CN116028983A - 在工业自动化系统中的设备的安全供应 - Google Patents
在工业自动化系统中的设备的安全供应 Download PDFInfo
- Publication number
- CN116028983A CN116028983A CN202211311648.1A CN202211311648A CN116028983A CN 116028983 A CN116028983 A CN 116028983A CN 202211311648 A CN202211311648 A CN 202211311648A CN 116028983 A CN116028983 A CN 116028983A
- Authority
- CN
- China
- Prior art keywords
- container
- party
- industrial automation
- automation system
- security credential
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开的多个实施例涉及在工业自动化系统中的设备的安全供应。提供了一种用于安全地供应数据的方法,该数据将在对用于工业自动化系统的设备进行参数化中使用,该方法包括:第一方向第二方供应用于在工业自动化系统中交换设备参数的机器可读标准化容器,其中所述提供包括向所述容器写入要由所述设备使用的经加密的主安全凭证,以用于与所述工业自动化系统建立信任。还提供了一种用于安全地获得数据的方法,该数据将在对用于工业自动化系统的设备进行参数化中使用,该方法包括:由第二方从第一方获得用于在工业自动化系统中交换设备参数的机器可读标准化容器,该容器包括由该设备使用的用于与该工业自动化系统的建立信任的经加密的主安全凭证。
Description
技术领域
本发明涉及工业自动化系统中设备的安全供应。
背景技术
当要将设备安全地连接到工业自动化系统时,需要在第一次连接之前在设备和系统之间交换认证信息。这样做有两种主要方法:在工厂车间情况下;或在销售商制造场景中。在工厂车间场景中,未配置的设备被连接到工业自动化系统的设备管理功能,以使设备被参数化,包括安全敏感数据的传送。这对于车间所有者来说是耗时且昂贵的工作,并且优选地被避免,即使安全凭证、永久标识符或公共密钥可以在处理期间被安全地传送(这不一定是可能的)。在销售商制造情况下,销售商从车间运营商接收包括具有订单的安全敏感数据的设备参数列表,并作为制造过程的一部分对设备进行预参数化。该设备然后能够被工业自动化系统安全地使用而无需任何进一步的手动工作。
因此,设备的预参数化需要在车间运营商和销售商之间交换安全敏感数据。当前在现有技术中还没有令人满意的方式来保护安全敏感数据在其从设备工程通过订购交换到制造时免受操纵、窃听和伪造。
发明内容
根据本发明的第一方面,提供了一种用于安全地供应数据的方法,该数据将在对用于工业自动化系统的设备进行参数化中使用,该方法包括:
第一方向第二方供应机器可读标准化容器,该机器可读标准化容器用于在工业自动化系统中的设备参数的交换,其中,所述供应包括向所述容器写入经加密的主安全凭证,经加密的主安全凭证将由所述设备使用,以用于与所述工业自动化系统建立信任。
该“第一方”可以包括例如该工业自动化系统的运营商所有者,和/或该设备的顾客,或代表该运营商或顾客为该设备供应数据的任何其他授权实体。作为供应用于对设备进行参数化的数据的一方,例如配置数据,第一方可替换地被称为“配置者”或“数据提供者”。“第二方”可以包括例如设备的销售商或制造商,或代表第一方利用所供应的数据对设备进行参数化的任何其他授权实体,例如登机平台、供应链伙伴、分发者或分销商。作为接收用于对设备进行参数化的数据的一方,第二方可替换地被称为“参数化器”、“供应者”、“数据接收器/用户/消费者”。然而,在一些示例中,第一方可以是例如生成主安全凭证并且将其传送给例如作为第二方的运营商的销售商。这种情况在这里可以被称为反向情况。例如,车间所有者可以使用容器订购设备,可选地利用一些设备参数值来指定设备类型,此后,销售商生成主安全凭证并且将其传送回车间所有者。
此外,根据第二方面,提供了一种用于安全地获得数据的方法,该数据将在对用于工业自动化系统的设备进行参数化中使用,该方法包括:
由第二方从第一方获得机器可读标准化容器,该机器可读标准化容器用于在工业自动化系统中的设备特性的交换,所述容器包括经加密的主安全凭证,经加密的主安全凭证将由所述设备使用以用于与所述工业自动化系统建立信任。
在第一和/或第二方面中,第一方可以本地地和/或远程地将数据写入到容器中。
“本地写入数据”是指在通过经由公共或私有网络向第二方传送容器来向第二方供应容器之前,第一方可以使用安全本地工作环境将主安全凭证写入到容器中。例如,第一方可以使用安全本地工作环境中的私有计算网络来生成和/或编辑容器,并且随后通过公共网络将所生成/编辑的容器传送到第二方。类似地,在第二方面中从第一方获得容器可以包括:第二方通过公共或私有网络从第一方接收所传送的容器,其中所接收的容器已经至少包括写入到容器中的主安全凭证。参考这里描述的“按次序配置”实施例来描述数据的本地写入的示例。
“数据的远程写入”是指在将主安全凭证写入存储在远程工作环境中的容器中之前,第一方可以通过使用从第二方接收的辅助安全凭证来建立到第二方的存储该容器的远程工作环境的安全通道,来将主安全凭证写入容器中。例如,第一方可以使用公共网络来访问远程服务器,例如第二方的服务器,以在那里生成和/或编辑和/或存储容器。类似地,第二方面的获得步骤可以包括:第二方将辅助安全凭证传送到第一方,该辅助安全凭证可以由第一方使用来建立到第二方的存储有容器的远程工作环境的安全通道,并且允许第一方将主安全凭证写入到存储在远程工作环境中的容器中。参考这里描述的“后序配置”实施例来描述数据的远程写入的示例。
“本地”和“远程”之间的区别可以根据通过公共网络传送的信息来理解:在数据的本地写入中,仅传送完成的或修改的容器,而在数据的远程写入中,传送的是用于插入到容器中的数据。还应当理解,将数据写入到容器中可以部分本地地和部分远程地执行。
