DE102012213155A1 - Embedded device e.g. smart gas meter, has safety units provided in different protected areas, where one safety unit is arranged to unlock one of safety functions of another safety unit by predetermined de-energizing signal - Google Patents

Embedded device e.g. smart gas meter, has safety units provided in different protected areas, where one safety unit is arranged to unlock one of safety functions of another safety unit by predetermined de-energizing signal Download PDF

Info

Publication number
DE102012213155A1
DE102012213155A1 DE201210213155 DE102012213155A DE102012213155A1 DE 102012213155 A1 DE102012213155 A1 DE 102012213155A1 DE 201210213155 DE201210213155 DE 201210213155 DE 102012213155 A DE102012213155 A DE 102012213155A DE 102012213155 A1 DE102012213155 A1 DE 102012213155A1
Authority
DE
Germany
Prior art keywords
unit
security
security unit
safety
protected area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE201210213155
Other languages
German (de)
Inventor
Rainer Falk
Steffen Fries
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE201210213155 priority Critical patent/DE102012213155A1/en
Publication of DE102012213155A1 publication Critical patent/DE102012213155A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • G06F21/87Secure or tamper-resistant housings by means of encapsulation, e.g. for integrated circuits
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Abstract

The device (1) has a set of safety units (2, 4) that is provided in different protected areas (B1, B2), where one of the areas is more protected than another area. One of the safety units is arranged for execution of a number of safety functions for an associated data processing unit (3). Another safety unit is arranged for execution of another number of safety functions for another associated data processing unit (5). The former safety unit is arranged to unlock one of the safety functions of the latter safety unit by a predetermined de-energizing signal (F). The safety units are designed as trusted platform module or machine-to-machine security module. The processing units are formed as control unit and communication modules.

Description

Die vorliegende Erfindung betrifft eine Vorrichtung mit Sicherheitseinheiten in unterschiedlich geschützten Bereichen. The present invention relates to a device with safety units in differently protected areas.

Vorrichtungen, wie eingebettete Systeme (Embedded Systems), wie z.B. Steuergeräte, intelligente Zähler (Smart Meter) oder Feldgeräte, realisieren häufig kryptographische Sicherheitsfunktionen. Dazu muss ein kryptographischer Schlüssel auf der Vorrichtung so gespeichert werden, dass er auch bei direktem Zugriff auf die Vorrichtung nicht bzw. nicht mit praktikablem Aufwand auslesbar ist. Gleichermaßen besteht häufig der Wunsch nach einer modularen Vorrichtung, bei welcher z.B. ein Kommunikationsmodul wechselbar ist. Durch einen Tausch des Kommunikationsmoduls können unterschiedliche Kommunikationsstandards, wie z.B. Ethernet, Power Line Communication (PLC), WLAN (Wireless Local Area Network) oder UMTS (Universal Mobile Telecommunications System), unterstützt werden. Devices such as embedded systems, e.g. Control units, smart meters or field devices often implement cryptographic security functions. For this purpose, a cryptographic key must be stored on the device so that it is not readable or even with direct access to the device with practical effort. Similarly, there is often a desire for a modular device in which e.g. a communication module is changeable. By exchanging the communication module, different communication standards, such as e.g. Ethernet, Power Line Communication (PLC), WLAN (Wireless Local Area Network) or UMTS (Universal Mobile Telecommunications System).

Ferner sind intelligente Zähler (Smart Meter) bekannt, die insbesondere aus einem eichpflichtigen Modul und aus einem wechselbaren Kommunikationsmodul bestehen. Furthermore, smart meters are known, which consist in particular of a custody transfer module and a removable communication module.

Bei solchen intelligenten Zählern kann auch ein Zusatzmodul mittels eines Plug-and-Play-Protokolls an ein Basismodul angebunden werden. Dabei speichert das Zusatzmodul die IP-Adresse des Basismoduls als Datenquelle für die Messwerte. In such smart meters, an additional module can be connected to a base module by means of a plug-and-play protocol. The add-on module saves the IP address of the base module as a data source for the measured values.

Ferner kann ein solches Smart Meter auch mehrere Plomben aufweisen, insbesondere eine Eichplombe und eine Betriebsplombe. Nach Brechen der jeweiligen Plombe sind unterschiedliche Funktionalitäten zugänglich. Das Basismodul kann kryptographische Operationen durchführen, z.B. eine Signatur eines Messwertes berechnen. Ebenso kann das Zusatzmodul andere kryptographische Operationen durchführen, z.B. die Verschlüsselung der Datenkommunikation. Furthermore, such a smart meter can also have a plurality of seals, in particular a calibration seal and an operating seal. After breaking the respective seal different functionalities are accessible. The base module can perform cryptographic operations, e.g. calculate a signature of a measured value. Likewise, the add-on module may perform other cryptographic operations, e.g. the encryption of the data communication.

Es ist durch das derzeit entstehende Schutzprofil (Protection Profile) und die dazugehörige technische Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Deutschlands bekannt, dass ein Smart Meter ein Sicherheitsmodul aufweist, welches für die kryptographische Sicherung einer WAN-Verbindung (WAN, Wide Area Network) über SSL/TLS vorgesehen ist. Die Messeinheit des Smart Meters, welche dem Kommunikationsmodul Messwerte bereitstellt, kann die Messwerte signieren. Ferner ist bekannt, dass das Sicherheitsmodul des Kommunikationsmoduls die digitale Signatur empfangener Messdaten prüft und die Daten erneut signiert, bevor diese an ein Back-End-System oder einen Back-End-Server übertragen werden. It is known by the currently emerging protection profile (Protection Profile) and the associated technical guideline of the Federal Office for Information Security (BSI) of Germany, that a smart meter has a security module, which for the cryptographic security of a WAN connection (WAN, Wide Area Network) over SSL / TLS is provided. The measuring unit of the smart meter, which provides measured values to the communication module, can sign the measured values. It is also known that the security module of the communication module checks the digital signature of received measurement data and re-signs the data before it is transmitted to a back-end system or a back-end server.

Des Weiteren sind Hardware-Security-ICs bekannt, die ähnlich wie eine Chipkarte kryptographische Schlüssel speichern und kryptographische Operationen durchführen können. Solche Hardware-Security-ICs verfügen herkömmlicherweise über einen Schutz gegen unbefugten Eingriff (Tamperschutz) des ICs selbst. Beispiele hierfür sind die Verwendung einer Passivierungsschicht und Sensoren auf dem IC, um ein Öffnen des ICs zu erkennen. Furthermore, hardware security ICs are known, which can store cryptographic keys and perform cryptographic operations similar to a chip card. Such hardware security ICs have traditionally been protected against tampering by the IC itself. Examples include the use of a passivation layer and sensors on the IC to detect opening of the IC.

Insgesamt sind typische Maßnahmen eines Security-ICs der Einsatz von Sensoren, um ungewöhnliche Betriebszustände zu erfassen, z.B. über Licht- oder Temperaturerfassung, fehlererkennende bzw. fehlerkorrigierende Schutzmaßnahmen für Speicher und Buskommunikation, redundante Ausführungen von Befehlen, verschlüsselte Daten und Buskommunikation, unregelmäßige Verdrahtungsmasken, Passivierung oder Schutzschichten auf der Chipoberfläche oder modifizierte Fertigungsverfahren, bei denen sensitive Daten in "tieferen" Schichten des Halbleiterbausteins liegen. Overall, typical measures of a security IC are the use of sensors to detect unusual operating conditions, e.g. via light or temperature detection, fault-detecting or error-correcting protective measures for memory and bus communication, redundant executions of commands, encrypted data and bus communication, irregular wiring masks, passivation or protective layers on the chip surface or modified manufacturing processes in which sensitive data in "deeper" layers of the semiconductor device lie.

Bei herkömmlichen Personalcomputern (PCs) ist bekannt, dass durch einen Schalter ein Öffnen des Gehäuses des PCs detektiert wird. Dadurch kann z.B. eine Alarmnachricht an einen Nutzer oder einen Administrator erzeugt werden. Eine solche Alarmnachricht ist auch als Case Opening Warning bekannt. In conventional personal computers (PCs) it is known that opening of the housing of the PC is detected by a switch. Thereby, e.g. an alarm message is generated to a user or an administrator. Such an alarm message is also known as Case Opening Warning.

Bei Feuermeldern oder Diebstahls-/Einbruchmeldern sind Schalter bekannt, die ein Öffnen des Gehäuses erkennen oder ein Entfernen des Meldegerätes, z.B. Abschrauben von einer Wand. In fire detectors or theft / burglar alarms, switches are known which detect opening of the housing or removal of the signaling device, e.g. Unscrew from a wall.

Des Weiteren sind tampergeschützte Sicherheitsmodule (Hardware Security Module, HSM) bekannt. Solche tampergeschützten Sicherheitsmodule speichern kryptographische Schlüssel und führen kryptographische Operationen aus. Diese Sicherheitsmodule können über physikalische Tamperschutzsensoren verfügen. So können beispielsweise Licht, Ionenstrahlung und Temperatur durch Sensoren überwacht werden. Ferner kann ein mechanisches Eindringen durch eine Tamperschutzfolie (Wire Mesh) oder Schalter erkannt werden. Bei einem unbefugten Eingriff können gespeicherte Schlüssel gelöscht werden. Furthermore, tamper-protected security modules (hardware security modules, HSM) are known. Such tamper-protected security modules store cryptographic keys and perform cryptographic operations. These security modules may have physical tamper protection sensors. For example, light, ion radiation and temperature can be monitored by sensors. Furthermore, a mechanical penetration can be detected by a tamper protection foil (wire mesh) or switch. In case of an unauthorized intervention stored keys can be deleted.

