裝置和用于安全地操作該裝置的方法
【專利摘要】本發(fā)明涉及一種裝置和用于安全地操作該裝置的方法�����。所提出的裝置(10)具有:控制設(shè)備(11)�,其用于使用加密式確定的參數(shù)(P)來執(zhí)行控制操作;安全設(shè)備(12)���,其用于使得加密式確定的參數(shù)(P)可供使用�����;第一物理接口(13)��,其用于將加密式確定的參數(shù)(P)從安全設(shè)備(12)傳輸?shù)娇刂圃O(shè)備(11)���;啟用設(shè)備(14)�����,其用于使得用于啟用安全設(shè)備(12)的啟用信息(F)可供使用���;以及第二物理接口(15)�,其用于將啟用信息(F)從啟用設(shè)備(14)傳輸?shù)桨踩O(shè)備(12)。在這個背景下��,安全設(shè)備(12)配置成根據(jù)經(jīng)由第二物理接口(15)接收到啟用信息(F)�,而經(jīng)由第一物理接口(13)將加密式確定的參數(shù)(P)傳輸?shù)娇刂圃O(shè)備(11)。這樣能防止控制設(shè)備參與安全設(shè)備的啟用����。
【專利說明】
裝置和用于安全地操作該裝置的方法
技術(shù)領(lǐng)域
[0001 ]本發(fā)明涉及一種裝置和一種用于安全地操作該裝置的方法。
【背景技術(shù)】
[0002]集成到技術(shù)背景中的裝置�����,尤其是計算機(jī)平臺���,可能具有安全設(shè)備��。安全設(shè)備通常實施為單芯片安全微控制器并且充當(dāng)信任錨����,也就是說充當(dāng)上級實體,其受到信任���,而不必從其他地方得到這個信任����。功能類似于芯片卡的安全設(shè)備總體上是已知的�����。
[0003]這樣的安全設(shè)備為裝置提供實施加密方法的基本功能�����,使用這些功能�����,可以安全地操作裝置�����。這包括(例如)安全的行為、啟用��、推導(dǎo)和輸出加密參數(shù)����,尤其是加密密鑰或加密校驗和,即�����,數(shù)字簽名或消息認(rèn)證碼�,或者是挑戰(zhàn)響應(yīng)認(rèn)證協(xié)議的響應(yīng)值����。
[0004]在通過啟用信息啟用了安全設(shè)備之后,這些基本的功能可供使用����。通常通過控制設(shè)備(中央處理單元,CPU)經(jīng)由常用的物理接口來執(zhí)行啟用���。然而��,這個物理接口不一定受到反篡改保護(hù)����。因此,可以在(PU上用純文本讀出啟用信息���。
[0005]DE 10 2011 002 706 B4公開了在檢測到企圖篡改時����,防止通過控制設(shè)備來啟用安全設(shè)備����。
【發(fā)明內(nèi)容】
[0006]在這個背景下,本發(fā)明的一個目的是提供一種更安全的裝置�����。
[0007]因此��,提出一種裝置�����,其具有:控制設(shè)備,用于使用加密式確定的參數(shù)來執(zhí)行控制操作�;安全設(shè)備,用于使所述加密式確定的參數(shù)可供使用���;第一物理接口�,用于將加密式確定的參數(shù)從安全設(shè)備傳輸?shù)娇刂圃O(shè)備����;啟用設(shè)備,用于使得用于啟用安全設(shè)備的啟用信息可供使用�;以及第二物理接口�,用于將啟用信息從啟用設(shè)備傳輸?shù)桨踩O(shè)備;其中,所述安全設(shè)備配置成根據(jù)經(jīng)由第二物理接口接收到啟用信息�,而經(jīng)由第一物理接口將加密式確定的參數(shù)傳輸?shù)娇刂圃O(shè)備。
[0008]這樣能防止控制設(shè)備參與安全設(shè)備的啟用�。
[0009]因此,啟用信息也不存在于控制設(shè)備中或者能夠從控制設(shè)備中讀出����。尤其即使控制設(shè)備的控制軟件受到篡改的時候這一點同樣適用����。這樣能增加裝置的安全性。
