Gebiet der Erfindung

Die Erfindung betrifft ein Verfahren zum Überwachen der Integrität eines physi schen Objekts und ein physisches Objekt, das so ausgestaltet ist, dass seine Integri tät überwacht werden kann.

Hintergrund der Erfindung

Bestimmte physische Objekte müssen zyklisch geprüft werden, um deren Integrität festzustellen. "Physische Objekte" werden nachfolgend vereinfacht als "Objekte" bezeichnet. Solche Überprüfungen sind beispielsweise aufgrund gesetzlicher Vor gaben notwendig. In bestimmten Fällen muss bzw. soll eine solche Überprüfung durch unabhängige Institutionen, etwa einer Prüforganisation, durchgeführt wer den. Beispielsweise kann eine Prüforganisation beauftragt werden, Abgassensoren eines Heizkraftwerkes in regelmäßigen Abständen, z.B. jährlich, zu prüfen, um un ter anderem die Integrität der Abgassensoren festzustellen. Ziel solcher Integritäts- prüfüngen ist es, festzustellen, ob das zu prüfende Objekt manipuliert wurde.

Eine solche Integritätsprüfüng kann neben Sensoren für eine Vielzahl verschiedens ter Objekte durchgeführt werden, wobei die Erfindung nachfolgend an Beispiel ei nes Sensors erläutert wird.

Bei einer herkömmlichen periodischen Begutachtung muss ein Prüfer vor Ort den Sensor in Augenschein nehmen und eine herkömmliche Plombe anbringen. Falls der Sensor an einem Sensorgateway angeschlossen ist, kann der Prüfer außerdem auch den Anschluss des Sensors an dem Sensorgateway prüfen und sich von der Vertrauenswürdigkeit und der Integrität des Sensorgateways überzeugen. Wenn der Prüfer zur nächsten periodischen Begutachtung anreist, kann er an der Unversehrt heit der Plombe auf die Integrität des Sensors schließen. Beim Sensorgateway hat er außer Vermutungen über den äußeren Augenschein wenig oder keine Anhalts punkte die Integrität des Sensorgateways anzunehmen.

Ein solches Sensorgateway kann vorgesehen sein, wenn die Sensordaten beispiels weise an eine externe Stelle oder an eine zentrale Datenverarbeitungseinrichtung übertragen werden müssen, wo sie beispielsweise ausgewertet werden können, um etwa außerhalb eines Normbereiches liegende Sensorwerte zu detektieren.

Solche periodische Begutachtungen bzw. Prüfungen haben allerdings den Nachteil, dass zwischen zwei Begutachtungen der Betreiber des Sensors den Sensor manipu lieren kann oder gar durch einen anderen Sensor ersetzen kann. Ein solcher Aus tausch oder eine Manipulation würde erst bei der nächsten Begutachtung durch den Prüfer entdeckt werden.

Zudem könnte auch das Sensorgateway manipuliert werden, über das die Sensor daten an die externe Stelle oder an die Datenverarbeitungseinrichtung weitergeleitet werden. Durch eine Manipulation des Sensor gateways könnte der Betreiber des Sensors eine Manipulation der Sensordaten erreichen, sodass manipulierte Sensor daten an die externe Stelle oder an die Datenverarbeitungseinrichtung weitergeleitet würden. Manipulationen am Sensorgateway sind vom Prüfer zudem nur schwer o- der gar nicht erkennen. Aufgabe der Erfindung

Aufgabe der vorliegenden Erfindung ist es daher, Lösungen bereitzustellen, die es ermöglichen, physische Objekte kontinuierlich zu überwachen, um deren Integrität ebenfalls kontinuierlich überprüfen zu können. Damit sollen zeitnah, vorzugsweise in Echtzeit Manipulationen am Objekt erkannt werden, ohne dass hierfür ein Prüfer das Objekt vor Ort in Augenschein nehmen muss.

Erfindungsgemäße Lösung

Gelöst wird diese Aufgabe mit einem Verfahren zum Überwachen der Integrität eines physischen Objekts sowie mit einem Objekt, das so ausgestaltet ist, dass seine Integrität überwacht werden kann, gemäß den unabhängigen Patentansprüchen. Vorteilhafte Ausgestaltungen der Erfindung sind in den jeweiligen abhängigen Pa tentansprüchen angegeben.

