DE102017111928A1 - Verfahren zur autorisierten Aktualisierung eines Feldgeräts der Automatisierungstechnik - Google Patents

Verfahren zur autorisierten Aktualisierung eines Feldgeräts der Automatisierungstechnik Download PDF

Info

Publication number
DE102017111928A1
DE102017111928A1 DE102017111928.0A DE102017111928A DE102017111928A1 DE 102017111928 A1 DE102017111928 A1 DE 102017111928A1 DE 102017111928 A DE102017111928 A DE 102017111928A DE 102017111928 A1 DE102017111928 A1 DE 102017111928A1
Authority
DE
Germany
Prior art keywords
operating software
component
field device
software
replaced
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017111928.0A
Other languages
English (en)
Inventor
Björn Haase
Ralf Schmidt
Markus Kilian
Helmut Kalteis
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Endress and Hauser Conducta GmbH and Co KG
Original Assignee
Endress and Hauser Conducta GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Endress and Hauser Conducta GmbH and Co KG filed Critical Endress and Hauser Conducta GmbH and Co KG
Priority to DE102017111928.0A priority Critical patent/DE102017111928A1/de
Priority to CN201810509472.8A priority patent/CN108989042B/zh
Priority to US15/994,229 priority patent/US10402190B2/en
Publication of DE102017111928A1 publication Critical patent/DE102017111928A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • G06F8/654Updates using techniques specially adapted for alterable solid state memories, e.g. for EEPROM or flash memories
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • G06F8/658Incremental updates; Differential updates

Abstract

Die Erfindung umfasst ein Verfahren zur autorisierten Aktualisierung einer ersten Betriebssoftware (BS1), insbesondere einer Firmware, eines Feldgeräts (FG), welches in einer Anlage der Automatisierungstechnik eingesetzt wird,
wobei eine Authentifizierungsprüfung einer zweiten, mittels eines ersten privaten, der Anlage zugeordneten, Schlüssels (S1) signierten Betriebssoftware (BS2) für das Feldgerät (FG), durchgeführt wird,
wobei im Rahmen der Authentifizierungsprüfung die durch den ersten privaten Schlüssel (S1) erzeugte Signatur (SIG1) der zweiten Betriebssoftware (BS2) mittels eines ersten öffentlichen, der Anlage zugeordneten, Schlüssels (S1') authentifiziert wird, und
wobei im Falle, dass die Authentifizierungsprüfung erfolgreich durchgeführt wurde, die auf dem Feldgerät (FG) befindliche erste Betriebssoftware (BS2) zumindest teilweise durch die zweite Betriebssoftware (BS2) ersetzt wird.

