用于为第一设备设立授权证明的方法

摘要

用于为第一设备（FD1）设立授权证明的方法，所述第一设备例如是自动化设施的现场设备，其中借助于配置数据来配置所述第一设备（FD1），所述配置数据从与所述第一设备（FD1）可拆卸地连接的配置模块（CM）传输到所述第一设备（FD1），所述配置模块例如以SD卡或USB棒的形式来实施，该方法包括：‑识别出：配置模块（CM）与所述第一设备（FD1）的连接（S1），‑从所述配置模块（CM）中读取（S2）配置模块特定的设备信息（Kn），‑由所述第一设备（FD1）向授权设备（BE）请求（S3）针对配置模块特定的设备信息（Kn）的配置模块特定的授权证明（C‑Kn），以及‑将所请求的配置模块特定的授权证明（C‑Kn）存储（S6）在所述第一设备（FD1）的安全存储单元（SE）上。

说明书

技术领域

本发明涉及一种用于为第一设备设立授权证明的方法，其中借助于如下配置数据来配置所述第一设备，其中从与所述第一设备可拆卸地连接的配置模块将所述配置数据传输到所述第一设备，并且本发明涉及一种第一设备、一种配置模块、一种授权设备和一种用于执行所述方法的计算机程序产品。

背景技术

经由通信连接与其他设备或控制设备交换数据的设备、特别是物联网中的设备被用在私有网络中并且特别是也用在工业设施中。为了实现高可用性、特别是在自动化设施中实现高可用性，必须能够快速更换有缺陷的设备。在此，必须用相同的设置来配置替换设备。为了使得能够快速采用设备配置，已知将配置所述设备所需要的配置数据存储在存储模块上，例如存储在USB棒、SD卡或组态插件（C-Plug）上。于是，在更换设备时只需要将有缺陷的设备的这种存储模块（以下称为配置模块）插入新设备。由此使得所述新设备看起来像是旧设备那样，并因此在自动化网络中也被识别为旧设备。

但是，这种设备更换从安全的角度来看仍是不足的，因为在运行中不能区分旧设备和新设备。极其敏感的安全配置数据、特别是设备运行者证书和、所分配的私有设备密钥也可以保存在所述配置模块上。在此，这些敏感的安全配置数据要么是以明文形式要么是在必要时用跨设备的组密钥加密的。

发明内容

本发明的任务是创建一种方法，利用该方法可以在运行中可靠地区分通过配置模块、也就是使用相同配置数据配置的设备。

该任务通过独立权利要求中描述的措施来解决。在从属权利要求中示出了本发明的有利扩展。

根据第一方面，本发明涉及一种用于为第一设备设立授权证明的方法，其中借助于如下配置数据来配置所述第一设备，其中从与所述第一设备可拆卸地连接的配置模块将所述配置数据传输到所述第一设备。所述方法具有以下方法步骤：

- 识别出：配置模块与所述第一设备的连接，

- 从所述配置模块中读取配置模块特定的设备信息，

- 由所述第一设备向授权设备请求针对所述配置模块特定的设备信息的配置模块特定的授权证明，以及

- 将从所述授权设备请求的配置特定的授权证明存储在所述第一设备的安全存储单元上。

通过将所述配置模块与所述第一设备连接，由此触发对所述设备的授权证明的请求和分发，其中所述授权证明考虑了存储在所述配置模块上的设备信息。通过将配置模块特定的授权证明存储在所述第一设备的安全存储单元上，可以更好地保护配置模块特定的授权证明和/或与所述授权证明关联的密码密钥，因为设备通常具有专用的安全存储单元或专用的安全存储区域，其中所述安全存储单元或所述安全存储区域具有附加的安全措施。例如，通过防篡改措施可以使存储器的读取变得困难或得以阻止，或者可以识别出：到所述安全存储单元中的入侵并且可以删除在其中所存储的数据。

在一种有利的实施方式中，所述方法包括另外的方法步骤，即：检查在所述第一设备上是否已经存在针对配置特定的设备信息的配置模块特定的授权证明，并且仅当所述第一设备上缺乏针对配置特定的设备信息的配置模块特定的授权证明时才请求所述配置模块特定的授权证明。可以例如在设备启动（引导）时和/或在插入配置模块时进行所述检查。

