-
Die Erfindung betrifft ein Verfahren zur autorisierten Aktualisierung eines Feldgeräts, welches in einer Anlage der Automatisierungstechnik eingesetzt wird.
-
Aus dem Stand der Technik sind bereits Feldgeräte bekannt geworden, die in industriellen Anlagen zum Einsatz kommen. In der Automatisierungstechnik ebenso wie in der Fertigungsautomatisierung werden vielfach Feldgeräte eingesetzt. Als Feldgeräte werden im Prinzip alle Geräte bezeichnet, die prozessnah eingesetzt werden und die prozessrelevante Informationen liefern oder verarbeiten. So werden Feldgeräte zur Erfassung und/oder Beeinflussung von Prozessgrößen verwendet. Zur Erfassung von Prozessgrößen dienen Messgeräte, bzw. Sensoren. Diese werden beispielsweise zur Druck- und Temperaturmessung, Leitfähigkeitsmessung, Durchflussmessung, pH-Messung, Füllstandmessung, etc. verwendet und erfassen die entsprechenden Prozessvariablen Druck, Temperatur, Leitfähigkeit, pH-Wert, Füllstand, Durchfluss etc. Zur Beeinflussung von Prozessgrößen werden Aktoren verwendet. Diese sind beispielsweise Pumpen oder Ventile, die den Durchfluss einer Flüssigkeit in einem Rohr oder den Füllstand in einem Behälter beeinflussen können. Neben den zuvor genannten Messgeräten und Aktoren werden unter Feldgeräten auch Remote I/Os, Funkadapter bzw. allgemein Geräte verstanden, die auf der Feldebene angeordnet sind.
-
Eine Vielzahl solcher Feldgeräte wird von der Endress+Hauser-Gruppe produziert und vertrieben.
-
In modernen Industrieanlagen sind Feldgeräte in der Regel über Kommunikationsnetzwerke wie beispielsweise Feldbusse (Profibus®, FOUNDATION® Fieldbus, HART®, etc.) mit übergeordneten Einheiten verbunden. Bei den übergeordneten Einheiten handelt es sich um Steuereinheiten, wie beispielsweise eine SPS (speicherprogrammierbare Steuerung) oder einen PLC (Programmable Logic Controller). Die übergeordneten Einheiten dienen unter anderem zur Prozesssteuerung, sowie zur Inbetriebnahme der Feldgeräte. Die von den Feldgeräten, insbesondere von Sensoren, erfassten Messwerte werden über das jeweilige Bussystem an eine (oder gegebenenfalls mehrere) übergeordnete Einheit(en) übermittelt, die die Messwerte gegebenenfalls weiterverarbeiten und an den Leitstand der Anlage weiterleiten. Der Leitstand dient zur Prozessvisualisierung, Prozessüberwachung und Prozessteuerung über die übergeordneten Einheiten. Daneben ist auch eine Datenübertragung von der übergeordneten Einheit über das Bussystem an die Feldgeräte erforderlich, insbesondere zur Konfiguration und Parametrierung von Feldgeräten sowie zur Ansteuerung von Aktoren.
-
Zur Ausführung von Funktionen des Feldgeräts, betreffend beispielsweise dessen Messfunktion, aber auch dessen Mensch-Maschine-Interface (HMI), beziehungsweise dessen graphischen Benutzeroberfläche (GUI), sowie dessen Schnittstelle zu einer übergeordneten Einheit, ist auf dem Feldgerät eine Betriebssoftware, genauer gesagt eine sogenannte Firmware, implementiert. Zur Bereitstellung von neuen Funktionen und/oder zum Beheben von Fehlern, beziehungsweise Sicherheitslücken, wird von dem Feldgerätehersteller in mehr oder weniger regelmäßigen Zeitabständen eine aktualisierte Version der Firmware zur Verfügung gestellt, mit welcher die auf dem Feldgerät befindliche alte Version der Firmware überschrieben werden soll.