Ferner bietet die Firma Maxim sichere Speicherbausteine an, an welche Tampersensoren anschließbar sind. Bei einem erkannten unbefugten Eingriff (Tamper-Event) werden gespeicherte Daten gelöscht. Dabei wird allerdings eine Backup-Batterie benötigt, damit auch ohne externe Stromversorgung gespeicherte Daten gelöscht werden können. Im Betrieb werden Speicherwerte laufend gewechselt, um ein physikalisches "Einbrennen" der Schlüsselbits in den Halbleiter zu verhindern. Ein solcher sicherer Speicher kann z.B. innerhalb eines vergossenen, durch ein Tamper-Mesh-geschütztes Sicherheitsmodul (Security Module) zur sicheren Schlüsselspeicherung verwendet werden. Ein Beispiel hier ist das Produkt Maxim DS3645 . Furthermore, the Maxim company offers secure memory modules to which tamping sensors can be connected. If a tamper event is detected, stored data is deleted. However, a backup battery is required so that even without external power supply stored data can be deleted. In operation, memory values are continually changed to prevent physical "burn-in" of the key bits into the semiconductor. Such a For example, secure memory may be used within a potted tamper-mesh protected security module for secure key storage. An example here is the product Maxim DS3645 ,

Ferner ist es bekannt, ein Messgerät oder einen intelligenten Zähler zu verplomben. Bei einer Ablesung kann anhand der Plombe erkannt werden, ob eine Manipulation innerhalb des verplombten Bereichs erfolgte. Auch ist bekannt, Sicherheitssiegel oder Sicherheits-Label aufzukleben, mit denen ein Öffnen eines Gehäuses erkannt werden kann. Furthermore, it is known to seal a meter or an intelligent meter. During a reading, the seal can be used to detect whether a manipulation occurred within the sealed area. It is also known to glue safety seals or security labels, with which an opening of a housing can be detected.

Der intelligente Zähler selbst kann vor Manipulationen durch spezielle Tamperschutzmaßnahmen geschützt werden. Dazu können z.B. speziell verschlossene, nicht öffnen- und wiederverschließbare Gehäuse verwendet werden. Beispielsweise werden bei solchen nicht öffnen- und wiederverschließbaren Gehäusen keine Schrauben, verklebte Gehäuseschalen oder nicht zu öffnende Snap-in-Einrastungen verwendet. Auch ist bekannt, dass durch Sensoren eine Bewegung oder Neigung eines intelligenten Zählers sowie ein Entfernen von einer Befestigung detektiert werden kann. Auch ein GPS-Empfänger kann eingebaut werden, so dass der intelligente Zähler anhand der mit Hilfe des GPS-Satelliten-Navigationssystems ermittelten Position erkennen kann, ob es sich noch am vorgesehenen Ort befindet. Dies wird auch als Location-Lock bezeichnet. The intelligent meter itself can be protected against manipulation by special Tamperschutzmaßnahmen. For this, e.g. specially closed, non-open and resealable housings are used. For example, in such non-open and resealable housings, no screws, bonded housing shells, or non-openable snap-in detents are used. It is also known that a movement or inclination of an intelligent counter and a removal of a fastening can be detected by sensors. A GPS receiver can also be installed so that the smart meter can tell from the GPS satellite navigation system if it is still in its intended location. This is also called location-lock.

Weiter können in einem intelligenten Zähler auch Sicherheitsbausteine (ICs) verwendet werden, um Programmcode, Konfigurationsdaten und Messwerte manipulationsgeschützt zu speichern. Auch können einzelne Bausteine oder ein ganzer intelligenter Zähler mit einem physikalischen Manipulationsschutz versehen werden, z.B. indem sie in Epoxydharz vergossen werden. Ebenfalls ist es möglich, die Platine oder einen Teil der Platine des intelligenten Zählers mit Metallhüllen abzudecken, die als Kondensator wirken. Werden diese Platten entfernt, so ändert sich die Kapazität und ein Tamperalarm kann ausgelöst werden. Furthermore, safety components (ICs) can also be used in an intelligent counter to store program code, configuration data and measured values protected against tampering. Also, individual building blocks or an entire smart meter may be provided with physical tamper protection, e.g. by being cast in epoxy resin. It is also possible to cover the board or part of the smart meter board with metal sheaths acting as a capacitor. When these plates are removed, the capacity changes and a tamper alarm can be triggered.

Das Dokument US 2007/103334 A beschreibt die Erkennung einer Bewegung eines intelligenten Zählers von mehr als einer vorgegebenen Entfernung als Tamper-Event. In diesem Dokument wird auch erwähnt, dass bei einer Stromunterbrechung durch Vergleich des Stromverbrauchsprofils vor und nach der Stromunterbrechung ein Vertauschen eines Stromzählers erkannt werden kann, so dass eine Tampermeldung erzeugt wird. The document US 2007/103334 A describes the detection of a movement of an intelligent counter of more than a predetermined distance as a tamper event. It is also mentioned in this document that, in the event of a power interruption, by comparing the power consumption profile before and after the power interruption, swapping of an electricity meter can be detected so that a tamper message is generated.

Weiterhin ist bekannt, einen Stromdiebstahl dadurch zu erkennen, dass mehrere Messgeräte installiert werden, z.B. im Haushalt und in der Verteilstation, um einen Stromdiebstahl auf der dazwischen liegenden Stromübertragungsstrecke anhand einer Abweichung der gemessenen Strommenge zu erkennen. Ein intelligenter Zähler zur Stromverbrauchsmessung kann durch Sensoren Strom, Spannung und Phase messen, um den Stromverbrauch zu ermitteln. Dabei kann es abweichende Messgrößen als Manipulationsversuche erkennen. So kann z.B. bei einer Stromverbrauchsmessung ein rückwärts fließender Strom erkannt werden, oder auch eine offene Kabelverbindung kann erkannt werden. Ferner ist bekannt, bei fernauslesbaren Zellen die erfassten Messdaten kryptographisch geschützt zu einem Messwerte-Erfassungsserver zu übertragen. Furthermore, it is known to detect power theft by installing several meters, e.g. in the household and in the distribution station, to detect a power theft on the intermediate power transmission line based on a deviation of the measured amount of electricity. An intelligent power meter can use sensors to measure current, voltage and phase to determine power consumption. It can detect deviating measured variables as manipulation attempts. Thus, e.g. When a power consumption measurement, a reverse flowing current can be detected, or even an open cable connection can be detected. Furthermore, it is known that in the case of remote-readable cells, the acquired measurement data is transmitted cryptographically protected to a measured value acquisition server.

Demzufolge ist es eine Aufgabe der vorliegenden Erfindung, eine verbesserte Vorrichtung mit Sicherheitseinheiten in unterschiedlich geschützten Bereichen zu schaffen. Accordingly, it is an object of the present invention to provide an improved device having security units in different protected areas.

Demgemäß wird eine Vorrichtung mit Sicherheitseinheiten in unterschiedlich geschützten Bereichen vorgeschlagen. Dabei weist ein stärker geschützter Bereich eine erste Sicherheitseinheit zur Ausführung einer Anzahl von ersten Sicherheitsfunktionen für eine zugeordnete erste Datenverarbeitungseinheit und ein schwächer geschützter Bereich eine zweite Sicherheitseinheit zur Ausführung einer Anzahl von zweiten Sicherheitsfunktionen für eine zugeordnete zweite Datenverarbeitungseinheit auf. Die zweiten Sicherheitsfunktionen umfassen zumindest eine freizuschaltende Sicherheitsfunktion, wobei die erste Sicherheitseinheit dazu eingerichtet ist, die zumindest eine freizuschaltende Sicherheitsfunktion der zweiten Sicherheitseinheit mittels eines vorbestimmten Freischaltsignals freizuschalten. Accordingly, a device with security units in differently protected areas is proposed. In this case, a more protected area has a first security unit for executing a number of first security functions for an associated first data processing unit, and a less protected area has a second security unit for executing a number of second security functions for an associated second data processing unit. The second safety functions comprise at least one safety function to be enabled, wherein the first safety unit is set up to enable the at least one safety function of the second safety unit to be unlocked by means of a predetermined enable signal.

Dadurch, dass die zumindest eine freizuschaltende Sicherheitsfunktion der zweiten Sicherheitseinheit in dem schwächer geschützten Bereich durch die erste Sicherheitseinheit des stärker geschützten Bereichs freigeschaltet werden muss, wird der höhere Schutz des stärker geschützten Bereiches für die in dem schwächer geschützten Bereich angeordnete zweite Sicherheitseinheit mitgenutzt. Damit wird die Sicherheit der Vorrichtung insgesamt erhöht. Because the at least one safety function of the second safety unit to be unlocked in the less protected area must be enabled by the first safety unit of the more protected area, the higher protection of the more protected area is shared for the second safety unit arranged in the less protected area. This increases the overall safety of the device.

Insbesondere sind alle Sicherheitsfunktionen der zweiten Sicherheitseinheit freizuschaltende Sicherheitsfunktionen. Dann kann die in dem schwächer geschützten Bereich angeordnete zweite Sicherheitseinheit nur zusammen mit der stärker geschützten Sicherheitseinheit des stärker geschützten Bereiches genutzt werden. Der Schutz der unterschiedlich geschützten Bereiche ist relativ zueinander zu sehen, d.h. der stärker geschützte Bereich hat einen stärkeren Schutz als der schwächer geschützte Bereich. Der Schutz umfasst insbesondere den physikalischen Schutz vor unbefugtem Eingriff. In particular, all safety functions of the second safety unit are to be released safety functions. Then the second security unit located in the less protected area can only be used together with the more protected security unit of the more protected area. The protection of the different protected areas is to be seen relative to each other, i. the more sheltered area has more protection than the less sheltered area. The protection includes in particular the physical protection against unauthorized intervention.

Die freizuschaltende Sicherheitsfunktion ist ohne eine Freischaltung durch das Freischaltsignal nicht aktiviert und kann demnach nicht ausgeführt werden. Die freizuschaltende Sicherheitsfunktion wird durch das Freischaltsignal freigeschalten und somit aktiviert. The safety function to be unlocked is not activated without activation by the activation signal and therefore can not be executed. The safety function to be unlocked is enabled by the enable signal and thus activated.

Die jeweilige Sicherheitseinheit ist insbesondere eine kryptographische Sicherheitseinheit. Damit sind die von den Sicherheitseinheiten ausführbaren Sicherheitsfunktionen insbesondere kryptographische Sicherheitsfunktionen, welche insbesondere Verschlüsselung und digitale Signatur umfassen. The respective security unit is in particular a cryptographic security unit. Thus, the security functions executable by the security units are, in particular, cryptographic security functions, which in particular include encryption and digital signature.