[0010]另外,控制設(shè)備可以僅使用在啟用安全設(shè)備之后可供其使用的加密式確定的參數(shù)�����。然而����,尤其是控制設(shè)備不可能影響針對所述設(shè)備啟用哪些加密式確定的參數(shù)。結(jié)果是�,例如可以防止已經(jīng)受到篡改的加密式確定的參數(shù)被存儲在安全設(shè)備中并且在它的基礎(chǔ)上對裝置進(jìn)行不當(dāng)?shù)目刂啤?br>[0011]啟用信息尤其是PIN碼、口令��、共享秘鑰�、會話密鑰、主密鑰或憑證����。
[0012]啟用安全設(shè)備可能要求啟用設(shè)備與安全設(shè)備之間雙向交換信息,尤其是在挑戰(zhàn)響應(yīng)法的情況下����。
[0013]此外,安全設(shè)備的啟用可能限于具體的時窗���。
[0014]加密式確定的參數(shù)可以是(例如)密鑰����,尤其是會話密鑰或衍生密鑰,或者是系統(tǒng)配置的指紋�����,例如采用哈希值(或稱為“散列值”)的形式���。
[0015]安全設(shè)備優(yōu)選地配置成在啟用信息基礎(chǔ)上推導(dǎo)加密式確定的參數(shù)����。
[0016]安全設(shè)備可以集成在控制設(shè)備中�����,集成在裝置的多芯片模塊或芯片組中����。它優(yōu)選地對篡改有被動保護(hù),例如鈍化層��、抗鉆箔���、打開傳感器和/或光敏傳感器。
[0017]物理接口尤其是有線或無線(leitungsgebundeneoder Ieitungsungebundene)硬件接口。
[0018]第一物理接口尤其具有串行協(xié)議1^8���、12(:��、1¥1�、150/比07816��、150/^(:14443八�����、RS232或SPI中的一個�。
[0019]另外,第一和/或第二物理接口可以具有信道編碼����,以提供傳輸錯誤保護(hù)。
[0020]根據(jù)另一實施例����,所述安全設(shè)備配置成根據(jù)經(jīng)由第二物理接口接收和檢驗啟用信息,而經(jīng)由第一物理接口將加密式確定的參數(shù)傳輸?shù)娇刂圃O(shè)備���。
[0021]檢驗啟用信息尤其確保只能通過針對啟用安全設(shè)備預(yù)期的正確的啟用信息來觸發(fā)加密式確定的參數(shù)的傳輸��。
[0022]檢驗可以包括���,例如,對傳輸?shù)膯⒂眯畔⒌母袷綑z驗���,將傳輸?shù)膯⒂眯畔⒌膬?nèi)容與預(yù)期啟用信息比較(尤其是用二元的方式)�����,或者將傳輸?shù)膯⒂眯畔⑺诘挠嬎憬Y(jié)果與預(yù)期計算結(jié)果比較�����。
[0023]根據(jù)另一實施例�����,第一物理接口實施為在安全設(shè)備與控制設(shè)備之間聯(lián)接的單向接
□O
[0024]安全設(shè)備與控制設(shè)備之間的物理接口的單向?qū)嵤┓桨赣绕涫沟媚芊乐箍刂圃O(shè)備直接影響安全設(shè)備��。
[0025]另外���,這個第一物理接口的設(shè)計得到簡化。
[0026]根據(jù)一個實施例���,安全設(shè)備配置成根據(jù)經(jīng)由第二物理接口接收到啟用信息和經(jīng)由第一物理接口接收到更多啟用信息��,而經(jīng)由第一物理接口將加密式確定的參數(shù)傳輸?shù)娇刂圃O(shè)備。
[0027]結(jié)果是��,控制設(shè)備可以(例如)影響加密式確定的參數(shù)何時可供其使用���,然而�����,不會影響具體有待啟用的加密參數(shù)的類型或信息內(nèi)容���。
[0028]根據(jù)另一實施例,所述安全設(shè)備配置成根據(jù)經(jīng)由第二物理接口接收和檢驗啟用信息和經(jīng)由第一物理接口接收和檢驗更多啟用信息�����,而經(jīng)由第一物理接口將加密式確定的參數(shù)傳輸?shù)娇刂圃O(shè)備���。
