[发明专利]用于防篡改地传输控制数据的方法和系统

说明书

技术领域

本发明涉及一种用于防篡改地在网络的控制单元之间传输控制数据的方法和系统。

背景技术

图1示出一种传统网络，其中，控制数据在控制单元之间传输或者说交换。在图1中所示的实例中，两个控制网络通过一个传输网络相互相连。这两个控制网络分别具有用于连接到传输网络上的网关（GW）。这两个控制网络分别包含多个控制单元SE，这些控制单元例如通过总线连接到控制网络的网关上。这两个控制网络通过传输网络交换控制数据SD1，SD2，SD3…。控制单元SE可以是不同的装置，例如控制计算器、可存储编程的控制装置、机器人手臂、传感器、执行器和类似物。此外，还有可能的是，控制网络通过传输网络与控制中心通信，例如SCADA系统（数据采集与监视控制系统）。

传输网络例如可以是基于以太网的或者基于IP的生产网络，该生产网络将不同制造单元的控制网络相互连接。此外，传输网络也可以是列车网络，该列车网络将各个车厢的网络相互连接。列车例如具备用于执行列车控制或者说车辆控制或者其他运行功能的数据网络。此外，传输网络还可以是能量自动化网的网络。

为了正确地执行控制装置的监控功能，控制网络和通过它相连接的控制组件或者说控制单元必须按规定运行。然而，在对控制网络进行篡改的情况下，就无法确保这一点。这样一来就可能影响正常运行，并且有可能威胁受控设备的安全。

在空间上紧凑连续的环境中，可以通过物理性的安全措施保护控制网络不被篡改，使得攻击者无法入侵该控制网络。然而，在分散的控制网络中，例如布置在生产设备中或者车辆中（例如列车），就不可能做到这一点。在这样的分散的控制网络中，控制数据一般都通过传输网络在分隔开的网络区域之间传输。例如这样就能够在列车各部分（车厢）之间实现数据传输。此外，还能够在列车内在空间上分隔开的区域之间进行数据传输，例如在安装在车顶容器中或者车厢地板中的开关柜和控制组件之间。此外例如还从信号塔向车道信号单元或者向道岔传输控制数据。另一个实例是在具有不同的控制网络的制造单元之间传输数据。此外，能够通过传输网络在传感器/执行器和过程自动化设备的控制装置，例如精炼厂，之间进行数据传输。还有一个实例是在能量自动化系统的变电站控制器（Substation-Controller）和控制中心之间传输数据。

因此，控制网络经常用物理方法布置成访问保护的形式，例如布置在特殊的电缆盒中，从而使第三者不能触及控制网络，并尽可能地防止发生篡改。然而这样做通常耗费巨大，并且由于安装麻烦，而且还必须要采取维修保养措施，所以一般无法实施。

此外公知的是，在传输时通过校验和来保护数据，例如利用CRC校验和。然而校验和仅适合用于识别偶然的传输错误。因此，传统的方法也采用或者说使用加密校验和，例如信息确认码或者数字签名。其中，被传输的控制数据被添加上加密校验和。在接收时会检查加密校验和。在进行接收的控制器一方仅进一步处理这种其加密校验和已被检查通过的控制数据。于是通过加密校验和保护了被传输的控制数据。然而，要将这种加密的保护集成到现有的组件中花费高昂，因为这需要一定的计算量、一定的存储空间和一定的改进消耗。同样地，要预设一个在传输之前对数据进行解密或者说设有加密校验和的单独的前置加密组件，只能通过大量的技术上的耗费才能实现。另一个缺点在于，进行加密计算操作会导致延迟，这尤其是在实时性很关键的控制和调节任务中不希望发生，或者甚至可能有损安全性。此外，预设这种前置加密组件对相应的控制设备并非无反作用的。

发明内容

因此，本发明的目的是，实现用于通过网络在控制单元之间防篡改地传输控制数据的一种方法和一种系统，该方法和系统能够技术上以低耗费来实现，但是在传输控制数据时能够相对于篡改提供高级保护。

该目的通过一种具有权利要求1提供的特征的方法得以解决。

本发明实现一种用于在通过网络将控制数据从第一控制单元传输到第二控制单元时识别篡改的方法，具有步骤：

a）在发送方通过完整性校验信息生成单元为由第一控制单元发送的控制数据生成完整性校验信息数据；

b）借助加密的密钥通过完整性校验信息生成单元为发送方生成的完整性校验信息数据计算加密的校验和；

c）将发送方生成的完整性校验信息数据和所属的由完整性校验信息生成单元计算的加密的校验和传输给完整性校验确认单元，该完整性校验确认单元在接收方借助加密的密钥确认加密校验和；

d）在接收方通过完整性校验确认单元为通过第二控制单元所接收的控制数据生成完整性校验信息数据；并且