CN109792450B - 在有实时能力的通信网络之内提供安全通信的方法和装置 - Google Patents
在有实时能力的通信网络之内提供安全通信的方法和装置 Download PDFInfo
- Publication number
- CN109792450B CN109792450B CN201780063237.6A CN201780063237A CN109792450B CN 109792450 B CN109792450 B CN 109792450B CN 201780063237 A CN201780063237 A CN 201780063237A CN 109792450 B CN109792450 B CN 109792450B
- Authority
- CN
- China
- Prior art keywords
- communication
- integrity
- reference value
- message
- iod
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Abstract
本发明涉及一种用于完整性检查的设备(IA),所述设备适合于在有实时能力的通信网络之内、尤其是在工业制造和/或自动化的环境中提供在至少两个通信伙伴(IOC、IOD)之间的安全通信,所述设备具有:‑用于接收用于至少一个被滤出的消息(m)的所形成的第一完整性参考值(I1)和/或用于接收用于至少一个被滤出的消息的所形成的至少一个第二完整性参考值(I2)的单元;‑用于使第一完整性参考值(I1)与至少第二完整性参考值(I2)相关并且用于将其进行比较的单元;‑用于在经相关的完整性参考值彼此不同的情况下输出警告和/或警报讯息的单元,所述警告和/或警报讯息被设置用于采取相对应的应对措施的机构。
Description
技术领域
本发明涉及一种用于在有实时能力的通信网络之内、尤其是在工业制造和/或自动化的环境中提供安全通信的方法、设备和通信装置以及一种所属的计算机程序(产品)。
背景技术
在现今的自动化设施中,为了控制制造过程或者各个生产步骤,使用IT系统。为了在这种设施中使现场设备、如传感器和执行机构(执行器)可以与自动化设备进行通信,作为通信总线系统使用所谓的现场总线。对于通信来说存在标准化的协议,例如IEC 61158。存在有实时能力的基于以太网的现场总线,所述现场总线例如在IEC 61784-2标准中被总结。经常使用的有实时能力的现场总线是Profibus和Profinet、Ethercat以及Modbus。
工业现场总线协议的安全性对于工业制造环境来说是重要的。对彼此进行通信的组件、如车间或设备的(密码的)保护越来越重要,以便可以保证安全的运行。通过密码功能,可以实现如组件的完整性、保密性或真实性那样的目标。由此,防御蓄意的、目标明确的攻击。
术语“安全性”基本上涉及数据的安全性、保密性和/或完整性以及其传输,而且也涉及在访问相对应的数据时的安全性、保密性和/或完整性。在数据传输时或在数据访问时的认证尤其也属于术语“安全性”。一般,密码功能例如被理解为用于对数据(例如用户数据、控制数据、配置数据或管理数据)进行认证、加密、机密性保护和/或完整性保护的功能。在此,密码的保护功能性例如可以包括随后列举的功能性其中的一个或多个:
- 密钥存储
- 系统和/或用户认证
- 证明
- 加密
- 解密
- 计算密码校验和(例如签名)
- 检查密码校验和(例如签名)
- 密钥协商
- 密钥生成
- 生成随机数(例如种子生成(Seed-Generierung))
- 许可
- 对系统的监控功能的支持(例如防篡改保护(tamper-Schutz)、系统完整性、SIEM)
- 监控或数据监控
- 验证数据
- 过滤数据。
在此,所列举的密码功能性可以分别又以另外的/其它的方法或者这些方法的组合来实施。
用于在所提到的组件之间的数据传输或通信的数据接口可以例如是有线或无线的接口(例如移动无线电接口(GSM、UMTS、LTE)、WLAN接口、蓝牙接口、ZigBee接口(尤其是在住宅技术(Haustechnik)中使用)或NFC接口(NFC:近场通信(Near FieldCommunication)))。在此,数据接口可以被构造和设立为串行或并行的数据接口。在组件之间的通信并不限于点对点(端(Peer))通信。也能够设想的是分组通信、广播消息或发布/订阅通信模式。
通过操纵(Manipulation)现场总线消息、也称作报文(Telegram),例如可能影响所生产的作品或商品的质量,破坏各个制造组件或者使工厂停工。随着其中使用基于以太网的现场总线协议、如Profinet I/O、Ethercat或Modbus的不断增加的数字化,对网络基础设施的攻击和对现场总线报文的操纵变得明显更简单。
用于在不同的级别中将工业的组件和机器归入为值得信任的措施应被划分成不同的区(区模型)。在这种区之内通常没有其它保护措施。这些区大多被设计为使得在组件之间的通信在该区之内发生并且只能有条件地与在自己的区之外的组件进行通信。在该区之内的内容或节点或组件受保护而且存在专用的到其它区的过渡点。这种区模型的示例是:
* 在Profinet安全指南版本2.0/10.2章中的区保护方案
* 在IEC62443中的管道(Conduits)和区
* 对工业控制系统的NIST-SP 800-82指南。
在将来的工业4.0情形的过程中,这种区保护方案不再是适合的,越来越多地超越区界限地进行通信。这种过渡点常常使数据流延迟并且因此影响实时性能。
在传统的IT网络中,常常使用TLS(Transport Layer Security(传输层安全))或IPSec(Internet Protokoll Security(互联网协议安全)),作为安全协议。如该全名已述的那样,TLS在通信技术中使用的OSI参考模型的第4级(第4层或传输层)上被限定,而IPSec在通信技术中使用的OSI参考模型的第3级或层(交换层)上被限定。
以太网协议以及上面提到的现场总线协议在OSI参考模型的第2级上使用。所谓的安全层(第2层)通常确保没有错误的数据传输而且必要时确保在发送者侧和接收者侧的数据流控制。通常,消息或数据流被分成块(也称作Frames/帧)。借助于校验和仅能识别有错误的数据传输。不存在针对主动操纵的保护。当前的现场总线协议不知道安全措施,除了上面提到的区模型之外。
