本发明专利技术涉及工业自动化系统装置(100),该工业自动化系统装置(100)包括被配置成与另外的信任的工业自动化系统装置安全地通信的安全通信处理单元(102);以及包括预共享秘密(202)的预共享秘密模块(104),该预共享秘密(202)包括共享非对称密钥对生成数据。该安全通信处理单元(102)被配置成:从共享非对称密钥对生成数据中得到包括共享秘密密钥sk_CA和共享公开密钥pk_CA的共享非对称密钥对(204);得到包括共享公开密钥pk_CA的共享证书C_CA(206),以及利用所得到的共享秘密密钥sk_CA对共享证书C_CA进行签名;并且其中安全通信处理单元(102)还被配置成生成包括装置秘密密钥sk_i和装置公开密钥pk_i的装置非对称密钥对(208)。(208)。(208)。
【技术实现步骤摘要】
具有安全通信的工业自动化系统装置、系统和方法
[0001]本专利技术涉及包括被配置成与信任的另外的工业自动化系统装置安全地通信的安全通信处理单元的工业自动化系统装置,包括这样的装置的工业自动化系统,以及用于在工业自动化系统中的安全通信的方法。
技术介绍
[0002]在工业自动化系统中,可能要求安全的装置到装置通信。诸如OPC UA之类的通信协议提供这样的安全通信。在发起在OPC UA中的安全通信之前,系统中的每个应用都要求密码资产,诸如非对称密钥对和用于该密钥对的应用实例证书(Application Instance Certificate)。这些密码资产的初始部署和管理是复杂的、易错的和费力的。因此,期望改进的系统和方法,以便简化安全通信设置,从而减少成本和工作量(effort)。
技术实现思路
[0003]问题通过独立权利要求的主题得到解决。实施例通过从属权利要求、下面的描述和附图来提供。
[0004]所描述的实施例类似地涉及工业自动化系统装置、工业自动化系统和用于在工业自动化系统中的安全通信的方法。从实施例的不同组合中可以产生协同效应,尽管可能没有详细描述它们。
[0005]更进一步地,应当注意,本专利技术的涉及方法的所有实施例可以利用如所描述的步骤顺序来实行,然而这不必是该方法的步骤的唯一的和基本的顺序。除非下文明确相反地提出,本文提出的方法可利用所公开步骤的另一顺序来实行,而不脱离相应的方法实施例。
[0006]技术术语根据它们的通常意义使用。如果某些术语传达特定的含义,则将在下面给出术语的定义,在下面的上下文中,使用该术语。
[0007]对于安全通信,诸如OPC UA应用之类的工业自动化系统应用要求唯一的非对称密钥对,以及在OPC UA的情况下要求关联的应用实例证书。密钥的公开部分存储在应用实例证书的字段中,并且因此与应用实例证书一起被分配,然而密钥的私有部分保持秘密。利用通信伙伴的公开密钥,应用可以核实伙伴的身份,检查它的消息签名并且为它加密消息。在目前的实践中,密钥和应用实例证书由应用本身生成或者通过管理者提供到应用。每个应用在所谓的证书存储(Certificate Store)中存储它的证书,该证书存储含有用于自己的证书和信任的证书——后者被称为信任列表(Trust List)的单独位置。当客户端和服务器发起安全通信时,它们首先互相认证它们自己。为此,客户端和服务器互相交换和核实它们的应用实例证书。为了核实通信伙伴的证书,OPC UA应用必须(i)直接在信任列表中存储证书,或者(ii)存储允许通过核实一连串的证书在通信伙伴的证书中建立信任的中间证书(例如由证书授权机构(CA)发布的)。因此,根据目前的实践,在发起安全连接之前,OPC UA应用必须首先建立它们的证书存储,该证书存储具有用于它们自己和它们所有的通信伙伴的适当的密钥和证书。然而,建立和管理装置的证书存储涉及显著的工作量和复杂性,或者
提供不足的安全性级别。
[0008]根据第一方面,提供工业自动化系统装置,该工业自动化系统装置包括被配置成与另外的信任的工业自动化系统装置安全地通信的安全通信处理单元,并且还包括预共享秘密模块,该预共享秘密模块包括预共享秘密。预共享秘密包括共享非对称密钥对生成数据。安全通信处理单元被配置成从共享非对称密钥对生成数据中得到包括共享秘密密钥sk_CA和共享公开密钥pk_CA的共享非对称密钥对,得到包括共享公开密钥pk_CA的共享证书C_CA,以及利用所得到的共享秘密密钥sk_CA对共享证书C_CA进行签名。安全通信处理单元还被配置成生成包括装置秘密密钥sk_i和装置公开密钥pk_i的装置非对称密钥对,得到包括装置公开密钥pk_i并且利用共享秘密密钥签名的装置证书C_i,以及基于共享证书C_CA信任另外的装置并且基于装置证书和装置密钥对与另外的装置安全地通信。安全通信单元还可被配置成得到包括装置公开密钥pk_i和利用共享秘密密钥签名的装置证书C_i。
[0009]术语“共享”在这里指示还被其它装置使用。例如,共享非对称密钥对由工业自动化系统装置和另外的装置使用。然而,“共享”确实通常不一定意味着非对称密钥对被传送或另外的装置具有对该非对称密钥对的访问。只有应当能够安全地通信的装置具有共享密钥和证书。其它装置不必须具有对共享密钥和证书的访问,因为这将破坏安全性。特别地,在本公开中,共享密钥和证书基于预共享秘密由每个装置本身生成。
[0010]安全通信处理单元提供用来生成或得到安全性相关的密钥和证书的处理方式。它还可以负责认证另外的装置,对消息和证书进行签名,以及来往于另外的装置所传递的消息的编码和译码。
[0011]“装置公开密钥”、“装置秘密密钥”和“装置证书”分别意味着装置特定的公开密钥、秘密密钥和证书。与共享项相比之下,装置特定的项由装置单独地生成或得到,并且包括装置特定的信息或数据。例如,装置证书可包括装置相关数据,而共享证书并不包括装置相关数据。
[0012]术语“预共享秘密”以单数形式使用。然而,“预共享秘密”可包括许多不同的信息类型。类似地,“另外的装置”可以代表许多另外的装置。工业自动化系统装置可同时与若干信任的另外的装置通信。
[0013]因此,工业自动化系统装置凭借具有数据或信息的预共享秘密是可配置的,利用预共享秘密,它可以为本身提供密钥和证书,并且当发起与其它装置在两个方向上的通信时,密钥和证书中的一些(即共享私有密钥和共享证书)代表信任的基础。特别地,共享证书代表根证书,并且装置信任所有利用根证书签名的证书(例如装置证书),或者更精确地,所有利用与根证书相关的共享私有密钥签名的证书。此外,装置能够本身生成装置特定的密钥并且本身生成用于认证和安全通信的装置特定的证书。
[0014]根据实施例,工业自动化系统装置是OPC统一架构(OPC UA)装置。根据OPC UA,在发起安全通信之前,每个OPC UA应用要求三个密码资产:(i)唯一的非对称密钥对;(ii)用于密钥对的应用实例证书,该应用实例证书包括必要的中间证书,其用来建立到根证书的链;以及(iii)实现用于通信伙伴的应用实例证书的核实的信任证书列表。唯一的非对称密钥对对应于装置密钥对,因此应用实例证书对应于装置证书,该装置证书由共享证书签名,该共享证书是根证书,并且信任证书列表分别包括根证书或共享证书。
[0015]根据实施例,预共享秘密还可包括共享证书相关信息。通信处理单元被配置成从
预共享秘密的共享证书相关信息中得到共享证书C_CA。这样的证书相关信息可包括例如有效期或发行者。这个选项允许将与认证和安全通信相关的所有配置数据归拢在一处,并且允许减少用于部署和维持两个或更多个单独配置的工作量。
[0016]备选地,在另外的实施例中,装置证书C_i包括预配置默认数据。这个选项允许减少不得不与预共享秘密一起存储的数据量。
[0017]根据实施例,用于生成共享非对称密钥对(sk_CA,pk_CA)的密钥生成算法是与由另外的装置使用的算法相同的算本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工业自动化系统装置(100),包括:安全通信处理单元(102),所述安全通信处理单元(102)被配置成与另外的信任的工业自动化系统装置安全地通信;以及预共享秘密模块(104),所述预共享秘密模块(104)包括预共享秘密(202),所述预共享秘密(202)包括共享非对称密钥对生成数据;其中所述安全通信处理单元(102)被配置成从所述共享非对称密钥对生成数据中得到包括共享秘密密钥sk_CA和共享公开密钥pk_CA的共享非对称密钥对(204),得到包括所述共享公开密钥pk_CA的共享证书C_CA(206),以及利用所得到的共享秘密密钥sk_CA对所述共享证书C_CA进行签名;并且其中所述安全通信处理单元(102)还被配置成生成包括装置秘密密钥sk_i和装置公开密钥pk_i的装置非对称密钥对(208)。2.如权利要求1所述的工业自动化系统装置(100),其中,所述工业自动化系统装置是OPC统一架构(OPC UA)装置,所述装置证书C_i是装置特定的应用实例证书,并且所述共享证书C_CA是共享的应用实例证书。3.如权利要求1或权利要求2所述的工业自动化系统装置(100),其中,所述预共享秘密还包括共享证书相关信息;并且所述通信处理单元(102)被配置成从所述预共享秘密的所述共享证书相关信息中得到所述共享证书C_CA。4.如权利要求1或权利要求2所述的工业自动化系统装置(100),其中,所述装置证书C_i包括预配置默认数据。5.如前述权利要求中的任一项所述的工业自动化系统装置(100),其中,用于生成共享非对称密钥对(sk_CA,pk_CA)的密钥生成算法是与由另外的装置使用的算法相同的算法。6.如前述权利要求中的任一项所述的工业自动化系统装置(100),其中,所述预共享秘密提供足够的熵,以便以密码安全的方式得到所述共享非对称密钥对(sk_CA,pk_CA)。7.如前述权利要求中的任一项所述的工业自动化系统装置(100),其中,所述安全通信处理单元(102)还被配置成使用常规的熵源,以用于生成装置密钥对。8.如前述权利要求中的任一项所...
【专利技术属性】
技术研发人员:S,
申请(专利权)人:ABB瑞士股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。