Bereit gestellt wird demnach ein Verfahren zum Überwachen der Integrität eines physischen Objekts, wobei

- das Objekt angepasst ist, über ein Kommunikationsnetzwerk mit einer Server einrichtung zu kommunizieren,

- dem Objekt eine eindeutige Kennung zugeordnet ist,

- vorbestimmte physikalische Eigenschaften des Objektes einen digitalen Finger abdruck des Objektes bilden, und

- das Objekt eine Elektronik mit einer Speichereinrichtung aufweist, wobei die Elektronik angepasst ist, auf Anforderung den digitalen Fingerabdruck des Ob jektes zu ermitteln,

und wobei

- das Objekt über das Kommunikationsnetzwerk eine Anfrage der Servereinrich tung empfängt, wobei die Anfrage eine digitale Zeichenkette umfasst,

- die Elektronik des Objektes - in Reaktion auf die empfangene Anfrage den digitalen Fingerabdruck des Ob jektes ermittelt,

- den ermittelten digitalen Fingerabdruck mit einem der Servereinrichtung be kannten und in der Speichereinrichtung gespeicherten digitalen Geheimnis und mit der empfangenen Zeichenkette zu einer Antwort kombiniert, und

- das Objekt die Antwort über das Kommunikationsnetzwerk zur Auswertung an die Servereinrichtung überträgt.

In der Speichereinrichtung der Elektronik kann ein privater kryptographischer Schlüssel gespeichert sein, wobei die Antwort vor der Übertragung an die Server einrichtung mit diesem privaten Schlüssel signiert wird.

In der Speichereinrichtung der Elektronik kann ein öffentlicher kryptographischer Schlüssel der Servereinrichtung gespeichert sein, wobei die Antwort vor der Über- tragung an die Servereinrichtung mit diesem öffentlichen Schlüssel verschlüsselt wird.

Das digitale Geheimnis und/oder der private Schlüssel können sicher und vertrau lich in der Speichereinrichtung der Elektronik gespeichert werden.

Vorteilhaft ist es, wenn das Objekt mit einem Objekt-Gateway gekoppelt wird, wo bei das Objekt-Gateway mit dem Kommunikationsnetzwerk gekoppelt ist, und wo bei das Objekt über das Objekt-Gateway und das Kommunikationsnetzwerk mit der Servereinrichtung kommuniziert.

Das Objekt-Gateway kann die Antwort des Objektes entgegennehmen, die entge gengenommene Antwort mit einem dem Objekt-Gateway zugeordneten privaten kryptographischen Schlüssel signieren und die so signierte Antwort an die Server einrichtung weiterleiten. Vorteilhaft ist es, wenn die Elektronik angepasst ist, Manipulationen an der Elekt ronik zu detektieren, und bei einer Detektion einer Manipulation der Elektronik das digitale Geheimnis und/oder den privaten Schlüssel in der Speichereinrichtung löscht.

Vorteilhaft ist es, wenn das Objekt kontinuierlich Anfragen der Servereinrichtung empfängt, wobei sich die digitale Zeichenkette der Anfrage über die Zeit, vorzugs weise mit jeder Anfrage ändert.

Vorteilhaft ist es ferner, wenn das Objekt zumindest teilweise mit einer Folie um mantelt ist, wobei in der Folie eine Anzahl von elektrisch leitenden Leiterbahnen angeordnet sind, die mit der Elektronik des Objektes gekoppelt oder koppelbar sind, wobei physikalische Eigenschaften der Leiterbahnen den digitalen Fingerabdruck des Objektes bilden.

Ferner ist es Vorteilhaft, wenn die physikalischen Eigenschaften der Leiterbahnen einen Leitwert der Leiterbahnen und eine elektrische Kapazität zwischen den Lei terbahnen umfassen.

Vorteilhaft ist es, wenn die Folie so an dem Objekt angeordnet ist oder die Leiter bahnen in der Folie so verlaufen, dass eine Manipulation des Objektes nicht ohne Änderung der physikalischen Eigenschaften der Leiterbahnen möglich ist.

Nach dem Anbringen der Folie an dem Objekt und vor dem ersten Empfangen einer Anfrage können die physikalischen Eigenschaften der Leiterbahnen ermittelt wer den und die ermittelten physikalischen Eigenschaften als digitaler Fingerabdruck zusammen mit einer Kennungen des Objektes an die Servereinrichtung übertragen werden.