为了建立安全通道,在第一方面或第二方面中,可以通过第二方将辅助安全凭证嵌入所述容器中并且将该容器传送给第一方,来将辅助安全凭证从第二方传送给第一方。备选地,辅助安全凭证可以从第二方被传送到嵌入在另外的这样的容器中的第一方,该容器不同于包括主安全凭证的所述容器。在任何情况下,辅助安全凭证可以包括例如对主安全凭证进行加密的公钥。公钥可以对应于由设备生成的、或以其他方式为设备生成的并且由设备保密的私钥。当然,建立安全通道的备选方法对于本领域技术人员来说是显而易见的。
因此,在第三方面中提供了一种建立用于交换主安全凭证的安全通道的方法,该方法包括:将嵌入在如本文所述的容器中的辅助安全凭证从第二方传送到第一方。然后可以使用第一方面和第二方面中的一者或两者的方法来交换主安全凭证。
在上述任一方面中,由第一方供应或由第二方获得的容器可以包括用于对设备进行参数化的另外的设备参数。上述方面中的任一方面的方法还可以包括使用所供应的设备参数来对设备进行参数化的步骤。现在将阐述使用所供应的设备参数对设备进行参数化的方法。
根据第四方面,提供了一种用于对用于工业自动化系统的设备进行参数化的方法,该方法包括:
获得机器可读标准化容器,该机器可读标准化容器用于在工业自动化系统中的设备特性的交换,该容器包括经加密的主安全凭证连同另外的设备参数,经加密的主安全凭证由该设备使用以用于与该工业自动化系统建立信任,另外的设备参数用于对该设备进行参数化;以及
使用来自所述容器的所述设备参数来对所述设备进行参数化,其中所述参数化包括:所述设备从所述容器中提取所述主安全凭证并且解密所述主安全凭证。
例如,可以使用第二方面的方法来获得容器。
该设备可以被本地和/或远程地参数化。
“本地参数化”是指可以通过从存储有容器的安全本地工作环境将容器下载到设备来本地执行参数化。例如,设备和容器可以连接到相同的私有网络,即容器仅经由私有网络从其存储位置被下载到设备,而不通过公共网络进行任何传输。参考这里描述的“按次序配置”实施例来描述本地参数化的示例。
“远程参数化”是指可通过访问存储有容器的远程工作环境并且将容器从远程工作环境下载到设备来远程地执行参数化。例如,可以通过至少一个公共网络将容器下载到设备。参考这里描述的“后序配置”实施例来描述远程参数化的示例。使用远程参数化,设备本身可以根据编程到设备中的预定义上电行为来访问远程工作环境。预定义上电行为可以通过所述容器被输入到所述设备。
本地参数化和远程参数化之间的区别可以根据例如在生产时或在调试时设备被“闪烁(flashed)”以将容器或其至少一部分包括在存储器中的时间点和方式来理解。使用本地参数化,提供了对设备进行“预参数化”或“预配置”(即,在销售商/制造环境中对其进行参数化)的安全方式。使用远程参数化,关于设备下载容器的时间点获得了更多的灵活性。还可以部分本地地和部分远程地执行参数化。
因此,通过第一方在传输之前加密主安全凭证来执行将主安全凭证安全写入到容器中。在另外的示例中,可以通过以下技术中的一种或多种来增强将数据安全地写入到容器中:在传输之前加密包含所述主安全凭证的安全子模型;在传输之前加密包含所述主凭证的容器;使用用于数据交换的安全协议;或用于提供安全数据交换的任何其它适当技术。
类似地,使用容器的设备的安全参数化可以包括以下技术中的任何一种或多种:接收包含所述主安全凭证的经加密的安全子模型并且解密所述安全子模型;接收包含所述主安全凭证的经加密的容器并且解密所述容器;使用用于数据交换的安全协议;或用于提供安全数据交换的任何其它适当技术。
可以采取用于在第一方和第二方之间和/或在这些方中的任一方或双方与设备之间建立信任的步骤。可以采取步骤来交换密码材料,例如对称或非对称密钥、交换用于远程服务器访问的凭证或登录细节、和/或使用安全协议建立通信。在一个示例中,该设备被制造为具有硬件安全模块,该硬件安全模块被配置为生成私钥以及公钥,该私钥被保留在该模块中,该公钥与第一方共享,用于向该设备提供加密数据(包括主安全凭证)。在另一示例中,该设备被制造为包括存储在其上的凭证,该凭证将由该设备使用以使用安全协议与远程服务器建立通信以用于下载容器。应当理解,任何这样的安全通道一旦被建立,就可以用于建立另外的安全通道。例如,登录细节可以被加密,或者使用安全协议的通信可用于交换密钥等。
可以采取步骤来确保配置数据将被提供给正确的设备,特别是当设备还没有被制造或设备还将从这些设备的库存中选择时。
在一个特定示例中,这里称为按次序配置,向第二方供应容器包括在通过公共网络将包括经加密的主安全凭证的容器传送到第二方的私有网络之前(该容器从该私有网络被下载到设备),在安全工作环境中(例如在私有网络上)生成并且存储容器,使用预先提供的密钥来加密主安全凭证。然后,设备使用至少一个预先提供的密钥来解密主安全凭证。在这个示例中,该第一方可以是该工业自动化系统的运营商,并且该第一方的安全工作环境可以包括该工业自动化系统的至少一部分,例如用于所述系统的工程工具。第二方可以是设备的制造商,并且制造商的私有网络可以包括或被连接到由制造商操作的制造系统的至少一部分,例如制造执行系统(MES)。
在另一特定示例中,这里称为后序配置,第一方通过公共网络建立安全通道以访问第二方的私有网络并在其上生成和/或存储容器。然后,该设备例如使用预先提供的登录数据建立到第二方的私有网络的另外的这样的安全通道,并且通过该另外的安全通道来下载该容器。
该容器可以包括安全子模型,该主安全凭证被集成到该安全子模型中。在此描述的辅助安全凭证也可以被集成到所述安全子模型中,或者集成到另外的这样的容器的安全子模型中。在一个示例中,容器包括用于不同通信层的多个安全子模型(例如,用于OPC UA的OPC10000-21设备身份票证、用于5GEAP-TLS的IEEE802.1AR、5G-AKA或LTE对称密钥等)。主安全凭证可通过加密包含它的安全子模型来被加密。容器还可以包括设备配置子模型,该设备配置子模型可以包括设备参数,即设备的功能数据和/或其它非敏感配置数据。设备配置子模型可以保密或不保密。