[0029]這個實施例結(jié)合了上文說明的兩個實施例的如下優(yōu)點:對啟用信息的另外的檢驗,和在啟用安全設(shè)備期間影響控制設(shè)備的另外的可能性�����。
[0030]根據(jù)另一實施例,所述安全設(shè)備具有用于加密式確定的參數(shù)的參數(shù)存儲器�����。
[0031]結(jié)果是��,可以使裝置控制所基于的加密式確定的參數(shù)保持可供使用���。
[0032]參數(shù)存儲器優(yōu)選地是二固態(tài)存儲器,其可以例如線性地�����、邏輯上地或通過寄存器標(biāo)識符來尋址����。
[0033]根據(jù)另一實施例,參數(shù)存儲器可以僅經(jīng)由安全設(shè)備的第一和/或第二物理接口的永久分配的物理接口而被寫入��。
[0034]在多個物理接口的背景下�,在這個實施例中,加密式確定的參數(shù)在安全設(shè)備中的存儲可以在存儲發(fā)生時所使用的接口方面受到限制���。這樣能增加對存儲在安全設(shè)備中的加密式確定的參數(shù)的防篡改保護(hù)���。
[0035]根據(jù)另一實施例,參數(shù)存儲器還配置成在加密式確定的參數(shù)中存儲安全設(shè)備的第一和/或第二物理接口中的用于向參數(shù)存儲器寫入的物理接口的標(biāo)識符�����。
[0036]在多個物理接口的背景下���,這樣使得可以確定存儲在參數(shù)存儲器中的加密式確定的參數(shù)所源自的來源���。這樣尤其準(zhǔn)許在檢測到篡改所存儲的加密式確定的參數(shù)時進(jìn)行法律調(diào)查��。
[0037]根據(jù)另一實施例�����,啟用設(shè)備配置成根據(jù)檢測到裝置中的會聚多程序執(zhí)行(konvergierenden Mehrfachprogrammausfiihrung)而使得啟用信息可供使用��。
[0038]結(jié)果是��,尤其是���,當(dāng)在控制設(shè)備上執(zhí)行的控制軟件受到篡改時,可以防止或撤銷加密式確定的參數(shù)的啟用���。
[0039]為此目的���,將控制設(shè)備的程序的執(zhí)行與至少一個另外的結(jié)構(gòu)上相同的CHJ的程序執(zhí)行比較,后者在單獨執(zhí)行未被篡改的可供使用的控制軟件�����。
[0040]根據(jù)另一實施例���,啟用設(shè)備配置成根據(jù)檢測到裝置的穩(wěn)定的時鐘供給而使得啟用信息可供使用�����。
[0041]結(jié)果是��,當(dāng)裝置的時鐘供給受到篡改以便使得控制設(shè)備執(zhí)行已經(jīng)受到篡改的控制軟件時,可以優(yōu)選地防止或撤銷加密式確定的參數(shù)的啟用�����。
[0042]根據(jù)另一實施例,啟用設(shè)備配置成根據(jù)檢測到裝置的穩(wěn)定的電力供給而使得啟用信息可供使用��。
[0043]這樣使得當(dāng)裝置的電力供給受到篡改以便使得控制設(shè)備執(zhí)行已經(jīng)受到篡改的控制軟件時�����,可以優(yōu)選地防止或撤銷加密式確定的參數(shù)的啟用��。
[0044]根據(jù)另一實施例����,啟用設(shè)備配置成根據(jù)檢測到裝置的打開尤其是裝置外殼的打開而使得啟用信息可供使用�。
[0045]在這個實施例中,尤其是當(dāng)裝置的外殼打開以便(例如)取出或更換裝置的各個設(shè)備或檢查裝置的內(nèi)部運(yùn)轉(zhuǎn)方法時�����,可以防止或撤銷加密式確定的參數(shù)的啟用�����。
[0046]裝置的打開可以尤其是未經(jīng)授權(quán)的打開�。
[0047]根據(jù)另一實施例,第二物理接口實施為在啟用設(shè)備與安全設(shè)備之間聯(lián)接的單向接
□O