在该环境中,还存在如下问题:(密码的)安全措施在OSI层/级中实现得越高,这些(密码的)安全措施对时间特性(Zeitverhalten)起的作用就越大。因此,这些(密码的)安全措施并不适合用于有实时能力的通信协议、诸如Profinet等等。此外,在没有用密码的数据进行扩展的情况下,这些协议应该在OSI参考模型的第1级和第2级上保持不变,以便使这些协议可以继续被使用。
从DE 10 2010 033 229 A1已知一种用于通过传输网络防操纵地传输控制数据的方法和系统。在这种情况下,这些控制数据可以“带内”地在同一网络中或者也可以“带外地”、也就是说在同一网络中单独地从第一控制网络的控制单元被传输到第二控制网络的第二控制单元。因为这些控制网络与传输网络通过网关(过渡点)来耦合,所以在该文献中公开的情形类似于上面阐述的区模型。
在DE 102015218373.4中已经提出了一种用于监控分布式系统的完整性的方法。在这种情况下,随机地确定测试数据组,该测试数据组取决于要通过分布式系统的通信连接来传输的数据组。此外,测试数据组以密码保护的方式被提供给校验单元,其中以不受所述确定和提供的影响的方式经由通信连接来传输数据组,而且其中依据密码计算和合理性信息鉴于完整性方面由校验单元来校验密码保护的测试数据组。在这种情况下,计算少的抽检法很重要。然而,消息应该有针对性地并且不是随机地受到完整性检查。
本发明的任务是:在没有干预通信协议的情况下,针对低于OSI参考模型的第3级的通信协议、尤其是工业现场总线协议提供目标明确的、有实时能力的安全或保护措施。
发明内容
该任务通过本发明提供的方案来解决。有利的扩展方案也由本发明给出。
本发明要求保护一种用于在有实时能力的通信网络之内、尤其是在工业制造和/或自动化的环境中提供在至少一个第一通信伙伴与至少一个第二通信伙伴之间的安全通信的方法,该方法具有如下步骤:
- 提供至少两个接口,所述接口分别被分配给通信伙伴,
- 借助于至少一个能够预先给定的过滤标准,通过分别被分配的接口来将在通信伙伴之间的至少一个被发送和/或被接收的消息滤出(Herausfiltern),其中至少一个被滤出的消息受到完整性检查,
- 其中为了进行完整性检查,形成用于在第一通信伙伴处被发送和/或被接收的至少一个被滤出的消息的第一完整性参考值,并且形成用于在至少一个第二通信伙伴处被接收和/或被发送的至少一个被滤出的消息的至少一个第二完整性参考值,
- 提供检查机构用于完整性检查,
- 使第一完整性参考值与至少第二完整性参考值相关而且通过检查机构将所述第一完整性参考值和至少所述第二完整性参考值进行比较,
- 如果经相关的完整性参考值彼此不同,则由该检查机构输出警告和/或警报讯息,或者将来自该检查机构的警告和/或警报讯息转发给采取相对应的应对措施的机构。
在此,第一和第二完整性参考值可以彼此不同,使得所述第一和第二完整性参考值处在能够预先给定的公差范围之外。在通信网络中能够设想的是多个通信伙伴。本发明并不限于点对点通信,而是也可以服务于(bedienen)一点对多点的通信(广播)。也能够设想的是:在通信网中布置多个检查机构,所述检查机构分别承担针对该通信网的分区的完整性检查而且必要时由其它上级机构来协调。
本发明的优点在于识别和防御攻击,其中未经授权的攻击者想要达成对车间或设备的访问。因此,也可以监控消息的完整性,而对时间特性没有反作用。
本发明的另一优点在于:本发明并不限于开头阐述的区,而是必要时可以超越多个过渡点地被使用。此外,检查机构并不监控消息本身,而是仅仅使完整性参考值相关和并对其检查,由此可以降低网络负荷。通过按照本发明的类型的完整性检查,也可以对机密的/敏感的数据进行检查。
本发明的一个扩展方案规定:为了在通信伙伴之间的通信,使用低于通信技术中所使用的OSI参考模型的第3级、也称作交换层的通信协议。为了在通信伙伴之间进行通信,也可以使用现场总线通信协议。
按照本发明,尤其设置所谓的带外(out-of-band)完整性检查,而不需要干预所使用的现场总线协议。因此,可以及早地识别出攻击。
本发明的一个扩展方案规定:至少一个过滤标准涉及消息类型、发送者和/或接收者、随机的消息滤出、带宽和/或网络负荷和/或可过滤的消息内容和/或它们的任何组合。
本发明的一个扩展方案规定:所提到的接口一起读取被动地被发送和/或接收的消息。因此,这些接口也被称作安全接口,这些接口对消息流没有影响。
监控标准或过滤标准可以在接口(也可以构造为安全传感器(Sicherheits-Sensoren))的过滤单元中灵活地配置并且情况特定地被适配。通过检查机构可以使过滤标准保持同步。
在这种情况下,第一完整性参考值可包括多个完整性参考值和/或第二完整性参考值同样可包括多个完整性参考值。这种完整性参考值可分别是被滤出的被发送/被接收的消息的和/或其部分的和/或多个被过滤的消息的累积的和/或其部分的哈希值。
本发明的一个扩展方案规定:将来自能够预先给定的时间窗的至少一个第一完整性参考值与来自同一时间窗的相关的至少第二完整性参考值进行比较。
本发明的一个扩展方案规定:在彼此独立的信道内执行在通信伙伴之间的通信和在相应的接口与检查机构之间的通信。
本发明的另一方面规定一种用于完整性检查的设备,该设备适合用于在有实时能力的通信网络之内、尤其是在工业制造和/或自动化的环境中提供在至少两个通信伙伴之间的安全通信,该设备具有:
- 用于接收用于至少一个被滤出的消息的所形成的第一完整性参考值和/或用于接收用于至少一个被滤出的消息的所形成的至少一个第二完整性参考值的单元;
- 用于使第一完整性参考值与所述至少第二完整性参考值相关并且用于将其进行比较的单元;
- 用于在经相关的完整性参考值彼此不同的情况下输出警告和/或警报讯息的单元,该警告和/或警报讯息被设置用于采取相对应的应对措施的机构。
该设备可以根据关于上面提到的方法的实施方式/扩展方案来构造或扩展。
上面提到的检查机构可以构造为上文描述的用于进行完整性检查的设备。
