[go: up one dir, main page]

WO2008098529A1 - Method for activating functions of a field device, and electric field device - Google Patents

Method for activating functions of a field device, and electric field device Download PDF

Info

Publication number
WO2008098529A1
WO2008098529A1 PCT/DE2007/000276 DE2007000276W WO2008098529A1 WO 2008098529 A1 WO2008098529 A1 WO 2008098529A1 DE 2007000276 W DE2007000276 W DE 2007000276W WO 2008098529 A1 WO2008098529 A1 WO 2008098529A1
Authority
WO
WIPO (PCT)
Prior art keywords
field device
data
key
information
data memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/DE2007/000276
Other languages
German (de)
French (fr)
Inventor
Götz NEUMANN
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Priority to PCT/DE2007/000276 priority Critical patent/WO2008098529A1/en
Priority to EP07721917A priority patent/EP2118807A1/en
Priority to DE112007003458T priority patent/DE112007003458A5/en
Publication of WO2008098529A1 publication Critical patent/WO2008098529A1/en
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]

Definitions

  • the invention relates to a method for activating functions of a field device, in which in an internal data memory of a first field device present license data are transmitted from the first field device to a second field device, wherein the license data indicate the unlocked functions of the respective field device such that at in internal Memory of the respective field device present license data, the corresponding functions of the respective field device are enabled.
  • the invention also relates to a correspondingly configured electric field device.
  • IEDs Intelligent Electronic Devices
  • IEDs are commonly used in automation systems to control and monitor automated processes such as electrical power supply networks for transmitting and distributing electrical energy
  • field devices are also used in industrial manufacturing processes, chemical or process manufacturing - And conversion processes and distribution processes used for water or gas.
  • the automated process is an electrical power grid with its primary components, such as generators, inverters, transformers, and electrical power transmission lines.
  • the automation system for the electrical energy supply network has in this case, on the one hand electrical control devices, in cooperation with a ward control room or a Netz Griffinleitarte make functions for controlling the electrical power grid (for example, to turn on and off of circuit breakers for activating generators).
  • the automation system in this case also includes electrical protection devices that perform a monitoring of the status of the electrical power supply network to comply with predetermined operating parameters. In the event that the status of the electrical power grid is outside an allowable operating range, such protection devices automatically take countermeasures, such as switching off certain faulty sections of the electrical energy supply network before.
  • Further field devices used in the automation of electrical energy supply networks are, for example, power quality devices which monitor the electrical energy quality of the electrical energy transmitted by the electrical energy supply network.
  • electric field devices of this type usually comprise a housing with operating and display elements as well as connections and interfaces for communicating data into or out of the field device.
  • device assemblies which have at least one data processing device in the form of, for example, a microcontroller, which controls the tasks and functions of the electric field device.
  • the data processing device usually uses a device software specially tailored to the functions of the electric field device, which contains the necessary databases, settings, instructions and commands which are necessary for carrying out the desired functions of the electric field device.
  • the buyer When buying an electric field device, the buyer specifies the desired device functions and receives from the manufacturer of the electric field device in addition to the electric field device, a license file with corresponding license data indicating the functions to be released.
  • the activation of functions of such a universal field device by means of license data also entails the risk of improper use of the license data for unauthorized upgrading of multiple universal field devices to the scope of functions specified by the license data.
  • the license data could be spied on in order to derive from it a scheme for the own creation of license data for arbitrary functional compilations.
  • a buyer could purchase several cheap field devices with limited functionality and only one expensive field device with full functionality and copy the license data of the expensive field device and distribute them to the low-priced field devices in order to enhance their full functionality.
  • the license data Since the manufacturer of the field devices consequently has a legitimate interest in that the license data is not spied on and that no unauthorized copies of the license data are made, the license data is usually stored in a non-readable storage area of the field device or bound to the specific field device (for example, they only have for exactly one serial number validity). To this In this way, unauthorized upgrading of lower-functional electric field devices by spying on the license data or simply copying the license data of the full-featured field device can be prevented.
  • Replacing the defective field device is to transfer the license data from the defective field device to the replacement field device.
  • no unnecessarily long failures of the automation system must be accepted.
  • unsecured transmission of the license data from the defective field device to the replacement field device offers the possibility of malicious spying or copying of the license data.
  • German patent application DE 103-53 499 A1 proposes the use of a so-called "dongle.”
  • a dongle is a component in which data is available that is from This data can only be read by a corresponding data processing device which is set up to read the dongle If such a dongle is connected to a corresponding interface of the data processing device of a field device, the data processing device can store license data stored in the dongle In the event of a device defect, the dongle may be disconnected from the defective field device and connected to an intact replacement field device The data processing device of the intact replacement field device may then access the license data in the dongle en and enable the corresponding functions of the replacement field device, while the functions are locked in the defective device in the absence of the dongle. In such an approach, the presence of a corresponding dongle and a dedicated interface on the field devices is always required.
  • the invention is based on the object, the transmission of license data from a first to a second field device for
  • An advantage of the method according to the invention is that the transfer of the license data from a first field device to a second field device requires little effort, ie no special hardware such as a . Dongle is necessary. It is rather any external data storage, such as a common USB stick, sufficient. At the same time, the security against spying and unauthorized copying of the license data is advantageously increased by virtue of the fact that the license data are transmitted in encrypted form and thus are not readily readable. With the license data, key information is transferred from the first to the second field. device with which the second field device ' can determine the key for decrypting the license data. At the same time, the license data is deleted on the first field device so that it can no longer perform the device functions, since these are now locked.
  • the second field device prior to generating the key information in the first field device, the second field device generates a key base information and stores it in its internal data memory and in the external data memory and the first field device stores the key using the key information and the key base information is generated.
  • a key for encrypting the license data can be used, which is known only to the two field devices, between which the license data is transmitted.
  • the complexity of the method and thus the security against tampering can alternatively be further increased by the fact that, prior to generating the key information in the first field device, the second field device generates a key base information and stores it in its internal data memory and in the external data memory the first field device generates the key information using the key base information.
  • the second field device stores the key using the key information transmitted with the external data memory and the key information in generates key base information available to the internal data memory of the second field device.
  • the key base information is generated by the second field device using a first secret information, wherein the first secret information is stored in the second field device, and the key information and the key generated by the first field device using a second secret information, wherein the second secret information is stored in the first field device.
  • secret information advantageously random numbers can be used, which have been generated in the second and the first field device.
  • the first and / or second secret information in the respective field device can also be stored in specially protected, for example externally non-readable, data memories.
  • the Test data are respectively checked to see whether they match the data available in the external data memory and further processing of the data transferred to the internal data memory takes place only if the test result is positive.
  • test data are also generated using code data known to both field devices, the code data being stored in the respective field device are, and the verification of the test data using the code data is made.
  • the code data can be stored, for example, in a data memory of the respective field device that can not be read out externally.
  • test data a generated as a 'random number are also in use in the respective field device Safety number are generated, the safety number is additionally stored on the external data memory and the verification of the test data using the safety number is made.
  • an electric field device having a data processing device which is set up to perform a method according to one of the previously described embodiments in cooperation with a further electric field device.
  • FIG. 1 shows a schematic representation of an electric field device with unlockable functions
  • FIG. 2 shows a schematic front view of two electrical field devices, between which license data can be transmitted by means of an external data memory
  • FIG. 3 shows a first exemplary embodiment of a method for activating functions of an electric field device
  • FIG. 4 shows a second exemplary embodiment of a method for activating functions of an electric field device
  • FIG. 5 shows a third exemplary embodiment of a method for activating functions of an electric field device
  • Figure 6 shows a fourth embodiment of a method for unlocking functions of an electric
  • FIG. 7 a schematic representation of an external data memory with data and test data stored thereon
  • FIG. 8 shows a further schematic representation of an external data memory with data and test data stored thereon and 9 shows a third schematic representation of an external data memory with data and test data stored thereon.
  • FIG. 1 very schematically shows an electric field device 10.
  • the electric field device 10 has a data processing device 11, which includes a computing device, not shown, such as a microprocessor and also not shown data memory. Via an interface 12, the data processing device 11 has the possibility of exchanging data with external devices, such as external data memories.
  • the electric field device 10 is connected in a manner not shown with an automated process from which it can, for example, via measurement inputs data and to which it outputs via control outputs commands that cause, for example, an electrical circuit breaker of an electrical energy supply network to open or close its switch contacts ,
  • the field device 10 may furthermore have the possibility of establishing a communication connection with other electrical field devices or hierarchically higher-level control devices, such as, for example, a station or network control center.
  • a communication connection can take place, for example, via wired communication buses.
  • the electric field device 10 is suitable for carrying out predetermined functions via a device software.
  • FIG. 1 schematically illustrates a functional scope 13 of the electric field device 10 which is intended to comprise seven exemplary individual functions 14a to 14g.
  • the number of possible functions of the electric field device 10 not set to seven functions; Rather, any number of functions in the functional scope 13 of the electric field device 10 can be present.
  • field device manufacturers have recently - as already explained - increasingly offered to offer field devices which include the complete functional scope of a universal field device with respect to their hardware and software equipment.
  • the functions available in the device software can be enabled or disabled depending on the field of application of the electric field device. From the combination of the respective enabled functions of the electric field device then results in a specially tailored to the requirements of the customer electric field device in which the unneeded functions are locked accordingly.
  • the device price is usually determined as a function of the number and complexity of the enabled device functions.
  • the definition of which of the device functions is disabled and which are enabled is determined via license data present in the electric field device in a memory area that can not be read from the outside.
  • the field device 10 shown in FIG. 1 contains license data 15, which only the data processing device 11 of the field device 10 can access.
  • the data processing device 11 determines which of the device functions 14a to 14g should be released from the functional scope 13 of the electric field device 10.
  • the device functions 14b, 14c and 14f unlocked which is indicated by an open lock
  • the other device functions 14a, 14d, 14e and 14g are locked, which is indicated by a closed lock.
  • the enabled functions may be, for example, a function for executing a distance protection algorithm, a function for automatic reclosing of a circuit breaker after an occurring fault, and a fault Function to locate a fault
  • the disabled device functions may be, for example, a function to perform a differential protection algorithm, an overcurrent time protection function, a motor protection function, and a transformer protection function.
  • electric field devices are used in areas in which no communication connection between the operator of the electric field device and the manufacturer of the electric field device can be ensured. If a defect occurs in a field device in such a region, so that the field device must be replaced, it must be ensured that a replacement field device with the same functional scope can be provided in the shortest possible time.
  • the provision of a corresponding field device is simplified by the fact that the replacement field device by its hardware and software equipment already has the ability to perform all device functions of a field device. However, these device functions are still locked in the raw state of the field device. For activation, corresponding license data must be transmitted to the replacement field device in order to inform the data processing device of the replacement field device which device functions are to be unlocked. Since no communication connection between the operator of the electric field device and the manufacturer of the electric field device who could provide such license data is available in the addressed areas, it makes sense to provide the necessary license data from the defective electric field device to the replacement field device transferred to.
  • FIG. 2 shows a first field device 20 and a second field device 21, wherein it should be assumed that the first field device 20 has a defect, so that it has to be replaced by the second field device 21 as a replacement field device.
  • the second field device 21 basically has the same hardware and software equipment as the first field device 20.
  • the device functions of the second field device 21 alone must be enabled according to the device functions present in the field device 20.
  • a defect in the first field device 20 will usually not affect all functions, in particular not a limited basic functionality, so that the data processing device of the first field device 20 still has the possibility to read the license data from the non-readable memory area and to an external one Data storage 22, such as a USB stick to transfer.
  • an external one Data storage 22 such as a USB stick to transfer.
  • a USB stick can also any other external data storage such as floppy disks, optical storage media, flash memory cards, and external hard drives are used.
  • the first field device must have a corresponding interface 23, for example a USB interface. From the external data memory 22, the license data can then be transmitted to the second field device 21. This has a corresponding interface 24.
  • FIG. 3 shows a highly schematic one first electric field device 40, a . second electric field device 41 and an external data memory 42 in the form of a USB stick used for transmitting the license data from the first field device 40 to the second field device 41.
  • the first field device 40 initially has valid license data that determine the scope of its enabled functions.
  • the second field device is initially not in possession of the necessary license data.
  • the license data from the first field device 40 are to be transmitted to the second field device 41 in order to be used there for the activation of functions.
  • the method for securely transmitting the license data proceeds as follows: In the first field device 40, a key information KI is generated in a step 33a. Using this key information KI, the data processing device of the first field device 40 generates in a next step 33b a key that can be used to encrypt digital data using encryption methods known per se. Any algorithms can be used to generate the key from the key information KI. If the key information KI is, for example, an arbitrary number, then the key can be generated therefrom according to a predetermined algorithm, for example a cross-sum. The key information KI may alternatively also indicate, for example, a sequence number in a key table additionally stored in the electric field device 40, on the basis of which the data processing device of the first field device 40 selects a specific key from the key table.
  • the license data LI previously stored in a non-readable memory area 34 of the first field device 40 are stored using the previously generated license data LI. key encrypted so that now encrypted license data is available.
  • the encrypted license data as well as at least part of the key information KI generated in step 33a are transferred to the external data memory 42 as indicated by an arrow 36.
  • the license data LI are deleted from the non-readable memory area 34 of the first field device 40, so that there are no more license data in this and the data processing device of the first field device 40 now blocks all device functions.
  • the encrypted license data and the key information KI are now present on the external data memory 42.
  • a decryption of the license data is not possible outside of a corresponding field device, since the algorithm is unknown, as from the key information KI the key to be used to decrypt the license data can be generated.
  • the external data memory 42 is now disconnected from the first field device 40 and connected to an interface of the second field device 41.
  • the encrypted license data and the part of the key information KI present on the external data memory are transmitted to the second field device 41.
  • the data processing device of the second field device 41 generates the key necessary for decrypting the encrypted license data from the key information KI in a following step 38a.
  • the second field device 41 must also know the algorithm of how to derive the key from the key information KI.
  • the encrypted license data is decrypted using the key generated in the second field device 41, and the thus decrypted license data is stored in a memory area 39 that can not be read out from the outside. Since license data are now available in the second field device 41, the data processing device can use this license data to enable the device functions of the second field device 41. Since it is the same license data that was previously stored in the first field device 40, the same device functions that were previously enabled in the first field device 40 are also released. In this way, a replacement field device is thus provided by the second field device 41, which offers the same functional scope as the exchanged first field device 40.
  • the method just described makes it possible to transmit the license data in encrypted form from the first field device 40 to the second field device 41, so that spying on the license data by external access to the external data memory 42 is prevented. However, since each receiving
  • Field device must know the algorithm, as the key for decrypting the license data is generated from the key information KI, is not completely prevented by this method that using the key information and the encrypted license data inadmissible other field devices than that second field device 41 are extended to the appropriate range of functions.
  • FIG. 4 a possibility is indicated of how only the two field devices, between which the license data are transmitted, know the key for decrypting the license data.
  • a first field device 40, a second field device 41 and an external data memory 42 are again shown.
  • a key base information BI is first generated by means of the data processing device of the second electric field device 41.
  • This key base information BI is stored on the external data memory 42 as indicated by an arrow 44a.
  • the external data memory 42 is now separated from the second field device 41 and connected to the first field device 40.
  • the key base information BI is then transferred to the internal memory of the first field device 40.
  • the data processing device of the first field device 40 now generates a key information item KI in a further step 45a, as already explained with reference to FIG.
  • the key is generated using this key information and the key base information BI generated in the second field device 41.
  • the algorithm for generating the key in step 45b consequently uses both the key information KI and the key base information BI, so that the key is thus a function of both the key information KI and the key base information BI.
  • the cross sum of the key information KI is formed to generate the key, and then this checksum is exponentiated with the key base information. Any other links are also conceivable.
  • the license data LI previously stored in a non-readable memory area 46 of the first field device 40 are encrypted in a further step 45c.
  • the encrypted license data and at least a part of the key information KI become transmit the external data memory 42, as indicated by arrow 47a.
  • the encrypted license data and the present part of the key information KI are transmitted to the second field device 41, as indicated by an arrow 47b.
  • the license data is then deleted from the first field device 30.
  • the key for decrypting the license data is generated using the present part of the key information KI and the key base information BI already present in the second field device 41.
  • the encrypted license data is decrypted using this key and stored in a non-readable memory area 49 of the second field device 41.
  • the functions of the second field device 41 can be released in accordance with the license data.
  • the particular advantage resides in the fact that the key base information is transmitted first
  • the encrypted license data and the key information KI can therefore not be transmitted to any number of further field devices, because in these other field devices the key base information BI, which is used to generate the key It is not necessary to decrypt the license data.
  • FIG. 5 shows an alternative embodiment of a method in which functions of the second field device are released by transferring the license data from a first field device to a second field device.
  • the method according to FIG. 5 largely corresponds to the method already explained for FIG. 4, for which reason the same reference numerals have been used in FIGS. 4 and 5 to designate corresponding method steps and components.
  • the method according to FIG. 5 differs from the method according to FIG. 4 only in that the key information KI is generated in the first field device 40 using the key base information BI that has been generated in the second field device 41, and the key only is generated using the key information KI (ie not the key base information BI).
  • the key information KI also depends on the key base information BI
  • the key base information also indirectly enters into the key formation. Since the key information KI depends on the key base information BI, the key in the second field device 41 can therefore be derived with knowledge of the key information KI and the key base information BI.
  • the further method steps correspond to those of the method explained for FIG. 4, so that reference is made to the explanation of FIG. 4 at this point.
  • FIG. 6 shows a further exemplary embodiment in which the security against spying and unauthorized copying of the license data is increased even further by additional method steps. Since the method according to 6 largely corresponds to the method according to FIG. 5, again corresponding method steps and components in FIGS. 5 and 6 have been designated by the same reference numerals.
  • a first secret information RNl for example a random number
  • the key base information BI is now generated using this first secret information RN1.
  • a second secret information RN2 for example a second random number
  • the key information KI is generated, wherein the key information KI is also generated using the key base information BI.
  • the secret information RNl is known only to the second field device 41 and the second secret information RN2 to the first field device 40 only. They are preferably not readily readable from the outside stored in a secure memory area of the respective field device. Depending on the required security standard, however, the secret information RN1 and RN2 can also be stored in normal memory areas without access protection.
  • the key for encrypting the license data LI is generated in a step 64 using the key information KI dependent on the key base information BI and the second secret information RN2.
  • the encrypted license data and at least part of the key information KI are then transmitted to the second field device 41; the license data is deleted from the first field device 40.
  • the secret information RN1 and RN2 are known exclusively to the respective field devices 40 and 41 and are stored in these preferably in non-readable memory areas, the security against unauthorized use of the encrypted license data is increased still further, since field devices other than the second field device 41 may not know the first secret information RNl for generating the key.
  • a random number a is formed as secret information RN1.
  • key base information BI a prime number p, a primitive root g and a value A according to
  • the key base information BI in this case thus consists of three separate numbers, namely the prime number p, the primitive root g and the value A. Since the value A has been formed using the first secret information RN1 in the form of the random number a, the Whybasisin- formation BI was thus generated using the first secret information RNl. , •
  • the key base information BI is transferred to the external data memory 42 in step 44a, so that now the prime number p, the primitive root g and the value A are present in the external data memory.
  • the external data memory 42 is now separated from the second field device 41 and connected to the first field device 40.
  • the key base information BI is transferred to an internal memory of the first field device 40.
  • a random number b is generated as second secret information RN2.
  • step 63 the key information KI from the key base information BI by taking over the prime number p and the value A and by forming a further value B according to
  • the key base information BI in the form of the prime number p and the primitive root g and, on the other hand, the second secret information RN2 in the form of the random number b are used to form the further value B.
  • step 64 the key K is then according to
  • step 45c the license data LI is encrypted with the key K thus generated.
  • step 47a the encrypted license data and a part of the key information KI, namely the value B, are transferred to the external data memory 42.
  • the secret information RN2 in the form of the random number b is not transmitted.
  • the external data memory 42 is disconnected from the first field device 40 and reconnected to the second field device 41, so that in step 47b the encrypted license data and the part of the key information KI are transferred in the form of the value B to an internal data memory of the second field device 41 can be.
  • step 65 the key K is now according to
  • the transmitted part of the key information KI in the form of the value B, the first secret information RN1 in the form of the random number a and the key base information BI in the form of the prime number p are used.
  • the key K can be generated without knowing the secret information RM2 in the form of the random number b generated in the first field device 40, since for the key K the relationship
  • the encrypted license data can be decrypted in step 48b so that it can be transferred to the non-readable memory area 49 in the second field device 41 in order to be used for the activation of the corresponding functions.
  • the key K used is a key which is valid only for this one-time transaction of the license data and is known only to the field devices 40 and 41, so that even if the contents of the external data store are not copied without authorization, the information obtained therefrom is not available Preparing further field devices can be used with correspondingly enabled functions. Also, since the license data is encrypted with a key unknown outside the field devices 40 and 41, they can not be spied. The method described in connection with FIG. 6 thus represents a very high degree of security against unauthorized generation of further field devices with enabled functions.
  • the method is not yet sufficiently secure against a so-called "man-in-the-middle attack" protected in which the existing data on the external data storage is changed and transferred after the change to the corresponding other of the two field devices to in this way to get to know the keys used by the field devices.
  • FIG. 7 shows a first exemplary embodiment with which, by using test data, it is ensured that There is no manipulation of the data on the external data store.
  • FIG. 7 shows an external data memory 70 in the form of a USB stick in whose memory area 71, by way of example, key information 72 and encrypted license data 73 are stored.
  • key information 72 and the encrypted license data other data may also be present on the external data memory, such as the key base information BI.
  • check data "CHK" 74 generated by a field device using the key information 72 and the license data 73 is stored on the storage area 71 of the external data memory 70.
  • a special algorithm such as a so-called hash value formation has been used.
  • this field device checks whether the test data 74 corresponds to the further stored data, that is to say the key information 72 and the license data 73.
  • the other field device must know the algorithm for forming the test data. If the key information 72 or the license data 73 has been changed after being written to the external data memory 70 by the first field device, the check data 74 no longer matches the encrypted license data 73 and the key information 72. In such a case the other field device detects the present discrepancy and does not accept the data on the external data store as valid. The transmission method is canceled in this case.
  • FIG. 8 shows a further exemplary embodiment in which the security of the test data against manipulation is increased even further.
  • the key information 72 and the encrypted license data 73 are stored in the memory area 71.
  • the test data 80 have now been generated, on the one hand, using the data stored on the external data memory 70, that is to say the key information 72 and the encrypted license data 73.
  • code data "CODE" 81 which are known to all electric field devices but are stored in protected or non-readable memory areas, so that the knowledge of the code data can not escape to the outside, was used to generate the test data 80 in that, even if the algorithm is known, according to which the test data are generated from the data 72 and 73 stored on the external data memory 70, the test data 80 can not nevertheless be generated outside of a field device since knowledge of the code data 81 is lacking ,
  • FIG. 9 shows a further exemplary embodiment for test data formation.
  • the test data are formed in accordance with the explanation for FIG. 8 using the key information 72, the encrypted license data 73 and the code data 81 known to the field devices.
  • a safety number "SEC" 90 is formed, which is advantageously a newly formed random number for each transmission data memory 70 is stored.
  • the test data 91 are thus formed in this case using the security number 90, is so ensured that even with multiple transmitting the same key information 72 and dersel- In the case of encrypted license data, the check data 91 are constantly being changed due to the change in the security number 90 with each transaction.
  • the security against spying and unauthorized copying of the license data can be further increased.

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

The invention relates to a method for activating functions of a field device (40, 41), wherein licensing data (LI) present in an internal data storage unit of a first field device (40) is transmitted from the first field device to a second field device (41) for issuing the functions to be activated. In order to configure such a method so that the transmission is enabled at a comparatively low expense with high security against spying or unauthorized copying of the licensing data (LI), the licensing data (LI) is encrypted and transmitted to the second field device (41) together with coding information (KI). The invention further relates to an accordingly equipped electric field device (40, 41).

Description

Beschreibungdescription

Verfahren zum Freischalten von Funktionen eines Feldgerätes und elektrisches FeldgerätMethod for activating functions of a field device and electric field device

Die Erfindung betrifft ein Verfahren zum Freischalten von Funktionen eines Feldgerätes, bei dem in einem internen Datenspeicher eines ersten Feldgerätes vorliegende Lizenzdaten von dem ersten Feldgerät an ein zweites Feldgerät übermittelt werden, wobei die Lizenzdaten die freizuschaltenden Funktionen des jeweiligen Feldgerätes derart angeben, dass bei im internen Speicher des jeweiligen Feldgerätes vorliegenden Lizenzdaten die entsprechenden Funktionen des jeweiligen Feldgerätes freigeschaltet werden. Die Erfindung betrifft auch ein entsprechend eingerichtetes elektrisches Feldgerät.The invention relates to a method for activating functions of a field device, in which in an internal data memory of a first field device present license data are transmitted from the first field device to a second field device, wherein the license data indicate the unlocked functions of the respective field device such that at in internal Memory of the respective field device present license data, the corresponding functions of the respective field device are enabled. The invention also relates to a correspondingly configured electric field device.

Elektrische Feldgeräte (häufig auch als „Intelligent Electronic Devices" - IEDs bezeichnet) werden üblicherweise in Automatisierungsanlagen zum Steuern und Überwachen automatisierter Prozesse, wie beispielsweise elektrischen Energieversorgungsnetzen zum Übertragen und Verteilen elektrischer Energie eingesetzt. Außerdem werden Feldgeräte auch bei industriellen Fertigungsprozessen, chemischen oder verfahrenstechnischen Produktions- und Umwandlungsprozessen sowie Verteilungsprozesse für Wasser oder Gas verwendet .Electrical field devices (often referred to as "Intelligent Electronic Devices" - IEDs) are commonly used in automation systems to control and monitor automated processes such as electrical power supply networks for transmitting and distributing electrical energy, and field devices are also used in industrial manufacturing processes, chemical or process manufacturing - And conversion processes and distribution processes used for water or gas.

Im Falle der elektrischen Energieübertragung und -Verteilung handelt es sich bei dem automatisierten Prozess um ein elektrisches Energieversorgungsnetz mit seinen Primärkomponenten, wie beispielsweise Generatoren, Umrichtern, Transformatoren und elektrischen Energieübertragungsleitungen. Die Automatisierungsanlage für das elektrische Energieversorgungsnetz weist in diesem Fall einerseits elektrische Leitgeräten auf, die im Zusammenwirken mit einer Stationsleitwarte oder einer Netzsteuerleitwarte Funktionen zum Steuern des elektrischen Energieversorgungsnetzes (beispielsweise zum Ein- und Ausschalten von Leistungsschaltern zum Aktivieren von Generatoren) vornehmen. Andererseits umfasst die Automa- tisierungsanlage in diesem Fall auch elektrische Schutzgeräte, die eine Überwachung des Status des elektrischen Energieversorgungsnetzes auf die Einhaltung vorgegebener Betriebsparameter durchführen. Im Falle, dass der Status des elektrische Energieversorgungsnetz außerhalb eines zulässigen Betriebsbereiches liegt, nehmen solche Schutzgeräte automatisch Gegenmaßnahmen, wie das Abschalten bestimmter fehlerbehafteter Abschnitte des elektrischen Energieversorgungsnetzes, vor. Weitere bei der Automatisierung von elektrischen Energieversorgungsnetzen eingesetzte Feldgeräte sind z.B. Po- wer-Quality-Geräte, die die Elektroenergiequalität der von dem elektrischen Energieversorgungsnetz übertragenen elektrischen Energie überwachen.In the case of electrical power transmission and distribution, the automated process is an electrical power grid with its primary components, such as generators, inverters, transformers, and electrical power transmission lines. The automation system for the electrical energy supply network has in this case, on the one hand electrical control devices, in cooperation with a ward control room or a Netzsteuerleitarte make functions for controlling the electrical power grid (for example, to turn on and off of circuit breakers for activating generators). On the other hand, the automation system in this case also includes electrical protection devices that perform a monitoring of the status of the electrical power supply network to comply with predetermined operating parameters. In the event that the status of the electrical power grid is outside an allowable operating range, such protection devices automatically take countermeasures, such as switching off certain faulty sections of the electrical energy supply network before. Further field devices used in the automation of electrical energy supply networks are, for example, power quality devices which monitor the electrical energy quality of the electrical energy transmitted by the electrical energy supply network.

Heutzutage umfassen elektrische Feldgeräte dieser Art übli- cherweise ein Gehäuse mit Bedien- und Anzeigeelementen sowie Anschlüssen und Schnittstellen, um Daten in das Feldgerät hinein oder aus diesem herauszukommunizieren. Innerhalb des Gehäuses sind üblicherweise Gerätebaugruppen aufgenommen, die zumindest eine Datenverarbeitungseinrichtung in Form bei- spielsweise eines MikroControllers aufweisen, der die Aufgaben und Funktionen des elektrischen Feldgerätes steuert. Hierzu bedient sich die Datenverarbeitungseinrichtung üblicherweise einer speziell auf die Funktionen des elektrischen Feldgerätes zugeschnittenen Gerätesoftware, die die notwendi- gen Datenbanken, Einstellungen, Anweisungen und Befehle enthält, die zur Durchführung der gewünschten Funktionen des elektrischen Feldgerätes notwendig sind. In jüngerer Zeit sind die Hersteller elektrischer Feldgeräte vermehrt dazu übergegangen, elektrische Universalfeidgeräte anzubieten, die durch Maßnahmen in der Gerätesoftware speziell auf die Anforderungen im gewünschten Einsatzgebiet zu- geschnitten werden können, so dass keine entsprechende Vielzahl an elektrischen Feldgeräten unterschiedlicher Funktionsausstattungen produziert und vorgehalten werden muss. Hierzu besitzen solche elektrischen Universalfeidgeräte eine Gerätesoftware, die bereits sämtliche für das Gerät möglichen Funk- tionen umfasst. Diese Funktionen können in der Gerätesoftware je nach Einsatzzweck des Feldgerätes freigeschaltet oder gesperrt werden. Hierzu wirkt die Gerätesoftware mit so genannten Lizenzdaten zusammen, die angeben, welche Gerätefunktionen freigeschaltet und welche gesperrt sein sollen. Ohne sol- che Lizenzdaten befinden sich alle Gerätefunktionen in gesperrtem Zustand, es kann lediglich vorgesehen sein, dass einige Basisfunktionen des Feldgerätes, die zum Einrichten der Lizenzdaten in dem Feldgerät notwendig sind (wie beispielsweise die Ansteuerung von Schnittstellen des Feldgerätes, Ko- pier- und Speicherfunktionen, sowie die Anzeige von Information auf einer ggf. vorhandenen Anzeigeeinrichtung des Feldgerätes) , freigeschaltet sind.Nowadays, electric field devices of this type usually comprise a housing with operating and display elements as well as connections and interfaces for communicating data into or out of the field device. Within the housing usually device assemblies are included, which have at least one data processing device in the form of, for example, a microcontroller, which controls the tasks and functions of the electric field device. For this purpose, the data processing device usually uses a device software specially tailored to the functions of the electric field device, which contains the necessary databases, settings, instructions and commands which are necessary for carrying out the desired functions of the electric field device. Recently, the manufacturers of electric field devices have increasingly begun to offer universal electric welders, which can be tailored by measures in the device software especially to the requirements in the desired field of application, so that no corresponding large number of electrical field devices different functional equipment must be produced and kept , For this purpose, such universal electric welders have a device software that already includes all possible functions for the device. Depending on the intended use of the field device, these functions can be enabled or disabled in the device software. For this purpose, the device software cooperates with so-called license data, which specify which device functions are to be enabled and which are to be blocked. Without such license data, all device functions are in the locked state, it can only be provided that some basic functions of the field device, which are necessary for setting up the license data in the field device (such as the control of interfaces of the field device, copy and Memory functions, as well as the display of information on an optionally existing display device of the field device), are enabled.

Da sich der Verkaufspreis eines solchen Universalfeldgerätes üblicherweise nach der Anzahl und Komplexität der freigeschalteten Funktionen richtet, kann es durchaus im Interesse des Käufers des Feldgerätes liegen, nicht den vollen Funktionsumfang, sondern lediglich diejenigen Funktionen frei- schalten zu lassen, die das elektrische Feldgerät in seinem Einsatzgebiet tatsächlich ausführen muss.Since the selling price of such a universal field device usually depends on the number and complexity of the enabled functions, it may well be in the interest of the purchaser of the field device not to have the full range of functions enabled, but only those functions that the electric field device in his Operational area must actually perform.

Beim Kauf eines elektrischen Feldgerätes gibt der Käufer hierzu die von ihm gewünschten Gerätefunktionen an und erhält vom Hersteller des elektrischen Feldgerätes zusätzlich zu dem elektrischen Feldgerät eine Lizenzdatei mit entsprechenden Lizenzdaten, die die freizuschaltenden Funktionen angeben.When buying an electric field device, the buyer specifies the desired device functions and receives from the manufacturer of the electric field device in addition to the electric field device, a license file with corresponding license data indicating the functions to be released.

Die Tatsache, dass solche Universalfeldgeräte nunmehr gene- rell dazu geeignet sind, je nach freigeschalteten Funktionen alle möglichen Aufgaben erfüllen zu können, erleichtert in erheblichem Maße auch die Produktion und Lagerhaltung der Feldgeräte, da nicht mehrere spezielle Feldgeräte jeweils unterschiedlicher Ausstattung erzeugt und vorgehalten werden müssen. Dies ist insbesondere auch zur Bereitstellung von Ersatzfeldgeräten zum Austausch defekter . Feldgeräte von Vorteil.The fact that such universal field devices are now generally suitable for being able to fulfill all possible tasks depending on the enabled functions considerably facilitates the production and storage of the field devices, since it is not necessary to generate and maintain a plurality of special field devices of different equipment , This is especially for the provision of replacement field devices for replacement defective. Field devices are an advantage.

Allerdings birgt die Freischaltung von Funktionen eines sol- chen Universalfeldgerätes mittels Lizenzdaten auch die Gefahr einer missbräuchlichen Verwendung der Lizenzdaten zum unerlaubten Ertüchtigen mehrerer Universalfeldgeräte auf den durch die Lizenzdaten angegebenen Funktionsumfang. So könnten die Lizenzdaten einerseits beispielsweise ausspioniert wer- den, um aus diesen ein Schema zum eigenen Erstellen von Lizenzdaten für beliebige FunktionsZusammenstellungen abzuleiten. Andererseits könnte bei frei zugänglichen Lizenzdaten ein Käufer mehrere günstige Feldgeräte mit geringem Funktionsumfang und nur ein teures Feldgerät mit vollem Funk- tionsumfang erwerben und die Lizenzdaten des teuren Feldgerätes kopieren und an die günstigen Feldgeräte verteilen, um diese auf den vollen Funktionsumfang aufzuwerten. Da der Hersteller der Feldgeräte folglich ein berechtigtes Interesse besitzt, dass die Lizenzdaten nicht ausspioniert werden und von den Lizenzdaten keine unzulässigen Kopien angefertigt werden, sind die Lizenzdaten üblicherweise in einem nicht auslesbaren Speicherbereich des Feldgerätes gespeichert oder an das spezielle Feldgerät gebunden (beispielsweise besitzen sie nur für genau eine Seriennummer Gültigkeit) . Auf diese Weise kann ein unbefugtes Aufwerten elektrischer Feldgeräte mit niedrigerem Funktionsumfang durch Ausspionieren der Lizenzdaten oder einfaches Kopieren der Lizenzdaten des Feldgerätes mit vollem Funktionsumfang verhindert werden.However, the activation of functions of such a universal field device by means of license data also entails the risk of improper use of the license data for unauthorized upgrading of multiple universal field devices to the scope of functions specified by the license data. On the one hand, for example, the license data could be spied on in order to derive from it a scheme for the own creation of license data for arbitrary functional compilations. On the other hand, with freely accessible license data, a buyer could purchase several cheap field devices with limited functionality and only one expensive field device with full functionality and copy the license data of the expensive field device and distribute them to the low-priced field devices in order to enhance their full functionality. Since the manufacturer of the field devices consequently has a legitimate interest in that the license data is not spied on and that no unauthorized copies of the license data are made, the license data is usually stored in a non-readable storage area of the field device or bound to the specific field device (for example, they only have for exactly one serial number validity). To this In this way, unauthorized upgrading of lower-functional electric field devices by spying on the license data or simply copying the license data of the full-featured field device can be prevented.

Häufig werden Feldgeräte jedoch in Gegenden eingesetzt, in denen keine Kommunikation mit dem Hersteller des Feldgerätes möglich ist. In solchen Gegenden ist es bisher mit Schwierigkeiten verbunden, in kurzer Zeit ein Ersatzfeldgerät gleichen Funktionsumfangs für ein defektes Feldgerät einer Automatisierungsanlage bereitzustellen. Üblicherweise muss in einem solchen Fall der Betreiber der Automatisierungsanlage eine Kommunikationsverbindung mit dem Hersteller des Feldgerätes aufbauen, um von diesem eine neue Lizenzdatei mit Lizenzdaten zum Freischalten entsprechender Funktionen des Ersatzfeldgerätes zu erhalten. Wie bereits erwähnt, ist dies nicht in allen Gegenden möglich, so dass in diesem Fall die Lizenzdaten auf vergleichsweise langsame Weise, z.B. auf einem Datenträger per Post, übermittelt werden müssen. Handelt es sich bei den Lizenzdaten prinzipiell um eine Folge alphanumerischer Zeichen, könnte diese zwar auch fernmündlich weitergegeben werden, dieses Verfahren ist aber insbesondere bei längeren Zeichenfolgen höchst fehleranfällig.However, field devices are often used in areas where no communication with the manufacturer of the field device is possible. In such areas, it has been associated with difficulties to provide a replacement field device same functional scope for a defective field device of an automation system in a short time. Usually, in such a case, the operator of the automation system must establish a communication link with the manufacturer of the field device in order to obtain from this a new license file with license data for enabling corresponding functions of the replacement field device. As already mentioned, this is not possible in all areas, so that in this case the license data is processed in a comparatively slow way, e.g. on a data medium by post, must be conveyed. If the license data are in principle a sequence of alphanumeric characters, this could also be passed on by telephone, but this method is highly susceptible to errors, especially with longer character strings.

Daher besteht meist die einzige Möglichkeit zum schnellenTherefore, there is usually the only way to fast

Austausch des defekten Feldgerätes darin, die Lizenzdaten von dem defekten Feldgerät auf das Ersatzfeldgerät zu übertragen. So müssen keine unnötig langen Ausfälle der Automatisierungs- anlage hingenommen werden. Allerdings bietet eine ungesi- cherte Übertragung der Lizenzdaten von dem defekten Feldgerät an das Ersatzfeldgerät die Möglichkeit einer böswilligen Ausspionierung oder eines Kopierens der Lizenzdaten. Um eine sichere Übertragung von Lizenzdaten von einem Feldgerät zu einem anderen Feldgerät zu ermöglichen, schlägt die deutsche Offenlegungsschrift DE 103 -53 499 Al die Verwendung eines so genannten „Dongles" vor. Ein solcher Dongle ist ein Bauteil, in dem Daten vorliegen, die von außen prinzipiell unzugänglich sind. Diese Daten können nur durch eine entsprechende Datenverarbeitungseinrichtung, die zum Auslesen des Dongles eingerichtet ist, gelesen werden. Wird ein solcher Dongle mit einer entsprechenden Schnittstelle der Datenverar- beitungseinrichtung eines Feldgerätes verbunden, so kann die Datenverarbeitungseinrichtung in dem Dongle gespeicherte Lizenzdaten auslesen und dementsprechend Gerätefunktionen frei- schalten. Bei einem Gerätedefekt kann. der Dongle von dem defekten Feldgerät getrennt und mit einem intakten Ersatzfeld- gerät verbunden werden. Die Datenverarbeitungseinrichtung des intakten Ersatzfeldgerätes kann dann auf die Lizenzdaten in dem Dongle zugreifen und die entsprechenden Funktionen des Ersatzfeldgerätes freischalten, während die Funktionen in dem defekten Gerät bei Abwesenheit des Dongles gesperrt werden. Bei einer solchen Vorgehensweise ist immer das Vorhandensein eines entsprechenden Dongles und einer hierfür eingerichteten Schnittstelle an den Feldgeräten erforderlich.Replacing the defective field device is to transfer the license data from the defective field device to the replacement field device. Thus, no unnecessarily long failures of the automation system must be accepted. However, unsecured transmission of the license data from the defective field device to the replacement field device offers the possibility of malicious spying or copying of the license data. In order to enable a secure transmission of license data from one field device to another field device, German patent application DE 103-53 499 A1 proposes the use of a so-called "dongle." Such a dongle is a component in which data is available that is from This data can only be read by a corresponding data processing device which is set up to read the dongle If such a dongle is connected to a corresponding interface of the data processing device of a field device, the data processing device can store license data stored in the dongle In the event of a device defect, the dongle may be disconnected from the defective field device and connected to an intact replacement field device The data processing device of the intact replacement field device may then access the license data in the dongle en and enable the corresponding functions of the replacement field device, while the functions are locked in the defective device in the absence of the dongle. In such an approach, the presence of a corresponding dongle and a dedicated interface on the field devices is always required.

Der Erfindung liegt die Aufgabe zugrunde, die Übertragung von Lizenzdaten von einem ersten an ein zweites Feldgerät zumThe invention is based on the object, the transmission of license data from a first to a second field device for

Freischalten der Funktionen des zweiten elektrischen Feldgerätes mit vergleichsweise geringem Aufwand bei hoher Sicherheit gegen Ausspionieren oder unbefugtes Kopieren der Lizenzdaten zu ermöglichen.Enable the functions of the second electric field device with comparatively little effort with high security against spying or unauthorized copying the license data to allow.

Diese Aufgabe wird erfindungsgemäß durch ein Verfahren der eingangs genannten Art gelöst, bei dem die folgenden Schritte durchgeführt werden: - Erzeugen einer Schlüsselinformation in dem ersten Feldgerät ;This object is achieved by a method of the type mentioned, in which the following steps are performed: Generating key information in the first field device;

- Generieren eines Schlüssels unter Verwendung der Schlüssel- Information; - Verschlüsseln der Lizenzdaten in dem ersten Feldgerät unter Verwendung des Schlüssels;Generating a key using the key information; - encrypting the license data in the first field device using the key;

- Speichern der verschlüsselten Lizenzdaten und zumindest eines Teils der Schlüsselinformation in einem externen Datenspeicher; - Löschen der Lizenzdaten aus dem internen Datenspeicher des ersten Feldgerätes unter Sperren der Funktionen des ersten Feldgerätes;Storing the encrypted license data and at least part of the key information in an external data memory; - Deleting the license data from the internal data memory of the first field device while blocking the functions of the first field device;

- Übertragen der verschlüsselten Lizenzdaten und des in dem externen Datenspeicher gespeicherten Teils der Schlüsselin- formation von dem externen Datenspeicher auf den internen Datenspeicher des zweiten Feldgerätes;- transferring the encrypted license data and the part of the key information stored in the external data memory from the external data memory to the internal data memory of the second field device;

- Erzeugen des Schlüssels in dem zweiten Feldgerät unter Verwendung des Teils der Schlüsselinformation;Generating the key in the second field device using the part of the key information;

- Entschlüsseln der verschlüsselten Lizenzdaten unter Verwen- düng des Schlüssels;- decrypt the encrypted license data using the key;

- Freischalten von Funktionen des zweiten Feldgerätes unter Verwendung der Lizenzdaten.- Activation of functions of the second field device using the license data.

Ein Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass das Übertragen der Lizenzdaten von einem ersten Feldgerät zu einem zweiten Feldgerät aufwandsarm erfolgt, also keine besondere Hardware wie z.B. ein. Dongle notwendig ist. Es ist vielmehr ein beliebiger externer Datenspeicher, wie beispielsweise ein gängiger USB-Stick, ausreichend. Gleich- zeitig wird die Sicherheit gegen Ausspionieren und unbefugtes Kopieren der Lizenzdaten vorteilhaft dadurch erhöht, dass die Lizenzdaten in verschlüsselter Form übertragen werden und somit nicht ohne weiteres lesbar sind. Mit den Lizenzdaten wird eine Schlüsselinformation von dem ersten an das zweite Feld- gerät übertragen, mit der das zweite Feldgerät' den Schlüssel zum Entschlüsseln der Lizenzdaten bestimmen kann. Gleichzeitig werden die Lizenzdaten auf dem ersten Feldgerät gelöscht, so dass dieses die Gerätefunktionen nicht mehr ausführen kann, da diese nunmehr gesperrt sind.An advantage of the method according to the invention is that the transfer of the license data from a first field device to a second field device requires little effort, ie no special hardware such as a . Dongle is necessary. It is rather any external data storage, such as a common USB stick, sufficient. At the same time, the security against spying and unauthorized copying of the license data is advantageously increased by virtue of the fact that the license data are transmitted in encrypted form and thus are not readily readable. With the license data, key information is transferred from the first to the second field. device with which the second field device ' can determine the key for decrypting the license data. At the same time, the license data is deleted on the first field device so that it can no longer perform the device functions, since these are now locked.

Einige vorteilhafte Weiterbildungen geben Möglichkeiten an, die Sicherheit gegen Ausspionieren und unbefugtes Kopieren der Lizenzdaten noch weiter zu erhöhen.Some advantageous further developments indicate possibilities to further increase the security against spying and unauthorized copying of the license data.

So ist gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens vorgesehen, dass vor dem Erzeugen der Schlüsselinformation in dem ersten Feldgerät das zweite Feldgerät eine Schlüsselbasisinformation erzeugt und diese in seinem internen Datenspeicher und in dem externen Datenspeicher speichert und das erste Feldgerät den Schlüssel unter Verwendung der Schlüsselinformation und der Schlüsselbasisinformation erzeugt. Auf diese Weise kann ein Schlüssel zum Verschlüsseln der Lizenzdaten verwendet werden, der lediglich den beiden Feldgeräten, zwischen denen die Lizenzdaten übertragen werden, bekannt ist.Thus, according to an advantageous embodiment of the method according to the invention, prior to generating the key information in the first field device, the second field device generates a key base information and stores it in its internal data memory and in the external data memory and the first field device stores the key using the key information and the key base information is generated. In this way, a key for encrypting the license data can be used, which is known only to the two field devices, between which the license data is transmitted.

Die Komplexität des Verfahrens und damit die Sicherheit gegen unbefugte Eingriffe kann alternativ dadurch noch weiter ge- steigert werden, dass vor dem Erzeugen der Schlüsselinformation in dem ersten Feldgerät das zweite Feldgerät eine Schlüsselbasisinformation erzeugt und diese in seinem internen Datenspeicher und in dem externen Datenspeicher speichert und das erste Feldgerät die Schlüsselinformation unter Ver- wendung der Schlüsselbasisinformation erzeugt.The complexity of the method and thus the security against tampering can alternatively be further increased by the fact that, prior to generating the key information in the first field device, the second field device generates a key base information and stores it in its internal data memory and in the external data memory the first field device generates the key information using the key base information.

Als vorteilhaft wird es zudem angesehen, wenn das zweite Feldgerät den Schlüssel unter Verwendung der mit dem externen Datenspeicher übertragenen Schlüsselinformation und der in dem internen Datenspeicher des zweiten Feldgerätes vorhandenen Schlüsselbasisinformation erzeugt.It is also considered advantageous if the second field device stores the key using the key information transmitted with the external data memory and the key information in generates key base information available to the internal data memory of the second field device.

Um die Lizenzdaten noch stärker gegen unbefugtes Eingreifen zu schützen, kann ferner vorgesehen sein, dass die Schlüsselbasisinformation von dem zweiten Feldgerät unter Verwendung einer ersten geheimen Information erzeugt wird, wobei die erste geheime Information in dem zweiten Feldgerät gespeichert wird, und die Schlüsselinformation und der Schlüssel von dem ersten Feldgerät unter Verwendung einer zweiten geheimen Information erzeugt werden, wobei die zweite geheime Information in dem ersten Feldgerät gespeichert wird. Als geheime Informationen können hierbei vorteilhafterweise Zufallszahlen verwendet werden, die in dem zweiten bzw. dem ersten Feldgerät erzeugt worden sind. Je nach gewünschtem Sicherheitsstandard können die erste und/oder zweite geheime Information in dem jeweiligen Feldgerät auch in besonders geschützten, beispielsweise von extern nicht auslesbaren, Datenspeichern gespeichert werden.In order to further protect the license data against unauthorized intervention, it may further be provided that the key base information is generated by the second field device using a first secret information, wherein the first secret information is stored in the second field device, and the key information and the key generated by the first field device using a second secret information, wherein the second secret information is stored in the first field device. As secret information advantageously random numbers can be used, which have been generated in the second and the first field device. Depending on the desired security standard, the first and / or second secret information in the respective field device can also be stored in specially protected, for example externally non-readable, data memories.

Um das erfindungsgemäße Verfahren außerdem auch dagegen zu sichern, dass die auf dem externen Datenspeicher vorhandenen Daten verändert werden, um auf diese Weise Kenntnis über den verwendeten Schlüssel zu erlangen und die Lizenzdaten auszu- spionieren, ist gemäß einer weiteren vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens vorgesehen, dass von dem jeweiligen Feldgerät auf dem externen Datenspeicher auch Prüfdaten gespeichert werden, die unter Verwendung der auf dem externen Datenspeicher zu speichernden Daten erzeugt worden sind.In order to additionally ensure the method according to the invention that the data present on the external data memory is changed in order to gain knowledge about the key used and to spy out the license data, it is provided according to a further advantageous embodiment of the method according to the invention, that the respective field device on the external data storage and test data are stored, which have been generated using the data to be stored on the external data memory.

Vorteilhafterweise ist in diesem Zusammenhang vorgesehen, dass beim Übertragen von Daten von dem externen Datenspeicher in den internen Datenspeicher des jeweiligen Feldgerätes die Prüfdaten jeweils daraufhin überprüft werden, ob sie zu den in dem externen Datenspeicher vorhandenen Daten passen und eine Weiterverarbeitung der in den internen Datenspeicher übertragenen Daten nur bei positivem Prüfergebnis erfolgt .Advantageously, it is provided in this context that when transferring data from the external data memory into the internal data memory of the respective field device, the Test data are respectively checked to see whether they match the data available in the external data memory and further processing of the data transferred to the internal data memory takes place only if the test result is positive.

Um die Prüfdaten gegen äußere Manipulation besonders gut zu schützen, kann gemäß einer weiteren vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens in diesem Zusammenhang vorgesehen sein, dass die Prüfdaten auch unter Ver- wendung von beiden Feldgeräten bekannten Codedaten erzeugt werden, wobei die Codedaten in dem jeweiligen Feldgerät gespeichert sind, und die Überprüfung der Prüfdaten unter Verwendung auch der Codedaten vorgenommen wird. Die Codedaten können beispielsweise in einem von extern nicht auslesbaren Datenspeicher des jeweiligen Feldgerätes gespeichert sein.In order to protect the test data particularly well against external manipulation, according to a further advantageous embodiment of the method according to the invention, it may be provided in this context that the test data are also generated using code data known to both field devices, the code data being stored in the respective field device are, and the verification of the test data using the code data is made. The code data can be stored, for example, in a data memory of the respective field device that can not be read out externally.

Um schließlich zu verhindern, dass auch bei gleichem Inhalt der übrigen auf dem externen Datenspeicher gespeicherten Daten mehrfach dieselben Prüfdaten verwendet werden, ist ferner gemäß einer vorteilhaften Ausführungsform in diesem Zusammenhang vorgesehen, dass die Prüfdaten auch unter Verwendung einer in dem jeweiligen Feldgerät als' Zufallszahl erzeugten Sicherheitszahl erzeugt werden, die Sicherheitszahl zusätzlich auf dem externen Datenspeicher gespeichert wird und die Überprüfung der Prüfdaten unter Verwendung auch der Sicherheitszahl vorgenommen wird.Finally, in order to prevent multiple same test data are also used in the same content of the remaining data stored on the external data memory data, it is further provided according to an advantageous embodiment in this connection that the test data a generated as a 'random number are also in use in the respective field device Safety number are generated, the safety number is additionally stored on the external data memory and the verification of the test data using the safety number is made.

Die oben genannte Aufgabe wird auch durch ein elektrisches Feldgerät mit einer Datenverarbeitungseinrichtung gelöst, die dazu eingerichtet ist, im Zusammenwirken mit einem weiteren elektrischen Feldgerät ein Verfahren gemäß einer der bisher beschriebenen Ausführungsformen durchzuführen. Zur näheren Erläuterung wird die Erfindung im Folgenden anhand von Ausführungsbeispielen näher erläutert . Hierzu zeigenThe above-mentioned object is also achieved by an electric field device having a data processing device which is set up to perform a method according to one of the previously described embodiments in cooperation with a further electric field device. For a more detailed explanation, the invention will be explained in more detail below with reference to exemplary embodiments. Show this

Figur 1 eine schematische Darstellung eines elektrischen Feldgerätes mit freischaltbaren Funktionen,1 shows a schematic representation of an electric field device with unlockable functions,

Figur 2 eine schematische Vorderansicht zweier elektrischer Feldgeräte, zwischen denen Lizenzdaten mittels eines externen Datenspeichers übertragen werden können,FIG. 2 shows a schematic front view of two electrical field devices, between which license data can be transmitted by means of an external data memory,

Figur 3 ein erstes Ausführungsbeispiel eines Verfahrens zum Freischalten von Funktionen eines elektrischen Feldgerätes,FIG. 3 shows a first exemplary embodiment of a method for activating functions of an electric field device,

Figur 4 ein zweites Ausführungsbeispiel eines Verfahrens zum Freischalten von Funktionen eines elektrischen Feldgerätes,FIG. 4 shows a second exemplary embodiment of a method for activating functions of an electric field device,

Figur 5 ein drittes Ausführungsbeispiel eines Verfahrens zum Freischalten von Funktionen eines elektrischen Feldgerätes,FIG. 5 shows a third exemplary embodiment of a method for activating functions of an electric field device,

Figur 6 ein viertes Ausführungsbeispiel eines Verfahrens zum Freischalten von Funktionen eines elektrischenFigure 6 shows a fourth embodiment of a method for unlocking functions of an electric

Feldgerätes,Field device,

Figur 7 eine schematische Darstellung eines externen Datenspeichers mit darauf gespeicherten Daten und Prüf- daten,FIG. 7 a schematic representation of an external data memory with data and test data stored thereon,

Figur 8 eine weitere schematische Darstellung eines externen Datenspeichers mit darauf gespeicherten Daten und Prüfdaten und Figur 9 eine dritte schematische Darstellung eines externen Datenspeichers mit darauf gespeicherten Daten und Prüfdaten.8 shows a further schematic representation of an external data memory with data and test data stored thereon and 9 shows a third schematic representation of an external data memory with data and test data stored thereon.

In Figur 1 ist sehr schematisch ein elektrisches Feldgerät 10 dargestellt. Das elektrische Feldgerät 10 weist eine Datenverarbeitungseinrichtung 11 auf, die eine nicht gezeigte Recheneinrichtung wie einen Mikroprozessor sowie ebenfalls nicht gezeigte Datenspeicher umfasst. Über eine Schnittstelle 12 besitzt die Datenverarbeitungseinrichtung 11 die Möglichkeit, Daten mit externen Geräten, wie beispielsweise externen Datenspeichern, auszutauschen.FIG. 1 very schematically shows an electric field device 10. The electric field device 10 has a data processing device 11, which includes a computing device, not shown, such as a microprocessor and also not shown data memory. Via an interface 12, the data processing device 11 has the possibility of exchanging data with external devices, such as external data memories.

Das elektrische Feldgerät 10 ist in nicht dargestellter Weise mit einem automatisierten Prozess verbunden, von dem es beispielsweise über Messeingänge Daten erfassen kann und an den es über Steuerausgänge Befehle abgibt, die beispielsweise einen elektrischen Leistungsschalter eines elektrischen Ener- gieversorgungsnetzes zum Öffnen oder Schließen seiner Schaltkontakte veranlassen. In wiederum nicht dargestellter Weise besitzt kann das Feldgerät 10 weiterhin die Möglichkeit besitzen, eine Kommunikationsverbindung mit anderen elektrischen Feldgeräten oder hierarchisch übergeordneten Steuerge- raten, wie beispielsweise einer Stations- oder Netzleitstelle aufzubauen. Eine solche Kommunikationsverbindung kann beispielsweise über drahtgebundene Kommunikationsbusse erfolgen.The electric field device 10 is connected in a manner not shown with an automated process from which it can, for example, via measurement inputs data and to which it outputs via control outputs commands that cause, for example, an electrical circuit breaker of an electrical energy supply network to open or close its switch contacts , In a manner not shown again, the field device 10 may furthermore have the possibility of establishing a communication connection with other electrical field devices or hierarchically higher-level control devices, such as, for example, a station or network control center. Such a communication connection can take place, for example, via wired communication buses.

Das elektrische Feldgerät 10 ist dazu geeignet, über eine Ge- rätesoftware vorgegebene Funktionen durchzuführen. Lediglich zur Veranschaulichung dieses Sachverhaltes ist in Figur 1 schematisch ein Funktionsumfang 13 des elektrischen Feldgerätes 10 verbildlicht, der sieben beispielhafte Einzelfunktionen 14a bis 14g umfassen soll. Selbstverständlich ist die An- zahl der möglichen Funktionen des elektrischen Feldgerätes 10 nicht auf sieben Funktionen festgelegt; es können vielmehr beliebig viele Funktionen in dem Funktionsumfang 13 des elektrischen Feldgerätes 10 vorhanden sein.The electric field device 10 is suitable for carrying out predetermined functions via a device software. In order to illustrate this situation, FIG. 1 schematically illustrates a functional scope 13 of the electric field device 10 which is intended to comprise seven exemplary individual functions 14a to 14g. Of course, the number of possible functions of the electric field device 10 not set to seven functions; Rather, any number of functions in the functional scope 13 of the electric field device 10 can be present.

Um möglichst wenig einzelne Feldgerätereihen mit jeweils unterschiedlichem Funktionsumfang vorhalten zu müssen, sind Feldgerätehersteller in jüngster Zeit - wie eingangs bereits erläutert - vermehrt dazu übergegangen, Feldgeräte anzubie- ten, die bezüglich ihrer Hardware- und Softwareausstattung den kompletten Funktionsumfang eines Universalfeldgerätes umfassen. Um dennoch dem Kunden auf seine speziellen Anwen- dungsfälle zugeschnittene Feldgeräte zur Verfügung stellen zu können, können die in der Gerätesoftware vorhandenen Funktio- nen je nach Einsatzbereich des elektrischen Feldgerätes freigeschaltet oder gesperrt werden. Aus der Kombination der jeweils freigeschalteten Funktionen des elektrischen Feldgerätes ergibt sich dann ein speziell auf die Anforderungen des Kunden zugeschnittenes elektrisches Feldgerät, in dem die nicht benötigten Funktionen entsprechend gesperrt sind. Beim Verkauf solcher Feldgeräte wird üblicherweise der Gerätepreis in Abhängigkeit von der Anzahl und Komplexität der freigeschalteten Gerätefunktionen bestimmt.In order to be able to maintain as few individual field device rows as possible with different functional scope, field device manufacturers have recently - as already explained - increasingly offered to offer field devices which include the complete functional scope of a universal field device with respect to their hardware and software equipment. In order nevertheless to be able to provide the customer with field devices tailored to his specific applications, the functions available in the device software can be enabled or disabled depending on the field of application of the electric field device. From the combination of the respective enabled functions of the electric field device then results in a specially tailored to the requirements of the customer electric field device in which the unneeded functions are locked accordingly. When selling such field devices, the device price is usually determined as a function of the number and complexity of the enabled device functions.

Die Festlegung, welche der Gerätefunktionen gesperrt und welche freigeschaltet sind, wird über in dem elektrischen Feldgerät in einem von außen nicht auslesbaren Speicherbereich vorliegende Lizenzdaten bestimmt. So enthält beispielsweise das in Figur 1 gezeigte Feldgerät 10 Lizenzdaten 15, auf die nur die Datenverarbeitungseinrichtung 11 des Feldgerätes 10 zugreifen kann. Anhand der Lizenzdaten 15 legt die Datenverarbeitungseinrichtung 11 fest, welche der Gerätefunktionen 14a bis 14g aus dem Funktionsumfang 13 des elektrischen Feldgerätes 10 freigeschaltet sein sollen. In dem Beispiel gemäß Figur 1 sind die Gerätefunktionen 14b, 14c und 14f freigeschaltet, was durch ein geöffnetes Schloss angedeutet ist, während die übrigen Gerätefunktionen 14a, 14d, 14e und 14g gesperrt sind, was durch ein geschlossenes Schloss angedeutet ist. Handelt es sich bei dem Feldgerät 10 beispielsweise um ein elektrisches Schutzgerät zur Überwachung von elektrischen Energieversorgungsleitungen, so kann es sich bei den freigeschalteten Funktionen beispielsweise um eine Funktion zur Ausführung eines Distanzschutzalgorithmus, um eine Funktion zur automatischen Wiedereinschaltung eines Leistungsschalters nach einem auftretenden Fehler und um eine Funktion zur Ortung eines Fehlers handeln, während es sich bei den gesperrten Gerätefunktionen beispielsweise um eine Funktion zur Ausführung eines Differentialschutzalgorithmus, eine Überstrom- Zeit-Schutzfunktion, eine Motorschutzfunktion und eine Trans- formatorschutzfunktion handeln kann. Auf diese Weise wird durch Verwendung der Lizenzdaten ein universelles Schutzgerät mit einer Vielzahl möglicher Schutzfunktionen an den Schutzumfang eines Distanzschutzgerätes angepasst. Ein solches Dis- tanzschutzgerät kann aufgrund seines geringeren Funktionsumfangs vergleichsweise günstiger verkauft werden als ein elektrisches Schutzgerät, bei dem sämtliche Schutzfunktionen freigeschaltet sind.The definition of which of the device functions is disabled and which are enabled is determined via license data present in the electric field device in a memory area that can not be read from the outside. For example, the field device 10 shown in FIG. 1 contains license data 15, which only the data processing device 11 of the field device 10 can access. On the basis of the license data 15, the data processing device 11 determines which of the device functions 14a to 14g should be released from the functional scope 13 of the electric field device 10. In the example according to Figure 1, the device functions 14b, 14c and 14f unlocked, which is indicated by an open lock, while the other device functions 14a, 14d, 14e and 14g are locked, which is indicated by a closed lock. If the field device 10 is, for example, an electrical protection device for monitoring electrical power supply lines, then the enabled functions may be, for example, a function for executing a distance protection algorithm, a function for automatic reclosing of a circuit breaker after an occurring fault, and a fault Function to locate a fault, while the disabled device functions may be, for example, a function to perform a differential protection algorithm, an overcurrent time protection function, a motor protection function, and a transformer protection function. In this way, by using the license data, a universal protection device with a variety of possible protection functions is adapted to the scope of protection of a distance protection device. Due to its smaller range of functions, such a dance protection device can be sold comparatively cheaper than an electrical protection device in which all protective functions are enabled.

Häufig werden elektrische Feldgeräte in Gegenden eingesetzt, in denen keine Kommunikationsverbindung zwischen dem Betreiber des elektrischen Feldgerätes und dem Hersteller des elektrischen Feldgerätes gewährleistet werden kann. Tritt bei einem Feldgerät in einer solchen Gegend nun ein Defekt auf, so dass das Feldgerät ausgetauscht werden muss, so ist sicherzustellen, dass in kürzest möglicher Zeit, ein Ersatzfeldgerät mit demselben Funktionsumfang bereitgestellt werden kann. Die Bereitstellung eines entsprechenden Feldgerätes ist dadurch vereinfacht, dass auch das Ersatzfeldgerät durch seine Hardware- und Softwareausstattung bereits die Möglichkeit besitzt, alle Gerätefunktionen eines Feldgerätes durchzuführen. Allerdings sind diese Gerätefunktionen im Rohzustand des Feldgerätes noch gesperrt. Zur Freischaltung müssen entsprechende Lizenzdaten an das Ersatzfeldgerät übermittelt werden, um der Datenverarbeitungseinrichtung des Ersatzfeldgerätes mitzuteilen, welche Gerätefunktionen freizuschalten sind. Da in den angesprochenen Gegenden keine Kommunikations- Verbindung zwischen dem Betreiber des elektrischen Feldgerä- tes und dem Hersteller des elektrischen Feldgerätes, der solche Lizenzdaten bereitstellen könnte, zur Verfügung steht, bietet es sich an, die notwendigen Lizenzdaten von dem defekten elektrischen Feldgerät an das Ersatzfeldgerät zu übertragen.Frequently, electric field devices are used in areas in which no communication connection between the operator of the electric field device and the manufacturer of the electric field device can be ensured. If a defect occurs in a field device in such a region, so that the field device must be replaced, it must be ensured that a replacement field device with the same functional scope can be provided in the shortest possible time. The provision of a corresponding field device is simplified by the fact that the replacement field device by its hardware and software equipment already has the ability to perform all device functions of a field device. However, these device functions are still locked in the raw state of the field device. For activation, corresponding license data must be transmitted to the replacement field device in order to inform the data processing device of the replacement field device which device functions are to be unlocked. Since no communication connection between the operator of the electric field device and the manufacturer of the electric field device who could provide such license data is available in the addressed areas, it makes sense to provide the necessary license data from the defective electric field device to the replacement field device transferred to.

In diesem Zusammenhang zeigt Figur 2 ein erstes Feldgerät 20 und ein zweites Feldgerät 21, wobei angenommen werden soll, dass das erste Feldgerät 20 einen Defekt aufweist, so dass es durch das zweite Feldgerät 21 als Ersatzfeldgerät ausge- tauscht werden muss. Wie bereits erwähnt, weist das zweite Feldgerät 21 grundsätzlich dieselbe Hard- und Software-Ausstattung wie das erste Feldgerät 20 auf. Allein die Gerätefunktionen des zweiten Feldgerätes 21 müssen entsprechend der in dem Feldgerät 20 vorhandenen Gerätefunktionen freigeschal- tet werden.In this context, FIG. 2 shows a first field device 20 and a second field device 21, wherein it should be assumed that the first field device 20 has a defect, so that it has to be replaced by the second field device 21 as a replacement field device. As already mentioned, the second field device 21 basically has the same hardware and software equipment as the first field device 20. The device functions of the second field device 21 alone must be enabled according to the device functions present in the field device 20.

Ein Defekt in dem ersten Feldgerät 20 wird üblicherweise nicht sämtliche Funktionen, insbesondere nicht eine eingeschränkte Basisfunktionalität, betreffen, so dass für die Da- tenverarbeitungseinrichtung des ersten Feldgerätes 20 immer noch die Möglichkeit besteht, die Lizenzdaten aus dem nicht auslesbaren Speicherbereich auszulesen und auf einen externen Datenspeicher 22, beispielsweise einen USB-Stick, zu übertragen. Anstelle eines USB-Sticks können auch beliebige andere externe Datenspeicher, wie beispielsweise Disketten, optische Speichermedien, Flash-Speicherkarten und externe Festplatten verwendet werden. Hierzu muss das erste Feldgerät eine entsprechende Schnittstelle 23, z.B. eine USB-Schnittstelle, aufweisen. Von dem externen Datenspeicher 22 können die Lizenzdaten daraufhin an das zweite Feldgerät 21 übertragen werden. Dieses weist eine entsprechende Schnittstelle 24 auf. Im Rohzustand des zweiten Feldgerätes - also bei noch nicht freigeschalteten Funktionen - ist ebenfalls bereits eine Ba- sisfunktionalität gewährleistet, so dass ein Übertragen der Lizenzdaten in einen nicht auslesbaren Datenspeicher des zweiten elektrischen Feldgerätes 21 möglich ist und entsprechend der somit übernommenen Lizenzdaten eine Freischaltung der jeweiligen Gerätefunktionen erfolgen kann.A defect in the first field device 20 will usually not affect all functions, in particular not a limited basic functionality, so that the data processing device of the first field device 20 still has the possibility to read the license data from the non-readable memory area and to an external one Data storage 22, such as a USB stick to transfer. Instead of a USB stick can also any other external data storage such as floppy disks, optical storage media, flash memory cards, and external hard drives are used. For this purpose, the first field device must have a corresponding interface 23, for example a USB interface. From the external data memory 22, the license data can then be transmitted to the second field device 21. This has a corresponding interface 24. In the raw state of the second field device-that is to say for functions not yet enabled-a base functionality is likewise already ensured, so that a transfer of the license data into a non-readable data memory of the second electric field device 21 is possible and, according to the thus acquired license data, an activation of the respective one Device functions can be done.

Da bei einem Übertragen der Lizenzdaten von dem ersten Feldgerät 20 an das zweite Feldgerät 21 die Lizenzdaten zwischenzeitlich ungeschützt auf dem externen Datenspeicher 22 vorliegen, muss hierbei die Sicherheit gewährleistet werden, dass die Lizenzdaten nicht ausspioniert werden können oder von dem externen Datenspeicher nicht unbefugt kopiert, verändert und an weitere im Rohzustand befindliche Feldgeräte übertragen werden können, um so unbefugt eine große Anzahl elektrischer Feldgeräte mit entsprechend freigeschalteten Ge- rätefunktionen zu erzeugen. Einige Ausführungsbeispiele von Verfahren, hierbei die notwendige Sicherheit zu gewährleisten, werden anhand der nachfolgenden Figuren 3 bis 6 näher erläutert .Since during a transfer of the license data from the first field device 20 to the second field device 21, the license data are temporarily unprotected on the external data memory 22, the security must be ensured here that the license data can not be spied on or copied from the external data storage without authorization, changed and can be transmitted to other field devices located in the raw state, so as to produce without authorization a large number of electrical field devices with correspondingly enabled device functions. Some embodiments of methods to ensure the necessary security, are explained in more detail with reference to the following figures 3 to 6.

Ein erstes Ausführungsbeispiel eines solchen Verfahrens zumA first embodiment of such a method for

Übertragen von Lizenzdaten von dem ersten elektrischen Feldgerät an ein zweites elektrisches Feldgerät zum Freischalten der Funktionen des zweiten Feldgerätes wird unter Bezugnahme auf Figur 3 erläutert. Figur 3 zeigt höchst schematisch ein erstes elektrisches Feldgerät 40, ein. zweites elektrisches Feldgerät 41 sowie einen zum Übertragen der Lizenzdaten von dem ersten Feldgerät 40 an das zweite Feldgerät 41 verwendeten externen Datenspeicher 42 in Form eines USB-Sticks. Das erste Feldgerät 40 besitzt zu Beginn gültige Lizenzdaten, die den Umfang seiner freigeschalteten Funktionen bestimmen. Das zweite Feldgerät ist zunächst nicht im Besitz der notwendigen Lizenzdaten. Die Lizenzdaten aus dem ersten Feldgerät 40 sollen an das zweite Feldgerät 41 übertragen werden, um dort zur Freischaltung von Funktionen verwendet zu werden.Transfer of license data from the first electric field device to a second electric field device for enabling the functions of the second field device will be explained with reference to FIG. FIG. 3 shows a highly schematic one first electric field device 40, a . second electric field device 41 and an external data memory 42 in the form of a USB stick used for transmitting the license data from the first field device 40 to the second field device 41. The first field device 40 initially has valid license data that determine the scope of its enabled functions. The second field device is initially not in possession of the necessary license data. The license data from the first field device 40 are to be transmitted to the second field device 41 in order to be used there for the activation of functions.

Das Verfahren zum sicheren Übertragen der Lizenzdaten läuft wie folgt ab: In dem ersten Feldgerät 40 wird in einem Schritt 33a eine Schlüsselinformation KI erzeugt. Unter Ver- wendung dieser Schlüsselinformation KI erzeugt die Datenverarbeitungseinrichtung des ersten Feldgerätes 40 in einem nächsten Schritt 33b einen Schlüssel, der zum Verschlüsseln digitaler Daten unter Verwendung an sich bekannter Verschlüsselungsverfahren eingesetzt werden kann. Zum Erzeugen des Schlüssels aus der Schlüsselinformation KI können beliebige Algorithmen eingesetzt werden. Handelt es sich bei der Schlüsselinformation KI beispielsweise um eine beliebige Zahl, so kann der Schlüssel hieraus nach einem vorgegebenen Algorithmus, beispielsweise einer Quersummenbildung, erzeugt werden. Die Schlüsselinformation KI kann alternativ beispielsweise auch eine laufende Nummer in einer zusätzlich in dem elektrischen Feldgerät 40 gespeicherten Schlüsseltabelle angeben, anhand der die Datenverarbeitungseinrichtung des ersten Feldgerätes 40 einen bestimmten Schlüssel aus der Schlüsseltabelle auswählt.The method for securely transmitting the license data proceeds as follows: In the first field device 40, a key information KI is generated in a step 33a. Using this key information KI, the data processing device of the first field device 40 generates in a next step 33b a key that can be used to encrypt digital data using encryption methods known per se. Any algorithms can be used to generate the key from the key information KI. If the key information KI is, for example, an arbitrary number, then the key can be generated therefrom according to a predetermined algorithm, for example a cross-sum. The key information KI may alternatively also indicate, for example, a sequence number in a key table additionally stored in the electric field device 40, on the basis of which the data processing device of the first field device 40 selects a specific key from the key table.

In einem weiteren Schritt 33c werden die zuvor in einem nicht auslesbaren Speicherbereich 34 des ersten Feldgerätes 40 gespeicherten Lizenzdaten LI unter Verwendung des zuvor erzeug- ten Schlüssels verschlüsselt, so dass nunmehr verschlüsselte Lizenzdaten vorliegen. Die verschlüsselten Lizenzdaten sowie zumindest ein Teil der im Schritt 33a erzeugten Schlüsselinformation KI werden, wie durch einen Pfeil 36 angegeben, auf den externen Datenspeicher 42 übertragen. Außerdem werden die Lizenzdaten LI aus dem nicht auslesbaren Speicherbereich 34 des ersten Feldgerätes 40 gelöscht, so dass in diesem keine Lizenzdaten mehr vorliegen und die Datenverarbeitungseinrichtung des ersten Feldgerätes 40 nunmehr alle Gerätefunktionen sperrt.In a further step 33c, the license data LI previously stored in a non-readable memory area 34 of the first field device 40 are stored using the previously generated license data LI. key encrypted so that now encrypted license data is available. The encrypted license data as well as at least part of the key information KI generated in step 33a are transferred to the external data memory 42 as indicated by an arrow 36. In addition, the license data LI are deleted from the non-readable memory area 34 of the first field device 40, so that there are no more license data in this and the data processing device of the first field device 40 now blocks all device functions.

Die verschlüsselten Lizenzdaten und die Schlüsselinformation KI liegen nunmehr auf dem externen Datenspeicher 42 vor. Eine Entschlüsselung der Lizenzdaten ist jedoch außerhalb eines entsprechenden Feldgerätes nicht möglich, da der Algorithmus unbekannt ist, wie aus der Schlüsselinformation KI der zum Entschlüsseln der Lizenzdaten zu verwendende Schlüssel erzeugt werden kann.The encrypted license data and the key information KI are now present on the external data memory 42. However, a decryption of the license data is not possible outside of a corresponding field device, since the algorithm is unknown, as from the key information KI the key to be used to decrypt the license data can be generated.

Der externe Datenspeicher 42 wird nun von dem ersten Feldgerät 40 getrennt und mit einer Schnittstelle des zweiten Feldgerätes 41 verbunden. In einem durch einen weiteren Pfeil 37 angegebenen folgenden Schritt werden die verschlüsselten Lizenzdaten und der auf dem externen Datenspeicher vorhandene Teil der Schlüsselinformation KI an das zweite Feldgerät 41 übertragen.The external data memory 42 is now disconnected from the first field device 40 and connected to an interface of the second field device 41. In a following step indicated by a further arrow 37, the encrypted license data and the part of the key information KI present on the external data memory are transmitted to the second field device 41.

Die Datenverarbeitungseinrichtung des zweiten Feldgerätes 41 erzeugt aus der Schlüsselinformation KI in einem folgenden Schritt 38a den zum Entschlüsseln der verschlüsselten Lizenzdaten notwendigen Schlüssel. Hierzu muss auch dem zweiten Feldgerät 41 der Algorithmus bekannt sein, wie aus der Schlüsselinformation KI der Schlüssel abzuleiten ist. In einem nächsten Schritt 38b werden die verschlüsselten Lizenz- daten unter Verwendung des in dem zweiten Feldgerät 41 erzeugten Schlüssels entschlüsselt und die solchermaßen entschlüsselten Lizenzdaten in einem von außen nicht auslesbaren Speicherbereich 39 abgespeichert. Da nunmehr in dem zweiten Feldgerät 41 Lizenzdaten vorliegen, kann die Datenverarbeitungseinrichtung anhand dieser Lizenzdaten die Gerätefunktionen des zweiten Feldgerätes 41 freischalten. Da es sich um dieselben Lizenzdaten handelt, die zuvor im ersten Feldgerät 40 gespeichert waren, werden auch dieselben Gerätefunktionen freigeschaltet, die zuvor bei dem ersten Feldgerät 40 freigeschaltet waren. Auf diese Weise wird durch das zweite Feldgerät 41 folglich ein Ersatzfeldgerät bereitgestellt, dass denselben Funktionsumfang bietet wie das ausgetauschte erste Feldgerät 40.The data processing device of the second field device 41 generates the key necessary for decrypting the encrypted license data from the key information KI in a following step 38a. For this purpose, the second field device 41 must also know the algorithm of how to derive the key from the key information KI. In a next step 38b, the encrypted license data is decrypted using the key generated in the second field device 41, and the thus decrypted license data is stored in a memory area 39 that can not be read out from the outside. Since license data are now available in the second field device 41, the data processing device can use this license data to enable the device functions of the second field device 41. Since it is the same license data that was previously stored in the first field device 40, the same device functions that were previously enabled in the first field device 40 are also released. In this way, a replacement field device is thus provided by the second field device 41, which offers the same functional scope as the exchanged first field device 40.

Das eben erläuterte Verfahren ermöglicht es, die Lizenzdaten in verschlüsselter Form von dem ersten Feldgerät 40 zu dem zweiten Feldgerät 41 zu übertragen, so dass ein Ausspionieren der Lizenzdaten durch äußeren Zugriff auf den externen Daten- Speicher 42 unterbunden wird. Da allerdings jedes empfangendeThe method just described makes it possible to transmit the license data in encrypted form from the first field device 40 to the second field device 41, so that spying on the license data by external access to the external data memory 42 is prevented. However, since each receiving

Feldgerät den Algorithmus kennen muss, wie aus der Schlüssel- Information KI der Schlüssel zum Entschlüsseln der Lizenzdaten erzeugt wird, ist durch dieses Verfahren noch nicht vollständig unterbunden, dass unter Verwendung der Schlüsselin- formation und der verschlüsselten Lizenzdaten in unerlaubter Weise auch andere Feldgeräte als das zweite Feldgerät 41 auf den entsprechenden Funktionsumfang erweitert werden.Field device must know the algorithm, as the key for decrypting the license data is generated from the key information KI, is not completely prevented by this method that using the key information and the encrypted license data inadmissible other field devices than that second field device 41 are extended to the appropriate range of functions.

Aus diesem Grund wird mit einem weiteren Ausführungsbeispiel, das nachfolgend unter Bezugnahme auf Figur 4 erläutert werden soll, eine Möglichkeit angegeben, wie einzig die beiden Feldgeräte, zwischen denen die Lizenzdaten übertragen werden, den Schlüssel zum Entschlüsseln der Lizenzdaten kennen. In Figur 4 sind hierzu wiederum ein erstes Feldgerät 40, ein zweites Feldgerät 41 und ein externer Datenspeicher 42 gezeigt.For this reason, with a further exemplary embodiment, which will be explained below with reference to FIG. 4, a possibility is indicated of how only the two field devices, between which the license data are transmitted, know the key for decrypting the license data. In FIG 4, a first field device 40, a second field device 41 and an external data memory 42 are again shown.

In einem ersten Schritt 43a wird zunächst mittels der Daten- Verarbeitungseinrichtung des zweiten elektrischen Feldgerätes 41 eine Schlüsselbasisinformation BI erzeugt. Diese Schlüsselbasisinformation BI wird, wie durch einen Pfeil 44a angegeben, auf dem externen Datenspeicher 42 gespeichert. Der externe Datenspeicher 42 wird nun von dem zweiten Feldgerät 41 getrennt und mit dem ersten Feldgerät 40 verbunden. Wie durch einen Pfeil 44b angezeigt, wird die Schlüsselbasisinformation BI daraufhin in den internen Speicher des ersten Feldgerätes 40 übertragen. Die Datenverarbeitungseinrichtung des ersten Feldgerätes 40 erzeugt nunmehr in einem weiteren Schritt 45a, wie bereits zu Figur 3 erläutert, eine Schlüsselinformation KI. In einem nachfolgenden Schritt 45b wird der Schlüssel unter Verwendung dieser Schlüsselinformation und der im zweiten Feldgerät 41 erzeugten Schlüsselbasisinformation BI erzeugt. Der Algorithmus zur Erzeugung des Schlüssels in Schritt 45b verwendet folglich sowohl die Schlüsselinformation KI als auch die Schlüsselbasisinformation BI, so dass der Schlüssel also eine Funktion sowohl der Schlüsselinformation KI als auch der Schlüsselbasisinformation BI ist. Beispielsweise kann hier vorgesehen sein, dass zum Erzeugen des Schlüssels die Quersumme der Schlüsselinformation KI gebildet wird und anschließend diese Quersumme mit der Schlüsselbasisinformation potenziert wird. Beliebige andere Verknüpfungen sind ebenso denkbar.In a first step 43a, a key base information BI is first generated by means of the data processing device of the second electric field device 41. This key base information BI is stored on the external data memory 42 as indicated by an arrow 44a. The external data memory 42 is now separated from the second field device 41 and connected to the first field device 40. As indicated by an arrow 44b, the key base information BI is then transferred to the internal memory of the first field device 40. The data processing device of the first field device 40 now generates a key information item KI in a further step 45a, as already explained with reference to FIG. In a subsequent step 45b, the key is generated using this key information and the key base information BI generated in the second field device 41. The algorithm for generating the key in step 45b consequently uses both the key information KI and the key base information BI, so that the key is thus a function of both the key information KI and the key base information BI. For example, it can be provided here that the cross sum of the key information KI is formed to generate the key, and then this checksum is exponentiated with the key base information. Any other links are also conceivable.

Unter Verwendung des so erzeugten Schlüssels werden in einem weiteren Schritt 45c die zuvor in einem nicht auslesbaren Speicherbereich 46 des ersten Feldgerätes 40 gespeicherten Lizenzdaten LI verschlüsselt. Die verschlüsselten Lizenzdaten und zumindest ein Teil der Schlüsselinformation KI werden auf den externen Datenspeicher 42 übertragen, wie durch Pfeil 47a angedeutet ist. Durch Trennen des externen Datenspeichers 42a von dem ersten Feldgerät 40 und erneutem Verbinden mit dem zweiten Feldgerät 41 werden, wie durch einen Pfeil 47b ange- deutet, die verschlüsselten Lizenzdaten und der vorliegende Teil der Schlüsselinformation KI an das zweite Feldgerät 41 übertragen. Die Lizenzdaten werden daraufhin aus dem ersten Feldgerät 30 gelöscht.Using the key thus generated, the license data LI previously stored in a non-readable memory area 46 of the first field device 40 are encrypted in a further step 45c. The encrypted license data and at least a part of the key information KI become transmit the external data memory 42, as indicated by arrow 47a. By separating the external data memory 42a from the first field device 40 and reconnecting it to the second field device 41, the encrypted license data and the present part of the key information KI are transmitted to the second field device 41, as indicated by an arrow 47b. The license data is then deleted from the first field device 30.

In einem nun folgenden Schritt 48 wird unter Verwendung des vorliegenden Teils der Schlüsselinformation KI und der ohnehin in dem zweiten Feldgerät 41 vorliegenden Schlüsselbasisinformation BI der Schlüssel zum Entschlüsseln, der Lizenzdaten erzeugt. In einem weiteren Schritt 48b werden die ver- schlüsselten Lizenzdaten unter Verwendung dieses Schlüssels entschlüsselt und in einem nicht auslesbaren Speicherbereich 49 des zweiten Feldgerätes 41 gespeichert.In a following step 48, the key for decrypting the license data is generated using the present part of the key information KI and the key base information BI already present in the second field device 41. In a further step 48b, the encrypted license data is decrypted using this key and stored in a non-readable memory area 49 of the second field device 41.

Da die Lizenzdaten nunmehr in das zweite Feldgerät 41 über- tragen worden sind, können die Funktionen des zweiten Feldgerätes 41 entsprechend der Lizenzdaten freigeschaltet werden.Since the license data has now been transferred to the second field device 41, the functions of the second field device 41 can be released in accordance with the license data.

Bei dem im Zusammenhang mit Figur 4 beschriebenen Verfahren besteht der besondere Vorteil darin, dass sich durch die zu- nächst erfolgende Übertragung der SchlüsselbasisinformationIn the method described in connection with FIG. 4, the particular advantage resides in the fact that the key base information is transmitted first

BI von dem zweiten Feldgerät 41 an das erste Feldgerät 40 die beiden Feldgeräte sozusagen auf einen zu verwendenden Schlüssel einigen, da der Schlüssel jeweils unter Verwendung von Informationen erzeugt wird, die teils in dem ersten Feldgerät 40, teils in dem zweiten Feldgerät 41 erzeugt worden sind.BI from the second field device 41 to the first field device 40, so to speak agree the two field devices to a key to be used, since the key is generated in each case using information that has been generated partly in the first field device 40, partly in the second field device 41 ,

Die verschlüsselten Lizenzdaten und die Schlüsselinformation KI können daher nicht an beliebig viele weitere Feldgeräte übertragen werden, da in diesen weiteren Feldgeräten die Schlüsselbasisinformation BI, die zur Erzeugung des Schlüs- sels zum Entschlüsseln der Lizenzdaten notwendig ist, nicht vorliegt .The encrypted license data and the key information KI can therefore not be transmitted to any number of further field devices, because in these other field devices the key base information BI, which is used to generate the key It is not necessary to decrypt the license data.

Figur 5 zeigt ein alternatives Ausführüngsbeispiel eines Ver- fahrens, bei dem durch Übertragen der Lizenzdaten von einem ersten Feldgerät an ein zweites Feldgerät Funktionen des zweiten Feldgerätes freigeschaltet werden. Das Verfahren gemäß Figur 5 entspricht weitestgehend dem bereits zu Figur 4 erläuterten Verfahren, weshalb gleiche Bezugszeichen in den Figuren 4 und 5 zur Bezeichnung sich entsprechender Verfahrensschritte und Komponenten verwendet worden sind.FIG. 5 shows an alternative embodiment of a method in which functions of the second field device are released by transferring the license data from a first field device to a second field device. The method according to FIG. 5 largely corresponds to the method already explained for FIG. 4, for which reason the same reference numerals have been used in FIGS. 4 and 5 to designate corresponding method steps and components.

Das Verfahren gemäß Figur 5 unterscheidet sich von dem Verfahren gemäß Figur 4 lediglich darin, dass die Schlüsselin- formation KI in dem ersten Feldgerät 40 unter Verwendung der Schlüsselbasisinformation BI, die in dem zweiten Feldgerät 41 erzeugt worden ist, generiert wird, und der Schlüssel nur unter Verwendung der Schlüsselinformation KI (also nicht der Schlüsselbasisinformation BI) erzeugt wird. Da die Schlüssel- information KI allerdings auch von der Schlüsselbasisinformation BI abhängig ist, geht indirekt auch die Schlüsselbasisinformation in die Schlüsselbildung mit ein. Da die Schlüsselinformation KI von der Schlüsselbasisinformation BI abhängt, kann der Schlüssel im zweiten Feldgerät 41 daher bei Kenntnis der Schlüsselinformation KI und der Schlüsselbasisinformation BI abgeleitet werden. Die weiteren Verfahrensschritte entsprechen denen des zu Figur 4 erläuterten Verfahrens, so dass an dieser Stelle auf die Erläuterung der Figur 4 verwiesen wird.The method according to FIG. 5 differs from the method according to FIG. 4 only in that the key information KI is generated in the first field device 40 using the key base information BI that has been generated in the second field device 41, and the key only is generated using the key information KI (ie not the key base information BI). However, since the key information KI also depends on the key base information BI, the key base information also indirectly enters into the key formation. Since the key information KI depends on the key base information BI, the key in the second field device 41 can therefore be derived with knowledge of the key information KI and the key base information BI. The further method steps correspond to those of the method explained for FIG. 4, so that reference is made to the explanation of FIG. 4 at this point.

In Figur 6 ist schließlich ein weiteres Ausführungsbeispiel gezeigt, bei dem durch zusätzliche Verfahrensschritte die Sicherheit gegen Ausspionieren und unbefugtes Kopieren der Lizenzdaten noch weiter erhöht wird. Da das Verfahren gemäß Fi- gur 6 in weiten Teilen dem Verfahren gemäß Figur 5 entspricht, wurden wiederum einander entsprechende Verfahrens- schritte und Komponenten in den Figuren 5 und 6 mit denselben Bezugszeichen bezeichnet.Finally, FIG. 6 shows a further exemplary embodiment in which the security against spying and unauthorized copying of the license data is increased even further by additional method steps. Since the method according to 6 largely corresponds to the method according to FIG. 5, again corresponding method steps and components in FIGS. 5 and 6 have been designated by the same reference numerals.

Zunächst wird in einem Schritt 60 eine erste geheime Information RNl, beispielsweise eine Zufallszahl, erzeugt. In einem darauf folgenden Schritt 61 wird die Schlüsselbasisinformation BI nunmehr unter Verwendung dieser ersten geheimen In- formation RNl erzeugt . In dem ersten elektrischen Feldgerät 40 wird in einem Schritt 62 eine zweite geheime Information RN2 , beispielsweise eine zweite Zufallszahl, erzeugt. Unter Verwendung der zweiten geheimen Information RN2. wird in einem darauf folgenden Schritt 63 die Schlüsselinformation KI gene- riert, wobei die Schlüsselinformation KI auch unter Verwendung der Schlüsselbasisinformation BI erzeugt wird. Die geheimen Informationen RNl ist ausschließlich dem zweiten Feldgerät 41 und die zweite geheime Information RN2 ausschließlich dem ersten Feldgerät 40 bekannt. Sie werden bevorzugt von außen nicht ohne Weiteres auslesbar in einem gesicherten Speicherbereich des jeweiligen Feldgerätes gespeichert. Je nach erforderlichem Sicherheitsstandard können die geheimen Informationen RNl und RN2 aber auch in normalen Speicherbereichen ohne Zugriffsschutz gespeichert werden.First, in a step 60, a first secret information RNl, for example a random number, is generated. In a subsequent step 61, the key base information BI is now generated using this first secret information RN1. In the first electric field device 40, a second secret information RN2, for example a second random number, is generated in a step 62. Using the second secret information RN2. In a subsequent step 63, the key information KI is generated, wherein the key information KI is also generated using the key base information BI. The secret information RNl is known only to the second field device 41 and the second secret information RN2 to the first field device 40 only. They are preferably not readily readable from the outside stored in a secure memory area of the respective field device. Depending on the required security standard, however, the secret information RN1 and RN2 can also be stored in normal memory areas without access protection.

In dem ersten Feldgerät 40 wird in einem Schritt 64 unter Verwendung der von der Schlüsselbasisinformation BI abhängenden Schlüsselinformation KI und der zweiten geheimen Information RN2 der Schlüssel zum Verschlüsseln der Lizenzdaten LI generiert. Die verschlüsselten Lizenzdaten und zumindest ein Teil der Schlüsselinformation KI werden daraufhin an das zweite Feldgerät 41 übertragen; die Lizenzdaten werden aus dem ersten Feldgerät 40 gelöscht. Schließlich wird in einem Schritt 65 in dem zweiten Feldgerät 41 der Schlüssel zum Entschlüsseln. der empfangenden Lizenzdaten unter Verwendung sowohl der Schlüsselinformation KI, als auch der Schlüsselbasisinformation BI und der ersten geheimen Information RNl gebildet.In the first field device 40, the key for encrypting the license data LI is generated in a step 64 using the key information KI dependent on the key base information BI and the second secret information RN2. The encrypted license data and at least part of the key information KI are then transmitted to the second field device 41; the license data is deleted from the first field device 40. Finally, in a step 65 in the second field device 41, the key to decrypt. the receiving license data using both the key information KI, and the key base information BI and the first secret information RNl formed.

Dadurch, dass die geheimen Informationen RNl und RN2 ausschließlich den jeweiligen Feldgeräten 40 bzw. 41 bekannt sind und in diesen bevorzugt in nicht auslesbaren Speicherbe- reichen gespeichert sind, ist die Sicherheit gegen unbefugte Verwendung der verschlüsselten Lizenzdaten noch weiter erhöht, da andere Feldgeräte als das zweite Feldgerät 41 die erste geheime Information RNl zum Erzeugen des Schlüssels nicht kennen können.Because the secret information RN1 and RN2 are known exclusively to the respective field devices 40 and 41 and are stored in these preferably in non-readable memory areas, the security against unauthorized use of the encrypted license data is increased still further, since field devices other than the second field device 41 may not know the first secret information RNl for generating the key.