-
In vielen Industrieanlagen überprüft der Anlagenbetreiber die Firmware vor dem Aufspielen und erteilt erst dann eine Freigabe zum Aktualisieren der Feldgeräte. Dem Anlagenbetreiber ist ein sicherer Betrieb der Anlage wichtig; gleichzeitig möchte er aber eine Änderung des üblicherweise fehlerfreien Messbetriebs seiner Feldgeräte vermeiden. Aktuell kann es durchaus vorkommen, dass ein Mitarbeiter versehentlich eine neue Version einer Firmware aufspielt, obwohl diese für die Anlage noch nicht freigegeben worden ist.
-
Aktuell gibt es keine Lösung für das Problem, dass der Anlagenbetreiber einerseits zwar eigentlich mit der alten Version der Firmware weiterarbeiten möchte, um die Messfunktion eines Feldgeräts unverändert zu belassen, andererseits jedoch eine neuere Version der Firmware benötigt, um Sicherheitslücken zu schließen.
-
Des Weiteren besteht die Gefahr, dass ein Unbefugter eine potentiell schädliche Firmware auf das Feldgerät überträgt, mit deren Hilfe er beispielsweise vertrauliche Informationen, wie beispielsweise Parametereinstellungen, auslesen kann, oder dass er den Betrieb des Feldgeräts, beispielsweise durch Ausschalten von Mess- und/oder Sicherheitsfunktionen, sabotiert.
-
Ausgehend von dieser Problematik liegt der Erfindung die Aufgabe zugrunde, ein Verfahren vorzustellen, welches es erlaubt, eine sichere Aktualisierung einer Betriebssoftware vorzunehmen.
-
Erfindungsgemäß wird die Aufgabe durch ein Verfahren zur autorisierten Aktualisierung einer ersten Betriebssoftware, insbesondere einer Firmware, eines Feldgeräts, welches in einer Anlage der Prozessautomatisierung eingesetzt wird, gelöst,
wobei eine Authentifizierungsprüfung einer zweiten, mittels eines ersten privaten, der Anlage zugeordneten, Schlüssels signierten Betriebssoftware für das Feldgerät, durchgeführt wird,
wobei im Rahmen der Authentifizierungsprüfung die durch den ersten privaten Schlüssel erzeugte Signatur der zweiten Betriebssoftware mittels eines ersten öffentlichen, der Anlage zugeordneten, Schlüssels authentifiziert wird, und
wobei im Falle, dass die Authentifizierungsprüfung erfolgreich durchgeführt wurde, die auf dem Feldgerät befindliche erste Betriebssoftware zumindest teilweise durch die zweite Betriebssoftware ersetzt wird.
-
Der große Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass eine andere Version einer Betriebssoftware ohne erfolgreiche Authentifizierungsprüfung nicht auf das Feldgerät geladen werden kann, um die bereits auf dem Feldgerät befindliche Version der Betriebssoftware zu ersetzen. Eine Betriebssoftware, welche keine Signatur, oder eine nicht passende Signatur aufweist, kann die auf dem Feldgerät befindliche Version der Betriebssoftware nicht ersetzen, wodurch das erfindungsgemäße Verfahren eine sichere Aktualisierung der auf dem Feldgerät befindlichen Firmware erlaubt. Einem Unbefugten ist es nicht möglich, eine sabotierte Firmware aufzuspielen, da er nicht über den ersten privaten Schlüssel verfügt, mit welcher er seine schädliche Version der Firmware signieren könnte. Ein Besitz des ersten öffentlichen Schlüssels, bzw. Kenntnis über den ersten öffentlichen Schlüssel ermöglicht es nicht, aus diesem den ersten privaten Schlüssel zu berechnen.
-
Als kryptographisches Verfahren zum Signieren der zweiten Betriebssoftware, bzw. zur Authentifizierungsprüfung der Signatur kommen insbesondere asymmetrische Verfahren wie beispielsweise RSA, DSA, etc., oder Signaturverfahren auf Basis sogenannter Merke-Bäume infrage.
-
Feldgeräte, welche im Zusammenhang mit der Erfindung erwähnt werden, sind bereits im einleitenden Teil der Beschreibung beispielhaft beschrieben worden.
-
Gemäß einer besonders bevorzugten Ausgestaltung des erfindungsgemäßen Verfahrens wird die zweite Betriebssoftware nur dann mit dem ersten privaten Schlüssel signiert, wenn die zweite Betriebssoftware von einem Anlagenbetreiber eine Freigabe erhält. Insbesondere prüft der Anlagenbetreiber an Test-Feldgeräten, welche Funktionen des Feldgeräts durch Überspielen der auf dem Feldgerät befindlichen ersten Betriebssoftware verändert werden und ob das Feldgerät nach Überspielen der zweiten Betriebssoftware einen identischen Betrieb wie unter Verwendung der ersten Betriebssoftware zulässt.
-
In einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die zweite Betriebssoftware zusätzlich, insbesondere durch den Feldgerätehersteller, mittels eines zweiten privaten Schlüssels signiert wird. Auf diese Art und Weise wird dem Anlagenbetreiber bestätigt, eine Original-Betriebssoftware des Feldgeräteherstellers zu verwenden.
-
Eine bevorzugte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass im Rahmen der Authentifizierungsprüfung im Feldgerät die durch den zweiten privaten Schlüssel erzeugte Signatur mittels eines zweiten öffentlichen Schlüssels authentifiziert wird. Für einen Unbefugten ist ein Aufspielen einer sabotierten Betriebssoftware immens erschwert, da er sowohl Kenntnis über den ersten privaten Schlüssel, als auch über den zweiten privaten Schlüssel haben muss. Zum Überprüfen der vom Feldgerätehersteller erzeugten Signatur übergibt dieser dem Kunden einen zum zweiten privaten Schlüssel korrespondierenden zweiten öffentlichen Schlüssel. Ein Besitz des zweiten öffentlichen Schlüssels, bzw. Kenntnis über den zweiten öffentlichen Schlüssel ermöglicht es nicht, aus diesem den zweiten privaten Schlüssel zu berechnen.
-
Gemäß einer ersten vorteilhaften Variante des erfindungsgemäßen Verfahrens ist vorgesehen, dass die erste und die zweite Betriebssoftware jeweils eine erste Komponente und eine zweite Komponente umfassen, wobei bei dem Ersetzen der ersten Betriebssoftware durch die zweite Betriebssoftware die erste Komponente der ersten Betriebssoftware durch die erste Komponente der zweiten Betriebssoftware ersetzt wird.
-
Gemäß einer zweiten vorteilhaften Variante des erfindungsgemäßen Verfahrens ist vorgesehen, dass die erste und die zweite Betriebssoftware jeweils eine erste Komponente und eine zweite Komponente umfassen, wobei bei dem Ersetzen der ersten Betriebssoftware durch die zweite Betriebssoftware die zweite Komponente der ersten Betriebssoftware durch die zweite Komponente der zweiten Betriebssoftware ersetzt wird.
-
Gemäß einer dritten vorteilhaften Variante des erfindungsgemäßen Verfahrens ist vorgesehen, dass die erste und die zweite Betriebssoftware jeweils eine erste Komponente und eine zweite Komponente umfassen, wobei bei dem Ersetzen der ersten Betriebssoftware durch die zweite Betriebssoftware die erste Komponente der ersten Betriebssoftware durch die erste Komponente der zweiten Betriebssoftware und die zweite Komponente der ersten Betriebssoftware durch die zweite Komponente der zweiten Betriebssoftware ersetzt wird.
-
Der Vorteil aller drei Varianten besteht darin, dass die erste Betriebssoftware zwar komplett durch die zweite Betriebssoftware ersetzt werden kann, dies aber kein absolutes Muss darstellt. Vielmehr können Teile der ersten Betriebssoftware mit korrespondierenden Teilen der zweiten Betriebssoftware ersetzt werden, so dass die nicht aktualisierten Teile unverändert bleiben.
-
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass zum Ersetzen der ersten Betriebssoftware durch die zweite Betriebssoftware nur eine erfolgreiche Durchführung der Authentifizierungsprüfung der zweiten Komponente der zweiten Betriebssoftware benötigt wird. Auf diese Weise können beispielsweise diejenigen Funktionen, welche lediglich zum Anzeigen von Informationen, beispielsweise die Menüstruktur im Display des Feldgeräts, oder zur Verbesserung der Security dienen, ohne erforderliche Authentifizierung aktualisiert werden, wobei ein Aktualisieren von kritischen Funktionen des Feldgeräts (z.B. bezüglich der Messfunktion oder des genauen Echtzeitverhaltens der Messfunktion) zwingend eine erfolgreiche Authentifizierungsprüfung von der zweiten Betriebssoftware erfordert.