Vorteilhaft ist es, wenn der digitaler Fingerabdruck zusammen mit der Kennungen des Objektes über einen Kommunikationskanal an die Servereinrichtung übertragen wird, der verschieden von jenem Kommunikationskanal ist, über den das Objekt die Anfrage von der Servereinrichtung empfängt bzw. über den das Objekt die Ant wort an die Servereinrichtung überträgt. Die Servereinrichtung kann in einer versiegelten Umgebung betrieben werden. Bereit gestellt wird ferner physisches Objekt, wobei

- das Objekt angepasst ist, über ein Kommunikationsnetzwerk mit einer Server einrichtung zu kommunizieren,

- vorbestimmte physikalische Eigenschaften des Objektes einen digitalen Finger abdruck des Objektes bilden, und

- das Objekt eine Elektronik mit einer Speichereinrichtung aufweist, wobei die Elektronik angepasst ist, auf Anforderung den digitalen Fingerabdruck des Ob jektes zu ermitteln,

- das Objekt angepasst ist, über das Kommunikationsnetzwerk eine Anfrage zu empfangen, wobei die Anfrage eine digitale Zeichenkette umfasst,

- die Elektronik des Objektes angepasst ist,

- in Reaktion auf die empfangene Anfrage den digitalen Fingerabdruck des Ob jektes zu ermitteln,

- den ermittelten digitalen Fingerabdruck mit einem in der Speichereinrichtung gespeicherten digitalen Geheimnis und mit der empfangenen Zeichenkette zu einer Antwort zu kombinieren, und

- das Objekt weiter angepasst ist, die Antwort über das Kommunikationsnetzwerk zur Auswertung an die Servereinrichtung zu übertragen.

In der Speichereinrichtung der Elektronik kann ein privater kryptographischer Schlüssel speicherbar sein, wobei die Elektronik angepasst ist, die Antwort vor der Übertragung an die Servereinrichtung mit diesem privaten Schlüssel zu signieren. Vorteilhaft ist es, wenn in der Speichereinrichtung der Elektronik ein öffentlicher kryptographischer Schlüssel der Servereinrichtung speicherbar ist, wobei die Elekt ronik angepasst ist, die Antwort vor der Übertragung an die Servereinrichtung mit diesem öffentlichen Schlüssel zu verschlüsseln.

An dem Objekt kann eine Folie angeordnet sein, wobei in der Folie eine Anzahl von elektrisch leitenden Leiterbahnen angeordnet sind, die mit der Elektronik des Objektes gekoppelt oder koppelbar sind, wobei physikalische Eigenschaften der Leiterbahnen den digitalen Fingerabdruck des Objektes bilden.

Vorteilhaft ist es, wenn die physikalischen Eigenschaften der Leiterbahnen einen Leitwert der Leiterbahnen und eine elektrische Kapazität zwischen den Leiterbah nen umfassen.

Vorteilhaft ist es, wenn die Folie so an dem Objekt angeordnet ist oder die Leiter bahnen in der Folie so verlaufen, dass eine Manipulation des Objektes nicht ohne Änderung der physikalischen Eigenschaften der Leiterbahnen möglich ist.

Kurzbeschreibung der Figuren

Einzelheiten und Merkmale der Erfindung sowie konkrete Ausführungsbeispiele der Erfindung ergeben sich aus der nachfolgenden Beschreibung in Verbindung mit der Zeichnung, wobei die Erfindung nicht auf die nachfolgend beschriebenen Aus führungsbeispiele beschränkt ist. Es zeigt:

Fig. 1 ein Blockdiagramm eines Systems, anhand dessen das erfindungsgemäße Verfahren erläutert wird; und

Fig. 2 ein Bespiel eines erfindungsgemäßen physischen Objektes, am Beispiel eines Sensors. Detaillierte Beschreibung der Erfindung

Das erfindungsgemäße Verfahren wird am Beispiel eines Sensors, der ein physi- sches Objekt im Sinne der vorliegenden Erfindung ist, näher beschrieben. Gleich wohl lässt sich das erfindungsgemäße Verfahren für andere physische Objekte an wenden, um die Integrität der physischen Objekte zu ermitteln bzw. festzustellen

Fig. 1 zeigt hierzu ein Blockdiagramm eines Systems, in dem ein Sensor O (= phy- sisches Objekt) eingebunden ist. Der Sensors O wird fortlaufend überwacht, um die Integrität des Sensors zu validieren.

"Fortlaufend" bedeutet, dass zyklisch, vorzugsweise in kleinen zeitlichen Abstän den überprüft wird, ob der Sensor manipuliert wurde und damit die Integrität des Sensors nicht mehr gegeben ist. Dadurch kann weitgehend in Echtzeit eine Mani pulation des Sensors detektiert werden. "Echtzeit" ' bedeutet in diesem Zusammen hang, dass eine Manipulation zeitnah nach der Manipulation festgestellt wird. Lie fert ein Sensor beispielsweise nur alle 7 Tage einen Messwert, dann kann die Be dingung "Echtzeit" auch dann noch erfüllt sein, wenn eine Manipulation innerhalb von sieben Tagen erkennt wird - in diesem Fall könnte der letzte Messwert als nicht valide bzw. nicht vertrauenswürdig verworfen werden, da aufgrund der erkannten Manipulation die Vertrauenswürdigkeit des Messwertes nicht mehr garantiert wer den kann. Eine Manipulation des Sensors kann beispielsweise vorliegen, wenn der Sensor (z.B. missbräuchlich) ausgetauscht wurde oder der Sensor in sonstiger Weise me chanisch manipuliert wurde.

In dem in Fig. 1 gezeigten Beispiel ist der Sensor O mit einem Objektgateway OG, das hier als Sensorgateway OG ausgebildet ist, gekoppelt. Der Sensor O kommuni ziert über das Sensorgateway OG und über ein Kommunikationsnetzwerk K mit einer Servereinrichtung S. In einer besonderen Ausgestaltung der Erfindung kann der Sensor S auch ohne das Sensorgateway OG mit der Servereinrichtung kommu nizieren, sofern der Sensor SO hierzu entsprechend angepasst ist.

Die Servereinrichtung S ist angepasst, die Integrität des Sensors O zu überwachen. Auf eine Überprüfung Sensors O vor Ort durch einen Prüfer kann so verzichtet werden. Wesentlich Vorteil ist aber, dass die Integrität des Sensors O auf diese Weise fortlaufend überwacht werden kann, gegebenenfalls in sehr kleinen zeitli chen Abständen, etwa jede Stunde oder jede Minute bis hin zu noch kleineren zeit lichen Abständen. Dadurch wird auch eine Überwachung der Integrität von physi schen Objekten möglich, die bisher aufgrund der kleinen zeitlichen Abstände nicht überwacht werden konnten.

Der Sensor O weist neben der eigentlichen Sensorelektronik eine weitere Elektro nik E auf, die ihrerseits eine Speichereinrichtung M aufweist bzw. die mit einer Speichereinrichtung M gekoppelt ist. Die Elektronik E ist angepasst, einen digita lisierbaren Fingerabdruck des Sensors zu ermitteln. Der digitalisierbaren Fingerab druck des Sensors ist so ausgestaltet, dass Manipulationen am Sensor oder des Sen sors zu einer Änderungen dieses Fingerabdruckes führen, sodass die Servereinrich- tung S anhand des Fingerabdruckes eine Manipulation des Sensors O und damit einer Verletzung der Integrität des Sensors O erkennen kann.

Der Fingerabdruck des Sensors O kann beispielsweise von vorbestimmten physi kalischen Eigenschaften des Sensors abgeleitet werden bzw. vorbestimmte physi kalische Eigenschaften des Sensors können den Fingerabdruck des Sensors bilden. Beispielsweise können in einem Gehäuse des Sensors O elektrische Leiterbahnen integriert sein, wobei die elektrische Kapazität zwischen den Leiterbahnen charak teristisch für den konkreten Sensor ist, sodass die elektrische Kapazität zwischen den Leiterbahnen als Fingerabdruck des Sensors verwendet werden kann. Eine Ma nipulation des Gehäuses würde zu einer Änderung dieser für den Sensor charakte ristischen Kapazität und damit auch zu einer Änderung des Fingerabdruckes führen. In einem anderen Beispiel könnten in Inneren des Sensors Widerstandelemente an geordnet sein, wobei eine Manipulation des Sensors zu einer Änderung des für die sen Sensor charakteristischen Widerstandwertes führt. In einem noch anderem Bei spiels könnte das Innere des Sensorgehäuses mit einem für den konkreten Sensor charakteristischen Unter- oder Überdruck beaufschlagt werden, sodass Manipulati onen am Sensor zu einer Änderungen des Unter- oder Überdruck führen, und damit zu einer Änderung des Fingerabdruckes. Diese physikalischen Eigenschaften kön nen auch kombiniert werden, sodass der Fingerabdruck durch eine Kombination dieser physikalischen Eigenschaften gebildet wird, und eine Änderung einer dieser physikalischen Eigenschaften zu einer Änderung des charakteristischen Fingerab druckes führt.

Damit der Sensor O von der Servereinrichtung S überwacht, d.h. die Servereinrich- tung die Integrität des Sensors überwachen kann, muss der Sensor O in das von dem Server S zu überwachende Inventar (= Menge an zu überwachenden Objekten) ein gebunden werden. Das heißt, der Sensor muss der Servereinrichtung bekannt ge macht werden, was typischerweise bei oder direkt nach der Installation des Sensors durch einen Prüfer vorgenommen wird, der vorzugsweise gegenüber dem Betreiber der Servereinrichtung vertrauenswürdig ist.

Inventarisierung des physischen Objektes

Nach der Installation / Montage des Sensors O kann der Prüfer mit einem Handge rät HG den Fingerabdruck des Sensors O auslesen. Hierzu kann der Prüfer das Handgerät HG mit der Elektronik E verbinden (drahtgebunden oder drahtlos, was letztlich von der konkreten Ausgestaltung des Sensors abhängt). Die Elektronik kann dann auf Anforderung des Handgerätes die für den Sensor charakteristischen physikalischen Eigenschaften ermitteln und diese als Fingerabdruck des Sensors an das Handgerät übertragen. Zusätzlich kann die Elektronik E des Sensors O auch eine Kennung des Sensors, die in dem Speicher M gespeichert sein kann, an das Handgerät HG übertragen. Die Kennung des Sensors kann aber auch von dem Handgerät erzeugt und an die Elektronik des Sensors übertragen werden. Die Kom munikation zwischen dem Handgerät und dem Sensor kann verschlüsselt erfolgen.

In einer Ausgestaltung der Erfindung ist in der Speichereinrichtung M der Elektro nik E ein kryptographisches, individuell dem Sensor zugeordnetes Schlüsselpaar privKO, pubK gespeichert. Den öffentlichen kryptographischen Schlüssel pubK kann die Elektronik E an das Handgerät HG übertragen. Der private kryptographi- sche Schlüssel privKO des Sensors O wird vertraulich und manipulationssicher in dem Speicher M der Elektronik E gespeichert.

Das kryptographische Schlüsselpaar kann bei der Produktion des Sensors O erzeugt und in dem Speicher M des Sensors gespeichert werden.

Alternativ kann das kryptographische Schlüsselpaar auch während der Inventarisie rung des Sensors O von dem Handgerät HG erzeugt werden. In diesem Fall über trägt des Handgerät HG das Schlüsselpaar (zumindest aber den privaten Schlüssel privKO) an den Sensor O, wo es in dem Speicher M gespeichert wird. Der öffent liche Schlüssel pubK muss dann nicht mehr von der Elektronik E an das Handgerät HG übertragen werden. Die Übertragung des Schlüsselpaares kann ebenfalls ver schlüsselt erfolgen.

Nachdem im Handgerät die Kennung des Sensors und der digitale Fingerabdruck (und gegebenenfalls der öffentliche Schlüssel pubK des Sensors O) vorliegen, wer den diese Daten von dem Handgerät HG an die Servereinrichtung S (vorzugsweise verschlüsselt) übertragen. Die an die Servereinrichtung zu übertragenden Daten können von dem Handgerät HG signiert werden, sodass die Servereinrichtung die Integrität der übertragenen Daten prüfen kann.

Die Servereinrichtung speichert diese Daten und ordnet der Kennung des Sensors den Fingerabdruck und gegebenenfalls den öffentlichen Schlüssel pubK des Sen sors zu. In einer alternativen Ausgestaltung der Erfindung kann die Inventarisierung eines physischen Objektes O auch von dem Objektgateway OG abgewickelt werden. Al lerdings kann das Objektgateway OG nicht feststellen, ob es sich bei einem neu zu inventarisierenden Objekt tatsächlich um ein neues Objekt handelt oder nicht doch um ein Objekt, das (z.B. in betrügerischer Absicht) anstelle eines bereits inventari sierten Objektes an das Objektgateway angeschlossen wurde. Vorteilhaft ist es da her, die Inventarisierung durch einen Prüfer mit einem Handgerät vornehmen zu lassen.

Dies Servereinrichtung S kann nun den Sensor bzw. dessen Integrität überwachen.

Überwachen der Integrität des physischen Objektes Um die Integrität des Sensors O zu überprüfen, erzeugt die Servereinrichtung S zunächst eine für diese Überprüfung individuelle Zeichenkette. Diese individuelle Zeichenkette wird als an den Sensor O adressierte Anfrage Al an den Sensor O geschickt. Die Adresse des Sensors O kann der Servereinrichtung S im Rahmen der vorstehend genannten Inventarisierung bekannt gemacht werden, etwa indem das Handgerät HG die Adresse zusammen mit den anderen Daten an die Servereinrich- tung S überträgt. Die Adresse kann beispielsweise eine IPv4- oder IPv6-Adresse sein. Optional kann die Servereinrichtung S die Anfrage Al mit dem öffentlichen Schlüssel pubK des Sensors O verschlüsseln. Vorteilhaft ist es, wenn die Server einrichtung für jede Anfrage Al eine neue Zeichenkette erzeugt

Der Sensor O empfängt die Anfrage Al und führt gegebenenfalls eine Entschlüs selung der Anfrage Al durch.

Mit der Anfrage Al wird der Sensor O bzw. die Elektronik E des Sensors aufgefor- dert der Servereinrichtung den digitalen Fingerabdruck des Sensors mitzuteilen. Hierzu ermittelt die Elektronik E des Sensors O aus den vorbestimmten physikali schen Eigenschaften des Sensors den zum Zeitpunkt der Anfrage aktuellen Finger abdruck. Die digitale Form des Fingerabdruckes des Sensors wird dann von der Elektronik des Sensors mit der empfangenen Zeichenkette und mit einem der Ser vereinrichtung bekannten Geheimnis kombiniert. Diese Kombination bildet eine Antwort A2, die von dem Sensor O bzw. von der Elektronik E an die Serverein richtung geschickt wird. Vorteilhaft ist es, wenn die Antwort A2 vor der Übertra gung verschlüsselt wird.

Das Geheiminis kann vertraulich und nicht manipulierbar in dem Speicher M der Elektronik E gespeichert sein. Der für die Verschlüsselung der Antwort benötigte öffentliche Schlüssel des Servers kann ebenfalls in dem Speicher M der Elektronik gespeichert sein.

Das Geheimnis kann im Rahmen der Inventarisierung erzeugt und in dem Speicher der M der Elektronik gespeichert werden. In einer Ausgestaltung kann das Geheim nis von dem Handgerät HG erzeugt und sowohl an den Sensor als auch an die Ser vereinrichtung übertragen werden. Die Servereinrichtung kann dann das Geheimnis der entsprechenden Sensorkennung zuordnen. Alternativ kann das Geheimnis auch von der Servereinrichtung oder von dem Sensor selbst erzeugt werden. Das Ge heimnis wird dann von der Servereinrichtung an den Sensor bzw. von dem Sensor an die Servereinrichtung übertragen.

Der öffentliche Schlüssel der Servereinrichtung S kann ebenfalls im Rahmen der Inventarisierung von der Servereinrichtung über das Handgerät HG an den Sensor übertragen werden.

Weiter ist es vorteilhaft, wenn die Antwort A2 vor der Übertragung an die Server einrichtung S signiert wird, vorzugsweise mit dem in dem Speicher M hinterlegten privaten Schlüssel privKO des Sensors O. Die Servereinrichtung kann so die Integ rität der Antwort A2 verifizieren. Damit von der Server einrichtung S anhand der Antwort A2 auch geprüft werden kann, ob der Sensor O an einem bestimmten Sensorgateway OG angeschlossen ist (sofern ein Anschluss des Sensors an ein Sensorgateway vorgesehen ist), kann es vorgesehen sein, dass das Sensorgateway OG die Antwort A2 vor dem Weiterleiten an die Servereinrichtung S mit seinem privaten Schlüssel privOG signiert. Hinter grund ist der, dass ein Sensor an ein anderes Sensorgateway angeschlossen werden kann ohne dass sich der Fingerabdruck des Sensors ändert und der Sensor dennoch von der Servereinrichtung korrekt adressiert werden kann. Das Anschließen eines Sensors an ein anderes Sensorgateway kann aber auch eine Manipulation des Sen sors sein, die bei Bedarf von der Servereinrichtung erkannt werden soll.

Die Servereinrichtung S prüft für die empfangene Antwort A2 die Signatur des Ab senders (= Sensor) und gegebenenfalls die Signatur des Sensorgateways, um die Integrität der Antwort A2 festzustellen.

Der Server kann nun den für diesen Sensor während der Inventarisierung gespei cherten Fingerabdruck mit dem gemeinsam bekannten Geheimnis und der Zeichen kette, die der Server mit der Anfrage Al an den Sensor geschickt hat, kombinieren und diese Kombination mit seinem öffentlichen Schlüssel, den auch der Sensor für das Verschlüsseln der Antwort A2 verwendet hat, verschlüsseln. Ist das Ergebnis dieser Verschlüsselung identisch mit der verschlüsselten Antwort A2, dann ist auch der mit der verschlüsselten Antwort A2 übertragene Fingerabdruck identisch mit dem für diesen Sensor in der Servereinrichtung gespeicherten Fingerabdruck, so- dass die Integrität des Sensors festgestellt wird. Zudem wird damit auch die Identi tät des Sensors verifiziert.

Alternativ kann die Servereinrichtung die empfangene Antwort A2 entschlüsseln, da sie von dem Sensor ja mit dem öffentlichen Schlüssel des Servers verschlüsselt wurde. Aus der entschlüsselten Antwort A2 kann dann der Fingerabdruck extrahiert werden und mit dem für diesen Sensor in der Servereinrichtung gespeicherten Fin gerabdruck verglichen werden.

In einer alternativen Ausgestaltung der Erfindung kann das Prüfen bzw. Testen der Integrität des Sensors auch über das Handgerät HG abgewickelt werden. Das Hand gerät kann hierbei die Aufgabe des Sensorgateways OG übernehmen, d.h. die Ant wort A2 des Sensors entgegennehmen, mit dem privaten Schlüssel des Handgeräts signieren und die signierte Antwort A2 an die Servereinrichtung übertragen. Die Integritätsprüfung mit dem Handgerät ist insbesondere dann vorteilhaft, wenn der Sensor nicht in der Lage ist oder nicht dafür ausgestaltet ist mit der Serverein richtung zu kommunizieren. Das Handgerät kann sich dann mit dem Sensor verbin den, wodurch die Elektronik des Sensors den Fingerabdruck, das Geheimnis und den privaten Schlüssel privKO des Sensors an das Handgerät übertragen kann. Das Handgerät HG kann dann von dem Server S die Anfrage Al für diesen Sensor an- firagen, worauf der Server für diesen Sensor die Anfrage Al erzeugt und sie an das Handgerät überträgt. Das Handgerät kann dann den vom Sensor O empfangenen Fingerabdruck mit dem vom Sensor O empfangenen Geheimnis und mit der von der Servereinrichtung S empfangenen Zeichenkette kombinieren, und die Kombi- nation mit dem privaten Schlüssel privKO des Sensors signieren. Die so erhaltene Antwort A2 kann das Handgerät dann noch mit seinem privaten Schlüssel signieren und anschließend an die Servereinrichtung übertragen.

Die Integritätsprüfüng mit dem Handgerät ist aber auch dann vorteilhaft, wenn der Sensor lediglich über eine nicht aktive Elektronik E verfügt, die aber von dem Handgerät HG mit elektrischen Strom versorgt werden kann. Nach Anschluss des Handgerätes an den Sensor wird die Elektronik E des Sensors aktiviert. Die Integ ritätsprüfung kann dann so durchgeführt werden, wie vorstehend beschrieben. Erfmdungsgemäß ist es auch möglich, Sensoren kontinuierlich nach dem erfin dungsgemäßen Verfahren zu überwachen, die von Haus aus über keine charakteris tischen physikalischen Merkmale verfügen bzw. für die keine charakteristischen physikalischen Merkmale abgeleitet werden können, die wiederum für einen Ab leiten eines Fingerabdruckes herangezogen werden können. In diesem Fall ist es vorgesehen, den Sensor O mit einer selbstaushärtenden Folie zu versehen. Mit die ser Folie kann der komplette Sensor oder Teile des Sensors ummantelt werden. Die Folie weist eine Vielzahl von elektrischen Feiterbahnen auf. Nach dem Anlegen der Folie an dem Sensor wird diese ausgehärtet, wodurch sich beispielsweise die Ka pazität zwischen den Feiterbahnen auf einen Wert einstellt, der charakteristisch für die ausgehärtet Form der Folie ist. Aus den Kapazitäten kann dann ein Fingerab druck für den Sensor O abgeleitet werden, der dann im Rahmen der Inventarisie rung dem Server für diesen Sensor bekannt gemacht wird. Ein nachträgliches Ver ändern der ausgehärteten Folie (etwa durch teilweises Entfernen oder durch Be schädigen der Folie) für zu einer Änderung der charakteristischen Kapazitäten und damit zu einer Änderung des Fingerabdruckes des Sensors.

Die Folie kann mit einer aktiven Elektronik gekoppelt sein, die hierbei die Aufga ben wie in dem obigen Bespiel eines Sensors beschrieben übernimmt.

Alternativ kann die Folie auch mit einer Elektronik E gekoppelt sein, die beispiels weise mit einem Handgerät HG mit elektrischem Strom versorgt wird.

Anstelle einer Folie können auch andere Maßnahmen vorgesehen werden, mit de nen ein Sensor nachträglich ausgestattet werden kann und mit denen sich eine Ver änderung eines für den Sensor charakteristischen Fingerabdruckes, d.h. eine Mani pulation feststellen lässt.

Die Servereinrichtung S selbst ist Bestandteil einer versiegelten Infrastruktur (ver siegelte Umgebung). Die versiegelte Infrastruktur umfasst im Wesentlichen gekapselte Zonen bzw. Seg mente eines Rechenzentrums, die durch spezielle Maßnahmen gesichert sind. Der artige Maßnahmen können beispielsweise spezielle Räume mit speziellen Sicher heitstüren sein. Zudem kann ein Netz von Sensoren vorgesehen sein, mit dem die versiegelte Infrastruktur gesichert wird, sodass weder physisch vor Ort noch logisch über eine elektronische Schnittstelle ein unberechtigter Zugriff möglich ist, ohne hierbei einen Alarm auszulösen. Ein Zugriff von außen auf die in der versiegelten Infrastruktur gespeicherten Daten wird nur über einige wenige ganz spezielle Schnittstellen zugelassen, wobei auch diese Schnittstellen mit speziellen Filtern überwacht werden, um auch Angriffsversuche über diese wenigen speziellen Schnittstellen zu erkennen.

In der Servereinrichtung der versiegelten Infrastruktur werden die privaten Schlüs sel des Servers, die im Rahmen der Inventarisierung an den Server übertragenen Fingerabdrücke, die Zuordnung dieser Fingerabdrücke zu den jeweiligen physi schen Objekten sowie das Geheimnis des Servers gespeichert. Vorteilhaft ist es, wenn diese Daten ausschließlich in einem volatilen Speicher des Servers gespei chert werden. Bei einem detektierten unberechtigten Zugriff auf den Server kann die Stromversorgung jedenfalls des volatilen Speichers unterbrochen werden, so dass alle in dem volatilen Speicher gespeicherten Daten unverzüglich gelöscht wer den. Der Inhalt des volatilen Speichers wird vorzugsweise über besondere, speziell gesicherte Kommunikationsverbindungen auf einen Backup-Server repliziert, der wiederum Bestandteil einer versiegelten Infrastruktur ist. Nach einem Föschen des volatilen Speichers des Servers S kann der Inhalt des volatilen Speichers wieder hergestellt werden, ohne dass eine erneute Inventarisierung durchgeführt werden muss.

Fig. 2 zeigt ein Bespiel eines erfindungsgemäßen physischen Objektes O, am Bei spiel eines Sensors. Der Sensor O besteht hier im Wesentlichen aus einer Platine P, auf die sensorspe zifischen elektrischen Bauteile (hier nicht dargestellt) angeordnet sind. Um das hier nicht gezeigte Sensorgehäuse ist eine Folie F angeordnet, die eine Vielzahl von elektrischen Leiterbahnen L aufweist. Die elektrischen Leiterbahnen L sind in die Folie eingearbeitet. Die elektrischen Leiterbahnen L sind zudem mit einer Elektro nik E verbunden, die hier angepasst ist, die Kapazitäten zwischen den Leiterbah nen L zu messen und daraus einen für den Sensors O charakteristischen Fingerab druck abzuleiten. Die Elektronik E kann in die Folie F integriert sein, etwa als ASIC oder als Die. Alternativ kann die Elektronik auch auf der Platine P angeordnet sein.

Wie vorstehend erläutert, kann die Elektronik als aktive Elektronik oder als passive Elektronik ausgestaltet sein, wobei die passive Elektronik von dem Handgerät mit elektrischer Energie versorgt wird.

Für den Anschluss des Handgerätes an die Elektronik (zur Energieversorgung und/oder für den Datenaustausch) kann eine spezielle Schnittstelle vorgesehen sein. Alternativ kann die Elektronik auch drahtlos mit dem Handgerät kommunizieren, was insbesondere dann vorteilhaft ist, wenn es sich beider Elektronik um eine aktive Elektronik handelt, das heißt, um eine Elektronik, die nicht vom Handgerät mit elektrischer Energie versorgt werden muss.

Bei der Folie F kann es sich um eine aushärtbare Folie handeln, die nach dem An bringen an den Sensor ausgehärtet wird und damit ihr endgültige Form erhält. Durch die durch den Aushärtevorgang erhaltene Form stellen sich zwischen den Leiterbahnen für diese Form charakteristische Kapazitäten ein, die als Basis für den Fingerabdruck dienen. Ein so erhaltener Fingerabdruck eines Sensors kann prak tisch nicht reproduziert werden.

Die Folie kann von einem Prüfer, der die Inventarisierung des Sensors vomimmt, an dem Sensor angebracht werden. Alternativ kann die Folie bereits bei der Her stellung des Sensors an dem Sensor angeordnet werden, wobei die Folie dann nicht notwendigerweise am Sensorgehäuse angebracht werden muss, sondern auch in nerhalb des Gehäuses angebracht werden kann.

Bezugszeichen:

Al Anfrage

A2 Antwort auf die Anfrage Al

E Elektronik

F Folie, vorzugsweise selbstaushärtend

GH Handgerät

K Kommunikationsnetzwerk

L elektrische Leiterbahnen

M Speichereinrichtung der Elektronik bzw. mit der Elektronik gekoppelt

O Objekt (dessen Integrität geprüft/überwacht werden soll), z.B. ein Sen sor

OG Objektgateway, z.B. ein Sensorgateway

P Platine des Sensors

privKO privater kryptographischer Schlüssel des Objekts O

privKOG privater kryptographischer Schlüssel des Objektgateways OG pubK öffentlicher kryptographischer Schlüssel des Objekts O

S Servereinrichtung