一旦该设备已经被参数化,前述方面中的任一个方面的方法还可以包括调试该设备以在该工业自动化系统中使用,其中该调试包括:该设备使用该主安全凭证来与该工业自动化系统建立信任。该方法还可以包括:操作包括被参数化和调试的设备的工业自动化系统。
根据第五方面,提供了一种操作工业自动化系统的方法,该工业自动化系统包括如本文所述的被参数化和调试的设备。调试(或“登机”)该设备可以包括将其上电、将其连接到工业自动化系统、以及使用主安全凭证来认证该设备。设备的调试或登机可以包括直接登机或中间登机,即,在两方数据交换场景中或在三方数据交换场景中。直接登机包括将设备直接登机到最终车间网络上。中间登机可以包括将设备登机到中间平台上,该中间平台具有到车间和/或设备制造商的其自己的安全通道。这些安全通道可以使用这里描述的方法来实现。
在一些示例中,本文描述的方法可以作为用于多个设备的批量订购过程或批量供应过程的一部分来执行。
在此描述的任何方法还可以包括从外部网络操作环境签名第三方身份,以便为订购过程对它们给予信任。例如,当使用第三方登机平台时,该平台可参与如本文所述的凭证交换过程。另外,在第一方想要将某些步骤委托给第三方的情况下,这将包括将他们的身份带入信任模型。
“设备”是指预期与工业自动化系统或其部分通信的任何设备,特别是在需要设备与工业自动化系统建立信任的情况下。该设备可以是例如用于工业自动化系统的现场设备或控制设备。
如这里所使用的,“参数化”涉及向设备提供诸如配置数据的数据,并且也可以被称为供应或配置。
“设备参数”或“配置数据”是指当提供给设备时将设备从制造或默认状态转换为操作状态的数据。配置数据可以包括功能数据和/或安全数据。
术语“功能数据”涉及工业自动化系统内的设备的操作。功能数据可以保密或不保密。
在此使用的术语“安全数据”、“安全敏感数据”或“安全凭证”指的是要保密的任何数据,并且特别指的是该数据,即主安全凭证,其将由设备使用以与工业自动化系统建立信任。安全凭证可以包括一个或多个登机凭证。安全凭证可以包括以下项中的一项或多项:设备身份,无论是永久身份还是至少初始身份信息;密码材料,例如至少一个密码密钥,例如对称或非对称密钥,例如5G-AKA认证;双方之间以某种方式交换的一个或多个共享秘密(如使用5G-AKA);设备证书。在一些示例中,至少设备身份的分配应当形成过程的安全部分。
“身份”是指可以识别设备和/或其在工业过程中的角色或者可以自动映射到设备角色的任何数据。例如,身份可以包括指示该过程中的设备角色的车间特定标签名。身份可以包括基于例如IEEE802.1AR、OPC UA、OPC10000-21、5GEAP-TLS、5G-AKA的一个或多个安全身份。设备身份可以包括永久设备身份。附加地或备选地,设备身份可以包括至少一个临时或初始身份。在一些示例中,用于网络和应用层的各种安全凭证是从例如基于IEEE802.1AR的公共安全设备身份导出的,例如运行OPC UA作为应用层协议并且使用例如IEEE802.1X/EAP-TLS或5GEAP-TLS操作来自自动化域的传输网络以用于认证。在其它示例中,例如当使用具有由网络运营商执行的SIM卡管理的5G网络时,用于网络和应用层的各种安全凭证使用不同的安全设备身份(但不一定是不同的身份标准)。
如这里所使用的,“容器”可以包括在工业自动化领域中被标准化用于交换设备配置数据的数据包或数据人工产物,例如AASX分组。容器可以符合标准化的设备特性交换格式,例如资产管理外壳(AAS)。根据本公开,该容器可以用于传送密码材料以便在该设备与该工业自动化系统之间进行安全数据交换。
这里使用的术语“加密”和“解密”等可以指任何合适的密码系统的使用,无论是对称的还是不对称的,例如关联数据的认证加密(AEAD);高级加密标准(AES);公开密钥,例如RSA(Rivest-Shamir-Adleman)或ECC(椭圆曲线密码学);或其任何组合。
如这里所使用的,术语“安全通道”是指使用任何安全通信手段来确保或至少促进保密性。安全通道可以例如通过使用加密、一个或多个安全协议(例如HTTPS)、使用例如登录凭证的访问控制或其任何组合来建立。
“公共网络”是指任何不安全的、可公共访问的网络,例如因特网。相应地,这里使用的“私有网络”是指安全或不可公开访问的网络。这里描述的任何网络可以包括一个或多个IP会聚自动化网络,诸如IEEE TSN或3GPP 5G的IT/电信技术,或诸如OPAF或NOA的开放自动化体系结构。
术语“模块”、“系统”、“电路”、“工具”在这里可以互换使用。
通过借助用于工程数据的机器可读标准化容器来交换主安全凭证连同另外的设备数据,所要求保护的主题车间运营商和销售商使用标准化和无间隙交换机制以安全方式通过公共网络端对端地交换安全敏感数据。进而,所要求保护的主题可以在没有人为干预的情况下提供自动且无间隙的零触摸供应。这里描述的机制可以产生在公共通信信道上传送技术特定的安全数据的安全方式,同时提供更细粒度的认证和另外不可能的访问控制级别。“无间隙”、“端到端”或“无缝”是指在第一方的计算系统(诸如用于配置现场设备或企业资源规划(ERP)的工程工具)和第二方的计算系统(诸如ERP系统和/或制造执行系统(MES))之间的通信是可能的,所有这些都能够读取容器,而无需人参与通信。
假定诸如Industrie 4.0AAS之类的交换格式将被用作传送设备特性数据的标准化和普通实践方式,这里描述的解决方案避免了销售商和技术特定交换解决方案的禁止性变化,同时符合零信任原理,诸如最小信息暴露。这为在工业自动化系统中以即插即用方式的可信自配置或安全登机创造了基础。例如,一旦安装和上电,设备可以由系统的网络访问控制(例如基于3GPP 5G或IEEE 802.1X)和应用层(例如OPC UA第2部分,草案21)自动识别、认证和接纳。这里描述的解决方案可以利用AAS的安全特征来促进制造商和运营商之间的秘密的端到端安全传输。AAS访问可以是经由AAS传输的在线/实况或离线。可以为具有其生命周期状态的完全透明的设备提供安全凭证,即,该设备是仅被设计、订购、制造还是已经被调试无关紧要。AAS模型用于容易地配置甚至不寻常的安全参数。例如,由于对应的AAS表示,量子后加密参数可以自动可用,而无需调整订购过程或客户通信。
