Verfahren zur Sicherstellung einer Authentizität mindestens eines Wertes einer Geräteeigenschaft, Computerprogramm, com- puterlesbares Speichermedium und Vorrichtung

Die Erfindung betrifft ein Verfahren zur Sicherstellung einer Authentizität mindestens eines Wertes einer Geräteeigen ^¬ schaft .

Betriebswerte dynamischer Geräteeigenschaften spielen bei der Geräteüberwachung eine große Rolle. Derzeit werden die Be ^¬ triebswerte oftmals ungesichert an eine Auswerteeinheit über ^¬ mittelt. Dann kann nicht sichergestellt werden, dass die Be- triebswerte unverändert in der Auswerteeinheit empfangen und verarbeitet werden. Werden die Daten jedoch verschlüsselt an die Auswerteeinheit übermittelt, so sind die Betriebswerte nicht sofort einsehbar und verwertbar, sondern müssen erst zeitaufwendig entschlüsselt werden.

Eine Aufgabe der Erfindung ist es, das bisherige Verfahren zu verbessern .

Die Aufgabe wird gelöst durch ein Verfahren zur Sicherstel- lung einer Authentizität mindestens eines Wertes einer Gerä ^¬ teeigenschaft, wobei die Geräteeigenschaft eine Eigenschaft eines Geräts ist. Bei dem Verfahren wird erfindungsgemäß zu ^¬ mindest ein Betriebswert zumindest einer dynamischen Geräte ^¬ eigenschaft unter Verwendung eines digitalen Schlüssels sig- niert, wobei eine betriebswertabhängige digitale Signatur er ^¬ stellt wird.

Die Erfindung basiert auf der Idee, dass Betriebswerte dyna ^¬ mischer Geräteeigenschaften, die bisher ungeschützt gespei- chert und/oder übermittelt wurden, signiert werden können.

Auf diese Weise kann die Authentizität und/oder eine Integri ^¬ tät dieser Betriebswerte sichergestellt werden. Insbesondere kann sichergestellt werden, dass die Betriebswerte nicht ma- nipuliert wurden. Mit anderen Worten: Die Signatur kann dazu verwendet werden, eine Authentizität und/oder eine Integrität des zumindest einen Betriebswertes sicherzustellen. Bei dem Verfahren bleiben die Betriebswerte zweckmäßigerweise einseh- bar und sofort verwertbar (insbesondere im Gegensatz zu einer Verschlüsselung) . Eine zeitaufwendige Entschlüsselung kann damit entfallen.

Zweckmäßigerweise ist das Gerät eine technisch betreibbare Einheit. Weiter kann das Gerät eine Gruppe von technisch bet ^¬ reibbaren Einheiten sein, deren jede Einheit einzeln funktionsfähig ist.

Ein Betriebswert einer Geräteeigenschaft, im Folgenden auch nur als Betriebswert bezeichnet, ist vorzugsweise ein dynami ^¬ scher Wert. Zweckmäßigerweise ist der Betriebswert abhängig von einer Zeit, insbesondere von einer Betriebszeit des Gerä ^¬ tes. Der Betriebswert kann ermittelt werden, d. h. der Be ^¬ triebswert kann bestimmt, gemessen, ausgelesen, eingelesen usw. werden. Insbesondere kann der Betriebswert ein ermittel ^¬ ter Wert der (jeweiligen) Geräteeigenschaft sein.

Als eine betriebswertabhängige digitale Signatur, im Folgen ^¬ den auch nur als Signatur bezeichnet, kann eine digitale Sig- natur aufgefasst werden, die von dem zumindest einen Be ^¬ triebswert abhängig ist. Zweckmäßigerweise gewährleistet die Signatur die Authentizität des Betriebswerts. Weiter ist es vorteilhaft, wenn die Signatur eine Integrität des Betriebs ^¬ werts gewährleistet.