-
In einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die erste Komponente Security-Funktionen, HMI-Funktionen, GUI-Funktionen und/oder eine Schnittstelle zu einer übergeordneten Einheit bereitstellt. Der Begriff „Security“ bezeichnet eine Prävention vor Manipulationen des Feldgeräts durch Dritte. Man versucht dadurch ein Feldgerät davor zu bewahren, dass dieses durch einen Unbefugten sabotiert werden kann, bzw. dass durch unerlaubte Eingriffe beispielsweise Sicherheitsfunktionen ausgeschalten und/oder Geräteparameter des Feldgeräts verändert werden könnten.
-
Unter dem Begriff „HMI“ („Human-Machine-Interface“) werden beispielsweise Bedienfunktionen des Feldgeräts verstanden. Unter dem Begriff „GUI“ („Graphical User Interface“) werden Anzeigeelemente des Feldgeräts, beispielsweise auf dessen Display verstanden. GUI-Funktionen sind beispielsweise die Darstellungsart von Informationen auf dem Display des Feldgeräts, oder dessen Menüstruktur. Über die Schnittstelle zu einer übergeordneten Einheit, oder über ein Kommunikationsnetzwerk, kann auf das Feldgerät zugegriffen werden.
-
In einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die zweite Komponente Funktionen bereitstellt, welche das Feldgerät bezüglich dessen Messfunktion, insbesondere der zeitlichen Koordinierung der Messwerterfassung, beeinflussen.
-
Gemäß einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die erste und die zweite Komponente der ersten, bzw. der zweiten Betriebssoftware auf separate Recheneinheiten, beispielsweise sogenannte Mikrocontroller, des Feldgeräts verteilt werden. Beim Aktualisieren einer einzelnen Komponente wird nur diese auf ihrer zugeordneten Recheneinheit überschrieben.
-
Die Erfindung wird anhand der nachfolgenden Figur näher erläutert. Es zeigt
- 1: einen schematischen Überblick über ein Anwendungsbeispiel des erfindungsgemäßen Verfahrens.
-
1 zeigt einen schematischen Überblick über ein Anwendungsbeispiel des erfindungsgemäßen Verfahrens. Gezeigt ist ein Feldgerät FG, welches in einer Messstelle einer Prozessanlage eingesetzt ist. Bei dem Feldgerät FG handelt es sich um ein Feldgerät der Automatisierungstechnik zur Erfassung einer Prozessgröße, wie z.B. dem Druck oder dem Durchflusswert in einer Rohrleitung. Weitere Anwendungen eines solchen Feldgeräts FG sind bereits im einleitenden Teil der Beschreibung ausführlich erläutert worden.
-
Dieses Feldgerät FG verfügt über eine Kommunikationsschnittstelle KS und ist über diese Kommunikationsschnittstelle KS an ein Kommunikationsnetzwerk KN angeschlossen. Beispielsweise handelt es sich bei der Kommunikationsschnittstelle KS über ein im Feldgerät FG integriertes Feldbusinterface, z.B nach dem Ethernet-, HART-, Profibus-, Modbus- oder Foundation Fieldbus-Standard. In einem solchen Fall ist das Kommunikationsnetzwerk KN ein solcher Feldbus der Automatisierungstechnik. Das Feldgerät FG ist über das Kommunikationsnetzwerk KN mit weiteren Feldgeräten und einer Leitebene mit einer oder mehreren übergeordneten Einheiten in Kommunikationsverbindung. Erfindungsgemäß steht eine Bedieneinheit BE mit dem Feldgerät FG in Kommunikationsverbindung. Bei der Bedieneinheit BE handelt es sich insbesondere um eine Komponente der Leitebene, beispielsweise einen Workstation-PC, oder aber auch um einen von der Anlage entfernt angeordneten Server, insbesondere um einen Cloud-fähigen Server, welcher mit einer oder mehrerer Komponenten der Anlage, beispielsweise auch mit dem Feldgerät FG direkt, via Internet verbunden ist.
-
Alternativ ist die Kommunikationsschnittstelle KS als Serviceschnittstelle ausgestaltet (beispielsweise als drahtlose oder drahtgebundene CDI-Schnittstelle, welche viele der von der Anmelderin produzierte und vertriebene Feldgeräte aufweisen), welche zur Etablierung eines zusätzlichen, vom Feldbus unabhängigen Kommunikationsnetzwerks zur Verbindung mit der Bedieneinheit BE ausgestaltet ist. In einem solchen Fall handelt es sich bei Bedieneinheit BE insbesondere um eine mobile Bedieneinheit, beispielsweise um den von der Anmelderin produzierten und vertriebenen „Field Xpert“ oder um ein mobiles Endgerät wie ein Smartphone oder ein Tablet. Diese Art der Bedieneinheit BE kann auch mit dem Feldbus verbunden sein und über diesen mit dem Feldgerät FG kommunizieren.
-
Im Feldgerät FG ist eine erste Betriebssoftware BS1 implementiert. Diese besteht aus einer ersten Komponente K1 und einer zweiten Komponente K2. Die erste Komponente K1 stellt insbesondere Security-Funktionen, HMI-Funktionen und/oder GUI-Funktionen bereit, während die zweite Komponente K2 insbesondere Funktionen bereitstellt, welche das Feldgerät FG bezüglich dessen Messfunktion, insbesondere der zeitlichen Koordinierung der Messwerterfassung, beeinflussen.
-
Nach Entwicklung und Verkauf eines Feldgerätetyps erhält dieser regelmäßig Aktualisierungen seiner Firmware, also der ersten Betriebssoftware BS1. Insbesondere entdeckte Sicherheitslücken müssen zeitnah geschlossen werden, weswegen Aktualisierungen, welche die erste, „schnelllebige“ Komponente K1 der ersten Betriebssoftware betreffen, häufiger veröffentlicht werden, als Aktualisierungen der zweiten, „langlebigen“ Komponente K2 der ersten Betriebssoftware BS1.
-
Zur Aktualisierung der ersten Betriebssoftware BS1 wird eine zweite, aktuellere Betriebssoftware BS2 von der Bedieneinheit BE über das Kommunikationsnetzwerk KN auf das Feldgerät geladen. Diese wurden von dem Anlagenbetreiber ausreichend geprüft und freigegeben. Im Zuge der Freigabe wurde der zweiten Betriebssoftware eine Signatur SIG 1 hinzugefügt. Diese Signatur SIG1 wurde mithilfe eines ersten privaten Schlüssel S1 berechnet. Der Inhalt des ersten privaten Schlüssels S1 ist dabei lediglich dem Anlagenbetreiber bekannt.
-
Nach Empfang der zweiten Betriebssoftware BS2 prüft das Feldgerät FG diese auf Authentizität. Hierfür wird ein im Feldgerät FG gespeicherter erste öffentlicher Schlüssel S1‘, welcher zum ersten privaten Schlüssel S1 korrespondiert, verwendet. Nur wenn die Authentizität erfolgreich bestätigt wurde, nimmt das Feldgerät FG die zweite Betriebssoftware BS2 an und überspielt mit dieser seine bereits vorhandene erste Betriebssoftware BS1.
-
Falls die Authentizität der zweiten Betriebssoftware BS2 nicht erfolgreich bestätigt werden sollte, wird die auf dem Feldgerät vorhandene erste Betriebssoftware BS1 nicht mir der zweiten Betriebssoftware BS2 überschrieben. Dadurch ist es für einen Unbefugten nicht möglich, das Feldgerät FG mittels einer unautorisierten Version einer Firmware zu sabotieren. Außerdem ist es so auch nicht möglich, versehentlich eine noch nicht vom Anlagenbetreiber freigegebene Version der Firmware zum Aktualisieren zu verwenden. Es kann weiterhin auch vorgesehen sein, dass der Feldgerätehersteller, welcher der Ersteller der zweiten Betriebssoftware BS2 ist, diese zweite Betriebssoftware BS2 mit einer eigenen, mittels eines zweiten privaten Schlüssels S2 erstellte Signatur SIG2 versieht. In diesem Fall prüft das Feldgerät beide Signaturen SIG1, SIG2 und benutzt einen zum zweiten privaten Schlüssel 2 korrespondierenden zweiten öffentlichen Schlüssel S2‘, zum Überprüfen der Authentizität. Nur wenn die Authentizität in beiden Fällen erfolgreich geprüft wurde erfolgt ein Update der Feldgerätefirmware mittels der zweiten Betriebssoftware.