如本文所述的后序配置使得能够使用对AAS的在线访问来为设备创建基础设施不可知的配置接口。该配置接口可以被使用,而不管AAS被托管在哪里,不管它是在线使用还是通过文件传输使用。
有利地,所要求保护的主题可以与蜂窝安全系统结合使用,在所述蜂窝安全系统中永远不会在开放信道上暴露永久身份,更不用说共享秘密。
根据第六方面,提供了一种计算设备,其包括处理器,该处理器被配置为执行第一至第五方面中任一方面的方法。
根据第七方面,提供了一种计算机程序产品,包括指令,所述指令在由计算设备执行时使得所述计算设备能够或使所述计算设备执行第一至第五方面中的任一方面的方法。
根据第八方面,提供了一种计算机可读介质,包括指令,所述指令在由计算设备执行时使得所述计算设备能够或使所述计算设备执行第一至第五方面中的任一方面的方法。
本发明可以包括单独或组合的一个或多个方面、示例或特征,无论是否在该组合或单独中具体公开。以上方面之一的任何可选特征或子方面适当地适用于任何其他方面。
参考下面描述的实施例,本发明的这些和其它方面将变得显而易见。
附图说明
现在将参考附图仅以示例的方式给出详细描述,其中:-
图1示出了在由车间运营商订购的设备的交付中涉及的一系列各方之间的数据流;
图2示出了用于安全地交换配置数据的方法的一个示例,该配置数据将在供应用于工业自动化系统的设备中使用;
图3示出了用于安全地交换配置数据的方法的另一个示例,该配置数据将在供应用于工业自动化系统的设备中使用;
图4示出了具有直接登机的两方数据交换场景;
图5示出了具有中间登机的三方数据交换场景;以及
图6示出了可根据本文公开的系统和方法使用的计算设备。
具体实施方式
设备和工业自动化系统的相互认证是关键的要求,特别是当使用云和边缘环境、在TSN、APL、5G或其它蜂窝技术上运行的基于会聚IP的网络时。为了在设备和工业自动化系统之间建立必要的信任,必须在设备的第一次连接之前在设备销售商和车间运营商之间交换安全身份信息。本文描述了用于从打算使用设备的工业系统向设备安全提供安全凭证的系统和方法。
图1示出了由车间运营商102订购的设备的交付中所涉及的一系列各方之间的典型数据流。制造商104可以是销售商106(可能使用一个或多个分包商108),制造商104将设备提供给分发者112,分发者112可以可选地将设备提供给集成者110以集成到工厂118中,和/或提供给机器建造者114,机器建造者114在将机器集成到工厂118中之前将一个或多个设备合并到更大的机器中。车间运营商102还可以使用登机平台116,其直接从制造商104获取设备数据,并使用该数据访问工厂118的网络120以登机设备。在各个阶段,交换包括设备身份的设备数据,如设备列表122和124所示。如上所述,在预参数化情况下,设备数据可以由车间运营商102预先提供给制造商104,并且可以包括诸如设备身份的安全敏感数据。因此,各方之间的每次数据交换代表了数据交换安全性的潜在弱点,而每次数据交换可以根据专有通信手段或各方之间明确同意的手段(例如,通过电子邮件发送加密的zip文件)来进行。因此,处理数据交换的安全性目前是非常复杂的。
根据本公开,用于设备特性(例如,Industrie4.0资产管理外壳)、承载协议特定身份子模型(例如,从5G-AKA,IEEE 802.1AR等或OPC10000-21导出)的标准化通用交换机制与加密和认证方法(例如,使用AES的AEAD、使用RSA或ECC的签名)组合,以提供与销售商和技术不可知性的无缝安全性。假定设备销售商和客户之间的信任关系已经通过接受彼此的证书管理机构(CA)来验证发行的证书而建立。特别地,基于标准化设备特性交换格式(在以下非限制性示例中,Industrie4.0资产管理外壳交换(AASX)分组)的容器或数据人工产物由设备销售商签名,并且包括用于与设备进行安全数据交换的密码材料(例如,RSA公钥)(例如,存储在设备上的硬件安全模块中的对应私钥)。在一个非限制性示例中,在此称为按次序配置,在该次序过程期间创建该设备安全配置。在此被称为后序配置的另一非限制性示例中,在后序安全配置需要的情况下,提供无缝安全。这两种变体都利用所述容器。
图2示出了用于安全地交换配置数据的次序配置方法,该配置数据将在用于提供用于工业自动化系统的设备中使用。该方法包括以下步骤:
1.操作者102选择设备以预参数化进行排序,并且基于设备特性交换格式获得容器203。在该非限制性示例中,容器203包括Industrie4.0资产管理外壳交换(AASX)分组。
2.运营商102生成用于该设备的安全子模型202,该安全子模型202承载一个或多个安全凭证,该安全凭证至少包括由诸如设备目录(例如,FDI设备管理工具、DCS方面对象、OPC UA GDS、LDAP服务器、3GPP UDM功能等)的登机身份数据库201提供的设备身份。然后,运营商102使用公钥加密安全子模型202,该公钥使运营商102能够加密要提供给设备的信息。公钥可以作为容器203的一部分提供,但也可以单独提供。在一个示例中,公钥是制造商104或销售商106的公钥。当建立公钥基础结构(PKI)时,该公钥可以被输入到运营商102的公司密钥链中。在另一示例中,公钥对应于设备的身份。对该密钥的信任可以通过用发根于销售商CA中的销售商证书对容器(或其部分)签名来建立。该设备公钥使得安全敏感数据能够存储在容器中并且经由容器发送,而制造商104或销售商106不能够读取该数据。
3.运营商102将安全子模型202集成到容器203中。容器203可以包括用于对设备进行参数化的另外的配置数据,例如存储在例如设备配置子模型中的功能数据。设备配置子模型也可以可选地被加密。
4.运营商102通过诸如因特网的公共网络(例如,使用电子邮件、web服务、基于REST的协议等)向制造商104传送所生成的容器203,该所生成的容器203包括经加密的安全子模型202。例如通过使用安全协议和/或通过加密整个容器203可以进一步增强安全性。AASX包的安全下载例如在https://www.plattformi40.de/PI40/Redaktion/DE/Downloads/Publikation/sicherer_downloadservice.pdf。