Bei einer Ausführungsform umfasst das vorbestimmte Freischaltsignal zum Freischalten der zumindest einen freizuschaltenden Sicherheitsfunktion der zweiten Sicherheitseinheit zumindest einen Sicherheitsparameter. Der Sicherheitsparameter ist insbesondere ein Passwort, eine Persönliche Identifikationsnummer oder ein kryptographischer Parameter. In one embodiment, the predetermined enabling signal for enabling the at least one safety function to be enabled by the second safety unit comprises at least one safety parameter. The security parameter is in particular a password, a personal identification number or a cryptographic parameter.

Durch die Verwendung des Sicherheitsparameters als Teil des Freischaltsignals wird das Freischalten der zweiten Sicherheitseinheit gesichert. Des Weiteren kann das Freischaltsignal auch verschlüsselt übertragen werden, so dass die Sicherheit weiter erhöht wird. The use of the safety parameter as part of the activation signal secures the activation of the second safety unit. Furthermore, the activation signal can also be transmitted encrypted, so that the security is further increased.

Bei einer weiteren Ausführungsform ist die Vorrichtung als ein intelligenter Zähler, insbesondere als ein intelligenter Stromzähler ausgebildet. In a further embodiment, the device is designed as an intelligent counter, in particular as an intelligent electricity meter.

Bei einer weiteren Ausführungsform ist die Vorrichtung als ein intelligenter Gaszähler ausgebildet. In a further embodiment, the device is designed as an intelligent gas meter.

Bei einer weiteren Ausführungsform ist die Vorrichtung als ein Feldgerät, insbesondere für eine Ampelsteuerung, ausgebildet. In a further embodiment, the device is designed as a field device, in particular for a traffic light control.

Bei einer weiteren Ausführungsform ist die Vorrichtung als ein Steuergerät, insbesondere für ein Kraftfahrzeug, ausgebildet. In a further embodiment, the device is designed as a control device, in particular for a motor vehicle.

Bei einer weiteren Ausführungsform ist die erste Sicherheitseinheit dazu eingerichtet, einen Zustand der zweiten Sicherheitseinheit zu überwachen und die zumindest eine freizuschaltende Sicherheitsfunktion der zweiten Sicherheitseinheit in Abhängigkeit des überwachten Zustands freizuschalten. In a further embodiment, the first security unit is set up to monitor a state of the second security unit and to enable the at least one safety function of the second security unit to be enabled in dependence on the monitored state.

Somit wird das Freischalten der zweiten Sicherheitseinheit ereignisgetriggert durchgeführt. Somit muss die freizuschaltende Sicherheitsfunktion der zweiten Sicherheitseinheit nicht bei einer jeden Anwendung freigeschaltet werden. Thus, the activation of the second security unit is performed event triggered. Thus, the safety function of the second safety unit to be unlocked does not have to be enabled for each application.

Bei einer weiteren Ausführungsform ist die erste Sicherheitseinheit dazu eingerichtet, die zumindest eine freizuschaltende Sicherheitsfunktion der zweiten Sicherheitseinheit bei zumindest einem der folgenden Ereignisse mittels des vorbestimmten Freischaltsignals freizuschalten:

  • – Hochfahren der zweiten Sicherheitseinheit,
  • – Batteriewechsel einer Batterie der zweiten Sicherheitseinheit,
  • – jeweils nach Ablauf einer vorbestimmten Zeitdauer im Betrieb der zweiten Sicherheitseinheit,
  • – bei einem Aufbau einer Datenverbindung der zweiten Sicherheitseinheit zu einer externen Einrichtung.
In a further embodiment, the first safety unit is set up to enable the at least one safety function of the second safety unit to be unlocked in at least one of the following events by means of the predetermined enable signal:
  • - raising the second security unit,
  • Battery replacement of a battery of the second security unit,
  • Each time a predetermined period of time has elapsed during operation of the second security unit,
  • - In a structure of a data connection of the second security unit to an external device.

Bei einer weiteren Ausführungsform ist der stärker geschützte Bereich verplombt oder vergossen. Der stärker geschützte Bereich ist insbesondere mittels eines Epoxydharzes vergossen. In another embodiment, the more protected area is sealed or potted. The more protected area is cast in particular by means of an epoxy resin.

Verplomben oder Vergießen sind technisch einfach realisierbare Möglichkeiten, einen Bereich der Vorrichtung stärker zu schützen als andere. Sealing or potting are technically feasible ways to protect one area of the device stronger than others.

Bei einer weiteren Ausführungsform sind der stärker geschützte Bereich und der schwächer geschützte Bereich getrennt. In a further embodiment, the more protected area and the less protected area are separated.

Durch die Trennung des stärker geschützten Bereiches und des schwächer geschützten Bereiches können diese auch zueinander modular aufgebaut sein. Durch den modularen Aufbau kann beispielsweise ein eichpflichtiger Messsystem-Teil in dem stärker geschützten Bereich mit unterschiedlichen Kommunikationsmodulen in dem schwächer geschützten Bereich kombiniert werden. Durch die Verwendung unterschiedlicher Kommunikationsmodule können auch unterschiedliche Kommunikationsstandards, wie beispielsweise WLAN, WiFi, Ethernet und dergleichen, eingesetzt werden. Due to the separation of the more protected area and the less protected area, they can also be modular in relation to one another. Due to the modular structure, for example, a part of the measuring system subject to calibration in the more protected area can be combined with different communication modules in the less protected area. By using different communication modules and different communication standards, such as WLAN, WiFi, Ethernet and the like, can be used.

Bei einer weiteren Ausführungsform integriert ein Gehäuse der Vorrichtung den stärker geschützten Bereich und den schwächer geschützten Bereich, wobei eine Gehäusetrennwand den stärker geschützten Bereich und den schwächer geschützten Bereich trennt. In another embodiment, a housing of the device integrates the more protected area and the less protected area, with a housing bulkhead separating the more protected area and the less protected area.

Bei einer weiteren Ausführungsform sind die erste Sicherheitseinheit und die zweite Sicherheitseinheit dazu eingerichtet, dass die zweite Sicherheitseinheit eine Anfrage-Antwort-Authentisierung (Challenge-Response-Authentication) der ersten Sicherheitseinheit durchführt, wobei die zweite Sicherheitseinheit ferner dazu eingerichtet ist, das Freischaltsignal aus der Antwort der ersten Sicherheitseinheit zu extrahieren. In a further embodiment, the first security unit and the second security unit are configured such that the second security unit performs a challenge-response authentication of the first security unit, wherein the second security unit is further configured to release the release signal from the first security unit Extract response of the first security unit.

Bei dieser Ausführungsform muss das Freischaltsignal nicht extra zu der zweiten Sicherheitseinheit übertragen werden, da das Freischaltsignal aus der Antwort der ersten Sicherheitseinheit extrahierbar ist. Beispielsweise wird dann die digitale Signatur einer Nachricht mit Messdaten nicht nur dazu verwendet, dass ein mit dem schwächer geschützten Bereich verbundener Back-End-Server eine empfangene Energieverbrauchsinformation in Abhängigkeit der Messwerte prüfen kann, sondern innerhalb der Vorrichtung selbst durch die zweite Datenverarbeitungseinheit, um die zweite Sicherheitseinheit freizuschalten oder deren Freischaltung aufrechtzuerhalten. In this embodiment, the enable signal does not have to be extra to the second one Security unit are transmitted because the enabling signal from the response of the first security unit is extractable. For example, the digital signature of a message with measurement data is then used not only for a back-end server connected to the less protected area to check received energy consumption information in dependence on the measured values, but within the device itself for the second data processing unit unlock the second security unit or maintain its activation.

In einer anderen Variante kann die zweite Sicherheitseinheit auch als ein eingebettetes Modul ausgebildet sein, welches einen sicheren Boot-Vorgang durch Signieren einer Attestation eines PCR-Registers (PCR, Platform Configuration Register) attestiert. Diese Attestation wird dann der zweiten Sicherheitseinheit bereitgestellt und durch diese geprüft. In another variant, the second security unit can also be embodied as an embedded module, which attests a secure boot process by signing an attestation of a PCR register (PCR, Platform Configuration Register). This attestation is then provided to and checked by the second security unit.

Bei einer weiteren Ausführungsform sind die erste Sicherheitseinheit und die zweite Sicherheitseinheit dazu eingerichtet, dass die erste Sicherheitseinheit die Identität der zweiten Sicherheitseinheit authentisiert und in Abhängigkeit der authentisierten Identität der zweiten Sicherheitseinheit ein Bestätigungssignal zur Bestätigung einer Verbindung zwischen der ersten Sicherheitseinheit und der zweiten Sicherheitseinheit generiert. Zur Authentisierung wird insbesondere eine Anfrage-Antwort-Authentisierung (Challenge-Response-Authentication) eingesetzt. In a further embodiment, the first security unit and the second security unit are configured such that the first security unit authenticates the identity of the second security unit and generates an acknowledgment signal for confirming a connection between the first security unit and the second security unit depending on the authenticated identity of the second security unit. For authentication, in particular a request-response authentication (challenge-response authentication) is used.

Dabei ist das generierte Bestätigungssignal zumindest Teil des Freigabesignals oder das Freigabesignal ist zumindest teilweise aus dem generierten Bestätigungssignal ableitbar. In this case, the generated acknowledgment signal is at least part of the enable signal or the enable signal is at least partially derivable from the generated acknowledgment signal.

Durch das Bestätigungssignal kann vorteilhafterweise eine vorhandene Verbindung zwischen der ersten Sicherheitseinheit und der zweiten Sicherheitseinheit bestätigt und verifiziert werden. Liegt eine solche Verbindung vor, so kann ein unbefugter Eingriff auf die Verbindung zwischen der ersten Sicherheitseinheit und der zweiten Sicherheitseinheit ausgeschlossen werden. By the confirmation signal advantageously an existing connection between the first security unit and the second security unit can be confirmed and verified. If such a connection exists, an unauthorized interference with the connection between the first safety unit and the second safety unit can be ruled out.

Das Bestätigungssignal ist insbesondere ein kryptographisch geschütztes Bestätigungssignal und kann auch als Assertion bezeichnet werden. Die Assertion ist eine Datenstruktur, welche mittels einer kryptographischen Prüfsumme der ersten Sicherheitseinheit geschützt ist. Dazu kann eine digitale Signatur oder ein Message-Authentication-Code eingesetzt werden. Die Datenstruktur der Assertion umfasst vorzugsweise eine Identifizierungsinformation der ersten Sicherheitseinheit, eine Identifizierungsinformation der zweiten Sicherheitseinheit sowie eine Zeitinformation, beispielsweise einen Zähler oder einen Zeitstempel. The acknowledgment signal is in particular a cryptographically protected acknowledgment signal and may also be referred to as an assertion. The assertion is a data structure which is protected by means of a cryptographic checksum of the first security unit. For this purpose, a digital signature or a message authentication code can be used. The data structure of the assertion preferably comprises identification information of the first security unit, identification information of the second security unit and time information, for example a counter or a time stamp.

Die Prüfung der Assertion erfolgt vorzugsweise durch eine dritte Stelle, z.B. durch die CPU (Central Processing Unit) der zweiten Datenverarbeitungseinheit des schwächer geschützten Bereiches, oder durch einen Back-End-Server, z.B. einen Web-Server. Dazu authentisiert sich die CPU der zweiten Datenverarbeitungseinheit gegenüber dem Back-End-Server unter Verwendung einer ersten Sicherheitsinformation der ersten Sicherheitseinheit und einer zweiten Sicherheitsinformation der zweiten Sicherheitseinheit. Eine Authentisierung der zweiten Sicherheitseinheit mit einem Schlüssel der zweiten Sicherheitseinheit wird nur dann akzeptiert, wenn zusätzlich eine Assertion der ersten Sicherheitseinheit vorliegt. The assertion is preferably checked by a third digit, e.g. by the CPU (Central Processing Unit) of the second data processing unit of the less protected area, or by a back-end server, e.g. a web server. For this purpose, the CPU of the second data processing unit authenticates itself to the back-end server using a first security information of the first security unit and a second security information of the second security unit. Authentication of the second security unit with a key of the second security unit is only accepted if there is additionally an assertion of the first security unit.

In einer Variante kann die Authentisierung der zweiten Sicherheitseinheit vorläufig oder temporär akzeptiert werden. Dabei muss innerhalb einer vorgegebenen Zeitspanne über die durch die erste Sicherheitseinheit authentisierte Kommunikationsverbindung eine Assertion der ersten Sicherheitseinheit übertragen werden. Vorteilhafterweise ist in beiden oben beschriebenen Varianten die zweite Sicherheitseinheit alleine, d.h. ohne die erste Sicherheitseinheit, nicht nutzbar oder nur eingeschränkt nutzbar. Die beiden Sicherheitseinheiten sind dadurch funktional aneinander gebunden. Der physikalische starke Tamperschutz der ersten Sicherheitseinheit wirkt somit auf die zweite Sicherheitseinheit. In a variant, the authentication of the second security unit can be provisionally or temporarily accepted. In this case, an assertion of the first security unit must be transmitted within a predetermined period of time via the communication connection authenticated by the first security unit. Advantageously, in both variants described above, the second security unit is alone, i. without the first security unit, not usable or only partially usable. The two security units are thus functionally linked to each other. The physical strong Tamperschutz the first security unit thus acts on the second security unit.

Das Bestätigungssignal kann eingeschränkt gültig sein, z.B. für eine vorgegebene Zeitdauer, z.B. eine Minute, eine Stunde oder einen Tag, oder bis zu einem vorgebbaren Ereignis, z.B. Stromunterbrechung, Verbindungsaufbau oder Verbindungsabbau. The confirmation signal may be restricted, e.g. for a predetermined period of time, e.g. one minute, one hour or one day, or until a predefinable event, e.g. Power interruption, connection establishment or disconnection.

Bei einer weiteren Ausführungsform ist zumindest ein mit der ersten Sicherheitseinheit gekoppelter Sensor zum Erkennen eines unbefugten Eingriffs in die zweite Sicherheitseinheit vorgesehen. Dabei ist die erste Sicherheitseinheit dazu eingerichtet ist, die zweite Sicherheitseinheit bei einem durch den zumindest einen Sensor erkannten unbefugten Eingriff zu sperren. In a further embodiment, at least one sensor coupled to the first safety unit is provided for detecting an unauthorized intervention in the second safety unit. In this case, the first security unit is set up to block the second security unit in the event of an unauthorized intervention detected by the at least one sensor.

Dabei kann bei einem unbefugten Eingriff in oder auf die zweite Sicherheitseinheit diese sofort gesperrt werden. Diese Sperrung übernimmt vorteilhafterweise eine andere Einrichtung, nämlich die erste Sicherheitseinheit. In this case, in an unauthorized intervention in or on the second security unit, these are immediately blocked. This blocking advantageously takes over another device, namely the first security unit.

Bei einer weiteren Ausführungsform ist die erste Sicherheitseinheit als ein Trusted-Platform-Modul ausgebildet. In a further embodiment, the first security unit is designed as a trusted platform module.

Bei einer weiteren Ausführungsform ist die zweite Sicherheitseinheit als ein M2M-Security-Module (M2M, Machine To Machine) ausgebildet. In a further embodiment, the second security unit is designed as an M2M security module (M2M, Machine To Machine).

Bei einer weiteren Ausführungsform sind die erste Sicherheitseinheit und die erste Datenverarbeitungseinheit als eine erste integrierte Baugruppe ausgebildet. In a further embodiment, the first security unit and the first data processing unit are designed as a first integrated module.

Bei einer weiteren Ausführungsform sind die zweite Sicherheitseinheit und die zweite Datenverarbeitungseinheit als eine zweite integrierte Baugruppe ausgebildet. In a further embodiment, the second security unit and the second data processing unit are designed as a second integrated module.

Durch die Ausbildung der integrierten Baugruppen kann ein modularer Aufbau der Vorrichtung bewerkstelligt werden, insbesondere hinsichtlich einer modularen Trennung des stärker geschützten Bereiches und des schwächer geschützten Bereiches. By designing the integrated assemblies, a modular construction of the device can be accomplished, particularly with respect to modular separation of the more protected area and the less protected area.

Bei einer weiteren Ausführungsform ist die erste Datenverarbeitungseinheit als eine Steuereinheit eines Messsystems ausgebildet. In a further embodiment, the first data processing unit is designed as a control unit of a measuring system.

Bei einer weiteren Ausführungsform ist die zweite Datenverarbeitungseinheit als ein Kommunikationsmodul zur Kommunikation mit einer externen Einrichtung ausgebildet. In a further embodiment, the second data processing unit is designed as a communication module for communication with an external device.

Durch das Kommunikationsmodul können die Messwerte des intelligenten Zählers insbesondere digital signiert an die externe Einrichtung, beispielsweise einen Back-End-Server, übertragen werden. By the communication module, the measured values of the intelligent counter can be transmitted, in particular digitally signed, to the external device, for example a back-end server.

Die jeweilige Einheit, Sicherheitseinheit und Datenverarbeitungseinheit, kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein. The respective unit, security unit and data processing unit can be implemented in hardware and / or software technology. In a hardware implementation, the respective unit may be embodied as a device or as part of a device, for example as a computer or as a microprocessor. In a software implementation, the respective unit may be designed as a computer program product, as a function, as a routine, as part of a program code or as an executable object.

Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden. The above-described characteristics, features, and advantages of this invention, as well as the manner in which they will be achieved, will become clearer and more clearly understood in connection with the following description of the embodiments, which will be described in detail in conjunction with the drawings.

Dabei zeigen: Showing:

1 ein Blockschaltbild eines ersten Ausführungsbeispiels einer Vorrichtung mit Sicherheitseinheiten in unterschiedlich geschützten Bereichen; 1 a block diagram of a first embodiment of a device with security units in different protected areas;

2 ein Blockschaltbild eines zweiten Ausführungsbeispiels einer Vorrichtung mit Sicherheitseinheiten in unterschiedlich geschützten Bereichen; 2 a block diagram of a second embodiment of a device with security units in different protected areas;

3 ein Blockschaltbild eines dritten Ausführungsbeispiels einer Vorrichtung mit Sicherheitseinheiten in unterschiedlich geschützten Bereichen; 3 a block diagram of a third embodiment of a device with security units in different protected areas;

4 ein Blockschaltbild eines vierten Ausführungsbeispiels einer Vorrichtung mit Sicherheitseinheiten in unterschiedlich geschützten Bereichen; und 4 a block diagram of a fourth embodiment of a device with security units in different protected areas; and

5 ein erstes Beispiel eines Kommunikationsdiagramms einer Vorrichtung mit Sicherheitseinheiten in unterschiedlich geschützten Bereichen mit einem Server. 5 a first example of a communication diagram of a device with security units in different protected areas with a server.

In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist. In the figures, the same or functionally identical elements have been given the same reference numerals, unless stated otherwise.

In 1 ist ein Blockschaltbild eines ersten Ausführungsbeispiels einer Vorrichtung 1 mit Sicherheitseinheiten 2, 4 in unterschiedlich geschützten Bereichen B1, B2 dargestellt. In 1 is a block diagram of a first embodiment of a device 1 with security units 2 . 4 in different protected areas B1, B2 shown.

Die Vorrichtung 1 ist beispielsweise ein intelligenter Zähler, insbesondere ein intelligenter Stromzähler oder ein intelligenter Gaszähler. Die Vorrichtung 1 kann aber auch als ein Feldgerät oder als ein Steuergerät ausgebildet sein. The device 1 is, for example, an intelligent meter, in particular an intelligent electricity meter or an intelligent gas meter. The device 1 but can also be designed as a field device or as a control device.

Ohne Einschränkung der Allgemeinheit ist die Vorrichtung 1 der 1 in zwei getrennte, unterschiedlich geschützte Bereiche B1, B2 aufgeteilt. Geschützt bezieht sich hier insbesondere auf den Schutz gegen unbefugten Eingriff (Tamperschutz). Without limitation of generality is the device 1 of the 1 divided into two separate, differently protected areas B1, B2. Protected refers in particular to the protection against unauthorized intervention (Tamperschutz).

Der stärker geschützte Bereich B1 weist eine erste Sicherheitseinheit 2 auf. Die erste Sicherheitseinheit 2 ist zur Ausführung einer Anzahl von ersten Sicherheitsfunktionen für eine zugeordnete erste Datenverarbeitungseinheit 3 eingerichtet. Der schwächer geschützte Bereich B2 hat eine zweite Sicherheitseinheit 4 zur Ausführung einer Anzahl von zweiten Sicherheitsfunktionen für eine zugeordnete zweite Datenverarbeitungseinheit 5. The more protected area B1 has a first security unit 2 on. The first security unit 2 is for executing a number of first security functions for an associated first data processing unit 3 set up. The weaker protected area B2 has a second security unit 4 for performing a number of second security functions for an associated second data processing unit 5 ,

Beispielsweise ist der stärker geschützte Bereich B1 verplombt oder vergossen. Hierzu kann beispielsweise ein Epoxydharz verwendet werden. Der stärker geschützte Bereich B1 und der schwächer geschützte Bereich B2 sind voneinander getrennt. Beispielsweise integriert ein Gehäuse 6 der Vorrichtung 1 den stärker geschützten Bereich B1 und den schwächer geschützten Bereich B2, wobei eine Gehäusetrennwand 7 den stärker geschützten Bereich B1 und den schwächer geschützten Bereich B2 trennt. Die erste Sicherheitseinheit 2 ist beispielsweise ein Trusted-Platform-Modul (TPM). Die zweite Sicherheitseinheit 4 ist beispielsweise ein M2M-Security-Modul. Die erste Sicherheitseinheit 2 und die erste Datenverarbeitungseinheit 3 sind beispielsweise als eine erste integrierte Baugruppe ausgebildet. Entsprechend können die zweite Sicherheitseinheit 4 und die zweite Datenverarbeitungseinheit 5 als eine zweite integrierte Baugruppe ausgebildet sein. For example, the more protected area B1 is sealed or potted. For this purpose, for example, an epoxy resin can be used. The more protected area B1 and the less protected area B2 are separated from each other. For example, a housing integrated 6 the device 1 the more protected area B1 and the less protected area B2, wherein a housing partition wall 7 separates the more protected area B1 and the less protected area B2. The first security unit 2 is For example, a Trusted Platform Module (TPM). The second security unit 4 is for example an M2M security module. The first security unit 2 and the first data processing unit 3 For example, they are formed as a first integrated assembly. Accordingly, the second security unit 4 and the second data processing unit 5 be designed as a second integrated module.

Die jeweilige Datenverarbeitungseinheit 3, 5 ist zum Verarbeiten von Daten, insbesondere solchen Daten von der jeweiligen zugeordneten Sicherheitseinheit 2, 4, eingerichtet. Insbesondere ist die erste Datenverarbeitungseinheit 3 eine Steuereinheit eines Messsystems der Vorrichtung 1. Die zweite Datenverarbeitungseinheit 5 ist insbesondere ein Kommunikationsmodul zur Kommunikation der Vorrichtung 1 mit einer externen Einrichtung, beispielsweise einem Server oder einem Back-End-Server. The respective data processing unit 3 . 5 is for processing data, in particular such data from the respective associated security unit 2 . 4 , set up. In particular, the first data processing unit 3 a control unit of a measuring system of the device 1 , The second data processing unit 5 is in particular a communication module for communication of the device 1 with an external device, such as a server or a back-end server.

Die zweiten Sicherheitsfunktionen der zweiten Sicherheitseinheit 4 umfassen zumindest eine freizuschaltende Sicherheitsfunktion. Erst nach einem Freischalten der freizuschaltenden Sicherheitsfunktion ist diese aktiviert. Dabei ist die erste Sicherheitseinheit 2 dazu eingerichtet, die zumindest eine freizuschaltende Sicherheitsfunktion der zweiten Sicherheitseinheit 4 mittels eines vorbestimmten Freischaltsignals F freizuschalten. Mit Bezug zu 1 wird das Freischaltsignal F von der ersten Sicherheitseinheit 2 generiert. Das generierte Freischaltsignal F wird an die zweite Sicherheitseinheit 4 über die erste Datenverarbeitungseinheit 3 und die zweite Datenverarbeitungseinheit 5 übertragen. Diese Datenübertragung des Freischaltsignals F der 1 ist nur beispielhaft. The second security features of the second security unit 4 include at least one safety function to be unlocked. Only after unlocking the safety function to be unlocked is this activated. This is the first security unit 2 to set up the at least one safety function of the second safety unit to be unlocked 4 to unlock by means of a predetermined enable signal F. In reference to 1 becomes the enabling signal F from the first safety unit 2 generated. The generated release signal F is sent to the second security unit 4 via the first data processing unit 3 and the second data processing unit 5 transfer. This data transmission of the enable signal F of 1 is only an example.

Das vorbestimmte Freischaltsignal F zum Freischalten der zumindest einen freizuschaltenden Sicherheitsfunktion der zweiten Sicherheitseinheit 4 umfasst zumindest einen Sicherheitsparameter. Beispiele für solche Sicherheitsparameter sind ein Passwort, eine PIN und ein kryptographischer Parameter. The predetermined enabling signal F for enabling the at least one safety function of the second safety unit to be enabled 4 includes at least one safety parameter. Examples of such security parameters are a password, a PIN and a cryptographic parameter.

Vorzugsweise ist die erste Sicherheitseinheit 2 dazu eingerichtet, einen Zustand der zweiten Sicherheitseinheit 4 zu überwachen und die zumindest eine freizuschaltende Sicherheitsfunktion der zweiten Sicherheitseinheit 4 in Abhängigkeit des überwachten Zustands freizuschalten. Bei den beispielhaften folgenden Zuständen der zweiten Sicherheitseinheit 4 kann die erste Sicherheitseinheit 2 diese oder zumindest die eine freizuschaltende Sicherheitsfunktion dieser freischalten: Hochfahren der zweiten Sicherheitseinheit 4, Batteriewechsel einer Batterie der zweiten Sicherheitseinheit 4, jeweils nach Ablauf einer vorbestimmten Zeitdauer im Betrieb der zweiten Sicherheitseinheit 4, und beim Aufbau einer Datenverbindung der zweiten Sicherheitseinheit 4 zu einer externen Einrichtung, beispielsweise einem Server. Preferably, the first security unit 2 set up a state of the second security unit 4 to monitor and the at least one safety function of the second security unit to be unlocked 4 depending on the monitored state. In the exemplary subsequent states of the second security unit 4 can be the first security unit 2 unlock this or at least the one safety function to be unlocked: start up the second safety unit 4 , Battery replacement of a battery of the second security unit 4 , in each case after expiration of a predetermined period of time during operation of the second security unit 4 , and when establishing a data connection of the second security unit 4 to an external device, such as a server.

Hinsichtlich der Generierung und Übertragung des Freischaltsignals F von der ersten Sicherheitseinheit 2 zu der zweiten Sicherheitseinheit 4 sind weitere Alternativen denkbar:
Beispielsweise können die erste Sicherheitseinheit 2 und die zweite Sicherheitseinheit 4 dazu eingerichtet werden, dass die zweite Sicherheitseinheit 4 eine Anfrage-Antwort-Authentisierung (Challenge-Response-Authentication) der ersten Sicherheitseinheit 2 durchführt. Dabei ist die zweite Sicherheitseinheit 4 ferner dazu eingerichtet, das Freischaltsignal F aus der Antwort (Response) der ersten Sicherheitseinheit 2 zu extrahieren. With regard to the generation and transmission of the enable signal F from the first security unit 2 to the second security unit 4 are other alternatives conceivable:
For example, the first security unit 2 and the second security unit 4 be set up to be the second security unit 4 a request-response authentication (challenge-response authentication) of the first security unit 2 performs. Here is the second security unit 4 furthermore set up, the enabling signal F from the response (response) of the first safety unit 2 to extract.

Des Weiteren können die erste Sicherheitseinheit 2 und die zweite Sicherheitseinheit 4 dazu eingerichtet werden, dass die erste Sicherheitseinheit 2 die Identität der zweiten Sicherheitseinheit 4 authentisiert und in Abhängigkeit der authentisierten Identität der zweiten Sicherheitseinheit 4 ein Bestätigungssignal (Assertion) zur Bestätigung einer Verbindung zwischen der ersten Sicherheitseinheit 2 und der zweiten Sicherheitseinheit 4 generiert. Dabei ist das generierte Bestätigungssignal beispielsweise Teil des Freigabesignals F. Alternativ kann das Freigabesignal F zumindest teilweise aus dem generierten Bestätigungssignal abgeleitet werden. Furthermore, the first security unit 2 and the second security unit 4 be set up to be the first security unit 2 the identity of the second security unit 4 authenticated and depending on the authenticated identity of the second security unit 4 an assertion for confirming a connection between the first security unit 2 and the second security unit 4 generated. In this case, the generated acknowledgment signal is for example part of the enable signal F. Alternatively, the enable signal F can be derived at least partially from the generated acknowledgment signal.

2 zeigt ein Blockschaltbild eines zweiten Ausführungsbeispiels einer Vorrichtung 1 mit Sicherheitseinheiten 2, 4 in unterschiedlich geschützten Bereichen B1, B2. Das zweite Ausführungsbeispiel der 2 basiert auf dem ersten Ausführungsbeispiel der 1. Die Vorrichtung 1 der 2 weist ferner einen Sensor 8 auf. Der Sensor 8 ist dazu eingerichtet, einen unbefugten Eingriff in dem schwächer geschützten Bereich B2 oder in die zweite Sicherheitseinheit 4 zu detektieren. Ferner ist der Sensor 8 mit der ersten Sicherheitseinheit 2 gekoppelt. Dabei ist die erste Sicherheitseinheit 2 dazu eingerichtet, die zweite Sicherheitseinheit 4 bei einem durch den Sensor 8 erkannten unbefugten Eingriff zu sperren. 2 shows a block diagram of a second embodiment of a device 1 with security units 2 . 4 in differently protected areas B1, B2. The second embodiment of the 2 is based on the first embodiment of 1 , The device 1 of the 2 also has a sensor 8th on. The sensor 8th is adapted to an unauthorized intervention in the less protected area B2 or in the second security unit 4 to detect. Further, the sensor 8th with the first security unit 2 coupled. This is the first security unit 2 set up the second security unit 4 at one through the sensor 8th detected unauthorized intrusion.

In 3 ist ein Blockschaltbild eines dritten Ausführungsbeispiels einer Vorrichtung 1 mit Sicherheitseinheiten 2, 4 in unterschiedlich geschützten Bereichen B1, B2 dargestellt. Die Vorrichtung 1 der 3 basiert auf der Ausführungsform der 1 und ist als ein Smart Meter 1 ausgebildet. In 3 is a block diagram of a third embodiment of a device 1 with security units 2 . 4 in different protected areas B1, B2 shown. The device 1 of the 3 is based on the embodiment of 1 and is considered a smart meter 1 educated.

Der stärker beschützte Bereich B1 kann auch als tampergeschützter Bereich oder tampergeschützte Zone bezeichnet werden. Dabei ist der stärker geschützte Bereich B1 als ein vergossener Bereich ausgestaltet. Die Trennwand 7 kann beispielsweise als eine verplombte interne Trennwand 7 ausgestaltet sein. Der stärker geschützte Bereich B1 hat neben der Sicherheitseinheit 2 und der Datenverarbeitungseinheit 3, welche als Steuereinheit des Messsystems ausgebildet ist, Sensoren 13, welche den über Energietransportträger 11, 12 transportierten Energieverbrauch erfassen. Hierbei kann beispielsweise verbrauchter Strom, verbrauchtes Wasser, verbrauchte Wärme oder verbrauchtes Gas erfasst werden. The more protected area B1 may also be referred to as a tamper-protected area or tamper-protected zone. Here, the more protected area B1 is configured as a potted area. The partition 7 For example, it can be used as a sealed internal partition 7 be designed. The more protected area B1 has beside the security unit 2 and the data processing unit 3 , which is designed as a control unit of the measuring system, sensors 13 which the over Energy transport carrier 11 . 12 capture transported energy consumption. Here, for example, consumed electricity, used water, used heat or used gas can be detected.

Der von den Sensoren 13 bereitgestellte Messwert wird durch die Steuereinheit 3 des Messsystems verarbeitet. Dazu hat die Steuereinheit 3 insbesondere eine CPU (Central-Processing-Unit). In einem der Steuereinheit 3 zugeordneten Speicher 8 sind Programmcode, Eichdaten, Messdaten und dergleichen ablegbar. Die Sicherheitseinheit 2 ist beispielsweise als ein Sicherheitsmodul ausgebildet, welches beispielsweise dazu verwendet wird, die erfassten Messwerte oder Verbrauchswerte digital zu signieren. The one from the sensors 13 The measured value provided by the control unit 3 processed by the measuring system. The control unit has to do this 3 in particular a CPU (Central Processing Unit). In one of the control unit 3 associated memory 8th Program code, calibration data, measurement data and the like can be stored. The security unit 2 For example, it is designed as a security module which is used, for example, to digitally sign the acquired measured values or consumption values.

In dem schwächer geschützten Bereich B2, welcher über einen abnehmbaren Deckel 17 des Gehäuses 6 zugänglich bzw. einfacher zugänglich ist als der stärker geschützte Bereich B1, befinden sich die Datenverarbeitungseinheit 5, die hier als Kommunikationsmodul ausgebildet ist, und die zweite Sicherheitseinheit 4. Das Kommunikationsmodul 5 ist über eine Datenschnittstelle 14 dazu eingerichtet, mit einer externen Einrichtung, beispielsweise einem Server 16 (siehe 5), zu kommunizieren. Hierzu kann Ethernet, UMTS, GPRS, LTE, WLAN oder dergleichen eingesetzt werden. In the less protected area B2, which has a removable lid 17 of the housing 6 accessible or easier to access than the more protected area B1, are the data processing unit 5 , which is designed here as a communication module, and the second security unit 4 , The communication module 5 is via a data interface 14 set up with an external device, such as a server 16 (please refer 5 ), to communicate. For this Ethernet, UMTS, GPRS, LTE, WLAN or the like can be used.

Die zweite Sicherheitseinheit 4 des schwächer geschützten Bereichs B2 ist mit dem Kommunikationsmodul 5 gekoppelt und ist beispielsweise als eine M2M-SIM-Karte oder als ein festverdrahteter Chipkarten-Controller ausgebildet. Die zweite Sicherheitseinheit 4 wird dazu eingesetzt, um eine kryptographisch gesicherte Kommunikationsverbindung zu einem Mobilfunknetz oder zu einem Back-End-Server 16 aufzubauen. Darüber hinaus hat der schwächer geschützte Bereich B2 noch einen Bildschirm 15, über welchen insbesondere die erfassten Messwerte oder Stromwerte angezeigt werden können. The second security unit 4 the weaker protected area B2 is with the communication module 5 coupled and is designed for example as an M2M SIM card or as a hard-wired smart card controller. The second security unit 4 is used to provide a cryptographically secure communication connection to a mobile network or to a back-end server 16 build. In addition, the less protected area B2 still has a screen 15 via which, in particular, the recorded measured values or current values can be displayed.

4 zeigt eine alternative Ausführungsform zu der 3. Bei der Ausführungsform der 4 weist das Gehäuse 6 der Vorrichtung 1 nur einen intern vergießbaren Bereich B1 auf, in welchen die erste Sicherheitseinheit 4 vergossen ist. Für diesen Verguss wird beispielsweise Epoxydharz oder Kunststoff eingesetzt. Der Vorteil dieser Ausführungsform liegt darin, dass nur dieser kleinere Bereich vergossen werden muss. Hierbei wird Material eingespart. Es sind weitere Varianten denkbar, welche Baugruppen in dem intern vergießbaren Bereich B1 angeordnet sind. So kann z.B. auch ein oder mehrere der Sensoren 13 und/oder der Speicher 8 und/oder die Messsystem-Steuereinheit 3 im vergießbaren Bereich B1 angeordnet sein. 4 shows an alternative embodiment to the 3 , In the embodiment of the 4 shows the case 6 the device 1 only an internally castable area B1, in which the first security unit 4 is shed. Epoxy resin or plastic is used, for example, for this casting. The advantage of this embodiment is that only this smaller area has to be potted. This saves material. There are further variants conceivable, which assemblies are arranged in the internally castable region B1. So, for example, one or more of the sensors 13 and / or the memory 8th and / or the measuring system control unit 3 be arranged in the pourable region B1.

5 zeigt ein erstes Beispiel eines Kommunikationsdiagramms einer Vorrichtung 1 mit Sicherheitseinheiten 2, 4 in unterschiedlich geschützten Bereichen B1, B2 mit einem Server 16. Ferner ist in 5 dargestellt, dass die Vorrichtung 1 ein Kommunikationsmodul 5 umfasst. 5 shows a first example of a communication diagram of a device 1 with security units 2 . 4 in differently protected areas B1, B2 with a server 16 , Furthermore, in 5 shown that the device 1 a communication module 5 includes.

Zu Beginn der Kommunikation zwischen der Vorrichtung 1 und dem Server 16 wird in Schritt 501 zwischen dem Kommunikationsmodul 5 der Vorrichtung 1 und dem Server 16 eine Verbindung über ein Kommunikationsnetz, z.B. Internet oder einem Mobilfunknetz, aufgebaut. Hierzu wird beispielsweise TCP/IP eingesetzt, welches insbesondere durch ein TLS-Protokoll geschützt ist. At the beginning of communication between the device 1 and the server 16 will be in step 501 between the communication module 5 the device 1 and the server 16 a connection via a communication network, such as the Internet or a mobile network, constructed. For this example, TCP / IP is used, which is protected in particular by a TLS protocol.

In Schritt 502 überträgt der Server 16 eine Authentisierungsaufforderung, welche eine Challenge enthält, an das Kommunikationsmodul 5. In step 502 transmits the server 16 an authentication request containing a challenge to the communication module 5 ,

Um sich zu authentisieren, muss die passende Antwortnachricht mittels einer HMAC-Funktion oder einer digitalen Signaturfunktion berechnet werden. In Schritt 503 überträgt das Kommunikationsmodul 5 dazu die empfangene Challenge an die erste Sicherheitseinheit 4, welche dem Kommunikationsmodul 5 zugeordnet ist. To authenticate, the appropriate response message must be calculated using an HMAC function or a digital signature function. In step 503 transmits the communication module 5 to the received challenge to the first security unit 4 which the communication module 5 assigned.

Die erste Sicherheitseinheit 4 hat einen kryptographischen Schlüssel gespeichert. Der kryptographische Schlüssel ist beispielsweise ein symmetrischer Schlüssel eines symmetrischen kryptographischen Verfahrens, wie AES, DES, IDEA, HMAC, oder ein privater Schlüssel eines asymmetrischen kryptographischen Verfahrens, wie RSA, DSA oder ECC. The first security unit 4 has stored a cryptographic key. The cryptographic key is, for example, a symmetric key of a symmetric cryptographic method, such as AES, DES, IDEA, HMAC, or a private key of an asymmetric cryptographic method, such as RSA, DSA or ECC.

Technisch kann die zweite Sicherheitseinheit 4 diese Berechnung durchführen. Bevor diese Berechnung allerdings durchgeführt wird, authentisiert die zweite Sicherheitseinheit 4 zunächst die erste Sicherheitseinheit 2, welche sich im stärker geschützten Bereich B1 der Vorrichtung 1 befindet. Dazu wählt die zweite Sicherheitseinheit 4 eine zufällige Nonce in Schritt 504 und stellt diese der ersten Sicherheitseinheit 2 in Schritt 505 bereit. Technically, the second security unit 4 perform this calculation. However, before this calculation is performed, the second security unit authenticates 4 first the first security unit 2 located in the more protected area B1 of the device 1 located. To do this, select the second security unit 4 a random nonce in step 504 and represents this the first security unit 2 in step 505 ready.

In Schritt 506 wird eine Antwort oder Response mittels eines kryptografischen Authentisierungsalgorithmus oder einer physikalischen PUF berechnet. In step 506 an answer or response is calculated by means of a cryptographic authentication algorithm or a physical PUF.

In Schritt 507 wird die generierte Response von der ersten Sicherheitseinheit 2 an die zweite Sicherheitseinheit 4 übertragen. In Schritt 508 prüft die zweite Sicherheitseinheit 4 die empfangene Response. In step 507 gets the generated response from the first security unit 2 to the second security unit 4 transfer. In step 508 checks the second security unit 4 the received response.

Nur wenn diese gültig ist (Schritt 509), wird die Benutzung des auf der zweiten Sicherheitseinheit 4 gespeicherten Schlüssels durch die zweite Sicherheitseinheit 4 freigegeben (Schritt 510). Only if it is valid (step 509 ), the use of the on the second security unit 4 stored key through the second security unit 4 released (step 510 ).

In Schritt 511 wird eine kryptographische Prüfsumme der Challenge unter Verwendung des Schlüssels berechnet und dem Kommunikationsmodul 5 bereitgestellt. In Schritt 513 verwendet das Kommunikationsmodul 5 diese Information, beispielsweise indem es diesen direkt oder einen damit bestimmten weiteren Authentisierungsparameter an den Server 16 zur Prüfung überträgt. In step 511 a challenge cryptographic checksum is calculated using the key and the communication module 5 provided. In step 513 uses the communication module 5 This information, for example, by this directly or a further authentication parameter determined therewith to the server 16 to the exam transfers.

Vielfältige Varianten des mit Bezug zu 5 beschriebenen Ablaufs sind denkbar. Beispielsweise kann die zweite Sicherheitseinheit 4 die erste Sicherheitseinheit 2 direkt nach dem Anlegen der Versorgungsspannung authentisieren, also schon bevor ein Verbindungsaufbau mit dem Server 16 stattfindet. Varied variants of related to 5 described process are conceivable. For example, the second security unit 4 the first security unit 2 Authenticate immediately after the supply voltage has been applied, that is, before a connection is established with the server 16 takes place.

In einer weiteren Variante kann die erste Sicherheitseinheit 2 weitere Prüfungen vornehmen, bevor sie sich authentisiert, z.B. indem es Tampersensoren abfragt. Beispiele für solche Tampersensoren sind Schalter, Kontakte, Wire-Mesh-Sensoren, Verplombungsbruch-Sensoren, Sensoren für elektrische, magnetische Felder oder elektromagnetische Strahlung, Lagesensoren oder Lichtsensoren. In a further variant, the first security unit 2 carry out further checks before authenticating, eg by querying tamper sensors. Examples of such tamping sensors are switches, contacts, wire mesh sensors, seal breakage sensors, sensors for electric, magnetic fields or electromagnetic radiation, position sensors or light sensors.

Die erste Sicherheitseinheit 2 kann eine Manipulationserkennung der gemessenen Sensorwerte vornehmen. Ferner kann eine Manipulation der Anschlussverbinder der Energieversorgungsleitung durch die erste Sicherheitseinheit 2 detektiert werden. Die erste Sicherheitseinheit 2 kann ferner prüfen, ob ein Stromfluss stattfindet bzw. ob eine Spannung anliegt. Bei anderen Energiegrößen kann z.B. der Gasfluss, der Gasfluss, der Wasserdruck, der Wasserfluss, die Temperatur eines Wärmemediums, z.B. Wasser oder Dampf, gemessen werden. The first security unit 2 can perform a manipulation detection of the measured sensor values. Furthermore, a manipulation of the connection connector of the power supply line by the first safety unit 2 be detected. The first security unit 2 can also check whether a current flow takes place or whether a voltage is applied. For other energy quantities, for example, the gas flow, the gas flow, the water pressure, the water flow, the temperature of a heat medium, eg water or steam, can be measured.

In einer weiteren Variante ist der Schlüssel auf der zweiten Sicherheitseinheit 4 verschlüsselt gespeichert, wobei eine von der ersten Sicherheitseinheit 2 bereitgestellte Information dazu verwendet wird, den gespeicherten Schlüssel durch die zweite Sicherheitseinheit 4 zu entschlüsseln, so dass dieser entschlüsselte Schlüssel nutzbar wird. In another variant, the key is on the second security unit 4 stored encrypted, being one of the first security unit 2 provided information is used to the stored key through the second security unit 4 to decrypt, so that this decrypted key becomes usable.

In einer weiteren Variante ist auf der zweiten Sicherheitseinheit 4 nur ein erster Teilschlüssel gespeichert. Ein zweiter Teilschlüssel ist dann auf der ersten Sicherheitseinheit 2 gespeichert. Beide Teilschlüssel werden zur Erstellung einer Signatur verwendet. Hierfür sind verschiedene Ansätze möglich, wie z.B. der von Shoup ( www.shoup.net/papers/ thsig.pdf ). In a further variant is on the second security unit 4 only a first subkey stored. A second subkey is then on the first security unit 2 saved. Both subkeys are used to create a signature. For this purpose, different approaches are possible, such as that of Shoup ( www.shoup.net/papers/ thsig.pdf ).

Obwohl die Erfindung im Detail durch das bevorzugte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen. Although the invention has been further illustrated and described in detail by the preferred embodiment, the invention is not limited by the disclosed examples, and other variations can be derived therefrom by those skilled in the art without departing from the scope of the invention.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • US 2007/103334 A [0016] US 2007/103334 A [0016]

Zitierte Nicht-PatentliteraturCited non-patent literature

  • DS3645 [0012] DS3645 [0012]
  • www.shoup.net/papers/ thsig.pdf [0099] www.shoup.net/papers/ thsig.pdf [0099]

Claims (15)

Vorrichtung (1) mit Sicherheitseinheiten (2, 4) in unterschiedlich geschützten Bereichen (B1, B2), wobei ein stärker geschützter Bereich (B1) eine erste Sicherheitseinheit (2) zur Ausführung einer Anzahl von ersten Sicherheitsfunktionen für eine zugeordnete erste Datenverarbeitungseinheit (3) und ein schwächer geschützter Bereich (B2) eine zweite Sicherheitseinheit (4) zur Ausführung einer Anzahl von zweiten Sicherheitsfunktionen für eine zugeordnete zweite Datenverarbeitungseinheit (5) aufweisen, wobei die zweiten Sicherheitsfunktionen zumindest eine freizuschaltende Sicherheitsfunktion umfassen, wobei die erste Sicherheitseinheit (2) dazu eingerichtet ist, die zumindest eine freizuschaltende Sicherheitsfunktion der zweiten Sicherheitseinheit (4) mittels eines vorbestimmten Freischaltsignals (F) freizuschalten. Contraption ( 1 ) with security units ( 2 . 4 ) in differently protected areas (B1, B2), wherein a more protected area (B1) is a first security unit ( 2 ) for executing a number of first security functions for an associated first data processing unit ( 3 ) and a weaker protected area (B2) a second security unit ( 4 ) for executing a number of second security functions for an associated second data processing unit ( 5 ), wherein the second security functions comprise at least one security function to be unlocked, wherein the first security unit ( 2 ) is adapted to the at least one safety function of the second security unit ( 4 ) by means of a predetermined enable signal (F). Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass das vorbestimmte Freischaltsignal (F) zum Freischalten der zumindest einen freizuschaltenden Sicherheitsfunktion der zweiten Sicherheitseinheit (4) zumindest einen Sicherheitsparameter, insbesondere ein Passwort, eine Persönliche Identifikationsnummer und/oder einen kryptographischen Parameter, umfasst. Device according to claim 1, characterized in that the predetermined enabling signal (F) for enabling the at least one safety function of the second safety unit to be released ( 4 ) comprises at least one security parameter, in particular a password, a personal identification number and / or a cryptographic parameter. Vorrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Vorrichtung (1) als ein intelligenter Zähler, insbesondere als ein intelligenter Stromzähler oder als ein intelligenter Gaszähler, als ein Feldgerät, insbesondere für eine Ampelsteuerung, oder als ein Steuergerät, insbesondere für ein Kraftfahrzeug, ausgebildet ist. Device according to claim 1 or 2, characterized in that the device ( 1 ) is designed as an intelligent counter, in particular as an intelligent electricity meter or as an intelligent gas meter, as a field device, in particular for a traffic light control, or as a control device, in particular for a motor vehicle. Vorrichtung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die erste Sicherheitseinheit (2) dazu eingerichtet ist, einen Zustand der zweiten Sicherheitseinheit (4) zu überwachen und die zumindest eine freizuschaltende Sicherheitsfunktion der zweiten Sicherheitseinheit (4) in Abhängigkeit des überwachten Zustands freizuschalten. Device according to one of claims 1 to 3, characterized in that the first security unit ( 2 ) is adapted to a state of the second security unit ( 4 ) and the at least one safety function of the second safety unit ( 4 ) depending on the monitored state. Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, dass die erste Sicherheitseinheit (2) dazu eingerichtet ist, die zumindest eine freizuschaltende Sicherheitsfunktion der zweiten Sicherheitseinheit (4) bei einem Hochfahren der zweiten Sicherheitseinheit (4), bei einem Batteriewechsel einer Batterie der zweiten Sicherheitseinheit (4), jeweils nach Ablauf einer vorbestimmten Zeitdauer im Betrieb der zweiten Sicherheitseinheit (4), und/oder bei einem Aufbau einer Datenverbindung der zweiten Sicherheitseinheit (4) zu einer externen Einrichtung mittels des vorbestimmten Freischaltsignals (F) freizuschalten. Apparatus according to claim 4, characterized in that the first security unit ( 2 ) is adapted to the at least one safety function of the second security unit ( 4 ) at a power-up of the second security unit ( 4 ), when a battery change of a battery of the second security unit ( 4 ), in each case after expiration of a predetermined period of time during operation of the second security unit ( 4 ), and / or when setting up a data connection of the second security unit ( 4 ) to an external device by means of the predetermined enable signal (F). Vorrichtung nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass der stärker geschützte Bereich (B1) verplombt oder vergossen ist, insbesondere mittels eines Epoxydharzes vergossen ist. Device according to one of claims 1 to 5, characterized in that the more protected area (B1) is sealed or potted, in particular by means of an epoxy resin is cast. Vorrichtung nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass der stärker geschützte Bereich (B1) und der schwächer geschützte Bereich (B2) getrennt sind. Device according to one of claims 1 to 5, characterized in that the more protected area (B1) and the weaker area (B2) are separated. Vorrichtung nach Anspruch 7, dadurch gekennzeichnet, dass ein Gehäuse (6) den stärker geschützten Bereich (B1) und den schwächer geschützten Bereich (B2) integriert, wobei eine Gehäusetrennwand (7) den stärker geschützten Bereich (B1) und den schwächer geschützten Bereich (B2) trennt. Device according to claim 7, characterized in that a housing ( 6 ) the more protected area (B1) and the weaker area (B2) integrated, with a housing partition wall ( 7 ) separates the more protected area (B1) and the less protected area (B2). Vorrichtung nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass die erste Sicherheitseinheit (2) und die zweite Sicherheitseinheit (4) dazu eingerichtet sind, dass die zweite Sicherheitseinheit (4) eine Anfrage-Antwort-Authentisierung der ersten Sicherheitseinheit (2) durchführt, wobei die zweite Sicherheitseinheit (4) ferner dazu eingerichtet ist, das Freischaltsignal (F) aus der Antwort der ersten Sicherheitseinheit (2) zu extrahieren. Device according to one of claims 1 to 8, characterized in that the first security unit ( 2 ) and the second security unit ( 4 ) are arranged so that the second security unit ( 4 ) a request-response authentication of the first security unit ( 2 ), wherein the second security unit ( 4 ) is further adapted to the enable signal (F) from the response of the first security unit ( 2 ) to extract. Vorrichtung nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass die erste Sicherheitseinheit (2) und die zweite Sicherheitseinheit (4) dazu eingerichtet sind, dass die erste Sicherheitseinheit (2) die Identität der zweiten Sicherheitseinheit (4) authentisiert und in Abhängigkeit der authentisierten Identität der zweiten Sicherheitseinheit (4) ein Bestätigungssignal zur Bestätigung einer Verbindung zwischen der ersten Sicherheitseinheit (2) und der zweiten Sicherheitseinheit (4) generiert, wobei das generierte Bestätigungssignal zumindest Teil des Freigabesignals (F) ist oder das Freigabesignal (F) zumindest teilweise aus dem generierten Bestätigungssignal ableitbar ist. Device according to one of claims 1 to 8, characterized in that the first security unit ( 2 ) and the second security unit ( 4 ) are arranged so that the first security unit ( 2 ) the identity of the second security unit ( 4 ) and depending on the authenticated identity of the second security unit ( 4 ) an acknowledgment signal for confirming a connection between the first security unit ( 2 ) and the second security unit ( 4 ), wherein the generated acknowledgment signal is at least part of the enable signal (F) or the enable signal (F) is at least partially derivable from the generated acknowledgment signal. Vorrichtung nach einem der Ansprüche 1 bis 10, gekennzeichnet durch: zumindest einen mit der ersten Sicherheitseinheit (2) gekoppelten Sensor (8) zum Erkennen eines unbefugten Eingriffs in die zweite Sicherheitseinheit (4), wobei die erste Sicherheitseinheit (2) dazu eingerichtet ist, die zweite Sicherheitseinheit (4) bei einem durch den zumindest einen Sensor (8) erkannten unbefugten Eingriff zu sperren. Device according to one of claims 1 to 10, characterized by: at least one with the first safety unit ( 2 ) coupled sensor ( 8th ) for detecting an unauthorized intervention in the second security unit ( 4 ), the first security unit ( 2 ) is adapted to the second security unit ( 4 ) at a through the at least one sensor ( 8th ) to block unauthorized interference. Vorrichtung nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass die erste Sicherheitseinheit (2) als ein Trusted-Platform-Module (TPM) ausgebildet ist. Device according to one of claims 1 to 11, characterized in that the first security unit ( 2 ) is designed as a Trusted Platform Module (TPM). Vorrichtung nach einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, dass die zweite Sicherheitseinheit (4) als ein M2M-Security-Module ausgebildet ist. Device according to one of claims 1 to 12, characterized in that the second security unit ( 4 ) is designed as an M2M security module. Vorrichtung nach einem der Ansprüche 1 bis 13, dadurch gekennzeichnet, dass die erste Sicherheitseinheit (2) und die erste Datenverarbeitungseinheit (3) als eine erste integrierte Baugruppe ausgebildet sind und/oder dass die zweite Sicherheitseinheit (4) und die zweite Datenverarbeitungseinheit (5) als eine zweite integrierte Baugruppe ausgebildet sind. Device according to one of claims 1 to 13, characterized in that the first security unit ( 2 ) and the first data processing unit ( 3 ) are formed as a first integrated module and / or that the second safety unit ( 4 ) and the second data processing unit ( 5 ) are formed as a second integrated assembly. Vorrichtung nach einem der Ansprüche 1 bis 14, dadurch gekennzeichnet, dass die erste Datenverarbeitungseinheit (3) als eine Steuereinheit eines Messsystems ausgebildet ist und/oder dass die zweite Datenverarbeitungseinheit (5) als ein Kommunikationsmodul zur Kommunikation mit einer externen Einrichtung ausgebildet ist. Device according to one of claims 1 to 14, characterized in that the first data processing unit ( 3 ) is designed as a control unit of a measuring system and / or that the second data processing unit ( 5 ) is formed as a communication module for communicating with an external device.
DE201210213155 2012-07-26 2012-07-26 Embedded device e.g. smart gas meter, has safety units provided in different protected areas, where one safety unit is arranged to unlock one of safety functions of another safety unit by predetermined de-energizing signal Withdrawn DE102012213155A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201210213155 DE102012213155A1 (en) 2012-07-26 2012-07-26 Embedded device e.g. smart gas meter, has safety units provided in different protected areas, where one safety unit is arranged to unlock one of safety functions of another safety unit by predetermined de-energizing signal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201210213155 DE102012213155A1 (en) 2012-07-26 2012-07-26 Embedded device e.g. smart gas meter, has safety units provided in different protected areas, where one safety unit is arranged to unlock one of safety functions of another safety unit by predetermined de-energizing signal

Publications (1)

Publication Number Publication Date
DE102012213155A1 true DE102012213155A1 (en) 2014-02-13

Family

ID=49999123

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201210213155 Withdrawn DE102012213155A1 (en) 2012-07-26 2012-07-26 Embedded device e.g. smart gas meter, has safety units provided in different protected areas, where one safety unit is arranged to unlock one of safety functions of another safety unit by predetermined de-energizing signal

Country Status (1)

Country Link
DE (1) DE102012213155A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3451215B1 (en) 2017-08-28 2019-12-18 Siemens Aktiengesellschaft Hardware device and method for operating and producing a hardware device
WO2020260573A1 (en) * 2019-06-27 2020-12-30 Audi Ag Control device for a motor vehicle, and motor vehicle
US11232233B2 (en) * 2016-05-24 2022-01-25 Krohne Messtechnik Gmbh Method for configuration of a field device for use in custody transfer and such field device

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070103334A1 (en) 2005-11-09 2007-05-10 Distribution Control Systems, Inc. Tamper detection apparatus for electrical meters

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070103334A1 (en) 2005-11-09 2007-05-10 Distribution Control Systems, Inc. Tamper detection apparatus for electrical meters

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DS3645
www.shoup.net/papers/ thsig.pdf

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11232233B2 (en) * 2016-05-24 2022-01-25 Krohne Messtechnik Gmbh Method for configuration of a field device for use in custody transfer and such field device
EP3451215B1 (en) 2017-08-28 2019-12-18 Siemens Aktiengesellschaft Hardware device and method for operating and producing a hardware device
WO2020260573A1 (en) * 2019-06-27 2020-12-30 Audi Ag Control device for a motor vehicle, and motor vehicle
US20220237331A1 (en) * 2019-06-27 2022-07-28 Audi Ag Control device for a motor vehicle, and motor vehicle

Similar Documents

Publication Publication Date Title
EP2668607B1 (en) Method for monitoring a tamper protection and monitoring system for a field device having tamper protection
EP2586178B1 (en) Method for tamperproof key management
EP2979100B1 (en) Device and method having a carrier having circuit structures
DE102011002706B4 (en) Device and method for protecting a security module against manipulation attempts in a field device
DE102007058975A1 (en) Power supply system for motor vehicle, has master security module for signing message, and client security module for checking whether signed message received from master security module comes from authorized master security module
EP3726408A1 (en) Industrial automation device comprising a unit for testing and monitoring the integrity of the industrial automation device
DE102017102677A1 (en) Method for authenticating a field device of automation technology
EP3337085B1 (en) Reloading cryptographic program instructions
DE102012224194B4 (en) Control system for a motor vehicle
DE102012213155A1 (en) Embedded device e.g. smart gas meter, has safety units provided in different protected areas, where one safety unit is arranged to unlock one of safety functions of another safety unit by predetermined de-energizing signal
EP3432185A1 (en) Method and network device for protecting a device using at least one key pair generated using asymmetric encryption for encrypted communication and/or authentication against manipulation
US10303891B2 (en) Automated manufacturing system with job packaging mechanism and method of operation thereof
EP2850860B1 (en) Tamper-proofing an energy meter
DE102015202215A1 (en) Device and method for safe operation of the device
EP3525390A1 (en) Device and method for providing at least one secure cryptographic key for cryptographically protecting data initiated by a control device
EP1126655A1 (en) Method of hardware and software authentication in a network system
WO2020011777A1 (en) Method for setting up authorisation verification for a first device
EP2812837B1 (en) Method for personalizing a security module for a smart meter or smart meter gateway
EP3642812A1 (en) Method for checking the integrity of a dedicated physical environment for protecting data
WO2016041843A1 (en) Method and arrangement for authorising an action on a self-service system
CN111236105A (en) Management method, device and system of parking spot lock and parking spot lock
DE102014103376A1 (en) Systems and methods for secure access modules
EP4147096A1 (en) Retrofitting module for a field device, and field device with a modular design
EP3399457B1 (en) Method and devices for detecting a manipulation of a device
Bißmeyer Security in ecu production

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee