用于创建能单独识别的软件安装(3,103)的方法,其中,为软件的安装在机器可读介质(2)上的软件安装生成(S1)由私钥(4)和公钥(5)组成的密钥对,使用利用(S3)软件安装(3,103)的安装特定的数据强化的随机数(S2)创建密钥对(4,5),安全地存储(S4)创建的私钥(4)。安全地存储(S4)创建的私钥(4)。安全地存储(S4)创建的私钥(4)。
【技术实现步骤摘要】
【国外来华专利技术】用于创建能单独识别的软件安装的方法和系统
[0001]本专利技术涉及用于创建能单独识别的软件安装的方法和系统。
[0002]此外,本专利技术涉及用于自动化设施的设备的上线的方法和系统。
[0003]本专利技术还涉及用于执行上述方法的计算机程序,以及存储所述计算机程序的机器可读的数据载体,以及传输所述计算机程序的数据载体信号。
[0004]此外,本专利技术涉及分别具有至少一个处理器的设备,其中,处理器设计和/或配置用于执行上述方法。
技术介绍
[0005]设备上线是一个过程,在该过程中首次提供对设备或仪器的网络访问、配置设备和在云/服务器中注册设备。
[0006]例如,能够借助于在设备上安装配置或借助于其激活服务来配置设备。
[0007]在上线后,能够经由一个或多个网络、例如互联网或局域设施网络从任意位置使用该设备。
[0008]物联网产品(边缘设备、PLC等)以及SCADA系统越来越多地受到网络攻击(“SCADA事件”、“工业毁坏者(Industroyer”)。因此,完全全面的完整性保护必不可少。这另外包括保护通信连接,通信连接需要分发操作证书(例如TLS)以对通信连接(例如http、OPCUA、MQTT)进行加密保护。为了能够保证没有未经授权的第三方渗透通信,需要所有通信伙伴都必须能够被明确地识别。
[0009]关于嵌入式的运行时组件、例如边缘设备或PLC,能够使用设备制造商证书,例如所谓的制造商设备证书(MDC)或初始设备标识符(IDevID),所述证书在硬件制造期间单独创建并永久存储在安全存储器中。因此,所述证书表示出生证明的功能。但是,因为所述证书由客户和/或设备制造商员工在客户现场才安装,而不是在受保护的仪器生产环境中安装,所述证书无法转移到软件实例安装上。
技术实现思路
[0010]因此,本专利技术所基于的目的能够被视为,实现(具体的)软件安装、尤其来自工程系统上下文的软件安装的明确的可识别性。
[0011]根据本专利技术,本专利技术的目的借助开头提及的方法通过以下方式实现,即对于软件、优选配置软件、特别是工程系统软件(工程站软件)的安装在机器可读介质上、例如计算机硬盘上的软件安装来生成由私钥和公钥组成的密钥对,并且使用利用软件安装的安装特定的数据强化的随机数来创建密钥对,创建的私钥被安全存储,例如以绑定于硬件或软件的方式存储。
[0012]通过利用软件安装的安装特定的数据来强化随机数,并且将以这种方式强化的随机数用于创建加密私钥的初始化值,软件安装获得明确的指纹。此外,由此使克隆软件安装变难。
[0013]因此,本专利技术能够实现例如软件绑定的“设备配置”。这除了初始化实例特定的受保护的通信连接之外,还开启了软件实例特定的许可可行性,而不必包括基于硬件的第二因素(加密狗)。
[0014]在本专利技术的范畴中,将软件安装理解为在具体的机器可读的介质上、例如计算机的、例如服务器的硬盘上或在分布式数据处理系统上、在云中等的软件安装。
[0015]在本申请的范畴中,处理器能够是机器或电子电路。处理器能够例如通过CPU单元或微处理器或微控制器来实现,例如通过专用集成电路(ASIC)或通过数字信号处理器实现,优选结合用于存储程序代码等的机器可读的(存储器)介质来实现。处理器能够替代地或附加地通过集成电路(IC)来实现,尤其通过现场可编程门阵列(FPGA)、ASIC或数字信号处理器(英文DSP,digital signal processor数字信号处理器)或图形处理单元(GPU)来实现。替代地或附加地,处理器能够通过虚拟处理器或虚拟机或CPU来实现。处理器能够通过可编程处理器来实现,可编程处理器具有配置接口,配置接口简化各种所描述的方法的配置。可编程处理器能够被配置用于实现在此描述的方法步骤、部件或在此描述的方法的其他方面。
[0016]在一个实施方式中,能够有利地提出,安装特定的数据包括安装的时间点(例如日期,时间(具有秒))和/或关于在个性化的时间点可用的工作存储器的说明(例如在Windows下为“systeminfo”,在Linux下为“free”)和/或系统启动时间(例如,在Windows下为“systeminfo”,在Linux下为“uptime”)。
[0017]在此,如果安装特定的数据包括安装时间点、关于在个性化的时间点可用的工作储器的信息和系统启动时间、优选地由这些数据组成,则软件安装的克隆会额外显著变难。
[0018]在一个实施方式中,能够有利地提出,密钥对基于椭圆曲线创建,优选地基于椭圆曲线的同形异构、尤其基于超奇异椭圆曲线的同形异构创建。
[0019]在一个实施方式中,能够有利的是,软件设计为用于配置数字孪生的软件。
[0020]此外,根据本专利技术,该目的借助开始提及的计算机程序通过以下方式来实现,即程序包括指令,在通过计算机执行程序时指令促使计算机执行所提及的方法。
[0021]此外,目的根据本专利技术借助开头提及的系统通过以下方式来实现,即系统包括机器可读介质(例如计算机的硬盘),在机器可读介质上存在软件、优选配置软件、特别是工程系统软件(工程站软件)的软件安装(正或已经安装)和与软件安装相关联的、安全存储的私钥,其中,基于利用软件安装的安装特定的数据强化的、并且优选具有熵的随机数来创建私钥。私钥例如能够存储在上述硬盘或包括硬盘的计算机上。同样能够考虑将私钥存储在云中或分布式账本网络(例如区块链)中。
[0022]在申请的范畴中,将具有熵的随机数被理解为存在不为0的熵的随机数。在此,能够适当地选择应用的熵的水平。
[0023]此外,该目的根据本专利技术借助开始提及的设备上线方法通过以下方式来实现,根据前述方法提供具有由私钥和公钥组成的密钥对的软件安装,软件构建到设备的可信的通信,借助于软件安装来配置设备并且优选加密地将公钥传输给设备。
[0024]在一个实施方式中,能够有利的是,设备设计为嵌入式设备,例如运行时设备或IoT设备,或者是数字孪生。
[0025]如果设备设计为表示机器的纯虚拟复制的数字孪生,则上述软件能够作为用于配
置这种数字孪生的软件。通过能单独识别软件安装也能够明确识别数字孪生。
[0026]在一个实施方式中,有利的是,设备包括其中登记公钥的白名单。
[0027]根据本专利技术,目的还通过开头提及的上线计算机程序通过以下方式来实现,即程序包括指令,在通过计算机执行该程序时,指令促使计算机执行上述设备上线方法。
[0028]此外,根据本专利技术,目的通过开头提及的上线系统通过以下方式来实现,即上线系统包括自动化设施的设备和前述系统(1),其中,系统(1)还包括处理器,处理器设计和/或配置用于根据上述方法来执行设备的上线。在此,处理器能够例如处理指令,指令包含在前述上线计算机程序中,其中,上线计算机程序被上线系统所包括,或者能够经由远程访问、例如在云中提供。
[0029]此外,目的利用一个或多个数据载体信号来实现,数据载体信号传输上述本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于创建能单独识别的软件安装(3,103)的方法,其中,
‑
为软件(102)的安装在机器可读介质(2)上的软件安装(3,103)生成(S1)由私钥(4)和公钥(5)组成的密钥对(4,5),其中,
‑
为了创建所述密钥对(4,5),使用以所述软件安装(3,103)的安装特定的数据强化(S3)的随机数(S2),
‑
安全地存储(S4)已创建的所述私钥(4)。2.根据权利要求1所述的方法,其中,所述安装特定的数据包括安装的时间点和/或关于在个性化的时间点可用的工作存储器的说明和/或系统启动时间。3.根据权利要求2所述的方法,其中,所述安装特定的数据包括安装的时间点和关于在个性化的时间点可用的工作存储器的说明和系统启动时间,所述安装特定的数据优选地由安装的时间点和关于在个性化的时间点可用的工作存储器的说明和系统启动时间组成。4.根据权利要求1至3中任一项所述的方法,其中,基于椭圆曲线,优选地基于椭圆曲线的同形异构,尤其基于超奇异椭圆曲线的同形异构,创建所述密钥对(4,5)。5.根据权利要求1至4中任一项所述的方法,其中,所述软件(102)设计为用于配置数字孪生的软件。6.一种计算机程序(7),包括指令,其中,在由计算机(104)执行所述程序时,所述指令使所述计算机执行根据权利要求1至5中任一项所述的方法。7.一种包括机器可读介质(2)的系统,在所述机器可读介质上设有软件(102)的软件安装(3,103)和与所述软件安装(3,103)相关联的安全存储的私钥(4),所述私钥基于以所述软件安装(3,103)的安装特定的数据强化的、优选具有熵的随机数来创建。8.一种用于自动化...
【专利技术属性】
技术研发人员:阿克塞尔,
申请(专利权)人:西门子股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。