5.制造商104可选地在收到订单时认证容器203。容器203可由运营商102使用能够由制造商104验证的公钥来签名。备选地,该步骤形成步骤4中的安全传输的一部分。
6.制造商104制造设备206,将安全子模型202下载到设备206,设备206使用与公钥相对应的私钥对安全子模型202进行解密,并应用安全子模型202。私钥可以是对应于上述设备公钥的私钥,其中私钥/公钥对在设备206的制造之前已经存在,例如作为提供给制造商104并随后组装到设备206中的硬件安全模块的一部分。备选地,制造商104可以提供私钥/公钥对,并且在设备配备私钥/公钥对之后立即忘记私钥。
7.制造商104使用公共后勤网络将设备206递送到运营商102。
8.运营商102安装设备206,将其上电,并且在认证服务器208的帮助下,使用在预参数化期间提供的设备身份并且可选地使用预建立的信任基础来认证它。
图3示出了用于安全地交换配置数据的后序配置方法,该配置数据将在提供用于工业自动化系统的设备中使用。在该变体中,当发生数据的安全交换时已经制造了该设备。订单后配置方法包括以下步骤:-
1.客户102选择要订购的设备并从销售商106订购该设备。
2.销售商106向客户102发送初始容器303,初始容器303包括安全子模型302,安全子模型302包括从设备提取的公钥。公钥对应于仅对设备已知并且不可提取的私钥。公钥和私钥可以例如由设备的硬件安全模块在制造期间生成。销售商106将设备公钥放入初始容器303中,并且可选地(通过它们自己的身份和签名)确保该公钥是订购的设备的公钥。初始容器303还可以包括对托管在销售商的服务器300上的设备配置子模型的引用。另外,可以在初始容器303中定义设备上电时的行为。在一个非限制性示例中,初始容器303可指定设备将使用设备专用密码短语连接到设备专用SSID。如在上述示例中,容器303可以包括AASX分组。
3.客户102远程访问销售商的服务器300。为此,客户102可以使用作为在制造设备之前在销售商106和客户102之间建立的信任关系的一部分而提供的登录凭证。备选地,车间网络120可以是允许无凭证(或较不安全)访问销售商服务器300的开放网络。使用在初始容器303中提供的引用,客户102随后修改托管在销售商服务器300上的设备配置子模型,以便为该设备提供期望的功能配置数据。如在上述示例中,客户102获得设备身份并将其存储在安全子模型302中。运营商102然后使用设备公钥至少加密安全子模型302,并且可选地还加密设备配置子模型。然后,将设备配置子模型连同加密的安全子模型302集成到完整的容器中,该容器可以是新的容器或初始容器303的更新版本,并且将该完整的容器存储在销售商的服务器300上,以便之后被下载到设备。备选地,代替运营商102访问销售商的服务器300以修改存储在其上的数据,运营商102可以向销售商106返回初始容器303的已完成版本,该已完成版本由销售商106使用来向客户102发送安全子模型302,其中初始容器303(或其副本)已被完成以包括(经加密的)安全子模型302以及已完成的设备配置子模型。在不同方编辑相同子模型的情况下,可以使用版本信息(诸如在AAS中可用的版本信息),从而各方可以改变值。已完成的容器(和/或修改的(多个)子模型)然后可以被重新签名。在不允许重新签名容器或子模型的情况下,可以在更新副本并随后签名副本之前首先制作初始容器或子模型的副本。子模型之间的事件交换也可用于处理来自多方的编辑。备选地,信息可以被分成不同的子模型,例如客户拥有的子模型和销售商拥有的子模型,从而不需要混合来自多方的更新。
4.在装运设备306之后,客户102调试设备306,这包括将其连接到车间基础设施。
5.根据预定义的上电行为,设备306然后建立到销售商的服务器300或到其地址被指定并且可以从其下载完成的容器的另一服务器的安全通道(使用例如OPC UA)。然后,设备306下载完成的容器并且使用其私钥对安全子模型302解密。然后使用被包含在安全子模型302中的设备身份来执行设备306的认证。在后序配置方法中,设备306与来自销售商106的初始容器303一起被“引导”(没有来自运营商102的附加输入)。然后,设备306使用预定义的上电行为来搜索容器的更新版本,并且将初始容器303与新容器合并或重写。
在后序配置方法的一个变体中,客户102使用包括在容器303中的设备身份和所定义的上电时的行为,来创建到设备306的安全端到端通信。在设备306已经在客户的设施上的情况下,为了建立通信,客户102例如通过使用容器303自动配置软件定义的网络来为设备306提供合适的网络环境。这可以使用例如解释容器303和设备306的运行时环境之间的OPC UA协议连接来实现。为了实现这种连接,可以使用例如边缘基础设施在客户的设施上解释容器303。解释容器303产生例如设备身份,其用于认证本地网络中的设备306(例如,使用802.1AR)。
在后序配置方法的另一变型中,客户102从他们自己的服务器或从销售商的服务器300下载完成的容器303,并且将其呈现给设备306本身。
到目前为止所描述的方法涉及具有直接登机的两方数据交换场景,其在图4中更详细地示出。如图所示,运营商102的设备目录408(例如,登机身份数据库201)通信地耦合到企业资源规划(ERP)系统404,ERP系统404被配置为例如使用SAP或通过电子邮件提交订单。类似地,销售商106处的ERP系统404通信地耦合到制造执行系统(MES)406。这样,ERP系统被通信地耦合以交换订单数据,该订单数据包括具有安全的安全凭证的容器。这种通信耦合可以进一步扩展到包括分包商或运营商102和销售商106旁边的其它价值链伙伴。PKI信任根402是在车间运营商域中使用的公司证书管理机构,其生成和/或签名用于其它工具404-410的证书,允许它们通过信任证书管理机构来创建经认证的数据。在订购期间,销售商106可以参考证书管理机构来验证所包含的安全凭证是真实的。此外,凭证值(例如在802.1AR或5G-TLS的情况下)由PKI信任根402签名和/或生成(或经由任何附加工具404-410),从而允许将设备验证为属于车间118。工程工具410处理设备工程数据(参数)并且将它们存储在设备目录408中。
图5示出了具有中间登机的三方数据交换场景。特别是对于蜂窝设备,可以使用中间登机平台506,其基于与运营商102的服务合同向制造商104提供身份。在这种情况下,首先允许设备进入登机平台506。然后,运营商102使用其平台帐户来下载设备的安全凭证。在一个变体中,车间运营商102从平台506下载预先存在的安全凭证,而第三方平台用作设备身份的信任根。在另一变体中,车间运营商经由平台和所示网络连接将安全凭证上载到设备(例如,使用其eSIM)。运营商102触发网络重新连接,并且发生设备进入车间网络120的许可。登机平台506可以与制造商104和操作者102(例如,与工业自动化系统的设备管理系统)通信地耦合,这允许与平台506交换凭证以对所制造的设备进行预参数化。在设备调试期间,设备在移动运营商是平台伙伴的区域中进入调试网络/接入点。这是世界上许多公共网络中的一个,例如专用接入点(APN)。设备管理系统或人类运营商可以使用预先提供的凭证而连接到登机平台506,并且重新配置设备服务简档以将其移动到车间分配的私有网络120。使用中间登机平台506意味着运营商102仅需要与安全耦合的一个伙伴系统交互。
现在参见图6,示出了可根据本文所公开的系统和方法使用的示例性计算设备800的高级图示。计算设备800包括执行存储在存储器804中的指令的至少一个处理器802。例如,指令可以是用于实现被描述为由上述一个或多个组件执行的功能的指令或用于实现上述一个或多个方法的指令。处理器802可以通过系统总线806访问存储器804。除了存储可执行指令之外,存储器804还可以存储对话输入、分配给对话输入的得分等。
附加地,计算设备800包括能够由处理器802通过系统总线806访问的数据存储设备808。数据存储设备808可以包括可执行指令、日志数据等。计算设备800还包括允许外部设备与计算设备800通信的输入接口810。例如,输入接口810可用于从外部计算机设备、从用户等接收指令。计算设备800还包括将计算设备800与一个或多个外部设备接口的输出接口812。例如,计算设备800可以通过输出接口812显示文本、图像等。
预期经由输入接口810和输出接口812与计算设备800通信的外部设备可被包括在提供用户可与其交互的基本上任何类型的用户接口的环境中。用户接口类型的示例包括图形用户界面、自然用户界面等。例如,图形用户界面可以接受来自使用诸如键盘、鼠标、遥控器等输入设备的用户的输入,并且在诸如显示器的输出设备上提供输出。此外,自然用户界面可使用户能够以不受诸如键盘、鼠标、遥控器等输入设备强加的约束的方式与计算设备800交互。相反,自然用户界面可以依赖于语音识别、触摸和触笔识别、屏幕上和屏幕附近的姿势识别、空中姿势、头部和眼睛跟踪、语音和声音、视觉、触摸、姿势、机器智能等。
另外,虽然被示为单个系统,但是应当理解,计算设备800可以是分布式系统。因此,例如,若干设备可以通过网络连接进行通信,并且可以共同执行被描述为由计算设备800执行的任务。
这里描述的各种功能可以用硬件、软件或其任意组合来实现。如果以软件实现,则这些功能可以作为计算机可读介质上的一个或多个指令或代码来存储或传输。计算机可读介质包含计算机可读存储介质。计算机可读存储介质可以是能够由计算机访问的任何可用存储介质。作为示例而非限制,这种计算机可读存储介质可以包括FLASH存储介质、RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备,或可用于携带或存储指令或数据结构形式的期望程序代码并且可由计算机访问的任何其它介质。这里使用的磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘和蓝光盘(BD),其中磁盘通常磁性地再现数据,而光盘通常用激光光学地再现数据。此外,传播信号不包括在计算机可读存储介质的范围内。计算机可读介质还包括通信介质,该通信介质包括促进将计算机程序从一个地方传送到另一个地方的任何介质。例如,连接可以是通信介质。举例来说,如果使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)或例如红外线、无线电和微波的无线技术从网站、服务器或其它远程源传输软件,那么同轴电缆、光纤电缆、双绞线、DSL或例如红外线、无线电和微波的无线技术包含在通信介质的定义中。上述的组合也应包括在计算机可读介质的范围内。
备选地或附加地,这里描述的功能可以至少部分地由一个或多个硬件逻辑组件来执行。例如但不限于,可以使用的硬件逻辑组件的说明性类型包括现场可编程门阵列(FPGA)、程序专用集成电路(ASIC)、程序专用标准产品(ASSP)、片上系统系统(SOC)、复杂可编程逻辑器件(CPLD)等。
应当理解,除了上述功能之外,上述电路还可以具有其它功能,并且这些功能可以由同一电路执行。
申请人在此孤立地公开了在此描述的每个单独的特征以及两个或更多个这样的特征的任何组合,达到这样的特征或组合能够根据本领域技术人员的公知常识基于本说明书作为整体来实现的程度,而不管这样的特征或特征的组合是否解决在此公开的任何问题,并且不限于权利要求的范围。申请人指出,本发明的各方面可以包括任何这样的单独特征或特征的组合。
必须注意,本发明的实施例是参考不同的类别来描述的。特别地,参考方法描述了一些示例,而参考设备描述了其他示例。然而,本领域技术人员将从说明书中总结出,除非另有说明,除了属于一个类别的特征的任何组合之外,涉及不同类别的特征之间的任何组合也被认为由本申请公开。然而,可以组合所有特征以提供比特征的简单加总更多的协同效果。
虽然已经在附图和前面的描述中详细说明和描述了本发明,但是这样的说明和描述应当被认为是示例性的而不是限制性的。本发明不限于所公开的实施例。通过研究附图、公开内容和所附权利要求,本领域技术人员可以理解和实现所公开实施例的其它变型。