[0048]啟用設(shè)備與安全設(shè)備之間的物理接口的單向?qū)嵤┓桨高€能簡化這個第二物理接口的設(shè)計。
[0049]作為這個方案的替代方案�����,可以在啟用設(shè)備與安全設(shè)備之間提供一種裝置���,有了這種裝置�����,就可以不作反應(yīng)�����。這個裝置可以例如是固態(tài)存儲器����,其中可以從兩側(cè)(雙端口RAM)發(fā)生同時的讀取存取操作或?qū)懭氪嫒〔僮?����。在這個背景下�,固態(tài)存儲器優(yōu)選地用第一側(cè)僅準(zhǔn)許寫入存取操作而第二側(cè)僅準(zhǔn)許讀取存取操作的方式操作�。
[0050]根據(jù)另一實施例�,所述裝置還具有多個啟用設(shè)備�����,用于使得用于啟用安全設(shè)備的多個啟用信息項可供使用����。在這種情況下,所述裝置還包括多個第二物理接口���,用于將所述多個啟用信息項從多個啟用設(shè)備傳輸?shù)桨踩O(shè)備����。
[0051]通過使用多個啟用裝置和多個第二物理接口��,尤其可以在裝置的安全操作的全面整體視角的基礎(chǔ)上啟用安全設(shè)備���。
[0052]多個啟用設(shè)備可以使得多個啟用信息項可供使用,所述啟用信息項尤其可以涵蓋裝置的安全操作的各個單個方面�。示例性的單個方面包括裝置中的會聚多程序執(zhí)行,裝置的穩(wěn)定的時鐘供給�,裝置的穩(wěn)定的電力供給或裝置的打開。
[0053]相應(yīng)啟用信息項中可以涵蓋的這些單個方面可以經(jīng)由多個第二物理接口中的相應(yīng)接口傳輸?shù)桨踩O(shè)備�,并且在那里組合��,以形成裝置的安全操作的整體視野�,這個整體視野可能比可涵蓋的單個方面更全面���。
[0054]根據(jù)另一實施例�����,裝置是嵌入系統(tǒng)�、現(xiàn)場單元����、控制單元、存儲程序控制器���、服務(wù)器���、計算機(jī)或智能手機(jī)。
[0055]這樣準(zhǔn)許針對各種應(yīng)用實施裝置��。
[0056]相應(yīng)單元��,例如計算單元或控制單元�,可以通過硬件技術(shù)和/或軟件技術(shù)實施�����。在硬件實施方案的情況下�����,相應(yīng)單元可以實施為裝置或裝置的一部分�,例如實施為計算機(jī)或微處理器或車輛的控制計算機(jī)�����。在軟件實施方案的情況下��,相應(yīng)單元可以實施為計算機(jī)程序產(chǎn)品�、功能、例程���、程序代碼的一部分或可執(zhí)行對象。
[0057]裝置的控制設(shè)備例如執(zhí)行技術(shù)過程的監(jiān)測和控制操作或調(diào)節(jié)操作��,因為它通過連接的傳感器檢測測量變量�����,并且經(jīng)由連接的致動器影響技術(shù)過程。傳感器和致動器可以直接地連接至裝置或經(jīng)由總線或數(shù)據(jù)網(wǎng)絡(luò)連接至裝置���。裝置還可以具有網(wǎng)絡(luò)連接����,例如經(jīng)由所述網(wǎng)絡(luò)連接�����,可以接收計劃數(shù)據(jù)或者可以使得診斷數(shù)據(jù)可供使用���。具體來說����,控制設(shè)備在加密式確定的參數(shù)的基礎(chǔ)上控制所述裝置�����。這可以包括例如以下事實:控制設(shè)備使用加密式確定的參數(shù)來檢驗接收的傳感器測量值的加密校驗和���、將可供使用的致動器設(shè)置點值的加密校驗和�,以便設(shè)置到另一個裝置�、到計劃服務(wù)器或到診斷服務(wù)器的受到加密保護(hù)的通信鏈接�,以便實行授權(quán)檢驗以激活服務(wù)接入�����,以便實行授權(quán)檢驗以便執(zhí)行控制算法�,或者以便解密程序代碼或數(shù)據(jù)以實行控制操作,或者以便檢驗它的完整性����。然而,可以構(gòu)想多種多樣的更多的應(yīng)用可能性����,例如控制設(shè)備的安全開啟(啟動)或安全的固件更新。
