技術領域

本發明涉及一種用于在第一設備與第二設備、尤其是在自動化設施中的設備之間安全地交換配置數據的方法以及裝置。

背景技術

除了用于一個產品系列的所有設備并且版本相同的固件或軟件之外，安裝在自動化設施中的部件、諸如在制造和過程技術中的可編程存儲控制裝置（SPS/PLC）、在鐵路技術中的能量分配裝置或元件控制器中的智能現場設備通常還包含單獨的、對于每個設備來說都不同的編程或配置。

為了簡單地并且快速地更換例如失靈的設備，所述編程或配置數據附加地可以被存放在單獨的外部的永久性存儲器（諸如SD卡或者USB存儲介質）中。在有損壞時，維修技術人員拆下有損壞的設備，取出外部存儲器，將外部存儲器插入到替換設備中并且將該替換設備連接在設施中。在啟動時，替換設備從外部存儲器讀入數據，接收存放在所述外部存儲器上的編程和配置數據，而且立即以與被替換的設備相同的配置來準備好投入使用。

存儲介質也可以固定地安裝在設施中、例如安裝在開關柜中，使得所述存儲介質在拆下設備時留在設施中而且在插入/嵌入設備時自動地與該設備連接。

這種外部的能插入到儀器或插入到設備中的存儲設備具有如下優點：該設備在沒有管理耗費的情況下立即得到正確的單獨的配置數據。在經由例如設施的局域網來分配編程和/或配置數據時，必須首先確定在該設施中新的設備位于哪里以及該設備需要哪些數據。

另一方面，在外部可插入存儲設備（所述外部可插入存儲設備因此能以可拆卸的方式與儀器或設備連接）上的編程和配置數據可能具有如下缺點：具有對可拆卸的存儲器的物理訪問或對設備的物理入口的攻擊者可以更簡單地操縱這些數據。

發明內容

因此，本發明的任務是能夠實現在設備之間防操縱地交換配置數據。

按照本發明的用于在第一與第二設備之間安全地交換配置數據的方法包括如下步驟：

- 利用所述第一設備的安全信息制訂關于所述第一設備的配置數據的數字簽名，

- 將所述配置數據、所述數字簽名以及安全令牌（Sicherheitstokens）存儲在外部存儲設備中，而且

- 將所述配置數據、所述數字簽名以及所述安全令牌從所述外部存儲設備加載到所述第二設備中。

通過第一設備的配置數據的簽名，可以檢驗數據的完整性。為此所需的裝置通過安全令牌得到第二設備，所述安全令牌連同被簽名的配置數據被加載到第二設備中。在該方法中，外部存儲設備用作這些信息的傳輸介質。因此，可以保證在外部存儲設備上的數據不曾被改變。因此保證了當前的配置信息隨時存在于外部存儲設備上。這尤其能夠實現：在通過第二設備來更換設備時，第一設備的當前配置被傳輸到第二設備上。因此，沒有形成附加的管理耗費、例如由于中央配置服務器引起的配置耗費，在所述中央配置服務器中，必須報告配置數據的更新并且調用相對應地被更新的配置數據。

在一個有利的實施方式中，配置數據由第二設備借助于第一設備的簽名和安全令牌來檢驗并且在檢驗成功時予以使用。

借此保證了：僅僅未被改變的配置數據被加載到第二設備中，并且因此沒有將后來引入的有害代碼插入到配置數據中。這尤其是在使用外部存儲設備時是有利的，因為該外部存儲設備可以簡單地從設備移除并且在操縱之后重新被插入。

在一個有利的實施方式中，在第二設備中，在由第二設備加載和檢驗配置數據之后，利用第二設備的安全信息制訂關于配置數據的數字簽名，而且將所述數字簽名存儲在外部存儲設備上。

由此，現在可以由第二設備從新更新在外部存儲設備上的被改變的配置數據。

在一個有利的實施方式中，安全信息是私鑰，而安全令牌是數字證書。

在此，私鑰和數字證書是例如根據公鑰架構（Publik-Key-Infrastruktur）的不對稱加密方法的要素。在此，包含在數字證書中的公鑰明確地與私鑰相關。在此，數據用私鑰來加密并且可以用公鑰來解密。通過對作為安全令牌隨附于配置數據的數字證書的檢驗，也可以檢驗配置數據的可信性，其方式是將第一設備的現有的證書追溯到已經存在于第二設備中的證書、例如制造商的固定于固件中的值得信任的根證書上。這種值得信任的根證書、尤其是制造商的這種值得信任的根證書尤其存在于同一制造商的設備中。如果其他制造商的設備如第一設備被用作替換設備、也就是說用作第二設備，那么應保證：在第二設備中能使用適當的證書、例如第一設備的制造商的根證書。