词语“包括”不排除其它元件或步骤。
不定冠词“一”或“一个”不排除多个。此外,本文所用的冠词“一”和“一个”通常应解释为意指“一个或多个”,除非另有说明或从上下文中清楚地指示单数形式。
单个处理器或其它单元可以实现权利要求中所述的若干项的功能。
在相互不同的从属权利要求中叙述某些措施的事实并不表示不能有利地使用这些措施的组合。
计算机程序可以存储/分布在适当的介质上,例如与其他硬件一起提供或作为其他硬件的一部分提供的光存储介质或固态介质,但是也可以以其他形式分布,例如经由因特网或其他有线或无线通信系统。
权利要求中的任何附图标记不应解释为限制范围。
除非另有说明,或从上下文中清楚地看出,本文所用的短语“A、B和C中的一个或多个”,“A、B和C中的至少一个”和“A、B和/或C”旨在表示所列项目中的一个或多个的所有可能的排列。即,短语“X包括A和/或B”由以下情况中的任一种满足:X包括A;X包括B;或X包含A和B两者。
Claims (15)
1.一种用于安全地供应数据的方法,所述数据将在对用于工业自动化系统的设备进行参数化中使用,所述方法包括:
第一方向第二方供应机器可读标准化容器,所述机器可读标准化容器用于在工业自动化系统中的设备参数的交换,其中所述供应包括:向所述容器写入经加密的主安全凭证,经加密的所述主安全凭证将由所述设备使用以用于与所述工业自动化系统建立信任。
2.一种用于安全地获得数据的方法,所述数据将在对用于工业自动化系统的设备进行参数化中使用,所述方法包括:
由第二方从第一方获得机器可读标准化容器,所述机器可读标准化容器用于在工业自动化系统中的设备特性的交换,所述容器包括经加密的主安全凭证,经加密的所述主安全凭证将由所述设备使用以用于与所述工业自动化系统建立信任。
3.根据权利要求1或2所述的方法,其中在通过经由公共或私有网络向所述第二方传送所述容器来向所述第二方供应所述容器之前,所述第一方使用安全本地工作环境将所述主安全凭证写入所述容器。
4.根据权利要求1或2所述的方法,其中在将所述主安全凭证写入存储在远程工作环境中的所述容器中之前,所述第一方通过使用从所述第二方接收的辅助安全凭证以建立到所述第二方的存储所述容器的远程工作环境的安全通道,来将所述主安全凭证写入所述容器中。
5.根据权利要求4所述的方法,其中通过将所述辅助安全凭证嵌入所述容器中并且传送所述容器,来将所述辅助安全凭证从所述第二方传送到所述第一方。
6.根据前述权利要求中任一项所述的方法,其中由所述第一方供应或由所述第二方获得的所述容器包括:用于对所述设备进行参数化的另外的设备参数。
7.一种用于对用于工业自动化系统的设备进行参数化的方法,所述方法包括:
获得机器可读标准化容器,所述机器可读标准化容器用于在工业自动化系统中的设备特性的交换,所述容器包括经加密的主安全凭证连同另外的设备参数,经加密的所述主安全凭证将由所述设备使用以用于与所述工业自动化系统建立信任,另外的参数用于对所述设备进行参数化;以及
使用来自所述容器的所述设备参数来对所述设备进行参数化,其中所述参数化包括:所述设备从所述容器中提取所述主安全凭证并且解密所述主安全凭证。
8.根据权利要求7所述的方法,其中所述参数化通过将所述容器从存储所述容器的安全本地工作环境下载到所述设备而被本地执行。
9.根据权利要求7所述的方法,其中所述参数化通过访问存储所述容器的远程工作环境并且将所述容器从所述远程工作环境下载到所述设备而被远程执行。
10.根据权利要求9所述的方法,其中所述设备本身根据编程到所述设备中的预定义上电行为来访问所述远程工作环境。
11.根据权利要求10所述的方法,其中所述预定义上电行为通过所述容器被输入到所述设备。
12.根据前述权利要求中任一项所述的方法,其中所述容器包括安全子模型,所述主安全凭证被集成到所述安全子模型中。
13.根据前述权利要求中任一项所述的方法,还包括:调试经参数化的所述设备以在所述工业自动化系统中使用,其中所述调试包括:所述设备使用所述主安全凭证来与所述工业自动化系统建立信任。
14.一种计算设备(800),包括处理器(802),所述处理器被配置为执行根据权利要求1-13中任一项所述的方法。
15.一种计算机可读介质(804,808),包括指令,所述指令在由计算设备(800)执行时使得所述计算设备能够执行根据权利要求1-13中任一项所述的方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP21205053.8 | 2021-10-27 | ||
EP21205053.8A EP4175220A1 (en) | 2021-10-27 | 2021-10-27 | Secure provisioning of devices in industrial automation systems |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116028983A true CN116028983A (zh) | 2023-04-28 |
Family
ID=78413831
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211311648.1A Pending CN116028983A (zh) | 2021-10-27 | 2022-10-25 | 在工业自动化系统中的设备的安全供应 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20230125527A1 (zh) |
EP (1) | EP4175220A1 (zh) |
CN (1) | CN116028983A (zh) |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE112018005260T5 (de) * | 2017-11-06 | 2020-06-18 | Intel Corporation | Sichere Gerät-Onboarding-Techniken |
-
2021