因此，仅当识别到“新配置模块”的连接、即具有与先前配置模块不同的配置模块特定的设备信息的配置模块的连接时才请求授权证明。由此可以减少请求消息并因此可以节省或优化所述第一设备的计算能力以及传输网络至所述授权设备的传输能力。

在一种有利的实施方式中，所述设备使用所述配置模块特定的授权证明以用于相对于通信伙伴认证所述设备。

所述配置模块特定的授权证明本身可以从所述设备传送到所述通信伙伴以进行认证。在一种变型中，可以通过所述设备根据所述配置模块特定的授权证明来形成认证参数，并且将所述认证参数传送到通信伙伴以用于认证所述设备。可以借助于分配给所述配置模块特定的授权证明的密码密钥来形成所述认证参数。

使用所述配置模块特定的授权证明，所述设备可以将自己认证为与所述配置模块的配置数据相对应地配置的设备，并被所述通信伙伴认证。由于所述第一设备请求所述配置模块特定的授权证明，因此所述配置模块特定的授权证明也包含所述第一设备自身的标识符。由此可以将所述第一设备与使用相同配置模块例如在其他时间点被配置的第二设备区分开来。

在一种有利的实施方式中，所述方法包括另外的方法步骤，即：在所述配置模块与所述第一设备分离之后，撤销所述配置模块特定的授权证明。

由此确保了在所述配置模块与所述设备分离之后不再将由所确定的设备所请求的该配置模块特定的授权证明认定为有效。由此确保了：已被移除了所述配置模块的第一设备不再能够使用在所述第一设备本身上所存储并且因此对于所述第一设备而言继续可供使用的配置模块特定的授权证明进行认证。

在一种有利的实施方式中，所述配置模块特定的设备信息是存储在所述配置模块上的设备标识符或存储在所述配置模块上的配置模块标识符。

因此，针对确定所述配置的标识符灵活地请求配置模块特定的授权证明。所存储的设备标识符可以例如是所规划的设备名称，所述配置是针对所述设备名称而设置的。但是，配置模块标识符也可以是字符串，所述字符串包含相对应地配置的设备执行的任务范围、例如控制监察。此外，通过所述第一设备可以例如形成存储在所述配置模块上的设备配置的校验和、版本信息、密码哈希值，作为配置模块标识符。

在一种有利的实施方式中，所述配置模块特定的授权证明被构造为数字证书或Java脚本对象表示（Java Script Object Notation，JSON）形式的访问令牌。

这具有如下优点：可以例如对应于ITU-T标准X.509使用这种数字证书，或者可以将这种数字证书用作JSON令牌，以便在频繁使用的协议中进行认证以建立连接。

在一种有利的实施方式中，在所述配置模块特定的授权证明中附加地包含有：所述第一设备中存在的设备特定的设备标识符。

这具有如下优点：在所述授权证明本身中存在配置模块特定的设备信息和发送所述请求消息的设备之间的链接。因此，所述授权证明明确地提供了关于实际设备的信息，其中该实际设备请求所述配置模块特定的授权证明。

在一种有利的实施方式中，被请求配置模块特定的授权证明的所述授权设备的地址存储在所述配置模块上，并从所述配置模块提供给所述第一设备。

这具有如下优点：所述第一设备可以向相同的授权设备发送请求消息，并且特别是还可以发送用于撤销所述配置模块特定的授权证明的消息。由此可以快速请求所述授权证明，但是也可以快速撤销所述授权证明。

在一种有利的实施方式中，使用由所述第一设备产生的并且针对所述配置模块而言特定的私有配置密钥对用于请求所述配置模块特定的授权证明的请求消息进行密码保护。

因此，所述设备可以生成配置模块特定的密钥对，所述密钥对包括私有配置密钥和公共配置密钥。所述密钥对对于设备和配置模块的组合而言是特定的。因此，可以将所述密钥对称为配置模块特定的设备密钥对。所述公共配置密钥在此被包含在所述请求消息中。由此保证所述设备具有私有配置密钥，其中所述私有配置密钥属于在所述请求消息中所包含的公共设备密钥。

在一种有利的实施方式中，使用所述第一设备中存在的设备特定的私有密钥对用于请求所述配置模块特定的授权证明的请求消息进行密码保护。

所述设备特定的私有密钥和所属的设备特定的授权证明可以是设备的制造商密钥和制造商证书。

可以通过利用一个或多个所述密钥对请求消息签名来实现对请求消息的保护；或者通过利用一个或多个所述密钥形成密码消息认证消息来实现对请求消息的保护，或者通过在受密码保护的通信信道上进行传输来实现对请求消息的保护，其中使用一个或多个所述密钥来认证所述通信信道的结构。

在一种有利的实施方式中，在识别出所述配置模块与所述第一设备分离时，由所述第一设备产生用于撤销所述配置模块特定的授权证明的撤销请求，并将所述撤销请求传送到所述授权设备。

这具有如下优点：已经随着所述配置模块与所述第一设备本身的分离而撤销所述授权证明，并且因此所述授权证明不再作为有效的而被通信伙伴接受。

在一种有利的实施方式中，在将所述配置模块特定的授权证明存储在所述第一设备上之后，将撤销信息提供给所述配置模块，并且在识别出所述配置模块与第二设备的连接时，依据所提供的撤销信息通过所述第二设备在使用所提供的撤销信息的情况下触发对所述第一设备的配置模块特定的授权证明的撤销。

这具有如下优点：所述第二设备触发所述撤销或将撤销消息发送到所述授权设备。如果所述第一设备由于缺陷而被更换并且在从所述第一设备拆卸所述配置模块时不能发送撤销消息，则这是特别有利的。由于在识别出所述配置模块与所述第二设备的连接时发生（erfolgen）这种撤销消息，确保了：当实际通过所述配置模块来配置设备时，仅仅配置特定的授权证明才以有效的方式存在。

在一种替代的有利实施方式中，所述第二设备将取决于所述撤销信息的授权信息与用于为第二设备请求配置模块特定的授权证明的请求消息一起传送到所述授权设备，然后所述授权设备依据所述授权信息撤销所述第一设备的配置模块特定的授权证明。

这具有以下优点：不必由所述第二设备创建和发送单独的撤销消息。而是，可以经由所述请求消息发起对所述第一设备的配置模块特定的授权证明的撤销。

在一种有利的实施方式中，将所述配置模块特定的授权证明的有效期限制为预给定数目个小时，优选限制为一天，并且在所述有效期期满之后由所述第一设备请求新的配置模块特定的授权证明。

这具有以下优点：相同配置模块的两个配置模块特定的授权证明最多在有效期的时间段存在。在此，所述有效期可以与对所述设备的使用以及配置模块更换的频率适配并且与所建立的通信连接的频率以及由此与使用所述授权证明的频率适配。

只要是在下面的描述中没有另外说明，术语“识别出连接”、“读取”、“请求”、“存储”、“检查”、“撤销”、“分配”等优选涉及：更改数据和/或产生数据和/或将数据转换为其他数据、将数据组合为消息并进行传送的操作和/或过程和/或处理步骤，其中所述数据特别是表示为物理参量或者可以作为物理参量而存在，例如作为电脉冲。

本发明的第二方面涉及一种第一设备，所述第一设备能够借助于配置数据来配置，其中所述配置数据从与所述第一设备可拆卸地连接的配置模块传输到所述第一设备，其中所述第一设备具有：

- 连接单元，所述连接单元被构造为识别出：配置模块与所述第一设备的连接，

- 读取单元，所述读取单元被构造为从所述配置模块中读取配置特定的设备信息，

- 控制单元，所述控制单元被构造为向授权设备请求针对所述配置特定的设备信息的配置模块特定的授权证书，以及

- 安全存储单元，所述安全存储单元被构造为存储从所述授权设备请求的配置模块特定的授权证明。

在本发明的上下文中，“单元”可以例如理解为处理器和/或用于存储程序指令或数据的存储单元。“单元”可以例如以硬件技术实现和/或也可以以软件技术实现。在以硬件技术实现的情况下，相应的单元可以被构造为设备或设备的一部分，例如被构造为计算机或微处理器或控制计算机。在以软件技术实现的情况下，相应的单元可以被构造为计算机程序产品、功能、例程、程序代码的一部分或可执行对象。

所述第一设备在此被构造为执行上述方法。

本发明的第三方面涉及一种用于配置第一设备的配置模块，所述第一设备被构造为执行上述方法。所述配置模块特别是应视为与第一设备物理分离或可与第一或第二设备连接的硬件技术单元。所述配置模块包括存储单元，在所述存储单元上能够存储所述配置数据以及在先前方法中提到的信息，但是也能够读取所述配置数据以及在先前方法中提到的信息。所述配置模块也可以实施为软件技术单元，并且能够例如作为配置数据包或配置计算机程序产品从计算机或服务器加载到设备上。

本发明的第四方面涉及一种用于为第一设备设立授权证明的授权设备，其中借助于配置数据来配置所述第一设备，所述配置数据从与所述第一设备可拆卸连接的配置模块传输到所述第一设备，所述授权设备被构造为执行上述方法。

在第五方面，本发明涉及一种计算机程序产品，其中所述计算机程序产品能够直接加载到数字计算机的存储器中，所述计算机程序产品包括适合于执行所描述的方法的步骤的程序代码部分。

计算机程序产品、诸如计算机程序装置可以例如作为存储介质，例如存储卡、USB棒、CD-ROM、DVD或也可以以能够从网络中的服务器下载的文件的形式提供或交付。

附图说明

在附图中示例性地示出了根据本发明的方法、第一设备、授权设备以及配置模块的实施例，并基于以下描述对其进一步予以阐述。

图1以示意图示出了根据本发明的方法的应用场景，其具有根据本发明的授权设备和第一设备的实施例；

图2A以流程图示出了根据本发明的方法的第一实施例；

图2B以消息流程图示出了根据本发明的方法的第二实施例，其具有配置模块特定的授权证明的另一撤销变型；

图2C以消息流程图示出了根据本发明的方法的第三实施例，其具有配置模块特定的授权证明的另一撤销变型；

图3以框图示出了根据本发明的配置模块的实施例；以及

图4以框图示出了根据本发明的第一设备的实施例。

在所有附图中，彼此对应的部分设有相同的附图标记。

具体实施方式

作为针对根据本发明的方法的应用场景，图1示出了通信网络AN，例如自动化设施，所述通信网络具有多个设备FD1，FD2，FD3，FD4，FD5和网关GW，它们经由开放网络ON与服务服务器DS连接。设备FD1，FD2，FD3，FD4，FD5分别与配置模块CM1，CM2，CM3，CM4，CM5连接，在所述配置模块上存储了相应设备FD1，FD2，FD3，FD4，FD5的当前配置数据，以便在有缺陷时简单地用替换设备来替换设备FD1，FD2，FD3，FD4，FD5。不必明确地配置替换设备，而是将配置模块从有缺陷的设备中取出并插入新设备就足够了。

本发明的核心思想现在在于，在识别出配置模块与设备的连接之后，该设备请求并获得配置模块特定的授权证明，例如设备证书或JSON令牌（Token），其方式是，作为设备名称包含有所述配置模块中说明的配置模块特定的设备信息，其中通过当前与所述设备连接的配置模块定义该设备信息。设备FD1识别出配置模块CM1与设备FD1的连接，例如通过以下方式：配置模块CM1已插在第一设备FD1上，也即在配置模块CM1与第一设备FD1之间已建立了电接触，并且传输电信号形式的数据。

图2A将所述方法作为消息流程图示出。在第一方法步骤S1中，第一设备FD1识别出配置模块CM1已与第一设备FD1连接。在方法步骤S2中，通过设备FD1从配置模块CM1中读取至少一个配置模块特定的设备信息Kn1。

在读取了配置模块特定的设备信息Kn1之后，第一设备FD1例如生成新的配置密钥对，该新的配置密钥对与公共密钥基础设施（PKI）相对应地包括公共配置密钥pubkCM1和所属的私有配置密钥privkCM1。所述第一设备形成证书请求消息CERTReq，该证书请求消息CERTReq包括所产生的公共密钥pubkCM1、配置模块特定的设备信息Kn1以及在第一设备FD1中所包含的设备标识符FD1-ID。配置模块特定的设备信息Knl例如是存储在所述配置模块上的设备标识符Gn，特别是规划的设备名称。配置模块特定的设备信息Kn1也可以是存储在配置模块CM1上的配置模块标识符KDI。

在一种变型中，附加地将配置模块的标识信息CM-ID录入到证书请求消息CERTReq中。配置模块的标识信息CM-ID可以例如是所述配置模块的序列号和/或标识信息、例如所述配置数据的哈希值或版本说明，所述标识信息标识出存储在所述配置模块上的配置数据。

可以对证书请求消息CERTReq进行多重密码保护。一方面，用私有配置密钥privkCM1对请求消息CERTReq签名，其中在所述配置模块与所述第一设备连接时已产生了该私有配置密钥。由此，可以检查进行发送的设备FD1是否实际上具有私有密钥privkCM1。此外，可以用所述第一设备中存在的设备特定的私有设备密钥privkFD1对请求消息CERTReq进行数字签名，其中给所述设备特定的私有设备密钥privkFD1分配设备特定的授权证明C-FD1。所述设备中存在的设备特定的授权证明C-FD1可以是例如第一设备FD1的制造商证书，并且设备特定的私有设备密钥privkFD1可以是私有制造商密钥。由此能够明确地检查由哪个设备提出了请求消息CERTReq。

此外还可能的是，附加地使用所述配置模块的私有密钥来对证书请求消息CERTReq签名。为此，将私有配置模块认证密钥privkCMS存储在配置模块CM上，参见图3。在一种变型中，配置模块CM具有安全元件CM-SE，以便借助于存储在配置模块CM上的私有配置模块认证密钥privkCMS来形成数字签名。第一设备FD1根据所形成的证书请求消息将签名请求传输到配置模块CM。所述配置模块将所形成的签名提供给第一设备FD1。在另一变型中，通过第一设备FD1能够从配置模块CM1中读取私有配置模块认证密钥privkCMS1，从而第一设备FD1本身可以形成所述签名。

现在将经过签名的请求消息CERTReq与例如配置模块CM的注册授权信息一起传输到授权设备BE。可以由第一设备FD1从配置模块CM读取所述注册授权信息（例如，密码、PIN码、JSON Web令牌）。授权设备BE检查所述请求消息，参见S4，并且与请求消息CERTReq相对应地颁发配置特定的授权证明C-Kn，并将配置模块特定的授权证明C-Kn1例如作为数字证书提供给第一设备FD1，参见S5。

第一设备FD1存储所颁发的配置模块特定的授权证明C-Kn1，参见S6，并且现在可以使用所述配置模块特定的授权证明C-Kn1，以便相对于其他设备FD2，FD3，FD4，FD5、网关GW或服务服务器DS来认证自己，参见S7。

如果配置模块CM1与第一设备FD1分离，参见S8，则优选地从第一设备FD1向授权设备BE发送撤销消息REV，以撤销配置模块特定的授权证明C-Kn1，参见S9。然后，授权设备BE撤销配置模块特定的授权证明C-Kn1。

相对于上述对配置模块特定的授权证明C-Kn1的撤销附加地或替代地，可以由第一设备FD1向配置模块CM1提供撤销信息RVI，该撤销信息优选地表明第一设备FD1的配置模块特定的授权证明C-Kn1。也就是说，该撤销信息RVI存储在配置模块CM1上。这可以例如在方法步骤S6中执行。

现在，在图2B中示出了在配置模块CM1例如从第一设备FD1更换到第二设备FD2上时的消息流程。

在配置模块CM1例如从第一设备FD1更换到第二设备FD2上时，在配置模块CM1与第二设备FD2连接之后，参见S9，由配置模块CM1将所述配置数据和撤销信息RVI提供给第二设备FD2并在第二设备处接收，参见方法步骤S2.1。第二设备FD2与图2A中示出和描述的方法步骤S3、S4、S5相对应地向授权设备BE请求新的配置模块特定的授权证明C-Kn2，并将该授权证明存储在第二设备FD1中，参见S6。

现在，第二设备FD2可以借助撤销信息RVI来向授权设备BE撤销优选同样通过来自配置模块CM1的信息来标识的撤销消息REV，参见S10。为第一设备FD1颁发的配置模块特定的授权证明C-Kn1现在是被撤销的，并且因此不再有效。方法步骤S10也可以在较早的时间点执行，例如在请求新的配置模块特定的授权证明之前，参见方法步骤S3，或者在为第二设备FD2传送配置模块特定的授权证明之前，参见方法步骤S5。然后，第二设备FD2借助于配置模块特定的授权证明C-Kn2来认证自己，参见S7。

现在，图2C示出了在配置模块CM1从第一设备FD1更换到第二设备FD2中之后用于撤销配置模块特定的授权证明C-Kn1的另一变型，参见方法步骤S9。

在读取配置模块CM1时，参见S2，附加地读取授权信息AI，该授权信息AI授权：撤销为第一设备FD1所颁发的配置模块特定的授权证明C-Kn1。授权信息AI在请求消息CERTReq中传送到授权设备BE，所述请求消息用于为第二设备FD2请求新的配置模块特定的授权证明C-Kn2，参见S3.1。授权设备BE基于授权信息AI识别第一设备FD1的待撤销的授权证明C-Kn1并独立地撤销该授权证明，参见方法步骤S4.1。此外，授权设备BE以已经描述的方式为第二设备FD2传送所请求的配置模块特定的授权证明C-Kn2，参见方法步骤S5。

因此，在该实施例中，也仅存在一个有效的配置模块特定的授权证明。然后，第二设备FD2借助于配置模块特定的授权证明C-Kn2来认证自己，参见S7。

现在，图3描述了配置模块CM的实施例。配置模块CM包括用于将所述配置模块与设备FD连接的接口FDI。设备接口FDI与存储器CMS连接。所述存储器通过设备接口FDI不仅允许读访问而且允许写访问。存储器CMS可以被构造为例如存储器芯片。在存储器CMS上存储信息，例如配置模块标识CM-ID、配置模块特定的设备信息Kn、设备标识符Gn、配置模块标识符KDI、撤销信息RVI、授权信息AI、注册授权信息RAI以及设备的其他配置数据。设备标识符Gn优选是规划的设备名称。

在一种变型中，配置模块CM具有安全元件CM-SE，以便借助于存储在配置模块CM上的私有配置模块认证密钥privkCMS来形成数字签名。配置模块认证密钥privkCMS优选地存储在安全元件CM-SE上。

在图4中示出了设备FD，例如所提到的第一或第二设备FD1，FD2。设备FD具有优选被构造为微处理器的控制单元CPU、存储器RAM、网络接口NWIF、用于连接例如传感器和执行器的输入/输出接口I/O、配置模块接口CMI以及安全存储元件SE。

配置模块CM包括配置数据，所述配置数据特别是包括可规划的设备名称Gn-ID，例如可预给定的字符串。所述配置数据优选地还包括注册授权信息，例如注册码或JSON Web令牌。

安全存储元件SE被构造为例如安全地存储密码密钥并且执行密码操作。安全存储元件SE可以被构造为单独的硬件安全模块，或构造为“片上系统”的集成的安全的元件，也称为安全元件，其中除了控制单元外还设置受保护的安全区域。“片上系统”上的这种安全区域可以例如是值得信赖的执行环境（Trusted Execution Environment（受信任执行环境）TEE）、硬件加密引擎、安全保卫扩展（Security Guard Extension）SGX或集成的受信任平台模块TPM。在另一种变型中，“片上系统”可以具有安全的存储区域，该存储区域例如由专用物理保护层实现，使得即使在芯片壳体打开的情况下也不能够容易地读取或操纵所述安全的存储区域。此外，可以设置篡改传感器，例如用于监视供给电压、温度或时钟信号，以及诸如光传感器、辐射传感器、接近传感器或金属丝网传感器的入侵传感器。

安全存储元件SE存储配置模块特定的授权证明C-Kn，例如设备证书和所属的私有密钥，设备FD可以利用该私有密钥来认证自己。配置模块特定的授权证明C-Kn包括第一设备FD1的固定的设备特定的标识符FD1-ID，例如序列号、设备的制造商、设备类型信息或设备的版本。在此，这些信息中的一个或多个可以被包含在设备特定的授权证明中和/或被包含在所述设备的配置模块特定的授权证明C-Kn中。

控制单元CPU识别出配置模块CM与设备FD连接，即配置模块CM被插上或更换。控制单元CPU从配置模块CM中读取存储的配置信息，以便根据所述配置信息执行控制和监视任务。其例如可以是用于调节比例份额的参数，用于积分器、微分器的参数或者也可以是用于有存储器可编程的控制装置的规划数据。

设备FD的安全存储元件SE或控制单元CPU被构造为，在读取存储在所述配置模块上的信息时或在读取存储在所述配置模块上的信息之后生成新的配置密钥对，并产生请求消息，例如针对作为授权证明C-Kn的数字证书的请求消息。该请求消息包括所生成的公共密钥pubkCM、设备特定的设备标识符FD1-ID以及配置特定的设备信息，特别是规划的设备名称Gn-ID。

因此，第一设备FD1可以在内部安全地存储密钥以及用于设备认证的配置模块特定的授权证明C-Kn。尽管如此，通过将配置模块CM1插入新的第二设备FD1中，还可以容易地更换设备FD。

所描述或表示的所有特征在本发明的范畴内可以有利地彼此组合。本发明不限于所描述的实施例。