-
Beim Aktualisieren der ersten Betriebssoftware BS1 müssen nicht zwangsläufig beide Komponenten K1, K2 aktualisiert werden. Es kann je nach Anwendung vorgesehen sein, nur die erste Komponente K1, oder nur die zweite Komponente K2 zu aktualisieren. Des Weiteren kann vorgesehen sein, nur die zweite Komponente K2‘ der zweiten Betriebssoftware BS2 signiert ist. Dadurch wird nur eine erfolgreiche Durchführung der Authentifizierungsprüfung der zweiten Komponente K2‘ der zweiten Betriebssoftware BS2 benötigt. Auf diese Weise können beispielsweise diejenigen Funktionen, welche lediglich zum Anzeigen von Informationen, beispielsweise die Menüstruktur im Display des Feldgeräts FG, oder zur Verbesserung der Security dienen, ohne erforderliche Authentifizierung aktualisiert werden, wobei ein Aktualisieren von kritischen Funktionen des Feldgeräts FG zwingend eine erfolgreiche Authentifizierungsprüfung von der zweiten Komponente K2‘ der zweiten Betriebssoftware BS2 erfordert.
-
In einer vorteilhaften Ausführungsform verfügt das Feldgerät FG in seiner inneren Struktur über zwei oder mehr Recheneinheiten (beispielsweise in Form von Mikrocontrollern); die Komponenten K1 und K2 werden auf verschiedenen Recheneinheiten ausgeführt. Dieses Vorgehen erlaubt auf einfachem Weg, die Komponenten K1 und K2 unabhängig voneinander ändern zu können und in verschiedenen Paarungen erfolgreich einzusetzen. Alternativ ist es möglich, die Komponenten K1 und K2 in einer einzelnen Recheneinheit auszuführen und diese über ein Software-Interface wie eine dynamische Bibliotheksschnittstelle (DLL) oder auch den Einsatz einer sogenannten virtuellen Maschine so zusammenzuführen, dass die Komponenten K1 und K2 in unterschiedlichen Versionen gemeinsam zusammenarbeiten können.
-
Das Verfahren nutzt für die praktische Umsetzung vorteilhafterweise zur Speicherung und Übermittlung der Softwarekomponenten ein sogenanntes Container-Datenformat, wie beispielsweise durch die Extended Markup Language (XML) standardisiert oder durch die im Rahmen des X509-Standards verwendeten Distinguished Encoding Rules (DER) für Sicherheitszertifikate, welche im Internet eingesetzt werden. In einem solchen Containerformat können neben dem Quellcode der Software auch Meta-Information, wie beispielsweise digitale Signaturen, mit abgelegt werden. Gleichzeitig ist es in solchen Container-Datenformaten auch möglich, verschiedene Teilsoftware-Komponenten K1, K2 in einer gemeinsamen Datei zu bündeln und diesen gemeinsam oder getrennt Meta-Information wie digitale Signaturfelder zuzuordnen.
-
Dem Feldgerät FG wird bei der Inbetriebnahme in der Anlage der öffentliche Schlüssel (erster öffentlicher Schlüssel S1‘) der Anlage übermittelt, wobei das Feldgerät FG so konfiguriert wird, dass dieses für den Fall eines Softwareupdates nur Software akzeptieren darf, welche im übermittelten Container-Datenfile ein als Meta-Information abgelegtes gültiges Signaturfeld enthält, welches mit dem ersten privaten Schlüssel erzeugt wurde.
