[发明专利]用于防操纵的密钥管理的方法

说明书

技术领域

本发明涉及用于防操纵的密钥管理的方法、尤其是针对虚拟私人网络。

背景技术

工业现场设备、例如用于轨道和铁道设备的控制设备越来越频繁地通过开放的通信协议如TCP/IP来代替通过专有协议通信。这里它们使用公共网络，例如因特网，以便将通信数据传输给中央站或者其它现场设备。为了保护数据传输免遭操纵，使用加密码的保护机制，例如SSL/TLS或IPsec。

但是给现场设备本身装备这种网络技术通常是不现实的，从而大多数情况下使用外部设备，以便通过公共网络如因特网来构建用于现场设备通信的虚拟私人网络（VPN）并且保证所需的安全性。这种外部设备必须被配置用于利用加密码保护的数据来通信。为此，需要秘密的加密码的通信密钥，可以利用该通信密钥对经由VPN发送和接收的数据进行加密和解密。

外部设备的配置可能是费事的，尤其是当出现错误之后需要重配置时。一种可能性是就地查找并且重配置外部设备。这种可能性是非常耗时的。另一种可能性是独立地重配置外部设备，然而这带来了针对在外部设备中存储的配置数据的某些安全风险。

因此存在对用于现场设备的外部VPN设备的密钥管理的方法的需要，借助该方法在简单配置的同时仍保证加密码数据高的安全性。

发明内容

根据权利要求1的本发明实施方式因此在于用于对虚拟私人网络进行防操纵的密钥管理的方法，在该方法中借助第一密钥经由公共网络进行通信终端设备在认证服务器上的认证。在成功认证之后，经由公共网络为经认证的通信终端设备提供通信密钥，该通信密钥适合于经由在公共网络中的虚拟私人网络的通信。之后，借助第二密钥在通信终端设备中进行通信密钥的加密，该第二密钥通过防操纵保护的监控装置来提供。该方法具有如下优点：可以经由公共网络将通信终端设备配置为用于在虚拟私人网络中的通信，而不会使经由虚拟私人网络的通信所需的加密码的数据抵抗对通信终端设备的操纵的安全性受到威胁。

有利地，本发明的方法包括在防操纵保护的监控装置上检测操纵过程并且在于防操纵保护的监控装置上检测到操纵过程的情况下使第二密钥无效。这具有如下优点：在从通信终端设备侧攻击虚拟私人网络的情况下可靠地使加密码的数据不可用。

有利地，借助第二密钥加密的通信密钥被存储在存储器中，使得通过该通信终端设备对所存储的通信密钥的解密仅仅借助第二密钥就可以实现。

在该方法的优选实施方式中，对防操纵保护的监控装置的能量供给状态进行监控以及在防操纵保护的监控装置中能量供给不够的情况下使得第二密钥无效。由此在电流供给失效的情况下也能够保证加密码的数据的安全性。

按照本发明的另一实施方式，按照权利要求7的用于对虚拟私人网络进行防操纵的密钥管理的装置包括：具有第一密钥的通信终端设备，其中该通信终端设备被设计用于借助第一密钥经由公共网络在认证服务器上进行认证并且经由公共网络中的虚拟私人网络利用通过认证服务器提供的通信密钥进行通信；监控装置，其被设计用于提供第二密钥、检测对该装置的操纵过程以及在检测到操纵过程的情况下使得第二密钥无效；以及存储器，该存储器被设计用于存储借助第二密钥加密的通信密钥。借助本发明的装置可以有利地使得现场设备能够经由虚拟私人网络安全地在公共网络中进行通信，而不会在该装置被操纵时使得虚拟私人网络所需的加密码的数据的安全性受到威胁。

有利地，通信终端设备可以仅仅借助第二密钥访问存放在存储器中的加密的通信密钥。

按照一种实施方式，该装置包括：能量供给装置，其给监控装置和通信终端设备供给能量；以及储能器，其与能量供给装置连接并且被设计用于，在通过能量供给装置的能量供给中断时暂时地给监控装置供给能量。由此，在电流供给失效的情况下也可以保证加密码的数据的安全性，因为监控装置可以至少暂时地与主能量供给无关地工作并且可以导入所需的安全措施。

其它的改动和变型从从属权利要求的特征中得出。

附图说明

现在参照附图更确切地描述本发明的各种实施方式和构型，其中：

图1示出按照本发明的实施方式的VPN环境的示意性示图；

图2示出具有用于构建按照本发明另一实施方式的VPN的装置的现场设备的示意性示图；以及

图3示出按照本发明另一实施方式的用于防操纵的密钥管理的方法的示意图。