Description

  • Die Erfindung betrifft ein Verfahren zur autorisierten Aktualisierung eines Feldgeräts, welches in einer Anlage der Automatisierungstechnik eingesetzt wird.
  • Aus dem Stand der Technik sind bereits Feldgeräte bekannt geworden, die in industriellen Anlagen zum Einsatz kommen. In der Automatisierungstechnik ebenso wie in der Fertigungsautomatisierung werden vielfach Feldgeräte eingesetzt. Als Feldgeräte werden im Prinzip alle Geräte bezeichnet, die prozessnah eingesetzt werden und die prozessrelevante Informationen liefern oder verarbeiten. So werden Feldgeräte zur Erfassung und/oder Beeinflussung von Prozessgrößen verwendet. Zur Erfassung von Prozessgrößen dienen Messgeräte, bzw. Sensoren. Diese werden beispielsweise zur Druck- und Temperaturmessung, Leitfähigkeitsmessung, Durchflussmessung, pH-Messung, Füllstandmessung, etc. verwendet und erfassen die entsprechenden Prozessvariablen Druck, Temperatur, Leitfähigkeit, pH-Wert, Füllstand, Durchfluss etc. Zur Beeinflussung von Prozessgrößen werden Aktoren verwendet. Diese sind beispielsweise Pumpen oder Ventile, die den Durchfluss einer Flüssigkeit in einem Rohr oder den Füllstand in einem Behälter beeinflussen können. Neben den zuvor genannten Messgeräten und Aktoren werden unter Feldgeräten auch Remote I/Os, Funkadapter bzw. allgemein Geräte verstanden, die auf der Feldebene angeordnet sind.
  • Eine Vielzahl solcher Feldgeräte wird von der Endress+Hauser-Gruppe produziert und vertrieben.
  • In modernen Industrieanlagen sind Feldgeräte in der Regel über Kommunikationsnetzwerke wie beispielsweise Feldbusse (Profibus®, FOUNDATION® Fieldbus, HART®, etc.) mit übergeordneten Einheiten verbunden. Bei den übergeordneten Einheiten handelt es sich um Steuereinheiten, wie beispielsweise eine SPS (speicherprogrammierbare Steuerung) oder einen PLC (Programmable Logic Controller). Die übergeordneten Einheiten dienen unter anderem zur Prozesssteuerung, sowie zur Inbetriebnahme der Feldgeräte. Die von den Feldgeräten, insbesondere von Sensoren, erfassten Messwerte werden über das jeweilige Bussystem an eine (oder gegebenenfalls mehrere) übergeordnete Einheit(en) übermittelt, die die Messwerte gegebenenfalls weiterverarbeiten und an den Leitstand der Anlage weiterleiten. Der Leitstand dient zur Prozessvisualisierung, Prozessüberwachung und Prozessteuerung über die übergeordneten Einheiten. Daneben ist auch eine Datenübertragung von der übergeordneten Einheit über das Bussystem an die Feldgeräte erforderlich, insbesondere zur Konfiguration und Parametrierung von Feldgeräten sowie zur Ansteuerung von Aktoren.
  • Zur Ausführung von Funktionen des Feldgeräts, betreffend beispielsweise dessen Messfunktion, aber auch dessen Mensch-Maschine-Interface (HMI), beziehungsweise dessen graphischen Benutzeroberfläche (GUI), sowie dessen Schnittstelle zu einer übergeordneten Einheit, ist auf dem Feldgerät eine Betriebssoftware, genauer gesagt eine sogenannte Firmware, implementiert. Zur Bereitstellung von neuen Funktionen und/oder zum Beheben von Fehlern, beziehungsweise Sicherheitslücken, wird von dem Feldgerätehersteller in mehr oder weniger regelmäßigen Zeitabständen eine aktualisierte Version der Firmware zur Verfügung gestellt, mit welcher die auf dem Feldgerät befindliche alte Version der Firmware überschrieben werden soll.
  • In vielen Industrieanlagen überprüft der Anlagenbetreiber die Firmware vor dem Aufspielen und erteilt erst dann eine Freigabe zum Aktualisieren der Feldgeräte. Dem Anlagenbetreiber ist ein sicherer Betrieb der Anlage wichtig; gleichzeitig möchte er aber eine Änderung des üblicherweise fehlerfreien Messbetriebs seiner Feldgeräte vermeiden. Aktuell kann es durchaus vorkommen, dass ein Mitarbeiter versehentlich eine neue Version einer Firmware aufspielt, obwohl diese für die Anlage noch nicht freigegeben worden ist.
  • Aktuell gibt es keine Lösung für das Problem, dass der Anlagenbetreiber einerseits zwar eigentlich mit der alten Version der Firmware weiterarbeiten möchte, um die Messfunktion eines Feldgeräts unverändert zu belassen, andererseits jedoch eine neuere Version der Firmware benötigt, um Sicherheitslücken zu schließen.
  • Des Weiteren besteht die Gefahr, dass ein Unbefugter eine potentiell schädliche Firmware auf das Feldgerät überträgt, mit deren Hilfe er beispielsweise vertrauliche Informationen, wie beispielsweise Parametereinstellungen, auslesen kann, oder dass er den Betrieb des Feldgeräts, beispielsweise durch Ausschalten von Mess- und/oder Sicherheitsfunktionen, sabotiert.
  • Ausgehend von dieser Problematik liegt der Erfindung die Aufgabe zugrunde, ein Verfahren vorzustellen, welches es erlaubt, eine sichere Aktualisierung einer Betriebssoftware vorzunehmen.
  • Erfindungsgemäß wird die Aufgabe durch ein Verfahren zur autorisierten Aktualisierung einer ersten Betriebssoftware, insbesondere einer Firmware, eines Feldgeräts, welches in einer Anlage der Prozessautomatisierung eingesetzt wird, gelöst,
    wobei eine Authentifizierungsprüfung einer zweiten, mittels eines ersten privaten, der Anlage zugeordneten, Schlüssels signierten Betriebssoftware für das Feldgerät, durchgeführt wird,
    wobei im Rahmen der Authentifizierungsprüfung die durch den ersten privaten Schlüssel erzeugte Signatur der zweiten Betriebssoftware mittels eines ersten öffentlichen, der Anlage zugeordneten, Schlüssels authentifiziert wird, und
    wobei im Falle, dass die Authentifizierungsprüfung erfolgreich durchgeführt wurde, die auf dem Feldgerät befindliche erste Betriebssoftware zumindest teilweise durch die zweite Betriebssoftware ersetzt wird.
  • Der große Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass eine andere Version einer Betriebssoftware ohne erfolgreiche Authentifizierungsprüfung nicht auf das Feldgerät geladen werden kann, um die bereits auf dem Feldgerät befindliche Version der Betriebssoftware zu ersetzen. Eine Betriebssoftware, welche keine Signatur, oder eine nicht passende Signatur aufweist, kann die auf dem Feldgerät befindliche Version der Betriebssoftware nicht ersetzen, wodurch das erfindungsgemäße Verfahren eine sichere Aktualisierung der auf dem Feldgerät befindlichen Firmware erlaubt. Einem Unbefugten ist es nicht möglich, eine sabotierte Firmware aufzuspielen, da er nicht über den ersten privaten Schlüssel verfügt, mit welcher er seine schädliche Version der Firmware signieren könnte. Ein Besitz des ersten öffentlichen Schlüssels, bzw. Kenntnis über den ersten öffentlichen Schlüssel ermöglicht es nicht, aus diesem den ersten privaten Schlüssel zu berechnen.