-
Dabei kann die Konfiguration des Feldgeräts FG vorteilhafterweise so erfolgen, dass die zusätzliche im Rahmen des Freigabeprozesses für die Anlage erfolgte Signatur SIG1 mit dem ersten privaten Schlüssel S1‘ nur für diejenigen Softwareteile erzwungen wird, die direkte Auswirkung auf die Messfunktion enthalten. So können kurzfristig Security-Patches eingespielt werden, selbst wenn ein offizieller Freigabeprozess beim Anlagenbetreiber noch nicht durchgeführt worden sein sollte.
-
Der Freigabeprozess beim Anlagenbetreiber für eine neue Software des Feldgeräts FG würde dann so ablaufen, dass zunächst eine Prüfung der funktionalen Tauglichkeit (Messperformance, Zeitverhalten, Kompatibilität mit Treibern auf der Leitstelle, etc.) erfolgen würde. Nach erfolgter positiver Prüfung würde vom Anlagenbetreiber im Container-File der Firmware des Feldgeräteherstellers eine zusätzliche Meta-Information ergänzt mit der Signatur SIG1, SIG2 der positiv geprüften Firmware. Diese im Datenfile dann zusätzlich enthaltene Signatur SIG1, SIG2 würde mit Hilfe des vom Anlagenbetreiber geheim gehaltenen ersten privaten Schlüssel S1 errechnet.
-
Diese ergänzte Datei kann dann im Zuge des Aktualisierungsprozesses an das Feldgerät FG übermittelt werden. Das Feldgerät FG sucht dann aufgrund seiner erfolgten Konfiguration beispielsweise nach einem gültigen Signaturfeld des Anlagenbetreibers und prüft diesen mit dem übermittelten ersten öffentlichen Schlüssel S1 (bei der Geräteinbetriebnahme vom Anlagenbetreiber übermittelt).
-
Weiterhin prüft das Feldgerät optional zusätzlich oder alternativ das Vorhandensein eines zweiten Signaturfelds (vom Feldgerätehersteller erzeugt) anhand des ebenfalls bekannten zweiten öffentlichen Schlüssels S2 des Feldgeräteherstellers (welcher z.B. bereits im Rahmen des Produktionsprozesses des Geräteherstellers übermittelt wurde). Je nach Konfiguration des Feldgeräts FG werden dabei vorteilhafterweise unterschiedliche Authentisierungsanforderungen an die funktionsbestimmende und die sicherheitsbestimmenden Software-Teilkomponenten K1 und K2 gestellt. Zum Beispiel könnten Security-Patches in der ersten Komponente K1 allein auf der Basis gültiger Signaturen SIG1 des Feldgeräteherstellers (erzeugt/geprüft mit zweitem privater/öffentlichen Schlüssel S2, S2‘) akzeptiert werden, während für die Messfunktion (zweite Komponente K2) zusätzlich die Signatur des Anlagenbetreibers verpflichtend eingefordert würde (erzeugt/geprüft mit erstem privaten/öffentlichen Schlüssel S1, S1‘). In einer vorteilhaften Ausführungsform würde die Signaturprüfung in ein separates Hardwaremodul (sogenanntes smart-card Chipset) ausgelagert. Diese fest verlötbaren oder auch als steckbare Module verfügbaren Chips erlauben durch den sogenannten Seitenkanalschutz und besonders durch sichere Kryptographie-Hardware-Beschleuniger eine besonders sichere Umsetzung.
-
Im Fall eines einsteckbaren Smart-Card-Chipsets könnte die initiale Parametrierung eines Feldgerätes FG beim Anlagenbetreiber dadurch erfolgen, dass eine vom Anlagenbetreiber vorkonfigurierte Smart-Card in einen zugehörigen Sockel des Feldgeräts FG eingesteckt wird, ähnlich wie man es bei Mobiltelefonen mit sogenannten „SIM“-Karten durchführt.
-
Bezugszeichenliste
-
- BE
- Bedieneinheit
- BS1
- erste Betriebssoftware
- BS2
- zweite Betriebssoftware
- FG
- Feldgerät
- K1, K2
- Komponenten der ersten Betriebssoftware
- K1', K2'
- Komponenten der zweiten Betriebssoftware
- KN
- Kommunikationsnetzwerk
- KS
- Kommunikationsschnittstelle
- S1, S2
- private Schlüssel
- S1', S2'
- öffentliche Schlüssel
- SIG1, SIG 2
- Signaturen