Vorzugsweise wird die Signatur bei einer Änderung eines des zumindest einen Betriebswerts über einen vorgegebenen

Schwellwert aktualisiert. Als eine Änderung eines des zumin ^¬ dest einen Betriebswerts über einen vorgegebenen Schwellwert kann es angesehen werden, wenn sich zumindest ein Betriebswert um mehr als den angegebenen Schwellwert ändert. Bei ^¬ spielsweise kann die Signatur aktualisiert werden, indem sie neu erstellt wird. Vorzugsweise wird die Signatur aktuali- siert, indem der zuletzt ermittelte Betriebswert der (jewei ^¬ ligen) Geräteeigenschaft signiert wird.

Der digitale Schlüssel kann ein privater Schlüssel sein. Wei- ter kann der digitale Schlüssel ein geheimer Schlüssel sein.

Vorzugsweise umfasst die zumindest eine Geräteeigenschaft ei ^¬ ne Betriebszeit des Gerätes. Entsprechend kann der Betriebs ^¬ wert der Wert der Betriebszeit sein. Weiter kann der vorgege- bene Schwellwert eine vorgegebene Zeitdauer sein, z.B. 1 h,

12 h, 24 h usw.. Zum Beispiel kann die Signatur bei einer Änderung des Werts der Betriebszeit über die vorgegebene Zeit ^¬ dauer - d. h. wenn sich der Wert der Betriebszeit um mehr als die vorgegebene Zeitdauer ändert - aktualisiert werden.

Weiter kann die zumindest eine Geräteeigenschaft eine Fehler ^¬ anzahl des Gerätes umfassen. Als Fehler des Geräts können/kann ein Fehler einer Hardware des Geräts und/oder ein Fehler einer Software des Geräts aufgefasst werden. Der Be- triebswert kann der Wert der Fehleranzahl sein. Weiter kann der vorgegebene Schwellwert eine vorgegebene Anzahl sein, z.B. 1.

Außerdem kann die zumindest eine Geräteeigenschaft einen Feh- lercode des Gerätes umfassen.

Ferner kann die zumindest eine Geräteeigenschaft eine Anzahl an Neustarts des Gerätes umfassen. Als Neustart des Gerätes kann ein Neustart einer Hardware des Geräts aufgefasst wer- den, beispielsweise wenn eine Rotation eines Rotationselementes des Gerätes neu gestartet wird. Weiter kann als Neustart des Gerätes ein Neustart einer Software des Geräts aufgefasst werden . Weiter kann die zumindest eine Geräteeigenschaft eine Anzahl an dem Gerät durchgeführten Wartungen umfassen. Als Wartung am Gerät kann eine Wartung der Hardware des Gerätes und/oder der Software des Gerätes aufgefasst werden. Ferner kann die zumindest eine Geräteeigenschaft einen vom Gerät ermittelten Messwert und/oder einen Drift eines vom Gerät ermittelten Messwerts umfassen. Vorzugsweise ist der Messwert ein Wert eines physikalischen Parameters und/oder eines chemischen Parameters. Der Messwert kann beispielsweise ein Wert eines Drucks, einer Temperatur, einer Leistungsauf ^¬ nahme oder ähnliches sein. In einer bevorzugten Ausführungsform der Erfindung werden ausschließlich ein oder mehrere Betriebswerte genutzt, wel ^¬ cher/welche von einer Betriebszeit des Geräts abhängig ist/sind. Mit anderen Worten werden vorzugsweise ausschließ ^¬ lich eine oder mehrere dynamische Geräteeigenschaften ge- nutzt.

Prinzipiell ist es jedoch auch möglich, dass - insbesondere neben den dynamischen Geräteeigenschaften - auch statische Geräteeigenschaften mit festen Werten genutzt werden. Stati- sehe Geräteeigenschaften können z. B. eine Seriennummer des Gerätes, eine Herstellerangabe, eine Gerätebezeichnung, eine Gerätetypangabe, und/oder ein Baujahr des Gerätes sein.

In einer vorteilhaften Ausführungsform der Erfindung wird aus dem zumindest einen Betriebswert und aus der Signatur ein Zertifikat erstellt.

Zweckmäßigerweise wird das Zertifikat zur sicheren Übermitt ^¬ lung des zumindest einen Betriebswertes an einen Empfänger verwendet. Weiter ist es zweckmäßig, wenn das Zertifikat dazu verwendet wird, eine Authentizität und/oder eine Integrität des zumindest einen Betriebswertes sicherzustellen.