  • Als kryptographisches Verfahren zum Signieren der zweiten Betriebssoftware, bzw. zur Authentifizierungsprüfung der Signatur kommen insbesondere asymmetrische Verfahren wie beispielsweise RSA, DSA, etc., oder Signaturverfahren auf Basis sogenannter Merke-Bäume infrage.
  • Feldgeräte, welche im Zusammenhang mit der Erfindung erwähnt werden, sind bereits im einleitenden Teil der Beschreibung beispielhaft beschrieben worden.
  • Gemäß einer besonders bevorzugten Ausgestaltung des erfindungsgemäßen Verfahrens wird die zweite Betriebssoftware nur dann mit dem ersten privaten Schlüssel signiert, wenn die zweite Betriebssoftware von einem Anlagenbetreiber eine Freigabe erhält. Insbesondere prüft der Anlagenbetreiber an Test-Feldgeräten, welche Funktionen des Feldgeräts durch Überspielen der auf dem Feldgerät befindlichen ersten Betriebssoftware verändert werden und ob das Feldgerät nach Überspielen der zweiten Betriebssoftware einen identischen Betrieb wie unter Verwendung der ersten Betriebssoftware zulässt.
  • In einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die zweite Betriebssoftware zusätzlich, insbesondere durch den Feldgerätehersteller, mittels eines zweiten privaten Schlüssels signiert wird. Auf diese Art und Weise wird dem Anlagenbetreiber bestätigt, eine Original-Betriebssoftware des Feldgeräteherstellers zu verwenden.
  • Eine bevorzugte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass im Rahmen der Authentifizierungsprüfung im Feldgerät die durch den zweiten privaten Schlüssel erzeugte Signatur mittels eines zweiten öffentlichen Schlüssels authentifiziert wird. Für einen Unbefugten ist ein Aufspielen einer sabotierten Betriebssoftware immens erschwert, da er sowohl Kenntnis über den ersten privaten Schlüssel, als auch über den zweiten privaten Schlüssel haben muss. Zum Überprüfen der vom Feldgerätehersteller erzeugten Signatur übergibt dieser dem Kunden einen zum zweiten privaten Schlüssel korrespondierenden zweiten öffentlichen Schlüssel. Ein Besitz des zweiten öffentlichen Schlüssels, bzw. Kenntnis über den zweiten öffentlichen Schlüssel ermöglicht es nicht, aus diesem den zweiten privaten Schlüssel zu berechnen.
  • Gemäß einer ersten vorteilhaften Variante des erfindungsgemäßen Verfahrens ist vorgesehen, dass die erste und die zweite Betriebssoftware jeweils eine erste Komponente und eine zweite Komponente umfassen, wobei bei dem Ersetzen der ersten Betriebssoftware durch die zweite Betriebssoftware die erste Komponente der ersten Betriebssoftware durch die erste Komponente der zweiten Betriebssoftware ersetzt wird.
  • Gemäß einer zweiten vorteilhaften Variante des erfindungsgemäßen Verfahrens ist vorgesehen, dass die erste und die zweite Betriebssoftware jeweils eine erste Komponente und eine zweite Komponente umfassen, wobei bei dem Ersetzen der ersten Betriebssoftware durch die zweite Betriebssoftware die zweite Komponente der ersten Betriebssoftware durch die zweite Komponente der zweiten Betriebssoftware ersetzt wird.
  • Gemäß einer dritten vorteilhaften Variante des erfindungsgemäßen Verfahrens ist vorgesehen, dass die erste und die zweite Betriebssoftware jeweils eine erste Komponente und eine zweite Komponente umfassen, wobei bei dem Ersetzen der ersten Betriebssoftware durch die zweite Betriebssoftware die erste Komponente der ersten Betriebssoftware durch die erste Komponente der zweiten Betriebssoftware und die zweite Komponente der ersten Betriebssoftware durch die zweite Komponente der zweiten Betriebssoftware ersetzt wird.
  • Der Vorteil aller drei Varianten besteht darin, dass die erste Betriebssoftware zwar komplett durch die zweite Betriebssoftware ersetzt werden kann, dies aber kein absolutes Muss darstellt. Vielmehr können Teile der ersten Betriebssoftware mit korrespondierenden Teilen der zweiten Betriebssoftware ersetzt werden, so dass die nicht aktualisierten Teile unverändert bleiben.
  • Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass zum Ersetzen der ersten Betriebssoftware durch die zweite Betriebssoftware nur eine erfolgreiche Durchführung der Authentifizierungsprüfung der zweiten Komponente der zweiten Betriebssoftware benötigt wird. Auf diese Weise können beispielsweise diejenigen Funktionen, welche lediglich zum Anzeigen von Informationen, beispielsweise die Menüstruktur im Display des Feldgeräts, oder zur Verbesserung der Security dienen, ohne erforderliche Authentifizierung aktualisiert werden, wobei ein Aktualisieren von kritischen Funktionen des Feldgeräts (z.B. bezüglich der Messfunktion oder des genauen Echtzeitverhaltens der Messfunktion) zwingend eine erfolgreiche Authentifizierungsprüfung von der zweiten Betriebssoftware erfordert.
  • In einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die erste Komponente Security-Funktionen, HMI-Funktionen, GUI-Funktionen und/oder eine Schnittstelle zu einer übergeordneten Einheit bereitstellt. Der Begriff „Security“ bezeichnet eine Prävention vor Manipulationen des Feldgeräts durch Dritte. Man versucht dadurch ein Feldgerät davor zu bewahren, dass dieses durch einen Unbefugten sabotiert werden kann, bzw. dass durch unerlaubte Eingriffe beispielsweise Sicherheitsfunktionen ausgeschalten und/oder Geräteparameter des Feldgeräts verändert werden könnten.
  • Unter dem Begriff „HMI“ („Human-Machine-Interface“) werden beispielsweise Bedienfunktionen des Feldgeräts verstanden. Unter dem Begriff „GUI“ („Graphical User Interface“) werden Anzeigeelemente des Feldgeräts, beispielsweise auf dessen Display verstanden. GUI-Funktionen sind beispielsweise die Darstellungsart von Informationen auf dem Display des Feldgeräts, oder dessen Menüstruktur. Über die Schnittstelle zu einer übergeordneten Einheit, oder über ein Kommunikationsnetzwerk, kann auf das Feldgerät zugegriffen werden.
  • In einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die zweite Komponente Funktionen bereitstellt, welche das Feldgerät bezüglich dessen Messfunktion, insbesondere der zeitlichen Koordinierung der Messwerterfassung, beeinflussen.
  • Gemäß einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die erste und die zweite Komponente der ersten, bzw. der zweiten Betriebssoftware auf separate Recheneinheiten, beispielsweise sogenannte Mikrocontroller, des Feldgeräts verteilt werden. Beim Aktualisieren einer einzelnen Komponente wird nur diese auf ihrer zugeordneten Recheneinheit überschrieben.
  • Die Erfindung wird anhand der nachfolgenden Figur näher erläutert. Es zeigt
    • 1: einen schematischen Überblick über ein Anwendungsbeispiel des erfindungsgemäßen Verfahrens.
  • 1 zeigt einen schematischen Überblick über ein Anwendungsbeispiel des erfindungsgemäßen Verfahrens. Gezeigt ist ein Feldgerät FG, welches in einer Messstelle einer Prozessanlage eingesetzt ist. Bei dem Feldgerät FG handelt es sich um ein Feldgerät der Automatisierungstechnik zur Erfassung einer Prozessgröße, wie z.B. dem Druck oder dem Durchflusswert in einer Rohrleitung. Weitere Anwendungen eines solchen Feldgeräts FG sind bereits im einleitenden Teil der Beschreibung ausführlich erläutert worden.
  • Dieses Feldgerät FG verfügt über eine Kommunikationsschnittstelle KS und ist über diese Kommunikationsschnittstelle KS an ein Kommunikationsnetzwerk KN angeschlossen. Beispielsweise handelt es sich bei der Kommunikationsschnittstelle KS über ein im Feldgerät FG integriertes Feldbusinterface, z.B nach dem Ethernet-, HART-, Profibus-, Modbus- oder Foundation Fieldbus-Standard. In einem solchen Fall ist das Kommunikationsnetzwerk KN ein solcher Feldbus der Automatisierungstechnik. Das Feldgerät FG ist über das Kommunikationsnetzwerk KN mit weiteren Feldgeräten und einer Leitebene mit einer oder mehreren übergeordneten Einheiten in Kommunikationsverbindung. Erfindungsgemäß steht eine Bedieneinheit BE mit dem Feldgerät FG in Kommunikationsverbindung. Bei der Bedieneinheit BE handelt es sich insbesondere um eine Komponente der Leitebene, beispielsweise einen Workstation-PC, oder aber auch um einen von der Anlage entfernt angeordneten Server, insbesondere um einen Cloud-fähigen Server, welcher mit einer oder mehrerer Komponenten der Anlage, beispielsweise auch mit dem Feldgerät FG direkt, via Internet verbunden ist.
  • Alternativ ist die Kommunikationsschnittstelle KS als Serviceschnittstelle ausgestaltet (beispielsweise als drahtlose oder drahtgebundene CDI-Schnittstelle, welche viele der von der Anmelderin produzierte und vertriebene Feldgeräte aufweisen), welche zur Etablierung eines zusätzlichen, vom Feldbus unabhängigen Kommunikationsnetzwerks zur Verbindung mit der Bedieneinheit BE ausgestaltet ist. In einem solchen Fall handelt es sich bei Bedieneinheit BE insbesondere um eine mobile Bedieneinheit, beispielsweise um den von der Anmelderin produzierten und vertriebenen „Field Xpert“ oder um ein mobiles Endgerät wie ein Smartphone oder ein Tablet. Diese Art der Bedieneinheit BE kann auch mit dem Feldbus verbunden sein und über diesen mit dem Feldgerät FG kommunizieren.
  • Im Feldgerät FG ist eine erste Betriebssoftware BS1 implementiert. Diese besteht aus einer ersten Komponente K1 und einer zweiten Komponente K2. Die erste Komponente K1 stellt insbesondere Security-Funktionen, HMI-Funktionen und/oder GUI-Funktionen bereit, während die zweite Komponente K2 insbesondere Funktionen bereitstellt, welche das Feldgerät FG bezüglich dessen Messfunktion, insbesondere der zeitlichen Koordinierung der Messwerterfassung, beeinflussen.
  • Nach Entwicklung und Verkauf eines Feldgerätetyps erhält dieser regelmäßig Aktualisierungen seiner Firmware, also der ersten Betriebssoftware BS1. Insbesondere entdeckte Sicherheitslücken müssen zeitnah geschlossen werden, weswegen Aktualisierungen, welche die erste, „schnelllebige“ Komponente K1 der ersten Betriebssoftware betreffen, häufiger veröffentlicht werden, als Aktualisierungen der zweiten, „langlebigen“ Komponente K2 der ersten Betriebssoftware BS1.
  • Zur Aktualisierung der ersten Betriebssoftware BS1 wird eine zweite, aktuellere Betriebssoftware BS2 von der Bedieneinheit BE über das Kommunikationsnetzwerk KN auf das Feldgerät geladen. Diese wurden von dem Anlagenbetreiber ausreichend geprüft und freigegeben. Im Zuge der Freigabe wurde der zweiten Betriebssoftware eine Signatur SIG 1 hinzugefügt. Diese Signatur SIG1 wurde mithilfe eines ersten privaten Schlüssel S1 berechnet. Der Inhalt des ersten privaten Schlüssels S1 ist dabei lediglich dem Anlagenbetreiber bekannt.
  • Nach Empfang der zweiten Betriebssoftware BS2 prüft das Feldgerät FG diese auf Authentizität. Hierfür wird ein im Feldgerät FG gespeicherter erste öffentlicher Schlüssel S1‘, welcher zum ersten privaten Schlüssel S1 korrespondiert, verwendet. Nur wenn die Authentizität erfolgreich bestätigt wurde, nimmt das Feldgerät FG die zweite Betriebssoftware BS2 an und überspielt mit dieser seine bereits vorhandene erste Betriebssoftware BS1.
  • Falls die Authentizität der zweiten Betriebssoftware BS2 nicht erfolgreich bestätigt werden sollte, wird die auf dem Feldgerät vorhandene erste Betriebssoftware BS1 nicht mir der zweiten Betriebssoftware BS2 überschrieben. Dadurch ist es für einen Unbefugten nicht möglich, das Feldgerät FG mittels einer unautorisierten Version einer Firmware zu sabotieren. Außerdem ist es so auch nicht möglich, versehentlich eine noch nicht vom Anlagenbetreiber freigegebene Version der Firmware zum Aktualisieren zu verwenden. Es kann weiterhin auch vorgesehen sein, dass der Feldgerätehersteller, welcher der Ersteller der zweiten Betriebssoftware BS2 ist, diese zweite Betriebssoftware BS2 mit einer eigenen, mittels eines zweiten privaten Schlüssels S2 erstellte Signatur SIG2 versieht. In diesem Fall prüft das Feldgerät beide Signaturen SIG1, SIG2 und benutzt einen zum zweiten privaten Schlüssel 2 korrespondierenden zweiten öffentlichen Schlüssel S2‘, zum Überprüfen der Authentizität. Nur wenn die Authentizität in beiden Fällen erfolgreich geprüft wurde erfolgt ein Update der Feldgerätefirmware mittels der zweiten Betriebssoftware.
  • Beim Aktualisieren der ersten Betriebssoftware BS1 müssen nicht zwangsläufig beide Komponenten K1, K2 aktualisiert werden. Es kann je nach Anwendung vorgesehen sein, nur die erste Komponente K1, oder nur die zweite Komponente K2 zu aktualisieren. Des Weiteren kann vorgesehen sein, nur die zweite Komponente K2‘ der zweiten Betriebssoftware BS2 signiert ist. Dadurch wird nur eine erfolgreiche Durchführung der Authentifizierungsprüfung der zweiten Komponente K2‘ der zweiten Betriebssoftware BS2 benötigt. Auf diese Weise können beispielsweise diejenigen Funktionen, welche lediglich zum Anzeigen von Informationen, beispielsweise die Menüstruktur im Display des Feldgeräts FG, oder zur Verbesserung der Security dienen, ohne erforderliche Authentifizierung aktualisiert werden, wobei ein Aktualisieren von kritischen Funktionen des Feldgeräts FG zwingend eine erfolgreiche Authentifizierungsprüfung von der zweiten Komponente K2‘ der zweiten Betriebssoftware BS2 erfordert.
  • In einer vorteilhaften Ausführungsform verfügt das Feldgerät FG in seiner inneren Struktur über zwei oder mehr Recheneinheiten (beispielsweise in Form von Mikrocontrollern); die Komponenten K1 und K2 werden auf verschiedenen Recheneinheiten ausgeführt. Dieses Vorgehen erlaubt auf einfachem Weg, die Komponenten K1 und K2 unabhängig voneinander ändern zu können und in verschiedenen Paarungen erfolgreich einzusetzen. Alternativ ist es möglich, die Komponenten K1 und K2 in einer einzelnen Recheneinheit auszuführen und diese über ein Software-Interface wie eine dynamische Bibliotheksschnittstelle (DLL) oder auch den Einsatz einer sogenannten virtuellen Maschine so zusammenzuführen, dass die Komponenten K1 und K2 in unterschiedlichen Versionen gemeinsam zusammenarbeiten können.
  • Das Verfahren nutzt für die praktische Umsetzung vorteilhafterweise zur Speicherung und Übermittlung der Softwarekomponenten ein sogenanntes Container-Datenformat, wie beispielsweise durch die Extended Markup Language (XML) standardisiert oder durch die im Rahmen des X509-Standards verwendeten Distinguished Encoding Rules (DER) für Sicherheitszertifikate, welche im Internet eingesetzt werden. In einem solchen Containerformat können neben dem Quellcode der Software auch Meta-Information, wie beispielsweise digitale Signaturen, mit abgelegt werden. Gleichzeitig ist es in solchen Container-Datenformaten auch möglich, verschiedene Teilsoftware-Komponenten K1, K2 in einer gemeinsamen Datei zu bündeln und diesen gemeinsam oder getrennt Meta-Information wie digitale Signaturfelder zuzuordnen.
  • Dem Feldgerät FG wird bei der Inbetriebnahme in der Anlage der öffentliche Schlüssel (erster öffentlicher Schlüssel S1‘) der Anlage übermittelt, wobei das Feldgerät FG so konfiguriert wird, dass dieses für den Fall eines Softwareupdates nur Software akzeptieren darf, welche im übermittelten Container-Datenfile ein als Meta-Information abgelegtes gültiges Signaturfeld enthält, welches mit dem ersten privaten Schlüssel erzeugt wurde.
  • Dabei kann die Konfiguration des Feldgeräts FG vorteilhafterweise so erfolgen, dass die zusätzliche im Rahmen des Freigabeprozesses für die Anlage erfolgte Signatur SIG1 mit dem ersten privaten Schlüssel S1‘ nur für diejenigen Softwareteile erzwungen wird, die direkte Auswirkung auf die Messfunktion enthalten. So können kurzfristig Security-Patches eingespielt werden, selbst wenn ein offizieller Freigabeprozess beim Anlagenbetreiber noch nicht durchgeführt worden sein sollte.
  • Der Freigabeprozess beim Anlagenbetreiber für eine neue Software des Feldgeräts FG würde dann so ablaufen, dass zunächst eine Prüfung der funktionalen Tauglichkeit (Messperformance, Zeitverhalten, Kompatibilität mit Treibern auf der Leitstelle, etc.) erfolgen würde. Nach erfolgter positiver Prüfung würde vom Anlagenbetreiber im Container-File der Firmware des Feldgeräteherstellers eine zusätzliche Meta-Information ergänzt mit der Signatur SIG1, SIG2 der positiv geprüften Firmware. Diese im Datenfile dann zusätzlich enthaltene Signatur SIG1, SIG2 würde mit Hilfe des vom Anlagenbetreiber geheim gehaltenen ersten privaten Schlüssel S1 errechnet.
  • Diese ergänzte Datei kann dann im Zuge des Aktualisierungsprozesses an das Feldgerät FG übermittelt werden. Das Feldgerät FG sucht dann aufgrund seiner erfolgten Konfiguration beispielsweise nach einem gültigen Signaturfeld des Anlagenbetreibers und prüft diesen mit dem übermittelten ersten öffentlichen Schlüssel S1 (bei der Geräteinbetriebnahme vom Anlagenbetreiber übermittelt).
  • Weiterhin prüft das Feldgerät optional zusätzlich oder alternativ das Vorhandensein eines zweiten Signaturfelds (vom Feldgerätehersteller erzeugt) anhand des ebenfalls bekannten zweiten öffentlichen Schlüssels S2 des Feldgeräteherstellers (welcher z.B. bereits im Rahmen des Produktionsprozesses des Geräteherstellers übermittelt wurde). Je nach Konfiguration des Feldgeräts FG werden dabei vorteilhafterweise unterschiedliche Authentisierungsanforderungen an die funktionsbestimmende und die sicherheitsbestimmenden Software-Teilkomponenten K1 und K2 gestellt. Zum Beispiel könnten Security-Patches in der ersten Komponente K1 allein auf der Basis gültiger Signaturen SIG1 des Feldgeräteherstellers (erzeugt/geprüft mit zweitem privater/öffentlichen Schlüssel S2, S2‘) akzeptiert werden, während für die Messfunktion (zweite Komponente K2) zusätzlich die Signatur des Anlagenbetreibers verpflichtend eingefordert würde (erzeugt/geprüft mit erstem privaten/öffentlichen Schlüssel S1, S1‘). In einer vorteilhaften Ausführungsform würde die Signaturprüfung in ein separates Hardwaremodul (sogenanntes smart-card Chipset) ausgelagert. Diese fest verlötbaren oder auch als steckbare Module verfügbaren Chips erlauben durch den sogenannten Seitenkanalschutz und besonders durch sichere Kryptographie-Hardware-Beschleuniger eine besonders sichere Umsetzung.
  • Im Fall eines einsteckbaren Smart-Card-Chipsets könnte die initiale Parametrierung eines Feldgerätes FG beim Anlagenbetreiber dadurch erfolgen, dass eine vom Anlagenbetreiber vorkonfigurierte Smart-Card in einen zugehörigen Sockel des Feldgeräts FG eingesteckt wird, ähnlich wie man es bei Mobiltelefonen mit sogenannten „SIM“-Karten durchführt.
  • Bezugszeichenliste
    • BE
    Bedieneinheit
    BS1
    erste Betriebssoftware
    BS2
    zweite Betriebssoftware
    FG
    Feldgerät
    K1, K2
    Komponenten der ersten Betriebssoftware
    K1', K2'
    Komponenten der zweiten Betriebssoftware
    KN
    Kommunikationsnetzwerk
    KS
    Kommunikationsschnittstelle
    S1, S2
    private Schlüssel
    S1', S2'
    öffentliche Schlüssel
    SIG1, SIG 2
    Signaturen

Claims (11)

  1. Verfahren zur autorisierten Aktualisierung einer ersten Betriebssoftware (BS1), insbesondere einer Firmware, eines Feldgeräts (FG), welches in einer Anlage der Automatisierungstechnik eingesetzt wird, wobei eine Authentifizierungsprüfung einer zweiten, mittels eines ersten privaten, der Anlage zugeordneten, Schlüssels (S1) signierten Betriebssoftware (BS2) für das Feldgerät (FG), durchgeführt wird, wobei im Rahmen der Authentifizierungsprüfung die durch den ersten privaten Schlüssel (S1) erzeugte Signatur (SIG1) der zweiten Betriebssoftware (BS2) mittels eines ersten öffentlichen, der Anlage zugeordneten, Schlüssels (S1') authentifiziert wird, und wobei im Falle, dass die Authentifizierungsprüfung erfolgreich durchgeführt wurde, die auf dem Feldgerät (FG) befindliche erste Betriebssoftware (BS2) zumindest teilweise durch die zweite Betriebssoftware (BS2) ersetzt wird.
  2. Verfahren nach Anspruch 1, wobei die zweite Betriebssoftware (BS2) nur dann mit dem ersten privaten Schlüssel (S1) signiert wird, wenn die zweite Betriebssoftware (BS2) von einem Anlagenbetreiber eine Freigabe erhält.
  3. Verfahren nach Anspruch 1 der 2, wobei die zweite Betriebssoftware (BS2) zusätzlich , insbesondere durch den Feldgerätehersteller, mittels eines zweiten privaten Schlüssels (S2) signiert wird.
  4. Verfahren nach Anspruch 3, wobei im Rahmen der Authentifizierungsprüfung die durch den zweiten privaten Schlüssel (S2) erzeugte Signatur (SIG2) mittels eines zweiten öffentlichen Schlüssels (S2') authentifiziert wird.
  5. Verfahren nach zumindest einem der vorherigen Ansprüche, wobei die erste und die zweite Betriebssoftware (BS1, BS2) jeweils eine erste Komponente (K1, K1') und eine zweite Komponente (K2, K2') umfassen, wobei bei dem Ersetzen der ersten Betriebssoftware (BS1) durch die zweite Betriebssoftware (BS2) die erste Komponente (K1) der ersten Betriebssoftware (BS1) durch die erste Komponente (K1') der zweiten Betriebssoftware (BS2) ersetzt wird.
  6. Verfahren nach zumindest einem der Ansprüche 1 bis 4, wobei die erste und die zweite Betriebssoftware (BS1, BS2) jeweils eine erste Komponente (K1, K1') und eine zweite Komponente (K2, K2') umfassen, wobei bei dem Ersetzen der ersten Betriebssoftware (BS1) durch die zweite Betriebssoftware (BS2) die zweite Komponente (K2) der ersten Betriebssoftware (BS1) durch die zweite Komponente (K2') der zweiten Betriebssoftware (BS2) ersetzt wird.
  7. Verfahren nach zumindest einem der Ansprüche 1 bis 4, wobei die erste und die zweite Betriebssoftware (BS2) jeweils eine erste Komponente (K1, K1') und eine zweite (K2, K2') Komponente umfassen, wobei bei dem Ersetzen der ersten Betriebssoftware (BS1) durch die zweite Betriebssoftware (BS2) die erste Komponente (K1) der ersten Betriebssoftware (BS1) durch die erste Komponente (K1') der zweiten Betriebssoftware (BS2) und die zweite Komponente (K2) der ersten Betriebssoftware (BS1) durch die zweite Komponente (K2') der zweiten Betriebssoftware (BS2) ersetzt wird.
  8. Verfahren nach zumindest einem der Ansprüche 6 oder 7, wobei zum Ersetzen der ersten Betriebssoftware (BS1) durch die zweite Betriebssoftware (BS2) nur eine erfolgreiche Durchführung der Authentifizierungsprüfung der zweiten Komponente (K2') der zweiten Betriebssoftware (BS2) benötigt wird.
  9. Verfahren nach zumindest einem der Ansprüche 5 bis 8, wobei die erste Komponente (K1, K1') Security-Funktionen, HMI-Funktionen, GUI-Funktionen und/oder eine Schnittstelle zu einer übergeordneten Einheit bereitstellt.
  10. Verfahren nach zumindest einem der Ansprüche 5 bis 9, wobei die zweite Komponente (K2, K2') Funktionen bereitstellt, welche das Feldgerät (FG) bezüglich dessen Messfunktion, insbesondere der zeitlichen Koordinierung der Messwerterfassung, beeinflussen.
  11. Verfahren nach zumindest einem der Ansprüche 5 bis 10, wobei die erste und die zweite Komponente (K1, K1' K2, K2') der ersten, bzw. der zweiten Betriebssoftware (BS1, BS2) auf separate Recheneinheiten des Feldgeräts (FG) verteilt werden.
DE102017111928.0A 2017-05-31 2017-05-31 Verfahren zur autorisierten Aktualisierung eines Feldgeräts der Automatisierungstechnik Pending DE102017111928A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102017111928.0A DE102017111928A1 (de) 2017-05-31 2017-05-31 Verfahren zur autorisierten Aktualisierung eines Feldgeräts der Automatisierungstechnik
CN201810509472.8A CN108989042B (zh) 2017-05-31 2018-05-24 用于授权更新自动化技术现场设备的方法
US15/994,229 US10402190B2 (en) 2017-05-31 2018-05-31 Method for authorized updating of an automation technology field device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017111928.0A DE102017111928A1 (de) 2017-05-31 2017-05-31 Verfahren zur autorisierten Aktualisierung eines Feldgeräts der Automatisierungstechnik

Publications (1)

Publication Number Publication Date
DE102017111928A1 true DE102017111928A1 (de) 2018-12-06

Family

ID=64278740

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017111928.0A Pending DE102017111928A1 (de) 2017-05-31 2017-05-31 Verfahren zur autorisierten Aktualisierung eines Feldgeräts der Automatisierungstechnik

Country Status (3)

Country Link
US (1) US10402190B2 (de)
CN (1) CN108989042B (de)
DE (1) DE102017111928A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3901715A1 (de) * 2020-04-22 2021-10-27 Endress + Hauser Conducta GmbH+Co. KG Verfahren zur überprüfung der authentischen herkunft von elektronischen modulen eines modular aufgebauten feldgeräts der automatisierungstechnik
EP3901714A1 (de) * 2020-04-22 2021-10-27 Endress + Hauser Conducta GmbH+Co. KG Verfahren zur überprüfung der authentizität von elektronischen modulen eines modular aufgebauten feldgeräts der automatisierungstechnik
DE102022103950A1 (de) 2022-02-18 2023-08-24 Endress+Hauser Process Solutions Ag Verfahren zum Überprüfen der Originalität einer Firmware eines Feldgeräts der Automatisierungstechnik
EP4236192A1 (de) 2022-02-25 2023-08-30 VEGA Grieshaber KG Vorrichtung und verfahren zum tauschen eines öffentlichen schlüssels im zuge eines firmware-updates bei füllstandsensoren

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016119548A1 (de) * 2016-10-13 2018-04-19 Endress+Hauser SE+Co. KG Verfahren zur Datenübertragung zwischen einem Feldgerät der Automatisierungstechnik und einer Kommunikationsbox
DE102017102677A1 (de) * 2017-02-10 2018-08-16 Endress+Hauser Conducta Gmbh+Co. Kg Verfahren zur Authentifizierung eines Feldgeräts der Automatisierungstechnik
JP7174237B2 (ja) * 2018-11-29 2022-11-17 富士通株式会社 鍵生成装置、鍵更新方法および鍵更新プログラム
JP7127585B2 (ja) * 2019-03-12 2022-08-30 オムロン株式会社 セーフティシステムおよびメンテナンス方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080052699A1 (en) * 2006-08-02 2008-02-28 Baker Steven T Syncronized dual-processor firmware updates
US20140040873A1 (en) * 2008-08-12 2014-02-06 Adobe Systems Incorporated Updating Applications Using Migration Signatures
US20140344581A1 (en) * 2013-05-16 2014-11-20 Cisco Technology, Inc. Secure Upgrades for Field Programmable Devices
US20170090909A1 (en) * 2015-09-25 2017-03-30 Qualcomm Incorporated Secure patch updates for programmable memories

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101149773A (zh) * 2007-08-27 2008-03-26 中国人民解放军空军电子技术研究所 一种基于软件实名认证的系统及其安全查证方法
US20090094460A1 (en) * 2007-10-09 2009-04-09 Radim Dedek Method and system for signer self-managed, encryption-based identification and signature secret management to verify signer and to legitimize basic digital signature without the use of certificates, tokens or PKI (private key infrastructure)
US8150039B2 (en) * 2008-04-15 2012-04-03 Apple Inc. Single security model in booting a computing device
CN101340282B (zh) * 2008-05-28 2011-05-11 北京易恒信认证科技有限公司 复合公钥的生成方法
CN102662692B (zh) * 2012-03-16 2015-05-27 北京经纬恒润科技有限公司 一种电子控制单元中应用程序的更新方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080052699A1 (en) * 2006-08-02 2008-02-28 Baker Steven T Syncronized dual-processor firmware updates
US20140040873A1 (en) * 2008-08-12 2014-02-06 Adobe Systems Incorporated Updating Applications Using Migration Signatures
US20140344581A1 (en) * 2013-05-16 2014-11-20 Cisco Technology, Inc. Secure Upgrades for Field Programmable Devices
US20170090909A1 (en) * 2015-09-25 2017-03-30 Qualcomm Incorporated Secure patch updates for programmable memories

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Feldgerät. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 4. März 2017. URL: https://de.wikipedia.org/w/index.php?title=Feldgerät&oldid=163252688 [abgerufen am 9. Februar 2018] *
Feldgerät. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 4. März 2017. URL: https://de.wikipedia.org/w/index.php?title=Feldgerät&oldid=163252688 [abgerufen am 9. Februar 2018]
STN Bootloader: Firmware Update Specifications for Devices with STN Bootloader. OBD Solutions, Phoenix, AZ (USA), 2011. URL: https://www.scantool.net/downloads/111/stn_bl.pdf [abgerufen am 9. Februar 2018] *
STN Bootloader: Firmware Update Specifications for Devices with STN Bootloader. OBD Solutions, Phoenix, AZ (USA), 2011. URL: https://www.scantool.net/downloads/111/stn_bl.pdf [abgerufen am 9. Februar 2018]

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3901715A1 (de) * 2020-04-22 2021-10-27 Endress + Hauser Conducta GmbH+Co. KG Verfahren zur überprüfung der authentischen herkunft von elektronischen modulen eines modular aufgebauten feldgeräts der automatisierungstechnik
EP3901714A1 (de) * 2020-04-22 2021-10-27 Endress + Hauser Conducta GmbH+Co. KG Verfahren zur überprüfung der authentizität von elektronischen modulen eines modular aufgebauten feldgeräts der automatisierungstechnik
DE102022103950A1 (de) 2022-02-18 2023-08-24 Endress+Hauser Process Solutions Ag Verfahren zum Überprüfen der Originalität einer Firmware eines Feldgeräts der Automatisierungstechnik
WO2023156142A1 (de) * 2022-02-18 2023-08-24 Endress+Hauser Process Solutions Ag Verfahren zum überprüfen der originalität einer firmware eines feldgeräts der automatisierungstechnik
EP4236192A1 (de) 2022-02-25 2023-08-30 VEGA Grieshaber KG Vorrichtung und verfahren zum tauschen eines öffentlichen schlüssels im zuge eines firmware-updates bei füllstandsensoren

Also Published As

Publication number Publication date
CN108989042B (zh) 2021-07-09
CN108989042A (zh) 2018-12-11
US10402190B2 (en) 2019-09-03
US20180349127A1 (en) 2018-12-06

Similar Documents

Publication Publication Date Title
DE102017111928A1 (de) Verfahren zur autorisierten Aktualisierung eines Feldgeräts der Automatisierungstechnik
EP3264208B1 (de) Verfahren zum aktualisieren von prozessobjekten in einem engineerings-system
EP3382616A1 (de) Verfahren und vorrichtung zum rechnergestützten bereitstellen eines sicherheitsgeschützten digitalen zwillings
WO2018059855A1 (de) Verfahren zum manipulationssicheren speichern von daten eines feldgeräts
EP3323076A1 (de) Verfahren und anordnung zum sicheren austausch von konfigurationsdaten einer vorrichtung
DE102017116139A1 (de) Flottenmanagementsystem für tragbare Wartungswerkzeuge
DE102016124350A1 (de) Verfahren und System zum Überwachen einer Anlage der Prozessautomatisierung
WO2006053875A1 (de) Verfahren zur inbetriebnahme eines feldgerätes der prozessautomatisierungstechnik
DE102017102677A1 (de) Verfahren zur Authentifizierung eines Feldgeräts der Automatisierungstechnik
EP3391611B1 (de) Zugangsschlüssel für ein feldgerät
EP3469429B1 (de) Verfahren zum verhindern eines unerlaubten zugriffs auf softwareanwendungen in feldgeräten, sowie kommunikationsnetzwerk
DE102016107045B4 (de) Verfahren und System zum sicheren Konfigurieren eines Feldgeräts der Prozessautomatisierung
EP3923095A1 (de) Konfigurationsvorrichtung, aktualisierungsserver und verfahren für eine softwareaktualisierung einer technischen anlage
EP3699704A1 (de) System und verfahren zum überprüfen von systemanforderungen von cyber-physikalischen systemen
EP3554050A1 (de) Verfahren zum sichern einer automatisierungskomponente
DE102018202626A1 (de) Verfahren zur rechnergestützten Parametrierung eines technischen Systems
DE102016119744A1 (de) Verfahren und System zum Verhindern eines unerwünschten Zugriffs auf ein Feldgerät
DE102013200798B3 (de) Maschinensteuerung, Maschinensteuerungswartungssystem und Maschinensteuerungswartungsverfahren
EP2672660A1 (de) Verfahren zur Beeinflussung der Buskommunikation eines Steuergeräts
EP3820081A1 (de) Verfahren zur durchführung einer erlaubnisabhängigen kommunikation zwischen wenigstens einem feldgerät der automatisierungstechnik und einem bediengerät
DE102022103950A1 (de) Verfahren zum Überprüfen der Originalität einer Firmware eines Feldgeräts der Automatisierungstechnik
WO2017102364A1 (de) Verfahren zum überprüfen von daten in einer datenbank eines pams
EP3583741B1 (de) Verfahren zur sicherstellung einer authentizität mindestens eines wertes einer geräteeigenschaft, computerprogramm, computerlesbares speichermedium und vorrichtung
EP4032243A1 (de) System und verfahren zum manipulationssicheren verwalten von daten eines feldgeräts der automatisierungstechnik
EP4068719A1 (de) Verfahren zum kryptographisch gesicherten nachweis eines geräteursprungs, gerät und überprüfungseinrichtung

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed