-
Im Umfeld von Internet of Things Technologien und sogenannten cyberphysikalischen Systemen finden geräteorientierte Kommunikation und geräteorientierte Interaktion statt. Es wird somit zunehmend wichtiger, eine Authentifizierung von Geräten in einem industriellen Umfeld sicherzustellen.
-
Kryptographische IT-Security-Maßnahmen werden in sogenannten Smart Devices, beispielsweise innerhalb von industriellen Automatisierungsanlagen oder Energieautomatisierungsanlagen eingesetzt. Dabei werden Integrität und Vertraulichkeit von Daten oder von Kommunikationsteilnehmern überprüft. Insbesondere kommen Techniken zur Multifaktor-Authentisierung für menschliche Nutzer zum Einsatz, welche beispielsweise Zugang zu einer Automatisierungsanlage oder Zugriffsrechte für eine Kontrollanlage erhalten sollen.
-
Bei einer Authentifizierung wird eine behauptete Identität überprüft. Es sind Authentisierungstechniken für Nutzer bekannt, bei welchen mehrere Faktoren zur Authentisierung genutzt werden. Es ist ferner bekannt, eine Authentifizierung regelmäßig während einer Sitzung, beispielsweise im Rahmen einer TLS-Verbindung durchzuführen. Beispielsweise wird sowohl das Wissen über ein Passwort als auch das Besitzen eines Security-Tokens überprüft. Es ist ferner ein so genanntes Active Authentication Prinzip bekannt, bei welchem die Verhaltensweisen eines Nutzers während einer authentifizierten Session überprüft werden, um festzustellen, ob weiterhin der authentifizierte Nutzer die Session nutzt.
-
Vor diesem Hintergrund ist es eine Aufgabe der vorliegenden Erfindung, eine Geräteauthentifizierung zu erweitern und den Einsatz von zu authentifizierenden Geräten sicherer zu gestalten. Diese Aufgabe wird durch die Gegenstände der unabhängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen sind in den Ausführungsbeispielen angegeben.
-
Die Erfindung betrifft ein Verfahren zum Verbessern einer Geräteauthentifizierung mit Hilfe von Geräteüberwachungsdaten. Dabei werden als Geräteüberwachungsdaten Informationen oder Nachweise eines Gerätes oder über ein Gerät in einem Backendsystem bereitgestellt. Es wird ferner eine Einschätzung einer Vertrauenswürdigkeit des Gerätes anhand der Geräteüberwachungsdaten und mittels einer konfigurierbaren Validierungsvorschrift während eines Betriebes des Gerätes durchgeführt. Eine kryptographische kommunikationsbasierte Authentifizierung des Gerätes wird ergänzt durch mindestens eine im Betrieb des Gerätes stattfindende erweiterte Validierung auf Grundlage der Einschätzung der Vertrauenswürdigkeit des Gerätes. Es wird somit eine erweiterte Geräteauthentifizierung ermöglicht, welche neben einer Authentisierung beispielsweise in einer initialen Phase eines Kommunikationsverbindungsaufbaus auch in der späteren Betriebsphase eines Gerätes die anhaltende Vertrauenswürdigkeit des Gerätes prüft. Die Geräteüberwachungsdaten geben Auskunft über eine Geräteintegrität oder eine Integrität des Gerätes im Kontext eines Systems, indem eine konfigurierbare Validierungsvorschrift als Referenz verwendet wird. Die Validierungsvorschrift beschreibt Gerätezustände oder Parameter, welche erfüllt sein müssen, oder Bereiche, innerhalb derer Werte liegen müssen, um eine Unversehrtheit oder korrekte Funktionsweise des Gerätes zu bestätigen. Eine Vertrauenswürdigkeit des Gerätes wird beispielsweise eingeschätzt anhand dessen, wie gut die Informationen aus den Geräteüberwachungsdaten mit denen aus der Validierungsvorschrift übereinstimmen, beziehungsweise ob die Geräteüberwachungsdaten durch die Validierungsvorschrift festgelegte gültige Zustände des Gerätes signalisieren.
-
Die erweiterte Validierung anhand der Geräteüberwachungsdaten setzt auf einer erfolgreichen Authentisierung im Rahmen einer Kommunikationsverbindung auf. Für die Authentisierung kommen kryptographische Verfahren und insbesondere kryptographisches Schlüsselmaterial zum Einsatz. Ergibt die Einschätzung der Vertrauenswürdigkeit des Gerätes anhand der Geräteüberwachungsdaten, dass eine Integrität des Gerätes nach der erfolgten Authentisierung im Rahmen einer Kommunikationsverbindung auch im Betrieb bestätigt werden kann, so hat das Gerät eine erweiterte Validierung durchlaufen, die zusätzlich zur kryptographischen und kommunikationsbasierten Authentifizierung die Geräteauthentifizierung innerhalb eines Systems mit über ein Netzwerk verbundenen Geräten und Backend verbessert und insbesondere sicherer gestaltet. Geräteüberwachungsdaten sind vorteilhafterweise ohnehin im Rahmen von so genannten Predictive Maintenance Strukturen oder präventiven Instandhaltungs- oder Wartungsmodellen im Backend von Internet of Things Infrastrukturen vorhanden. Diese Geräteüberwachungsdaten zusätzlich zur Verbesserung der Geräteauthentifizierung zu nutzen, ermöglicht eine erweiterte Geräteauthentifizierung über eine Initialisierungsphase hinaus im Betrieb des Systems. Das Ausnutzen von Gerätemonitoringdaten zur Einschätzung der Vertrauenswürdigkeit des Gerätes erlaubt eine flexible Nutzung von Daten aus unterschiedlichen Quellen. Da die zusätzliche Authentisierung durch die erweiterte Validierung unabhängig von einer Kommunikationsverbindung durchgeführt wird, sind auch unterschiedliche Vertrauensbeziehungen des Backends zu Quellen der Geräteüberwachungsdaten unkritisch. Sie ermöglicht weiterhin während des Betriebs eine wiederholte oder dauerhafte Validierung als Bestätigung der Authentisierung, ohne dass eine erneute kryptographische Authentisierung oder Reauthentication, die zu einer zeitweisen Unterbrechung der Kommunikationsverbindung führen würde, erforderlich ist.
-
Die Validierungsvorschrift ist konfigurierbar ausgestaltet, um zu erwartenden Änderungen von Zustandsgrößen des Systems, in welchem sich das Gerät befindet, über die Zeit Rechnung zu tragen. Die Einschätzung der Vertrauenswürdigkeit des Gerätes entscheidet darüber, ob die erweiterte Validierung erfolgreich ist. Die Kriterien zur Einschätzung der Vertrauenswürdigkeit können sich durch Alterung des Gerätes, Änderung der Umgebungsbedingungen, Änderung benachbarter Geräte einer Anlage oder strengere Security-Anforderungen ergeben.
-
Falls die Geräteüberwachungsdaten auf einen Zwischenstand oder einen Zustand oder einen Status des Gerätes hinweisen, welcher durch Abgleich mit der Validierungsvorschrift als kritisch oder unerwünscht eingestuft wird, so ist keine gültige Validierung möglich und die aufgrund einer anfänglichen kryptographischen Authentifizierung im Rahmen eines Kommunikationsaufbaus festgestellte Integrität des Gerätes kann beispielsweise ab dem Zeitpunkt der fehlgeschlagenen Validierung nicht weiter bestätigt oder aufrechterhalten werden. Beispielsweise kann eine Warnnachricht erstellt werden, welche Auswirkungen auf die Netzwerkkommunikation oder auf den Zugriff des Gerätes auf Netzwerkbestandteile haben kann. Es können Administratoren einbezogen werden, welche beispielsweise bestehende Kommunikationssitzungen zurückrufen oder Credentials, Kennungen oder Zugangskennungen des Gerätes zurückrufen bzw. sperren. Eine Netzwerkverbindung des Gerätes kann blockiert oder beendet werden. Für eine erfolgreiche Geräteauthentisierung ist eine kryptographische Authentisierung alleine nicht ausreichend, sondern es muss zusätzlich das kryptographisch authentisierte Gerät plausible, gültige Geräteüberwachungsdaten aufweisen. Ein manipuliertes Gerät, beispielsweise mit veränderter Software oder Konfiguration, wird daher selbst bei erfolgreicher kryptographischer Authentisierung nicht erfolgreich authentisiert. Diese Überwachung erfolgt nicht nur beim Verbindungsaufbau, sondern wiederholt bzw. kontinuierlich bei bestehender Kommunikationsverbindung.
-
Das Bereitstellen der Geräteüberwachungsdaten erfolgt beispielsweise durch Zugriff auf im Backend gesammelte und gespeicherte Geräteüberwachungsdaten. Das Sammeln selbst kann regelmäßig oder kontinuierlich erfolgen oder zu fest vorgebbaren Zeitpunkten oder bei fest vorgebbaren Ereignissen. Die Geräteüberwachungsdaten sind also in einem Backend, beispielsweise auf einer device monitoring data platform oder Geräteüberwachungsdatenplattform, verfügbar.
-
Gemäß einer Ausgestaltung wird mittels der Validierungsvorschrift eine Plausibilität oder Aktualität oder Gültigkeit der Geräteüberwachungsdaten eingeschätzt. Beispielsweise kann anhand von Zeitstempeln nachvollzogen werden, ob angefragte Informationen frisch oder aktuell genug sind oder ob ein aufgrund des Zeitpunkts als gültig erkannter Inhalt übertragen wurde. Ein Plausibilitätscheck kann anhand von erwarteten Statusmeldungen oder erwarteten Reaktionen eines oder mehrerer Geräte auf Anfragen des Backends durchgeführt werden. Das erwartete Verhalten des Gerätes kann aus Trainingsdaten angelernt sein und in der konfigurierbaren Validierungsvorschrift oder Validierungspolicy fixiert sein. Die Erwartungen können auch anhand von Berechnungen oder Modellierung in die Validierungspolicy eingehen.
-
Gemäß einer Ausgestaltung umfassen die Überwachungsdaten kryptographische Geräteauthentifizierungsinformationen, welche im Betrieb vom Gerät an das Backendsystem gesendet werden. Es werden Authentifizierungsinformationen als Nutzerdaten an das Backend geschickt, bei welchem sich das Gerät im Betrieb authentisiert. Beispielsweise werden signierte Datenstrukturen mittels digitaler Signaturverfahren erstellt. Diese können insbesondere aktuelle Zeitinformationen oder Angaben zu Geräteidentifizierern enthalten. Auf vorteilhafte Weise wird so eine zusätzliche kryptographisch basierte Authentisierung durch das Nutzen von Geräteüberwachungsdaten im Betrieb ermöglicht. Die Übertragen der kryptographischen Geräteauthentifizierungsinformationen kann regelmäßig oder kontinuierlich erfolgen oder zu fest vorgebbaren Zeitpunkten oder bei fest vorgebbaren Ereignissen.
-
Gemäß einer Ausgestaltung umfassen die Geräteüberwachungsdaten Sensormesswerte oder Konfigurationswerte oder Netzwerkumgebungsinformationen oder Ortsinformationen oder Selbsttestinformationen oder Laufzeitinformationen. Anhand von Sensormessungen kann insbesondere die Plausibilität von Messwerten, die das Feldgerät über interne oder angeschlossene Sensoren empfängt, überprüft werden. Anhand des Abgleichs mit der Validierungsvorschrift wird das Gerät insbesondere auf eine erwartete und intakte Funktionsweise hin überprüft und bei erfolgreicher Validierung die Vertrauenswürdigkeit festgestellt. Ferner kann eine Netzwerkkonfiguration wie eine IP-Adresse oder eine IP-Routinginformation oder eine Gerätekonfigurationsinformation analysiert werden. Ferner kann eine Gerätesoftwareversion verwendet werden, um die erweiterte Validierung durchzuführen. Ferner können GPS-basierte Positionsinformationen oder Ortsinformationen, welche über die Information von benutzten Accesspoints oder Basisstationen oder Beacons in die Einschätzung der Vertrauenswürdigkeit eingehen. So genannte self-integrity attestations oder selfintegrity check messages können ebenso vorteilhaft verwendet werden wie Information über den Verlauf von Power-on-Selbsttests oder kontinuierlichen Selbsttests.
-
Schließlich sind auch so genannten Liveliness-Daten, insbesondere zur Bestätigung, ob das Gerät hochgefahren ist und läuft, sinnvoll zu verwerten ebenso wie Gerätelaufzeitinformationen, wie beispielsweise Prozessabläufe, CPU-Auslastung, Speicherverbrauch oder Kommunikationsauslastung.
-
Gemäß einer Ausgestaltung werden die Geräteüberwachungsdaten dem Backendsystems kryptographisch geschützt bereitgestellt. Beispielsweise werden Message Authentication Code-Verfahren oder digitale Signaturverfahren oder kryptographische Attestations genutzt. Diese kryptographisch geschützten Informationen können entweder auf dem Nachrichtenlevel selbst geschützt werden oder über einen kryptographisch geschützten Kommunikationskanal geschützt übermittelt werden.
-
Gemäß einer Ausgestaltung wird die Authentifizierung auf Grundlage der Einschätzung der Vertrauenswürdigkeit des Gerätes während eines Netzwerkzugangsvorganges durchgeführt. So kann auf vorteilhafte Weise zu ausgewählten Zeitpunkten eine erweiterte Validierung durchgeführt werden, um eine erweiterte Geräteauthentifizierung sicherzustellen, bevor beispielsweise das Gerät eine Verbindung zu einer Backenddatenbank herstellen kann oder bevor Daten von dem Gerät oder hin zu dem Gerät übermittelt werden. Beispielsweise kann bei einer gescheiterten erweiterten Validierung die erweiterte Geräteauthentifizierung nicht bestätigt werden, ein Zugang des Gerätes zu einem Device Management Service über die Netzwerkschnittstelle allerdings zugelassen werden, insbesondere um Updates der Gerätekonfiguration, wie beispielsweise Firmwareupdates oder Securitysoftwareupdates oder Konfigurationsupdates, vorzunehmen.
-
Gemäß einer Ausgestaltung wird ein Fehlschlagen der zusätzlichen Authentifizierung auf Grundlage der Einschätzung der Vertrauenswürdigkeit des Gerätes während des Betriebs dazu benutzt, Reparaturmaßnahmen einzuleiten.
-
Die Erfindung betrifft ferner eine Backendkomponente zum Verbessern einer Geräteauthentifizierung mit Hilfe von Geräteüberwachungsdaten, aufweisend:
- – Eine erste Einheit zum Ermitteln von Geräteüberwachungsdaten, wobei die Geräteüberwachungsdaten als Informationen oder Nachweise eines über ein Netzwerk mit den Backend gekoppelten Gerätes oder über ein solches Gerät ausgestaltet sind;
- – eine zweite Einheit zum Einschätzen einer Vertrauenswürdigkeit des Gerätes anhand der Geräteüberwachungsdaten und mittels einer konfigurierbaren Validierungsvorschrift während eines Betriebes des Gerätes;
- – eine dritte Einheit zum Ergänzen einer kryptographischen kommunikationsbasierten Authentifizierung durch eine erweiterte Validierung auf Grundlage der Einschätzung der Vertrauenswürdigkeit des Gerätes.
-
Die Erfindung betrifft ferner ein System zum Verbessern einer Geräteauthentifizierung mit Hilfe von Geräteüberwachungsdaten, aufweisend:
- – eine Backend-Komponente gemäß Anspruch 8,
- – eine Geräteüberwachungsdatenbank zum Bereitstellen der Geräteüberwachungsdaten,
- – das mindestens eine Gerät,
- – eine Security Komponente zum Durchführen der kryptographischen kommunikationsbasierten Authentifizierung.
-
Die jeweiligen Einheiten und Komponenten können hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit oder Komponente als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit oder Komponente als Computerprogrammprodukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein.
-
Die Erfindung betrifft ferner ein Computerprogrammprodukt mit einem Computerprogramm, das Mittel zur Durchführung des oben beschriebenen Verfahrens aufweist, wenn das Computerprogramm auf einer programmgesteuerten Einrichtung zur Ausführung gebracht wird.
-
Ein Computerprogrammprodukt, wie z.B. ein Computerprogramm-Mittel, kann beispielsweise als Speichermedium, wie z.B. Speicherkarte, USB-Stick, CD-ROM, DVD, oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden. Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammprodukt oder dem Computerprogramm-Mittel erfolgen. Als programmgesteuerte Einrichtung kommt insbesondere eine Steuereinrichtung in Frage.
-
Die Erfindung wird nachfolgend anhand von Ausführungsbeispielen mit Hilfe der Figuren näher erläutert. Es zeigen:
-
1 eine schematische Darstellung einer Systemumgebung für Feldgeräte mit einem Backendservice und herkömmlicher Geräteauthentifizierung;
-
2 eine schematische Darstellung einer Systemumgebung für Feldgeräte mit Backendservice und einer erweiterten Geräteauthentifizierung gemäß einem Ausführungsbeispiel der Erfindung.
-
In den Figuren sind funktionsgleiche Elemente mit denselben Bezugszeichen versehen, sofern nichts anderes angegeben ist.
-
1 zeigt ein Beispiel eines herkömmlichen Systems, in welchem mehrere Feldgeräte F1, F2, F3, F4, F5 einer Industrieanlage über ein offenes Netzwerk 100 oder Open Network, beispielsweise ein Büronetzwerk, beispielsweise Internet oder Intranet, mit einem Backendservice 20 verbunden sind. Der Backendservice 20 greift dabei insbesondere auf gesammelte Daten zurück, welche auf einem Server gespeichert werden. Insbesondere werden Datenanalysen durchgeführt, um eine Überwachung der Gerätekomponenten durchzuführen. Dadurch sollen beispielsweise Ausfälle von einzelnen Feldgeräten entdeckt werden. Die Feldgeräte F1 bis F5 authentisieren sich über eine Kommunikationsverbindung, beispielsweise über TLS oder DTLS, und nutzen dabei ihre jeweiligen Geräte-Credentials oder -Kennungen. Es kann sich insbesondere um kryptographische Schlüssel des Gerätes handeln oder um Gerätezertifikate, die Schlüsselmaterial von einer Zertifizierungsinstanz beglaubigt übermitteln. Einzelne Feldgeräte F1, F2, F3 können innerhalb eines Automatisierungsnetzwerkes 200 der Industrieanlage angeordnet sein und dort für Aufgaben in einer Automatisierungsanlage benutzt werden. Das Automatisierungsnetzwerk 200 ist insbesondere mit einem Büronetzwerk über ein Gateway 10 verbunden. Andere Feldgeräte F4, F5 sind beispielsweise direkt über das offene Netzwerk mit dem Backend verbunden.
-
Beispielsweise handelt es sich um Geräte, die innerhalb der Industrieanlage Daten zu Temperaturbedingungen melden und nicht Bestandteil des gesicherten Automatisierungsnetzwerkes sind.
-
In 2 ist ebenfalls eine über ein offenes Netzwerk 100 an ein Backendsystem gekoppelte Industrieanlage skizziert. Es ist ein Internet of Things System dargestellt mit Internet of Things oder IoT Geräten 1, 2, 3, 4, 5, welche mit einer IoT-Backendplattform 20 kommunizieren. Die Kopplung erfolgt für einige Geräte 1, 2, 3 eines Automatisierungsnetzwerkes 200 über ein Gateway 10 zum offenen Netzwerk 100. Für andere Geräte 4, 5 erfolgt eine direkte Kopplung, beispielsweise über ein Büronetzwerk, mit der IoT Backendplattform 20. Die Geräte stellen der IoT Backendplattform 20 sogenannte Monitoring Informationen oder Überwachungsinformationen bereit. Diese können Informationen über den Gerätestatus, über Messungen mittels zu den Geräten gehörigen Sensoren usw. enthalten. Diese Informationen werden als Device Monitoring Daten oder Device Monitoring Data auf der Plattform hinterlegt als IoT Geräteüberwachungsdaten 1‘, 2‘, 3‘, 4‘, 5‘. Hier können insbesondere zur Optimierung der Industrieanlage Digital Twin Funktionalitäten durch den Backendservice bereitgestellt werden. So kann eine Vielzahl von Umgebungsinformationen über die Systemumgebung eines Gerätes hinterlegt werden, beispielsweise indem das Gerät selbst die Informationen liefert oder indem benachbarte Geräte in die Erfassung der Überwachungsdaten mit einbezogen werden.
-
Es erfolgt eine Authentifizierung einiger oder aller Geräte gegenüber einem Device Security Service 40 in Backend. Der Device Security Service umfasst Informationen über registrierte Geräte und beispielsweise deren Zugriffsrechte. Dazu wird ein Identitätsmanagement- oder eine Identity and Access Management-Funktionalität 41 verwirklicht. Überdies kann der Device Security Service 40 Geräte-Credentials ausstellen und/oder zurückrufen. Dazu verfügt der Device Security Service 40 über eine Zertifizierungsinstanz oder Certification Authority 42. Insbesondere werden Zertifikate ausgestellt oder Authentifizierungstoken vergeben. Diese kommunikationsbasierte Authentifizierung erfolgt beispielsweise nur bei Aufbau einer Verbindung. In Varianten kann auch eine mehrfache Authentifizierung über die bestehende Kommunikationsverbindung gefordert werden, um eine anhaltende Integrität der beteiligten Geräte sicherzustellen. Zusätzlich kann nun noch der Betrieb der Geräte überwacht werden und durch einen Device Data Validation Service 30 oder Gerätedatenvalidierungsservice die Integrität einzelner Geräte bestätigt oder verneint werden. Der Service fordert Informationen über die IoT Geräte aus der IoT Backendplattform 20 an und überprüft die Gültigkeit der Geräteüberwachungsdaten 1‘, 2‘, 3‘, 4‘, 5‘ anhand einer Validierungsvorschrift 31.
-
Das Verhalten einer Hauptfunktionalität oder einer regulären Funktionalität eines Gerätes der überwachten Geräte kann überwacht werden und auf Plausibilität hin geprüft werden. Die Geräte des IoT Systems stellen Überwachungsdaten oder Monitoring oder Statusinformationen in einer herkömmlichen Industrieanlage ohnehin an das IoT Backendsystem bereit. Der Abgleich der Geräteüberwachungsdaten oder Monitoring Daten im Rahmen des Device Data Validation Service ermöglicht eine Verknüpfung der reinen Geräteüberwachung mit einer Aussage zur Integrität, indem konfigurierbare, insbesondere über die Zeit anpassbare Konfigurationsvorschriften eingehalten werden müssen, damit ein Gerät in einem laufenden Betrieb eines IoT Systems auch fortlaufend als authentifiziert und integer oder unversehrt eingestuft wird. Schlägt eine erweitere Validierung anhand der Geräteüberwachungsdaten fehl, so werden Maßnahmen zur Instandsetzung angestoßen. Beispielsweise wird eine Fehlermeldung oder Alarmmeldung ausgegeben, welche auf einem Display eines Dashboards oder einer Anzeigetafel angezeigt wird. Die Alarmnachricht kann auch in das Set der Geräteüberwachungsdaten des jeweiligen Gerätes, welches im IoT Backend verfügbar ist, eingebunden werden. Es können ferner Nachrichten verschickt werden, welche eine IoT Backendplattform dazu veranlassen, Kommunikationssitzungen mit den betroffenen IoT Feldgeräten zu beenden. Zugriffsrechte oder Credentials des IoT Feldgerätes können zurückgenommen werden.
-
Obwohl die Erfindung im Detail durch die Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.