本发明的另一方面规定了一种装置、尤其是一种通信装置或通信系统,其用于在有实时能力的通信网络之内、尤其是在工业制造和/或自动化的环境中提供在至少两个通信伙伴之间的安全通信,该装置具有至少两个被分配给通信伙伴的安全接口,所述安全接口分别具有至少一个单元,用于形成用于被发送和/或被接收的消息的完整性参考值并且用于将完整性参考值传输给至少一个对完整性参考值进行检查的根据上面提到的类型之一的设备、也称作检查机构。
此外,每个安全接口都可以分配有用于借助于至少一个能够预先给定的过滤标准将在通信伙伴之间的至少一个被发送和/或被接收的消息滤出的单元,其中所述至少一个过滤标准能通过上面提到的设备来同步。
被分配给接收消息的通信伙伴的安全接口和/或被分配给发送消息的通信伙伴的安全接口还可具有用于从上面提到的设备接收完整性值比较结果的单元。
安全接口还可具有用于根据完整性值比较结果来将警告和/或警报讯息输出给采取相对应的应对措施的机构的输出单元。
该通信装置可以根据用于上面提到的设备和/或用于上面提到的方法的实施方式/扩展方案来构造或扩展。
上文提到的单元可以以软件、固件和/或硬件来实现。这些单元可以被理解为一种类型的功能单元,所述功能单元也可以在其功能方面以任意的组合来集成单个单元。
本发明的另一方面可以是计算机程序或具有至少一个计算机程序的计算机程序产品,其具有如下装置,在该计算机程序(产品)或所述至少一个计算机程序在根据上面描述的类型的通信装置之内分布式地被执行的情况下,所述装置用于执行所述方法及其所提到的设计方案。
上面的设备、装置以及必要时计算机程序(产品)可以基本上类似于该方法及其设计方案或扩展方案地相对应地被构造或扩展。
附图说明
一个或多个实施例:
本发明的其它优点、细节和扩展方案从随后结合附图对实施例的描述中得到。
在此:
图1示出按照本发明的用于在现场总线通信中的完整性检查的方法(Vorgehen)。
具体实施方式
按照该图1,IO控制器IOC与IO设备IOD例如通过通信网络、例如Profinet IRT来交换消息m,n。IO控制器IOC例如将消息m(Profinet IRT报文)发送给IO设备。被分配给IO控制器的安全接口S1一起读取消息m并且依据可以在过滤功能F1中实现的(过滤)规则来决定:用于消息m的完整性检查被激活,其中所述安全接口必要时被构造为传感器。
该过滤功能可包括用于消息的检查或监控的规则。因此可以规定:
- 要监控哪个消息类型(例如仅Profinet消息,没有http消息);
- 要监控来自哪个(哪些)发送者的或哪个(哪些)接收者的哪个消息;
- 这些消息是否应该随机地或者根据能够预先给定的条件(例如网络的带宽/负荷)来被监控;
- 哪个消息内容应该依据能够预先给定的过滤掩模或模板来监控,等等。
安全接口或安全传感器S1计算完整性参考值I1并且将该完整性参考值发送给检查机构IA、也被称作Integrity Authority(完整性主管部门)。在IOC和IOD彼此进行通信之前,建立与检查机构IA的安全连接并且在那里被认证。
IO设备IOD接收消息m并且可以对该消息进行处理。被分配给IO设备IOD的安全接口S2一起读取消息m并且依据可以在过滤功能F2中实现的(过滤)规则来决定:用于消息m的完整性检查被激活,其中所述安全接口S2必要时被构造为传感器。优选地,安全传感器S1和S2无源地来构造。这些安全传感器仅仅一起读取而没有进一步影响在IOC与IOD之间的通信。因而,并不负面地影响在IOC与IOD之间的通信的实时能力。
安全接口或安全传感器S2计算完整性参考值I2并且将该完整性参考值发送给检查机构IA。检查机构将完整性参考值I1和I2彼此进行比较并且可以在这些值不相等的情况下发现可能的操纵。
完整性参考值描绘在通信伙伴或组件之间、在示例中IOC与IOD之间所交换的消息的完整性。为了使检查机构IA可以做出关于完整性的状态的论述或评价,可以将组件的物理特性、配置数据和/或所谓的合理性数据、诸如投影数据用于完整性检查。合理性数据还可包括预先计算的、例如从仿真中推导出的数据。同样,实时存在的、必要时冗余的数据可以被彼此均衡,其中所述数据必要时来自所谓的数字双胞胎数据(“digital twinningdata”)。借助于不同的合理性数据可以结合多种类型的完整性检查。
完整性检查可以时间延迟地并且在下游被执行。通常,在制造环境中,在识别出被操纵的消息时触发警告讯息或安全警报。于是,制造可以一直继续进行,直至由于警告讯息/安全警报而确定必要时由采取应对措施的第三机构(未在该图1中示出)进行的适合的应对措施。完整性检查可以随时情况特定地被适配。
此外,也应该保护在安全传感器S1、S2与检查机构IA之间的通信路径上的完整性参考值的完整性和真实性。可以通过独立的信道来进行所述通信,其中可以应用经典的基于IP的通信协议、诸如TLS或IPSec。
被发送/被接收的消息、消息的部分的纯哈希值(单元功能)或者消息的累积的哈希值可以作为完整性参考值。除了完整性校验和之外,该完整性参考值也可包含如下数据、诸如时间戳和帧计数,所述数据被检查机构需要用于完整性参考值I1和I2的相关或分配。关于消息的历史的信息也可以被包含到完整性值中。也能够设想的是:生成机密的信息的完整性参考值,而不需要将明文交出(preisgeben)给安全传感器或检查机构。
如果基于边界条件、诸如彼此进行通信的组件的硬件地址、网络地址或逻辑地址或者所述组件的哈希值的明确的相关并非容易实现,则可以使用基于时间窗的方案。具有开始时间点a和结束时间点e的时间段T被称作时间窗。来自时间窗T0 = [s0..e0]的完整性参考值I1[]的集合必须与来自同一时间窗的完整性参考值I2[]的集合一致。时间窗可以顺序地、不相交地(disjunkt)或重叠地被使用。
在完整参考值I1与I2之间的相关也可以通过如下方式来建立,其方式是:过滤功能F1和F2的一个过滤标准或多个过滤标准通过检查机构来同步,其中所述检查机构可以预先给定过滤标准。借此可以确保:将用于同一消息、例如m或者至少用于同一消息类型等等的完整性值彼此进行比较。
另一设计方案在于:这些通信伙伴必须利用检查机构在该检查机构处被认证。在此,认证信息可包含关于Security-Level(安全级)的信息(例如IEC62443 SL-1至SL-4),使得通过检查机构可以确定出:两个通信伙伴、在本例中是具有IOC的S1和具有IOD的S2是否具有相同的安全级,或者例如数据是从具有更高安全级的设备被传输到具有更低安全级的设备还是反之。
在IOC与IOD之间的通信路径上被授权的通信伙伴允许/可以合法地对消息进行改变。接着,该改变可以被报告给检查机构IA。因此,在IOC与IOD之间的完整性破坏可以经由检查机构IA合法化(legtimieren)。
尽管本发明已经详细地通过优选的实施例进一步被图解和描述,但是本发明并不限于所公开的示例,并且其它变型方案可以由本领域技术人员从中推导出来,而不偏离本发明的保护范围。
上文描述的过程或方法流程的实现方案可以依据如下指令来进行,所述指令存在于计算机可读的存储介质上或者存在于易失性计算机存储器(在下文概括地称为计算机可读的存储器)中。计算机可读的存储器例如是易失性存储器、如缓存、缓冲器或RAM,以及非易失性存储器、如可移动磁盘、硬盘等等。
在此,上面描述的功能或步骤可以以至少一个指令组的形式存在于计算机可读的存储器上/计算机可读的存储器中。在此,这些功能或步骤没有绑定到特定指令组上或绑定到指令组的特定形式上或者绑定到特定存储介质上或者绑定到特定处理器上或者绑定到特定实施模式上,而且可以通过软件、固件、微码、硬件、处理器、集成电路等等以单独运行方式或以任意的组合方式来实施。在此,可以应用到各种各样的处理策略,例如由单个处理器进行的串行处理或者多重处理或多任务处理或并行处理等等。
这些指令可以保存在本地存储器中,但是也可能的是,将这些指令保存在远程系统上并且经由网络来访问该远程系统。
术语“处理器”、“中央信号处理装置”、“控制单元”或“数据评估装置”如这里所使用的那样包括广义上的处理装置,即例如服务器、通用处理器、图形处理器、数字信号处理器、专用集成电路(ASIC)、可编程逻辑电路、如FPGA、分立式模拟或数字电路和它们的任意的组合,包括所有其它本领域技术人员已知的或者在将来所开发的处理装置在内。在此,处理器可由一个或多个设备或装置或单元组成。如果处理器由多个设备组成,则这些设备可以被设计或配置用于并行地或串行地处理或执行指令。
Claims (31)
1.一种用于在有实时能力的通信网络之内提供在至少一个第一通信伙伴(IOC)与至少一个第二通信伙伴(IOD)之间的安全通信的方法,所述方法具有如下步骤:
- 提供至少两个接口(S1、S2),所述接口分别被分配给通信伙伴(IOC、IOD);
- 借助于至少一个能够预先给定的过滤标准,通过分别被分配的接口来将在所述通信伙伴(IOC、IOD)之间的至少一个被发送和/或被接收的消息(m、n)滤出,其中至少一个被滤出的消息(m、n)受到完整性检查,
- 其中为了进行完整性检查,形成用于在第一通信伙伴(IOC)处被发送和/或被接收的至少一个被滤出的消息(m)的第一完整性参考值(I1),并且形成用于在至少一个第二通信伙伴(IOD)处被接收和/或被发送的至少一个被滤出的消息的至少一个第二完整性参考值(I2),
- 提供检查机构(IA)用于完整性检查,
- 使所述第一完整性参考值(I1)与所述至少一个第二完整性参考值(I2)相关而且通过所述检查机构(IA)将所述第一完整性参考值和所述至少一个第二完整性参考值进行比较,
- 如果经相关的所述完整性参考值彼此不同,则由所述检查机构输出警告和/或警报讯息,或者将来自所述检查机构的所述警告和/或警报讯息转发给采取相对应的应对措施的机构。
2.根据权利要求1所述的方法,其特征在于,为了在所述通信伙伴(IOC、IOD)之间进行通信,使用低于通信技术中所使用的OSI参考模型的第3级、也称作交换层的通信协议。
3.根据权利要求1所述的方法,其特征在于,为了在所述通信伙伴(IOC、IOD)之间进行通信,使用现场总线通信协议。
4.根据权利要求1所述的方法,其特征在于,所述至少一个过滤标准涉及消息类型、发送者和/或接收者、随机的消息滤出、带宽和/或网络负荷和/或可过滤的消息内容和/或它们的任何组合。
5.根据权利要求1所述的方法,其特征在于,所述接口(S1、S2)一起读取被动地被发送和/或接收的消息。
6.根据权利要求1-5之一所述的方法,其特征在于,使用被滤出的被发送/被接收的消息的和/或其部分的和/或多个被过滤的消息的累积的和/或其部分的哈希值,作为完整性参考值。
7.根据权利要求1-5之一所述的方法,其特征在于,将来自能够预先给定的时间窗的至少一个第一完整性参考值(I1)与来自同一时间窗的相关的至少一个第二完整性参考值(I2)进行比较。
8.根据权利要求1-5之一所述的方法,其特征在于,在彼此独立的信道内执行在所述通信伙伴(IOC、IOD)之间的通信和在相应的所述接口(S1、S2)与所述检查机构(IA)之间的通信。
9.根据权利要求1-5之一所述的方法,其特征在于,所述方法被用于在工业制造和/或自动化的环境中提供在至少一个第一通信伙伴(IOC)与至少一个第二通信伙伴(IOD)之间的安全通信。
10.一种用于完整性检查的设备(IA),所述设备适合用于在有实时能力的通信网络之内提供在至少两个通信伙伴(IOC、IOD)之间的安全通信,所述设备具有:
- 用于接收用于至少一个被滤出的消息(m)的所形成的第一完整性参考值(I1)和/或用于接收用于至少一个被滤出的消息的所形成的至少一个第二完整性参考值(I2)的单元;
- 用于使所述第一完整性参考值(I1)与所述至少一个第二完整性参考值(I2)相关并且用于将其进行比较的单元;
- 用于在经相关的所述完整性参考值彼此不同的情况下输出警告和/或警报讯息的单元,所述警告和/或警报讯息被设置用于采取相对应的应对措施的机构。
11.根据权利要求10所述的设备,其中所述相关包括:鉴于在所述通信伙伴(IOC、IOD)之间传送的、被滤出的同一消息而将所述第一完整性参考值(I1)与所述至少一个第二完整性参考值(I2)的关联。
12.根据权利要求10所述的设备,其特征在于,能将来自能够预先给定的时间窗的至少一个第一完整性参考值(I1)与来自同一时间窗的相关的至少一个第二完整性参考值(I2)进行比较。
13.根据权利要求10所述的设备,其特征在于,所述设备具有至少一个单元,用于使借助于至少一个能够预先给定的过滤标准对至少一个在所述通信伙伴(IOC、IOD)之间被发送和/或被接收的消息(m、n)的滤出同步。
14.根据权利要求10所述的设备,其特征在于,为了在所述通信伙伴(IOC、IOD)之间进行通信,能使用低于通信技术中所使用的OSI参考模型的第3级、也称作交换层的通信协议。
15.根据权利要求10所述的设备,其特征在于,为了在所述通信伙伴(IOC、IOD)之间进行通信,能使用现场总线通信协议。
16.根据权利要求10所述的设备,其特征在于,所述至少一个能够预先给定的过滤标准能涉及消息类型、发送者和/或接收者、随机的消息滤出、带宽和/或网络负荷和/或可过滤的消息内容和/或它们的任何组合。
17.根据权利要求10-16之一所述的设备,其特征在于,能使用被滤出的消息的和/或其部分的和/或多个被过滤的消息的累积的和/或其部分的哈希值,作为完整性参考值。
18.根据权利要求10-16之一所述的设备,其特征在于,至少一个用于在所述通信伙伴(IOC、IOD)之间的通信的信道和至少一个用于接收所述至少一个第一完整性参考值和/或所述至少第二完整性参考值的信道彼此独立。
19.根据权利要求10-16之一所述的设备,其特征在于,能将所述通信伙伴的物理特性和/或合理性数据考虑用于完整性检查。
20.根据权利要求10-16之一所述的设备,其特征在于,能将投影数据、配置数据、从仿真中推导出的数据和/或数字双胞胎数据考虑用于完整性检查。
21.根据权利要求10-16之一所述的设备,其特征在于,所述设备适合用于在工业制造和/或自动化的环境中提供在至少两个通信伙伴(IOC、IOD)之间的安全通信。
22.一种用于在有实时能力的通信网络之内提供在至少两个通信伙伴(IOC、IOD)之间的安全通信的通信装置,所述通信装置具有至少两个被分配给所述通信伙伴的接口(S1、S2),所述接口分别具有至少一个单元,用于形成用于被发送和/或被接收的至少一个被滤出的消息(m、n)的第一完整性参考值(I1)和第二完整性参考值(I2)并且用于将所述第一完整性参考值和第二完整性参考值传输给至少一个对完整性参考值进行检查的根据权利要求10-21之一所述的设备(IA)。
23.根据权利要求22所述的通信装置,其特征在于,每个接口还分配有用于借助于至少一个能够预先给定的过滤标准将在所述通信伙伴(IOC、IOD)之间的至少一个被发送和/或被接收的消息(m)滤出的单元(F1、F2),其中所述至少一个过滤标准能通过根据权利要求10-21之一所述的设备来同步。
24.根据权利要求22所述的通信装置,其特征在于,被分配给接收消息的通信伙伴(IOD)的接口和/或被分配给发送消息的通信伙伴的接口还具有用于从根据权利要求10-21之一所述的设备接收完整性参考值比较结果的单元。
25.根据权利要求24所述的通信装置,其特征在于,所述接口还具有用于根据所述完整性参考值比较结果来将警告和/或警报讯息输出给采取相对应的应对措施的机构的输出单元。
26.根据权利要求22所述的通信装置,其特征在于,所述接口(S1、S2)无源地来构造。
27.根据权利要求22所述的通信装置,其特征在于,为了在所述通信伙伴(IOC、IOD)之间进行通信,能使用低于通信技术中所使用的OSI参考模型的第3级、也称作交换层的通信协议。
28.根据权利要求22所述的通信装置,其特征在于,为了在所述通信伙伴(IOC、IOD)之间进行通信,能使用现场总线通信协议。
29.根据权利要求22-28之一所述的通信装置,其特征在于,能在彼此独立的信道内执行在所述通信伙伴(IOC、IOD)之间的通信和在相应的所述接口(S1、S2)与根据上述设备权利要求之一所述的用于完整性检查的设备(IA)之间的通信。
30.根据权利要求22-28之一所述的通信装置,其特征在于,所述通信装置被用于在工业制造和/或自动化的环境中提供在至少两个通信伙伴(IOC、IOD)之间的安全通信。
31.一种计算机可读存储介质,其存储有至少一个计算机程序,所述至少一个计算机程序在根据权利要求22-30之一所述的通信装置之内分布式地被执行的情况下,促使执行根据权利要求1-9之一所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102016219848.3A DE102016219848A1 (de) | 2016-10-12 | 2016-10-12 | Verfahren und Vorrichtung zum Bereitstellen einer gesicherten Kommunikation innerhalb eines echtzeitfähigen Kommunikationsnetzwerkes |
| DE102016219848.3 | 2016-10-12 | ||
| PCT/EP2017/072801 WO2018068965A1 (de) | 2016-10-12 | 2017-09-12 | Bereitstellen einer gesicherten kommunikation innerhalb eines echtzeitfähigen kommunikationsnetzwerkes |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109792450A CN109792450A (zh) | 2019-05-21 |
| CN109792450B true CN109792450B (zh) | 2022-02-25 |
Family
ID=59895294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780063237.6A Active CN109792450B (zh) | 2016-10-12 | 2017-09-12 | 在有实时能力的通信网络之内提供安全通信的方法和装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20190289020A1 (zh) |
| EP (1) | EP3501154B1 (zh) |
| CN (1) | CN109792450B (zh) |
| DE (1) | DE102016219848A1 (zh) |
| WO (1) | WO2018068965A1 (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102017102677A1 (de) * | 2017-02-10 | 2018-08-16 | Endress+Hauser Conducta Gmbh+Co. Kg | Verfahren zur Authentifizierung eines Feldgeräts der Automatisierungstechnik |
| EP3486825A1 (de) | 2017-11-15 | 2019-05-22 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zum rechnergestützten bestimmen eines schweregrads einer festgestellten verletzung der integrität |
| EP3599740A1 (de) | 2018-07-25 | 2020-01-29 | Siemens Aktiengesellschaft | Steuern eines datennetzes hinsichtlich eines einsatzes einer verteilten datenbank |
| EP3609148A1 (de) | 2018-08-06 | 2020-02-12 | Siemens Aktiengesellschaft | Verfahren und netzwerkknoten zur verarbeitung von messdaten |
| EP3609240A1 (de) | 2018-08-09 | 2020-02-12 | Siemens Aktiengesellschaft | Computerimplementiertes verfahren und netzwerkzugangsserver zum verbinden einer netzwerkkomponente mit einem netzwerk, insbesondere einem mobilfunknetz, mit einem erweiterten netzwerkzugangskennzeichen |
| EP3614319A1 (en) | 2018-08-20 | 2020-02-26 | Siemens Aktiengesellschaft | Tracking execution of an industrial workflow of a petri net |
| EP3629332A1 (de) | 2018-09-28 | 2020-04-01 | Siemens Aktiengesellschaft | Sicheres ausgeben einer substanz |
| EP3633914A1 (de) | 2018-10-05 | 2020-04-08 | Siemens Aktiengesellschaft | Verfahren und system zur nachweisbaren datenverarbeitung unter anwendung von obfuskation |
| EP3637345A1 (de) | 2018-10-10 | 2020-04-15 | Siemens Aktiengesellschaft | Verknüpfung von identitäten in einer verteilten datenbank |
| EP3687209A1 (en) | 2019-01-25 | 2020-07-29 | Siemens Aktiengesellschaft | Secure multi-hop communication paths |
| CN109927297A (zh) * | 2019-02-21 | 2019-06-25 | 河北工业大学 | 一种基于数字孪生的浆料微流挤出成形智能化方法 |
| EP3736715A1 (en) | 2019-05-10 | 2020-11-11 | Siemens Aktiengesellschaft | Managing admission to a distributed database based on a consensus process |
| CN111641642B (zh) * | 2020-05-29 | 2021-07-20 | 兰州理工大学 | 一种EtherCAT协议安全改进方法 |
| US11582060B2 (en) * | 2020-08-21 | 2023-02-14 | Geotab Inc. | Telematics system for identifying manufacturer-specific controller-area network data |
| US11546427B2 (en) * | 2020-08-21 | 2023-01-03 | Geotab Inc. | Method and system for collecting manufacturer-specific controller-area network data |
| EP4068177A1 (de) | 2021-03-31 | 2022-10-05 | Siemens Aktiengesellschaft | Verfahren zum verwalten eines datenzugriffs |
| CN113420448B (zh) * | 2021-06-25 | 2023-05-23 | 中国兵器装备集团自动化研究所有限公司 | 一种弹药熔铸装药成型过程的数字孪生系统及方法 |
| CN113609608A (zh) * | 2021-07-22 | 2021-11-05 | 上海工程技术大学 | 基于数字孪生的列车牵引电机轴承全生命周期管理方法 |
| EP4300883A1 (de) | 2022-06-30 | 2024-01-03 | Siemens Mobility GmbH | Netzwerkadapter geeignet zum unterstützen eines berechtigten sendens und/oder empfangens von daten |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101772770A (zh) * | 2007-07-24 | 2010-07-07 | 西门子公司 | 用于检验存储在存储器的预定存储区域中的数据的完整性的方法和装置 |
| CN103024042A (zh) * | 2012-12-13 | 2013-04-03 | 中国航空无线电电子研究所 | Afdx终端协议栈及其数据接收与发送方法 |
| CN103053131A (zh) * | 2010-08-03 | 2013-04-17 | 西门子公司 | 用于防篡改地传输控制数据的方法和系统 |
| CN104662555A (zh) * | 2012-09-28 | 2015-05-27 | 西门子公司 | 通过检验设备对设备特性数据的完整性的检验 |
| DE102013108006B4 (de) * | 2013-07-26 | 2015-06-18 | Infineon Technologies Ag | Kommunikationsanordnung |
| CN104811475A (zh) * | 2015-03-27 | 2015-07-29 | 深圳市华运国际物流有限公司 | 基于Restful技术构建的企业服务总线中间件 |
| CN105550136A (zh) * | 2015-12-12 | 2016-05-04 | 中国航空工业集团公司西安航空计算技术研究所 | 一种基于afdx采集记录器的接收电路 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7181017B1 (en) * | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
| EP1349033B1 (en) * | 2002-03-26 | 2004-03-31 | Soteres GmbH | A method of protecting the integrity of a computer program |
| US8769135B2 (en) * | 2004-11-04 | 2014-07-01 | Hewlett-Packard Development Company, L.P. | Data set integrity assurance with reduced traffic |
| US7836387B1 (en) * | 2005-04-29 | 2010-11-16 | Oracle America, Inc. | System and method for protecting data across protection domain boundaries |
| US7921463B2 (en) * | 2005-09-30 | 2011-04-05 | Intel Corporation | Methods and apparatus for providing an insertion and integrity protection system associated with a wireless communication platform |
| US7809870B2 (en) * | 2006-10-17 | 2010-10-05 | Broadcom Corporation | Method and system for interlocking data integrity for network adapters |
| EP2245829B1 (en) * | 2008-01-18 | 2016-01-06 | InterDigital Patent Holdings, Inc. | Method for enabling machine to machine communication |
| US8839387B2 (en) * | 2009-01-28 | 2014-09-16 | Headwater Partners I Llc | Roaming services network and overlay networks |
| US7877503B2 (en) * | 2008-07-02 | 2011-01-25 | Verizon Patent And Licensing Inc. | Method and system for an intercept chain of custody protocol |
| EP2501079A1 (de) * | 2011-03-15 | 2012-09-19 | Siemens Aktiengesellschaft | Verfahren zur Echtzeit-Datenübertragung in einem Kommunikations-Netz |
| US8714494B2 (en) * | 2012-09-10 | 2014-05-06 | Siemens Industry, Inc. | Railway train critical systems having control system redundancy and asymmetric communications capability |
| KR20140147583A (ko) * | 2013-06-20 | 2014-12-30 | 한국전자통신연구원 | 산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법 |
| DE102015218373B4 (de) | 2015-09-24 | 2017-05-04 | Siemens Aktiengesellschaft | Überwachen einer Integrität eines Testdatensatzes |
-
2016
- 2016-10-12 DE DE102016219848.3A patent/DE102016219848A1/de not_active Withdrawn
-
2017
- 2017-09-12 EP EP17768419.8A patent/EP3501154B1/de active Active
- 2017-09-12 CN CN201780063237.6A patent/CN109792450B/zh active Active
- 2017-09-12 WO PCT/EP2017/072801 patent/WO2018068965A1/de unknown
- 2017-09-12 US US16/340,924 patent/US20190289020A1/en not_active Abandoned
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101772770A (zh) * | 2007-07-24 | 2010-07-07 | 西门子公司 | 用于检验存储在存储器的预定存储区域中的数据的完整性的方法和装置 |
| CN103053131A (zh) * | 2010-08-03 | 2013-04-17 | 西门子公司 | 用于防篡改地传输控制数据的方法和系统 |
| CN104662555A (zh) * | 2012-09-28 | 2015-05-27 | 西门子公司 | 通过检验设备对设备特性数据的完整性的检验 |
| CN103024042A (zh) * | 2012-12-13 | 2013-04-03 | 中国航空无线电电子研究所 | Afdx终端协议栈及其数据接收与发送方法 |
| DE102013108006B4 (de) * | 2013-07-26 | 2015-06-18 | Infineon Technologies Ag | Kommunikationsanordnung |
| CN104811475A (zh) * | 2015-03-27 | 2015-07-29 | 深圳市华运国际物流有限公司 | 基于Restful技术构建的企业服务总线中间件 |
| CN105550136A (zh) * | 2015-12-12 | 2016-05-04 | 中国航空工业集团公司西安航空计算技术研究所 | 一种基于afdx采集记录器的接收电路 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018068965A1 (de) | 2018-04-19 |
| EP3501154B1 (de) | 2021-08-11 |
| CN109792450A (zh) | 2019-05-21 |
| US20190289020A1 (en) | 2019-09-19 |
| DE102016219848A1 (de) | 2018-04-12 |
| EP3501154A1 (de) | 2019-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109792450B (zh) | 在有实时能力的通信网络之内提供安全通信的方法和装置 | |
| JP6574535B2 (ja) | グローバル自動車安全システム | |
| US10382208B2 (en) | Secure communications using organically derived synchronized processes | |
| JP6923265B2 (ja) | プラントセキュリティシステムにおける構成可能なロバスト性エージェント | |
| JP6525824B2 (ja) | 中継装置 | |
| US10389744B2 (en) | Attack detection method, attack detection device and bus system for a motor vehicle | |
| US10382196B2 (en) | System and method for secure communications based on locally stored values | |
| KR102414860B1 (ko) | 메세지를 처리하는 네트워크 프로브 및 방법 | |
| JP2021083125A (ja) | ゲートウェイ装置、方法及び車載ネットワークシステム | |
| JP7182559B2 (ja) | ログ出力方法、ログ出力装置及びプログラム | |
| WO2019187350A1 (ja) | 不正検知方法、不正検知装置及びプログラム | |
| Han et al. | A practical solution to achieve real-time performance in the automotive network by randomizing frame identifier | |
| US11336657B2 (en) | Securing communication within a communication network using multiple security functions | |
| JP6527647B1 (ja) | 不正検知方法、不正検知装置及びプログラム | |
| Koopman et al. | Integrity in embedded control networks | |
| Douss et al. | State-of-the-art survey of in-vehicle protocols and automotive Ethernet security and vulnerabilities | |
| US20240146694A1 (en) | Automatic firewall configuration for control systems in critical infrastructure | |
| JP2023519910A (ja) | 特に自動車におけるデータの異常を処理するための方法 | |
| WO2019067002A1 (en) | SECURE COMMUNICATIONS USING SYNCHRONIZED ORGANIC PROCESSES | |
| CAN | Integrity in Embedded Control Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |