[发明专利]用于更新固件组件的方法以及测量和控制技术的设备

说明书

本发明涉及用于更新固件组件的方法以及测量和控制技术的设备。用于更新第一固件组件的方法包括：接收第一固件镜像，包括数据区域和签名字段，签名字段包括根据第一加密方法产生的第一认证数据；经由第一固件组件内的根据第一加密方法的认证算法，基于第一认证数据执行第一固件镜像的认证；经由第一固件组件中的与第一加密方法不同的第二加密方法，为数据区域中的数据创建第二认证数据；将数据作为第二固件镜像的组件重新传输；经由第二固件组件内的根据第二加密方法的认证算法，基于第二认证数据来执行在重传期间接收的第二固件镜像的认证；在成功认证时，启用并执行与第二固件镜像一起传输的固件程序代码作为新的第一固件组件。

技术领域

本发明涉及一种用于更新提供测量和控制技术的设备的功能的固件组件的方法以及测量和控制技术的设备。

背景技术

工业部门的测量和控制任务通常对安全至关重要。客户应用需要保护相应自动化的测量和控制变量的准确性和可用性。数据的完整性和可用性在大多数情况下比同样重要的机密性更相关。测量和控制技术的设备(诸如测量设备、控制器、传感器、致动器、监控电路、警告显示器、现场总线网络技术等)的特殊安全相关性增加，这是因为这些设备的故障或篡改的后果可能是潜在的危险，诸如爆炸，有害材料/气体的排放等。

自动化解决方案由多个独立的子组件构成，诸如控制器、传感器、诸如路由器的网络基础设施组件等。这些子组件均可以被单独设计为测量和控制技术的独立设备，或者还至少部分地被整合到该设备中。如今，这些子组件中的每一个通常包含其自己的软件组件(所谓的固件)。此外，每个独立设备(诸如用于pH测量的现场设备)也可以由多个子模块组成，每个子模块包含其自己的固件，例如，具有用于每个现场总线接口的微控制器的子系统、用于测量值信号处理的子系统，以及用于模数转换的子系统。在每种情况下，固件都被嵌入在微控制器中。除了数据传递到设备或子组件的通信接口(现场总线，以太网，无线HART等)的完整性之外，子组件(发射器，传感器)中的测量值处理的完整性对于测量的精确性至关重要。

可能的攻击情形是攻击者将操纵的固件组件偷偷地给到自动化系统的操作者。因此，例如在温度传感器内，由传感器测量的温度测量值可以在固件内被有意地操纵，使得连接到传感器的控制系统报告非关键操作温度，而实际上，所监控的过程已经升高到了极高的温度，该温度可能导致例如罐的爆炸。

对于成功的攻击，通常足以操纵受攻击设备内或包含多个设备的受攻击系统内的任意子组件的固件。

使用pH测量点的具体实例：pH测量点通常包含通常组合成单个设备的pH和温度换能器。该设备进一步包括连接到换能器的设备电子器件。例如，这些可以包括用于换能器的输出的模数转换的一个或多个微控制器、用于处理测量信号的附加微控制器、用于经由现场总线传输测量信号的现场总线接口、以及处理现场总线接口的操作的系统。例如，如果攻击者想要操纵这样的pH测量点的传输温度测量值，则攻击者可以通过选择性地操纵用于温度换能器的输出信号的模数转换的微控制器内的固件或者该设备的其它子组件之一的固件来实现这个目标。

因此，使用被操纵的固件组件发起的攻击的可靠排斥需要校验所有涉及的子系统和子组件的固件。

在过去，通常的情况是对于这样的安全问题不需要考虑固件的完整性，这是因为在芯片生产期间使用所谓的金属掩模进行固件的编程，或者在所谓的闪存区域中，由于设计限制而只能在设备制造商的生产设施处进行重新编程。然而，现有技术的当前状态是可以在运行时间期间的任何时间(甚至在现场)将新固件输入到所有子组件，这是所谓的固件更新。

因此，所涉及的所有固件组件的完整性无一例外地对于确保系统的完整性是至关重要的。

因此，必须保证具有大量存储器的“大型”系统和计算能力很弱的微控制器系统。在加密的场境中，这里描述了固件的必要的所谓的“可靠性”，其中接收系统校验在更新过程中待接收的固件组件是可靠的，这意味着例如其实际上由设备制造商创建而不是由可能的攻击者创建。

关于可靠性的密码验证，可以区分为两大类：