- 2021-10-27 EP EP21205053.8A patent/EP4175220A1/en active Pending
-
2022
- 2022-10-25 CN CN202211311648.1A patent/CN116028983A/zh active Pending
- 2022-10-27 US US17/974,693 patent/US20230125527A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
US20230125527A1 (en) | 2023-04-27 |
EP4175220A1 (en) | 2023-05-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11429960B2 (en) | Network configuration management for networked client devices using a distributed ledger service | |
US10749692B2 (en) | Automated certificate enrollment for devices in industrial control systems or other systems | |
US11695735B2 (en) | Security management for net worked client devices using a distributed ledger service | |
CN109901533B (zh) | 用于在过程控制系统中使用的方法和设备 | |
US10075450B2 (en) | One time use password for temporary privilege escalation in a role-based access control (RBAC) system | |
US20140351882A1 (en) | Systems and methods for the rapid deployment of network security devices | |
US20170099297A1 (en) | Virtual collaboration systems and methods | |
CN107925871A (zh) | 移动运营商简档管理委托 | |
GB2609872A (en) | Security management for networked client devices using a distributed ledger service | |
US9503478B2 (en) | Policy-based secure communication with automatic key management for industrial control and automation systems | |
US11582210B2 (en) | Method of enabling a secure communication to a target device over a network | |
WO2018209986A1 (zh) | eUICC签约数据的下载方法及装置 | |
Kohnhäuser et al. | On the security of IIoT deployments: An investigation of secure provisioning solutions for OPC UA | |
EP3667526B1 (en) | Rapid file authentication on automation devices | |
CN115330400A (zh) | 一种区块链溯源方法、装置、系统、计算设备和存储介质 | |
CN112100965A (zh) | 一种电子制造业协同创新平台及其使用方法 | |
EP4175220A1 (en) | Secure provisioning of devices in industrial automation systems | |
CN116233058A (zh) | 一种支持多体系标识共享的标识解析方法、设备及介质 | |
US11171786B1 (en) | Chained trusted platform modules (TPMs) as a secure bus for pre-placement of device capabilities | |
US20240171548A1 (en) | Security management for networked client devices using a distributed ledger service | |
CN114258006B (zh) | 获取凭据的方法、装置及系统 | |
US20220398335A1 (en) | Secure three-dimensional print files | |
Dogan et al. | Distributed ledger-based authentication and authorization for Industrie 4.0 components | |
US11888994B1 (en) | Automated determination of template public key infrastructure systems | |
US20230155842A1 (en) | Method and apparatus for certifying an application-specific key and for requesting such certification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |