本發(fā)明涉及計(jì)算機(jī)輔助的工業(yè)設(shè)備以及具有計(jì)算機(jī)輔助的工業(yè)設(shè)備和經(jīng)由網(wǎng)絡(luò)與工業(yè)設(shè)備耦合的后端系統(tǒng)的系統(tǒng)。此外，本發(fā)明涉及用于運(yùn)行計(jì)算機(jī)輔助的工業(yè)設(shè)備的方法和計(jì)算機(jī)程序產(chǎn)品。

背景技術(shù)：

1、計(jì)算機(jī)輔助的工業(yè)設(shè)備包括用于提供用以說(shuō)明工業(yè)設(shè)備的完整性的受第一密碼保護(hù)保護(hù)的證明的證明單元。證明或完整性證明是以密碼方式保護(hù)的數(shù)據(jù)結(jié)構(gòu)，以便相對(duì)于通信伙伴確認(rèn)例如工業(yè)設(shè)備的執(zhí)行環(huán)境的完整性信息。例如，在供應(yīng)/憑證管理的情況下或在關(guān)鍵應(yīng)用功能性(諸如在線銀行)的情況下，所述通信伙伴可以考慮該信息。

2、在實(shí)踐中，在此證明經(jīng)常由硬件元件形成，尤其是由防篡改計(jì)算設(shè)備、例如由tpm芯片(tpm；可信平臺(tái)模塊)或由集成在處理器或asic中的安全元件形成。這樣的基于硬件形成的簽名通常不可更新。從而，通常使用rsa簽名、dsa簽名或ec-dsa簽名。所支持的密鑰長(zhǎng)度在此通常相對(duì)短，例如在rsa的情況下2048位。

3、一般來(lái)說(shuō)，在工業(yè)應(yīng)用環(huán)境中，經(jīng)常存在在長(zhǎng)的使用時(shí)間段(例如10至30年)內(nèi)安全地使用設(shè)備的要求。在這樣長(zhǎng)的時(shí)間段內(nèi)，所使用的加密算法本身也可能由于例如通過(guò)量子計(jì)算機(jī)的新的攻擊而被削弱，或者硬件實(shí)現(xiàn)的實(shí)施可能具有弱點(diǎn)。

4、如果如上所述證明通過(guò)硬件元件形成，則所述證明在實(shí)踐中經(jīng)常不能被更新或者只能以耗費(fèi)的方式被更新。另一方面，恰好對(duì)于完整性信息的證明，硬件元件具有以下優(yōu)點(diǎn)：所述硬件元件可以可信地提供用于表征運(yùn)行時(shí)環(huán)境的完整性信息，例如因?yàn)樵?jīng)檢測(cè)的信息只能被更新，但是不能任意地被改寫(xiě)或重新設(shè)置。尤其是能夠可行的是，硬件元件的簽名裝置或通過(guò)所述簽名裝置使用的密鑰不能被更新或者至少不能被工業(yè)設(shè)備的制造商或運(yùn)營(yíng)商更新。因此，不能可靠地保證：完整性證明功能提供對(duì)于工業(yè)設(shè)備所需要的長(zhǎng)期適用性和更新能力。

5、從文獻(xiàn)ep?3695377?b1中已知，由確認(rèn)設(shè)備在內(nèi)容上對(duì)證明進(jìn)行預(yù)處理，并且由確認(rèn)設(shè)備提供經(jīng)處理的證明信息。

技術(shù)實(shí)現(xiàn)思路

1、在此背景下，本發(fā)明的任務(wù)在于，尤其是鑒于長(zhǎng)期適用的、有更新能力的證明功能性，改善計(jì)算機(jī)保護(hù)的工業(yè)設(shè)備的運(yùn)行。

2、根據(jù)第一方面，提出一種計(jì)算機(jī)輔助的工業(yè)設(shè)備，所述計(jì)算機(jī)輔助的工業(yè)設(shè)備具有多個(gè)完整性測(cè)量單元，用于分別提供完整性測(cè)量值；證明單元，用于提供用于說(shuō)明工業(yè)設(shè)備或工業(yè)設(shè)備的一部分的完整性的通過(guò)第一密碼保護(hù)保護(hù)的完整性證明，其中完整性證明至少具有多個(gè)所提供的完整性測(cè)量值；以及經(jīng)由以物理方式保護(hù)的傳輸路徑與證明單元連接的確認(rèn)單元。確認(rèn)單元包括檢驗(yàn)單元和簽發(fā)單元。檢驗(yàn)單元被設(shè)立用于借助于檢驗(yàn)確認(rèn)單元和/或工業(yè)設(shè)備的至少一種狀態(tài)來(lái)提供檢驗(yàn)信息。簽發(fā)單元被設(shè)立用于根據(jù)所提供的檢驗(yàn)信息簽發(fā)通過(guò)第二密碼保護(hù)保護(hù)的確認(rèn)證明，其中確認(rèn)證明至少包括完整性證明的多個(gè)完整性測(cè)量值和可從完整性證明的第一密碼保護(hù)(ds1)導(dǎo)出的信息。

3、證明單元尤其是防篡改計(jì)算設(shè)備，例如可信平臺(tái)模塊(tpm)，并且尤其是還可以被稱為安全元件、硬件元件或硬件安全組件。尤其是，證明單元不可更新或者僅能以高耗費(fèi)被更新。確認(rèn)單元經(jīng)由以物理方式保護(hù)的傳輸路徑與證明單元耦合。確認(rèn)單元尤其被實(shí)現(xiàn)為在工業(yè)設(shè)備中單獨(dú)的硬件模塊。

4、由于確認(rèn)單元，本計(jì)算機(jī)輔助的工業(yè)設(shè)備能夠形成由證明單元形成的以密碼方式保護(hù)的完整性證明的以密碼方式保護(hù)的確認(rèn)證明。在此，所形成的確認(rèn)證明至少包括完整性證明的完整性測(cè)量值和可從完整性證明的第一密碼保護(hù)導(dǎo)出的信息。

5、由此使得能夠在工業(yè)設(shè)備上提供長(zhǎng)期適用的證明，其中作為證明單元的硬件元件在當(dāng)前時(shí)間點(diǎn)以及也在未來(lái)僅能形成傳統(tǒng)的、經(jīng)典的不具備pq能力的證明(pq；后量子密碼學(xué))。

6、工業(yè)設(shè)備也可以被稱為工業(yè)化設(shè)備。工業(yè)設(shè)備尤其是真實(shí)的物理設(shè)備，例如嵌入式設(shè)備(embedded?device)或工業(yè)iot設(shè)備。在實(shí)施方式中，工業(yè)設(shè)備還可以是虛擬工業(yè)設(shè)備，例如通用計(jì)算平臺(tái)上的虛擬機(jī)、應(yīng)用程序或容器。

7、當(dāng)前，因此使得能夠通過(guò)附加密碼保護(hù)、當(dāng)前通過(guò)使用確認(rèn)單元來(lái)保護(hù)通常是標(biāo)準(zhǔn)化的并且固定地在硬件中實(shí)現(xiàn)并且由此不可更新的常規(guī)證明、即完整性證明。通過(guò)確認(rèn)單元的附加保護(hù)尤其是可更新的，使得即使在此所使用的密碼方法應(yīng)該已經(jīng)被削弱，也可以可靠地評(píng)估完整性證明。附加保護(hù)在此使得能夠評(píng)價(jià)所進(jìn)行的附加保護(hù)是否實(shí)際上是允許的，以便保護(hù)特定的完整性證明。在此防止濫用附加保護(hù)。

8、以密碼方式保護(hù)的確認(rèn)證明可以被傳送給工業(yè)設(shè)備的通信伙伴、例如后端系統(tǒng)。尤其是，通信伙伴履行用于管理和供應(yīng)工業(yè)設(shè)備的設(shè)備管理/供應(yīng)服務(wù)。在供應(yīng)、例如提供工業(yè)設(shè)備的憑證、密鑰、證書(shū)或安全令牌被釋放或進(jìn)行之前，或在關(guān)鍵設(shè)備管理操作、例如固件更新、配置數(shù)據(jù)的更新和/或敏感生產(chǎn)數(shù)據(jù)的提供進(jìn)行之前，通信伙伴可以檢驗(yàn)完整性證明以及附加的以密碼方式保護(hù)的確認(rèn)證明的密碼有效性和內(nèi)容上的允許性。

9、在實(shí)施方式中，可以從完整性證明的第一密碼保護(hù)導(dǎo)出的信息對(duì)應(yīng)于第一密碼保護(hù)。對(duì)于第一密碼保護(hù)對(duì)應(yīng)于第一數(shù)字簽名的實(shí)施方式，信息可以從第一數(shù)字簽名導(dǎo)出或與所述第一數(shù)字簽名對(duì)應(yīng)。

10、相應(yīng)的完整性測(cè)量值尤其是涉及工業(yè)設(shè)備的組件，例如涉及工業(yè)設(shè)備的固件、軟件、配置或硬件組件之一。在實(shí)施方式中，工業(yè)設(shè)備包括多個(gè)完整性測(cè)量單元，所述完整性測(cè)量單元分別確定完整性測(cè)量值并且將其提供給證明單元。完整性測(cè)量尤其是還可以是所加載的固件組件或軟件組件以及配置數(shù)據(jù)的密碼散列值。此外，集成自測(cè)試功能(內(nèi)置自測(cè)試(built-in?self-test))的結(jié)果可以作為完整性測(cè)量來(lái)檢測(cè)。此外，工業(yè)設(shè)備的硬件組件的硬件指紋也可以作為完整性測(cè)量來(lái)檢測(cè)。

11、當(dāng)前，密碼保護(hù)尤其是包括完整性保護(hù)、真實(shí)性和/或機(jī)密性。

12、根據(jù)一種實(shí)施方式，第一密碼保護(hù)被構(gòu)造為第一數(shù)字簽名。

13、根據(jù)另一實(shí)施方式，第二密碼保護(hù)被構(gòu)造為第二數(shù)字簽名。

14、根據(jù)另一實(shí)施方式，證明單元被設(shè)立用于提供以密碼方式保護(hù)的完整性證明，使得該完整性證明包含多個(gè)完整性測(cè)量值和第一數(shù)字簽名。

15、完整性證明還可以包括其他信息，例如工業(yè)設(shè)備的標(biāo)識(shí)信息、證明單元的標(biāo)識(shí)信息和/或諸如時(shí)間戳或計(jì)數(shù)值之類的現(xiàn)實(shí)性信息。

16、根據(jù)另一實(shí)施方式，確認(rèn)單元被設(shè)立用于提供以密碼方式保護(hù)的確認(rèn)證明，使得該確認(rèn)證明至少包括多個(gè)完整性測(cè)量值和完整性證明的第一數(shù)字簽名以及確認(rèn)證明的第二數(shù)字簽名。

17、根據(jù)另一實(shí)施方式，確認(rèn)單元被設(shè)立用于提供以密碼方式保護(hù)的確認(rèn)證明，使得該確認(rèn)證明包括多個(gè)完整性測(cè)量值和完整性證明的第一數(shù)字簽名、確認(rèn)證明的第二數(shù)字簽名和檢驗(yàn)信息和/或可從檢驗(yàn)信息導(dǎo)出的信息，所述信息指示確認(rèn)單元中的確認(rèn)證明的形成。

18、檢驗(yàn)信息本身以及可從檢驗(yàn)信息導(dǎo)出的信息尤其是具有說(shuō)明在確認(rèn)單元中形成確認(rèn)證明的資格。檢驗(yàn)信息或可從檢驗(yàn)信息導(dǎo)出的信息尤其是確認(rèn)證明形成信息的一部分或者形成確認(rèn)證明形成信息。確認(rèn)證明形成信息尤其是表征確認(rèn)證明以何種方式被形成的。在實(shí)施方式中，確認(rèn)證明形成信息是確認(rèn)證明的一部分。間接地，所述確認(rèn)證明形成信息因此優(yōu)選地還允許推斷出是以何種方式形成完整性確認(rèn)的。該附加信息使確認(rèn)證明的接收方能夠判定：形成的該方式根據(jù)可預(yù)先給定的方針或策略是否被認(rèn)為是允許的。據(jù)此，由接收方接受或不接受通過(guò)確認(rèn)證明確認(rèn)的完整性證明。

19、確認(rèn)證明形成信息尤其是可以包括以下用于表征確認(rèn)證明的形成方式的部分信息：

20、-工業(yè)設(shè)備的設(shè)備標(biāo)識(shí)符，例如序列號(hào)和/或軟件版本；

21、-確認(rèn)單元的自身的系統(tǒng)完整性的借助于pq簽名(pq；后量子密碼學(xué))例如借助于pq-tpm，或通過(guò)經(jīng)由pq安全傳輸路徑進(jìn)行傳輸?shù)淖C明；

22、-其上形成確認(rèn)證明的工業(yè)設(shè)備的當(dāng)前存在的運(yùn)行模式，例如服務(wù)、操作、啟動(dòng)、固件更新、故障；

23、-執(zhí)行環(huán)境的類型，例如其中形成確認(rèn)證明的sgx飛地、可信執(zhí)行環(huán)境(tee)、密碼控制器、硬件安全模塊(hsm)；

24、-其中形成確認(rèn)證明的執(zhí)行環(huán)境的當(dāng)前環(huán)境信息，例如時(shí)間信息或位置信息，其例如通過(guò)定位系統(tǒng)或借助于衛(wèi)星輔助導(dǎo)航系統(tǒng)、諸如gps、galileo、beidou、glonass來(lái)確定；

25、-檢驗(yàn)所提供的完整性證明，例如檢驗(yàn)完整性證明的數(shù)字簽名、在內(nèi)容上評(píng)價(jià)或合理性檢驗(yàn)通過(guò)完整性證明所證明的完整性信息、和/或檢驗(yàn)經(jīng)由其接收完整性證明的接口。

26、根據(jù)另一實(shí)施方式，確認(rèn)證明包括加密形式的完整性證明。為此，在通過(guò)確認(rèn)單元形成確認(rèn)證明時(shí)，當(dāng)前的完整性證明以密碼方式被加密。

27、根據(jù)另一實(shí)施方式，證明單元包括用于存儲(chǔ)分配給所述第一密碼保護(hù)的第一密碼憑證的防止從外部訪問(wèn)的第一存儲(chǔ)單元。

28、根據(jù)另一實(shí)施方式，確認(rèn)單元包括用于存儲(chǔ)分配給第二密碼保護(hù)的第二密碼憑證的可更新的第二存儲(chǔ)單元。在實(shí)施方式中，用于形成第二密碼保護(hù)的實(shí)現(xiàn)、例如固件和/或軟件也是可更新的。

29、根據(jù)另一實(shí)施方式，第一密碼保護(hù)被構(gòu)造為第一數(shù)字簽名，并且所述第一密碼憑證被構(gòu)造為分配給第一數(shù)字簽名的私鑰。

30、根據(jù)另一實(shí)施方式，第二密碼保護(hù)被構(gòu)造為第二數(shù)字簽名，并且所述第二密碼憑證被構(gòu)造為分配給第二數(shù)字簽名的私鑰。

31、根據(jù)另一實(shí)施方式，檢驗(yàn)單元與用于提供指示確認(rèn)單元和/或工業(yè)設(shè)備的狀態(tài)的傳感器信號(hào)的安裝在所述工業(yè)設(shè)備中或安裝在所述工業(yè)設(shè)備處的多個(gè)物理傳感器連接。

32、物理傳感器尤其是被設(shè)立用于確定溫度、氣壓、空氣濕度、震動(dòng)、加速度和/或用于識(shí)別物理操縱。

33、根據(jù)另一實(shí)施方式，檢驗(yàn)單元為了提供檢驗(yàn)信息被設(shè)立用于檢驗(yàn)所述確認(rèn)單元的固件狀況、檢驗(yàn)工業(yè)設(shè)備的殼體保護(hù)開(kāi)關(guān)的輸出信號(hào)、檢驗(yàn)工業(yè)設(shè)備的防篡改傳感器的輸出信號(hào)、檢驗(yàn)用于監(jiān)控工業(yè)設(shè)備的電壓供應(yīng)的電壓傳感器的輸出信號(hào)和/或檢驗(yàn)由安裝在工業(yè)設(shè)備中或安裝在工業(yè)設(shè)備處的溫度傳感器提供的當(dāng)前溫度是否處于預(yù)定的溫度范圍內(nèi)。

34、根據(jù)另一實(shí)施方式，確認(rèn)單元包括完整性檢驗(yàn)單元，其尤其是連接在簽發(fā)單元上游。完整性檢驗(yàn)單元被設(shè)立用于在本地檢驗(yàn)由證明單元提供的完整性證明的有效性。在此情況下，完整性檢驗(yàn)單元尤其是檢驗(yàn)完整性證明的數(shù)字簽名。附加地或替代地，完整性檢驗(yàn)單元還可以在內(nèi)容上評(píng)估是完整性證明的一部分的完整性測(cè)量值，并且尤其是鑒于現(xiàn)實(shí)性和/或合理性檢驗(yàn)完整性測(cè)量值。

35、根據(jù)另一實(shí)施方式，證明單元被構(gòu)造為防篡改計(jì)算設(shè)備。防篡改計(jì)算設(shè)備尤其是是可信平臺(tái)模塊(tpm)。

36、根據(jù)另一實(shí)施方式，工業(yè)設(shè)備具有唯一殼體，其中布置有證明單元、確認(rèn)單元和連接證明單元以及確認(rèn)單元的以物理方式保護(hù)的傳輸路徑。

37、根據(jù)另一實(shí)施方式，工業(yè)設(shè)備具有殼體，其中布置有證明單元，其中確認(rèn)單元被構(gòu)造為用于插塞在工業(yè)設(shè)備的總線上的插塞模塊。

38、根據(jù)另一實(shí)施方式，工業(yè)設(shè)備具有推入式殼體，其中確認(rèn)單元或確認(rèn)單元和證明單元被構(gòu)造為用于插入到推入式殼體中的相應(yīng)的推入式模塊。

39、相應(yīng)的單元、例如證明單元、檢驗(yàn)單元或簽發(fā)單元可以在硬件技術(shù)上和/或也在軟件技術(shù)上來(lái)實(shí)現(xiàn)。在硬件技術(shù)上實(shí)現(xiàn)的情況下，相應(yīng)的單元可以被構(gòu)造為設(shè)備或設(shè)備的一部分，例如被構(gòu)造為計(jì)算機(jī)或微處理器或集成電路。在軟件技術(shù)上實(shí)現(xiàn)的情況下，相應(yīng)的單元可以被構(gòu)造為計(jì)算機(jī)程序產(chǎn)品、功能、例程、程序代碼的一部分或者可執(zhí)行對(duì)象。

40、根據(jù)第二方面，提出一種系統(tǒng)，所述系統(tǒng)包括根據(jù)第一方面或根據(jù)第一方面的實(shí)施方式之一的計(jì)算機(jī)輔助的工業(yè)設(shè)備以及經(jīng)由網(wǎng)絡(luò)與所述工業(yè)設(shè)備耦合的后端系統(tǒng)，所述后端系統(tǒng)被設(shè)立用于檢驗(yàn)由工業(yè)設(shè)備簽發(fā)的確認(rèn)證明以用于確定工業(yè)設(shè)備的完整性。

41、由工業(yè)設(shè)備簽發(fā)的確認(rèn)證明經(jīng)由網(wǎng)絡(luò)被提供給系統(tǒng)用于進(jìn)行檢驗(yàn)。根據(jù)確認(rèn)證明以及由此確認(rèn)的完整性證明的檢驗(yàn)，由系統(tǒng)可以釋放或發(fā)起安全相關(guān)的動(dòng)作。這尤其可以是向工業(yè)設(shè)備或向確認(rèn)單元提供或確認(rèn)密碼密鑰。在此情況下，確認(rèn)證明可以尤其是通過(guò)pq簽名或者通過(guò)經(jīng)由pq安全傳輸路徑進(jìn)行傳輸、例如在使用諸如kemtls之類的密鑰封裝方法(kem方法，kem：密鑰封裝機(jī)制)的情況下來(lái)保護(hù)。

42、后端系統(tǒng)例如是云系統(tǒng)、邊緣云系統(tǒng)或生產(chǎn)監(jiān)控系統(tǒng)。在此，后端系統(tǒng)也可以是本地位于具有工業(yè)設(shè)備的工廠中的系統(tǒng)。

43、根據(jù)第三方面，提出一種用于運(yùn)行計(jì)算機(jī)輔助的工業(yè)設(shè)備的計(jì)算機(jī)實(shí)現(xiàn)的方法。該方法包括步驟：

44、借助于工業(yè)設(shè)備的至少一個(gè)完整性測(cè)量單元提供多個(gè)完整性測(cè)量值，

45、提供用于說(shuō)明工業(yè)設(shè)備或工業(yè)設(shè)備的一部分的完整性的通過(guò)第一密碼保護(hù)保護(hù)的完整性證明，其中完整性證明至少具有多個(gè)所提供的完整性測(cè)量值，以及

46、借助于檢驗(yàn)確認(rèn)單元和/或工業(yè)設(shè)備的至少一種狀態(tài)來(lái)提供檢驗(yàn)信息并且根據(jù)所提供的檢驗(yàn)信息簽發(fā)通過(guò)第二密碼保護(hù)保護(hù)的確認(rèn)證明，其中確認(rèn)證明至少包括完整性證明的多個(gè)完整性測(cè)量值和可從完整性證明的第一密碼保護(hù)導(dǎo)出的信息。

47、針對(duì)所提出的工業(yè)設(shè)備描述的實(shí)施方式和特征相應(yīng)地適用于所提出的方法。

48、根據(jù)第四方面，提出一種計(jì)算機(jī)程序產(chǎn)品，其在程序控制的裝置上促使執(zhí)行根據(jù)第三方面或第三方面的實(shí)施方式之一的如上解釋的方法。

49、計(jì)算機(jī)程序產(chǎn)品、諸如計(jì)算機(jī)程序裝置可以例如作為存儲(chǔ)介質(zhì)、諸如存儲(chǔ)卡、usb棒、cd-rom、dvd或也以從網(wǎng)絡(luò)中的服務(wù)器可下載的文件的形式被提供或供應(yīng)。這可以例如在無(wú)線通信網(wǎng)絡(luò)中通過(guò)傳輸具有計(jì)算機(jī)程序產(chǎn)品或計(jì)算機(jī)程序裝置的對(duì)應(yīng)的文件來(lái)進(jìn)行。

50、本發(fā)明的其他可能的實(shí)現(xiàn)還包括先前或在下面關(guān)于實(shí)施例描述的特征或?qū)嵤┓绞降奈疵鞔_提到的組合。在此，本領(lǐng)域技術(shù)人員還將添加單方面作為對(duì)本發(fā)明的相應(yīng)基本形式的改善或補(bǔ)充。