用于对安全性关键的装置进行安全操作的方法和设备

摘要

本发明涉及借助移动通信终端设备(2)对例如控制或调节系统的安全性关键的装置(1)的操作。将操作命令(BK)从通信终端设备(2)传送到安全性关键的装置(1)。安全性关键的装置(1)产生通信终端设备陌生的形式的、例如图形的确认信息(BIF)，并且传送到通信终端设备(2)。通信终端设备(2)借助确认信息(BIF)产生非机器可评估的形式的、例如CAPTCHA的激活码信息(AI)，并且在通信终端设备(2)上显示。通信终端设备(2)将通过结合激活码信息(AI)和用户特殊操作(PIN)而形成的确认响应(BA)与形成的Hash值(H)一起传输到安全性关键的装置(1)。在成功检查确认响应(BA)和Hash值(H)的情况下，实施对安全性关键的装置(1)的操作。

说明书

技术领域

本发明涉及一种用于对安全性关键的装置进行安全操作的方法。安全性关键的装置例如可以是例如用于信号装置控制以及交通工具的驱动和制动控制的控制和调节系统；在制造和工艺控制技术中以及在发电站中也使用控制和调节系统，并且总表示安全性重要的装置。

发明内容

本发明要解决的技术问题是，提供一种能够相对简单并方便地执行的用于对安全性关键的装置进行安全操作的方法。

为解决该技术问题，根据本发明，使用借助移动通信终端设备对安全性关键的装置进行安全操作的方法，其中，通过移动通信终端设备采集用户侧的操作命令，并且将所采集的操作命令所涉及的操作信息从移动通信终端设备传送到安全性关键的装置；安全性关键的装置产生通信设备陌生的形式的确认请求，并且传送到移动通信终端设备，移动通信终端设备借助所传送的确认请求产生非机器可评估的形式的激活码信息，并且与确认请求一起显示在移动通信终端设备上；另外，移动通信终端设备采集通过结合激活码信息和用户特殊操作而形成的确认响应，并且与由确认请求形成的Hash值一起从移动通信终端设备传输到安全性关键的装置，并且在成功检查确认响应和Hash值的情况下，实施对安全性关键的装置的操作。

虽然从德国公开文本DE 10 2010 015 285 A1中已知通过外部设备操作安全性关键的装置，但是前提是安全性关键的装置输出非机器可评估的激活码信息，据此在安全性关键的装置中手动输入激活码。于是产生激活码位样本(Bitmuster)并传输到外部设备。该设备具有设备特殊的位序列样本，并且比较自身的位序列样本与由安全性关键的装置发送的激活码位序列样本。只有在一致时，才在安全性关键的装置中触发动作。因此，该已知方法的前提是，由安全性关键的装置产生激活码信息，在输入激活码之后，形成激活码位样本，并且传输到外部设备。相反，在根据本发明的方法中，对安全性关键的装置的操作由通信终端设备进行，方法是其建立到安全性关键的装置的通信连接并且单独进行对安全性关键的装置的操作。

本发明的一个主要优点在于，通过在通信终端设备侧使用非机器可评估的形式的激活码信息和用户特殊操作，保证与操作人员的唯一对应。此外，通过在安全性关键的装置方面使用通信设备陌生的形式的确认信息，确保该装置参与根据本发明的方法。

为实现特别好的对安全性关键的装置的安全操作，有利的是，为数据保持和数据加工使用两个互相独立的数据处理过程，其中一个是激活的并且使得在通信终端设备的屏幕上显示所采集的操作命令，而另一个首先并行地随同运行；所采集的操作命令由两个数据处理过程加工，并且将在此分别形成的操作信息分开传输到安全性关键的装置；安全性关键的装置检查经传输通道接收的操作信息的一致性和可信性，并且在肯定的检查结果下产生确认请求。

当利用在通信终端设备中输入确认请求激活另一个数据处理过程，并且转换通信终端设备的屏幕，从而在屏幕上显示激活码信息和确认请求时，也能够以特别高的安全性执行根据本发明的方法；两个数据处理过程对于确认信息计算Hash值。

在根据本发明的方法中，对于传输链路可使用唯一的传输通道或者两个传输通道。

此外，本发明涉及一种用于对安全性关键的装置进行安全操作的设备，并且要解决的技术问题是，为了对安全性关键的装置进行安全操作而提供一种设备，利用该设备能够相对简单并且方便地执行对安全性关键的装置的安全操作。

为解决该技术问题，根据本发明，使用一种用于对安全性关键的装置进行安全操作的设备，安全性关键的装置与移动通信终端设备通信连接，其中，如下实施通信设备，使得其采集用户侧的操作命令，将所采集的操作命令所涉及的操作信息发送到安全性关键的装置，借助由安全性关键的装置传送的确认请求产生非机器可评估的形式的激活码信息，并且与确认请求一起显示，此外，采集通过结合激活码信息与用户特殊操作而形成的确认响应，并且与由确认请求形成的Hash值一起发送到安全性关键的装置；安全性关键的装置被构造为其接收操作信息，并且产生通信终端设备陌生的形式的确认请求，并且传送到移动通信终端设备，并且在成功检查确认响应和Hash值的情况下，实施对安全性关键的装置的操作。

在根据本发明的设备中相应地得到与以上已经关于根据本发明的方法所说明的相同的优点。

为了特别好地对安全性关键的装置进行安全操作，在根据本发明的设备中，优选如下实施通信终端设备，使得其为数据保持和数据加工准备两个互相独立的数据处理过程，其中一个是激活的并且使得在通信终端设备的屏幕上显示所采集的操作命令，而另一个首先并行地随同运行，可由两个数据处理过程加工所采集的操作命令，并且可将在此分别形成的操作信息分开传输到安全性关键的装置；安全性关键的装置以有利的方式被构造为，可检查接收的操作信息的一致性和可信性，并且在肯定的检查结果下可产生确认请求。

当如下实施通信终端设备时，能够利用根据本发明的设备实现对安全性关键的装置的特别安全的操作，即，可利用在通信终端设备中输入确认请求来激活另一个数据处理过程，并且可转换通信终端设备的屏幕，从而在屏幕上显示激活码信息和确认请求，并且可借助两个数据处理过程对于激活码信息计算Hash值。

在根据本发明的设备中，优选为了传输信息，在安全性关键的装置与通信终端设备之间设置唯一的传输通道。也可以优选设置两个传输通道。

附图说明

为进一步解释本发明，在附图中示出了用于执行根据本发明的方法的设备的框图。

具体实施方式

如图所示，安全性关键的装置1经传输链路3与移动通信终端设备2、例如平板计算机通信连接。安全性关键的装置1可以是电子信号装置。

在通信终端设备2中通过两个互相独立的数据处理过程进行数据保持和数据加工；其中一个是激活的并且控制通信终端设备2的显示，而另一个数据处理过程并行地随同运行。由激活的数据处理过程借助通信终端设备2上的显示AB向操作人员显示安全性关键的装置1的运行状态。

如果操作人员想要进行操作，则其在通信终端设备2上选择相应的操作命令BK，并且确认输入。通信终端设备2采集该操作命令BK并且转换成操作信息BI。操作信息BI由两个数据处理过程加工，并且经传输链路3传送到安全性关键的装置1。在对两个数据处理过程的信号相应地进行了编码时，传输链路3可以被构造成单通道的；在双通道构造的情况下可以省去编码。在此，可以通过地址或密码加密相对于安全性关键的装置1对每个通道进行唯一认证。

在安全性关键的装置中，检查两个数据处理过程的信号的一致性和可信性，必要时产生确认信息BIF，其具有通信设备陌生的形式，例如具有两个数据处理过程不能产生的图形的形式的多样化格式。确认信息BIF经传输链路3被发送到通信终端设备2。

如果确认信息BIF到达通信终端设备2，则两个数据处理过程交换其功能，并且另一个数据处理过程将会运行。这将通过转换通信终端设备2的屏幕显示给操作人员。现在，在具有作为图形的通信终端设备陌生的形式的确认信息BIF下，另一个数据处理过程驱使该图形、由此确认信息BIF的显示AG，同时两个数据处理过程对于该图形计算Hash值H；为此，另一个数据处理过程生成Captcha(用于区分计算机和人类的完全自动的公共图灵测试，Completely Automated Public Turing Test to tell Computers and HumansApart)，例如Hash值的后5位，其表示非机器可评估的形式的激活码信息AI。激活码信息AI与确认信息BF一起显示在移动通信终端设备2上。

在通信终端设备2中，将激活码信息AI或Captcha与用户特殊操作(例如输入PIN)结合，并且形成确认响应BA。通信终端设备2随后将确认响应BA和Hash值H传输到安全性关键的装置1。

在安全性关键的装置1中检查确认响应BA和Hash值H。如果没有拒绝确认响应BA和Hash值H，则检查成功结束，并且进行对安全性关键的装置1的操作。