[0058]另外�,提出一種用于安全地操作所述裝置的方法,所述方法有下列步驟:
通過啟用設(shè)備使得用于啟用所述安全設(shè)備的啟用信息可供使用�,
經(jīng)由第二物理接口將啟用信息從啟用設(shè)備傳輸?shù)桨踩O(shè)備,
通過安全設(shè)備使得加密式確定的參數(shù)可供使用����,
根據(jù)經(jīng)由第二物理接口經(jīng)由安全設(shè)備接收到啟用信息,而經(jīng)由第一物理接口將加密式確定的參數(shù)從安全設(shè)備傳輸?shù)娇刂圃O(shè)備���,以及
通過控制設(shè)備使用加密式確定的參數(shù)執(zhí)行控制操作���。
[0059]此外,提出一種計算機(jī)程序產(chǎn)品��,其使得在受程序控制的裝置上執(zhí)行如上所述的方法����。
[0060]可以例如作為存儲媒體(諸如(例如)存儲卡、USB棒���、⑶-R0M����、DVD)或者用可以從網(wǎng)絡(luò)中的服務(wù)器下載的文件的形式來提供或供應(yīng)計算機(jī)程序產(chǎn)品���,諸如(例如)計算機(jī)程序裝置�。這例如可以在無線通信網(wǎng)絡(luò)中通過用計算機(jī)程序產(chǎn)品或計算機(jī)程序裝置傳輸相應(yīng)文件來進(jìn)行���。
[0061]針對所提出的裝置說明的實施例和特征相應(yīng)地適用于所提出的方法����。
[0062]本發(fā)明的進(jìn)一步的可能的實施方案還包括上文說明的或下文關(guān)于示例性實施例說明的特征或?qū)嵤├奈疵鞔_提到的組合。在這個背景下����,本領(lǐng)域的技術(shù)人員還將作為對本發(fā)明的相應(yīng)基本形式的改進(jìn)或增加而增加單個方面。
【附圖說明】
[0063]本發(fā)明的更多有利的改進(jìn)和方面是從屬權(quán)利要求和下文說明的本發(fā)明的示例性實施例的主題�����。在下文的文本中��,將在優(yōu)選實施例的基礎(chǔ)上并且參照附圖更具體地解釋本發(fā)明���。
[0064]圖1到圖5示出了裝置的第一��、第二����、第三���、第四和第五示例性實施例的示意性電路框圖�����;以及
圖6示出了用于安全地操作所述裝置的方法的示例性實施例��。
[0065]圖中除非另有聲明�,否則用相同的附圖標(biāo)記表示相同或功能相同的元件。
【具體實施方式】
[0066]圖1示出了裝置10的第一示例性實施例的示意性電路框圖�����。
[0067]裝置10尤其是嵌入系統(tǒng)��、現(xiàn)場單元����、控制單元��、存儲程序控制器���、服務(wù)器�、計算機(jī)或智能手機(jī)�。
[0068]裝置10包括控制設(shè)備11、安全設(shè)備12���、第一物理接口13����、啟用設(shè)備14和第二物理接□ 15。
[0069]啟用設(shè)備14使得用于啟用安全設(shè)備12的啟用信息F可供使用�����。
[0070]第二物理接口15將啟用信息F從啟用設(shè)備14傳輸?shù)桨踩O(shè)備12�����。
[0071]安全設(shè)備12使得加密式確定的參數(shù)P可供使用�,并且根據(jù)經(jīng)由第二物理接口15接收到啟用信息F,而經(jīng)由第一物理接口 13將加密式確定的參數(shù)P傳輸?shù)娇刂圃O(shè)備11�����。
[0072]控制設(shè)備11使用加密式確定的參數(shù)P執(zhí)行控制操作�����。
[0073]具體來說����,安全設(shè)備12可以根據(jù)經(jīng)由第二物理接口15接收和檢驗啟用信息F,而經(jīng)由第一物理接口 13將加密式確定的參數(shù)P傳輸?shù)娇刂圃O(shè)備11��。
[0074]安全設(shè)備12優(yōu)選地配置成根據(jù)經(jīng)由第二物理接口15接收到啟用信息F和經(jīng)由第一物理接口 13接收到進(jìn)一步的啟用信息F��,而經(jīng)由第一物理接口 13將加密式確定的參數(shù)P傳輸?shù)娇刂圃O(shè)備11。
[0075]另外�����,啟用設(shè)備14根據(jù)檢測到裝置10中的會聚多程序執(zhí)行��、根據(jù)檢測到裝置10的穩(wěn)定的時鐘供給�����、根據(jù)檢測到裝置10的穩(wěn)定的電力供給和/或根據(jù)檢測到裝置10的打開�,而使得啟用信息F可供使用���。
[0076]圖2示出了裝置10的第二示例性實施例的示意性電路框圖���。
[0077]裝置10包括與上文圖解說明的第一示例性實施例相同的特征。然而�,這個實施例中的裝置10另外具有用于加密式確定的參數(shù)P的參數(shù)存儲器16。
[0078]可以優(yōu)選地僅經(jīng)由安全設(shè)備12的永久分配的物理接口13���、15向參數(shù)存儲器16寫入�����。
[0079]替代地��,參數(shù)存儲器16還可以在加密式確定的參數(shù)P中存儲安全設(shè)備12的用于向所述參數(shù)存儲器16寫入的物理接口 13�����、15的標(biāo)識符�����。
[0080]圖3示出了裝置10的第三示例性實施例的示意性電路框圖���。
[0081]不同于裝置10的前面示例性實施例的是���,第一物理接口13實施為在安全設(shè)備12與控制設(shè)備11之間聯(lián)接的單向接口。
[0082]另外�����,第二物理接口15實施為在啟用設(shè)備14與控制設(shè)備11之間聯(lián)接的單向接口���。
[0083]圖4示出了裝置10的第四示例性實施例的示意性電路框圖�����。
[0084]除了裝置10的前面的示例性實施例之外�,裝置10的第四示例性實施例還具有多個啟用設(shè)備14和多個第二物理接口 15。
[0085]因此��,所述多個啟用設(shè)備14可以使得用于啟用安全設(shè)備12的多個啟用信息項F可供使用��,并且所述多個第二物理接口 15可以將多個啟用信息項F從多個啟用設(shè)備14傳輸?shù)桨踩O(shè)備12�。
[0086]圖5示出了裝置10的第五示例性實施例的示意性電路框圖。
[0087]所述圖示出了控制設(shè)備11��,其經(jīng)由第一物理接口13連接至安全設(shè)備12�����。安全設(shè)備12有參數(shù)存儲器16�����,并且經(jīng)由多個第二物理接口 15聯(lián)接到到布置在它的外圍的多個啟用設(shè)備14���。
[0088]在示意性圖解說明的裝置10的上邊緣處示出了表示這樣的啟用設(shè)備14的篡改控制器17。篡改控制器17監(jiān)測被動和/或主動的防篡改保護(hù)�����,尤其是裝置10的外殼的打開。作為其一個示例提供一個連接至篡改控制器17的篡改傳感器18���。篡改控制器17根據(jù)這個檢測而使得用于安全設(shè)備12的啟用信息F可供使用���。
[0089]緊靠控制設(shè)備11右邊的是另外兩個冗余控制設(shè)備(安全CPU)20??刂圃O(shè)備11、20彼此分別地執(zhí)行名義上相同的控制程序��。為此目的�,為控制設(shè)備11、20各分配單獨的易失性固態(tài)存儲器(RAM)21和單獨的非易失性固態(tài)存儲器(閃存)22����。多程序執(zhí)行尤其用于檢測因為篡改了意在產(chǎn)生相同結(jié)果的那些程序序列而在程序序列中發(fā)生的異常狀況。然而�����,冗余控制設(shè)備20的計算結(jié)果還可以用作安全設(shè)備12的啟用信息F��。圖5中的安全設(shè)備12與冗余控制設(shè)備20之間示出的雙端口 RAM(DPRAM) 19用作啟用設(shè)備14��,其可以使得這個啟用信息F可供安全設(shè)備12使用����,而無需反應(yīng)�����。
[0090]位于圖5右側(cè)邊緣的安全看門狗23是另一個啟用設(shè)備14���。安全看門狗23分別監(jiān)測控制設(shè)備11、20中的上述多程序執(zhí)行的會聚��、以及電力供給24和時鐘供給25的穩(wěn)定性����。安全看門狗23根據(jù)這些檢測結(jié)果而使得安全設(shè)備12的啟用信息F可供使用。
[0091]此外�����,裝置10還包括網(wǎng)絡(luò)控制器26和輸入/輸出控制器27���。
[0092 ]圖6示出了用于安全地操作所述裝置1的方法的示例性實施例。圖1到圖5中圖解說明裝置1的示例����。所述方法有步驟1I到105:
在步驟101中�,通過啟用設(shè)備14使得用于啟用安全設(shè)備12的啟用信息F可供使用��。
[0093]在步驟102中���,經(jīng)由第二物理接口15將啟用信息F從啟用設(shè)備14傳輸?shù)桨踩O(shè)備
12ο
[0094]在步驟103中��,通過安全設(shè)備12使得加密式確定的參數(shù)P可供使用���。
[0095]在步驟104中,根據(jù)安全設(shè)備12經(jīng)由第二物理接口15接收到啟用信息F����,安全設(shè)備12經(jīng)由第一物理接口 13將加密式確定的參數(shù)P傳輸?shù)娇刂圃O(shè)備11。
[0096]在步驟105中���,控制設(shè)備11使用加密式確定的參數(shù)P執(zhí)行控制操作���。
[0097]雖然已經(jīng)參照示例性實施例說明了本發(fā)明,但是本發(fā)明可以用多種方式加以修改��。
【主權(quán)項】
1.一種裝置(10)����,其具有: 控制設(shè)備(11)��,其用于使用加密式確定的參數(shù)(P)來執(zhí)行控制操作���; 安全設(shè)備(12),其用于使得所述加密式確定的參數(shù)(P)可供使用�����; 第一物理接口(13)����,其用于將所述加密式確定的參數(shù)(P)從所述安全設(shè)備(12)傳輸?shù)剿隹刂圃O(shè)備(11); 啟用設(shè)備(14),其用于使得用于啟用所述安全設(shè)備(12)的啟用信息(F)可供使用���;以及 第二物理接口(15)����,其用于將所述啟用信息(F)從所述啟用設(shè)備(14)傳輸?shù)剿霭踩O(shè)備(12)�����, 其中���,所述安全設(shè)備(12)配置成根據(jù)經(jīng)由所述第二物理接口(15)接收到所述啟用信息(F)����,而經(jīng)由所述第一物理接口(13)將所述加密式確定的參數(shù)(P)傳輸?shù)剿隹刂圃O(shè)備(Il)02.根據(jù)權(quán)利要求1所述的裝置�����, 其特征在于��,所述安全設(shè)備(12)配置成根據(jù)經(jīng)由所述第二物理接口(15)接收和檢驗所述啟用信息(F)�,而經(jīng)由所述第一物理接口(13)將所述加密式確定的參數(shù)(P)傳輸?shù)剿隹刂圃O(shè)備(11)。3.根據(jù)權(quán)利要求1或2中的一項所述的裝置�����, 其特征在于��,所述第一物理接口(13)實施為在所述安全設(shè)備(12)和所述控制設(shè)備(11)之間聯(lián)接的單向接口���。4.根據(jù)權(quán)利要求1所述的裝置�, 其特征在于��,所述安全設(shè)備(12)配置成根據(jù)經(jīng)由所述第二物理接口(15)接收到所述啟用信息(Π和經(jīng)由所述第一物理接口(13)接收到進(jìn)一步的啟用信息(F)�,而經(jīng)由所述第一物理接口(13)將所述加密式確定的參數(shù)(P)傳輸?shù)剿隹刂圃O(shè)備(11)。5.根據(jù)權(quán)利要求1-4中的一項所述的裝置, 其特征在于����,所述安全設(shè)備(12)具有用于所述加密式確定的參數(shù)(P)的參數(shù)存儲器(16)。6.根據(jù)權(quán)利要求5所述的裝置���, 其特征在于���,所述參數(shù)存儲器(16)能夠僅經(jīng)由所述安全設(shè)備(12)的所述第一物理接口(13)和/或第二物理接口( 15)的永久分配的物理接口而被寫入。7.根據(jù)權(quán)利要求5或6所述的裝置�����, 其特征在于���,所述參數(shù)存儲器(16)還配置成在所述加密式確定的參數(shù)(P)中存儲所述安全設(shè)備(12)的所述第一物理接口(13)和/或第二物理接口(15)中的用于向所述參數(shù)存儲器(16)寫入的物理接口的標(biāo)識符�。8.根據(jù)權(quán)利要求1-7中的一項所述的裝置��, 其特征在于��,所述啟用設(shè)備(14)配置成根據(jù)檢測到所述裝置(10)中的會聚多程序執(zhí)行而使得所述啟用信息(Π可供使用����。9.根據(jù)權(quán)利要求1-8中的一項所述的裝置, 其特征在于����,所述啟用設(shè)備(14)配置成根據(jù)檢測到所述裝置(10)中的穩(wěn)定的時鐘供給而使得所述啟用信息(Π可供使用。10.根據(jù)權(quán)利要求1-9中的一項所述的裝置���, 其特征在于����,所述啟用設(shè)備(14)配置成根據(jù)檢測到所述裝置(10)中的穩(wěn)定的電力供給而使得所述啟用信息(Π可供使用����。11.根據(jù)權(quán)利要求1-10中的一項所述的裝置, 其特征在于���,所述啟用設(shè)備(14)配置成根據(jù)檢測到所述裝置(10)的打開而使得所述啟用信息(Π可供使用�。12.根據(jù)權(quán)利要求1-11中的一項所述的裝置��, 其特征在于�����,所述第二物理接口(15)實施為在所述啟用設(shè)備(14)和所述控制設(shè)備(11)之間聯(lián)接的單向接口�。13.根據(jù)權(quán)利要求1-12中的一項所述的裝置�����, 其特征在于���, 多個啟用設(shè)備(14),其用于使得用于啟用所述安全設(shè)備(12)的多個啟用信息項(F)可供使用����,以及 多個第二物理接口(15),其用于將所述多個啟用信息項(F)從所述多個啟用設(shè)備(14)傳輸?shù)剿霭踩O(shè)備(12)��。14.根據(jù)權(quán)利要求1-13中的一項所述的裝置�����, 其特征在于�����,所述裝置(10)是嵌入系統(tǒng)��、現(xiàn)場單元����、控制單元�����、存儲程序控制器�����、服務(wù)器、計算機(jī)或智能手機(jī)��。15.—種用于安全地操作根據(jù)權(quán)利要求1-14中的一項所述的裝置(10)的方法��,所述方法具有如下步驟: 通過所述啟用設(shè)備(14)使得用于啟用所述安全設(shè)備(12)的啟用信息(F)可供使用(101)����, 經(jīng)由所述第二物理接口(15)將所述啟用信息(F)從所述啟用設(shè)備(14)傳輸(102)到所述安全設(shè)備(I 2), 通過所述安全設(shè)備(12)使得所述加密式確定的參數(shù)(P)可供使用(103)����, 根據(jù)經(jīng)由所述第二物理接口(15)經(jīng)由所述安全設(shè)備(12)接收到所述啟用信息(F),而經(jīng)由所述第一物理接口(13)將所述加密式確定的參數(shù)(P)從所述安全設(shè)備(12)傳輸(104)到所述控制設(shè)備(11)�,以及 通過所述控制設(shè)備(11)使用加密式確定的參數(shù)(P)執(zhí)行(105)控制操作。
【文檔編號】G06F21/85GK105868657SQ201610085580
【公開日】2016年8月17日
【申請日】2016年2月15日
【發(fā)明人】R.法爾克
【申請人】西門子公司