技術領域

本發明涉及一種用于防篡改地在網絡的控制單元之間傳輸控制數據的方法和系統。

背景技術

圖1示出一種傳統網絡，其中，控制數據在控制單元之間傳輸或者說交換。在圖1中所示的實例中，兩個控制網絡通過一個傳輸網絡相互相連。這兩個控制網絡分別具有用于連接到傳輸網絡上的網關（GW）。這兩個控制網絡分別包含多個控制單元SE，這些控制單元例如通過總線連接到控制網絡的網關上。這兩個控制網絡通過傳輸網絡交換控制數據SD1，SD2，SD3…。控制單元SE可以是不同的裝置，例如控制計算器、可存儲編程的控制裝置、機器人手臂、傳感器、執行器和類似物。此外，還有可能的是，控制網絡通過傳輸網絡與控制中心通信，例如SCADA系統（數據采集與監視控制系統）。

傳輸網絡例如可以是基于以太網的或者基于IP的生產網絡，該生產網絡將不同制造單元的控制網絡相互連接。此外，傳輸網絡也可以是列車網絡，該列車網絡將各個車廂的網絡相互連接。列車例如具備用于執行列車控制或者說車輛控制或者其他運行功能的數據網絡。此外，傳輸網絡還可以是能量自動化網的網絡。

為了正確地執行控制裝置的監控功能，控制網絡和通過它相連接的控制組件或者說控制單元必須按規定運行。然而，在對控制網絡進行篡改的情況下，就無法確保這一點。這樣一來就可能影響正常運行，并且有可能威脅受控設備的安全。

在空間上緊湊連續的環境中，可以通過物理性的安全措施保護控制網絡不被篡改，使得攻擊者無法入侵該控制網絡。然而，在分散的控制網絡中，例如布置在生產設備中或者車輛中（例如列車），就不可能做到這一點。在這樣的分散的控制網絡中，控制數據一般都通過傳輸網絡在分隔開的網絡區域之間傳輸。例如這樣就能夠在列車各部分（車廂）之間實現數據傳輸。此外，還能夠在列車內在空間上分隔開的區域之間進行數據傳輸，例如在安裝在車頂容器中或者車廂地板中的開關柜和控制組件之間。此外例如還從信號塔向車道信號單元或者向道岔傳輸控制數據。另一個實例是在具有不同的控制網絡的制造單元之間傳輸數據。此外，能夠通過傳輸網絡在傳感器/執行器和過程自動化設備的控制裝置，例如精煉廠，之間進行數據傳輸。還有一個實例是在能量自動化系統的變電站控制器（Substation-Controller）和控制中心之間傳輸數據。

因此，控制網絡經常用物理方法布置成訪問保護的形式，例如布置在特殊的電纜盒中，從而使第三者不能觸及控制網絡，并盡可能地防止發生篡改。然而這樣做通常耗費巨大，并且由于安裝麻煩，而且還必須要采取維修保養措施，所以一般無法實施。

此外公知的是，在傳輸時通過校驗和來保護數據，例如利用CRC校驗和。然而校驗和僅適合用于識別偶然的傳輸錯誤。因此，傳統的方法也采用或者說使用加密校驗和，例如信息確認碼或者數字簽名。其中，被傳輸的控制數據被添加上加密校驗和。在接收時會檢查加密校驗和。在進行接收的控制器一方僅進一步處理這種其加密校驗和已被檢查通過的控制數據。于是通過加密校驗和保護了被傳輸的控制數據。然而，要將這種加密的保護集成到現有的組件中花費高昂，因為這需要一定的計算量、一定的存儲空間和一定的改進消耗。同樣地，要預設一個在傳輸之前對數據進行解密或者說設有加密校驗和的單獨的前置加密組件，只能通過大量的技術上的耗費才能實現。另一個缺點在于，進行加密計算操作會導致延遲，這尤其是在實時性很關鍵的控制和調節任務中不希望發生，或者甚至可能有損安全性。此外，預設這種前置加密組件對相應的控制設備并非無反作用的。

發明內容

因此，本發明的目的是，實現用于通過網絡在控制單元之間防篡改地傳輸控制數據的一種方法和一種系統，該方法和系統能夠技術上以低耗費來實現，但是在傳輸控制數據時能夠相對于篡改提供高級保護。

該目的通過一種具有權利要求1提供的特征的方法得以解決。

本發明實現一種用于在通過網絡將控制數據從第一控制單元傳輸到第二控制單元時識別篡改的方法，具有步驟：

a）在發送方通過完整性校驗信息生成單元為由第一控制單元發送的控制數據生成完整性校驗信息數據；

b）借助加密的密鑰通過完整性校驗信息生成單元為發送方生成的完整性校驗信息數據計算加密的校驗和；

c）將發送方生成的完整性校驗信息數據和所屬的由完整性校驗信息生成單元計算的加密的校驗和傳輸給完整性校驗確認單元，該完整性校驗確認單元在接收方借助加密的密鑰確認加密校驗和；

d）在接收方通過完整性校驗確認單元為通過第二控制單元所接收的控制數據生成完整性校驗信息數據；并且