Das Verfahren gemäß Figur 6 soll im Folgenden am Beispiel des so genannten Diffie-Hellman-Schlüsselaustauschverfahrens eingehender erläutert werden.The method according to FIG. 6 will be explained in more detail below using the example of the so-called Diffie-Hellman key exchange method.

In dem zweiten Feldgerät 41 wird hierbei gemäß Schritt 60 eine Zufallszahl a als geheime Information RNl gebildet. Außerdem wird gemäß Schritt 61 in dem zweiten Feldgerät 41 als Schlüsselbasisinformation BI eine Primzahl p, eine Primitivwurzel g sowie ein Wert A gemäßIn the second field device 41, according to step 60, a random number a is formed as secret information RN1. In addition, according to step 61 in the second field device 41 as key base information BI a prime number p, a primitive root g and a value A according to

A = ga mod pA = g a mod p

gebildet, wobei „mod" für die mathematische Operation „Mo- dulo" steht. Die Schlüsselbasisinformation BI besteht in die- sem Fall also aus drei separaten Zahlen, nämlich der Primzahl p, der Primitivwurzel g und dem Wert A. Da der Wert A unter Verwendung der ersten geheimen Information RNl in Form der Zufallszahl a gebildet worden ist, ist die Schlüsselbasisin- formation BI somit unter Verwendung der ersten geheimen Information RNl erzeugt worden. , where "mod" stands for the mathematical operation "Modulo". The key base information BI in this case thus consists of three separate numbers, namely the prime number p, the primitive root g and the value A. Since the value A has been formed using the first secret information RN1 in the form of the random number a, the Schlüsselbasisin- formation BI was thus generated using the first secret information RNl. ,

Die Schlüsselbasisinformation BI wird im Schritt 44a auf den externen Datenspeicher 42 übertragen, so dass in dem externen Datenspeicher nunmehr die Primzahl p, die Primitivwurzel g und der Wert A vorliegen. Der externe Datenspeicher 42 wird nunmehr von dem zweiten Feldgerät 41 getrennt und mit dem ersten Feldgerät 40 verbunden. Im Schritt 44b wird die Schlüsselbasisinformation BI an einen internen Speicher des ersten Feldgerätes 40 übertragen. In dem ersten Feldgerät 40 wird außerdem gemäß Schritt 62 als zweite geheime Information RN2 eine Zufallszahl b erzeugt .The key base information BI is transferred to the external data memory 42 in step 44a, so that now the prime number p, the primitive root g and the value A are present in the external data memory. The external data memory 42 is now separated from the second field device 41 and connected to the first field device 40. In step 44b, the key base information BI is transferred to an internal memory of the first field device 40. In addition, in the first field device 40, according to step 62, a random number b is generated as second secret information RN2.

In Schritt 63 wird nunmehr die Schlüsselinformation KI aus der Schlüsselbasisinformation BI durch Übernahme der Primzahl p und des Wertes A sowie durch Bildung eines weiteren Wertes B gemäßIn step 63, the key information KI from the key base information BI by taking over the prime number p and the value A and by forming a further value B according to

B = gb mod pB = g b mod p

erzeugt, wobei zur Bildung des weiteren Wertes B einerseits die Schlüsselbasisinformation BI in Form der Primzahl p und der Primitivwurzel g und andererseits die zweite geheime In- formation RN2 in Form der Zufallszahl b verwendet werden.wherein the key base information BI in the form of the prime number p and the primitive root g and, on the other hand, the second secret information RN2 in the form of the random number b are used to form the further value B.

Im Schritt 64 wird anschließend der Schlüssel K gemäßIn step 64, the key K is then according to

K = Ab mod pK = A b mod p

erzeugt. In diesem Fall werden zur Erzeugung des Schlüssels K folglich einerseits die von der Basisinformation BI abgeleitete Schlüsselinformation KI (Primzahl p und Wert A) und andererseits die zweite geheime Information RN2 in Form der Zu- fallszahl b verwendet. In Schritt 45c werden mit dem so erzeugten Schlüssel K die Lizenzdaten LI verschlüsselt.generated. In this case, the key information KI (prime number p and value A) derived from the basic information BI and, on the other hand, the second secret information RN2 in the form of the added information are consequently generated on the one hand to generate the key K. case number b is used. In step 45c, the license data LI is encrypted with the key K thus generated.

In Schritt 47a werden die verschlüsselten Lizenzdaten und ein Teil der Schlüsselinformation KI, nämlich der Wert B, auf den externen Datenspeicher 42 übertragen. Die geheime Information RN2 in Form der Zufallszahl b wird nicht übertragen. Der externe Datenspeicher 42 wird von dem ersten Feldgerät 40 getrennt und erneut mit dem zweiten Feldgerät 41 in Verbindung gebracht, so dass im Schritt 47b die verschlüsselten Lizenzdaten und der Teil der Schlüsselinformation KI in Form des Wertes B in einen internen Datenspeicher des zweiten Feldgerätes 41 übertragen werden können.In step 47a, the encrypted license data and a part of the key information KI, namely the value B, are transferred to the external data memory 42. The secret information RN2 in the form of the random number b is not transmitted. The external data memory 42 is disconnected from the first field device 40 and reconnected to the second field device 41, so that in step 47b the encrypted license data and the part of the key information KI are transferred in the form of the value B to an internal data memory of the second field device 41 can be.

Im Schritt 65 wird nunmehr der Schlüssel K gemäßIn step 65, the key K is now according to

K = Ba mod pK = B a mod p

erzeugt, wobei hierfür der übertragene Teil der Schlüsselin- formation KI in Form des Wertes B, die erste geheime Information RNl in Form der Zufallszahl a und die Schlüsselbasisinformation BI in Form der Primzahl p verwendet werden. Der Schlüssel K kann ohne Kenntnis der geheimen Information RM2 in Form der in dem ersten Feldgerät 40 erzeugten Zufallszahl b erzeugt werden, da für den Schlüssel K die BeziehungFor this purpose, the transmitted part of the key information KI in the form of the value B, the first secret information RN1 in the form of the random number a and the key base information BI in the form of the prime number p are used. The key K can be generated without knowing the secret information RM2 in the form of the random number b generated in the first field device 40, since for the key K the relationship

K = Ba mod p = Ab mod pK = B a mod p = A b mod p

gilt. Mit dem so berechneten Schlüssel können in Schritt 48b die verschlüsselten Lizenzdaten entschlüsselt werden, so dass sie in den nicht auslesbaren Speicherbereich 49 in dem zweiten Feldgerät 41 übertragen werden können, um zur Freischaltung der entsprechenden Funktionen verwendet zu werden. Bei dem soeben beschriebenen Verfahren wird als Schlüssel K ein Schlüssel verwendet, der nur für diese einmalige Transaktion der Lizenzdaten gültig ist und nur den Feldgeräten 40 und 41 bekannt ist, so dass selbst bei unbefugtem Kopieren des Inhalts des externen Datenspeichers die hieraus gewonnenen Informationen nicht zum Anfertigen weiterer Feldgeräte mit entsprechend freigeschalteten Funktionen verwendet werden können. Da die Lizenzdaten außerdem mit einem außerhalb der Feldgeräte 40 und 41 unbekannten Schlüssel verschlüsselt sind, können sie auch nicht ausspioniert werden. Das im Zusammenhang mit Figur 6 beschriebene Verfahren stellt somit eine sehr hohe Sicherheit gegen unbefugtes Erzeugen weiterer Feldgeräte mit freigeschalteten Funktionen dar.applies. With the key thus calculated, the encrypted license data can be decrypted in step 48b so that it can be transferred to the non-readable memory area 49 in the second field device 41 in order to be used for the activation of the corresponding functions. In the method just described, the key K used is a key which is valid only for this one-time transaction of the license data and is known only to the field devices 40 and 41, so that even if the contents of the external data store are not copied without authorization, the information obtained therefrom is not available Preparing further field devices can be used with correspondingly enabled functions. Also, since the license data is encrypted with a key unknown outside the field devices 40 and 41, they can not be spied. The method described in connection with FIG. 6 thus represents a very high degree of security against unauthorized generation of further field devices with enabled functions.

Allerdings ist das Verfahren noch nicht ausreichend sicher gegen einen so genannten „Man-in-the-Middle-Angriff" geschützt, bei dem die auf dem externen Datenspeicher vorhandenen Daten verändert und nach der Veränderung an das entsprechend andere der beiden Feldgeräte übertragen werden, um auf diese Weise in Kenntnis der von den Feldgeräten verwendeten Schlüssel zu gelangen.However, the method is not yet sufficiently secure against a so-called "man-in-the-middle attack" protected in which the existing data on the external data storage is changed and transferred after the change to the corresponding other of the two field devices to in this way to get to know the keys used by the field devices.

Um das Verfahren auch gegen einen solchen Angriff abzusichern, muss gewährleistet sein, dass die auf dem externen Da- tenspeicher vorhandenen Daten unverändert von einem Feldgerät zum anderen gelangen, so dass tatsächlich nur diejenige Information, die von einem Feldgerät auf den externen Datenspeicher geschrieben worden ist, in unveränderter Form an das andere Feldgerät kommuniziert wird.In order to protect the method against such an attack, it must be ensured that the data present on the external data store pass unchanged from one field device to another, so that in fact only that information which has been written from a field device to the external data memory is communicated in unchanged form to the other field device.

Diese Erweiterung der vorgehend beschriebenen Verfahren soll im Folgenden anhand der Figuren 7 bis 9 näher erläutert werden. Hierzu zeigt Figur 7 ein erstes Ausführungsbeispiel, mit dem durch Verwendung von Prüfdaten sichergestellt wird, dass keine Manipulation der auf dem externen Datenspeicher vorhandenen Daten stattfindet. Figur 7 zeigt einen externen Datenspeicher 70 in Form eines USB-Sticks, in dessen Speicherbereich 71 beispielhaft eine Schlüsselinformation 72 und ver- schlüsselte Lizenzdaten 73 gespeichert sind. Anstelle der Schlüsselinformation 72 und der verschlüsselten Lizenzdaten können prinzipiell auch andere Daten auf dem externen Datenspeicher vorliegen, wie beispielsweise die Schlüsselbasisinformation BI.This extension of the method described above will be explained in more detail below with reference to FIGS 7 to 9. For this purpose, FIG. 7 shows a first exemplary embodiment with which, by using test data, it is ensured that There is no manipulation of the data on the external data store. FIG. 7 shows an external data memory 70 in the form of a USB stick in whose memory area 71, by way of example, key information 72 and encrypted license data 73 are stored. In principle, instead of the key information 72 and the encrypted license data, other data may also be present on the external data memory, such as the key base information BI.

Zusätzlich zu der Schlüsselinformation 72 und den verschlüsselten Lizenzdaten 73 sind auf dem Speicherbereich 71 des externen Datenspeichers 70 Prüfdaten „CHK" 74 gespeichert, die von einem Feldgerät unter Verwendung der Schlüsselinformation 72 und der Lizenzdaten 73 erzeugt worden sind. Hierzu ist ein spezieller Algorithmus, beispielsweise eine so genannte Hash- wert-Bildung, verwendet worden.In addition to the key information 72 and the encrypted license data 73, check data "CHK" 74 generated by a field device using the key information 72 and the license data 73 is stored on the storage area 71 of the external data memory 70. For this purpose, a special algorithm such as a so-called hash value formation has been used.

Wird der externe Datenspeicher 70 mit dem anderen Feldgerät in Verbindung gebracht, so prüft dieses Feldgerät ab, ob die Prüfdaten 74 den weiteren gespeicherten Daten, also den Schlüsselinformationen 72 und den Lizenzdaten 73, entsprechen. Hierzu muss das andere Feldgerät den Algorithmus zur Bildung der Prüfdaten kennen. Falls die Schlüsselinformation 72 oder die Lizenzdaten 73 verändert worden sind, nachdem sie von dem ersten Feldgerät auf den externen Datenspeicher 70 geschrieben worden sind, so passen die Prüfdaten 74 nicht mehr zu den verschlüsselten Lizenzdaten 73 und der Schlüssel- Information 72. In einem solchen Fall erkennt das andere Feldgerät die vorliegende Diskrepanz und akzeptiert die Daten auf dem externen Datenspeicher nicht als gültig. Das Übertragungsverfahren wird in diesem Fall abgebrochen. Figur 8 zeigt ein weiteres Ausführungsbeispiel, bei dem die Sicherheit der Prüfdaten gegen Manipulation noch weiter erhöht ist. Auf dem externen Datenspeicher 70 sind wiederum in dem Speicherbereich 71 die Schlüsselinformation 72 und die verschlüsselten Lizenzdaten 73 gespeichert. Die Prüfdaten 80 sind nunmehr einerseits unter Verwendung der auf dem externen Datenspeicher 70 gespeicherten Daten, also der Schlüsselinformation 72 und der verschlüsselten Lizenzdaten 73, erzeugt worden. Andererseits wurden zum Erzeugen der Prüfdaten 80 auch Codedaten „CODE" 81 verwendet, die allen elektrischen Feldgeräten bekannt sind, in diesen aber bevorzugt in geschützten oder nicht auslesbaren Speicherbereichen gespeichert sind, so dass die Kenntnis der Codedaten nicht nach außen gelangen kann. Hierdurch wird sichergestellt, dass auch bei Kenntnis des Algorithmus, nach dem aus den auf dem externen Datenspeicher 70 gespeicherten Daten 72 und 73 die Prüf- daten erzeugt werden, die Prüfdaten 80 dennoch nicht außerhalb eines Feldgerätes erzeugt werden können, da hierzu die Kenntnis über die Codedaten 81 fehlt.If the external data memory 70 is connected to the other field device, then this field device checks whether the test data 74 corresponds to the further stored data, that is to say the key information 72 and the license data 73. For this purpose, the other field device must know the algorithm for forming the test data. If the key information 72 or the license data 73 has been changed after being written to the external data memory 70 by the first field device, the check data 74 no longer matches the encrypted license data 73 and the key information 72. In such a case the other field device detects the present discrepancy and does not accept the data on the external data store as valid. The transmission method is canceled in this case. FIG. 8 shows a further exemplary embodiment in which the security of the test data against manipulation is increased even further. On the external data memory 70, in turn, the key information 72 and the encrypted license data 73 are stored in the memory area 71. The test data 80 have now been generated, on the one hand, using the data stored on the external data memory 70, that is to say the key information 72 and the encrypted license data 73. On the other hand, code data "CODE" 81, which are known to all electric field devices but are stored in protected or non-readable memory areas, so that the knowledge of the code data can not escape to the outside, was used to generate the test data 80 in that, even if the algorithm is known, according to which the test data are generated from the data 72 and 73 stored on the external data memory 70, the test data 80 can not nevertheless be generated outside of a field device since knowledge of the code data 81 is lacking ,

Figur 9 zeigt schließlich ein weiteres Ausführungsbeispiel zur Prüfdatenbildüng. Die Prüfdaten sind hierbei entsprechend der Erläuterung zu Figur 8 unter Verwendung der Schlüsselin- formation 72, der verschlüsselten Lizenzdaten 73 und der Ie- diglich den Feldgeräten bekannten Codedaten 81 gebildet. Zusätzlich wird in demjenigen Feldgerät, das die Daten auf den externen Datenspeicher 70 schreibt, eine Sicherheitszahl „SEC" 90 gebildet, bei der es sich vorteilhafterweise um eine für jede Übertragung jeweils neu gebildete Zufallszahl han- delt. Diese Sicherheitszahl 90 wird ebenfalls auf dem externen Datenspeicher 70 gespeichert . ' Die Prüfdaten 91 werden in diesem Fall also auch unter Verwendung der Sicherheitszahl 90 gebildet, so dass sichergestellt wird, dass auch bei mehrfachem Übertragen derselben Schlüsselinformation 72 und dersel- ben verschlüsselten Lizenzdaten 73 die Prüfdaten 91 aufgrund der sich bei jeder Transaktion ändernden Sicherheitszahl 90 ständig verändert werden.Finally, FIG. 9 shows a further exemplary embodiment for test data formation. In this case, the test data are formed in accordance with the explanation for FIG. 8 using the key information 72, the encrypted license data 73 and the code data 81 known to the field devices. In addition, in the field device which writes the data to the external data memory 70, a safety number "SEC" 90 is formed, which is advantageously a newly formed random number for each transmission data memory 70 is stored. "the test data 91 are thus formed in this case using the security number 90, is so ensured that even with multiple transmitting the same key information 72 and dersel- In the case of encrypted license data, the check data 91 are constantly being changed due to the change in the security number 90 with each transaction.

Durch die Verwendung der Prüfdaten gemäß einem der Ausführungsbeispiele von Figuren 7, 8 oder 9 kann die Sicherheit gegen ein Ausspionieren und unbefugtes Kopieren der Lizenzdaten noch weiter erhöht werden. By using the test data according to one of the embodiments of FIGS. 7, 8 or 9, the security against spying and unauthorized copying of the license data can be further increased.

Claims

Patentansprüche claims 1. Verfahren zum Freischalten von Funktionen eines Feldgerätes (41) , bei dem in einem internen Datenspeicher eines ers- ten Feldgerätes (40) vorliegende Lizenzdaten (LI) von dem ersten Feldgerät (40) an ein zweites Feldgerät (41) übermittelt werden, wobei die Lizenzdaten (LI) die freizuschaltenden Funktionen des jeweiligen Feldgerätes (40,41) derart angeben, dass bei in einem internen Speicher des jeweiligen Feldgerä- tes (40,41) vorliegenden Lizenzdaten (LI) die entsprechenden Funktionen des jeweiligen Feldgerätes (40,41) freigeschaltet werden, g e k e n n z e i c h n e t d u r c h die folgenden Schritte : - Erzeugen einer Schlüsselinformation (KI) in dem ersten Feldgerät (40) ;1. A method for enabling functions of a field device (41), in which in an internal data memory of a first field device (40) present license data (LI) from the first field device (40) to a second field device (41) are transmitted, the license data (LI) specify the functions of the respective field device (40, 41) to be enabled such that the corresponding functions of the respective field device (40, 41) are present in the case of license data (LI) present in an internal memory of the respective field device (40, 41) ), characterized by the following steps: generating key information (KI) in the first field device (40); - Generieren eines Schlüssels unter Verwendung der Schlüsselinformation (KI) ;Generating a key using the key information (KI); - Verschlüsseln der Lizenzdaten (LI) in dem ersten Feldgerät (40) unter Verwendung des Schlüssels;- encrypting the license data (LI) in the first field device (40) using the key; - Speichern der verschlüsselten Lizenzdaten und zumindest eines Teils der SchlüsselInformation (KI) in einem externen Datenspeicher (42) ;- storing the encrypted license data and at least part of the key information (KI) in an external data memory (42); - Löschen der Lizenzdaten (LI) aus dem internen Datenspeicher des ersten Feldgerätes (40) unter Sperren der Funktionen des ersten Feldgerätes (40) ;- deleting the license data (LI) from the internal data memory of the first field device (40) while blocking the functions of the first field device (40); - Übertragen der verschlüsselten Lizenzdaten und des in dem externen Datenspeicher (42) gespeicherten Teils der Schlüsselinformation (KI) von dem externen Datenspeicher (42) auf den internen Datenspeicher des zweiten Feldgerätes (41) ;- transferring the encrypted license data and the part of the key information (KI) stored in the external data memory (42) from the external data memory (42) to the internal data memory of the second field device (41); - Erzeugen des Schlüssels in dem zweiten Feldgerät (41) unter Verwendung des Teils der Schlüsselinformation (KI) ;- generating the key in the second field device (41) using the part of the key information (KI); - Entschlüsseln der verschlüsselten Lizenzdaten unter Verwendung des Schlüssels; - Freischalten von Funktionen des zweiten Feldgerätes (41) unter Verwendung der Lizenzdaten (LI) .- decrypting the encrypted license data using the key; - Unlocking functions of the second field device (41) using the license data (LI). 2. Verfahren nach Anspruch 1 , d a d u r c h g e k e n n z e i c h n e t , dass2. Method according to claim 1, characterized in that - vor dem Erzeugen der Schlüsselinformation (KI) in dem ersten Feldgerät (40) das zweite Feldgerät (41) eine Schlüsselbasisinformation (BI) erzeugt und diese in seinem internen Datenspeicher und in dem externen Datenspeicher (42) spei- chert und- Before generating the key information (KI) in the first field device (40), the second field device (41) generates a key base information (BI) and stores it in its internal data memory and in the external data memory (42) and - das erste Feldgerät (40) den Schlüssel unter Verwendung der Schlüsselinformation (KI) und der Schlüsselbasisinformation (BI) erzeugt.- The first field device (40) generates the key using the key information (KI) and the key base information (BI). 3. Verfahren nach Anspruch 1, d a d u r c h g e k e n n z e i c h n e t, dass3. The method of claim 1, wherein a - vor dem Erzeugen der Schlüsselinformation (KI) in dem ersten Feldgerät (40) das zweite Feldgerät (41) eine Schlüsselbasisinformation (BI) erzeugt und diese in seinem internen Datenspeicher und in dem externen Datenspeicher (42) speichert und- Before generating the key information (KI) in the first field device (40), the second field device (41) generates a key base information (BI) and stores them in its internal data memory and in the external data memory (42) and - das erste Feldgerät (40) die Schlüsselinformation (KI) unter Verwendung der Schlüsselbasisinformation (BI) erzeugt.- The first field device (40) generates the key information (KI) using the key base information (BI). 4. Verfahren nach Anspruch 2 oder 3, d a d u r c h g e k e n n z e i c h n e t, dass4. The method according to claim 2 or 3, characterized in that a - das zweite Feldgerät (41) den Schlüssel unter Verwendung der mit dem externen Datenspeicher (42) übertragenen Schlüsselinformation (KI) und der in dem internen Datenspeicher des zweiten Feldgerätes (41) vorhandenen Schlüsselbasisinformation (BI) erzeugt.- The second field device (41) generates the key using the with the external data memory (42) transmitted key information (KI) and in the internal data memory of the second field device (41) existing key base information (BI). 5. Verfahren nach Anspruch 4 , d a d u r c h g e k e n n z e i c h n e t , dass - die Schlüsselbasisinformation (BI) von dem zweiten Feldgerät (41) unter Verwendung einer ersten geheimen Information5. The method according to claim 4, characterized in that the key base information (BI) from the second field device (41) using first secret information (RNl) erzeugt wird, wobei die erste geheime Information (RNl) in dem zweiten Feldgerät (41) gespeichert wird, und - die Schlüsselinformation (KI) und der Schlüssel von dem ersten Feldgerät (40) unter Verwendung einer zweiten geheimen Information (RN2) erzeugt werden, wobei die zweite geheime Information (RN2) in dem ersten Feldgerät (40) gespeichert wird.(RNl) is generated, wherein the first secret information (RNl) is stored in the second field device (41), and - the key information (KI) and the key from the first field device (40) using a second secret information (RN2) wherein the second secret information (RN2) is stored in the first field device (40). 6. Verfahren nach Anspruch 5 , d a d u r c h g e k e n n z e i c h n e t , dass6. The method according to claim 5, characterized in that a - als die erste und die zweite geheime Information (RNl, RN2) Zufallszahlen verwendet werden, die in dem zweiten bzw. dem ersten Feldgerät (41,40) erzeugt worden sind.as the first and the second secret information (RN1, RN2) random numbers are used, which have been generated in the second and the first field device (41,40). 7. Verfahren nach einem der vorangehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t, dass7. Method according to one of the preceding claims, characterized in that - von dem jeweiligen Feldgerät (40,41) auf dem externen Da- tenspeicher (42) auch Prüfdaten (91) gespeichert werden, die unter Verwendung der auf deπr externen Datenspeicher (42) zu speichernden Daten (72,73) erzeugt worden sind.Test data (91), which have been generated using the data (72, 73) to be stored on the external data memory (42), are also stored by the respective field device (40, 41) on the external data memory (42). 8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass - beim Übertragen von Daten von dem externen Datenspeicher8. The method according to claim 7, characterized in that - when transferring data from the external data memory (42) in den internen Datenspeicher des jeweiligen Feldgerätes (40,41) die Prüfdaten (91) jeweils daraufhin überprüft werden, ob sie zu den in dem externen Datenspeicher (42) vorhandenen Daten (72,73) passen und - eine Weiterverarbeitung der in den internen Datenspeicher übertragenen Daten nur bei positivem Prüfergebnis erfolgt.(42) the test data (91) are respectively checked in the internal data memory of the respective field device (40, 41) to see whether they match the data (72, 73) present in the external data memory (42); the data transferred to the internal data memory is only performed if the test result is positive. 9. Verfahren nach Anspruch 7 oder 8 , d a d u r c h g e k e n n z e i c h n e t, dass - die Prüfdaten (91) auch unter Verwendung von beiden Feldgeräten (40,41) bekannten Codedaten (81) erzeugt werden, wobei die Codedaten (81) in dem jeweiligen Feldgerät (40,41) gespeichert sind, und - die Überprüfung der Prüfdaten (91) unter Verwendung auch der Codedaten (81) vorgenommen wird.9. The method according to claim 7 or 8, characterized in that the test data (91) are also generated using code data (81) known to both field devices (40, 41), wherein the code data (81) are stored in the respective field device (40, 41), and - checking the test data ( 91) using the code data (81). 10. Verfahren nach Anspruch 9, d a d u r c h g e k e n n z e i c h n e t, dass - die Prüfdaten (91) auch unter Verwendung einer in dem jeweiligen Feldgerät (40,41) als Zufallszahl erzeugten Sicherheitszahl (90) erzeugt werden,10. The method according to claim 9, wherein: the test data are also generated using a random number generated in the respective field device as a random number, - die Sicherheitszahl (90) zusätzlich auf dem externen Datenspeicher (42) gespeichert wird und - die Überprüfung der Prüfdaten (91) unter Verwendung auch der Sicherheitszahl (90) vorgenommen wird.- the safety number (90) is additionally stored on the external data memory (42) and - the verification of the test data (91) is also performed using the safety number (90). 11. Elektrisches Feldgerät (40,41) mit einer Datenverarbeitungseinrichtung, die dazu eingerichtet ist, im Zusammenwir- ken mit einem weiteren elektrischen Feldgerät (40,41) ein Verfahren gemäß einem der Ansprüche 1 bis 10 durchzuführen. 11. An electric field device (40, 41) having a data processing device which is set up to carry out a method according to one of claims 1 to 10 in cooperation with a further electric field device (40, 41).
PCT/DE2007/000276 2007-02-13 2007-02-13 Method for activating functions of a field device, and electric field device Ceased WO2008098529A1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
PCT/DE2007/000276 WO2008098529A1 (en) 2007-02-13 2007-02-13 Method for activating functions of a field device, and electric field device
EP07721917A EP2118807A1 (en) 2007-02-13 2007-02-13 Method for activating functions of a field device, and electric field device
DE112007003458T DE112007003458A5 (en) 2007-02-13 2007-02-13 Method for activating functions of a field device and electric field device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/DE2007/000276 WO2008098529A1 (en) 2007-02-13 2007-02-13 Method for activating functions of a field device, and electric field device

Publications (1)

Publication Number Publication Date
WO2008098529A1 true WO2008098529A1 (en) 2008-08-21

Family

ID=38462535

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2007/000276 Ceased WO2008098529A1 (en) 2007-02-13 2007-02-13 Method for activating functions of a field device, and electric field device

Country Status (3)

Country Link
EP (1) EP2118807A1 (en)
DE (1) DE112007003458A5 (en)
WO (1) WO2008098529A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1274267A2 (en) * 2001-07-06 2003-01-08 Vodafone AG Method for remote program activation
DE10353499A1 (en) 2003-11-11 2005-06-16 Siemens Ag Changing of the performance characteristics of a system software controlled device whereby read-protected activation data are encrypted in an alteration file and then transmitted, decrypted and transferred to security hardware
WO2005091163A1 (en) * 2004-03-22 2005-09-29 Samsung Electronics Co., Ltd. Apparatus and method for moving and copying rights objects between device and portable storage device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1274267A2 (en) * 2001-07-06 2003-01-08 Vodafone AG Method for remote program activation
DE10353499A1 (en) 2003-11-11 2005-06-16 Siemens Ag Changing of the performance characteristics of a system software controlled device whereby read-protected activation data are encrypted in an alteration file and then transmitted, decrypted and transferred to security hardware
WO2005091163A1 (en) * 2004-03-22 2005-09-29 Samsung Electronics Co., Ltd. Apparatus and method for moving and copying rights objects between device and portable storage device

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MENEZES A J ET AL: "Handbook of Applied cryptography, KEY AGREEMENT BASED ON ASYMMETRIC TECHNIQUES", HANDBOOK OF APPLIED CRYPTOGRAPHY, CRC PRESS SERIES ON DISCRETE MATHEMATICES AND ITS APPLICATIONS, BOCA RATON, FL, CRC PRESS, US, 1997, pages 515 - 516,524,52, XP002223485, ISBN: 0-8493-8523-7 *

Also Published As

Publication number Publication date
EP2118807A1 (en) 2009-11-18
DE112007003458A5 (en) 2010-01-21

Similar Documents

Publication Publication Date Title
EP3649768B1 (en) Method for the secure replacement of a first manufacturer certificate already incorporated into a device
DE102011081804A1 (en) Method and system for providing device-specific operator data for an automation device of an automation system
EP3355230A1 (en) Method and apparatus for computer-assisted preparing and running of a control function
WO2011054639A1 (en) Cryptographic hardware module or method for updating a cryptographic key
DE112005001654B4 (en) Method for transmitting direct-proof private keys to devices by means of a distribution CD
WO2007131603A1 (en) Method and system for changing safety-relevant data for a control device
EP3422657A1 (en) Method and security control devices for sending and receiving cryptographically protected network packets
EP2235598B1 (en) Field device and method of operation thereof
WO2018145805A1 (en) Programmable hardware security module and method on a programmable hardware security module
EP2191554B1 (en) Method for parameterizing a switchgear assembly
EP3821582B1 (en) Method for setting up a proof of authorization for a first device
EP1999521B1 (en) Field device
EP3525390A1 (en) Device and method for providing at least one secure cryptographic key for cryptographically protecting data initiated by a control device
DE102009054753A1 (en) Method for operating a safety device
DE102015202215A1 (en) Device and method for safe operation of the device
WO2008098529A1 (en) Method for activating functions of a field device, and electric field device
EP1784756B1 (en) Method and security system for the secure and unambiguous coding of a security module
EP2369805B1 (en) Method for configuring and distributing access rights in a distributed system
EP3758320A1 (en) Devices and method for testing devices
DE102019130067B4 (en) Method for carrying out permission-dependent communication between at least one field device in automation technology and an operating device
EP2446599B1 (en) Data transmission between automation devices secured against manipulation
EP3309699B1 (en) System from communication unit and peripheral device with protected interface
DE102013000088A1 (en) Method and device for authenticating at least two agricultural devices coupled via a data bus
DE102021004427B4 (en) Method for implementing and using cryptographic material in at least one system component of an information technology system
WO2023094041A1 (en) Electronic manufacturing control

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07721917

Country of ref document: EP

Kind code of ref document: A1

REEP Request for entry into the european phase

Ref document number: 2007721917

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2007721917

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 1120070034580

Country of ref document: DE

REF Corresponds to

Ref document number: 112007003458

Country of ref document: DE

Date of ref document: 20100121

Kind code of ref document: P