Das Zertifikat kann bei einer Änderung eines des zumindest einen Betriebswertes über einen bestimmten Schwellwert aktua ^¬ lisiert werden. Beispielsweise kann das Zertifikat aktuali ^¬ siert werden, indem es neu erstellt wird. Vorzugsweise wird zur Aktualisierung des Zertifikates ein zuletzt ermittelter Betriebswert der (jeweiligen) Geräteeigenschaft signiert, wo ^¬ bei vorzugsweise eine aktuelle Signatur erstellt wird. Zweck ^¬ mäßigerweise wird das aktuelle Zertifikat aus dem zuletzt er ^¬ mittelten Betriebswert bzw. aus den zuletzt ermittelten Be- triebswerten und aus der aktuellen Signatur erstellt.

Das Zertifikat kann von dem Gerät an einen Empfänger übermit ^¬ telt werden. Vorzugsweise authentifiziert sich der Empfänger bei dem Gerät vor der Übermittlung.

Ferner kann das Zertifikat geprüft werden. Beispielsweise kann das Zertifikat von dem Empfänger geprüft werden. Weiter kann das Zertifikat von einer Einheit geprüft werden, die mit dem Gerät verbunden ist. Zweckmäßigerweise wird, insbesondere unter Verwendung eines öffentlichen Schlüssels, geprüft, ob die Signatur zu dem zumindest einen Betriebswert passt.

Zweckmäßigerweise wird das sogenannte Public-Key-Verfahren eingesetzt . Auf diese Weise kann die Authentizität und die Integrität des zumindest einen Betriebswerts sichergestellt werden. Insbe ^¬ sondere kann sichergestellt werden, dass der zumindest eine Betriebswert nicht manipuliert wurde. Ferner ist die Erfindung auf ein Computerprogramm mit Befehlen gerichtet. Wenn das Computerprogramm auf einem Computer ausgeführt wird, veranlassen die Befehle diesen Computer, das zuvor genannte Verfahren und/oder dessen Weiterbildungen auszuführen. Insbesondere können die Befehle den Computer veran- lassen, die oben genannte Signatur zu erstellen und/oder das oben genannte Zertifikat zu erstellen und gegebenenfalls das Zertifikat an einen Empfänger zu übermitteln.

Weiter ist die Erfindung auf ein computerlesbares Speicherme- dium mit Befehlen gerichtet. Wenn diese Befehle durch einen Computer ausgeführt werden, veranlassen die Befehle diesen Computer, das zuvor genannte Verfahren auszuführen. Insbesondere können die Befehle den Computer veranlassen, die oben genannte Signatur zu erstellen und/oder das oben genannte Zertifikat zu erstellen und gegebenenfalls das Zertifikat an einen Empfänger zu übermitteln. Die Befehle können die zuvor im Zusammenhang mit dem Computerprogramm genannten Befehle sein.

Außerdem ist die Erfindung gerichtet auf die Verwendung eines digitalen Schlüssels zur Erzeugung einer Signatur aus zumindest einen Betriebswert zumindest einer dynamischen Geräteei- genschaft, wobei die Geräteeigenschaft sinnvollerweise eine

Eigenschaft eines Geräts ist. Zweckmäßigerweise wird die Sig ^¬ natur wiederum zur Erstellung eines Zertifikats für ein Gerät genutzt . Ferner ist die Erfindung gerichtet auf eine Vorrichtung zur Sicherstellung einer Authentizität mindestens eines Wertes einer Geräteeigenschaft, wobei die Geräteeigenschaft eine Ei ^¬ genschaft eines Geräts ist und das Gerät zumindest eine dyna ^¬ mische Geräteeigenschaft aufweist, für welche zumindest ein Betriebswert bestimmbar ist. Erfindungsgemäß umfasst die Vor ^¬ richtung eine Bestimmungseinheit, welche zur Bestimmung des zumindest einen Betriebswerts eingerichtet ist. Weiter um ^¬ fasst die Vorrichtung eine Zertifizierungseinheit, welche da ^¬ zu eingerichtet ist, den zumindest einen Betriebswert zu sig- nieren, wobei eine betriebswertabhängige digitale Signatur erstellt wird.

Zweckmäßigerweise ist die Zertifizierungseinheit weiter dazu eingerichtet, aus dem zumindest einen Betriebswert und aus der Signatur das Zertifikat zu erstellen.

Außerdem kann die Zertifizierungseinheit dazu eingerichtet sein, das Zertifikat bei einer Änderung eines des zumindest einen Betriebswerts über einen bestimmten Schwellwert zu ak- tualisieren.

Die Vorrichtung kann zur Durchführung des zuvor genannten Verfahrens und/oder seiner Weiterbildungen genutzt werden. Insbesondere kann die Vorrichtung genutzt werden, um die in Verbindung mit dem Verfahren erwähnte Signatur zu erstellen und/oder das in Verbindung mit dem Verfahren erwähnte Zertifikat zu erstellen und gegebenenfalls das Zertifikat an einen Empfänger zu übermitteln.

Die bisher gegebene Beschreibung vorteilhafter Ausgestaltungen der Erfindung enthält zahlreiche Merkmale, die in den einzelnen Unteransprüchen teilweise zu mehreren zusammenge- fasst wiedergegeben sind. Diese Merkmale können jedoch zweckmäßigerweise auch einzeln betrachtet und zu sinnvollen weite ^¬ ren Kombinationen zusammengefasst werden. Insbesondere sind diese Merkmale jeweils einzeln und in beliebiger geeigneter Kombination mit dem erfindungsgemäßen Verfahren und der er- findungsgemäßen Vorrichtung kombinierbar. So sind Verfahrensmerkmale auch als Eigenschaft der entsprechenden Vorrichtungseinheit gegenständlich formuliert zu sehen und umge ^¬ kehrt . Auch wenn in der Beschreibung bzw. in den Patentansprüchen einige Begriffe jeweils im Singular oder in Verbindung mit einem Zahlwort verwendet werden, soll der Umfang der Erfindung für diese Begriffe nicht auf den Singular oder das je ^¬ weilige Zahlwort eingeschränkt sein.

Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung des Ausführungsbei- spiels, das im Zusammenhang mit den Zeichnungen näher erläutert wird. Das Ausführungsbeispiel dient der Erläuterung der Erfindung und beschränkt die Erfindung nicht auf die darin angegebene Kombination von Merkmalen, auch nicht in Bezug auf funktionale Merkmale. Außerdem können dazu geeignete Merkmale des Ausführungsbeispiels auch explizit isoliert betrachtet, aus dem Ausführungsbeispiel entfernt und/oder mit einem be ^¬ liebigen der Ansprüche kombiniert werden. Es zeigen:

FIG 1 die Erstellung einer Signatur und Erstellung eines

Zertifikates ,

FIG 2 die Übermittlung des Zertifikates aus FIG 1 an eine

Datenbank eines Betreibers des Geräts und

FIG 3 die Übermittlung des Zertifikates an einen Herstel ^¬ ler des Geräts. FIG 1 zeigt schematisch, wie eine Signatur 2 erstellt wird.

Weiter zeigt FIG 1, wie ein Zertifikat 4 erstellt wird. Beide Vorgänge laufen innerhalb eines Gerätes 6 ab.

Das Gerät 6 umfasst mehrere Bestimmungseinheiten 8, 10. In der Figur sind beispielhaft zwei Bestimmungseinheiten 8, 10 gezeigt. Prinzipiell kann das Gerät 6 auch jede andere Anzahl an Bestimmungseinheiten aufweisen. Weiter umfasst das Gerät 6 eine Zertifizierungseinheit 12. Unter Verwendung der ersten Bestimmungseinheit 8 wird ein erster Betriebswert 14 einer ersten Geräteeigenschaft ermit ^¬ telt. In diesem Ausführungsbeispiel ist die erste Bestim ^¬ mungseinheit 8 ein Zeitgeber. Weiter ist in diesem Beispiel der erste Betriebswert 14 ein Wert einer Betriebszeit. D. h. die erste Geräteeigenschaft ist in diesem Beispiel die Be ^¬ triebszeit .

Außerdem wird unter Verwendung der zweiten Bestimmungseinheit 10 ein zweiter Betriebswert 16 einer zweiten Geräteeigen- schaff ermittelt. In diesem Ausführungsbeispiel ist die zwei ^¬ te Bestimmungseinheit 10 ein Fehlerzähler. Der zweite Be ^¬ triebswert 16 ist in diesem Beispiel ein Wert einer Fehleran ^¬ zahl. D. h. die zweite Geräteeigenschaft ist in diesem Bei ^¬ spiel die Fehleranzahl. Prinzipiell können zusätzlich oder alternativ auch andere Betriebswerte bestimmt werden. Bei ^¬ spielsweise kann auch eine Fehlernummer bestimmt werden.

Die Betriebswerte 14, 16 - insbesondere alle bestimmten Be- triebswerte 14, 16 - können von den Bestimmungseinheiten 8, 10 an die Zertifizierungseinheit 12 übergeben werden. Weiter ist es möglich, dass die Zertifizierungseinheit 12 die Be ^¬ triebswerte 14, 16 aus den Bestimmungseinheiten 8, 10 aus- liest.

Die Betriebswerte 14, 16 - insbesondere alle bestimmten Be ^¬ triebswerte 14, 16 - werden zu einem Eigenschaftsvektor 18 aneinandergereiht („Konkatenierung" ) und dann mittels eines digitalen Schlüssels 20 signiert, wobei eine betriebswertab- hängige digitale Signatur 2 erzeugt wird. Sowohl die Aneinan ^¬ derreihung („Konkatenierung" ) als auch die Signierung erfolgt unter Verwendung der Zertifizierungseinheit 12. Der digitale Schlüssel 20 ist ein geheimer, privater Schlüssel.

Aus dem Eigenschaftsvektor 18, welcher die beiden Betriebswerte 14, 16 umfasst, und aus der Signatur 2 wird das Zerti ^¬ fikat 4 erzeugt. Auch die Erstellung des Zertifikates 4 er ^¬ folgt unter Verwendung der Zertifizierungseinheit 12.

Die Signatur 2 sowie das Zertifikat 4 werden bei einer Ände ^¬ rung eines des zumindest einen Betriebswerts 14, 16 über ei ^¬ nen vorgegebenen Schwellwert aktualisiert. Zweckmäßigerweise erfolgt die Aktualisierung dadurch, dass sowohl die Signatur 2 als auch das Zertifikat 4 neu erstellt wird.

Beispielsweise erfolgt die Aktualisierung, wenn sich die Be ^¬ triebszeit um mehr als eine vorgegebenen Zeitspanne, z.B. um mehr als 24 h, ändert. Weiter erfolgt die Aktualisierung bei- spielsweise, wenn sich die Fehleranzahl um mehr als einen vorgegebenen Zahlenwert, z.B. um mehr als 0,5, ändert.

Die Authentizität sowie die Integrität der Betriebswerte 14, 16 kann durch das Zertifikat 4, insbesondere durch die be- triebswertabhängige Signatur 2, sichergestellt werden. Insbe ^¬ sondere kann sichergestellt werden, dass die Betriebswerte 14, 16 nicht manipuliert wurden. Das Zertifikat 4 kann an einen Empfänger 24, 26 übermittelt werden (vgl. FIG 2 und FIG 3).

FIG 2 zeigt die Übermittlung 22 des Zertifikates 4 an eine Datenbank 24 eines Betreibers des Geräts 6. Die Übermittlung 22 ist mittels eines Pfeils 22 dargestellt.

D. h. die Datenbank 24 des Betreibers ist der Empfänger des Zertifikates 4.

Der Empfänger, d. h. hier die Datenbank 24 des Betreibers, kann zunächst prüfen, ob die Signatur 2 des Zertifikates 4 zu den Betriebswerten 14, 16, welche der Eigenschaftsvektor 18 umfasst, passt. Die Prüfung erfolgt unter Verwendung eines öffentlichen Schlüssels. Wenn die Signatur 2 des Zertifikates 4 zu den Betriebswerten 14, 16 passt, dann ist die Authenti ^¬ zität und die Integrität der Betriebswerte 14, 16 gesichert und dann können die Betriebswerte 14, 16 in die Datenbank 24 geschrieben werden. Auf diese Weise wird die Datenbank 24 ak- tuell gehalten.

In der Datenbank 24 werden also sowohl das Gerät 6 als auch seine Betriebswerte 14, 16 erfasst. Außerdem kann unter Ver ^¬ wendung der Datenbank 24 der Verlauf bzw. die Entwicklung der Betriebswerte 14, 16 nachvollzogen werden. Auf Grundlage die ^¬ ser Daten kann ein Erreichen eines kritischen Zustandes des Gerätes 6 bzw. einer seiner Komponenten vorhergesagt werden.

Auf diese Weise kann die Datenbank 24 zur Inventarisierung, zur Modernisierungsplanung und/oder zur Instandhaltungsplanung herangezogen werden.

FIG 3 zeigt die Übermittlung 22 des Zertifikates 4 an einen Hersteller 26 des Geräts 6.

Zunächst muss ein Kommunikationskanal zwischen dem Gerät 6 und dem Hersteller 26 aufgebaut werden. Ein Kommunikationska ^¬ nal könnte z.B. über einen Anlagenbus und/oder ein Leitsystem erfolgen, mit welchem das Gerät verbunden ist. Weiter könnte das Gerät über ein Mobilfunknetz, z.B. über das Globale System für Mobile Kommunikation (GSM) , zu einem vorbestimmten Zeitpunkt eine Verbindung zu dem Hersteller 26 aufbauen. Wei- ter ist es möglich, dass ein Computer des Herstellers zu Di ^¬ agnose und/oder Wartungszwecken mit dem Gerät 6 verbunden wird. Dann kann das Zertifikat 4 an den Computer übermittelt werden, welcher es (ggf. später) an den Hersteller 26 weitergibt. Weiter ist es auch möglich, dass das Gerät 6 (z.B. zu Reparaturzwecken) direkt an den Hersteller 26 übergeben bzw. geschickt wird, sodass dieser das Zertifikat 4 von dem Gerät 6 direkt herunterladen kann.

Vorzugsweise authentifiziert sich der Hersteller 26 bei dem Gerät 6 zunächst. Die Authentifizierung ist in FIG 3 mittels eines Pfeils 28 vom Hersteller 26 zum Gerät 6 dargestellt. Auf diese Weise wird sichergestellt, dass der Hersteller 26 befugt ist, das Zertifikat 4 zu empfangen. Dann sendet das Gerät 6 das Zertifikat 4 an den Hersteller 26. D. h. der Her- steller 26 ist der Empfänger des Zertifikates 4.

Der Empfänger, d. h. hier der Hersteller 26, kann zunächst prüfen, ob die Signatur 2 des Zertifikates 4 zu den Betriebs ^¬ werten 14, 16, welche der Eigenschaftsvektor 18 umfasst, passt. D.h. mittels des Zertifikates 4 wird geprüft, ob die an den Hersteller 26 übermittelten Betriebswerte 14, 16 manipuliert wurden. Die Prüfung erfolgt unter Verwendung eines öffentlichen Schlüssels. Wenn die Signatur 2 des Zertifikates 4 zu den Betriebswerten 14, 16 passt, dann ist die Authenti- zität und die Integrität der Betriebswerte 14, 16 gesichert. Die Betriebswerte 14, 16 werden dann beispielsweise an die Auswerteeinheit des Herstellers 26 übermittelt.

Der Hersteller 26 kann z.B. unter Verwendung der Auswerteein- heit die übermittelten Betriebswerte 14, 16 nutzen, um häufi ^¬ ge Fehler an dem Gerät 6 bzw. an dem Gerätetyp zu identifi ^¬ zieren, um dem Betreiber des Gerätes 6 auf mögliche Updates hinzuweisen und/oder durch die Auswertung zumindest eines der Betriebswerte 14, 16 auf eine nötige Wartung und/oder Repara ^¬ tur hinweisen.

Obwohl die Erfindung im Detail durch die bevorzugten Ausfüh- rungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen .