housing and connected to the computer connection interface for the relevant part.

【技术实现步骤摘要】
从计算机向至少一个现场设备无线发送数据的无线加密收发器和方法
本专利技术涉及一种无线加密收发器(wirelessdongle)，其用于从计算机，特别地，从个人电脑、膝上电脑、笔记本或平板电脑，向过程自动化系统的至少一个现场设备无线发送数据。此外，本专利技术涉及一种对应的方法。
技术介绍
经常在过程自动化技术中使用用于捕获和/或修改过程变量的现场设备。现场设备总体上指面向过程的并提供或编辑过程相关信息的所有设备。除传感器和传动器外，直接连接到现场总线的单元通常也被称作现场设备，并用于与诸如远程I/O、网关、链接设备和无线适配器的更高级别单元通信。Endress+Hauser组织提供并分销了各种各样的这种现场设备。在工业中，前述连接现场设备的有线数据传输具有降低布线成本、提高可服务性并从而为用户生成利益的潜力。在工业应用中，信息安全通常被认为比传统消费者应用更重要。无线解决方案在工业中尚未被普遍接受的一个原因是因为存在数据安全性不足导致的持续预留。无线解决方案已经可用于许多消费者应用。一个示例是基于蓝牙系列中标准之一的无线解决方案。关于消费者区域内的测量技术应用，现有技术提供了诸如将运动者的心率或步数无线传输至移动显示/控制单元，例如，传输至具有集成蓝牙接口的移动电话的解决方案。通常通过所谓的“配对过程”执行加密，在加密期间，两个通信伙伴之间交换加密密钥。由于远程站的限制，该密钥交换通常仅基于使用仅4个数字的密钥码的认证而发生。该4个数字通常被设置为(不可变更的)标准值，例如0000，特别地，用于不具有显示器的测量设备中，使得安全性进一步降低。该类型的认证以牺牲安全性(security)为代价来优化消费者的操作方便性。这种最低限度的安全性不足以满足工业设施所需的安全级别。德国术语“Sicherheit”可被翻译为英语，如security或safety。英语术语security(安全性)比对应的德语单词“Sicherheit”更精确。术语safety(安全)意味着系统从其功能所预期地作出反应。总之，其像应当的那样可靠地工作。另一方面，安全性是指对信息的技术处理的保护，并且是功能可靠系统的特征。其旨在防止任何未授权的数据操纵或信息的公开。在下文中，如果未另外明确说明，德国术语“Sicherheit”和“sicher”总是指安全特征。对于用户，使用计算机寻址和配置或参数化相应的现场设备是方便和容易的。例如，具有高计算性能以及通过鼠标、键盘和显示屏轻松操作的基础结构的优势可以用于在实际使用之前，甚至在现场中，配置对应现场设备。具有移动计算机的本地参数化也是常规方法。通常，不仅在后一种情况下，而且还使用固定计算机，也不能确保安全。操作系统可能已过时，并且病毒扫描器可能未安装或更新。此外，诸如硬盘的存储器不能在被偷的情况下提供足够的避免被读取的保护。因此，例如因为可能在例如RAM的存储器上存在木马或病毒攻击，计算机不能进行安全加密操作。许多计算机在潜在的外围设备方面是灵活的。然而，任何存在的无线接口，诸如蓝牙接口，不是针对工业应用优化的，例如关于现场设备的部分的功率预算。结果是，计算机不能满足安全性和无线接口的特定需要，并且因此不适合用于工业应用。
技术实现思路
本专利技术的目的是提出一种使现场设备能够安全且容易地配置的设备。该目的通过一种用于从计算机向过程自动化系统的至少一个现场设备发送数据的无线加密收发器实现，该无线加密收发器包括：连接接口，特别地，USB接口，用于将所述无线加密收发器连接至计算机；无线接口，用于从所述无线加密收发器向所述现场设备发送数据；存储器，其上可保存至少一个密钥；算法单元，被设计为用于生成并测试签名和释放代码，以及用于进行至少一个非对称加密；以及壳体，其中无线接口、存储器、算法单元以及连接接口被布置在壳体中，其中，仅从壳体省略了与用于连接到计算机相关的连接接口的部分。通过无线加密收发器，能够容易地并以用户友好的方式从计算机参数化一个或多个现场设备。通过使用加密，这些参数对攻击者是安全的。优选地，无线接口是蓝牙接口；特别地，蓝牙接口对于低能量协议栈是足够的。这是节能接口。为了防止潜在攻击者能够修改无线加密收发器的硬件，在一个有利的实施例中，无线加密收发器是铸造的。此外，所述无线加密收发器包括保护措施，用于识别对壳体的操纵，诸如壳体的移除。如果攻击者试图移除无线加密收发器，这些保护措施开始起作用，并且复制最终呈现无害地使用。为了进一步增强安全性，无线加密收发器在硬件中包括随机生成器。安全加密需要随机数；随机生成器硬件确保安全随机数。该目的进一步通过一种用于从计算机向包括如上所述的无线加密收发器的过程自动化系统的至少一个现场设备发送数据的方法实现。该方法包括以下步骤：将无线加密收发器连接至计算机；建立无线加密收发器和现场设备之间的双向无线连接；利用密钥在现场设备中认证无线加密收发器，其中密钥存储在无线加密收发器上；当通过密钥的认证成功时，从现场设备向无线加密收发器发送数据块，其中通过非对称加密方法，特别地，使用混合加密，保护认证以及数据块的传输免于窃听；以及从无线加密收发器向现场设备发送数据。在有利的实施例中，非对称加密方法包括基于算法类RSA的方法、基于素元(primeelement)的数字信号算法(DSA)和/或基于椭圆曲线的数字信号方法(ECDSA)。这些是方便且安全的加密方法。在另一个优选实施例中，方法包括用于执行抵抗边信道攻击的保护措施的步骤，特别地，通过持续运行代码、诸如插入冗余的运行平滑，以独立于数据地执行机器指令并避免条件转移；功耗随机化；用于抵抗电磁辐射的物理保护措施；和/或插入噪声，诸如代码混淆、栅格混淆和/或信号噪声。这使攻击者更难破解连接。在一个有利的实施例中，现场设备对无线加密收发器的认证被进行为多因素认证，特别地，被进行为双因素认证，至少包括密码和无线加密收发器或无线加密收发器密钥的因素。这创建了多层防护。因此未授权的人更加难于获得对连接的访问。如果一个因素被泄露或失灵，攻击者必须处理至少一个其他障碍以成功侵入。附图说明参考以下附图更详细地解释本专利技术。这些附图示出了：图1根据本专利技术的无线加密收发器，以及图2在应用中的根据本专利技术的无线加密收发器。在附图中，使用相同的参考符号标记相同的特征。具体实施方式使用参考符号D标记根据本专利技术的整体无线加密收发器，并在图1中示出。无线加密收发器D包括连接接口USB。连接接口USB例如是USB接口、防火墙接口或雷电(thunderbolt)接口。无线加密收发器D可通过该接口USB连接至计算机C。无线加密收发器D进一步包括无线接口BT，用于从无线加密收发器D或计算机C向现场设备FG传输数据。接口BT例如被设计为蓝牙接口、WLAN接口或诸如紫蜂(Zigbee)的基于无线标准IEEE802.15.4的无线连接。优选地使用蓝牙。蓝牙接口特别地满足作为“蓝牙低能量”(也称为BTLE、BLE或BluetoothSmart)的低能量协议栈。因此现场设备FG至少满足“蓝牙4.0”标准。无线加密收发器D进一步包括算法单元μC和存储器M。在存储器中可保存至少一个密钥。算法单元μC被设计为生成和测试签名和释放代码，以及执行至少一个非对称加密。无线加密收发器D包本文档来自技高网...

【技术保护点】
一种无线加密收发器(D)，所述无线加密收发器(D)用于从计算机(C)，特别地，从个人计算机、膝上电脑、笔记本或平板电脑，向过程自动化系统的至少一个现场设备(FG)发送数据，所述无线加密收发器(D)包括：‑连接接口(USB)，特别地，USB接口，所述连接接口(USB)用于将所述无线加密收发器连接至所述计算机，‑无线接口(BT)，所述无线接口(BT)用于从所述无线加密收发器向所述现场设备发送数据，‑存储器(M)，所述存储器(M)上能够保存至少一个密钥，‑算法单元(μC)，所述算法单元(μC)被设计为用于生成并测试签名和释放代码，以及用于进行至少一个非对称加密，以及‑壳体(G)，其中，所述无线接口、所述存储器、所述算法单元以及所述连接接口被布置在所述壳体中，其中，仅从所述壳体省略了与连接到所述计算机相关的所述连接接口的部分。

【技术特征摘要】
2015.12.15 DE 102015121809.71.一种无线加密收发器(D)，所述无线加密收发器(D)用于从计算机(C)，特别地，从个人计算机、膝上电脑、笔记本或平板电脑，向过程自动化系统的至少一个现场设备(FG)发送数据，所述无线加密收发器(D)包括：-连接接口(USB)，特别地，USB接口，所述连接接口(USB)用于将所述无线加密收发器连接至所述计算机，-无线接口(BT)，所述无线接口(BT)用于从所述无线加密收发器向所述现场设备发送数据，-存储器(M)，所述存储器(M)上能够保存至少一个密钥，-算法单元(μC)，所述算法单元(μC)被设计为用于生成并测试签名和释放代码，以及用于进行至少一个非对称加密，以及-壳体(G)，其中，所述无线接口、所述存储器、所述算法单元以及所述连接接口被布置在所述壳体中，其中，仅从所述壳体省略了与连接到所述计算机相关的所述连接接口的部分。2.根据权利要求1所述的无线加密收发器(D)，其中，所述无线接口(BT)是蓝牙接口；特别地，所述蓝牙接口对于低能量协议栈是足够的。3.根据权利要求1或2所述的无线加密收发器(D)，其中，所述无线加密收发器(D)是铸造的。4.根据权利要求1至3中的一项所述的无线加密收发器(D)，其中，所述无线加密收发器(D)包括保护措施，用于识别对所述壳体的操纵，诸如所述壳体的移除。5.根据权利要求1至4中的一项所述的无线加密收发器(D)，其中，所述无线加密收发器(D)包括硬件随机生成器(Z)。6.一种方法，用于从计算机(C)，特别地，从个人计算机、膝上电脑、笔记本或平板电脑，向包括根据权利要求1至...

【专利技术属性】
技术研发人员：比约恩·哈斯，
申请(专利权)人：恩德莱斯和豪瑟尔分析仪表两合公司，
类型：发明
国别省市：德国,DE